2.3 验证域控制器是否成功部署

域控制器部署完成后，需要对域控制器进行验证，确认域控制器是否安装成功。

2.3.1 新增加Active Directory管理组件

域控制器部署成功后，Metro面板中的“应用”窗口显示新增加的用于Active Directory管理的8个组件（如图2-31所示），分别是：

图2-31 新增加Active Directory管理组件

• 用于Windows Powershell的Active Directory模块。

• 组策略管理。

• ADSI编辑器。

• Active Directory域和信任关系。

• Active Directory用户和计算机。

• Active Directory管理中心。

• Active Directory站点和服务。

• DNS。

2.3.2 验证“AD DS域服务”

自Windows Server 2008版本发布之后，AD DS域服务成为一个普通的服务，通过“服务”控制台可以查看其运行状态，也可以同普通服务一样启动、停止、暂停以及重新启动该服务，不需要和Windows Server 2008之前的版本一样，只有在重新启动域控制器并进入到“目录还原模式”后，才能维护活动目录服务。

AD DS域服务部署完成后，默认部署以下2个和AD DS域服务直接相关的服务。

• Active Directory Domain Services（NTDS）服务。

• Active Directory Web Services（ADWS）服务。

这2个服务默认处于“正在运行”状态。打开“服务”控制台，首先验证AD DS域服务的状态是否正常运行，如图2-32所示。

图2-32 “服务”控制台

打开其中任何一个服务（例如Active Directory Domain Services）后，服务“启动类型”为“自动”，通过“启动”“停止”“暂停”“恢复”等按钮控制服务运行，如图2-33所示。

图2-33 NTDS服务属性对话框

2.3.3 验证“默认容器”

域控制器部署完成后，安装成功的域控制器将创建部分默认容器，例如“Domain Controllers”“Computers”“Users”和“ForeignSecurityPrincipals”，如图2-34所示。

图2-34 默认容器之一

打开“查看”→“高级功能”选项，将显示更多容器，如图2-35所示。

图2-35 默认容器之二

2.3.4 验证“Domain Controllers”

默认域控制器管理单元为“Domain Controllers”，其中包含第一个域控制器（DC），它还是新域控制器（额外域控制器、只读域控制器）的默认容器。其他域控制器安装后，将自动归并到该组织中。

打开“Active Directory用户和计算机”，显示域控制器已经加入到该组织单位中，同时该计算机作为全局编录服务器（GC），如图2-36所示。

图2-36 查看“Domain Controllers”容器

打开“DC属性”对话框后，显示当前计算机的详细信息，例如DNS名称、DC类型、站点等，如图2-37所示。

图2-37 查看DC属性

2.3.5 验证“Default-First-Site-Name”

在将服务器提升为域控制器的过程中，安装向导自动确定该域控制器属于哪个站点的成员。如果新建域控制器是新林中的第一个域控制器，将创建名称为“Default-First-Site-Name”的默认站点，域控制器成为该站点的第一个成员。

打开“Active Directory站点和服务”控制台，选择“Sites”→“Default-First-Site-Name”→“Servers”选项，显示域控制器已经加入到默认站点中。如图2-38所示。

图2-38 “Active Directory站点和服务”控制台

2.3.6 验证“Active Directory数据库”和“日志文件”

在将服务器提升为域控制器的过程中，在“路径”对话框中设置Active Directory数据库和日志文件的存储位置，默认位于“%Systemroot%\Ntds”文件夹中，其中：

• Active Directory数据库文件“Ntds.dit”，存储域控制器中所有活动目录对象。扩展名“dit”，全称为“Directory Information Tree”，中文直译为“目录信息树”。

• 事务日志文件“edb.log”。

■ 该文件保存Active Directory操作信息，默认事务日志名为edb.log，每个事务日志文件大小为10MB。

■ 当edb.log写满时，其被重命名为edbxxxx.log，重新建立一个新日志文件，同时旧日志文件被自动删除。其中xxxx是文件编号，从0001开始逐渐递增。

■ Active Directory将事务日志写入到内存的同时，将事务日志写到日志文件edb.log中。如果系统不正常关机，会导致内存尚未写入Active Directory数据库的数据丢失。当开机后系统检查点文件edb.chk，从而得知要从事务日志文件edb.log内的哪个数据开始，利用事务日志文件edb.log内的日志记录，将关机前尚未写入Active Directory数据库的日志继续写入Active Directory数据库。

• 检查点文件“Edb.chk”，跟踪尚未写入活动目录数据库文件的日志。记录Active Directory数据库文件和内存中Active Directory数据之间的差异，一般此文件用于Active Directory的初始化或者还原操作。

• 暂存日志文件为“Edbtmp.log”。该日志是当前日志文件（Edb.log）填满时的暂时日志。

• 保留日志文件“Edbres00001.jrs”和“edbres00002.jrs”。这2个文件是日志保留文件，仅当含有日志文件的磁盘空间不足时使用。如果当前日志文件填满且由于磁盘剩余空间不足而导致服务器不能创建新的日志文件，服务器就将当前内存中的活动目录处理日志写入两个保留日志文件中，然后关闭活动目录。每一个日志文件大小也是10MB。

