Active Directory(AD)域服务是Windows Server的核心功能之一,它为网络中的用户、计算机和其他资源提供集中式的管理和身份验证服务。搭建AD服务器是构建企业IT基础架构的关键步骤。以下将以Windows Server 2016为例,图文并茂地详细阐述搭建AD域控制器的完整步骤。
一、搭建前准备
1. 硬件与系统要求:确保服务器满足Windows Server 2016的最低硬件要求(如1.4GHz 64位处理器、512MB内存、32GB磁盘空间)。建议为生产环境配置更高的资源。
2. 网络配置:为服务器设置一个静态的IP地址、子网掩码、默认网关和DNS服务器地址。在初始安装时,可以暂时指向公共DNS(如8.8.8.8),但安装AD后,域控制器自身的IP地址应设为首选DNS服务器。
3. 系统安装:完成Windows Server 2016操作系统的标准安装,并设置好管理员(Administrator)密码。安装完成后,建议通过Windows Update更新系统至最新状态。
二、安装Active Directory域服务角色
1. 登录系统后,打开服务器管理器。在仪表板界面,点击“添加角色和功能”。
2. 在“开始之前”页面,直接点击“下一步”。
3. 在“安装类型”页面,选择“基于角色或基于功能的安装”,点击“下一步”。
4. 在“服务器选择”页面,从服务器池中选择当前要安装角色的服务器,点击“下一步”。
5. 在“服务器角色”页面,勾选“Active Directory域服务”。在弹出的对话框中,点击“添加功能”,然后点击“下一步”。
6. 在“功能”页面,无需额外勾选,直接点击“下一步”。
7. 在“AD DS”介绍页面,阅读信息后点击“下一步”。
8. 在“确认”页面,确认所选内容,可以选择“如果需要,自动重新启动目标服务器”复选框,然后点击“安装”。
9. 安装过程开始。安装完成后,不要关闭窗口。注意提示信息,安装角色后需要执行额外的配置。点击“将此服务器提升为域控制器”。
三、配置并提升为域控制器
1. 在“部署配置”页面,由于是创建新林,选择“添加新林”,并在“根域名”处输入你的域名(例如:contoso.local)。点击“下一步”。
- 在“域控制器选项”页面:
- 设置林功能级别和域功能级别(建议选择Windows Server 2016)。
- 为第一台域控制器,必须勾选“域名系统(DNS)服务器”。
- 指定目录服务还原模式(DSRM)密码。
* 点击“下一步”。
3. 在“DNS选项”页面,可能会收到关于DNS委派的警告,因为是新建林,可以直接点击“下一步”。
4. 在“其他选项”页面,NetBIOS域名会自动生成(通常为域名前缀,如CONTOSO),确认无误后点击“下一步”。
5. 在“路径”页面,可以指定AD数据库、日志文件和SYSVOL文件夹的存储位置,通常保持默认即可,点击“下一步”。
6. 在“查看选项”页面,检查所有配置摘要。如果需要,可以点击“查看脚本”生成PowerShell配置脚本。确认无误后,点击“下一步”。
7. 在“先决条件检查”页面,系统会自动检查所有配置是否满足条件。如果所有检查通过(显示为“警告”的项目通常可以忽略),点击“安装”。
- 服务器将开始配置AD域服务,此过程会自动重启服务器。请等待重启完成。
四、安装后验证
1. 服务器重启后,使用域管理员账户(格式如:CONTOSO\Administrator)登录。
2. 打开服务器管理器,可以看到“AD DS”角色已安装并显示管理工具。
3. 点击“开始”菜单,找到“Windows管理工具”,其中应包含“Active Directory 用户和计算机”、“DNS”等管理控制台。
4. 打开“Active Directory 用户和计算机”,展开你的域名,可以查看默认容器(如Computers, Users),这证明AD域服务已成功运行。
五、后续配置(可选但重要)
1. 修改DNS设置:进入网络连接属性,将服务器的首选DNS服务器地址改为127.0.0.1(指向自己),以确保域名的正确解析。
2. 创建组织单元(OU)与用户:根据公司架构,在“Active Directory 用户和计算机”中创建OU(如“总部”、“销售部”),并在相应OU下创建用户账户和计算机账户,以实现更精细的管理。
3. 配置组策略(GPO):使用“组策略管理”控制台创建和管理组策略对象,用于统一管理域内计算机和用户的软件、安全、桌面环境等设置。
至此,一台基于Windows Server 2016的AD域控制器已成功搭建完毕。这台服务器现在可以作为网络中的身份验证和资源管理的核心。在生产环境中,建议至少部署两台域控制器以实现冗余和高可用性。
