多分支架构部署域控服务

Windows Server - 建设篇 - 域控服务

第二章 多分支架构部署域控服务

  • Windows Server - 建设篇 - 域控服务
  • 系列文章回顾
  • 下章内容
  • 多分支架构部署域控服务
    • 前置条件
    • 域控的站点配置与子网管理
      • 实施步骤
      • 实施流程
    • 域控的DNS负载轮询与站点同步
      • 实施步骤
      • 实施流程
  • 参考链接


系列文章回顾

第一章 测试单分支架构部署域控



下章内容

第三章 域控的分布式系统DFSR服务配置


多分支架构部署域控服务

前置条件

  • AD域控版本:Windows Server 2016 AD DS
  • 测试环境拓扑:3个站点,1个总部,2个分支;总分支已通过VPN服务完成局域网互联互通;所有站点的本地均部署2台AD DS作为主备域控服务,3个站点共有6台域控主机服务,均升级至域控制器,都加入到一个林(xxx.com)的域控制器组。
  • 防火墙规则:每个站点之间的域控主机防火墙均打通135、139、445等端口的访问,出入站规则都要放通,确保域控之间不受防火墙或第三方杀软影响。



域控的站点配置与子网管理

实施步骤

注:带*的路径是通配符,即需要修改多个相同前缀路径的配置。

  1. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters (AD域控站点间同步配置时需检查)
  2. 所有域控主机的注册表检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters (AD域控实现站点的负载均衡配置时需检查)

实施流程

1. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\NTDS\Parameters
注意事项:
1.若域控服务器之前修改过计算机名称,则注册表会残留以前的计算机名称,必须从注册表里调整为正确的值


Machine DN Name				# 必须为当前域控主机的CN名称 (若修改过计算机名称,此项需手动修改)
Root Domain					# CN必须为当前域控CN的DNS名称
Src Root Domain Srv			# 必须为PDC主机的DNS名称

多分支架构部署域控服务_第1张图片



2. 所有域控服务器的注册表 检查 HKLM\SYSTEM\ControlSet*\Services\Netlogon\Parameters
注意事项:
1.若域控服务器之前修改过计算机名称,则注册表会残留以前的计算机名称,必须从注册表里调整为正确的值


DynamicSiteName				# 必须为当前域控所属的站点名称。
SysVol						# 必须为C:\Windows\SYSVOL\sysvol

多分支架构部署域控服务_第2张图片




域控的DNS负载轮询与站点同步

实施步骤

注:带*的路径是通配符,即需要修改多个相同前缀路径的配置。

  1. 在PDC主机上配置“ADSI 编辑器”的所有配置,包括“Domain Controllers”文件夹
  2. 在PDC主机上配置“DNS管理器”的所有站点配置

实施流程

1. 在PDC主机上配置“ADSI 编辑器”的所有配置,包括“Domain Controllers”文件夹

多分支架构部署域控服务_第3张图片


Domain Controllers\域控CN的属性编辑器检查如下选项:

dNSHostName				# 必须为域控CN的DNS名称
rIDSetReferences		# CN必须是域控CN的DNS名称

servicePrincipalName	# 尤其重要,检查域控CN的servicePrincipalName的属性值.
servicePrincipalName	# 组成部分如下
 | -- Dfsr-GUID-域控CN.xxx.com
 | -- DNS/域控CN.xxx.com				# PDC主机有2条DNS前缀
 | -- GUID/GUID/xxx.com
 | -- GC/域控CN.xxx.com/xxx.com			# PDC主机有2条GC前缀
 | -- HOST/域控CN
 | -- HOST/域控CN.xxx.com
 | -- HOST/域控CN.xxx.com/XXX
 | -- HOST/域控CN.xxx.com/xxx.com
 | -- HOST/域控CN/XXX
 | -- ldap/GUID._msdcs.xxx.com
 | -- ldap/域控CN
 | -- ldap/域控CN.xxx.com
 | -- ldap/域控CN.xxx.com/DomainDnsZones.xxx.com
 | -- ldap/域控CN.xxx.com/ForestDNSZones.xxx.com
 | -- ldap/域控CN.xxx.com/XXXX
 | -- ldap/域控CN.xxx.com/xxx.com
 | -- ldap/域控CN/XXX
 | -- RestrictedKrbHost/域控CN
 | -- RestrictedKrbHost/域控CN.xxx.com
 | -- RPC/GUID._msdcs.xxx.com
 | -- TERMSRV/域控CN
 | -- TERMSRV/域控CN.xxx.com
 | -- WSMAN/域控CN
 | -- WSMAN/域控CN.xxx.com

