當您安裝 Active Directory 網域服務 (AD DS) 時,可以選擇下列其中一種部署設定:

  • 將新的網域控制站新增至網域

  • 將新的子網域新增至樹系,或選擇新增至新的網域樹狀目錄

    附註

    只有當您在 Active Directory 網域服務安裝精靈的 [歡迎使用 Active Directory 網域服務安裝精靈] 頁面上選取 [使用進階模式安裝] 核取方塊時,才會出現安裝新網域樹狀目錄的選項。

  • 建立新樹系

下列各節將更詳盡地描述這些部署設定。

將新的網域控制站新增至網域

如果網域中已有一個網域控制站,您可以將其他網域控制站新增至該網域,以改進網路服務的可用性及可靠性。新增其他網域控制站有助於提供容錯、平衡現有網域控制站的負載,以及對站台提供額外的基礎結構支援。

網域中若有多個網域控制站,可讓網域在網域控制站失敗或必須中斷連線時,還能繼續運作。具備多個網域控制站可以讓用戶端在登入網路時,更容易連線到網域控制站,進而改善效能。

準備現有網域

將執行 Windows Server 2008 R2 的網域控制站新增至現有的 Active Directory 網域前,您必須先執行 Adprep.exe 來準備樹系和網域。請確定只執行包含在您 Windows Server 2008 R2 安裝媒體中的 Adprep 版本。此 Adprep 版本會新增執行 Windows Server 2008 R2 的網域控制站所需的架構物件和屬性,而且會修改新物件與現有物件的權限。

視環境需求執行下列 adprep 參數:

  • 在新增執行 Windows Server 2008 R2 的網域控制站之前,請在具備架構操作主機角色 (架構主機) 之樹系中的網域控制站上執行 adprep /forestprep 一次。您必須是網域 (其中包含架構主機) 的 Enterprise Admins 群組、Schema Admins 群組及 Domain Admins 群組的成員,才可以執行這個命令。

  • 此外,請在您計劃要新增執行 Windows Server 2008 R2 之網域控制站的每個網域中,於具備基礎結構操作主機角色 (基礎結構主機) 的網域控制站上執行 adprep /domainprep /gpprep 一次。您必須是 Domain Admins 群組的成員,才可以執行這個命令。

  • 如果您計劃在樹系的任何網域中部署唯讀網域控制站 (RODC),則必須在樹系中再執行 adprep /rodcprep 一次。您可以在樹系中的任何電腦上執行這個命令。您必須是 Enterprise Admins 群組的成員,才可以執行這個命令。如需相關資訊,請參閱<準備用於唯讀網域控制站的樹系>(https://go.microsoft.com/fwlink/?LinkId=93244 (可能為英文網頁))。

從媒體安裝

當您在現有網域中安裝新的網域控制站時,可以選擇從媒體安裝 (IFM),這種方式是從媒體複製網域資料庫,而不是透過網路。只有當您選取 [歡迎使用] 頁面上的 [使用進階模式安裝] 核取方塊時,才能在 Active Directory 網域服務安裝精靈中使用這個選項。建立安裝媒體的建議工具為 ntdsutil ifm 子命令。如需使用 IFM 的相關資訊,請參閱從媒體安裝

將新網域新增至樹系

根據預設值,您建立的新樹系將包含一個網域,稱為樹系根網域。這一個網域可容納數千位使用者,即使只有少量的網路頻寬可用於進行 Active Directory 複寫。因此,單一網域通常可以滿足大多數小型組織及中型組織。將多個網域新增至樹系會大幅提升樹系的管理需求。

不過,較大型的組織可能會決定將子網域新增至樹系,如此可將網域資料只複製到需要的位置。子網域會與其父系網域共用連續的命名空間。例如,sales.contoso.com 是 contoso.com 的子網域,則子網域與其父系網域之間會自動擁有雙向、可轉移的信任。

不與其父系網域共用連續命名空間的新網域則稱為新的網域樹狀目錄。如需建立新網域樹狀目錄的相關資訊,請參閱本主題稍後的建立新網域樹狀目錄

當您將網域新增至樹系時,就是在分割 AD DS,這項作業只允許將資料複寫至需要的位置。如此,單一 Active Directory 樹系即可全域擴展,在頻寬有限的網路上容納數十萬 (甚至數百萬) 的使用者。

建立新網域的需求

當您建立新的子網域時,您必須是父系網域中的 Domain Admins 群組或 Enterprise Admins 群組的成員才能繼續執行。當您建立新的網域樹狀目錄時,您必須是 Enterprise Admins 群組的成員。

Active Directory 網域服務安裝精靈允許 Active Directory 網域名稱最多可達 64 個字元或 155 個位元組。雖然一般在達到 155 個位元組的限制之前,就會達到 64 個字元的限制,但是如果名稱中包含會耗用三個位元組的 Unicode 字元,則反之亦然。這些限制不適用於電腦名稱。

