WIN2008 R2 Active Directory 之二 部署企業中Windows Server 2008 R2額外網域控制站_win伺服器

題外話——謹以此文紀念“痛苦”的交規考試以98分通過。小弟準備考駕照，最近被交規，就把博文之事放下了。哈哈哈，今天剛一通過就馬上來碼字兒了！

 通過《部署企業中第一台Windows Server 2008 R2網域控制站》（http://www.jb51.net/article/38401.htm）已經完成了企業中Windows網路域森林的建立。但是，在企業中對於AD來講，為了保證安全穩定運行，至少需要兩台以上的物理網域控制站。

在早期的Windows中可以部署備份網域控制站（BDC）；到WIN2K後，AD使用額外網域控制站和操作主機角色來解決網域控制站備份的問題；到了WIN08後，為了增加在分公司的應用，引入了唯讀網域控制站（RODC）概念，其和讀寫網域控制站同時一同部署從而提高Windows AD的可用性。在此，主要討論關於部署當前域的額外網域控制站，即讀寫額外網域控制站。

額外網域控制站由於不是企業中的第一台網域控制站，所以在其部署之前，亦即在建立域森林的時候就應該將其規劃妥當。由此，雖然其沒有首台DC部署那樣需要注意的事項多，但是對於WIN08R2來講還是有很多地方值得提及，也與早期的版本不同。

一、DC網路屬性的基本配置

其配置情況主要應該參考當前網路規劃和首台DC的配置而定，在此就延續前一篇文章所述內容來描述。由於首台DC被規劃為同時充當DNS伺服器，因此該台額外網域控制站首選DNS伺服器配置項中的值應該指向首台DC的IP地址（如圖1）。但是，在規劃時這台額外網域控制站同時還要作為域中的DNS伺服器，並已經安裝配置好DNS服務了，而且還從首台DC同步的DNS地區資料，那麼可以將首選的DNS伺服器選項設定為其自身IP地址。

圖1

注意：如果企業中有專門的DNS伺服器存在，則需要指向這些伺服器，而不能指向首台DC。

此外，同樣需要將“網路和共用中心”視窗中的“公用網路”更改為“專用網路”。這樣才能保證額外域控制在配置和運行中能夠正常與其他伺服器和客戶通訊。

二、準備安裝AD服務

WIN08R2安裝額外網域控制站，依然是通過“伺服器管理員”的角色添加來完成初始化的準備工作的。在角色選擇過程中勾選“Active Directory網域服務”（如圖2），並根據嚮導完成初始化操作。

圖2

三、完成AD伺服器的安裝

1、通過“運行”對話方塊執行“dcpromo”，開啟“Active Directory網域服務安裝嚮導”（如圖3），根據建議勾選“使用進階模式安裝”，單擊“下一步”。

圖3

根據AD部署嚮導，仍然建議選擇“使用進階模式安裝”。

2、由於現在已經存在AD目錄森林，所以在“選擇某一部署配置”介面要選擇“現有林”。因為現在是要安裝額外網域控制站，因此同時選中“向現有域添加網域控制站”，單擊“下一步”（如圖4）。

圖4

3、指定要將此額外網域控制站安裝到的森林，即為哪個森林添加額外網域控制站。在這裡建議填寫該伺服器將要安裝到的域，而不要寫森林中的其它域。WIN8R2在這一過程中還同時需要指定具有升級額外網域控制站許可權的使用者。如果是在工作群組中直接升級為額外網域控制站，則不能用當前賬戶憑證進行，只能使用備用憑證。此外，即使之前將該台作為額外網域控制站的伺服器已經加入了域，登入進行升級操作的域使用者也必須要有在域中添加刪除DC許可權才能直接使用目前使用者憑證，否則也只能使用備用憑證進行操作（如圖5）。

圖5

對於不同的部署配置，AD安裝嚮導所需要的網路憑證是不相同的，如果實現像前一節中講述的安裝新的森林，只需作為將成為林的第一個網域控制站的伺服器上的本機系統管理員群組的成員。但是，若要向現有林中添加新域或刪除域，必須是要添加或刪除域的父域中的 Enterprise Admins 組或 Domain Admins 組的成員。Active Directory 網域服務安裝嚮導將驗證憑據是否足以實現在嚮導中指定的部署配置，如表1中列出了添加和刪除不同的域或DC所需要的許可權。

表1

4、指定要將該伺服器安裝到哪個域，作為其額外網域控制站存在（如圖6）。選中之後單擊“下一步”。

圖6

確定當前額外網域控制站物理主機放置的網站（如圖7）。在早期版本中實現非首台DC的安裝時是不會出現如此的操作步驟的，在進行選擇的時候直接都是很含糊的進行指定，而在WIN08R2中，微軟把這些步驟進行的細化，並且更加明確了。這樣便於工程師在部署時更能精確的進行配置。

