Windows Server 2008搭建单域环境

前言

一个典型的单域环境由主机，DC(Domain Controller域控制器)、DNS服务器组成。DNS、DC都可以有多个，以实现负载均衡和容错

域中的计算机通过DNS解析域控制器，然后向域控制器注册自己。

实验环境

DNS可以和DC在一台机器上，于是实验环境如下

192.168.40.10这台机器既是DC，又是DNS。其DNS指向自己(为啥可以指向自己，参考 DNS专题系列)

注意：域中的计算机SID不可以相同。对于使用WMWare Workstation克隆（软硬克隆）虚拟机来说，SID是相同的，如何修改SID参考Windows Server 2008更改SID

DC Controller配置

安装域控制器

重启后，再次登陆就是域账号登陆

登陆系统后变化：本地用户和组没了，计算机名称变成了FQDN

安装完成后检查及修改

检查

开始-管理工具 新增如下几项

上面说到，升级为域以后，本地用户和组没了。原来的用户和组并没有消失，而是放到了 开始-管理工具-Active Directory用户和计算机下面

接下来检查DNS，注意你环境的数目是否与我的相同

修改

重启后，DNS会指向127.0.0.1，虽然也是只想自己但是不正规，修改如下

将Web Srv和 File Srv加入域

网络配置

DC、Web Srv、File Srv网络互通，都可以上外网

Web Srv

File Srv

加入域

服务器管理器-更改系统属性-更改

加入域的时候需要输入账号密码，这个账号密码不是Web Srv自己的，而是DC上的账号密码。加入域好比入党，入党需要入党介绍人，DC里面的用户就可以充当入党介绍人。DC里面的administrator肯定可以当入党介绍人，除了administrator，DC里面的普通用户也可以充当入党介绍人。见上图

加入域后，DC的computers下面可以看到域中的计算机

DNS指向互联网DNS

如果Web Srv的DNS没有指向DC，而是指向了互联网DNS，那么他在加入域的时候会等很久，因为他试图通过互联网DNS解析域。最终找不到域，报错 “不能联系域winsrv.cac.com 的 Active Directory域控制器”

能成功加入域，DNS功不可没。前面说过注意DNS的条目数量，少的话就会导致无法加入域。执行如下命令重启netlogon服务，DC会自动向DNS服务器注册自己。

当然除了在命令行重启netlogon服务，图形界面也可以重启netlogon

如果netlogon重启后还是没有恢复DNS怎么办？

检查DNS区域是否允许更新

无：表示谁都不能更新DNS记录

安全：只有域中的计算机可以更新DNS记录

非安全：谁都能更新DNS记录

通常选安全

检查域控制器是否有完整的域名

其次检查DC的名称

有的时候即使升级为DC，计算机名称还是没变成FQDN那种形式，还是显示原来的名字，eg:WinSrv

检查域控制器的DNS是否指向正确的DNS服务器

本地连接DNS设置中，是否选中 向DNS中注册此链接的地址

加入域带来的好处

统一身份验证

域中的账户，可以在域中的任何一台计算机登陆，访问共享资源的时候不需要输入账号密码。

统一管理

禁止域账户登陆特定计算机

加入域后，域账户可以在域中任意一台计算机的登陆。当然也可以限制域账号只在某台计算机登陆，演示如下

禁止域账户在指定时间登陆

除了禁止域账号登陆某台计算机外，还可以设置域账号在什么时间允许登陆

使用组策略限制域用户更改IE首页

域用户和本地用户登录

登陆域账号需要输入完整FQDN，登陆本地账户直接输入用户名即可。输入提示会告诉你登陆的是域还是本地计算机

默认情况下域管理员没有设置FQDN，可以单独设置。这样域管理员可以在域中其他计算机登陆

域管理员默认是域中所有计算机的管理员，因为域中的计算机默认将域管理员加入了本地计算机管理员组