Acitive_Directory_DNS_子域部署Exchange服务器完全攻略及故障剖析.doc

子域部 署exchange服务器完全攻略及故障剖析 实验拓扑如下图所示，是父域，florence是父域的域控制器。s是子域，firenze是子域的域控制器，berlin是子域的成员服务器，我们准备把exchange2003部署在berlin上。域树中的三台计算机都使用作为dns服务器。为了演示得更彻底，我们搭建这个实验环境从部署ad开始，因为我发现有不少朋友部署exchange时出现的错误其实源于ad。一 创建dns区 域 我部署ad的习惯是用单独的dns服务器为ad提供解析服务，而不是将dns安装在域控制器上。这些做的好处是dns非常容易维护，只要把引导文件，区域 数据文件复制出来就完成了备份，重建dns服务器只需要几分钟时间。而且这种拓扑对初学者来说很容易把握，只要把所有的计算机都指向同一个dns就可以了。免得很多管理员在域树环境 下很是困惑父域的计算机应该使用哪个dns服务器，子域的计算机又该使用哪个dns服务器。如果你使用虚拟机搭建实验环境，可以考虑象我这样把dns搭建在物理计算机上。好了，我们不过多 讨论dns和ad的关系，现在开始具体的部署工作。我们 需要在创建ad之 前先在dns服务 器中创建出相关区域，然后允许区域进行动态更新。在dns服务器上打开dns管理器，如下图所示，右键点击正向查找区域，选择“新建区域”。出现新建区域向导，点击下一步继续。区域类型应该选择“主要区域”。区域名 称为t，和ad使用的 域名完全相同。t区域的数据存储在windowssystem32dnst.dns文件中，我们只要保存好这个文件就能轻松实现dns服务器的重建。注意， 区域必须允许动态更新，因为在创建ad的过程中需要向这个区域写入a，cname和srv记 录。 点击完成结束dns区域的创建。区域创建完毕之后，如下图所示，我们看到区 域中已经有了一条ns记录和soa记录，从逻辑上来说，这两条记录对一个区域来说是不可或缺的。ns记录说明这个区域有哪些dns服务器可以解析，soa记录则进一步说明这些dns服务器中的哪一个是主服务器。我们不能掉以轻心，要看看系统创建的ns和soa记录是否正确。如下图所示，我们发现ns记录不正确，因为server6.并不是一个可以解析的完全合格域名，这样会导致dns的客户机无法得知这个区域的解析服务器 到底是谁。因此我们要对ns记录进行修改，只要你让修改后的完全合格域名能解析为，这个修改就是成立的。如下图所示，我把ns记录改为了.，dns服务器可以把这个域名解析为。再次强调，ns记录对应的域名可以是任意的，只要这个域名能解析为dns服务器的ip即可。如下图所示，soa记录也要如法炮制地修改一番，主要是修改主服务器，这是关键参数。至此，我们完成了ad创建前的dns准备工作。二 创建 父域 dns区域准备好之后，我们就可以创建域树中的父域了。在florence上运行dcpromo，如下图所示，出现active direcotry安装向导，点击下一步继续。兼容性提示告诉我们win2003创建的active directory无法和早期的一些操作系统兼容，点击下一步继续。选择创建新域的域控制器。选择创建一个新的域林。输入域 的dns名称，这个域名应该和dns服务器 中预先创建的区域名称相同。 域的netbios名称是test。由于是测试环境，因此我们选择把active directory数据库保存到默认路径下。sysvol文件夹的路径也使用默认设置。如下图所示，我们先前创建的dns区域发挥了作用，active directory的安装程序测试出当前使用的dns服务器完全能满足active directory的需求。选择active directory的兼容模式，选择仅兼容win2000之后的操作系统。输入目录恢复还原模式的管理员口令，将来从备份还原active directory时用得着。检查配置无误，点击下一步开始active directory的创建。如下图所示，active directory开始创建，创建完毕后需要重启计算机。父域创建完毕后，我们在dns区域中发现active direcotry所需要的a，cname和srv记录都已经被自动生成了，至此，父域创 建完毕。三 创建 子域 创建完父域后，接下来我们来创建子域，在firenze上运行dcpromo，在active directory创建向导 的指引下开始子域创建，如下图所示，我们选择创建新域的域控制器。选择创建现有域树中的子域。输入父域的管理员账号进行权限验证。输入父域和子域的域名，点击下一步继续。显示子域的netbios名称，点击下一步继续。active directory数据库存 储在默认路径下。sysvol文件夹的路径也使用默认设置。如下图所示，active directory安装向导检测现有的dns服务器可以满足子域的安装需求。接下来的安装过程和父域相同，在此不再赘述，子域安装完毕后我们检查dns服务器，如下图所示，我们发现子域的相 关记录也已经被自动创建了，这可以作为域创建成功的衡量标准之一。现在我们已经有了一棵域树，但不要着急进行exchange的安装，先观察一下父域的dc和子域的dc复制是否正常。在florence上打开active directory站点和服务，如下图所示，我们尝试让florence从firenze进行active directory的复制。