The page is temporarily unavailable
nginx error!
The page you are looking for is temporarily unavailable.
Please try again later.
Website Administrator
Something has triggered an error on your
This is the default error page for
nginx that is distributed with
It is located
/usr/share/nginx/html/50x.html
You should customize this error page for your own
site or edit the error_page directive in
the nginx configuration file
/etc/nginx/nginx.conf.我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。
网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2
192.168.100.11/24
192.168.100.12/24
Server 192.168.100.13/24
192.168.100.14/24
创建域的必备条件
DNS域名：先要想好一个符合dns格式的域名，如
DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）
注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。
创建网络中的第一台域控制器
修改机器名和ip
先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成
安装域功能
选择服务器
选择域服务
提升为域控制器
此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。
选择林功能级别，域功能级别。、
此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别
默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能
设置目录还原密码。
目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码
出现此警告无需理会
系统会自动创建一个netbios名称，可以更改。
不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信
数据库文件夹：用了存储AD数据库
日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库
SYSVOL文件夹：用了存储域共享文件（例如组策略）
如果计算机内有多个硬盘，建议将数据库与日志文件夹分别设置到不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力。（不过我认为现在都是RAID模式了没必要分开，和操作系统分区分开就可以了）
顺利通过检查，直接安装
安装完成重启
检查DNS服务器内的记录是否完备
域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆contoso\administrator.
检查主机记录
选择管理工具-dns
默认会有一个的区域，主机记录表示域控已经正确的将其主机名与IP地址注册到DNS服务器内。
如果域控制器已经正确的将家里注册到dns服务器，应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录，表示已经正确的注册为域控制器。还能看到_gc记录全局编录也是由所扮演。
排除注册失败的问题
如果域成员本身的设置或者网络问题，会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip美元正确注册到DNS服务器，可以到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如，ip地址192.168.100.13则坚持区域是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到dns服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务
创建更多的域控制器
如果一个域内有多个域控制器，可以有如下好处.
提高用户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核用户登录身份（账户与密码）的负担，让用户登录效率更佳。
排错功能：如果有域控制器发生故障，此时依然能有其他正常的域控制器继续提供域服务器。
