驳!~AD和DNS不装在一起,子域会无法安装。
驳!~AD和DNS不装在一起,子域会无法安装
前段时间看了一位51CTO博友的一篇关于AD安装的文章,文章的主题是把AD和DNS分两台PC安装,而且给此次实验起了一个很好听的名字,活动目录分离安装,文章中提到,DNS与AD先装哪个都无所谓,对于这个观点,我向他提出了质疑,AD在安装时需要向DNS注册SRV记录,Cname记录,NS记录,DNS和AD并不是哪个先装都无所谓的。过了几天,这位博友回了我,没有回答我提出的质疑,反而质问我说AD和DNS不安装在同一台PC上,子域会无法安装,我不知道他的观点是从哪儿得来,并且这个问题和他自己之前的实验目的相违背,很不清楚这位博友的目的是什么,为了彻底说服这位博友,我在这做出此次AD和DNS不装在一起,来安装子域的实验,相信这位博友看后,会认识到自己所出的问题,并加以更正。
一、首先,我大致介绍一下此次实验的环境与拓扑
此次实验选用Microsoft ISA2004实验室的Microsoft Virtual PC 2007虚拟机,以及其中的3套Virtual PC,Florence、Firenze和Berlin,在此次实验中,Florence这台PC担任主域控制器角色,Firenze这台PC担任子域控制器,Berlin这台PC做DNS服务器,完成后,最终结果为,Florence为主域控制器,Firenze为子域控制器,Berlin为DNS服务器,各AD间均能正常复制拓扑,Berlin作为DNS服务器可以正常工作。
Florence:主域控制器 IP:192.168.5.2
Firenzez:子域控制器 IP:192.168.5.3
Berlin:DNS服务器 IP:192.168.5.1
实验所用主域域名为 :Itet.com
子域域名为:Joly.itet.com
二、开始实验
1.先满足Berlin要充当DNS服务器的条件
(1).指定自己的IP及DNS地址(自己)
BerlinIP为:192.168.5.1
BerlinDNS为:自己192.168.5.1 如图:
(2).Berlin安装DNS服务
首先挂入适合当前操作系统的系统镜像,实验中的三台虚拟机均为原版2003,所以挂入原版2003镜像
Win+R打开运行窗口,键入 sysocmgr /i:sysoc.inf打开安装Windows组件安装向导
选择:网络服务→详细信息,然后选中:域名系统,点击确定、下一步开始安装DNS服务
点击下一步,开始安装
完成Windows组件安装向导,点击完成退出
(3).Berlin做域前准备,添加主DNS后缀,方便域解析
打开计算机属性
点击计算机名选项
点击更改
选择其他选项
在此计算机的主DNS后缀栏中,输入itet.com
点击确定,确认更改
提示要使更改生效,必须重新启动计算机,点击确定
要求立即重启才能使新的设置生效,选择是,立即重启Berlin
重启后开始新建itet.com区域
Win+R打开运行,输入dnsmgmt.msc打开DNS
展开Berlin
右击正向查找区域,选择新建区域
出现新建区域向导,点击下一步
选择新建 主要区域,然后点击下一步
出现区域名称添加向导,我们输入itet.com,确认后点击下一步
提示将创建区域新文件,确认无误点击下一步
这时出现动态更新向导,注意,一定要勾选允许非安全和安全动态更新,因为允许动态更新后,DNS 客户端计算机在发生更改的任何时候都将使用DNS 服务器注册和动态地更新其资源记录,它减少了对区域记录进行手动管理的需要,在后期管理上有很大作用,默认是没有勾选的,如下图
我们勾选允许非安全和安全动态更新,点击下一步
提示完成新建区域向导,点击完成退出
至此,DNS安装完成
(4).Florence中开始安装主域控制器
安装前准备
指定Florece IP:192.168.5.2
DNS地址:192.168.5.1 (Berlin)
开始安装
Win+R打开运行,输入dcpromo,运行AD安装向导
点击下一步,进行安装
点击下一步继续安装
选择新域的域控制器
