題外話——謹(jǐn)以此文紀(jì)念“痛苦”的交規(guī)考試以98分通過。小弟準(zhǔn)備考駕照，最近被交規(guī)，就把博文之事放下了。哈哈哈，今天剛一通過就馬上來碼字兒了！

 通過《部署企業(yè)中第一臺Windows Server 2008 R2域控制器》（http://www.dbjr.com.cn/article/38401.htm）已經(jīng)完成了企業(yè)中Windows網(wǎng)絡(luò)域森林的建立。但是，在企業(yè)中對于AD來講，為了保證安全穩(wěn)定運(yùn)行，至少需要兩臺以上的物理域控制器。

在早期的Windows中可以部署備份域控制器（BDC）；到WIN2K后，AD使用額外域控制器和操作主機(jī)角色來解決域控制器備份的問題；到了WIN08后，為了增加在分支機(jī)構(gòu)的應(yīng)用，引入了只讀域控制器（RODC）概念，其和讀寫域控制器同時一同部署從而提高Windows AD的可用性。在此，主要討論關(guān)于部署當(dāng)前域的額外域控制器，即讀寫額外域控制器。

額外域控制器由于不是企業(yè)中的第一臺域控制器，所以在其部署之前，亦即在創(chuàng)建域森林的時候就應(yīng)該將其規(guī)劃妥當(dāng)。由此，雖然其沒有首臺DC部署那樣需要注意的事項多，但是對于WIN08R2來講還是有很多地方值得提及，也與早期的版本不同。

一、DC網(wǎng)絡(luò)屬性的基本配置

其配置情況主要應(yīng)該參考當(dāng)前網(wǎng)絡(luò)規(guī)劃和首臺DC的配置而定，在此就延續(xù)前一篇文章所述內(nèi)容來描述。由于首臺DC被規(guī)劃為同時充當(dāng)DNS服務(wù)器，因此該臺額外域控制器首選DNS服務(wù)器配置項中的值應(yīng)該指向首臺DC的IP地址（如圖1）。但是，在規(guī)劃時這臺額外域控制器同時還要作為域中的DNS服務(wù)器，并已經(jīng)安裝配置好DNS服務(wù)了，而且還從首臺DC同步的DNS區(qū)域數(shù)據(jù)，那么可以將首選的DNS服務(wù)器選項設(shè)置為其自身IP地址。

圖1

注意：如果企業(yè)中有專門的DNS服務(wù)器存在，則需要指向這些服務(wù)器，而不能指向首臺DC。

此外，同樣需要將“網(wǎng)絡(luò)和共享中心”窗口中的“公用網(wǎng)絡(luò)”更改為“專用網(wǎng)絡(luò)”。這樣才能保證額外域控制在配置和運(yùn)行中能夠正常與其他服務(wù)器和客戶通信。

二、準(zhǔn)備安裝AD服務(wù)

WIN08R2安裝額外域控制器，依然是通過“服務(wù)器管理器”的角色添加來完成初始化的準(zhǔn)備工作的。在角色選擇過程中勾選“Active Directory域服務(wù)”（如圖2），并根據(jù)向?qū)瓿沙跏蓟僮鳌?/P>

圖2

三、完成AD服務(wù)器的安裝

1、通過“運(yùn)行”對話框執(zhí)行“dcpromo”，打開“Active Directory域服務(wù)安裝向?qū)А保ㄈ鐖D3），根據(jù)建議勾選“使用高級模式安裝”，單擊“下一步”。

圖3

根據(jù)AD部署向?qū)?，仍然建議選擇“使用高級模式安裝”。

2、由于現(xiàn)在已經(jīng)存在AD目錄森林，所以在“選擇某一部署配置”界面要選擇“現(xiàn)有林”。因為現(xiàn)在是要安裝額外域控制器，因此同時選中“向現(xiàn)有域添加域控制器”，單擊“下一步”（如圖4）。

