1.3 实践项目实施
1.3.1 任务1创建第一个域(目录林根级域)
由于域控制器所使用的活动目录和DNS有着非常密切的关系,因此网络中要求有DNS服务器存在,并且DNS服务器要支持动态更新。如果没有DNS服务器存在,可以在创建域时一起把DNS安装上。这里假设图1-3中的DC1服务器未安装DNS,并且是该域林中的第1台域控制器。
创建第一个域
1.安装Active Directory域服务
活动目录在整个网络中的重要性不言而喻。经过Windows Server 2003和Windows Server 2008的不断完善,Windows Server 2012中的活动目录服务功能更加强大,管理更加方便。在Windows Server 2012系统中安装活动目录时,需要先安装Active Directory域服务,然后“将此服务器提升为域控制器”安装向导完成活动目录的安装。
Active Directory域服务的主要作用是存储目录数据并管理域之间的通信,包括用户登录处理、身份验证和目录搜索等。
STEP 1 请先在图1-3中左上角的服务器dc1.long.com上安装Windows Server 2012 R2,将其计算机名称设置为dc1,IPv4地址等按图1-3所示进行配置(图中采用TCP/IPv4)。注意将计算机名称设置为dc1即可,等升级为域控制器后,它会自动被改为dc1.long.com。
STEP 2 以管理员用户身份登录到dc1上,依次打开【开始】→【管理工具】→【服务器管理器】→【仪表板】。单击【添加角色和功能】按钮,打开图1-4所示的“添加角色和功能向导”界面。
图1-4 “添加角色和功能向导”界面
提示:请读者注意图1-4所示的【启动“删除角色和功能”向导】按钮。如果安装完AD服务后,需要删除该服务角色,请在此单击【启动“删除角色和功能”向导】按钮,完成Active Directory域服务的删除。
STEP 3 直到显示图1-5所示的“选择服务器角色”对话框时,勾选【Active Directory域服务】复选框,单击【添加功能】按钮。
STEP 4 持续单击【下一步】按钮,直到显示图1-6所示的“确认安装所选内容”窗口。
STEP 5 单击【安装】按钮即可开始安装。安装完成后会显示图1-7所示的“安装结果”对话框,提示“Active Directory域服务”已经成功安装,请单击【将此服务器提升为域控制器】按钮。
图1-5 选择服务器角色
图1-6 “确认安装所选内容”窗口
图1-7 Active Directory域服务安装成功
提示:如果在图1-7所示的窗口中直接单击【关闭】按钮,则之后要将其提升为域控制器,请单击图1-8所示的服务器管理器右上方的旗帜符号,再单击【将此服务器提升为域控制器】按钮。
图1-8 将此服务器提升为域服务器
2.安装活动目录
STEP 1 在图1-7或图1-8所示的窗口中单击【将此服务器提升为域控制器】按钮,会弹出图1-9所示的“部署配置”对话框,选择【添加新林】单选按钮,设置林根域名(本例为long.com),创建一台全新的域控制器。如果网络中已经存在其他域控制器或林,则可以选择【现有林】单选按钮在现有林中安装。
部署配置的3个选项的具体含义如下。
①“将域控制器添加到现有域”:可以向现有域添加第2台或更多域控制器。
②“将新域添加到现有林”:在现有林中创建现有域的子域。
③“添加新林”:新建全新的域。
图1-9 部署配置
提示:网络既可以配置一台域控制器,也可以配置多台域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,并会自动备份用户账户和活动目录数据;即使部分域控制器瘫痪,网络访问仍然不受影响,从而提高了网络安全性和稳定性。
STEP 2 单击【下一步】按钮,显示图1-10所示的“域控制器选项”对话框。
①设置林功能和域功能级别。不同的林功能级别可以向下兼容不同平台的Active Directory服务功能。选择“Windows 2008”则可以提供Windows 2008平台以上的所有Active Directory功能;选择“Windows Server 2012”则可提供Windows Server 2012平台以上的所有Active Directory功能。用户可以根据自己实际的网络环境选择合适的功能级别。设置不同的域功能级别主要是为兼容不同平台下的网络用户和子域控制器,在此只能设置“Windows Server 2012 R2”版本的域控制器。
