搭建域控

1）使用添加角色和功能向导
2）在服务器角色中选择 Active Directory 域服务
3）角色安装完成后，将此服务器提升为域控制器，注意系统管理员密码必须符合要求
4）安装需求选择，一共三个选项
1. 将域控制器添加到现有域添加副域控制器，典型应用：域控容灾
2. 将新域添加到现有林典型应用：集团多公司使用单林多域，域都是独立运行管理。
3. 添加新林添加新林中第一台域控即根域
5）目录服务还原模式密码（可以和开机密码不一样）
还原域控制器上的Sysvol目录和Active Directory目录服务。
6）指定域名系统（DNS）服务器、全局编录（GC）

DNS服务器地址，必须指向域控服务器的ip地址。
注：除了主域之外，第一个副域最好也设置全局编录。
全局编录（GC）：将主域的目录数据库全部备份。可以使用Windows自带的ntbackup备份域控。

副域控可以设置域用户，但在主域无法使用是，副域无法设置组策略

安装需要做域控的服务器系统时，不要使用Ghost系统备份。因为在域控上，有一个Tombstone lifetime，即存活时间，这个时间默认是60天，如果一台域控制器离线的时间超过60天，那么这台域控制器就算重新接到网络中来，其它的域控制器也不会把信息复制给它，可以说，这台域控制器已经脱域了。
除了使用计算机属性来加域，还可以使用Profwiz迁域工具，来加域或迁域。

FSMO角色功能

架构主机 (Schema Master) 在整个林中，只能有一个更新和控制整个林中所有对象和属性的定义。
当架构主机不可用时，不能对架构进行更改。主要会在安装exchange邮箱时会出现问题。
域命名主机 (Domain Naming Master) 在整个林中，只能有一个。向林中添加删除域，防止林中的域名重复。
当域命名主机不可用时，不能直接通过dcpromo添加域，也不能从删除域，同时会收到一"RPC 服务器不可用"的提示。
PDC模拟器(PDC Emulator) 树中的每个域都只能有一个。管理密码更改，同步整个域内所有域控制器上的时间，组策略下发。
当PDC主机不可用时，用户登录失败的可能性增大。编辑组策略对象时会出错。
RID主机 (RID Master) 树中的每个域都只能有一个。给每个域控制器创建的用户、用户组，生成一个唯一的安全ID。当RID主机不可用时，主要问题是客户端不能加域。同时会出现错误消息："Windows 不能创建对象，因为：目录服务已经用完了相对标识号池"。
基础架构主机 (Infrastructure Master) 树中的每个域都只能有一个。负责用户从一个域（Domain）转移到另外一个域（Domain）的对象更新。
当基础架构主机不可用时，用户并不能感觉到它的影响，只对管理员执行操作时产生影响。通常是添加用户和/或重新命名用户。