部署 AD DS 域控制器

  • 9 分钟

域控制器对域中的所有用户和计算机进行身份验证。 因此,确保所有 AD DS 环境(特别是在较大型的分布式环境,例如 Contoso 要转换到的环境)中域控制器的数量和放置达到最优,这一点非常重要。

在本地环境中部署 AD DS 域控制器

域控制器的部署过程有两步。 第一步是安装实现域控制器角色所需的二进制文件。 为此,你可以使用 Windows Admin Center 或服务器管理器。 在初始安装过程结束时,你已安装了 AD DS 文件,但尚未在服务器上配置 AD DS。 第二步是配置 AD DS 角色。 执行此配置最简单的方法是使用 Active Directory 域服务配置向导。 通过在服务器管理器中选择 AD DS 链接启动向导。

在 AD DS 角色配置过程中,你需要提供对下表中的问题的答案:

问题

注释

你是要为现有域安装新林、新树或其他域控制器吗?

对此问题的回答决定你可能需要的其他信息,例如父域名。

AD DS 域的域名系统 (DNS) 名称是什么?

创建域的第一个域控制器时,你必须指定完全限定的域名 (FQDN)。 向现有的域或林添加域控制器时,使用现有域名。

你将选择哪一个林功能级别?

林功能级别决定可用的林功能和支持的域控制器操作系统 (OS)。 选择林功能级别也会设置林中域的最低域功能级别。

你将选择哪一个域功能级别?

域功能级别决定可用的域功能和支持的域控制器操作系统。

域控制器会是 DNS 服务器吗?

你可以在部署域控制器的过程中安装 DNS 角色。

域控制器会托管全局编录吗?

默认情况下选择此选项。

域控制器是只读域控制器 (RODC) 吗?

此选项不可用于林中的第一个域控制器。

目录服务还原模式 (DSRM) 的密码是什么?

从备份还原 AD DS 数据库对象必须用到该密码。

AD DS 域的 NetBIOS 名称是什么?

创建域的第一个域控制器时,你必须指定域的 NetBIOS 名称。

将在什么位置创建数据库、日志文件和 SYSVOL 文件夹?

数据库和日志文件的文件夹默认位于 C:\Windows\NTDS。 SYSVOL 文件夹默认位于 C:\Windows\SYSVOL

A screenshot of the Active Directory Domain Services Configuration Wizard Deployment Configuration page is set to add a domain controller to an existing domain.

在 Windows Server 的服务器核心安装上安装域控制器

运行服务器核心安装的 Windows Server 计算机没有服务器管理器图形用户界面 (GUI)。 所以,必须使用其他方法为域控制器角色安装文件以及安装域控制器角色本身。 你可以使用在具有桌面体验功能的任何受支持的 Windows Server 版本上或在任何受支持的 Windows 客户端(如 windows 10)上安装的 Windows Admin Center、服务器管理器、Windows PowerShell 或远程服务器管理工具 (RSAT)

从媒体安装域控制器

如果站点间的网络连接速度慢、不可靠或成本高,在远程位置或分支机构另添加一台域控制器可能会有帮助。 在这种情况下,要大大减少通过广域网 (WAN) 链接传输的通信量,你可以创建一个 AD DS 备份(例如放到 U 盘中)并将此备份带到远程位置。 在远程位置运行服务器管理器来安装 AD DS 时,你可以选择“从媒体安装”选项。 大多数复制操作是在本地执行的。 在这种情况下,WAN 链接只传输与安全相关的流量,并且 AD DS 在备份之后更改。 WAN 链接还有助于确保在你创建“从媒体安装”备份后,新域控制器收到对中心 AD DS 所做的任何更改。

分支机构注意事项

在无法保证物理安全性的分支机构中部署域控制器时,你可以使用其他措施来降低安全漏洞的影响。 一种选择是部署 RODC。 RODC 包含 AD DS 数据库的一个只读副本,默认不缓存任何用户密码。 但你可以将 RODC 配置为缓存分支机构中的用户的密码。 如果 RODC 遭到入侵,丢失信息的风险比完全读写域控制器低很多。

从以前的版本升级域控制器

对于从 Windows Server 2012 R2 到 Windows Server 2022 的任何 Windows Server 版本而言,升级域控制器的过程均相同。 你可以使用以下两种方法之一升级到 Windows Server 2022 域:

  • 升级运行 Windows Server 2012 R2 或更高版本的现有域控制器上的操作系统。
  • 在已拥有运行较低版 Windows Server 的域控制器的域中,将运行 Windows Server 2022 的服务器添加为域控制器。

建议使用后一种方法,因为你将在完成后得到 Windows Server 2022 OS 和 AD DS 数据库的干净安装。 每当你添加新域控制器时,Windows Server 都自动更新域 DNS 记录,使客户端能够找到并使用此域控制器。

在 Azure 虚拟机 (VM) 中部署 AD DS 域控制器

Azure 提供基础结构即服务 (IaaS),这是一种基于云的虚拟化平台。 在 Azure IaaS 上部署 AD DS 时,你是在 VM 上安装域控制器,所以适用于域控制器虚拟化的所有规则也适用于在 Azure 中部署 AD DS。

在 Azure 中实现 AD DS 时,请注意以下事项:

  • 网络拓扑。 为了满足 AD DS 要求,你必须创建一个 Azure 虚拟网络并将 VM 附加到该网络。 如果打算加入一个现有的本地 AD DS 基础结构,可以将网络连接扩展到本地环境。 可以通过混合连接方法实现此目的,例如虚拟专用网 (VPN) 连接或 Azure ExpressRoute 线路,具体取决于组织需要的速度、可靠性和安全性。
  • 站点拓扑。 与物理站点一样,你应定义和配置与 Azure 虚拟网络的 IP 地址空间相应的 AD DS 站点。
  • IP 寻址。 默认情况下,所有 Azure VM 都接收动态主机配置协议 (DHCP) 地址,但你可以配置会在重启和关闭时持续使用的静态地址。
  • DNS。 Azure 内置 DNS 不符合 AD DS 的要求,例如动态 DNS 和服务 (SRV) 资源记录方面的要求。 要为 Azure 中的 AD DS 环境提供 DNS 功能,可以使用 Azure 中提供的 Windows Server DNS 服务器角色或其他 DNS 解决方案,如 Azure 专用 DNS 区域。
  • 磁盘。 你可以控制 Azure VM 磁盘配置的缓存。 向 Azure VM 安装 AD DS 时,应将 NTDS.DIT 和 SYSVOL 文件放置在它的某个数据磁盘上,并将该磁盘的“主机缓存首选项”设置设为“无”