WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器

题外话——谨以此文纪念“痛苦”的交规考试以98分通过。小弟准备考驾照,最近被交规,就把博文之事放下了。哈哈哈,今天刚一通过就马上来码字儿了!

通过《部署企业中第一台Windows Server 2008 R2域控制器》(http://www.jb51.net/article/38401.htm)已经完成了企业中Windows网络域森林的建立。但是,在企业中对于AD来讲,为了保证安全稳定运行,至少需要两台以上的物理域控制器。

在早期的Windows中可以部署备份域控制器(BDC);到WIN2K后,AD使用额外域控制器和操作主机角色来解决域控制器备份的问题;到了WIN08后,为了增加在分支机构的应用,引入了只读域控制器(RODC)概念,其和读写域控制器同时一同部署从而提高Windows AD的可用性。在此,主要讨论关于部署当前域的额外域控制器,即读写额外域控制器。

额外域控制器由于不是企业中的第一台域控制器,所以在其部署之前,亦即在创建域森林的时候就应该将其规划妥当。由此,虽然其没有首台DC部署那样需要注意的事项多,但是对于WIN08R2来讲还是有很多地方值得提及,也与早期的版本不同。

一、DC网络属性的基本配置

其配置情况主要应该参考当前网络规划和首台DC的配置而定,在此就延续前一篇文章所述内容来描述。由于首台DC被规划为同时充当DNS服务器,因此该台额外域控制器首选DNS服务器配置项中的值应该指向首台DC的IP地址(如图1)。但是,在规划时这台额外域控制器同时还要作为域中的DNS服务器,并已经安装配置好DNS服务了,而且还从首台DC同步的DNS区域数据,那么可以将首选的DNS服务器选项设置为其自身IP地址。

图1

注意:如果企业中有专门的DNS服务器存在,则需要指向这些服务器,而不能指向首台DC。

此外,同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。

二、准备安装AD服务

WIN08R2安装额外域控制器,依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。在角色选择过程中勾选“Active Directory域服务”(如图2),并根据向导完成初始化操作。

图2

三、完成AD服务器的安装

1、通过“运行”对话框执行“dcpromo”,打开“Active Directory域服务安装向导”(如图3),根据建议勾选“使用高级模式安装”,单击“下一步”。

图3

根据AD部署向导,仍然建议选择“使用高级模式安装”。

2、由于现在已经存在AD目录森林,所以在“选择某一部署配置”界面要选择“现有林”。因为现在是要安装额外域控制器,因此同时选中“向现有域添加域控制器”,单击“下一步”(如图4)。

图4

3、指定要将此额外域控制器安装到的森林,即为哪个森林添加额外域控制器。在这里建议填写该服务器将要安装到的域,而不要写森林中的其它域。WIN8R2在这一过程中还同时需要指定具有升级额外域控制器权限的用户。如果是在工作组中直接升级为额外域控制器,则不能用当前账户凭证进行,只能使用备用凭证。此外,即使之前将该台作为额外域控制器的服务器已经加入了域,登录进行升级操作的域用户也必须要有在域中添加删除DC权限才能直接使用当前用户凭证,否则也只能使用备用凭证进行操作(如图5)。

图5

对于不同的部署配置,AD安装向导所需要的网络凭证是不相同的,如果实现像前一节中讲述的安装新的森林,只需作为将成为林的第一个域控制器的服务器上的本地管理员组的成员。但是,若要向现有林中添加新域或删除域,必须是要添加或删除域的父域中的 Enterprise Admins 组或 Domain Admins 组的成员。Active Directory 域服务安装向导将验证凭据是否足以实现在向导中指定的部署配置,如表1中列出了添加和删除不同的域或DC所需要的权限。

表1

4、指定要将该服务器安装到哪个域,作为其额外域控制器存在(如图6)。选中之后单击“下一步”。

图6

确定当前额外域控制器物理主机放置的站点(如图7)。在早期版本中实现非首台DC的安装时是不会出现如此的操作步骤的,在进行选择的时候直接都是很含糊的进行指定,而在WIN08R2中,微软把这些步骤进行的细化,并且更加明确了。这样便于工程师在部署时更能精确的进行配置。

图7

5、单击“下一步”,配置“其它域控制器选项”(如图8)。此处,由于是安装域中的额外域控制器,对于其是否成为“DNS服务器”,“全局编录”,“只读域控制器(RODC)”在此过程中均可忽略。其原因如下:

现在森林中已经有了DNS服务器,还要将该服务器作为DNS服务器实现,则可以在完成AD安装向导后来单独实现; 对于全局编录并非在每台DC上都要建立,所以也可以按其后管理过程中根据需要进行设置。但是如果是作为某一个站点的第一台DC来讲,在这里还是有必要将其选中,因为建议每个站点至少要有一个GC; 由于在此讲述的是可读写额外域控制器的安装,因此当然是一定不能选择只读域控制器选项的了。

