AD域DNS分离额外域控制器安装及主域控制器损坏解决方法

v1.0可编写可改正AD域DNS分别+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，并且集成安装的方法好处有：使DNS也获得AD的安全保护，DNS的地域复制也更安全，并且集成DNS只广播改正的部分，相信更多状况下大家选择集成安装的方式是因为更简洁方便。自然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且马上安装的DC控制器负载估计会很重，假如感觉DC自己的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查察额外控制器的作用），其余为了检验控制器安装成功与否，能否以担负其作用，我们再安排一台客户端（client-0）用来检测。（此中因为服务器特征需要指定AD-zhu、AD-fu、DNS-srv为静态地址）AD-zhuDNS-srvAD-fuDCDNS额外DCClient-0客户端对于DC和DNS分别安装，安装序次没有严格要求，这里我测试的环境是先安装DNS。先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS获得DC向DNS注册的SRV记录，Cname记录，NS记录。那么我们就以先安装DNS为例,对于1v1.0可编写可改正实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。接下来我们分步实现······为了更加认识DC和DNS的关系，安装前请先参阅：安装ActiveDirectory的DNS要求在成员服务器上安装ActiveDirectory时，可将成员服务器升级为域控制器。ActiveDirectory将DNS作为域控制器的地点体系，使网络上的计算机可以获得域控制器的IP地址。在ActiveDirectory安装时期，在DNS中动向注册服务(SRV)和地址(A)资源记录，这些记录是域控制器定位程序(Locator)体系功能成功实现所必要的。要在域或林中查找域控制器，客户端将在DNS中盘问域控制器的SRV和ADNS资源记录，这些资源记录为客户端供给域控制器的名称和IP地址。在这类环境中，SRV和A资源记录被称为定位程序DNS资源记录。(这里说明需要DNS支持)向林中增添域控制器时，将使用定位程序DNS资源记录更新DNS服务器上主持的DNS地域，同时表记域控制器。为此，DNS地域一定同意动向更新(RFC2136)，同时，主持该地域的DNS服务器一定支持SRV资源记录(RFC2782)才能宣告ActiveDirectory目录服务。（这在安装DNS过程中是需要注意的一点）假如主持威望DNS地域的DNS服务器不是运转Windows2000或WindowsServer2003的服务器，请与您的DNS管理员联系，确立该DNS服务器能否支持所需的标准。如果服务器不支持所需标准，也许威望DNS地域不可以被配置为同意动向更新，则需要对现有DNS结构进行改正。（这个也是很重要的一点这里需要改正“初步受权机构SOA”和“名称服务器”用以支持DNS地域被配置成“同意动向更新”，这在接下来会提到）重点用来支持ActiveDirectory的DNS服务器一定支持SRV资源记录，定位器体系才能2v1.0可编写可改正运转。建议安装ActiveDirectory以前DNS结构应同意动向更新定位程序DNS资源记录（SRV和A），但是，您的DNS管理员可以在安装后手动增添这些资源记录。安装ActiveDirectory后，可在以下地点中的域控制器上找到这些记录：（这说明DNS设置为“不一样意动向更新”时，我们可以手动更新，但是有难度，且特别麻烦，因此一般建议选择“同意动向更新”）其余我们说DC和DNS安装序次没有太严格要求可从“参阅里面的连接”：图上标记的两点可看出它们是DC+DNS先后次序的要乞降解决方法。3v1.0可编写可改正DNS服务器的安装安装DNS，需要给服务器指定静态IP地址，以下：这里要注意DNS要指定给DNS-srv服务器自己IP，默认网关可以不用填写。接下来安装域名系统（DNS）服务，先挂载WIN2003安装镜像，依据下面菜单项选择择“增添或删除应用程序”4v1.0可编写可改正3.依据以下图指向，选择“域名系统（DNS）”服务，点击确立。5v1.0可编写可改正4.