域控制器的冗余

1、设置 ActiveDirectory域控制器正如我们在网络与系统配置专题文章中所提到的那样，我们 已将两部服务器设置为对应于内部域“的ActiveDirectory域控制器。我们借助专用计算机设置了第一个 域控制器，并为实现系统冗余而在管理服务器上设置了第二 个域控制器。由于域控制器必须具备既可从Web!务器和命令处理服务器（针对消息队列）、又可从两个已实现群集化的数据库服务 器接受访问调用的能力，因此，就必须与后端网络、管理网 络或以上两者同时建立连接。在接下来的章节中，我们将针对设置 ActiveDirectory域控制器 的分步操作程序以及设置对应于特定域的 ActiveDirector

2、y客户 端的操作程序加以详细说明。安装第一个域控制器请依次执行下列步骤，以便创建一个新的域，并在某一服务 器上安装ActiveDirectory服务，然后，将该服务器设定为对应 于新建域的第一个域控制器：在开始菜单上单击运行，并在随后出现的对话框内输入dcpromo然后，单击确定。 上述操作将启动Active Directory安装向导。在通过欢迎屏幕后，向导程序将要求您为即将安装ActiveDirectory的服务器指定域控制器类型。请保持相关选项的缺 省状态，以便将该服务器设置为对应于新建域的域控制器。 接下来，向导程序将要求您生成一个新的域树，或在现有域 树中生成新建一个子域。在这个例子

3、中，应针对内部域新建 一个域树。然后，向导程序将要求您新建一个森林，或加入一个现有森 林。因为您正在创建第一个域，而且目前尚不存在现成的森 林，所以，请保持有关系选项的缺省设置状态，以便创建一 个同域树相对应的新森林。如前所述，Window200C所配备的 ActiveDirectoryl艮务目前主要将完全合格域名（FQDN）作为首选命名规范加以应用。当 向导程序要求您为新建域设定名称时，就请键入同内部域相 对应的FQDN （在本例中，应输入“ intdomain.cOm）。ActiveDirectory具备针对 WindowNT早期版本的向后兼容性， 这主要取决于同这些版本命名规范相对应的N

4、etBIOS名称。出于连贯性方面的考虑，我们应选用与NetBIOS名称完全相同的域名。在这个例子中，应接受系统为NetBIOS设定的缺省域名“ INTDOMAIN ”。向导程序将在接下来的两个对话框中要求您针对ActiveDirectory数据库与活动日志的存储位置以及共享系统卷加以 指定。为实现更加理想的性能表现及可恢复能力，我们建议 您将数据库和日志存储在独立硬盘上。为简化操作过程，我 们选择接受所有缺省位置。安装向导将在这个环节尝试同对应于新建域的 DNS服务器 取得联系。如果对应于新建域的 DNS服务器已经存在，并 可在网络上被查找到，向导程序便会继续转移到下一个安装 步骤；如果网络上

5、并不存在上述DNS服务器，向导程序则将就是否在ActiveDirectory安装过程中基于同一计算机安装并 配置DNS服务器、亦或稍后安装 DNS服务器向您进行询 问。在此，我们建议您保持第一个选项的缺省设置状态，除 非您确实需要亲自执行所有DNS资源记录的设置工作。由安装向导显示的其余对话框将主要用来处理安全保障事 宜。根据DuwamislOnline案例，如果域内所有计算机都在运 行Window200C操作系统，就请将仅与 Window2000月艮务器相 兼容的许可权限选项设定为选中状态。接下来，向导程序将 要求您为管理员设定一个专用口令。最后，向导程序将显示一个总结屏幕，以便就已经设定的

6、选 项与您进行确认。如果屏幕上所显示的信息正确无误，就请 单击下一步确认。当配置处理过程执行完毕后，重新启动服务器。安装第二个域控制器第二个Active Directory域控制器的安装过程要比第一个域控制 器的安装过程简单得多。在启动安装程序之前，应首先确认 第二台服务器已具备针对同一网络部分实施访问调用的权 限。只有这样，该服务器才能与第一台服务器进行通信联 络。此外，您还应为 DNS服务器设定IP地址（根据前文所 提供的建议，这个地址必须同第一个域控制器相对应），而 这个IP地址则可供用来针对充当域控制器的计算机进行定 位。如需设定DNS服务器，则请依次执行下列操作步骤：右键单击网络邻居

7、，并在随后弹出的快捷菜单上选择属性命 令。从网络与拨号连接对话框内，右键单击本地连接图标，并在 随后弹出的快捷菜单上选择属性命令。说明：如果您的计算机配备有多块与不同网络部分相连的网 络适配卡（类似于 DuwamisOnline网络配置方案），而您又 无法对已同内部建立连接的网卡加以确认，那么，您便可通 过以物理方式切断与内部网络相连之电缆的做法识别出所需 查找的相关连接。这样一来，对应于目标连接的图标便会呈 现出已被禁用的状态。请在恢复网络电缆连接之前，为刚刚 查找到的连接重新指定相应名称。选择Internet协议（TCP/IP ），并单击属性。在Internet协议（TCP/IP ）属性对

8、话框内，将使用下列DNS服务器地址选项设定为选中状态。在首选DNS服务器栏内，输入相关IP地址。（如果 DNS 服务器已作为第一个 ActiveDirectory服务器安装过程的组成部 分实现了安装，就请为该服务器输入IP地址。有关操作方法请参阅上一章节-“安装第一个域控制器”-中的第8 步。）单击确定，以便使修改生效。DNS 一经设定，您便可着手安装第二个域控制器。如需安装第二个域控制器，则请依次执行下列操作步骤：在开始菜单上单击运行，并在随后出现的对话框内输入dcpromo然后，单击确定。 上述操作将启动Active Directory安装向导。在通过欢迎屏幕后，向导程序将要求您为相关器服