图8

6、单击“下一步”,向导可能会提示“结构主机配置冲突”的对话框(如图9)。如果域森林在此前只有一台DC,那么在安装额外域控制器,即第二台DC时,肯定会遇到这一提示对话框。产生这一个提示对话框的原因是因为当前域中的基础结构主机(IM)同时又承载着GC的角色。

图9

IM更新的引用信息是来自其它域的信息,即非本域信息。在以下两种情况,IM其实是不工作的:

只有一个域时,此时无论把基础结构主控放在哪都无所谓。因为没有其它域的信息需要引用。 多域环境,所有DC都是GC。这时基础结构主控也无需工作,因为所有的DC都是GC,GC拥有其它域的只读信息。

而且IM在GC上运行,将会停止更新对象信息,原因是其已包含对其所拥有的对象的引用。所以,强烈建议IM和GC不要在同一台DC上共存。在此,选择“将结构主机角色传送到此域控制器”。

7、对于WIN08R2安装额外域控制器时,可以从介质安装(IFM),而不用通过网络复制所有的目录数据。将安装介质存储在本地驱动器、可移动媒体(如 DVD)或网络共享文件夹上。执行IFM操作来创建额外域控制器,可以大大降低安装AD时所使用的网络带宽。但是,网络连接仍然是必要的,以便将所有的新对象和对现有对象的最新更改复制到新的域控制器。

创建安装介质有两种不同的方法:

建议使用Ntdsutil.exe工具来创建,通过该工具的ifm子命令可以创建安装AD目录服务所必需的文件 还可以使用还原系统状态备份并将其用作安装介质,但域控制器的系统状态备份所包含的数据通常要多于执行 IFM 操作所需的数据。

注意:若用另一个DC的备份作为安装介质,则应该使用最新的可用备份。较早的备份需要更多网络带宽来执行复制。并且所使用的备份不能比域的墓碑生存时间更早,该生存时间被默认设置为180天(早期版本的服务器上创建的林中,默认值为60天)。

但是,出于操作的方便和稳妥,在网络资源和服务器资源允许的情况下,建议还是采用通过网络复制来完成(如图10)。选择“通过网络从现有域控制器复制数据”,单击“下一步”。

图10

8、由于额外域控制器的安装,无论是从网络复制还是通过IFM来进行,都需要从现有DC中复制数据。通过“源域控制器”界面,可以手动指定将哪台现有DC作为安装期间必须复制的数据的源,也可以让该向导自动选择DC(如图11)。

图11

建议指定安装伙伴时,应选择入站和出站连接数较低的DC,并且不是重要负责使用文件复制服务(FRS)复制伙伴生产或转发更改的设备。此外,若不使用IFM,系统将在安装伙伴上创建或修改新的NTDS设置对象和新的计算机账户;安装伙伴还会将SYSVOL内容复制到新域控制器上。

注意:

只读域控制器(RODC)永远不能为安装伙伴。 如果安装 RODC,则只有运行WIN08或WIN08R2的可写域控制器才可以作为安装伙伴。 如果为现有域安装额外域控制器,则只有该域的DC可以为安装伙伴。

9、指定活动目录数据库文件、日志文件、SYSVOL文件夹存放的位置,并且设置目录还原模式的管理员密码。在“摘要”页面确认相关设置信息无误,单击“下一步”,直接进行网络复制安装额外域控制器(如图12)。

图12

此处,可以勾选“完成后重新启动”,以便安装完后自动重启更新。

四、完成后简单验证和其它操作

1、与第一台DC相同,安装完成后依然需要对其进行基本的测试和验证。

2、可以把该DC作为DNS服务器,为域中DNS进行备份。

3、为了对域内DC进行负载平衡和降低风险,可以将操作主机进行迁移,尽量分布在不同的DC上。

本文出自 “胖哥技术堂” 博客

(0)

相关推荐

  • WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器

    题外话--谨以此文纪念"痛苦"的交规考试以98分通过.小弟准备考驾照,最近被交规,就把博文之事放下了.哈哈哈,今天刚一通过就马上来码字儿了! 通过<部署企业中第一台Windows Server 2008 R2域控制器>(http://www.jb51.net/article/38401.htm)已经完成了企业中Windows网络域森林的建立.但是,在企业中对于AD来讲,为了保证安全稳定运行,至少需要两台以上的物理域控制器. 在早期的Windows中可以部署备份域控制器(BD

