駁!~AD和DNS不裝在一起,子域會無法安裝
前段時間看了一位51CTO博友的一篇關於AD安裝的文章,文章的主題是把AD和DNS分兩臺PC安裝,而且給此次實驗起了一個很好聽的名字,活動目錄分離安裝,文章中提到,DNS與AD先裝哪個都無所謂,對於這個觀點,我向他提出了質疑,AD在安裝時需要向DNS註冊SRV記錄,Cname記錄,NS記錄,DNS和AD並不是哪個先裝都無所謂的。過了幾天,這位博友回了我,沒有回答我提出的質疑,反而質問我說AD和DNS不安裝在同一臺PC上,子域會無法安裝,我不知道他的觀點是從哪兒得來,並且這個問題和他自己之前的實驗目的相違背,很不清楚這位博友的目的是什麼,爲了徹底說服這位博友,我在這做出此次AD和DNS不裝在一起,來安裝子域的實驗,相信這位博友看後,會認識到自己所出的問題,並加以更正。
一、首先,我大致介紹一下此次實驗的環境與拓撲
此次實驗選用Microsoft ISA2004實驗室的Microsoft Virtual PC 2007虛擬機,以及其中的3套Virtual PC,Florence、Firenze和Berlin,在此次實驗中,Florence這臺PC擔任主域控制器角色,Firenze這臺PC擔任子域控制器,Berlin這臺PC做DNS服務器,完成後,最終結果爲,Florence爲主域控制器,Firenze爲子域控制器,Berlin爲DNS服務器,各AD間均能正常複製拓撲,Berlin作爲DNS服務器可以正常工作。
Florence:主域控制器 IP:192.168.5.2
Firenzez:子域控制器 IP:192.168.5.3
Berlin:DNS服務器 IP:192.168.5.1
實驗所用主域域名爲 :Itet.com
子域域名爲:Joly.itet.com
二、開始實驗
1.先滿足Berlin要充當DNS服務器的條件
(1).指定自己的IP及DNS地址(自己)
BerlinIP爲:192.168.5.1
BerlinDNS爲:自己192.168.5.1 如圖:
(2).Berlin安裝DNS服務
首先掛入適合當前操作系統的系統鏡像,實驗中的三臺虛擬機均爲原版2003,所以掛入原版2003鏡像
Win+R打開運行窗口,鍵入 sysocmgr /i:sysoc.inf打開安裝Windows組件安裝嚮導
選擇:網絡服務→詳細信息,然後選中:域名系統,點擊確定、下一步開始安裝DNS服務
點擊下一步,開始安裝
完成Windows組件安裝嚮導,點擊完成退出
(3).Berlin做域前準備,添加主DNS後綴,方便域解析
打開計算機屬性![]()
點擊計算機名選項
點擊更改
選擇其他選項
在此計算機的主DNS後綴欄中,輸入itet.com
點擊確定,確認更改![]()
提示要使更改生效,必須重新啓動計算機,點擊確定
要求立即重啓才能使新的設置生效,選擇是,立即重啓Berlin
重啓後開始新建itet.com區域
Win+R打開運行,輸入dnsmgmt.msc打開DNS
展開Berlin
右擊正向查找區域,選擇新建區域
出現新建區域嚮導,點擊下一步
選擇新建 主要區域,然後點擊下一步
出現區域名稱添加嚮導,我們輸入itet.com,確認後點擊下一步
提示將創建區域新文件,確認無誤點擊下一步
這時出現動態更新嚮導,注意,一定要勾選允許非安全和安全動態更新,因爲允許動態更新後,DNS 客戶端計算機在發生更改的任何時候都將使用DNS 服務器註冊和動態地更新其資源記錄,它減少了對區域記錄進行手動管理的需要,在後期管理上有很大作用,默認是沒有勾選的,如下圖
我們勾選允許非安全和安全動態更新,點擊下一步
提示完成新建區域嚮導,點擊完成退出
至此,DNS安裝完成
(4).Florence中開始安裝主域控制器
安裝前準備
指定Florece IP:192.168.5.2
DNS地址:192.168.5.1 (Berlin)
開始安裝
Win+R打開運行,輸入dcpromo,運行AD安裝嚮導
點擊下一步,進行安裝![]()
點擊下一步繼續安裝![]()
選擇新域的域控制器![]()
選擇,在新林只中的域
