原創地址:http://www.cnblogs.com/jfzhu/p/4006545.html
轉載請注明出處
前面介紹過如何創建一個域,下面再介紹一下如何在該父域中添加一個子域。
活動目錄中的森林是eindhoven.local,根域也是eindhoven.local,子域為gagelbosch.eindhoven.local。
和創建根域域控制器類似,子域的域控制器也要先設置靜態IP,DNS IP為父域DNS。
更改計算機名
重啟計算機,然后為計算機添加AD DS的新角色。如何添加AD DS角色,請參見《Step by step 如何創建一個新森林》。
裝好后AD DS后,要將該計算機提升為域控制器。
安裝好后,計算機自動重啟,然后以gagelbosch\administrator的身份登陸,查看一下計算機的DNS,發現第一選擇已經是loop back地址,因為該計算機自己也已經是一台DNS服務器了。
打開DNS Manager
右鍵點擊GAGELBOSCH-DC1節點,選擇Properties
子域DNS服務器有一個指向父域DNS服務器的forwarder,也就是說,子域DNS服務器無法解析父域的名字(比如server1.eindhoven.local),會forward up給父域DNS服務器來處理。
登陸到父域DNS服務器上,打開DNS Manager,發現多了delegation,也就是說,父域DNS服務器無法解析的子域的名字(比如server2.gagelbosch.eindhoven.local),會delegate down給子域DNS服務器來處理。
關於父域子域DNS服務器間的關系,可以用下圖來表示:
父域和子域之間,系統會自動創建一個雙向可傳遞的信任關系(參見《活動目錄的信任關系 》),所以子域中的用戶在給予權限后,是可以訪問父域中的資源的。
假設在子域中,有一個用戶:
在父域域控制器中,打開 Active Directory Users and Computers,然后點擊View –> Advanced Features。
然后在左邊的面板中選擇Domain Controllers,在右邊的面板中右鍵點擊EINDHOVEN-DC1 –> Properties
然后選擇Security
點擊Add按鈕,然后在彈出的對話框中,將From this location改為gagelbosch.eindhoven.local,在下面的object name中輸入brenda,然后點擊Check Names,系統會自動在子域中查找到Brenda Patimkin這個用戶。
總結:
(1) 安裝子域的控制器和根域控制器很類似,添加AD DS角色,提升計算機為域控制器,但是dcpromo的時候,deployment option為add a new domain to an existing forest,domain type為child domain。
(2) 安裝完子域域控制器后,DNS也自動裝好了,子域DNS服務器會forward up到父域DNS服務器,父域DNS服務器會delegate down到子域DNS服務器。
