Windows Server - 建设篇 - 域控服务
第三章 域控的分布式系统DFSR服务配置
- Windows Server - 建设篇 - 域控服务
- 系列文章回顾
- 域控的分布式系统DFSR服务配置
- 前置条件
- 所有域控服务器 都安装DFS(Distributed File System)服务、DFSR(Distributed File System Replication)复制服务
- 所有域控服务器 NET SHARE 检查本地是否共享了NETLOGON和SYSVOL文件夹
- 在PDC主机上配置“ADSI 编辑器”的所有配置,包括“System\DFSR-GlobalSettings”文件夹
- 所有域控服务器的注册表 检查 HKLM\SYSTEM\ ControlSet* \Services\DFSR\Parameters\Sysvols\Seeding SysVols\xxx.com
- 测试DFSR的复制情况,测试AD域控拓扑的复制情况,测试AD域控的NTDS配置的复制情况。命令集包括ntdsutil、repadmin、dcdiag、dfsdiag、dfsrdiag
- 参考链接
系列文章回顾
第一章 测试域控单分支架构部署域控
第二章 域控多分支架构部署域控服务
域控的分布式系统DFSR服务配置
前置条件
- AD域控版本:Windows Server 2016 AD DS
- 测试环境拓扑:3个站点,1个总部,2个分支;总分支已通过VPN服务完成局域网互联互通;所有站点的本地均部署2台AD DS作为主备域控服务,3个站点共有6台域控主机服务,均升级至域控制器,都加入到一个林(xxx.com)的域控制器组。
- 防火墙规则:每个站点之间的域控主机防火墙均打通135、139、445等端口的访问,出入站规则都要放通,确保域控之间不受防火墙或第三方杀软影响。
- 已完成域控多分支架构的站点配置和DNS负载轮询配置
实施步骤
注:带*的路径是通配符,即需要修改多个相同前缀路径的配置。
- 所有域控服务器 都安装DFS(Distributed File System)服务、DFSR(Distributed File System Replication)复制服务
- 所有域控服务器
NET SHARE
检查本地是否共享了NETLOGON
和SYSVOL
文件夹 - 在PDC主机上配置“ADSI 编辑器”的所有配置,包括
System\DFSR-GlobalSettings
文件夹 - 所有域控服务器的注册表 检查 HKLM\SYSTEM\ ControlSet* \Services\DFSR\Parameters\Sysvols\Seeding SysVols\xxx.com (手工执行非权威DFSR复制时需检查)
- 测试DFSR的复制情况,测试AD域控拓扑的复制情况,测试AD域控的NTDS配置的复制情况。命令集包括ntdsutil、repadmin、dcdiag、dfsdiag、dfsrdiag
所有域控服务器 都安装DFS(Distributed File System)服务、DFSR(Distributed File System Replication)复制服务
安装DFS、DFSR服务之后,打开“DFS Management”服务,检查复制组是否自动生成了“Domain System Volume”,并且该复制组下自动产生所有域控服务器的成员身份。
所有域控服务器 NET SHARE 检查本地是否共享了NETLOGON和SYSVOL文件夹
fsmgmt
打开共享文件夹查看共享是否存在这2个路径。若不存在,则手工创建,并从PDC主机上完整复制文件夹内容到该主机的相同路径上
在PDC主机上配置“ADSI 编辑器”的所有配置,包括“System\DFSR-GlobalSettings”文件夹
System\DFSR-GlobalSettings\Domain System Volume\Topology\域控CN的属性编辑器检查如下选项:
serverReference # CN必须为域控CN的DNS名称
所有域控服务器的注册表 检查 HKLM\SYSTEM\ ControlSet* \Services\DFSR\Parameters\Sysvols\Seeding SysVols\xxx.com
注意事项:
1.仅当在手工执行非权威的DFSR复制操作时,注册表的Seeding SysVols文件夹会生成当前域名(xxx.com)的文件夹
2.若ControlSet和CurrentControlSet都没有Seeding SysVols文件夹,则说明当前没有执行非权威的DFSR复制操作或执行的是权威的DFSR复制
3.若域控服务器之前修改过计算机名称,则注册表会残留以前的计算机名称,必须从注册表里调整为正确的值
手工执行非权威的DFSR复制操作时,需检查注册表的配置是否有误
Parent Computer # 必须为PDC主机的DNS名称
# PowerShell模式下执行,检查State的状态。
# 执行非权威DFSR复制时,该命令要在所有域控上执行一遍,以确保DFSR复制服务正常运行。
Get-WmiObject -Namespace "root\microsoftdfs" -Query "select * from dfsrreplicatedfolderinfo"
0: Uninitialized
1: Initialized
2: Initial Sync
3: Auto Recovery
4: Normal # 正常状态
5: In Error
测试DFSR的复制情况,测试AD域控拓扑的复制情况,测试AD域控的NTDS配置的复制情况。命令集包括ntdsutil、repadmin、dcdiag、dfsdiag、dfsrdiag
查看当前域复制状态
repadmin /showrepl # 查看当前站点的域复制状态
repadmin /showrepl * # 查看所有站点的域复制状态
手动进行复制
repadmin /syncall # 对当前站点进行_msdcs配置的手动复制
repadmin /syncall /force # 对所有站点进行_msdcs配置的手动复制
repadmin /syncall /adb # 对当前站点进行NTDS配置的手动复制
repadmin /syncall /adb /force # 对所有站点进行NTDS配置的手动复制
其他CLI操作
repadmin /replsummary # 查看域控复制状态总结
repadmin /showrepl servername # 查看某台域控的活动目录复制状态
repadmin /queue servername # 查看某台域控的复制队列
dcdiag # 检查域控的健康状态
ntdsutil # ntds工具集
dfsdiag # dfs诊断工具集
dfsrdiag # dfsr诊断工具集