验证AD的安装
检查如下创建:
(1)、SYSVOL和共享
(2)、目录服务数据库和相关日志
(3)、默认活动目录结构
检查相关的事件日志
使用Dcdiag和Netdiag命令
SRV(服务资源记录)是服务和主机名之间做一个解析。
2、删除一台失效的DC,不能简单的把服务拿走,因为在其它的DC仍然保留着这台DC的信息。那么其它DC在复制的时候还会偿试着去找这台DC。
删除一台失效的DC
如果有两个DC,DC1和DC2,如果DC2坏掉了,如果不在DC1上删除DC2的相关信息,那么在数据复制时DC1还会偿试去联系DC2。那么就会出现复制错误,这是我们不愿意看到的。
如何在DC1上去删除DC2
不需要进到目录恢复模式,直接进到命令行。
使用ntdsutil这个工具
tdsutil:metadata cleanup(数据库的清理)
metadata cleanup:connections(进入到连接工具)
metadata cleanup:connections(进入到一个特定域控制器)
erver connections:connect to damain lab.com(首先我连接到我这个域上)
erver connections:connect toserver lab-dc1.lab.com(再连接到我这台服务器上)
erver connections:quit(退到上一层目录)
etadata cleanup:slesct operation target(要指定那台DC无效了)
Slesct operation target:list current selections
Slesct operation target:list sites(要先看看当前计算机上都有那些站点)
Slesct operation target:select site 0(连接到其中的一个站点)
Slesct operation target:list servers in site(然后就可以看到有几台DC)
Slesct operation target:select server 1(1是代表坏掉的那台服务器)
Slesct operation target:quit
Netadata cleanup:remove
Dcdiag和Netdiag进行检查,是否删除干净。
3、如果要实现安全稳固的AD和DNS架构我们必须先了解客户端是如何找到DC的?
当client想要登录到域中,他不并是直接找到DC,因为他并不知道谁是DC,那它会首先去查看DNS服务器,通过DNS解析SRV资源记录,他会向SRV记录去查询,谁是当前网络的DC,如果有SRV记录,client就会得到一个DC的地址,然后去访问DC.如果DNS里没SRV记录或SRV记录不正确,那么我们的client是无法联系到我们的DC的.
