Windows 2008活動(dòng)目錄的安裝和卸載

 

相對(duì)于Windows Server 2003,， Windows Server 2008活動(dòng)目錄域服務(wù)(AD DS)進(jìn)行很大的改進(jìn),。主要表現(xiàn)在新增了只讀域控制器（RODC）的域控制器類型、更新的活動(dòng)目錄域服務(wù)安裝向?qū)А⒖芍貑⒌幕顒?dòng)目錄域服務(wù),、快照查看以及增強(qiáng)的Ntdsutil命令等,。由于這些改進(jìn)，現(xiàn)在我們可以通過(guò)新的安裝向?qū)Ш?jiǎn)化了部署過(guò)程并節(jié)省了部署時(shí)間,；可以在物理安全無(wú)法得到保證的分支機(jī)構(gòu)部署RODC,；們還可以使用AD DS的可重啟功能來(lái)停止AD DS，因此可以執(zhí)行諸如脫機(jī)的活動(dòng)目錄對(duì)像整理之類的脫機(jī)操作,，減少了在Windows Server 2008下需要重啟至活動(dòng)目錄還原模式的次數(shù),。通過(guò)快照查看我們還可以在線查看儲(chǔ)存在快照中的活動(dòng)目錄數(shù)據(jù)，盡管我們不能使用此特性來(lái)還原已刪除的對(duì)像和容器,，但是我們可以在不重啟域控制器的情況下,，使用它來(lái)比較不同時(shí)間點(diǎn)的快照來(lái)確定用哪份數(shù)據(jù)進(jìn)行恢復(fù)。

一,、活動(dòng)目錄的安裝

為了便于介紹活動(dòng)目錄的安裝過(guò)程,，假設(shè)一臺(tái)計(jì)算機(jī)已成功安裝了Windows 2008，計(jì)算機(jī)名為DC1,網(wǎng)卡地址為192.168.0.1/24,DNS服務(wù)器指示本地網(wǎng)卡地址,。我們要在這臺(tái)計(jì)算機(jī)完成活動(dòng)目錄的布署,，安裝新林，域名為hbycrsj.gov.cn,，域的Netbios名為hbycrsj,并在這臺(tái)計(jì)算機(jī)上安裝DNS服務(wù)器,。

手動(dòng)安裝

1、運(yùn)行DCPROMO,系統(tǒng)會(huì)自動(dòng)檢測(cè)是否安裝活動(dòng)目錄域服務(wù)二進(jìn)制文件,，如果系統(tǒng)沒(méi)有安裝,，將自動(dòng)安裝。出現(xiàn)活動(dòng)目錄安裝向?qū)?，選擇使用高級(jí)模式安裝,。在高級(jí)模式下，會(huì)有更多的安裝選項(xiàng)如域NETBIOS名的更改,、從媒體提升安裝,、安裝RODC指定密碼復(fù)制策略進(jìn)行安裝選擇。

2,、選擇在“新林中建新域”,，由于這是森林中的第一臺(tái)DC，所以我們選擇這個(gè)選項(xiàng),。點(diǎn)擊下一步

3,、在命名林根域窗口，輸入目錄林根級(jí)域的FQDN名：HBYCRSJ.GOV.CN

4,、計(jì)算機(jī)檢測(cè)域的NETBIOS名稱,，并生成一個(gè)默認(rèn)的名稱，不修改接受向?qū)Мa(chǎn)生的名稱。

5,、在設(shè)置林功能級(jí)別,，2008支持三個(gè)林功能級(jí)別:Windows 2000,Windows 2003,Windows 2008.林功能級(jí)別的選擇跟森林中所安裝的服務(wù)器操作系統(tǒng)有關(guān)，同時(shí)不同的林功能級(jí)別所提供的功能也不相同,。同時(shí)要注意當(dāng)選擇一種高級(jí)別的林功能級(jí)別以后,，它不能再降為低級(jí)別的林功能級(jí)別，即林功能級(jí)的提升是單向的,。例如,，我們選擇2008的林功能級(jí)別，它就不能再降為2003或是2000的林功能級(jí)別,。接受2000的功能級(jí)別,，點(diǎn)擊下一步。如果提升其它林功能,，等DC安裝結(jié)束以后，我們?cè)賮?lái)完成提升操作,。

6,、在設(shè)置域功能級(jí)別窗口，接受Windows 2000的純模式的域功能級(jí)別,，點(diǎn)擊下一步,。

7、系統(tǒng)會(huì)檢測(cè)是否有已安裝好的DNS,，由于我們沒(méi)有安裝其它的DNS服務(wù)器,，系統(tǒng)會(huì)在其他域控制器選項(xiàng)中自動(dòng)鉤選DNS服務(wù)器。同時(shí)由于林中的第一臺(tái)域控制器必服務(wù)必須是全局編錄服務(wù)器（GC）且不能是只讀域控制器（RODC）,，所以全局編錄和只讀域控制器（RODC）為不可選擇狀態(tài),。點(diǎn)擊下一步；

