Step by step 活動目錄中添加一個子域

原創地址：http://www.cnblogs.com/jfzhu/p/4006545.html

轉載請註明出處

 

前面介紹過如何建立一個域，下面再介紹一下如何在該父域中添加一個子域。

活動目錄中的森林是eindhoven.local，根域也是eindhoven.local，子域爲gagelbosch.eindhoven.local。

和建立根域域控制器相似，子域的域控制器也要先設置靜態IP，DNS IP爲父域DNS。

 

更改計算機名

 

重啓計算機，而後爲計算機添加AD DS的新角色。如何添加AD DS角色，請參見《Step by step 如何建立一個新森林》。

裝好後AD DS後，要將該計算機提高爲域控制器。

 

安裝好後，計算機自動重啓，而後以gagelbosch\administrator的身份登錄，查看一下計算機的DNS，發現第一選擇已是loop back地址，由於該計算機本身也已是一臺DNS服務器了。

 

打開DNS Manager

 

右鍵點擊GAGELBOSCH-DC1節點，選擇Properties

 

子域DNS服務器有一個指向父域DNS服務器的forwarder，也就是說，子域DNS服務器沒法解析父域的名字（好比server1.eindhoven.local），會forward up給父域DNS服務器來處理。

 

登錄到父域DNS服務器上，打開DNS Manager，發現多了delegation，也就是說，父域DNS服務器沒法解析的子域的名字（好比server2.gagelbosch.eindhoven.local），會delegate down給子域DNS服務器來處理。

 

關於父域子域DNS服務器間的關係，能夠用下圖來表示：

 

 

 

父域和子域之間，系統會自動建立一個雙向可傳遞的信任關係（參見《活動目錄的信任關係 》），因此子域中的用戶在給予權限後，是能夠訪問父域中的資源的。

假設在子域中，有一個用戶：

 

在父域域控制器中，打開 Active Directory Users and Computers，而後點擊View –> Advanced Features。

 

而後在左邊的面板中選擇Domain Controllers，在右邊的面板中右鍵點擊EINDHOVEN-DC1 –> Properties

 

而後選擇Security

 

點擊Add按鈕，而後在彈出的對話框中，將From this location改成gagelbosch.eindhoven.local，在下面的object name中輸入brenda，而後點擊Check Names，系統會自動在子域中查找到Brenda Patimkin這個用戶。

 

總結：

(1) 安裝子域的控制器和根域控制器很相似，添加AD DS角色，提高計算機爲域控制器，可是dcpromo的時候，deployment option爲add a new domain to an existing forest，domain type爲child domain。

(2) 安裝完子域域控制器後，DNS也自動裝好了，子域DNS服務器會forward up到父域DNS服務器，父域DNS服務器會delegate down到子域DNS服務器。