如何在 Windows Server 2003 中建立 Active Directory 伺服器

  • 發行項

本文說明如何在包含 Windows Server 2003 和 Active Directory 的實驗室環境中安裝和設定新的 Active Directory 安裝。

適用於:Windows Server 2003
原始 KB 編號: 324753

注意事項

在實驗室環境中,您將需要執行 Windows Server 2003 的兩部網路伺服器。

建立 Active Directory

在獨立伺服器上安裝 Windows Server 2003 之後,請執行 [Active Directory 精靈] 來建立新的 Active Directory 樹系或網域,然後將 Windows Server 2003 計算機轉換成樹系中的第一個域控制器。 若要將 Windows Server 2003 計算機轉換成樹系中的第一個域控制器,請遵循下列步驟:

  1. 將 Windows Server 2003 CD-ROM 插入電腦的 CD-ROM 或 DVD-ROM 磁碟驅動器。

  2. 按兩下 [開始],按兩下 [ 執行],然後輸入 dcpromo

  3. 單擊 [確定 ] 以啟動 [Active Directory 安裝精靈],然後按 [ 下一步]

  4. 按下 新網域的域控制器,然後按 [ 下一步]

  5. 按兩下 新樹系中的 [網域],然後按 [ 下一步]

  6. 指定新網域的完整 DNS 名稱。 請注意,由於此程式適用於實驗室環境,而且您並未將此環境整合到現有的 DNS 基礎結構中,因此您可以針對此設定使用一些泛型專案,例如 mycompany.local。 按一下[下一步]

  7. 如果您在步驟 6) 中使用建議,請接受預設網域 NetBIOS 名稱 (這是 “mycompany”。 按一下[下一步]

  8. 將資料庫和記錄檔位置設定為 c:\winnt\ntds 資料夾的預設設定,然後按 [ 下一步]

  9. 將 Sysvol 資料夾位置設定為 c:\winnt\sysvol 資料夾的預設設定,然後按 [ 下一步]

  10. 按兩下 [安裝並設定這部電腦上的 DNS 伺服器],然後按 [ 下一步]

  11. 按兩下 [僅與 Windows 2000 或 Windows Server 2003 伺服器或操作系統相容的許可權],然後按 [ 下一步]

  12. 因為這是實驗室環境,所以請將目錄服務還原模式管理員的密碼保留空白。 請注意,在完整的生產環境中,此密碼是使用安全的密碼格式來設定。 按一下[下一步]

  13. 檢閱並確認您選取的選項,然後按 [ 下一步]

  14. Active Directory 的安裝作業會繼續進行。 請注意,此作業可能需要幾分鐘的時間。

  15. 當系統提示您時,請重新啟動計算機。 計算機重新啟動之後,確認已建立新域控制器的域名系統 (DNS) 服務位置記錄。 若要確認已建立 DNS 服務位置記錄,請遵循下列步驟:

    1. 按兩下 [開始],指向 [系統管理工具],然後按兩下 [DNS ] 以啟動 [DNS 系統管理員控制台]。
    2. 展開伺服器名稱,然後展開 [正向對應區域],然後展開網域。
    3. 確認_msdcs、_sites、_tcp和_udp資料夾存在。 這些資料夾及其包含的服務位置記錄對 Active Directory 和 Windows Server 2003 作業而言非常重要。

將使用者和計算機新增至 Active Directory 網域

建立新的 Active Directory 網域之後,請在該網域中建立用戶帳戶,以作為系統管理帳戶。 當該使用者新增至適當的安全組時,請使用該帳戶將計算機新增至網域。

  1. 若要建立新的使用者,請遵循下列步驟:

    1. 按兩下 [開始],指向 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦] 以啟動 Active Directory 使用者和電腦 控制台。

    2. 按兩下您建立的功能變數名稱,然後展開內容。

    3. 以滑鼠右鍵按兩下 [使用者],指向 [ 新增],然後按兩下 [ 使用者]

    4. 輸入新使用者的名字、姓氏和使用者登入名稱,然後按 [ 下一步]

    5. 輸入新密碼、確認密碼,然後按下下列其中一個複選框:

      • 用戶必須在下次登入時變更密碼, (建議大部分的使用者使用)
      • 用戶無法變更密碼
      • 密碼永不過期
      • 帳戶已停用

      按一下[下一步]

    6. 檢閱您提供的資訊,如果一切正確,請按兩下 [ 完成]

  2. 建立新用戶之後,請在允許該使用者執行系統管理工作的群組中提供此使用者帳戶成員資格。 由於這是您所控制的實驗室環境,因此您可以將此使用者帳戶設為架構、企業和網域系統管理員群組的成員,以提供此用戶帳戶的完整系統管理存取權。 若要將帳戶新增至架構、企業和網域系統管理員群組,請遵循下列步驟:

    1. 在 Active Directory 使用者和電腦 控制臺上,以滑鼠右鍵按下您建立的新帳戶,然後按兩下 [屬性]
    2. 按兩下 [ 成員成員] 索 引標籤,然後按兩下 [ 新增]
    3. 在 [ 選取群組 ] 對話框中,指定群組,然後按兩下 [ 確定 ] 將您要的群組新增至清單。
    4. 針對使用者需要帳戶成員資格的每個群組重複選取程式。
    5. 按一下 [確定] 完成。

  3. 此程序的最後一個步驟是將成員伺服器新增至網域。 此程式也適用於工作站。 若要將電腦新增至網域,請遵循下列步驟:

    1. 登入您要新增至網域的計算機。

    2. 用滑鼠右鍵按一下 [我的電腦],再按一下 [內容]

    3. 按兩下 [ 計算機名稱] 索引 標籤,然後按兩下 [ 變更]

    4. 在 [計算機名稱變更] 對話框中,按兩下 [成員成員] 底下的 [網],然後輸入功能變數名稱。 按一下確定

    5. 當系統提示您時,輸入您先前建立之帳戶的使用者名稱和密碼,然後按兩下 [ 確定]

      系統會產生歡迎您加入網域的訊息。

    6. 按兩下 [確定 ] 傳回 [計算機名稱] 索引標籤,然後按兩下 [ 確定 ] 完成。

    7. 重新啟動電腦 (如果系統提示您這麼做)。

疑難解答:您無法開啟Active Directory 嵌入式管理單元

完成 Active Directory 安裝之後,您可能無法啟動 Active Directory 使用者和電腦 嵌入式管理單元,而且您可能會收到錯誤訊息,指出無法連絡任何授權單位進行驗證。 如果未正確設定 DNS,就會發生這種情況。 若要解決此問題,請確認 DNS 伺服器上的區域已正確設定,而且您的 DNS 伺服器具有包含 Active Directory 功能變數名稱之區域的授權單位。 如果區域看起來正確,且伺服器具有網域的授權,請嘗試重新啟動 Active Directory 使用者和電腦 嵌入式管理單元。 如果您收到相同的錯誤訊息,請使用 DCPROMO 公用程式移除 Active Directory、重新啟動電腦,然後重新安裝 Active Directory。

如需在 Windows Server 2003 上設定 DNS 的詳細資訊,請參閱 如何在 Windows Server 2003 中設定因特網存取的 DNS