AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法

1、AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作

2、用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）AD-zhuDC192.168.23.20Client-0客户端192.168.23.40DNS-srvDNS192.168.23.10AD-fu额外DC192.168.23.30huanjing.png对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cnam

3、e记录，NS记录。那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：1.DNS服务器的安装；2.DC主控制器的安装；3.DC额外控制器的安装。接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。Active Directory 将 DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的 IP 地址。 在 Active Directory 安装期

4、间，在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录，这些记录是域控制器定位程序 (Locator) 机制功能成功实现所必需的。 要在域或林中查找域控制器，客户端将在 DNS 中查询域控制器的 SRV 和 A DNS 资源记录，这些资源记录为客户端提供域控制器的名称和 IP 地址。在这种环境中，SRV 和 A 资源记录被称为定位程序 DNS 资源记录。(这里说明需要DNS支持)向林中添加域控制器时，将使用定位程序 DNS 资源记录更新 DNS 服务器上主持的 DNS 区域，同时标识域控制器。为此，DNS 区域必须允许动态更新 (RFC 2136)，同时，主持该区域的 DNS 服

5、务器必须支持 SRV 资源记录 (RFC 2782) 才能公布 Active Directory 目录服务。（这在安装DNS过程中是需要注意的一点） 如果主持权威 DNS 区域的 DNS 服务器不是运行 Windows 2000 或 Windows Server 2003 的服务器，请与您的 DNS 管理员联系，确定该 DNS 服务器是否支持所需的标准。如果服务器不支持所需标准，或者权威 DNS 区域不能被配置为允许动态更新，则需要对现有 DNS 结构进行修改。（这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”，这在接下来会提到）

6、要点 用来支持 Active Directory 的 DNS 服务器必须支持 SRV 资源记录，定位器机制才能运行。建议安装 Active Directory 之前 DNS 结构应允许动态更新定位程序 DNS 资源记录（SRV 和 A），但是，您的 DNS 管理员可以在安装后手动添加这些资源记录。 安装 Active Directory 后，可在下列位置中的域控制器上找到这些记录：systemrootSystem32ConfigNetlogon.dns（这说明DNS设置为“不允许动态更新”时，我们可以手动更新，但是有难度，且非常麻烦，所以一般建议选择“允许动态更新”）另外我们说DC和DNS安装

7、顺序没有太严格要求可从“参阅里面的连接”：图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。DNS服务器的安装1.安装DNS，需要给服务器指定静态IP地址，如下：这里要注意DNS要指定给DNS-srv服务器本身IP，默认网关可以不用填写。DNS-setup0.png2.接下来安装域名系统（DNS）服务，先挂载WIN2003安装镜像，按照下边菜单选择“添加或删除应用程序”DNS-setup1.png3.按照下图指向，选择“域名系统（DNS）”服务，点击确定。DNS-setup2.png4.完成后，可在“管理工具”中看见DNS服务了。DNS-setup3.png5.打开DNS服务，右

8、键选择“配置DNS服务器”。DNS-setup4.png6.下一步DNS-setup5.png7.正向解析就是指从域名解析到IP，反向就是IP到域名的解析。这里我们选择第二项，正反向解析都做一下。DNS-setup6.pngDNS-setup7.pngDNS-setup8.png8.区域名称就是你想要定义的域名DNS-setup9.pngDNS-setup10.png9.这里需要注意一下，请选择“允许非安全和安全动态更新”，因为接下来DC的安装需要动态更新的支持，当然我们可以选择“不允许动态更新”，我将会在接下的安装中更改更新设置。（这在之前的参阅里边有提到过）DNS-setup11.png1

9、0.接下来创建反向解析DNS-setup12.pngDNS-setup13.png11.反向解析其实是需要一个一个填写的，但是很耗时间，我们一般填入子网段就可以，这里也是要求填入网段。DNS-setup14.pngDNS-setup15.png12.这里和之前正向解析情况一样，之后我们会改成“允许非安全和安全动态更新”DNS-setup16.png13. 在弹出的窗口中设置NDS的转发器，在转发器中输入“180.168.255.118”和“8.8.8.8（谷歌提供的DNS）”（在该DNS服务器中无法解析的域名，该DNS服务器可以转发给其他指定的DNS服务器上进行解析，如向ISP（互联网服务提供

