额外域控制器的部署

 

上篇博文中我们提出使用对AD数据备份的方法来进行域控制器的灾难重建,今天我们介绍使用额外域控制器来避免域的崩溃。

如果域中只有一台域控制器,一旦出现物理故障,我们即使可以从备份还原AD,也要付出停机等待的代价,这也就意味着公司的业务将出现停滞。部署额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数 据库。使用额外域控制器的好处很多,首先是避免了域控制器损坏所造成的业务停滞,如果一个域控制器损坏了,只要域内其他的域控制器有一个是工作正常的,域 用户就可以继续完成用户登录,访问网络资源等一系列工作,基于域的资源分配不会因此停滞。使用域控制器还可以起到负载平衡的作用,如果公司内只有一个域控 制器,而公司用户达到上万人,假设域控制器处理一个用户登录的时间是0.1秒, 那最后一个用户登录进入系统肯定要遭遇一定的延迟。如果有额外域控制器,那么每个额外域控制器都可以处理用户的登录请求,用户就不用等待那么长时间了。尤 其是如果域的地理分布跨了广域网,例如域内的计算机有的在北京,有的在上海,有的在广州,那么显然上海用户的登录请求通过低速的广域网提交到北京的域控制 器上进行验证不是一个效率高的办法,比较理想的办法是在北京,上海,广州都部署额外域控制器以方便用户就近登录。

域中如果有多个域控制器,那么每个域控制器上都拥有Active Directory数据库,而且域控制器上的Active Directory内容是动态同步的,也就是说,任何一个域控制器修改了Active Directory,其他的域控制器都要把这个修改作用到自己的Active Directory上,这样才能保证Active Directory数据的完整性和唯一性。否则如果每个域控制器的Active Directory内容不一致,域控制器的权威性就要受到质疑了。

很多朋友喜欢把域内的第一台域控制器称为主域控制器,其他的额外域控制器称为辅域控制器,严格来说这种说法并不严谨。主域控制器这个术语在 NT4 的环境下是成立的,因为 NT4 的域把域控制器分为两类,主域控制器和备份域控制器。两者的区别在于只有主域控制器才能修改域内的数据,而备份域控制器只有读取域内数据的权限,类似于 DNS 的主服务器和辅助服务器的区别。 NT4 的这种结构我们称之为单主复制,而自从 Win2000 使用了 Active Directory 之后,所有的域控制器都可以自主地修改 Active Directory 数据库的内容,现在的域结构我们称之为多主复制。因此, Win2003 域中的第一台域控制器我们称之为主域控制器是不太严谨的,虽然事实上第一台域控制器比其他的域控制器承担了更多的任务。
试验拓扑如图所示:berlin是主域控制器和DNS服务器,firenze是额外域控器,florence和perth是工作站。

 

设置 IP 地址、 DNS 指向 Berlin IP

 

在开始 ---- 运行输入“ dcpromo ”打开活动目录安装向导

 

如图点击“下一步”

 

注意:选择“现有域的额外域控制器”

 

输入一个具有能在此计算机上安装活动目录权限的用户名和密码、用户域。

 

输入域名,也可以从浏览中浏览到该域名。

 

设置数据库文件和日志文件存放位置,在工作环境下不建议你像我这样做。
SYSVOL 文件的存放位置
输入还原模式密码,不建议你把此密码设的和当前管理员密码相一致。

 

检查摘要信息无误,点击下一步,开始安装。

 

图像和形象吧!

 

如图所示安装完成,需要重启计算机。

 

Florence 上共享一个文件夹 bools ,只允许域里的张三用户能够访问,其他用户不能访问。

 

berlin 正常关机,我们来验证一下我们刚刚创建的额外与控制器。
perth 上以张三用户的身份登陆

 

如图所示,可以正常访问到 florence 上的 tools 文件夹。

 

以上只是一个验证方法,其实从DNS的 SRV中 到firenze的记录,就足以证明试验成功。部署的额外域控制器已经完成,下一篇将介绍如何离线部署额外域控制器。