首页 >> IT知识库 >> windows 2003 >>搭建一个域控制器并将客户机加入域

详细内容

搭建一个域控制器并将客户机加入域

实验目的：搭建一个域控制器并将客户机加入域

准备工作： bitsCN.Com网管联盟

1.一台装windows server 2003的server
2.一台装windows xp的client
3.用交叉线连起来，并如图分配好ip地址

实验步骤： BBS.bitsCN.com国内最早的网管论坛

1. 配置Server

（1）配置ip地址参数 bitscn.com中国网管联盟

（2）运行dcpromo命令

（3）弹出Active Directory安装向导，点"下一步"

（4）这里以默认，点"下一步" bitsCN_com

5）选"新域的域控制器"，点"下一步"
Feedom.net国内最早的网管网站

（6）选"新林中的域"，点"下一步"

（7）输入域的dns全名,如：zhen.cwj，点"下一步"

（8）输入NerBIOS名，这里以默认，点"下一步"

9）选择"数据库和日志的安装"路径，点"下一步" DL.bitsCN.com网管软件下载

Play.bitsCN.com小游戏

（10）选择"共享的系统卷"的安装路径，点"下一步" Feedom.net国内最早的网管网站

bitsCN_com

（11）选择第2个，点"下一步"

（12）这个模式以默认，点"下一步" www.bitsCN.net网管博客等你来搏

DL.b（13）输入还原密码，点"下一步"

（14）点"下一步"

（15）直到安装完成，并重器计算机 09hr.com网管求职

（16）重启后输入dsa.msc，可以看到Active Directory用户和计算机

2. Client配置（1）配置ip地址参数 www.bitsCN.net网管博客等你来搏

DL.bitsCN.com网管软件下载

（2）打开计算机属性——选择——计算机名——点"更改"，点域输入域名zhen.cwj

（3）输入域控制器管理员用户名和密码，直到完成，并重齐即可。

09hr.com网管求职

（4）重启后可以看到登陆到域和本地

ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且，通过本地而不是Internet为对象提供服务，其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时，可以将其配置成防火墙，也可以配置成Web缓存服务器，或二者兼备。
ISA Server提供直观而强大的管理工具，包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具，ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。

本文的目的，是作为域和AD的一篇入门文章，使没有安装过域，或刚刚接触域的年轻网管能对域和AD有一个全面的了解，并利用此文入门，将所管理的网络实现一个基于域的管理模式。我是网管博客&cSH"|_

K:P5s
一、认识Windows的域
本小节重点从理论上阐述域的概念、作用和Windows中域的产生。
一台Windows计算机，它要么隶属于工作组，要么隶属于域。所以说到域，我们就不得不提一下工作组，工作组是MS的概念，一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，MS推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。
工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的 NetBIOS名称列表。用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或不同工作组在访问时也没有什么分别。
域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装NT/2000/03 Server版本使其充当DC，来实现集中式的管理。
若考虑到容错的话，至少需要两台。对于NT4域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03域，已经没有PDC和BDC的概念，要容错就需要两至多台DC。
域是逻辑分组，与网络的物理拓扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们多采用多域结构，还可以利用AD站点来优化AD复制）。
这个“目录服务数据库”，在NT4时，保存用户帐号名称和密码等安全安全信息，以及安全规则设置，又被称作安全帐号管理（SAM）数据库，简称SAM 库。在非DC上的本地的SAM库与DC上域所用的SAM库类似，只不过对于NT4域的SAM库文件，保存有整个域的用户和计算机，用“域用户管理器”和 “服务器管理器”来管理，本地的SAM库文件，保存有本地机的用户，由“用户管理器”来管理。
从2000开始，MS引入了活动目录AD，DC通过AD来提供目录的服务，例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC 等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值，并不存在这个文件中，而是保存在winnt\ sysvol\sysvol这个共享夹下，用于向其它DC复制，传播给域成员，来生效。但需要说明的是：2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源，如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户名和密码登录。

