安装 Active Directory 域服务 (AD DS) 时,可以选择以下可能的部署配置之一:
-
向域中添加新的域控制器
-
向林中添加新的子域,或作为一个选项添加新的域树
注意 只有在选中位于 Active Directory 域服务安装向导的“欢迎使用 Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时,用于安装新域树的选项才会出现。
-
创建新的林
下列各部分将详细介绍上述的每个部署配置。
向域中添加新的域控制器
如果域中已有一个域控制器,则可以向该域添加其他域控制器,以提高网络服务的可用性和可靠性。通过添加其他域控制器,有助于提供容错,平衡现有域控制器的负载,以及向站点提供其他基础结构支持。
当域中有多个域控制器时,如果某个域控制器出现故障或必须断开连接,该域可继续正常工作。此外,多个域控制器使客户端在登录网络时可以更方便地连接到域控制器,从而还可以提高性能。
准备现有域
向现有的 Active Directory 域添加运行 Windows Server 2008 R2 的域控制器之前,必须通过运行 Adprep.exe 来准备林和域。请务必运行 Windows Server 2008 R2 安装介质随附的 Adprep 版本。此版本的 Adprep 可以添加运行 Windows Server 2008 R2 的域控制器所需的架构对象和属性,并且可以修改对新对象和现有对象的权限。
根据需要为环境运行以下 adprep 参数:
-
添加运行 Windows Server 2008 R2 的域控制器之前,请在承载架构操作主机角色(架构主机)的林中的域控制器上运行一次 adprep /forestprep。若要运行此命令,您必须是包括架构主机的域的 Enterprise Admins 组、Schema Admins 组和 Domain Admins 组的成员。
-
此外,请在每个计划将运行 Windows Server 2008 R2 的域控制器添加到其中的域中,在承载基础结构操作主机角色(基础结构主机)的域控制器上运行一次 adprep /domainprep /gpprep。若要运行此命令,您必须为 Domain Admins 组的成员。
-
如果计划在林中的任何域中部署只读域控制器 (RODC),还必须在林中运行一次 adprep /rodcprep。您可以在林中的任何计算机上运行此命令。若要运行此命令,您必须为 Enterprise Admins 组的成员。有关详细信息,请参阅“为只读域控制器准备林”(
https://go.microsoft.com/fwlink/?LinkId=93244(可能为英文网页) )。
从介质安装
在现有域中安装新的域控制器时,可以选择从介质安装 (IFM),从而从介质而不是通过网络复制域数据库。只有在选中“欢迎”页上的“使用高级模式安装”复选框时,才可以在 Active Directory 域服务安装向导中使用此选项。建议使用 ntdsutil ifm 子命令创建安装介质。有关使用 IFM 的详细信息,请参阅从介质安装。
向林中添加新的域
默认情况下,创建的新林将包含一个域,该域称为林根域。即使只有少量的网络带宽可用于 Active Directory 复制,此单个域也可以容纳数千个用户。因此,对于大多数小型组织和中等规模的组织而言,单个域通常就足够了。向林中添加更多域后,会大大提高对林的管理要求。
但是,大型组织可以决定向林中添加子域,以便只在需要时复制域数据。子域可以与其父域共享连续的命名空间。例如,sales.contoso.com 是 contoso.com 的子域。子域将自动拥有与其父域的双向可传递信任。
不与其父域共享连续命名空间的新域称为新域树。有关创建新域树的详细信息,请参阅本主题后面的创建新的域树。
向林中添加域时,将对 AD DS 进行分区,从而可以仅在需要时复制数据。这样一来,单个 Active Directory 林即可全局缩放,以在具有有限带宽的网络上容纳几十万(甚至数百万)用户。
创建新域的要求
创建新子域时,您必须为父域的 Domain Admins 组或 Enterprise Admins 组的成员才能继续操作。创建新的域树时,您必须为 Enterprise Admins 组的成员。
Active Directory 域服务安装向导允许 Active Directory 域名最多为 64 个字符或最多为 155 个字节。虽然到达 155 个字节的限制之前通常已到达 64 个字符的限制,但是如果名称包含占用三个字节的 Unicode 字符,则可能是相反的情况。这些限制不适用于计算机名称。