  • WIN2008 R2 Active Directory 之一 部署企业中第一台Windows Server 2008 R2域控制器

    前言 对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步.在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术.希望能一直坚持写完! --胖哥 通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域.域树.域林.OU和站点,还有域控制器(DC)等.那

  • Windows Server 2008 R2上部署Exchange Server 2010图文教程

    这两个产品可谓是09年下半年微软推出的重头产品,均为64位架构,而且其功能和性能远远超出了其早期版本,在此不再对这方面的内容做过多的描述. Windows Server 2008 R2和Exchange Server 2010的结合是"完美"的.对于Exchange Server 2010的前一版本Exchange Server 2007来讲,只能运行在Windows Server 2008操作平台上,因此,想要在Windows Server 2008 R2部署Exchange 看来只

  • windows server 2008 R2中IIS FTP安装部署图文教程

    windows server 2008 R2中IIS FTP安装部署教程,供大家参考,具体内容如下 1.登陆系统,进入开始——>管理工具——>服务器管理 2.选中“角色”——>“ 添加角色” 3.在“添加角色向导”中操作 注:在这里会等待1到5分钟不等. 添加角色完毕. 4. 进入IIS界面 1) 服务器管理器——>角色——>web服务器(IIS)——>Internet 信息服务(IIS),点击进入 2) 开始——>管理工具——>Internet 信息服务(

  • Windows Server 2008 R2 负载平衡安装配置入门篇

    一.简单介绍负载均衡 负载均衡也称负载共享,它是指负载均衡是指通过对系统负载情况进行动态调整,把负荷分摊到多个操作节点上执行,以减少系统中因各个节点负载不均衡所造成的影响,从而提高系统的工作效率. 在常用的大型服务器系统当中都存在着负载均衡组件,常用的像微软的网络负载平衡NLB.甲骨文的Oracle RAC.思科的负载均衡(SLB),Apach+Tomcat 负载均衡,它们能从硬件或软件不同方面实现系统各节点的负载平衡,有效地提高大型服务器系统的运行效率,从而提升系统的吞吐量.本篇文章以微软的网

  • IIS7.0 Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站的教程图文详解

    配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 了解HTTPS 为什么需要 HTTPS ? 在我们浏览网站时,多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输; 使用HTTP协议有它的优点,它与服务器间传输数据更快速准确; 但是HTTP明显是不安全的,我们也可以注意到,当我们在使用邮件或者是在线支付时,都是使用HTTPS; HTTPS传输数据需要使用证书并对

  • Windows Server 2008 R2常规安全设置及基本安全策略

    用的腾讯云最早选购的时候悲催的只有Windows Server 2008 R2的系统,原来一直用的Windows Server 2003对2008用起来还不是非常熟练,对于一些基本设置及基本安全策略,在网上搜了一下,整理大概有以下17个方面,如果有没说到的希望大家踊跃提出哈! 比较重要的几部 1.更改默认administrator用户名,复杂密码 2.开启防火墙 3.安装杀毒软件 1)新做系统一定要先打上补丁 2)安装必要的杀毒软件 3)删除系统默认共享 4)修改本地策略-->安全选项 交互式登

  • Windows Server 2008 R2 下配置证书服务器和HTTPS的图文教程

    前言 2017年1月1日起App Store上的所有App应用将强制开启ATS功能. 苹果的ATS(App Transport Security)对服务器硬性3点要求: ① ATS要求TLS1.2或者更高,TLS 是 SSL 新的别称. ② 通讯中的加密套件配置要求支持列出的正向保密. ③ 数字证书必须使用sha256或者更高级的签名哈希算法,并且保证密钥是2048位及以上的RSA密钥或者256位及以上的ECC密钥. 配置环境 Windows版本:Windows Server 2008 R2 E

  • windows server 2008 r2 标准版安装python环境

    公司使用windows 服务器,要将python程序部署在服务器上 首先配置python环境 官网下载python安装包:python下载我这里选择了3.5.4的64位离线安装包,根据系统位数下载 将安装包弄到服务器上,点击右键“以管理员身份运行”,不以管理员身份运行可能会出现系统禁止安装的阻止. 记得勾选Add Python 3.5 to PATH 省去配置环境变量的恶心步骤.静候安装完之后,打开cmd,输入python 成功安装python 3.5.4的样子.python建议安装虚拟环境.在

  • windows server 2008 R2 命令行的方式如何创建用户和设置密码

    一.使用命令行的方式创建用户.设置密码 (1)标准格式: net user username password / add 例如:建立一个名为lijunxuan.密码为Abc_123的用户 net user lijunxuan Abc_123 /add 二.使用命令行修改旧帐户的密码 (1)标准格式: net user username password 例如:将用户lijunxuan的密码设置为Abc_456 net user lijunxuan Abc_456 三.使用命令行的方式创建本地组

随机推荐