AD域DNS分離額外域控制器安裝及主域控制器損壞解決方法

v1.0可編寫可改正AD域DNS分別+額外域控制器安裝及主域控制器損壞解決方法對于域控制器的安裝，我們已經(jīng)知道如何同DNS集成安裝，并且集成安裝的方法好處有：使DNS也獲得AD的安全保護(hù)，DNS的地域復(fù)制也更安全，并且集成DNS只廣播改正的部分，相信更多狀況下大家選擇集成安裝的方式是因為更簡潔方便。自然你也許會遇到這樣的情況：客戶的局域網(wǎng)絡(luò)內(nèi)已經(jīng)存在一個DNS服務(wù)器，并且馬上安裝的DC控制器負(fù)載估計會很重，假如感覺DC自己的負(fù)擔(dān)太重，可把DNS另放在一臺服務(wù)器上以分擔(dān)單臺服務(wù)器的負(fù)載。這里我們設(shè)計的環(huán)境是一臺DNS服務(wù)器（DNS-srv）+主域控制器（AD-zhu）+額外域控制器（AD-fu點擊查察額外控制器的作用），其余為了檢驗控制器安裝成功與否，能否以擔(dān)負(fù)其作用，我們再安排一臺客戶端（client-0）用來檢測。（此中因為服務(wù)器特征需要指定AD-zhu、AD-fu、DNS-srv為靜態(tài)地址）AD-zhuDNS-srvAD-fuDCDNS額外DCClient-0客戶端對于DC和DNS分別安裝，安裝序次沒有嚴(yán)格要求，這里我測試的環(huán)境是先安裝DNS。先安裝DC在安裝DNS的話，需要注意的就是DC安裝完后在安裝DNS需要重啟DC以使DNS獲得DC向DNS注冊的SRV記錄，Cname記錄，NS記錄。那么我們就以先安裝DNS為例,對于1v1.0可編寫可改正實現(xiàn)這個環(huán)境需要三個大步驟：服務(wù)器的安裝；主控制器的安裝；額外控制器的安裝。接下來我們分步實現(xiàn)······為了更加認(rèn)識DC和DNS的關(guān)系，安裝前請先參閱：安裝ActiveDirectory的DNS要求在成員服務(wù)器上安裝ActiveDirectory時，可將成員服務(wù)器升級為域控制器。ActiveDirectory將DNS作為域控制器的地點體系，使網(wǎng)絡(luò)上的計算機(jī)可以獲得域控制器的IP地址。在ActiveDirectory安裝時期，在DNS中動向注冊服務(wù)(SRV)和地址(A)資源記錄，這些記錄是域控制器定位程序(Locator)體系功能成功實現(xiàn)所必要的。要在域或林中查找域控制器，客戶端將在DNS中盤問域控制器的SRV和ADNS資源記錄，這些資源記錄為客戶端供給域控制器的名稱和IP地址。在這類環(huán)境中，SRV和A資源記錄被稱為定位程序DNS資源記錄。(這里說明需要DNS支持)向林中增添域控制器時，將使用定位程序DNS資源記錄更新DNS服務(wù)器上主持的DNS地域，同時表記域控制器。為此，DNS地域一定同意動向更新(RFC2136)，同時，主持該地域的DNS服務(wù)器一定支持SRV資源記錄(RFC2782)才能宣告ActiveDirectory目錄服務(wù)。（這在安裝DNS過程中是需要注意的一點）假如主持威望DNS地域的DNS服務(wù)器不是運轉(zhuǎn)Windows2000或WindowsServer2003的服務(wù)器，請與您的DNS管理員聯(lián)系，確立該DNS服務(wù)器能否支持所需的標(biāo)準(zhǔn)。如果服務(wù)器不支持所需標(biāo)準(zhǔn)，也許威望DNS地域不可以被配置為同意動向更新，則需要對現(xiàn)有DNS結(jié)構(gòu)進(jìn)行改正。（這個也是很重要的一點這里需要改正“初步受權(quán)機(jī)構(gòu)SOA”和“名稱服務(wù)器”用以支持DNS地域被配置成“同意動向更新”，這在接下來會提到）重點用來支持ActiveDirectory的DNS服務(wù)器一定支持SRV資源記錄，定位器體系才能2v1.0可編寫可改正運轉(zhuǎn)。