8,、出現(xiàn)“無(wú)法創(chuàng)建該DNS服務(wù)器委派…..是否繼續(xù)”提示框,，選擇是繼續(xù)安裝。

9,、設(shè)置活動(dòng)目錄數(shù)據(jù)庫(kù),、日志文件、SYSVOL的位置,。如果在計(jì)算機(jī)上安裝有RAID或幾塊磁盤控制器,，為了獲得更好的性能和可恢復(fù)性，最好將數(shù)據(jù)庫(kù),、日志文件文件夾指向不同的卷（或磁盤）上,。點(diǎn)擊下一步；

10、目錄還原模式（DSRM）的管理員密碼,。注意,，目錄還原模式的管理員密碼保存在本臺(tái)域控制器的本地SAM文件中，而活動(dòng)目錄管理員的密碼存放在活動(dòng)目錄數(shù)據(jù)庫(kù)中,。在2008中目錄還原模式的管理員密碼必須符合復(fù)雜性要求,，即不能少于7個(gè)字符，由數(shù)字,、字母,、符號(hào)組成。

11,、在摘要對(duì)話框會(huì)出現(xiàn)之前所作的選擇,。選擇導(dǎo)出設(shè)置，將這些設(shè)置導(dǎo)出一個(gè)無(wú)人職守自動(dòng)安裝的文件,。點(diǎn)擊下一步開(kāi)始安裝,，最后完成安裝重啟計(jì)算機(jī)。

 

自動(dòng)安裝

自動(dòng)安裝是使用DCPROMO命令的/unattend參數(shù),，例如：dcpromo.exe /unattend:C:\unattend.txt,，unattend.txt為無(wú)人職守安裝有腳本文件。當(dāng)進(jìn)行自動(dòng)安裝時(shí),，命令提示符會(huì)依次顯示安裝過(guò)程,，可以按Ctrl+C終止安裝。

以下一個(gè)建立新林的應(yīng)答文件,。

[DCInstall]

ReplicaOrNewDomain=Domain(當(dāng)值為Replica表示安裝DC為現(xiàn)在域的輔助域控制器,；ReadOnlyReplica表示安裝DC為現(xiàn)在域的只讀域控制器；Domain表示安裝DC為新域的第一臺(tái)域控制器）

NewDomain=Forest（指明要?jiǎng)?chuàng)建的域的類型,。新林,、現(xiàn)有林中的新域樹(shù)或現(xiàn)有域的子域，當(dāng)值為Forest表示創(chuàng)建新林,；Tree表示創(chuàng)建現(xiàn)有林中的新域樹(shù),；Child表示創(chuàng)建現(xiàn)有域的子域）

NewDomainDNSName=HBYCRSJ.GOV.CN（域的FQDN名）

ForestLevel=0（設(shè)置林功能級(jí)別，0為Windows 2000,2為Windows 2003,3為Windows 2008）

DomainNetbiosName=HBYCRSJ（域的Netbios名）

DomainLevel=0（設(shè)置域功能級(jí)別）

InstallDNS=Yes（指定是否為該域安裝域名系統(tǒng)(DNS)）

ConfirmGc=Yes（指定是否讓域控制器成為全局編錄服務(wù)器）

CreateDNSDelegation=No（是否創(chuàng)建DNS委派）

DatabasePath="C:\Windows\NTDS"（設(shè)置活動(dòng)目錄數(shù)據(jù)庫(kù)文件夾的位置）

LogPath="C:\Windows\NTDS"（設(shè)置活動(dòng)目錄日志文件文件夾的位置）

SYSVOLPath="C:\Windows\SYSVOL"（設(shè)置SYSVOL的位置）

SafeModeAdminPassword=a1a2a3a4!（目錄恢復(fù)模式管理員密碼,。為了提高系統(tǒng)的安全性,，當(dāng)從包含密碼的應(yīng)答文件中運(yùn)行Dcpromo時(shí)，它將修改這個(gè)文件并移除密碼）

RebootOnCompletion=Yes(指定無(wú)論是否安裝成功,安裝結(jié)束后是否自動(dòng)重啟計(jì)算機(jī)）

當(dāng)域控制器重啟以后,，可以通過(guò)以下過(guò)程來(lái)確認(rèn)域控制器是否安裝成功：

通過(guò)查看\%systemroot%\debug\dcpromo*.log活動(dòng)目錄安裝日志,；通過(guò)dcdiag /V命令測(cè)試域控制器是否存在錯(cuò)誤；通過(guò)事件查看器查看是否有有關(guān)活動(dòng)目錄服務(wù)日志,；通過(guò)活動(dòng)目錄站點(diǎn)和服務(wù)中是否已出現(xiàn)服務(wù)器對(duì)象,；驗(yàn)證域控制是否出現(xiàn)在正確的站點(diǎn)下,；驗(yàn)證是否向DNS服務(wù)器注冊(cè)了所有SVR記錄；檢查是否存在SYSVOL共享等

