AD 域DNS 分離 額外域控制器安裝及主域控制器損壞解決方法對(duì)于域控制器的安裝，我們已經(jīng)知道如何同DNS 集成安裝，而且集成安裝的方法好處有：使DNS 也得到AD 的安全保護(hù)，DNS 的區(qū)域復(fù)制也更

AD 域DNS 分離 額外域控制器安裝

及主域控制器損壞解決方法

對(duì)于域控制器的安裝，我們已經(jīng)知道如何同DNS 集成安裝，而且集成安裝的方法好處有：使DNS 也得到AD 的安全保護(hù)，DNS 的區(qū)域復(fù)制也更安全，并且集成DNS 只廣播修改的部分，相信更多情況下大家選擇集成安裝的方式是因?yàn)楦?jiǎn)潔方便。當(dāng)然你也許會(huì)遇到這樣的情況：客戶(hù)的局域網(wǎng)絡(luò)內(nèi)已經(jīng)存在一個(gè)DNS 服務(wù)器，并且即將安裝的DC 控制器負(fù)載預(yù)計(jì)會(huì)很重，如果覺(jué)得DC 本身的負(fù)擔(dān)太重，可把DNS 另放在一臺(tái)服務(wù)器上以分擔(dān)單臺(tái)服務(wù)器的負(fù)載。

這里我們?cè)O(shè)計(jì)的環(huán)境是一臺(tái)DNS 服務(wù)器（DNS-srv ） 主域控制器（AD-zhu ） 額外域控制器（AD-fu 點(diǎn)擊查看額外控制器的作用），另外為了檢驗(yàn)控制器安裝成功與否，是否以擔(dān)負(fù)其作用，我們?cè)侔才乓慌_(tái)客戶(hù)端（client-0）用來(lái)檢測(cè)。（其中由于服務(wù)器特性需要指定AD-zhu 、AD-fu 、DNS-srv 為靜態(tài)地址）

huanjing.png

對(duì)于DC 和DNS 分離安裝，安裝順序沒(méi)有嚴(yán)格要求，這里我測(cè)試的環(huán)境是先安裝DNS 。先安裝DC 在安裝DNS 的話，需要注意的就是DC 安裝完后在安裝DNS 需要重啟DC 以使DNS 得到DC 向DNS 注冊(cè)的SRV 記錄，Cname 記錄，NS 記錄。那么我們就以先安裝DNS 為例, 對(duì)于實(shí)現(xiàn)這個(gè)環(huán)境需要三個(gè)大步驟：

1.DNS 服務(wù)器的安裝；

2.DC 主控制器的安裝；

3.DC 額外控制器的安裝。

接下來(lái)我們分步實(shí)現(xiàn)······

為了更加了解DC 和DNS 的關(guān)系，安裝前請(qǐng)先參閱：

安裝 Active Directory 的 DNS 要求

在成員服務(wù)器上安裝 Active Directory 時(shí)，可將成員服務(wù)器升級(jí)為域控制器。Active Directory 將 DNS 作為域控制器的位置機(jī)制，使網(wǎng)絡(luò)上的計(jì)算機(jī)可以獲取域控制器的 IP 地址。

在 Active Directory 安裝期間，在 DNS 中動(dòng)態(tài)注冊(cè)服務(wù) (SRV) 和地址 (A) 資源記錄，這些記錄是域控制器定位程序 (Locator) 機(jī)制功能成功實(shí)現(xiàn)所必需的。

要在域或林中查找域控制器，客戶(hù)端將在 DNS 中查詢(xún)域控制器的 SRV 和 A DNS 資源記錄，這些資源記錄為客戶(hù)端提供域控制器的名稱(chēng)和 IP 地址。在這種環(huán)境中，SRV 和

A 資源記錄被稱(chēng)為定位程序 DNS 資源記錄。(這里說(shuō)明需要DNS 支持)

向林中添加域控制器時(shí)，將使用定位程序 DNS 資源記錄更新 DNS 服務(wù)器上主持的 DNS 區(qū)域，同時(shí)標(biāo)識(shí)域控制器。為此，DNS 區(qū)域必須允許動(dòng)態(tài)更新 (RFC 2136)，同時(shí)，主持該區(qū)域的 DNS 服務(wù)器必須支持 SRV 資源記錄 (RFC 2782) 才能公布 Active Directory 目錄服務(wù)。（這在安裝DNS 過(guò)程中是需要注意的一點(diǎn)）