二、构建Windows 2000的域
这个过程简单说就是：选一台2000S/AS计算机，运行AD安装向导，在其上安装活动目录，使其成为DC。然后将其它的计算机加入到这个域。
说明：至于是用2000S，还是用2000AS，对于一般的用户差别不大。2000S支持最多4个CPU，最大4G内存；2000AS支持最多8个CPU，最大内存8G，还支持群集功能。但这些我们一般用户都用不到，所以对于普通用户来说，选择S或AS都是一样的。

1、系统要求
*一台2000S或2000AS独立或成员服务器，2000DS只有OEM版，随厂商硬件发售，平常我们是见不到的。
* 其上必须有一个NTFS 5.0分区，用来保存AD的sysvol文件夹。注意：2000的NTFS分区是NTFS 5.0，NT4的是NTFS 4.0，NT4必须安装SP4后，才可访问2000的NTFS分区。
* 网络上必须有可用的DNS服务器，并且必须支持SRV记录（Service Locaion Resource Record）和动态更新功能。如：MS Win2000S DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。
说明：
构建NT4域并不需要DNS的支持，但2000域必须有DNS，且满足上述要求。
SRV记录的作用是指明域和站点（site）的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色，管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录，在域成员计算机重启，或改名、改IP时依赖周期性更新，自动动态实现。
如果没有DNS服务器的话，也不一定非得预装DNS，可以在安装AD过程中，选择在本机上安装2000 DNS。而且推荐初学者使用这种方法，因为系统会根据你提供的FQDN域名，自动创建好DNS区域（zone），并配置成AD集成区域，仅安全动态更新。如果需要向外连或反向解析，用户只需配置上转发器和反向区域即可，不需要的话，直接就可以用了。
如果决定在安装AD过程中在本机安装DNS，应在安装前，将本机TCP/IP配置/DNS服务器指向自己，这样在安装AD完成后重启时，SRV记录将被自动注册到DNS服务器的区域当中去的，生成四个以下划线开头的文件夹，如_msdcs，03DNS在这里夹的层次结构有所变化，但本质没变。当然如果忘了指，也可以后补上，只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
（1）启动AD安装向导
方法一：开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。
方法二：熟练后一般常用，开始/运行：dcpromo。
（2）安装选项：指定服务器角色
三个界面，实现四种组合：
新域附加DC 新树子域新林加入林
即：
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林
全新安装：新域—新树—新林，这样来建立第一个域中的第一台DC。
2000的多域模型采用层次结构，不同于NT4域的平面结构，NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例，对2000的域、树、林进行简要说明：

ms.com我是网管博客Ny

R;W\E Z(}2_
/ \
trainning.mcse.com lotus.com

我是网管博客wzCg O7d8j2t
R
这整个是一个林，ms.com为林根域，有两个树，一个由ms.com和它的子域trainning.ms.com组成，另一个由lotus.com单独组成，林中有ms.com，trainning.ms.com，lotus.com三个域。相关概念如下：我是网管博客7WL5W[1]m'^#ii+SZ
林根域：在林中第一个建立的域，如：ms.com
F ]"?-R K3Z _{:y'@0 树：共用连续的命名空间的多层域，如ms.com和trainning.ms.com我是网管博客"i^'[
r-Z4r+U}
树根域：树最高层的域，名最短。如：ms.com
TC|Aag0说明：我是网管博客([4R�N

gy1U
x},z
2000可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。
再者2000AD是针对大中型网络设计的，而我们一般管理的网络也就几百个节点，属于小型网络，一般来讲用一个单域结构就够用了，不要人为将管理环境复杂化。在实验中，我们甚至可以一个林中只有一个树，一个树中只有一个域，一个域里只有一台DC。
另外前面已经说过了，域是逻辑分组，与网络的物理拓扑无关，不要总试图规划一个子网一个域。当然实际中多个子网一个域，子网中若有95/98/NT老计算机，无法利用DNS直接登录到域，可以安装一台WINS服务器解决问题。将所有计算机，包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可。
（3）安装选项：新域的DNS全名
说明：
在这里应该输入新域的完全有效域名FQDN，形如：mcse.com。系统会打算以mcse作为此域的NetBIOS名称，并在网络中检查是否存在重名，需要等一会儿。不重名则设为mcse，建议用户不要修改此名；重名则设为mcse0，建议用户最好换个名字。这也就是说，网络中如果已有一个域，名字叫做mcse.org，也会出现NetBIOS名称冲突的问题。
（4）安装选项：为新域指定一个NetBIOS名称
说明：
NetBIOS名称，只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的，如果确信域用户都是2000及以上系统（它们通过DNS定位域），其实NetBIOS名称冲不冲突，都无所谓。
（5）安装选项：指定AD库和日志文件位置
说明：
如果仅是实验，用默认值即可。若是在真正的服务器上，都会有多块物理硬盘，最好分开存放，以提高性能。另外需要强调的是：AD库和日志文件并不要求非得NTFS 5.0分区，很多2000/03书在此语焉不详。
（6）安装选项：指定sysvol文件夹位置
说明：
是sysvol这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC间AD要同步的内容，包括组策略的设置值。
（7）这时网络中若无可用DNS服务器，就会出现提示：找不到DNS服务器，需要考虑在本机上安装一个DNS服务器。可先不必理会，点“确定”，接下来选“是，在本机上安装并配置DNS”。初学者在此不要选“否，我将自己安装并配置DNS”。