我们将升级为域控制器
首先改名，改ip
后面都和前面一样安装功能
这里不同，将域控添加到现有域，输入域名，并且输入现有权限添加域控的账户contoso\administrator的密码。
只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。
选择从其他域控复制
安装完成后机器会重启，然后在检查DNS记录。
修改dns指向
修改dc1和dc2的dns互相将各自的首选dns指向对方域控
将windows计算机加入或脱离域
Windows加入域后，就可以访问ad数据库和其他域资源。可以被加域的计算机：
Windows server 2012(R2)
Windows server 2008(R2)
Windows server 2003(R2)
Windows vista
Windows xp
将windows计算机加入域
我们要将机器加入域。
先将机器改名改ip。
输入域名和域账户密码
如果报错，请检查dns是否指向域控。
完成后我们可以使用域账户登录此台服务器
计算机名后已自动加上域名
只要输入工作组并点击确定
成员计算机内的ad管理工具
我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政，委派给他们后，他们当然是不能登陆域控的，这时就要在他们的计算机上安装ad管理工具
Windows server 2012
添加功能中，添加远程服务器管理工具
Windows8 和Windows7
都去官网下载Remote Server Administration Tools for Windows8/7
创建组织单位与域用户账户
可以将用户账户创建到任何一个容器或组织单位（OU）内。先创建业务部的OU.然后再创建用户。
创建组织单位
点击 Active Directory管理中心
业务部-新建用户
用户UPN登录：用户可以利用这个域电子邮箱格式相同的名称（）来登录域，此名称被称为User Principal Name（UPN）。此名在林中是唯一的。
用户名SamAccountName登录：用户也可以利用此名称（contoso\wang）来登录。其中wang是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN，因此在这些计算机上登录时，只能使用此登录名。
使用新账户登录域
我们使用2种方法来登录域
利用新用户账户登录域控
除了域Administrators等少数组内的成员外，其他一般域账户默认无法登陆到域控上，除非另外开放。
赋予用户在域控登录权限
一般用户必须在域控上拥有允许本地登录的权限，才能在域控上登录。此权限可以用过组策略来开放。
系统管理工具-组策略管理
计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录，然后将用户或组加入到列表内
组策略配置完成需要应用到域控才有效，应用方法有三种：
将域控制器重启
等域控制器自动应用此策略，可能需要等待5分钟或更久
手动应用：到域控制器上运行gpupdate或gpupdate\force
多台域控制器的情况
如果域内有多台域控制器，则设置的安全设置值，先被存储到PDC操作主机角色的域控制器内，默认由第一台域控制器扮演。
Active Directory用户和计算机-选择右键操作主机
需要等待设置值从PDC操作主机复制到其他域控制器后，他们才会应用这些设置值。什么时候应用分两种情况：
自动复制：PDC操作主机默认15秒后悔自动将其复制出去，因此其他域控制器可能需要等15秒或更久才能接受到此设置值。
手动复制：到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机，DC2是需要接收的域控
如果是组策略设置，则他先辈存储在PDC操作主机内，但如果Active Directory用户账户或其他对象有改动，则这些改动会先被存储在所连接的域控制器，同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。
如果要查询目前连接的域控制器，可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso，他就会显示所连接的域控制器。如果要更改连接其他控制器，单击更改域控制器。
域用户个人数据的设置
每个域用户账户内部都有一些相关的属性数据，例如地址 电话等，域用户可以通过这些属性来查找Active Directory内的用户，因此这些数据越完整越好。
限制登录时间与登录计算机
我们可以限制用户的登录时间已经能用使用某些计算机来登录域。
如下图只能允许用户在正常上班时间内登录电脑
默认用户可以登录所有非域控制器的成员计算机，不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。
Active Directory轻型目录服务
