AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）huanjing.png对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤：1.DNS服务器的安装；2.DC主控制器的安装；3.DC额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：/zh-cn/library/cc739159(v=ws.10)安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

要在域或林中查找域控制器，客户端将在DNS 中查询域控制器的SRV 和A DNS 资源记录，这些资源记录为客户端提供域控制器的名称和IP 地址。

在这种环境中，SRV 和A 资源记录被称为定位程序DNS 资源记录。

(这里说明需要DNS支持)向林中添加域控制器时，将使用定位程序DNS 资源记录更新DNS 服务器上主持的DNS 区域，同时标识域控制器。

为此，DNS 区域必须允许动态更新(RFC 2136)，同时，主持该区域的DNS 服务器必须支持SRV 资源记录(RFC 2782) 才能公布Active Directory 目录服务。

（这在安装DNS过程中是需要注意的一点）如果主持权威DNS 区域的DNS 服务器不是运行Windows 2000 或Windows Server 2003 的服务器，请与您的DNS 管理员联系，确定该DNS 服务器是否支持所需的标准。

如果服务器不支持所需标准，或者权威DNS 区域不能被配置为允许动态更新，则需要对现有DNS 结构进行修改。

（这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”，这在接下来会提到）要点用来支持Active Directory 的DNS 服务器必须支持SRV 资源记录，定位器机制才能运行。

建议安装Active Directory 之前DNS 结构应允许动态更新定位程序DNS 资源记录（SRV 和A），但是，您的DNS 管理员可以在安装后手动添加这些资源记录。

安装Active Directory 后，可在下列位置中的域控制器上找到这些记录：systemroot\System32\Config\Netlogon.dns（这说明DNS设置为“不允许动态更新”时，我们可以手动更新，但是有难度，且非常麻烦，所以一般建议选择“允许动态更新”）另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”：图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。

DNS服务器的安装1.安装DNS，需要给服务器指定静态IP地址，如下：这里要注意DNS要指定给DNS-srv 服务器本身IP，默认网关可以不用填写。

DNS-setup0.png2.接下来安装域名系统（DNS）服务，先挂载WIN2003安装镜像，按照下边菜单选择“添加或删除应用程序”DNS-setup1.png3.按照下图指向，选择“域名系统（DNS）”服务，点击确定。

DNS-setup2.png4.完成后，可在“管理工具”中看见DNS服务了。

DNS-setup3.png 5.打开DNS服务，右键选择“配置DNS服务器”。

DNS-setup4.png6.下一步DNS-setup5.png7.正向解析就是指从域名解析到IP，反向就是IP到域名的解析。

这里我们选择第二项，正反向解析都做一下。

DNS-setup6.png DNS-setup7.pngDNS-setup8.png 8.区域名称就是你想要定义的域名DNS-setup9.pngDNS-setup10.png9.这里需要注意一下，请选择“允许非安全和安全动态更新”，因为接下来DC的安装需要动态更新的支持，当然我们可以选择“不允许动态更新”，我将会在接下的安装中更改更新设置。

（这在之前的参阅里边有提到过）DNS-setup11.png10.接下来创建反向解析DNS-setup12.pngDNS-setup13.png11.反向解析其实是需要一个一个填写的，但是很耗时间，我们一般填入子网段就可以，这里也是要求填入网段。

DNS-setup14.pngDNS-setup15.png12.这里和之前正向解析情况一样，之后我们会改成“允许非安全和安全动态更新”DNS-setup16.png13.在弹出的窗口中设置NDS的转发器，在转发器中输入“180.168.255.118”和“8.8.8.8（谷歌提供的DNS）”（在该DNS服务器中无法解析的域名，该DNS服务器可以转发给其他指定的DNS服务器上进行解析，如向ISP（互联网服务提供商）的DNS服务器转发）DNS-setup17.pngDNS-setup18.png14.我们建立好正反向解析后，接着在区域中添加主机记录，这里是正向解析做好主机添加后的情况DNS-setup18-0.pngDNS-setup19.png15.右键“正向查找区域”，新建主机（A记录）DNS-setup20.png16.名称可以任意输入，显示的FQDN就是提供DNS服务的域名，另外我们也可以选择同时创建相关的指针（PTR）记录，这样反向解析也会同时自动生成，我们这里没有选择，接下来我们会手动创建反向解析DNS-setup21.png17.反向解析创建和正向解析创建的方法一样，后边指定主机IP和主机名就可以了，我们可以选择“浏览”以查看并指定我们需要的正向解析主机名DNS-setup22.png DNS-setup23.pngDNS-setup24.pngDNS-setup25.png 18.选择好了，确定DNS-setup26.png19.这样我就创建好正反向解析了，然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性DNS-setup27.png20.如下情况说明我们创建成功DNS-setup28.png21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。