確認下一步,出現請指定新域的名稱提示,輸入itet.com,點擊下一步![]()
提示新域的NetBIOS名稱爲ITET,確認無誤,點擊下一步![]()
問要將數據庫文件和日誌文件存放與哪裏,這裏只做實驗,選擇默認路徑,確定繼續
問共享文件夾 SYSVOL存放與那裏,前提卷爲NTFS格式,選默認路徑,下一步
出現,DNS註冊診斷,提示操作成功完成
注意!那位博友的AD和DNS先裝誰都可以的觀點在這裏就要不攻自破了,AD安裝到這步時將會去尋找DNS服務器來註冊SRV、Cname、NS記錄,如果之前沒有準備好DNS或是DNS配置不當,這裏將會出現錯誤提示,這時就不要在繼續安裝,根據診斷出的錯誤原因,退出安裝根據原因去修復錯誤,解決後在重複之前步驟繼續安裝。
這裏DNS註冊診斷沒有問題,我們點擊下一步繼續安裝
出現權限嚮導,如果自己的網絡環境中存在Windows2000及WindowsNT等經典版本,就選用與Windows2000之前的服務器操作系統兼容的權限,我們當前環境爲2003,所以選用只與Windows2000或Windows Server2003操作系統兼容的權限,確認點擊下一步
這時提示你輸入目錄還原模式的管理員密碼,這個密碼將用在AD目錄模式還原中,默認情況下,密碼需滿足長度複雜性要求,輸入密碼,點擊下一步
這時提示確認信息,檢查無誤後,點擊下一步
AD開始安裝![]()
![]()
提示安裝完成,點擊完成後要求重新啓動,確認是,重啓Florence
選擇立即重新啓動
重啓後,進入系統,查看安裝結果![]()
展開AD站點和服務,Florence出現與其中,至此,主域控制器安裝完成。下面開始子域控制器安裝。
(5)Firenze中安裝子域控制器
子域安裝前準備
指定FirenzeIP:192.168.5.3
指定FirenzeDNS地址:192.168.5.1 (Berlin)
開始安裝
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
Win+R打開運行,輸入dcpromo,運行AD安裝嚮導
點擊下一步,進行安裝![]()
點擊下一步,繼續安裝
出現域控制器類型選擇嚮導,選擇新域的域控制器,點擊下一步
這時,嚮導問創建新域的類型,我們要創建的是子域,所以選擇“在現有域樹中的子域”,點擊下一步
這時出現網絡憑證嚮導,要求輸入有足夠權限的用戶名、密碼,我們輸入管理員帳戶administrator和它的口令,並指明域itet.com
確認無誤後,點擊下一步繼續![]()
這時出現子域安裝嚮導,要求輸入父域和要建立的子域名稱,我們輸入父域itet.com和要新建的子域名稱joly,確認無誤後,點擊下一步
輸入父域itet.com![]()
輸入要新建的子域名稱joly,這時可以看到,新域的完整DNS名自動追加了itet.com,繼續下一步
這時提示指定NetBIOS名稱,NetBIOS名稱會根據先前所建的域名稱自動填寫,如果網絡中存在跟自動追加的NetBIOS名稱相同的NetBIOS名稱時,系統會提示你已經存在此NetBIOS名稱,這時不用擔心,點擊確定後,系統會自動在當前NetBIOS名稱後綴加一個0,來進行區分。點擊下一步繼續安裝
這時同樣問要將數據庫文件和日誌文件存放與哪裏,這裏只做實驗,選擇默認路徑,確定下一步
問共享文件夾 SYSVOL存放與那裏,前提卷爲NTFS格式,選默認路徑,下一步
出現,DNS註冊診斷,提示操作成功完成,如圖DNS註冊診斷沒有問題,我們點擊下一步繼續安裝
出現權限嚮導,同樣如果自己的網絡環境中存在Windows2000及WindowsNT等經典版本,就選用與Windows2000之前的服務器操作系統兼容的權限,我們當前環境爲2003,所以選用只與Windows2000或Windows Server2003操作系統兼容的權限,確認點擊下一步
這時提示你輸入目錄還原模式的管理員密碼,輸入密碼,點擊下一步
提示確認信息,檢查無誤後,點擊下一步
開始安裝子域控制器
提示安裝完成,點擊完成後要求重新啓動,確認是,重啓Firenze
