組建單域雙DC 步驟目的：建立一個單域雙DC 的域環(huán)境，域名為：contoso.com 。 目的域中有多臺DC 的優(yōu)點：提高用戶登錄效率。因為多臺域控制器可以同時分擔審核用戶名與密碼的工作，因此可以加

組建單域雙DC 步驟

目的：建立一個單域雙DC 的域環(huán)境，域名為：contoso.com 。 目的

域中有多臺DC 的優(yōu)點：

提高用戶登錄效率。因為多臺域控制器可以同時分擔審核用戶名與密碼的工作，因此可以加快用戶登錄的速度。 提供容錯的功能。即使其中一臺域控制器出現(xiàn)故障，仍然可以由其他域控制器來提供服務，讓用戶可以正常登錄。 實驗環(huán)境：本實驗使用Vmware Workstation v6.0，全新正常安裝兩個windows server 2003 sp2 enterprise chs虛擬機，各實驗環(huán)境

有一個網(wǎng)卡，計算機名分別為DC1，DC2。新建一Windows XP SP3 cht虛擬機，計算機名為Client1。

DC1的IP 設置情況是：

IP ：192.168.2.1

子網(wǎng)掩碼：255.255.255.0

網(wǎng)關：無（可根據(jù)實際情況填寫）

首選DNS 服務器：192.168.2.1

DC2的IP 設置情況是：

IP ：192.168.2.2

子網(wǎng)掩碼：255.255.255.0

網(wǎng)關：無（可根據(jù)實際情況填寫）

首選DNS 服務器：192.168.2.1（在DC2提升為第二臺DC 前，需將DNS 指向第一臺DC 的IP ）

Client1的IP 設置情況待建域完成后再設置

在DC1，DC2上都安裝上Windows Support Tools, Windows Resource Kit Tools, GPMC等工具，方便以后管理和維護域控制器。

Windows Support Tools和Windows Resource Kit Tools 是微軟工程師及微軟技術愛好者開發(fā)的工具集，二者都包括很多強大的命令行工具、圖形工具，及腳本等，如support tools工具集中的dcdiag.exe ，dsastat.exe ，getsid.exe ，,netdiag.exe ，ntfrsutl.exe ，repadmin.exe ，replmon.exe 等常用工具，Resource Kit Tools工具集中有gpotool.exe ，lockoutstatus.exe ，robocopy.exe 等常用工具，對于我們管理、維護及對域環(huán)境的排錯有很大的幫助，值得好好研究。

Windows Support Tools在系統(tǒng)光盤SUPPORTTOOLS中，雙擊SUPTOOLS.MSI 安裝即可。

Windows Resource Kit Tools要到微軟網(wǎng)站上下載：

下載安裝即可。

GPMC 是Group Policy Management Console，即是組策略管理控制臺，此程序功能相當強大，對于我們管理、部署及對組策略的排錯非常方便高效，推薦安裝。此程序為免費軟件，要到微軟網(wǎng)站上下載： 稍后文中會介紹使用方法。

1

建立篇

1. 首先將DC1提升為第一臺DC （即主域控制器）即主域控制器） 在DC1中，點擊“開始”->“執(zhí)行”，輸入“dcpromo”命令：

點擊“確定”，出現(xiàn)

點擊“下一步”，出現(xiàn)

點擊“下一步”出現(xiàn)

2

因為我們是要建立新域，所以選擇第一項（稍后建第二臺DC （額外域控制器）時，要選第二項），點擊“下一步”

選擇第一項，點擊“下一步”

輸入域名：contoso.com, 點擊“下一步”

3

Netbios 域名默認即可，此處默認是：contoso 。點擊“下一步”

此處設置的是AD （活動目錄）數(shù)據(jù)庫和日志存放的位置，默認即可。點擊“下一步”

Sysvol 文件夾的存放位置默認即可，點擊“下一步”