（8）几分后，安装完成，需要重启。我是网管博客+K@C:H5KcB
说明：
+\0@f5d)T$M+Q[1]~XK0 若硬盘或网络上没有可用的2000S源文件，会提示要2000S光盘。我是网管博客'tT3sL9~
最好用新装2000S来安装AD，这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS，来安装AD，使其成为DC。重启及登录时可能会很慢（有时可能长达20分钟），这是较常见的现象。一般2-3次以后就好了，如果多次重启后还那样，那就要重装系统及AD了。

我是网管博客M8k;Q0@iJWh P0V

8z

jW @*~

['^LD0

3、域成员计算机

我是网管博客�Y
b,F*C!X
我是网管博客p\m h/J

!C1Ox

h&g/d*S0

（1）将计算机加入到域我是网管博客1kqHT

^%W4_
首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于，选择域：输入域名，确定。提示输入用户口和口令，确定后提示重启。
说明：
加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域。
加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但它不是一个完善的服务，有时就会不好使。
这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但不推荐。因为客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应是可以的。
再者，管理员无法在客户机上利用域的管理工具来远程管理域，因为这些管理工具必须使用DNS，出错提示：找不到域命名信息（有时客户机的DNS Client服务有问题也会出现上述提示，重启服务即可）。这种情况下，要进行远程管理，就只能利用TS（终端服务）基于IP来连了。
当然用户也可以手动配置WINS或Lmhosts文件，来查找DC。这主要用于95/98/NT老版本计算机跨子网（路由）查找DC或加入域，因为这些老版本计算机无法利用DNS来查找DC，浏览服务又是广播方式，只能在本网段进行，因为广播信息是无法通过路由器的，RFC1542标准的路由器，可设置成允许DHCP的广播数据通过，仅是一个特例。需要说明的是：95/98可以使用域用户帐号登录到域，但并不能加入到域，在AD中也没有计算机帐号，而 NT可以。
计算机加入域成功后，未重启，即已在AD用户和计算机/computer容器下生成计算机帐号了，实验中查看时，需要手动刷新一下。而在DNS中记录必须在计算机重启后（不必登录）或15分钟后才能自动注册或更新到DNS区域。但若我们平常修改一个计算机的名字或IP，要马上更新到DNS区域，倒不一定非得重启，可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错，不一定非得重启登录后才知道结果。
加入到NT4域时，需要有管理特权才行；从Windows 2000开始，微软作了改进：在Windows 2000/03域中，默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题：在实际中用普通域帐号加计算机到域，有时会不好使，原因是同名计算机帐号（极可能是它自己已经失效的计算机帐号）已存在而无权覆盖，这时就得用域管理员帐号了。