這時我們先不選擇立即重起,爲了驗證之前那位博友“不在同一PC上的AD和DNS不能安裝子域”的觀點,舉個簡單的列子,答案就能見分曉。
這個列子很簡單卻能很直觀的表達結果,就是對比Firenze重啓前後DNS服務器Berlin的記錄變化,如圖,我們先切到DNS服務器Berlin上![]()
展開itet.com,在各級菜單中尋找子域joly的記錄
無記錄
無記錄
無記錄
無記錄
然後切到Firene中,選擇立即重啓
如上圖,Firenze中域登錄選項出現了ITET和JOLY兩個域,暫時先不登錄,在去DNS服務器Berlin,看看子域控制器Firenze重啓後的狀態
注意看,Itet.com域的下拉菜單出現了子域joly的一列記錄,自此,之前那位博友所謂AD和DNS不安裝在一起將不能創建子域的說法,在證據面前,同樣也不攻自破。爲了在據說服力些,Firenze分別登錄itet和joly兩個域,看看能否與父域Florence正常複製拓撲。
先用joly域登錄![]()
登錄到系統後展開子域Firenze的站點與服務,查看父域Florence出現在Firenze的複製夥伴中沒有![]()
Florence如約而至,出現
沒問題,父域Florence出現在子域Firenze的複製夥伴中
接下來我們去父域Florence的站點與服務中,查看與子域Firenze是否建立複製夥伴
沒問題,如下圖,子域Firenze出現在Florence的複製夥伴中
咦?看下圖
父域Florence站點服務中的子域Firenze複製夥伴怎麼什麼都沒有?難道出問題了?
呵呵,別緊張,這是AD的1200秒複製限制在作怪,不單父域Florence站點服務中的子域Firenze複製夥伴什麼都沒有,就是出現在複製夥伴中的,我們選擇立即複製副本進行同步複製也會報無法複製訪問拒絕的錯誤,如下圖
那怎麼辦?時間如金子一樣的現代社會,哪容得了浪費這20分鐘?哈哈,不着急,我們還有絕招:修改DNS中的itet.com.dns文件來突破AD 1200秒限制。
下圖,切換到Berlin中,打開命令提示符,輸入:cd %windir%system32\dns 進入DNS文件目錄,在目錄中輸入:notepad itet.com.dns打開DNS配置文件
看到了分別在Florence和Firence.joly後寫着1200的兩條A記錄
這時我們要做的就是刪除這兩個1200,別的不要動,這裏面是DNS加載區域文件的存儲地,稍有勿改,各域控制器就將不能正常工作,建議謹慎操作
下圖,刪除這兩條1200
這時先不要急於保存,停止DNS服務後纔可以修改區域文件
然後回到DNS配置文件中,Ctrl+S保存,然後退出,在到命令提示符中啓動DNS服務
做完這步不是立馬就萬事大吉了,要使更改生效,必須在父子域控制器中重啓netlogon服務
Florence中重啓netlogon服務,上圖
Firenze中重啓netlogon服務,上圖
接下來我們在去看看子域Firenze是否出現在父域的站點和服務中,並測試能否與父域Florence正常複製連接
子域Firenze出現在了父域Florence中站點和服務的父域Florence中
選擇立即複製副本
出現提示,AD已複製了連接,下圖
同樣在Florence的站點和服務中查看Florence與Firenze的複製,選擇立即複製副本
出現提示,AD已複製了連接,下圖
緊接着,去子域Firenze中查看子父域能否正常複製
提示,AD已複製了連接,下圖
接着選擇父域Florence與子域Firenze立即複製副本
這時卻又報錯了!怎麼回事?上圖
不用着急,別忘了,我們是用joly這個子域登錄Firenze的,在要求父域Florence向子域Firenze複製時,因爲權限不夠,所以無法複製,系統理應就報錯了,我們註銷Firenze,用itet登錄看看
註銷後,在啓動到登錄界面,選擇域itet來登錄
展開Firenze的站點和服務,下圖
打開站點和服務,在去剛纔報錯的地方重新進行復制檢查
選擇立即複製副本,上圖
提示,AD已複製了連接。
自此我們的實驗完畢,結果達到了預想的要求。
之前那位博友看後若有任何想交流的信息,隨時歡迎來訪。