【Windows Server 2019】活动目录(Acitve Directory)——在同一区域安装多台域控制器
https://blog.csdn.net/nowshut/article/details/107969342
6、安装多台域控制器
为了提高域控制器的可靠性,防止一台域控制器可能产生的单点故障,通常情况下,在同一个域中存在多台域控制器,各个域控制器采用符合分担的方式工作,它们会定时同步数据,以确保所有域控制器保持相同的数据。当某台域控制器故障时,不会影响AD DS的服务。
在服务器DNS2上安装AD,并将此AD提升为fjnu.local域的第二台域控制器。同时检验fjnu.local域中的控制器。
该步骤请参考链接: 【Windows Server 2019】活动目录(Acitve Directory)——安装Acitve Directory域服务和提升为域控制器
6.3、将服务器DNS2提升为fjnu.local的域控制器
当AD服务安装完成后,安装进度条显示AD服务已在DNS2上安装成功。点击“结果”界面中的【将此服务器提升为域控制器】
在【选择部署操作】中选择【将域控制器添加到现有域】,输入域名:fjnu.local,输入完成后点击【更改】,弹出”部署操作的凭据“的对话框。输入域管理员的用户名和密码。域管理员的用户名和密码即是在 【Windows Server 2019】活动目录(Acitve Directory)——安装Acitve Directory域服务和提升为域控制器中设置的。
用户名前面加上域名:fjnu\administrator。由于操作凭据需要到DNS1中校验,所以必须确保DNS1正常工作,而且DNS1和DNS2通信正常。
输入无误后,点击【下一步】,如果DNS1对DNS2中的凭据验证通过则进入”域控制器选项“界面,否则会提示错误信息。
系统默认勾选虚名系统DNS服务器,因此将自动安装DNS服务,并在DNS中配置相关区域和解析。
在【目录服务还原模式密码】中输入【密码】和【确认密码】。密码需要满足复杂性要求,即需要有大小写字母和数字。点击【下一步】
用于指定DNS委派,由于该服务器第一次安装DNS,所以忽略警告信息,点击【下一步】
指定从哪台域控制器复制数据,使用默认设置,复制自“任何域控制器”。
指定 AD DS 数据库 (NTDS.DIT)、日志文件和 SYSVOL 的位置。 对于本地安装,可以浏览到要用于存储文件的位置。使用默认位置即可,点击【下一步】
该界面用于检查和验证前面所做的配置选择。 确认无误后,点击【下一步】
当前面所有的配置条件符合系统要求后,检查通过后,会提示”所有先决条件检查都成功通过“,这时候,点击【安装】,系统会在安装完后自动重启。
正在安装中。安装过程会持续一段时间
安装完后,系统自动重启设置使服务器加入域fjnu.local。
打开第一台域控制器DNS1上的“DNS管理器”,在正向查找区域看到,安装程序自动在fjnu.local区域中注册了第二台域控制器DNS2的信息
打开第一台域控制器DNS1上的Acitve Diretory管理中心,点击左侧“fjnu.local(本地)”右边的黑色箭头,在展开菜单中选择“Domain Controllers”。可以看到在显示界面,存在两台域控制器,DNS1和DNS2。
这说明DNS2成功加入了fjnu.local区域,并成为该区域的域控制器。
管理站点复制
本章中复制指的是活动目录数据库复制,同一个站点内和不同站点之间域控制器之间的数据库复制。同一个站点,域控制器处于一个告诉网络环境中,复制效率较高。当域控制器处于不同的站点之间,由于网络速度限制,复制效率、时间需要域管理员仔细规划才能达到最佳效果。
复制概述
复制仅发生在多域控制器环境中,如果域中只有一台域控制器,将不会产生复制。复制分为站点内复制和站点间复制。站点内复制通过KCC(Knowledge Consistency Checker)自动创建最佳的复制拓扑,站点间通过ISTG(站点间拓扑发生器)创建站点间的复制链接。
复制方式
1.单主复制
Windows NT环境中域控制器被分为两类:PDC和BDC。PDC指的是主域控制器,BDC指的是备份域控制器。每个域中只能有一个PDC,BDC可以有多个,BDC中的活动目录数据库从PDC复制,只有PDC才可以创建、修改、删除域中的用户帐号、计算机帐号、打印机等对象数据,BDC活动目录数据库是只读数据库。这种复制模型称之为单主复制。
