首页 » Active Directory » 部署额外域控制器

部署额外域控制器

Active Directory · 第 3 篇 · 适用于 Windows Server 2019 / 2022 / 2025

📑 目录

  1. 准备第二台服务器 DC02
  2. 将 DC02 加入域
  3. 提升为域控制器
  4. 验证复制状态
  5. 常见问题

1. 准备第二台服务器 DC02

在 VMware 中克隆或新建第二台 Windows Server 2022 虚拟机,按以下参数配置:

项目配置
主机名DC02(需在加域前完成重命名)
IP 地址192.168.10.253/24
默认网关192.168.10.1
首选 DNS192.168.10.254(指向 DC01)
内存/CPU4GB / 2 核
PowerShell - DC02 网络配置
# 设置 DC02 静态 IP
New-NetIPAddress -InterfaceAlias "Ethernet0" `
    -IPAddress "192.168.10.253" `
    -PrefixLength 24 `
    -DefaultGateway "192.168.10.1"

Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" `
    -ServerAddresses "192.168.10.254"

# 重命名为 DC02
Rename-Computer -NewName "DC02" -Restart

2. 将 DC02 加入域

1

DC02 重启后,打开 系统属性sysdm.cpl)→ 计算机名更改

2

在"隶属于"中选择,输入 iehang.cn → 确定 → 输入域管理员凭据 IEHANG\Administrator

3

提示"欢迎使用 iehang.cn 域"表示加入成功 → 重启计算机

PowerShell - 加入域
Add-Computer -DomainName "iehang.cn" `
    -Credential (Get-Credential) `
    -Restart -Force

3. 提升为域控制器

1

DC02 重启后以 IEHANG\Administrator 登录 → 服务器管理器 → 添加角色和功能

2

勾选 Active Directory 域服务 → 安装 → 完成后点击将此服务器提升为域控制器

3

选择将域控制器添加到现有域 → 输入域名 iehang.cn → 输入企业管理员凭据

4

勾选域名系统(DNS)服务器全局编录(GC)服务器 → 设置 DSRM 密码 → 安装

5

安装完成后自动重启,DC02 现在已是 iehang.cn 的额外域控制器

PowerShell - 提升为额外域控
# 安装 AD DS 角色
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Import-Module ADDSDeployment

# 提升为额外域控制器(需要以域管理员身份运行)
Install-ADDSDomainController `
    -DomainName "iehang.cn" `
    -Credential (Get-Credential "IEHANG\Administrator") `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd!DSRM" -AsPlainText -Force) `
    -InstallDNS $true `
    -NoRebootOnCompletion -Force

Restart-Computer -Force

4. 验证复制状态

PowerShell - 验证复制
# 查看所有域控制器
Get-ADDomainController -Filter "*" | Format-Table Name, HostName, IsGlobalCatalog, IPv4Address

# 检查复制状态摘要
repadmin /replsummary

# 检查特定对象的复制
repadmin /showrepl DC01.iehang.cn

# 检查复制拓扑
repadmin /showrepl * /csv | ConvertFrom-Csv
✅ 最佳实践
  • 每个站点至少部署 2 台以上域控制器,避免单点故障
  • 额外 DC 自动成为 DNS 服务器和全局编录服务器
  • 客户端应配置多个 DNS 服务器:192.168.10.254192.168.10.253

5. 常见问题

Q1:DC02 加入域时报错"找不到网络路径"

检查 DC02 的 DNS 是否指向 DC01(192.168.10.254),确保两台 VM 能互相 ping 通。如果使用 NAT 模式,确认在同一子网。

Q2:提升后复制不同步怎么办

运行 repadmin /syncall /A /d /e 强制同步。检查防火墙是否放行了 RPC 和 LDAP 端口(389、636、135)。运行 dcdiag /test:replication 诊断。

Q3:两台 DC 的 DNS 设置有什么讲究

DC01 的 DNS 优先指向自己(127.0.0.1),备用指向 DC02。DC02 同理指向自己优先,备用指向 DC01。这样任何一台 DC 故障,DNS 解析都不受影响。