域控制器是指在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當于一個單位的門衛一樣,稱為“域控制器(Domain Controller,簡寫為DC)
域控制器( Domain controller,DC )是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第一次安裝活動目錄時,安裝活動目錄的那臺計算機就成為域控制器,簡稱“域控”。域控制器存儲著目錄數據并管理用戶域的交互關系,其中包括用戶登錄過程、身份驗證和目錄搜索等。一個域可以有多個域控制器。為了獲得高可用性和容錯能力,規模較小的域只需兩個域控制器,一個實際使用,另一個用于容錯性檢査,規模較大的域可以使用多個域控制器。
如下是本次實驗的拓撲圖,采用主域控+輔域控的部署方式。
|
服務器名稱 |
IP地址 |
角色 |
|
DC01 |
172.16.1.1 |
主域控 |
|
DC02 |
172.16.1.2 |
輔域控 |
|
Client01 |
172.16.1.3 |
域客戶端 |
使用虛擬機分別創建3臺實驗機器,如下圖
添加角色和功能
點擊下一步
選擇默認的基于角色或基于功能的安裝,點擊下一步
默認是當前的服務器,點擊下一步
選擇Active Directory活動目錄和DNS服務器,點擊下一步
等待安裝完成,完成后點擊關閉
回到服務器管理器界面,點擊將此服務器提升為域控制器
由于是域當中的第一臺域控,所以我們選擇第三個選項,添加新林,輸入需要的根域名,這邊使用ylxqblog.cn來命名
林功能級別默認即可,輸入目錄服務的還原密碼,務必牢記,當需要恢復DC的時候需要用到還原密碼
有關林功能級別的說明,可以參考微軟官方網站的說明,這里不作說明
https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels
因為還沒有安裝DNS服務,所以有警告信息,忽略下一步
這3個目錄是存放DC關鍵數據文件的路徑,默認不做修改,點擊下一步
檢查下配置是否正確,沒有問題點擊下一步
開始驗證,等待片刻就可以點擊安裝
忽略警告信息,點擊安裝
等待安裝完成
安裝完成后重啟系統,然后再打開服務器管理器,點擊右上方的工具,可以看到里面有很多Active Directory的選項
我們打開Active Directory用戶和計算機
然后在User下右擊,新建一個域用戶
新建一個張三的用戶,域賬戶名稱為san.zhang,初始密碼為123.com
域賬戶創建完成
現在我們將Client01加入到剛剛創建的ylxqblog.cn的域,首先要設置客戶端的IP地址,DNS必須設置為DC的IP地址
打開此電腦,右鍵屬性,點擊更改設置
點擊更改
選擇域,輸入域名,點擊確定
彈出賬戶驗證框,需要輸入域管理員賬戶驗證
驗證成功,提示成功加入,然后重啟客戶端
開機后選擇其他,然后輸入之前在DC上面新建的用戶,san.zhang
成功登陸,加域成功
現在我們再新建輔助域控,切換到DC02
同樣的步驟,添加角色和功能
選擇DNS和域服務
點擊安裝
選擇將此服務器提升為域控制器
因為這臺是我們的輔助DC,所以選擇第一個,將域控制器添加到現有域
注意步驟3更改這里需要輸入主DC的域管理員賬戶,格式是域管理員賬戶
輸入目錄還原密碼,建議和主DC一致
點擊下一步
因為這里我們只有一個域,所以默認任何域控制器即可,也可以手動選擇dc01.ylxqblog.cn,點擊下一步
BDC的數據存放路徑建議保持不變,和主域保持一致
提示報錯,原因是DC02虛擬機是通過克隆DC01而來,所以2臺機器的SSID是一模一樣的,需要使用sysprep工具重新封裝下,同理,如果加域的客戶端也是通過克隆或者ghost封裝而來,加域前務必重新封裝清理,避免加域出現或后續出現無法預料的問題。
開始運行,輸入sysprep
雙擊運行
勾選通用,然后點擊確定,清理完成后重啟,重復如上步驟
進入桌面在服務器管理器中可以看到多了AD DS和DNS的角色,至此 Windows Server 2016 搭建輔助 AD 域控制器已經完成
如有疑問,歡迎大家在評論區留言。
