域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomAIn Controller,简写为DC)
域控制器( Domain controller,DC )是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检査,规模较大的域可以使用多个域控制器。
如下是本次实验的拓扑图,采用主域控+辅域控的部署方式。
服务器名称 |
IP地址 |
角色 |
DC01 |
172.16.1.1 |
主域控 |
DC02 |
172.16.1.2 |
辅域控 |
Client01 |
172.16.1.3 |
域客户端 |
使用虚拟机分别创建3台实验机器,如下图
添加角色和功能
点击下一步
选择默认的基于角色或基于功能的安装,点击下一步
默认是当前的服务器,点击下一步
选择Active Directory活动目录和DNS服务器,点击下一步
等待安装完成,完成后点击关闭
回到服务器管理器界面,点击将此服务器提升为域控制器
由于是域当中的第一台域控,所以我们选择第三个选项,添加新林,输入需要的根域名,这边使用ylxqblog.cn来命名
林功能级别默认即可,输入目录服务的还原密码,务必牢记,当需要恢复DC的时候需要用到还原密码
有关林功能级别的说明,可以参考微软官方网站的说明,这里不作说明
https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels
因为还没有安装DNS服务,所以有警告信息,忽略下一步
这3个目录是存放DC关键数据文件的路径,默认不做修改,点击下一步
检查下配置是否正确,没有问题点击下一步
开始验证,等待片刻就可以点击安装
忽略警告信息,点击安装
等待安装完成
安装完成后重启系统,然后再打开服务器管理器,点击右上方的工具,可以看到里面有很多Active Directory的选项
我们打开Active Directory用户和计算机
然后在User下右击,新建一个域用户
新建一个张三的用户,域账户名称为san.zhang,初始密码为123.com
域账户创建完成
现在我们将Client01加入到刚刚创建的ylxqblog.cn的域,首先要设置客户端的IP地址,DNS必须设置为DC的IP地址
打开此电脑,右键属性,点击更改设置
点击更改
选择域,输入域名,点击确定
弹出账户验证框,需要输入域管理员账户验证
验证成功,提示成功加入,然后重启客户端
开机后选择其他,然后输入之前在DC上面新建的用户,san.zhang
成功登陆,加域成功
现在我们再新建辅助域控,切换到DC02
同样的步骤,添加角色和功能
选择DNS和域服务
点击安装
选择将此服务器提升为域控制器
因为这台是我们的辅助DC,所以选择第一个,将域控制器添加到现有域
注意步骤3更改这里需要输入主DC的域管理员账户,格式是域管理员账户
输入目录还原密码,建议和主DC一致
点击下一步
因为这里我们只有一个域,所以默认任何域控制器即可,也可以手动选择dc01.ylxqblog.cn,点击下一步
BDC的数据存放路径建议保持不变,和主域保持一致
提示报错,原因是DC02虚拟机是通过克隆DC01而来,所以2台机器的SSID是一模一样的,需要使用sysprep工具重新封装下,同理,如果加域的客户端也是通过克隆或者ghost封装而来,加域前务必重新封装清理,避免加域出现或后续出现无法预料的问题。
开始运行,输入sysprep
双击运行
勾选通用,然后点击确定,清理完成后重启,重复如上步骤
进入桌面在服务器管理器中可以看到多了AD DS和DNS的角色,至此 Windows Server 2016 搭建辅助 AD 域控制器已经完成
如有疑问,欢迎大家在评论区留言。