測試環境:
伺服器:計算機名Win2008R2CNDC,已安裝Windows Server 2008 R2。IPV4:192.168.1.13,255.255.255.0,網關位址192.168.1.1
管理者:Bill.XU
實驗要求:安裝第一個企業根據域控制器域名為Hbycrsj.com。
部署過程:
以下操作都是以管理者Bill.XU登入完成
方法一:手動部署
1、使用事件檢視器(EventVWR.MSC),檢視日志情況。并要所檢視情況,進行系統診斷,確定安裝前系統的狀态正常
2、打開網絡連接配接,設定網卡的IP4位址為一靜态位址,同時将DNS伺服器位址設定為127.0.0.1
3、運作DCPROMO,出現設定向導。設定過程如下圖
檢測系統是否安裝AD域服務二進制檔案,如果沒有,系統會自動安裝(也可以在運作指令之前,通過伺服器管理器,添加活動目錄域服務角色來安裝)
出現活動目錄域服務安裝向導,選擇進階模式(如果不選擇此項,安裝過程中将無法對有些設定進行更改,如域Netbios名的更改等)
由于這是森林中的第一台伺服器,是以選擇在新林中建立域。
功能級别,所提供的功能不同。如要使用R2新增的活動目錄資源回收筒功能,必須将功能級别提升到2008 R2功能級别。要使用棵粒化密碼政策,須将功能級别提升到2008。R2新增了一種功能級别即2008 R2級别。注意功能級别的操作是單向,即當提升到一個高功能級别後,它不能再降為低功能級别。除非得新安裝AD域服務
具體見:
Appendix of Functional Level Features
此實驗中,DC也是一台DNS伺服器,是以要勾選DNS伺服器。同時,這是森林中的第一台DC,是以全局編錄(GC),隻讀域控制器(RODC)不可操作。森林中必須至少有一台GC,同時要安裝RODC,域中必須首先有一台可寫的DC。
指定活動目錄資料庫的存放位置。在一個大型的網絡中,為了提高活動活動工作效率,可以将資料在放在其它的磁盤控制器或RAID上。同時,随着活動目錄資料增大,可以以後通過操作移動活動目錄的位置。當然活動目錄資料還有其它操作(如壓縮)。我将在以後的實驗中進行操作。
目錄服務還原模式(DSRM)密碼,必須符合密碼複雜性。預設情況下,密碼複雜性是指長度至少為7個字元,密碼必須含有數字,符号,大小字這三項中的兩項。同時,密碼存放曆史不能在24個之内。
可能啟動系統時,按F8,選擇進入DSRM,進行活動目錄的相關操作,如還原對象等。
導出設定,将設定導出一個文本檔案。我們可以利用這個檔案進行活動目錄的無人職守安裝
以下無人職守檔案的内容。具體參數含義見
無人參與安裝參數附錄
; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /unattend:C:\Users\Administrator\Desktop\Share\UNATTEND.TXT
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=HBYCRSJ.COM
ForestLevel=2
DomainNetbiosName=HBYCRSJ
DomainLevel=2
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes
4、重新啟動計算機。将網卡位址的DNS伺服器位址設定為它自身的IP位址。即192.168.1.13
5、驗證DC是否安裝成功
打開DNS管理器(DNSmgmt.msc),在伺服器節點可以看到
打開管理工具,可以看到新增了如下有關活動目錄的管理工具
使用事件檢視器,檢視安裝情況。
方法二:通過指令行進部署
通過dcpromo指令的指令參數進行安裝
dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:hbycrsj.com /DomainNetbiosName:hbycrsj /databasePath:"c:\Windows\ntds" /logPath:"c:\Windows\ntdslogs" /sysvolpath:"c:\Windows\sysvol" /safeModeAdminPassword:a1a2a3B1! /forestLevel:2 /domainLevel:2 /rebootOnCompletion:yes
指令行參數包括:
/unattend[:filename]
用于指定無人參與操作模式或提供無人參與安裝腳本檔案。
/adv
啟用進階使用者選項。
/uninstallBinaries
用于解除安裝 Active Directory 域服務二進制檔案。
/?[:{Promotion | CreateDcAccount | UseExistingAccount | Demotion}]
/?:Promotion、/?:CreateDCAccount、/?:UseExistingAccount 和 /?:Demotion
将顯示适用于指定任務的無人參與參數。
/CreateDCAccount 和 /UseExistingAccount:Attach 互斥。
/CreateDCAccount
建立 RODC 帳戶。
/UseExistingAccount:Attach
将伺服器與 RODC 帳戶連接配接。
/forceRemoval
強制解除安裝此域控制器上的 Active Directory 域服務。不會在目錄中
删除用于域控制器的帳戶,但自此域控制器上次使用夥伴複制後發生
的更改将丢失。
/?
顯示此幫助。
無人參與參數還可以在指令行上進行指定。例如:
dcpromo.exe /ReplicaOrNewDomain:Replica
方法三:通過無人應答檔案行進部署
産生如上面所述的無人應答檔案,輸入如下指令進行安裝
dcpromo.exe /unattend:UNATTEND.TXT
方法四:通過媒體進行安裝
可以使用 Ntdsutil.exe 為在域中建立的其他域控制器建立安裝媒體。通過從媒體安裝,可以最大程度地減少網絡上目錄資料的複制。這樣可有得于在遠端站點中更高效地安裝其他域控制器。
這個方法我将在以後進行介紹。
轉載于:https://blog.51cto.com/services/614430