企业域控DC管理案例

系列文章链接如下：（点击名字即可进入）

1.企业网络批量安装服务器搭建案例

2.企业部署Windows域实验案例

3.企业域控DC管理案例

4.企业Windows域环境中的组策略应用案例一

5.企业Windows域环境中的组策略应用案例二

6.企业Windows服务器备份和灾难恢复案例

7.企业Windows服务器使用命令行完成备份和灾难恢复案例

8.企业活动目录AD升级案例

------------------------------------------------------------------

前言：

在上一篇博文“企业部署Windows域实验案例”中，我搭建了一个Windows域，了解了使用域可以为工作带来很多方便。在一个域中，至少要有一台域控制器，也可以添加多台域控制器，这样有助于提供容错，平衡负载，提高域服务的可用性和可靠性。本篇博文通过两个案例的实施，介绍域控制器的管理、额外域控制器的作用以及如何添加或卸载域控制器。

------------------------------------------------------------------------------

Windows域简介：

所谓域，就是由网络管理员定义的一组计算机的集合，实际上就是一个网络。通过使用域，可以将网络中的多台计算机在逻辑上组织到一起，对网络资源进行集中管理，让用户可以更便捷的去访问网络资源，从而大大降低网络管理成本。

在域中，至少要有一台域控制器。域控制器中保存着整个域的用户帐号、组、计算机、共享文件夹等活动目录对象的相关数据，管理员可以通过修改轰动美丽数据库的配置，实现对整个域的管理和控制。

在规划域结构时，应该从单域开始，这是最容易的域结构，只有单域模式不能满足要求时，才考虑增加其他的域。当网络中包含多个域时，就会构成域树和域林。

安装域控制器：

通过在一台计算机上安装活动目录，就会将这台计算机安装成域控制器。具体步骤请参考我的上一篇博文：“企业部署Windows域实验案例”/article/4355830.html

额外域控制器：

如果域中只有一台域控制器，一旦出现软件或物理故障，就以为着公司的业务将出现停滞。添加额外域控制器，指的是在域中添加第二台甚至更多的域控制器，每台域控制器都拥有一个Active Directory数据库。如果一台域控制器出现故障，只要域内其他域控制器有一个是正常的，就可以继续为用户登录或访问网络资源等提供正常服务。

额外域控制器的几点好处：

（1）提供容错功能：

即使其中一台域控制器出现故障，仍可以由其他域控制器继续提供域服务，从而使整个网络保持正常运行。让用户可以正常登录，并提供用户身份验证。

（2）提供负载均衡：

因为多台域控制器可以同时分担用户审核工作，因此可以加快用户审核速度。当网络内的用户数量较多，或者多种网络服务都需要身份认证时，应当安装多台域控制器。

（3）更易于用户的链接和访问：

在分支机构用户登录到域网络时，如果都必须由总部的域控制器进行身份验证的话，分支机构和总部之间的网络连接速度低，则验证的过程可能非常长。而如果在分支机构配置额外域控制器，分支机构网络用户就可以直接通过额外域控制器进行域网络登录，效率将大大提高。

------------------------------------------------------------------------------

案例环境一：安装额外域控制器

公司搭建了Windows Server 2008域 yye1.com 。域中现在有一台域控制器DC01，DC01上由用户账户dongjun和计算机账户Windows7。为了加强域的可用性，现在需要安装第2台域控制器DC02，该如何实现。

案例描述：

1）在域中添加额外域控制器DC02.

2）为客户机Windows7添加第2个DNS地址，使在DC01宕机的时候用户可以正常登录域。

案例实施：

1）准备好域控制器DC01，服务器DC02和已加入域的客户机Windows7。

1.DC02的IP地址为192.168.100.100/24。

2.Windows7的IP地址为192.168.100.10，DNS地址为192.168.100.100，已加入域yye1.com。

具体步骤请参考我的上一篇博文：“企业部署Windows域实验案例”/article/4355830.html

2）将计算机DC02加入到yye1.com域中。

1.配置DC02的IP地址为192.168.100.200，DNS地址为192.168.100.100。









2.在DC02上运行Active Directory域服务安装向导，将其加入域。

（与安装第一台域控制器类似，这里列出大致步骤）





























3.更改DC02的第1个DNS地址为192.168.100.200，第2个DNS地址为192.168.100.100。





3）在DC01上打开“网络连接”，将网卡禁用（模拟DC01宕机的情况）。









4）在客户机Windows7上添加第2个DNS地址192.168.100.200。





5）验证结果，重新启动客户机Windows7，使用用户账户dongjun还是可以登录到域。









----------------------------------------------------------------------

案例环境二：卸载域控制器

公司搭建了Windows Server 2008域 yye1.com ，域中有两台域控制器DC01和DC02，现在DC02要改做其他用途，不再担任域控制器的角色，需要将DC02卸载。

案例描述：

在DC02上卸载活动目录，使其成为一台普通成员服务器。

案例实施：

1）准备好域控制器DC01、DC02和已加入域的客户机Windows7。

2）在DC02上卸载Active Directory。

1.使用域管理员账户登录到DC02。





2.在DC02上运行Active Directory域服务安装向导，将其卸载。





















3）在客户机Windows7上删除第2个DNS地址。





注意：

当客户机无法解析域名或DC不可用时，客户机可以通过本地缓存登录到域，但有登录次数限制，默认为10次，这里所说的10次，是10个用户登录，而不是一个用户登录的最大有效次数，一个用户可登录的次数理论上是无限的。可以按以下步骤修改此设置，打开组策略编辑器，导航到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，在右侧窗格中打开选项“交互式登录：之前登录到缓存的次数（域控制器不可用时）”，即可进行修改。
本文出自 “迷你兔” 博客，请务必保留此出处/article/4355831.html