如果主持權(quán)威 DNS 區(qū)域的 DNS 服務(wù)器不是運(yùn)行 Windows 2000 或 Windows Server 2003 的服務(wù)器，請(qǐng)與您的 DNS 管理員聯(lián)系，確定該 DNS 服務(wù)器是否支持所需的標(biāo)準(zhǔn)。如果服務(wù)器不支持所需標(biāo)準(zhǔn)，或者權(quán)威 DNS 區(qū)域不能被配置為允許動(dòng)態(tài)更新，則需要對(duì)現(xiàn)有 DNS 結(jié)構(gòu)進(jìn)行修改。（這個(gè)也是很重要的一點(diǎn)這里需要更改“起始授權(quán)機(jī)構(gòu)SOA ”和“名稱(chēng)服務(wù)器”用以支持DNS 區(qū)域被配置成“允許動(dòng)態(tài)更新”，這在接下來(lái)會(huì)提到）

要點(diǎn)

用來(lái)支持 Active Directory 的 DNS 服務(wù)器必須支持 SRV 資源記錄，定位器機(jī)制才能運(yùn)行。

建議安裝 Active Directory 之前 DNS 結(jié)構(gòu)應(yīng)允許動(dòng)態(tài)更新定位程序 DNS 資源記錄（SRV 和 A ），但是，您的 DNS 管理員可以在安裝后手動(dòng)添加這些資源記錄。

安裝 Active Directory 后，可在下列位置中的域控制器上找到這些記錄：

systemrootSystem32ConfigNetlogon.dns（這說(shuō)明DNS 設(shè)置為“不允許動(dòng)態(tài)更新”時(shí)，我們可以手動(dòng)更新，但是有難度，且非常麻煩，所以一般建議選擇“允許動(dòng)態(tài)更新”）

另外我們說(shuō)DC 和DNS 安裝順序沒(méi)有太嚴(yán)格要求可從“參閱里面的連接”：

圖上標(biāo)志的兩點(diǎn)可看出它們是DC DNS先后循序的要求和解決方法。

DNS 服務(wù)器的安裝

1. 安裝DNS ，需要給服務(wù)器指定靜態(tài)IP 地址，如下：這里要注意DNS 要指定給DNS-srv 服務(wù)器本身IP ，默認(rèn)網(wǎng)關(guān)可以不用填寫(xiě)。

DNS-setup0.png

2. 接下來(lái)安裝域名系統(tǒng)（DNS ）服務(wù)，先掛載WIN2003安裝鏡像，按照下邊菜單選擇“添加或刪除應(yīng)用程序”

DNS-setup1.png

3. 按照下圖指向，選擇“域名系統(tǒng)（DNS ）”服務(wù)，點(diǎn)擊確定。

DNS-setup2.png

4. 完成后，可在“管理工具”中看見(jiàn)DNS 服務(wù)了。

DNS-setup3.png

5. 打開(kāi)DNS 服務(wù)，右鍵選擇“配置DNS 服務(wù)器”。

DNS-setup4.png

6. 下一步

DNS-setup5.png

7. 正向解析就是指從域名解析到IP ，反向就是IP 到域名的解析。這里我們選擇第二項(xiàng)，正反向解析都做一下。

DNS-setup6.png

DNS-setup7.png

DNS-setup8.png

8. 區(qū)域名稱(chēng)就是你想要定義的域名

DNS-setup9.png

DNS-setup10.png

9. 這里需要注意一下，請(qǐng)選擇“允許非安全和安全動(dòng)態(tài)更新”，因?yàn)榻酉聛?lái)DC 的安裝需要?jiǎng)討B(tài)更新的支持，當(dāng)然我們可以選擇“不允許動(dòng)態(tài)更新”，我將會(huì)在接下的安裝中更改更新設(shè)置。（這在之前的參閱里邊有提到過(guò)）

DNS-setup11.png

10. 接下來(lái)創(chuàng)建反向解析