企业网络中,仅有一台域控制器不能保证AD DS域服务的安全运行,如果仅有的域控制器出现故障,整个用户身份验证体系将崩溃。为了防止这种情况的发生,建议至少在网络部署两台域控制器,第二台域控制器称之为“额外域控制器”。在第一台域控制器出现故障的情况下,额外域控制器接管Active Directory工作,避免因为运行AD DS域服务额的域控制器故障造成的损失。
案例任务
刚安装成功的Windows Server 2012服务(没有加入到域)称为“独立服务器”。独立服务器加入域后称之为“成员服务器”。“成员服务器”通过“服务器管理器”提供的“添加角色和功能”将成员服务器提升为额外域控制器。
额外域控制器的作用
网络中额外域控制器的作用如下。
·提供容错功能。如果第一台域控制器出现故障,额外域控制器继续提供服务,使用户可以正常验证、使用域资源。
·提高用户登录效率。多台域控制器之间并行工作,能够提高用户登录、访问速度。
·负载平衡功能。网络部署多台域控制器后,域控制器之间自动平衡负载,不需要管理员参与。
案例任务
网络中部署第二台域控制器,作为第一台域控制器的备份域控制器,两台域控制器并行运行,为网络提供服务。
案例环境
先决条件:
·使用“NTFS文件系统”并且有足够的磁盘空间
·本地管理员账号与密码
·操作系统版本
·激活的网卡
·IP地址配置
·DNS配置
·加入到域
1、本地管理员账号和密码
部署AD DS域服务时,针对不同的域控制器需要使用不用的管理员权限,包括:
·安装第一个域中的第一台域控制器需要本地管理员权限,从而创建新的目录林
·在现有域中安装额外域控制器,需要具有该域的域管理员权限。
·如果创建子域,则需要企业级管理员权限。
2、建议使用与第一台域控制器完全相同的服务器操作系统。
3、IP地址配置
第二台域控制器同样需要使用专用静态IP地址。如果计算机具有多块网卡,建议在内部网络使用的网卡中配置专用静态IP地址。如果第二台域控制器兼任DNS服务器,部署过程需要选择DNS服务器选项。
4、激活的网卡
第二台域控制器使用的网卡必须激活,并且能够和第一台域控制器连通。
5、DNS、GC配置
第二台域控制器建立部署“集成区域DNS服务”,即额外域控制器同时兼任DNS服务器。同时第二台域控制器兼任全局编录服务器(GC),多台域控制器之间通过Active Directory数据库自动完成DNS信息同步。
6、加入到域
第二台域控制器首先需要加入到域后,使用域管理员权限登录,将成员服务器提升为额外域控制器。
部署流程
部署额外域控制器流程如下。
·设置独立服务器的网络参数,并测试和第一台域控制器之间的连通性。
·将独立服务器提升为成员服务器(俗称加域)。
·将成员服务器提升为额外域控制器。
·登录验证。
验证第二台域控制器是否成功部署
第二台AD DS域控制器完成后,可以使用与第一台域控制器完全相同的方法对第二台域控制器进行验证,验证额外域控制器是否成功安装。
验证“计算机角色”
由于部署的是网络中的第二台有域控制器,第一台域控制器的“计算机角色”为“PRIMARY”。额外域控制器“计算机角色”应该为“BACKUP”。
net accounts
验证“DNS”相关记录
打开DNS控制台后,方法同第一台域控制器。
验证“Active Directory站点和服务”
打开“Active Directory站点和服务”控制台,切换到“Default-Firest-Site-Name”-“Servers”选项,验证额外域控制器是否添加成功。
验证网络中所有域控制器和GC
dsquery server
命令执行后,查询网络已经部署的全局编录服务器(GC)
验证FSMO操作主机角色
Netdom query fsmo
命令执行后,显示五种操作主机角色所在的域控制器。
验证结果说明额外域控制器和第一台域控制器之间的区别,额外域控制器默认状态下不具备操作主机角色。
介质安装第三台域控制器
网络中部署域控制器方法,除了通过向导直接提升为额外域控制器之外,还可以通过域控制器生成安装介质的方法部署,该方法适用于异地且网络状态不是特别理想的环境中。该方法可以最大程度地减少网络中目录数据的复制流量,有利于异地环境中更高效地部署域控制器。
第一台域控制器生成安装介质
生成安装介质,需要以域管理员身份登录到域控制器,使用“ntdsutil”工具创建。
1、介质类型
“ntdsutil”可以创建四种类型的安装介质,分别为:
·完整(或可写)域控制器。使用“Create Sysvol Full %s”命令创建,在文件夹“%s”中为可写域控制器创建具有“SYSVOL”卷的安装介质。
·不带“SYSVOL”卷数据的完整(或可写)域控制器。使用“Create Full %s”命令创建,在文件夹“%s”中为可写域控制器称为“Active Directory”轻型目录服务(ADLDS)实例创建安装介质。
