安裝企業的額外域控制器,此篇文章介紹的是,在同一局域網環境內,以後會介紹一下在不同廣域網通過其他途徑安裝額外DC的方法:(此篇文章同樣轉載於胖哥的博客)
額外域控制器由於不是企業中的第一臺域控制器,所以在其部署之前,亦即在創建域森林的時候就應該將其規劃妥當。由此,雖然其沒有首臺DC部署那樣需要注意的事項多,但是對於WIN08R2來講還是有很多地方值得提及,也與早期的版本不同。
一、DC網絡屬性的基本配置
其配置情況主要應該參考當前網絡規劃和首臺DC的配置而定,在此就延續前一篇文章所述內容來描述。由於首臺DC被規劃爲同時充當DNS服務器,因此該臺額外域控制器首選DNS服務器配置項中的值應該指向首臺DC的IP地址(如圖1)。但是,在規劃時這臺額外域控制器同時還要作爲域中的DNS服務器,並已經安裝配置好DNS服務了,而且還從首臺DC同步的DNS區域數據,那麼可以將首選的DNS服務器選項設置爲其自身IP地址。
圖1
注意:如果企業中有專門的DNS服務器存在,則需要指向這些服務器,而不能指向首臺DC。
此外,同樣需要將“網絡和共享中心”窗口中的“公用網絡”更改爲“專用網絡”。這樣才能保證額外域控制在配置和運行中能夠正常與其他服務器和客戶通信。
二、準備安裝AD服務
WIN08R2安裝額外域控制器,依然是通過“服務器管理器”的角色添加來完成初始化的準備工作的。在角色選擇過程中勾選“Active Directory域服務”(如圖2),並根據嚮導完成初始化操作。
圖2
三、完成AD服務器的安裝
1、通過“運行”對話框執行“dcpromo”,打開“Active Directory域服務安裝嚮導”(如圖3),根據建議勾選“使用高級模式安裝”,單擊“下一步”。
圖3
根據AD部署嚮導,仍然建議選擇“使用高級模式安裝”。
2、由於現在已經存在AD目錄森林,所以在“選擇某一部署配置”界面要選擇“現有林”。因爲現在是要安裝額外域控制器,因此同時選中“向現有域添加域控制器”,單擊“下一步”(如圖4)。
圖4
3、指定要將此額外域控制器安裝到的森林,即爲哪個森林添加額外域控制器。在這裏建議填寫該服務器將要安裝到的域,而不要寫森林中的其它域。WIN8R2在這一過程中還同時需要指定具有升級額外域控制器權限的用戶。如果是在工作組中直接升級爲額外域控制器,則不能用當前賬戶憑證進行,只能使用備用憑證。此外,即使之前將該臺作爲額外域控制器的服務器已經加入了域,登錄進行升級操作的域用戶也必須要有在域中添加刪除DC權限才能直接使用當前用戶憑證,否則也只能使用備用憑證進行操作(如圖5)。
圖5
對於不同的部署配置,AD安裝嚮導所需要的網絡憑證是不相同的,如果實現像前一節中講述的安裝新的森林,只需作爲將成爲林的第一個域控制器的服務器上的本地管理員組的成員。但是,若要向現有林中添加新域或刪除域,必須是要添加或刪除域的父域中的 Enterprise Admins 組或 Domain Admins 組的成員。Active Directory 域服務安裝嚮導將驗證憑據是否足以實現在嚮導中指定的部署配置,如表1中列出了添加和刪除不同的域或DC所需要的權限。
表1
4、指定要將該服務器安裝到哪個域,作爲其額外域控制器存在(如圖6)。選中之後單擊“下一步”。
圖6
確定當前額外域控制器物理主機放置的站點(如圖7)。在早期版本中實現非首臺DC的安裝時是不會出現如此的操作步驟的,在進行選擇的時候直接都是很含糊的進行指定,而在WIN08R2中,微軟把這些步驟進行的細化,並且更加明確了。這樣便於工程師在部署時更能精確的進行配置。
圖7
5、單擊“下一步”,配置“其它域控制器選項”(如圖8)。此處,由於是安裝域中的額外域控制器,對於其是否成爲“DNS服務器”,“全局編錄”,“只讀域控制器(RODC)”在此過程中均可忽略。其原因如下:
· 現在森林中已經有了DNS服務器,還要將該服務器作爲DNS服務器實現,則可以在完成AD安裝嚮導後來單獨實現;
