前言
在部署活動目錄服務的時候,首先應該考慮域控制器的安全性,主域控一旦崩掉,一般很難修復,后果非常嚴重,本文介紹在活動目錄中部署兩台域控制器,兩台都是主控,互為冗余。
環境
網絡192.168.100.1 子網掩碼 255.255.255.0 網關192.168.100.2
域名 contoso.com
DC1 192.168.100.11/24
DC2 192.168.100.12/24
Server 192.168.100.13/24
PC1 192.168.100.14/24
部署第一台域控
修改機器名和ip
先修改ip地址,並且將dns指向自己,並且修改計算機名為DC1,升級成域控后,機器名稱會自動變成dc1.contoso.com
安裝域功能
選擇服務器
選擇域服務
提升為域控制器
添加新林
此林根域名不要與對外服務器的DNS名稱相同,如對外服務的DNS URL為http://www.contoso.com,則內部的林根域名就不能是contoso.com,否則未來可能會有兼容問題。另外.com后綴也是可以更改的,如.us.
選擇林功能級別,域功能級別。、
此處我們選擇的為win 2012 ,此時域功能級別只能是win 2012,如果選擇其他林功能級別,還可以選擇其他域功能級別
默認會直接在此服務器上安裝DNS服務器
第一台域控制器必須是全局編錄服務器的角色
第一台域控制器不可以是只讀域控制器(RODC)這個角色是win 2008時新出來的功能
設置目錄還原密碼。
目錄還原模式是一個安全模式,可以開機進入安全模式時修復AD數據庫,但是必須使用此密碼
此密碼建議要牢記,是作為登錄域的密碼。冗余域控制器的密碼也需要跟它保持一致。
出現此警告無需理會,會自動安裝DNS服務器。另外需關注目錄服務器的名稱是否修改。
系統會自動創建一個netbios名稱,可以更改。
不支持DNS域名的舊系統,如win98 winnt需要通過netbios名來進行通信
- 數據庫文件夾:用了存儲AD數據庫
- 日志文件文件夾:用了存儲AD的更改記錄,此記錄可以用來修復AD數據庫
-
SYSVOL文件夾:用了存儲域共享文件(例如組策略)
如果計算機內有多個硬盤,建議將數據庫與日志文件夾分別設置到不同的硬盤內,分兩個硬盤可以提供運行效率,而且分開存儲可以避免兩份數據同時出現問題,以提高修復AD的能力。(不過我認為現在都是RAID模式了沒必要分開,和操作系統分區分開就可以了)
檢查摘要內容,如果沒有問題,直接選擇一下部,如果有問題,則返回修改,如下圖:
順利通過檢查,直接安裝
安裝完成重啟
安裝完成后服務起管理器會多很多AD的常用管理命令,點擊"工具",如圖:
檢查DNS服務器內的記錄是否完備
域控會將自己扮演的角色注冊到DNS服務器內,以便讓其他計算機能夠通過DNS服務器來找到域控。因此先檢查DNS服務器內是否已經存在這些記錄。需要用域管理員賬戶來登陸:contoso\administrator或者contoso.com\administrator
檢查主機記錄
選擇管理工具-dns
默認會有一個contoso.com的區域,主機記錄表示域控dc.contoso.com已經正確的將其主機名與IP地址注冊到DNS服務器內
如果域控制器已經正確的將家里注冊到dns服務器,應該還會有_tcp _udp等文件夾。單擊_tcp文件夾后可以看到數據類型為服務位置(SRV)的_ldap記錄,表示dc1.contoso.com已經正確的注冊為域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演
排除注冊失敗的問題
如果域成員本身的設置或者網絡問題,會造成無法將數據注冊到DNS服務器。
如果有成員計算機的主機與ip美元正確注冊到DNS服務器,可以到此機器上運行ipconfig /registerdns來手動注冊。完成后,到DNS服務器檢查是否已有正確記錄,例如server1.contoso.com,ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。
如果發現域控制器沒有將其扮演的角色注冊到dns服務器,也就是沒有_tcp文件夾與記錄,到服務器中重啟netlogon服務
創建更多的域控制器
如果一個域內有多個域控制器,可以有如下好處.
提高用戶登錄的效率:如果同時有多台域控制器對客戶提供服務,可以分擔審核用戶登錄身份(賬戶與密碼)的負擔,讓用戶登錄效率更佳。
排錯功能:如果有域控制器發生故障,此時依然能有其他正常的域控制器繼續提供域服務器。
可以配置成為冗余,其中一台故障,不需要切換仍然可保持正常服務。
1、首先改名,修改IP,配置DNS指向第一台域控制器:192.168.100.11完成后確認能ping通。
2、在第二服務器系統中,打開計算機屬性,修改計算機名為DC2,加入域為contoso.com,DNS后綴為contoso.com,如圖;然后再彈出的加入域授權憑據對話框中輸入域控制器的賬號和密碼並確定,然后重啟,完成域的加入。參考下圖:
3、按照第一台域控制器的方法,安裝Active Directory 域服務和DNS服務器角色。
4、在Active Directory 域服務配置向導的部署配置標簽中,選擇將域控制器增加到現有域,填寫域名contoso.com,提供此操作的憑據abc\administrator(域管理員賬戶密碼作為憑據)選擇下一步,參考如圖。
5、在Active Directory 域服務配置向導的域控制器選項標簽中,勾選全局編錄GC,選擇站點名稱contoso(域內站點多的話會要求選擇),輸入DSRM還原密碼(密碼是新設置的哦),然后選擇下一步,參考如圖。
6、在Active Directory 域服務配置向導的DNS選項標簽到查看選項標簽,默認下一步即可,在先決條件檢查,查看檢查通過,就可以選擇安裝了,如圖;完成后重啟DC2。
7、然后切換到DC1,打開DNS服務器,在contoso.com區域上點擊右鍵屬性,在常規標簽,更改域控制器與DNS集成,並應用,參考如圖
8、在常規標簽中,更改如何復制區域數據為,至此域中的所有DNS服務器,動態更新設置為安全,參考下圖。
9、在DC1上的DNS服務器中的contoso.com區域屬性上,在名稱服務器標簽中,增加DC2為名稱服務器,在彈出框中輸入 dc2的IP和完全限定的域名 dc2.contoso.com,參考下圖。
10、切換至DC2,重復以上步驟(名稱服務器地址和完全限定域名是DC1的),完成后刷新,會看到和DC1上的DNS服務器一樣的contoso.com區域內容。
11、驗證
在DC2上打開Active Directory 用戶和計算機,會發現內容和DC1上的完全一致,在Domain Controller中可以看到,DC1、DC2、類型都是全局編錄GC,表示兩個域控制器是平等互為冗余的(記得在把域中的計算機對象DNS同時指向192.168.100.11和192.168.100.12,這樣在當某台域控制器宕機時,不會影響域的正常使用哦)。
————————————————
版權聲明:本文為CSDN博主「weixin_40283570」的原創文章,遵循CC 4.0 by-sa版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/weixin_40283570/article/details/81184299