活動目錄企業應用（微課版）項目2

建立域樹和林WindowsServer2.1相關知識創建子域通常用于以下幾種情況：一個已經從公司中分離出來的獨立經營的子公司。有些公司的部門或小組基于對特殊技術的需要，而與其他部門相對獨立地運行。基于安全的考慮。創建子域的好處主要有以下幾個方面：便于管理自身的用戶和計算機，并允許采用不同于父域的管理策略。有利于子域資源的安全管理。在父子域環境中，由于父子域間會建立雙向可傳遞的父子信任關系，因此父域用戶默認可以使用子域的計算機；同理，子域用戶也可以使用父域的計算機。圖2-1是子域和目錄林的示意圖。圖2-1子域和目錄林的示意圖2.2項目設計及準備在開始建立域樹和林之前，若您對ActiveDirectory域服務（ADDS）的概念還不是很清楚，請先參考項目2的內容。基于未名公司的情況，構建如圖2-2所示的林結構。此林內包含左右兩個域樹。左邊的域樹：它是這個林內的第一個域樹，其根域的域名為根域下有兩個子域，分別是與，林名稱以第一個域樹的根域名稱來命名，所以這個林的名稱就是。右邊的域樹：它是這個林內的第二個域樹，其根域的域名為。根域下只有一個子域。建立域之前的準備工作與如何建立圖中第一個域的方法，都已經在項目2中介紹過了。本項目將只介紹如何建立子域（例如圖中的）與第二個域樹（例如圖中的）。圖2-2ADDS網絡規劃拓撲圖2.3項目實施2.2.1任務1創建子域及驗證下面通過將圖2-2中升級為域控制器的方式來建立子域，這臺服務器可以是獨立服務器或隸屬于其他域的現有成員服務器。請先確定圖2-2中的根域已經建立完成。1．創建子域

步驟1在dc2上以管理員賬戶登錄，打開“Internet協議版本4（TCP/IPv4）屬性”對話框，按圖2-2所示配置dc2計算機的IP地址、子網掩碼以及DNS服務器，其中DNS服務器一定要設置為自身的IP地址和父域的域控制器的IP地址。

步驟2添加“ActiveDirectory域服務”角色和功能的過程，請參見2.2.1小節中的“2.安裝ActiveDirectory域服務”，這里不再贅述。

步驟3啟動ActiveDirectory安裝向導（啟動方法請參考2.2.2小節中的“4．安裝活動目錄”），當顯示“部署配置”窗口時，選擇【將新域添加到現有林】單選按鈕，單擊“未提供憑據”后面的【更改】按鈕，出現“Windows安全”對話框，輸入有權限的用戶：long\administrator及其密碼，如圖2-3所示。單擊【確定】按鈕。圖2-3“部署配置”窗口

步驟4出現提供憑據的“部署配置”界面，如圖2-4所示。請選擇或輸入父域：，鍵入新域名：beijing。（注意！）圖2-4提供憑據的“部署配置”界面

步驟5單擊【下一步】按鈕，顯示“域控制器選項”對話框。①選擇是否在此服務器上安裝DNS服務器（默認會）。②選擇是否將其設定為全局編錄服務器（默認會）。③選擇是否將其設置為只讀域控制器（默認不會）。④設置目錄服務還原模式的密碼。

步驟6單擊【下一步】按鈕，顯示如圖2-5所示的“DNS選項”的對話框，默認選中【創建DNS委派】復選按鈕。單擊【下一步】按鈕，設置“NetBIOS”名稱，單擊【下一步】按鈕。圖2-5指定DNS委派選項如果此處不選擇“創建DNS委派”選項,創建子域完成后,可以打開域的“DNS管理器”→右鍵單擊“”域→單擊“新建委派”（如圖2-6所示）→輸入被委派的子域名稱：beijing（如圖2-7所示）→單擊“添加”按鈕→輸入“”被委派的DNS服務器名稱→單擊“解析”按鈕→自動解析出此NS記錄的IP地址→單擊“確定”按鈕（如圖2-8所示），按提示完成DNS的區域委派。圖2-6新建委派圖2-7指定受委派域名圖2-8輸入受委派的權威DNS服務器名稱