我是网管博客N
n z Z4u8i

Ib+HZ;k$O0
q![q
i+L M"Z*S0

（2）在加入域的计算机上，用域用户帐号登录到域。我是网管博客l[.?6~:f

HK)u P:T
f
说明：
在域中的非DC计算机上，可以选择登录到域或本机，这是因为它同时还拥有本地用户帐号。而在DC上只能选择登录到域了，因为整个域都是DC的，它没有必要再保留本地帐号了。2000是个红叉，03干脆就没有了。
安装AD时，会自动删除本地帐号，即使将来删除AD，也无法将本地帐号复原，而是重新生成的。这一点一定要注意：如果本地有EFS加密的文件，一定要将证书导出或将文件解密后，再在这台计算机上做AD安装实验。
在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。
（3）深入讨论：
如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。
前面我们在步骤（1）中强调“加入域前，首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。”其实如果域中有多个DNS 服务器，也可以指向其它的DNS服务器，当然这些DNS服务器之间得有区域复制关系。这样做的目的恰恰是：大中型网络为了平衡DNS负载。
三、建立其它域控制器
前面我们讨论了“建立第一个域中的第一台域控制器”，分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
（1）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
将成为附加DC的计算机，不必非得先加入域。
DNS指向已有DC所用DNS服务器，以便找到已有DC。安装结束后，一般应该手动在本机上再装一个DNS服务器，以实现DNS的容错。
（2）选择：现有域的额外域控制器
（3）输入域管理员帐号，如：administrator，password，mcse.com（或mcse）。
常见找不到域的出错提示：域“mcse.com”不是AD域，或用于域的AD域控制器无法联系上。
解决：确保DNS指向已有DC所用DNS的服务器。
其它：Ping一下，检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
（4）输入域名，如：mcse.com。
（5）指定AD库和日志文件位置
（6）指定sysvol文件夹位置
（7）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（8）目录服务恢复模式的管理员密码
（9）几分后，安装完成，需要重启。
（10）手动在本机上安装DNS服务器，以实现DNS的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统（DNS）。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右键/新建区域，建议选择“AD集成区域”，区域名：已有区域的名称，如mcse.com。自动生成起始授权机构（SOA）、名称服务器（NS）、主机（A）三条记录，但此时SRV记录并未被复制过来。需要等待5-15分钟后，利用刷新或重新加载就可以看到复制过来的DNS记录了（对于 03马上就可以看到复制过来的全部DNS记录）。

X-Wc*a6px\0深入讨论：我是网管博客V&[J6n3w9E�qV0@L
03和2000比，功能更强大了。但在域和AD的体系结构上并没有什么大的变化，而且MS的产品十分讲究向前兼容。在一个域中可以既有2000DC，又有03DC；也可以既有2000DNS，又有03DNS，并且DC间的AD复制，DNS间的区域传输，都好像没有版本差异一样。
"^+?p HrC0 在我们这里要说的就是：2000可作为03域的附加DC，03也可以作为2000域的附加DC，但第二种情况需要在2000DC（SP2及更高）上运行03光盘/I386/adprep命令来做准备。
:z3G;W7|8V3Y0dO0具体第一步：adprep /forestprep进行林准备，第二步adprep /domainprep进行域准备。我是网管博客r/H I}+ns ~
2、建立子域
~|R.M
n�u0（1）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
l4kO'jq-l0说明：

\
VZ2Pc�@C0 DNS指向林根域已有DC所用DNS服务器，以便找到已有DC。我是网管博客W9]y)B9T#E ^
保证域命名主控必须有效，它默认在林根域的第一台DC上，且具有林唯一性。利用管理工具“AD域和信任关系”可转移域命名主控。
jB4_:`1NV8K0（2）选择：新域的域控制器，下一步，在现有的树中创建一个新的子域我是网管博客2c0M&BSs ^-E
（3）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
#I:vx*r'^_"k

