将额外的域控制器添加到现有 AD 域

要构建容错的 Active Directory 基础结构并平衡客户端请求的负载，您至少需要两个域控制器。还建议在远程站点创建额外的域控制器。在本文中，我们将了解如何向现有 AD 域添加额外的（辅助、第三等）域控制器。

准备 Windows Server 进行域控制器部署

部署运行 Windows Server 的新主机（物理或虚拟）。建议在 Active Directory 中的所有 DC 上使用相同版本的 Windows Server。在我的示例中，这是 Windows Server 2019。

从新 Windows Server 主机的初始配置开始。

使用服务器管理器或 PowerShell 命令设置与您的基础结构相对应的域控制器的名称（例如，mun-dc02）：

Rename-Computer -NewName mun-dc02

为服务器设置静态 IP 地址并提供 DNS 设置。作为首选 DNS 服务器，输入

127.0.0.1

（让您的 DNS 查询运行得更快）。然后输入与备用 DNS 相同的 AD 站点中最近的域控制器的 IP 地址。您可以使用 PowerShell 在 Windows 中设置 IP 和 DNS 设置：

Get-NetAdapter
New-NetIPAddress -IPAddress 192.168.13.14 -DefaultGateway 192.168.13.1 -PrefixLength 24 -InterfaceIndex 6
Set-DNSClientServerAddress -InterfaceIndex 6 -ServerAddresses ("127.0.0.1","192.168.10.14")

设置时区并确保服务器上设置的时间正确。

安装最新的安全更新（您可以从本地 WSUS 服务器或 Windows 更新安装更新）。安装 Windows 更新的另一种方法是使用 PSWindowsUpdate PowerShell 模块。

然后启用远程桌面 (RDP) 访问，将 Windows Server 计算机加入 Active Directory 域，然后重新启动 Windows：

Add-Computer -DomainName a-d.loc
Restart-Computer -force

如果您要为新的远程站点部署 DC，请打开 Active Directory 站点和服务控制台 (

dssite.msc

），创建一个新站点，并将要由 DC 提供服务的 IP 客户端子网绑定到该站点。

在 Windows Server 上安装 Active Directory 域服务 (ADDS) 角色

准备好后，您可以在 Windows Server 上安装 Active Directory 域服务 (ADDS) 角色。打开服务器管理器，转到管理 -> 添加角色和功能 -> 服务器角色 -> 并选中Active Directory 域服务。

您还可以使用 PowerShell 安装 ADDS 角色：

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -Verbose

确保已安装 AD 域服务角色：

Get-WindowsFeature -Name *AD-Domain*

将新域控制器添加到现有 Active Directory 域

安装 ADDS 角色后，您可以将 Windows Server 主机从成员服务器升级为域控制器。

在服务器管理器控制台中，单击将此服务器提升为域控制器。

然后选择将域控制器添加到现有域。

选择您要在此服务器上安装DNS 服务器并启用全局编录角色。

然后设置目录服务还原模式 (DRSM) 的密码。

在 DSRM 模式下，您可以从备份副本恢复 AD 域控制器。

如果您计划部署只读域控制器，请启用该选项。在这种情况下，我们不会使用此选项，因为我们需要部署普通（读/写，RW）DC。

选择要放置新 DC 的 AD 站点（在我们的示例中，我们选择了刚刚创建的 MUN 站点）。

请跳过 DNS 服务器委托步骤。

然后，您可以选择最近的域控制器用于将 AD 数据库复制到新的 DC。如果您附近有所有 DC 并通过快速链接连接，请选择任何域控制器。 请注意，将目录和 SYSVOL 初始复制到新 DC 可能会导致 WAN 链路负载过重。

当在连接质量较差或不稳定的远程站点部署新的 DC 时，您可以使用IFM（从媒体安装）模式。这需要您在现有 DC 上拍摄域分区和 SYSVOL 的快照，将其复制到物理介质，然后将其传递到分支以部署新 DC。

然后提供 ADDS 数据库 (ntds.dit) 和 sysvol 目录的路径。在大多数情况下，默认路径可以正常工作：

• C:\Windows\NTDS

• C:\Windows\SYSVOL

这是验证程序应该开始的时候。如果您满足所有先决条件，则会出现以下消息：

All prerequisite checks passed successfully.

现在剩下要做的就是单击“安装”并将您的服务器升级为 DC。

您还可以使用 PowerShell 部署新的域控制器。因此，上述所有设置都可以使用单个命令进行配置：

Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "C:\Windows\NTDS" -DomainName "a-d.loc" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SiteName "MUN" -SysvolPath "C:\Windows\SYSVOL" -Force:$true

安装完成后，服务器会自动重启。

如何检查新域控制器的运行状况

安装新 DC 后，您需要检查其状态以及 Active Directory 中复制的正确性。

首先，检查新的域控制器是否列在 ADUC 控制台的域控制器容器下。

您还可以使用 AD PowerShell 模块来获取有关新 DC 的信息：

Get-ADDomainController -Identity MUN-DC02

以下是检查域控制器之间复制状态的方法：

repadmin /showrepl *
repadmin /replsummary

并获取特定 DC 的复制合作伙伴的详细信息：

repadmin /replsummary mun-dc02

就我而言，最大的增量值未知。这通常是因为复制尚未完成。您可以使用 Active Directory 站点和服务控制台强制进行复制。为此，请展开您的站点，选择您的 DC，展开 NTDS 设置，然后单击链接并选择全部复制。

此外，您可以使用以下命令启动完整复制：

repadmin /syncall

检查是否没有复制错误。

您可以使用链接中的脚本来检查域控制器和 AD 复制的运行状况。

您的新 DC 现在已准备好为客户端提供服务，并充当连接到它的 IP 子网/站点的计算机的登录服务器。

最后，我为您提供了一些对 AD 管理员有用的文章链接：

• 如何移动/夺取 FSMO 角色

• 如何降级（删除）域控制器

• 管理 Active Directory 中的 GPO

• 重命名 Active Directory 域

• 重置AD域管理员密码