步驟7持續單擊【下一步】按鈕，在“先決條件檢查”對話框中，如果順利通過檢查，就直接單擊【安裝】按鈕，否則要按提示先排除問題。安裝完成后會自動重新開機。2．創建子域后的驗證（1）利用子域系統管理員或林根域系統管理員身份登錄D重新開機后，可在此域控制器上利用子域系統管理員beijingj\administrator或林根域系統管理員long\administrator身份登錄。如圖2-9所示。

圖2-9利用子域系統管理員或林根域系統管理員身份登錄（2）查看DNS管理器①完成域控制器的安裝后，因為它是此域中的第一臺域控制器，故原本這臺計算機內的本地用戶賬戶會被轉移到此域的ADDS數據庫內。由于這臺域控制器同時也安裝了DNS服務器，因此其中會自動建立如圖2-10所示的區域beijing.，它用來提供此區域的查詢服務。圖2-10DNS管理器—正向查找區域②此臺DNS服務器（）會將非域（包含）的查詢請求，通過轉發器轉給的DNS服務器（）來處理，您可以【在dc2的DNS管理器上單擊服務器DC2→單擊上方的屬性圖標→通過轉發器選項卡來查看此設置】。如圖2-11所示。圖2-11“轉發器”選項卡③此服務器的首選DNS服務器會如圖2-12所示被改為指向自己（），其他DNS服務器指向的DNS服務器（）。圖2-12dc2安裝完成后DNS服務器設置的變化④在的DNS服務器內也會自動在區域下建立如圖2-13所示的委派域（beijing）與名稱服務器記錄（NS），以便當它接收到查詢的請求時，可將其轉發給服務器來處理。圖2-13委派域（beijing）與名稱服務器記錄（NS）2．問題探究問題：根域的用戶是否可以在子域的成員計算機上登錄？子域的用戶是否可以在根域的成員計算機上登錄？回答：都可以。任何域的所有用戶，默認都可在同一個林的其他域的成員計算機上登錄，但域控制器除外，因默認只有隸屬于EnterpriseAdmins組（位于林根域內）的用戶才有權限在所有域內的域控制器上登錄。每一個域的系統管理員（DomainAdmins），雖然可以在所屬域的域控制器上登錄，但卻無法在其他域的域控制器上登錄，除非另外被賦予允許本地登錄的權限。請讀者思考：不妨在成員計算機上利用子域的用戶登錄，看一下會有什么結果。（先在上新建用戶jane，然后在ms1上使用子域用戶jane登錄。）登錄界面如圖2-14所示。看登錄是否成功。只要子域安裝成功，且委派正確，一定會登錄成功!圖2-14在ms1上使用子域賬戶登錄2.2.2任務2創建林中的第二個域樹在現有林中新建第二個（或更多個）域樹的方法為：先建立此域樹中的第一個域，而建立第一個域的方泫是通過建立第一臺域控制器的方式來實現的。假設我們要新建一個如圖2-15右側所示的域，由于這是該域樹中的第一個域，所以它是這個新域樹的根域。我們要將域樹加入到林中（是第一個域樹的根域的域名，也是整個林的林名稱）。圖2-15森林的網絡架構圖可以通過建立圖2-15中域控制器的方式，來建立第二個域樹。但在建立第二個域樹前，更重要的工作是一定要熟悉DNS服務器相關內容，特別是DNS服務器架構。1．選擇適當的DNS服務器架構若要將域樹加入到林中，就必須在建立域控制器時能夠通過DNS服務器來找到林中的域命名操作主機（domainnamingoperationsmaster），否則無法建立域。域命名操作主機默認由林中第一臺域控制器所扮演（詳見后面內容），以圖2-15而言，就是。另外，在DNS服務器內必須有一個名稱為的主要查找區域以便讓域的域控制器能夠將自己登記到此區域內。域與可以使用同一臺DNS服務器，也可以各自使用不同的DNS服務器。使用同一臺DNS服務器：請在此臺DNS服務器內另外建立一個名稱為的主要區域，并啟用動態更新功能。此時這臺DNS服務器內同時擁有與兩個區域，這樣，和的成員計算機都可以通過此臺DNS服務器來找到對方。各自使用不同的DNS服務器，并通過區域傳送來復制記錄：請在此臺DNS服務器（見圖2-16右半部）內建立一個名稱為的主要區域，并啟用動態更新功能，您還需要在此臺DNS服務器內另外建立一個名稱為的輔助區域，此區域內的記錄需要通過區域傳送從域的DNS服務器（圖2-16左側）復制過來，它讓域的成員計算機可以找到域的成員計算機。圖2-16各自使用不同的DNS服務器，并通過區域傳送來復制記錄同時您也需要在域的DNS服務器內另外建立一個名稱為的輔助區域，此區域內的記錄也需要通過區域傳送從域的DNS服務器復制過來，它讓域的成員計算機可以找到域的成員計算機。

