ad-dns-dhcp-wins冗佘

对于部署了AD架构的企业来说AD/DNS/DHCP/WINS都是我们必须用到的服务，一但这些服务中断会导致整个企业IT系统无法正常运作，如何保障这些基础服务的高可用性是我们每一位管理员需要考虑的。

一般的中小企业最少都会用两台或多台服务器做冗余保证企业内基础服务的高可用性，当一台服务器坏了或需要维护另一台服务器照样能够提供相同的服务来保障企业IT系统的正常运作。

下面是一张很经典的AD部署场景图，图里用了两台计算机做服务器，同时提供了ＡＤ/DNS/DHCP/WINS服务。

对AD/DNS/DHCP/WINS服务不了解的朋友请先学习一下理论知识，要动手实验朋友请先把下面的图看懂了再动手，本帖子适合对ＡＤ入门的朋友，老鸟们就直接跳过吧^_^。

下面是两台服务器的配置过程在配置前请先在两台计算机上安装好Windows2003 操作系统，升级打好最新补订！一、ＷinOSDC2服务器的配置过程1、ＡＤ的配置2、ＤＮＳ的配置3、ＤＨＣＰ的配置4、ＷINS的配置二、ＷinOSDC３服务器的配置过程1、ＡＤ的配置2、ＤＮＳ的配置3、ＤＨＣＰ的配置4、ＷINS的配置三、验证两台服务器是否能够提供冗余服务、一、ＷinOSDC2服务器的配置过程——1、ＡＤ的配置1、登录到WinOSDC2服务器，安装DNS/DHCP/WINS网络服务；２、配置本机的网络ＩＰ，子网掩码，网关，ＤＮＳ，ＷＩＮＳ；３、在“开始菜单”“运行”输入AD配置命令dcpromo ；４、下一步５、选择“新域的域控制器”“下一步”６、选择“在新林中的域”“下一步”７、输入要建立的或名 winos.ad ;8、输入域的NETBIOS名；9、默认“下一步”10、默认“下一步”11、选择第二项“下一步”12、不考虑NT系统，选择第二项；13、输入目录还原的密码，在日后的还原AD数据时会用到，14、“下一步” AD在配置中15、完成16、重启计算机一、ＷinOSDC2服务器的配置过程——２、ＤＮＳ的配置经过前面的操作我们的ＡＤ已经建立起来了，ＤＮＳ正向查找区域在配置ＡＤ的时候也自动建立起来了，我们需要手工的配置ＤＮＳ的反向查找区域，否则运行nslookup的时候会有错误提示。

域网络构建教程（2 ）域控制器中DHCP、WINS、DNS的安装和基本设置（2003Server）域控制器中的服务三剑客的安装及设置当使用DCPROMO命令提升的域控制器完成首次启动进入系统后，我们先不要忙着安装和设置，我建议大家先打开事件查看器（我平时都是在桌面建个快捷方式），在这里系统把它的喜怒哀乐都记录在了里面，想让它少发脾气，我们就要时不时的看看这里。

一、首次浏览事件查看器1、应用程序打开管理工具——事件查看器，点击左侧的应用程序，你会看到一个必然出现的警告信息，是关于MSDTC（微软分布式传输协调程序）的。

我装了N次的系统了，每次都有。

截图如下：改正方法：选择管理工具——组件服务，在左侧窗口中打开组件服务——计算机，选择之下的我的电脑，打开属性对话框。

如图：选择MSDTC选项卡，点击最下方的安全配置按钮，在弹出的窗口中直接点击确定，关闭它（不用改变其中的任何选项，微软比较搞笑），再点击确定关闭属性窗口。

然后右击窗口左侧的我的电脑，在弹出的菜单中点击停止MSDTC。

如图：之后再次右击我的电脑，在弹出的菜单中点击启动MSDTC。

现在再看看事件查看器，警告变为信息了。

如图：2、浏览其他事件系统项中会有几个警告，其中只有来源是W32Time的这个警告会反复出现。

解决方法是停掉ntpclient服务。

方法如下：在运行中输入regedit回车，运行注册表编辑器，按照下面的路径逐步打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpC lient直到在窗口右侧看到Enabled。

把Enabled的值改成0。

如图：其他的警告和错误，如果你仔细观察的话会发现，他们都出现在域控制器第一次正式启动之前。

这主要是因为我们的DNS服务是在升级域控的同时安装的，所以才会有这些与DNS有关的警告，它们都是在升级时产生的。

Server 2008 AD、DNS、DHCP、WINS部署测试一、实验环境概述在vmware虚拟机中安装windows server 2008 R2系统，将要安装活动目录成为域控制器，同时安装DNS、DHCP、WINS服务。

