AD域DNS分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fuHYPERLINK"额外控制器的作用与安装.docx"点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)
funsion.com AD-zhu DC 192.168.23.20
Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
huanjing.png
对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤: 1.DNS服务器的安装; 2.DC主控制器的安装; 3.DC额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC和DNS的关系,安装前请先参阅:HYPERLINK"http://technet.microsoft.com/zh-cn/library/cc739159(v=ws.10)"http://technet.microsoft.com/zh-cn/library/cc739159(v=ws.10) 安装ActiveDirectory的DNS要求 在成员服务器上安装ActiveDirectory时,可将成员服务器升级为域控制器。ActiveDirectory将DNS作为域控制器的位置机制,使网络上的计算机可以获取域控制器的IP地址。 在ActiveDirectory安装期间,在DNS中动态注册服务(SRV)和地址(A)资源记录,这些记录是域控制器定位程序(Locator)机制功能成功实现所必需的。 要在域或林中查找域控制器,客户端将在DNS中查询域控制器的SRV和ADNS资源记录,这些资源记录为客户端提供域控制器的名称和IP地址。在这种环境中,SRV和A资源记录被称为定位程序DNS资源记录。(这里说明需要DNS支持) 向林中添加域控制器时,将使用定位程序DNS资源记录更新DNS服务器上主持的DNS区域,同时标识域控制器。为此,DNS区域必须允许动态更新(RFC2136),同时,主持该区域的DNS服务器必须支持SRV资源记录(RFC2782)才能公布ActiveDirectory目录服务。(这在安装DNS过程中是需要注意的一点) 如果主持权威DNS区域的DNS服务器不是运行Windows2000或WindowsServer2003的服务器,请与您的DNS管理员联系,确定该DNS服务器是否支持所需的标准。如果服务器不支持所需标准,或者权威DNS区域不能被配置为允许动态更新,则需要对现有DNS结构进行修改。(这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”,这在接下来会提到)
要点 用来支持ActiveDirectory的DNS服务器必须支持SRV资源记录,定位器机制才能运行。 建议安装ActiveDirectory之前DNS结构应允许动态更新定位程序DNS资源记录(SRV和A),但是,您的DNS管理员可以在安装后手动添加这些资源记录。 安装ActiveDirectory后,可在下列位置中的域控制器上找到这些记录:systemroot\System32\Config\Netlogon.dns(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”) 另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”: 图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。
DNS服务器的安装
1.安装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv服务器本身IP,默认网关可以不用填写。
DNS-setup0.png 2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,按照下边菜单选择“添加或删除应用程序”
DNS-setup1.png 3.按照下图指向,选择“域名系统(DNS)”服务,点击确定。
DNS-setup2.png 4.完成后,可在“管理工具”中看见DNS服务了。
DNS-setup3.png 5.打开DNS服务,右键选择“配置DNS服务器”。
DNS-setup4.png 6.下一步
DNS-setup5.png 7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。这里我们选择第二项,正反向解析都做一下。
DNS-setup6.png
DNS-setup7.png
DNS-setup8.png 8.区域名称就是你想要定义的域名
DNS-setup9.png DNS-setup10.png 9.这里需要注意一下,请选择“允许非安全和安全动态更新”,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动态更新”,我将会在接下的安装中更改更新设置。(这在之前的参阅里边有提到过)
DNS-setup11.png 10.接下来创建反向解析
DNS-setup12.png
DNS-setup13.png 11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。
DNS-setup14.png
DNS-setup15.png 12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新”
DNS-setup16.png 13.在弹出的窗口中设置NDS的转发器,在转发器中输入“180.168.255.118”和“8.8.8.8(谷歌提供的DNS)”(在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进行解析,如向ISP(互联网服务提供商)的DNS服务器转发)
