部署額外域控制器

部署額外域控制器

在前面的博文中我們介紹了域控制器在進行網絡資源分配時的核心作用，而且我們分析了一下一旦域控制器崩潰會導致的災難場景，上篇博文中我們提出使用對AD數據備份的方法來進行域控制器的災難重建，今天我們介紹使用額外域控制器來避免域的崩潰。

如果域中只有一臺域控制器，一旦出現物理故障，我們即使可以從備份還原AD，也要付出停機等待的代價，這也就意味着公司的業務將出現停滯。部署額外域控制器，指的是在域中部署第二個甚至更多的域控制器，每個域控制器都擁有一個Active Directory數 據庫。使用額外域控制器的好處很多，首先是避免了域控制器損壞所造成的業務停滯，如果一個域控制器損壞了，只要域內其他的域控制器有一個是工作正常的，域 用戶就可以繼續完成用戶登錄，訪問網絡資源等一系列工作，基於域的資源分配不會因此停滯。使用域控制器還可以起到負載平衡的作用，如果公司內只有一個域控 制器，而公司用戶達到上萬人，假設域控制器處理一個用戶登錄的時間是0.1秒， 那最後一個用戶登錄進入系統肯定要遭遇一定的延遲。如果有額外域控制器，那麼每個額外域控制器都可以處理用戶的登錄請求，用戶就不用等待那麼長時間了。尤 其是如果域的地理分佈跨了廣域網，例如域內的計算機有的在北京，有的在上海，有的在廣州，那麼顯然上海用戶的登錄請求通過低速的廣域網提交到北京的域控制 器上進行驗證不是一個效率高的辦法，比較理想的辦法是在北京，上海，廣州都部署額外域控制器以方便用戶就近登錄。

域中如果有多個域控制器，那麼每個域控制器上都擁有Active Directory數據庫，而且域控制器上的Active Directory內容是動態同步的，也就是說，任何一個域控制器修改了Active Directory，其他的域控制器都要把這個修改作用到自己的Active Directory上，這樣才能保證Active Directory數據的完整性和唯一性。否則如果每個域控制器的Active Directory內容不一致，域控制器的權威性就要受到質疑了。

提到這裏，順便說一下主域控制器這個名詞，很多朋友喜歡把域內的第一臺域控制器稱爲主域控制器，其他的額外域控制器稱爲輔域控制器，嚴格來說這種說法並不嚴謹。主域控制器這個術語在NT4的環境下是成立的，因爲NT4的域把域控制器分爲兩類，主域控制器和備份域控制器。兩者的區別在於只有主域控制器才能修改域內的數據，而備份域控制器只有讀取域內數據的權限，類似於DNS的主服務器和輔助服務器的區別。NT4的這種結構我們稱之爲單主複製，而自從Win2000使用了Active Directory之後，所有的域控制器都可以自主地修改Active Directory數據庫的內容，現在的域結構我們稱之爲多主複製。因此，Win2003域中的第一臺域控制器我們稱之爲主域控制器是不太嚴謹的，雖然事實上第一臺域控制器比其他的域控制器承擔了更多的任務。

這次實驗我們準備在域中部署一個額外域控制器，額外域控制器的角色由Firenze來承擔，拓撲如下圖所示，DNS服務器仍然是由一臺單獨的計算機192.168.11.1來承擔。

 

首先我們要在Firenze上設置TCP/IP的屬性，如下圖所示，我們要確保Firenze使用的DNS服務器是正確的，因爲Firenze要依靠DNS服務器來定位域控制器。Firenze不用先加入域，Firenze是工作組內的一臺獨立計算機也是可以的。

 

在Firenze上運行Dcpromo，如下圖所示。

 

出現Active Directory的安裝嚮導，點擊下一步繼續。

 

這次我們選擇創建現有域的額外域控制器，點擊下一步繼續。

 

輸入域管理員賬號，用以證明自己有權限完成額外域控制器的部署。

 

Firenze將成爲adtest.com域的額外域控制器。

 

Active Directory數據庫的存儲路徑使用默認值即可。

 

Sysvol文件夾的存儲路徑也可以使用默認值。

 

輸入目錄服務還原模式的管理員密碼，以後我們從備份還原Active Directory時可以用到。

 

確認所有的設置無誤，點擊下一步繼續。

 

如下圖所示，Firenze通過網絡從第一個域控制器Florence那裏複製Active Directory到本機。

 

Active Directory安裝完畢，點擊完成後Firenze會重新啓動，至此，額外域控制器部署結束。

 

Firenze部署完畢後，我們打開Firenze上的Active Directory用戶和計算機，如下圖所示，我們可以看到Firenze已經把Florence的Active Directory內容複製了過來。

 

檢查DNS服務器，可以看到DNS中已經有了Firneze的SRV記錄。

 

至此，部署Firenze作爲額外域控制器成功完成，從過程來看並不複雜。現在我們請大家考慮一個問題，Florence和Firenze是現在域中的兩個域控制器，Florence和Firenze的Active Directory內容應該完全一致，但如果現在Florence和Firenze的Active Directory內容出現了差異，那應該以哪個域控制器的內容爲主呢？問題的答案將在下篇博文中揭曉。