域控制器的冗余

1、設(shè)置 ActiveDirectory域控制器正如我們?cè)诰W(wǎng)絡(luò)與系統(tǒng)配置專(zhuān)題文章中所提到的那樣，我們 已將兩部服務(wù)器設(shè)置為對(duì)應(yīng)于內(nèi)部域“的ActiveDirectory域控制器。我們借助專(zhuān)用計(jì)算機(jī)設(shè)置了第一個(gè) 域控制器，并為實(shí)現(xiàn)系統(tǒng)冗余而在管理服務(wù)器上設(shè)置了第二 個(gè)域控制器。由于域控制器必須具備既可從Web!務(wù)器和命令處理服務(wù)器（針對(duì)消息隊(duì)列）、又可從兩個(gè)已實(shí)現(xiàn)群集化的數(shù)據(jù)庫(kù)服務(wù) 器接受訪問(wèn)調(diào)用的能力，因此，就必須與后端網(wǎng)絡(luò)、管理網(wǎng) 絡(luò)或以上兩者同時(shí)建立連接。在接下來(lái)的章節(jié)中，我們將針對(duì)設(shè)置 ActiveDirectory域控制器 的分步操作程序以及設(shè)置對(duì)應(yīng)于特定域的 ActiveDirector

2、y客戶 端的操作程序加以詳細(xì)說(shuō)明。安裝第一個(gè)域控制器請(qǐng)依次執(zhí)行下列步驟，以便創(chuàng)建一個(gè)新的域，并在某一服務(wù) 器上安裝ActiveDirectory服務(wù)，然后，將該服務(wù)器設(shè)定為對(duì)應(yīng) 于新建域的第一個(gè)域控制器：在開(kāi)始菜單上單擊運(yùn)行，并在隨后出現(xiàn)的對(duì)話框內(nèi)輸入dcpromo然后，單擊確定。 上述操作將啟動(dòng)Active Directory安裝向?qū)?。在通過(guò)歡迎屏幕后，向?qū)С绦驅(qū)⒁竽鸀榧磳惭bActiveDirectory的服務(wù)器指定域控制器類(lèi)型。請(qǐng)保持相關(guān)選項(xiàng)的缺 省狀態(tài)，以便將該服務(wù)器設(shè)置為對(duì)應(yīng)于新建域的域控制器。 接下來(lái)，向?qū)С绦驅(qū)⒁竽梢粋€(gè)新的域樹(shù)，或在現(xiàn)有域 樹(shù)中生成新建一個(gè)子域。在這個(gè)例子

3、中，應(yīng)針對(duì)內(nèi)部域新建 一個(gè)域樹(shù)。然后，向?qū)С绦驅(qū)⒁竽陆ㄒ粋€(gè)森林，或加入一個(gè)現(xiàn)有森 林。因?yàn)槟趧?chuàng)建第一個(gè)域，而且目前尚不存在現(xiàn)成的森 林，所以，請(qǐng)保持有關(guān)系選項(xiàng)的缺省設(shè)置狀態(tài)，以便創(chuàng)建一 個(gè)同域樹(shù)相對(duì)應(yīng)的新森林。如前所述，Window200C所配備的 ActiveDirectoryl艮務(wù)目前主要將完全合格域名（FQDN）作為首選命名規(guī)范加以應(yīng)用。當(dāng) 向?qū)С绦蛞竽鸀樾陆ㄓ蛟O(shè)定名稱(chēng)時(shí)，就請(qǐng)鍵入同內(nèi)部域相 對(duì)應(yīng)的FQDN （在本例中，應(yīng)輸入“ intdomain.cOm）。ActiveDirectory具備針對(duì) WindowNT早期版本的向后兼容性， 這主要取決于同這些版本命名規(guī)范相對(duì)應(yīng)的N

