中型企业域部署

中型企业中型企业 Active Directory 设计部署设计部署 AD 架构设计架构设计 问问：假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后， 接入分公司网络这个时候你的身分验证是在那里完成的？ 答答：在南昌的其中一台 DC 完成身份验证。 分析：分析： 珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的 DHCP 服务器会为它分配一个属于南昌网段的 IP 地址，并配置南昌分公司的 DNS 及网关地址，然 后 DNS 会去查询本地的 DC，最后在本地 DC 上对用户进行身份验证。 下面进行下面进行 OS 公司的公司的 AD 的架构设计图的架构设计图 从图里我们可以看出 Administrator 用户对域有最高的权限，是整个 AD 的管理员，在大 中型企业里如果 AD 靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业， 因此需要把部分权限委派出去。委派的权限不能过高，因为 AD 是公司的基础架构，很多应 用都是基于 AD 的，如果 AD 发生崩溃在大中型企业里后果是不可想象，为了减少 AD 的崩 溃和出错在权限设计方面一定要设计严格的管理权限，制定出在 AD 里对象的操作规则。 AD 的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参 考。 第一级划分第一级划分 考虑到 OS 公司在未来的几年发展只限于国内发展， 国外暂不考虑， 结合中国地理位置第 一级 OU 按省份来划分。 OS 公司在 3 个省内有公司第一级划分三个 OU 分别是 GD(广东） 、 JX （江西)、 SC(四川） 未来在别的省份发展分公司还可以断续增加省份 OU。 在第一级 OU 中设计了一个 Groups 的 OU 这个 OU 主要用于存放 OS 公司的一些公共组, 这个设计主要是为了便于管理。 举个例子： 总部有一份报表需要给珠海总公司、 广东分公司、 南昌分公司等各分公司的财务人员查看和修改，如果你是 IT 管理者该如何做？ 最佳的解决方法： 1、要求各公司 IT 管理员创建一个本地的财务组，如珠海 ZHOS-Finance-Dept、广州 GZOS-Finance-Dept，南昌 NCOS-Finance-Dept 等，自己本公司的所有财务人员加入到本地 创建的财务组； 2、总部管理员在 Groups 创建一个 OS-Finance-Dept 财务公共组，把各公司的财务组如珠 海 ZHOS-Finance-Dept、广州 GZOS-Finance-Dept 等加入到 OS-Finance-Dept 财务组； 3、创建一个文件夹，把查看和修改权限赋予 OS-Finance-Dept。 第二级划分第二级划分 第二级划分主要根据 OS 公司的结构来划分， 根据所在的省份在一级 OU 下为每个公司划 分一个 OU，每个 OU 委派给各公司 IT 主管进行管理。 从图里可以看出，每个公司的 OU 下都有一个组，这个组的用户对这个 OU 下面的对象 负责管理，AD 管理员把各公司的 IT 主管分别加入到相应的组里面。对每个公司的 OU 委 派下面几个权限： 1、创建、删除以及管理用户帐户 2、创建、删除以及管理计算机帐户 3、重设用户密码并强制在下次登录时更改密码 4、读取所有用户信息 5、创建、删除和管理组 6、修改组成员身份 7、生成策略的结果集(计划) 8、生成策略的结果集(记录) 问题问题：假如我是南昌的 IT 管理员可以在一级 OU 上创建 AD 对象吗？可以对重庆的进 行管理吗？ 答答：假如我是南昌的 IT 管理员可以在一级 OU 上创建 AD 对象吗？可以对重庆的进 行管理吗？ 答答：1、不能在一级 OU 上创建 AD 对象，因为没有被授权； 2、不能对重庆 OU 进行管理，因为没有被授权； 前面我们根据地点和公司划分了二级 OU，下面我们再针对每个公司继续划分 OU。 每个公司的 OU 架构共设计了两个方案，下面我们先看看二个方案的架构图。 方案一：方案一： 方案二：方案二： 公司 OU 划分没有一定结构，原则是根据公司的实际情况来划分，怎么样管理方便就怎 么样划分。 第一个方案简单明了，把相应的对象放入相应的 OU 再进行策略管理； 第二个方案也不错，在管理上划分得很细，但相应的也增加了管理的复杂度； 根据公司的实际情况，为了简化管理决定采用第一个方案，强化总公司的 IT 管理，减少 AD 的维护量，保障公司 OU 架构的统一性和可靠性所有公司都统一采用这一架构，并为公 司里的每一个 OU 委派权限给分公司的 IT 管理员。