前言
在部署活动目录服务的时候,首先应该考虑域控制器的安全性,主域控一旦崩掉,一般很难修复,后果非常严重,本文介绍在活动目录中部署两台域控制器,两台都是主控,互为冗余。
环境
网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2
域名 contoso.com
DC1 192.168.100.11/24
DC2 192.168.100.12/24
Server 192.168.100.13/24
PC1 192.168.100.14/24
部署第一台域控
修改机器名和ip
先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成dc1.contoso.com
安装域功能
选择服务器
选择域服务
提升为域控制器
添加新林
此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为http://www.contoso.com,则内部的林根域名就不能是contoso.com,否则未来可能会有兼容问题。另外.com后缀也是可以更改的,如.us.
选择林功能级别,域功能级别。、
此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别
默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能
设置目录还原密码。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码
此密码建议要牢记,是作为登录域的密码。冗余域控制器的密码也需要跟它保持一致。
出现此警告无需理会,会自动安装DNS服务器。另外需关注目录服务器的名称是否修改。
系统会自动创建一个netbios名称,可以更改。
不支持DNS域名的旧系统,如win98 winnt需要通过netbios名来进行通信
- 数据库文件夹:用了存储AD数据库
- 日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库
-
SYSVOL文件夹:用了存储域共享文件(例如组策略)
如果计算机内有多个硬盘,建议将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力。(不过我认为现在都是RAID模式了没必要分开,和操作系统分区分开就可以了)
检查摘要内容,如果没有问题,直接选择一下部,如果有问题,则返回修改,如下图:
顺利通过检查,直接安装
安装完成重启
安装完成后服务起管理器会多很多AD的常用管理命令,点击"工具",如图:
检查DNS服务器内的记录是否完备
域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆:contoso\administrator或者contoso.com\administrator
检查主机记录
选择管理工具-dns
默认会有一个contoso.com的区域,主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内
如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演
排除注册失败的问题
如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip美元正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如server1.contoso.com,ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务
创建更多的域控制器
如果一个域内有多个域控制器,可以有如下好处.
提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
可以配置成为冗余,其中一台故障,不需要切换仍然可保持正常服务。
1、首先改名,修改IP,配置DNS指向第一台域控制器:192.168.100.11完成后确认能ping通。
2、在第二服务器系统中,打开计算机属性,修改计算机名为DC2,加入域为contoso.com,DNS后缀为contoso.com,如图;然后再弹出的加入域授权凭据对话框中输入域控制器的账号和密码并确定,然后重启,完成域的加入。参考下图:
3、按照第一台域控制器的方法,安装Active Directory 域服务和DNS服务器角色。
4、在Active Directory 域服务配置向导的部署配置标签中,选择将域控制器增加到现有域,填写域名contoso.com,提供此操作的凭据abc\administrator(域管理员账户密码作为凭据)选择下一步,参考如图。
5、在Active Directory 域服务配置向导的域控制器选项标签中,勾选全局编录GC,选择站点名称contoso(域内站点多的话会要求选择),输入DSRM还原密码(密码是新设置的哦),然后选择下一步,参考如图。
6、在Active Directory 域服务配置向导的DNS选项标签到查看选项标签,默认下一步即可,在先决条件检查,查看检查通过,就可以选择安装了,如图;完成后重启DC2。
7、然后切换到DC1,打开DNS服务器,在contoso.com区域上点击右键属性,在常规标签,更改域控制器与DNS集成,并应用,参考如图
8、在常规标签中,更改如何复制区域数据为,至此域中的所有DNS服务器,动态更新设置为安全,参考下图。
9、在DC1上的DNS服务器中的contoso.com区域属性上,在名称服务器标签中,增加DC2为名称服务器,在弹出框中输入 dc2的IP和完全限定的域名 dc2.contoso.com,参考下图。
10、切换至DC2,重复以上步骤(名称服务器地址和完全限定域名是DC1的),完成后刷新,会看到和DC1上的DNS服务器一样的contoso.com区域内容。
11、验证
在DC2上打开Active Directory 用户和计算机,会发现内容和DC1上的完全一致,在Domain Controller中可以看到,DC1、DC2、类型都是全局编录GC,表示两个域控制器是平等互为冗余的(记得在把域中的计算机对象DNS同时指向192.168.100.11和192.168.100.12,这样在当某台域控制器宕机时,不会影响域的正常使用哦)。
————————————————
版权声明:本文为CSDN博主「weixin_40283570」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_40283570/article/details/81184299