将域控制器添加到现有域

您有一个在组织中运行的域控制器。但组织中只有一名 DC 正在自找麻烦。因为当 DC 离线时，用户无法向 DC 进行身份验证，也无法登录。这是严重故障。因此，始终建议组织中至少运行两个 DC。在本文中，您将逐步了解如何向现有域添加辅助域控制器。

域控制器最佳实践

• 每个域应该至少有两个正常运行的可写域控制器以提供容错能力。如果一个域只有一台域控制器，当该域控制器发生故障时，用户将无法登录域或访问域中的任何资源。如果您的域中只有一个可写域控制器，并且该域控制器发生故障，您将无法执行任何 AD DS 管理任务。

• 域控制器应该是专用服务器，仅用于托管 AD DS 和 DNS 服务器角色。他们的全部注意力应该集中在执行他们的主要工作上，即验证用户和计算机的客户端登录和访问网络资源。

重要提示：仅在域控制器上安装监控和备份软件，不得安装其他软件。

在你开始之前

组织中需要有一个域控制器。如果没有，请浏览以下文章：

1. 安装Windows服务器

2. Windows Server 安装后配置

3. 在 Windows Server 上安装 Active Directory 域服务

完成上述设置后，继续下一步。

添加辅助域控制器

要将额外的域控制器添加到现有域，请按照以下步骤操作。

注意：这些步骤适用于 Windows Server 2012/2016/2019/2022。

安装Windows服务器

在安装 Active Directory 域服务角色之前，您必须安装 Windows Server 并加入域（成员服务器）。

注意：确保 Windows Server 上的日期和时间设置正确，以防止出现任何错误。

在我们的示例中，我们将添加到现有域的新域控制器是 DC02-2019，并且已加入域 exoip.local。 DC01-2019 是我们的第一个域控制器。

以下屏幕是 DC02-2019 上的 IP 设置。首选 DNS 服务器是 DC01-2019。

安装 Active Directory 域服务角色

要在 Windows Server 上安装 Active Directory 域服务 (AD DS) 角色，请按照以下步骤操作：

1.启动服务器管理器。

2. 转到仪表板 > 管理 > 添加角色和功能。

3. 单击下一步。

4.选择基于角色或基于功能的安装。单击下一步。

5.从服务器池中选择服务器。单击下一步。

在我们的示例中，它是具有固定 IP 地址 192.168.1.52 的 Windows Server DC02-2019。

6. 选中Active Directory 域服务复选框。

7. 将出现一个窗口，显示它将添加 Active Directory 域服务所需的功能。单击添加功能。

8. 单击下一步。

9.您无需选择任何功能。单击下一步。

10. 单击下一步。

10. 单击安装。

11.安装将开始并显示进度。

下一步，我们将把服务器 DC02-2019 升级为域控制器。

将服务器升级为域控制器

现在，Windows Server 上的 Active Directory 域服务功能安装已完成，还需要执行其他步骤才能使该计算机成为域控制器。

1. 单击将此服务器提升为域控制器。

2. 选择将域控制器添加到现有域并填写管理员凭据。单击下一步。

3. 键入目录服务还原模式 (DRSM) 密码两次。单击下一步。

4.忽略顶部的授权警告。单击下一步。

5.您可以选择要从哪个域控制器进行复制。

在我们的示例中，只有 DC01-2019 是域控制器。

6. 选择域控制器或选择要从中进行复制的任何域控制器。单击下一步。

7. 单击下一步。

8. 单击下一步。

9. 单击安装。

10.域控制器升级和复制正在进行中。

11.升级和复制操作结束时将自动重新启动。

检查新的域控制器配置

现在组织中有两个域控制器已启动并正在运行，因此检查域控制器配置至关重要。

DNS服务器地址设置

进入DC02-2019 IP设置并检查DNS服务器地址：

• 首选 DNS：域控制器 DC01-2019 (192.168.1.51)

• 备用 DNS：环回地址 (127.0.0.1)

进入DC01-2019 IP设置并配置DNS服务器地址：

• 首选 DNS：域控制器 DC02-2019 (192.168.1.52)

• 备用 DNS：环回地址 (127.0.0.1)

