Windows 2000/03域和活動目錄本文的目的，是作為域和AD 的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網(wǎng)管能對域和AD 有一個全面的了解，并利用此文入門，將所管理的網(wǎng)絡(luò)實現(xiàn)一個基于域

Windows 2000/03域和活動目錄

本文的目的，是作為域和AD 的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網(wǎng)管能對域和AD 有一個全面的了解，并利用此文入門，將所管理的網(wǎng)絡(luò)實現(xiàn)一個基于域的

管理模式。一、認(rèn)識Windows 的域

本小節(jié)重點從理論上闡述域的概念、作用和Windows 中域的產(chǎn)生。

一臺Windows 計算機，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工作組是MS 的概念，一般的普遍稱謂是對等網(wǎng)。工作組通常是一個由不多于10臺計算機組成的邏輯集合，如果要管理更多的計算機，MS 推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10臺只是一個參考值，11臺甚至20臺，如果你不想

進(jìn)行集中的管理，那么你仍然可以使用工作組模式。

工作組的特點就是實現(xiàn)簡單，不需要域控制器DC ，每臺計算機自己管理自己，適用于距離很近的有限數(shù)目的計算機。另外工作組名并沒有太多的實際意義，只是在網(wǎng)上鄰居的列表中實現(xiàn)一個分組而已；再就是對于“計算機瀏覽服務(wù)”，每一個工作組中，會自動推選出一個主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認(rèn)的workgroup ，也可以任意起個名字，同一工作組或不同工作組在訪問時也沒有什么分別。 域（Domain ）是一個共用“目錄服務(wù)數(shù)據(jù)庫”的計算機和用戶的集合，實現(xiàn)起來要復(fù)雜一些，至少需要一臺計算機安裝NT/2000/03 Server版本使其充當(dāng)DC ，來實現(xiàn)集中式的管

理。

若考慮到容錯的話，至少需要兩臺。對于NT4域就是一臺PDC （具有唯一性），一至多臺BDC ，對于2000/03域，已經(jīng)沒有PDC 和BDC 的概念，要容錯就需要兩至多臺DC 。 域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，可以很小，比如只有一臺DC ；也可以很大，包括遍布世界各地的計算機，比如大型跨國公司網(wǎng)絡(luò)上的域（當(dāng)然實際中他們多采用多域結(jié)

構(gòu)，還可以利用AD 站點來優(yōu)化AD 復(fù)制）。

這個“目錄服務(wù)數(shù)據(jù)庫”，在NT4時，保存用戶帳號名稱和密碼等安全安全信息，以及安全規(guī)則設(shè)置，又被稱作安全帳號管理（SAM ）數(shù)據(jù)庫，簡稱SAM 庫。在非DC 上的本地的SAM 庫與DC 上域所用的SAM 庫類似，只不過對于NT4域的SAM 庫文件，保存有整個域的用戶和計算機，用“域用戶管理器”和“服務(wù)器管理器”來管理，本地的SAM 庫文件，保存有

本地機的用戶，由“用戶管理器”來管理。

從2000開始，MS 引入了活動目錄AD ，DC 通過AD 來提供目錄的服務(wù)，例如它負(fù)責(zé)維護(hù)AD 數(shù)據(jù)庫、審核用戶的賬戶和密碼是否正確、將AD 數(shù)據(jù)庫復(fù)制到其它的DC 等。AD 庫的核心文件就是winntntdsntds.dit文件。注意組策略的具體設(shè)置值，并不存在這個文件中，而是保存在winntsysvolsysvol這個共享夾下，用于向其它DC 復(fù)制，傳播給域成員，來生效。但需要說明的是：2000/XP/03的非DC 域成員計算機上仍使用和NT4一樣的SAM 庫文

件來保存本地帳號。

正是由于所有域成員計算機和域用戶都共用這個域的“目錄服務(wù)數(shù)據(jù)庫”，域管理員就可以基于域的“目錄服務(wù)數(shù)據(jù)庫”來進(jìn)行集中管理、共享資源，如用戶、組、計算機帳號、權(quán)限設(shè)置、組策略設(shè)置等等。目錄服務(wù)為管理員提供從網(wǎng)絡(luò)上任何一個計算機上查看和管理用戶和網(wǎng)絡(luò)資源的能力。目錄服務(wù)也為用戶提供唯一的用戶名和密碼，用戶只需一次登錄，即可訪問本域或有信任關(guān)系的其它域上的所有資源（當(dāng)然用戶得有權(quán)限才行），而不需要多

