帮助|留言交流|
首 页 阅览室 馆友 我的图书馆
来自:pployal > 馆藏分类
配色: 字号:
AD域、DNS分离+额外域控制器安装_及主域控制器损坏解决方法
2013-09-10 | 阅:  转:  |  分享 
  
AD域DNS分离+额外域控制器安装
及主域控制器损坏解决方法
对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fuHYPERLINK"额外控制器的作用与安装.docx"点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)

funsion.com
AD-zhu
DC
192.168.23.20

Client-0
客户端
192.168.23.40
DNS-srv
DNS
192.168.23.10
AD-fu
额外DC
192.168.23.30
















huanjing.png

对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:
1.DNS服务器的安装;
2.DC主控制器的安装;
3.DC额外控制器的安装。
接下来我们分步实现······
为了更加了解DC和DNS的关系,安装前请先参阅:HYPERLINK"http://technet.microsoft.com/zh-cn/library/cc739159(v=ws.10)"http://technet.microsoft.com/zh-cn/library/cc739159(v=ws.10)
安装ActiveDirectory的DNS要求
在成员服务器上安装ActiveDirectory时,可将成员服务器升级为域控制器。ActiveDirectory将DNS作为域控制器的位置机制,使网络上的计算机可以获取域控制器的IP地址。
在ActiveDirectory安装期间,在DNS中动态注册服务(SRV)和地址(A)资源记录,这些记录是域控制器定位程序(Locator)机制功能成功实现所必需的。
要在域或林中查找域控制器,客户端将在DNS中查询域控制器的SRV和ADNS资源记录,这些资源记录为客户端提供域控制器的名称和IP地址。在这种环境中,SRV和A资源记录被称为定位程序DNS资源记录。(这里说明需要DNS支持)
向林中添加域控制器时,将使用定位程序DNS资源记录更新DNS服务器上主持的DNS区域,同时标识域控制器。为此,DNS区域必须允许动态更新(RFC2136),同时,主持该区域的DNS服务器必须支持SRV资源记录(RFC2782)才能公布ActiveDirectory目录服务。(这在安装DNS过程中是需要注意的一点)
如果主持权威DNS区域的DNS服务器不是运行Windows2000或WindowsServer2003的服务器,请与您的DNS管理员联系,确定该DNS服务器是否支持所需的标准。如果服务器不支持所需标准,或者权威DNS区域不能被配置为允许动态更新,则需要对现有DNS结构进行修改。(这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”,这在接下来会提到)

要点
用来支持ActiveDirectory的DNS服务器必须支持SRV资源记录,定位器机制才能运行。
建议安装ActiveDirectory之前DNS结构应允许动态更新定位程序DNS资源记录(SRV和A),但是,您的DNS管理员可以在安装后手动添加这些资源记录。
安装ActiveDirectory后,可在下列位置中的域控制器上找到这些记录:systemroot\System32\Config\Netlogon.dns(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”)
另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”:
图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。

DNS服务器的安装

1.安装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv服务器本身IP,默认网关可以不用填写。

DNS-setup0.png
2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,按照下边菜单选择“添加或删除应用程序”

DNS-setup1.png
3.按照下图指向,选择“域名系统(DNS)”服务,点击确定。

DNS-setup2.png
4.完成后,可在“管理工具”中看见DNS服务了。

DNS-setup3.png
5.打开DNS服务,右键选择“配置DNS服务器”。

DNS-setup4.png
6.下一步

DNS-setup5.png
7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。这里我们选择第二项,正反向解析都做一下。

DNS-setup6.png

DNS-setup7.png

DNS-setup8.png
8.区域名称就是你想要定义的域名

DNS-setup9.png
DNS-setup10.png
9.这里需要注意一下,请选择“允许非安全和安全动态更新”,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动态更新”,我将会在接下的安装中更改更新设置。(这在之前的参阅里边有提到过)

DNS-setup11.png
10.接下来创建反向解析

DNS-setup12.png

DNS-setup13.png
11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。

DNS-setup14.png

DNS-setup15.png
12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新”

DNS-setup16.png
13.在弹出的窗口中设置NDS的转发器,在转发器中输入“180.168.255.118”和“8.8.8.8(谷歌提供的DNS)”(在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进行解析,如向ISP(互联网服务提供商)的DNS服务器转发)

DNS-setup17.png

DNS-setup18.png
14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况

DNS-setup18-0.png

DNS-setup19.png
15.右键“正向查找区域”,新建主机(A记录)

DNS-setup20.png
16.名称可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针(PTR)记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析

DNS-setup21.png
17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览”以查看并指定我们需要的正向解析主机名

DNS-setup22.png

DNS-setup23.png

DNS-setup24.png

DNS-setup25.png
18.选择好了,确定

DNS-setup26.png
19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性

DNS-setup27.png
20.如下情况说明我们创建成功

DNS-setup28.png
21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。这在声明中也有提到过。