②设置目录还原模式密码。由于有时需要备份和还原活动目录,且还原时(启动系统时按<F8>键)必须进入“目录服务还原模式”下,所以此处要求输入“目录服务还原模式”时使用的密码。由于该密码和管理员密码可能不同,所以一定要牢记该密码。
③指定域控制器功能。默认在此服务器上直接安装DNS服务器。如果这样做,该向导将自动创建DNS区域委派。无论DNS服务器服务是否与AD DS集成,都必须将其安装在部署的AD DS目录林根级域的第一个域控制器上。
④第一台域控制器需要扮演全局编录服务器的角色。
⑤第一台域控制器不可以是只读域控制器(RODC)。
图1-10 设置林功能和域功能级别
提示:安装后若要设置“林功能级别”,可登录域控制器,打开“Active Directory域和信任关系”窗口,单击【Active Directory域和信任关系】,在弹出的快捷菜单中单击【提升林功能级别】,选择相应的林功能级别即可。
STEP 3 单击【下一步】按钮,显示图1-11所示的“DNS选项”的警告对话框,目前不会有影响,因此不必理会它,直接单击【下一步】按钮。
STEP 4 在图1-12所示窗口中会自动为此域设置一个NetBIOS名称,你也可以更改些名称。如果此名称已被占用,安装程序会自动指定一个建议名称。完成后单击【下一步】按钮。
图1-11 “DNS选项”对话框
图1-12 “其他选项”对话框
STEP 5 显示图1-13所示的“路径”对话框,可以单击【浏览】按钮更改为其他路径。其中,数据库文件夹用来存储互动目录数据库;日志文件文件夹用来存储活动目录数据库的变更日志,以便于日常管理和维护。需要注意的是,SYSVOL文件夹必须保存在NTFS格式的分区中。
STEP 6 出现“查看选项”对话框,单击【下一步】按钮。
STEP 7 在图1-14所示的“先决条件检查”对话框中,如果顺利通过检查,就直接单击【安装】按钮,否则要按提示先排除问题。安装完成后会自动重新启动计算机。
图1-13 数据库、日志文件和SYSVOL的位置
图1-14 “先决条件检查”对话框
STEP 8 重新启动计算机,升级为Active Directory域控制器之后,必须使用域用户账户登录,格式为“域名\用户账户”,如图1-15(a)所示。按左侧箭头可以更换登录用户,比如选择其他用户,如图1-15(b)所示。
图 1-15
·用户名SamAccountName登录:用户也可以利用此名称(contoso\wang)来登录。其中wang是NetBIOS名。同一个域中此登录名必须是唯一的。Windows NTWindows 98等旧版系统不支持UPN,因此在这些计算机上登录时,只能使用此登录名。图1-15(a)所示即为此种登录。
·用户UPN登录:用户可以利用这个域电子邮箱格式相同的名称(administrator@long.com)来登录域,此名称被称为User Principal Name(UPN)。此名在林中是唯一的。图1-15(b)所示即为此种登录。
3.验证Active Directory域服务的安装
活动目录安装完成后,在dc1上可以从各方面进行验证。
(1)查看计算机名
选择【开始】→【控制面板】→【系统和安全】→【系统】→【高级系统设置】→【计算机】选项卡,可以看到计算机已经由工作组成员变成了域成员,而且是域控制器。
(2)查看管理工具
活动目录安装完成后,会添加一系列的活动目录管理工具,包括“Active Directory用户和计算机”“Active Directory站点和服务”“Active Directory域和信任关系”等。单击【开始】→【管理工具】,可以在“管理工具”中找到这些管理工具的快捷方式。
(3)查看活动目录对象
打开“Active Directory用户和计算机”管理工具,可以看到企业的域名long.com。单击该域,窗口右侧的详细信息窗格中会显示域中的各个容器。其中包括一些内置容器,主要有以下几种。
·built-in:存放活动目录域中的内置组账户。
·computers:存放活动目录域中的计算机账户。
·users:存放活动目录域中的一部分用户和组账户。
·Domain Controllers:存放域控制器的计算机账户。
(4)查看Active Directory数据库
Active Directory数据库文件保存在%SystemRoot%\Ntds(本例为C:\windows\ntds)文件夹中,主要的文件如下。
·Ntds.dit:数据库文件。
·Edb.chk:检查点文件。
·Temp.edb:临时文件。
(5)查看DNS记录
为了让活动目录正常工作,需要DNS服务器的支持。活动目录安装完成后,重新启动dc1时会向指定的DNS服务器上注册SRV记录。