建議安裝ActiveDirectory以前DNS結(jié)構(gòu)應(yīng)同意動向更新定位程序DNS資源記錄（SRV和A），但是，您的DNS管理員可以在安裝后手動增添這些資源記錄。安裝ActiveDirectory后，可在以下地點中的域控制器上找到這些記錄：（這說明DNS設(shè)置為“不一樣意動向更新”時，我們可以手動更新，但是有難度，且特別麻煩，因此一般建議選擇“同意動向更新”）其余我們說DC和DNS安裝序次沒有太嚴(yán)格要求可從“參閱里面的連接”：圖上標(biāo)記的兩點可看出它們是DC+DNS先后次序的要乞降解決方法。3v1.0可編寫可改正DNS服務(wù)器的安裝安裝DNS，需要給服務(wù)器指定靜態(tài)IP地址，以下：這里要注意DNS要指定給DNS-srv服務(wù)器自己IP，默認(rèn)網(wǎng)關(guān)可以不用填寫。接下來安裝域名系統(tǒng)（DNS）服務(wù)，先掛載WIN2003安裝鏡像，依據(jù)下面菜單項選擇擇“增添或刪除應(yīng)用程序”4v1.0可編寫可改正3.依據(jù)以下圖指向，選擇“域名系統(tǒng)（DNS）”服務(wù)，點擊確立。5v1.0可編寫可改正4.達(dá)成后，可在“管理工具”中看見DNS服務(wù)了。5.打開DNS服務(wù)，右鍵選擇“配置DNS服務(wù)器”。6v1.0可編寫可改正下一步7v1.0可編寫可改正正向分析就是指從域名分析到IP，反向就是IP到域名的分析。這里我們選擇第二項，正反向分析都做一下。8v1.0可編寫可改正地域名稱就是你想要定義的域名9v1.0可編寫可改正這里需要注意一下，請選擇“同意非安全和安全動向更新”，因為接下來DC的安裝需要動態(tài)更新的支持，自然我們可以選擇“不一樣意動向更新”，我將會在接下的安裝中改正更新設(shè)置。（這在以前的參閱里邊有提到過）10v1.0可編寫可改正接下來創(chuàng)立反向分析反向分析實質(zhì)上是需要一個一個填寫的，但是很耗時間，我們一般填入子網(wǎng)段就可以，這里也是要求填入網(wǎng)段。11v1.0可編寫可改正這里和以前正向分析狀況相同，以后我們會改成“同意非安全和安全動向更新”12v1.0可編寫可改正13.在彈出的窗口中設(shè)置NDS的轉(zhuǎn)發(fā)器，在轉(zhuǎn)發(fā)器中輸入“和“（谷歌供給的DNS）”（在該DNS服務(wù)器中沒法分析的域名，該DNS服務(wù)器可以轉(zhuǎn)發(fā)給其余指定的DNS服務(wù)器長進(jìn)行解析，如向ISP（互聯(lián)網(wǎng)服務(wù)供給商）的DNS服務(wù)器轉(zhuǎn)發(fā)）13v1.0可編寫可改正我們建立好正反向分析后，接著在地域中增添主機(jī)記錄，這里是正向分析做好主機(jī)增添后的狀況15.右鍵“正向查找地域”，新建主機(jī)（A記錄）14v1.0可編寫可改正名稱可以任意輸入，顯示的FQDN就是供給DNS服務(wù)的域名，其余我們也可以選擇同時創(chuàng)立相關(guān)的指針（PTR）記錄，這樣反向分析也會同時自動生成，我們這里沒有選擇，接下來我們會手動創(chuàng)立反向分析17.反向分析創(chuàng)立和正向分析創(chuàng)立的方法相同，后邊指定主機(jī)IP和主機(jī)名就可以了，我們可以選擇“閱讀”以查察并指定我們需要的正向分析主機(jī)名15v1.0可編寫可改正16v1.0可編寫可改正選擇好了，確立17v1.0可編寫可改正19.這樣我就創(chuàng)立好正反向分析了，而后我們啟動nslookup分析工具來考據(jù)我們創(chuàng)立DNS分析的正確性18v1.0可編寫可改正以下狀況說明我們創(chuàng)立成功21.其余我們還需要改正正向查找地域的屬性中的“初步受權(quán)機(jī)構(gòu)SOA”和“名稱服務(wù)器”用以支持DNS地域被配置成“同意動向更新”奏效。