实现安全稳固的AD和DNS架构

 （AD出现问题50%是DNS所致，如果实现安全稳固的AD和DNS架构呢，下面是我的关于DNS和AD方面的笔记，希望对大家有所帮助，整理的比较乱，请大家谅解）

    1、我们来回顾一下AD的安装验证

    验证AD的安装

    检查如下创建：

    (1)、SYSVOL和共享
    (2)、目录服务数据库和相关日志
    (3)、默认活动目录结构

    检查相关的事件日志

    使用Dcdiag和Netdiag命令

    SRV（服务资源记录）是服务和主机名之间做一个解析。

    2、删除一台失效的DC，不能简单的把服务拿走，因为在其它的DC仍然保留着这台DC的信息。那么其它DC在复制的时候还会偿试着去找这台DC。

    删除一台失效的DC

    如果有两个DC，DC1和DC2，如果DC2坏掉了，如果不在DC1上删除DC2的相关信息，那么在数据复制时DC1还会偿试去联系DC2。那么就会出现复制错误，这是我们不愿意看到的。

    如何在DC1上去删除DC2

    不需要进到目录恢复模式，直接进到命令行。

    使用ntdsutil这个工具

    C:\>ntdsutil
    ntdsutil:metadata cleanup(数据库的清理)
    metadata cleanup:connections(进入到连接工具)
    metadata cleanup:connections(进入到一个特定域控制器)
    server connections:connect to damain lab.com（首先我连接到我这个域上）
    server connections:connect toserver lab-dc1.lab.com(再连接到我这台服务器上)
    server connections:quit(退到上一层目录)
    netadata cleanup:slesct operation target(要指定那台DC无效了)
    Slesct operation target:list current selections
    Slesct operation target:list sites(要先看看当前计算机上都有那些站点)
    Slesct operation target:select site 0(连接到其中的一个站点)
    Slesct operation target:list servers in site(然后就可以看到有几台DC)
    Slesct operation target:select server 1(1是代表坏掉的那台服务器)
    Slesct operation target:list current selections
    Slesct operation target:quit
    Netadata cleanup:remove

    当client想要登录到域中,他不并是直接找到DC,因为他并不知道谁是DC,那它会首先去查看DNS服务器,通过DNS解析SRV资源记录,他会向SRV记录去查询,谁是当前网络的DC,如果有SRV记录,client就会得到一个DC的地址,然后去访问DC.如果DNS里没SRV记录或SRV记录不正确,那么我们的client是无法联系到我们的DC的.

    SRV叫服务资源记录,这种格式记录的意义在于,将我们计算机服务和主机名之间做一个解析.在DNS中的SRV记录是当每台DC在启动时,他会去注册自己的SRV记录.就是说:当管理员打开每台DC时,DC就会向他的DNS服务器去宣布我这台计算机究竟会做什么.他就会把他会做的写到DNS里去了.这样一个过程了.

    4、如果想实现两台D