AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法.docx
《AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法.docx》由会员分享,可在线阅读,更多相关《AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法.docx(135页珍藏版)》请在冰豆网上搜索。
AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法
v1.0可编写可改正
AD域DNS分别+额外域控制器安装
及主域控制器破坏解决方法
关于域控制器的安装,我们已经知道怎样同DNS集成安装,并且集成安装的方法利处有:
使DNS也获得AD的安全保护,DNS的地区复制也更安全,并且集成DNS只广播改正的部分,相信更多状况下大家选择集成安装的方式是因为更简短方便。
自然你或许会碰到这样的情
况:
客户的局域网络内已经存在一个DNS服务器,并且马上安装的DC控制器负载估计会很
重,假如感觉DC自己的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控
制器(AD-fu点击查察额外控制器的作用),此外为了查验控制器安装成功与否,能否以担
负其作用,我们再安排一台客户端(client-0)用来检测。
(此中因为服务器特征需要指定
AD-zhu、AD-fu、DNS-srv为静态地点)
AD-zhuDNS-srvAD-fu
DCDNS额外DC
Client-0
客户端
关于DC和DNS分别安装,安装次序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS
获得DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS为例,关于
1
v1.0可编写可改正
实现这个环境需要三个大步骤:
服务器的安装;
主控制器的安装;
额外控制器的安装。
接下来我们分步实现······
为了更为认识DC和DNS的关系,安装前请先参阅:
安装ActiveDirectory的DNS
要求
在成员服务器上安装ActiveDirectory时,可将成员服务器升级为域控制器。
Active
Directory将DNS作为域控制器的地点体制,使网络上的计算机能够获得域控制器的IP
地点。
在ActiveDirectory安装时期,在DNS中动向注册服务(SRV)和地点(A)资源记
录,这些记录是域控制器定位程序(Locator)体制功能成功实现所必要的。
要在域或林中查找域控制器,客户端将在DNS中查问域控制器的SRV和ADNS资源
记录,这些资源记录为客户端供给域控制器的名称和IP地点。
在这类环境中,SRV和A
资源记录被称为定位程序DNS资源记录。
(这里说明需要DNS支持)
向林中增添域控制器时,将使用定位程序DNS资源记录更新DNS服务器上主持的DNS
地区,同时表记域控制器。
为此,DNS地区一定同意动向更新(RFC2136),同时,主持该
地区的DNS服务器一定支持SRV资源记录(RFC2782)才能宣布ActiveDirectory目录
服务。
(这在安装DNS过程中是需要注意的一点)
假如主持威望DNS地区的DNS服务器不是运转Windows2000或WindowsServer
2003的服务器,请与您的DNS管理员联系,确立该DNS服务器能否支持所需的标准。
如
果服务器不支持所需标准,或许威望DNS地区不可以被配置为同意动向更新,则需要对现有
DNS构造进行改正。
(这个也是很重要的一点这里需要改正“开端受权机构SOA”和“名称
服务器”用以支持DNS地区被配置成“同意动向更新”,这在接下来会提到)
重点
用来支持ActiveDirectory的DNS服务器一定支持SRV资源记录,定位器体制才能
2
v1.0可编写可改正
运转。
建议安装ActiveDirectory以前DNS构造应同意动向更新定位程序DNS资源记录
(SRV和A),可是,您的DNS管理员能够在安装后手动增添这些资源记录。
安装ActiveDirectory后,可在以下地点中的域控制器上找到这些记录:
(这说明DNS设置为“不一样意动向更新”时,我们能够手动
更新,可是有难度,且特别麻烦,因此一般建议选择“同意动向更新”)
此外我们说DC和DNS安装次序没有太严格要求可从“参阅里面的连结”:
图上标记的两点可看出它们是DC+DNS先后顺序的要乞降解决方法。
3
v1.0可编写可改正
DNS服务器的安装
1.安装DNS,需要给服务器指定静态IP地点,以下:
这里要注意DNS要指定给DNS-srv
服务器自己IP,默认网关能够不用填写。
2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,依据下面菜单项选择择“增添或删除应用程序”
4
v1.0可编写可改正
3.依据以下图指向,选择“域名系统(DNS)”服务,点击确立。
5
v1.0可编写可改正
4.达成后,可在“管理工具”中看见DNS服务了。
