1、AD域DNS分離+額外域控制器安裝及主域控制器損壞解決方法對于域控制器的安裝，我們已經知道如何同DNS集成安裝，而且集成安裝的方法好處有：使DNS也得到AD的安全保護，DNS的區域復制也更安全，并且集成DNS只廣播修改的部分，相信更多情況下大家選擇集成安裝的方式是因為更簡潔方便。當然你也許會遇到這樣的情況：客戶的局域網絡內已經存在一個DNS服務器，并且即將安裝的DC控制器負載預計會很重，如果覺得DC本身的負擔太重，可把DNS另放在一臺服務器上以分擔單臺服務器的負載。這里我們設計的環境是一臺DNS服務器（DNS-srv）+主域控制器（AD-zhu）+額外域控制器（AD-fu點擊查看額外控制器的作

2、用），另外為了檢驗控制器安裝成功與否，是否以擔負其作用，我們再安排一臺客戶端（client-0）用來檢測。（其中由于服務器特性需要指定AD-zhu、AD-fu、DNS-srv為靜態地址）AD-zhuDC192.168.23.20Client-0客戶端192.168.23.40DNS-srvDNS192.168.23.10AD-fu額外DC192.168.23.30huanjing.png對于DC和DNS分離安裝，安裝順序沒有嚴格要求，這里我測試的環境是先安裝DNS。先安裝DC在安裝DNS的話，需要注意的就是DC安裝完后在安裝DNS需要重啟DC以使DNS得到DC向DNS注冊的SRV記錄，Cnam

3、e記錄，NS記錄。那么我們就以先安裝DNS為例,對于實現這個環境需要三個大步驟：1.DNS服務器的安裝；2.DC主控制器的安裝；3.DC額外控制器的安裝。接下來我們分步實現······為了更加了解DC和DNS的關系，安裝前請先參閱：安裝 Active Directory 的 DNS 要求在成員服務器上安裝 Active Directory 時，可將成員服務器升級為域控制器。Active Directory 將 DNS 作為域控制器的位置機制，使網絡上的計算機可以獲取域控制器的 IP 地址。 在 Active Directory 安裝期

4、間，在 DNS 中動態注冊服務 (SRV) 和地址 (A) 資源記錄，這些記錄是域控制器定位程序 (Locator) 機制功能成功實現所必需的。 要在域或林中查找域控制器，客戶端將在 DNS 中查詢域控制器的 SRV 和 A DNS 資源記錄，這些資源記錄為客戶端提供域控制器的名稱和 IP 地址。在這種環境中，SRV 和 A 資源記錄被稱為定位程序 DNS 資源記錄。(這里說明需要DNS支持)向林中添加域控制器時，將使用定位程序 DNS 資源記錄更新 DNS 服務器上主持的 DNS 區域，同時標識域控制器。為此，DNS 區域必須允許動態更新 (RFC 2136)，同時，主持該區域的 DNS 服

5、務器必須支持 SRV 資源記錄 (RFC 2782) 才能公布 Active Directory 目錄服務。（這在安裝DNS過程中是需要注意的一點） 如果主持權威 DNS 區域的 DNS 服務器不是運行 Windows 2000 或 Windows Server 2003 的服務器，請與您的 DNS 管理員聯系，確定該 DNS 服務器是否支持所需的標準。如果服務器不支持所需標準，或者權威 DNS 區域不能被配置為允許動態更新，則需要對現有 DNS 結構進行修改。（這個也是很重要的一點這里需要更改“起始授權機構SOA”和“名稱服務器”用以支持DNS區域被配置成“允許動態更新”，這在接下來會提到）

6、要點 用來支持 Active Directory 的 DNS 服務器必須支持 SRV 資源記錄，定位器機制才能運行。建議安裝 Active Directory 之前 DNS 結構應允許動態更新定位程序 DNS 資源記錄（SRV 和 A），但是，您的 DNS 管理員可以在安裝后手動添加這些資源記錄。 安裝 Active Directory 后，可在下列位置中的域控制器上找到這些記錄：systemrootSystem32ConfigNetlogon.dns（這說明DNS設置為“不允許動態更新”時，我們可以手動更新，但是有難度，且非常麻煩，所以一般建議選擇“允許動態更新”）另外我們說DC和DNS安裝