次提供用戶名和密碼登錄。

二、構(gòu)建Windows 2000的域

這個過程簡單說就是：選一臺2000S/AS計算機，運行AD 安裝向?qū)?，在其上安裝活動目

錄，使其成為DC 。然后將其它的計算機加入到這個域。

說明：至于是用2000S ，還是用2000AS ，對于一般的用戶差別不大。2000S 支持最多4個CPU ，最大4G 內(nèi)存；2000AS 支持最多8個CPU ，最大內(nèi)存8G ，還支持群集功能。但這些

我們一般用戶都用不到，所以對于普通用戶來說，選擇S 或AS 都是一樣的。

1、系統(tǒng)要求

*一臺2000S 或2000AS 獨立或成員服務(wù)器，2000DS 只有OEM 版，隨廠商硬件發(fā)售，平

常我們是見不到的。

* 其上必須有一個NTFS 5.0分區(qū)，用來保存AD 的sysvol 文件夾。注意：2000的NTFS 分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問2000的NTFS 分區(qū)。

* 網(wǎng)絡(luò)上必須有可用的DNS 服務(wù)器，并且必須支持SRV 記錄（Service Locaion ResourceRecord ）和動態(tài)更新功能。如：MS Win2000S DNS，UNIX 的DNS BIND 8.12及以上

版本，使用已有的NT4DNS 是不行的。

說明：

構(gòu)建NT4域并不需要DNS 的支持，但2000域必須有DNS ，且滿足上述要求。 SRV 記錄的作用是指明域和站點（site ）的DC 、PDC 仿真、GC 是誰。動態(tài)更新也是2000DNS 的新特色，管理員不必再象NT4 DNS 那樣手動為計算機創(chuàng)建或修改相應(yīng)記錄，在域成員計算

機重啟，或改名、改IP 時依賴周期性更新，自動動態(tài)實現(xiàn)。

如果沒有DNS 服務(wù)器的話，也不一定非得預(yù)裝DNS ，可以在安裝AD 過程中，選擇在本機上安裝2000DNS 。而且推薦初學(xué)者使用這種方法，因為系統(tǒng)會根據(jù)你提供的FQDN 域名，自動創(chuàng)建好DNS 區(qū)域（zone ），并配置成AD 集成區(qū)域，僅安全動態(tài)更新。如果需要向外連或反向解析，用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。 如果決定在安裝AD 過程中在本機安裝DNS ，應(yīng)在安裝前，將本機TCP/IP配置/DNS服務(wù)器指向自己，這樣在安裝AD 完成后重啟時，SRV 記錄將被自動注冊到DNS 服務(wù)器的區(qū)域當(dāng)中去的，生成四個以下劃線開頭的文件夾，如_msdcs，03DNS 在這里夾的層次結(jié)構(gòu)有所變化，

但本質(zhì)沒變。當(dāng)然如果忘了指，也可以后補上，只不過需要多重啟一次。

2、安裝步驟、注意事項、常見問題、經(jīng)驗技巧

（1）啟動AD 安裝向?qū)?/p>

方法一：開始/程序/管理工具/配置服務(wù)器/ Active Directory /啟動AD 安裝向?qū)А?/p>

方法二：熟練后一般常用，開始/運行：dcpromo 。

（2）安裝選項：指定服務(wù)器角色

即：

* 新域—新樹—新林

* 附加DC

* 新域—子域

* 新域—新樹—加入林全新安裝：新域—新樹—新林，這樣來建立第一個域中的第一臺DC 。 2000的多域模型采用層次結(jié)構(gòu)，不同于NT4域的平面結(jié)構(gòu)，NT4的多個域之間只是通過