2.多主复制
从Windows Server 2000开始,活动目录使用多主复制架构,即每个域控制器都可以自住地修改域对象,域中不再有主域控制器和备份域控制器的区别(实质上还是有区别),任何一个域控制器都可以修改Active Directory的内容。为了维护活动目录的权威性,所有域控制器上的活动目录数据库内容应该都相同。
AD DS域服务采用多主机复制方式,多主机复制在对等域控制器之间复制活动目录数据库,每个域控制对活动目录数据库具备完全控制的权限。采用多主复制的域控制器使用KCC自动创建域控制器之间的复制链接(最大约点数不超过3台域控制器),每个域控制器会根据站点的带宽,自动地计算出最佳复制拓扑。管理员也可以特定用户环境以手动方式配置复制拓扑。
多主复制架构模式下,林内任何域控制器都可处理和更新复制,所以只要一台或多台服务器仍维持运作,管理员和应用程序便可以更新数据并如往常一样持续工作,但是要注意FSMO角色的位置。
域控制器采用多主复制优点是高效,缺点是产生大量的网络流量。AD DS域服务自动创建复制拓扑,当任何域控制器信息变更时,会通过域控制器的复制伙伴,然后复制伙伴初始化。初始化成功后,数据库之间开始复制,知道所有的域控制器同步。
在Active Directory数据库中,少部分数据采用单主复制方式完成复制。当删除对象时,首先由一台域控制器(包含FSMO角色)负责接收和处理请求,处理完成后将数据同步到其他域控制器。
复制协议
域控制器之间复制数据时,将采用以下协议。
·IP协议。站点内或者站点间都可以使用该协议复制数据,数据复制时将使用加密和身份验证机制。
·SMTP。该协议只能在站点间使用。
复制伙伴
复制伙伴分为直接复制伙伴和间接复制伙伴。
1.直接复制伙伴
源域控制器(发生数据更新的域控制器)不会将更新数据复制给同一个站点内的所有域控制器,而是复制给该域控制器的直接复制伙伴。直接复制伙伴由KCC自动创建,源域控制器和直接复制伙伴之间的复制效率最高,同时决定哪一台域控制器是该域控制器的直接复制伙伴。复制时,首先复制给直接复制伙伴,再由直接复制伙伴把更新复制到其他域控制器。
2.间接复制伙伴
间接复制伙伴,通过域控制器转发而更新数据的域控制器,不是从源域控制器直接复制数据。
目录分区同步
域控制器中划分为多个不同的分区,每个分区完成不同的功能。
·架构目录分区。架构目录分区存储所有对象和属性的定义,以及建立和控制的规则。整个林内所有域共享一份相同的架构目录分区,该分区会被复制到林中所有域内的所有域控制器。
·配置目录分区。配置目录分区存储整个活动目录结构的信息。包括域、站点、域控制器。整个林内所有域共享一份相同的配置分区,该分区会被复制到林中所有域内的所有域控制器。
·域目录分区。每一个域各有一个域目录分区,存储在该域有关的对象,例如用户、组、计算机、组织单位等。每个域各自拥有一份域目录分区,值能被复制到该域内的所有域控制器,并不会被复制到其他域的域控制器。
·应用程序目录分区。一般来说,应用程序目录分区由应用程序创建,其内存储着与该应用程序有关的数据。应用程序目录分区会被复制到林中的特定域控制器,而不是所有的域控制器。
复制机制
站点复制采用如下机制完成复制的更新。
·通知更新复制
·紧急复制
·定时检查复制
1.通知更新复制
域控制器A建立一个用户帐号,新建帐号属于初始更新。在更新完成以后,域控制器A服务器在15秒之后发出更新通知。此更新通知并非同时通知所有域内的域控制器,通过复制拓扑通知第一个域控制器B,域控制器B接受到复制信息后,将新的帐号复制到域控制器B数据库中,仅复制发生改变的数据,属于增量更新,此复制过程属于“拉”复制。3秒钟后,再通知域控制器C。以此类推,将更新的数据复制到其他域控制器。
2.紧急复制
紧急复制以一种“推”的机制强制立即更新域控制器上的Active Directory数据,紧急复制运作模式会立刻传递变更通知给所有的复制伙伴,而不会等到暂停时间结束。紧急复制应用于以下场合:停用账户、RID序列号变更、域控制器机器账户变更等。域策略支持紧急复制模式,例如在域级别指定了一个账户锁定策略,或者指定了一个密码策略,立即连接并发布复制到所有域控制器。此复制过程属于“推”复制,目标域控制器接受Active Directory数据变更和新的策略。
3.定时检查复制
