一步步实现SDDC--多角色服务器部署(2)

实验摘要：

1>安装并配置活动目录域控制器 [难度★ 复杂度★★]

    安装DNS域名解析服务器 [难度★ 复杂度★]

2>配置域组策略 [难度★ 复杂度★★★]

3>配置DNS的主机记录和反向记录 [难度★ 复杂度★]

正文：

在上一篇的内容中，我们完成了迷你SDDC环境中第一台虚拟机的安装及基本配置。在文章的最后，我提及ADDC这台虚拟机承载了许多角色，包括域控制器、DNS服务器、NTP服务器和路由器。

无论是传统的数据中心，还是软件定义的数据中心SDDC，都有一些必不可少的基础架构服务器，这其中包括：

• NTP服务器：用以规范和统一数据中心内所有物理设备、虚拟机和其他终端的时间
  
• DNS服务器：用以解析企业内部和公网域名
  
• 域控制器：通过微软的活动目录AD，对成员服务器和用户等实现统一的管理
  

我们的迷你SDDC环境中，这些必不可少的服务器功能都通过一台ADDC虚拟机实现。

在今天的讨论中，我将向大家演示，如何将一台普通的Windows Server服务器，部署成林中的第一台域控制器和DNS服务器。

主题：迷你SDDC环境搭建

任务3：多角色服务器部署域控制器和DNS服务器角色

在完成ADDC这台虚拟机的安装和基本配置后，我们称呼这台虚拟机叫“独立服务器”。

管理员在独立服务器上安装活动目录后，就可以提升它为“域控制器”。

如果一台独立服务器加入某一个域后，就成为这个域的“成员服务器”，管理员在成员服务器上安装活动目录后，它同样可以提升为“域控制器”。

由此可见，独立服务器、成员服务器和域控制器的关系如下：

后续的演示内容，就是将ADDC提升为域控制器的操作步骤。

• 我们已经开启了ADDC服务器的远程桌面功能，通过mstsc远程桌面访问ADDC
  

• 输入正确的用户名和密码
  

• 第一次远程桌面访问的时候，需要接受计算机RDP证书
  

• 在控制台点击“添加角色”或者打开服务器管理器，点击“添加角色”
  

• 为ADDC添加“Active Directory域服务”角色
• 
• 添加角色向导会自动安装与活动目录相关的功能，如.net framework3.5.1功能
  

   

• 等待添加角色向导完成活动目录角色的添加，在安装结果页面，点击运行“域服务安装向导”
  如果关闭了角色向导，也可以在Windows命令行输入dcpromo.exe，将独立服务器提升为域控制器
  

• 开始AD域服务安装向导
  
• 
• 由于是完全新建的环境，我们选择“在新林中新建域”
  从逻辑上来说，独立服务器不可能是已经加入到任何域的成员服务器，只能选择“在新林中新建域”选项
  
• 成员服务器如果选择“向现有域添加域控制器”，相当于已经有多台域控制器的前提下，添加新的域控制器
  
• 成员服务器如果选择“在现有林中新建域”，相当于创建一个子域，并成为这个子域的第一台域控制器
• 
• 定义根域的FQDN，即一般情况下我们所说的域名，如eccomat.local
  

• 在创建域控制器的同时，为ADDC添加DNS服务器角色
  

• 在确认各项设置无误后，点击下一步，开始安装DNS服务器角色和提升成为域控制器的进程
  

• 等待域服务安装向导完成
• 
• 确认域服务安装向导正确完成，没有任何报错
  
• 
• 在提升成为域控制器后，必须重启ADDC虚拟机操作系统
• 

在ADDC正常重启后，这台独立服务器就已经成为域eccomat.local中的第一台域控制器和DNS服务器；细心的朋友也会发现，ADDC还自动成为了一台NTP服务器，所有加入到eccomat.local域的成员服务器，均会向ADDC发起时钟同步请求。

主题：迷你SDDC环境搭建

任务4：通过组策略定义域用户密码复杂度和有效期

通过AD的组策略，管理员可以集中式地管理域中的用户和计算机，比如：

• 通过定义一条计算机策略，可以设置所有计算机账户的密码复杂度
  
• 通过定义一条用户策略，可以设置所有用户在登录计算机的时候，自动运行若干脚本，如挂载网盘和文件夹重定向等
  
• 在一台域控制器部署后，默认会安装“组策略管理”工具，管理员可以在管理工具中找到并且打开它，实现统一的组策略管理
  

• 比如，系统有一条默认的“Default Domain Policy”，我们可以通过这条组策略定义计算机策略，实现对账户密码复杂度等一系列密码相关的集中设置
  特别注意：这条“Default Domain Policy”绝对不可以删除！
  

   

针对迷你SDDC演示环境，可以选择取消密码复杂度，设置密码永不过期

根据应用对象，组策略可以分为“计算机策略”和“用户策略”，每次更新组策略后，管理员可以通过Windows命令行立刻生效组策略

使用命令：> gpupdate /force

• 对于计算机策略，必须重启计算机操作系统后才能生效
  
• 对于用户策略，必须重新登录账户后才能生效
  

主题：迷你SDDC环境搭建

任务5：配置DNS主机解析记录和反向解析记录

在完成DNS服务器角色搭建后，还需要配置主机解析记录和反向解析记录后，才能正常解析域名

在“一步步实现SDDC--学习平台环境的搭建(1)”章节的最后，我定义了服务器主机名为v587-esxi-01.eccomat.local，在没有定义解析条目的情况下，域中的计算机是无法通过域名方式访问这台ESXI主机管理界面的

DNS解析记录的配置很简单，一般情况下，只需要配置主机解析记录和反向解析记录即可，目前暂时不需要配置SRV记录等

• 运行“新建区域向导”，创建反向解析记录区域
  

• 选择创建一个“主要区域”
  

• 选择复制区域数据到所有DNS服务器
  

• 创建IPv4反向查找区域
  

• 定义反向查找区域的IP地址，即172.20.10.0网段
  

• 选择“只允许安全的动态更新”
• 
• 完成区域向导配置
  
• 在正向查找区域eccomat.local，新建一条主机记录
  

• 添加172.20.9.21 v587-esxi-01.eccomat.local解析记录，并勾选“创建相关的指针PTR记录”，即同时创建反向解析记录
  
• 等待条目创建完成
  

完成上述DNS解析条目配置后，所有将DNS服务器指向ADDC的计算机都可以正常解析v587-esxi-01.eccomat.local域名

在结束今天的讨论之前，还有一件必须要做的事情：

在安装ADDC虚拟机的章节，我们关闭了Windows操作系统的防火墙，但是在完成域活动目录安装后，计算机的域网络防火墙被自动开启了

因此，我们还需要关闭域网络的防火墙

• 在控制面板页面，关闭域网络防火墙
  

经过几天的部署，我们的迷你SDDC环境现行拓扑如下：

在明天的讨论中，我们将继续完成ADDC其他角色的部署工作，包括NTP服务器、路由器和DHCP服务器。这些部署工作难度不大，但略显繁琐；同时也是一个SDDC演示环境中非常关键的角色。