域中部署一个额外域控制器

实训二配置额外域控制器一、知识点：额外域控制器：假如域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD 。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory 数据库。

只读域控制器： RODC只好单向的从其余可读写域控制器央求信息，而不会把任何更正传递给其余可写域控制器，这样做不单可以降低主域服务器的工作负载及监控负载的工作量，还可以提升分支机构网络的安全性，同时便于管理。

二、着手实验：实验目的：利用 windows server 2008 搭建辅助域环境，认识辅助域控制器的作用，不单学会安装辅助域控制器，并且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC ）3、测试辅助控制器能否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（ 2）与主域的IP 地址要互Ping 的通（3）依据拓扑图要求，将额外控制器的名称改为“BDC1 ”输入域点击确立（ 4）安装额外域控制器开始 ------ 运转 --- 输入dcpromo输入dcpromo 点击确立以后会弹出以下导游对话框，点击下一步在弹出“部署配置”对话框勾选“现有林 ---向现有于增添域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确立”点击“下一步”选择域“”点击下一步，选择默认站点Default-First-Site-Name 点击下一步，选择需要的“选项”点击下一步，设置组或用户（无必需可跳过）。

点击下一步，设置数据库，日记文件和SYSVOL 的地点（默认 C 盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出以下对话框，记得勾选“完成后重新启动”对话框，耐心等候导游完成。

最后完成，会重启计算机，这样就完成额外域的安装。

创建现有域的额外域控制器
打开管理您的服务器（「开始」菜单\程序\管理工具）
单击“添加或删除角色”
“下一步”继续
选择“自定义配置”单击“下一步”继续
选择“域控制器（Active Directory）”单击“下一步”继续
“下一步”继续
“下一步”继续
“下一步”继续
选择“现有域的额外域控制器”单击“下一步”继续
输入用户名：administrator密码：000000域：ymdc单击“下一步”继续
输入现有域的DNS全名“”单击“下一步”继续
单击“下一步”继续
单击“下一步”继续
输入还原密码“000000”单击“下一步”继续
单击“下一步”继续
单击“完成”（“现有域的额外域控制器”创建完成）
从新启动计算机。

Windows Server Active Directory域服务：额外域控制器额外域控制器：额外域控制器是指除了第一台安装的域控制器（主域控制器）意外的所有域控制器；那么额外域控制器有什么好处呢？1、可以提供容错。

即一台DC出问题后，另一台仍可以可以继续工作，提供服务；2、提高用户登录效率。

多台域控可以分担用户审核，加快用户登录速度；3、备份。

域控制器之间会相互复制，就等于多了一份备份；1、首先设置好IP配置；这里首选DNS指向自己，备用DNS指向主域；将服务器加入域；2、选择“添加角色和功能”；3、选择“下一步”；4、选择“基于角色或基于功能的安装”；然后选择“下一步”；5、选择“从服务器池中选择服务器”；选择服务器，然后选择“下一步”；6、勾选“Active Directory域服务器”；7、在弹出“添加角色和功能向导”，选择“添加功能”；9、选择“下一步”；11、选择“安装”；12、安装完成后，选择“将此服务器提升为域控制器”；13、选择“将域控制器添加到现有域”；这台服务器已经加入域，并且用的是域管理员登陆的，所以下面的信息直接默认就可以了，如果没有加入域则要手动输入；14、我们开始设置的时候，设置了主DNS指向自己，所以这里要勾选DNS，第一台主域已经是全局编录了，所以这里可以勾选，也可以不选；如果安装只读域控制器需要勾选“只读域控制器”选项；这里就一个站点，所以默认的即可，如果多站点，你还要选择额外域控制器所在的站点；创建目录还原模式的密码；选择“下一步”；15、无法委派DNS，所以这里不用管，直接“下一步”；16、选择重那一台域控制器上面复制，我这里就一台主域，所以就用默认的，直接“下一步”；17、指定数据库和日志文件夹的路径，然后“下一步”；19、选择“安装”；安装完成后，重启电脑，打开网络和共享中心，发现主DNS变成了127.0.0.1，将它改过来，改成你原来的DNS。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。

主域控制器和额外域控制器问题讨论字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。

不知有没有人会？我也来说两句查看全部回复最新回复∙tomdoctor (2005-1-08 14:41:09)运行ntdsutil 把操作角色seize过来∙qjping (2005-1-11 21:41:08)请问楼上有没有操作过?∙tutuit (2005-1-17 08:36:32)往上搜索一下，有关seize的资料一大堆∙tutuit (2005-1-17 08:36:45)网上搜索一下，有关seize的资料一大堆∙xwbest (2005-1-17 13:37:41)把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的∙housten (2005-1-28 14:15:57)QUOTE:最初由xwbest 发布[B]把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]你成功过！太好了，能讲讲具体步骤吗！因为我试验过几次，都不成功。

关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。

不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)为什么要重新建立DNS我做的时候额外域控制器上的DNS与主域一样是起额外域控制器时自动建立没必要重建如果重建会有问题的∙xwbest (2005-1-28 17:16:50)而且客户机不用做任何的改动连额外域控制器上也不必该原来的DNS回自动转过来的我讲的是客户机的DNS不动也可以用∙stevenxia (2005-1-29 09:21:05)看看这篇文章，希望对你有所帮助：AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。