6.创建现有域的额外域控制器(第二台服务器)

基础性实验五活动目录的创建一．实训目的：学会WindowsServer2003活动目录的安装。

二．实训内容在Windowsserver2003中创建活动目录。

三．实训环境的搭建1．计算机上已经安装了WindowsServer2003系统。

2．活动目录数据库至少需要200MB，活动目录数据库的事务日志文件另需50MB，若为全局编录服务器，还需要一定的空间。

3．系统卷文件夹必须在NTFS分区中。

4．系统配置了TCP/IP。

5．若在现存的Windows2003Server网络中创建，那么还需创建域所需要的管理特权。

四．实训操作实践与步骤活动目录的安装使计算机转换为域控制器。

活动目录的安装过程如下：（1）启动活动目录安装向导。

选择“开始”/“程序”/“管理工具”/“配置您的服务器”命令，出现“配置您的服务器”对话框，如图1所示，单击“添加或删除角色”连接；在图2所示的“预备步骤”对话框中确认，已达到所有要求后单击“下一步”按钮；经过一段时间的网络配置检查，出现图3所示的“服务器角色”对话框，选择“域控制器（ActiveDirectory）”后单击“下一步”按钮；如图4所示，在出现的“选择总结”对话框中，单击“下一步”按钮后，即可进入“ActiveDirectory安装向导”，如图5所示。

用户也可以选择“开始”/“运行”命令，在运行对话框中输入Dcpromo.exe命令，如图6所示，启动ActiveDirectory安装向导。

图1“配置您的服务器”对话框图2“预备步骤”对话框图3“服务器角色”对话框图4“选择总结”对话框图5“ActiveDirectory安装向导”对话框图6“运行”对话框（2）在图5所示的“ActiveDirectory安装向导”对话框中，单击“下一步”按钮，弹出图7所示的“操作系统兼容性”对话框，单击“下一步”按钮；打开“域控制器类型”对话框，如图8所示。

如果是创建一个域中的第二台域控制器，则选择“现有域的额外域控制器（A）”选项，此时，选择“新域的域控制器”选项，单击“下一步”按钮。

微软双机群集安装总结Step1 安装操作系统。

注意两台机子的名称不能混淆。

因为双机包含两台服务器，我们将第一台服务器的取名test01,第二台取名为test02.登陆用户均为administrator,口令abcd2011。

Step2 安装硬件驱动并安装操作系统补丁包。

以下为安装硬件驱动步骤，以HP Proliant dl580 G7服务器为例：插入驱动光盘（HP SmartStart 32Bit），系统弹出如下提示：选择Agree，进入如下界面：选择software,进入如下界面：选择Install ProLiant Support Pack，进入如下界面：选择Express installation of the PSP for Windows，进入如下界面：选择Start Inventory,进入如下界面：安装即可，进入如下界面：在安装过程中可能会弹出如下错误，单击取消即可：系统驱动安装结束以后，检查一下是否有未安装上的硬件驱动。

这里DL580有一个硬件驱动光线卡，需要手动安装。

但前提是先安装系统补丁KB932755，找到后安装即可，然后安装光线卡驱动。

至此，所举例子的硬件驱动全部安装完毕。

继续安装系统补丁。

Step3 配置IP。

因为每台服务器有两块网卡，一块公有，一块私有。

下面以收费双机群集为例，第一台服务器（即test01）共有网卡，配置如下：私有网卡配置有如下几步，首先进入属性配置界面后，去掉microsoft网络客户端、microsoft网络的文件和打印机共享前面的勾，配置后如下：接下来，点击“配置”进入网卡配置界面，选择“高级”选项卡，将网卡配置成100Mb 半双工。

如下图所示：接下来，配IP，如下：然后，点击“高级”进入下一个配置页面，进入DNS配置选项卡，将“在DNS中注册此连接的地址”前的勾去掉。

如下：最后，点击“WINS”TAB页，禁用TCP/IP上的NetBIOS，如图：点击确定即可。

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:Server由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

实验3 建立域控制器1 实验目的1、通过实验掌握Windows Serv er 2008R2中活动目录的安装步骤。

2、通过实验掌握额外域控制器的安装步骤。

3、掌握将客户机加入或脱离域的方法。

4、掌握创建具有父子信任关系的域树的方法。

5、掌握创建具有根信任关系的域林的方法。

2 实验环境1、VMware中两台已经安装Windows Serv er 2008R2的计算机（也可通过clone 实现）（计算机名分别为ser v ier01和serv er02）。

2、1台Windows 7计算机。

3、所有计算机之间能够相互连通。

3 实验原理1、域控制器是用来保存活动目录信息的服务器。

它处于域中顶尖的位置，在构建域网络的过程中需要建立的第一台服务器就是它。

域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上。

域控制器也负责用户的登录过程，以及其它与域有关的操作，如身份认证、目录信息查找等。

2、网络中可以有多台域控制器，以实现容错的能力。

所有域控制器都是平等的。

3、Windows系统的计算机加入域后，便可以访问AD数据库与其它域资源，例如用户可以在这些计算机上使用域用户账户来登录域，并使用此域用户账户来访问域内其它计算机内的资源。