信任關(guān)系關(guān)聯(lián)起來。接下來以下圖為例，對2000的域、樹、林進(jìn)行簡要說明：

ms.com

/

trainning.mcse.com lotus.com

這整個是一個林，ms.com 為林根域，有兩個樹，一個由ms.com 和它的子域

trainning.ms.com 組成，另一個由lotus.com 單獨組成，林中有ms.com ，trainning.ms.com ，

lotus.com 三個域。相關(guān)概念如下：

林根域：在林中第一個建立的域，如：ms.com

樹：共用連續(xù)的命名空間的多層域，如ms.com 和trainning.ms.com

樹根域：樹最高層的域，名最短。如：ms.com

說明：

2000可采用多層域結(jié)構(gòu)，但最有效、最簡便的管理方法仍是單域，所以大家在實際工

作中要記住一個原則“能用單域解決，就不用多域”。

再者2000AD 是針對大中型網(wǎng)絡(luò)設(shè)計的，而我們一般管理的網(wǎng)絡(luò)也就幾百個節(jié)點，屬于小型網(wǎng)絡(luò)，一般來講用一個單域結(jié)構(gòu)就夠用了，不要人為將管理環(huán)境復(fù)雜化。在實驗中，我

們甚至可以一個林中只有一個樹，一個樹中只有一個域，一個域里只有一臺DC 。 另外前面已經(jīng)說過了，域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，不要總試圖規(guī)劃一個子網(wǎng)一個域。當(dāng)然實際中多個子網(wǎng)一個域，子網(wǎng)中若有95/98/NT老計算機，無法利用DNS 直接登錄到域，可以安裝一臺WINS 服務(wù)器解決問題。將所有計算機，包括WINS 服務(wù)器本身的

TCP/IP配置中的WINS 服務(wù)器指向此WINS 服務(wù)器即可。

（3）安裝選項：新域的DNS 全名

說明：

在這里應(yīng)該輸入新域的完全有效域名FQDN ，形如：mcse.com 。系統(tǒng)會打算以mcse 作為此域的NetBIOS 名稱，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會兒。不重名則設(shè)為mcse ，建議用戶不要修改此名；重名則設(shè)為mcse0，建議用戶最好換個名字。這也就是說，網(wǎng)絡(luò)中

如果已有一個域，名字叫做mcse.org ，也會出現(xiàn)NetBIOS 名稱沖突的問題。

（4）安裝選項：為新域指定一個NetBIOS 名稱

說明：

NetBIOS 名稱，只是為95/98/NT等老版本用戶通過“瀏覽服務(wù)”或WINS 來識別這個域用的，如果確信域用戶都是2000及以上系統(tǒng)（它們通過DNS 定位域），其實NetBIOS 名稱

沖不沖突，都無所謂。

（5）安裝選項：指定AD 庫和日志文件位置

說明：

如果僅是實驗，用默認(rèn)值即可。若是在真正的服務(wù)器上，都會有多塊物理硬盤，最好分開存放，以提高性能。另外需要強調(diào)的是：AD 庫和日志文件并不要求非得NTFS 5.0分區(qū)，

很多2000/03書在此語焉不詳。

（6）安裝選項：指定sysvol 文件夾位置

說明：

是sysvol 這個文件夾要求必須得NTFS 5.0分區(qū)。在它當(dāng)中存儲有DC 間AD 要同步的內(nèi)

容，包括組策略的設(shè)置值。

（7）這時網(wǎng)絡(luò)中若無可用DNS 服務(wù)器，就會出現(xiàn)提示：找不到DNS 服務(wù)器，需要考慮在本

機上安裝一個DNS 服務(wù)器。可先不必理會，點“確定”，接下來選“是，在本機上安裝并配

置DNS”。初學(xué)者在此不要選“否，我將自己安裝并配置DNS”。

（8）幾分后，安裝完成，需要重啟。

說明：

若硬盤或網(wǎng)絡(luò)上沒有可用的2000S 源文件，會提示要2000S 光盤。

最好用新裝2000S 來安裝AD ，這樣不容易出問題。如果你是用一個臺運行了一段時間的2000S/AS，來安裝AD ，使其成為DC 。重啟及登錄時可能會很慢（有時可能長達(dá)20分鐘），這是較常見的現(xiàn)象。一般2-3次以后就好了，如果多次重啟后還那樣，那就要重裝系統(tǒng)及AD 了。

3、域成員計算機

（1）將計算機加入到域

首先將客戶機TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。然后我的電腦/右鍵/屬性/網(wǎng)絡(luò)標(biāo)識/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶口和口令，確定后提示重啟。

說明：

加入域時，如果輸入的域名為FQDN 格式，形如mcse.com ，必須利用DNS 中的SRV 記錄來找到DC ，如果客戶機的DNS 指的不對，就無法加入到域。

加入域時，如果輸入的域名為NetBIOS 格式，如mcse ，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC ，但它不是一個完善的服務(wù)，有時就會不好使。

