本節書摘來自異步社群《windows server 2012活動目錄管理實踐》一書中的第2章,第2.3節,作者: 王淑江 更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
第一台ad ds域控制器完成後,需要對域控制器進行驗證,确認ad ds域服務是否安裝成功。
2.3.1 驗證“ad ds域服務”
自windows server 2008版本釋出之後,ad ds域服務成為一個普通的服務,通過“服務”控制台可以檢視ad ds域服務運作狀态,可以同普通服務一樣啟動、停止、暫停、重新啟動服務,不需要和windows server 2008之前的版本一樣,隻有在重新啟動域控制器并進入到“目錄還原模式”後,才能維護活動目錄服務。
ad ds域服務部署完成後,預設部署2個和ad ds域服務直接相關的服務:active directory domain services(adds)服務和active directory web services(adws)服務,這2個服務預設處于“正在運作”狀态。打開“服務”控制台,首先驗證ad ds域服務的狀态是否正常運作,如圖2-36所示。
打開其中任何一個服務(例如active directory domain services)後,服務“啟動類型”為“自動”,通過“啟動”、“停止”、“暫停”、“恢複”等按鈕控制服務的運作,如圖2-37所示。
https://yqfile.alicdn.com/73ef1a5439a5c1ef4c52a7d6bd8d938aed2bf4b2.png" >
2.3.2 驗證“預設容器”
第一台域控制器部署完成後,安裝成功的域控制器将建立部分預設容器,例如“domain controllers”、“computers”、“users”和“foreignsecurityprincipals”,如圖2-38所示。
如果打開“檢視”→“進階功能”選項,将顯示更多容器,如圖2-39所示。
https://yqfile.alicdn.com/7bcc8ff12bf5ecfd68c1608c3a19cd837b0356cf.png" >
2.3.3 驗證“domain controllers”
預設的域控制器管理單元為“domain controllers”,包含第一個域控制器(dc),另外還是新域控制器(額外域控制器、隻讀域控制器)的預設容器。其他域控制器安裝後,将自動歸并到該組織機關中。
打開“active directory 使用者和計算機”,顯示第一台域控制器已經加入到該組織機關中,同時該計算機作為全局編錄伺服器(gc),如圖2-40所示。
打開第一台域控制器屬性對話框後,顯示目前計算機的詳細資訊,例如dns資訊、dc類型、所在的站點等,如圖2-41所示。
https://yqfile.alicdn.com/1586bd502d188a50f884deed57e00efd42a4ff6a.png" >
2.3.4 驗證“default-first-site-name”
将伺服器提升為域控制器過程中,安裝向導自動确定該域控制器屬于哪個站點的成員。如果建立域控制器是新林中的第一個域控制器,将建立名稱為“default-first-site-name”的預設站點,第一台域控制器成為該站點的第一個成員。
打開“active directory站點和服務”控制台,選擇“sites”→“default-first-site-name”→“servers”選項,顯示第一台域控制器已經加入到預設站點中,如圖2-42所示。
2.3.5 驗證“active directory 資料庫”和“日志檔案”
伺服器提升為域控制器過程中,“路徑”對話框設定active directory資料庫和日志檔案的存儲位置,預設位于“%systemroot%ntds”檔案夾中,其中:
active directory 資料庫檔案“ntds.dit”,存儲域控制器中所有活動目錄對象。擴充名“dit”,全稱為“directory information tree”,中文直譯為“目錄資訊樹”。
事務日志檔案“edb.log”。
該檔案儲存active directory操作資訊,預設事務日志名為edb.log,每個事務日志檔案大小為10mb。
當edb.log寫滿時被重命名為edbxxxx.log,重建立立一個新日志檔案,同時舊日志檔案被自動删除。其中xxxx是檔案編号,從0001開始逐漸遞增。
active directory将事務日志寫入到記憶體的同時,将事務日志寫到日志檔案edb.log。如果系統不正常關機,導緻記憶體尚未寫入active directory資料庫的資料丢失,當開機後系統根據檢查點檔案edb.chk得知要從事務日志檔案edb.log内的哪個資料開始,利用事務日志檔案edb.log内的日志記錄,将關機前尚未寫入active directory資料庫日志繼續寫入active directory資料庫。
檢查點檔案“edb.chk”,跟蹤尚未寫入活動目錄資料庫檔案的日志。記錄active directory資料庫檔案和記憶體中active directory資料之間的差異,一般此檔案用于active directory的初始化或還原。
暫存日志檔案為“edbtmp.log”。該日志是目前日志檔案(edb.log)填滿時的暫時日志。
保留日志檔案“edbres00001.jrs”和“edbres00002.jrs”。這2個檔案是日志保留檔案,僅當含有日志檔案的磁盤空間不足時使用。如果目前日志檔案填滿且由于磁盤剩餘空間不足而導緻伺服器不能建立新的日志檔案,伺服器将目前記憶體中的活動目錄處理日志寫入到兩個保留日志檔案中然後關閉活動目錄。每一個日志檔案也是10mb大小。
臨時檔案“temp.edb”。該檔案在資料庫維護時使用,存儲維護過程中處理的資料。
打開“檔案資料總管”,檢視“%systemroot%ntds”檔案夾中是否存在名稱為“ntds.dit”、“edb.log”、“edbres00001.jrs”、“edbres00002.jrs”等的檔案,如圖2-43所示。