安装期间,域名系统 (DNS) 区域委派是由 Dcpromo.exe 创建的。如果 DNS 区域委派创建失败或您选择不创建区域委派(不建议这样做),则必须手动创建区域委派。有关创建区域委派的详细信息,请参阅创建或更新 DNS 委派。
向林中添加域之前,必须为与正在添加的 Active Directory 域的名称匹配的 DNS 区域创建 DNS 委派。Active Directory 域服务安装向导将验证 DNS 委派是否存在。如果委派不存在,则该向导将提供一个在创建新域期间自动创建 DNS 委派的选项。
创建新的域树
只有在需要创建其 DNS 命名空间与林中的其他域无关的域时,才应该创建新的域树。这意味着树根域(及位于其下方的任何子域)的名称可以不必包含父域的完整名称。
例如,treyresearch.net 可以为 contoso.com 林中的域树。新的域树通常作为多个组织的企业兼并或合并的一部分而创建。一个林中可以包含一个或多个域树。
创建新的域树之前,如果需要不同的 DNS 命名空间,请考虑创建另一个林。多个林可以提供管理自治、架构和配置目录分区隔离、单独的安全边界,以及对每个林使用独立命名空间设计的灵活性。
创建新的林
若要创建新的林,您必须是正在其上安装 AD DS 的服务器上的本地管理员组的成员。
DNS 和 NetBIOS 名称
创建新的林之前,请确保已完整地计划了 DNS 基础结构。若要创建新的林,您必须了解该林的完整 DNS 名称。可以在安装 AD DS 之前先安装 DNS 服务器服务,或者(首选)可以选择让 Active Directory 域服务安装向导为您安装 DNS 服务器服务。
如果让该向导来安装 DNS 服务器服务,则该向导将使用您提供的 DNS 名称为林中的第一个域自动生成 NetBIOS 名称。继续操作之前,该向导会验证 DNS 名称和 NetBIOS 名称在网络中的唯一性。必须选中“欢迎使用 Active Directory 域服务安装向导”页中的“使用高级模式安装”复选框,以指定该向导自动生成的名称以外的不同 NetBIOS 名称。
| 注意 |
|
如果自动生成的 NetBIOS 名称与现有名称冲突,则还会出现“域 NetBIOS 名称”向导页。 |
默认情况下,DNS 服务器服务将安装在林中的第一个域控制器上。如果已对 DNS 基础结构进行了设置从而支持新林的名称解析,则可以清除“其他选项”向导页上的“DNS 服务器”复选框。但是,如果您尚未设置支持的 DNS 基础结构,请接受默认设置,让向导在林中的第一个域控制器上安装 DNS 服务器服务。
单击“下一步”继续操作时,Active Directory 域服务安装向导将检查您现有的 DNS 基础结构。如果已清除了“DNS 服务器”复选框,则该向导将执行诊断测试,以验证是否已设置了支持的 DNS 基础结构。如果诊断测试失败,则可以再次选择使用向导安装 DNS 服务器服务。
功能级别
对于新的林,默认的林功能级别为 Windows 2000,域功能级别为 Windows 2000(本地)。这些是最低的功能级别,它们允许域控制器运行 Windows Server 2003、Windows(R) 2000 Server、Windows Server 2008 或 Windows Server 2008 R2。
如果未计划添加运行这些早期版本 Windows Server 的域控制器,请选择更高的功能级别启用高级功能。如果选择 Windows Server 2008 R2 作为林功能级别,则随后添加到林中的所有域都将以 Windows Server 2008 R2 域功能级别创建。因此,“设置域功能级别”页不会在 Active Directory 域服务安装向导中出现。如果您选择不同的林功能级别,则可以为林中的每个域分别设置域功能级别。有关功能级别的详细信息,请参阅设置域或林功能级别。
操作主机角色
此域的第一个域控制器承载林的所有操作主机角色(也称为灵活单主机操作或 FSMO)。
建议使用域中的其他域控制器来提高 AD DS 的可用性和容错能力。创建其他域控制器后,您可能需要将第一个域控制器上承载的某些操作主机角色转移到这些其他的域控制器。如果计划创建多域林或林根域中的任何域控制器都不是全局编录服务器,则应至少将林根域中的基础结构主机角色转移到域中不是全局编录服务器的另一个域控制器。
有关管理操作主机角色的详细信息,请参阅通过管理操作主机角色确保成功操作 Active Directory。