选择,在新林只中的域
确认下一步,出现请指定新域的名称提示,输入itet.com,点击下一步
提示新域的NetBIOS名称为ITET,确认无误,点击下一步
问要将数据库文件和日志文件存放与哪里,这里只做实验,选择默认路径,确定继续
问共享文件夹 SYSVOL存放与那里,前提卷为NTFS格式,选默认路径,下一步
出现,DNS注册诊断,提示操作成功完成
注意!那位博友的AD和DNS先装谁都可以的观点在这里就要不攻自破了,AD安装到这步时将会去寻找DNS服务器来注册SRV、Cname、NS记录,如果之前没有准备好DNS或是DNS配置不当,这里将会出现错误提示,这时就不要在继续安装,根据诊断出的错误原因,退出安装根据原因去修复错误,解决后在重复之前步骤继续安装。
这里DNS注册诊断没有问题,我们点击下一步继续安装
出现权限向导,如果自己的网络环境中存在Windows2000及WindowsNT等经典版本,就选用与Windows2000之前的服务器操作系统兼容的权限,我们当前环境为2003,所以选用只与Windows2000或Windows Server2003操作系统兼容的权限,确认点击下一步
这时提示你输入目录还原模式的管理员密码,这个密码将用在AD目录模式还原中,默认情况下,密码需满足长度复杂性要求,输入密码,点击下一步
这时提示确认信息,检查无误后,点击下一步
AD开始安装
提示安装完成,点击完成后要求重新启动,确认是,重启Florence
选择立即重新启动
重启后,进入系统,查看安装结果
展开AD站点和服务,Florence出现与其中,至此,主域控制器安装完成。下面开始子域控制器安装。
(5)Firenze中安装子域控制器
子域安装前准备
指定FirenzeIP:192.168.5.3
指定FirenzeDNS地址:192.168.5.1 (Berlin)
开始安装
Win+R打开运行,输入dcpromo,运行AD安装向导
点击下一步,进行安装
点击下一步,继续安装
出现域控制器类型选择向导,选择新域的域控制器,点击下一步
这时,向导问创建新域的类型,我们要创建的是子域,所以选择“在现有域树中的子域”,点击下一步
这时出现网络凭证向导,要求输入有足够权限的用户名、密码,我们输入管理员帐户administrator和它的口令,并指明域itet.com
确认无误后,点击下一步继续
这时出现子域安装向导,要求输入父域和要建立的子域名称,我们输入父域itet.com和要新建的子域名称joly,确认无误后,点击下一步
输入父域itet.com
输入要新建的子域名称joly,这时可以看到,新域的完整DNS名自动追加了itet.com,继续下一步
这时提示指定NetBIOS名称,NetBIOS名称会根据先前所建的域名称自动填写,如果网络中存在跟自动追加的NetBIOS名称相同的NetBIOS名称时,系统会提示你已经存在此NetBIOS名称,这时不用担心,点击确定后,系统会自动在当前NetBIOS名称后缀加一个0,来进行区分。点击下一步继续安装
这时同样问要将数据库文件和日志文件存放与哪里,这里只做实验,选择默认路径,确定下一步
问共享文件夹 SYSVOL存放与那里,前提卷为NTFS格式,选默认路径,下一步
出现,DNS注册诊断,提示操作成功完成,如图DNS注册诊断没有问题,我们点击下一步继续安装
出现权限向导,同样如果自己的网络环境中存在Windows2000及WindowsNT等经典版本,就选用与Windows2000之前的服务器操作系统兼容的权限,我们当前环境为2003,所以选用只与Windows2000或Windows Server2003操作系统兼容的权限,确认点击下一步
这时提示你输入目录还原模式的管理员密码,输入密码,点击下一步
提示确认信息,检查无误后,点击下一步
开始安装子域控制器
提示安装完成,点击完成后要求重新启动,确认是,重启Firenze
这时我们先不选择立即重起,为了验证之前那位博友“不在同一PC上的AD和DNS不能安装子域”的观点,举个简单的列子,答案就能见分晓。
