設定 Windows Server 網域控制站(含問題排除)
文章目錄
把先前設定 Windows 網域控制站的筆記整理上來。(圖多)
作業環境:Windows Server 2012
假設要把 dc1 這台主機升級成 domain controller,至少要先完成底下的檢查與設定:
TCP/IP 設定
TCP/IP v4 的設定:主 DNS 必須設定成 dc1 的 IP 位址,而且不要加入其他 Internet 公開的 DNS 伺服器 IP 位址。
加入 DNS 角色
在伺服器管理員中,為 dc1 這台伺服器新增角色:DNS 伺服器。
點[其他]按鈕之後,查看電腦的主要 DNS 尾碼是否正確,而且要勾選下方的 checkbox。如下圖:
設定 DNS 區域
正向對應區域:
反向對應區域:
接著用 nslookup 確認以下三個命令都能正確解析主機名稱和 IP 位址:
nslookup dc1
nslookup dc1.corp.COMPANY.com.tw
nslookup 192.168.0.20
執行結果應該要跟下圖類似:
如果上述三個 nslookup 指令的執行結果有出現 Unknown server 或其他解析失敗的訊息,請回頭檢查正向和反向對應區域的設定是否遺漏。
完成上述檢查後,就可以動手把 dc1 主機升級成網域控制站。
升級成網域控制站
先為這台主機新增角色:Active Directory 網域服務。
作業環境:Windows Server 2012
假設要把 dc1 這台主機升級成 domain controller,至少要先完成底下的檢查與設定:
TCP/IP 設定
TCP/IP v4 的設定:主 DNS 必須設定成 dc1 的 IP 位址,而且不要加入其他 Internet 公開的 DNS 伺服器 IP 位址。
加入 DNS 角色
在伺服器管理員中,為 dc1 這台伺服器新增角色:DNS 伺服器。
點[其他]按鈕之後,查看電腦的主要 DNS 尾碼是否正確,而且要勾選下方的 checkbox。如下圖:
設定 DNS 區域
正向對應區域:
反向對應區域:
接著用 nslookup 確認以下三個命令都能正確解析主機名稱和 IP 位址:
nslookup dc1
nslookup dc1.corp.COMPANY.com.tw
nslookup 192.168.0.20
執行結果應該要跟下圖類似:
完成上述檢查後,就可以動手把 dc1 主機升級成網域控制站。
升級成網域控制站
先為這台主機新增角色:Active Directory 網域服務。
完成後,伺服器管理員會有一則通知訊息,告訴你可以將此主機升級為網域控制站:
升級網域控制站:
過程中出現一個警告:
點進去看完整訊息:
暫且忽略此警告,稍後若發現問題時再來解決。所以繼續進行下一步,直到最後顯示所有的先決條件檢查畫面:
雖然有三項警告,但仍可點下[安裝]鈕,就會開始將主機升級成網域控制站。
問題診斷與排除
升級完成後,我在伺服器管理員裡面看到一些與 DNS 有關的錯誤,而且在別台機器要加入網域時,也無法解析網域控制站的名稱。
使用 dcdiag 診斷看看,結果顯示升級成網域控制站之後,主機的名稱解析有些問題:
最後發現,升級成網域控制站之後的「DNS 正向對應區域」,在區域的下層應該會多出好幾項紀錄,但結果卻沒有:
正常來講,應該要像這樣:
解決方法
解決此問題的方法是在 DNS 管理工具中,把 dc1 主機的正向對應區域裡的 DNS 區域設定成允許動態更新。參考下圖:
改成允許動態更新之後,可能要重新啟動 Netlogon 服務,讓它重建這些 DNS 紀錄。
下圖是最終結果:
其中的 WINS 對應紀錄是我在試誤過程中加的,應該不是必要。
其他問題
dcdiag 的結果顯示:
發生警告事件。EventID: 0x000003F6
產生時間: 12/26/2017 08:03:09
事件字串:
設定的 DNS 伺服器沒有回應,名稱 _ldap._tcp.dc._msdcs.corp.XYZ.com.tw. 的名稱解析逾時。
使用 nslookup 測試看看:
nslookup _ldap._tcp.dc._msdcs.corp.XYZ.com.tw
DNS request timed out.
timeout was 2 seconds.
伺服器: UnKnown
Address: ::1
DNS request timed out.
timeout was 2 seconds.
名稱: _ldap._tcp.dc._msdcs.corp.XYZ.com.tw
這問題的影響不大,如果覺得礙眼,只要找到網路卡的 IPv6 設定,把 "::1" 從它的 DNS 伺服器清單裡移除就行了。參考下圖。
更改設定之後,再跑一次 nslookup,確認 _ldap._tcp.dc._msdcs.* 名稱已經可以解析:
nslookup _ldap._tcp.dc._msdcs.corp.XYZ.com.tw
伺服器: dc1.corp.XYZ.com.tw
Address: 192.168.0.20
名稱: _ldap._tcp.dc._msdcs.corp.XYZ.com.tw
這篇打醬油筆記就寫到這裡。