概述

今天主要分享怎么在Windows Server 2016服务器上去搭建AD服务器，先介绍下相关概念。

相关概念

1、AD 域服务

什么是目录(directory)呢？

日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory(电话目录)；计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据，它就是 file directory(文件目录)。

如果这些目录内的数据能够由系统加以整理，用户就能够容易且迅速地查找到所需的数据，而 directory service(目录服务)提供的服务，就是要达到此目的。在现实生活中，查号台也是一种目录；在 Internet 上，百度和谷歌提供的搜索功能也是一种目录服务。

Active Directory 域内的 directory database(目录数据库)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象，而提供目录服务的组件就是 Active Directory (活动目录)域服务(Active Directory Domain Service，AD DS)，它负责目录数据库的存储、添加、删除、修改与查询等操作。一般适用于一个局域网内。

在 AD 域服务(AD DS)内，AD 就是一个命名空间(Namespace)。利用 AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP 网络环境内利用 Domain Name System(DNS)来解析主机名与 IP 地址的对应关系，也就是利用 DNS 来解析来得到主机的 IP 地址。除此之外，AD 域服务也与 DNS 紧密结合在一起，它的域命名空间也是采用 DNS 架构，因此域名采用 DNS 格式来命名，例如可以将 AD 域的域名命名为 moonxy.com。

2、AD域对象与属性

AD 域内的资源以对象(Object)的形式存在，例如用户、计算机与打印机等都是对象，而对象则通过属性(Attriburte)来描述其特征，也就是说对象本身是一些属性的集合。例如，创建一个账户张三，则必须添加一个对象类型(object class)为用户的对象(也就是用户账户)，然后在这个用户账户内输入张三的姓名、登录账户、电话号码和电子邮件等信息，这其中的用户账户就是对象，而姓名、登录账户等数据就是该对象的属性，张三就是对象类型为用户(user)的对象。

3、AD 域控制器 DC

AD 域服务(AD DS)的目录数据存储在域控制器(Domain Controller，DC)内。一个域内可以有多台域控制器，每台域控制器的地位几乎是平等的，它们各自存储着一份几乎完全相同的 Active Directory。当在任何一台域控制器内添加了一个用户账户后，此账户默认被创建在此域控制器的 Active Directory，之后会自动被复制(replicate)到其他域控制器的 Active Directory，以便让所有域控制器内的 Active Directory 数据都能够同步(synchronize)。

当用户在域内某台计算机登录时，会由其中一台域控制器根据其 Active Directory 内的账户数据，来审核用户输入的账户与密码是否正确。如果是正确的，用户就可以登录成功；反之，会被拒绝登录。域控制器是由服务器级别的额计算机来扮演的，例如 Windows Server 2012 和 Windows Server 2008 R2 等。

通常，域控制器的 Active Directory 数据库是可以被读写的，除此之外，还有 Active Directory 数据库是只可以读取、不可以被修改的只读域控制器(Read-Only Domain Controller，RODC)。例如，某子公司位于远程网络，如果安全措施并不像总公司一样完备，则可以使用 RODC。

4、LDAP

LDAP(Lightweight Directory Access Protocol)，轻量目录访问协议，是一种用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置，以便用它来访问 AD 内的对象。

LDAP 数据的组织方式：

安装部署

1、角色安装

1)打开服务器管理器，添加角色和功能

2) 点 下一步

3)选 基于教授和基于功能的安装，点 下一步

4)选从服务器池中选择服务器，点 下一步

5-1)点 Active Directory 域服务

5-2)点添加功能

5-3)点下一步

6)点下一步

7)打勾，点是，点安装

8)安装成功，点 关闭

2、AD域控制器部署向导

1)打开服务器管理器，点右上角点小旗子，点将此服务器提升为域控制器

2)因为是第一个AD控制器，点添加新林，根域名处填域名sunliming.cn，点下一步

#将域控制器添加到现有域：在现有的域控制器中添加新的域控制器

#将新域添加到现有林：在现有的林中新建域，与林中现有的域不同

3)填入目录服务还原密码，点 下一步；

域控制器选项：

林功能级别(包含Windows Server 2008到Windows Server 2016级别都有)：Windows Server 2016

域功能级别(只包含Windows Server 2016域功能)：Windows Server 2016

指定域控制器功能：默认

键入目录服务还原模式(DSRM)密码(需设置复杂密码)：****

4)点 下一步

5)点下一步

NETBIOS域名：计算机名称用来标识计算机在网络中的身份，就像人的名字。

当启动计算机时，系统会在网络上注册唯一的NetBIOS名称，也就是从网络中看到的计算机名。

6)点 下一步

AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘

7)点下一步

8)点 安装，完毕后系统自动重启

9)重启后进入系统。此时AD部署成功，点 工具- Active Directory用户和计算机，查看部署的的域

10)AD域部署完成

到这里关于AD域的部署教程就结束了，大家也可以在自己虚拟机测试一下，也就半个小时的时间。后面会分享更多devops和DBA方面的内容，感兴趣的朋友可以关注一下~