這在申明中也有提到過。DNS-setup2922.在域?qū)傩灾虚喿x指定的SOA也就是主受權(quán)機(jī)構(gòu)，名稱服務(wù)器也做相應(yīng)的指定。19v1.0可編寫可改正20v1.0可編寫可改正至此，我們的DNS服務(wù)器配置達(dá)成，接下來我們創(chuàng)立DC主控制器21v1.0可編寫可改正DC主控制器的安裝以前我們已經(jīng)在DNS-srv服務(wù)器上安裝好了DNS（說的好拗口，早知道就不起這個簡單混淆的名字了），接下來我們開始在AD-zhu上安裝主域控制器，先查察下主機(jī)狀況2.確立在該主機(jī)上可以正常分析到DNS服務(wù)器22v1.0可編寫可改正在運轉(zhuǎn)中輸入“dcpromo”確立啟動AD安裝導(dǎo)游選擇建立“新域的域控制器”23v1.0可編寫可改正這個新域建立在新的林中6.輸入以前我們新創(chuàng)立的DNS全名24v1.0可編寫可改正7.這里出現(xiàn)的NetBIOS域名是導(dǎo)游默認(rèn)經(jīng)過你指定的DNS全名同時命名的NetBIOS域名，用以兼容初期Windows版本的用戶來鑒別新的域。選擇默認(rèn)安裝地點，也可參照提示選擇不一樣的保存地點以提高性能25v1.0可編寫可改正默認(rèn)10.到這里就出現(xiàn)了以前我們向來在以的動向DNS更新支持，我們可以在正向查找地域的屬性里改正動向更新的安全性，改成“非安全”即為支持動向更新。至于反向可改可不改，因26v1.0可編寫可改正為DC的安裝只需求正向分析，因此以前的反向分析也可不做，以后也可以經(jīng)過手動做反向分析27v1.0可編寫可改正經(jīng)過更悔過后，重試DNS診斷經(jīng)過依據(jù)實質(zhì)生產(chǎn)狀況選擇兼容性28v1.0可編寫可改正設(shè)置一個還原模式密碼這里會顯示我們馬上安裝的服務(wù)器配置大綱，假如感覺有些選項不正確，可以點擊上一步進(jìn)行改正，確認(rèn)無誤，請下一步29v1.0可編寫可改正15.這時系統(tǒng)會自動配置你的DC，耐心等候結(jié)束30v1.0可編寫可改正重啟達(dá)成DC的配置17.同時，我們可以在DNS-srv主機(jī)上刷新查察DNS記錄，發(fā)現(xiàn)多了SRV和ADNS資源記錄，這是DNS用以定位DC的資源記錄31v1.0可編寫可改正重啟過后，在AD-zhu服務(wù)器上我們會發(fā)現(xiàn)AD管理器，說明安裝達(dá)成查察系統(tǒng)屬性，發(fā)現(xiàn)計算機(jī)名稱有了的后綴，更說明創(chuàng)立成功32v1.0可編寫可改正33v1.0可編寫可改正DC額外控制器的安裝1.安裝達(dá)成主域控制器后，接下來我們再連續(xù)安裝額外控制器，第一查察系統(tǒng)信息，IP地址也是靜態(tài)指定的，其余趁便用nslookup檢查一下與DNS服務(wù)器的連接狀況34v1.0可編寫可改正2．和安裝主控制器相同，我們也經(jīng)過dcpromo啟動AD安裝導(dǎo)游35v1.0可編寫可改正選擇現(xiàn)有域的額外控制器種類36v1.0可編寫可改正輸入主域控制器的用戶名密碼和主域控制器名，下一步等候檢測達(dá)成你可以直接輸入主域控制器名，也許閱讀存在的域控制器37v1.0可編寫可改正相同默認(rèn)目錄，下一步38v1.0可編寫可改正設(shè)置還原模式密碼39v1.0可編寫可改正這時額外控制器開始從主域控制器復(fù)制文件和服務(wù)40v1.0可編寫可改正9.重啟后也可以看見AD管理器出現(xiàn)了41v1.0可編寫可改正相同檢查一下系統(tǒng)信息，查察能否成功增添11.