4、etBIOS名稱(chēng)。出于連貫性方面的考慮，我們應(yīng)選用與NetBIOS名稱(chēng)完全相同的域名。在這個(gè)例子中，應(yīng)接受系統(tǒng)為NetBIOS設(shè)定的缺省域名“ INTDOMAIN ”。向?qū)С绦驅(qū)⒃诮酉聛?lái)的兩個(gè)對(duì)話框中要求您針對(duì)ActiveDirectory數(shù)據(jù)庫(kù)與活動(dòng)日志的存儲(chǔ)位置以及共享系統(tǒng)卷加以 指定。為實(shí)現(xiàn)更加理想的性能表現(xiàn)及可恢復(fù)能力，我們建議 您將數(shù)據(jù)庫(kù)和日志存儲(chǔ)在獨(dú)立硬盤(pán)上。為簡(jiǎn)化操作過(guò)程，我 們選擇接受所有缺省位置。安裝向?qū)⒃谶@個(gè)環(huán)節(jié)嘗試同對(duì)應(yīng)于新建域的 DNS服務(wù)器 取得聯(lián)系。如果對(duì)應(yīng)于新建域的 DNS服務(wù)器已經(jīng)存在，并 可在網(wǎng)絡(luò)上被查找到，向?qū)С绦虮銜?huì)繼續(xù)轉(zhuǎn)移到下一個(gè)安裝 步驟；如果網(wǎng)絡(luò)上

5、并不存在上述DNS服務(wù)器，向?qū)С绦騽t將就是否在ActiveDirectory安裝過(guò)程中基于同一計(jì)算機(jī)安裝并 配置DNS服務(wù)器、亦或稍后安裝 DNS服務(wù)器向您進(jìn)行詢 問(wèn)。在此，我們建議您保持第一個(gè)選項(xiàng)的缺省設(shè)置狀態(tài)，除 非您確實(shí)需要親自執(zhí)行所有DNS資源記錄的設(shè)置工作。由安裝向?qū)э@示的其余對(duì)話框?qū)⒅饕脕?lái)處理安全保障事 宜。根據(jù)DuwamislOnline案例，如果域內(nèi)所有計(jì)算機(jī)都在運(yùn) 行Window200C操作系統(tǒng)，就請(qǐng)將僅與 Window2000月艮務(wù)器相 兼容的許可權(quán)限選項(xiàng)設(shè)定為選中狀態(tài)。接下來(lái)，向?qū)С绦驅(qū)?要求您為管理員設(shè)定一個(gè)專(zhuān)用口令。最后，向?qū)С绦驅(qū)@示一個(gè)總結(jié)屏幕，以便就已經(jīng)設(shè)定的

6、選 項(xiàng)與您進(jìn)行確認(rèn)。如果屏幕上所顯示的信息正確無(wú)誤，就請(qǐng) 單擊下一步確認(rèn)。當(dāng)配置處理過(guò)程執(zhí)行完畢后，重新啟動(dòng)服務(wù)器。安裝第二個(gè)域控制器第二個(gè)Active Directory域控制器的安裝過(guò)程要比第一個(gè)域控制 器的安裝過(guò)程簡(jiǎn)單得多。在啟動(dòng)安裝程序之前，應(yīng)首先確認(rèn) 第二臺(tái)服務(wù)器已具備針對(duì)同一網(wǎng)絡(luò)部分實(shí)施訪問(wèn)調(diào)用的權(quán) 限。只有這樣，該服務(wù)器才能與第一臺(tái)服務(wù)器進(jìn)行通信聯(lián) 絡(luò)。此外，您還應(yīng)為 DNS服務(wù)器設(shè)定IP地址（根據(jù)前文所 提供的建議，這個(gè)地址必須同第一個(gè)域控制器相對(duì)應(yīng)），而 這個(gè)IP地址則可供用來(lái)針對(duì)充當(dāng)域控制器的計(jì)算機(jī)進(jìn)行定 位。如需設(shè)定DNS服務(wù)器，則請(qǐng)依次執(zhí)行下列操作步驟：右鍵單擊網(wǎng)絡(luò)鄰居

