題外話——謹以此文紀念“痛苦”的交規(guī)考試以98分通過。小弟準備考駕照，最近被交規(guī)，就把博文之事放下了。哈哈哈，今天剛一通過就馬上來碼字兒了！

 通過《部署企業(yè)中第一臺Windows Server 2008 R2域控制器》（http://www.dbjr.com.cn/article/38401.htm）已經(jīng)完成了企業(yè)中Windows網(wǎng)絡域森林的建立。但是，在企業(yè)中對于AD來講，為了保證安全穩(wěn)定運行，至少需要兩臺以上的物理域控制器。

在早期的Windows中可以部署備份域控制器（BDC）；到WIN2K后，AD使用額外域控制器和操作主機角色來解決域控制器備份的問題；到了WIN08后，為了增加在分支機構的應用，引入了只讀域控制器（RODC）概念，其和讀寫域控制器同時一同部署從而提高Windows AD的可用性。在此，主要討論關于部署當前域的額外域控制器，即讀寫額外域控制器。

額外域控制器由于不是企業(yè)中的第一臺域控制器，所以在其部署之前，亦即在創(chuàng)建域森林的時候就應該將其規(guī)劃妥當。由此，雖然其沒有首臺DC部署那樣需要注意的事項多，但是對于WIN08R2來講還是有很多地方值得提及，也與早期的版本不同。

一、DC網(wǎng)絡屬性的基本配置

其配置情況主要應該參考當前網(wǎng)絡規(guī)劃和首臺DC的配置而定，在此就延續(xù)前一篇文章所述內(nèi)容來描述。由于首臺DC被規(guī)劃為同時充當DNS服務器，因此該臺額外域控制器首選DNS服務器配置項中的值應該指向首臺DC的IP地址（如圖1）。但是，在規(guī)劃時這臺額外域控制器同時還要作為域中的DNS服務器，并已經(jīng)安裝配置好DNS服務了，而且還從首臺DC同步的DNS區(qū)域數(shù)據(jù)，那么可以將首選的DNS服務器選項設置為其自身IP地址。

圖1

注意：如果企業(yè)中有專門的DNS服務器存在，則需要指向這些服務器，而不能指向首臺DC。

此外，同樣需要將“網(wǎng)絡和共享中心”窗口中的“公用網(wǎng)絡”更改為“專用網(wǎng)絡”。這樣才能保證額外域控制在配置和運行中能夠正常與其他服務器和客戶通信。

二、準備安裝AD服務

WIN08R2安裝額外域控制器，依然是通過“服務器管理器”的角色添加來完成初始化的準備工作的。在角色選擇過程中勾選“Active Directory域服務”（如圖2），并根據(jù)向導完成初始化操作。

圖2

三、完成AD服務器的安裝

1、通過“運行”對話框執(zhí)行“dcpromo”，打開“Active Directory域服務安裝向導”（如圖3），根據(jù)建議勾選“使用高級模式安裝”，單擊“下一步”。

圖3

根據(jù)AD部署向導，仍然建議選擇“使用高級模式安裝”。

2、由于現(xiàn)在已經(jīng)存在AD目錄森林，所以在“選擇某一部署配置”界面要選擇“現(xiàn)有林”。因為現(xiàn)在是要安裝額外域控制器，因此同時選中“向現(xiàn)有域添加域控制器”，單擊“下一步”（如圖4）。

圖4

3、指定要將此額外域控制器安裝到的森林，即為哪個森林添加額外域控制器。在這里建議填寫該服務器將要安裝到的域，而不要寫森林中的其它域。WIN8R2在這一過程中還同時需要指定具有升級額外域控制器權限的用戶。如果是在工作組中直接升級為額外域控制器，則不能用當前賬戶憑證進行，只能使用備用憑證。此外，即使之前將該臺作為額外域控制器的服務器已經(jīng)加入了域，登錄進行升級操作的域用戶也必須要有在域中添加刪除DC權限才能直接使用當前用戶憑證，否則也只能使用備用憑證進行操作（如圖5）。

圖5

對于不同的部署配置，AD安裝向導所需要的網(wǎng)絡憑證是不相同的，如果實現(xiàn)像前一節(jié)中講述的安裝新的森林，只需作為將成為林的第一個域控制器的服務器上的本地管理員組的成員。但是，若要向現(xiàn)有林中添加新域或刪除域，必須是要添加或刪除域的父域中的 Enterprise Admins 組或 Domain Admins 組的成員。Active Directory 域服務安裝向導將驗證憑據(jù)是否足以實現(xiàn)在向導中指定的部署配置，如表1中列出了添加和刪除不同的域或DC所需要的權限。

表1

4、指定要將該服務器安裝到哪個域，作為其額外域控制器存在（如圖6）。選中之后單擊“下一步”。

圖6

確定當前額外域控制器物理主機放置的站點（如圖7）。在早期版本中實現(xiàn)非首臺DC的安裝時是不會出現(xiàn)如此的操作步驟的，在進行選擇的時候直接都是很含糊的進行指定，而在WIN08R2中，微軟把這些步驟進行的細化，并且更加明確了。這樣便于工程師在部署時更能精確的進行配置。

圖7

5、單擊“下一步”，配置“其它域控制器選項”（如圖8）。此處，由于是安裝域中的額外域控制器，對于其是否成為“DNS服務器”，“全局編錄”，“只讀域控制器（RODC）”在此過程中均可忽略。其原因如下：

