|
戰(zhàn)之二 安裝企業(yè)中第二臺(tái)域控制器(在同一局域網(wǎng)環(huán)境內(nèi))
安裝企業(yè)的額外域控制器,此篇文章介紹的是,,在同一局域網(wǎng)環(huán)境內(nèi),,以后會(huì)介紹一下在不同廣域網(wǎng)通過其他途徑安裝額外DC的方法:(此篇文章同樣轉(zhuǎn)載于胖哥的博客)
額外域控制器由于不是企業(yè)中的第一臺(tái)域控制器,所以在其部署之前,,亦即在創(chuàng)建域森林的時(shí)候就應(yīng)該將其規(guī)劃妥當(dāng),。由此,雖然其沒有首臺(tái)DC部署那樣需要注意的事項(xiàng)多,,但是對(duì)于WIN08R2來(lái)講還是有很多地方值得提及,,也與早期的版本不同。
一,、DC網(wǎng)絡(luò)屬性的基本配置
其配置情況主要應(yīng)該參考當(dāng)前網(wǎng)絡(luò)規(guī)劃和首臺(tái)DC的配置而定,,在此就延續(xù)前一篇文章所述內(nèi)容來(lái)描述。由于首臺(tái)DC被規(guī)劃為同時(shí)充當(dāng)DNS服務(wù)器,,因此該臺(tái)額外域控制器首選DNS服務(wù)器配置項(xiàng)中的值應(yīng)該指向首臺(tái)DC的IP地址(如圖1),。但是,在規(guī)劃時(shí)這臺(tái)額外域控制器同時(shí)還要作為域中的DNS服務(wù)器,,并已經(jīng)安裝配置好DNS服務(wù)了,,而且還從首臺(tái)DC同步的DNS區(qū)域數(shù)據(jù),那么可以將首選的DNS服務(wù)器選項(xiàng)設(shè)置為其自身IP地址,。
 圖1
注意:如果企業(yè)中有專門的DNS服務(wù)器存在,,則需要指向這些服務(wù)器,而不能指向首臺(tái)DC,。
此外,,同樣需要將“網(wǎng)絡(luò)和共享中心”窗口中的“公用網(wǎng)絡(luò)”更改為“專用網(wǎng)絡(luò)”。這樣才能保證額外域控制在配置和運(yùn)行中能夠正常與其他服務(wù)器和客戶通信,。
二,、準(zhǔn)備安裝AD服務(wù)
WIN08R2安裝額外域控制器,,依然是通過“服務(wù)器管理器”的角色添加來(lái)完成初始化的準(zhǔn)備工作的。在角色選擇過程中勾選“Active Directory域服務(wù)”(如圖2),,并根據(jù)向?qū)瓿沙跏蓟僮鳌?/div>
 圖2
三,、完成AD服務(wù)器的安裝
1、通過“運(yùn)行”對(duì)話框執(zhí)行“dcpromo”,,打開“Active Directory域服務(wù)安裝向?qū)А保ㄈ鐖D3),,根據(jù)建議勾選“使用高級(jí)模式安裝”,單擊“下一步”,。
 圖3
根據(jù)AD部署向?qū)?,仍然建議選擇“使用高級(jí)模式安裝”。
2,、由于現(xiàn)在已經(jīng)存在AD目錄森林,,所以在“選擇某一部署配置”界面要選擇“現(xiàn)有林”。因?yàn)楝F(xiàn)在是要安裝額外域控制器,,因此同時(shí)選中“向現(xiàn)有域添加域控制器”,,單擊“下一步”(如圖4)。
 圖4
3,、指定要將此額外域控制器安裝到的森林,,即為哪個(gè)森林添加額外域控制器。在這里建議填寫該服務(wù)器將要安裝到的域,,而不要寫森林中的其它域,。WIN8R2在這一過程中還同時(shí)需要指定具有升級(jí)額外域控制器權(quán)限的用戶。如果是在工作組中直接升級(jí)為額外域控制器,,則不能用當(dāng)前賬戶憑證進(jìn)行,,只能使用備用憑證。此外,,即使之前將該臺(tái)作為額外域控制器的服務(wù)器已經(jīng)加入了域,,登錄進(jìn)行升級(jí)操作的域用戶也必須要有在域中添加刪除DC權(quán)限才能直接使用當(dāng)前用戶憑證,否則也只能使用備用憑證進(jìn)行操作(如圖5),。
 圖5