具体的 OU 委派权限如下： IT: 作用：此 OU 委派给总公司 IT 管理员创建和存放分公司的 IT 用户和组 委派权限： 1、创建、删除以及管理用户帐户 2、重设用户密码并强制在下次登录时更改密码 3、读取所有用户信息 4、创建、删除和管理组 5、修改组成员身份 6、生成策略的结果集(计划) 7、生成策略的结果集(记录) Groups: 作用：委派给分公司 IT 管理员创建和存放本地分公司的用户组 委派权限： 1、创建、删除和管理组 2、修改组成员身份 Users: 作用：委派给分公司 IT 管理员创建和存放本地用户帐号 委派权限： 1、创建、删除和管理组 2、重设用户密码并强制在下次登录时更改密码 3、读取所有用户信息 4、修改组成员身份 5、生成策略的结果集(计划) 6、生成策略的结果集(记录) Servers: 作用：委派给分公司 IT 管理员创建和存放本地服务器计算机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录) Mobiles: 作用：委派给分公司 IT 管理员创建和存放本地笔记本计算机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录) Workstations: 作用：委派给分公司 IT 管理员创建和存放本地普通计算机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录) 子网划分子网划分 这篇系列文章我也是工作之余抽时间写的， 我会尽快的写完， 有的地方可能不会写得太详细。 如果有纰漏或错误的地方，请及时指出。 AD 的理论知识和实际操作技巧大多数朋友想必都很熟悉了， 不熟悉的朋友建议先把理论 知识学好再来看这个系列的文章。 公司概况 公司简单介绍： OS 公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公 司，员工人数已经有 10000 人左右。为了满足公司未来的发展和 企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以 AD 为基础架构 的信息系统用于完成企业的资源共享和数据通信。 下面是 OS 电子公司的分布图： 下面是 OS 电子公司 IT 部门的职能划分图 根据 OS 公司管理模型和其它状况决定采用单域多站点的结构来进行 AD 部署； 在设计部署 AD 之前首先要规划好 IP 地址的划分，子网的划分原则：，为每个分公司分 配一个子网， 子网数必须能满足今后的发展需求保证以后有足够可用的子网， 每个子网有足 够的可用 Ip 地址。 根据公司的现状，以及考虑以后的发展规模决定用一个 B 类地址 172.16.0.0/16 来划分子 网。 下面是子网划分图 每个子网的掩码是:255.255.252.0 一共可以划分 64 个子网，每个子网有 1022 个可用 IP，可以满足以后的发展需求。 下面是每个公司网络的 IP 划分规则 、 每个网络前 1-100 为用于服务器规划， 如珠海总公司 172.16.0.1-172.16.0.100/22 保留， 用于服务器 IP 地址的划分。 、每个网络前 101-150 用于交换机和网络打印机地址规划，如珠海总公司 172.16.0.150-172.16.0.150/22 用于交换机和网络打印机地址规划。 、每个网络最后一个 254 地址用于路由器，如珠海总公司 172.16.3.254/22 用于和分公 司连接的路由器地址。 、剩下的 IP 地址用于客户端，或分公司 IT 自己划分，如珠海总公司 172.16.0.151-172.16.3.253/22 用于客户端。 以上的 IP 划分规则所有分公司 IT 必须严格执行。 站点设计站点设计 在设计站点之前先定义一下 AD 里对像的命名规则吧。 简单的说就是要对 AD 里的对象制定 一套命名规则，每个公司 IT 部门都要严格按这套命名规则来对自己创建的 AD 对象进行命 名。下面写得不太详细但太概的意思就是这样。 域的名字域的名字：os.ad 域的功能级别域的功能级别：windows server 2003 站点命名站点命名： 地点前两个字母+公司简称， 如： 珠海总公司 （ZHOS） ， 广州分公司 （GZOS） ， 南昌分公司（NCOS）； 服务器服务器的命名的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP 地址（不足 2 位前面用 0 填充），让人通过名字就知道这台 DC 是那个分公司的，IP 是多少。