AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法
windowsAD域故障排除
windowsAD域故障排除AD域故障汇总Q1、客户机无法加入到域?一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。
普通用户登录进来,更改按钮为灰色不可用。
并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。
解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
三、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。
DNS不可用时,也可以利用浏览服务,但会比较慢。
2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。
所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如gdb.local,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。
”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。
加入域时,如果输入的域名为NetBIOS格式,如gdb,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。
而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。
主域控损坏Active Directory转移
手工删除Active Directory 数据三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。
如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。
使用“metadata cleanup”清理不使用的服务器的对象使用“connections”连接到一个特定域控制器使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。
使用“select operation target”选择站点使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。
使用“select site 0”就是选中站点了。
使用“list domains in site”列出所选站点中的域,只有 一个域,还是用0代表。
使用“select domain 0”选中这个域。
使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。
使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。
使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。
最后使用“quit”命令退出就可以了。
我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
出现一个对话框,选择“是”现在“DENVER”已经没有了,展开site->default-first-site-name->servers,展开FIRENZE,右击“NTDS Settings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:现在把“全局编录”也转到FIRENZE上了。
强制删除多余的域控制器
强制删除多余的域控制器很多企业都碰到过这样的问题:AD域中的某台域控制器由于软件或硬件问题而瘫痪,无法启动。
这时,如果想重新安装这台服务器,就需要先将它从域中删除。
但是,由于该服务器已经不能启动,所以无法使用Dcromo进行删除。
如果简单地从“AD用户和计算机”中删除该域控制器的话,它的信息依然会保留在AD数据库中,客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器,这会给AD的功能和性能带来很大影响。
本文针对这种问题提出了一套完整的解决方案,在利用Ntdsutil工具强制删除或控制器的同时,保证了整个AD域的功能不受到任何影响。
例如,企业AD中的一台Windows Server2003域控制器(DC1),由于硬件问题而瘫痪,无法启动。
企业希望将DC1从域中删除。
在强制删除DC1前,我们需要提前考虑以下问题:1.如果删除的DC是企业当前的一台和AD集成的DNS服务器,要考虑是否需要将DNS服务器,要考虑是否需要将DNS记录迁移到其他DNS 服务器上。
如果进行了迁移,则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。
2.如果删除的域控制器是一台全局编录服务器,要考虑是否全局编录迁移到其他DC上。
3.如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色,要将这些角色重新分配给一台活动的DC。
经过系统分析,发现系统当前状况如下:1.除当前瘫痪的域控制器DC1以外,域中还存在另一台域控制器BAKSRV。
2.DC1担任着域中的所有五个FSMO角色。
3.DC1是域中的惟一的一台全局编录服务器。
4.DC1是域中的惟一的一台DNS服务器,拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器,客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。
对系统进行分析评估之后,在删除DC1之前,必须使BAKSRV担负起DC1以前所担负的所有角色,否则将会造成用户无法登录域,网络资源不可访问等多个严重问题。
企业ad域实施步骤
企业AD域的实施步骤主要包括以下部分,具体长度为500-800字:1. 安装和配置DNS服务:AD域控制器需要依赖于DNS服务来正确解析域和控制器的名称。
这一过程涉及到安装DNS服务器、配置DNS区域和记录,以及安装和配置反向查找等步骤。
2. 安装和配置Active Directory:这是实施AD域的核心步骤,需要安装Active Directory服务,创建域控制器,设置域控的属性,然后加入到域中。
3. 创建用户和计算机账户:在Active Directory中创建相应的用户和计算机账户,并对账户的属性进行必要的设置,如密码策略、安全策略等。
4. 安装并配置网络策略:这一步骤可以用来限制对网络资源的访问,增强网络安全,并确保网络设备的配置符合AD域的要求。
