活動目錄系列之三：多域環境的實現（單站點）

活動目錄系列之三：多域環境的實現（單站點）                

在這裏我只討論單站點的情況，有關多站點下次專題再討論。所謂單站點，只的整個森林結構在一個地理位置，如在北京。內部相連都是高速線路如100M等。默認的站點名字是default-first-site-name.可以通過“AD站點和服務”組件來查看。
一、在一個林中創建多個域的原因？
1.部門（或分公司）之間有不同的密碼要求，可以針對部門（或分公司）創建域。
2.有大量的活動目錄對象，可以分解成多個域，使每個域活動目錄對象較少。
3.分散的網絡管理，而不是由一個域管理員管理，多個域意味着有多個域管理員。
4.對複製進行更多的控制。
二、創建子域
   先完成公司的第一個域，利用dcpromo完成搭建工作。具體搭建情況請參考活動目錄系列之二：單域環境的實現（單站點） 。下面我來談子域的搭建：這裏是實現步驟。
1.先設置欲做爲子域DC的計算機的DNS的IP地址指向林根DNS。
2.運行Dcpromo安裝完畢。
**如果想讓做爲子域的DC自己來做DNS，完成本域內計算機的解析工作，需要在父域的DNS上進行子域委派。具體操作如下：
打開根DC的DNS組件，刪除子域，然後新建“子域委派”，並指定委派的FQDN和相應的IP地址。
在子域的DC上安裝DNS服務，並新建相應的DNS區域，然後將本機的DNS指向自己。重啓netlogon服務。
設置子域DNS作條件轉發指向林根DNS。
注：子域的客戶機DNS指向子域自己的DNS.
**如果讓父域DNS兼作子域的名字解析工作，可以不用作上面的操作。
在子域內也最好安排多臺DC作冗餘。
總結：在林根DNS上作子域委派，在子域DNS上條件轉發指向林根DNS。
三、創建樹
1. 先設置欲做爲樹的計算機的DNS的IP地址指向林根DNS。
下面分兩種情況：
如果樹下面的客戶機的解析由林根DNS負責，由事先在林根DNS上新建樹區域。
如果想讓樹自己解析本域的客戶機，則不必要事先建此區域。
注：如果是第一種情況，運行dcpromo安裝完畢就結束了。
如果是第二種情況如下再繼續：
2. 運行dcpromo安裝結束。
3. 修改本機的DNS指向自己，重新生成SRV記錄。
4. 運行dnsmgmt.msc，設置DNS轉發（條件轉發IP地址是林根DNS的IP），然後再設置“區域複製”
5. 打開林根的DNS服務器，新建“輔助區域”。並執行“從主服務器複製”。
注：樹的客戶機的DNS指向樹的DNS。
總結：在林根DNS作樹區域的輔助區域，在樹DNS上允許“區域複製”，並作條件轉發到林根DNS。

四、完成森林的邏輯結構後的優點？
1.可以實現整個森林範圍內資源的訪問，無需要輸入密碼。
2.任一域用戶（不管是哪個域的）都可以在任意域的客戶機上登錄到自己的域。

本文出自 “千山島主之微軟技術空間站” 博客，請務必保留此出處http://jary3000.blog.51cto.com/610705/121942