“域控崩溃了、域服务器坏了,完全不可能启动了,怎么办?”管理着域控的IT人员,如果没有这样扪心自问过,那他要么不负责任,要么就是无知无畏。
在多年的IT外包服务工作中,笔者碰到过好几例域控服务器彻底崩溃,而且完全没备份的事件,企业的IT人员因此而直接收拾东西走人的,也并不是个例,无论是主动走还是被动开,恐怕都不是什么好事。
所以,有域控,必定要配置第二台域控制器,有的人称为辅助域控,有的人称为额外域控,其实叫什么无所谓,关键是要有,而且真正崩溃后,要懂得如何接管。
本文讲解一下,如何部署第二台域控,并且主域控制器崩溃后,如何快速接管。
一、第二台域控的建立;
1、服务器安装完系统之后,修改计算机名称;此处命名为DC2,意思是第二台域控;
2、服务器重启后,进入服务器管理器,点击“添加角色和功能”;
3、选择安装类型,“基于角色或者基于功能的安装”
4、选择目标服务器,这里当然是选择“DC2”;
5、此处勾选“Active Directory域服务”,注意不用勾选“DNS服务器”,很多教程里面,总是千篇一律地在此处勾选“DNS服务器”,其实大可不必,因为安装域服务,必定会自动安装DNS服务,在笔者的经验里,此处勾选“DNS服务器”就有安装报错,或者无法安装的概率,反倒是不勾选,从没翻过车,每次都自动装上了DNS服务器;
6、强烈建议顺便把“te.NET客户端”装上,作为IT人员,这是最常用的命令之一;
7、确认无误,开始“安装”;
8、安装完成后,不用重启,直接“将此服务器提升为域控制器”
9、完全新建的域,此处选择“添加新林”,咱们这台是第二台域控,所以应该选择“将域控制器添加到现有域”,输入域名,以及管理员账户密码,“确定”;
10、键入目录服务还原模式密码,建议跟域管理员密码保持一致,因为基本上用不到,特别容易忘记;
11、DNS选项,保持默认即可;
12、指定其他复制选项,原来只有一台域控,当然选择:dc.hcit.cc;
13、指定AD DS数据库、日志文件和SYSVOL的位置,保持默认,也可以指定到其他路径;
14、确认信息,如果发现什么不对,及时回退到上一步;
15、先决条件检查,别被感叹号吓住了,都windows Server 2022了,不可能再支持Windows NT 4.0了;提示配置静态IP的感叹号,真的可以完全忽略,因为在实际部署过程中,域服务器一定是手动配置IP的,不可能是DHCP获取的方式;总而言之,只要先决条件检查通过,最后是绿色的勾,那就直接开始安装;
16、安装后,系统会自动重启,然后开始配置“DNS服务器”;
17、检查“名称服务器”中,是不是显示为两台域服务器,并且IP地址正确;
18、在“DNS管理器”中,右击服务器,点“属性”;
19、“接口”页面,在以下地址上侦听,选择“只在下列IP地址”,选择IPv4地址,如果有多个地址,只选一个;
20、配置“转发器”;域环境里,内网客户端的DNS服务器必须是域服务器的IP地址,但是域服务器上的DNS服务,默认只能解析本地域名,要解析外网的域名,则必须在此处指定外部的DNS服务器,比如114.114.114.114,第二个是苏州电信的DNS服务器,仅作参考;
21、“监视”页面,勾选“简单查询”和“递归查询”,再点击“立即测试”,多点几次,每次都是秒通过,才表示没问题,否则需要排查故障;
22、打开CMD,运行命令:dcdiag,全部通过测试表示配置没问题,否则需要排查故障,直到通过测试;然后再运行命令:nslookup,查询域名,得到两个正确的服务器IP,再一次验证配置正确;
23、打开“Active Directory用户和计算机”,在“DomAIn Controllers”里面,可以看到是两台域控制器了,大功告成。
二、主域控制器崩溃,且完全无法启动,DC2升级为主域控,强制“夺取”五大角色
如果DC故障,但是还能进入安全模式,那么可以传输角色(transfer),如果彻底崩溃了,且无法修复,那么只能强势夺取角色了(Seize)。
1、查询角色,毫无疑问,五大角色现在都在已经崩溃的DC上;
2、利用ntdsutil工具夺取五大角色,注意:框出来的,才是正确的命令,我犯过的错,你就别再来一遍了;
3、五个角色,当然就是5个命令,按照顺序来就行了:Seize infrastructure master、Seize naming master、Seize PDC、Seize RID master、Seize schema master,有的错误是可以忽略的,比如下面这些;
4、别看提示操作失败,其实五大角色都夺取成功了,对比前面的图片,一目了然;
5、当然了,事情还没完,得把崩溃了的DC删除掉,同样是利用ntdsutil工具,老规矩,注意看命令,大概过程就是:列出站点,列出站点中的域,列出域中的服务器,选择要删除的服务器,最后删除这台服务器;
6、打开“Active Directory用户和计算机”验证一下,在“Domain Controllers”里可以看到域控只剩下一台了;
接下来该怎么办呢?当然是回到本文开始的地方,继续再建一台域控,免得这台又崩溃了,哈哈。