DNS-setup29
22.在funsion.com域属性中浏览指定的SOA也就是主授权机构,名称服务器也做相应的指定。

DNS-AD-zhu-setup1.png


DNS-AD-zhu-setup2.png

至此,我们的DNS服务器配置完毕,接下来我们创建DC主控制器



DC主控制器的安装

1.之前我们已经在DNS-srv服务器上安装好了DNS(说的好拗口,早知道就不起这个容易混淆的名字了),接下来我们开始在AD-zhu上安装主域控制器,先查看下主机情况

AD-zhu-setup0.png
2.确定在该主机上可以正常解析到DNS服务器

AD-zhu-nslookup.png
3.在运行中输入“dcpromo”确定启动AD安装向导

AD-zhu-setup1.png

AD-zhu-setup2.png
4.选择建立“新域的域控制器”

AD-zhu-setup3.png
5.这个新域建立在新的林中

AD-zhu-setup4.png
6.输入之前我们新创建的DNS全名

AD-zhu-setup5.png
7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名,用以兼容早期Windows版本的用户来识别新的域。

AD-zhu-setup6.png
8.选择默认安装位置,也可参考提示选择不同的保存位置以提高性能

AD-zhu-setup7.png
9.默认

AD-zhu-setup8.png
10.到这里就出现了之前我们一直在以的动态DNS更新支持,我们可以在正向查找区域的属性里更改动态更新的安全性,改成“非安全”即为支持动态更新。至于反向可改可不改,因为DC的安装只要求正向解析,所以之前的反向解析也可不做,之后也可以通过手动做反向解析

AD-zhu-setup9-dt.png

DNS-AD-zhu-setup10-dt.png

DNS-AD-zhu-setup11-dt.png
11.通过更改过后,重试DNS诊断通过

AD-zhu-setup12-dt-ok.png
12.根据实际生产情况选择兼容性

AD-zhu-setup13.png
13.设置一个还原模式密码

AD-zhu-setup14.png
14.这里会显示我们即将安装的服务器配置摘要,如果感觉有些选项不正确,可以点击上一步进行更改,确认无误,请下一步

AD-zhu-setup15.png
15.这时系统会自动配置你的DC,耐心等待结束

AD-zhu-setup16.png

AD-zhu-setup17.png
16.重启完成DC的配置

AD-zhu-setup18.png
17.同时,我们可以在DNS-srv主机上刷新查看DNS记录,发现多了SRV和ADNS资源记录,这是DNS用以定位DC的资源记录

AD-zhu-setup19-DNS-jilu.png
18.重启过后,在AD-zhu服务器上我们会发现AD管理器,说明安装完成

AD-zhu-setupover.png
19.查看系统属性,发现计算机名称有了funsion.com的后缀,更说明创建成功

AD-zhu-setupover0.png


AD-zhu-setup0-L.png
DC额外控制器的安装

1.安装完成主域控制器后,接下来我们再继续安装额外控制器,首先查看系统信息,IP地址也是静态指定的,另外顺便用nslookup检查一下与DNS服务器的连接情况

AD-fu-setup0.png

AD-fu-setup1.png
2.和安装主控制器一样,我们也通过dcpromo启动AD安装向导

AD-fu-setup2.png

AD-fu-setup3.png

AD-fu-setup4.png
3.选择现有域的额外控制器类型

AD-fu-setup5.png
4.输入主域控制器的用户名密码和主域控制器名,下一步等待检测完成

AD-fu-setup6.png
5.你可以直接输入主域控制器名,或者浏览存在的域控制器

AD-fu-setup7.png

AD-fu-setup7-0.png
6.同样默认目录,下一步

AD-fu-setup8.png

AD-fu-setup9.png
7.设置还原模式密码

AD-fu-setup10.png

AD-fu-setup11.png
8.这时额外控制器开始从主域控制器复制文件和服务

AD-fu-setup12.png
9.重启后也能够看见AD管理器出现了

AD-fu-setupover.png
10.同样检查一下系统信息,查看是否成功添加

AD-fu-setupover1.png

AD-fu-setupover0.png
11.另外,在DNS-srv服务器上也能看见相关解析记录也被注册了进去

AD-fu-setupover-DNS-jilu.png

AD-fu-setupover-DNS-jilu2.png
12.至此,额外控制器也安装完毕,之后我们会模拟主域损坏了改怎么解决的情况
主域损坏,解决办法
之前我们已经将所需要的环境部署完毕,接下来我们来进一步处理灾难情况下主DC损坏,如何使额外DC取代主DC担负起活动目录的职责。环境状况如下图,AD-zhu意外损坏,而DNS-srv、AD-fu正常运行,客户端用于检测AD-fu是否成功取代AD-zhu。
funsion.com
AD-zhu
DC
192.168.23.20

