Windows Server 2012 R2怎么配置域控制器

1首先，打开“服务器管理器”，点击“添加功能和角色”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

6

在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

确认选择无误，点击“安装”按钮开始安装。

“Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

创建新林，“域控制器选项”页将显示以下选项。

默认情况下，林和域功能级别设置为 Windows Server 2012。

在

Windows Server 2012 域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC

管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。

Windows

Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012

域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012

域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。

超过功能级别时，运行

Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行

Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。

创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。

需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

安装

DNS 服务器时，应该在父域名系统 (DNS) 区域中创建指向 DNS

服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS

服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

确保为域分配了NetBIOS名称。

“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

此页面上显示的一些警告包括：

运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。

无法创建或更新 DNS 委派。

点击“安装”按钮开始安装。

安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。

　　域控是域控制器的简称，域控制器是指在"域"模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，其英文名为Domain Controller，简写为DC。

　域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央轻量级目录访问协议目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

域控迁移通常是RID、PDC、基础结构主机以及DNS角色迁移。

使用netdom query fsmo，查看FSMO角色功能

可以使用桌面的形式来设置，也可以使用命令的方式，推荐使用命令的方式。

迁移前要注意域功能和林功能级别。

以下功能主机在网络中必须保持唯一性。

当高版本系统需要加入低版本的域控时，需要使用高版本adprep文件夹，通常在系统iso的support文件夹下。

在准备需要先注意AD域的域功能级别和林功能级别

域功能：Active Directory 用户和计算机

林功能：Active Directory 域和信任关系

在副域控上删除主域控

删除之后还需删除

· Domain controllers中欲删除的服务器对象（使用ADSI编辑器）

· 在AD站点和服务中删除没用的服务器对象，将新域控中复制的连接也删除

· 删除旧域控DNS记录

DNS管理器中有三个（与父文件夹相同）的文件，其中起始授权机构需要所有域控服务器的域名，名称服务器和主机需要是主域服务器的域名和IP。

最后设置转发器，不设置转发器本地DNS服务器就不能解析外网。

注：在搭建域控时一定要记得创建副域控，而且最好使用虚拟软件虚拟一个域控。

如果在cmd中，输入net share 没有出现sysvol和netlogon，但在c:\windows下能找到sysvol文件夹。如果不修复，最重要的问题就是新电脑无法加域，组策略无法使用。

需要先在sysvol\domain下添加 Policies和Scripts两个文件夹

打开注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

在右边找到BurFlags，将其值改为D4（16进制）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets{GUID}，其中GUID是类似f791c404-f37f-4634-9899d59d9397871e这样的字符串值。

然后找到右边的BurFlags，同样将其修改为D4（16进制）后退出

再在cmd下

Net stop netlogon & net start netlogon

Net stop ntfrs & net start ntfrs

即可

修复组策略

最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:\WINDOWS\SYSVOL\sysvol\acom\Policies目录下。

还有一种是，安装Resource Kit后运行命令dcgpofix /target:both。这个命令会重新建立这两条策略到域控制器刚安装好时的默认状态，即策略上做的设置都会清空，这点请注意。

（注：运行dcgpofix时如果提示“此域的 Active Directory 架构版本和此工具所支持的版本不匹配。”，那么请将命令修改为dcgpofix /ignoreschema /target:both忽略架构版本。）

查看域时间

利用net time /querysntp命令查看

利用net time /setsntp来改变这台PDC时间服务器

一种方法，将客户机主DNS设置为域控，备用DNS设置成当地网络提供商的DNS服务器地址。

第二，建立主域控的备份域控，将其地址设置为备用DNS。当主域控崩溃，备份自动起作用。

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

域是计算机网络的一种形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。

域之间相互访问则需要建立信任关系。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。

域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

扩展资料

域和工作组的区别和联系

1、区别

域一般是用在比较大的网络里，工作组则较小，在一个域中需要一台类似服务器的计算机，叫域控服务器，其他电脑如果想互相访问首先都是经过它的。

但是工作组则不同，在一个工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分的。工作组是一个由许多在同一物理地点，而且被相同的局域网连接起来的用户组成的小组。相应地，一个工作组也可以是遍布一个机构的，但却被同一网络连接的用户构成的逻辑小组。

2、联系

但是和域一样，如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器，组控服务器不是固定的，以选举的方式实现，它存储着这个组的相关信息，找到这台计算机后得到组的信息然后访问。

工作组可以在这个网络上具有一些特权，例如对文件服务器或一些特殊应用的访问等等。

—Windows域

—工作组