依次打开【开始】→【管理工具】→【DNS】,或者在服务器管理器窗口中单击右上方的【工具】菜单,选择【DNS】,打开“DNS管理器”。一个注册了SRV记录的DNS服务器如图1-16所示。
如果因为域成员本身的设置有误或者网络问题,造成它们无法将数据注册到DNS服务,则可以在问题解决后,重新启动这些计算机或利用以下方法来手动注册。
·如果某域成员计算机的主机名与IP地址没有正确注册到DNS服务器,可到此计算机上运行ipconfig/registerdns来手动注册完成后,到DNS服务器检查是否已有正确记录,例如域成员主机名为dc1.long.com,IP地址为192.168.10.1,则请检查域long.com内是否有dc1的主机记录、其IP地址是否为192.168.10.1。
图1-16 注册SRV记录
·如果发现域控制器并没有将其扮演的角色注册到DNS服务器内,也就是并没有类似图1-16所示的_tcp等文件夹与相关记录,请到此台域控制器上利用【开始】→【系统管理工具】→【服务】,打开图1-17所示的“服务”窗口,选中Netlogon服务并单击鼠标右键→【重新启动】来注册。具体操作也可以使用命令:
图1-17 重新启动Netlogon服务
试一试:SRV记录手动添加无效。将注册成功的DNS服务器中long.com域下面的SRV记录删除一些,试着在域控制器上使用上面的命令恢复DNS服务器被删除的内容(使用命令后单击鼠标右键→【刷新】即可)。操作成功了吗?
1.3.2 任务2加入long.com域
下面再将ms1独立服务器加入long.com域,将ms1提升为long.com的成员服务器。其步骤如下。
将ms1加入到域long.com
STEP 1 首先在ms1服务器上,确认“本地连接”属性中的TCP/IP首选DNS指向了long.com域的DNS服务器,即192.168.10.1。
STEP 2 单击【开始】→【控制面板】→【系统和安全】→【系统】→【高级系统设置】,弹出“系统属性”对话框,选择【计算机名】选项卡,单击【更改】按钮,弹出“计算机名/域更改”对话框,在【隶属于】选项区域中,选择【域】单选按钮,并输入要加入的域的名字long.com,单击【确认】按钮,如图1-18所示。
STEP 3 输入有权限加入该域账户名称和密码,确定后重新启动计算机即可。比如该域控制器的管理员账户,如图1-18所示。
STEP 4 加入域后,其完整计算机名的后缀就会附上域名,如图1-19所示的dc4.long.com。单击【关闭】按钮,按照界面提示重新启动计算机。
图1-18 将ms1加入long.com域
图1-19 加入long.com域后的系统属性
提示:①Windows 10的计算机加入域中的步骤和Windows Server 2012 R2加入域中的步骤是一样的。
②这些被加入域的计算机,其计算机账户会被创建在Computers窗口内。
1.3.3 任务3利用已加入域的计算机登录
我们也可以在已经加入域的计算机上,利用本地域用户账户进行登录。
1.利用本地账户登录
在登录界面中按<Ctrl+Alt+Del>键后,将出现图1-20所示的界面,图中默认的是以本地系统管理员Administrator的身份登录,因此只要输入Administrator的密码就可以登录。
此时,系统会利用本地安全性数据库来检查账户与密码是否正确,如果正确,就可以成功登录,也可以访问计算机内的资源(若有权限),不过无法访问域内其他计算机的资源,除非在连接其他计算机时再输入有权限的用户名与密码。
2.利用域用户账户登录
如果要更改利用域系统管理员Administrator的身份登录,请单击图1-20所示的人像左方的箭头图标
,然后单击【其他用户】链接,打开图1-21所示的“其他用户”登录对话框,输入域系统管理员的账户(long\administrator)与密码,单击登录按钮
进行登录。
图1-20 本地用户登录
图1-21 域用户登录
注意:账户名前面要附加域名,例如long.com\Administrator或long\Administrator,此时账户与密码会被发送给域控制器,并利用Active Directory数据库来检查账户与密码是否正确,如果正确,就可以登录成功,并且可以直接连接域内任何一台计算机并访问其中的资源(如果被赋予权限),不需要手动输入用户名与密码。当然,也可以用UPN登录,形如:administrator@long.com。
试一试:在图1-20中,如何利用本地用户登录?用户名输入“ms1\administrator”及相应密码可以吗?