如珠海的 DC（ZHOSDC02），重庆 DC（CQOSDC02） 客户端客户端 PC 的命名的命名：地点前两个字母+OS（公司简称）+W（Workstations 的意思）+3 位 数字编号（不足前面用 0 填充），如珠海的客户端 ZHOSW001,广州的客户端 GZOSW001； 用户登录帐号的命名用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users 的意思）+3 位数字 编号（不足前面用 0 填充）,如珠海用户 ZHOSU001,广州用户 GZOSU001； 共享打印机的命名共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer 的意思）+3 位数字编 号（不足前面用 0 填充）,如珠海的打印机 ZHOSP001,广州的打印机 GZOSP001； 下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章 深刻理解站点和复制（实现站点以管理 AD 中的复制） 相关概念：相关概念： Active Directory 中的站点代表网络的物理结构或拓扑。 Active Directory 使用拓扑信息（在目录中存储为站点和站点链接对象）来建立最有效的 复制拓扑。 可使用“Active Directory 站点和服务”定义站点和站点链接。 站点是一组有效连接的子网。站点和域不同，站点代表网络的物理结构，而域代表组织 的逻辑结构。 使用站点的好处简化管理： 1.复制。 通过在站点内更为频繁 （与站点之间复制信息相比） 地复制信息， Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。 您还可以配置站点间连接的相对开销， 进 一步优化复制。 2.身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时，它首先在其 本地站点中搜索可用于身份验证的域控制器。 通过建立多个站点， 可确保客户端利用与它们 最近的域控制器进行身份验证，从而减少了身份验证滞后时间，并使通讯保持在 WAN 连 接以外。 3.启用 Active Directory 的服务。启用 Active Directory 的服务可利用站点和子网信息， 使客户端能够更方便地找到最近的服务器提供程序。 子网的作用，利用子网去定义站点。 在 Active Directory 中， 站点是通过高速网络 如局域网 (LAN) 有效连接的一组计算机。 同一站点内的所有计算机通常放在同一建筑内， 或在同一校园网络上。 一个站点是由一个或 多个 Internet 协议 (IP) 子网组成。 了解站点和域了解站点和域 在 Active Directory 中， 站点反映了网络的物理结构， 而域反映了组织的逻辑或管理结构。 这种物理和逻辑结构的区分提供了下列好处： 可以单独设计和维护网络的逻辑和物理结构。 不必使域命名空间基于物理网络。 可以为相同站点中的多个域部署域控制器。 也可以为多个站点中的相同域部署域控制器 复制概述复制概述 除了非常小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等 地使用。通过复制，Active Directory 目录服务在多个域控制器上保留目录数据的副本，从而 确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型，允许在任 何域控制器上（而不只是委派的主域控制器上）更改目录。Active Directory 依靠站点概念 来保持复制的效率，并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复制拓扑。 利用站点提高复制效率 Active Directory 依靠站点使复制更加有效。站点定义为有效连接的计算机组，它决定了 目录数据的复制方式。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。 这样， 在连接最好的域控制器中， 最可能需要特定目录信息的域控制器首先接收复制的更新 内容。其他站点中的域控制器也接收更改，但不频繁，以降低网络带宽的消耗。 复制还分为站点内复制和站点间复制。 