为了让支持目录访问的应用程序，可以在没有域的环境内享有目录服务的好处，Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境，每个环节被称为一个AD LDS实例，每个实例拥有独立的目录设置，架构，数据库。
Active Directory回收站
在旧版的操作系统中，如果系统管理员误将ad对象删除，就需要进入目录服务还原模式。还原麻烦，并且在还原好重启时，域无法提供服务。
虽然windows server 2008 R2新增了ad回收站，让系统管理员不需要进入目录服务还原模式，就可以救回被删除的对象，但是却不是很好用，例如需要通过复杂的命令与步骤。
Windows server 2012 的ad回收站又有了进一步的改良，他提供容易使用的图像界面管理工具。
要启用ad回收站，林与域功能级别必须是Windows Server 2008 R2（含）以上的级别。注意，一旦启用回收站，就无法在禁用，因此域与林功能基本也无法在被降级。
启用Active Directory回收站
打开Active Directory管理中心，单击左侧的域名contoso，单击右侧的启用回收站
因为域内有多个域控制器，需要等设置值被复制到所有的域控制器后，ad回收站功能才会完全正常。（我做实验，节约性能还有一台辅助域控没有打开）
开启辅助域控并复制设置值后再次开启回收站。
删除组织单位
试着将业务部删除，但是先将防止删除的选项删除
取消勾选防止意外删除。
接着删除业务部
还原组织单位
接下来，要通过回收站来救回组织单位，双击deleted objects。
选择要救回的组织单位，单击还原
删除域控制器与域
可以通过降级的方式来删除域控制器，也就是将Actice Directory从域控制器删除。在降级前先注意以下事项：
如果域内还有其他域控制器存在，则它会被降级为该域的成员服务器。
如果这台域控制器是此域内的最后一台域控制器，域内也没有其他的域控制器存在了，因此域将被删除，而域控制器也将会被降级为独立的服务器。
注：建议先将成员服务器脱离域，因为在域删除后，这台服务器的账户就无法登陆域了（域删除后，也可以再将成员服务器脱离域）。
必须是Enterprise Admins组的成员，才能有权限删除域内的最后一台域控制器。如果此域之下还有子域，请先删除子域。
如果此域控制器是全局编录服务器，请检查其所在站点内是否还有其他全局编录服务器，如果没有，请先指定另一台域控制器来扮演全局编录服务器，否则将影响用户登录。Active Directory站点和服务-Site- Defalut-First-Site-Name – Server-NTDS Setting并单击鼠标右键-属性-勾选全局编录
如果删除的域控制器是林内最后一台域控制器，则林辉被一起删除。Enterprise Admins组的成员才有权限删除这台域控制器与林。
删除域控制器步骤：
选择拥有权限的账户
如因为故障无法删除此域控制器(如，在删除时，需要能够连接企图域控制器，但是一直无法连接)此时可以勾选强制删除此域控制器。
属于降级后的本地administrator密码
降级后服务器会重启，并重新登陆
虽然这台服务器已经不再是域控了，不过此时域服务组件依然存在还是要继续去删除。
删除最后一台域控
当域中已经没有其他域控制器时，最后一台删除时会多此选项。
删除dns区域和应用程序分区
完成后将管理工具删除
阅读(...) 评论()Daniel1688 的BLOG
用户名：Daniel1688
文章数：24
访问量：2271
注册日期：
阅读量：5863
阅读量：12276
阅读量：337581
阅读量：1040988
51CTO推荐博文
&DNS配置打开“网络和共享中心”在安装完域控制器后，DNS地址已转变为指向本地的127.0.0.1，可以更改为本机IP192.168.0.22.在Server Manager中打开Tools内的DNS组件3.正向查找区域如下图所示4.在Reverse Lookup Zones新建区域&5.新建“反向查找区域向导”6.这里有三种区域类型：1）主区域2）辅助区域3）末节区域我们选择“主区域”7.选择“活动目录区域数据复制类型”8.选择“IPV4反向查找区域”9.网络ID,填写网络ID为192.168.0网段10.动态更新选择“仅允许安全动态更新”11.汇总信息，点完成，反向查找区域建立完毕。12.在反向查找区域新建“PTR”记录13．点“浏览”依次定位到</的记录下的2012DC的A记录14．完成后的图示15.通过nslookup解析到</的IP为192.168.0.2&&&
了这篇文章
类别：未分类┆阅读(0)┆评论(0)小孙村长 的BLOG
用户名：小孙村长
文章数：99
评论数：303
访问量：416446
注册日期：
阅读量：5863
阅读量：12276
阅读量：337581
阅读量：1040988
51CTO推荐博文