圖7

5、單擊“下一步”，配置“其它網域控制站選項”（如圖8）。此處，由於是安裝域中的額外網域控制站，對於其是否成為“DNS伺服器”，“全域編錄”，“唯讀網域控制站（RODC）”在此過程中均可忽略。其原因如下：

現在森林中已經有了DNS伺服器，還要將該伺服器作為DNS伺服器實現，則可以在完成AD安裝嚮導後來單獨實現； 對於全域編錄並非在每台DC上都要建立，所以也可以按其後管理過程中根據需要進行設定。但是如果是作為某一個網站的第一台DC來講，在這裡還是有必要將其選中，因為建議每個網站至少要有一個GC； 由於在此講述的是可讀寫額外網域控制站的安裝，因此當然是一定不能選擇唯讀網域控制站選項的了。

圖8

6、單擊“下一步”，嚮導可能會提示“結構主機配置衝突”的對話方塊（如圖9）。如果域森林在此前只有一台DC，那麼在安裝額外網域控制站，即第二台DC時，肯定會遇到這一提示對話方塊。產生這一個提示對話方塊的原因是因為當前域中的基礎結構主機（IM）同時又承載著GC的角色。

圖9

IM更新的引用資訊是來自其它域的資訊，即非本域資訊。在以下兩種情況，IM其實是不工作的：

只有一個域時，此時無論把基礎結構主控放在哪都無所謂。因為沒有其它域的資訊需要引用。 多域環境，所有DC都是GC。這時基礎結構主控也無需工作，因為所有的DC都是GC，GC擁有其它域的唯讀資訊。

而且IM在GC上運行，將會停止更新對象資訊，原因是其已包含對其所擁有的對象的引用。所以，強烈建議IM和GC不要在同一台DC上共存。在此，選擇“將結構主機角色傳送到此網域控制站”。

7、對於WIN08R2安裝額外網域控制站時，可以從介質安裝（IFM），而不用通過網路複製所有的目錄資料。將安裝介質儲存在本地磁碟機、抽取式媒體（如 DVD）或網際網路共用檔案夾上。執行IFM操作來建立額外網域控制站，可以大大降低安裝AD時所使用的網路頻寬。但是，網路連接仍然是必要的，以便將所有的新對象和對現有對象的最新更改複製到新的網域控制站。

建立安裝介質有兩種不同的方法：

建議使用Ntdsutil.exe工具來建立，通過該工具的ifm子命令可以建立安裝AD目錄服務所必需的檔案 還可以使用還原系統狀態備份並將其用作安裝介質，但網域控制站的系統狀態備份所包含的資料通常要多於執行 IFM 操作所需的資料。

注意：若用另一個DC的備份作為安裝介質，則應該使用最新的可用備份。較早的備份需要更多網路頻寬來執行複製。並且所使用的備份不能比域的墓碑存留時間更早，該存留時間被預設設定為180天（早期版本的伺服器上建立的林中，預設值為60天）。

但是，出於操作的方便和穩妥，在網路資源和伺服器資源允許的情況下，建議還是採用通過網路複製來完成（如圖10）。選擇“通過網路從現有網域控制站複製資料”，單擊“下一步”。

圖10

8、由於額外網域控制站的安裝，無論是從網路複製還是通過IFM來進行，都需要從現有DC中複製資料。通過“源網域控制站”介面，可以手動指定將哪台現有DC作為安裝期間必須複製的資料的源，也可以讓該嚮導自動選擇DC（如圖11）。

圖11

建議指定安裝夥伴時，應選擇入站和出站串連數較低的DC，並且不是重要負責使用檔案複寫服務 (FRS)（FRS）複製夥伴生產或轉寄更改的裝置。此外，若不使用IFM，系統將在安裝夥伴上建立或修改新的NTDS設定對象和新的電腦賬戶；安裝夥伴還會將SYSVOL內容複寫到新網域控制站上。

注意：

唯讀網域控制站（RODC）永遠不能為安裝夥伴。 如果安裝 RODC，則只有運行WIN08或WIN08R2的可寫網域控制站才可以作為安裝夥伴。 如果為現有域安裝額外網域控制站，則只有該域的DC可以為安裝夥伴。

9、指定活動目錄資料庫檔案、記錄檔、SYSVOL檔案夾存放的位置，並且設定目錄還原模式的管理員密碼。在“摘要”頁面確認相關設定資訊無誤，單擊“下一步”，直接進行網路複製安裝額外網域控制站（如圖12）。

圖12

此處，可以勾選“完成後重新啟動”，以便安裝完後自動重啟更新。

四、完成後簡單驗證和其它操作

1、與第一台DC相同，安裝完成後依然需要對其進行基本的測試和驗證。

2、可以把該DC作為DNS伺服器，為域中DNS進行備份。

3、為了對域內DC進行Server Load Balancer和降低風險，可以將操作主機進行遷移，盡量分布在不同的DC上。

本文出自 “胖哥技術堂” 部落格