1.3.4 任务4安装额外的域控制器与RODC
一个域内若有多台域控制器的话,便可以拥有下面优势。
·提高用户登录的效率:若同时有多台域控制器来对客户端提供服务,可以分担用户身份验证(账户与密码)的负担,提高用户登录的效率。
·容错功能:若有域控制器故障,此时仍然可以由其他正常的域控制器来继续提供服务,因此对用户的服务并不会停止。
在安装额外域控制器(additional domain controller)时,需要将AD DS数据库由现有的域控制器复制到这台新的域控制器。系统提供了两种复制AD DS数据库的方式。
·通过网络直接复制:若AD DS数据库庞大,这种复制操作势必会增加网络负担、影响网络效率。
·通过安装介质:您需要事先到一台域控制器内制作安装介质(installation media),其中包含AD DS数据库;接着将安装介质复制到U盘、CD、DVD等媒体或共享文件夹内;然后在安装额外域控制器时,要求安装向导到这个媒体内读取安装介质内的AD DS数据库,这种方式可以大幅降低对网络所造成的负担。若在安装介质制作完成之后,现有域控制器的AD DS数据库内有新变动数据的话,这些少量数据会在完成额外域控制器的安装后,再通过网络自动复制过来。
下面同时说明如何将图1-22中右上角的dc2.long.com升级为常规额外域控制器(可写域控制器)、将右下角的dc3.long.com升级为只读域控制器(RODC)。
1.利用网络直接复制安装额外控制器
STEP 1 先在图1-22中的服务器dc2.long.com与dc3.long.com上安装Windows Server 2012 R2,将计算机名称分别设定为dc2与dc3,IPv4地址等按照图1-22所示来设置(图中采用TCP/IPv4)。
注意:将计算机名称分别设置为dc2与dc3即可,等升级为域控制器后,它们会自动被改为dc2.long.com与dc3.long.com。
利用网络直接复制安装额外域控制器
图1-22 long.com域的网络拓扑
STEP 2 安装Active Directory域服务。操作方法与安装第1台域控制器的方法完全相同。
STEP 3 启动Active Directory安装向导,当显示“部署配置”窗口时,选择【将域控制器添加到现有域】单选按钮,单击【更改】,弹出“Windows安全”对话框,需要指定可以通过相应主域控制器验证的用户账户凭据,该用户账户必须是Domain Admins组,拥有域管理员权限。比如,根域控制器的管理员账户:long\Administrator,如图1-23所示。
图1-23 部署配置
注意:只有Enterprise Admins或Domain Admins内的用户有权限建立其他域控制器。若您现在所登录的账户不隶属于这两个组(例如我们现在所登录的账户为本机Administrator),则需如图1-23所示另外指定有权限的用户账户。
STEP 4 单击【下一步】按钮,显示图1-24所示的“域控制器选项”对话框。
①选择是否在此服务器上安装DNS服务器(默认会)。
②选择是否将其设定为全局编录服务器(默认会)。
③选择是否将其设置为只读域控制器(默认不会)。
④设置目录服务还原模式的密码。
图1-24 “域控制器选项”对话框
STEP 5 若在图1-24中未勾选只读域控制器(RODC),可直接单击【下一步】按钮。若勾选【RODC】的话,则会出现图1-25所示的对话框,在完成图中的设定后单击【下一步】按钮,然后跳到STEP 7。
图1-25 “RODC选项”对话框
·委派的管理员账户:可通过【选择】按钮来选取被委派的用户或组,他们在这台RODC将拥有本地系统管理员的权限,且若采用阶段式安装RODC的话,则他们也可将此RODC服务器附加到AD DS数据库内的计算机账户。默认仅Domain Admins或Enterprise Admins组内的用户有权管理此RODC与执行附加操作。
·允许将密码复制到RODC的账户:默认仅允许Allowed RODC Password Replication Group组内的用户密码可被复制到RODC(此组默认并无任何成员),可通过【添加】按钮来添加用户或组账户。
·拒绝将密码复制到RODC的账户:此处的用户账户,其密码会被拒绝复制到RODC。此处的设置较允许将密码复制到RODC的账户的设置优先级高。部分内建的组账户(例如Administrators、Server Operators等)默认已被列于此列表内。您可通过【添加】按钮来添加用户或组账户。
