Active Directory(AD)域服務是Windows Server的核心功能之一,它為網絡中的用戶、計算機和其他資源提供集中式的管理和身份驗證服務。搭建AD服務器是構建企業IT基礎架構的關鍵步驟。以下將以Windows Server 2016為例,圖文并茂地詳細闡述搭建AD域控制器的完整步驟。
一、搭建前準備
1. 硬件與系統要求:確保服務器滿足Windows Server 2016的最低硬件要求(如1.4GHz 64位處理器、512MB內存、32GB磁盤空間)。建議為生產環境配置更高的資源。
2. 網絡配置:為服務器設置一個靜態的IP地址、子網掩碼、默認網關和DNS服務器地址。在初始安裝時,可以暫時指向公共DNS(如8.8.8.8),但安裝AD后,域控制器自身的IP地址應設為首選DNS服務器。
3. 系統安裝:完成Windows Server 2016操作系統的標準安裝,并設置好管理員(Administrator)密碼。安裝完成后,建議通過Windows Update更新系統至最新狀態。
二、安裝Active Directory域服務角色
1. 登錄系統后,打開服務器管理器。在儀表板界面,點擊“添加角色和功能”。
2. 在“開始之前”頁面,直接點擊“下一步”。
3. 在“安裝類型”頁面,選擇“基于角色或基于功能的安裝”,點擊“下一步”。
4. 在“服務器選擇”頁面,從服務器池中選擇當前要安裝角色的服務器,點擊“下一步”。
5. 在“服務器角色”頁面,勾選“Active Directory域服務”。在彈出的對話框中,點擊“添加功能”,然后點擊“下一步”。
6. 在“功能”頁面,無需額外勾選,直接點擊“下一步”。
7. 在“AD DS”介紹頁面,閱讀信息后點擊“下一步”。
8. 在“確認”頁面,確認所選內容,可以選擇“如果需要,自動重新啟動目標服務器”復選框,然后點擊“安裝”。
9. 安裝過程開始。安裝完成后,不要關閉窗口。注意提示信息,安裝角色后需要執行額外的配置。點擊“將此服務器提升為域控制器”。
三、配置并提升為域控制器
1. 在“部署配置”頁面,由于是創建新林,選擇“添加新林”,并在“根域名”處輸入你的域名(例如:contoso.local)。點擊“下一步”。
- 在“域控制器選項”頁面:
- 設置林功能級別和域功能級別(建議選擇Windows Server 2016)。
- 為第一臺域控制器,必須勾選“域名系統(DNS)服務器”。
- 指定目錄服務還原模式(DSRM)密碼。
* 點擊“下一步”。
3. 在“DNS選項”頁面,可能會收到關于DNS委派的警告,因為是新建林,可以直接點擊“下一步”。
4. 在“其他選項”頁面,NetBIOS域名會自動生成(通常為域名前綴,如CONTOSO),確認無誤后點擊“下一步”。
5. 在“路徑”頁面,可以指定AD數據庫、日志文件和SYSVOL文件夾的存儲位置,通常保持默認即可,點擊“下一步”。
6. 在“查看選項”頁面,檢查所有配置摘要。如果需要,可以點擊“查看腳本”生成PowerShell配置腳本。確認無誤后,點擊“下一步”。
7. 在“先決條件檢查”頁面,系統會自動檢查所有配置是否滿足條件。如果所有檢查通過(顯示為“警告”的項目通常可以忽略),點擊“安裝”。
- 服務器將開始配置AD域服務,此過程會自動重啟服務器。請等待重啟完成。
四、安裝后驗證
1. 服務器重啟后,使用域管理員賬戶(格式如:CONTOSO\Administrator)登錄。
2. 打開服務器管理器,可以看到“AD DS”角色已安裝并顯示管理工具。
3. 點擊“開始”菜單,找到“Windows管理工具”,其中應包含“Active Directory 用戶和計算機”、“DNS”等管理控制臺。
4. 打開“Active Directory 用戶和計算機”,展開你的域名,可以查看默認容器(如Computers, Users),這證明AD域服務已成功運行。
五、后續配置(可選但重要)
1. 修改DNS設置:進入網絡連接屬性,將服務器的首選DNS服務器地址改為127.0.0.1(指向自己),以確保域名的正確解析。
2. 創建組織單元(OU)與用戶:根據公司架構,在“Active Directory 用戶和計算機”中創建OU(如“總部”、“銷售部”),并在相應OU下創建用戶賬戶和計算機賬戶,以實現更精細的管理。
3. 配置組策略(GPO):使用“組策略管理”控制臺創建和管理組策略對象,用于統一管理域內計算機和用戶的軟件、安全、桌面環境等設置。
至此,一臺基于Windows Server 2016的AD域控制器已成功搭建完畢。這臺服務器現在可以作為網絡中的身份驗證和資源管理的核心。在生產環境中,建議至少部署兩臺域控制器以實現冗余和高可用性。