其他情況：我們前面所搭建的域環境是將DNS服務器直接安裝到域控制器上，因此其內會自動建立一個DNS區域（如圖2-17中左側的ActiveDirectory整合區域），接下來當您要安裝的第一臺域控制器時，其默認也會在這臺服務器上安裝DNS服務器，并自動建立一個DNS區域（如圖2-17中右側的ActiveDirectory整合區域），而且還會自動配置轉發器來將其他區域（包含）的查詢請求轉給圖中左側的DNS服務器，因此的成員計算機可以通過右側的DNS服務器來同時查詢與區域的成員計算機。不過您還必須在左側的DNS服務器內自行建立一個輔助區域，此區域內的記錄需要通過區域傳遞從右側的DNS服務器復制過來，它讓域的成員計算機可以找到域的成員計算機。圖2-17其他情況的DNS服務器架構2．建立第二個域樹下面采用圖2-17的DNS架構來建立林中第二個域樹，且通過將圖2-17中升級為域控制器的方式來建立此域樹，這臺服務器可以是獨立服務器或隸屬于其他域的現有成員服務器。

步驟1請先在圖2-17右上角的服務器上安裝WindowsServer2012R2，將其計算機名稱設置為dc5，IPv4地址等如圖2-15所示來設置（圖中采用TCP/IPv4）。注意將計算機名稱設置為dc5即可，等升級為域控制器后，它就會自動被改為。另外，首選DNS服務器的IP地址請指向，以便通過它來找到林中的域命名操作主機（也就是第一臺域控制器dcl），等dc4升級為域控制器與安裝DNS服務器后，系統會自動將其首選DNS服務器的口地址改為自己（）。步驟2在dc4上，打開服務器管理器，單擊儀表板處的添加角色和功能。

步驟3持續單擊【下一步】按鈕，在圖2-18中勾選ActiveDirectory城服務，單擊【添加功能】按鈕。圖2-18選擇服務器角色步驟4持續單擊【下一步】按鈕，直到確認安裝所選內容界面時單擊【安裝】按鈕。

步驟5圖2-19為完成安裝后的界面，請單擊“將此服務器提升為域控制器”鏈接。圖2-19安裝成功

步驟6如圖2-20所示，選擇將新域添加到現有林，域類型選擇樹域；輸入要加入的林名稱，輸入新域名后單擊【更改】按鈕。圖2-20選擇部署操作

步驟7如圖2-21所示，輸入有權限添加域樹的用戶賬戶（例如long\administrator）與密碼后單擊【確定】按鈕。返回到前一個界面后單擊【下一步】按鈕。圖2-21Windows安全

