将额外的域控制器添加到现有 AD 域
要构建容错的 Active Directory 基础结构并平衡客户端请求的负载,您至少需要两个域控制器。还建议在远程站点创建额外的域控制器。在本文中,我们将了解如何向现有 AD 域添加额外的(辅助、第三等)域控制器。
内容:
- 准备 Windows Server 进行域控制器部署
- 在 Windows Server 上安装 Active Directory 域服务 (ADDS) 角色
- 将新域控制器添加到现有 Active Directory 域
- 如何检查新域控制器的运行状况
准备 Windows Server 进行域控制器部署
部署运行 Windows Server 的新主机(物理或虚拟)。建议在 Active Directory 中的所有 DC 上使用相同版本的 Windows Server。在我的示例中,这是 Windows Server 2019。
从新 Windows Server 主机的初始配置开始。
使用服务器管理器或 PowerShell 命令设置与您的基础结构相对应的域控制器的名称(例如,mun-dc02):
Rename-Computer -NewName mun-dc02
为服务器设置静态 IP 地址并提供 DNS 设置。作为首选 DNS 服务器,输入127.0.0.1(让您的 DNS 查询运行得更快)。然后输入与备用 DNS 相同的 AD 站点中最近的域控制器的 IP 地址。您可以使用 PowerShell 在 Windows 中设置 IP 和 DNS 设置:
Get-NetAdapter
New-NetIPAddress -IPAddress 192.168.13.14 -DefaultGateway 192.168.13.1 -PrefixLength 24 -InterfaceIndex 6
Set-DNSClientServerAddress -InterfaceIndex 6 -ServerAddresses ("127.0.0.1","192.168.10.14")
设置时区并确保服务器上设置的时间正确。
安装最新的安全更新(您可以从本地 WSUS 服务器或 Windows 更新安装更新)。安装 Windows 更新的另一种方法是使用 PSWindowsUpdate PowerShell 模块。
然后启用远程桌面 (RDP) 访问,将 Windows Server 计算机加入 Active Directory 域,然后重新启动 Windows:
Add-Computer -DomainName woshub.loc
Restart-Computer -force
如果您要为新的远程站点部署 DC,请打开 Active Directory 站点和服务控制台 (dssite.msc),创建一个新站点,并将要由 DC 提供服务的 IP 客户端子网绑定到该站点。
在 Windows Server 上安装 Active Directory 域服务 (ADDS) 角色
准备好后,您可以在 Windows Server 上安装 Active Directory 域服务 (ADDS) 角色。打开服务器管理器,转到管理 -> 添加角色和功能 -> 服务器角色 -> 并检查活动目录域服务。
您还可以使用 PowerShell 安装 ADDS 角色:
Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose
确保已安装 AD 域服务角色:
Get-WindowsFeature -Name *AD-Domain*
将新域控制器添加到现有 Active Directory 域
安装 ADDS 角色后,您可以将 Windows Server 主机从成员服务器升级为域控制器。
在服务器管理器控制台中,单击将此服务器提升为域控制器。
然后选择将域控制器添加到现有域。
选择您要安装的DNS服务器在此服务器上并启用全球目录角色。
然后设置目录服务还原模式 (DRSM) 的密码。
在 DSRM 模式下,您可以从备份副本恢复 AD 域控制器。
如果您计划部署只读域控制器,请启用该选项。在这种情况下,我们不会使用此选项,因为我们需要部署普通(读/写,RW)DC。
选择要放置新 DC 的 AD 站点(在我们的示例中,我们选择了刚刚创建的 MUN 站点)。
请跳过 DNS 服务器委托步骤。
推荐阅读:如何更改域控制器的IP地址
然后,您可以选择最近的域控制器用于将 AD 数据库复制到新的 DC。如果您附近有所有 DC 并通过快速链接连接,请选择任何域控制器。请注意,将目录和 SYSVOL 初始复制到新 DC 可能会导致 WAN 链路负载过重。
当在连接较差或不稳定的远程站点部署新的DC时,您可以使用IFM(从媒体安装)模式。这需要您在现有 DC 上拍摄域分区和 SYSVOL 的快照,将其复制到物理介质,然后将其传递到分支以部署新 DC。
然后提供 ADDS 数据库的路径(NTDS。它) 和 sysvol 目录。在大多数情况下,默认路径可以正常工作:
C:WindowsNTDSC:WindowsSYSVOL
这是验证程序应该开始的时候。如果您满足所有先决条件,则会出现以下消息:
All prerequisite checks passed successfully.
剩下要做的事现在是点击安装并将您的服务器升级为 DC。
您还可以使用 PowerShell 部署新的域控制器。因此,上述所有设置都可以使用单个命令进行配置:
Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "C:WindowsNTDS" -DomainName "woshub.loc" -InstallDns:$true -LogPath "C:WindowsNTDS" -NoRebootOnCompletion:$false -SiteName "MUN" -SysvolPath "C:WindowsSYSVOL" -Force:$true
安装完成后,服务器会自动重启。
如何检查新域控制器的运行状况
安装新 DC 后,您需要检查其状态以及 Active Directory 中复制的正确性。
首先,检查新的域控制器是否列在域控制器ADUC 控制台中的容器。
您还可以使用 AD PowerShell 模块来获取有关新 DC 的信息:
Get-ADDomainController -Identity MUN-DC02
以下是检查域控制器之间复制状态的方法:
repadmin /showrepl *
repadmin /replsummary
并获取特定 DC 的复制合作伙伴的详细信息:
repadmin /replsummary mun-dc02
就我而言,最大的增量值为未知。这通常是因为复制尚未完成。您可以使用 Active Directory 站点和服务控制台强制进行复制。为此,请展开您的站点,选择您的 DC,展开 NTDS 设置,然后单击链接并选择复制全部。
此外,您可以使用以下命令启动完整复制:
repadmin /syncall
检查是否没有复制错误。
您可以使用链接中的脚本来检查域控制器和 AD 复制的运行状况。
您的新 DC 现在已准备好为客户端提供服务,并充当连接到它的 IP 子网/站点的计算机的登录服务器。
最后,我为您提供了一些对 AD 管理员有用的文章链接:
- 如何移动/夺取 FSMO 角色
- 如何降级(删除)域控制器
- 管理 Active Directory 中的 GPO
- 重命名 Active Directory 域
- 重置AD域管理员密码