5. 实施备份策略:为了应对可能出现的系统故障或数据丢失,需要实施备份策略,以确保数据的安全。
6. 培训员工:为了让员工熟悉新的AD域环境,需要进行相应的培训,包括如何使用新的网络资源,如何访问网络资源等。
7. 监控和优化:在AD域实施后,需要持续监控网络性能,优化网络环境,确保AD域的稳定运行。
具体步骤如下:1. 安装和配置DNS服务:首先,需要安装DNS服务器,并设置正确的DNS区域和记录。
确保DNS服务能够正确解析域名。
在进行这些步骤时,需要遵循微软官方文档和资源,并参考相关的安全最佳实践。
2. 安装和配置Active Directory:这一步骤需要一定的技术知识,并需要参考微软官方文档和资源。
首先,需要创建一个新的域控制器,并设置正确的DNS和安全设置。
然后,将域控制器加入到现有的Active Directory森林中。
在此过程中,需要保证所有工作站的配置正确,并能够与域控制器正常通信。
3. 创建用户和计算机账户:在Active Directory中创建相应的用户和计算机账户,并设置相应的属性。
需要遵循微软的安全策略和最佳实践,并确保所有账户的安全性。
主域控制器损坏后
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~本贴说明:....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!!AD、DC说明:.域名:..主域:DC-ISA-NLB-1..副域:DC-ISA-NLB-2.系统:2003企业版故障情况:(真实环境跑完全过程..)..主域崩溃,副域无法正常工作,如:....无法浏览 中 Active Directory用户和计算机,提示无法连接错误;....AD管理项目均报错,组策略.....等;....域用户无法登录;解决方法:(以上是在副域上操作)..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录;..使用命令:ntdsutil.....AD工具..过程:(大概6-8分钟).登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。
建議您登入要指派FSMO 角色的網域控制站。
登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
.按一下[開始],按一下[執行],在[開啟]方塊中輸入ntdsutil,然後按一下[確定]。
.輸入roles,再按下ENTER。
.輸入connections,再按下ENTER。
.輸入connect to server servername,然後按ENTER,其中servername是您要指派FSMO 角色的網域控制站之名稱。
.在server connections提示字元中輸入q,然後按下ENTER。
.輸入seize role,其中role是您要抓取的角色。
主域损坏后辅域升级为主域并清理
主域损坏后辅域升级为主域并清理主域控崩溃,恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时,为了保证业务的正常运转,需要将网络中的额外域控制器升级到主域控制器角色。
我们的网络拓扑如下,单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS,并且互为复制。
我们将通过NTDSUTIL工具来占用dc01的操作主机角色,并且设置DC02为全局编录 .这里将dc01.hisense.local离线来模拟主域控制崩溃。
1.占用操作主机角色(1)在开始-所有程序-Windows Support Tools-命令提示符(2)输入ntdsutil(3)输入roles(4)输入connections(5)输入connect to server dc02.hisense.local(6)输入quit(7)占用域命名主机角色,输入seize domain naming master ,回车,出现对话框,点是从上图可以看出先进行主机角色的传送,当传送不能成功时进行占用。
(8)占用基础架构主机角色,输入seize infrastructure master(9)占用PDC,输入seize pdc(10)占用RID角色,输入seize RID master(11)占用架构主机角色,输入seize schema master(12)输入2次quit,退出ntdsutil,输入netdom query fsmo,查看操作主机角色至此,所有操作主机角色已经到了DC02.hisense.local上了。
2.在DC02上设置全局编录(1)开始-管理工具-Active Directory 站点和服务(2)单击sites-“default-first-site-name”-servers,选择dc02,右键单击NTDS Sites,选择属性(3)在查询策略中,选择default query policy,并选中全局编录。
2008 AD 域服务部署配置 额外域控 adprep命令
选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时,可以选择以下可能的部署配置之一:向域中添加新的域控制器向林中添加新的子域,或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时,用于安装新域树的选项才会出现。
创建新的林下列各部分将详细介绍上述的每个部署配置。
向域中添加新的域控制器如果域中已有一个域控制器,则可以向该域添加其他域控制器,以提高网络服务的可用性和可靠性。
通过添加其他域控制器,有助于提供容错,平衡现有域控制器的负载,以及向站点提供其他基础结构支持。
当域中有多个域控制器时,如果某个域控制器出现故障或必须断开连接,该域可继续正常工作。
此外,多个域控制器使客户端在登录网络时可以更方便地连接到域控制器,从而还可以提高性能。
准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前,必须通过运行Adprep.exe 来准备林和域。
请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。
此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性,并且可以修改对新对象和现有对象的权限。
根据需要为环境运行以下adprep 参数:添加运行Windows Server 2008 R2 的域控制器之前,请在承载架构操作主机角色(架构主机)的林中的域控制器上运行一次adprep /forestprep。
若要运行此命令,您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。