10、商）的DNS服务器转发）DNS-setup17.pngDNS-setup18.png14.我们建立好正反向解析后，接着在区域中添加主机记录，这里是正向解析做好主机添加后的情况DNS-setup18-0.pngDNS-setup19.png15.右键“正向查找区域”，新建主机（A记录）DNS-setup20.png16.名称可以任意输入，显示的FQDN就是提供DNS服务的域名，另外我们也可以选择同时创建相关的指针（PTR）记录，这样反向解析也会同时自动生成，我们这里没有选择，接下来我们会手动创建反向解析 DNS-setup21.png17.反向解析创建和正向解析创建的方法一样，后边指定主机IP和

11、主机名就可以了，我们可以选择“浏览”以查看并指定我们需要的正向解析主机名DNS-setup22.pngDNS-setup23.pngDNS-setup24.pngDNS-setup25.png18.选择好了，确定DNS-setup26.png19.这样我就创建好正反向解析了，然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性DNS-setup27.png20.如下情况说明我们创建成功DNS-setup28.png21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。这在声明中也有提到过。DNS-se

12、tup2922.在域属性中浏览指定的SOA也就是主授权机构，名称服务器也做相应的指定。DNS-AD-zhu-setup1.pngDNS-AD-zhu-setup2.png至此，我们的DNS服务器配置完毕，接下来我们创建DC 主控制器DC主控制器的安装1.之前我们已经在DNS-srv服务器上安装好了DNS（说的好拗口，早知道就不起这个容易混淆的名字了），接下来我们开始在AD-zhu上安装主域控制器，先查看下主机情况AD-zhu-setup0.png2.确定在该主机上可以正常解析到DNS服务器AD-zhu-nslookup.png3.在运行中输入“dcpromo”确定启动AD安装向导AD-zhu-

13、setup1.pngAD-zhu-setup2.png4.选择建立“新域的域控制器”AD-zhu-setup3.png5.这个新域建立在新的林中AD-zhu-setup4.png6.输入之前我们新创建的DNS全名AD-zhu-setup5.png7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名，用以兼容早期Windows版本的用户来识别新的域。AD-zhu-setup6.png8.选择默认安装位置，也可参考提示选择不同的保存位置以提高性能AD-zhu-setup7.png9.默认AD-zhu-setup8.png10.到这里就出现了之前我们一直在以的

14、动态DNS更新支持，我们可以在正向查找区域的属性里更改动态更新的安全性，改成“非安全”即为支持动态更新。至于反向可改可不改，因为DC的安装只要求正向解析，所以之前的反向解析也可不做，之后也可以通过手动做反向解析AD-zhu-setup9-dt.pngDNS-AD-zhu-setup10-dt.pngDNS-AD-zhu-setup11-dt.png11.通过更改过后，重试DNS诊断通过AD-zhu-setup12-dt-ok.png12.根据实际生产情况选择兼容性AD-zhu-setup13.png13.设置一个还原模式密码AD-zhu-setup14.png14.这里会显示我们即将安装的服务

15、器配置摘要，如果感觉有些选项不正确，可以点击上一步进行更改，确认无误，请下一步AD-zhu-setup15.png15.这时系统会自动配置你的DC，耐心等待结束AD-zhu-setup16.pngAD-zhu-setup17.png16.重启完成DC的配置AD-zhu-setup18.png17.同时，我们可以在DNS-srv主机上刷新查看DNS记录，发现多了SRV 和 A DNS 资源记录，这是DNS用以定位DC的资源记录AD-zhu-setup19-DNS-jilu.png18.重启过后，在AD-zhu服务器上我们会发现AD管理器，说明安装完成AD-zhu-setupover.png19.

16、查看系统属性，发现计算机名称有了的后缀，更说明创建成功AD-zhu-setupover0.pngAD-zhu-setup0-L.pngDC额外控制器的安装1.安装完成主域控制器后，接下来我们再继续安装额外控制器，首先查看系统信息，IP地址也是静态指定的，另外顺便用nslookup检查一下与DNS服务器的连接情况AD-fu-setup0.pngAD-fu-setup1.png2和安装主控制器一样，我们也通过dcpromo启动AD安装向导AD-fu-setup2.pngAD-fu-setup3.pngAD-fu-setup4.png3.选择现有域的额外控制器类型AD-fu-setup5.png4.