m0 常见出错提示：域“mcse.com”不是AD域，或用于域的AD域控制器无法联系上。解决方法见前。
（4）输入父域名，如：mcse.com；输入子域名，如sub，注意不要输成sub.mcse.com。
（5）指定AD库和日志文件位置
（6）指定sysvol文件夹位置
（7）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（8）目录服务恢复模式的管理员密码
（9）几分后，安装完成，需要重启。
如果域命名主控失效将会出现如下出错提示：“由于以下原因，操作失败：AD无法与域命名主机xxx联系。指定的服务器无法运行指定的操作。”
解决：保证域命名主控联机，如果确信其已无法正常工作，可强制传给林内的任意一个DC，子域的DC也可以。原来的主机将必须被重做系统后，才可连入网络，以保证域命名主控的林唯一性。
深入讨论：
关于子域（子Domain）所对应的DNS子区域（子zone）是否委派的问题。（以下简称：子区域）
如果网络规模不是很大，虽然实现了子域，但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委派了。可以把区域、子区域都放在同一个DNS服务器上，由同一名管理员来管理就可以了。默认值即如此，不需要手动设置。
如果网络规模较大，且二级单位需要能够控制自己的DNS子区域，比如自己增加www1,www2……这样的主机记录；在自己的子区域下再建子区域。这种情况下就需要委派子区域了，由二级单位的DNS管理员自己来管理。否则二级单位涉及DNS的每一个小变化，都需要找总部DNS管理员批准。
子区域委派，操作步骤如下：（最好按如下步骤进行，不容易出问题）
A、DNS指向林根域（如：mcse.com）已有DC所用DNS服务器
B、利用AD安装向导，安装子域（如：sub.mcse.com），重启机。
C、在林根DNS控制台上查看，确保已在mcse.com生成子文件夹sub，且sub下有4个以下划线开头的，保存有SRV记录的子文件夹（_msdcs、_sites、_tcp、_udp）已生成；sub下还应有如下2条A记录：（第二条记录如果未生成，手动补上也可以。）

（与父文件夹相同）主机 IP
#rU

m)?+m,h(\;H0 SUBdc 主机 IP

D、在父域（如：mcse.com）右键/新建委派/下一步/子区域名：sub。（不必担心重名，因为委派完成后，灰颜色的委派的sub夹将取代黄颜色的sub夹，但注意操作过程中会共存一段时间）接下来，指定负责子区域的名称服务器：SUBdc.sub.mcse.com及它的IP，以生成粘合记录，下一步，完成。我是网管博客
i‑\%p;l r!EN-`
E、在子域DC上安装DNS，操作：开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统（DNS）。我是网管博客J*g
a

