Windows Server 2012R2 实现AD双域控制器互为冗余

前言

在部署活动目录服务的时候，首先应该考虑域控制器的安全性，主域控一旦崩掉，通常很难修复，后果很是严重，本文介绍在活动目录中部署两台域控制器，两台都是主控，互为冗余。

 

环境
网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2

域名 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

部署第一台域控
修改机器名和ip
先修改ip地址，而且将dns指向本身，而且修改计算机名为DC1，升级成域控后，机器名称会自动变成dc1.contoso.com

安装域功能

选择服务器

选择域服务

提高为域控制器

添加新林

此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为http://www.contoso.com，则内部的林根域名就不能是contoso.com，不然将来可能会有兼容问题。另外.com后缀也是能够更改的，如.us.

选择林功能级别，域功能级别。、

此处咱们选择的为win 2012 ，此时域功能级别只能是win 2012，若是选择其余林功能级别，还能够选择其余域功能级别

默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不能够是只读域控制器（RODC）这个角色是win 2008时新出来的功能
设置目录还原密码。

目录还原模式是一个安全模式，能够开机进入安全模式时修复AD数据库，可是必须使用此密码

此密码建议要牢记，是做为登陆域的密码。冗余域控制器的密码也须要跟它保持一致。

出现此警告无需理会，会自动安装DNS服务器。另外需关注目录服务器的名称是否修改。

系统会自动建立一个netbios名称，能够更改。

不支持DNS域名的旧系统，如win98 winnt须要经过netbios名来进行通讯

• 数据库文件夹：用了存储AD数据库
• 日志文件文件夹：用了存储AD的更改记录，此记录能够用来修复AD数据库

• SYSVOL文件夹：用了存储域共享文件（例如组策略）

若是计算机内有多个硬盘，建议将数据库与日志文件夹分别设置到不一样的硬盘内，分两个硬盘能够提供运行效率，并且分开存储能够避免两份数据同时出现问题，以提升修复AD的能力。（不过我认为如今都是RAID模式了不必分开，和操做系统分区分开就能够了）

检查摘要内容，若是没有问题，直接选择一下部，若是有问题，则返回修改，以下图：

顺利经过检查，直接安装

安装完成重启

安装完成后服务起管理器会多不少AD的经常使用管理命令，点击"工具",如图：

检查DNS服务器内的记录是否完备
域控会将本身扮演的角色注册到DNS服务器内，以便让其余计算机可以经过DNS服务器来找到域控。所以先检查DNS服务器内是否已经存在这些记录。须要用域管理员帐户来登录：contoso\administrator或者contoso.com\administrator

检查主机记录
选择管理工具-dns

默认会有一个contoso.com的区域，主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内

若是域控制器已经正确的将家里注册到dns服务器，应该还会有_tcp _udp等文件夹。单击_tcp文件夹后能够看到数据类型为服务位置(SRV)的_ldap记录，表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演

排除注册失败的问题
若是域成员自己的设置或者网络问题，会形成没法将数据注册到DNS服务器。

若是有成员计算机的主机与ip美圆正确注册到DNS服务器，能够到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如server1.contoso.com，ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。

若是发现域控制器没有将其扮演的角色注册到dns服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务

建立更多的域控制器
若是一个域内有多个域控制器，能够有以下好处.

提升用户登陆的效率：若是同时有多台域控制器对客户提供服务，能够分担审核用户登陆身份（帐户与密码）的负担，让用户登陆效率更佳。
排错功能：若是有域控制器发生故障，此时依然能有其余正常的域控制器继续提供域服务器。
能够配置成为冗余，其中一台故障，不须要切换仍然可保持正常服务。
 

一、首先更名，修改IP，配置DNS指向第一台域控制器：192.168.100.11完成后确认能ping通。

二、在第二服务器系统中，打开计算机属性，修改计算机名为DC2，加入域为contoso.com，DNS后缀为contoso.com，如图；而后再弹出的加入域受权凭据对话框中输入域控制器的帐号和密码并肯定，而后重启，完成域的加入。参考下图：

三、按照第一台域控制器的方法，安装Active Directory 域服务和DNS服务器角色。

四、在Active Directory 域服务配置向导的部署配置标签中，选择将域控制器增长到现有域，填写域名contoso.com，提供此操做的凭据abc\administrator（域管理员帐户密码做为凭据）选择下一步，参考如图。

五、在Active Directory 域服务配置向导的域控制器选项标签中，勾选全局编录GC，选择站点名称contoso（域内站点多的话会要求选择），输入DSRM还原密码（密码是新设置的哦），而后选择下一步，参考如图。

六、在Active Directory 域服务配置向导的DNS选项标签到查看选项标签，默认下一步便可，在先决条件检查，查看检查经过，就能够选择安装了，如图；完成后重启DC2。

七、而后切换到DC1，打开DNS服务器，在contoso.com区域上点击右键属性，在常规标签，更改域控制器与DNS集成，并应用，参考如图

八、在常规标签中，更改如何复制区域数据为，至此域中的全部DNS服务器，动态更新设置为安全，参考下图。

九、在DC1上的DNS服务器中的contoso.com区域属性上，在名称服务器标签中，增长DC2为名称服务器，在弹出框中输入 dc2的IP和彻底限定的域名 dc2.contoso.com，参考下图。

十、切换至DC2，重复以上步骤（名称服务器地址和彻底限定域名是DC1的），完成后刷新，会看到和DC1上的DNS服务器同样的contoso.com区域内容。

十一、验证

在DC2上打开Active Directory 用户和计算机，会发现内容和DC1上的彻底一致，在Domain Controller中能够看到，DC一、DC二、类型都是全局编录GC，表示两个域控制器是平等互为冗余的（记得在把域中的计算机对象DNS同时指向192.168.100.11和192.168.100.12，这样在当某台域控制器宕机时，不会影响域的正常使用哦）。 ———————————————— 版权声明：本文为CSDN博主「weixin_40283570」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处连接及本声明。原文连接：https://blog.csdn.net/weixin_40283570/article/details/81184299