對(duì)于不同的部署配置,,AD安裝向?qū)枰木W(wǎng)絡(luò)憑證是不相同的,如果實(shí)現(xiàn)像前一節(jié)中講述的安裝新的森林,,只需作為將成為林的第一個(gè)域控制器的服務(wù)器上的本地管理員組的成員,。但是,若要向現(xiàn)有林中添加新域或刪除域,,必須是要添加或刪除域的父域中的 Enterprise Admins 組或 Domain Admins 組的成員,。Active Directory 域服務(wù)安裝向?qū)Ⅱ?yàn)證憑據(jù)是否足以實(shí)現(xiàn)在向?qū)е兄付ǖ牟渴鹋渲茫绫?中列出了添加和刪除不同的域或DC所需要的權(quán)限,。
 表1
4、指定要將該服務(wù)器安裝到哪個(gè)域,作為其額外域控制器存在(如圖6),。選中之后單擊“下一步”,。
 圖6
確定當(dāng)前額外域控制器物理主機(jī)放置的站點(diǎn)(如圖7)。在早期版本中實(shí)現(xiàn)非首臺(tái)DC的安裝時(shí)是不會(huì)出現(xiàn)如此的操作步驟的,,在進(jìn)行選擇的時(shí)候直接都是很含糊的進(jìn)行指定,,而在WIN08R2中,微軟把這些步驟進(jìn)行的細(xì)化,,并且更加明確了,。這樣便于工程師在部署時(shí)更能精確的進(jìn)行配置。
 圖7
5,、單擊“下一步”,,配置“其它域控制器選項(xiàng)”(如圖8)。此處,,由于是安裝域中的額外域控制器,,對(duì)于其是否成為“DNS服務(wù)器”,“全局編錄”,,“只讀域控制器(RODC)”在此過程中均可忽略,。其原因如下:
· 現(xiàn)在森林中已經(jīng)有了DNS服務(wù)器,還要將該服務(wù)器作為DNS服務(wù)器實(shí)現(xiàn),,則可以在完成AD安裝向?qū)Ш髞?lái)單獨(dú)實(shí)現(xiàn),;
· 對(duì)于全局編錄并非在每臺(tái)DC上都要建立,所以也可以按其后管理過程中根據(jù)需要進(jìn)行設(shè)置,。但是如果是作為某一個(gè)站點(diǎn)的第一臺(tái)DC來(lái)講,,在這里還是有必要將其選中,因?yàn)榻ㄗh每個(gè)站點(diǎn)至少要有一個(gè)GC,;
· 由于在此講述的是可讀寫額外域控制器的安裝,,因此當(dāng)然是一定不能選擇只讀域控制器選項(xiàng)的了。
 圖8
6,、單擊“下一步”,,向?qū)Э赡軙?huì)提示“結(jié)構(gòu)主機(jī)配置沖突”的對(duì)話框(如圖9)。如果域森林在此前只有一臺(tái)DC,,那么在安裝額外域控制器,,即第二臺(tái)DC時(shí),肯定會(huì)遇到這一提示對(duì)話框,。產(chǎn)生這一個(gè)提示對(duì)話框的原因是因?yàn)楫?dāng)前域中的基礎(chǔ)結(jié)構(gòu)主機(jī)(IM)同時(shí)又承載著GC的角色,。
 圖9
IM更新的引用信息是來(lái)自其它域的信息,即非本域信息,。在以下兩種情況,,IM其實(shí)是不工作的:
· 只有一個(gè)域時(shí),,此時(shí)無(wú)論把基礎(chǔ)結(jié)構(gòu)主控放在哪都無(wú)所謂。因?yàn)闆]有其它域的信息需要引用,。
· 多域環(huán)境,,所有DC都是GC。這時(shí)基礎(chǔ)結(jié)構(gòu)主控也無(wú)需工作,,因?yàn)樗械腄C都是GC,,GC擁有其它域的只讀信息。
而且IM在GC上運(yùn)行,,將會(huì)停止更新對(duì)象信息,,原因是其已包含對(duì)其所擁有的對(duì)象的引用。所以,,強(qiáng)烈建議IM和GC不要在同一臺(tái)DC上共存,。在此,選擇“將結(jié)構(gòu)主機(jī)角色傳送到此域控制器”,。
7,、對(duì)于WIN08R2安裝額外域控制器時(shí),可以從介質(zhì)安裝(IFM),,而不用通過網(wǎng)絡(luò)復(fù)制所有的目錄數(shù)據(jù),。將安裝介質(zhì)存儲(chǔ)在本地驅(qū)動(dòng)器、可移動(dòng)媒體(如 DVD)或網(wǎng)絡(luò)共享文件夾上,。執(zhí)行IFM操作來(lái)創(chuàng)建額外域控制器,,可以大大降低安裝AD時(shí)所使用的網(wǎng)絡(luò)帶寬。但是,,網(wǎng)絡(luò)連接仍然是必要的,,以便將所有的新對(duì)象和對(duì)現(xiàn)有對(duì)象的最新更改復(fù)制到新的域控制器。