达成后，可在“管理工具”中看见DNS服务了。5.打开DNS服务，右键选择“配置DNS服务器”。6v1.0可编写可改正下一步7v1.0可编写可改正正向分析就是指从域名分析到IP，反向就是IP到域名的分析。这里我们选择第二项，正反向分析都做一下。8v1.0可编写可改正地域名称就是你想要定义的域名9v1.0可编写可改正这里需要注意一下，请选择“同意非安全和安全动向更新”，因为接下来DC的安装需要动态更新的支持，自然我们可以选择“不一样意动向更新”，我将会在接下的安装中改正更新设置。（这在以前的参阅里边有提到过）10v1.0可编写可改正接下来创立反向分析反向分析实质上是需要一个一个填写的，但是很耗时间，我们一般填入子网段就可以，这里也是要求填入网段。11v1.0可编写可改正这里和以前正向分析状况相同，以后我们会改成“同意非安全和安全动向更新”12v1.0可编写可改正13.在弹出的窗口中设置NDS的转发器，在转发器中输入“和“（谷歌供给的DNS）”（在该DNS服务器中没法分析的域名，该DNS服务器可以转发给其余指定的DNS服务器长进行解析，如向ISP（互联网服务供给商）的DNS服务器转发）13v1.0可编写可改正我们建立好正反向分析后，接着在地域中增添主机记录，这里是正向分析做好主机增添后的状况15.右键“正向查找地域”，新建主机（A记录）14v1.0可编写可改正名称可以任意输入，显示的FQDN就是供给DNS服务的域名，其余我们也可以选择同时创立相关的指针（PTR）记录，这样反向分析也会同时自动生成，我们这里没有选择，接下来我们会手动创立反向分析17.反向分析创立和正向分析创立的方法相同，后边指定主机IP和主机名就可以了，我们可以选择“阅读”以查察并指定我们需要的正向分析主机名15v1.0可编写可改正16v1.0可编写可改正选择好了，确立17v1.0可编写可改正19.这样我就创立好正反向分析了，而后我们启动nslookup分析工具来考据我们创立DNS分析的正确性18v1.0可编写可改正以下状况说明我们创立成功21.其余我们还需要改正正向查找地域的属性中的“初步受权机构SOA”和“名称服务器”用以支持DNS地域被配置成“同意动向更新”奏效。这在申明中也有提到过。DNS-setup2922.在域属性中阅读指定的SOA也就是主受权机构，名称服务器也做相应的指定。19v1.0可编写可改正20v1.0可编写可改正至此，我们的DNS服务器配置达成，接下来我们创立DC主控制器21v1.0可编写可改正DC主控制器的安装以前我们已经在DNS-srv服务器上安装好了DNS（说的好拗口，早知道就不起这个简单混淆的名字了），接下来我们开始在AD-zhu上安装主域控制器，先查察下主机状况2.确立在该主机上可以正常分析到DNS服务器22v1.0可编写可改正在运转中输入“dcpromo”确立启动AD安装导游选择建立“新域的域控制器”23v1.0可编写可改正这个新域建立在新的林中6.输入以前我们新创立的DNS全名24v1.0可编写可改正7.这里出现的NetBIOS域名是导游默认经过你指定的DNS全名同时命名的NetBIOS域名，用以兼容初期Windows版本的用户来鉴别新的域。选择默认安装地点，也可参照提示选择不一样的保存地点以提高性能25v1.0可编写可改正默认10.到这里就出现了以前我们向来在以的动向DNS更新支持，我们可以在正向查找地域的属性里改正动向更新的安全性，改成“非安全”即为支持动向更新。至于反向可改可不改，因26v1.0可编写可改正为DC的安装只需求正向分析，因此以前的反向分析也可不做，以后也可以经过手动做反向分析27v1.0可编写可改正经过更悔过后，重试DNS诊断经过依据实质生产状况选择兼容性28v1.0可编写可改正设置一个还原模式密码这里会显示我们马上安装的服务器配置大纲，假如感觉有些选项不正确，可以点击上一步进行改正，确认无误，请下一步29v1.0可编写可改正15.这时系统会自动配置你的DC，耐心等候结束30v1.0可编写可改正重启达成DC的配置17.同时，我们可以在DNS-srv主机上刷新查察DNS记录，发现多了SRV和ADNS资源记录，这是DNS用以定位DC的资源记录31v1.0可编写可改正重启过后，在AD-zhu服务器上我们会发现AD管理器，说明安装达成查察系统属性，发现计算机名称有了的后缀，更说明创立成功32v1.0可编写可改正33v1.0可编写可改正DC额外控制器的安装1.