这在声明中也有提到过。

DNS-setup2922.在域属性中浏览指定的SOA也就是主授权机构，名称服务器也做相应的指定。

DNS-AD-zhu-setup1.png DNS-AD-zhu-setup2.png至此，我们的DNS服务器配置完毕，接下来我们创建DC 主控制器DC主控制器的安装1.之前我们已经在DNS-srv服务器上安装好了DNS（说的好拗口，早知道就不起这个容易混淆的名字了），接下来我们开始在AD-zhu上安装主域控制器，先查看下主机情况AD-zhu-setup0.png2.确定在该主机上可以正常解析到DNS服务器AD-zhu-nslookup.png3.在运行中输入“dcpromo”确定启动AD安装向导AD-zhu-setup1.pngAD-zhu-setup2.png 4.选择建立“新域的域控制器”AD-zhu-setup3.png 5.这个新域建立在新的林中AD-zhu-setup4.png 6.输入之前我们新创建的DNS全名AD-zhu-setup5.png7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名，用以兼容早期Windows版本的用户来识别新的域。

AD-zhu-setup6.png8.选择默认安装位置，也可参考提示选择不同的保存位置以提高性能AD-zhu-setup7.png9.默认AD-zhu-setup8.png10.到这里就出现了之前我们一直在以的动态DNS更新支持，我们可以在正向查找区域的属性里更改动态更新的安全性，改成“非安全”即为支持动态更新。

至于反向可改可不改，因为DC的安装只要求正向解析，所以之前的反向解析也可不做，之后也可以通过手动做反向解析AD-zhu-setup9-dt.png DNS-AD-zhu-setup10-dt.pngDNS-AD-zhu-setup11-dt.png 11.通过更改过后，重试DNS诊断通过AD-zhu-setup12-dt-ok.png 12.根据实际生产情况选择兼容性AD-zhu-setup13.png13.设置一个还原模式密码AD-zhu-setup14.png14.这里会显示我们即将安装的服务器配置摘要，如果感觉有些选项不正确，可以点击上一步进行更改，确认无误，请下一步AD-zhu-setup15.png 15.这时系统会自动配置你的DC，耐心等待结束AD-zhu-setup16.pngAD-zhu-setup17.png16.重启完成DC的配置AD-zhu-setup18.png17.同时，我们可以在DNS-srv主机上刷新查看DNS记录，发现多了SRV 和A DNS 资源记录，这是DNS用以定位DC的资源记录AD-zhu-setup19-DNS-jilu.png18.重启过后，在AD-zhu服务器上我们会发现AD管理器，说明安装完成AD-zhu-setupover.png19.查看系统属性，发现计算机名称有了的后缀，更说明创建成功AD-zhu-setupover0.png AD-zhu-setup0-L.pngDC额外控制器的安装1.安装完成主域控制器后，接下来我们再继续安装额外控制器，首先查看系统信息，IP地址也是静态指定的，另外顺便用nslookup检查一下与DNS服务器的连接情况AD-fu-setup0.pngAD-fu-setup1.png2．和安装主控制器一样，我们也通过dcpromo启动AD安装向导AD-fu-setup2.pngAD-fu-setup3.pngAD-fu-setup4.png3.选择现有域的额外控制器类型AD-fu-setup5.png4.输入主域控制器的用户名密码和主域控制器名，下一步等待检测完成AD-fu-setup6.png5.你可以直接输入主域控制器名，或者浏览存在的域控制器AD-fu-setup7.pngAD-fu-setup7-0.png 6.同样默认目录，下一步AD-fu-setup8.pngAD-fu-setup9.png 7.设置还原模式密码AD-fu-setup10.pngAD-fu-setup11.png 8.这时额外控制器开始从主域控制器复制文件和服务AD-fu-setup12.png 9.重启后也能够看见AD管理器出现了AD-fu-setupover.png 10.同样检查一下系统信息，查看是否成功添加AD-fu-setupover1.pngAD-fu-setupover0.png11.另外，在DNS-srv服务器上也能看见相关解析记录也被注册了进去AD-fu-setupover-DNS-jilu.pngAD-fu-setupover-DNS-jilu2.png12.至此，额外控制器也安装完毕，之后我们会模拟主域损坏了改怎么解决的情况主域损坏，解决办法之前我们已经将所需要的环境部署完毕，接下来我们来进一步处理灾难情况下主DC 损坏，如何使额外DC 取代主DC 担负起活动目录的职责。