Spend it Right !: 第一台DC安裝, Domain Controller

2014年7月28日星期一

第一台DC安裝, Domain Controller

l AD網域名稱與E-mail網域名稱無關

l Internet abc.com E-mail OOO@abc.com

1. ActiveDirectory abc.ad←AD的網域名稱一定要有含"."

· 如果AD沒有"."，使用flat name造成Dynamic Update失敗

2. 設定Contoso 網域 = AD網域為 Contoso.com

3. DC和DNS為同一台

· 第一台DNS死掉

· 查詢時間過久(UPD, 3秒)

4. 為什麼不再次查詢DNS

· client送出查詢

· DNS超過3秒才回應

· Client 等待3秒過後進行Negative Cache寫入 www .contoso.com查不到

· 解決方法：所有的Servers和Clients Negative Cache關掉

u >ipconfig /flushdns ←人工手動清除DNS

u >ipconfig /displaydns

u 進入registry edit

u 機碼位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

u 新增DWORD參數MaxNegativeCacheTTL值為0

u 重新啟動網路介面卡

升級第一台DC

1. 安裝"Active Directory網域服務"

2. 本機帳號資料庫\Windows\System32\Config\SAM 設定DSRM密碼(Administrator密碼)

3. AD DB的位置\Windows\NTDS\NTDS.DIT

4. 安裝完重新開機←為了停用SAM

指令碼
#
# 適用於 AD DS 部署的 Windows PowerShell 指令碼
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012R2" `
-DomainName "contoso.com" `
-DomainNetbiosName "CONTOSO" `
-ForestMode "Win2012R2" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `

-Force:$true

驗證升級完成與否

u AD DS不需要反向對應區域, 效能不會變化

u 檢查DNS伺服器→正向區域

l ----_msdcs.contoso.com

l └--Contoso.com Dynamic Update

l ├--_msdcs

l ├--_sites

l ├--_tcp

l └--_upd

u 手動觸發AD回寫刪除資料

u 管理工具→服務→Netlogon

確認DC的IP

u SOA record

u 主要伺服器為DC的FQDN.

u 名稱伺服器為DC的FQDN.及IP address

u Client查詢DNS的SRV來知道DC的位置

DC也是DNS

\Sysvol 儲存Group Policy(群組原則) DC建立好後預設已經分享資源，權限不要改

命令提示字元>net share

以下不要做，會影響DC正常執行

1. 變更權限

2. "Server"服務停止

3. 防毒軟體掃描sysvol資料夾及\windows\NTDS\NTDS.DIT資料庫，影響分享

AD可能遇到問題

1. 時間誤差

事件檢視器

AD使用Kerberos V驗證，預設時間誤差必須小於5分鐘

2. 網路慢，產生Negative Cache
3. 複製系統時，網卡未移除直接GHOST到大量電腦

4. OS使用不存在的網卡→啟用APIPA機制(自動產生IP_169.254.X.X)

· 命令提示字元>set devmgr_show_nonpresent_devices=1

· 打開"裝置管理員"(devmgmt.msc)→檢視→顯示隱藏裝置→網卡→刪除不存在

限定domain或Forest最低等級

沒有留言:

張貼留言

訂閱：張貼留言 (Atom)