步驟8完成圖2-22中的設置后單擊【下一步】按鈕。圖2-22域控制器選項選擇域功能級別：此處假設選擇WindowsServer2012R2。默認會直接在此服務器上安裝DNS服務器默認會扮演全局鳊錄服務器的角色新域的第一臺域控制器不可以是只讀域控制器(RODC)選擇新域控制器所在的ADDS站點，

目前只有一個默認的站點Default-First-Site-Name可供選擇設置目錄服務還原模式的系統管理員密碼（需符合復雜性要求）

步驟9

出現如圖2-23所示的界面表示安裝向導找不到父域，因而無法設置父域將查詢的工作委派給此臺DNS服務器。然而此為根域，它并不需要通過父域來委派，或者說它沒有父域，故直接單擊【下一步】按鈕即可。

步驟10在圖2-24中單擊【下一步】按鈕。圖中安裝向導會為該域樹設置一個NetBIOS格式的域名（不區分大小寫），客戶端也可以利用此NetBIOS名稱來訪問此域的資源。默認NetBIOS域名為DNS域名中第一個句點左邊的文字，例如DNS名稱為，則NetBIOS名稱為smile。圖2-24NetBIOS名稱

步驟11在圖2-25中可直接單擊【下一步】按鈕。圖2-25指定ADDS數據庫、日志文件和SYSVOL的位置

步驟12在查看選項界面中單擊【下一步】按鈕。

步驟13在“先決條件檢查”的界面中，若順利通過檢查，就直接單擊【安裝】按鈕，否則請根據界面提示先排除問題。

步驟14安裝完成后會自動重新啟動。可在此域控制器上利用域有的系統管理員smile\administrator或林根域系統管理員long\administrator身份登錄。2.第二個域樹安裝后的DNS服務器相關設置①完成域控制器的安裝后，因為它是此域中的第一臺域控制器，故原本此計算機內的本地用戶賬戶會被轉移到ADDS數據庫。它同時也安裝了DNS服務器，其內會自動建立如圖2-26所示的區域，用來提供此區域的查詢服務。圖2-26DNS管理器②

此DNS服務器會將非的所有其他區域（包含）的查詢請求通過轉發器轉發給的DNS服務器（IP地址為），而您可以在DNS管理控制臺內通過【如圖2-27所示單擊服務器DC4→單擊上方的屬性圖標→選擇圖中所示的轉發器選項卡來查看此設置】。

圖2-27DNS管理器—轉發器③

這臺服務器的首選DNS服務器的IP地址會如圖2-28所示被自動改為指向自己（），而原本位于首進DNS服務器的IP地址（）會被設置為備用DNS服務器。

圖2-27首選DNS服務器指向了自己④等一下要到DNS服務器內建立一個輔助區域，以便讓域的成員計算機可以查詢到域的成員計算機。此區域內的記錄將通過區域傳送從復制過來，不過我們需要先在內,設置允許此區域內的記錄可以區域傳送給()：如圖2-28所示【選中區域→單擊上方的屬性圖標→如圖所示通過區域傳送選項卡來設置】。圖2-28首先設置只允許計算機區域傳送（dc4上）⑤

接下來到這臺DNS服務器上添加正向輔助區域，并選擇從（04）來執行區域傳送操作，也就是其主機服務器是(04)，圖2-29為完成后的界面，界面右側的記錄是從通過區域傳送傳送過來的。

圖2-29輔助區域完成區域復制2.2.3任務3刪除子域與域樹我們將利用圖2-30中左下角的域來說明如何刪除子域、同時利用右側的域來說明如何刪除域樹。刪除的方式是將域中的最后一臺域控制器降級，也就是將ADDS從該域控制器刪除。至于如何刪除額外域控制器與林根域已經在項目2中介紹過，此處不再贅述。圖2-30ADDS網絡規劃拓撲圖您必須是EnterpriseAdmins組內的用戶才有權來刪除子域或域樹。由于刪除子域與域樹的步驟類似，因此下面利用刪除子域為例來說明，而且假設圖中的是這個域中的最后一臺域控制器。步驟如下。

