在企业IT基础架构环境部署工作中,因为网络应用的普及,为了更加全面提早的洞悉市场、把控市场,很多企业选择了分布式管理的灵活运作模式。把控市场、抢占市场先机着实有利了,但是在企业资源管理这方面却出现了难以把控的状态,导致企业资源浪费的状况。
     分支机构多了,自然管理成本就增加了。那么如何打破地域、时间限制,在把控市场的同时,强化集中管理缩减管理成本呢?通过引入微软的活动目录环境确实可以集中管理企业资源,强化企业资源的管理,从而缩减管理成本。但是,在多分支机构的企业环境中,很多CIO对部署活动目录环境都会觉得很麻烦,或者说很不容易。
     导致不易的最主要原因是部署远程分支机构的DC时需要跟另外一台已经部署好的并且处于其他地理位置的DC保持高速连接的状态(因为需要复制大量的数据信息,而且大部分中小企业的分支机构内联网络都是慢速连接),能做到这样的着实不易,因为单从网络连接的角度考虑,就是一件很费成本的事情。
     今天要跟大家分享的就是打破这一物理隔阂的最佳办法,CIO们不必再考虑联机成本的问题了,因为我们可以把需要通过网络复制的数据信息通过安装媒体转移到要被升级成DC的服务器本地,这样就可以不受到网络连接速度影响而部署远程分支机构的DC了。
     讲到这,自己也有点小兴奋了。
     下面让我们一起来欣赏这样的奇迹是如何实现的:
案例环境介绍:
Contoso公司使用单域环境管理整个企业的资源,首先在上海总部部署了一台域控制器并创建里域用户账户、组账户并制定了相关的组策略。广州分公司也需要使用域环境实现集中管理,并实现统一管理的IT基础架构环境。那么为了让广州分公司的用户实现高效的的用户体验(登陆域等实用AD资源的速度快)。所以在设计整个AD的架构环境时contoso公司的CIO决定采用多站点的方式实现分布于不同子网分支机构的集中管理。
如下图所示:
clip_image001
现在需要在广州部署另一台应对广州用户的AD查询工作的DC,但是广州和上海之间的网络链接速度很慢,所以如果联机状态下通过复制的方式在广州添加一台DC(因为需要跟上海的DC做验证并且复制上海DC中的配置信息、Schema、域的目录分区以及SYSVOL的设置等内容)的话肯定会受到慢速连接的影响,那么效率一定会很低。
你可以使用32位的通用域控制器安装媒体文件安装64位或者32位的DC。当你选择使用安装媒体添加DC时请注意以下四点:
A 使用最近创建的安装媒体文件以减少DC间的数据复制;
B 使用相同的域并且相同操作系统的DC创建安装媒体文件;
C 将创建好的安装媒体文件拷贝到要部署成额外DC的服务器本地磁盘上进行安装,你不能使用UNC路径或者映射网络驱动器的方式安装;
D 你的安装媒体的版本不能比墓碑存活时间还旧,默认的墓碑存活时间是60天。如果你的安装媒体比墓碑存活时间还旧,就会导致你通过安装媒体安装DC失败。
如果你能遵守以上4条铁则,请跟着我下面的步骤来部署,直到成功:
就两步:先创建安装媒体,然后通过安装媒体安装额外域控制器
一、创建安装媒体:
位置:位于上海的DC
目的:创建用于安装广州DC的安装介质
说明:创建安装介质实际上是将上海这台DC配置信息、Schema、域的目录分区以及SYSVOL的设置等内容备份出来。
步骤:
1、在上海的DC上以域管理员身份登陆并打开命令提示符
2、在命令提示符中输入ntdsutil
3、 在ntdsutil界面中输入 Activate Instance ntds 设置“NTDS”作为活动实例
4、 输入IFM 进入IFM媒体创建界面
clip_image002
5、 输入Create Full D:\adback(备份媒体文件路径) [*也可以使用Create RODC D:\adback创建只用于创建只读域控制器的备份媒体文件 也可以使用 Create Sysvol Full D:\adback创建带有sysvol的媒体文件]
clip_image004
6、 媒体文件创建成功后,退出ntdsutil界面,并复制创建成功的媒体文件(安装介质)
clip_image006
clip_image007
二、通过安装媒体添加域控制器:
位置:位于广州的要升级为域控制器的服务器(准DC)
目的:在广州为contoso公司添加域控制器
说明:因为前面已经创建了用于在脱机状态下部署DC用的媒体文件(安装媒体),所以只需将安装媒体复制到广州的DC上就可以用于安装了。(用U盘考过去、Email发过去、FTP、***方法很多,还请诸位CIO根据自己公司的IT环境想办法解决了哈。)
步骤:
1、 以本地管理员的身份登陆广州的准DC,在运行中输入 dcpromo /adv 安装AD DS(活动目录域服务)并打开域控制器安装向导的高级模式(只有选择高级模式才会出现使用安装媒体的选项页)
clip_image008
2、 选择向现有林中添加域控制器
clip_image009
3、 输入要将这台DC添加到的域的域名,并输入域管理员的认证凭据(即域管理员的用户名、密码)
clip_image010
4、联机到上海的DC并选择额外的域控制器添加在林中的位置。
clip_image011
5、选择将额外域控制器添加到哪一个站点
clip_image012
6、选择是否安装DNS服务器、是否设置为全局编录、是否设置为只读DC
clip_image013
7、选择从安装媒体复制数据(关键步骤,只有dcpromo高级模式中才会有这个选项。)
clip_image014
8、设置这台额外域控制器的复制源。
clip_image015
9、选择AD数据库文件、日志文件、SYSVOL文件存放的位置
clip_image016
10、设置还原模式密码(要符合复杂性要求)
clip_image017
11、安装配置信息汇总页,通过本页再次确认配置信息。确认都选择下一步开始安装。(导出设置选项可以将刚刚的所有设置制作成应答文件,页可以通过应答文件安装DC。有兴趣的朋友可以参考我的这篇博文:core模式下部署域控制器
clip_image018
有字真言:
在大家选择通过安装媒体添加额外域控制器的时候活动目录的配置信息、架构信息和所有的对象都会通过安装媒体从本地进行快速复制(加快安装额外域控制器的速度)。
但是,SYSVOL中的配置信息是无法从本地的安装媒体中复制的,因为在windows server 2008 的活动目录域服务中AD DS的角色开始工作前SYSVOL是不被接受的。所以,在通过安装媒体安装完额外DC后,额外DC重新启动开始工作时,还需要和其他DC联机复制SYSVOL的信息。
                                                                     2009年12月12日
                                                                              于古城西安