特别需要注意:
将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至WIN08R2,并且林功能级别为WIN08或更低时,可以将域功能级别回滚到WIN08,且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。
将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林功能级别提升到WIN08R2且没有启用AD回收站时,则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。
以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统
表2
以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统
表3
6、点击“下一步”,配置“其它域控制器选项”(如图17)。在AD安装期间,可以为DC选择安装DNS服务、或将其设置成为全局编录服务器(GC)或只读域控制器(RODC)。
<
图17
DNS服务器选项
正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务,此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。
表4
需要注意的是:
如果启动AD安装向导之前已经安装了DNS服务,但AD没有 DNS 基础结构,则 DNS 服务将继续为它承载的任何基于文件的区域解析名称,但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。
全局编录选项
由于林中的第一台DC必须是GC,因此在创建域林时“全局编录”复选框处于会被自动选中,而且变灰不能被取消。在现有域中安装其他DC时,默认也会选中该复选框。但是,可以手动取消选择。
在创建新的子域或域树时,默认情况下不会选中“全局编录”复选框,因为新域中的第一个域控制器承载着所有域范围的操作主机角色(FSMO角色),包括基础结构操作主机角色。在多域林中,除非域中的所有DC都是GC,否则在GC上承载基础结构主机角色可能会出现问题。因此,在新子域或域树的第一个DC上安装全局编录,则需要在将其他DC安装到域中之后转移基础结构主机角色,或是确保安装到域中的所有其他DC也都是GC。而且,在安装其他可写域控制器时,AD安装向导会验证基础结构主机是否承载于合适的DC上,并且会验证它是否可以修复使用所选安装选项引发的问题。
RODC选项
以下条件下不允许安装 RODC:
- 新林中安装第一个域控制器
- 新域中安装第一个域控制器
- 林功能级别不是WIN03、WIN08或WIN08R2
- 要安装RODC的域中没有WIN08 或WIN08R2的可写域控制器
选项间的关系
如果选中“只读域控制器(RODC)”复选框,除非无法选中“DNS 服务器”复选框,否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除,则向导会发出警告:“如果不同时安装 DNS 服务器,分支机构中的客户端可能无法找到RODC”。默认情况下,“全局编录”复选框可能也处于选中状态,具体取决于选择的其他安装选项。默认情况下,如果选中“只读域控制器”复选框,向导就会自动选中“全局编录”复选框。
验证检查选项
在“其他域控制器选项”页上选择选项,然后点击“下一步”之后,向导会执行以下验证检查,之后才会继续进行操作。
静态 IP 地址验证——如果选中“DNS 服务器”复选框,AD安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址,包括静态的IPv4和IPv6地址。尽管不使用静态IP地址便可以完成AD安装,但不建议这样做,因为如果DC的 IP地址发生变化,客户端可能无法联系DC。
基础结构主机检查——如果选择在域中安装其他域控制器的选项,AD安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器(“只读域控制器”复选框处于清除状态),而且清除了“全局编录”复选框,向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是,向导会提示将该角色转移到正在安装的DC上。可以点击“是”将基础结构主机角色转移到此DC上,或点击“否”稍后更改配置。
Adprep /rodcprep检查——如果安装 RODC,向导会验证adprep /rodcprep命令是否成功完成,以及该命令导致的更改是否复制到整个林中。如果adprep /rodcprep命令没有成功完成,或是更改尚未复制到整个林中,会收到一条错误消息,指出在继续进行安装之前必须运行该命令。如果收到此消息,可以在林中的任何计算机上再次运行adprep /rodcprep,或是等待更改复制到整个林中。
7、点击“下一步”,系统会弹出DNS服务委派警告对话框(如图18)。在此,点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时,选择了“DNS服务器”选项,而当前计算机又未找到指定域的权威父域Windows DNS服务器,从而无法确定是否对指定域进行了委派导致的。
图18
8、确定AD数据库、日志文件和SYSVOL放置的位置(如图19)。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与AD有关的活动;SYSVOL存储组策略对象和脚本,其默认是位于%windir%目录中的操作系统文件的一部分。
图19
在决定AD文件的存储位置时,可以从以下两个因素来考虑——
备份和恢复
对于只有一个硬盘的服务器来将,只需接受AD安装向导的默认安装设置即可。但是,必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据,另一个卷用于存储备份。 在使用Windows Server Backup或Wbadmin.exe命令行工具备份DC时,至少必须备份系统状态数据,以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据(根据所安装的服务器角色,还可能包括其他数据):
- 注册表
- COM+ 类注册数据库
- 引导文件
- Active Directory 证书服务 (AD CS) 数据库
- 承载 Active Directory 数据库 (Ntds.dit) 的卷
- 承载 Active Directory 数据库日志文件的卷
- SYSVOL 目录
- 群集服务信息
- Microsoft Internet Information Services (IIS) 元目录
- Windows 资源保护下的系统文件
性能
对于更加复杂的安装,可能需要配置硬盘存储以优化 AD的性能。由于数据库和日志文件以不同方式利用磁盘存储空间,因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD的性能。
例如,一台服务器具有四个可用的硬盘驱动器,它们的驱动器卷标分别为:
- 驱动器 C,包含操作系统文件
- 驱动器 D,未使用
- 驱动器 E,未使用
- 驱动器 F,用于备份
在此服务器上,可以通过将数据库和日志文件分别安装到专用的驱动器(如D和E)中而最大限度提高AD的性能。这有助于提高数据库的搜索性能,因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下,这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。
9、点击“下一步”,向导要求输入“目录还原模式的Administrator密码”(如图20)。在 AD未运行时,目录服务还原模式(DSRM)密码是登录域控制器所必需的。
图20
特别注意
DSRM密码与域管理员帐户的密码不同。
当创建林中第一台DC时,AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装,AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着,指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下,必须包含大写和小写字母组合、数字和符号的强密码。
10、点击“下一步”,显示安装摘要(如图21),并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后,可以使用应答文件自动执行AD的后续安装。
图21
应答文件是包含 [DCInstall] 标题的纯文本文件,应答文件提供了对AD安装向导所需配置的设置值。使用该应答文件时,管理员无需与该向导进行交互。向导会向该应答文件中添加文本,说明如何使用该文件,例如,说明如何使用dcpromo命令来调用该文件以及必须更新哪些设置才能使用该文件。
若要使用应答文件来安装AD,在命令提示符下输入:
dcpromo /answer[:filename]
其中 filename 为应答文件的名称。
11、点击“下一步”,安装向导执行安装操作(如图22)。如果没有勾选“完成后重新启动”复选框,
图22
则执行完毕后,AD安装向导将出现完成安装页(如图23)。点击“完成”,
图23
系统会提示需要重新启动计算机配置才能生效(如图24)。点击“立即重新启动”完成DC安装操作。
图24
四、完成后简单验证安装情况
重启服务器后,可以通过以下几点的验证来确定DC的基本安装成功。
1、AD数据文件是否产生(如图25)。
图25
2、DNS服务是否工作正常,与域相关的资源记录,特别是SRV记录是否正确写入(如图26)。
图26
3、SYSVOL文件夹是否存在,能正常访问。
4、日志中是否有错误事件等。
若均无问题,则表明当前部署的企业中第一台DC工作基本正常。
加好友 
发短信
Post By:2012-3-12 11:29:29