2.3.6 驗證“計算機角色”
由于部署網絡中第一台有域控制器,也就是根域伺服器,是以第一台域控制器的“計算機角色”應該為“primary”。如果是額外域控制器,“計算機角色”應該為“backup”。
打開“msdos指令行”視窗,鍵入以下指令檢視第一台域控制器的計算機角色。
指令執行後,顯示目前域控制器的計算機角色為“primary”,如圖2-44所示。
https://yqfile.alicdn.com/9e919e9ad40edfae450718327ca3c0c88482eba2.png" >
2.3.7 驗證系統共享卷“sysvol”和“netlogon”服務
伺服器提升為域控制器過程中,“路徑”對話框設定active directory資料庫、日志檔案以及系統共享卷的存儲位置,系統共享卷預設位于“%systemroot%sysvol”檔案夾中。
1.驗證活動目錄的sysvol檔案夾結構
ad ds域服務安裝完成後,“%systemroot%sysvol”目錄下将建立名稱為“domain”、 “staging”、“stagin areas”、“sysvol”的目錄。成功建立的檔案結構如圖2-45所示。
https://yqfile.alicdn.com/844e0c7eb2bb6adbf2d93c8b81d8ba73361572a2.png" >
2.驗證系統共享卷“sysvol”和“netlogon”
打開“msdos指令行”視窗,鍵入以下指令檢視“sysvol”和“netlogon”是否建立成功。
net share
指令執行後,顯示該域控制器中釋出的共享,如圖2-46所示。
登入域控制器或者網絡中任何一台用戶端計算機,通過“dc”和“dc.book.com”通路釋出的系統共享卷“sysvol”和“netlogon”,如圖2-47和圖2-48所示。
https://yqfile.alicdn.com/ab62db7bbabffd1b89ff3b484e9369d04b24f45c.png" >
3.預設域政策和預設域控制器政策
安裝過程中,active directory 将建立兩個标準域政策:“預設域”政策和“預設域控制器”政策(位于%systemroot%sysvol‘domain’policies 檔案夾中)。這些政策顯示為以下全局唯一辨別符(guid)。
通過檔案資料總管打開“%systemroot%sysvol‘domain’policies 檔案夾”檔案夾,檢視預設政策是否建立成功,如圖2-49所示。注意,本例中域名為“book.com”,是以預設域政策的存儲位置為“%systemroot%sysvolsysvolbook.compolicies”。
4.驗證目錄伺服器
打開“msdos指令行”視窗,鍵入以下指令檢視sysvol共享權限。
指令執行後,顯示測試結果。如果正常安裝域控制器,将顯示測試成功資訊,如圖2-50所示。
2.3.8 驗證“srv記錄”
本例中部署的第一台域控制器同時是“內建區域dns伺服器”,即域控制器同時也是dns伺服器,并且安裝dns管理控制台。本例中域名為book.com。
1.驗證srv記錄
以管理者身份登入dns控制台。
第1步,驗證“_msdcs.book.com/dc/_sites/default-first-site-name/_tcp”中是否存在域控制器(dc)的srv資源記錄,如圖2-51所示。
https://yqfile.alicdn.com/8e5c2e4656d8fc82b5692cba9218c5ed72756fa5.png" >
第2步,驗證“_msdcs.book.com /dc/_tcp”中是否存在域控制器的srv資源記錄,如圖2-52所示。
2.檢視域控制器的fqdn
打開dns控制台,選擇“_msdcs.book.com”選項,右側清單中顯示域控制器(dc)的别名記錄,如圖2-53所示。
打開别名記錄屬性對話框,檢視域控制器的fqdn名稱。本例中,域控制器dc的fqdn名稱為“7ec58605-b201-4b-ae-a35933b88ba4._msdcs.book.com”,如圖2-54所示。
https://yqfile.alicdn.com/3e501627c0ec8db3a3f7ea810936a2ca4783437c.png" >
3.測試域控制器fqdn名稱的連通性
打開“msdos指令行”視窗,鍵入以下指令測試使用域控制器的别名記錄能否正常連通域控制器。
指令執行後,顯示與域控制器連接配接結果。成功安裝的域控制器将會正常連通,如圖2-55所示。
https://yqfile.alicdn.com/a8ef247e4d75bb804767176a499d5d39865da95c.png" >
2.3.9 驗證fsmo操作主機角色
伺服器提升為域控制器過程中,第一台域控制器中将建立五種操作主機角色。
打開“msdos指令行”視窗,鍵入以下指令查詢是否成功建立五種操作主機角色。
指令執行後,顯示五種操作主機角色所在的域控制器,如圖2-56所示。注意,“netdom”已經内置,不需要安裝其他工具包。
2.3.10 事件檢視器
打開“事件檢視器”檢視“active directory domain services(ntds)”服務和“active directory web services(adws)”服務産生的相關事件,如圖2-57和圖2-58所示。通過事件驗證2個服務是否正常啟動。
https://yqfile.alicdn.com/7f364fb9f6fd300dd7ec5f3f3ce6559dc45bf74b.png" >
2.3.11 安裝日志
伺服器提升為域控制器過程中的每一個操作,都會記錄到日志檔案中。日志檔案位于“%systemroot%debug”檔案夾中,如圖2-59所示。
安裝過程日志為“dcpromo.log”,打開log檔案可以檢視詳細的安裝過程,如圖2-60所示。
https://yqfile.alicdn.com/b43ea09b3e65c879a5cc5fad95bea374ce19ddb1.png" >