多分支架构部署域控服务_第4张图片
多分支架构部署域控服务_第5张图片
多分支架构部署域控服务_第6张图片


Domain Controllers\域控CN\DFSR-LocalSettings\Domain System Volume\SYSVOL Subscription的属性编辑器检查如下选项:

msDFSR-RootPath			C:\Windows\SYSVOL\domain							# 必须为该目录路径
msDFSR-StagingPath		C:\Windows\SYSVOL\staging areas\xxx.com				# 必须为该目录路径

CN=Topology		# 拓扑里必须得有所有域控制器的CN

多分支架构部署域控服务_第7张图片
多分支架构部署域控服务_第8张图片



2. 在PDC主机上配置“DNS管理器”的所有站点配置
DNS管理器的配置分为_msdcs.xxx.com区域、xxx.com区域
注意事项:
1.DNS配置的树结构必须完全一致,否则AD域控的站点负载均衡将失效。
2.若缺少站点文件夹,可以新增主机记录之后拿到站点文件夹再删除主机记录,就会保留站点文件夹。


_msdcs.xxx.com区域配置详细参数表格

文件夹 详细内容 参数说明
_msdcs.xxx.com PDC主机的SOA记录
所有域控制器的NS记录
所有域控制器的CNAME记录
SOA:起始授权机构
NS:名称服务器
CNAME:别名
dc --> _sites --> siteN --> _tcp _kerberos:SRV记录 [0][100][88] 站点的域控制器DNS名称
_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称
SRV:服务位置。 三个方框分别表示 优先级、权重、端口号。最后是DNS名称。
_kerberos类型的记录一般是为域用户提供票据的作用,票据可在用户跟域控失联时登录域账号使用。    Kerberos_百度百科
_ldap类型的记录一般是为域用户提供登录认证的作用,使用域账号登录PC时需跟域控389端口互联进行认证才可以成功登录到域环境的PC。
dc --> _tcp 默认存储所有站点的_kerberos和_ldap记录 当域用户跟站点内的域控制器通信失败时就会找到dc文件夹下的记录进行通信
domains --> PDC主机GUID --> _tcp 默认存储所有站点的_ldap记录 -
gc --> _sites --> siteN --> _tcp _ldap: SRV记录 [0][100][3268] 站点的域控制器DNS名称 GC全局编录的_ldap记录,一般用于站点内域控制器之间的GC站点数据同步
gc --> _tcp 默认存储所有站点的_ldap记录(GC全局编录) 当站点内域控制器之间通信失败时就会找到gc文件夹下的记录进行通信
pdc --> _tcp _ldap: SRV记录 [0][100][389] PDC主域控制器的DNS名称 PDC主域控制器的LDAP记录

_msdcs.xxx.com区域的配置如下图,涉及站点的配置集中在_sites文件夹,GC全局编录的配置集中在gc文件夹,另外还有pdc主机的dns配置、domains域的dns配置。详细配置参考如上表格
多分支架构部署域控服务_第9张图片



xxx.com区域配置详细参数表格

文件夹 详细内容 参数说明
xxx.com PDC主机的SOA记录
所有域控制器的NS记录
所有域用户的A记录
A:主机
_msdcs 同_msdcs.xxx.com一致 同_msdcs.xxx.com一致
_sites --> siteN --> _tcp _kerberos:SRV记录 [0][100][88] 站点的域控制器DNS名称
_ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称
_gc: SRV记录 [0][100][3268] 站点的域控制器DNS名称
-
_sites --> _tcp 默认存储所有站点的_kerberos记录、_kpasswd记录、_ldap记录、_gc记录 _kpasswd: SRV记录 [0][100][464] 站点的域控制器DNS名称
_sites --> _udp 默认存储所有站点的_kerberos记录、_kpasswd记录 UDP协议通信失败时会转到TCP协议通信
DomainDnsZones --> _sites --> siteN --> _tcp _ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称 -
DomainDnsZones --> _tcp 默认存储所有站点的_ldap记录 -
ForestDnsZones --> _sites --> siteN --> _tcp _ldap: SRV记录 [0][100][389] 站点的域控制器DNS名称 -
ForestDnsZones --> _tcp 默认存储所有站点的_ldap记录 -

xxx.com区域的配置如下图,涉及站点的配置集中在_sites文件夹,GC全局编录的配置集中在gc文件夹,pdc主机的dns配置、domains域的dns配置。另外还有DomainDnsZones和ForestDnsZones区域的配置
多分支架构部署域控服务_第10张图片

多分支架构部署域控服务_第11张图片
多分支架构部署域控服务_第12张图片



参考链接

  1. [windows server 2008 站点系列一]AD的站点建立与子网的管理
  2. [windows server 2008 站点系列一]AD的站点建立与子网的管理
  3. Microsoft Learn 设计站点拓扑

你可能感兴趣的:(Windows,Server,运维,windows)