額外域控制器

所謂域外控制器，是指除第一台域控制器之外的其他域控制器。

在同一域內安裝多台域控制器時，將具有以下優點：

1、提高用户登錄的效率。因為多台域控制器可以同時分擔審核用户的工作，因此，可以加快用户的登錄速度。當網絡內的用户數量較多，或者多種網絡服務都需要進行身份認證時，應當安裝多台域外控制器。

2、提供容錯功能。即使其中一台域控制器出現故障，仍然可以由其他域控制器提供服務，讓用户可以正常登錄，並提供用户身份認證。

3、無需備份活動目錄。當域內存在不止一台域控制器（DC，Domain Controller）時，域控制器之間可以相互複製和備份。因此，當重新安裝其中的一台DC時，備份Active Directory並不是必需的，只需將其從域中刪除，再重新安裝，並使之回到域中，那麼，其他DC會自動將數據複製到這台DC上。也就是説，如果一個域內只有或者只剩下最後一台DC時，才有必要而且必須對Active Directory進行備份。

在安裝額外的域控制器時，需要將活動目錄數據庫由現有的域控制器複製到這台新的域控制器。Windows Server 2003提供了兩種複製活動目錄數據庫的方式：

1、通過網絡複製 如果活動目錄數據庫內容較多，該方式將影響網絡效率。

2、通過已備份好的“系統狀態數據（System State）” 先將域中域控制器的“系統狀態數據”備份出來，然後，再恢復到新創建的域外控制器。有關活動目錄數據庫的備份與還原，請參見下述相關內容。

提示：如果活動目錄數據庫非常龐大，那麼，複製工作勢必將增加網絡負擔，並降低原有域控制器的響應速率。因此，域外控制器的安裝工作，應當儘量選擇在非工作時段進行，以減少對正常工作的影響。

可以按照上節安裝第一台服務器的步驟來安裝額外域控制器，但因為這裏僅安裝域控制器，所以可以直接運行活動目錄安裝嚮導來進行，具體步驟如下（同樣是以最新的SP2版本為例進行介紹）：

（1）在要配置為額外域控制器的Windows Server 2003（也可以是Windows 2000 Server系列）中以本機管理員賬户administrator登錄，然後在"運行"窗口中執行dcpromo命令，打開活動目錄安裝嚮導。

（2）單擊"下一步"按鈕，打開對話框。這裏是一個Windows Server 2003域系統的兼容提示，提示你要注意，像Windows 95及以前版本的Windows系統以及一些非Windows系統不能滿足兼容性要求，也就是不能加入到域網絡中。

（3）單擊"下一步"按鈕，打開對話框。在這裏要選擇所安裝的域控制器類型，此處創建的是額外域控制器，所以要選擇"現有域的額外域控制器"單選項。

（4）單擊"下一步"按鈕，打開對話框。在這裏要求提供在域中有權安裝活動目錄的用户賬户信息。

這裏所提供的用户賬户必須是目標域的Domain Admins組的成員或者是Enterprise Admins組的成員，通常是域管理員賬户，當然也可以委派其他賬户。域名必須是目標域的完整DNS名稱，不能是NetBIOS域名。

（5）單擊"下一步"按鈕，打開對話框。在此指定該服務器要成為的額外域控制器的域名。同樣要使用完整的DNS域名格式，不能使用NetBIOS域名。本示例為lycb.local。

（6）單擊"下一步"按鈕，打開對話框。在其中指定安裝活動目錄時的數據庫文件夾和日誌文件夾位置。所在磁盤分區必須是NTFS文件系統格式，通常按默認設置即可。

（7）單擊"下一步"按鈕，打開對話框。在這裏要求指定域控制器上用於與網絡中其他域控制器共享的文件夾SYSVOL（系統卷）所在的位置。同樣必須是NTFS文件系統格式。在SYSVOL文件中保存了域配置信息副本，可用於與其他域控制器進行同步、複製。通常也只需按默認設置即可。

（8）單擊"下一步"按鈕，打開對話框。在這裏要配置用於該域控制器目錄還原時的管理員賬户密碼。雖然賬户名也是administrator，但是它可以與域管理員的administrator賬户密碼不同。當然，為了便於記憶，也可以設置成相同的密碼。這是在域控制器出現故障，採用目錄還原方式恢復時用到的管理員密碼。只有服務器系統安裝了活動目錄，成為域控制器後才會在啓動菜單中有目錄還原模式。

