在大的集团的中,经常有一种情况的出现,例如我们的总公司在上海,但是因为业务的扩展,我们的公司在广州开了一个大约40人的办事处,这个时候需要在广州安装一台额外的DC,可是相隔广域网的话,通过网络复制我们的网络负载是吃不消的,这个时候,我们应该用什么办法来安装在广州的额外DC呢,下面让我们看一下好的解决办法:
下面让我们一起来欣赏这样的奇迹是如何实现的:
案例环境介绍:
某集团各公司使用单域环境管理整个企业的资源,首先在上海总部部署了一台域控制器并创建里域用户账户、组账户并制定了相关的组策略。广州分公司也需要使用域环境实现集中管理,并实现统一管理的IT基础架构环境。那么为了让广州分公司的用户实现高效的的用户体验(登陆域等实用AD资源的速度快)。所以在设计整个AD的架构环境时contoso公司的CIO决定采用多站点的方式实现分布于不同子网分支机构的集中管理。
如下图所示:
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows
现在需要在广州部署另一台应对广州用户的AD查询工作的DC,但是广州和上海之间的网络链接速度很慢,所以如果联机状态下通过复制的方式在广州添加一台DC(因为需要跟上海的DC做验证并且复制上海DC中的配置信息、Schema、域的目录分区以及SYSVOL的设置等内容)的话肯定会受到慢速连接的影响,那么效率一定会很低。
你可以使用32位的通用域控制器安装媒体文件安装64位或者32位的DC。当你选择使用安装媒体添加DC时请注意以下四点:
A 使用最近创建的安装媒体文件以减少DC间的数据复制;
B 使用相同的域并且相同操作系统的DC创建安装媒体文件;
C 将创建好的安装媒体文件拷贝到要部署成额外DC的服务器本地磁盘上进行安装,你不能使用UNC路径或者映射网络驱动器的方式安装;
D 你的安装媒体的版本不能比墓碑存活时间还旧,默认的墓碑存活时间是60天。如果你的安装媒体比墓碑存活时间还旧,就会导致你通过安装媒体安装DC失败。
如果你能遵守以上4条铁则,请跟着我下面的步骤来部署,直到成功:
就两步:先创建安装媒体,然后通过安装媒体安装额外域控制器
一、创建安装媒体:
位置:位于上海的DC
目的:创建用于安装广州DC的安装介质
说明:创建安装介质实际上是将上海这台DC配置信息、Schema、域的目录分区以及SYSVOL的设置等内容备份出来。
步骤:
1、在上海的DC上以域管理员身份登陆并打开命令提示符
2、在命令提示符中输入ntdsutil
3、 在ntdsutil界面中输入 Activate Instance ntds 设置“NTDS”作为活动实例
4、 输入IFM 进入IFM媒体创建界面
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_02
5、 输入Create Full D:\adback(备份媒体文件路径) [*也可以使用Create RODC D:\adback创建只用于创建只读域控制器的备份媒体文件 也可以使用 Create Sysvol Full D:\adback创建带有sysvol的媒体文件]
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_03
6、 媒体文件创建成功后,退出ntdsutil界面,并复制创建成功的媒体文件(安装介质)
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_04
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_05
二、通过安装媒体添加域控制器:
位置:位于广州的要升级为域控制器的服务器(准DC)
目的:在广州为contoso公司添加域控制器
说明:因为前面已经创建了用于在脱机状态下部署DC用的媒体文件(安装媒体),所以只需将安装媒体复制到广州的DC上就可以用于安装了。(用U盘考过去、Email发过去、FTP、×××方法很多,还请诸位CIO根据自己公司的IT环境想办法解决了哈。)
步骤:
1、 以本地管理员的身份登陆广州的准DC,在运行中输入 dcpromo /adv 安装AD DS(活动目录域服务)并打开域控制器安装向导的高级模式(只有选择高级模式才会出现使用安装媒体的选项页)
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_06
2、 选择向现有林中添加域控制器
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_07
3、 输入要将这台DC添加到的域的域名,并输入域管理员的认证凭据(即域管理员的用户名、密码)
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_08
4、联机到上海的DC并选择额外的域控制器添加在林中的位置。
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_09
5、选择将额外域控制器添加到哪一个站点
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_10
6、选择是否安装DNS服务器、是否设置为全局编录、是否设置为只读DC
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_11
7、选择从安装媒体复制数据(关键步骤,只有dcpromo高级模式中才会有这个选项。)
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_12
8、设置这台额外域控制器的复制源。
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_13
9、选择AD数据库文件、日志文件、SYSVOL文件存放的位置
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_14
10、设置还原模式密码(要符合复杂性要求)
活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_15
11、安装配置信息汇总页,通过本页再次确认配置信息。确认都选择下一步开始安装。(导出设置选项可以将刚刚的所有设置制作成应答文件,页可以通过应答文件安装DC。活动目录实战之三 不同地域安装额外域控制器(从媒介安装DC)_Windows_16
结语:在大家选择通过安装媒体添加额外域控制器的时候活动目录的配置信息、架构信息和所有的对象都会通过安装媒体从本地进行快速复制(加快安装额外域控制器的速度)。
但是,SYSVOL中的配置信息是无法从本地的安装媒体中复制的,因为在windows server 2008 的活动目录域服务中AD DS的角色开始工作前SYSVOL是不被接受的。所以,在通过安装媒体安装完额外DC后,额外DC重新启动开始工作时,还需要和其他DC联机复制SYSVOL的信息。