7、順序沒有太嚴格要求可從“參閱里面的連接”：圖上標志的兩點可看出它們是DC+DNS先后循序的要求和解決方法。DNS服務器的安裝1.安裝DNS，需要給服務器指定靜態IP地址，如下：這里要注意DNS要指定給DNS-srv服務器本身IP，默認網關可以不用填寫。DNS-setup0.png2.接下來安裝域名系統（DNS）服務，先掛載WIN2003安裝鏡像，按照下邊菜單選擇“添加或刪除應用程序”DNS-setup1.png3.按照下圖指向，選擇“域名系統（DNS）”服務，點擊確定。DNS-setup2.png4.完成后，可在“管理工具”中看見DNS服務了。DNS-setup3.png5.打開DNS服務，右

8、鍵選擇“配置DNS服務器”。DNS-setup4.png6.下一步DNS-setup5.png7.正向解析就是指從域名解析到IP，反向就是IP到域名的解析。這里我們選擇第二項，正反向解析都做一下。DNS-setup6.pngDNS-setup7.pngDNS-setup8.png8.區域名稱就是你想要定義的域名DNS-setup9.pngDNS-setup10.png9.這里需要注意一下，請選擇“允許非安全和安全動態更新”，因為接下來DC的安裝需要動態更新的支持，當然我們可以選擇“不允許動態更新”，我將會在接下的安裝中更改更新設置。（這在之前的參閱里邊有提到過）DNS-setup11.png1

9、0.接下來創建反向解析DNS-setup12.pngDNS-setup13.png11.反向解析其實是需要一個一個填寫的，但是很耗時間，我們一般填入子網段就可以，這里也是要求填入網段。DNS-setup14.pngDNS-setup15.png12.這里和之前正向解析情況一樣，之后我們會改成“允許非安全和安全動態更新”DNS-setup16.png13. 在彈出的窗口中設置NDS的轉發器，在轉發器中輸入“180.168.255.118”和“8.8.8.8（谷歌提供的DNS）”（在該DNS服務器中無法解析的域名，該DNS服務器可以轉發給其他指定的DNS服務器上進行解析，如向ISP（互聯網服務提供

10、商）的DNS服務器轉發）DNS-setup17.pngDNS-setup18.png14.我們建立好正反向解析后，接著在區域中添加主機記錄，這里是正向解析做好主機添加后的情況DNS-setup18-0.pngDNS-setup19.png15.右鍵“正向查找區域”，新建主機（A記錄）DNS-setup20.png16.名稱可以任意輸入，顯示的FQDN就是提供DNS服務的域名，另外我們也可以選擇同時創建相關的指針（PTR）記錄，這樣反向解析也會同時自動生成，我們這里沒有選擇，接下來我們會手動創建反向解析 DNS-setup21.png17.反向解析創建和正向解析創建的方法一樣，后邊指定主機IP和

11、主機名就可以了，我們可以選擇“瀏覽”以查看并指定我們需要的正向解析主機名DNS-setup22.pngDNS-setup23.pngDNS-setup24.pngDNS-setup25.png18.選擇好了，確定DNS-setup26.png19.這樣我就創建好正反向解析了，然后我們啟動nslookup解析工具來驗證我們創建DNS解析的正確性DNS-setup27.png20.如下情況說明我們創建成功DNS-setup28.png21.另外我們還需要更改正向查找區域的屬性中的“起始授權機構SOA”和“名稱服務器”用以支持DNS區域被配置成“允許動態更新”生效。這在聲明中也有提到過。DNS-se