站点内复制： 网络连接既可靠同时具有足够的可用带宽 复制流量不进行压缩 更改通知进程启动站点内的复制。 Active Directory 处理站点内的复制 （或称站点间复制） 与处理站点间复制所用方法不同， 因为站点内的带宽更易使用。 Active Directory 信息一致性检查器 (KCC) 使用双向环式设计 建立站内复制拓扑结构。 站内复制可实现速度优化， 站点内的目录更新根据更改通知自动进 行。与站点间的复制数据不同，在站点内复制的目录更新并不压缩。 建立站内复制拓扑建立站内复制拓扑 每个域控制器上的知识一致性检查器 (KCC) 使用双向环式设计自动建立站内复制的最 有效复制拓扑。这种双向环式拓扑至少将为每个域控制器创建两个连接（用于容错），任意 两个域控制器之间不多于三个跃点（以减少复制滞后时间）。为了避免出现多于三个跃点的 连接，此拓扑可以包括跨环的快捷连接。KCC 定期更新复制拓扑。 KCC 实际上为每个目录分区（架构、配置、域、应用程序）创建了单独的复制拓扑。 在单个站点内，对于同一组域控制器拥有的所有分区，这些拓扑通常是相同的。 确定何时发生站内复制确定何时发生站内复制 在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速 度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时，站 内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给最近的复 制伙伴。如果源域控制器有多个复制伙伴，在默认情况下将以 3 秒为间隔向每个伙伴相继 发出通知。当接收到更改通知后，伙伴域控制器将向源域控制器发送目录更新请求。源域控 制器以复制操作响应该请求。 3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而 使源域控制器应接不暇。 对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立 即复制称为紧急复制，应用于重要的目录更新，包括帐户锁定的指派以及帐户锁定策略、域 密码策略或域控制器帐户上密码的更改。 站点间复制：站点间复制： 可用带宽有限且可能不可靠 所有站点间的复制流量都经过压缩 更改的复制将按手动定义的计划进行 Active Directory 处理站点之间的复制（或称站点间复制）与处理站点内的复制所用方法 不同， 因为站点之间的带宽通常是有限的。 Active Directory 信息一致性检查器 (KCC) 使用 开销最低的跨越树设计建立站点间复制拓扑。 站点间复制被优化为最佳的带宽效率， 并且站 点之间的目录更新可根据可配置的日程安排自动进行。 在站点之间复制的目录更新被压缩以 节省带宽。 建立站点间复制拓扑建立站点间复制拓扑 Active Directory 使用您（通过“Active Directory 站点和服务”）提供的关于站点连接的信 息，自动建立最有效的站点间复制拓扑。该目录将此信息存储为站点链接对象。每个站点被 指派一个域控制器（称为站点间拓扑生成程序）以建立该拓扑。使用最低开销跨越树算法以 消除站点之间的冗余复制路径。 站点间复制拓扑将定期更新， 以响应网络中发生的任何更改。 可以通过在创建站点链接时所提供的信息来控制站点间复制。详细信息，请参阅管理复制。 确定何时发生站点间复制确定何时发生站点间复制 Active Directory 通过最小化复制的频率以及允许安排站点复制链接的可用性，来节省站 点之间的带宽。在默认情况下，跨越每个站点链接的站点间复制每 180 分钟（3 小时）进 行一次。可以调整此频率以满足您的具体需要。请注意，提高此频率将增加复制所用的带宽 量。此外，还可以安排复制所用的站点链接的可用性。在默认情况下，站点链接在任何时间 都可以传输复制通讯。可以将此安排限制在每周的特定日子和每天的具体时间。例如，可以 安排站点间复制，使其仅发生在正常工作时间以后。 实现站点以管理 AD 中的复制。 目的：通过站点人为控制复制频率。 拓朴 简单步骤分析： 单域环境，一台 DC、DNS（如位于广州） ， 一台 BDC（位于深圳）。 1.创建 IP 子网和站点对象 2.关联站点和子网对象 3.在站点内移动服务器对象 4.在站点间创建 IP 站点链接 5.配置复制成本、日程和链接间隔 环境： 图 2： 根 DC 172.16.1.1 图 5:lab2 路由 图 3: BDC 192.168.1.1 图 4:lab3 解释 如图： 1.创建站点对象(siteB,默认站点改名为 siteA)和 IP 子网。 