7、，并在隨后彈出的快捷菜單上選擇屬性命 令。從網(wǎng)絡(luò)與撥號(hào)連接對(duì)話框內(nèi)，右鍵單擊本地連接圖標(biāo)，并在 隨后彈出的快捷菜單上選擇屬性命令。說(shuō)明：如果您的計(jì)算機(jī)配備有多塊與不同網(wǎng)絡(luò)部分相連的網(wǎng) 絡(luò)適配卡（類(lèi)似于 DuwamisOnline網(wǎng)絡(luò)配置方案），而您又 無(wú)法對(duì)已同內(nèi)部建立連接的網(wǎng)卡加以確認(rèn)，那么，您便可通 過(guò)以物理方式切斷與內(nèi)部網(wǎng)絡(luò)相連之電纜的做法識(shí)別出所需 查找的相關(guān)連接。這樣一來(lái)，對(duì)應(yīng)于目標(biāo)連接的圖標(biāo)便會(huì)呈 現(xiàn)出已被禁用的狀態(tài)。請(qǐng)?jiān)诨謴?fù)網(wǎng)絡(luò)電纜連接之前，為剛剛 查找到的連接重新指定相應(yīng)名稱(chēng)。選擇Internet協(xié)議（TCP/IP ），并單擊屬性。在Internet協(xié)議（TCP/IP ）屬性對(duì)

8、話框內(nèi)，將使用下列DNS服務(wù)器地址選項(xiàng)設(shè)定為選中狀態(tài)。在首選DNS服務(wù)器欄內(nèi)，輸入相關(guān)IP地址。（如果 DNS 服務(wù)器已作為第一個(gè) ActiveDirectory服務(wù)器安裝過(guò)程的組成部 分實(shí)現(xiàn)了安裝，就請(qǐng)為該服務(wù)器輸入IP地址。有關(guān)操作方法請(qǐng)參閱上一章節(jié)-“安裝第一個(gè)域控制器”-中的第8 步。）單擊確定，以便使修改生效。DNS 一經(jīng)設(shè)定，您便可著手安裝第二個(gè)域控制器。如需安裝第二個(gè)域控制器，則請(qǐng)依次執(zhí)行下列操作步驟：在開(kāi)始菜單上單擊運(yùn)行，并在隨后出現(xiàn)的對(duì)話框內(nèi)輸入dcpromo然后，單擊確定。 上述操作將啟動(dòng)Active Directory安裝向?qū)?。在通過(guò)歡迎屏幕后，向?qū)С绦驅(qū)⒁竽鸀橄嚓P(guān)器服

9、務(wù)器指定 域控制器類(lèi)型。在此，應(yīng)選擇設(shè)置對(duì)應(yīng)于現(xiàn)有域的第二個(gè)域 控制器。接下來(lái)，向?qū)С绦驅(qū)⒁竽斎胗脩裘?、口令和域名（在這 個(gè)例子中，請(qǐng)輸入“ intdomain ）。根據(jù)向?qū)С绦蛱崾?，為特定域輸入完全合格域名，而同這個(gè) 域相對(duì)應(yīng)的計(jì)算機(jī)則將成為第二個(gè)域控制器。（在這個(gè)例子 中，請(qǐng)輸入“ intdomain.cOm。）與您安裝第一個(gè) ActiveDirectory!艮務(wù)器時(shí)的情形相似，向?qū)С?序?qū)⒁竽槍?duì)數(shù)據(jù)庫(kù)和日志存儲(chǔ)位置以及共享系統(tǒng)卷加以 指定。為簡(jiǎn)化操作過(guò)程，我們選擇接受所有缺省位置。在完成管理員口令設(shè)置工作后，向?qū)С绦驅(qū)⒁竽诳偨Y(jié)屏 幕上重新核對(duì)并最終確認(rèn)剛剛設(shè)定的信息。請(qǐng)單擊下