此外,请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中,在承载基础结构操作主机角色(基础结构主机)的域控制器上运行一次adprep /domainprep /gpprep。
ad域解决方案
ad域解决方案
《AD域解决方案》
在企业的信息技术系统中,Active Directory(AD)域是一个
非常重要的组成部分。
它是用于管理网络中的用户、计算机和其他资源的服务。
然而,随着企业规模的扩大和信息化的深入,AD域也面临着一些挑战和问题,如安全性、可靠性和性能等
方面的需求越来越高。
为了解决这些问题,一些企业选择使用AD域解决方案,这些解决方案可以帮助企业提高AD域的安全性、可靠性和性能,从而更好地满足企业的需求。
下面我们将介绍一些常见的AD
域解决方案:
1. 安全性提升:AD域解决方案可以通过设备和网络层面的安
全设置,实现对AD域的安全保护。
例如,可以采用多重身份验证、访问控制和数据加密等手段,保护用户和资源的安全。
2. 可靠性提升:AD域解决方案可以通过优化AD域的架构和
配置,提升其稳定性和可靠性。
例如,可以实现AD域的集群化部署、备份和恢复机制等,保障AD域的持续正常运行。
3. 性能提升:AD域解决方案可以通过优化AD域的性能参数
和配置,提升其响应速度和处理能力。
例如,可以优化AD域的域控制器配置、网络传输性能和存储资源等,提高AD域的性能表现。
总之,使用AD域解决方案可以帮助企业更好地管理和保护其AD域,提高其安全性、可靠性和性能。
企业可以根据自身的实际需求,选择适合自己的AD域解决方案,从而更好地满足其信息技术系统的需求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。
当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。
(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)huanjing.png对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤:1.DNS服务器的安装;2.DC主控制器的安装;3.DC额外控制器的安装。
接下来我们分步实现······为了更加了解DC和DNS的关系,安装前请先参阅:/zh-cn/library/cc739159(v=ws.10)安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时,可将成员服务器升级为域控制器。
Active Directory 将DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的IP 地址。
在Active Directory 安装期间,在DNS 中动态注册服务(SRV) 和地址(A) 资源记录,这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。
要在域或林中查找域控制器,客户端将在DNS 中查询域控制器的SRV 和A DNS 资源记录,这些资源记录为客户端提供域控制器的名称和IP 地址。
在这种环境中,SRV 和A 资源记录被称为定位程序DNS 资源记录。
(这里说明需要DNS支持)向林中添加域控制器时,将使用定位程序DNS 资源记录更新DNS 服务器上主持的DNS 区域,同时标识域控制器。
为此,DNS 区域必须允许动态更新(RFC 2136),同时,主持该区域的DNS 服务器必须支持SRV 资源记录(RFC 2782) 才能公布Active Directory 目录服务。
(这在安装DNS过程中是需要注意的一点)如果主持权威DNS 区域的DNS 服务器不是运行Windows 2000 或Windows Server 2003 的服务器,请与您的DNS 管理员联系,确定该DNS 服务器是否支持所需的标准。
如果服务器不支持所需标准,或者权威DNS 区域不能被配置为允许动态更新,则需要对现有DNS 结构进行修改。
(这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”,这在接下来会提到)要点用来支持Active Directory 的DNS 服务器必须支持SRV 资源记录,定位器机制才能运行。
建议安装Active Directory 之前DNS 结构应允许动态更新定位程序DNS 资源记录(SRV 和A),但是,您的DNS 管理员可以在安装后手动添加这些资源记录。
安装Active Directory 后,可在下列位置中的域控制器上找到这些记录:systemroot\System32\Config\Netlogon.dns(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”)另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”:图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。
DNS服务器的安装1.安装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv 服务器本身IP,默认网关可以不用填写。
DNS-setup0.png2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,按照下边菜单选择“添加或删除应用程序”DNS-setup1.png3.按照下图指向,选择“域名系统(DNS)”服务,点击确定。
DNS-setup2.png4.完成后,可在“管理工具”中看见DNS服务了。
DNS-setup3.png 5.打开DNS服务,右键选择“配置DNS服务器”。
DNS-setup4.png6.下一步DNS-setup5.png7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。
这里我们选择第二项,正反向解析都做一下。
DNS-setup6.png DNS-setup7.pngDNS-setup8.png 8.区域名称就是你想要定义的域名DNS-setup9.pngDNS-setup10.png9.这里需要注意一下,请选择“允许非安全和安全动态更新”,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动态更新”,我将会在接下的安装中更改更新设置。
(这在之前的参阅里边有提到过)DNS-setup11.png10.接下来创建反向解析DNS-setup12.pngDNS-setup13.png11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。
