Step by step 活动目录中添加一个子域

原创地址：http://www.cnblogs.com/jfzhu/p/4006545.html

转载请注明出处

 

前面介绍过如何建立一个域，下面再介绍一下如何在该父域中添加一个子域。

活动目录中的森林是eindhoven.local，根域也是eindhoven.local，子域为gagelbosch.eindhoven.local。

和建立根域域控制器相似，子域的域控制器也要先设置静态IP，DNS IP为父域DNS。

 

更改计算机名

 

重启计算机，而后为计算机添加AD DS的新角色。如何添加AD DS角色，请参见《Step by step 如何建立一个新森林》。

装好后AD DS后，要将该计算机提高为域控制器。

 

安装好后，计算机自动重启，而后以gagelbosch\administrator的身份登录，查看一下计算机的DNS，发现第一选择已是loop back地址，由于该计算机本身也已是一台DNS服务器了。

 

打开DNS Manager

 

右键点击GAGELBOSCH-DC1节点，选择Properties

 

子域DNS服务器有一个指向父域DNS服务器的forwarder，也就是说，子域DNS服务器没法解析父域的名字（好比server1.eindhoven.local），会forward up给父域DNS服务器来处理。

 

登录到父域DNS服务器上，打开DNS Manager，发现多了delegation，也就是说，父域DNS服务器没法解析的子域的名字（好比server2.gagelbosch.eindhoven.local），会delegate down给子域DNS服务器来处理。

 

关于父域子域DNS服务器间的关系，能够用下图来表示：

 

 

 

父域和子域之间，系统会自动建立一个双向可传递的信任关系（参见《活动目录的信任关系 》），因此子域中的用户在给予权限后，是能够访问父域中的资源的。

假设在子域中，有一个用户：

 

在父域域控制器中，打开 Active Directory Users and Computers，而后点击View –> Advanced Features。

 

而后在左边的面板中选择Domain Controllers，在右边的面板中右键点击EINDHOVEN-DC1 –> Properties

 

而后选择Security

 

点击Add按钮，而后在弹出的对话框中，将From this location改成gagelbosch.eindhoven.local，在下面的object name中输入brenda，而后点击Check Names，系统会自动在子域中查找到Brenda Patimkin这个用户。

 

总结：

(1) 安装子域的控制器和根域控制器很相似，添加AD DS角色，提高计算机为域控制器，可是dcpromo的时候，deployment option为add a new domain to an existing forest，domain type为child domain。

(2) 安装完子域域控制器后，DNS也自动装好了，子域DNS服务器会forward up到父域DNS服务器，父域DNS服务器会delegate down到子域DNS服务器。