Windows 2008活动目录的安装和卸载
2024-05-13 09:55:23
Windows 2008活动目录的安装和卸载
相对于Windows Server 2003, Windows Server 2008活动目录域服务(AD DS)进行很大的改进。主要表现在新增了只读域控制器(RODC)的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的Ntdsutil命令等。由于这些改进,现在我们可以通过新的安装向导简化了部署过程并节省了部署时间;可以在物理安全无法得到保证的分支机构部署RODC;们还可以使用AD DS的可重启功能来停止AD DS,因此可以执行诸如脱机的活动目录对像整理之类的脱机操作,减少了在Windows Server 2008下需要重启至活动目录还原模式的次数。通过快照查看我们还可以在线查看储存在快照中的活动目录数据,尽管我们不能使用此特性来还原已删除的对像和容器,但是我们可以在不重启域控制器的情况下,使用它来比较不同时间点的快照来确定用哪份数据进行恢复。
一、活动目录的安装
为了便于介绍活动目录的安装过程,假设一台计算机已成功安装了Windows 2008,计算机名为DC1,网卡地址为192.168.0.1/24,DNS服务器指示本地网卡地址。我们要在这台计算机完成活动目录的布署,安装新林,域名为hbycrsj.gov.cn,域的Netbios名为hbycrsj,并在这台计算机上安装DNS服务器。
手动安装
1、运行DCPROMO,系统会自动检测是否安装活动目录域服务二进制文件,如果系统没有安装,将自动安装。出现活动目录安装向导,选择使用高级模式安装。在高级模式下,会有更多的安装选项如域NETBIOS名的更改、从媒体提升安装、安装RODC指定密码复制策略进行安装选择。
2、选择在“新林中建新域”,由于这是森林中的第一台DC,所以我们选择这个选项。点击下一步
3、在命名林根域窗口,输入目录林根级域的FQDN名:HBYCRSJ.GOV.CN
4、计算机检测域的NETBIOS名称,并生成一个默认的名称,不修改接受向导产生的名称。
5、在设置林功能级别,2008支持三个林功能级别:Windows 2000,Windows 2003,Windows 2008.林功能级别的选择跟森林中所安装的服务器操作系统有关,同时不同的林功能级别所提供的功能也不相同。同时要注意当选择一种高级别的林功能级别以后,它不能再降为低级别的林功能级别,即林功能级的提升是单向的。例如,我们选择2008的林功能级别,它就不能再降为2003或是2000的林功能级别。接受2000的功能级别,点击下一步。如果提升其它林功能,等DC安装结束以后,我们再来完成提升操作。
6、在设置域功能级别窗口,接受Windows 2000的纯模式的域功能级别,点击下一步。
7、系统会检测是否有已安装好的DNS,由于我们没有安装其它的DNS服务器,系统会在其他域控制器选项中自动钩选DNS服务器。同时由于林中的第一台域控制器必服务必须是全局编录服务器(GC)且不能是只读域控制器(RODC),所以全局编录和只读域控制器(RODC)为不可选择状态。点击下一步;
8、出现“无法创建该DNS服务器委派…..是否继续”提示框,选择是继续安装。
9、设置活动目录数据库、日志文件、SYSVOL的位置。如果在计算机上安装有RAID或几块磁盘控制器,为了获得更好的性能和可恢复性,最好将数据库、日志文件文件夹指向不同的卷(或磁盘)上。点击下一步;
10、目录还原模式(DSRM)的管理员密码。注意,目录还原模式的管理员密码保存在本台域控制器的本地SAM文件中,而活动目录管理员的密码存放在活动目录数据库中。在2008中目录还原模式的管理员密码必须符合复杂性要求,即不能少于7个字符,由数字、字母、符号组成。
11、在摘要对话框会出现之前所作的选择。选择导出设置,将这些设置导出一个无人职守自动安装的文件。点击下一步开始安装,最后完成安装重启计算机。
自动安装
自动安装是使用DCPROMO命令的/unattend参数,例如:dcpromo.exe /unattend:C:\unattend.txt,unattend.txt为无人职守安装有脚本文件。当进行自动安装时,命令提示符会依次显示安装过程,可以按Ctrl+C终止安装。
以下一个建立新林的应答文件。
[DCInstall]
ReplicaOrNewDomain=Domain(当值为Replica表示安装DC为现在域的辅助域控制器;ReadOnlyReplica表示安装DC为现在域的只读域控制器;Domain表示安装DC为新域的第一台域控制器)
NewDomain=Forest(指明要创建的域的类型。新林、现有林中的新域树或现有域的子域,当值为Forest表示创建新林;Tree表示创建现有林中的新域树;Child表示创建现有域的子域)