虚拟软件：VMware-workstation-full-7.1.0-261024域控制器：计算机名：DC01域名：操作系统：Windows Server 2008 R2 EnterpriseIP地址：192.168.20.101首选DNS：192.168.20.101DHCP地址池：192.168.20.103—192.168.20.200客户端：计算机名：winxp01操作系统：windows xp professional sp3IP地址：自动获取二、创建并配置域控制器1.安装服务器操作系统，计算机命名为DC01，并且配置固定ip地址，系统安装过程此处省略。

2.打开服务器管理器，单击“添加角色”。

3.开始运行添加角色向导，点击“下一步”继续。

4.选择AD域服务，点击“下一步”继续。

5.确认安装，点击“下一步”继续。

6.正在安装中。

7.安装完成8.点击“开始”菜单，“运行”中输入“dcpromo”，确定。

9.域服务安装向导，勾选使用高级模式安装，点击“下一步”继续。

10.选择“新林中新建域”，点击“下一步”继续。

11.输入域名“”，点击“下一步”继续。

12.域netbios名，点击“下一步”继续。

13.选择林功能级别。

14.选择安装DNS服务，点击“下一步”继续。

15.在出现的无法创建DNS服务器的委派对话框，点击“是”。

16.在出现的数据库、日志文件和SYSVOL的存储位置对话框，保持默认位置，点击“下一步”继续。

17.输入目录服务还原模式密码，点击“下一步”继续。

18.导出设置，点击“下一步”继续。

19.开始安装。

20.域服务安装完成，安装完成后重启计算机。

21.更改DNS指向。

有过DNS域部署经验的朋友都能感觉到，活动目录的DNS、DHCP和WINS（用的不多了）和NetBios是息息相关的。

也是很容易混淆的。

所以很麻烦，通常我们开始部署AD 的时候是在一个小公司里，大约有几十台电脑的局域网。

人员流动不是很频繁，所以的电脑也差不多的天天都开。

很少有电脑会换地方，我们全都使用DNS的默认配置就可以很少会出问题。

但这样的地方我们不能待一辈子，我们来到一个相对复杂的网络环境时，意识到自己缺乏对DNS的起码常识，怎么办？为了在遇到难题时能正确表述自己的问题（否则别人想帮你都没办法，除了UP我们更重要的是说清楚自己的问题和听明白高手的意思）那么和我一样从基础开始吧。

什么样的DNS系统是一个比较完美的系统呢？DNS服务器的连续性能提供出色的性能，减少WAN的通信，安全性也必须得到保障。

我们先从概念开始1。

DNS和活动目录关系DNS定义“命名空间”（名字空间）－－－微软把例如“”的东东叫命名空间，这个空间内的主机储存在一个“区域文件”（zonefile）里－－－主要是一种映射的关系（中学数学就有映射的概念）活动目录的域（domain）“存储域和域中的对象”，把用户、租计算机帐户记录组注册表的SAM里。

－－－当然域不止这些内容。

DNS和域的结合－－完全合格域名（FQDN）：例如－－说明了srv1主机位于这个域里面。

注意：DNS的结构中，顶级域com.的末尾是有一个句点"."的。

DNS解析器是从左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”结束。

因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在，在我们检测DNS（尤其是命令行方式）最好加上末尾的这个"."正因为根域上有这个点，所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的，不让你设置，因为"."认为自己是根了，没必要转发。

AD,DNS,DHCP架設首先，我們先理解一下什麽是AD,DNS,DHCPAD：活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目錄服務。

Active Directory存儲了有關網路物件的資訊，並且讓管理員和用戶能夠輕鬆地查找和使用這些資訊DNS：DNS 是電腦網域名稱系統(Domain Name System 或Domain Name Service) 的縮寫，它是由解析器和域名服務器組成的。

域名服務器是指保存有該網路中所有主機的域名和對應IP位址，並具有將域名轉換為IP位址功能的服務器。

其中域名必須對應一個IP位址，而IP位址不一定只對應一個域名。

網域名稱系統採用類似目錄樹的等級結構。

域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主要服務器和轉發服務器。

在Internet上域名與IP 地址之間是一對一（或者多對一）的，也可採用DNS輪循實現一對多，域名雖然便於人們記憶，但機器之間只認IP位址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，DNS就是進行域名解析的服務器。