圖4

3、指定要將此額外域控制器安裝到的森林，即為哪個森林添加額外域控制器。在這里建議填寫該服務(wù)器將要安裝到的域，而不要寫森林中的其它域。WIN8R2在這一過程中還同時需要指定具有升級額外域控制器權(quán)限的用戶。如果是在工作組中直接升級為額外域控制器，則不能用當(dāng)前賬戶憑證進(jìn)行，只能使用備用憑證。此外，即使之前將該臺作為額外域控制器的服務(wù)器已經(jīng)加入了域，登錄進(jìn)行升級操作的域用戶也必須要有在域中添加刪除DC權(quán)限才能直接使用當(dāng)前用戶憑證，否則也只能使用備用憑證進(jìn)行操作（如圖5）。

圖5

對于不同的部署配置，AD安裝向?qū)枰木W(wǎng)絡(luò)憑證是不相同的，如果實現(xiàn)像前一節(jié)中講述的安裝新的森林，只需作為將成為林的第一個域控制器的服務(wù)器上的本地管理員組的成員。但是，若要向現(xiàn)有林中添加新域或刪除域，必須是要添加或刪除域的父域中的 Enterprise Admins 組或 Domain Admins 組的成員。Active Directory 域服務(wù)安裝向?qū)Ⅱ炞C憑據(jù)是否足以實現(xiàn)在向?qū)е兄付ǖ牟渴鹋渲?，如?中列出了添加和刪除不同的域或DC所需要的權(quán)限。

表1

4、指定要將該服務(wù)器安裝到哪個域，作為其額外域控制器存在（如圖6）。選中之后單擊“下一步”。

圖6

確定當(dāng)前額外域控制器物理主機(jī)放置的站點(diǎn)（如圖7）。在早期版本中實現(xiàn)非首臺DC的安裝時是不會出現(xiàn)如此的操作步驟的，在進(jìn)行選擇的時候直接都是很含糊的進(jìn)行指定，而在WIN08R2中，微軟把這些步驟進(jìn)行的細(xì)化，并且更加明確了。這樣便于工程師在部署時更能精確的進(jìn)行配置。

圖7

5、單擊“下一步”，配置“其它域控制器選項”（如圖8）。此處，由于是安裝域中的額外域控制器，對于其是否成為“DNS服務(wù)器”，“全局編錄”，“只讀域控制器（RODC）”在此過程中均可忽略。其原因如下：

現(xiàn)在森林中已經(jīng)有了DNS服務(wù)器，還要將該服務(wù)器作為DNS服務(wù)器實現(xiàn)，則可以在完成AD安裝向?qū)Ш髞韱为?dú)實現(xiàn)； 對于全局編錄并非在每臺DC上都要建立，所以也可以按其后管理過程中根據(jù)需要進(jìn)行設(shè)置。但是如果是作為某一個站點(diǎn)的第一臺DC來講，在這里還是有必要將其選中，因為建議每個站點(diǎn)至少要有一個GC； 由于在此講述的是可讀寫額外域控制器的安裝，因此當(dāng)然是一定不能選擇只讀域控制器選項的了。

圖8

6、單擊“下一步”，向?qū)Э赡軙崾尽敖Y(jié)構(gòu)主機(jī)配置沖突”的對話框（如圖9）。如果域森林在此前只有一臺DC，那么在安裝額外域控制器，即第二臺DC時，肯定會遇到這一提示對話框。產(chǎn)生這一個提示對話框的原因是因為當(dāng)前域中的基礎(chǔ)結(jié)構(gòu)主機(jī)（IM）同時又承載著GC的角色。

圖9

IM更新的引用信息是來自其它域的信息，即非本域信息。在以下兩種情況，IM其實是不工作的：

只有一個域時，此時無論把基礎(chǔ)結(jié)構(gòu)主控放在哪都無所謂。因為沒有其它域的信息需要引用。 多域環(huán)境，所有DC都是GC。這時基礎(chǔ)結(jié)構(gòu)主控也無需工作，因為所有的DC都是GC，GC擁有其它域的只讀信息。

而且IM在GC上運(yùn)行，將會停止更新對象信息，原因是其已包含對其所擁有的對象的引用。所以，強(qiáng)烈建議IM和GC不要在同一臺DC上共存。在此，選擇“將結(jié)構(gòu)主機(jī)角色傳送到此域控制器”。

