一、拥有多台域控制器的优势
1、分担用户身份验证的负担,改善用户登录的效率
2、容错功能:若有域控制器故障,此时仍然可以有其他正常的域控制器来继续提供服务,因此对用户的服务并不会停止
二、系统提供两种复制AD DS数据库的方式
1、通过网络直接复制:会增加网络负担、影响网络效率
2、通过安装介质:事先到一台域控制器内制作安装介质(installationmedia),要求安装额外控制器时读取安装介质内的AD DS数据库,这可以大幅度降低对网络所造成的负担。
三、安装额外域控制器DC2
1、通过网络直接复制,安装AD域服务、配置ipv4dns地址指向dc1,修改计算机名称加入域
查看DC1和DC2的DNS Active Directory 用户和计算机是一样的
至此:通过网络复制的方式安装的额外域控制器已经完成了。
2、通过安装介质,安装额外域控制器
执行 ntdsutil 命令来制作安装介质
若此安装介质是可写域控制器使用,则需到现有的可写式域控制器上执行ntdsutil
若此安装介质要给RODC(只读域控制器)使用,则可以到现有的可写域控制器或RODC上执行 ntdsutil指令
在dc1生成介质文件,拷贝到dc2然后通过介质文件
full :可写
改为RODC:就是可读域控制器
复制DC1中的C:\installationmedia到DC2的C盘下
安装前面一样
然后默认安装
至此通过安装介质,安装额外域控制器完成
3、安装RODC
或者
通过介质安装 create sysvol rodc c:\installationmedia
四、验证额外域控制器运行是否正常
前面我们已经把dc1域控制器,dc2提升为额外域控制器,现将成员服务器ms1的dns首选指向dc1,备用指向dc2。当dc1域控制器发生故障,dc2额外控制器可以负责域名解析和身份验证等工作,从而实现不间断服务。
在dc1建立测试用的域账户:mike
更改ms1的DNS服务器设置
在ms1以域账户mike身份登录域
关闭dc1,再在ms1以域账户mike身份登录,看是否成成功。
在dc1上
右键,新建-账户
在ms1上
然后注销ms1用mike域账号进行登录 mike@cm.com正常登录
再把dc1关掉,模拟宕机,ms1重新登录,正常登录说明额外域控制器配置正常的