当然，加入域的计算机也可以脱离域。

4、域树由一个或多个域构成，安装时应先创建父域，再创建子域，在域名上应具有连续性。

林由一个或多个域树构成，在建立第2个域树的根域时可以建立与已有域树的根信任关系。

域林中各个域的域名没有关联关系。

5、信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。

信任是域之间建立的关系，可以使一个域中的用户由另一个域中的域控制器进行验证。

常用的信任类型包括：（1）父子信任在域林中，父子域之间存在信任关系，称之为父子信任关系。

默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。

来自从属域的身份验证请求将通过其父项向上传递到信任域中。

主域控制器和额外域控制器问题讨论字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。

不知有没有人会？我也来说两句查看全部回复最新回复∙tomdoctor (2005-1-08 14:41:09)运行ntdsutil 把操作角色seize过来∙qjping (2005-1-11 21:41:08)请问楼上有没有操作过?∙tutuit (2005-1-17 08:36:32)往上搜索一下，有关seize的资料一大堆∙tutuit (2005-1-17 08:36:45)网上搜索一下，有关seize的资料一大堆∙xwbest (2005-1-17 13:37:41)把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的∙housten (2005-1-28 14:15:57)QUOTE:最初由xwbest 发布[B]把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]你成功过！太好了，能讲讲具体步骤吗！因为我试验过几次，都不成功。

关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。

不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)为什么要重新建立DNS我做的时候额外域控制器上的DNS与主域一样是起额外域控制器时自动建立没必要重建如果重建会有问题的∙xwbest (2005-1-28 17:16:50)而且客户机不用做任何的改动连额外域控制器上也不必该原来的DNS回自动转过来的我讲的是客户机的DNS不动也可以用∙stevenxia (2005-1-29 09:21:05)看看这篇文章，希望对你有所帮助：AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

域控搭建方案一、概述在现代企业中，域控（Domain Controller）是一种对网络上的计算机和用户进行集中管理的解决方案。

通过搭建域控，企业可以实现用户账户、权限管理、安全策略等的集中控制，提高网络管理效率，并增强整体网络的安全性。

本文将详细介绍域控搭建方案。

二、准备工作2.1 硬件准备搭建域控需要一台或多台适用的服务器或计算机，确保具备足够的性能和存储空间。

服务器建议使用性能较好的硬件，例如至少4核CPU、8GB内存和500GB硬盘空间。

2.2 软件准备•Windows Server操作系统：选择适合企业规模和需求的Windows Server版本，如Windows Server 2019。

•Windows Server ISO镜像：下载合适的Windows Server ISO镜像文件进行安装。

2.3 网络准备•IP地址规划：根据实际网络环境，规划IP地址分配方案。

建议使用专用IP 地址段，如192.168.0.0/24。

•域名系统（DNS）配置：设置合适的DNS服务器地址，确保域控可以解析外部域名和本地域名。

三、安装和配置域控3.1 安装操作系统按照安装向导，使用准备好的Windows Server ISO镜像文件，进行操作系统的安装。

在安装过程中，根据实际需求进行分区和设置管理员密码。

3.2 添加域控角色在安装完成后，打开Server Manager管理工具，选择“添加角色和功能”，进入角色和功能安装向导。

选择“Active Directory域服务”角色，并安装相关功能。

3.3 创建新域在角色安装完成后，打开Server Manager或直接在欢迎界面上点击“配置Active Directory域服务”按钮，进入配置向导。

选择“创建新的域”，并按照向导提示完成域的创建。

3.4 配置DNS服务器在域控创建完成后，进入Server Manager的“工具”菜单，选择“DNS”管理工具。

Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.1/24+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：IP池：192.168.100.20-192.168.100.250网关：无DNS：192.168.100.1，192.168.100.2配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

windows server 2003下建立额外域控制器和DNS冗余大家看，这是我们的主域控制器。

试着设想一下，如果我们的主域控制器坏掉的话那么我们公司的所有员工都没办法登陆到域并且无法使用内部DNS。

为了避免这种情况，我们要怎么做呢？微软很人性化，给我们推出了额外域这个东东，而且能够实现DNS冗余，如果不懂“冗余”是什么东西的话请到百度百科查询。

首先我们要建立额外域。

大家看，这台计算机是属于“WORKGROUP”工作组，下面我们就要将他变成“”的额外域控制器。

首先，跟安装域一样在运行下输入“dcpromo”。

下一步。

接着下一步。

注意看这里，这里很重要，我们选择“现有域的额外域控制器”，这个不做解释，我相信所有的人都明白这是什么意思。

这里输入管理员帐户和密码以及域的名称，因为我的管理员密码为空，所以不输入管理员密码。

这里是选择您的计算机将要成为哪个域的额外域控制器，输入域的名字（如：）或者点击浏览选择域控制器也可以。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