（9）單擊"下一步"按鈕，打開對話框。這裏顯示的是以上配置的摘要。

（10）單擊"下一步"按鈕，系統即開始安裝配置額外域控制器所需的活動目錄，配置進程。

（11）安裝完成後，打開向導完成對話框。單擊"完成"按鈕，系統會提示要求重新啓動計算機。按要求重新啓動計算機同樣會自動打開"管理您的服務器"窗口，在其中可以看到已經添加了域控制器角色。

另外，此時在兩台服務器中分別執行"開始"→"管理工具"→"Active Directory用户和計算機"命令，在打開的"Active Directory用户和計算機"管理單元窗口中的Domain Controllers（域控制器）文件夾中會自動添加額外域控制器，也就是在這個域中同時有兩個域控制器，可以起到分擔負荷的作用。

【説明】如果僅要新建一個域控制器（不是通過安裝第一台服務器的方式集成安裝第一台域控制器、第一台DNS和第一台DHCP服務器的方式來安裝新域控制器），其安裝步驟與新建額外域控制器的步驟基本一樣，只是需要在對話框中選擇"新域的域控制器"單選項，隨後會有兩個類似於對話框，指定新域的DNS域名和NetBIOS域名，其他的過程與本節中第5步以後的步驟完全一樣。

注意：在將服務器提升為現有域中的域控制器之前，必須在此服務器上正確配置了 DNS 設置。在提升過程中，該服務器需要解析此域的完全限定域名。

1. 單擊開始，單擊運行，鍵入 dcpromo，然後單擊確定。

2. 這將啓動“Active Directory 安裝嚮導”。單擊下一步。

3. Active Directory 安裝嚮導會詢問一系列問題，以確定此服務器將擔任的角色。因為您要將此服務器安裝為域中的額外域控制器，請單擊“現有域的額外域控制器”。

4. 單擊下一步。

5. 下一個屏幕提示您提供網絡憑據。鍵入用於執行此操作的帳户的用户名、密碼和域名。該帳户必須具有完全管理權限。域名不應是完全限定域名的形式。

6. 在額外域控制器屏幕上，以完全限定域名的形式鍵入現有域的完整 DNS 名稱。

7. 數據庫位置和日誌位置框將填入默認位置 (Rootdrive\Winnt\Ntds)。為獲得最佳性能和可恢復性，請將數據庫和日誌分別存儲在不同的硬盤上。將日誌位置值更改為另一硬盤。

8. 單擊下一步。

9. 在共享的系統卷屏幕中，只要該卷使用 NTFS 文件系統，就可以接受 Rootdrive\Winnt\Sysvol 作為默認位置。這是 Sysvol 文件夾所要求的。

10. 單擊下一步。

11. 如果沒有可用的 DNS 服務器，則會出現“嚮導無法聯繫到處理名稱 Domain Name 的 DNS 服務器以確定它是否支持動態更新。請確認 DNS 配置，或者在此計算機上安裝並配置一個 DNS 服務器”這一消息。

12. 單擊確定。

13. 在配置 DNS 屏幕上，單擊“是，在這台計算機上安裝和配置 DNS(推薦)”。

14. 單擊下一步。

15. 在 Windows NT 4.0 RAS 服務器屏幕上，選擇是否要允許遠程訪問服務 (RAS) 訪問此服務器。單擊下一步。

16. 在目錄服務還原模式管理密碼屏幕上，指定在以“目錄服務還原”模式啓動計算機時使用的管理員密碼。在需要恢復 Active Directory 數據庫時使用“目錄服務還原”模式。

注意：一定要記住此密碼，否則在需要時您將無法還原 Active Directory。

17. 在提升過程的複製階段，有一個可讓您選擇稍後執行復制的選項。選擇此選項的理由有許多（例如，在一天的正中間時您使用的網絡連接速度慢，您希望等到這天結束時執行復制）。

18. 通過查看屏幕上的消息驗證已安裝 Active Directory。安裝 Active Directory 後，單擊完成以關閉嚮導。

19. 重新啓動計算機。