Windows Server 2016-部署额外域控制器

liyeho

　　我们一般所提到的所谓域外控制器，是指除域内第一台域控制器之外的其他域控制器。额外域控制器很多时候也有辅助域控一称。那么在同一域内安装多台域控制器有什么优点呢：
　　1、提高用户登录效率。多台域控制器可以同时分担验证用户的工作，因此可以加快用户的登录速度；同时当网络内的用户数量较多或多种网络服务都需要进行身份认证时验证速度大大加快。
　　2、容错功能。如其中一台或多台域控制器出现故障，其他正常的域控制器依旧可以提供验证服务等，对用户无感知无影响。
　　3、负载平衡功能。部署多台域控制器，环境中域控制器自动平衡负载。如果有多站点设计，各站点用户可就近验证，减轻主站点的压力等。
　　复制活动目录数据库的方式：
　　在安装额外的域控制器时，需要将活动目录数据库由现有的域控制器复制到这台新的域控制器。复制活动目录数据库的两种方式：
　　1、通过网络复制。如果活动目录数据库内容较多，该方式将影响网络效率。
　　2、备份"系统状态数据（System State）"。先备份正常域控制器的"系统状态数据"，再恢复系统状态数据到新创建的域外控制器即可完成恢复。
　　提示：如果活动目录数据库非常庞大，那么，复制工作势必将增加网络负担，并降低原有域控制器的响应速率。因此，域外控制器的安装工作，应当尽量选择在非工作时段进行，以减少对正常工作的影响。
　　辅助域控部署流程：
　　1.配置正确的网络信息，测试与第一台域控制器的连通性，如两台域控不在同一机房或区域，请保证二者通过***链路通信正常。
　　2.将辅助域控修改主机名并加入到第一台域控major.azureyun.local
　　3.将已加域的服务器提升为辅助域控，服务器端测试或客户端登录验证；
　　
　　一：环境准备：
　　1.1.网络设置，首选DNS服务器指向第一台域控：

　　1.2.测试网络连通性及解析是否正常（防火墙可禁用或添加对应的防火墙策略）。

　　1.3.通过命令行加域，加域后记得重启。
netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!　　NETDOM JOIN（加域命令） %COMPUTERNAME% (获取计算机名称，也可直接输入名称) /DOMAIN:azureyun.local（要加入的域） /UserD:administrator（有权限的加域帐号） /PasswordD:abc.123!（对应密码） /REBOOT（加域后是否需要重启）

　　注意：不管是常规加域或者通过命令行加域，如果之前是通过远程连接的，记得重启前要关闭防火墙或者添加防火墙策略。

　　加域成功，如下图：

　　
　　二：添加AD DS角色：
　　2.1.打开服务器管理器，选择"添加角色和功能"：

　　2.2.默认下一步继续：

　　2.3.选择基于角色或基于功能的安装，下一步继续：

　　2.4.选择从服务器池中选择服务器，下一步继续：

　　2.5.勾选"Active Directory域服务"，下一步继续:

　　2.6.功能接受默认，下一步继续：

　　2.7.默认下一步继续：

　　2.8.可选择是否自动启动，点击"安装"继续：

　　2.9.角色安装操作完成。

　　
　　三.提升额外(辅助)域控制器：
　　3.1.紧接2.9步，点击"将此服务器提升为域控制器"，选择"将域控制器添加到现有域"，输入相应的凭据下一步继续：

　　3.2.默认已勾选"域名系统(DNS)服务器"与"全局编录"，这里可选择站点名称，默认我环境里只有一个Default-First-Site-Name站点名称，并键入目录还原模式密码，下一步继续：

　　3.3.这里默认下一步继续：

　　3.4.选择从哪里复制相关信息，可自定义复制源，下一步继续：

　　3.5.指定AD DS数据库、日志文件和SYSVOL的日志位置，这里默认下一步继续：

　　3.6.确认已配置信息，下一步继续：

　　也可以通过Powershell安装额外域控，命令如下：
#部署azureyun.local辅助域　　
Import-Module ADDSDeployment
　　
Install-ADDSDomainController `
　　
-NoGlobalCatalog:$false `
　　
-CreateDnsDelegation:$false `
　　
-CriticalReplicationOnly:$false `
　　
-DatabasePath "C:\Windows\NTDS" `
　　
-DomainName "azureyun.local" `
　　
-InstallDns:$true `
　　
-LogPath "C:\Windows\NTDS" `
　　
-NoRebootOnCompletion:$false `
　　
-SiteName "Default-First-Site-Name" `
　　
-SysvolPath "C:\Windows\SYSVOL" `
　　
-Force:$true

　　3.7.先决条件检查如无问题直接单击"安装"继续：

　　3.8.提升辅助域控制器成功，点击"关闭"完成操作。

　　
　　四.验证辅助域控：
　　4.1.查看Active Directory用户和计算机下Domain Controllers已有SPARE计算机信息；查看DNS已有spare对应解析记录：

　　4.2.验证Active Directory站点和服务下已成功添加Spare辅助域控信息：

　　4.3.通过net accounts查看计算机角色为BACKUP，说明辅助域控添加成功。

　　4.4.通过dsquery server(查看已部署域控制器)、dsquery server -isgc(查看已部署全局编录服务器信息)、netdom query fsmo(查看五种操作主机角色所在域控制器)：

　　辅助域控添加成功。