域控多分支架构部署域控服务

已于 2024-05-27 15:28:06 修改
阅读量1.4k 收藏 5
点赞数
分类专栏: Windows Server 文章标签: 运维 windows
于 2023-03-26 21:32:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/129021638
版权
文章详述了在WindowsServer2016环境下,如何部署多分支架构的域控服务,包括前置条件如ADDS版本、网络拓扑和防火墙设置,以及关键步骤如域控的站点配置、子网管理、DNS负载轮询和站点同步的实施流程。同时强调了在配置过程中对注册表和DNS记录的检查与调整的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows Server - 建设篇 - 域控服务

第二章 域控多分支架构部署域控服务

系列文章回顾

第一章 测试域控单分支架构部署域控



下章内容

第三章 域控的分布式系统DFSR服务配置

多分支架构部署域控服务

前置条件

  • AD域控版本:Windows Server 2016 AD DS
  • 测试环境拓扑:3个站点,1个总部,2个分支;总分支已通过VPN服务完成局域网互联互通;所有站点的本地均部署2台AD DS作为主备域控服务,3个站点共有6台域控主机服务,均升级至域控制器,都加入到一个林(xxx.com)的域控制器组。
  • 防火墙规则:每个站点之间的域控主机防火墙均打通135、139、445等端口的访问,出入站规则都要放通,确保域控之间不受防火墙或第三方杀软影响。



域控的站点配置与子网管理

实施步骤

注:带*的路径是通配符,即需要修改多个相同前缀路径的配置。

  1. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters (AD域控站点间同步配置时需检查)
  2. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters (AD域控实现站点的负载均衡配置时需检查)

实施流程

1. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters
注意事项:
1.若域控服务器之前修改过计算机名称,则注册表会残留以前的计算机名称,必须从注册表里调整为正确的值

Machine DN Name				# 必须为当前域控主机的CN名称 (若修改过计算机名称,此项需手动修改)
Root Domain					# CN必须为当前域控CN的DNS名称
Src Root Domain Srv			# 必须为PDC主机的DNS名称

3



2. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters
注意事项:
1.若域控服务器之前修改过计算机名称,则注册表会残留以前的计算机名称,必须从注册表里调整为正确的值

DynamicSiteName				# 必须为当前域控所属的站点名称。
SysVol						# 必须为C:\Windows\SYSVOL\sysvol

4




域控的DNS负载轮询与站点同步

实施步骤

注:带*的路径是通配符,即需要修改多个相同前缀路径的配置。

  1. 在PDC主机上配置“ADSI 编辑器”的所有配置,包括“Domain Controllers”文件夹
  2. 在PDC主机上配置“DNS管理器”的所有站点配置

实施流程

1. 在PDC主机上配置“ADSI 编辑器”的所有配置,包括“Domain Controllers”文件夹

5


Domain Controllers\域控CN的属性编辑器检查如下选项:

dNSHostName				# 必须为域控CN的DNS名称
rIDSetReferences		# CN必须是域控CN的DNS名称

servicePrincipalName	# 尤其重要,检查域控CN的servicePrincipalName的属性值.

servicePrincipalName	# 组成部分如下
 | -- Dfsr-GUID-域控CN.xxx.com
 | -- DNS/域控CN.xxx.com				# PDC主机有2条DNS前缀
 | -- GUID/GUID/xxx.com
 | -- GC/域控CN.xxx.com/xxx.com			# PDC主机有2条GC前缀
 | -- HOST/域控CN
 | -- HOST/域控CN.xxx.com
 | -- HOST/域控CN.xxx.com/XXX
 | -- HOST/域控CN.xxx.com/xxx.com
 | -- HOST/域控CN/XXX
 | -- ldap/GUID._msdcs.xxx.com
 | -- ldap/域控CN
 | -- ldap/域控CN.xxx.com
 | -- ldap/域控CN.xxx.com/DomainDnsZones.xxx.com
 | -- ldap/域控CN.xxx.com/ForestDNSZones.xxx.com
 | -- ldap/域控CN.xxx.com/XXXX
 | -- ldap/域控CN.xxx.com/xxx.com
 | -- ldap/域控CN/XXX
 | -- RestrictedKrbHost/域控CN
 | -- RestrictedKrbHost/域控CN.xxx.com
 | -- RPC/GUID._msdcs.xxx.com
 | -- TERMSRV/域控CN
 | -- TERMSRV/域控CN.xxx.com
 | -- WSMAN/域控CN
 | -- WSMAN/域控CN.xxx.com

6
7
8


Domain Controllers\域控CN\DFSR-LocalSettings\Domain System Volume\SYSVOL Subscription的属性编辑器检查如下选项:

msDFSR-RootPath			C:\Windows\SYSVOL\domain							# 必须为该目录路径
msDFSR-StagingPath		C:\Windows\SYSVOL\staging areas\xxx.com				# 必须为该目录路径