7、對于WIN08R2安裝額外域控制器時，可以從介質(zhì)安裝（IFM），而不用通過網(wǎng)絡(luò)復(fù)制所有的目錄數(shù)據(jù)。將安裝介質(zhì)存儲在本地驅(qū)動器、可移動媒體（如 DVD）或網(wǎng)絡(luò)共享文件夾上。執(zhí)行IFM操作來創(chuàng)建額外域控制器，可以大大降低安裝AD時所使用的網(wǎng)絡(luò)帶寬。但是，網(wǎng)絡(luò)連接仍然是必要的，以便將所有的新對象和對現(xiàn)有對象的最新更改復(fù)制到新的域控制器。

創(chuàng)建安裝介質(zhì)有兩種不同的方法：

建議使用Ntdsutil.exe工具來創(chuàng)建，通過該工具的ifm子命令可以創(chuàng)建安裝AD目錄服務(wù)所必需的文件 還可以使用還原系統(tǒng)狀態(tài)備份并將其用作安裝介質(zhì)，但域控制器的系統(tǒng)狀態(tài)備份所包含的數(shù)據(jù)通常要多于執(zhí)行 IFM 操作所需的數(shù)據(jù)。

注意：若用另一個DC的備份作為安裝介質(zhì)，則應(yīng)該使用最新的可用備份。較早的備份需要更多網(wǎng)絡(luò)帶寬來執(zhí)行復(fù)制。并且所使用的備份不能比域的墓碑生存時間更早，該生存時間被默認(rèn)設(shè)置為180天（早期版本的服務(wù)器上創(chuàng)建的林中，默認(rèn)值為60天）。

但是，出于操作的方便和穩(wěn)妥，在網(wǎng)絡(luò)資源和服務(wù)器資源允許的情況下，建議還是采用通過網(wǎng)絡(luò)復(fù)制來完成（如圖10）。選擇“通過網(wǎng)絡(luò)從現(xiàn)有域控制器復(fù)制數(shù)據(jù)”，單擊“下一步”。

圖10

8、由于額外域控制器的安裝，無論是從網(wǎng)絡(luò)復(fù)制還是通過IFM來進(jìn)行，都需要從現(xiàn)有DC中復(fù)制數(shù)據(jù)。通過“源域控制器”界面，可以手動指定將哪臺現(xiàn)有DC作為安裝期間必須復(fù)制的數(shù)據(jù)的源，也可以讓該向?qū)ё詣舆x擇DC（如圖11）。

圖11

建議指定安裝伙伴時，應(yīng)選擇入站和出站連接數(shù)較低的DC，并且不是重要負(fù)責(zé)使用文件復(fù)制服務(wù)（FRS）復(fù)制伙伴生產(chǎn)或轉(zhuǎn)發(fā)更改的設(shè)備。此外，若不使用IFM，系統(tǒng)將在安裝伙伴上創(chuàng)建或修改新的NTDS設(shè)置對象和新的計算機(jī)賬戶；安裝伙伴還會將SYSVOL內(nèi)容復(fù)制到新域控制器上。

注意：

只讀域控制器（RODC）永遠(yuǎn)不能為安裝伙伴。 如果安裝 RODC，則只有運(yùn)行WIN08或WIN08R2的可寫域控制器才可以作為安裝伙伴。 如果為現(xiàn)有域安裝額外域控制器，則只有該域的DC可以為安裝伙伴。

9、指定活動目錄數(shù)據(jù)庫文件、日志文件、SYSVOL文件夾存放的位置，并且設(shè)置目錄還原模式的管理員密碼。在“摘要”頁面確認(rèn)相關(guān)設(shè)置信息無誤，單擊“下一步”，直接進(jìn)行網(wǎng)絡(luò)復(fù)制安裝額外域控制器（如圖12）。

圖12

此處，可以勾選“完成后重新啟動”，以便安裝完后自動重啟更新。

四、完成后簡單驗證和其它操作

1、與第一臺DC相同，安裝完成后依然需要對其進(jìn)行基本的測試和驗證。

2、可以把該DC作為DNS服務(wù)器，為域中DNS進(jìn)行備份。

3、為了對域內(nèi)DC進(jìn)行負(fù)載平衡和降低風(fēng)險，可以將操作主機(jī)進(jìn)行遷移，盡量分布在不同的DC上。

本文出自 “胖哥技術(shù)堂” 博客

最新評論