17、输入主域控制器的用户名密码和主域控制器名，下一步等待检测完成AD-fu-setup6.png5.你可以直接输入主域控制器名，或者浏览存在的域控制器AD-fu-setup7.pngAD-fu-setup7-0.png6.同样默认目录，下一步AD-fu-setup8.pngAD-fu-setup9.png7.设置还原模式密码AD-fu-setup10.pngAD-fu-setup11.png8.这时额外控制器开始从主域控制器复制文件和服务AD-fu-setup12.png9.重启后也能够看见AD管理器出现了AD-fu-setupover.png10.同样检查一下系统信息，查看是否成功添加AD-fu

18、-setupover1.pngAD-fu-setupover0.png11.另外，在DNS-srv服务器上也能看见相关解析记录也被注册了进去AD-fu-setupover-DNS-jilu.pngAD-fu-setupover-DNS-jilu2.png12.至此，额外控制器也安装完毕，之后我们会模拟主域损坏了改怎么解决的情况主域损坏，解决办法之前我们已经将所需要的环境部署完毕，接下来我们来进一步处理灾难情况下主DC损坏，如何使额外DC取代主DC担负起活动目录的职责。环境状况如下图，AD-zhu意外损坏，而DNS-srv、AD-fu正常运行，客户端用于检测AD-fu是否成功取代AD-zhu。A

19、D-zhuDC192.168.23.20Client-0客户端192.168.23.40DNS-srvDNS192.168.23.10AD-fu额外DC192.168.23.301.首先我们来模拟一下灾难环境：让AD-zhu关机不在启动，之后不在出现在实验环境中。AD-zhu-inf1.pngAD-zhu-inf2.pngAD-zhu-down3.png2. 在AD-fu额外控制器上打开命令提示符，输入ntdsutil启用工具，包含的命令内容可使用“?”查看AD-fu-del-zhu4.png3.输入“metadata cleanup”进入清理模式，并连接到自身，当然也可以连接到其他命名方法。

20、AD-fu-del-zhu5.pngAD-fu-del-zhu7.png4.连接到特定的域控制器后，会退到上一级，使用“select operation target”选择站点，服务器，域，角色和命名上下文AD-fu-del-zhu8.png5.首先列出存在的站点列表AD-fu-del-zhu9.png这里只存在一个站点，用“0”表示AD-fu-del-zhu10.png6.我们选择这个站点“select site 0”，并列出包含在这个站点中的域AD-fu-del-zhu11.png7.这个站点中只包含了一个“funsion”域，也是用0表示的AD-fu-del-zhu12.png8.选择这

21、个域，并列出所选域和站点中的服务器AD-fu-del-zhu13.png9.这里列出了我们环境中存在的两个服务器AD-fu-del-zhu14.png10.我们选择“0”指定“AD-zhu”因为我们要删除主控制器AD-fu-del-zhu15.png11.选择完毕后，退回上一层，进行删除工作。AD-fu-del-zhu16.png12.使用“remove selected server”删除所选的AD-zhu，弹出对话框，选择确定AD-fu-del-zhu16-1.png13. 确定后，会自动弹出让你选择AD-fu对主控制器角色夺取的对话框。其中会碰到失败和错误的提示消息，忽略，依次选择“是”

22、。直到删除结束AD-fu-del-zhu17.pngAD-fu-del-zhu18.pngAD-fu-del-zhu19.pngAD-fu-del-zhu20.pngAD-fu-del-zhu21.png14.到这里我们将AD-zhu的元数据从AD-fu上清除了。AD-fu-del-zhu22.png15.在图形界面，打开“Active Directory 站点和服务”下把“AD-zhu”选中，右击“删除”。AD-fu-del-zhu28.pngAD-fu-del-zhu29.pngAD-fu-del-zhu30.png16.现在“AD-zhu”主机已经没有了，展开site->defau

23、lt-first-site-name->servers，展开AD-fu，右击“NTDS Settings”点“属性”，勾上全局编录前面的勾，点确定，如图所示：AD-fu-del-zhu31.pngAD-fu-del-zhu32.png17.打开“AD用户和计算机”找到“AD-zhu”也就是原来的主域控制器，右击“删除”。期间弹出对话框，选择“是”。AD-fu-del-zhu33.pngAD-fu-del-zhu34.png18.到这里，我们就把AD-zhu删除掉了。AD-fu-del-zhu35.png19.之前删除AD-zhu的过程中，系统自动提示我们用AD-fu夺取AD-zhu上的角色，有失败之处，所以接下来我们再次手动让