其余，在DNS-srv服務(wù)器上也能看見相關(guān)分析記錄也被注冊了進(jìn)去42v1.0可編寫可改正至此，額外控制器也安裝達(dá)成，以后我們會模擬主域損壞了改怎么解決的狀況43v1.0可編寫可改正主域損壞，解決方法以前我們已經(jīng)將所需要的環(huán)境部署達(dá)成，接下來我們來進(jìn)一步辦理災(zāi)害狀況下主DC損壞，如何使額外DC代替主DC擔(dān)負(fù)起活動目錄的職責(zé)。環(huán)境狀況以以下圖，AD-zhu不測損壞，而DNS-srv、AD-fu正常運轉(zhuǎn)，客戶端用于檢測AD-fu能否成功代替AD-zhu。AD-zhuDNS-srvAD-fuDCDNS額外DCClient-0客戶端第一我們來模擬一下災(zāi)害環(huán)境：讓AD-zhu關(guān)機(jī)不在啟動，以后不在出此刻實驗環(huán)境中。44v1.0可編寫可改正45v1.0可編寫可改正2.在AD-fu額外控制器上打開命令提示符，輸入ntdsutil啟用工具，包括的命令內(nèi)容可使用“”查察46v1.0可編寫可改正輸入“metadatacleanup”進(jìn)入清理模式，并連接到自己，自然也可以連接到其余命名方法。47v1.0可編寫可改正4.連接到特定的域控制器后，會退到上一級，使用“selectoperationtarget”選擇站點，服務(wù)器，域，角色和命名上下文第一列出存在的站點列表48v1.0可編寫可改正這里只存在一個站點，用“0”表示我們選擇這個站點“selectsite0”，并列出包括在這個站點中的域7.這個站點中只包括了一個“funsion”域，也是用0表示的49v1.0可編寫可改正選擇這個域，并列出所選域和站點中的服務(wù)器這里列出了我們環(huán)境中存在的兩個服務(wù)器50v1.0可編寫可改正我們選擇“0”指定“AD-zhu”因為我們要刪除主控制器選擇達(dá)成后，退回上一層，進(jìn)行刪除工作。51v1.0可編寫可改正12.使用“removeselectedserver”刪除所選的AD-zhu，彈出對話框，選擇確立確立后，會自動彈出讓你選擇AD-fu對主控制器角色搶奪的對話框。此中會遇到失敗和錯誤的提示信息，忽視，挨次選擇“是”。直到刪除結(jié)束52v1.0可編寫可改正53v1.0可編寫可改正54v1.0可編寫可改正55v1.0可編寫可改正14.到這里我們將AD-zhu的元數(shù)據(jù)從AD-fu上除去了。56v1.0可編寫可改正15.在圖形界面，打開“ActiveDirectory站點和服務(wù)”下把“AD-zhu”選中，右擊“刪除”。57v1.0可編寫可改正58v1.0可編寫可改正16.此刻“AD-zhu”主機(jī)已經(jīng)沒有了，睜開site->default-first-site-name->servers，展開AD-fu，右擊“NTDSSettings”點“屬性”，勾上全局輯錄前面的勾，點確立，以以下圖：59v1.0可編寫可改正打開“AD用戶和計算機(jī)”找到“AD-zhu”也就是本來的主域控制器，右擊“刪除”。時期彈出對話框，選擇“是”。60v1.0可編寫可改正18.到這里，我們就把AD-zhu刪除掉了。61v1.0可編寫可改正19.以前刪除AD-zhu的過程中，系統(tǒng)自動提示我們用AD-fu搶奪AD-zhu上的角色，有失敗之處，因此接下來我們再次手動讓AD-fu搶奪角色。退出到“ntdsutil”層，進(jìn)入到Roles“管理NTDS角色全部者令牌”模式62v1.0可編寫可改正20.進(jìn)入“connections”連接狀態(tài)63v1.0可編寫可改正連接到AD-fu自己，挨次執(zhí)行以下圖紅框內(nèi)五條命令，就是將操作主機(jī)的角色指定給額外控制器AD-fu的操作了。時期假如又出現(xiàn)不行功的提示，請重試一次。64v1.0可編寫可改正65v1.0可編寫可改正66v1.0可編寫可改正23.五條命令執(zhí)行結(jié)束后，我們用“netdomquery