额外域控制器的额外域控制器的安装

Posted 2023-04-23

参考技术A

可以按照上节安装第一台服务器的步骤来安装额外域控制器，但因为这里仅安装域控制器，所以可以直接运行活动目录安装向导来进行，具体步骤如下（同样是以最新的SP2版本为例进行介绍）：
（1）在要配置为额外域控制器的Windows Server 2003（也可以是Windows 2000 Server系列）中以本机管理员账户administrator登录，然后在运行窗口中执行dcpromo命令，打开活动目录安装向导，如图6-18所示。
（2）单击下一步按钮，打开如图6-19所示的对话框。这里是一个Windows Server 2003域系统的兼容提示，提示你要注意，像Windows 95及以前版本的Windows系统以及一些非Windows系统不能满足兼容性要求，也就是不能加入到域网络中。
（3）单击下一步按钮，打开如图6-20所示的对话框。在这里要选择所安装的域控制器类型，此处创建的是额外域控制器，所以要选择现有域的额外域控制器单选项。
（4）单击下一步按钮，打开如图6-21所示的对话框。在这里要求提供在域中有权安装活动目录的用户账户信息。
这里所提供的用户账户必须是目标域的Domain Admins组的成员或者是Enterprise Admins组的成员，通常是域管理员账户，当然也可以委派其他账户。域名必须是目标域的完整DNS名称，不能是NetBios域名。
（5）单击下一步按钮，打开如图6-22所示的对话框。在此指定该服务器要成为的额外域控制器的域名。同样要使用完整的DNS域名格式，不能使用NetBIOS域名。本示例为lycb.local。
（6）单击下一步按钮，打开如图6-23所示的对话框。在其中指定安装活动目录时的数据库文件夹和日志文件夹位置。所在磁盘分区必须是NTFS文件系统格式，通常按默认设置即可。
（7）单击下一步按钮，打开如图6-24所示的对话框。在这里要求指定域控制器上用于与网络中其他域控制器共享的文件夹SYSVOL（系统卷）所在的位置。同样必须是NTFS文件系统格式。在SYSVOL文件中保存了域配置信息副本，可用于与其他域控制器进行同步、复制。通常也只需按默认设置即可。
（8）单击下一步按钮，打开如图6-25所示的对话框。在这里要配置用于该域控制器目录还原时的管理员账户密码。虽然账户名也是administrator，但是它可以与域管理员的administrator账户密码不同。当然，为了便于记忆，也可以设置成相同的密码。这是在域控制器出现故障，采用目录还原方式恢复时用到的管理员密码。只有服务器系统安装了活动目录，成为域控制器后才会在启动菜单中有目录还原模式。
（9）单击下一步按钮，打开如图6-26所示的对话框。这里显示的是以上配置的摘要。
（10）单击下一步按钮，系统即开始安装配置额外域控制器所需的活动目录，配置进程如图6-27所示。
（11）安装完成后，打开如图6-28所示的向导完成对话框。单击完成按钮，系统会提示要求重新启动计算机。按要求重新启动计算机同样会自动打开如图6-29所示的管理您的服务器窗口，在其中可以看到已经添加了域控制器角色。
另外，此时在两台服务器中分别执行开始→管理工具→Active Directory用户和计算机命令，在打开的Active Directory用户和计算机管理单元窗口中的Domain Controllers（域控制器）文件夹中会自动添加额外域控制器，也就是在这个域中同时有两个域控制器，可以起到分担负荷的作用，如图6-30所示。
【说明】如果仅要新建一个域控制器（不是通过安装第一台服务器的方式集成安装第一台域控制器、第一台DNS和第一台DHCP服务器的方式来安装新域控制器），其安装步骤与新建额外域控制器的步骤基本一样，只是需要在图6-20所示的对话框中选择新域的域控制器单选项，随后会有两个类似于图6-5和图6-6所示的对话框，指定新域的DNS域名和NetBIOS域名，其他的过程与本节中第5步以后的步骤完全一样。 注意：在将服务器提升为现有域中的域控制器之前，必须在此服务器上正确配置了 DNS 设置。在提升过程中，该服务器需要解析此域的完全限定域名。
1. 单击开始，单击运行，键入 dcpromo，然后单击确定。
2. 这将启动“Active Directory 安装向导”。单击下一步。
3. Active Directory 安装向导会询问一系列问题，以确定此服务器将担任的角色。因为您要将此服务器安装为域中的额外域控制器，请单击“现有域的额外域控制器”。
4. 单击下一步。
5. 下一个屏幕提示您提供网络凭据。键入用于执行此操作的帐户的用户名、密码和域名。该帐户必须具有完全管理权限。域名不应是完全限定域名的形式。
6. 在额外域控制器屏幕上，以完全限定域名的形式键入现有域的完整 DNS 名称。
7. 数据库位置和日志位置框将填入默认位置 (Rootdrive\\Winnt\\Ntds)。为获得最佳性能和可恢复性，请将数据库和日志分别存储在不同的硬盘上。将日志位置值更改为另一硬盘。
8. 单击下一步。
9. 在共享的系统卷屏幕中，只要该卷使用 NTFS 文件系统，就可以接受 Rootdrive\\Winnt\\Sysvol 作为默认位置。这是 Sysvol 文件夹所要求的。
10. 单击下一步。
11. 如果没有可用的 DNS 服务器，则会出现“向导无法联系到处理名称 Domain Name 的 DNS 服务器以确定它是否支持动态更新。请确认 DNS 配置，或者在此计算机上安装并配置一个 DNS 服务器”这一消息。
12. 单击确定。
13. 在配置 DNS 屏幕上，单击“是，在这台计算机上安装和配置 DNS(推荐)”。
14. 单击下一步。
15. 在 Windows NT 4.0 RAS 服务器屏幕上，选择是否要允许远程访问服务 (RAS) 访问此服务器。单击下一步。
16. 在目录服务还原模式管理密码屏幕上，指定在以“目录服务还原”模式启动计算机时使用的管理员密码。在需要恢复 Active Directory 数据库时使用“目录服务还原”模式。
注意：一定要记住此密码，否则在需要时您将无法还原 Active Directory。
17. 在提升过程的复制阶段，有一个可让您选择稍后执行复制的选项。选择此选项的理由有许多（例如，在一天的正中间时您使用的网络连接速度慢，您希望等到这天结束时执行复制）。
18. 通过查看屏幕上的消息验证已安装 Active Directory。安装 Active Directory 后，单击完成以关闭向导。
19. 重新启动计算机。

