Windows Server 2008 R2 域环境搭建指南

一、主域控制器搭建

1.1 网络配置

• IP地址: 192.168.3.3
• 子网掩码: 255.255.255.0
• 默认网关: 192.168.3.1
• 首选DNS服务器: 192.168.3.1 (建议配置为自身IP 192.168.3.3)

1.2 安装Active Directory域服务

1. 打开"服务器管理器"
2. 选择"添加角色"
3. 勾选"Active Directory域服务"
4. 按照向导完成安装

1.3 提升为域控制器

1. 运行dcpromo命令
2. 选择"在新林中新建域"
3. 输入域名(如:example.com)
4. 设置林功能级别(建议选择Windows Server 2008 R2)
5. 设置目录服务还原模式密码
6. 完成安装后重启服务器

二、子域控制器搭建

2.1 网络配置

• IP地址: 192.168.3.99
• 子网掩码: 255.255.255.0
• 默认网关: 192.168.3.1
• 首选DNS服务器: 192.168.3.3 (指向主域控制器)

2.2 加入域

1. 右键"计算机"选择"属性"
2. 点击"更改设置"
3. 选择"域"并输入主域名(如example.com)
4. 输入有权限加入域的管理员凭据
5. 重启计算机

2.3 安装子域控制器

1. 安装Active Directory域服务(同主域步骤)
2. 运行dcpromo命令
3. 选择"现有林"→"在现有林中新建域"
4. 选择"子域"选项
5. 指定父域(如example.com)和子域名称(如child)
6. 设置目录服务还原模式密码
7. 完成安装后重启服务器

三、关键注意事项

1. DNS配置:

   • 确保所有域控制器都能正确解析域名
   • 主域控制器应能解析自身和其他域控制器
   • 子域控制器应将DNS指向主域控制器

2. 时间同步:

   • 域内所有计算机时间应保持同步
   • 主域控制器应配置为可靠的时间源

3. 功能级别:

   • 建议将林和域功能级别设置为Windows Server 2008 R2
   • 更高的功能级别可提供更多功能但会限制加入域的Windows版本

4. 备份策略:

   • 定期备份系统状态数据
   • 特别是备份Active Directory数据库

5. 权限管理:

   • 合理规划组织单位(OU)结构
   • 使用组策略(GPO)进行集中管理

四、验证步骤

1. 在主域控制器上:

   • 打开"Active Directory用户和计算机"，确认能看到子域
   • 检查DNS管理器，确认子域记录已正确创建

2. 在子域控制器上:

   • 验证能解析主域和其他域控制器的名称
   • 检查事件查看器是否有相关错误

3. 从客户端计算机:

   • 尝试加入域
   • 验证能使用域账户登录

五、故障排除

1. DNS问题:

   • 确保所有SRV记录存在
   • 使用nslookup验证名称解析

2. 复制问题:

   • 使用repadmin工具检查复制状态
   • 确保防火墙允许Active Directory相关端口通信

3. 认证问题:

   • 检查时间同步
   • 验证Kerberos票据是否正常

通过以上步骤，您可以成功搭建一个基于Windows Server 2008 R2的主域和子域环境。