CN=Topology		# 拓扑里必须得有所有域控制器的CN

9
10



2. 在PDC主机上配置“DNS管理器”的所有站点配置
DNS管理器的配置分为_msdcs.xxx.com区域、xxx.com区域
注意事项:
1.DNS配置的树结构必须完全一致,否则AD域控的站点负载均衡将失效。
2.若缺少站点文件夹,可以新增主机记录之后拿到站点文件夹再删除主机记录,就会保留站点文件夹。


_msdcs.xxx.com区域配置详细参数表格

文件夹详细内容参数说明
_msdcs.xxx.comPDC主机的SOA记录
所有域控制器的NS记录
所有域控制器的CNAME记录		SOA:起始授权机构
NS:名称服务器
CNAME:别名
dc --> _sites --> siteN --> _tcp_kerberos:SRV记录 [0][100][88] 站点的域控制器DNS名称
_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称		SRV:服务位置。 三个方框分别表示 优先级、权重、端口号。最后是DNS名称。
_kerberos类型的记录一般是为域用户提供票据的作用,票据可在用户跟域控失联时登录域账号使用。    Kerberos_百度百科
_ldap类型的记录一般是为域用户提供登录认证的作用,使用域账号登录PC时需跟域控389端口互联进行认证才可以成功登录到域环境的PC。
dc --> _tcp默认存储所有站点的_kerberos和_ldap记录当域用户跟站点内的域控制器通信失败时就会找到dc文件夹下的记录进行通信
domains --> PDC主机GUID --> _tcp默认存储所有站点的_ldap记录-
gc --> _sites --> siteN --> _tcp_ldap: SRV记录 [0][100][3268] 站点的域控制器DNS名称GC全局编录的_ldap记录,一般用于站点内域控制器之间的GC站点数据同步
gc --> _tcp默认存储所有站点的_ldap记录(GC全局编录)当站点内域控制器之间通信失败时就会找到gc文件夹下的记录进行通信
pdc --> _tcp_ldap: SRV记录 [0][100][389] PDC主域控制器的DNS名称PDC主域控制器的LDAP记录

_msdcs.xxx.com区域的配置如下图,涉及站点的配置集中在_sites文件夹,GC全局编录的配置集中在gc文件夹,另外还有pdc主机的dns配置、domains域的dns配置。详细配置参考如上表格
11



xxx.com区域配置详细参数表格

文件夹详细内容参数说明
xxx.comPDC主机的SOA记录
所有域控制器的NS记录
所有域用户的A记录		A:主机
_msdcs同_msdcs.xxx.com一致同_msdcs.xxx.com一致
_sites --> siteN --> _tcp_kerberos:SRV记录 [0][100][88] 站点的域控制器DNS名称
_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称
_gc: SRV记录 [0][100][3268] 站点的域控制器DNS名称		-
_sites --> _tcp默认存储所有站点的_kerberos记录、_kpasswd记录、_ldap记录、_gc记录_kpasswd: SRV记录 [0][100][464] 站点的域控制器DNS名称
_sites --> _udp默认存储所有站点的_kerberos记录、_kpasswd记录UDP协议通信失败时会转到TCP协议通信
DomainDnsZones --> _sites --> siteN --> _tcp_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称-
DomainDnsZones --> _tcp默认存储所有站点的_ldap记录-
ForestDnsZones --> _sites --> siteN --> _tcp_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称-
ForestDnsZones --> _tcp默认存储所有站点的_ldap记录-

xxx.com区域的配置如下图,涉及站点的配置集中在_sites文件夹,GC全局编录的配置集中在gc文件夹,pdc主机的dns配置、domains域的dns配置。另外还有DomainDnsZones和ForestDnsZones区域的配置
12

