部署域控制器

Windows Server 2019操作系统安装完成后，需要完成如下几个任务。

1. 重命名计算机

2. 更改网络参数

3. 关闭防火墙

4. 开启远程桌面

5. 安装AD DS域服务。安装过程分为两个阶段：安装角色和提升域服务。

1、重命名计算机

以管理员身份登录服务器，打开服务器管理器，选择本地服务器，点击计算机名，打开系统属性页面，在系统属性页面，点击更改即可。

根据之前规划名称，修改即可。

修改之后重启以应用变更。

2、更改网络参数

参照规划，配置如下

3、关闭防火墙

4、开启远程桌面

5、部署域控制器

打开服务器管理器仪表盘，点击添加角色和功能

打开添加角色和功能向导，在开始之前页面，直接下一步

在安装类型页面，选择基于角色或基于功能的安装

在服务器选择页面，选择服务器MCDC01

在服务器角色页面选择Active Directory域服务，并添加相应的功能

在功能页面，选择默认下一步

在AD DS页面，有相应的描述，默认下一步

在确认页面，点击安装

完成安装

在此单击“将此服务器提升为域控制器”，启动“Active Directory域服务配置向导，打开”部署配置“对话框。安装向导提供三种Active Directory安装模式

• 将控制器添加到现有域。完成的功能：部署多台域控制器。

• 将新域添加到现有林。完成的功能：在现有林中添加新域，创建另一颗全新的域树。

• 添加新林。完成的功能：创建新林、新域。

在本次测试中，我们选择部署一个新林，在“选择部署操作”选项中选择“添加新林”选项，根域名设置为MC.com

选择新林和根域的功能级别，并制定域控制器功能，键入目录服务器还原模式密码

在DNS选项页面，选择默认下一步

在其他选项页面，选择设置NetBIOS域名并点击下一步

配置AD DS数据库、日志文件和SYSVOL位置

在查看选项页面，点击默认

在先决条件检查页面，保持默认并点击安装。

等待安装

完成安装后，服务器将自动重启。

验证域控制器是否安装成功;当部署完域控制器之后，在开始菜单下的windows管理工具会添加Active Directory管理中心、Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务、ADSI编辑器、DNS。

验证AD DS域服务；AD DS域服务部署完成后，默认部署以下2个和AD DS有关的服务

• Active Directory Domain Service（NTDS）服务

• Active Directory Web Services（ADWS）服务

两个服务都是默认开机自启动的。

相关属性如下

验证“默认容器”

域控制器部署完成后，安装成功的域控制器将创建部分默认容器，通过点击查看---高级选项，具体展示如下

验证Domain Controllers

默认域控制器管理单元为“Domain Controllers”,其中包含第一个域控制器（DC），还是新域控制器（额外控制器、只读控制器）的默认容器。其中域控制器安装完毕后将自动归并到该组织中。

验证“Default-first-Site-Name”

在将服务器提升为域控制器的过程中，安装向导自动确定该域控制器属于哪个站点的成员。如果新建域控制器是新林中的第一个域控制器，将创建名称为“Default-First-Site-Name”的默认站点，域控制器为域中第一个成员。打开“Active Directory站点和服务”控制台，选择“Site”---“Default-First-Site-Name”---“server”选项，显示域控制器已加入到默认的站点中。

验证“Active Directory”数据库和“日志文件”

在将服务器提升为域控制器的过程中，在“路径”对话框中设置Active Directory数据库和日志文件的存储位置，默认位于“”%Systemroot%\NTDS文件夹中，其中：

• Active Directory数据库“Ntds.dit”，存储域控制器中所有活动目录对象。拓展名“dit”,全称为“Directory Information Tree”，中文直译为“目录信息树”。

• 事件日志文件“edb.log”;该文件保存Active Directory操作信息，默认事务日志名为“edb.log",每个事务日志文件大小为10MB,当edb.log写满时，其被重命名为edbxxxx.log,重新建立一个新日志文件，同时旧日志文件自动被删除。其中xxxx是文件编号，从0001开始逐渐递增；Active Directory将事务日志写入到内存的同时，将事务日志写入到日志文件edb.log中，如果系统不正常关机会导致内存尚未写入Active Directory数据库的数据丢失。当开机后系统检查点文件edb.chk,从而得知从事务日志文件edb.log内的那个数据开始，利用事务日志文件edb.log内的日志记录，将关机前尚未写入Active Directory数据库的日志绩效写入到Active Directory数据库。

• 检查点文件“edb.chk”,跟踪尚未写入活动目录数据文件的日志。记录Active Directory数据库文件和内存中Active Directory数据之间的差异，一般此文件用于Active Directory的初始化和还原操作。

• 暂存日志文件为“edbtmp.log”，该日志是当前日志文件（edb.log）填满时的暂时日志

• 保留日志文件“Edbres0001.jrs”和“edbres0002.jrs”。这两个文件是日志保留文件，仅当含有日志文件的磁盘空间不足时使用。如果当前日志文件填满且处于磁盘剩余空间不足而导致服务器不能创建新的日志文件，服务器就将当前内存中的活动目录处理日志写入两个保留日志文件中，然后关闭活动目录。每一个日志文件大小也是10MB。

• 临时文件“Temp.edb”。该文件在数据库维护时使用，在存储维护过程中处理的数据。

在资源管理器，导航到c:\Windows\NTDS\查看如下：

验证计算机角色，命令行执行net accounts,验证如下：

验证系统共享卷“SYSVOL”和“NetLogon”服务

域服务安装完毕后，系统共享卷默认位于“%Systemroot%\SYSVOL文件夹中。文件目录结构如下

验证共享卷，在命令行执行net share,共享卷已经创建成功。如下：

验证目录服务器，在命令行运行dcdiag，命令结果如下：

验证“SRV记录”以管理员身份登录DNS控制台，在_msdcs.mc.com/dc/_sites/Default-first-Site-name/tcp将存在如下两个SRV记录

在_msdcs.mc.com/dc/tcp也将存在如下记录

查看域控制器的FQDN，在DNS控制台选择_msdcs.mc.com选项，右侧列表中显示域控制器的别名记录，如下

测试域控制器FQDN名称连通性，执行ping 查看是否正常

验证FSMO操作主机角色，在命令行窗口，键入如下netdom query fsmo命令查询是否成功创建五种操作主机角色

命令执行后，显示五种操作主机角色所在的域控制器。至此，完成域控制器的完整操作。更多内容敬请期待。