新建站点 siteB 默认站点改名为 siteA 2.新建子网，并关联站点。 siteA: siteB: 3.在站点内移动服务器对象 4.在站点间创建 IP 站点链接 (也可直接用默认的 ） 远程过程调用（RPC）RPC 是默认协议。此协议是用于客户端/计算机通讯的工业标准协 议； 简单邮件传输协议（SMTP）。SMTP 支持站点之间及域之间的架构、配置以及全局编录 的复制。 5.配置复制成本、日程和链接间隔 如图： 完成后工作： 管理站点拓扑 需要了解的相关概念： 1.桥头服务器： 是在每个站点中指派的一台域控制器，负责发送和接收复制数据。源站点的桥头服务器 收集所有复制更改， 然后将其发送到接收站点的桥头服务器， 接收站点的桥头服务器然后将 更改复制到站点中所有的域控制器上。 委派首选桥头服务器 打开“Active Directory 站点和服务”。 右键单击控制台树中要使其成为首选桥头服务器的域控制器，然后单击“属性”。 Active Directory 站点和服务/Sites/包含要使其成为首选桥头服务器的域控制器的站点 /Servers/要使其成为首选桥头服务器的域控制器 在“常规”选项卡上，单击计算机将成为其首选桥头服务器的一个或多个站点间传输，然 后单击“添加”。 2.站点间拓扑生成器 站点间拓扑生成器是一个定义网络上站点间复制的 Active Directory 进程； 每个站点中的单台域控制器被自动指派为站点间拓扑生成器 还有就是强制 KCC，创建一个自动 connection 对象。 双击每个服务器对象，一个 NTDS Settings 对象将显示出来。 选择每个 NTDS Settings 对象，确信每个 NTDS Settings 对象都有一个从属的 NTDS Connection 对象。 如果每个 NTDS Settings 对象下没有 Connection 对象，请选择（全部任务），再单击（检 查复制布局）。这一操作强制 KCC（知识一致性检查器）检查复制布局，从而在两个域控 制器之间创建一个 Connection 对象。 强制两个域控制器之间的复制。 鼠标右击从属于每个 NTDS Settings 对象的 Connection 对象，选择现在复制。 按下 F5 刷新显示，或者右击 NTDS Settings 对象并选择（刷新）。 现在您应该看到一个 Connection 对象。 3.手工初始化复制,验证下结果。 在 lab1 上创建 OU=test,用户 a。 这时候，在默认情况下，跨越每个站点链接的站点间复制每 180 分钟（3 小时）进行一 次，那么 siteB 要等这时候过后才会同步，产生新建的对象。手工同步,测试结果。 手工同步。 会有个提示信息。但同步成功，看结果。 到此告一段落了，再推荐个解决复制问题的工具。 Replication Monitor (复制监视器)可看到详细复制信息 Repadmin 工具 下图是公司整个站点及站点复制规划图 AD 的 FSMO 角色规划在珠海总公司，珠海总公司站点（ZHOS）用了 3 台 DC，其中 2 台用于本地用户的身分验证，1 台用于与其它站点间的 AD 数据复制； 在OS分公司中每个站点都设计了2台DC用于冗余， 定义了桥头服务器和至少一台GC。 AD/DNS/DHCP/WINS 冗余部署实例 对于部署了 AD 架构的企业来说 AD/DNS/DHCP/WINS 都是我们必须用到的服务， 一但这些 服务中断会导致整个企业 IT 系统无法正常运作，如何保障这些基础服务的高可用性是我们 每一位管理员需要考虑的。 一般的中小企业最少都会用两台或多台服务器做冗余保证企业内 基础服务的高可用性， 当一台服务器坏了或需要维护另一台服务器照样能够提供相同的服务 来保障企业 IT 系统的正常运作。 下面是一张很经典的 AD 部署场景图，图里用了两台计算机做服务器，同时提供了 /DNS/DHCP/WINS 服务。对 AD/DNS/DHCP/WINS 服务不了解的朋友请先学习一下理论知 识，要动手实验朋友请先把下面的图看懂了再动手，本帖子适合对入门的朋友，老鸟们 就直接跳过吧_。 下面是两台服务器的配置过程 在配置前请先在两台计算机上安装好 Windows 2003 操作系统，升级打好最新补订！ 