&很久没有和大家分享了，近日完成了域控从Windows&server&2008迁移到Windows&server2012的实测，传将上来与大家共享，迁移的步骤和迁移到基本相同，下图为迁移的基础架构示图首要做的就是备份，这是准备工作中的重点，一旦发生迁移故障中断，可以迅速恢复到原状态，以保证正常的应用。备份完成后，正式进入迁移的实操，操作系统的版本和网络配置如上图所示。&1、把加入到中作为域成员，添加完成以后，打开服务器管理器，添加角色。&&点击“下一步”，选择基于角色或基于功能的安装选项，&&选项目标服务器，在Windows&server&2012中可以实现对服务器组的管理（这是的一个亮点哦），我们这里只选择当前的服务器就可以了&&再接下来的安装界面和就相似了，&&此处省略了几个添加功能的步骤，直接上结果界面&&2、添加后，接下来配置它，在服务器管理器左侧的仪表板中打开，在右侧的内容管理器中会的状态，在右侧的界面的顶端有一个很友好的内容警示提醒，&点击警示栏中的“更多”链接，弹出通知窗口，在通知窗口中可以看到当前正在进行配置的任务状态的明细进度&点击操作栏中的“将此服务器提升为域控制器”的按钮，&此时的“阶段”状态将由“未开始”变成“正在运行”。3、接下来进入域服务器配置向导，选择“将域控制器添加到现有域”&&4、当继续点击“下一步”按钮时，弹出副本验证失败的警示，原因就是凭据失败，这是用当前用户（工作组）权限验证，当然是失败的，既然是工作组用户不能验证，当然就需要更改为域用户来验证了，&&5、&通过了验证后，接下来就是域控升级的第一个惊喜，也是最为关键的步骤，警示栏很友好的告诉我们林功能级别不够，&&接下来升级的。在本示例中，我的是从一路升级过来的，所以会提示林域功能级别低，倘若初始化安装在下面，则其域功能级别默认为，可以直接跳过步骤，进入步骤&所示。6、&把的安装光盘中的目录下的目录拷贝到的系统盘下，用管理员身份打开命令提示框，输入命令，升级的林架构&&7、输入命令升级&域架构&8、输入命令，更新组策略对象的权限&&9、输入命令对只读域控器的支持&10、提升域功能级别到&11、&返回到接第步所示，通过验证点击下一步继续进行，勾选域控制器功能选项：和&12、&配置选项，由于在上没有做做委派，在这里我们可以略过。&13、&选择信息的复制来源&14、指定数据库、日志文件和的存储位置，默认情况下，我们一般都会在系统目录下。&15、&最后安装前的选项确认&在这个步骤中如果有修改的选项，返回修改还来得及。&16、安装的条件检查，很顺利就通过了检查，检查结果中的绿色提醒我很喜欢，如果是检测失败的颜色会不会是红色呢？这个暂时没有遇到，不过我们肯定也都不喜欢红色的。&17、开始安装，完成后系统将重启&18、系统重启后在下，可以使用快捷键开启开始菜单，选择命令提示符（管理员），这个比在下更方便了。然后执行&查看的种角色，在命令行下我们可以看到架构主机、域命名主机、结构主机均是，接下来要做的就是把这些角色一一转移到的上，还是用管理员身份在命令行界面输入打开控制台，添加域、用户和计算机、站点和服务，添加完成以后，在控制台的的用户和计算机下的的右键菜单中打开“操作主机”&&19、依次将、和基础结构传递给，传递完成后的视图如下&&20、更改域命名操作主机&打开域和信任关系，在右键菜单中选择“更改域控制器”，在更改目录服务器的界面中看以看到当前的目录服务器为，在实例列表中找到&完成更改后，左侧的域和信任关系节点将变为&依旧是在其根目录的节点处点击右键，在右键菜单中选择“操作主机”，在操作主机界面中把域命名操作主机更改为&21、在管理员命令提示符下运行注册架构主机&22、注册完成后，在控制下添加架构（参加步骤），&点击确定后会有一个提示&点击确定后，在AD架构根节点的右键菜单上选择“操作主机”选项弹出更改架构主机的界面，选择更改按钮完成架构主机的修改。&23、打开站点和服务节点，依次展开打开属性，取消勾选全局编录。&24、在控制台中选择用户和计算机节点，有右键菜单中选择“提升域功能级别”，在可用域功能级别的列表中有、、、，在做域功能升级时只能逐级从低版本往高版本升级，不可以跨版本升级。&提升完成后，现在的就真的是一台域控了，在命令提示符下执行检察的种角色&至此完成AD从到的迁移&&&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
14:55:50 08:43:49The page is temporarily unavailable
nginx error!
The page you are looking for is temporarily unavailable.
Please try again later.
Website Administrator
Something has triggered an error on your
This is the default error page for
nginx that is distributed with
It is located
/usr/share/nginx/html/50x.html
You should customize this error page for your own
site or edit the error_page directive in
the nginx configuration file
/etc/nginx/nginx.conf.