1组建单域双组建单域双组建单域双组建单域双DC步骤步骤步骤步骤目的目的目的目的:建立一个单域双DC的域环境,域名为:contoso.com。域中有多台DC的优点:�提高用户登录效率。因为多台域控制器可以同时分担审核用户名与密码的工作,因此可以加快用户登录的速度。�提供容错的功能。即使其中一台域控制器出现故障,仍然可以由其他域控制器来提供服务,让用户可以正常登录。实验环境实验环境实验环境实验环境:本实验使用VmwareWorkstationv6.0,全新正常安装两个windowsserver2003sp2enterprisechs虚拟机,各有一个网卡,计算机名分别为DC1,DC2。新建一WindowsXPSP3cht虚拟机,计算机名为Client1。DC1的IP设置情况是:IP:192.168.2.1子网掩码:255.255.255.0网关:无(可根据实际情况填写)首选DNS服务器:192.168.2.1DC2的IP设置情况是:IP:192.168.2.2子网掩码:255.255.255.0网关:无(可根据实际情况填写)首选DNS服务器:192.168.2.1(在DC2提升为第二台DC前,需将DNS指向第一台DC的IP)Client1的IP设置情况待建域完成后再设置在DC1,DC2上都安装上WindowsSupportTools,WindowsResourceKitTools,GPMC等工具,方便以后管理和维护域控制器。WindowsSupportTools和WindowsResourceKitTools是微软工程师及微软技术爱好者开发的工具集,二者都包括很多强大的命令行工具、图形工具,及脚本等,如supporttools工具集中的dcdiag.exe,dsastat.exe,getsid.exe,,netdiag.exe,ntfrsutl.exe,repadmin.exe,replmon.exe等常用工具,ResourceKitTools工具集中有gpotool.exe,lockoutstatus.exe,robocopy.exe等常用工具,对于我们管理、维护及对域环境的排错有很大的帮助,值得好好研究。WindowsSupportTools在系统光盘SUPPORT\TOOLS中,双击SUPTOOLS.MSI安装即可。WindowsResourceKitTools要到微软网站上下载:=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下载安装即可。GPMC是GroupPolicyManagementConsole,即是组策略管理控制台,此程序功能相当强大,对于我们管理、部署及对组策略的排错非常方便高效,推荐安装。此程序为免费软件,要到微软网站上下载:=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=zh-cn稍后文中会介绍使用方法。2建立篇建立篇建立篇建立篇1.首先将首先将首先将首先将DC1提升为第一台提升为第一台提升为第一台提升为第一台DC((((即主域控制器即主域控制器即主域控制器即主域控制器))))在DC1中,点击“开始”-“执行”,输入“dcpromo”命令:点击“确定”,出现点击“下一步”,出现点击“下一步”出现3因为我们是要建立新域,所以选择第一项(稍后建第二台DC(额外域控制器)时,要选第二项),点击“下一步”选择第一项,点击“下一步”输入域名:contoso.com,点击“下一步”4Netbios域名默认即可,此处默认是:contoso。点击“下一步”此处设置的是AD(活动目录)数据库和日志存放的位置,默认即可。点击“下一步”Sysvol文件夹的存放位置默认即可,点击“下一步”5活动目录是和DNS服务紧密联系在一起的,DNS服务可以离开活动目录的支持,但活动目录一定不能离开DNS服务的支持(活动目录与DNS服务可以不在同一台电脑上,但安装活动目录必须要连接到一台DNS服务器上)。因为DC1此前并没有安装DNS服务,所以此时要选择安装上DNS服务。选择默认的第二项,点击“下一步”默认第二项即可,点击“下一步”6在上图中设置目录服务还原模式的系统管理员密码,“目录服务还原模式”是一个安全模式(safemode),进入该模式可以修复AcitveDirectory数据库,我们可以在系统开机启动时按F8键进入该模式,不过必须输入上面设置的密码。此环境下目录服务不在运行,可以进行已删除的域账号恢复,AD数据库及日志存放位置的转移等等操作。“目录服务还原模式”的系统管理员与域的系统管理员是不同的账号,其密码也可以设为不同的密码,请不要混淆。此处设置的密码如果忘了,也可以通过在正常模式下的命令提示符窗口中,使用ntdsutil命令进行重设(当然,最好是不要忘了!~)。此处设置好密码后,点击“下一步”点击“下一步”,开始安装活动目录安装期间要求插入windowsserver2003系统光盘,等待几分钟时间,安装完成后,重启计算机。重启完成后,输入域管理员密码,登录到“contoso”(此时只能登录到contoso域,无其它选项)。进入桌面后,检查DC是否安装成功:1).检查DC1的IP设置的首选DNS服务器是否是指向自身,确定是:192.168.2.1。2).检查“开始”-“程序”-“管理工具”里,确保有以下几项:73).检查C:\windows\sysvol\sysvol和C:\windows\sysvol\sysvol\contoso.com\scripts文件夹是否共享成功。4).检查DNS安装是否成功。打开DNS控制台,检查DNS的“_msdcs.contoso.com”区域和“contoso.com”的属性是否如下:“_msdcs.contoso.com”区域属性:注意:点开“_msdcs.contoso.com”属性的“名称服务器”窗口,检测DC1.contoso.com后面是否有*号。