注意:在安装域中的第1台RODC时,系统会自动建立与RODC有关的组账户;这些账户会自动被复制给其他域控制器,不过可能需要花费一段时间,尤其是复制给位于不同站点的域控制器时。之后您在其他站点安装RODC时,若安装向导无法从这些域控制器得到这些域信息,它会显示警告信息,此时请等待这些组信息完成复制后,再继续安装这台RODC。
STEP 6 若不是安装RODC,会出现图1-26所示的界面,请直接单击【下一步】按钮。
图1-26 “DNS选项”对话框
STEP 7 在图1-27中单击【下一步】按钮,它会直接从其他任何一台域控制器来复制AD DS数据库。
图1-27 “其他选项”对话框
STEP 8 在图1-28所示的“路径”对话框中可直接单击【下一步】按钮。出现“查看选项”对话框,单击【下一步】按钮。
图1-28 “路径”对话框
STEP 9 在“查看选项”对话框中单击【下一步】按钮。
STEP 10 在图1-29中,若顺利通过检查,就直接单击【安装】按钮,否则请根据界面提示先排除问题。
图1-29 “先决条件检查”对话框
STEP 11 安装完成后会自动重新启动,请重新登录。
STEP 12 分别打开dc1、dc2、dc3的DNS服务器管理器,检查DNS服务器内是否有域控制器dc2.long.com与dc3.long.com的相关记录,如图1-30所示(dc2、dc3上的DNS服务器类似)。
图1-30 检查DNS服务器
这两台域控制器的AD DS数据库内容是从其他域控制器复制过来的,而原本这两台计算机内的本地用户账户会被删除。
注意:服务器dc1(第一台域控制器)上原本位于本地安全性数据库内的本地账户,会在dc1升级为域控制器后被转移到Active Directory数据库内,而且是被放置到Users容器内。并且这台域控制器的计算机账户会被放置到Domain Controllers组织单位内,其他加入域的计算机账户默认会被放置到Computers容器内。
只有在创建域内的第一台域控制器时,该服务器原来的本地账户才会被转移到Active Directory数据库,其他域控制器(例如本范例中的dc2、dc3)原来的本地账户并不会被转移到Active Directory数据库,而是被删除。
利用介质安装额外域控制器
2.利用安装介质来安装额外域控制器
先到一台域控制器上制作安装介质(installation media),也就是将AD DS数据库存储到安装介质内,并将安装介质复制到U盘、CD、DVD等媒体或共享文件夹内。然后在安装额外域控制器时,要求安装向导从安装介质来读取AD DS数据库,这种方式可以大幅降低对网络所造成的负担。
(1)制作安装介质
请到现有的域控制器上执行ntdsutil命令来制作安装介质。
·若此安装介质是要给可写域控制器来使用的话,则需到现有的可写域控制器上执行ntdsutil指令。
·若此安装介质是要给RODC(只读域控制器)来使用的话,则您可以到现有的可写域控制器或RODC上执行ntdsutil指令。
STEP 1 请到域控制器上利用域系统管理员的身份登录。
STEP 2 选中左下角的【开始】菜单并选中“命令提示符”单击鼠标右键(或单击左下方任务栏中的Windows PowerShell图标
)。
STEP 3 输入以下命令后按Enter键(部分操作界面如图1-31所示):
STEP 4 在ntdsutil提示符下,执行以下命令:
它会将域控制器的AD DS数据库设置为使用中。STEP 5 在ntdsutil提示符下,执行以下命令:
STEP 6 在ifm提示符下,执行以下命令:
注意:此命令假设要将安装介质的内容存储到C:\lnstallationMedia文件夹内。其中的sysvol表示要制作包含ntds.dit与SYSVOL的安装介质;full表示要制作供可写域控制器使用的安装介质;若是要制作供RODC使用的安装介质,请将full改为rodc。
STEP 7 连续执行两次quit命令来结束ntdsutil。
安装RODC额外控制器
STEP 8 将整个C:\lnstallationMedia文件夹内的所有数据复制到U盘、CD、DVD等媒体或共享文件夹内。
(2)安装额外域控制器
将包含安装介质的U盘、CD或DVD拿到即将扮演额外域控制器角色的计算机上,或将其放到可以访问到的共享文件夹内。
图1-31 制作安装介质
