Windows Server 2008_创建网络中的第一台域控制器

2024年1月7日发(作者：)

5-2 创建Active Directory 域

我们使用下图来介绍如何创建第1个林中的第1个域（根域）。创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows

Server 2008）与一台加入域的Windows Vista计算机。

第一台域控制器 &

DNS服务器

IP:192.168.8.1/24

DNS:192.168.8.1

第二台域控制器

IP:192.168.8.2/24

DNS:192.168.8.1

加入域的WindowsVista

vista

IP:192.168.8.4/24

DNS:192.168.8.1

成员服务器

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active

Directory。当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：

☻ 创建第一个林

☻ 创建此新林中的第一个域树状目录

☻ 创建此新域树状目录中的第一个域

☻ 创建此新域中的第一个域控制器

在创建上图中第一台域控制器时，它会同时创建此域控制器所属的域，同时也会创建域所属的域树状目录，而域

IP:192.168.8.3/24

DNS:192.168.8.1

也是此域树状目录的根域。由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。域就是整个林的林根域。

5-2-1 创建域的必要条件

在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：

☻ DNS域名

请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻ DNS服务器

由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS

服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的

DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

若没有支持Active Directory的DNS服务器，可以在升级过程中，选择在这

台即将升级为域控制器的服务器上安装DNS服务器。

注意

Active Directory需要一个SYSVOL文件夹来存储域共享文件（例如与组策略有关的文件），该文件夹必须创建在NTFS磁盘内，系统默认是将其新建在系统磁盘。如果要将其存储到其他磁盘的话，该磁盘必须是NTFS磁盘。

可以将现有的FAT或FAT32磁盘转换为NTFS磁盘，

方法是“开始”—“命令提示符”，然后运行以下命令（假设要转换D：磁盘）：

CONVERT D： /FS:NTFS

如果该磁盘目前有文件正在使用中，系统将无法立刻运行转换工作，此时可以选择下次重新开机时再自动转换。

5-2-2 创建网络中的第一台域控制器

我们将通过添加服务器角色的方式，来将上图中左上角的服务器server

升级为域控制器。

步骤1：先将该台计算机的计算机名设置为server1，IPv4地址等设置为如上图

所示（并取消选择TCP/IPv6）。注意计算机完整名为server1即可，等

升级为域控制器后，其计算机名自动会被改为。

步骤2：选择以下两种方式来安装Active Directory域服务（ADDS）：

① 开始—服务器管理器：此时请继续步骤3后的步骤。

② 开始—运行—dcpromo—回车：此时它会自动运行步骤3~步骤9

的安装AD DS步骤，故请直接跳到步骤10。

步骤3：如下图所示，单击“角色”选项，再单击“添加角色”按钮

步骤4：在“开始之前”对话框中直接单击下一步按钮。

步骤5：在下图中选择Active Directory域服务后单击下一步按钮。

步骤6：在“Active Directory域服务”对话框中单击下一步按钮。

步骤7：在“确认安装选项”对话框中单击安装按钮。

步骤8：下图为完成安装后的画面，直接单击关闭按钮，从对话框中可知，还必

须运行Active Directory域服务安装向导，之后这台服务器才会成为功

能完整的域控制器。

步骤9：在下图，单击“角色”下的“Active Directory域服务”，再单击“运行

Active Directory域服务安装向导”。

步骤10：在“欢迎使用Active Directory域服务安装向导”对话框中直接下一步。

步骤11：出现“操作系统兼容性”对话框时单击下一步。

步骤12：如下图所示，选择“在新林中新建域”，单击下一步按钮。

步骤13：在下图中输入域名后单击下一步按钮。

步骤14：在下图中，将林功能级别设置为Windows Server 2008。

步骤15：在下图中直接单击下一步按钮。有图中可知，它会直接在这台服务器

上安装DNS服务器、同时第一台域控制器也必须是全局编录服务器的

角色、第一台域控制器不可以是只读域控制器（RODC）。

步骤16：出现下图的画面时，直接单击是（Y）按钮。

步骤17：在下图中直接单击下一步，其中：

☻ 数据库文件夹：用来存储Active Directory数据库。

☻

日志文件文件夹：用来存储AD的变更日志，此日志文件可用来修复AD。

☻ SYSVOL文件夹：用来存储域共享文件，注意它必须位于NTFS磁盘内。

如果计算机内有多个硬盘，建议将数据库与日志文件的文件夹，分别存储到不同

的硬盘内，这一方面是因为两个硬盘分别运行，可以提升运行的效率；另一方面

因为分开存储，可以避免两份文件同时出问题，以提升修复Active Directory的能力。

步骤18：在下图中设置目录服务还原模式的管理员密码，完成后单击下一步按

钮。目录服务还原模式是一个安全模式，进入此模式可以修复Active

Directory数据库。用户可以在系统启动时按F8键；来选择此模式，

不过必须输入此处所设置的密码。

注意

域用户的密码默认是必须至少7个字符，且不可包含用户账户名称中超过两个

以上的连续字符，还有至少要包括A~Z、a~z、0~9、非字母数字（！、$、#、%）

等4组字符中的3组，例如123abcABC就是一个有效的密码。

步骤19：在“摘要”对话框中直接单击下一步。

步骤20：完成后重新启动系统、重新登录。

5-2-3 检查DNS服务器内的日志是否完整

由于域控制器会将自己所扮演的角色登记到DNS服务器内，以便让其他计算机能够通过DNS服务器来找到这台域控制器，因此我们先来检查DNS服务器内是否已经有域控制器所登录的日志。

1 . 检查主机日志

首先要检查域控制器是否已将其主机名与IP地址登录到DNS服务器内。请到扮演DNS服务器角色的计算机（）上选择“开始”—管理工具—DNS，如下图所示，应该会有一个名为的区域，图中的主机（A）日志表示域控制器已经正确地将其主机名与IP地址登记到DNS服务器内。

如果域控制器已经正确将其所扮演的角色登记到DNS服务器内，则应该还会有如上图所示的_tcp、_udp等文件夹。在单击_tcp文件夹后，可以看到下图

的画面，其中数据类型为服务位置（SRV）的_ldap日志，表示已经正确登记为域控制器。由图中的_gc日志还可以看出，全局编录的角色也是由来扮演的。

DNS区域内有了这些数据后，其他将要加入域的计算机，就可以通过此区域得知域控制器为,com。这些加入域的成员（域控制器、成员服务器、Windows Vista、Windows XP Professional等）也会将其主机与IP地址数据登记到此区域内。

2 . 排错登记失败的问题

如果因为域成员本身的设置有误或是网络问题，造成它们无法将数据登录到DNS服务器的话，则可以在问题解决后，重新启动这些计算机或直接使用以下的方法来手动登记：

☻ 如果是某域成员计算机的主机名与IP地址数据没有正确登记到DNS服务器，

则可到这台计算机上，使用以下命令来手动登记：

IPCONFIG /registerdns

完成后，请到DNS服务器的区域内检查是否已经有正确的日志。例如域成员在

主机名为，IP地址为192.168.8.1，则应检查DNS区域

内是否有server1的主机（A）日志，其IP地址是否为192.168.8.1。

☻ 如果发现域控制器并没有将其所扮演的角色登记到DNS服务器内，也就是并没

有类似上图的_tcp等文件夹与相关日志时，则请到此台域控制器上使用：开始—

管理工具—服务，如下图所示，右击Netlogon服务，选择“重新启动”选项进行

的登记。