這樣雖然也可把計算機加入到域，而且在等較長時間后也可以登錄到域上去，但不推薦。因為客戶機的DNS 指的不對，則它無法利用2000DNS 的動態(tài)更新動能，也就是說無法在DNS 區(qū)域中自動生成關(guān)于這臺計算機的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用DNS 找到它，這本應(yīng)是可以的。

再者，管理員無法在客戶機上利用域的管理工具來遠(yuǎn)程管理域，因為這些管理工具必須使用DNS ，出錯提示：找不到域命名信息（有時客戶機的DNS Client服務(wù)有問題也會出現(xiàn)上述提示，重啟服務(wù)即可）。這種情況下，要進(jìn)行遠(yuǎn)程管理，就只能利用TS （終端服務(wù)）基于IP 來連了。

當(dāng)然用戶也可以手動配置WINS 或Lmhosts 文件，來查找DC 。這主要用于95/98/NT老版本計算機跨子網(wǎng)（路由）查找DC 或加入域，因為這些老版本計算機無法利用DNS 來查找DC ，瀏覽服務(wù)又是廣播方式，只能在本網(wǎng)段進(jìn)行，因為廣播信息是無法通過路由器的，RFC1542標(biāo)準(zhǔn)的路由器，可設(shè)置成允許DHCP 的廣播數(shù)據(jù)通過，僅是一個特例。需要說明的是：95/98可以使用域用戶帳號登錄到域，但并不能加入到域，在AD 中也沒有計算機帳號，而NT 可以。 計算機加入域成功后，未重啟，即已在AD 用戶和計算機/computer容器下生成計算機帳號了，實驗中查看時，需要手動刷新一下。而在DNS 中記錄必須在計算機重啟后（不必登

錄）或15分鐘后才能自動注冊或更新到DNS 區(qū)域。但若我們平常修改一個計算機的名字或IP ，要馬上更新到DNS 區(qū)域，倒不一定非得重啟，可利用ipconfig/registerdns命令就行。明白以上討論可用于排錯，不一定非得重啟登錄后才知道結(jié)果。

加入到NT4域時，需要有管理特權(quán)才行；從Windows 2000開始，微軟作了改進(jìn)：在Windows 2000/03域中，默認(rèn)Authenticated Users即可在域中最多創(chuàng)建10 個計算機帳戶。

AuthenticatedUsers 指被驗證的用戶組，也就是說任何經(jīng)過身份驗證的普通域用戶都可以加最多10臺計算機到域。常見問題：在實際中用普通域帳號加計算機到域，有時會不好使，原因是同名計算機帳號（極可能是它自己已經(jīng)失效的計算機帳號）已存在而無權(quán)覆蓋，這時就得用域管理員帳號了。

（2）在加入域的計算機上，用域用戶帳號登錄到域。

說明：

在域中的非DC 計算機上，可以選擇登錄到域或本機，這是因為它同時還擁有本地用戶帳號。而在DC 上只能選擇登錄到域了，因為整個域都是DC 的，它沒有必要再保留本地帳號了。2000是個紅叉，03干脆就沒有了。

安裝AD 時，會自動刪除本地帳號，即使將來刪除AD ，也無法將本地帳號復(fù)原，而是重新生成的。這一點一定要注意：如果本地有EFS 加密的文件，一定要將證書導(dǎo)出或?qū)⑽募饷芎螅僭谶@臺計算機上做AD 安裝實驗。

在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據(jù)本機DNS 配置去找DNS 服務(wù)器，DNS 根據(jù)SRV 記錄告訴它DC 是誰，客戶機聯(lián)系DC ，驗證后登錄。

（3）深入討論：

如果是在林中跨域登錄，是首先查詢DNS 服務(wù)器，問林的GC 是誰。

前面我們在步驟（1）中強調(diào)“加入域前，首先將客戶機TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器?！逼鋵嵢绻蛑杏卸鄠€DNS 服務(wù)器，也可以指向其它的DNS 服務(wù)器，當(dāng)然這些DNS 服務(wù)器之間得有區(qū)域復(fù)制關(guān)系。這樣做的目的恰恰是：大中型網(wǎng)絡(luò)為了平衡DNS 負(fù)載。