Active Directory 用户和计算机

启动Active Directory 用户和计算机并检查其是否已连接到域控制器DC02-2019。

单击 OU 域控制器 并验证是否显示两个域控制器。

假设您想知道组织中有多少个域控制器正在运行。一个很好的方法是使用 PowerShell 列出所有域控制器。

Active Directory 复制状态

以管理员身份运行 PowerShell 并运行以下命令以获取所有域控制器的当前复制状态。

PS C:\> repadmin /showrepl *

Repadmin: running command /showrepl against full DC DC01-2019.exoip.local
Default-First-Site-Name\DC01-2019
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
DSA invocationID: b44dc8cf-ce37-4046-b908-8504ff700efe

==== INBOUND NEIGHBORS ======================================

DC=exoip,DC=local
    Default-First-Site-Name\DC02-2019 via RPC
        DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
        Last attempt @ 2023-01-06 11:56:10 was successful.

CN=Configuration,DC=exoip,DC=local
    Default-First-Site-Name\DC02-2019 via RPC
        DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
        Last attempt @ 2023-01-06 11:56:38 was successful.

CN=Schema,CN=Configuration,DC=exoip,DC=local
    Default-First-Site-Name\DC02-2019 via RPC
        DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
        Last attempt @ 2023-01-06 11:56:08 was successful.

DC=DomainDnsZones,DC=exoip,DC=local
    Default-First-Site-Name\DC02-2019 via RPC
        DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
        Last attempt @ 2023-01-06 11:56:10 was successful.

DC=ForestDnsZones,DC=exoip,DC=local
    Default-First-Site-Name\DC02-2019 via RPC
        DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
        Last attempt @ 2023-01-06 11:56:10 was successful.

Repadmin: running command /showrepl against full DC DC02-2019.exoip.local
Default-First-Site-Name\DC02-2019
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: f8ad96fb-5590-47ae-af10-13322b2c8663
DSA invocationID: c54f30d3-017f-4576-a000-5529e53d4e74

==== INBOUND NEIGHBORS ======================================

DC=exoip,DC=local
    Default-First-Site-Name\DC01-2019 via RPC
        DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
        Last attempt @ 2023-01-06 12:04:34 was successful.

CN=Configuration,DC=exoip,DC=local
    Default-First-Site-Name\DC01-2019 via RPC
        DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
        Last attempt @ 2023-01-06 11:56:23 was successful.

CN=Schema,CN=Configuration,DC=exoip,DC=local
    Default-First-Site-Name\DC01-2019 via RPC
        DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
        Last attempt @ 2023-01-06 11:46:08 was successful.

DC=DomainDnsZones,DC=exoip,DC=local
    Default-First-Site-Name\DC01-2019 via RPC
        DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
        Last attempt @ 2023-01-06 11:56:26 was successful.

DC=ForestDnsZones,DC=exoip,DC=local
    Default-First-Site-Name\DC01-2019 via RPC
        DSA object GUID: b44dc8cf-ce37-4046-b908-8504ff700efe
        Last attempt @ 2023-01-06 11:56:29 was successful.

运行以下命令以获取当前复制状态的复制摘要。

PS C:\> repadmin /replsummary

Replication Summary Start Time: 2023-01-06 12:05:14

Beginning data collection for replication summary, this may take awhile:
  .....


Source DSA          largest delta    fails/total %%   error
 DC01-2019                 19m:06s    0 /   5    0
 DC02-2019                 09m:06s    0 /   5    0


Destination DSA     largest delta    fails/total %%   error
 DC01-2019                 09m:05s    0 /   5    0
 DC02-2019                 19m:06s    0 /   5    0

注意：检查 AD 运行状况的最佳方法是运行 Active Directory 运行状况检查器脚本。这将在易于阅读的报告中显示 Active Directory 信息和运行状况，包括复制状态。

了解更多：保护 Active Directory 密码免遭泄露 »

结论

您学习了如何向现有域添加额外的域控制器。首先，确保您满足先决条件。之后，安装 Active Directory 域服务 (AD DS) 功能。最后，从另一个域控制器复制并将服务器提升为域控制器。

请记住检查新的域控制器配置。 Active Directory 用户和计算机中的 AD 对象必须复制到新的域控制器。此外，复制运行状况应该通过并且不会显示任何错误。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 获取 Active Directory 计数。不要忘记关注我们并分享这篇文章。