部署额外域控制器,Active Directory系列之四

部署额外域控制器

在前面的博文中我们介绍了域控制器在进行网络资源分配时的核心作用，而且我们分析了一下一旦域控制器崩溃会导致的灾难场景，上篇博文中我们提出使用对AD数据备份的方法来进行域控制器的灾难重建，今天我们介绍使用额外域控制器来避免域的崩溃。

如果域中只有一台域控制器，一旦出现物理故障，我们即使可以从备份还原AD，也要付出停机等待的代价，这也就意味着公司的业务将出现停滞。部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory数据库。使用额外域控制器的好处很多，首先是避免了域控制器损坏所造成的业务停滞，如果一个域控制器损坏了，只要域内其他的域控制器有一个是工作正常的，域用户就可以继续完成用户登录，访问网络资源等一系列工作，基于域的资源分配不会因此停滞。使用域控制器还可以起到负载平衡的作用，如果公司内只有一个域控制器，而公司用户达到上万人，假设域控制器处理一个用户登录的时间是0.1秒，那最后一个用户登录进入系统肯定要遭遇一定的延迟。如果有额外域控制器，那么每个额外域控制器都可以处理用户的登录请求，用户就不用等待那么长时间了。尤其是如果域的地理分布跨了广域网，例如域内的计算机有的在北京，有的在上海，有的在广州，那么显然上海用户的登录请求通过低速的广域网提交到北京的域控制器上进行验证不是一个效率高的办法，比较理想的办法是在北京，上海，广州都部署额外域控制器以方便用户就近登录。

域中如果有多个域控制器，那么每个域控制器上都拥有Active Directory数据库，而且域控制器上的Active Directory内容是动态同步的，也就是说，任何一个域控制器修改了Active Directory，其他的域控制器都要把这个修改作用到自己的Active Directory上，这样才能保证Active Directory数据的完整性和唯一性。否则如果每个域控制器的Active Directory内容不一致，域控制器的权威性就要受到质疑了。

提到这里，顺便说一下主域控制器这个名词，很多朋友喜欢把域内的第一台域控制器称为主域控制器，其他的额外域控制器称为辅域控制器，严格来说这种说法并不严谨。主域控制器这个术语在NT4的环境下是成立的，因为NT4的域把域控制器分为两类，主域控制器和备份域控制器。两者的区别在于只有主域控制器才能修改域内的数据，而备份域控制器只有读取域内数据的权限，类似于DNS的主服务器和辅助服务器的区别。NT4的这种结构我们称之为单主复制，而自从Win2000使用了Active Directory之后，所有的域控制器都可以自主地修改Active Directory数据库的内容，现在的域结构我们称之为多主复制。因此，Win2003域中的第一台域控制器我们称之为主域控制器是不太严谨的，虽然事实上第一台域控制器比其他的域控制器承担了更多的任务。

这次实验我们准备在域中部署一个额外域控制器，额外域控制器的角色由Firenze来承担，拓扑如下图所示，DNS服务器仍然是由一台单独的计算机192.168.11.1来承担。

 

首先我们要在Firenze上设置TCP/IP的属性，如下图所示，我们要确保Firenze使用的DNS服务器是正确的，因为Firenze要依靠DNS服务器来定位域控制器。Firenze不用先加入域，Firenze是工作组内的一台独立计算机也是可以的。

 

在Firenze上运行Dcpromo，如下图所示。

 

出现Active Directory的安装向导，点击下一步继续。

 

这次我们选择创建现有域的额外域控制器，点击下一步继续。

 

输入域管理员账号，用以证明自己有权限完成额外域控制器的部署。

 

Firenze将成为adtest.com域的额外域控制器。

 

Active Directory数据库的存储路径使用默认值即可。

 

Sysvol文件夹的存储路径也可以使用默认值。

 

输入目录服务还原模式的管理员密码，以后我们从备份还原Active Directory时可以用到。

 

确认所有的设置无误，点击下一步继续。

 

如下图所示，Firenze通过网络从第一个域控制器Florence那里复制Active Directory到本机。

 

Active Directory安装完毕，点击完成后Firenze会重新启动，至此，额外域控制器部署结束。

 

Firenze部署完毕后，我们打开Firenze上的Active Directory用户和计算机，如下图所示，我们可以看到Firenze已经把Florence的Active Directory内容复制了过来。

 

检查DNS服务器，可以看到DNS中已经有了Firneze的SRV记录。

 

至此，部署 Firenze 作为额外域控制器成功完成，从过程来看并不复杂。现在我们请大家考虑一个问题， Florence 和 Firenze 是现在域中的两个域控制器， Florence 和 Firenze 的 Active Directory 内容应该完全一致，但如果现在 Florence 和 Firenze 的 Active Directory 内容出现了差异，那应该以哪个域控制器的内容为主呢？问题的答案将在下篇博文中揭晓。