10、一步開(kāi) 始安裝。請(qǐng)?jiān)诎惭b程序執(zhí)行完畢后重新啟動(dòng)服務(wù)器。設(shè)置 ActiveDirectory客戶端在Window2000安裝過(guò)程中，向?qū)С绦驅(qū)⒕褪欠窦尤氍F(xiàn)有域 或工作組向您進(jìn)行詢問(wèn)。如果域控制器在安裝時(shí)尚不可用， 您便只能在晚些時(shí)候加入相關(guān)域。在開(kāi)始執(zhí)行設(shè)置過(guò)程前，請(qǐng)先確保計(jì)算機(jī)已具備針對(duì)同一網(wǎng) 絡(luò)部分的訪問(wèn)調(diào)用權(quán)限，以便使其能夠同相關(guān)域進(jìn)行通信聯(lián)絡(luò)。在設(shè)置第二個(gè)域控制器的過(guò)程中，您還應(yīng)為DNS服務(wù)器指定相關(guān)IP地址。下列步驟描述了在 Window2000操作系統(tǒng)中將某一計(jì)算機(jī)添 加至新建域的具體方法。右鍵單擊我的電腦，并在隨后彈出的快捷菜單上選擇屬性命 令。在系統(tǒng)屬性對(duì)話框內(nèi)，先單擊網(wǎng)絡(luò)標(biāo)識(shí)選

11、項(xiàng)卡，再單擊屬性 按鈕。在標(biāo)識(shí)修改對(duì)話框內(nèi)，將域單選框設(shè)定為選中狀態(tài)，并輸入 完整域名（在這個(gè)例子中，請(qǐng)輸入“ intdomain.cOm）。單擊確定，以便確認(rèn)上述修改。向?qū)С绦蜻€將提示您輸入域 用戶名和口令。重新啟動(dòng)服務(wù)器，以便使修改生效。小結(jié)ActiveDirectory可為改進(jìn)型消息隊(duì)列（MSMQ）特性提供所需 支持，并在此基礎(chǔ)上允許針對(duì)公共消息隊(duì)列加以利用，因而，成為DuwamishOnline.cOWeb區(qū)的首選解決方案。如需獲 取有關(guān)MSMQ和DuwamishOnline網(wǎng)絡(luò)體系結(jié)構(gòu)的更多信息資料，敬請(qǐng)查閱題為消息隊(duì)列配置的技術(shù)文章。而ActiveDirectory在這個(gè)配置方案中

12、所產(chǎn)生的次要收益則體現(xiàn)為DNS配置任務(wù)的簡(jiǎn)化，這恰恰是創(chuàng)建數(shù)據(jù)庫(kù)群集所不可或缺的關(guān) 鍵要素（請(qǐng)參閱創(chuàng)建具備高度可用性的數(shù)據(jù)庫(kù)群集）。如何驗(yàn)證ActiveDirectory安裝更多信息驗(yàn)證ActiveDirectory的成功安裝是非常重要的。當(dāng)執(zhí)行升級(jí) 后，可以通過(guò)驗(yàn)證以下各項(xiàng)來(lái)驗(yàn)證是否將服務(wù)器提升為域控 制器：1.默認(rèn)容器：它們?cè)趧?chuàng)建第一個(gè)域時(shí)自動(dòng)創(chuàng)建。打 開(kāi)ActiveDirectory用戶和計(jì)算機(jī)，然后驗(yàn)證存在以下容器： 計(jì)算機(jī)、用戶和ForeignSecurityPrincipals2.默認(rèn)的域控制器組織單位：它包含第一個(gè)域控制器，另 外還用作新Window2000域控制器的默認(rèn)容器。打

