在大的集團的中,經常有一種情況的出現,例如我們的總公司在上海,但是因爲業務的擴展,我們的公司在廣州開了一個大約40人的辦事處,這個時候需要在廣州安裝一臺額外的DC,可是相隔廣域網的話,通過網絡複製我們的網絡負載是吃不消的,這個時候,我們應該用什麼辦法來安裝在廣州的額外DC呢,下面讓我們看一下好的解決辦法:
下面讓我們一起來欣賞這樣的奇蹟是如何實現的:
案例環境介紹:
某集團各公司使用單域環境管理整個企業的資源,首先在上海總部部署了一臺域控制器並創建裏域用戶賬戶、組賬戶並制定了相關的組策略。廣州分公司也需要使用域環境實現集中管理,並實現統一管理的IT基礎架構環境。那麼爲了讓廣州分公司的用戶實現高效的的用戶體驗(登陸域等實用AD資源的速度快)。所以在設計整個AD的架構環境時contoso公司的CIO決定採用多站點的方式實現分佈於不同子網分支機構的集中管理。
如下圖所示:
現在需要在廣州部署另一臺應對廣州用戶的AD查詢工作的DC,但是廣州和上海之間的網絡鏈接速度很慢,所以如果聯機狀態下通過複製的方式在廣州添加一臺DC(因爲需要跟上海的DC做驗證並且複製上海DC中的配置信息、Schema、域的目錄分區以及SYSVOL的設置等內容)的話肯定會受到慢速連接的影響,那麼效率一定會很低。
你可以使用32位的通用域控制器安裝媒體文件安裝64位或者32位的DC。當你選擇使用安裝媒體添加DC時請注意以下四點:
A 使用最近創建的安裝媒體文件以減少DC間的數據複製;
B 使用相同的域並且相同操作系統的DC創建安裝媒體文件;
C 將創建好的安裝媒體文件拷貝到要部署成額外DC的服務器本地磁盤上進行安裝,你不能使用UNC路徑或者映射網絡驅動器的方式安裝;
D 你的安裝媒體的版本不能比墓碑存活時間還舊,默認的墓碑存活時間是60天。如果你的安裝媒體比墓碑存活時間還舊,就會導致你通過安裝媒體安裝DC失敗。
如果你能遵守以上4條鐵則,請跟着我下面的步驟來部署,直到成功:
就兩步:先創建安裝媒體,然後通過安裝媒體安裝額外域控制器
一、創建安裝媒體:
位置:位於上海的DC
目的:創建用於安裝廣州DC的安裝介質
說明:創建安裝介質實際上是將上海這臺DC配置信息、Schema、域的目錄分區以及SYSVOL的設置等內容備份出來。
步驟:
1、在上海的DC上以域管理員身份登陸並打開命令提示符
2、在命令提示符中輸入ntdsutil
3、 在ntdsutil界面中輸入 Activate Instance ntds 設置“NTDS”作爲活動實例
4、 輸入IFM 進入IFM媒體創建界面
5、 輸入Create Full D:\adback(備份媒體文件路徑) [*也可以使用Create RODC D:\adback創建只用於創建只讀域控制器的備份媒體文件 也可以使用 Create Sysvol Full D:\adback創建帶有sysvol的媒體文件]
6、 媒體文件創建成功後,退出ntdsutil界面,並複製創建成功的媒體文件(安裝介質)
二、通過安裝媒體添加域控制器:
位置:位於廣州的要升級爲域控制器的服務器(準DC)
目的:在廣州爲contoso公司添加域控制器
說明:因爲前面已經創建了用於在脫機狀態下部署DC用的媒體文件(安裝媒體),所以只需將安裝媒體複製到廣州的DC上就可以用於安裝了。(用U盤考過去、Email發過去、FTP、***方法很多,還請諸位CIO根據自己公司的IT環境想辦法解決了哈。)
步驟:
1、 以本地管理員的身份登陸廣州的準DC,在運行中輸入 dcpromo /adv 安裝AD DS(活動目錄域服務)並打開域控制器安裝嚮導的高級模式(只有選擇高級模式纔會出現使用安裝媒體的選項頁)
2、 選擇向現有林中添加域控制器
3、 輸入要將這臺DC添加到的域的域名,並輸入域管理員的認證憑據(即域管理員的用戶名、密碼)
4、聯機到上海的DC並選擇額外的域控制器添加在林中的位置。
5、選擇將額外域控制器添加到哪一個站點
6、選擇是否安裝DNS服務器、是否設置爲全局編錄、是否設置爲只讀DC
7、選擇從安裝媒體複製數據(關鍵步驟,只有dcpromo高級模式中纔會有這個選項。)
8、設置這臺額外域控制器的複製源。
9、選擇AD數據庫文件、日誌文件、SYSVOL文件存放的位置
10、設置還原模式密碼(要符合複雜性要求)
11、安裝配置信息彙總頁,通過本頁再次確認配置信息。確認都選擇下一步開始安裝。(導出設置選項可以將剛剛的所有設置製作成應答文件,頁可以通過應答文件安裝DC。![clip_image032]( "clip_image032")
結語:在大家選擇通過安裝媒體添加額外域控制器的時候活動目錄的配置信息、架構信息和所有的對象都會通過安裝媒體從本地進行快速複製(加快安裝額外域控制器的速度)。
但是,SYSVOL中的配置信息是無法從本地的安裝媒體中複製的,因爲在windows server 2008 的活動目錄域服務中AD DS的角色開始工作前SYSVOL是不被接受的。所以,在通過安裝媒體安裝完額外DC後,額外DC重新啓動開始工作時,還需要和其他DC聯機複製SYSVOL的信息。