5.翻开DNS服务,右键选择“配置DNS服务器”。
6
v1.0可编写可改正
6.下一步
7
v1.0可编写可改正
7.正向分析就是指从域名分析到IP,反向就是IP到域名的分析。
这里我们选择第二项,正反向分析都做一下。
8
v1.0可编写可改正
8.地区名称就是你想要定义的域名
9
v1.0可编写可改正
9.这里需要注意一下,请选择“同意非安全和安全动向更新”,因为接下来DC的安装需要动
态更新的支持,自然我们能够选择“不一样意动向更新”,我将会在接下的安装中改正更新设置。
(这在以前的参阅里边有提到过)
10
v1.0可编写可改正
10.接下来创立反向分析
11.反向分析实质上是需要一个一个填写的,可是很耗时间,我们一般填入子网段就能够,这里也是要求填入网段。
11
v1.0可编写可改正
12.这里和以前正向分析状况相同,以后我们会改成“同意非安全和安全动向更新”
12
v1.0可编写可改正
13.在弹出的窗口中设置NDS的转发器,在转发器中输入“和“(谷歌供给的DNS)”(在
该DNS服务器中没法分析的域名,该DNS服务器能够转发给其余指定的DNS服务器长进行解
析,如向ISP(互联网服务供给商)的DNS服务器转发)
13
v1.0可编写可改正
14.我们成立好正反向分析后,接着在地区中增添主机记录,这里是正向分析做好主机增添后的状况
15.右键“正向查找地区”,新建主机(A记录)
14
v1.0可编写可改正
16.名称能够随意输入,显示的FQDN就是供给DNS服务的域名,此外我们也能够选择同时创立有关的指针(PTR)记录,这样反向分析也会同时自动生成,我们这里没有选择,接下来
我们会手动创立反向分析
17.反向分析创立和正向分析创立的方法相同,后边指定主机IP和主机名就能够了,我们可
以选择“阅读”以查察并指定我们需要的正向分析主机名
15
v1.0可编写可改正
16
v1.0可编写可改正
18.选择好了,确立
17
v1.0可编写可改正
19.这样我就创立好正反向分析了,而后我们启动nslookup分析工具来考证我们创立DNS
分析的正确性
18
v1.0可编写可改正
20.以下状况说明我们创立成功
21.此外我们还需要更更正向查找地区的属性中的“开端受权机构SOA”和“名称服务器”
用以支持DNS地区被配置成“同意动向更新”奏效。
这在申明中也有提到过。
DNS-setup29
22.在域属性中阅读指定的SOA也就是主受权机构,名称服务器也做相应的指定。
19
v1.0可编写可改正
20
v1.0可编写可改正
至此,我们的DNS服务器配置完成,接下来我们创立DC主控制器
21
v1.0可编写可改正
DC主控制器的安装
1.以前我们已经在DNS-srv服务器上安装好了DNS(说的好拗口,早知道就不起这个简单混杂的名字了),接下来我们开始在AD-zhu上安装主域控制器,先查察下主机状况
2.确立在该主机上能够正常分析到DNS服务器
22
v1.0可编写可改正
3.在运转中输入“dcpromo”确立启动AD安装导游
4.选择成立“新域的域控制器”
23
v1.0可编写可改正
5.这个新域成立在新的林中
6.输入以前我们新创立的DNS全名
24
v1.0可编写可改正
7.这里出现的NetBIOS域名是导游默认经过你指定的DNS全名同时命名的NetBIOS域名,用
以兼容初期Windows版本的用户来辨别新的域。
8.选择默认安装地点,也可参照提示选择不一样的保留地点以提高性能
25
v1.0可编写可改正
9.默认
10.到这里就出现了以前我们向来在以的动向DNS更新支持,我们能够在正向查找地区的属
性里更变动向更新的安全性,改成“非安全”即为支持动向更新。
至于反向可改可不改,因
26
v1.0可编写可改正
为DC的安装只需求正向分析,因此以前的反向分析也可不做,以后也能够经过手动做反向分析
27
v1.0可编写可改正
11.经过更悔事后,重试DNS诊疗经过
12.依据实质生产状况选择兼容性
28
v1.0可编写可改正
13.设置一个复原模式密码
14.这里会显示我们马上安装的服务器配置纲要,假如感觉有些选项不正确,能够点击上一步进行改正,确认无误,请下一步
29
v1.0可编写可改正
15.这时系统会自动配置你的DC,耐心等候结束
30
v1.0可编写可改正
16.重启达成DC的配置
17.同时,我们能够在DNS-srv主机上刷新查察DNS记录,发现多了SRV和ADNS资源记
录,这是DNS用以定位DC的资源记录
31
v1.0可编写可改正
18.重启事后,在AD-zhu服务器上我们会发现AD管理器,说明安装达成
19.查察系统属性,发现计算机名称有了的后缀,更说明创立成功
32
v1.0可编写可改正
33
v1.0可编写可改正
DC额外控制器的安装
1.安装达成主域控制器后,接下来我们再持续安装额外控制器,第一查察系统信息,IP地
址也是静态指定的,此外趁便用nslookup检查一下与DNS服务器的连结状况
34
v1.0可编写可改正
2.和安装主控制器相同,我们也经过dcpromo启动AD安装导游
35
v1.0可编写可改正
3.选择现有域的额外控制器种类
36
v1.0可编写可改正
