前言ios
在部署活動目錄服務的時候,首先應該考慮域控制器的安全性,主域控一旦崩掉,通常很難修復,後果很是嚴重,本文介紹在活動目錄中部署兩臺域控制器,兩臺都是主控,互爲冗餘。數據庫
環境
網絡192.168.100.1 子網掩碼 255.255.255.0 網關192.168.100.2安全
域名 contoso.com服務器
DC1 192.168.100.11/24網絡
DC2 192.168.100.12/24tcp
Server 192.168.100.13/24工具
PC1 192.168.100.14/24操作系統
部署第一臺域控
修改機器名和ip
先修改ip地址,而且將dns指向本身,而且修改計算機名爲DC1,升級成域控後,機器名稱會自動變成dc1.contoso.com.net
選擇服務器3d
選擇域服務
添加新林
此林根域名不要與對外服務器的DNS名稱相同,如對外服務的DNS URL爲http://www.contoso.com,則內部的林根域名就不能是contoso.com,不然將來可能會有兼容問題。另外.com後綴也是能夠更改的,如.us.
選擇林功能級別,域功能級別。、
此處咱們選擇的爲win 2012 ,此時域功能級別只能是win 2012,若是選擇其餘林功能級別,還能夠選擇其餘域功能級別
默認會直接在此服務器上安裝DNS服務器
第一臺域控制器必須是全局編錄服務器的角色
第一臺域控制器不能夠是隻讀域控制器(RODC)這個角色是win 2008時新出來的功能
設置目錄還原密碼。
目錄還原模式是一個安全模式,能夠開機進入安全模式時修復AD數據庫,可是必須使用此密碼
此密碼建議要牢記,是做爲登陸域的密碼。冗餘域控制器的密碼也須要跟它保持一致。
出現此警告無需理會,會自動安裝DNS服務器。另外需關注目錄服務器的名稱是否修改。
系統會自動建立一個netbios名稱,能夠更改。
不支持DNS域名的舊系統,如win98 winnt須要經過netbios名來進行通訊
SYSVOL文件夾:用了存儲域共享文件(例如組策略)
若是計算機內有多個硬盤,建議將數據庫與日誌文件夾分別設置到不一樣的硬盤內,分兩個硬盤能夠提供運行效率,並且分開存儲能夠避免兩份數據同時出現問題,以提升修復AD的能力。(不過我認爲如今都是RAID模式了不必分開,和操做系統分區分開就能夠了)
檢查摘要內容,若是沒有問題,直接選擇一下部,若是有問題,則返回修改,以下圖:
順利經過檢查,直接安裝
安裝完成重啓
安裝完成後服務起管理器會多不少AD的經常使用管理命令,點擊"工具",如圖:
檢查DNS服務器內的記錄是否完備
域控會將本身扮演的角色註冊到DNS服務器內,以便讓其餘計算機可以經過DNS服務器來找到域控。所以先檢查DNS服務器內是否已經存在這些記錄。須要用域管理員帳戶來登錄:contoso\administrator或者contoso.com\administrator
檢查主機記錄
選擇管理工具-dns
默認會有一個contoso.com的區域,主機記錄表示域控dc.contoso.com已經正確的將其主機名與IP地址註冊到DNS服務器內
若是域控制器已經正確的將家裏註冊到dns服務器,應該還會有_tcp _udp等文件夾。單擊_tcp文件夾後能夠看到數據類型爲服務位置(SRV)的_ldap記錄,表示dc1.contoso.com已經正確的註冊爲域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演
排除註冊失敗的問題
若是域成員自己的設置或者網絡問題,會形成沒法將數據註冊到DNS服務器。
若是有成員計算機的主機與ip美圓正確註冊到DNS服務器,能夠到此機器上運行ipconfig /registerdns來手動註冊。完成後,到DNS服務器檢查是否已有正確記錄,例如server1.contoso.com,ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。
若是發現域控制器沒有將其扮演的角色註冊到dns服務器,也就是沒有_tcp文件夾與記錄,到服務器中重啓netlogon服務
建立更多的域控制器
若是一個域內有多個域控制器,能夠有以下好處.
提升用戶登陸的效率:若是同時有多臺域控制器對客戶提供服務,能夠分擔審覈用戶登陸身份(帳戶與密碼)的負擔,讓用戶登陸效率更佳。
排錯功能:若是有域控制器發生故障,此時依然能有其餘正常的域控制器繼續提供域服務器。
能夠配置成爲冗餘,其中一臺故障,不須要切換仍然可保持正常服務。
一、首先更名,修改IP,配置DNS指向第一臺域控制器:192.168.100.11完成後確認能ping通。
二、在第二服務器系統中,打開計算機屬性,修改計算機名爲DC2,加入域爲contoso.com,DNS後綴爲contoso.com,如圖;而後再彈出的加入域受權憑據對話框中輸入域控制器的帳號和密碼並肯定,而後重啓,完成域的加入。參考下圖:
三、按照第一臺域控制器的方法,安裝Active Directory 域服務和DNS服務器角色。
四、在Active Directory 域服務配置嚮導的部署配置標籤中,選擇將域控制器增長到現有域,填寫域名contoso.com,提供此操做的憑據abc\administrator(域管理員帳戶密碼做爲憑據)選擇下一步,參考如圖。
五、在Active Directory 域服務配置嚮導的域控制器選項標籤中,勾選全局編錄GC,選擇站點名稱contoso(域內站點多的話會要求選擇),輸入DSRM還原密碼(密碼是新設置的哦),而後選擇下一步,參考如圖。
六、在Active Directory 域服務配置嚮導的DNS選項標籤到查看選項標籤,默認下一步便可,在先決條件檢查,查看檢查經過,就能夠選擇安裝了,如圖;完成後重啓DC2。
七、而後切換到DC1,打開DNS服務器,在contoso.com區域上點擊右鍵屬性,在常規標籤,更改域控制器與DNS集成,並應用,參考如圖
八、在常規標籤中,更改如何複製區域數據爲,至此域中的全部DNS服務器,動態更新設置爲安全,參考下圖。
九、在DC1上的DNS服務器中的contoso.com區域屬性上,在名稱服務器標籤中,增長DC2爲名稱服務器,在彈出框中輸入 dc2的IP和徹底限定的域名 dc2.contoso.com,參考下圖。
十、切換至DC2,重複以上步驟(名稱服務器地址和徹底限定域名是DC1的),完成後刷新,會看到和DC1上的DNS服務器同樣的contoso.com區域內容。
十一、驗證
在DC2上打開Active Directory 用戶和計算機,會發現內容和DC1上的徹底一致,在Domain Controller中能夠看到,DC一、DC二、類型都是全局編錄GC,表示兩個域控制器是平等互爲冗餘的(記得在把域中的計算機對象DNS同時指向192.168.100.11和192.168.100.12,這樣在當某臺域控制器宕機時,不會影響域的正常使用哦)。 ———————————————— 版權聲明:本文爲CSDN博主「weixin_40283570」的原創文章,遵循CC 4.0 by-sa版權協議,轉載請附上原文出處連接及本聲明。原文連接:https://blog.csdn.net/weixin_40283570/article/details/81184299