安装手册-05-主备域控制器搭建

域网络构建教程（2 ）域控制器中DHCP、WINS、DNS的安装和基本设置（2003Server）域控制器中的服务三剑客的安装及设置当使用DCPROMO命令提升的域控制器完成首次启动进入系统后，我们先不要忙着安装和设置，我建议大家先打开事件查看器（我平时都是在桌面建个快捷方式），在这里系统把它的喜怒哀乐都记录在了里面，想让它少发脾气，我们就要时不时的看看这里。

一、首次浏览事件查看器1、应用程序打开管理工具——事件查看器，点击左侧的应用程序，你会看到一个必然出现的警告信息，是关于MSDTC（微软分布式传输协调程序）的。

我装了N次的系统了，每次都有。

截图如下：改正方法：选择管理工具——组件服务，在左侧窗口中打开组件服务——计算机，选择之下的我的电脑，打开属性对话框。

如图：选择MSDTC选项卡，点击最下方的安全配置按钮，在弹出的窗口中直接点击确定，关闭它（不用改变其中的任何选项，微软比较搞笑），再点击确定关闭属性窗口。

然后右击窗口左侧的我的电脑，在弹出的菜单中点击停止MSDTC。

如图：之后再次右击我的电脑，在弹出的菜单中点击启动MSDTC。

现在再看看事件查看器，警告变为信息了。

如图：2、浏览其他事件系统项中会有几个警告，其中只有来源是W32Time的这个警告会反复出现。

解决方法是停掉ntpclient服务。

方法如下：在运行中输入regedit回车，运行注册表编辑器，按照下面的路径逐步打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpC lient直到在窗口右侧看到Enabled。

把Enabled的值改成0。

如图：其他的警告和错误，如果你仔细观察的话会发现，他们都出现在域控制器第一次正式启动之前。

这主要是因为我们的DNS服务是在升级域控的同时安装的，所以才会有这些与DNS有关的警告，它们都是在升级时产生的。

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

用户环境描述：用户现有Windows2003域控制器两台，两台域控制器上分别安装有DNS服务器，共同维护现有活动目录集成区域。

现在存在的问题和要求：问题：用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定，现在需要对主域控制器进行重新安装系统以解决这个问题。

要求：因为域控制器上存储有大量用户帐号信息，所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。

同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产生影响。

解决方案：主要步骤：1.备份现有主域控制器和备份域控制器系统2.检查和配置活动目录集成的DNS区域3.把GC（全局编录）移置到额外域控制器上4.转移域里的5种角色5.在主域控制器上运行DCPROMO删除AD，额外域控制器被提升为主域控制器6.删除AD成功后，重新安装Windows2003，再运行DCPROMO安装AD，将该计算机配置成为本域中的额外域控制器。

7.在新安装的服务器上安装并配置DNS服务器8.测试系统详细步骤：1.备份现有主域控制器和备份域控制器操作系统1)准备一张包含GHOST8.3程序的可引导光盘2)进入服务器BIOS更改服务器引导顺序，将光盘放在启动设备的第一位。

3)启动电脑到DOS状态4)启动ghost，如下图，依次点击local\Partition\ToImage5)下面是选择要备份的分区，保存的位置和文件名选择镜像文件保存的位置6)选择压缩压缩方式（如下图）：2.检查和配置活动目录集成的DNS区域1)检查主域控制器DNS配置首选DNS应该设置为辅助域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全2)检查辅助域控制器DNS配置首选DNS应该设置为主域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全3.把GC（全局编录）移置到额外域控制器上1)使用域管理员帐户登陆到主域控制器上2)请单击“开始”，指向“设置”，单击“控制面板”，双击“管理工具”，然后双击“ActiveDirectory站点和服务”。