4.输入主域控制器的用户名密码和主域控制器名,下一步等候检测达成
5.你能够直接输入主域控制器名,或许阅读存在的域控制器
37
v1.0可编写可改正
6.相同默认目录,下一步
38
v1.0可编写可改正
7.设置复原模式密码
39
v1.0可编写可改正
8.这时额外控制器开始从主域控制器复制文件和服务
40
v1.0可编写可改正
9.重启后也能够看见AD管理器出现了
41
v1.0可编写可改正
10.相同检查一下系统信息,查察能否成功增添
11.此外,在DNS-srv服务器上也能看见有关分析记录也被注册了进去
42
v1.0可编写可改正
12.至此,额外控制器也安装完成,以后我们会模拟主域破坏了改怎么解决的状况
43
v1.0可编写可改正
主域破坏,解决方法
以前我们已经将所需要的环境部署完成,接下来我们来进一步办理灾害状况下主DC损
坏,怎样使额外DC代替主DC担负起活动目录的职责。
环境状况以以下图,AD-zhu不测破坏,
而DNS-srv、AD-fu正常运转,客户端用于检测AD-fu能否成功代替AD-zhu。
AD-zhuDNS-srvAD-fu
DCDNS额外DC
Client-0
客户端
1.第一我们来模拟一下灾害环境:
让AD-zhu关机不在启动,以后不在出此刻实验环境
中。
44
v1.0可编写可改正
45
v1.0可编写可改正
2.在AD-fu额外控制器上翻开命令提示符,输入ntdsutil启用工具,包括的命令内容
可使用“”查察
46
v1.0可编写可改正
3.输入“metadatacleanup”进入清理模式,并连结到自己,自然也能够连结到其余命名方法。
47
v1.0可编写可改正
4.连结到特定的域控制器后,会退到上一级,使用“selectoperationtarget”选择站点,
服务器,域,角色和命名上下文
5.第一列出存在的站点列表
48
v1.0可编写可改正
这里只存在一个站点,用“0”表示
6.我们选择这个站点“selectsite0”,并列出包括在这个站点中的域
7.这个站点中只包括了一个“funsion”域,也是用0表示的
49
v1.0可编写可改正
8.选择这个域,并列出所选域和站点中的服务器
9.这里列出了我们环境中存在的两个服务器
50
v1.0可编写可改正
10.我们选择“0”指定“AD-zhu”因为我们要删除主控制器
11.选择完成后,退回上一层,进行删除工作。
51
v1.0可编写可改正
12.使用“removeselectedserver”删除所选的AD-zhu,弹出对话框,选择确立
13.确立后,会自动弹出让你选择AD-fu对主控制器角色争夺的对话框。
此中会碰到失败和错误的提示信息,忽视,挨次选择“是”。
直到删除结束
52
v1.0可编写可改正
53
v1.0可编写可改正
54
v1.0可编写可改正
55
v1.0可编写可改正
14.到这里我们将AD-zhu的元数据从AD-fu上消除了。
56
v1.0可编写可改正
15.在图形界面,翻开“ActiveDirectory站点和服务”下把“AD-zhu”选中,右击“删
除”。
57
v1.0可编写可改正
58
v1.0可编写可改正
16.此刻“AD-zhu”主机已经没有了,睁开site->default-first-site-name->servers,展
开AD-fu,右击“NTDSSettings”点“属性”,勾上全局辑录前方的勾,点确立,以下图:
59
v1.0可编写可改正
17.翻开“AD用户和计算机”找到“AD-zhu”也就是本来的主域控制器,右击“删除”。
时期弹出对话框,选择“是”。
60
v1.0可编写可改正
18.到这里,我们就把AD-zhu删除去了。
61
v1.0可编写可改正
19.以前删除AD-zhu的过程中,系统自动提示我们用AD-fu争夺AD-zhu上的角色,有失败
之处,因此接下来我们再次手动让AD-fu争夺角色。
退出到“ntdsutil”层,进入到Roles
“管理NTDS角色全部者令牌”模式
62
v1.0可编写可改正
20.进入“connections”连结状态
63
v1.0可编写可改正
21.连结到AD-fu自己,挨次履行以下图红框内五条命令,就是将操作主机的角色指定给额外控制器AD-fu的操作了。
时期假如又出现不可功的提示,请重试一次。
64
v1.0可编写可改正
65
v1.0可编写可改正
66
v1.0可编写可改正
23.五条命令履行结束后,我们用“netdomqueryfsmo”命令来检查一下角色的全部者,看
67
v1.0可编写可改正
能否操作成功。
使用“netdomqueryfsmo”命令需要安装suptools支持,加载安装光盘,
挨次睁开目录下support\tools目录,找到,双击履行安装
68
v1.0可编写可改正
24.安装达成后,在全部程序--WindowsSupportTools中,运转“CommandPrompt”
25.使用“netdomqueryfsmo”,看到5个角色指向AD-fu,说明已成功将AD-fu提高为域
主控制器。
别的,我们还能够经过在AD-fu主机上新建用户,用客户机加入域来测试提高域
控的成功与否
69
v1.0可编写可改正
70
升级会员 