12、tup2922.在域屬性中瀏覽指定的SOA也就是主授權機構，名稱服務器也做相應的指定。DNS-AD-zhu-setup1.pngDNS-AD-zhu-setup2.png至此，我們的DNS服務器配置完畢，接下來我們創建DC 主控制器DC主控制器的安裝1.之前我們已經在DNS-srv服務器上安裝好了DNS（說的好拗口，早知道就不起這個容易混淆的名字了），接下來我們開始在AD-zhu上安裝主域控制器，先查看下主機情況AD-zhu-setup0.png2.確定在該主機上可以正常解析到DNS服務器AD-zhu-nslookup.png3.在運行中輸入“dcpromo”確定啟動AD安裝向導AD-zhu-

13、setup1.pngAD-zhu-setup2.png4.選擇建立“新域的域控制器”AD-zhu-setup3.png5.這個新域建立在新的林中AD-zhu-setup4.png6.輸入之前我們新創建的DNS全名AD-zhu-setup5.png7.這里出現的NetBIOS域名是向導默認通過你指定的DNS全名同時命名的NetBIOS域名，用以兼容早期Windows版本的用戶來識別新的域。AD-zhu-setup6.png8.選擇默認安裝位置，也可參考提示選擇不同的保存位置以提高性能AD-zhu-setup7.png9.默認AD-zhu-setup8.png10.到這里就出現了之前我們一直在以的

14、動態DNS更新支持，我們可以在正向查找區域的屬性里更改動態更新的安全性，改成“非安全”即為支持動態更新。至于反向可改可不改，因為DC的安裝只要求正向解析，所以之前的反向解析也可不做，之后也可以通過手動做反向解析AD-zhu-setup9-dt.pngDNS-AD-zhu-setup10-dt.pngDNS-AD-zhu-setup11-dt.png11.通過更改過后，重試DNS診斷通過AD-zhu-setup12-dt-ok.png12.根據實際生產情況選擇兼容性AD-zhu-setup13.png13.設置一個還原模式密碼AD-zhu-setup14.png14.這里會顯示我們即將安裝的服務

15、器配置摘要，如果感覺有些選項不正確，可以點擊上一步進行更改，確認無誤，請下一步AD-zhu-setup15.png15.這時系統會自動配置你的DC，耐心等待結束AD-zhu-setup16.pngAD-zhu-setup17.png16.重啟完成DC的配置AD-zhu-setup18.png17.同時，我們可以在DNS-srv主機上刷新查看DNS記錄，發現多了SRV 和 A DNS 資源記錄，這是DNS用以定位DC的資源記錄AD-zhu-setup19-DNS-jilu.png18.重啟過后，在AD-zhu服務器上我們會發現AD管理器，說明安裝完成AD-zhu-setupover.png19.

16、查看系統屬性，發現計算機名稱有了的后綴，更說明創建成功AD-zhu-setupover0.pngAD-zhu-setup0-L.pngDC額外控制器的安裝1.安裝完成主域控制器后，接下來我們再繼續安裝額外控制器，首先查看系統信息，IP地址也是靜態指定的，另外順便用nslookup檢查一下與DNS服務器的連接情況AD-fu-setup0.pngAD-fu-setup1.png2和安裝主控制器一樣，我們也通過dcpromo啟動AD安裝向導AD-fu-setup2.pngAD-fu-setup3.pngAD-fu-setup4.png3.選擇現有域的額外控制器類型AD-fu-setup5.png4.

17、輸入主域控制器的用戶名密碼和主域控制器名，下一步等待檢測完成AD-fu-setup6.png5.你可以直接輸入主域控制器名，或者瀏覽存在的域控制器AD-fu-setup7.pngAD-fu-setup7-0.png6.同樣默認目錄，下一步AD-fu-setup8.pngAD-fu-setup9.png7.設置還原模式密碼AD-fu-setup10.pngAD-fu-setup11.png8.這時額外控制器開始從主域控制器復制文件和服務AD-fu-setup12.png9.重啟后也能夠看見AD管理器出現了AD-fu-setupover.png10.同樣檢查一下系統信息，查看是否成功添加AD-fu