現(xiàn)在森林中已經(jīng)有了DNS服務器，還要將該服務器作為DNS服務器實現(xiàn)，則可以在完成AD安裝向導后來單獨實現(xiàn)； 對于全局編錄并非在每臺DC上都要建立，所以也可以按其后管理過程中根據(jù)需要進行設置。但是如果是作為某一個站點的第一臺DC來講，在這里還是有必要將其選中，因為建議每個站點至少要有一個GC； 由于在此講述的是可讀寫額外域控制器的安裝，因此當然是一定不能選擇只讀域控制器選項的了。

圖8

6、單擊“下一步”，向導可能會提示“結構主機配置沖突”的對話框（如圖9）。如果域森林在此前只有一臺DC，那么在安裝額外域控制器，即第二臺DC時，肯定會遇到這一提示對話框。產(chǎn)生這一個提示對話框的原因是因為當前域中的基礎結構主機（IM）同時又承載著GC的角色。

圖9

IM更新的引用信息是來自其它域的信息，即非本域信息。在以下兩種情況，IM其實是不工作的：

只有一個域時，此時無論把基礎結構主控放在哪都無所謂。因為沒有其它域的信息需要引用。 多域環(huán)境，所有DC都是GC。這時基礎結構主控也無需工作，因為所有的DC都是GC，GC擁有其它域的只讀信息。

而且IM在GC上運行，將會停止更新對象信息，原因是其已包含對其所擁有的對象的引用。所以，強烈建議IM和GC不要在同一臺DC上共存。在此，選擇“將結構主機角色傳送到此域控制器”。

7、對于WIN08R2安裝額外域控制器時，可以從介質安裝（IFM），而不用通過網(wǎng)絡復制所有的目錄數(shù)據(jù)。將安裝介質存儲在本地驅動器、可移動媒體（如 DVD）或網(wǎng)絡共享文件夾上。執(zhí)行IFM操作來創(chuàng)建額外域控制器，可以大大降低安裝AD時所使用的網(wǎng)絡帶寬。但是，網(wǎng)絡連接仍然是必要的，以便將所有的新對象和對現(xiàn)有對象的最新更改復制到新的域控制器。

創(chuàng)建安裝介質有兩種不同的方法：

建議使用Ntdsutil.exe工具來創(chuàng)建，通過該工具的ifm子命令可以創(chuàng)建安裝AD目錄服務所必需的文件 還可以使用還原系統(tǒng)狀態(tài)備份并將其用作安裝介質，但域控制器的系統(tǒng)狀態(tài)備份所包含的數(shù)據(jù)通常要多于執(zhí)行 IFM 操作所需的數(shù)據(jù)。

注意：若用另一個DC的備份作為安裝介質，則應該使用最新的可用備份。較早的備份需要更多網(wǎng)絡帶寬來執(zhí)行復制。并且所使用的備份不能比域的墓碑生存時間更早，該生存時間被默認設置為180天（早期版本的服務器上創(chuàng)建的林中，默認值為60天）。

但是，出于操作的方便和穩(wěn)妥，在網(wǎng)絡資源和服務器資源允許的情況下，建議還是采用通過網(wǎng)絡復制來完成（如圖10）。選擇“通過網(wǎng)絡從現(xiàn)有域控制器復制數(shù)據(jù)”，單擊“下一步”。

圖10

8、由于額外域控制器的安裝，無論是從網(wǎng)絡復制還是通過IFM來進行，都需要從現(xiàn)有DC中復制數(shù)據(jù)。通過“源域控制器”界面，可以手動指定將哪臺現(xiàn)有DC作為安裝期間必須復制的數(shù)據(jù)的源，也可以讓該向導自動選擇DC（如圖11）。

圖11

建議指定安裝伙伴時，應選擇入站和出站連接數(shù)較低的DC，并且不是重要負責使用文件復制服務（FRS）復制伙伴生產(chǎn)或轉發(fā)更改的設備。此外，若不使用IFM，系統(tǒng)將在安裝伙伴上創(chuàng)建或修改新的NTDS設置對象和新的計算機賬戶；安裝伙伴還會將SYSVOL內(nèi)容復制到新域控制器上。

注意：

只讀域控制器（RODC）永遠不能為安裝伙伴。 如果安裝 RODC，則只有運行WIN08或WIN08R2的可寫域控制器才可以作為安裝伙伴。 如果為現(xiàn)有域安裝額外域控制器，則只有該域的DC可以為安裝伙伴。

9、指定活動目錄數(shù)據(jù)庫文件、日志文件、SYSVOL文件夾存放的位置，并且設置目錄還原模式的管理員密碼。在“摘要”頁面確認相關設置信息無誤，單擊“下一步”，直接進行網(wǎng)絡復制安裝額外域控制器（如圖12）。

圖12

此處，可以勾選“完成后重新啟動”，以便安裝完后自動重啟更新。

四、完成后簡單驗證和其它操作

1、與第一臺DC相同，安裝完成后依然需要對其進行基本的測試和驗證。

2、可以把該DC作為DNS服務器，為域中DNS進行備份。

3、為了對域內(nèi)DC進行負載平衡和降低風險，可以將操作主機進行遷移，盡量分布在不同的DC上。

本文出自 “胖哥技術堂” 博客

最新評論