·只读域控制器。使用命令“Create Sysvol RoDC %s”,在文件夹“%s”中为“只读域控制器(RODC)”创建具有“SYSVOL”卷的安装介质。
·不带“SYSVOL”卷数据的只读域控制器。使用命令“Create RODC %s”中为“只读域控制器(RODC)”创建安装介质。
2、创建安装介质
使用“ntdsutil”工具创建安装介质
在ntdsutil命令提示符下,键入:
ntdsutil:activate instance ntds
在ntdsutil命令提示符下,继续键入:
ntdsutil:ifm
回车,命令成功执行,显示命令提示符ifm。
在ifm命令提示符下,键入:
ifm:Create Sysvol Full E:\dcinstallmedia
回车,命令成功执行,在“e:\dcinstallmedia”文件夹创建具有SYSVOL卷的安装介质。
在ifm提示符下,键入2次“quit”命令退出“ntdsutil”工具。
传递安装介质
通过网络共享文件夹或者移动设备传递方式
通过介质安装第三台域控制器
名称为“dc03.book.com”的计算机安装域控制器方式和第一台相同,通过“添加角色和功能向导”安装,在提升为域控制器过程中需要注意以下问题。
·部署额外域控制器必须使用具备与管理员权限的用户。
·提升域控制器过程中,计算机“dc03.book.com”必须和网络中其他域控制器正常连通,并能够访问活动目录数据库。
·根据需要选择是否部署“集成区域DNS服务”以及“全局编录”服务,建议选择上述2项。
·打开“其他选项”对话框时,选择“从介质安装”选项,文本框中键入安装介质所在的目标文件夹,单击“验证”按钮,验证文件夹中的安装是否满足安装需求。“指定其他复制选项”设置为“任何域控制器”。
验证第三台域控制器
域第一台域控制器验证方式相同。
部署子域
网络中林根域为“book.com”,父域为“book.com”,本例中将部署名称为“yt.book.com”的子域。
子域计算机配置
验证子域
子域部署成功后,原子域计算机提升为子域控制器,管理员可以使用“部署网络中第一台域控制器”中介绍的方法验证域控制器以及DNS。子域和父域之间是父-子关系,通过“Active Directory域和信任关系”查看父域和子域之间的关系。
1.“Active Directory域和信任关系”控制台
以父域book.com域管理员身份登录父域,打开“Active Directory域和信任关系”控制台
2.父域
右击“book.com”,在弹出的快捷菜单中选择“属性”命令,命令执行后,打开“book.com属性”对话框。
·“常规”选项卡,显示父域的林和域功能级别
·“信任”选项卡中,其中:
----“受此域信任的域(外向信任)”列表中显示子域名称,表示父域book.com信任子域yt.book.com。
----“信任此域的域”列表中显示子域名称,表示自域yt.book.com信任父域book.com
父域和子域之间是可传递的父子信任关系,父域和子域的用户彼此可以访问。
3.子域
右击“yt.book.com”,在弹出的快捷菜单中选择“属性”命令。命令执行后,卡开“yt.book.com属性”对话框。
·“常规”选项卡,显示子域的林和域功能级别。
·“信任”选项卡中,其中:
----“受此域信任的域(外向信任)”列表中显示父域名称,表示子域yt.book.com信任父域book.com
----“信任此域的域(内向信任)”列表中显示父域名称,表示父域book.com信任子域yt.book.com。
验证DNS
1.子域验证
安装过程选择DNS服务,子域部署成功后,子域第一台域控制器创建名称为yt.book.com。
DNS服务器设置将自动更改设置,首选DNS服务器指向子域的第一台域控制器(127.0.0.1),备用DNS服务器指向父域的DNS服务器dc.book.com(192.168.0.1)。
同时子域DNS服务器将非yt.book.com(包含book.com)的查询请求,通过转发器转发给book.com的DNS服务器dc.book.com。以域管理员身份登录子域第一台域控制器,右击域控制器名称,在弹出的快捷菜单中选择“属性”命令,打开域控制器属性对话框。切换到“转发器”选项卡,列表中服务器名称为父域首选DNS服务器。
2、父域验证
父域验证DNS服务器book.com区域中,创建委派域“yt”和名称服务器(NS),当接受来自yt.book.com的请求时,将此查询詹转发给tdc.yt.book.com服务器处理。
转载于:https://blog.51cto.com/rainy0426/1746117
3372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
