如何在 Windows Server 2003 中创建 Active Directory 服务器

  • 项目

本文介绍如何在包含 Windows Server 2003 和 Active Directory 的实验室环境中安装和配置新的 Active Directory 安装。

适用于: Windows Server 2003
原始 KB 编号: 324753

注意

在实验室环境中,需要两台运行 Windows Server 2003 的网络服务器以实现此目的。

创建 Active Directory

在独立服务器上安装 Windows Server 2003 后,运行 Active Directory 向导以创建新的 Active Directory 林或域,然后将 Windows Server 2003 计算机转换为林中的第一个域控制器。 若要将 Windows Server 2003 计算机转换为林中的第一个域控制器,请执行以下步骤:

  1. 将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。

  2. 单击 “开始”,单击“ 运行”,然后键入 “dcpromo”。

  3. 单击“ 确定” 启动 Active Directory 安装向导,然后单击“ 下一步”。

  4. 单击 新域的“域控制器”,然后单击“ 下一步”。

  5. 在新 林中单击“域”,然后单击“ 下一步”。

  6. 指定新域的完整 DNS 名称。 请注意,由于此过程适用于实验室环境,并且你未将此环境集成到现有 DNS 基础结构中,因此可以对此设置使用泛型内容(例如 mycompany.local)。 单击下一个

  7. 如果使用了步骤 6) 中的建议,请接受默认域 NetBIOS 名称 (这是“mycompany”。 单击下一个

  8. 将数据库和日志文件位置设置为 c:\winnt\ntds 文件夹的默认设置,然后单击“ 下一步”。

  9. 将 Sysvol 文件夹位置设置为 c:\winnt\sysvol 文件夹的默认设置,然后单击“ 下一步”。

  10. 单击“ 在此计算机上安装并配置 DNS 服务器”,然后单击“ 下一步”。

  11. 单击“ 仅与 Windows 2000 或 Windows Server 2003 服务器或操作系统兼容的权限”,然后单击“ 下一步”。

  12. 由于这是实验室环境,因此将目录服务还原模式管理员的密码留空。 请注意,在完整的生产环境中,此密码是使用安全密码格式设置的。 单击下一个

  13. 查看并确认所选选项,然后单击“ 下一步”。

  14. 继续安装 Active Directory。 请注意,此操作可能需要几分钟时间。

  15. 出现提示时,重新启动计算机。 计算机重启后,确认已为新域控制器创建域名系统 (DNS) 服务位置记录。 若要确认已创建 DNS 服务位置记录,请执行以下步骤:

    1. 单击“ 开始”,指向“管理工具”,然后单击“ DNS ”启动 DNS 管理员控制台。
    2. 展开服务器名称,展开 正向查找区域,然后展开域。
    3. 验证是否存在_msdcs、_sites、_tcp和_udp文件夹。 这些文件夹及其包含的服务位置记录对 Active Directory 和 Windows Server 2003 操作至关重要。

将用户和计算机添加到 Active Directory 域

建立新的 Active Directory 域后,在该域中创建一个用户帐户,用作管理帐户。 将该用户添加到相应的安全组后,使用该帐户将计算机添加到域。

  1. 若要创建新用户,请执行以下步骤:

    1. 单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”以启动Active Directory 用户和计算机控制台。

    2. 单击创建的域名,然后展开内容。

    3. 右键单击“ 用户”,指向“ 新建”,然后单击“ 用户”。

    4. 键入新用户的名字、姓氏和用户登录名,然后单击“ 下一步”。

    5. 键入新密码,确认密码,然后单击以选择以下检查框之一:

      • 用户必须在下次登录时更改密码 (建议大多数用户)
      • 用户无法更改密码
      • 密码永不过期
      • 帐户已禁用

      单击下一个

    6. 查看提供的信息,如果一切正确,请单击“ 完成”。

  2. 创建新用户后,在允许该用户执行管理任务的组中授予此用户帐户成员身份。 由于这是由你控制的实验室环境,因此可以通过使其成为架构、企业和域管理员组的成员来授予此用户帐户完全管理访问权限。 若要将帐户添加到架构、企业和域管理员组,请执行以下步骤:

    1. 在Active Directory 用户和计算机控制台上,右键单击创建的新帐户,然后单击“属性”。
    2. 单击“成员属于”选项卡,再单击“添加”
    3. “选择组 ”对话框中,指定一个组,然后单击“ 确定 ”,将所需的组添加到列表中。
    4. 对用户需要帐户成员身份的每个组重复选择过程。
    5. 单击“确定”完成。

  3. 此过程的最后一步是将成员服务器添加到域。 此过程也适用于工作站。 若要将计算机添加到域,请执行以下步骤:

    1. 登录到要添加到域的计算机。

    2. 右键单击“我的电脑”,然后单击“属性”

    3. 单击“ 计算机名称 ”选项卡,然后单击“ 更改”。

    4. 在“计算机名称更改”对话框中,单击“成员”下的“”,然后键入域名。 单击“确定”

    5. 出现提示时,键入之前创建的帐户的用户名和密码,然后单击“ 确定”。

      将生成一条欢迎你加入域的消息。

    6. 单击 “确定” 返回到“计算机名称”选项卡,然后单击“ 确定” 完成。

    7. 如果系统提示您重新启动计算机,请重新启动。

故障排除:无法打开 Active Directory 管理单元

完成 Active Directory 的安装后,可能无法启动Active Directory 用户和计算机管理单元,并且可能会收到一条错误消息,指示无法联系任何机构进行身份验证。 如果未正确配置 DNS,则可能会发生这种情况。 若要解决此问题,请验证 DNS 服务器上的区域配置是否正确,以及 DNS 服务器是否具有包含 Active Directory 域名的区域的权限。 如果区域看起来正确,并且服务器具有域的权限,请尝试再次启动Active Directory 用户和计算机管理单元。 如果收到相同的错误消息,请使用 DCPROMO 实用工具删除 Active Directory,重新启动计算机,然后重新安装 Active Directory。

有关在 Windows Server 2003 上配置 DNS 的详细信息,请参阅 如何在 Windows Server 2003 中为 Internet 访问配置 DNS