Q4w
u1]
F、开始/程序/管理工具/DNS
G、正向搜索区域/右键/新建区域，建议选择“AD集成区域”，区域名：sub.mcse.com。自动生成SOA、NS、A、A四条记录（后两条A记录，如C步中述），此时SRV记录也被复制过来了。
H、在DNS服务器的计算机名上/右键/属性/转发器：指向上一级或林根DNS的IP。
I、将子域DC的DNS指向自己，以后加入子域的计算机也使用子域的DNS，以实现DNS分担负荷。（当然，子域中的计算机可以使用林中任一台DNS，也都好使）
注意：
由上述过程，大家可以了解到，做为被委派的DNS子区域的二级单位DNS管理员，是不能随意更改自己的DNS服务器的。比如修改DNS服务器的IP，需要通知上级管理员，及时更新委派子区域的NS记录，否则林中其它用户就会找不到你这个子域的计算机。
3、新域—新树—加入林
此种情况平常较少用到，因为一般企业只用一套命名体系，很少采用两上或两个以上的树。微软举的例子：一个大企业兼并另一企业，并且想保留它的命名体系，技术上对应实现就是目录树和DNS名称空间。
说明：此种应该预先建好DNS正向搜索区，因为它不能像建子域那样，利用AD向导自动在已有DNS区域中创建子区域。下面以前文中的mcse.com，sub.mcse.com，my.com图示为例进行说明。
（1）在林根DNS上，与mcse.com并列，创建区域my.com，最好选AD集成区域。
（2）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
DNS指向林根域已有DC所用DNS服务器，并保证域命名主控必须有效。
（3）选择：新域—新树—加入林
（4）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
说明：
输入的欲登录的林根域名，也就告诉了系统要加入哪个林。
（5）输入新域的DNS全名，如：my.com；域NetBIOS名：MY。
（6）指定AD库和日志文件位置
（7）指定sysvol文件夹位置
（8）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（9）目录服务恢复模式的管理员密码
（10）几分后，安装完成，需要重启。
说明：
用预建DNS这种方式加入林，使用的是林根上已有DNS服务器，所以此计算机在林根DNS的my.com区域下，仅生成一条主机（A）记录（如需要可手动添加：treedc 主机 IP），SOA和NS记录都是林根DNS服务器，但在my.com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷，如想实现，利用辅助区域来做。
实验中发现：万不可像全新安装那样，在安装过程中，选择在本地安装一个DNS，这样将会这把个树根域安装成一个独立的林根域。原因吗？去问微软吧。
四、卸载AD
在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后，仍在域中。
3、如果AD不能卸载，应从以下几方面考虑：
（1）权限
权限要求与安装AD类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员权限；卸载附加DC需要该域的域管理员权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。
（2）DNS
一般应保证与安装时所用DNS一致。如果做了DNS规划，必须保证1中权限所要求的管理员身份能找到相应DC验证。
（3）域命名主控
卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。
但要注意的是：卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同，具体是：由于以下原因，操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
（4）卸载的顺序
与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。否则将导致子域无法卸载，而存在的子域还有问题。
因为极有可能此时架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删林根域了。
五、从NT4域升级到2000域
1、预备知识：
NT4域采用单主控复制，DC分为PDC和BDC，BDC存储的只是PDC“目录服务数据库”文件的只读复本。在“服务器管理器”中可以将一台BDC提升为PDC，原PDC自动降为BDC。
一个域中只能有一台PDC，零到多台BDC以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台PDC，域是逻辑分组，我们可以在一个子网中建多个域。
2000域开始采用多主控复制，DC不再有PDC和BDC之分，DC间的AD复制是双向的。但2000域中会唯一有一台DC担当PDC仿真主控，负责充当NT4 BDC的PDC，并为早期版本客户机提供服务。PDC仿真主控还负责管理运行NT、95/98计算机的密码变化，写入AD。接受密码变化的DC必须通知 PDC仿真主控，比如：用户登录时，如密码错误，必先送至PDC仿真主控。因为普通DC不能确认到底是密码错误，还是它没有及时与PDC仿真主控同步。它还负责同步整个域中计算机的时间。通过以上我们可以知道：在2000域中存在的NT4域控制器，它的身份只能是BDC。
2000域模式分为：混合（mixed）模式和本机（natived）模式。默认为混合模式，如果管理员确认域中所有DC（注意：这里强调的是DC， 2000域本机模式下可以有NT4的成员服务器）都是2000DC，没有NT4的域控制器，可以手动在“AD用户和计算机中”将域模式更改为本机模式，以充分利用AD的新功能，比如使用“通用组”。
通过以上分析，我们可以知道：如果在2000域中存在NT4域控制器，那么你只能使用2000域混合模式了。有人可能会想那我就不让它再当域控制器了，但是NT4域的DC和成员服务器之间角色转换必须重装NT4系统，不能象2000那样利用AD安装向导，方便地进行安装/卸载。
2、原则：由NT4域向2000域升级，第一个被升级的必须是NT4域的PDC。这样才可以把帐号、安全设置、配置等带到2000域
3、MS推荐策略：由于升级是一个极易出现各种问题的过程，必须考虑备份。再有就是实际操作时，可以先将NT4的BDC提升为PDC，再升级到2000。如果顺利的话，再升级其它BDC。如果不顺利的话，可将原来PDC复原，以此方法来避免损失。
4、深入讨论：我们可以把前面的问题再深入讨论一下，假设你的域中有NT4的PDC，并且在它上面运行的老程序不允许你把它升级为2000，但你还想要通过升级NT4域，得到2000域，那么应该怎么办呢？答案很简单，可以先将这台PDC降为BDC，再将新PDC升级为2000。这样你既得到了2000域，又保留了NT4的BDC。
5、我的推荐原则：在实际工作中，只要能进行2000域的全新安装，就用全新安装。因为NT4升级后得到的2000安全策略设置等等是继承NT4时的设置，与2000域的默认值有较大出入，以后出问题，不易排错，也不易与其它人交流沟通、解决问题。
本文基于自己几年来的实践心得，讨论重点放在如何规划和最终实现Windows 2000/03域和活动目录，以及此过程中要考虑和解决的各种各样问题。至于如何基于域和AD的优点进行网络管理降低TCO，AD的维护，主控的管理，将另行撰文专门讨论。

客服中心

联系方式

15522152206
13682112344

- 业务经理

技术支持：建站ABC | 管理登录