由于利用安装介质来安装额外域控制器的方法与前面的介绍大致相同,下面仅列出不同之处。下面假设安装介质被复制到即将升级为额外域控制器的服务器的C:\InstallationMedia文件夹内:在图1-32中改为选定【从介质安装(I)】复选框,并在路径处指定存储安装介质的文件夹C:\lnstallationMedia。
图1-32 选择“从介质安装”复选框
安装过程中会从安装介质所在的文件夹C:\lnstallationMedia中复制AD DS数据库。若在安装介质制作完成之后,现有域控制器的AD DS数据库更新数据的话,这些少量数据会在完成额外域控制器安装后,再通过网络自动复制过来。
3.修改RODC的委派设置与密码复制策略设置
若您要修改密码复制策略设置或RODC系统管理工作的委派设置,请在开启【Active Directory用户和计算机】后,如图1-33所示,单击容器【Domain Controllers】右方扮演RODC角色的域控制器→单击上方的【属性】图标→通过图1-34中的【密码复制策略】与【管理者】选项卡来设置。
图1-33 Active Directory用户和计算机
图1-34 “密码复制策略”和“管理者”
您也可以通过【Active Directory管理中心】来修改上述设置:请开启Active Directory管理中心后,如图1-35所示,单击容器【Domain Controllers】界面中扮演RODC角色的域控制器→单击右方的【属性】→通过图1-36中的【管理者】选项与【扩展】选项中的【密码复制策略】选项卡来设定。
图1-35 Active Directory管理中心-Domain Controllers
图1-36 “管理者”和“密码复制策略”
4.验证额外域控制器运行正常
DC1是第一台域控制器,DC2服务器已经提升为额外域控制器,现在可以将成员服务器ms1的首选DNS指向【DC1】域控制器,备用DNS指向【DC2】额外域控制器,当【DC1】域控制器发生故障时,【DC2】额外域控制器可以负责域名解析和身份验证等工作,从而实现不间断服务。
验证额外域控制器运行正常
STEP 1 在【ms1】上配置【首选DNS】为“192.168.10.1”,【备用DNS】为“192.168.10.2”。
STEP 2 利用DC1域控制器的【Active Directory用户和计算机】建立供测试用的域用户domainuser1。刷新DC2、DC3的【Active Directory用户和计算机】中的users容器,发现domainuser1几乎同时同步到了这两台域控制器上。
STEP 3 将【DC1域控制器】暂时关闭,在VMWare Workstation中也可以将【DC1域控制器】暂时挂起。
STEP 4 在【ms1】上使用“domainuser1”登录域,观察是否能够登录,结果是可以登录成功,这样就可以提供AD的不间断服务了,此操作同时验证了额外域控制器安装的成功。
STEP 5 在【服务器管理器】主窗口下,单击【工具】打开【Active Directory站点和服务】,依次展开【Sites】→【Default-First-Site-Name】→【Servers】→【DC2】→【NTDS Settings】,单击鼠标右键,在弹出的快捷菜单中选择【属性】,如图1-37所示。
STEP 6 在弹出的对话框中将【全局编录】复选框取消勾选,如图1-38所示。
STEP 7 在【服务器管理器】主窗口下,单击【工具】打开【Active Direct:ory用户和计算机】,展开【Domain Controllers】,可以看到【DC2】的【DC类型】由之前的【GC】变为现在的【DC】,如图1-39所示。
图1-37 【Active Directory站点和服务】
图1-38 取消【全局编录】
图1-39 查看【DC类型】
1.3.5 任务5转换服务器角色
Windows Server 2012服务器在域中可以有3种角色:域控制器、成员服务器和独立服务器。当一台Windows Server 2012成员服务器安装了活动目录后,服务器就成为域控制器,域控制器可以对用户的登录等进行验证。Windows Server 2012成员服务器也可以仅仅加入域中,而不安装活动目录,这时服务器的主要目的是为了提供网络资源,这样的服务器称为成员服务器。严格说来,独立服务器和域没有什么关系,如果服务器不加入域中,也不安装活动目录,服务器就称为独立服务器。服务器的这3个角色的改变如图1-40所示。
图1-40 服务器的3种角色改变
1.域控制器降级为成员服务器