DNS-setup14.pngDNS-setup15.png12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新”DNS-setup16.png13.在弹出的窗口中设置NDS的转发器,在转发器中输入“180.168.255.118”和“8.8.8.8(谷歌提供的DNS)”(在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进行解析,如向ISP(互联网服务提供商)的DNS服务器转发)DNS-setup17.pngDNS-setup18.png14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况DNS-setup18-0.pngDNS-setup19.png15.右键“正向查找区域”,新建主机(A记录)DNS-setup20.png16.名称可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针(PTR)记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析DNS-setup21.png17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览”以查看并指定我们需要的正向解析主机名DNS-setup22.png DNS-setup23.pngDNS-setup24.pngDNS-setup25.png 18.选择好了,确定DNS-setup26.png19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性DNS-setup27.png20.如下情况说明我们创建成功DNS-setup28.png21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。
这在声明中也有提到过。
DNS-setup2922.在域属性中浏览指定的SOA也就是主授权机构,名称服务器也做相应的指定。
DNS-AD-zhu-setup1.png DNS-AD-zhu-setup2.png至此,我们的DNS服务器配置完毕,接下来我们创建DC 主控制器DC主控制器的安装1.之前我们已经在DNS-srv服务器上安装好了DNS(说的好拗口,早知道就不起这个容易混淆的名字了),接下来我们开始在AD-zhu上安装主域控制器,先查看下主机情况AD-zhu-setup0.png2.确定在该主机上可以正常解析到DNS服务器AD-zhu-nslookup.png3.在运行中输入“dcpromo”确定启动AD安装向导AD-zhu-setup1.pngAD-zhu-setup2.png 4.选择建立“新域的域控制器”AD-zhu-setup3.png 5.这个新域建立在新的林中AD-zhu-setup4.png 6.输入之前我们新创建的DNS全名AD-zhu-setup5.png7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名,用以兼容早期Windows版本的用户来识别新的域。
AD-zhu-setup6.png8.选择默认安装位置,也可参考提示选择不同的保存位置以提高性能AD-zhu-setup7.png9.默认AD-zhu-setup8.png10.到这里就出现了之前我们一直在以的动态DNS更新支持,我们可以在正向查找区域的属性里更改动态更新的安全性,改成“非安全”即为支持动态更新。
至于反向可改可不改,因为DC的安装只要求正向解析,所以之前的反向解析也可不做,之后也可以通过手动做反向解析AD-zhu-setup9-dt.png DNS-AD-zhu-setup10-dt.pngDNS-AD-zhu-setup11-dt.png 11.通过更改过后,重试DNS诊断通过AD-zhu-setup12-dt-ok.png 12.根据实际生产情况选择兼容性AD-zhu-setup13.png13.设置一个还原模式密码AD-zhu-setup14.png14.这里会显示我们即将安装的服务器配置摘要,如果感觉有些选项不正确,可以点击上一步进行更改,确认无误,请下一步AD-zhu-setup15.png 15.这时系统会自动配置你的DC,耐心等待结束AD-zhu-setup16.pngAD-zhu-setup17.png16.重启完成DC的配置AD-zhu-setup18.png17.同时,我们可以在DNS-srv主机上刷新查看DNS记录,发现多了SRV 和A DNS 资源记录,这是DNS用以定位DC的资源记录AD-zhu-setup19-DNS-jilu.png18.重启过后,在AD-zhu服务器上我们会发现AD管理器,说明安装完成AD-zhu-setupover.png19.查看系统属性,发现计算机名称有了的后缀,更说明创建成功AD-zhu-setupover0.png AD-zhu-setup0-L.pngDC额外控制器的安装1.安装完成主域控制器后,接下来我们再继续安装额外控制器,首先查看系统信息,IP地址也是静态指定的,另外顺便用nslookup检查一下与DNS服务器的连接情况AD-fu-setup0.pngAD-fu-setup1.png2.和安装主控制器一样,我们也通过dcpromo启动AD安装向导AD-fu-setup2.pngAD-fu-setup3.pngAD-fu-setup4.png3.选择现有域的额外控制器类型AD-fu-setup5.png4.输入主域控制器的用户名密码和主域控制器名,下一步等待检测完成AD-fu-setup6.png5.你可以直接输入主域控制器名,或者浏览存在的域控制器AD-fu-setup7.pngAD-fu-setup7-0.png 6.同样默认目录,下一步AD-fu-setup8.pngAD-fu-setup9.png 7.设置还原模式密码AD-fu-setup10.pngAD-fu-setup11.png 8.这时额外控制器开始从主域控制器复制文件和服务AD-fu-setup12.png 9.重启后也能够看见AD管理器出现了AD-fu-setupover.png 10.同样检查一下系统信息,查看是否成功添加AD-fu-setupover1.pngAD-fu-setupover0.png11.另外,在DNS-srv服务器上也能看见相关解析记录也被注册了进去AD-fu-setupover-DNS-jilu.pngAD-fu-setupover-DNS-jilu2.png12.至此,额外控制器也安装完毕,之后我们会模拟主域损坏了改怎么解决的情况主域损坏,解决办法之前我们已经将所需要的环境部署完毕,接下来我们来进一步处理灾难情况下主DC 损坏,如何使额外DC 取代主DC 担负起活动目录的职责。