DNS-setup17.png
DNS-setup18.png 14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况
DNS-setup18-0.png
DNS-setup19.png 15.右键“正向查找区域”,新建主机(A记录)
DNS-setup20.png 16.名称可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针(PTR)记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析
DNS-setup21.png 17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览”以查看并指定我们需要的正向解析主机名
DNS-setup22.png
DNS-setup23.png
DNS-setup24.png
DNS-setup25.png 18.选择好了,确定
DNS-setup26.png 19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性
DNS-setup27.png 20.如下情况说明我们创建成功
DNS-setup28.png 21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。这在声明中也有提到过。
DNS-setup29 22.在funsion.com域属性中浏览指定的SOA也就是主授权机构,名称服务器也做相应的指定。
DNS-AD-zhu-setup1.png
DNS-AD-zhu-setup2.png
至此,我们的DNS服务器配置完毕,接下来我们创建DC主控制器
DC主控制器的安装
1.之前我们已经在DNS-srv服务器上安装好了DNS(说的好拗口,早知道就不起这个容易混淆的名字了),接下来我们开始在AD-zhu上安装主域控制器,先查看下主机情况
AD-zhu-setup0.png 2.确定在该主机上可以正常解析到DNS服务器
AD-zhu-nslookup.png 3.在运行中输入“dcpromo”确定启动AD安装向导
AD-zhu-setup1.png
AD-zhu-setup2.png 4.选择建立“新域的域控制器”
AD-zhu-setup3.png 5.这个新域建立在新的林中
AD-zhu-setup4.png 6.输入之前我们新创建的DNS全名
AD-zhu-setup5.png 7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名,用以兼容早期Windows版本的用户来识别新的域。
AD-zhu-setup6.png 8.选择默认安装位置,也可参考提示选择不同的保存位置以提高性能
AD-zhu-setup7.png 9.默认
AD-zhu-setup8.png 10.到这里就出现了之前我们一直在以的动态DNS更新支持,我们可以在正向查找区域的属性里更改动态更新的安全性,改成“非安全”即为支持动态更新。至于反向可改可不改,因为DC的安装只要求正向解析,所以之前的反向解析也可不做,之后也可以通过手动做反向解析
AD-zhu-setup9-dt.png
DNS-AD-zhu-setup10-dt.png
DNS-AD-zhu-setup11-dt.png 11.通过更改过后,重试DNS诊断通过
AD-zhu-setup12-dt-ok.png 12.根据实际生产情况选择兼容性
AD-zhu-setup13.png 13.设置一个还原模式密码
AD-zhu-setup14.png 14.这里会显示我们即将安装的服务器配置摘要,如果感觉有些选项不正确,可以点击上一步进行更改,确认无误,请下一步
AD-zhu-setup15.png 15.这时系统会自动配置你的DC,耐心等待结束
AD-zhu-setup16.png
AD-zhu-setup17.png 16.重启完成DC的配置
AD-zhu-setup18.png 17.同时,我们可以在DNS-srv主机上刷新查看DNS记录,发现多了SRV和ADNS资源记录,这是DNS用以定位DC的资源记录
AD-zhu-setup19-DNS-jilu.png 18.重启过后,在AD-zhu服务器上我们会发现AD管理器,说明安装完成
AD-zhu-setupover.png 19.查看系统属性,发现计算机名称有了funsion.com的后缀,更说明创建成功
AD-zhu-setupover0.png
AD-zhu-setup0-L.png DC额外控制器的安装
1.安装完成主域控制器后,接下来我们再继续安装额外控制器,首先查看系统信息,IP地址也是静态指定的,另外顺便用nslookup检查一下与DNS服务器的连接情况
AD-fu-setup0.png
AD-fu-setup1.png 2.和安装主控制器一样,我们也通过dcpromo启动AD安装向导
AD-fu-setup2.png
AD-fu-setup3.png
AD-fu-setup4.png 3.选择现有域的额外控制器类型
AD-fu-setup5.png 4.输入主域控制器的用户名密码和主域控制器名,下一步等待检测完成
AD-fu-setup6.png 5.你可以直接输入主域控制器名,或者浏览存在的域控制器
AD-fu-setup7.png
AD-fu-setup7-0.png 6.同样默认目录,下一步
AD-fu-setup8.png
AD-fu-setup9.png 7.设置还原模式密码
AD-fu-setup10.png
AD-fu-setup11.png 8.这时额外控制器开始从主域控制器复制文件和服务
AD-fu-setup12.png 9.重启后也能够看见AD管理器出现了
AD-fu-setupover.png 10.同样检查一下系统信息,查看是否成功添加
AD-fu-setupover1.png
AD-fu-setupover0.png 11.另外,在DNS-srv服务器上也能看见相关解析记录也被注册了进去