步驟1到域控制器上利用long\Administrator身份（EnterpriseAdmins組的成員）登錄→打開服務器管理器→選中圖2-31中管理菜單下的【刪除角色和功能】。圖2-31【刪除角色和功能】

步驟2持續單擊【下一步】按鈕，直到出現圖2-32的界面時，取消勾選ActiveDirectory城服務，單擊【刪除功能】按鈕。然后單擊將“此域控制器降級”鏈接。圖2-31勾選“ActiveDirectory“,單擊【將此域控制器降級】鏈接

步驟3當前登錄的用戶為long\Administrator，其有權刪除此域控制器，故請在圖2-32中直接單擊—按鈕（否則需單擊鈕來輸入新的賬戶與密碼）。同時因它是此域的最后一臺域控制器，故需勾選“域中的最后一個域控制器”。圖2-32憑據

步驟4在圖2-33中勾選“繼續刪除”后單擊【下一步】按鈕。圖2-33警告信息

步驟5出現如圖2-34所示的界面時，可選擇是否要刪除DNS區域與應用程序目錄分區。由于圖中選擇了將DNS區域刪除，因此也請將父域（）內的DNS委派區域（beijing，參見圖2-13）一同刪除，也就是勾選“刪除DNS委派”。單擊【下一步】按鈕。圖2-33刪除選項

步驟6在圖2-34中，為這臺即將被降級為獨立服務器的計算機設置其本地Administrator的新密碼（需符合密碼復雜性要求）后單擊【下一步】按鈕。圖2-34新管理員密碼

步驟7在查看選項界面中單擊【降級】按鈕。

步驟8完成后會自動重新啟動計算機，請重新登錄。

步驟9在服務器管理器中單擊管理菜單下的【刪除角色和功能】。

步驟10持續單擊【下一步】按鈕直到出現如圖2-35所示的界面，取消勾選ActiveDirectory域服務，單擊【刪除功能】按鈕。圖2-35刪除服務器角色和功能圖2-36更改域控制器名稱

其中（主要計算機名稱）為當前的舊計算機名稱，而為新計算機名稱，它們都必須是FQDN。上述命令會替這臺計算機另外添加DNS計算機名稱（與NetBIOS計算機名稱NEWDC4），并更新此計算機賬戶在ADDS中的SPN（ServicePrincipalName）屬性，也就是在這個SPN屬性內同時擁有當前的舊計算機名稱與新計算機名稱。注意新計算機名稱與舊計算機名稱的后綴需相同，例如都是。

步驟11回到刪除服務器角色界面時，確認ActiveDirectory域服務已經被取消勾選（也可以同時取消勾選DNS服務器）后單擊【下一步】安鈕。

步驟12出現刪除功能界面時，單擊【下一步】鈕。步驟13在確認刪除選項界面中單擊【刪除】按鈕。

步驟14完成后，重新啟動計算機。2.2.4任務4更改域控制器的計算機名稱若因為公司組織變更或為了讓管理工作更為方便，而需要更改域控制器的計算機名稱，此時可以使用Netdom.exe程序。您必須至少是隸屬于DomainAdmins組內的用戶，才有權更改域控制器的計算機名稱。下面范要將域控制器改名為。

步驟1以系統管理員身份到登錄→選中左下角的開始圖標并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執行下面命令（參見圖2-36）netdom computername /add:

步驟2可以通過執行Adsiedit.msc來查看在ADDS內添加的信息：【按+R鍵→運行Adsiedit.msc→選中ADSI編輯器并單擊右鍵→連接到→直接單擊【確定】按鈕（采用默認命名上下文）→如圖2-37所示展開到CN=DC4單擊上方內容圖示→從圖中可看到另外添加了計算機名稱NEWDC4與】。