三、建立其它域控制器

前面我們討論了“建立第一個域中的第一臺域控制器”，分析得很細(xì)。以下相同知識點的內(nèi)容將不再贅述。

1、安裝附加DC

（1）以本機管理員身份登錄，在獨立或成員服務(wù)器上，啟動AD 安裝向?qū)А?/p>

說明：

將成為附加DC 的計算機，不必非得先加入域。

DNS 指向已有DC 所用DNS 服務(wù)器，以便找到已有DC 。安裝結(jié)束后，一般應(yīng)該手動在本機上再裝一個DNS 服務(wù)器，以實現(xiàn)DNS 的容錯。

（2）選擇：現(xiàn)有域的額外域控制器

（3）輸入域管理員帳號，如：administrator ，password ，mcse.com （或mcse ）。

常見找不到域的出錯提示：域“mcse.com”不是AD 域，或用于域的AD 域控制器無法聯(lián)系上。

解決：確保DNS 指向已有DC 所用DNS 的服務(wù)器。

其它：Ping 一下，檢查物理連通性。高級用戶是否設(shè)過TCP/IP篩選器或RRAS 篩選器。

（4）輸入域名，如：mcse.com 。

（5）指定AD 庫和日志文件位置

（6）指定sysvol 文件夾位置

（7）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（8）目錄服務(wù)恢復(fù)模式的管理員密碼

（9）幾分后，安裝完成，需要重啟。

（10）手動在本機上安裝DNS 服務(wù)器，以實現(xiàn)DNS 的容錯。

A、開始/設(shè)置/控制面板/添加刪除程序/Windows組件/網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（DNS ）。

B、開始/程序/管理工具/DNS

C、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“AD集成區(qū)域”，區(qū)域名：已有區(qū)域的名稱，如mcse.com 。自動生成起始授權(quán)機構(gòu)（SOA ）、名稱服務(wù)器（NS ）、主機（A ）三條記錄，但此時SRV 記錄并未被復(fù)制過來。需要等待5-15分鐘后，利用刷新或重新加載就可以看到復(fù)制過來的DNS 記錄了（對于03馬上就可以看到復(fù)制過來的全部DNS 記錄）。

深入討論：

03和2000比，功能更強大了。但在域和AD 的體系結(jié)構(gòu)上并沒有什么大的變化，而且MS 的產(chǎn)品十分講究向前兼容。在一個域中可以既有2000DC ，又有03DC ；也可以既有2000DNS ，

又有03DNS ，并且DC 間的AD 復(fù)制，DNS 間的區(qū)域傳輸，都好像沒有版本差異一樣。 在我們這里要說的就是：2000可作為03域的附加DC ，03也可以作為2000域的附加DC ，但第二種情況需要在2000DC （SP2及更高）上運行03光盤/I386/adprep命令來做準(zhǔn)備。 具體第一步：adprep /forestprep進(jìn)行林準(zhǔn)備，第二步adprep /domainprep進(jìn)行域準(zhǔn)備。

2、建立子域

（1）以本機管理員身份登錄，在獨立或成員服務(wù)器上，啟動AD 安裝向?qū)А?/p>

說明：

DNS 指向林根域已有DC 所用DNS 服務(wù)器，以便找到已有DC 。

保證域命名主控必須有效，它默認(rèn)在林根域的第一臺DC 上，且具有林唯一性。利用管

理工具“AD域和信任關(guān)系”可轉(zhuǎn)移域命名主控。

（2）選擇：新域的域控制器，下一步，在現(xiàn)有的樹中創(chuàng)建一個新的子域

（3）輸入林管理員帳號，如：administrator ，password ，mcse.com （或mcse ）。 常見出錯提示：域“mcse.com”不是AD 域，或用于域的AD 域控制器無法聯(lián)系上。解決

方法見前。

（4）輸入父域名，如：mcse.com ；輸入子域名，如sub ，注意不要輸成sub.mcse.com 。

（5）指定AD 庫和日志文件位置

（6）指定sysvol 文件夾位置

（7）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（8）目錄服務(wù)恢復(fù)模式的管理員密碼

（9）幾分后，安裝完成，需要重啟。

如果域命名主控失效將會出現(xiàn)如下出錯提示：“由于以下原因，操作失敗：AD 無法與

域命名主機xxx 聯(lián)系。指定的服務(wù)器無法運行指定的操作?！?/p>

解決：保證域命名主控聯(lián)機，如果確信其已無法正常工作，可強制傳給林內(nèi)的任意一個DC ，子域的DC 也可以。原來的主機將必須被重做系統(tǒng)后，才可連入網(wǎng)絡(luò)，以保證域命名主