 

二,、活動(dòng)目錄的刪除

在刪除活動(dòng)目錄之前,，為了防止操作失敗操作系統(tǒng)故障，須對(duì)系統(tǒng)進(jìn)行備份,。同時(shí),，我們還必須確定待刪除的域控制器是否有操作主控；是否為全局編錄服務(wù)器,；是否能和DNS服務(wù)器通信,；是否能和域中的其它域控制器進(jìn)行通信等，否則都會(huì)造成操作失敗,。

手動(dòng)刪除

1,、運(yùn)行DCPROMO，提示計(jì)算機(jī)已經(jīng)是域控制器,，點(diǎn)擊下一步,。如果這臺(tái)DC也是GC，會(huì)出現(xiàn)信息提示框,。由于GC存儲(chǔ)著活動(dòng)目錄中用戶的信息,，它可能用來(lái)處理用戶的登錄請(qǐng)求,，所以在刪除一臺(tái)GC時(shí),，首先要保證用戶能登錄到其它的GC,。選擇確定

2,、在刪除域?qū)υ捒蛑羞x擇這是否域中的最后一個(gè)域控器,。當(dāng)域中的最后一臺(tái)DC被卸載活動(dòng)目錄域服務(wù)后,，域?qū)⒉淮嬖?。同時(shí)域中的所有用戶和計(jì)算機(jī)賬號(hào)都將刪除,，所有加密密鑰都會(huì)被刪除,，所以在進(jìn)行所操作之前，最好進(jìn)行相應(yīng)的備份操作,，導(dǎo)出密鑰或解密所有加密文件,。由于整個(gè)活動(dòng)目錄中只有一臺(tái)DC，所以鉤選此項(xiàng),，點(diǎn)擊下一步,；

3、出現(xiàn)應(yīng)用程序目錄分區(qū),，點(diǎn)擊下一步,；

4、選擇刪除該活動(dòng)目錄域控制器所有應(yīng)用程序目錄分區(qū),，點(diǎn)擊下一步,；

5,、輸入新的管理員密碼，點(diǎn)擊下一步,；

6,、導(dǎo)出設(shè)置，點(diǎn)擊開(kāi)始操作,，完成操作之后重啟計(jì)算機(jī),；

 

自動(dòng)刪除

運(yùn)行dcpromo.exe /unattend:C:\Runattend.txt

以下是一個(gè)自動(dòng)刪除域森林中最后一個(gè)域控制器的應(yīng)答文件

 [DCInstall]

RetainDcMetadata=No（指定刪除 AD DS 之后在域中是否保留域控制器元數(shù)據(jù)）

AdministratorPassword=（指定降級(jí)域控制器時(shí)的本地管理員帳戶密碼）

 

通過(guò)DCPROMO命令強(qiáng)制刪除

DCPROMO/ForceRemoval完成

 

通過(guò)修改注冊(cè)表鍵表強(qiáng)制刪除

用注冊(cè)表編輯器regedt32.exe或是regedit.exe找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions項(xiàng)

修改其下的ProductType將"LanmanNT"改為"ServerNT",注意大小寫，前者表是這臺(tái)計(jì)算機(jī)是一臺(tái)DC,，后者表示是成員服務(wù)器,。保存結(jié)果并重新啟動(dòng)計(jì)算機(jī)

對(duì)于后兩都方法，為了徹底將降級(jí)的域控制器從活動(dòng)目錄數(shù)據(jù)庫(kù)中刪除,，還必須刪除本地?cái)?shù)據(jù)庫(kù)文件,、日志文件以及SYSVOL文件夾下的文件，同時(shí)還應(yīng)該在其它域控制器上刪除相應(yīng)的記錄,，在DNS服務(wù)器上刪除相應(yīng)的SVR記錄,。

三、說(shuō)明

1,、以上介紹的是在一個(gè)單域,、單域控制器的環(huán)境下對(duì)活動(dòng)目錄進(jìn)行操作?；顒?dòng)目錄的操作還可以對(duì)現(xiàn)有域添加子域,、在當(dāng)前林中增加域樹(shù)、為當(dāng)前域添加輔助域控制器及只讀域控制器的安裝,。

2,、除了上面介紹的兩種活動(dòng)目錄安裝方法以外，我們還可以通過(guò)媒體提升完成活動(dòng)目錄的安裝,。通過(guò)這種方式,，我們可以通過(guò)其它域控制器的活動(dòng)目錄備份來(lái)安裝，這樣可以大幅度減少?gòu)?fù)制所需要的時(shí)間,，降低提升DC所需要的網(wǎng)絡(luò)流量,。（這種方式我將在以后的系列中作專門介紹）