18、-setupover1.pngAD-fu-setupover0.png11.另外，在DNS-srv服務器上也能看見相關解析記錄也被注冊了進去AD-fu-setupover-DNS-jilu.pngAD-fu-setupover-DNS-jilu2.png12.至此，額外控制器也安裝完畢，之后我們會模擬主域損壞了改怎么解決的情況主域損壞，解決辦法之前我們已經將所需要的環境部署完畢，接下來我們來進一步處理災難情況下主DC損壞，如何使額外DC取代主DC擔負起活動目錄的職責。環境狀況如下圖，AD-zhu意外損壞，而DNS-srv、AD-fu正常運行，客戶端用于檢測AD-fu是否成功取代AD-zhu。A

19、D-zhuDC192.168.23.20Client-0客戶端192.168.23.40DNS-srvDNS192.168.23.10AD-fu額外DC192.168.23.301.首先我們來模擬一下災難環境：讓AD-zhu關機不在啟動，之后不在出現在實驗環境中。AD-zhu-inf1.pngAD-zhu-inf2.pngAD-zhu-down3.png2. 在AD-fu額外控制器上打開命令提示符，輸入ntdsutil啟用工具，包含的命令內容可使用“?”查看AD-fu-del-zhu4.png3.輸入“metadata cleanup”進入清理模式，并連接到自身，當然也可以連接到其他命名方法。

20、AD-fu-del-zhu5.pngAD-fu-del-zhu7.png4.連接到特定的域控制器后，會退到上一級，使用“select operation target”選擇站點，服務器，域，角色和命名上下文AD-fu-del-zhu8.png5.首先列出存在的站點列表AD-fu-del-zhu9.png這里只存在一個站點，用“0”表示AD-fu-del-zhu10.png6.我們選擇這個站點“select site 0”，并列出包含在這個站點中的域AD-fu-del-zhu11.png7.這個站點中只包含了一個“funsion”域，也是用0表示的AD-fu-del-zhu12.png8.選擇這

21、個域，并列出所選域和站點中的服務器AD-fu-del-zhu13.png9.這里列出了我們環境中存在的兩個服務器AD-fu-del-zhu14.png10.我們選擇“0”指定“AD-zhu”因為我們要刪除主控制器AD-fu-del-zhu15.png11.選擇完畢后，退回上一層，進行刪除工作。AD-fu-del-zhu16.png12.使用“remove selected server”刪除所選的AD-zhu，彈出對話框，選擇確定AD-fu-del-zhu16-1.png13. 確定后，會自動彈出讓你選擇AD-fu對主控制器角色奪取的對話框。其中會碰到失敗和錯誤的提示消息，忽略，依次選擇“是”

22、。直到刪除結束AD-fu-del-zhu17.pngAD-fu-del-zhu18.pngAD-fu-del-zhu19.pngAD-fu-del-zhu20.pngAD-fu-del-zhu21.png14.到這里我們將AD-zhu的元數據從AD-fu上清除了。AD-fu-del-zhu22.png15.在圖形界面，打開“Active Directory 站點和服務”下把“AD-zhu”選中，右擊“刪除”。AD-fu-del-zhu28.pngAD-fu-del-zhu29.pngAD-fu-del-zhu30.png16.現在“AD-zhu”主機已經沒有了，展開site->defau

23、lt-first-site-name->servers，展開AD-fu，右擊“NTDS Settings”點“屬性”，勾上全局編錄前面的勾，點確定，如圖所示：AD-fu-del-zhu31.pngAD-fu-del-zhu32.png17.打開“AD用戶和計算機”找到“AD-zhu”也就是原來的主域控制器，右擊“刪除”。期間彈出對話框，選擇“是”。AD-fu-del-zhu33.pngAD-fu-del-zhu34.png18.到這里，我們就把AD-zhu刪除掉了。AD-fu-del-zhu35.png19.之前刪除AD-zhu的過程中，系統自動提示我們用AD-fu奪取AD-zhu上的角色，有失敗之處，所以接下來我們再次手動讓