《AD域DNS分离额外域控制器安装及主域控制器损坏解决方法》由会员分享,可在线阅读,更多相关《AD域DNS分离额外域控制器安装及主域控制器损坏解决方法(66页珍藏版)》请在金锄头文库上搜索。
1、wordAD域DNS别离+额外域控制器安装与主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的局部,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。这里我们设计的环境是一台DNS服务器DNS-srv+主域控制器AD-zhu+额外域控制器AD-fu点击查看额外控制器的作用
2、,另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端client-0用来检测。其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址funsion.AD-zhuDCClient-0客户端DNS-srvDNSAD-fu额外DC对于DC和DNS别离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,ame记录,NS记录。那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:1.DNS服务器的安装;2.DC主控制器的安装;
3、3.DC额外控制器的安装。接下来我们分步实现为了更加了解DC和DNS的关系,安装前请先参阅:technet.microsoft./zh-/library/cc739159(v=ws.10)安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active Directory 将 DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的 IP 地址。 在 Active Directory 安装期间,在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录,这些记录是域控制器定位程序 (Lo
4、cator) 机制功能成功实现所必需的。 要在域或林中查找域控制器,客户端将在 DNS 中查询域控制器的 SRV 和 A DNS 资源记录,这些资源记录为客户端提供域控制器的名称和 IP 地址。在这种环境中,SRV 和 A 资源记录被称为定位程序 DNS 资源记录。(这里说明需要DNS支持)向林中添加域控制器时,将使用定位程序 DNS 资源记录更新 DNS 服务器上主持的 DNS 区域,同时标识域控制器。为此,DNS 区域必须允许动态更新 (RFC 2136),同时,主持该区域的 DNS 服务器必须支持 SRV 资源记录 (RFC 2782) 才能公布 Active Directory 目录服
5、务。这在安装DNS过程中是需要注意的一点 如果主持权威 DNS 区域的 DNS 服务器不是运行 Windows 2000 或 Windows Server 2003 的服务器,请与您的 DNS 管理员联系,确定该 DNS 服务器是否支持所需的标准。如果服务器不支持所需标准,或者权威 DNS 区域不能被配置为允许动态更新,如此需要对现有 DNS 结构进展修改。这个也是很重要的一点这里需要更改“起始授权机构SOA和“名称服务器用以支持DNS区域被配置成“允许动态更新,这在接下来会提到要点 用来支持 Active Directory 的 DNS 服务器必须支持 SRV 资源记录,定位器机制才能运行。
6、建议安装 Active Directory 之前 DNS 结构应允许动态更新定位程序 DNS 资源记录SRV 和 A,但是,您的 DNS 管理员可以在安装后手动添加这些资源记录。 安装 Active Directory 后,可在如下位置中的域控制器上找到这些记录:systemrootSystem32ConfigNetlogon.dns这说明DNS设置为“不允许动态更新时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接:图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。DNS服务器的安装1.安
7、装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv服务器本身IP,默认网关可以不用填写。2.接下来安装域名系统DNS服务,先挂载WIN2003安装镜像,按照下边菜单项选择择“添加或删除应用程序3.按照如下图指向,选择“域名系统DNS服务,点击确定。4.完成后,可在“管理工具中看见DNS服务了。5.打开DNS服务,右键选择“配置DNS服务器。7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。这里我们选择第二项,正反向解析都做一下。9.这里需要注意一下,请选择“允许非安全和安全动态更新,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动
8、态更新,我将会在接下的安装中更改更新设置。这在之前的参阅里边有提到过11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新13.在弹出的窗口中设置NDS的转发器,在转发器中输入“和“8.8.8.8谷歌提供的DNS在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进展解析,如向ISP互联网服务提供商的DNS服务器转发14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况“正向查找区域,新建主机A记录16.名称
9、可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针PTR记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析 17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览以查看并指定我们需要的正向解析主机名18.选择好了,确定19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性“起始授权机构SOA和“名称服务器用以支持DNS区域被配置成“允许动态更新生效。这在声明中也有提到过。DNS-setup2922.在funsion.域属性中浏览指定的
10、SOA也就是主授权机构,名称服务器也做相应的指定。至此,我们的DNS服务器配置完毕,接下来我们创建DC 主控制器DC主控制器的安装1.之前我们已经在DNS-srv服务器上安装好了DNS说的好拗口,早知道就不起这个容易混淆的名字了,接下来我们开始在AD-zhu上安装主域控制器,先查看下主机情况“dcpromo确定启动AD安装向导“新域的域控制器7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名,用以兼容早期Windows版本的用户来识别新的域。8.选择默认安装位置,也可参考提示选择不同的保存位置以提高性能10.到这里就出现了之前我们一直在以的动态DNS更
11、新支持,我们可以在正向查找区域的属性里更改动态更新的安全性,改成“非安全即为支持动态更新。至于反向可改可不改,因为DC的安装只要求正向解析,所以之前的反向解析也可不做,之后也可以通过手动做反向解析11.通过更改正后,重试DNS诊断通过14.这里会显示我们即将安装的服务器配置摘要,如果感觉有些选项不正确,可以点击上一步进展更改,确认无误,请下一步15.这时系统会自动配置你的DC,耐心等待完毕17.同时,我们可以在DNS-srv主机上刷新查看DNS记录,发现多了SRV 和 A DNS 资源记录,这是DNS用以定位DC的资源记录18.重启过后,在AD-zhu服务器上我们会发现AD管理器,说明安装完成
12、19.查看系统属性,发现计算机名称有了funsion.的后缀,更说明创建成功DC额外控制器的安装1.安装完成主域控制器后,接下来我们再继续安装额外控制器,首先查看系统信息,IP地址也是静态指定的,另外顺便用nslookup检查一下与DNS服务器的连接情况2和安装主控制器一样,我们也通过dcpromo启动AD安装向导4.输入主域控制器的用户名密码和主域控制器名,下一步等待检测完成5.你可以直接输入主域控制器名,或者浏览存在的域控制器6.同样默认目录,下一步10.同样检查一下系统信息,查看是否成功添加11.另外,在DNS-srv服务器上也能看见相关解析记录也被注册了进去12.至此,额外控制器也安装
13、完毕,之后我们会模拟主域损坏了改怎么解决的情况主域损坏,解决方法之前我们已经将所需要的环境部署完毕,接下来我们来进一步处理灾难情况下主DC损坏,如何使额外DC取代主DC担负起活动目录的职责。环境状况如如下图,AD-zhu意外损坏,而DNS-srv、AD-fu正常运行,客户端用于检测AD-fu是否成功取代AD-zhu。funsion.AD-zhuDCClient-0客户端DNS-srvDNSAD-fu额外DC1.首先我们来模拟一下灾难环境:让AD-zhu关机不在启动,之后不在出现在实验环境中。2. 在AD-fu额外控制器上打开命令提示符,输入ntdsutil启用工具,包含的命令内容可使用“?查看
14、“metadata cleanup进入清理模式,并连接到自身,当然也可以连接到其他命名方法。4.连接到特定的域控制器后,会退到上一级,使用“select operation target选择站点,服务器,域,角色和命名上下文这里只存在一个站点,用“0表示“select site 0,并列出包含在这个站点中的域“funsion域,也是用0表示的8.选择这个域,并列出所选域和站点中的服务器“0指定“AD-zhu因为我们要删除主控制器11.选择完毕后,退回上一层,进展删除工作。“remove selected server删除所选的AD-zhu,弹出对话框,选择确定13. 确定后,会自动弹出让你选择AD-fu对主控制器角色夺取