NewDomainDNSName=HBYCRSJ.GOV.CN(域的FQDN名)
ForestLevel=0(设置林功能级别,0为Windows 2000,2为Windows 2003,3为Windows 2008)
DomainNetbiosName=HBYCRSJ(域的Netbios名)
DomainLevel=0(设置域功能级别)
InstallDNS=Yes(指定是否为该域安装域名系统(DNS))
ConfirmGc=Yes(指定是否让域控制器成为全局编录服务器)
CreateDNSDelegation=No(是否创建DNS委派)
DatabasePath="C:\Windows\NTDS"(设置活动目录数据库文件夹的位置)
LogPath="C:\Windows\NTDS"(设置活动目录日志文件文件夹的位置)
SYSVOLPath="C:\Windows\SYSVOL"(设置SYSVOL的位置)
SafeModeAdminPassword=a1a2a3a4!(目录恢复模式管理员密码。为了提高系统的安全性,当从包含密码的应答文件中运行Dcpromo时,它将修改这个文件并移除密码)
RebootOnCompletion=Yes(指定无论是否安装成功,安装结束后是否自动重启计算机)
当域控制器重启以后,可以通过以下过程来确认域控制器是否安装成功:
通过查看\%systemroot%\debug\dcpromo*.log活动目录安装日志;通过dcdiag /V命令测试域控制器是否存在错误;通过事件查看器查看是否有有关活动目录服务日志;通过活动目录站点和服务中是否已出现服务器对象;验证域控制是否出现在正确的站点下;验证是否向DNS服务器注册了所有SVR记录;检查是否存在SYSVOL共享等
二、活动目录的删除
在删除活动目录之前,为了防止操作失败操作系统故障,须对系统进行备份。同时,我们还必须确定待删除的域控制器是否有操作主控;是否为全局编录服务器;是否能和DNS服务器通信;是否能和域中的其它域控制器进行通信等,否则都会造成操作失败。
手动删除
1、运行DCPROMO,提示计算机已经是域控制器,点击下一步。如果这台DC也是GC,会出现信息提示框。由于GC存储着活动目录中用户的信息,它可能用来处理用户的登录请求,所以在删除一台GC时,首先要保证用户能登录到其它的GC。选择确定
2、在删除域对话框中选择这是否域中的最后一个域控器。当域中的最后一台DC被卸载活动目录域服务后,域将不存在。同时域中的所有用户和计算机帐号都将删除,所有加密密钥都会被删除,所以在进行所操作之前,最好进行相应的备份操作,导出密钥或解密所有加密文件。由于整个活动目录中只有一台DC,所以钩选此项,点击下一步;
3、出现应用程序目录分区,点击下一步;
4、选择删除该活动目录域控制器所有应用程序目录分区,点击下一步;
5、输入新的管理员密码,点击下一步;
6、导出设置,点击开始操作,完成操作之后重启计算机;
自动删除
运行dcpromo.exe /unattend:C:\Runattend.txt
以下是一个自动删除域森林中最后一个域控制器的应答文件
[DCInstall]
RetainDcMetadata=No(指定删除 AD DS 之后在域中是否保留域控制器元数据)
AdministratorPassword=(指定降级域控制器时的本地管理员帐户密码)
通过DCPROMO命令强制删除
DCPROMO/ForceRemoval完成
通过修改注册表键表强制删除
用注册表编辑器regedt32.exe或是regedit.exe找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions项
修改其下的ProductType将"LanmanNT"改为"ServerNT",注意大小写,前者表是这台计算机是一台DC,后者表示是成员服务器。保存结果并重新启动计算机
对于后两都方法,为了彻底将降级的域控制器从活动目录数据库中删除,还必须删除本地数据库文件、日志文件以及SYSVOL文件夹下的文件,同时还应该在其它域控制器上删除相应的记录,在DNS服务器上删除相应的SVR记录。
三、说明
1、以上介绍的是在一个单域、单域控制器的环境下对活动目录进行操作。活动目录的操作还可以对现有域添加子域、在当前林中增加域树、为当前域添加辅助域控制器及只读域控制器的安装。
2、除了上面介绍的两种活动目录安装方法以外,我们还可以通过媒体提升完成活动目录的安装。通过这种方式,我们可以通过其它域控制器的活动目录备份来安装,这样可以大幅度减少复制所需要的时间,降低提升DC所需要的网络流量。(这种方式我将在以后的系列中作专门介绍)
3、相比以前版本,2008中DCPROMO命令功能更加强大,具体内容请看DCPROMO/?