安装达成主域控制器后，接下来我们再连续安装额外控制器，第一查察系统信息，IP地址也是静态指定的，其余趁便用nslookup检查一下与DNS服务器的连接状况34v1.0可编写可改正2．和安装主控制器相同，我们也经过dcpromo启动AD安装导游35v1.0可编写可改正选择现有域的额外控制器种类36v1.0可编写可改正输入主域控制器的用户名密码和主域控制器名，下一步等候检测达成你可以直接输入主域控制器名，也许阅读存在的域控制器37v1.0可编写可改正相同默认目录，下一步38v1.0可编写可改正设置还原模式密码39v1.0可编写可改正这时额外控制器开始从主域控制器复制文件和服务40v1.0可编写可改正9.重启后也可以看见AD管理器出现了41v1.0可编写可改正相同检查一下系统信息，查察能否成功增添11.其余，在DNS-srv服务器上也能看见相关分析记录也被注册了进去42v1.0可编写可改正至此，额外控制器也安装达成，以后我们会模拟主域损坏了改怎么解决的状况43v1.0可编写可改正主域损坏，解决方法以前我们已经将所需要的环境部署达成，接下来我们来进一步办理灾害状况下主DC损坏，如何使额外DC代替主DC担负起活动目录的职责。环境状况以以下图，AD-zhu不测损坏，而DNS-srv、AD-fu正常运转，客户端用于检测AD-fu能否成功代替AD-zhu。AD-zhuDNS-srvAD-fuDCDNS额外DCClient-0客户端第一我们来模拟一下灾害环境：让AD-zhu关机不在启动，以后不在出此刻实验环境中。44v1.0可编写可改正45v1.0可编写可改正2.在AD-fu额外控制器上打开命令提示符，输入ntdsutil启用工具，包括的命令内容可使用“”查察46v1.0可编写可改正输入“metadatacleanup”进入清理模式，并连接到自己，自然也可以连接到其余命名方法。47v1.0可编写可改正4.连接到特定的域控制器后，会退到上一级，使用“selectoperationtarget”选择站点，服务器，域，角色和命名上下文第一列出存在的站点列表48v1.0可编写可改正这里只存在一个站点，用“0”表示我们选择这个站点“selectsite0”，并列出包括在这个站点中的域7.这个站点中只包括了一个“funsion”域，也是用0表示的49v1.0可编写可改正选择这个域，并列出所选域和站点中的服务器这里列出了我们环境中存在的两个服务器50v1.0可编写可改正我们选择“0”指定“AD-zhu”因为我们要删除主控制器选择达成后，退回上一层，进行删除工作。51v1.0可编写可改正12.使用“removeselectedserver”删除所选的AD-zhu，弹出对话框，选择确立确立后，会自动弹出让你选择AD-fu对主控制器角色抢夺的对话框。此中会遇到失败和错误的提示信息，忽视，挨次选择“是”。直到删除结束52v1.0可编写可改正53v1.0可编写可改正54v1.0可编写可改正55v1.0可编写可改正14.到这里我们将AD-zhu的元数据从AD-fu上除去了。56v1.0可编写可改正15.在图形界面，打开“ActiveDirectory站点和服务”下把“AD-zhu”选中，右击“删除”。57v1.0可编写可改正58v1.0可编写可改正16.此刻“AD-zhu”主机已经没有了，睁开site->default-first-site-name->servers，展开AD-fu，右击“NTDSSettings”点“属性”，勾上全局辑录前面的勾，点确立，以以下图：59v1.0可编写可改正打开“AD用户和计算机”找到“AD-zhu”也就是本来的主域控制器，右击“删除”。时期弹出对话框，选择“是”。60v1.0可编写可改正18.到这里，我们就把AD-zhu删除掉了。61v1.0可编写可改正19.以前删除AD-zhu的过程中，系统自动提示我们用AD-fu抢夺AD-zhu上的角色，有失败之处，因此接下来我们再次手动让AD-fu抢夺角色。退出到“ntdsutil”层，进入到Roles“管理NTDS角色全部者令牌”模式62v1.0可编写可改正20.进入“connections”连接状态63v1.0可编写可改正连接到AD-fu自己，挨次执行以下图红框内五条命令，就是将操作主机的角色指定给额外控制器AD-fu的操作了。时期假如又出现不行功的提示，请重试一次。64v1.0可编写可改正65v1.0可编写可改正66v1.0可编写可改正23.五条命令执行结束后，我们用“netdomquery