控的林唯一性。

深入討論：

關(guān)于子域（子Domain ）所對應(yīng)的DNS 子區(qū)域（子zone ）是否委派的問題。（以下簡稱：

子區(qū)域）

如果網(wǎng)絡(luò)規(guī)模不是很大，雖然實現(xiàn)了子域，但總部、二級單位的網(wǎng)管可能就是同一個人。這種情況下就不需要委派了?？梢园褏^(qū)域、子區(qū)域都放在同一個DNS 服務(wù)器上，由同一名管

理員來管理就可以了。默認(rèn)值即如此，不需要手動設(shè)置。

如果網(wǎng)絡(luò)規(guī)模較大，且二級單位需要能夠控制自己的DNS 子區(qū)域，比如自己增加

www1,www2??這樣的主機記錄；在自己的子區(qū)域下再建子區(qū)域。這種情況下就需要委派子區(qū)域了，由二級單位的DNS 管理員自己來管理。否則二級單位涉及DNS 的每一個小變化，都

需要找總部DNS 管理員批準(zhǔn)。

子區(qū)域委派，操作步驟如下：（最好按如下步驟進(jìn)行，不容易出問題）

A 、DNS 指向林根域（如：mcse.com ）已有DC 所用DNS 服務(wù)器

B 、利用AD 安裝向?qū)?，安裝子域（如：sub.mcse.com ），重啟機。

C 、在林根DNS 控制臺上查看，確保已在mcse.com 生成子文件夾sub ，且sub 下有4個以下劃線開頭的，保存有SRV 記錄的子文件夾（_msdcs、_sites、_tcp、_udp）已生成；sub

下還應(yīng)有如下2條A 記錄：（第二條記錄如果未生成，手動補上也可以。）

（與父文件夾相同）主機 IP

SUBdc 主機 IP

D 、在父域（如：mcse.com ）右鍵/新建委派/下一步/子區(qū)域名：sub 。（不必?fù)?dān)心重名，因為委派完成后，灰顏色的委派的sub 夾將取代黃顏色的sub 夾，但注意操作過程中會共存一段時間）接下來，指定負(fù)責(zé)子區(qū)域的名稱服務(wù)器：SUBdc.sub.mcse.com 及它的IP ，以生

成粘合記錄，下一步，完成。

E 、在子域DC 上安裝DNS ，操作：開始/設(shè)置/控制面板/添加刪除程序/Windows組件/

網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（DNS ）。

F、開始/程序/管理工具/DNS

G、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“AD集成區(qū)域”，區(qū)域名：sub.mcse.com 。自動生成SOA 、NS 、A 、A 四條記錄（后兩條A 記錄，如C 步中述），此時SRV 記錄也被復(fù)制

過來了。

H 、在DNS 服務(wù)器的計算機名上/右鍵/屬性/轉(zhuǎn)發(fā)器：指向上一級或林根DNS 的IP 。 I 、將子域DC 的DNS 指向自己，以后加入子域的計算機也使用子域的DNS ，以實現(xiàn)DNS

分擔(dān)負(fù)荷。（當(dāng)然，子域中的計算機可以使用林中任一臺DNS ，也都好使）

注意：

由上述過程，大家可以了解到，做為被委派的DNS 子區(qū)域的二級單位DNS 管理員，是不能隨意更改自己的DNS 服務(wù)器的。比如修改DNS 服務(wù)器的IP ，需要通知上級管理員，及時

更新委派子區(qū)域的NS 記錄，否則林中其它用戶就會找不到你這個子域的計算機。

3、新域—新樹—加入林

此種情況平常較少用到，因為一般企業(yè)只用一套命名體系，很少采用兩上或兩個以上的樹。微軟舉的例子：一個大企業(yè)兼并另一企業(yè)，并且想保留它的命名體系，技術(shù)上對應(yīng)實現(xiàn)

就是目錄樹和DNS 名稱空間。

說明：此種應(yīng)該預(yù)先建好DNS 正向搜索區(qū)，因為它不能像建子域那樣，利用AD 向?qū)ё詣釉谝延蠨NS 區(qū)域中創(chuàng)建子區(qū)域。下面以前文中的mcse.com ，sub.mcse.com ，my.com 圖示