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

域控制服务器2003服务器架设和加入域图解教程一、（域控制服务器）2003服务器架设1.首先安装2003企业版原版，真正的微软2003企业版（（（原版））！我给出2003企业版原版的下载地址： cd1迅雷下载地址：thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下）Disc 1光盘镜像文件名：cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso文件大小：608 MB (637,917,184 字节)发布日期 (UTC)：4/27/2007 11:06:15 PM上次更新日期 (UTC)：3/28/2008 2:37:04 AMSHA1：D0DD2782E9387328EBFA45D8804B6850ACABF520MD5：1017479075166BA7DD762392F8274FE3至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。

这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样！还有一点我们在域控制上新建一个用户（admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了2.架设2003域控制器（1）开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器完成重启电脑选择新域控制器额外控制器是备份和主控制器是同步更新的这里不讲了选择新林中的域输入一个域名比如默认就可以了这里提示DNS诊断错误是正常的选择安装DNS服务器此处的密码请牢记以后会用到！这里域控制器就OK了完成后请重启电脑。

域控制器产品手册
域控制器产品手册是一本详细介绍域控制器产品的使用、配置和管理的手册。

域控制器是一种在Windows Server操作系统上运行的服务器角色，用于集中管理网络中的用户账户、组策略和安全权限等。

该手册通常包含以下内容：
1. 产品概述：介绍域控制器的基本概念和主要功能。

2. 系统要求：列出安装和运行域控制器所需要的硬件和软件要求。

3. 安装和配置：提供详细的安装和配置步骤，包括域控制器的角色安装、域加入、域控制器配置和站点设置等。

4. 用户和组管理：介绍如何创建和管理用户和组账户，包括账户创建、密码设置、成员关系管理等。

5. 组策略管理：讲解如何使用组策略管理工具配置和应用组策略，包括策略设置、应用范围和更新等。

6. 安全和认证管理：介绍如何设置域控制器的安全性和认证设置，包括管理员权限、访问控制和审计等。

7. 故障排除和维护：提供常见故障排除步骤和维护建议，包括域控制器故障、日志管理和备份恢复等。

8. 参考资源：列出相关参考资料、文档和在线资源，方便用户
进一步学习和了解域控制器产品。

域控制器产品手册通常由域控制器产品的开发者或供应商编写，供管理员和用户参考使用。

这些手册提供了详细和系统的信息，帮助用户快速上手和解决问题。

1、确认额外域控制域已经关闭。

顺序开启磁盘阵列柜、主域控制器。

2、检查网络适配器的DNS是否配置正确，因为域控制器创建后，DNS会被重新配。

3、点击“开始”—“程序”—“管理工具”—“群集管理器”，开始配置第一台群集管理器；3、在“打开连接”的欢迎框中，要选择“创建新群集”，创建第一台群集管理器而言；4、在“向导”中，直接“下一步”；5、配置“群集名称和域”时，域名不要改动，群集名可以根据个人喜好填写；6、选择计算机名时，默认的为本机名称，可以“下一步”继续；7、在群集配置时，计算机自动搜索并配置磁盘阵列柜，挑选磁盘阵列柜中一个最小的磁盘来作为仲裁磁盘（如果之前划分过1G大小的磁盘，此时会将该盘作为仲裁磁盘。

仲裁磁盘故障可能导致整个群集失效；所以，除了进行群集管理外，不要使用仲裁磁盘执行其它任务。

），此处，如有错误可以点击日志察看，非红色警告可以继续“下一步”；8、群集的IP地址，必须是网络中没有被使用的IP地址，可以是临时的IP地址，在群集创建完成后可以变更的；9、群集服务帐户的用户名为创建域控制器时配置的域用户名称和密码，本文配置用户为LM；10、在提示推荐配置时，可以详细察看配置明细，如需要可以保存配置日志；11、创建群集时，如果存在严重错误，会有红色进度条警示，非红色警示可以“下一步”；12、恭喜“完成”；13、群集管理器创建完成后，系统自动登录群集，在群集管理器中可以看到本机的名称已经登录；在右侧的栏中为“运行”状态；14、配置管理群集：右键点击左栏群集的根目录，点击“属性”；15、需要察看配置的是“网络优先级”内容，将私网服务（心跳服务）的网卡（Private）排在第一位，公网网卡（Public）服务排在后；16、右键察看两块网卡的属性，公网网卡的角色为“所有通讯（混合网络）”，私网网卡的角色为“只用于内部群集通讯（专用网络）”；至此，群集创建完毕，双机热备的第一台服务器系统部分已经完成，可以进行其他的服务安装了。