这个列子很简单却能很直观的表达结果,就是对比Firenze重启前后DNS服务器Berlin的记录变化,如图,我们先切到DNS服务器Berlin上
展开itet.com,在各级菜单中寻找子域joly的记录
无记录
无记录
无记录
无记录
然后切到Firene中,选择立即重启
如上图,Firenze中域登录选项出现了ITET和JOLY两个域,暂时先不登录,在去DNS服务器Berlin,看看子域控制器Firenze重启后的状态
注意看,Itet.com域的下拉菜单出现了子域joly的一列记录,自此,之前那位博友所谓AD和DNS不安装在一起将不能创建子域的说法,在证据面前,同样也不攻自破。为了在据说服力些,Firenze分别登录itet和joly两个域,看看能否与父域Florence正常复制拓扑。
先用joly域登录
登录到系统后展开子域Firenze的站点与服务,查看父域Florence出现在Firenze的复制伙伴中没有
Florence如约而至,出现
没问题,父域Florence出现在子域Firenze的复制伙伴中
接下来我们去父域Florence的站点与服务中,查看与子域Firenze是否建立复制伙伴
没问题,如下图,子域Firenze出现在Florence的复制伙伴中
咦?看下图
父域Florence站点服务中的子域Firenze复制伙伴怎么什么都没有?难道出问题了?
呵呵,别紧张,这是AD的1200秒复制限制在作怪,不单父域Florence站点服务中的子域Firenze复制伙伴什么都没有,就是出现在复制伙伴中的,我们选择立即复制副本进行同步复制也会报无法复制访问拒绝的错误,如下图
那怎么办?时间如金子一样的现代社会,哪容得了浪费这20分钟?哈哈,不着急,我们还有绝招:修改DNS中的itet.com.dns文件来突破AD 1200秒限制。
下图,切换到Berlin中,打开命令提示符,输入:cd %windir%system32\dns 进入DNS文件目录,在目录中输入:notepad itet.com.dns打开DNS配置文件
看到了分别在Florence和Firence.joly后写着1200的两条A记录
这时我们要做的就是删除这两个1200,别的不要动,这里面是DNS加载区域文件的存储地,稍有勿改,各域控制器就将不能正常工作,建议谨慎操作
下图,删除这两条1200
这时先不要急于保存,停止DNS服务后才可以修改区域文件
然后回到DNS配置文件中,Ctrl+S保存,然后退出,在到命令提示符中启动DNS服务
做完这步不是立马就万事大吉了,要使更改生效,必须在父子域控制器中重启netlogon服务
Florence中重启netlogon服务,上图
Firenze中重启netlogon服务,上图
接下来我们在去看看子域Firenze是否出现在父域的站点和服务中,并测试能否与父域Florence正常复制连接
子域Firenze出现在了父域Florence中站点和服务的父域Florence中
选择立即复制副本
出现提示,AD已复制了连接,下图
同样在Florence的站点和服务中查看Florence与Firenze的复制,选择立即复制副本
出现提示,AD已复制了连接,下图
紧接着,去子域Firenze中查看子父域能否正常复制
提示,AD已复制了连接,下图
接着选择父域Florence与子域Firenze立即复制副本
这时却又报错了!怎么回事?上图
不用着急,别忘了,我们是用joly这个子域登录Firenze的,在要求父域Florence向子域Firenze复制时,因为权限不够,所以无法复制,系统理应就报错了,我们注销Firenze,用itet登录看看
注销后,在启动到登录界面,选择域itet来登录
展开Firenze的站点和服务,下图
打开站点和服务,在去刚才报错的地方重新进行复制检查
选择立即复制副本,上图
提示,AD已复制了连接。
自此我们的实验完毕,结果达到了预想的要求。
之前那位博友看后若有任何想交流的信息,随时欢迎来访。
转载于:https://blog.51cto.com/zhangzhengtao/78216