設定 Windows Server 網域控制站（含問題排除）

把先前設定 Windows 網域控制站的筆記整理上來。（圖多）

作業環境：Windows Server 2012

假設要把 dc1 這台主機升級成 domain controller，至少要先完成底下的檢查與設定：

TCP/IP 設定

TCP/IP v4 的設定：主 DNS 必須設定成 dc1 的 IP 位址，而且不要加入其他 Internet 公開的 DNS 伺服器 IP 位址。

加入 DNS 角色

 在伺服器管理員中，為 dc1 這台伺服器新增角色：DNS 伺服器。

點［其他］按鈕之後，查看電腦的主要 DNS 尾碼是否正確，而且要勾選下方的 checkbox。如下圖：

設定 DNS 區域

正向對應區域：

反向對應區域：

接著用 nslookup 確認以下三個命令都能正確解析主機名稱和 IP 位址：

nslookup dc1
nslookup dc1.corp.COMPANY.com.tw
nslookup 192.168.0.20

執行結果應該要跟下圖類似：

如果上述三個 nslookup 指令的執行結果有出現 Unknown server 或其他解析失敗的訊息，請回頭檢查正向和反向對應區域的設定是否遺漏。

完成上述檢查後，就可以動手把 dc1 主機升級成網域控制站。

升級成網域控制站

先為這台主機新增角色：Active Directory 網域服務。

完成後，伺服器管理員會有一則通知訊息，告訴你可以將此主機升級為網域控制站：

升級網域控制站：

過程中出現一個警告：

點進去看完整訊息：

暫且忽略此警告，稍後若發現問題時再來解決。所以繼續進行下一步，直到最後顯示所有的先決條件檢查畫面：

雖然有三項警告，但仍可點下［安裝］鈕，就會開始將主機升級成網域控制站。

問題診斷與排除

升級完成後，我在伺服器管理員裡面看到一些與 DNS 有關的錯誤，而且在別台機器要加入網域時，也無法解析網域控制站的名稱。

使用 dcdiag 診斷看看，結果顯示升級成網域控制站之後，主機的名稱解析有些問題：

最後發現，升級成網域控制站之後的「DNS 正向對應區域」，在區域的下層應該會多出好幾項紀錄，但結果卻沒有：

正常來講，應該要像這樣：

解決方法

解決此問題的方法是在 DNS 管理工具中，把 dc1 主機的正向對應區域裡的 DNS 區域設定成允許動態更新。參考下圖：

改成允許動態更新之後，可能要重新啟動 Netlogon 服務，讓它重建這些 DNS 紀錄。

下圖是最終結果：

其中的 WINS 對應紀錄是我在試誤過程中加的，應該不是必要。

其他問題

dcdiag 的結果顯示：

發生警告事件。EventID: 0x000003F6

  產生時間: 12/26/2017   08:03:09

  事件字串:

  設定的 DNS 伺服器沒有回應，名稱 _ldap._tcp.dc._msdcs.corp.XYZ.com.tw. 的名稱解析逾時。

使用 nslookup 測試看看：

nslookup _ldap._tcp.dc._msdcs.corp.XYZ.com.tw

DNS request timed out.

    timeout was 2 seconds.

伺服器:  UnKnown

Address:  ::1

DNS request timed out.

    timeout was 2 seconds.

名稱:    _ldap._tcp.dc._msdcs.corp.XYZ.com.tw

這問題的影響不大，如果覺得礙眼，只要找到網路卡的 IPv6 設定，把 "::1" 從它的 DNS 伺服器清單裡移除就行了。參考下圖。

更改設定之後，再跑一次 nslookup，確認 _ldap._tcp.dc._msdcs.* 名稱已經可以解析：

nslookup _ldap._tcp.dc._msdcs.corp.XYZ.com.tw

伺服器:  dc1.corp.XYZ.com.tw

Address:  192.168.0.20

名稱:    _ldap._tcp.dc._msdcs.corp.XYZ.com.tw

這篇打醬油筆記就寫到這裡。