企业域控DC管理案例
系列文章链接如下:(点击名字即可进入)
1.企业网络批量安装服务器搭建案例
2.企业部署Windows域实验案例
3.企业域控DC管理案例
4.企业Windows域环境中的组策略应用案例一
5.企业Windows域环境中的组策略应用案例二
6.企业Windows服务器备份和灾难恢复案例
7.企业Windows服务器使用命令行完成备份和灾难恢复案例
8.企业活动目录AD升级案例
------------------------------------------------------------------
前言:
在上一篇博文“企业部署Windows域实验案例”中,我搭建了一个Windows域,了解了使用域可以为工作带来很多方便。在一个域中,至少要有一台域控制器,也可以添加多台域控制器,这样有助于提供容错,平衡负载,提高域服务的可用性和可靠性。本篇博文通过两个案例的实施,介绍域控制器的管理、额外域控制器的作用以及如何添加或卸载域控制器。
------------------------------------------------------------------------------
Windows域简介:
所谓域,就是由网络管理员定义的一组计算机的集合,实际上就是一个网络。通过使用域,可以将网络中的多台计算机在逻辑上组织到一起,对网络资源进行集中管理,让用户可以更便捷的去访问网络资源,从而大大降低网络管理成本。
在域中,至少要有一台域控制器。域控制器中保存着整个域的用户帐号、组、计算机、共享文件夹等活动目录对象的相关数据,管理员可以通过修改轰动美丽数据库的配置,实现对整个域的管理和控制。
在规划域结构时,应该从单域开始,这是最容易的域结构,只有单域模式不能满足要求时,才考虑增加其他的域。当网络中包含多个域时,就会构成域树和域林。
安装域控制器:
通过在一台计算机上安装活动目录,就会将这台计算机安装成域控制器。具体步骤请参考我的上一篇博文:“企业部署Windows域实验案例”http://minitoo.blog.51cto.com/4201040/838135
额外域控制器:
如果域中只有一台域控制器,一旦出现软件或物理故障,就以为着公司的业务将出现停滞。添加额外域控制器,指的是在域中添加第二台甚至更多的域控制器,每台域控制器都拥有一个Active Directory数据库。如果一台域控制器出现故障,只要域内其他域控制器有一个是正常的,就可以继续为用户登录或访问网络资源等提供正常服务。
额外域控制器的几点好处:
(1)提供容错功能:
即使其中一台域控制器出现故障,仍可以由其他域控制器继续提供域服务,从而使整个网络保持正常运行。让用户可以正常登录,并提供用户身份验证。
(2)提供负载均衡:
因为多台域控制器可以同时分担用户审核工作,因此可以加快用户审核速度。当网络内的用户数量较多,或者多种网络服务都需要身份认证时,应当安装多台域控制器。
(3)更易于用户的链接和访问:
在分支机构用户登录到域网络时,如果都必须由总部的域控制器进行身份验证的话,分支机构和总部之间的网络连接速度低,则验证的过程可能非常长。而如果在分支机构配置额外域控制器,分支机构网络用户就可以直接通过额外域控制器进行域网络登录,效率将大大提高。
------------------------------------------------------------------------------
案例环境一:安装额外域控制器
公司搭建了Windows Server 2008域 yye1.com 。域中现在有一台域控制器DC01,DC01上由用户账户dongjun和计算机账户Windows7。为了加强域的可用性,现在需要安装第2台域控制器DC02,该如何实现。
案例描述:
1)在域中添加额外域控制器DC02.
2)为客户机Windows7添加第2个DNS地址,使在DC01宕机的时候用户可以正常登录域。
案例实施:
1)准备好域控制器DC01,服务器DC02和已加入域的客户机Windows7。
1.DC02的IP地址为192.168.100.100/24。
2.Windows7的IP地址为192.168.100.10,DNS地址为192.168.100.100,已加入域yye1.com。
具体步骤请参考我的上一篇博文:“企业部署Windows域实验案例”http://minitoo.blog.51cto.com/4201040/838135
2)将计算机DC02加入到yye1.com域中。
1.配置DC02的IP地址为192.168.100.200,DNS地址为192.168.100.100。
2.在DC02上运行Active Directory域服务安装向导,将其加入域。
(与安装第一台域控制器类似,这里列出大致步骤)
3.更改DC02的第1个DNS地址为192.168.100.200,第2个DNS地址为192.168.100.100。
3)在DC01上打开“网络连接”,将网卡禁用(模拟DC01宕机的情况)。
4)在客户机Windows7上添加第2个DNS地址192.168.100.200。
5)验证结果,重新启动客户机Windows7,使用用户账户dongjun还是可以登录到域。
----------------------------------------------------------------------
案例环境二:卸载域控制器
公司搭建了Windows Server 2008域 yye1.com ,域中有两台域控制器DC01和DC02,现在DC02要改做其他用途,不再担任域控制器的角色,需要将DC02卸载。
案例描述:
在DC02上卸载活动目录,使其成为一台普通成员服务器。
案例实施:
1)准备好域控制器DC01、DC02和已加入域的客户机Windows7。
2)在DC02上卸载Active Directory。
1.使用域管理员账户登录到DC02。
2.在DC02上运行Active Directory域服务安装向导,将其卸载。
3)在客户机Windows7上删除第2个DNS地址。
注意:
当客户机无法解析域名或DC不可用时,客户机可以通过本地缓存登录到域,但有登录次数限制,默认为10次,这里所说的10次,是10个用户登录,而不是一个用户登录的最大有效次数,一个用户可登录的次数理论上是无限的。可以按以下步骤修改此设置,打开组策略编辑器,导航到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,在右侧窗格中打开选项“交互式登录:之前登录到缓存的次数(域控制器不可用时)”,即可进行修改。