定时检查复制,以计划方式在指定时间执行复制。默认(站点内每个小时、站点间每3个小时)每个小时检查1次复制状态,包括更新通知复制和紧急复制,检测通知更新和紧急复制后的数据是否同步、丢失数据或者复制没有完成等状态,如果出现上述状况,将通知初始域控制器,以“拉”方式复制没有更新的数据,复制将立即执行。。
复制拓扑
活动目录复制拓扑为环形,通过KCC自动创建拓扑。KCC进程在每个域控制器上运行,帮助域控制器建立到其他域控制器的复制链接对象。如果域控制器和域控制器之间没有创建链接对象,域控制器之间将不能复制。链接对象创建成功后,在复制伙伴前面有一个标识为“<自动生成>”。
1.自动拓扑
域控制器之间的拓扑结构建议有KCC自动完成。
2.父子域复制拓扑
如果是父子域的复制拓扑,复制可以正常运行,仅是复制的数据不同,从父域接受架构分区和配置分区的数据,子域内接受子域域分区的数据,父域内的域控制器接受父域内的域控制器的数据。
3.GC复制拓扑
站点内复制
同一个站点内的域控制器一般都是通过高速网络连接在一起,复制时不以压缩方式传输数据。
1.复制链接
站点内复制指的是同一个站点中的域控制器。当域中的域控制器数量发生变化,例如增加或减少域控制器,每台域控制器上的KCC进程就会重新计算复制拓扑。KCC能够自动计算出域控制器进行复制时所使用的复制链接,当域控制器数量较少时,KCC倾向于在域中使用环形拓扑进行数据库复制。当域控制器的活动目录数据库内容发生变化时,这个更改不会自动生成的拓扑是双环拓扑,每个域控制器都有两个复制伙伴,Active Directory的复制沿着顺时针和逆时针两个方向同时进行。
2.复制方式
域控制器复制数据库时,一般会使用“带通知的拉复制”实现复制。
当在某个域控制器上执行数据更新后,站内复制在15秒后自动开始,然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴,在默认情况下将以3秒为间隔向每个伙伴相继发出通知。当接收到更新通知后,伙伴域控制器将向源域控制器发送目录更新情况。源域控制器以复制操作响应该请求。3秒钟的通知间隔可避免来自复制伙伴的更新请求同时达到而使源域控制器应接不暇。
对于站点内的某些目录更新,并不使用15秒钟的等待时间,复制会立即产生。这种立即复制称为紧急复制,应用于重要的目录更新,包括账户锁定的指派以及账户锁定策略、域密码策略或域控制账户上密码的更改。
3.复制限制
在域控制器较多的环境下,标准的环形拓扑不太适合。域控制器有个严格的限制,从源域控制器到目标域控制器之间的间隔不能超过三个域控制器。例如,如果DC1活动目录数据库发生了变化,那么DC1可以复制给DC2,DC2可以接着复制给DC3,但DC3就不能再复制给DC4!因为从DC1可以复制给DC2,DC2可以接着复制给DC3,但是DC3就不能再复制给DC4!因为从DC1到DC4中间间隔的域控制器已经超过了2个。这种限制,是为了避免在大型网络中进行复制时环形拓扑导致的延迟问题。例如,如果大型网络中有100台域控制器,域控制器复制的平均间隔为5分钟,那么从第一个域控制器复制到最后一个域控制器可能需要大约500分钟!这种延迟不能被接受。因此在大型网络中KCC会使用网状拓扑,网状拓扑不像环形拓扑那样有规律,每个域控制器可能会有多个复制伙伴。因此,域控制器的复制拓扑最后由KCC来规划,当然也可以自己指定域控制器的复制伙伴。
不同站点间复制
不同站点之间的复制链接,和站点内的复制链接不同。每个站点内有一台被称之为“站点间拓扑生成器”的域控制器,负责创建站点之间的复制拓扑,并从站点内的域控制器选择一台域控制器作为复制(源/目标)域控制器,也称为桥头堡服务器.站点数据复制时,由站点内的桥头堡服务器负责将更新数据复制到目标站点内的桥头堡服务器,站点内的桥头堡服务器接受到更新数据后,再使用站点内数据复制方式将数据复制到站点内的域控制器。
日常管理复制
站点内域控制器之间的复制拓扑由KCC自动生成,站点间域控制器复制拓扑由ISTG自动生成。如果域控制器数量较少且在一个站点内,建议由KCC自动管理复制拓扑。如果多站点管理,建议站点中使用一台高性能的桥头堡服务器和其他站点链接,或者由ISTG自动生成,复制环境中尽量减少域管理员手动参与,并保证网络环节畅通。复制建议通过“Active Directory站点和服务”管理。
站点常用查询
1.DS命令组查看站点
dsquery site
2.查看站点中的域控制器
dsquery server -site ***
