3. 添加额外域控制器

       如果域中只有一台域控制器，一旦出现软件或物理故障，就意味着公司的业务将出现停滞。添加额外域控制器，指的是在域中添加第二台甚至更多的域控制器，每台域控制器都拥有一个 ActiveDirectory 数据库，如果一台域控制器出现故障，只要域内其他域控制器有一个是正常的，就可以继续为用户登录或网络资源访问等提供正常服务。

3.1额外域控制器的好处

使用额外域控制器，可以带来如下好处。

1.提供容错功能

       即使其中一台域控制器出现故障，仍可以由其他域控制器继续提供域服务，从而使整个网络保持正常运行，让用户可以正常登录，并提供用户身份验证。

2.提供负载均衡

       因为多台域控制器可以同时分担用户审核工作，因此可以加快用户审核速度，当网络内的用户数量较多，或者多种网络服务都需要身份认证时，应当安装多台域控制器。

3.更易于用户的连接和访问

       在分支机构用户登录到域网络时，如果都必须由总部的域控制器进行身份验证，分支机构和总部之间的网络连接速度低，则验证的过程可能非常长，而如果在分支机构配置额外域控制器，分支机构网络用户就可以直接通过额外域控制器进行域网络登录，效率将大大提高。

3.2 添加额外域控制器的条件及方法

1.安装额外域控制器的条件

       一台计算机要安装为额外域控制器，必须具备以下几个条件。

       操作系统版本必须受当前域功能级别支持，各个域功能级别支持的域控制器在第1章已经讲解，在此不再赘述，安装者必须具有域管理员权限。

       计算机IP地址和DNS服务器地址配置正确(DNS服务器地址通常为第一台域控制器的IP地址)。

       确保计算机和第一台域控制器之间互相连通。

2.安装额外域控制器

       当一台计算机满足安装额外域控制器的所有条件时，就可以进行安装了，具体步聚如下所述

Step

查看当前域功能级别。

       (1)登录到DC01，打开“ActiveDirectory用户和计算机”控制台，右击域名，本例为benet.com.

弹出快捷菜单，如图所示，

       (2)选择“提升域功能级别”，可以看到当前域功能级别已经是最高的“Windows Server 2016”

如图所示，因此可以确定该域功能级别支持的操作系统版本为“Windows Server 2016

Step2 将计算机DC02加入到当前域。

       (1)在DC02上安装Windows Server 2016版本操作系统。

       (2)将计算机DC02加入到当前域“benetcom中，如图所示。

Step3

在DC02上安装ActiveDirectory域服务。

       (1)在DC02上使用城管理员账户(benet\administrator)登录后，打开“ActiveDirectory域服务配置向导”窗口。在“部署配置”界面中，点选“将域控制器添加到现有域”单选按钮，指定操作的域信息，如图 2.24 所示，然后单击“下一步”按钮，

       (2)在“域控制器选项”界面中勾选“全局编录”复选框，输入并确认一个符合密码策略的密码，单击“下一步”按钮，请牢记此密码，在还原时需要使用，如图所示，

        (3)在“其他选项”界面中保持默认选项，如图所示，单击“下一步”按钮，

        (4)在“先决条件检查”界面中，检查所有的选择，如果某一项不正确，可以单击“上一步”

按钮返回修改。如果没有问题，单击“安装”按钮，如图2.27所示。

       (5)当安装完成后，重启服务器，则该服务器已经成为一台额外域控制器，可以在“Active

Directory用户和计算机”对话框的组织单元“DomainControllers”中看到两台DC，如图所示，

     4. 卸载域控制器

  当有新服务器接替域控制器的工作或者网络需要重新规划时，就会需要卸载域控制器，卸载域控制器就是删除Active Directory服务的过程，有时该过程被称为域控制器的降级，即将域控制器降级为成员服务器或独立服务器。

       将一台域控制器降级时，如果它不是域中的最后一个域控制器，则它将执行最后一次复制，然后将所承担的操作主机角色(操作主机的内容会在后面的章节进行讲解)转移给另外一台域控制器。在域控制器降级后，它再也没有ActiveDirectory信息可用，转而使用“安全账户管理器”(SAM)数据库来获取本地数据库信息。如果该域控制器是一个全局编录服务器，此角色将不会自动转移给另一台域控制器。这种情况下，必须手动将该角色转移到另一台域控制器。

4.1 卸载域控制器的注意事项

       如果该城内还有其他域控制器，则该域控制器会被降级为成员服务器。

       如果该域控制器是域内最后一个域控制器，则该域控制器会被降级为独立服务器。

       如果该域控制器担任了“全局编录”角色，则实施卸载操作之前，请先确认网络中是否还有其他域控制器承担着“全局编录”角色，否则将影响用户的登录操作。

       域内的所有域控制器都要联机。、

4.2 卸载域控制器的方法

       在对域控制器进行卸载操作的时候，一定要优先使用常规卸载，不能使用暴力卸载，因为如果暴力卸载这台域控制器，让其直接消失，其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这台域控制器进行AD复制，客户机也有可能会把用户名和口令发送到这个不存在的域控制器上进行验证。如果这台被暴力卸载的域控制器还承担着一些操作主机角色，就会产生更多的错误。

       本例在DC02上面将城控制器进行常规卸载，由于该域内还有DC01存在，所以该域控制器会被降级为成员服务器。

       (1)在DC02上使用域管理员账户(benet\administrator)登录后，打开“服务器管理器”窗口，选择菜单“管理”→“删除角色和功能”，如图所示。

        (2)在“服务器选择”界面中，点选“从服务器池中选择服务器”单选按钮，然后单击“下一步”按钮，如图所示。

        (3)在“服务器角色”界面中选择ActiveDirectory域服务，单击下一步按钮，在弹出的提示框中单击“删除功能”按钮，如图所示，

       (4)在打开的“删除角色和功能向导”对话框中单击“将此域控制器降级”按钮，如图所示。

       (5)在“凭据”界面中，单击“下一步”按钮，如图所示。

       (6)在“警告”界面中勾选“继续删除”复选框，然后单击“下一步”按钮，如图所示。

       (7)输入降级后的本地管理员密码，单击“下一步”按钮,在“查看选项”界面中单击“降级”按钮，如图所示，计算机重启后，即可完成在本机卸载 AD 域服务。