多分支架构部署域控服务

Windows Server - 建设篇 - 域控服务

---

系列文章回顾

第一章 测试单分支架构部署域控

下章内容

第三章 域控的分布式系统DFSR服务配置

---

多分支架构部署域控服务

前置条件

• AD域控版本：Windows Server 2016 AD DS
• 测试环境拓扑：3个站点，1个总部，2个分支；总分支已通过VPN服务完成局域网互联互通；所有站点的本地均部署2台AD DS作为主备域控服务，3个站点共有6台域控主机服务，均升级至域控制器，都加入到一个林（xxx.com）的域控制器组。
• 防火墙规则：每个站点之间的域控主机防火墙均打通135、139、445等端口的访问，出入站规则都要放通，确保域控之间不受防火墙或第三方杀软影响。

域控的站点配置与子网管理

实施步骤

注：带*的路径是通配符，即需要修改多个相同前缀路径的配置。

1. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters （AD域控站点间同步配置时需检查）
2. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters （AD域控实现站点的负载均衡配置时需检查）

实施流程

1. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters
注意事项：
1.若域控服务器之前修改过计算机名称，则注册表会残留以前的计算机名称，必须从注册表里调整为正确的值

Machine DN Name				# 必须为当前域控主机的CN名称 (若修改过计算机名称，此项需手动修改)
Root Domain					# CN必须为当前域控CN的DNS名称
Src Root Domain Srv			# 必须为PDC主机的DNS名称

2. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters
注意事项：
1.若域控服务器之前修改过计算机名称，则注册表会残留以前的计算机名称，必须从注册表里调整为正确的值

DynamicSiteName				# 必须为当前域控所属的站点名称。
SysVol						# 必须为C:\Windows\SYSVOL\sysvol

域控的DNS负载轮询与站点同步

实施步骤

注：带*的路径是通配符，即需要修改多个相同前缀路径的配置。

1. 在PDC主机上配置“ADSI 编辑器”的所有配置，包括“Domain Controllers”文件夹
2. 在PDC主机上配置“DNS管理器”的所有站点配置

实施流程

1. 在PDC主机上配置“ADSI 编辑器”的所有配置，包括“Domain Controllers”文件夹

Domain Controllers\域控CN的属性编辑器检查如下选项：

dNSHostName				# 必须为域控CN的DNS名称
rIDSetReferences		# CN必须是域控CN的DNS名称

servicePrincipalName	# 尤其重要，检查域控CN的servicePrincipalName的属性值.

servicePrincipalName	# 组成部分如下
 | -- Dfsr-GUID-域控CN.xxx.com
 | -- DNS/域控CN.xxx.com				# PDC主机有2条DNS前缀
 | -- GUID/GUID/xxx.com
 | -- GC/域控CN.xxx.com/xxx.com			# PDC主机有2条GC前缀
 | -- HOST/域控CN
 | -- HOST/域控CN.xxx.com
 | -- HOST/域控CN.xxx.com/XXX
 | -- HOST/域控CN.xxx.com/xxx.com
 | -- HOST/域控CN/XXX
 | -- ldap/GUID._msdcs.xxx.com
 | -- ldap/域控CN
 | -- ldap/域控CN.xxx.com
 | -- ldap/域控CN.xxx.com/DomainDnsZones.xxx.com
 | -- ldap/域控CN.xxx.com/ForestDNSZones.xxx.com
 | -- ldap/域控CN.xxx.com/XXXX
 | -- ldap/域控CN.xxx.com/xxx.com
 | -- ldap/域控CN/XXX
 | -- RestrictedKrbHost/域控CN
 | -- RestrictedKrbHost/域控CN.xxx.com
 | -- RPC/GUID._msdcs.xxx.com
 | -- TERMSRV/域控CN
 | -- TERMSRV/域控CN.xxx.com
 | -- WSMAN/域控CN
 | -- WSMAN/域控CN.xxx.com

Domain Controllers\域控CN\DFSR-LocalSettings\Domain System Volume\SYSVOL Subscription的属性编辑器检查如下选项：

msDFSR-RootPath			C:\Windows\SYSVOL\domain							# 必须为该目录路径
msDFSR-StagingPath		C:\Windows\SYSVOL\staging areas\xxx.com				# 必须为该目录路径