3.查询站点间拓扑生成器使用的域控制器
repadmin /istg
4.两台域控制器之间复制同步
repadmin /replicate强制两台域控制器之间同步复制。
5.查询域控制器之间执行复制
repadmin /showrepl
6.同步所有域控制器
Repadmin /syncall
7.同步直接复制伙伴
调整复制时间
站点内域控制器之间的复制默认为每小时1次,管理员根据需要调整复制的时间。例如设置为“每小时复制4次”,注意复制将产生大量的网络流量建议。
第1步,“Active Directory站点和服务”控制体——“Sites”——“上海(站点名称)”——“Servers”——“DC-SHB(域控制器名称)”——“NTDS Settings”选项,右侧窗口显示当前域控制器的直接复制伙伴域控制器。如果“名称”列表中显示“自动生成的”值,说明该复制链接由KCC自动生成。
第2步,右击“<自动生成的>”,在弹出的快捷菜单中选择“属性”命令,打开“<自动生成的>属性”对话框。显示当前域控制器复制源是“DC-SHA”,隶属于“上海”站点,。
第3步,单击“更改计划”按钮,打开“<自动生成的>的计划”。可选参数包括:
·无
·1小时1次
·1小时2次
·1小时4次
手动创建复制链接
站点内部署多台域控制器,域控制器之间复制链接建议通过KCC自动生成。除了KCC自动生成之外,域管理员也可以通过手动方式创建域控制器之间的复制链接。
第1步,打开“Active Directory站点和服务”——“NTDS Settings”
第2步,命令执行后,打开“查找Active Directory域控制器”,
第3步,选择目标域控制器,单击“确定”按钮,如果复制链接中已经存在一个同样的链接。
第4步,单击“是”,打开“新建对象-链接”对话框。在“名称”文本框中,键入复制拓扑的名称。
第5步,单击“确定”,成功创建新的复制拓扑
站点链接开销
站点链接开销,决定活动目录复制拓扑环节中使用站点链接的相对优先权
1.本例中创建从北京站点到上海站点的链接。
第1步,“Active Directory站点和服务”控制台——“Sites”——“Inter-Site Transports”-"IP"选项,鼠标右击“IP”在弹出的快捷菜单中选择“新站点链接”命令。
第2步,命令执行后,打开“新建对象-站点链接”对话框。设置站点链接名称,从“不在此站点链接中的站点”。
第3步,单击“确定”按钮,创建新的站点链接。
2.调整站点链接参数
站点链接的开销越高,KCC对使用该站点链接的优先权越低。
默认情况下,站点之间的链接180分钟执行一次,如果站点之间同步要求较高,可以根据需要调整站点之间的复制频率。注意,复制频率越高,对网络要求越高。复制频率设置区间为15分钟到10080分钟(一周)
“Active Directory站点和服务”——“Sites”——“Inter-Site Transports”——“IP”——“右击目标赚点链接”——“属性对话框”——根据需要调整“开销”和“复制频率”中的参数
配置桥头服务器
当KCC建立站点间复制拓扑时,自动为每个站点支票一个或多个桥头服务器,以确保在站点链接只需要将目录更改复制一次。建议使用KCC自动指派桥头服务器。通过“Acitve Directory站点和服务”,可以手动指派桥头服务器。
1.查询站点中的桥头堡服务器
repadmin /bridgeheads查询站点中的桥头堡服务器。
2.手动设置桥头堡服务器
第1步,“Active Directory站点和服务”——“Site”——“上海”——“Servers”选项,右击名称为“DC—SHA”域控制器,在弹出的快捷菜单中选择“属性”命令。命令执行后,打开“DC-SHA属性”对话框,显示域控制器基本信息。
第2步,在“可用于站点间数据传送的传输”列表中,选择数据传输协议,建议使用“IP”协议的方式,单击“添加”按钮,将“IP”链接协议添加到“此服务器是下列传输的首选牵头服务器”列表中。
复制管理任务
多站点多域控制器环境中,活动目录数据库之间的复制十分重要,出现错误将影响用户的身份验证和登录速度。
监控域控制器的复制状态
repadmin监控域控制器之间的复制状态。
1.查看当前域控制器的复制状态
repadmin.exe /showrepl //显示当前域控制器的复制状态
2.查看目标域控制器的复制状态