8如果有*号,则说明该DNS服务器可能没有存储真正的记录,要修复此问题,可将此项删除,重建。在上图中,选定“DC1.contoso.com”项,点击“删除”,将此项删除,然后点击“添加”:如上图操作,确定后完成新建,如下图:点击上图中“确定”点击“是”,完成操作。“contoso.com”区域属性:9检查DNS各项记录是否完整:注意:以上各个分支都点开看一下,如果DNS各项内容不完整,可以在命令提示符下输入:nltest/dsregdns,或者重启netlogon服务进行修复。检查并确保安装成功后,因我们新建域中的DC只有windowsserver2003操作系统,为了发挥widnowsserver2003域的最大功能,须将“域功能级别”和“林功能级别”都提升到Windowsserver2003模式,方法如下:在DC1中,打开管理工具中的“ActiveDirectory域和信任关系”,右击“contoso.com”,将“域功能级别”提升到“Windowsserver2003”模式。10点击“提升”-“确定”-“确定”,完成域功能级别的提升。右击“ActiveDirectory域和信任关系”,提升“林功能级别”至WindowsServer2003”模式。点击“提升”-“确定”-“确定”,完成林功能级别的提升。2.安装第二台安装第二台安装第二台安装第二台DC((((额外域控制器额外域控制器额外域控制器额外域控制器))))在DC2上用本地管理员账号登录,点击“开始”-“执行”,输入“dcpromo”,确定,点击“下一步”,一直到下面窗口11选择“现有域的额外控制器”,点击“下一步”在上面窗口输入DC1的域管理员账号,密码,域名是contoso.com,点击“下一步”点击“浏览”,选择contoso.com,点击“下一步”12默认即可,点击“下一步”默认即可,点击“下一步”输入目录服务还原模式的管理员密码,点击“下一步”,开始安装活动目录。安装完成后,重启电脑。重启后输入域管理员账号和密码,登录到contoso域。检查DC2活动目录是否建立成功:1).检查“开始”-“程序”-“管理工具”里,确保有以下几项:132).检查C:\windows\sysvol\sysvol和C:\windows\sysvol\sysvol\contoso.com\script文件夹是否共享成功。注意:有时这两个文件夹会没有共享。可以通过以下方法修复:在DC2中,打开“管理工具”的“ActiveDirectory站点和服务”,检查下图中,分别点击DC1和DC2的NTDSSettings,检查右面是否有相应的连接,如果没有自动生成,则需要手动建立。右击窗口右侧空白处,选择“新建acitvedirectory连接”,选择另一个DC,“确定”,即可手动建立连接。确定分别点击DC1和DC2下的NTDSSettings,右侧窗口中都有连接后,右击这两处的连接,选择“立即复制副本”,如复制成功,则会弹出以下窗口:稍等几分钟后或者重启计算机后,再检查DC2的C:\windows\sysvol\sysvol和C:\windows\sysvol\sysvol\contoso.com\script两个文件夹是否共享成功。此时第二台DC已建立完毕,此时需要检查两台DC间是否能正常通信及工作,使用命令dcdiag,netdiag,gpotool,repadmin/showreps,命令查看生成结果中是否有failed或error。(后面的维护篇有详细介绍)为了实现DNS服务的容错(假如DC1挂掉了,那DC2同样可以临时维持网络及客户端验证服务的正常运行),也需要在DC2上安装DNS服务(上面DC2提升为第二台DC后并不会自动安装DNS服务,它使用的还是第一台DC的DNS服务),并和DC1上的DNS区域一样设置成主要区域,与DC1上的DNS实现区域复制,互做冗余。在DC2上建立DNS服务前,先要在DC1上的DNS进行设置,以允许DC1上的DNS的设定及信息能传送给DC2的DNS,实现由DC1DNS到DC2DNS的区域复制。在DC1中,打开DNS控制台,右击“_msdcs.contoso.com”,选择“属性”,点击“名称服务器”,把dc2.contoso.com“添加”进去。14点击“区域复制”右击“contoso.com”区域,选择“属性”,再次进行上面相同的设置。下面开始在DC2上安装DNS服务,在DC2的“控制面板”中,打开“添加或删除程序”-“添加/删除Windows组件”-“网络服务”,勾上“域名系统(DNS)”,“确定”,插入Windowsserver2003系统光盘,安装上DNS服务。15安装完成后,等待一段时间后(一般15分钟内),打开DNS控制台:打开“正向查找区域”,相应的DNS区域应该会自动从DC1的DNS中复制过来。分别检查“_msdcs.contoso.com”区域和“contoso.com”区域的属性,进行以下操作:1)查看“名称服务器”中是否如下,如缺少某一项,则手动加进去:162)查看“区域复制”,进行下面设定。3)“_msdcs.contoso.com”区域属性:17“contoso.com”区域属性:现在可以修改DC1和DC2的DNS设置了。将DC1的首选DNS服务器设置成:192.168.2.1,备用DNS服务器设置成:192.168.2.2,DC2的首选DNS服务器设置成:192.168.2.2,备用DNS服务器设置成:192.168.2.1。(推荐此种DNS设置)设置完成后,在DC1和DC2上的命令提示符窗口中,分别运行“nltest/dsregdns”,再次将自已注册到DNS中,稍后使用d