一、一、inOSDC2 服务器的配置过程服务器的配置过程 1、的配置 2、的配置 3、的配置 4、INS 的配置 二、二、inOSDC服务器的配置过程服务器的配置过程 1、的配置 2、的配置 3、的配置 4、INS 的配置 三、验证两台服务器是否能够提供冗余服务、三、验证两台服务器是否能够提供冗余服务、 一、inOSDC2 服务器的配置过程1、的配置 1、登录到 WinOSDC2 服务器，安装 DNS/DHCP/WINS 网络服务； 、配置本机的网络，子网掩码，网关，； 、在“开始菜单”“运行”输入 AD 配置命令 dcpromo ； 、下一步 、选择“新域的域控制器”“下一步” 、选择“在新林中的域”“下一步 、输入要建立的或名 winos.ad ; 8、输入域的 NETBIOS 名； 9、默认“下一步” 10、默认“下一步” 11、选择第二项“下一步” 12、不考虑 NT 系统，选择第二项； 13、输入目录还原的密码，在日后的还原 AD 数据时会用到， 14、“下一步” AD 在配置中 15、完成 16、重启计算机 一、一、inOSDC2 服务器的配置过程服务器的配置过程、的配置、的配置 经过前面的操作我们的已经建立起来了，正向查找区域在配置的时候也 自动建立起来了，我们需要手工的配置的反向查找区域，否则运行 nslookup 的时候 会有错误提示。 、打开“控制面板”“管理工具”“”； 、选择“反向查找区域”点击右键“新建区域”； 、下一步; 、选择“主要区域”如下图，下一步； 、选择第三项，下一步； 、输入我们的网络地址； 、选择第一项，下一步； 、点击完成； 如果企业需要上 Internet 的话，还必须配置 DNS 外部转发 1、选择 WINOSDC，右键选择“属性”； 2、选择“转发器”，添加 Internet 上的外部 DNS，这个地址可以问你的 Internet 接 入提供商得到； 一、一、inOSDC2 服务器的配置过程服务器的配置过程、的配置、的配置 动态主机配置协议（DHCP）是一种使网络管理员能够集中管理和自动分配 IP 网络地址 的通信协议。 为了实现冗余我们采用两台服务器来实现，每台服务器的 IP 地址池各占 50%，具体分配 如下: WinosDC2 可分配 IP 范围 192.168.2.50-192.168.2.150 WinosDC3 可分配 IP 范围 192.168.2.151-192.168.2.253 下面是 WinosDC2 的操作； 、打开“控制面板”“管理工具”DHCP; 2、选择inOSDC2 服务器，点击鼠标右键选择“授权”； 、点击鼠标右键，选择“新建作用域”； 、输入“名称”和“描述”自己随便输入； 、输入分配 IP 地址的范围 192.168.2.50192.168.2.150； 6、默认“下一步“ 、选择第项，”下一步“ 、输入要给客户端分配的路由器网关，”下一步“； 、 输入要给客户端配置DNS， 注意DNS顺序， 我们这里首选的DNS地址就是inosDC2， 备用 DNS 是 WinosDC3，在配置inOSDC3 的时间顺序正好与之相反，”下一步“。 10、输入要给客户端配置 WINS，注意 WINS 顺序，我们这里首选的 WINS 地址就是 inosDC2，备用 WINS 是 WinosDC3，在配置inOSDC3 的时间顺序正好与之相反，”下一步 “。 11、选择第项，激活作用域，”下一步“； 12、点击“完成”，到此 WinosDC2 服务器的 DHCP 配置完成； 一、一、inOSDC2 服务器的配置过程服务器的配置过程、的配置、的配置 WINS 用来登记 NetBIOS 计算机名，并在需要时将它解析成为 IP 地址，WINS 数据库是 动态更新的。 的服务配置起来简单多了，在服务器上安装了组件，在服务 器上配置客户端的服务器指向 WinOSDC2 和inOSDC3 即可，在这个实例中我们 有两台服务器我们需把它们配置为复制伙伴。 、打开“控制面板”“管理工具”“服务组件，选择复制伙伴，点击鼠标右键“新 建复制伙伴”； 、输入我们另外一台 WinOSDC3 的服务器的地址，点击“确定”即可； 二、二、inOSDC服务器的配置过程服务器的配置过程1、的配置、的配置 1、用本地 Administrator 登录到 WinOSDC3 服务器，配置本机的网络，子网掩码， 网关，； 2、把 WinOSDC3 服务器加入到 winos.ad 域； 、输入 winos.ad 域的管理帐号及密码； 、点击确定； 、“确定”重新启动计算机； 、选择“是” 、计算机重启后，用 winos.ad 域管理员 Administrator 登录，添加、 网络服务组件； 、把 WinosDC3 提为额外域控制器，在“开始“菜单输入 dcpromo 命令； 、点击“下一步” 、点击“下一步” 11、选择“现有域的额外域控制器”，”下一步“ 、输入inos.AD 域管理员帐号和密码，“下一步”； 、默认不用输入，“下一步” 、默认不用输入，“下一步” 、默认不用输入，“下一步” 、输入目录还原的密码，在日后的还原 AD 数据时会用到； “下一步” 、出现下面的图可以知道，inosDC3 正在和inosDC2 同步数据； 、点击”完成“ 、重新启动计算机； 21、这一步很关键，重启计算机以后你需要改变 WinosDc3 的,把 DNS 的 IP 地址 指向自己这样 WinosDc3 的才会去和 WinosDc的同步， 这是实现和 冗余的关键； 经过这样的配置以后两台服务器的和 AD 数据会相互复制， 自动同步。 