要构建一个容忍故障的Active Directory基础架构并加载余额客户请求,您至少需要两个域控制器。还建议在远程站点创建其他域控制器。在本文中,我们将研究如何在现有广告域中添加其他(次要,第三和依此类推)。
内容:
- 为域控制器部署准备Windows Server
- 在Windows Server上安装Active Directory域服务(添加)角色
- 将新的域控制器添加到现有的Active Directory域
- 如何检查新的域控制器健康
为域控制器部署准备Windows Server
部署运行Windows Server的新主机(物理或虚拟)。建议在Active Directory中的所有DC上使用相同版本的Windows服务器。在我的示例中,这是Windows Server 2019。
从新的Windows Server主机的初始配置开始。
建议阅读:如何更改域控制器的IP地址
使用Server Manager或PowerShell命令来设置与您的基础结构相对应的域控制器的名称(例如,我们hot-dc02):
Rename-Computer -NewName mun-dc02
为服务器设置静态IP地址并提供DNS设置。作为首选的DNS服务器,输入127.0.0.1(以使您的DNS查询更快地运行)。然后在与备用DNS的同一广告站点中输入最近域控制器的IP地址。您可以使用PowerShell在Windows中设置IP和DNS设置:
Get-NetAdapter
New-NetIPAddress -IPAddress 192.168.13.14 -DefaultGateway 192.168.13.1 -PrefixLength 24 -InterfaceIndex 6
Set-DNSClientServerAddress -InterfaceIndex 6 -ServerAddresses ("127.0.0.1","192.168.10.14")
设置时区并确保在服务器上设置了正确的时间。
安装最新的安全更新(您可以从本地WSUS服务器或Windows Update安装更新)。您可以安装Windows更新的另一种方法是使用PSWindowSupdate PowerShell模块。
然后启用远程桌面(RDP)访问,将Windows Server计算机连接到Active Directory域,然后重新启动Windows:
Add-Computer -DomainName woshub.loc
Restart-Computer -force
如果您正在为新远程站点部署DC,请打开Active Directory站点和服务控制台(dssite.msc),创建一个新站点,并绑定到IP客户端子网,该子网将由您的DC提供。
在Windows Server上安装Active Directory域服务(添加)角色
一旦准备就绪,您可以在Windows服务器上安装Active Directory域服务(添加)角色。打开服务器管理器,转到管理 - >添加角色和功能 - >服务器角色 - >并检查Active Directory域服务。
您也可以将添加角色安装到PowerShell:
Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose
确保已安装了广告域服务角色:
Get-WindowsFeature -Name *AD-Domain*
将新的域控制器添加到现有的Active Directory域
安装添加角色后,您可以将Windows Server主机从成员服务器提升为域控制器。
在服务器管理器控制台中,单击将此服务器推广到域控制器。
然后选择将域控制器添加到现有域。
选择要安装DNS服务器在此服务器上,启用全球目录角色。
然后设置目录服务还原模式(DRSM)的密码。
在DSRM模式下,您可以从备份副本还原广告域控制器。
如果您打算部署仅读取域控制器,则启用该选项。在这种情况下,我们不会使用此选项,因为我们需要部署普通(读/写,RW)DC。
选择您想放置新DC的广告网站(在我们的示例中,我们选择了刚刚创建的MUN网站)。
请跳过DNS服务器委托步骤。
然后,您可以选择用于将AD数据库复制到新DC的最接近的域控制器。如果您在附近有所有DC并通过快速链接连接,请选择任何域控制器。请注意,对新DC的目录和Sysvol的初始复制可能会在WAN链接上导致过多的负载。
在具有差或不稳定连接的远程站点上部署新的DC时,您可以使用IFM(从媒体安装)模式。这要求您在现有的DC上拍摄域分区的快照和Sysvol,将其复制到物理媒体上,然后将其传递到分支机构中,以进行部署的新DC。
然后提供添加数据库的路径(NTD。它)和sysvol目录。在大多数情况下,默认路径可以正常工作:
C:WindowsNTDSC:WindowsSYSVOL
这是验证过程应该开始的时候。如果您满足了所有先决条件,则应出现以下消息:
All prerequisite checks passed successfully.
所有要做的现在是单击安装并将您的服务器推广到DC。
您还可以使用PowerShell来部署新的域控制器。因此,上述所有设置都可以使用一个命令配置:
Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "C:WindowsNTDS" -DomainName "woshub.loc" -InstallDns:$true -LogPath "C:WindowsNTDS" -NoRebootOnCompletion:$false -SiteName "MUN" -SysvolPath "C:WindowsSYSVOL" -Force:$true
安装完成后,服务器将自动重新启动。
如何检查新的域控制器健康
安装新DC后,您需要检查Active Directory中复制的状态和正确性。
首先,检查新域控制器是否在域控制器控制台中的容器。
您还可以使用AD PowerShell模块获取有关您的新DC的信息:
Get-ADDomainController -Identity MUN-DC02
这是您可以检查域控制器之间复制状态的方法:
repadmin /showrepl *
repadmin /replsummary
并获取有关特定DC复制合作伙伴的详细信息:
repadmin /replsummary mun-dc02
在我的情况下,最大的增量值是未知。这通常是因为复制尚未完成。您可以使用Active Directory网站和服务控制台强制复制。为此,扩展您的网站,选择DC,展开NTDS设置,然后单击链接并选择复制全部。
另外,您可以使用命令启动完整复制:
repadmin /syncall
检查没有复制错误。
您可以在链接上使用脚本来检查域控制器的健康和广告复制。
您的新DC现在可以为客户提供服务,并充当连接到IP子网/站点的计算机的登录器。
最后,我给您提供了更多有关广告管理员发现有用的文章的链接:
- 如何移动/抓住FSMO角色
- 如何将域控制器降低(删除)
- 在Active Directory中管理GPO
- 重命名Active Directory域
- 重置广告域管理员的密码