為例進(jìn)行說明。

（1）在林根DNS 上，與mcse.com 并列，創(chuàng)建區(qū)域my.com ，最好選AD 集成區(qū)域。

（2）以本機管理員身份登錄，在獨立或成員服務(wù)器上，啟動AD 安裝向?qū)А?/p>

說明：

DNS 指向林根域已有DC 所用DNS 服務(wù)器，并保證域命名主控必須有效。

（3）選擇：新域—新樹—加入林

（4）輸入林管理員帳號，如：administrator ，password ，mcse.com （或mcse ）。

說明：

輸入的欲登錄的林根域名，也就告訴了系統(tǒng)要加入哪個林。

（5）輸入新域的DNS 全名，如：my.com ；域NetBIOS 名：MY 。

（6）指定AD 庫和日志文件位置

（7）指定sysvol 文件夾位置

（8）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（9）目錄服務(wù)恢復(fù)模式的管理員密碼

（10）幾分后，安裝完成，需要重啟。

說明：

用預(yù)建DNS 這種方式加入林，使用的是林根上已有DNS 服務(wù)器，所以此計算機在林根

DNS 的my.com 區(qū)域下，僅生成一條主機（A ）記錄（如需要可手動添加：treedc 主機IP ），SOA 和NS 記錄都是林根DNS 服務(wù)器，但在my.com 區(qū)域會有相應(yīng)的SRV 記錄來標(biāo)識它是這個

樹根域的DC 。這種并沒有實現(xiàn)DNS 的分擔(dān)負(fù)荷，如想實現(xiàn)，利用輔助區(qū)域來做。 實驗中發(fā)現(xiàn)：萬不可像全新安裝那樣，在安裝過程中，選擇在本地安裝一個DNS ，這樣

將會這把個樹根域安裝成一個獨立的林根域。原因嗎？去問微軟吧。

四、卸載AD

在實際工作中有時我們需要改變服務(wù)器角色，或者將實驗中安裝的DC 回復(fù)到普通成員

/獨立服務(wù)器身份，這就要進(jìn)行AD 的卸載。

1、卸載時會提示給新的本地管理員設(shè)置密碼

2、附加DC 卸載后，仍在域中。

3、如果AD 不能卸載，應(yīng)從以下幾方面考慮：

（1）權(quán)限

權(quán)限要求與安裝AD 類似，若一個林中只有一個域，那么你要卸載的就是林根域，需要林管理員權(quán)限；卸載附加DC 需要該域的域管理員權(quán)限；卸載子域或樹，涉及到林結(jié)構(gòu)的改

變，也需要林管理員權(quán)限。

（2）DNS

一般應(yīng)保證與安裝時所用DNS 一致。如果做了DNS 規(guī)劃，必須保證1中權(quán)限所要求的

管理員身份能找到相應(yīng)DC 驗證。

（3）域命名主控

卸載時只要涉及到林結(jié)構(gòu)的改變，就需要保證域命名主控有效；卸載附加DC 時不要求

域命名主控有效。

但要注意的是：卸載時的出錯信息與安裝時的“AD無法與域命名主機xxx 聯(lián)系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據(jù)綁定到服務(wù)器xxx 失敗?！癛PC服務(wù)器不

可用”。

（4）卸載的順序

與安裝順序相反，應(yīng)該先逐級卸載下面的子域，最后卸載樹根域、林根域。否則將導(dǎo)致

子域無法卸載，而存在的子域還有問題。

因為極有可能此時架構(gòu)和域命名主控及GC 未轉(zhuǎn)移，林管理員組和架構(gòu)管理員組（Schema Admins ）已經(jīng)隨林根域的刪除而沒有了。為什么這么說呢？因為如果管理員考慮到主控及

GC 等的轉(zhuǎn)移問題，也就不會誤刪林根域了。

五、從NT4域升級到2000域

1、預(yù)備知識：

NT4域采用單主控復(fù)制，DC 分為PDC 和BDC ，BDC 存儲的只是PDC“目錄服務(wù)數(shù)據(jù)庫”文件的只讀復(fù)本。在“服務(wù)器管理器”中可以將一臺BDC 提升為PDC ，原PDC 自動降為BDC 。 一個域中只能有一臺PDC ，零到多臺BDC 以提供容錯和分擔(dān)負(fù)荷。但大家不要理解為一