· 對於全局編錄並非在每臺DC上都要建立,所以也可以按其後管理過程中根據需要進行設置。但是如果是作爲某一個站點的第一臺DC來講,在這裏還是有必要將其選中,因爲建議每個站點至少要有一個GC;
· 由於在此講述的是可讀寫額外域控制器的安裝,因此當然是一定不能選擇只讀域控制器選項的了。
圖8
6、單擊“下一步”,嚮導可能會提示“結構主機配置衝突”的對話框(如圖9)。如果域森林在此前只有一臺DC,那麼在安裝額外域控制器,即第二臺DC時,肯定會遇到這一提示對話框。產生這一個提示對話框的原因是因爲當前域中的基礎結構主機(IM)同時又承載着GC的角色。
圖9
IM更新的引用信息是來自其它域的信息,即非本域信息。在以下兩種情況,IM其實是不工作的:
· 只有一個域時,此時無論把基礎結構主控放在哪都無所謂。因爲沒有其它域的信息需要引用。
· 多域環境,所有DC都是GC。這時基礎結構主控也無需工作,因爲所有的DC都是GC,GC擁有其它域的只讀信息。
而且IM在GC上運行,將會停止更新對象信息,原因是其已包含對其所擁有的對象的引用。所以,強烈建議IM和GC不要在同一臺DC上共存。在此,選擇“將結構主機角色傳送到此域控制器”。
7、對於WIN08R2安裝額外域控制器時,可以從介質安裝(IFM),而不用通過網絡複製所有的目錄數據。將安裝介質存儲在本地驅動器、可移動媒體(如 DVD)或網絡共享文件夾上。執行IFM操作來創建額外域控制器,可以大大降低安裝AD時所使用的網絡帶寬。但是,網絡連接仍然是必要的,以便將所有的新對象和對現有對象的最新更改複製到新的域控制器。
創建安裝介質有兩種不同的方法:
· 建議使用Ntdsutil.exe工具來創建,通過該工具的ifm子命令可以創建安裝AD目錄服務所必需的文件
· 還可以使用還原系統狀態備份並將其用作安裝介質,但域控制器的系統狀態備份所包含的數據通常要多於執行 IFM 操作所需的數據。
注意:若用另一個DC的備份作爲安裝介質,則應該使用最新的可用備份。較早的備份需要更多網絡帶寬來執行復制。並且所使用的備份不能比域的墓碑生存時間更早,該生存時間被默認設置爲180天(早期版本的服務器上創建的林中,默認值爲60天)。
但是,出於操作的方便和穩妥,在網絡資源和服務器資源允許的情況下,建議還是採用通過網絡複製來完成(如圖10)。選擇“通過網絡從現有域控制器複製數據”,單擊“下一步”。
圖10
8、由於額外域控制器的安裝,無論是從網絡複製還是通過IFM來進行,都需要從現有DC中複製數據。通過“源域控制器”界面,可以手動指定將哪臺現有DC作爲安裝期間必須複製的數據的源,也可以讓該向導自動選擇DC(如圖11)。
圖11
建議指定安裝夥伴時,應選擇入站和出站連接數較低的DC,並且不是重要負責使用文件複製服務(FRS)複製夥伴生產或轉發更改的設備。此外,若不使用IFM,系統將在安裝夥伴上創建或修改新的NTDS設置對象和新的計算機賬戶;安裝夥伴還會將SYSVOL內容複製到新域控制器上。
注意:
· 只讀域控制器(RODC)永遠不能爲安裝夥伴。
· 如果安裝 RODC,則只有運行WIN08或WIN08R2的可寫域控制器纔可以作爲安裝夥伴。
· 如果爲現有域安裝額外域控制器,則只有該域的DC可以爲安裝夥伴。
9、指定活動目錄數據庫文件、日誌文件、SYSVOL文件夾存放的位置,並且設置目錄還原模式的管理員密碼。在“摘要”頁面確認相關設置信息無誤,單擊“下一步”,直接進行網絡複製安裝額外域控制器(如圖12)。
圖12
此處,可以勾選“完成後重新啓動”,以便安裝完後自動重啓更新。
四、完成後簡單驗證和其它操作
1、與第一臺DC相同,安裝完成後依然需要對其進行基本的測試和驗證。
2、可以把該DC作爲DNS服務器,爲域中DNS進行備份。
3、爲了對域內DC進行負載平衡和降低風險,可以將操作主機進行遷移,儘量分佈在不同的DC上