Windows Server 2016部署域控制器

域控制器是指在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(DomAIn Controller，简写为DC)

域控制器( Domain controller，DC )是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器，一个实际使用，另一个用于容错性检査，规模较大的域可以使用多个域控制器。

如下是本次实验的拓扑图，采用主域控+辅域控的部署方式。

使用虚拟机分别创建3台实验机器，如下图

添加角色和功能

点击下一步

选择默认的基于角色或基于功能的安装，点击下一步

默认是当前的服务器，点击下一步

选择Active Directory活动目录和DNS服务器，点击下一步

等待安装完成，完成后点击关闭

回到服务器管理器界面，点击将此服务器提升为域控制器

由于是域当中的第一台域控，所以我们选择第三个选项，添加新林，输入需要的根域名，这边使用ylxqblog.cn来命名

林功能级别默认即可，输入目录服务的还原密码，务必牢记，当需要恢复DC的时候需要用到还原密码

有关林功能级别的说明，可以参考微软官方网站的说明，这里不作说明

https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels

因为还没有安装DNS服务，所以有警告信息，忽略下一步

这3个目录是存放DC关键数据文件的路径，默认不做修改，点击下一步

检查下配置是否正确，没有问题点击下一步

开始验证，等待片刻就可以点击安装

忽略警告信息，点击安装

等待安装完成

安装完成后重启系统，然后再打开服务器管理器，点击右上方的工具，可以看到里面有很多Active Directory的选项

我们打开Active Directory用户和计算机

然后在User下右击，新建一个域用户

新建一个张三的用户，域账户名称为san.zhang，初始密码为123.com

域账户创建完成

现在我们将Client01加入到刚刚创建的ylxqblog.cn的域，首先要设置客户端的IP地址，DNS必须设置为DC的IP地址

打开此电脑，右键属性，点击更改设置

点击更改

选择域，输入域名，点击确定

弹出账户验证框，需要输入域管理员账户验证

验证成功，提示成功加入，然后重启客户端

开机后选择其他，然后输入之前在DC上面新建的用户，san.zhang

成功登陆，加域成功

现在我们再新建辅助域控，切换到DC02

同样的步骤，添加角色和功能

选择DNS和域服务

点击安装

选择将此服务器提升为域控制器

因为这台是我们的辅助DC，所以选择第一个，将域控制器添加到现有域

注意步骤3更改这里需要输入主DC的域管理员账户，格式是域管理员账户

输入目录还原密码，建议和主DC一致

点击下一步

因为这里我们只有一个域，所以默认任何域控制器即可，也可以手动选择dc01.ylxqblog.cn，点击下一步

BDC的数据存放路径建议保持不变，和主域保持一致

提示报错，原因是DC02虚拟机是通过克隆DC01而来，所以2台机器的SSID是一模一样的，需要使用sysprep工具重新封装下，同理，如果加域的客户端也是通过克隆或者ghost封装而来，加域前务必重新封装清理，避免加域出现或后续出现无法预料的问题。

开始运行，输入sysprep

双击运行

勾选通用，然后点击确定，清理完成后重启，重复如上步骤

进入桌面在服务器管理器中可以看到多了AD DS和DNS的角色，至此 Windows Server 2016 搭建辅助 AD 域控制器已经完成

如有疑问，欢迎大家在评论区留言。