四種AD安裝的情況以及配置方法(簡易版)

[psac]

--------------------------------------------------------------------------------

how two： 四種AD安裝的情況以及配置方法(簡易版)

----------------
看到論壇裡面很多人問AD使用中出現問題，比如找不到另一台域控制器，其實很多問題是安裝AD不當造成的，有些和DNS也有關係。
AD涉及的內容還是比較多的，所以今晚寫一個簡易的安裝AD的步驟出來。AD有問題的時候可以check一下，看安裝是否正確。
我這裡寫的比較簡單，主要是沒有詳細寫關於DNS delegate如何做，所有場景均使用一個dns伺服器，如果要設定更詳細，可以參考win2000 dns white paper，微軟網站有下載。

另外個人建議，如果要管理好AD，對DNS還是要下一些功夫弄清楚。否則即使裝了，管理起來出問題也很難排錯。
----------------

----------------
環境：
兩台win2k server,配置如下

1： 電腦名稱： server1
IP: 192.168.0.1

2: 電腦名稱： server2
IP: 192.168.0.2

－－－－－－－－


－－－－－－－－－－－－－－－－情況一：單域，單域控制器－－－－－－－－－－－－－－
目標：
將server1做成域控制器，域名為test.com，server2作為member server


AD需要DNS的支持，DNS可以在安裝AD的前中後裝，建議在AD安裝之前裝，並手動配置

(1A) 安裝DNS(server1上)

1:安裝DNS服務。（如果是給forestroot做DNS，建議先將電腦上原來的DNS卸乾淨，包括system32下DNS目錄也刪掉。再安裝服務）

2：新增forward lookup zone,為test.com。reverse lookup zone填網路號192.168.0

3：設定兩個zone允許dynamic update

4：在本機連接中將DNS位址指向192.168.0.1

5:設定primary dns suffix為test.com

6：按照提示，restart，建議一定重新啟動。

7: 重新啟動後發現test.com中有server1的A記錄，說明一切正常。反向zone中有ptr記錄

(需要注意的是，域名第一片和電腦名稱不要一樣，如果在電腦abc上不要做abc.com，否則預設情況下domain的netbios名和電腦的netbios名會一樣)

(1B)

按照正常情況Dcpromo，選項安裝成新域的域控制器，新樹，新森林。

安裝程序中應不會提示任何諸如「DNS找不到」的信息，這就正常了。

裝完AD後看看DNS的的test.com內是否有放置SRV記錄的四個目錄，目錄名為TCP,UDP,MSDCS,Sites。如果一個也沒有，重新啟動Net logon服務，如果

還是沒有，那裝得有問題。一般應該都是正常的。

同時檢視事件檢視器 中是否有任何關於directory service的錯誤日誌。

(1C) 將server2設定成member server

在server2上將dns指向server1，修改primary dns suffix為test.com，重新啟動，然後將server2加入domian，在server1上開啟ad user and

computer，其中computer容器內可以看到server2的電腦帳號。DNS中也會有server2的A記錄。檢視事件檢視器 ，確保無任何不良記錄。


－－－－－－－－－－－－－－－－情況2，單域，兩個域控制器－－－－－－－－－

目標：server1作為第一台域控制器，server2作為第二台域控制器，域名test.com

server1的安裝同1a，1b。

對於server2。

（2a）
1：安裝前，此機器屬於domain或者工作組沒有關係。

2：將dns指向server1（192.168.0.1）

3:修改primary suffix為test.com （suffix是可以自動改，但是手動改總是放心些）

4：重新啟動機器，建議一定重新啟動。

5：檢查server1上的dns，在test.com這個zone內會發現server2的a記錄。如果沒有，那配置有問題，可以用ipconfig/registerdns手動註冊，再看

有沒有，如果還是沒有，那就有問題了（dns沒有按照1a設定好）。

（2b）

1：dcpromo，啟動嚮導
2：選項，安裝成一個已經存在的域的另外一台域控制器
3：按照提示，輸入身份，這個身份是enterprise admins的身份，也就是現在test.com的administrator以及其密碼
4：選項要加入的domain，這裡是test.com
5：完成其他選項

（3c）
1：安裝後可以在ad user and computer (ad u&c)中的domain controller ou中看見server1和server2的電腦帳號
2：dns的test.com的四個目錄（tcp udp msdcs sites，裡面為srv記錄）中可以發現server2的srv記錄。如果沒有，重新啟動server2上的netlogon服務

，同時可以嘗試用ipcpnfig /registerdns重新註冊。
3：可以在兩台域控制器上增加新的對象，然後看相互複製是否正常。
4：當然，其他比如dcdiag，repmonitor等工具可以用來檢查一些問題，不過這是個簡易貼，就不說了阿。
5：檢視事件檢視器 ，確保無任何不良記錄。



－－－－－－－－－－－－－－－－情況3，一個森林，一個樹，兩個域－－－－－－
安裝完後，森林內有一棵樹，兩個domain：test.com, sub.test.com,其中server2為sub的DC。

關於test。com的安裝方法，仍然參照1a,1b

下面是將server2安裝成sub.test.com的dc。


3a)dns配置

1：在server1的dns上（簡易做法），新增sub.test.com的zone，設定動態更新為yes
2：將server2的dns指向192。168。0。1
3：修改server2的primary dns suffix為sub.test.com
4：重新啟動
5：在sub.test.com這個zone中找到server2的a記錄



3b）
1：dcpromo
2：選項安裝為新域的域控制器－－放入一個已經存在的樹
3：填入enterprise admin的身份信息（administrator/password/test.com）
4: 出來一個界面，讓填域名，上面是父域的名字（test.com），中間填入sub,下面自動完成，顯示全名為sub.test.com
5：完成其他選項

3c）
1：完成後，在server2的 ad user and computer中的domain controller ou中可以找到server2的電腦帳號
2：在dns的sub.test.com這個zone中可以找到關於server2的srv記錄（四個目錄），如果沒有，按3c-2的方法在註冊一次
3：看看server2上的ad domain and trust工具中是否顯示出sub.test.com這個domain（在test.com下有個sub）
4：開啟ad site and service看看是否有所有的site信息，有，說明configuration分區的複製大致沒有什麼問題。
5：檢視事件檢視器 ，確保無任何不良記錄。
6：有其他問題，到論壇提問吧 ^_^

----------------------------情況4，一個森林，兩棵樹，兩個域－－－－－－－－－
安裝完成後，server1為test.com的dc，server2為lab.com的dc

4a)準備
1：在server1的dns上新增lab.com這個zone，設定動態更新
2：將server2的dns指向192。168。0。1
3：修改server2的primary dns suffix為lab.com
4：重新啟動
5：在lab.com這個zone中找到server2的a記錄

4b)
1：dcpromo
2：選項安裝為新域的域控制器－－新樹－－放入一個已經存在的森林
3：填入enterprise admin的身份信息（administrator/password/test.com）
4：填入樹名為lab.com
5：完成其他選項

4c)
1：完成後，在server2的 ad user and computer中的domain controller ou中可以找到server2的電腦帳號
2：在dns的lab.com這個zone中可以找到關於server2的srv記錄（四個目錄），如果沒有，按3c-2的方法在註冊一次
3：看看server2上的ad domain and trust工具中是否顯示出lab.com這個domain
4：開啟ad site and service看看是否有所有的site信息，有，說明configuration分區的複製大致沒有什麼問題。
5：檢視事件檢視器 ，確保無任何不良記錄。



寫的有點潦草，下雨天氣冷，要睡覺了，見諒

看沒