用户在域控制器上把活动目录删除,服务器就降级为成员服务器了。下面以图1-3中的dc2降级为例,介绍具体步骤。
(1)删除活动目录的注意要点
降级时要注意以下3点。
降级域控制器
①如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。
②如果该域控制器是该域的最后一个域控制器,则被降级后,该域内将不存在任何域控制器。因此,该域控制器被删除,而该计算机被降级为独立服务器。
③如果这台域控制器是“全局编录”域控制器,则将其降级后,它将不再担当“全局编录”的角色,因此要先确定网络上是否还有其他“全局编录”域控制器。如果没有,则要先指派一台域控制器来担当“全局编录”的角色,否则将影响用户的登录操作。
提示:指派“全局编录”的角色时,可以依次打开【开始】→【管理工具】→【Active Directory站点和服务】→【Sites】→【Default-First-Site-Name】→【Servers】,展开要担当“全局编录”角色的服务器名称,右键单击【NTDS Settings属性】选项,在弹出的快捷菜单中选择【属性】选项,在显示的“NTDS Settings属性”对话框中选中【全局编录】复选框。
(2)删除活动目录
STEP 1 以管理员身份登录dc2,单击左下角的服务器管理器图标,在图1-41所示的窗口中单击右上方的【管理】菜单下的【删除角色和功能】。
图1-41 删除角色和功能
STEP 2 在图1-42所示的对话框中取消勾选【Active Directory域服务】复选框、单击【删除功能】按钮。
STEP 3 出现图1-43所示的界面时,单击【确定】即将此域控制器降级。
STEP 4 如果在图1-44所示界面中当前的用户有权删除此域控制器,请单击【下一步】按钮,否则单击【更改】按钮来输入新的账户与密码。
图1-42 删除服务器角色和功能
图1-43 验证结果
图1-44 “凭据”窗口
提示:如果因故无法删除此域控制器(例如,在删除域控制器时,需要能够先连接到其他域控制器,但是却一直无法连接),或者是最后一个域控制器,此时勾选图中的【强制删除此域控制器】复选框。
STEP 5 在图1-45所示界面中勾选【继续删除】复选框后,单击【下一步】按钮。
图1-45 “警告”窗口
STEP 6 在图1-46中为这台即将被降级为独立或成员服务器的计算机设置本地Administrator的新密码后,单击【下一步】按钮。
STEP 7 在查看选项界面中单击【降级】按钮。
STEP 8 完成后会自动重新启动计算机,请重新登录。(以域管理员登录,图1-46所示设置的是计算机的本地管理员密码!)
图1-46 新管理员密码
注意:虽然这台服务器已经不再是域控制器了,但此时其Active Directory域服务组件仍然存在,并没有被删除。因此,如果现在要再将其升级为域控制器,可以参考前面的说明。
STEP 9 在服务器管理器中单击【管理】菜单下的【删除角色和功能】。
STEP 10 出现“开始之前”界面,单击【下一步】按钮。
STEP 11 在“选择目标服务器”界面的服务器确认无误后单击【下一步】按钮。
STEP 12 在图1-47所示界面中取消勾选【Active Directory域服务】复选框,单击【删除功能】按钮。
图1-47 删除服务器角色和功能
STEP 13 回到“删除服务器角色”界面时,确认【Active Directory域服务】已经被取消勾选(也可以一起取消勾选【DNS服务器】)后单击【下一步】按钮。
STEP 14 出现“删除功能”界面时,单击【下一步】按钮。
STEP 15 在确认删除选择界面中单击【删除】按钮。
STEP 16 完成后,重新启动计算机。
2.成员服务器降级为独立服务器
dc2删除Active Directory域服务后,降级为域long.com的成员服务器。现在将该成员服务器继续降级为独立服务器。
首先在dc2上以域管理员(long\administrator)或本地管理员(dc2\administrator)身份登录。登录成功后,单击【开始】→【控制面板】→【系统和安全】→【系统】→【高级系统设置】,弹出“系统属性”对话框,选择【计算机名】选项卡,单击【更改】按钮;弹出“计算机名/域更改”窗口;在“隶属于”选项区域中,选择【工作组】单选按钮,并输入从域中脱离后要加入的工作组的名字(本例为WORKGROUP),单击【确定】按钮;输入有权限脱离该域的账户的名称和密码,确定后重新启动计算机即可。