AD-fu-setupover-DNS-jilu.png
AD-fu-setupover-DNS-jilu2.png 12.至此,额外控制器也安装完毕,之后我们会模拟主域损坏了改怎么解决的情况 主域损坏,解决办法 之前我们已经将所需要的环境部署完毕,接下来我们来进一步处理灾难情况下主DC损坏,如何使额外DC取代主DC担负起活动目录的职责。环境状况如下图,AD-zhu意外损坏,而DNS-srv、AD-fu正常运行,客户端用于检测AD-fu是否成功取代AD-zhu。 funsion.com AD-zhu DC 192.168.23.20
Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
1.首先我们来模拟一下灾难环境:让AD-zhu关机不在启动,之后不在出现在实验环境中。
AD-zhu-inf1.png
AD-zhu-inf2.png
AD-zhu-down3.png 在AD-fu额外控制器上打开命令提示符,输入ntdsutil启用工具,包含的命令内容可使用“?”查看
AD-fu-del-zhu4.png 3.输入“metadatacleanup”进入清理模式,并连接到自身,当然也可以连接到其他命名方法。
AD-fu-del-zhu5.png
AD-fu-del-zhu7.png 4.连接到特定的域控制器后,会退到上一级,使用“selectoperationtarget”选择站点,服务器,域,角色和命名上下文
AD-fu-del-zhu8.png 5.首先列出存在的站点列表
AD-fu-del-zhu9.png 这里只存在一个站点,用“0”表示
AD-fu-del-zhu10.png 6.我们选择这个站点“selectsite0”,并列出包含在这个站点中的域
AD-fu-del-zhu11.png 7.这个站点中只包含了一个“funsion”域,也是用0表示的
AD-fu-del-zhu12.png 8.选择这个域,并列出所选域和站点中的服务器
AD-fu-del-zhu13.png 9.这里列出了我们环境中存在的两个服务器
AD-fu-del-zhu14.png 10.我们选择“0”指定“AD-zhu”因为我们要删除主控制器
AD-fu-del-zhu15.png 11.选择完毕后,退回上一层,进行删除工作。
AD-fu-del-zhu16.png 12.使用“removeselectedserver”删除所选的AD-zhu,弹出对话框,选择确定
AD-fu-del-zhu16-1.png 确定后,会自动弹出让你选择AD-fu对主控制器角色夺取的对话框。其中会碰到失败和错误的提示消息,忽略,依次选择“是”。直到删除结束
AD-fu-del-zhu17.png
AD-fu-del-zhu18.png
AD-fu-del-zhu19.png
AD-fu-del-zhu20.png
AD-fu-del-zhu21.png 14.到这里我们将AD-zhu的元数据从AD-fu上清除了。
AD-fu-del-zhu22.png
15.在图形界面,打开“ActiveDirectory站点和服务”下把“AD-zhu”选中,右击“删除”。
AD-fu-del-zhu28.png
AD-fu-del-zhu29.png
AD-fu-del-zhu30.png 16.现在“AD-zhu”主机已经没有了,展开site->default-first-site-name->servers,展开AD-fu,右击“NTDSSettings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:
AD-fu-del-zhu31.png
AD-fu-del-zhu32.png 17.打开“AD用户和计算机”找到“AD-zhu”也就是原来的主域控制器,右击“删除”。期间弹出对话框,选择“是”。
AD-fu-del-zhu33.png
AD-fu-del-zhu34.png 18.到这里,我们就把AD-zhu删除掉了。
AD-fu-del-zhu35.png 19.之前删除AD-zhu的过程中,系统自动提示我们用AD-fu夺取AD-zhu上的角色,有失败之处,所以接下来我们再次手动让AD-fu夺取角色。退出到“ntdsutil”层,进入到Roles“管理NTDS角色所有者令牌”模式
AD-fu-del-zhu23.png 20.进入“connections”连接状态
AD-fu-del-zhu36.png
AD-fu-del-zhu37.png 21.连接到AD-fu本身,依次执行下图红框内五条命令,就是将操作主机的角色指定给额外控制器AD-fu的操作了。期间如果又出现不成功的提示,请重试一次。
AD-fu-del-zhu38.png
AD-fu-del-zhu39.png
AD-fu-roles-zhu40.png
AD-fu-roles-zhu41.png
AD-fu-roles-zhu42.png
AD-fu-roles-zhu43.png
AD-fu-roles-zhu44.png
AD-fu-roles-zhu45.png 23.五条命令执行结束后,我们用“netdomqueryfsmo”命令来检查一下角色的所有者,看是否操作成功。使用“netdomqueryfsmo”命令需要安装suptools支持,加载安装光盘,依次展开目录下support\tools目录,找到suptools.msi,双击执行安装
AD-fu-setup-suptools24.png
AD-fu-setup-suptools25.png
24.安装完成后,在所有程序--WindowsSupportTools中,运行“CommandPrompt”
AD-fu-setup-suptools26.png 25.使用“netdomqueryfsmo”,看到5个角色指向AD-fu,说明已成功将AD-fu提升为域主控制器。此外,我们还可以通过在AD-fu主机上新建用户,用客户机加入域来测试提升域控的成功与否
AD-fu-netdom27.png |
|