第二台DC安裝及降級

·         Domain數量越少越好

·         一個domain至少兩台DC

·         DC不分大小(因為雙向複寫)

·         集中式IT(domain數量少)和分散式IT，domain隨之擴張

架設第二台DC

1.加入Domain後，以Domain Administrator登入安裝AD DS

l 升級為網域控制站─哪些人有權利將網域控制站DC新增至現有網域

l AD DC可以降級為RODC，但RODC只能重灌在安裝AD DC

·         透過ntdsutil工具備份AD_DB用快遞準備資料讓第二台DC同步→activate instance ntds→create sysvol full 目錄

·         安裝完系統會自動重新開機才會正式執行DC工作

檢查

1.       重新啟動"Netlogon"服務

2.       檢查DNS有無DC2的A及SRV record

3.       系統工具"AD站台及服務"

l   →Default-first-site-name→DC名稱→NTDS→右鍵→所有工作→檢查複寫拓樸(觸發KCC)

l   DC之間會自動同步時間

l   修正各DC的DNS設定

加入或脫離網域的資格

·         加入Domain←"Domain Admins"群組成員  以及 "Domain Users" 群組成員(預設為10台)

·         adsiedit.msc

·         →右鍵→連線→DC=contoso, DC=com→右鍵→內容

·         →ms-DS-MachineAccountQuota=10

 ·         改為"0"取消一般User加入domain

·         脫離Domain←"Domain Admins"群組成員

實驗_一般User將機器加入網域

名稱Server1      CPU:1       RAM:2048MB   安裝WS2012R2                世代:第2世代

IP:192.168.1.3   mask:255.255.255.0   DNS:192.168.1.1 / 192.168.1.2   電腦名稱:Server1

移除網域控制站

正確做法

l在DC2上→移除角色及功能精靈→移除Active Directory 網域服務

lAD使用者及電腦工具，確認Domain Controllers中DC2已經被移除

狀況

DC2硬碟故障，DC1事件清單顯示"網域主控站DC2找不到"

強制移除DC

1.       站台及服務中，刪除"NTDS Settings"

2.       繼續刪除 樹根"DC2"

3.       回到DC1中，DNS→正向區域→contoso.com→每個資料夾中的"刪除所有DC2的Record"   (直接刪除四個資料夾，讓 服務netlogon重新啟動自動寫回)

電腦加入domain的過程

退出domain時，僅進行第4動作，但AD DB上仍有該電腦帳號

退出Domain後，電腦帳號是否刪除？

1.       未來不會加入domain，別刪除

2.       預設電腦30天未連上domain中的DC，電腦的密碼會過期，使用者登入會發現無法登入，

l  電腦帳號→右鍵→重設帳戶(允許相同名稱的電腦更新資訊)

l  退出domain

l  重新加入domain

3.       原來電腦故障，重裝一台使用相同電腦名稱，不刪除電腦帳戶，但要重設

l  電腦帳號→右鍵→重設帳戶

修改AD 的Configuration partition

·         工具adsiedit.msc 改掉預設每30天改電腦密碼

·         系統管理工具→群組原則→contoso.com→Default Domain Policy→右鍵→編輯→電腦設定→原則→Windows設定→安全性設定→本機原則→安全性選項→「網域成員：停用電腦帳戶密碼變更」