下面电脑将自动将自己变成“”的额外域控制器。

安装完之后点击完成然后冲洗启动计算机你会看到以上的信息，这就表明我们已经成功的将这台计算机变成“”的额外域控制器了。

这样的话，如果主域控制器坏掉的话，员工也能照常登陆到域，而不会影响公司的正常运行。

你可以尝试一下多架设几个额外域控制器。

光这样还是不行的，开头我们说过，还得让DNS不受影响，员工照样能使用内部的DNS，下面我们再做一下DNS冗余其实很简单，在做完额外域之后，我们在这台计算机上架设DNS，纤细步骤如下。

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

额外域控制升级为主域控制器一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

2003双机热备之一系统安装本文所述双机热备是采用微软公司Windows2003 Server操作系统，非第三方管理软件。

硬件需求：1、两台服务器，一台为主域控制器，另一台为额外域控制器；2、每台服务器配置两块网卡，和两块阵列卡（一块做本地服务器磁盘阵列，另一块连接磁盘柜阵列）；3、一台用来共享资源的存储设备（本文为Dell221s磁盘阵列柜）；4、一条点对点的反转网线（充做心跳线）；两条将服务器接入网络的网线。

系统安装：主域控制器和额外域控制器可以分两个时间段来完成，这也是群集的最大特点，可以不停机的进行数据转移。

以下一同描述主域控制器和额外控制器的安装：1、服务器分为主域控制器（主服务器）和额外域控制器（从服务器），这里将主域控制器标名为hrb0，将额外域控制器标名为hrb1；2、将hrb0 的第一块网卡做为外网（局域网）使用的网卡，标明public，第二块网卡做为私网（与hrb1的连接）使用的网卡，标明private；3、在主服务器上安装Windows 2003 Server Enterprise（过程略）；4、配置tcp/ip协议：外网: 掩码：网关：DNS：（把对方服务器IP作为本机的主DNS，本机地址做备用DNS）内网: 掩码：（网关空）DNS: （把对方服务器IP作为本机的主DNS，本机地址做备用DNS）5、安装补丁；6、其它相关配置完成后，关闭服务器，准备连接磁盘阵列；7、将磁盘阵列柜的应用模式调至"群集模式"（在盘柜的背面有滑动开关，调至靠近模块拉手一侧）;由于在"群集模式"下，RAID卡会占用ID15的槽位，所以ID15槽位的磁盘在以后的配置应用过程中不会起到作用，建议将盘柜ID15槽位的硬盘取下,做为以后的备用硬盘。

8、将主域控制器的RAID卡连接线接至磁盘柜的EMM插口，磁盘阵列的另一EMM插口留给额外域控制器，如果服务器上的阵列卡是双通道的，两个服务器连接SCSI线的通道要一致。

额外域控制器的安装要进行在线额外域控制器安装，首先要把该台成员服务器的DNS指向当前域网络中的DNS 服务器，当然还得连接在域网络中（但可以不事先加入域）。

可以按照上节安装第一台服务器的步骤来安装额外域控制器，但因为这里仅安装域控制器，所以可以直接运行活动目录安装向导来进行，具体步骤如下（同样是以最新的SP2版本为例进行介绍）：（1）在要配置为额外域控制器的Windows Server 2003（也可以是Windows 2000 Server系列）中以本机管理员账户administrator登录，然后在"运行"窗口中执行dcpromo命令，打开活动目录安装向导，如图6-18所示。

（2）单击"下一步"按钮，打开如图6-19所示的对话框。

这里是一个Windows Server 2003域系统的兼容提示，提示你要注意，像Windows 95及以前版本的Windows系统以及一些非（3）单击"下一步"按钮，打开如图6-20所示的对话框。

在这里要选择所安装的域控制器类型，此处创建的是额外域控制器，所以要选择"现有域的额外域控制器"单选项。

（4）单击"下一步"按钮，打开如图6-21所示的对话框。

在这里要求提供在域中有权安装活动目录的用户账户信息。

这里所提供的用户账户必须是目标域的Domain Admins组的成员或者是Enterprise Admins 组的成员，通常是域管理员账户，当然也可以委派其他账户。

域名必须是目标域的完整DNS 名称，不能是NetBIOS域名。

（5）单击"下一步"按钮，打开如图6-22所示的对话框。

在此指定该服务器要成为的额外域控制器的域名。

同样要使用完整的DNS域名格式，不能使用NetBIOS域名。

本示例为lycb.local。

（6）单击"下一步"按钮，打开如图6-23所示的对话框。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。