如果测试结果如下图所示，而且firenze从florence复制也是正常的，那我们就可以进行后续操作了。记住，如果dc间的复制不正常或dns的区域数据有问题，你就不应该向下进行exchange的安装，而是应该致力于排除现有问题。四 林准 备 我们知道exchange2003的安装分为林准备， 域准备和exchange安装三部分，而林准备就是扩展域林的active directory架构，我们首先在父域的域控制器上进行林准备。林准备需要操作主机中的架构主机在线，而且进行林准 备操作的用户必须是schema admins组的成员。我们在florence上以父域管理员的身份登录，放入exchange的安装光盘，如下图所示，运行setup /forestprep。出现exchange安装向导，点击下一步继续。同意许可协议，点击下一步继续。如下图所示，确定要进行的操作是forestprep，点击下一步继续。由于exchange安 装在子域的成员服务器上，因此我们赋予子域管理员exchange的完全控制权限。 如下图所示，active directory的架构扩展开始了。架构扩展结束之后，我们应该花上几分钟时间，等父域和子域的域控制器复制结束后再进行后续的exchange安装操作。五 域准 备 林准备结束后，我们就可以进行域准备了。虽然exchange服务器部署在子域的成员服 务器上，但exchange可以为active directory中的所有用户提供邮件服务。因此我们希望父域 和子域的用户都可以利用exchange创建邮箱，我们就应该在父域和子域都进行域准备。由于域准备的过程是一样的，我们以在子域进行域准备为例，在firenze上放入exchange2003的安装光盘，如下 图所示，运行 setup /domainprep。出现exchange安装向导，点击下一步继续。同意软件许可协议，点击下一步继续。确定准备进行的操作是domainprep，点击下一步开始安装。如下图所示，子域的域准备顺利完成，接下来我们如法炮制在父域也进行域准备即可。六 部署exchange2003 接下来就是最后的exchange部署工作了，我们在berlin上先装上smtp，nntp，web，asp.net等exchange安装的必需组件。然后放入exchange2003的安装光盘，如下图所示，运行d:setupi386setup.exe。出现exchange安装向导，点击下一步继续。同意软件许可协议，点击下一步继续。选择exchange的典型安装即可。由于没有现成的组织，我们选择新建exchange组织。为新创建的组织取名为first。同意最终用户许可协议，点击下一步继续。为exchange的管理组取名 为mail。确认exchange的安装组件，点击下一步开始exchange的安装。如下图所示，顺利完成exchange2003在子域的部署。部署完毕后重启berlin发现大事不妙，exchange的存储服务和mta服 务居然不能启动，再次重启仍然是涛声依旧。从事件查看器的提示看似乎是无法从active directory检索到exchange信息！怎么办？别担心，微软解释过这个问题，如果exchange服务器安装在子域，那么默认情况下exchange服 务器只向本域内的域控制器和全局编录服务器进行ad对象查询，但由于域树的全局编录服务器默认由父域的域控制器承担，因此exchange服务器在子域内检索不到active direcotry中关于exchange的登记信息。解决方法也很简单，如下图所示，在exchange服务器的高级tcp/ip属性中 定义附加的dns后缀，把t和s都定义上，这样berlin就会从父域的全局编录服务器或域控制器检索exchange数据了。重启berlin后一切正常！或者可以考虑把子域的域控制器也作为全局编录服务器。 在子域中为用户创建一个邮箱，如下图所示，邮箱创建成功！至此，exchange在子域部署成功完成！ 至此，exchange在子域部署完毕，对常见问题总结如下：1 注意dns问题，对一个不熟悉dns原理的管理员来说，最简单的办法就是所有的计算机都使用同一个dns服务器。dns最好是独立的计算机，如果不行，把dns放在父域的控制器上也可以接受。有些管理员选择了父域和子域的计算机分别使用本域的域控制器作为dns服务器，如果这样的话，需要在父域进行子域委派。除非你的网络环境确实有 这个需求，否则我认为是多此一举。 2 注意active directory的健康状态。exchange和ad结合得非常紧密，确保ad状态正常是安装exchange之前的必修课。我们可以考虑域控制器复制是否正常，操作主机角色是否正常，gc的角色由谁承担，dns的相关记录是否有误等等。用dcdiag测试一下也是不错的选择。 3 如果扩展架构时出现问题，应考虑架构主机是否在线，执行用户是否属于schema admins组。最保险的办法是在父域的域控制器上以父域管理员的身份执行扩展架构 的操作，因为默认情况下父域的域控制器承担架构主机的角色，而父域管理员也隶属schema admins组。还有一点要注意，如果希望在子域进行exchange部署，那么扩展架构时一定要把exchange的完全控制权限分配给子域的管理员。 4 如果希望部署在子域的exchange服务器可以为active directory的所有用户提供邮件支持，那在父