進行安裝時,Dcpromo.exe 會建立網域名稱系統 (DNS) 的區域委派。如果建立 DNS 區域委派失敗,或您選擇不要建立 (不建議這麼做),則您必須手動建立區域委派。如需建立區域委派的相關資訊,請參閱建立或更新 DNS 委派

在您將網域新增至樹系之前,必須針對與您所新增的 Active Directory 網域名稱相符的 DNS 區域建立 DNS 委派。Active Directory 網域服務安裝精靈會驗證 DNS 委派是否存在。如果不存在,精靈會提供選項,讓您在建立新網域期間自動建立 DNS 委派。

建立新網域樹狀目錄

您應該只在需要建立網域,但網域的 DNS 命名空間與樹系中的其他網域不相關時,才建立新的網域樹狀目錄。這表示樹狀目錄根網域 (及其下的任何子網域) 的名稱不必包含父系網域的完整名稱。

例如,treyresearch.net 可以是 contoso.com 樹系中的網域樹狀目錄。新的網域樹狀目錄最常在企業收購或合併多個組織時建立。樹系可以包含一或多個網域樹狀目錄。

在您建立新的網域樹狀目錄之前,如果想要不同的 DNS 命名空間,則可以考慮建立其他樹系。多個樹系可提供系統管理自治能力、隔離架構及設定目錄分割、分隔安全性界限,以及可彈性為每個樹系使用獨立的命名空間設計。

建立新樹系

您必須是要安裝 AD DS 的伺服器上的本機 Administrators 群組成員,才能建立新樹系。

DNS 及 NetBIOS 名稱

在建立新樹系之前,請確定您已經完善規劃您的 DNS 基礎結構。若要建立新樹系,您必須知道該樹系的完整 DNS 名稱。在安裝 AD DS 之前,您可以安裝 DNS 伺服器服務,而更好的做法則是選擇讓 Active Directory 網域服務安裝精靈為您安裝 DNS 伺服器服務。

如果您讓精靈安裝 DNS 伺服器服務,則精靈會使用您提供的 DNS 名稱,自動為樹系中的第一個網域產生 NetBIOS 名稱。精靈在繼續之前,會確認該 DNS 名稱及 NetBIOS 名稱是否為網路上唯一的。您必須選取 [歡迎使用 Active Directory 網域服務安裝精靈] 頁面上的 [使用進階模式安裝] 核取方塊,才能指定與精靈自動產生的名稱不同的 NetBIOS 名稱。

附註

如果自動產生的 NetBIOS 名稱與現有的名稱發生衝突時,也會出現 [網域 NetBIOS 名稱] 精靈頁面。

根據預設值,會在樹系的第一個網域控制站上安裝 DNS 伺服器服務。如果您已經設定 DNS 基礎結構支援新樹系的名稱解析,那麼您可以清除 [其他選項] 精靈頁面上的 [DNS 伺服器] 核取方塊。不過,如果尚無適當的支援 DNS 基礎結構,請接受預設值,讓精靈在樹系的第一個網域控制站上安裝 DNS 伺服器服務。

當您按 [下一步] 繼續進行時,Active Directory 網域服務安裝精靈會檢查您現有的 DNS 基礎結構。如果您清除 [DNS 伺服器] 核取方塊,精靈就會執行診斷測試,以確認是否有適當的支援 DNS 基礎結構。如果診斷測試失敗,您可以再次選擇使用精靈來安裝 DNS 伺服器服務。

功能等級

新樹系的預設樹系功能等級是 Windows 2000,而網域功能等級是 Windows 2000 原生。上述為最低的功能等級,而這些功能等級允許網域控制站執行 Windows Server 2003、Windows(R) 2000 Server、Windows Server 2008 或 Windows Server 2008 R2。

如果您未計劃新增執行這些舊版 Windows Server 的網域控制站,請選取更高的功能等級以啟用進階功能。如果您選取 Windows Server 2008 R2 做為樹系功能等級,則之後要新增至樹系的所有網域都會建立在 Windows Server 2008 R2 網域功能等級。因此,Active Directory 網域服務安裝精靈中不會出現 [設定網域功能等級] 頁面。如果您選取其他樹系功能等級,則可為樹系中的各個網域分別設定網域功能等級。如需功能等級的相關資訊,請參閱設定網域或樹系功能等級

操作主機角色

這個網域的第一個網域控制站會裝載樹系的所有操作主機角色 (也稱為彈性單一主機操作或 FSMO)。

建議您在網域中加入其他網域控制站,以增進 AD DS 的可用性及容錯性。在建立其他網域控制站之後,您可能會想將裝載於第一個網域控制站上的某些操作主機角色轉移到這些其他網域控制站。如果您計劃建立多網域樹系,而且樹系根網域中的網域控制站都不會用來做為通用類別目錄伺服器,那麼您應該至少將樹系根網域中的基礎結構主機角色轉移到網域中另一個非通用類別目錄伺服器的網域控制站。

如需管理操作主機角色的相關資訊,請參閱透過管理操作主機角色以確保成功的 Active Directory 操作


目錄