圖2-37查看修改名稱信息

步驟3如圖2-38所示繼續向下瀏覽到屬性servicePrincipaIName，雙擊它后可從圖中看到添加在SPN屬性內與新計算機名稱有關的屬性值。圖2-38查看SPN屬性內與新計算機名稱有關的屬性值

步驟4請等待一段足夠長的時間，以便讓SPN屬性復制到此域內的所有域控制器，而且管轄此域的所有DNS服務器都接收到新記錄后，再繼續下面刪除舊計算機名稱的步驟，否則因為有些客戶端通過DNS服務器所查詢到的計算機名稱可能是舊的，同時其他域控制器可能仍然通過舊計算機名稱來與這臺域控制器通信，故若您先執行下面刪除舊計算機名稱步驟，則它們利用舊計算機名稱來與這臺域控制器通信時會失敗，因為舊計算機名稱已經被刪除，因而會找不到這臺域控制器。

步驟5執行下面命令（如圖2-39所示）：netdomcomputernamedc4.S/makeprimary:newdc4.此命令會將新計算機名稱設置為主要計算機名稱。圖2-39設置為主要計算機名稱

步驟6重新啟動計算機。重啟計算機后，打開“DNS管理器”，發現在DNS服務器內登記了新計算機名稱的記錄，但同時舊計算機的靜態記錄也一直存在。如圖2-39所示。圖2-39設置為主要計算機名稱

步驟7以系統管理員身份到登錄→選中左下角的開始圖標并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執行下面命令（如圖2-40所示）：netdomcomputernamenewdc4.S/remove:dc4.S此命令會將當前的舊計算機名稱刪除，在您刪除此計算機名稱之前，客戶端計算機可以同時通過新、舊計算機名稱來找到這臺域控制器。圖2-40刪除當前的舊計算機名稱打開DNS管理器，查看相關SRV記錄，發現已經更新到，但舊計算機的靜態的主機記錄將一直存在，直到手工刪除。如圖2-41所示。圖2-41SRV記錄已自動更新到新計算機名稱2.4習題一、選擇題1．公司有一個總部和一個分部。你將運行MicrosoftWindowsServer2012的只讀域控制器(RODC)部署在分部。你需要確保分部的用戶能夠使用RODC登錄到域。你該怎么做？A.在分部再部署一個RODC B.在總部部署一臺橋頭服務器C.在RODC上配置密碼復制策略D.使用“ActiveDirectory站點和服務”控制臺減少所有連接對象的復制時間間隔2.公司有一個總部和一個分部,有一個單域的ActiveDirectory林。總部有兩個運行WindowsServer2012的域控制器，并且分別名為DC1和DC2。分部有一臺WindowsServer2012只讀域控制器(RODC)，名為DC3。所有域控制器都承擔著DNS服務器角色，并都配置為ActiveDirectory集成區域。DNS區域只允許安全更新。你需要在DC3上啟用動態DNS更新。你該怎么做？A.在DC3上運行Ntdsutil.exe>DSBehavior命令。B.在DC3上運行Dnscmd.exe/ZoneResetType命令。C.在DC3上將ActiveDirectory域服務重新安裝為可寫域控制器。D.在DC1上安裝自定義應用程序目錄分區。配置該分區以存儲ActiveDirectory集成區域。2.你有一個ActiveDirectory域。所有域控制器都運行WindowsServer2012，并且配置為DNS服務器。該域包含一個ActiveDirectory集成的DNS區域。你需要確保系統從DNS區域中自動刪除過期的DNS記錄。你該怎么做？A.從區域的屬性中，啟用清理。B.從區域的屬性中，禁用動態更新。C.從區域的屬性中，修改SOA記錄的TTL。D.從命令提示符下，運行ipconfig/flushdns。4.有一臺運行WindowsServer2012的域控制器，名為DC1。DC1被配置為

的DNS服務器。你在名為Server1的成員服務器上安裝了DNS服務器角色，然后你創建了

的標準輔助區域。你將DC1配置為該區域的主服務器。你需要確保Server1