1、我們來(lái)回顧一下AD的安裝驗(yàn)證
驗(yàn)證AD的安裝
檢查如下創(chuàng)建：
(1)、SYSVOL和共享
(2)、目錄服務(wù)數(shù)據(jù)庫(kù)和相關(guān)日志
(3)、默認(rèn)活動(dòng)目錄結(jié)構(gòu)
檢查相關(guān)的事件日志
使用Dcdiag和Netdiag命令

SRV（服務(wù)資源記錄）是服務(wù)和主機(jī)名之間做一個(gè)解析。

2、刪除一臺(tái)失效的DC，不能簡(jiǎn)單的把服務(wù)拿走，因?yàn)樵谄渌腄C仍然保留著這臺(tái)DC的信息。那么其它DC在復(fù)制的時(shí)候還會(huì)償試著去找這臺(tái)DC。
刪除一臺(tái)失效的DC
如果有兩個(gè)DC，DC1和DC2，如果DC2壞掉了，如果不在DC1上刪除DC2的相關(guān)信息，那么在數(shù)據(jù)復(fù)制時(shí)DC1還會(huì)償試去聯(lián)系DC2。那么就會(huì)出現(xiàn)復(fù)制錯(cuò)誤，這是我們不愿意看到的。
如何在DC1上去刪除DC2
不需要進(jìn)到目錄恢復(fù)模式，直接進(jìn)到命令行。
使用ntdsutil這個(gè)工具
C:\>ntdsutil
ntdsutil:metadata cleanup(數(shù)據(jù)庫(kù)的清理)
metadata cleanup:connections(進(jìn)入到連接工具)
metadata cleanup:connections(進(jìn)入到一個(gè)特定域控制器)
server connections:connect to damain lab.com（首先我連接到我這個(gè)域上）
server connections:connect toserver lab-dc1.lab.com(再連接到我這臺(tái)服務(wù)器上)
server connections:quit(退到上一層目錄)
netadata cleanup:slesct operation target(要指定那臺(tái)DC無(wú)效了)
Slesct operation target:list current selections
Slesct operation target:list sites(要先看看當(dāng)前計(jì)算機(jī)上都有那些站點(diǎn))
Slesct operation target:select site 0(連接到其中的一個(gè)站點(diǎn))
Slesct operation target:list servers in site(然后就可以看到有幾臺(tái)DC)
Slesct operation target:select server 1(1是代表壞掉的那臺(tái)服務(wù)器)
Slesct operation target:list current selections
Slesct operation target:quit
Netadata cleanup:remove

Dcdiag和Netdiag進(jìn)行檢查，是否刪除干凈。

3、如果要實(shí)現(xiàn)安全穩(wěn)固的AD和DNS架構(gòu)我們必須先了解客戶端是如何找到DC的?
當(dāng)client想要登錄到域中,他不并是直接找到DC,因?yàn)樗⒉恢勒l(shuí)是DC,那它會(huì)首先去查看DNS服務(wù)器,通過(guò)DNS解析SRV資源記錄,他會(huì)向SRV記錄去查詢,誰(shuí)是當(dāng)前網(wǎng)絡(luò)的DC,如果有SRV記錄,client就會(huì)得到一個(gè)DC的地址,然后去訪問(wèn)DC.如果DNS里沒(méi)SRV記錄或SRV記錄不正確,那么我們的client是無(wú)法聯(lián)系到我們的DC的.

SRV叫服務(wù)資源記錄,這種格式記錄的意義在于,將我們計(jì)算機(jī)服務(wù)和主機(jī)名之間做一個(gè)解析.在DNS中的SRV記錄是當(dāng)每臺(tái)DC在啟動(dòng)時(shí),他會(huì)去注冊(cè)自己的SRV記錄.就是說(shuō):當(dāng)管理員打開(kāi)每臺(tái)DC時(shí),DC就會(huì)向他的DNS服務(wù)器去宣布我這臺(tái)計(jì)算機(jī)究竟會(huì)做什么.他就會(huì)把他會(huì)做的寫(xiě)到DNS里去了.這樣一個(gè)過(guò)程了.

4、如果想實(shí)現(xiàn)兩臺(tái)DC的冗余,那么兩臺(tái)DC都必須安裝DNS服務(wù),需要注意的是,DC1是AD的集成區(qū)域,那么在DC2上也建個(gè)AD的集成區(qū)域就可以了.