9、务器指定 域控制器类型。在此，应选择设置对应于现有域的第二个域 控制器。接下来，向导程序将要求您输入用户名、口令和域名（在这 个例子中，请输入“ intdomain ）。根据向导程序提示，为特定域输入完全合格域名，而同这个 域相对应的计算机则将成为第二个域控制器。（在这个例子 中，请输入“ intdomain.cOm。）与您安装第一个 ActiveDirectory!艮务器时的情形相似，向导程 序将要求您针对数据库和日志存储位置以及共享系统卷加以 指定。为简化操作过程，我们选择接受所有缺省位置。在完成管理员口令设置工作后，向导程序将要求您在总结屏 幕上重新核对并最终确认刚刚设定的信息。请单击下

10、一步开 始安装。请在安装程序执行完毕后重新启动服务器。设置 ActiveDirectory客户端在Window2000安装过程中，向导程序将就是否加入现有域 或工作组向您进行询问。如果域控制器在安装时尚不可用， 您便只能在晚些时候加入相关域。在开始执行设置过程前，请先确保计算机已具备针对同一网 络部分的访问调用权限，以便使其能够同相关域进行通信联络。在设置第二个域控制器的过程中，您还应为DNS服务器指定相关IP地址。下列步骤描述了在 Window2000操作系统中将某一计算机添 加至新建域的具体方法。右键单击我的电脑，并在随后弹出的快捷菜单上选择属性命 令。在系统属性对话框内，先单击网络标识选

11、项卡，再单击属性 按钮。在标识修改对话框内，将域单选框设定为选中状态，并输入 完整域名（在这个例子中，请输入“ intdomain.cOm）。单击确定，以便确认上述修改。向导程序还将提示您输入域 用户名和口令。重新启动服务器，以便使修改生效。小结ActiveDirectory可为改进型消息队列（MSMQ）特性提供所需 支持，并在此基础上允许针对公共消息队列加以利用，因而，成为DuwamishOnline.cOWeb区的首选解决方案。如需获 取有关MSMQ和DuwamishOnline网络体系结构的更多信息资料，敬请查阅题为消息队列配置的技术文章。而ActiveDirectory在这个配置方案中

12、所产生的次要收益则体现为DNS配置任务的简化，这恰恰是创建数据库群集所不可或缺的关 键要素（请参阅创建具备高度可用性的数据库群集）。如何验证ActiveDirectory安装更多信息验证ActiveDirectory的成功安装是非常重要的。当执行升级 后，可以通过验证以下各项来验证是否将服务器提升为域控 制器：1.默认容器：它们在创建第一个域时自动创建。打 开ActiveDirectory用户和计算机，然后验证存在以下容器： 计算机、用户和ForeignSecurityPrincipals2.默认的域控制器组织单位：它包含第一个域控制器，另 外还用作新Window2000域控制器的默认容器。打

13、开ActiveDirectory用户和计算机，然后验证该组织单位。3默认的第一个站点的名称：在将服务器提升为域控制器 的过程中，Dcpromo.ex程序会确定该域控制器可以成为哪个 站点的成员。如果所创建的域控制器是新域控制器林中的第 一个域控制器，则会创建一个名为“Default-First-Site-Nam”的默认站点，而域控制器将成为该站点的成员，直至配置相应的子网和站点。您可以使用“ActiveDirectory站点和服务”来验证此项。4. ActiveDirectory 数据库：ActiveDirectory 数据库就是您的Ntds.dit文件。验证它是否存在于Systemroot%

14、Ntd文件夹中。5. 全局编录服务器：默认情况下，第一个域控制器会成为全局编录服务器。若要验证此项，请执行以下操作：a.单击开始，指向程序，单击管理工具，然后单击 Active Directory站点和服务。b. 双击站点以将其展开，展开服务器，然后选择您的域控制c. 双击域控制器以展开服务器内容。d. 该服务器下会显示 NTDS设置对象。右键单击该对象，然后单击属性。e. 默认情况下，常规选项卡上会显示已选中的全局编录复选 框。6. 根域：安装第一个域控制器时会创建目录林的根。在我的电脑中验证计算机的网络标识。计算机的域名系统(DNS)前缀应该与域控制器所属的域名相匹配。另外，确保计算机 已

15、注册正确的计算机角色。若要验证此角色，请使用netaccounts命令。根据计算机是否为域中的第一个域控制器，计算机角色应显示“主”(primary或“备份” (backup)7. 共享系统卷：Window2000域控制器应该含有位于%Systemroot%SysvolSysv文件夹中的共享系统卷。若要验证此项，请使用 netshare命令。在安装过程中，Active Directory还会创建两个标准的策略：“默认域”策略和“默认域控制器”策略(位于 Systemroot%SysvolDomainPolicies 文件夹中)。这些策略显示为以下全局唯一标识符(GUID):表示“默认域”策略的31B2F340-016D-11D2-945F-00C04FB984F9表示“默认域控制器”策略的6AC1786C-016F-11D2-945F-00C04fB984F98.SRV资源记录：您必须装有为ActiveDirectory安装并配置的DNS服务器和相关客户端软件，才能正常地工作。Microsoft建议使用 MicrosofDNS 服务器，它随 Window2000 Server作为 DNS服务器提供。但是， MicrosofDNS服务器 并不是必需的。您使用的DNS服务器必须支持服务资源记