repadmin.exe /showrepl dc-sh //命令执行后,查看名称为“dc-sh”域控制器活动目录复制状态。
3.查看目标域控制器复制队列
repadmin.exe /queue dc-sh //命令执行后,查看名称为“dc-sh”域控制器复制队列。
4.查看复制报告
repadmin.exe /replsummary //命令执行后,显示一个总结性质的复制状态报告。
站点间复制出错
部署多域控制器环境中,域控制器之间复制出现以下错误:“没有足够的站点连接信息用于KCC创建跨越树复制拓扑,或者具有此目录分区的一个或多个目录服务器无法复制目录分区信息,这可能缘于目录服务无法访问”。
1.故障分析
Repadmin /showconn //验证当前域控制器和其他域控制器之间是否成功创建复制链接。
Repadmin /showrepl //显示当前域控制器的复制状态。输出信息显示“由于DNS查找故障,DSA操作无法进行”。上述信息可以推测目标服务器不在线或者DNS注册错误。
repadmin /syncall dc-sh /force //显示目标出现RPC错误
使用ping命令查看,当前域控制器和目标域控制器之间能否连通,输出信息显示DNS能够正常解析目标主机,但域控制器之间不能正常连通。
2.解决方法
经过确认,目标域控制器和当前域控制器之间的网络连接出现问题,更换网线强制同步后,两台域控制器之间复制成功。
禁用/启用域控制器复制
多域控制器环境中,域控制器dc-bj和其他域控制器之间复制失败。
1.故障分析
repadmin /showrepl //检测复制状态
DSA值为IS_GC DISABLE_INBOUND_REPL DISABL_OUTBOUND_REPL。输出结果显示出战和入站的复制状态都是“Disabled”,即域控制器dc-bj复制失败的原因是被禁用复制。
2.启用域控制器复制
在命令行提示符下键入
repadmin /options dc-bj-DISABLE_INBOUND_REPL
repadmin /options dc-bj-DISABLE_OUTBOUND_REPL
命令执行后,启用域控制器复制功能。启用后的标识:DSA选项中只有IS_GC选项
启用域控制器复制功能后,该域控制器和其他域控制器之间的复制正常
3.禁用域控制器复制
repadmin /options dc-bj +DISABLE_INBOUND_REPL
repadmin /options dc-bj +DISABLE_OUTBOUND_REPL
命令执行后,禁用域控制器复制功能。启用后的标识DSA选项中包括IS——GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL选项。
站点间强制复制
域中部署多站点时,域控制器之间跨站点复制出现提示“在不同站点中的域控制器之间有一个或多个Active Directory域服务的连接”
1.解决方法之一
“Active Directory站点和服务”——左侧选择“Sites”——“站点名称”——Servers——“域控制器名称”——“NTDS Settings”选项,右侧窗格中选择由KCC自动生成的复制链接,单击鼠标右键,在弹出的快捷菜单中选择“立即复制”命令。
命令执行后,单击“确定”,强制在选定的域控制器之间立即启用复制。该信息仅是提示信息。
2.解决方法之二
repadmin /replicate dc-bj dc-sh dc=book,dc=com /force //命令执行后,强制在域控制器之间启用复制。
禁止活动目录复制自动生成拓扑
多域控制器环境中,域控制器之间的复制由KCC自动生成,在特定应用环境中,域管理员需要手动配置域控制器之间的复制,需要禁用KCC在域控制器之间自动创建拓扑功能。
1.解决方法
repadmin /siteoptions //显示当前域控制器的拓扑方式
repadmin /siteoptions /site:北京 +IS_AUTO_TOPOLOGY_DISABLED //“北京”站点中的所有域控制器将禁用KCC自动生成拓扑功能
2.验证禁用KCC功能是否生效
dcdiag /test:topology //显示站点内已经用用自动生成拓扑功能。注意:只对站点内的域控制器生效。
241
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