#yyds干货盘点#Windows Server之额外域控

  大多数情况，一家公司的AD域信息是很重要的，一旦AD域服务器宕机，整个就属于瘫痪状态，所以需要一个东西来做冗余来保护我们的AD域信息是完整不可丢失的。这就是额外域控制器，也叫备域。一般情况下，根据公司的规模，AD域备域不止一个，一方面是冗余一方面是长距离的数据通信问题。比如北京分公司要来访问深圳的总公司的主域由此来登陆AD域的话，基本是不会有体验可言的。风险很大，但不是不行。所以可以在北京分公司里面搭建一个备域，让北京的用户使用的时候用北京的域控，由此来保证效率。AD域之间用户的信息仅仅由主域和备域这两台服务器进行DNS的信息同步（DNS同步，AD域才能有记录信息，才有可能添加到用户正常使用）

1.和创建主域控的开头都是一样的，先配置静态IP地址，以便可以被DNS创建映射的A记录。但是要注意一点，DNS要填写主域控的DNS！而不是公网DNS！

2.运行——dcpromo打开ad域安装界面——下一步直到是否创建新林这一步，我们选择在现有域中添加域控制器——下一步。

3.会向你确认你的所要连接的主域是什么名字。注意这里是模糊匹配。假如主域名是www.shini.com，你在此处输入shini.com或者shini也都是可以通过的。不过一般还是shini.com这个格式。

​

4.备用凭据会自动填写，你只需要去输入主域的管理权限的账号验证一下。

5.选择要添加的域，下一步。

6.为这个额外域控选择一个站点，就默认站点就行了。

7.接下来就有其他域控制器选项，可以选DNS或者全局编录（GC）或者只读域控制器（RODC）

全局编录：又称GC，包含了所有对象连续请求信息的子集，比如用户登陆ID。这个是最重要的功能：用户登陆。

具体的作用是：（1）存储林中对象的副本，（2）组成员身份信息（3）提高用户主体名称身份验证信息（4）验证林内对象（大部分是域）的参考。

如果这出了问题，用户就不能登陆域去访问资源。GC里面保存的是域的副本，所以如果域很多的话。GC的数据库就会非常的大。如果每一个域控制器都是全局编录的话，对整个网络的性能和带宽都是有影响的。

还需要注意的一点就是 全局编录服务器是不能和基础结构主机在一个服务器上存在的。

基础结构主机：功能是负责对跨域对象引用进行更新。单个域情况下基础结构主机不需要工作 默认是不能和GC在一起工作的（单域控除外）。

可以仔细的阅读下面图片的警告，上面一句话：除非所有的DC都是全局编录。这是因为GC和基础结构主机的功能太相近了，如果两个在一起，而其他的主机没有GC，数据更新的时候，这台主机就会认为自己是最新的而不会和其他的域控制器包括只读域制器更新。说白了就是不兼容。

建议配置：单域环境下主DC和额外DC都启用GC就行，infrastructure master不工作也没影响。因为它不需要跨域引用对象。

多域环境下，将两个角色分开。否则基础结构主机不工作，就不会更新信息了。

只读域控制器（RODC）：RODC是可读写域控制器的一个副本域控制器，只能将可读写域控制器中Active Directory数据库创建的域对象复制到RODC，RODC管理员没有权限对RODC中的Active Directory数据库进行更改。可读写域控制器不会从RODC主动“拉”数据，只能被动的接受数据。用作：passwd管理，只读DNS，GC服务器，但不能安装操作主控角色。

​

8.点击下一步 等待安装结束后重启，就成了额外域控制器了。需要注意的是，2008的系统，额外域控制器的主机，组策略默认不允许普通用户登陆的，只能管理员账号登陆。

​