創(chuàng)建安裝介質(zhì)有兩種不同的方法:
· 建議使用Ntdsutil.exe工具來(lái)創(chuàng)建,,通過該工具的ifm子命令可以創(chuàng)建安裝AD目錄服務(wù)所必需的文件
· 還可以使用還原系統(tǒng)狀態(tài)備份并將其用作安裝介質(zhì),,但域控制器的系統(tǒng)狀態(tài)備份所包含的數(shù)據(jù)通常要多于執(zhí)行 IFM 操作所需的數(shù)據(jù)。
注意:若用另一個(gè)DC的備份作為安裝介質(zhì),,則應(yīng)該使用最新的可用備份,。較早的備份需要更多網(wǎng)絡(luò)帶寬來(lái)執(zhí)行復(fù)制。并且所使用的備份不能比域的墓碑生存時(shí)間更早,,該生存時(shí)間被默認(rèn)設(shè)置為180天(早期版本的服務(wù)器上創(chuàng)建的林中,,默認(rèn)值為60天)。
但是,,出于操作的方便和穩(wěn)妥,,在網(wǎng)絡(luò)資源和服務(wù)器資源允許的情況下,建議還是采用通過網(wǎng)絡(luò)復(fù)制來(lái)完成(如圖10),。選擇“通過網(wǎng)絡(luò)從現(xiàn)有域控制器復(fù)制數(shù)據(jù)”,,單擊“下一步”,。
 圖10
8、由于額外域控制器的安裝,,無(wú)論是從網(wǎng)絡(luò)復(fù)制還是通過IFM來(lái)進(jìn)行,,都需要從現(xiàn)有DC中復(fù)制數(shù)據(jù),。通過“源域控制器”界面,,可以手動(dòng)指定將哪臺(tái)現(xiàn)有DC作為安裝期間必須復(fù)制的數(shù)據(jù)的源,也可以讓該向?qū)ё詣?dòng)選擇DC(如圖11),。
圖11
建議指定安裝伙伴時(shí),,應(yīng)選擇入站和出站連接數(shù)較低的DC,并且不是重要負(fù)責(zé)使用文件復(fù)制服務(wù)(FRS)復(fù)制伙伴生產(chǎn)或轉(zhuǎn)發(fā)更改的設(shè)備,。此外,,若不使用IFM,系統(tǒng)將在安裝伙伴上創(chuàng)建或修改新的NTDS設(shè)置對(duì)象和新的計(jì)算機(jī)賬戶,;安裝伙伴還會(huì)將SYSVOL內(nèi)容復(fù)制到新域控制器上,。
注意:
· 只讀域控制器(RODC)永遠(yuǎn)不能為安裝伙伴。
· 如果安裝 RODC,,則只有運(yùn)行WIN08或WIN08R2的可寫域控制器才可以作為安裝伙伴,。
· 如果為現(xiàn)有域安裝額外域控制器,則只有該域的DC可以為安裝伙伴,。
9,、指定活動(dòng)目錄數(shù)據(jù)庫(kù)文件、日志文件,、SYSVOL文件夾存放的位置,,并且設(shè)置目錄還原模式的管理員密碼。在“摘要”頁(yè)面確認(rèn)相關(guān)設(shè)置信息無(wú)誤,,單擊“下一步”,,直接進(jìn)行網(wǎng)絡(luò)復(fù)制安裝額外域控制器(如圖12)。
圖12
此處,,可以勾選“完成后重新啟動(dòng)”,,以便安裝完后自動(dòng)重啟更新。
四,、完成后簡(jiǎn)單驗(yàn)證和其它操作
1,、與第一臺(tái)DC相同,安裝完成后依然需要對(duì)其進(jìn)行基本的測(cè)試和驗(yàn)證,。
2,、可以把該DC作為DNS服務(wù)器,為域中DNS進(jìn)行備份,。
3,、為了對(duì)域內(nèi)DC進(jìn)行負(fù)載平衡和降低風(fēng)險(xiǎn),,可以將操作主機(jī)進(jìn)行遷移,盡量分布在不同的DC上
|
|
|
來(lái)自: -飛龍?jiān)谔? > 《網(wǎng)絡(luò)管理》
