此文章轉至https://blog.csdn.net/weixin_40283570/article/details/81184299
前言
在部署活動目錄服務的時候,首先應該考慮域控制器的安全性,主域控一旦崩掉,一般很難修復,後果非常嚴重,本文介紹在活動目錄中部署兩臺域控制器,兩臺都是主控,互爲冗餘。
環境
網絡192.168.100.1 子網掩碼 255.255.255.0 網關192.168.100.2
域名 contoso.com
DC1 192.168.100.11/24
DC2 192.168.100.12/24
Server 192.168.100.13/24
PC1 192.168.100.14/24
部署第一臺域控
修改機器名和ip
先修改ip地址,並且將dns指向自己,並且修改計算機名爲DC1,升級成域控後,機器名稱會自動變成dc1.contoso.com
安裝域功能
選擇服務器
選擇域服務
提升爲域控制器
添加新林
此林根域名不要與對外服務器的DNS名稱相同,如對外服務的DNS URL爲http://www.contoso.com,則內部的林根域名就不能是contoso.com,否則未來可能會有兼容問題。另外.com後綴也是可以更改的,如.us.
選擇林功能級別,域功能級別。、
此處我們選擇的爲win 2012 ,此時域功能級別只能是win 2012,如果選擇其他林功能級別,還可以選擇其他域功能級別
默認會直接在此服務器上安裝DNS服務器
第一臺域控制器必須是全局編錄服務器的角色
第一臺域控制器不可以是隻讀域控制器(RODC)這個角色是win 2008時新出來的功能
設置目錄還原密碼。
目錄還原模式是一個安全模式,可以開機進入安全模式時修復AD數據庫,但是必須使用此密碼
此密碼建議要牢記,是作爲登錄域的密碼。冗餘域控制器的密碼也需要跟它保持一致。
出現此警告無需理會,會自動安裝DNS服務器。另外需關注目錄服務器的名稱是否修改。
系統會自動創建一個netbios名稱,可以更改。
不支持DNS域名的舊系統,如win98 winnt需要通過netbios名來進行通信
數據庫文件夾:用了存儲AD數據庫
日誌文件文件夾:用了存儲AD的更改記錄,此記錄可以用來修復AD數據庫
SYSVOL文件夾:用了存儲域共享文件(例如組策略)
如果計算機內有多個硬盤,建議將數據庫與日誌文件夾分別設置到不同的硬盤內,分兩個硬盤可以提供運行效率,而且分開存儲可以避免兩份數據同時出現問題,以提高修復AD的能力。(不過我認爲現在都是RAID模式了沒必要分開,和操作系統分區分開就可以了)
檢查摘要內容,如果沒有問題,直接選擇一下部,如果有問題,則返回修改,如下圖:
順利通過檢查,直接安裝
安裝完成重啓
安裝完成後服務起管理器會多很多AD的常用管理命令,點擊"工具",如圖:
檢查DNS服務器內的記錄是否完備
域控會將自己扮演的角色註冊到DNS服務器內,以便讓其他計算機能夠通過DNS服務器來找到域控。因此先檢查DNS服務器內是否已經存在這些記錄。需要用域管理員賬戶來登陸:contoso\administrator或者contoso.com\administrator
檢查主機記錄
選擇管理工具-dns
默認會有一個contoso.com的區域,主機記錄表示域控dc.contoso.com已經正確的將其主機名與IP地址註冊到DNS服務器內。
如果域控制器已經正確的將家裏註冊到dns服務器,應該還會有_tcp _udp等文件夾。單擊_tcp文件夾後可以看到數據類型爲服務位置(SRV)的_ldap記錄,表示dc1.contoso.com已經正確的註冊爲域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。
排除註冊失敗的問題
如果域成員本身的設置或者網絡問題,會造成無法將數據註冊到DNS服務器。
如果有成員計算機的主機與ip美元正確註冊到DNS服務器,可以到此機器上運行ipconfig /registerdns來手動註冊。完成後,到DNS服務器檢查是否已有正確記錄,例如server1.contoso.com,ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。
如果發現域控制器沒有將其扮演的角色註冊到dns服務器,也就是沒有_tcp文件夾與記錄,到服務器中重啓netlogon服務
創建更多的域控制器
如果一個域內有多個域控制器,可以有如下好處.
提高用戶登錄的效率:如果同時有多臺域控制器對客戶提供服務,可以分擔審覈用戶登錄身份(賬戶與密碼)的負擔,讓用戶登錄效率更佳。
排錯功能:如果有域控制器發生故障,此時依然能有其他正常的域控制器繼續提供域服務器。
可以配置成爲冗餘,其中一臺故障,不需要切換仍然可保持正常服務。
1、首先改名,修改IP,配置DNS指向第一臺域控制器:192.168.100.11完成後確認能ping通。
2、在第二服務器系統中,打開計算機屬性,修改計算機名爲DC2,加入域爲contoso.com,DNS後綴爲contoso.com,如圖;然後再彈出的加入域授權憑據對話框中輸入域控制器的賬號和密碼並確定,然後重啓,完成域的加入。參考下圖:
3、按照第一臺域控制器的方法,安裝Active Directory 域服務和DNS服務器角色。
4、在Active Directory 域服務配置嚮導的部署配置標籤中,選擇將域控制器增加到現有域,填寫域名contoso.com,提供此操作的憑據abc\administrator(域管理員賬戶密碼作爲憑據)選擇下一步,參考如圖。
5、在Active Directory 域服務配置嚮導的域控制器選項標籤中,勾選全局編錄GC,選擇站點名稱contoso(域內站點多的話會要求選擇),輸入DSRM還原密碼(密碼是新設置的哦),然後選擇下一步,參考如圖。
6、在Active Directory 域服務配置嚮導的DNS選項標籤到查看選項標籤,默認下一步即可,在先決條件檢查,查看檢查通過,就可以選擇安裝了,如圖;完成後重啓DC2。
7、然後切換到DC1,打開DNS服務器,在contoso.com區域上點擊右鍵屬性,在常規標籤,更改域控制器與DNS集成,並應用,參考如圖
8、在常規標籤中,更改如何複製區域數據爲,至此域中的所有DNS服務器,動態更新設置爲安全,參考下圖。
9、在DC1上的DNS服務器中的contoso.com區域屬性上,在名稱服務器標籤中,增加DC2爲名稱服務器,在彈出框中輸入 dc2的IP和完全限定的域名 dc2.contoso.com,參考下圖。
10、切換至DC2,重複以上步驟(名稱服務器地址和完全限定域名是DC1的),完成後刷新,會看到和DC1上的DNS服務器一樣的contoso.com區域內容。
11、驗證
在DC2上打開Active Directory 用戶和計算機,會發現內容和DC1上的完全一致,在Domain Controller中可以看到,DC1、DC2、類型都是全局編錄GC,表示兩個域控制器是平等互爲冗餘的(記得在把域中的計算機對象DNS同時指向192.168.100.11和192.168.100.12,這樣在當某臺域控制器宕機時,不會影響域的正常使用哦)。
作者:weixin_40283570
來源:CSDN
原文:https://blog.csdn.net/weixin_40283570/article/details/81184299
版權聲明:本文爲博主原創文章,轉載請附上博文鏈接!