Client-0
客户端
192.168.23.40
DNS-srv
DNS
192.168.23.10
AD-fu
额外DC
192.168.23.30
















1.首先我们来模拟一下灾难环境:让AD-zhu关机不在启动,之后不在出现在实验环境中。

AD-zhu-inf1.png

AD-zhu-inf2.png

AD-zhu-down3.png
在AD-fu额外控制器上打开命令提示符,输入ntdsutil启用工具,包含的命令内容可使用“?”查看


AD-fu-del-zhu4.png
3.输入“metadatacleanup”进入清理模式,并连接到自身,当然也可以连接到其他命名方法。

AD-fu-del-zhu5.png


AD-fu-del-zhu7.png
4.连接到特定的域控制器后,会退到上一级,使用“selectoperationtarget”选择站点,服务器,域,角色和命名上下文

AD-fu-del-zhu8.png
5.首先列出存在的站点列表

AD-fu-del-zhu9.png
这里只存在一个站点,用“0”表示

AD-fu-del-zhu10.png
6.我们选择这个站点“selectsite0”,并列出包含在这个站点中的域

AD-fu-del-zhu11.png
7.这个站点中只包含了一个“funsion”域,也是用0表示的

AD-fu-del-zhu12.png
8.选择这个域,并列出所选域和站点中的服务器

AD-fu-del-zhu13.png
9.这里列出了我们环境中存在的两个服务器

AD-fu-del-zhu14.png
10.我们选择“0”指定“AD-zhu”因为我们要删除主控制器

AD-fu-del-zhu15.png
11.选择完毕后,退回上一层,进行删除工作。

AD-fu-del-zhu16.png
12.使用“removeselectedserver”删除所选的AD-zhu,弹出对话框,选择确定

AD-fu-del-zhu16-1.png
确定后,会自动弹出让你选择AD-fu对主控制器角色夺取的对话框。其中会碰到失败和错误的提示消息,忽略,依次选择“是”。直到删除结束

AD-fu-del-zhu17.png

AD-fu-del-zhu18.png

AD-fu-del-zhu19.png

AD-fu-del-zhu20.png

AD-fu-del-zhu21.png
14.到这里我们将AD-zhu的元数据从AD-fu上清除了。

AD-fu-del-zhu22.png

15.在图形界面,打开“ActiveDirectory站点和服务”下把“AD-zhu”选中,右击“删除”。






AD-fu-del-zhu28.png

AD-fu-del-zhu29.png


AD-fu-del-zhu30.png
16.现在“AD-zhu”主机已经没有了,展开site->default-first-site-name->servers,展开AD-fu,右击“NTDSSettings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:

AD-fu-del-zhu31.png

AD-fu-del-zhu32.png
17.打开“AD用户和计算机”找到“AD-zhu”也就是原来的主域控制器,右击“删除”。期间弹出对话框,选择“是”。


AD-fu-del-zhu33.png

AD-fu-del-zhu34.png
18.到这里,我们就把AD-zhu删除掉了。

AD-fu-del-zhu35.png
19.之前删除AD-zhu的过程中,系统自动提示我们用AD-fu夺取AD-zhu上的角色,有失败之处,所以接下来我们再次手动让AD-fu夺取角色。退出到“ntdsutil”层,进入到Roles“管理NTDS角色所有者令牌”模式

AD-fu-del-zhu23.png
20.进入“connections”连接状态

AD-fu-del-zhu36.png

AD-fu-del-zhu37.png
21.连接到AD-fu本身,依次执行下图红框内五条命令,就是将操作主机的角色指定给额外控制器AD-fu的操作了。期间如果又出现不成功的提示,请重试一次。

AD-fu-del-zhu38.png

AD-fu-del-zhu39.png

AD-fu-roles-zhu40.png

AD-fu-roles-zhu41.png

AD-fu-roles-zhu42.png

AD-fu-roles-zhu43.png

AD-fu-roles-zhu44.png

AD-fu-roles-zhu45.png
23.五条命令执行结束后,我们用“netdomqueryfsmo”命令来检查一下角色的所有者,看是否操作成功。使用“netdomqueryfsmo”命令需要安装suptools支持,加载安装光盘,依次展开目录下support\tools目录,找到suptools.msi,双击执行安装

AD-fu-setup-suptools24.png

AD-fu-setup-suptools25.png




24.安装完成后,在所有程序--WindowsSupportTools中,运行“CommandPrompt”

AD-fu-setup-suptools26.png
25.使用“netdomqueryfsmo”,看到5个角色指向AD-fu,说明已成功将AD-fu提升为域主控制器。此外,我们还可以通过在AD-fu主机上新建用户,用客户机加入域来测试提升域控的成功与否

AD-fu-netdom27.png
献花(0)
+1
(本文系pployal首藏)