13、開(kāi)ActiveDirectory用戶和計(jì)算機(jī)，然后驗(yàn)證該組織單位。3默認(rèn)的第一個(gè)站點(diǎn)的名稱(chēng)：在將服務(wù)器提升為域控制器 的過(guò)程中，Dcpromo.ex程序會(huì)確定該域控制器可以成為哪個(gè) 站點(diǎn)的成員。如果所創(chuàng)建的域控制器是新域控制器林中的第 一個(gè)域控制器，則會(huì)創(chuàng)建一個(gè)名為“Default-First-Site-Nam”的默認(rèn)站點(diǎn)，而域控制器將成為該站點(diǎn)的成員，直至配置相應(yīng)的子網(wǎng)和站點(diǎn)。您可以使用“ActiveDirectory站點(diǎn)和服務(wù)”來(lái)驗(yàn)證此項(xiàng)。4. ActiveDirectory 數(shù)據(jù)庫(kù)：ActiveDirectory 數(shù)據(jù)庫(kù)就是您的Ntds.dit文件。驗(yàn)證它是否存在于Systemroot%

14、Ntd文件夾中。5. 全局編錄服務(wù)器：默認(rèn)情況下，第一個(gè)域控制器會(huì)成為全局編錄服務(wù)器。若要驗(yàn)證此項(xiàng)，請(qǐng)執(zhí)行以下操作：a.單擊開(kāi)始，指向程序，單擊管理工具，然后單擊 Active Directory站點(diǎn)和服務(wù)。b. 雙擊站點(diǎn)以將其展開(kāi)，展開(kāi)服務(wù)器，然后選擇您的域控制c. 雙擊域控制器以展開(kāi)服務(wù)器內(nèi)容。d. 該服務(wù)器下會(huì)顯示 NTDS設(shè)置對(duì)象。右鍵單擊該對(duì)象，然后單擊屬性。e. 默認(rèn)情況下，常規(guī)選項(xiàng)卡上會(huì)顯示已選中的全局編錄復(fù)選 框。6. 根域：安裝第一個(gè)域控制器時(shí)會(huì)創(chuàng)建目錄林的根。在我的電腦中驗(yàn)證計(jì)算機(jī)的網(wǎng)絡(luò)標(biāo)識(shí)。計(jì)算機(jī)的域名系統(tǒng)(DNS)前綴應(yīng)該與域控制器所屬的域名相匹配。另外，確保計(jì)算機(jī) 已

15、注冊(cè)正確的計(jì)算機(jī)角色。若要驗(yàn)證此角色，請(qǐng)使用netaccounts命令。根據(jù)計(jì)算機(jī)是否為域中的第一個(gè)域控制器，計(jì)算機(jī)角色應(yīng)顯示“主”(primary或“備份” (backup)7. 共享系統(tǒng)卷：Window2000域控制器應(yīng)該含有位于%Systemroot%SysvolSysv文件夾中的共享系統(tǒng)卷。若要驗(yàn)證此項(xiàng)，請(qǐng)使用 netshare命令。在安裝過(guò)程中，Active Directory還會(huì)創(chuàng)建兩個(gè)標(biāo)準(zhǔn)的策略：“默認(rèn)域”策略和“默認(rèn)域控制器”策略(位于 Systemroot%SysvolDomainPolicies 文件夾中)。這些策略顯示為以下全局唯一標(biāo)識(shí)符(GUID):表示“默認(rèn)域”策略的31B2F340-016D-11D2-945F-00C04FB984F9表示“默認(rèn)域控制器”策略的6AC1786C-016F-11D2-945F-00C04fB984F98.SRV資源記錄：您必須裝有為ActiveDirectory安裝并配置的DNS服務(wù)器和相關(guān)客戶端軟件，才能正常地工作。Microsoft建議使用 MicrosofDNS 服務(wù)器，它隨 Window2000 Server作為 DNS服務(wù)器提供。但是， MicrosofDNS服務(wù)器 并不是必需的。您使用的DNS服務(wù)器必須支持服務(wù)資源記