第1章主备域控配置（win2003）1.1. 设置主域控：设置IP地址域控服务器的IP地址与首选DNS服务器必须一致，网关可不配置，如图1-1-1、图1-1-2：图1-1-1图1-1-21.2. 安装DNS组件由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以需要手动添加，添加方法为：【开始】—【设置】—【控制面板】—【添加删除程序】，然后再点击【添加/删除Windows组件】，则会显示如图1-2-1：图1-2-1鼠标向下拖动右边的滚动条，找到【网络服务】并选中，如图1-2-2：图1-2-2默认情况下所有的网络服务都会被添加，此时需点击下面的【详细信息】进行自定义安装，由于在这里只需要安装域名系统（DNS）一项，所以把其它的默认安装项全部去掉，以后需要的时候再另行安装，如图1-2-3：图1-2-3点击【确定】，然后一路点击【下一步】就可以完成域名系统（DNS）的安装。

在整个安装过程中务必保证Windows Server 2003的安装光盘位于光驱中，否则会出现找不到文件的提示。

1.3. 配置域控服务安装完域名系统（DNS）以后，需进行相关的配置操作，首先点击【开始】—【运行】，输入【dcpromo】，如图1-3-1：图1-3-1然后回车或点击确定按钮就可以看到Active Directory安装向导，此时直接点击【下一步】即可，如图1-3-2：图1-3-2当显示如图1-3-3，此处为提醒部署人员尽量采用Windows 2000及以上的操作系统来做为客户端，直接点击【下一步】即可：图1-3-3当显示如图1-3-1，如果确认当前是在进行第一台域控制器的配置，保持默认选择项：【新域的域控制器】，然后点击【下一步】即可：图1-3-1当显示如图1-3-5，选择【在新林中的域】，然后点击【下一步】：图1-3-5当显示如图1-3-6，需手动为其指定一个域名，此处以为例，输入完毕点【下一步】：图1-3-6当显示如图1-3-7，需要为新域指定NetBIOS名，此处保持默认，然后点击【下一步】：图1-3-7当显示如图1-3-8，是要进行AD数据库文件夹和AD日志文件夹的存放位置的指定，此处均以放置在D盘为例，指定完毕点击【下一步】：图1-3-8当显示如图1-3-9，是要指定SYSVOL文件夹的存放位置，此处同样以放置在D盘为例，指定完毕点击【下一步】：图1-3-9当操作者第一次部署域控时总会出现如图1-3-10所示的DNS注册诊断失败的画面，主要原因是：虽然刚刚安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以会出现诊断失败的现象，所以此时要选择“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS 服务器”一项，然后点击【下一步】：图1-3-10当显示如图1-3-11，是要进行权限的选择，此处选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，然后点击【下一步】：图1-3-11当显示如图1-3-12，是要为目录服务还原模式的管理员进行密码的设置（该密码须妥善保管），设置完毕后点击【下一步】：图1-3-12当显示如图1-3-13，部署人员需仔细检查刚刚执行过的所有步骤中输入的信息是否有误，如果确认有误可以点上一步进行检查和修改，如果确认无误的话，直接点击【下一步】开始AD的正式安装：图1-3-13安装配置过程如图1-3-11：图1-3-11安装配置结束显示如图1-3-15，点击完成按钮：图1-3-15当显示如图1-3-16，点击【立即重新启动】按钮图1-3-161.4. 修订DNS地址域控服务器重新启动后，查看网络配置，会发现首选DNS服务器变成“127.0.0.1”,如图1-1-1：图1-1-1此时，须修改首选DNS服务器地址为“192.168.5.167”。