• 临时文件“Temp.edb”。该文件在数据库维护时使用，在存储维护过程中处理的数据。

打开“文件资源管理器”，查看“%Systemroot%\Ntds”文件夹中是否存在名称为“ntds.dit”“edb.log”“edbres00001.jrs”“edbres00002.jrs”等文件，如图2-39所示。

图2-39 验证活动目录数据库文件

2.3.7 验证“计算机角色”

本项目只有一台域控制器，因此“计算机角色”应该为“PRIMARY”。如果是额外域控制器，“计算机角色”应该为“BACKUP”。

打开“MSDOS命令行”窗口，键入以下命令查看域控制器的计算机角色。

        net accounts

命令执行后，显示当前域控制器的计算机角色为“PRIMARY”，如图2-40所示。

图2-40 查看域控制器的计算机角色

2.3.8 验证系统共享卷“SYSVOL”和“NetLogon”服务

在服务器提升为域控制器的过程中，“路径”对话框设置Active Directory数据库、日志文件以及系统共享卷的存储位置，系统共享卷默认位于“%Systemroot%\SYSVOL”文件夹中。

1．验证活动目录的sysvol文件夹结构

AD DS域服务安装完成后，“%Systemroot%\sysvol”目录下将创建名称为“domain”“staging”“stagin areas”“sysvol”的文件夹。成功创建的文件结构如图2-41所示。

图2-41 系统共享卷文件结构

2．验证系统共享卷“SYSVOL”和“NetLogon”

打开“MSDOS命令行”窗口，键入以下命令查看“SYSVOL”和“NetLogon”是否创建成功。

        net share

命令执行后，显示域控制器中发布的共享，如图2-42所示。

图2-42 查看发布的共享

3．默认域策略和默认域控制器策略

安装过程中，Active Directory将创建两个标准域策略：“默认域”策略和“默认域控制器”策略（位于%Systemroot%\Sysvol\‘Domain'\Policies文件夹中）。这些策略显示为以下全局唯一标识符(GUID)：

        •  {31B2F340-016D-11D2-945F-00C04FB984F9}：表示“默认域”策略
        •  {6AC1786C-016F-11D2-945F-00C04fB984F9}：表示“默认域控制器”策略

通过文件资源管理器打开“%Systemroot%\Sysvol\‘Domain'\Policies”文件夹，查看默认策略是否创建成功，如图2-43所示。注意，案例中域名为“book.local”，因此默认域策略的存储位置为“%Systemroot%\SYSVOL\sysvol\book.local\Policies”。

图2-43 查看默认域策略位置

4．验证目录服务器

打开“MSDOS命令行”窗口，使用“dcdiag”命令查看域控制器的状态。

        dcdiag

命令执行后，显示测试结果。如果正常安装域控制器，将显示测试成功信息，如图2-44所示。

图2-44 验证域控制器

2.3.9 验证“SRV记录”

案例中部署的域控制器同时是“集成区域DNS服务器”，即域控制器同时也是DNS服务器，并且安装DNS管理控制台。案例中域名为book.local。

1．验证SRV记录

以管理员身份登录DNS控制台。

第1步，验证“_msdcs.book.local/dc/_sites/Default-First-Site-Name/_tcp”中是否存在域控制器（DC）的SRV资源记录，如图2-45所示。

图2-45 验证SRV记录之一

第2步，验证“_msdcs.book.local/dc/_tcp”中是否存在域控制器的SRV资源记录，如图2-46所示。

图2-46 验证SRV记录之二

2．查看域控制器的FQDN

打开DNS控制台，选择“_msdcs.book.local”选项，右侧列表中显示域控制器（DC）的别名记录，如图2-47所示。

图2-47 验证域控制器的FQDN之一

打开别名记录属性对话框，查看域控制器的FQDN名称。案例中，域控制器DC的FQDN名称为“1d62b2ab-b4ec-4a7d-a8c3-9354c0e82877._msdcs.book.local”。如图2-48所示。

图2-48 验证域控制器的FQDN之二

3．测试域控制器FQDN名称的连通性

打开“MSDOS命令行”窗口，键入以下命令测试使用域控制器的别名记录能否正常连通域控制器。

        Ping 1d62b2ab-b4ec-4a7d-a8c3-9354c0e82877._msdcs.book.local

命令执行后，显示与域控制器连接结果。成功安装的域控制器将会正常连通，如图2-49所示。

图2-49 别名记录连通性测试

2.3.10 验证FSMO操作主机角色

在服务器提升为域控制器的过程中，域控制器中将创建五种操作主机角色。

打开“MSDOS命令行”窗口，键入以下命令查询是否成功创建五种操作主机角色。

        Netdom query fsmo

命令执行后，显示五种操作主机角色所在的域控制器，如图2-50所示。注意，“Netdom”已经内置，不需要安装其他工具包。

图2-50 查看FSMO主机角色

2.3.11 安装日志

在服务器提升为域控制器过程中的每一个操作，都会记录到日志文件中。日志文件位于“%systemroot%\debug”文件夹中，如图2-51所示。

图2-51 安装日志所在的文件夹

安装域控制器过程日志为“DCPROMO.LOG”，打开LOG文件可以查看详细的安装过程，如图2-52所示。

图2-52 安装日志