、等几分钟或更长一点的时间打开inosDC3 的管理控制台你会发现已经把 WinosDC2 的数据同步过来了。 23、把 WinOSDC3 配置为，打开“控制面板”“管理工具”Active Directory 站点和服务 “，找到 WinOSDC3,找到“NTDS Settings点击鼠标右键选择“属性” 、出现下图，在“全局编录”打上钩，点击“确定”即可。 到此/DNS 已经实现了冗余,当其中某台own 掉以后， 另一台照样可以为客户端提供 身份验证解析服务。 注意: 、FSMO 主机在inosDC2，也就是说如果inosDC2 own 掉在确定不能修复的情 况下需要到inosDC把 FSMO 的个角色抢夺过来， 删除里对inosDC2 的残留数 据。 对不了解的朋友请参考这篇帖子： 关于主机抢夺请参考这篇帖子： 、如果inosDC把 FSMO 的个角色抢夺过来以后，inosDC2 又修复好了千万不 要再加接入网络否则会发生角色冲突对你的会造成不可预知的破坏，切记 二、二、inOSDC服务器的配置过程服务器的配置过程、的配置、的配置 inOSDC的基本不需要再去怎么配置了，如果企业需要上 Internet 的话，还必 须配置 DNS 外部转发 1、选择 WINOSDC，右键选择“属性”； 2、选择“转发器”，添加 Internet 上的外部 DNS，这个地址可以问你的 Internet 接 入提供商得到； 二、二、inOSDC服务器的配置过程服务器的配置过程、的配置、的配置 WinosDC3 服务的配置大体和 WinosDC的配置是一样的，WinosDC3 可分 配 IP 范围 192.168.2.151-192.168.2.253， 注意配置客户端的和 WINS 的首选服务器正 好和 WinosDC相反。 下面是 WinosDC 的操作； 、打开“控制面板”“管理工具”DHCP，选择inOSDC服务器，点击鼠标右键选择“授 权”； 2、点击鼠标右键，选择“新建作用域”； 、”下一下“ 、输入“名称”和“描述”自己随便输入； 、输入分配 IP 地址的范围 192.168.2.151192.168.2.253； 6、默认“下一步“ 、选择“下一步“ 8、选择第项，”下一步“ 9、输入要给客户端分配的路由器网关，”下一步“； 10、 输入要给客户端配置 DNS， 注意 DNS 顺序， 我们这里首选的 DNS 地址就是inosDC3 自己，备用 DNS 是 WinosDC2，”下一步“。 11、输入要给客户端配置 WINS，注意 WINS 顺序，我们这里首选的 WINS 地址就是 inosDC3 自己，备用 WINS 是 WinosDC2，”下一步“。 12、选择第项，激活作用域，”下一步“； 13、点击“完成”，到此 WinosDC3 服务器的 DHCP 配置完成； 到此两台服务器的 DHCP 具有冗余的功能，当某台服务器 Down 掉以后，另一台服务器 照样能够为客户端配置网络信息 二、二、inOSDC服务器的配置过程服务器的配置过程、的配置、的配置 inOSDC3 的服务配置也很简单，在服务器上安装了组件，在 服务器上配置客户端的服务器指向 WinOSDC2 和inOSDC3 即可，在这个实 例中我们有两台服务器我们需把它们配置为复制伙伴。 、打开“控制面板”“管理工具”“服务组件，选择复制伙伴，点击鼠标右键“新 建复制伙伴”； 、输入我们另外一台 WinOSDC2 的服务器的地址，点击“确定”即可； 到此两台 WINS 服务器已经实现了相互复制，当其中某一台 Down 掉,另一台服务器照样 能够为客户端提供 NETBIOS 计算机名解析服务。 三、验证两台服务器是否能够提供冗余服务三、验证两台服务器是否能够提供冗余服务 所有配置都完成了，检查结果的时候到了。下面我们要来测试一下配置是否成功，能否 提供冗余。 用两台客户端 PC 测试，PC1、PC2，完成测试。 、到 PC1 客户端用D 帐号登录