转载于:https://blog.51cto.com/ycrsjxy/203172
Windows 2008活动目录的安装和卸载相关推荐
- windows 2008 域 删除不活动计算机账号,没法打开windows 2008活动目录用户和计算机控制台...
最近遇到一奇怪问题.客户网络环境中一台windows 2008 dc(客户是单域,多站点架构,windows 2003域功能级别).域管理员登陆这台服务器以后不能打开在本机上的ad用户和计算机管理控制 ...
- Windows Server 2008 活动目录备份的几种方法
实战:活动目录备份 Windows 2008的备份和以前的Windows 2003备份是不一样的.NTbackup工具在Windows 2008上面已经不用了. 当然您还是可以在Windows 200 ...
- Windows Server 2008 R2 活动目录的安装和配置
Windows Server 2008 R2 活动目录的安装和配置 我所用的版本是 <cn_windows_server_2008_r2_hpc_edition_with_service_pac ...
- OCS Inventory NG使用之在windows 2008 R2平台下安装服务器端(二)
声明:鉴于本文篇幅比较长,为了不让广大博友产生阅读疲劳,所以进行了分割,如果要全篇阅读文章,请点击文章底部的链接,对此产生的不便,深表抱歉. 四.第一次失败的分析 <?xml:namespace ...
- 在两个不同域中的WINDOWS 2003活动目录做迁移笔记
在两个不同域中的WINDOWS 2003活动目录做迁移笔记 (by godoha_2008/8/23 [url]http://godoha.blog.51cto.com[/url])看不见图的,详 ...
- 活动目录的安装:深入浅出Active Directory系列(二)
一,安装前的准备<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> ...
- Windows 2000活动目录详解
我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的"活动目录(Active Directory)服务",使得WIN2K系统与Internet上的各项服务和协议更加联系紧 ...
- OCS Inventory NG使用之在windows 2008 R2平台下安装服务器端(三)
声明:鉴于本文篇幅比较长,为了不让广大博友产生阅读疲劳,所以进行了分割,如果要全篇阅读文章,请点击文章底部的链接,对此产生的不便,深表抱歉. (图3.10) <?xml:namespace ...
- 实战:Windows Server 2008 活动目录 传送和争夺操作主控角色
实战:传送和争夺操作主控角色 当创建Windows Server 2008域时,Windows Server 2008将自动配置所有的操作主控角色.不过,给目录林或域内的另一个域控制器重新分配操作主控 ...
最新文章
- JavaWeb学习笔记——DOM4J
- 微信小程序eventChannel页面间事件通信通道
- five months plan
- 【java】随机生成6位的数字
- Oracle swap 100%案例分析
- [it-ebooks]电子书列表v0.1.1
- CCNA题库第一部分
- windows下Git与TortoiseGit的官网下载与安装
- Echart自定义图片绘制热力图实现图片适配
- 如何防止恶意攻击短信验证码接口
- 智能手持终端CPU选型报告
- RHEL 7 安装oracle rac 11.2.0.4执行root.sh报错ohasd failed to start
- 认知决定你的格局和财富差距
- 链游是什么意思 链游和游戏的区别是什么
- 【多目标进化优化】MOPSO 原理与代码实现
- 【论文翻译】ADVIO: An Authentic Dataset for Visual-Inertial Odometry
- 软考高项—第一章信息系统项目管理基础
- ARDUINO使用MLX90614红外温度传感器研究笔记
- 基于VFH描述子的聚类识别与6自由度位姿估计的学习
- 论《金瓶梅》与项目管理中人际关系协调(转)