13
14



参考链接

  1. [windows server 2008 站点系列一]AD的站点建立与子网的管理
  2. [windows server 2008 站点系列一]AD的站点建立与子网的管理
  3. 设计站点拓扑 | Microsoft Learn
3个分支公司中的部门子制器的创建方法与3个分支公司的第一台子制器一样
一意孤行
10-14 2245
制器和操作主机角色规划考虑 <br />制器和操作主机角色方面主要是要考虑到制器的多少,以及各种操作主机角色的分布。在一般的小型(1 00个用户以内)局网中,只需一个制器,而且所有操作主机角色都集中在制器上(第一台服务器)。而当网络规模大了后,考虑到制器的负荷,通常建议在安装了第一台服务器之后再配置另一台,或几台额外制器,以均衡分担第一台制器的负荷。这些额外制器同样具有第一台服务器的Active Directory目录副本,所以它们也可在其他制器失效时接替所有的工
多区DNS以及主从DNS的搭建
m0_68394388的博客
07-24 1761
搭建多dns服务器:搭建DNS多区功能(Multi-Zone DNS)主要是为了满足复杂网络环境下的多样化需求,提高DNS服务的灵活性、可扩展性和可靠性。
3.AD安装部署手册
yangchengnanzhan的博客
03-23 556
AD活动目录系统安装部署全过程
功能部署
灬紫荆灬
06-30 1658
系统环境:windows server 2012 R 1角色安装 1.1在需要添加为制器的服务器上打开“服务器管理器”,点击“添加角色和功能 1.2安装类型选择“基于角色或基于功能的安装”,点击“下一步” 服务器选择“从服务器池中选择服务器”,点击“下一步” 1.3服务器角色选择“Active Directory服务”,会弹出“添加Active Directory服务所需的功能?” 点击“添加功能” 1.4功能这里直接点击“下一步” 点击“下一步” 1.5确认配置这里将“如果需要,自动
Windows Server 2008 R2 制器部署指南
weixin_33827731的博客
10-27 116
一、制器安装步骤: 1、装 Windows Server 2008 R2并配置计算机名称和IP地址(见 附录一) 2、点击“开始”,在“搜索程序和文件”中输入Dcpromo.exe后按回车键; 3、如下图进入制器安装的准备; 4、进入AD DS安装向导,点击“下一步”; 5、在操作系统兼容性,点击“下一步”; 6、选择“在新林中...
搭建大型环境(父制器、子制器、辅制器、内主机)
Richardlygo的博客
01-16 2546
首先当前环境结构是这样的:接下来将详细的介绍该环境是如何详细搭建的。在这里我选择的是 Windows Server 2016 来做,一是觉得版本高的更能体现真实环境!二是认为 Windows Server 2016 作为很不错,稳定性强!
基于 Windows Server 2019 部署服务
Weichien的博客
07-04 4440
基于 Windows Server 2019 部署服务
部署制器
baorang1903的博客
07-30 640
Windows Server 2019操作系统安装完成后,需要完成如下几个任务。重命名计算机更改网络参数关闭防火墙开启远程桌面安装AD DS服务。安装过程分为两个阶段:安装角色和提升服务。1、重命名计算机以管理员身份登录服务器,打开服务器管理器,选择本地服务器,点击计算机名,打开系统属性页面,在系统属性页面,点击更改即可。根据之前规划名称,修改即可。修改之后重启以应用变更...
ad服务
最新发布
05-07
1. 部署只读制器(RODC)用于分支机构 2. 启用BitLocker对NTDS.dit文件加密 3. 配置审核策略记录目录服务变更 4. 定期执行系统状态备份: ```powershell WBAdmin start systemstatebackup -backupTarget:D: ```...
2008额外
09-16
在企业环境中,为了确保Active Directory(AD)服务的安全性和稳定性,通常需要部署多个制器。在Windows Server 2008 R2系统中,部署额外制器是一项关键任务。这篇文章将详细阐述如何在已有的环境中添加...
公司服务器项目规划
qq_61141142的博客
06-09 956
产品做工好,质量可靠。公司服务器设备选购服务器类行业的拥有龙头地位的IBM公司的 x3650 M3,该型号服务器机架式服务器,节省空间,散热性能好,5506的处理器,大众化的价格,中小企业容易接受, 可升级CPU,内存,做虚拟服务器用,大容量的L3,稳定的电源适配器,整机性能好,采用节能型设计,能够在便于维护和管理的基础上支持更多的硬件扩展,有效降低成本。根据公司先前的规划,我们需要将两台服务器的其中一台创建为制器,即DC服务器,另外一台作为成员服务器,两台服务器分工明确,有各自的具体执行的服务项目。
windows服务部署
08-16
制器的作用就是组成活动目录Active Directory,承担中的各种管理角色及管理任务,向中的所有用户提供资源共享服务,并以为安全边界维持活动目录的安全。这种集中管理的模式,极大降低了管理成本,减少网络系统管理员的工作量。 由于所有活动目录的东西都放在制器上,所以人们一般将制器和活动目录等同起来,例如说活动目录(AD)备份的时候,其实是指制器的备份。 本文档讲解配置服务器的详细步骤。
AD部署指南
09-11
AD指南可以让你很轻松的配置ad,还附带ccna的学习指南。
AD服务架构规划
06-30
服务架构规划服务架构规划服务架构规划服务架构规划
AD
03-29
之前他们问过LVS,现在转向了AD,可能是在搭建企业网络架构,或者需要整合负载均衡和目录服务。首先,我需要确认用户对AD的了解程度,但根据他们之前的问题,可能已经有一定的技术背景。 AD的基本概念是微软的...
1. 服务部署
cc256288的博客
11-01 4382
服务部署 一、服务器要求 Windows server 2008 R2以上; 用户名必须为administrator,并设密码; 由于安装office web apps的服务器必须加,否则不能成功的创建服务器场,所以必须要有。 PS: 若企业已有自己的服务器,可直接使用现有的,不需要重新部署...
AD服务部署
君逍遥o
12-02 1818
AD服务部署
环境安装部署
weixin_42786460的博客
10-11 221
环境部署
server 2008 R2 制器部署
友人A的博客
09-04 1522
server 2008 R2制器的部署 1、系统环境 2、打开服务器管理器,点击添加角色,勾选Active Directory服务 3、点击安装 4、点击运行向导 5、在新林创建 6、设置名:sccm01.com 7、设置林功能级别 8、下一步 9、根据实际情况设置安装路径 10、设置还原密码,以后还原要使用。所以不能随便设置 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值