建立单域双DC之步骤
组建单域双DC 步骤目的:建立一个单域双DC 的域环境,域名为:contoso.com 。 目的域中有多台DC 的优点:提高用户登录效率。因为多台域控制器可以同时分担审核用户名与密码的工作,因此可以加
组建单域双DC 步骤
目的:建立一个单域双DC 的域环境,域名为:contoso.com 。 目的
域中有多台DC 的优点:
提高用户登录效率。因为多台域控制器可以同时分担审核用户名与密码的工作,因此可以加快用户登录的速度。 提供容错的功能。即使其中一台域控制器出现故障,仍然可以由其他域控制器来提供服务,让用户可以正常登录。 实验环境:本实验使用Vmware Workstation v6.0,全新正常安装两个windows server 2003 sp2 enterprise chs虚拟机,各实验环境
有一个网卡,计算机名分别为DC1,DC2。新建一Windows XP SP3 cht虚拟机,计算机名为Client1。
DC1的IP 设置情况是:
IP :192.168.2.1
子网掩码:255.255.255.0
网关:无(可根据实际情况填写)
首选DNS 服务器:192.168.2.1
DC2的IP 设置情况是:
IP :192.168.2.2
子网掩码:255.255.255.0
网关:无(可根据实际情况填写)
首选DNS 服务器:192.168.2.1(在DC2提升为第二台DC 前,需将DNS 指向第一台DC 的IP )
Client1的IP 设置情况待建域完成后再设置
在DC1,DC2上都安装上Windows Support Tools, Windows Resource Kit Tools, GPMC等工具,方便以后管理和维护域控制器。
Windows Support Tools和Windows Resource Kit Tools 是微软工程师及微软技术爱好者开发的工具集,二者都包括很多强大的命令行工具、图形工具,及脚本等,如support tools工具集中的dcdiag.exe ,dsastat.exe ,getsid.exe ,,netdiag.exe ,ntfrsutl.exe ,repadmin.exe ,replmon.exe 等常用工具,Resource Kit Tools工具集中有gpotool.exe ,lockoutstatus.exe ,robocopy.exe 等常用工具,对于我们管理、维护及对域环境的排错有很大的帮助,值得好好研究。
Windows Support Tools在系统光盘SUPPORTTOOLS中,双击SUPTOOLS.MSI 安装即可。
Windows Resource Kit Tools要到微软网站上下载:
下载安装即可。
GPMC 是Group Policy Management Console,即是组策略管理控制台,此程序功能相当强大,对于我们管理、部署及对组策略的排错非常方便高效,推荐安装。此程序为免费软件,要到微软网站上下载: 稍后文中会介绍使用方法。
1
,建立篇
1. 首先将DC1提升为第一台DC (即主域控制器)即主域控制器) 在DC1中,点击“开始”->“执行”,输入“dcpromo”命令:
点击“确定”,出现
点击“下一步”,出现
点击“下一步”出现
2
,因为我们是要建立新域,所以选择第一项(稍后建第二台DC (额外域控制器)时,要选第二项),点击“下一步”
选择第一项,点击“下一步”
输入域名:contoso.com, 点击“下一步”
3
Netbios 域名默认即可,此处默认是:contoso 。点击“下一步”
此处设置的是AD (活动目录)数据库和日志存放的位置,默认即可。点击“下一步”
Sysvol 文件夹的存放位置默认即可,点击“下一步”
4
活动目录是和DNS 服务紧密联系在一起的,DNS 服务可以离开活动目录的支持,但活动目录一定不能离开DNS 服务的支持(活动目录与DNS 服务可以不在同一台电脑上,但安装活动目录必须要连接到一台DNS 服务器上)。因为DC1此前并没有安装DNS 服务,所以此时要选择安装上DNS 服务。选择默认的第二项,点击“下一步”
默认第二项即可,点击“下一步”
5
,在上图中设置目录服务还原模式的系统管理员密码,“目录服务还原模式”是一个安全模式(safe mode), 进入该模式可以修复Acitve Directory数据库,我们可以在系统开机启动时按F8键进入该模式,不过必须输入上面设置的密码。此环境下目录服务不在运行,可以进行已删除的域账号恢复,AD 数据库及日志存放位置的转移等等操作。“目录服务还原模式”的系统管理员与域的系统管理员是不同的账号,其密码也可以设为不同的密码,请不要混淆。此处设置的密码如果忘了,也可以通过在正常模式下的命令提示符窗口中,使用ntdsutil 命令进行重设(当然,最好是不要忘了!~)。此处设置好密码后,点击“下一步”
点击“下一步”,开始安装活动目录
安装期间要求插入windows server 2003系统光盘,等待几分钟时间,安装完成后,重启计算机。重启完成后,输入域管理员密码,登录到“contoso ”(此时只能登录到contoso 域, 无其它选项) 。
进入桌面后,检查DC 是否安装成功:
1).检查DC1的IP 设置的首选DNS 服务器是否是指向自身,确定是:192.168.2.1。
2). 检查“开始”->“程序”->“管理工具”里,确保有以下几项:
6
,3).检查C:windowssysvolsysvol和C:windowssysvolsysvolcontoso.comscripts文件夹是否共享成功。
4). 检查DNS 安装是否成功。
打开DNS 控制台,检查DNS 的“_msdcs.contoso.com”区域和“contoso.com ”的属性是否如下: “_msdcs.contoso.com”区域属性:
注意:点开“_msdcs.contoso.com”属性的“名称服务器”窗口,检测DC1.contoso.com 后面是否有*号。
7
,如果有*号,则说明该DNS 服务器可能没有存储真正的记录,要修复此问题,可将此项删除,重建。 在上图中,选定“DC1.contoso.com ”项,点击“删除”,将此项删除,然后点击“添加”:
如上图操作,确定后完成新建,如下图:
点击上图中“确定”
点击“是”,完成操作。
“contoso.com ”区域属性:
8
,检查DNS 各项记录是否完整:
注意:以上各个分支都点开看一下,如果DNS 各项内容不完整,可以在命令提示符下输入:nltest /dsregdns,或者重启netlogon 服务进行修复。
检查并确保安装成功后,因我们新建域中的DC 只有windows server 2003操作系统,为了发挥widnows server 2003域的最大功能,须将“域功能级别”和“林功能级别”都提升到Windows server 2003模式,方法如下:
在DC1中,打开管理工具中的“Active Directory 域和信任关系”,右击“contoso.com ”, 将“域功能级别”提升到“Windows server 2003”模式。
9
,点击“提升”->“确定”->“确定”,完成域功能级别的提升。
右击“Active Directory 域和信任关系”,提升“林功能级别”至Windows Server 2003”模式。点击“提升”->“确定”->“确定”,完成林功能级别的提升。
2. 安装第二台DC (额外域控制器)额外域控制器)
在DC2上用本地管理员账号登录,点击“开始”->“执行”,输入“dcpromo”,确定,点击“下一步”,一直到下面窗口
10