4

活動目錄是和DNS 服務緊密聯(lián)系在一起的，DNS 服務可以離開活動目錄的支持，但活動目錄一定不能離開DNS 服務的支持（活動目錄與DNS 服務可以不在同一臺電腦上，但安裝活動目錄必須要連接到一臺DNS 服務器上）。因為DC1此前并沒有安裝DNS 服務，所以此時要選擇安裝上DNS 服務。選擇默認的第二項，點擊“下一步”

默認第二項即可，點擊“下一步”

5

在上圖中設置目錄服務還原模式的系統(tǒng)管理員密碼，“目錄服務還原模式”是一個安全模式（safe mode）, 進入該模式可以修復Acitve Directory數(shù)據(jù)庫，我們可以在系統(tǒng)開機啟動時按F8鍵進入該模式，不過必須輸入上面設置的密碼。此環(huán)境下目錄服務不在運行，可以進行已刪除的域賬號恢復，AD 數(shù)據(jù)庫及日志存放位置的轉移等等操作?！澳夸浄者€原模式”的系統(tǒng)管理員與域的系統(tǒng)管理員是不同的賬號，其密碼也可以設為不同的密碼，請不要混淆。此處設置的密碼如果忘了，也可以通過在正常模式下的命令提示符窗口中，使用ntdsutil 命令進行重設（當然，最好是不要忘了！~）。此處設置好密碼后，點擊“下一步”

點擊“下一步”，開始安裝活動目錄

安裝期間要求插入windows server 2003系統(tǒng)光盤，等待幾分鐘時間，安裝完成后，重啟計算機。重啟完成后，輸入域管理員密碼，登錄到“contoso ”(此時只能登錄到contoso 域, 無其它選項) 。

進入桌面后，檢查DC 是否安裝成功：

1）．檢查DC1的IP 設置的首選DNS 服務器是否是指向自身，確定是：192.168.2.1。

2）. 檢查“開始”->“程序”->“管理工具”里，確保有以下幾項：

6

3）．檢查C:windowssysvolsysvol和C:windowssysvolsysvolcontoso.comscripts文件夾是否共享成功。

4）. 檢查DNS 安裝是否成功。

打開DNS 控制臺，檢查DNS 的“_msdcs.contoso.com”區(qū)域和“contoso.com ”的屬性是否如下： “_msdcs.contoso.com”區(qū)域屬性：

注意：點開“_msdcs.contoso.com”屬性的“名稱服務器”窗口，檢測DC1.contoso.com 后面是否有*號。

7

如果有*號，則說明該DNS 服務器可能沒有存儲真正的記錄，要修復此問題，可將此項刪除，重建。 在上圖中，選定“DC1.contoso.com ”項，點擊“刪除”，將此項刪除，然后點擊“添加”：

如上圖操作，確定后完成新建，如下圖：

點擊上圖中“確定”

點擊“是”，完成操作。

“contoso.com ”區(qū)域屬性：

8

檢查DNS 各項記錄是否完整：

注意：以上各個分支都點開看一下，如果DNS 各項內容不完整，可以在命令提示符下輸入：nltest /dsregdns，或者重啟netlogon 服務進行修復。

檢查并確保安裝成功后，因我們新建域中的DC 只有windows server 2003操作系統(tǒng)，為了發(fā)揮widnows server 2003域的最大功能，須將“域功能級別”和“林功能級別”都提升到Windows server 2003模式，方法如下：

在DC1中，打開管理工具中的“Active Directory 域和信任關系”，右擊“contoso.com ”, 將“域功能級別”提升到“Windows server 2003”模式。

9

點擊“提升”->“確定”->“確定”，完成域功能級別的提升。

右擊“Active Directory 域和信任關系”，提升“林功能級別”至Windows Server 2003”模式。點擊“提升”->“確定”->“確定”，完成林功能級別的提升。

2. 安裝第二臺DC （額外域控制器）額外域控制器）

在DC2上用本地管理員賬號登錄，點擊“開始”->“執(zhí)行”，輸入“dcpromo”,確定，點擊“下一步”，一直到下面窗口

10