CN=Topology		# 拓扑里必须得有所有域控制器的CN

2. 在PDC主机上配置“DNS管理器”的所有站点配置
DNS管理器的配置分为_msdcs.xxx.com区域、xxx.com区域
注意事项：
1.DNS配置的树结构必须完全一致，否则AD域控的站点负载均衡将失效。
2.若缺少站点文件夹，可以新增主机记录之后拿到站点文件夹再删除主机记录，就会保留站点文件夹。

_msdcs.xxx.com区域配置详细参数表格

文件夹	详细内容	参数说明
_msdcs.xxx.com	PDC主机的SOA记录 所有域控制器的NS记录 所有域控制器的CNAME记录	SOA：起始授权机构 NS：名称服务器 CNAME：别名
dc --> _sites --> siteN --> _tcp	_kerberos：SRV记录 [0][100][88] 站点的域控制器DNS名称 _ldap： SRV记录 [0][100][389] 站点的域控制器DNS名称	SRV：服务位置。 三个方框分别表示 优先级、权重、端口号。最后是DNS名称。 _kerberos类型的记录一般是为域用户提供票据的作用，票据可在用户跟域控失联时登录域账号使用。    Kerberos_百度百科 _ldap类型的记录一般是为域用户提供登录认证的作用，使用域账号登录PC时需跟域控389端口互联进行认证才可以成功登录到域环境的PC。
dc --> _tcp	默认存储所有站点的_kerberos和_ldap记录	当域用户跟站点内的域控制器通信失败时就会找到dc文件夹下的记录进行通信
domains --> PDC主机GUID --> _tcp	默认存储所有站点的_ldap记录	-
gc --> _sites --> siteN --> _tcp	_ldap： SRV记录 [0][100][3268] 站点的域控制器DNS名称	GC全局编录的_ldap记录，一般用于站点内域控制器之间的GC站点数据同步
gc --> _tcp	默认存储所有站点的_ldap记录(GC全局编录)	当站点内域控制器之间通信失败时就会找到gc文件夹下的记录进行通信
pdc --> _tcp	_ldap： SRV记录 [0][100][389] PDC主域控制器的DNS名称	PDC主域控制器的LDAP记录

_msdcs.xxx.com区域的配置如下图，涉及站点的配置集中在_sites文件夹，GC全局编录的配置集中在gc文件夹，另外还有pdc主机的dns配置、domains域的dns配置。详细配置参考如上表格

xxx.com区域配置详细参数表格

文件夹	详细内容	参数说明
xxx.com	PDC主机的SOA记录 所有域控制器的NS记录 所有域用户的A记录	A：主机
_msdcs	同_msdcs.xxx.com一致	同_msdcs.xxx.com一致
_sites --> siteN --> _tcp	_kerberos：SRV记录 [0][100][88] 站点的域控制器DNS名称 _ldap： SRV记录 [0][100][389] 站点的域控制器DNS名称 _gc： SRV记录 [0][100][3268] 站点的域控制器DNS名称	-
_sites --> _tcp	默认存储所有站点的_kerberos记录、_kpasswd记录、_ldap记录、_gc记录	_kpasswd： SRV记录 [0][100][464] 站点的域控制器DNS名称
_sites --> _udp	默认存储所有站点的_kerberos记录、_kpasswd记录	UDP协议通信失败时会转到TCP协议通信
DomainDnsZones --> _sites --> siteN --> _tcp	_ldap： SRV记录 [0][100][389] 站点的域控制器DNS名称	-
DomainDnsZones --> _tcp	默认存储所有站点的_ldap记录	-
ForestDnsZones --> _sites --> siteN --> _tcp	_ldap： SRV记录 [0][100][389] 站点的域控制器DNS名称	-
ForestDnsZones --> _tcp	默认存储所有站点的_ldap记录	-

xxx.com区域的配置如下图，涉及站点的配置集中在_sites文件夹，GC全局编录的配置集中在gc文件夹，pdc主机的dns配置、domains域的dns配置。另外还有DomainDnsZones和ForestDnsZones区域的配置

参考链接

1. [windows server 2008 站点系列一]AD的站点建立与子网的管理
2. [windows server 2008 站点系列一]AD的站点建立与子网的管理
3. Microsoft Learn 设计站点拓扑