DNS 命名用於 Internet的 TCP/IP網路中，通過使用者友好的名稱查找電腦和服務。

當用戶在應用程式中輸入DNS 名稱時，DNS 服務可以將此名稱解析為與之相關的其他資訊，如IP 位址。

因為，你在上網時輸入的網址，是通過域名解析系統解析找到了相對應的IP地址，這樣才能上網。

其實，域名的最終指向是IP。

DHCP：動態主機設置協定（Dynamic Host Configuration Protocol, DHCP）是一個局域網的網路通訊協定，使用UDP協議工作，主要有兩個用途：給內部網路或網絡服務供應商自動分配Ip地址，給用戶或者內部網路系統管理員作為對所有電腦作中央管理的手段。

Win2000动态DNS的安全应用策略Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。

在Windows 2000下，动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。

在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。

当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。

一、安全动态更新在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。

在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。

所有权是由DHCP的配置及对客户端的支持来决定的。

与客户端相关的有两种DNS记录:A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。

地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。

在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。

根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。

下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。

1(Windows2000本机模式在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。

当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。

当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。

网络冗余方案第1篇网络冗余方案一、方案背景随着信息化建设的不断深入，网络系统已成为企业、机构运营的重要基础设施。

网络系统的稳定性和可靠性对业务连续性至关重要。

为防范网络故障带来的业务中断风险，提高网络系统的高可用性和稳定性，本方案提出了一套全面、高效的网络冗余策略。

二、方案目标1. 确保网络系统的高可用性，降低单点故障风险；2. 提高网络系统在面临故障时的自愈能力；3. 保障关键业务的稳定运行，减少网络故障对业务的影响；4. 合法合规，遵循我国相关法律法规和标准。

三、方案内容1. 网络架构冗余（1）核心层冗余采用双核心交换机架构，通过虚拟路由冗余协议（VRRP）实现双机热备。

双核心交换机之间采用光纤互连，确保数据传输的高速和稳定性。

（2）汇聚层冗余汇聚层交换机采用双机热备方式，通过堆叠技术实现设备间的冗余。

汇聚层与核心层之间采用多链路捆绑，提高链路带宽和可靠性。

（3）接入层冗余接入层交换机采用双电源供电，确保设备在电源故障时仍能正常运行。

接入层与汇聚层之间采用双链路连接，提高接入层的可靠性。

2. 设备冗余（1）交换机冗余关键设备如核心交换机、汇聚层交换机采用双机热备方式，确保在设备故障时能够快速切换，降低故障影响。

（2）路由器冗余采用双路由器架构，通过路由器之间的热备协议（如HSRP、VRRP等）实现冗余。

在主备路由器之间进行路由信息同步，确保数据传输的连续性。

（3）电源冗余关键设备采用双电源供电，确保在一路电源故障时，另一路电源能够正常供电，保证设备的稳定运行。

3. 链路冗余（1）互联网出口冗余采用多运营商接入，实现互联网出口的冗余。

通过智能DNS解析，将用户请求分配到不同的运营商出口，提高访问速度和可靠性。

（2）内网链路冗余关键业务服务器采用多链路接入，通过链路聚合技术实现内网链路的冗余。

在链路故障时，其他链路能够自动接管，确保业务不受影响。

4. 数据冗余（1）存储冗余采用磁盘阵列存储关键数据，通过RAID技术实现数据冗余。

DHCP配置命令dhcp（dynamic host configuration protocol）动态主机配置协议，它是基于客户机－服务器模式的协议，dhcp服务器能从dhcp地址池中把ip地址分配给请求的dhcp客户机，同时也能够为其提供其它网络配置参数，如缺省网关、dns服务器、缺省路由和网络范围内主机映像文件的位置等。

dhcp服务器的配置命令：1 bootfile2 clear ip dhcp binding3 clear ip dhcp conflict4 clear ip dhcp server5 client-identifier6 client-name7 default-router8 dns-server9 domain-name10 host11 hardware-address12 ip dhcp conflict logging13 excluded-address14 ip dhcp pool15 ip dhcp ping packets16 ip dhcp ping timeout17 lease18 netbios-name-server19 netbios-node-type20 network21 next-server22 option23 service dhcp24 show ip dhcp binding25 show ip dhcp conflict26 show ip dhcp server statistics27 debug ip dhcp serverdhcp中继的配置命令：1 ip dhcp relay information policy drop2 ip forward-protocol udp3 ip help-address4 show ip helper-address5 show forward-protocol6 debug forward-protocol4.1.4.1 bootfile命令：bootfile [filename]no bootfile功能：配置dhcp客户机的启动时的导入文件名；本命令的no操作为删除该项配置。