Windows 2000/03域和活动目录（7）

3、新域—新树—加入林
　　此种情况平常较少用到，因为一般企业只用一套命名体系，很少采用两个或两个以上的树。微软举的例子：一个大企业兼并另一企业，并且想保留它的命名体系，技术上对应实现就是目录树和DNS名称空间。
　　 说明：此种应该预先建好DNS正向搜索区，因为它不能像建子域那样，利用AD向导自动在已有DNS区域中创建子区域。下面以前文中的mcse.com，sub.mcse.com，my.com图示为例进行说明。

（1）在林根DNS上，与mcse.com并列，创建区域my.com，最好选AD集成区域。
（2）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
DNS指向林根域已有DC所用DNS服务器，并保证域命名主控必须有效。
（3）选择：新域—新树—加入林
（4）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
说明：
输入的欲登录的林根域名，也就告诉了系统要加入哪个林。
（5）输入新域的DNS全名，如：my.com；域NetBIOS名：MY。
（6）指定AD库和日志文件位置
（7）指定sysvol文件夹位置
（8）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（9）目录服务恢复模式的管理员密码
（10）几分后，安装完成，需要重启。

说明：
　　用预建DNS这种方式加入林，使用的是林根上已有DNS服务器，所以此计算机在林根DNS的my.com区域下，仅生成一条主机（A）记录（如需要可手动添加：treedc 主机 IP），SOA和NS记录都是林根DNS服务器，但在my.com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷，如想实现，利用辅助区域来做。

　　实验中发现：万不可像全新安装那样，在安装过程中，选择在本地安装一个DNS，这样将会这把个树根域安装成一个独立的林根域。原因吗？去问微软吧。

四、卸载AD
　　 在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后，仍在域中。
3、如果AD不能卸载，应从以下几方面考虑：
（1）权限
　　权限要求与安装AD类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员权限；卸载附加DC需要该域的域管理员权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。
（2）DNS
　　 一般应保证与安装时所用DNS一致。如果做了DNS规划，必须保证1中权限所要求的管理员身份能找到相应DC验证。
（3）域命名主控
　　 卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。

但要注意的是：卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同，具体是：由于以下原因，*作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
（4）卸载的顺序
　　与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。否则将导致子域无法卸载，而存在的子域还有问题。
　　因为极有可能此时架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删林根域了。

3、新域—新树—加入林
　　此种情况平常较少用到，因为一般企业只用一套命名体系，很少采用两个或两个以上的树。微软举的例子：一个大企业兼并另一企业，并且想保留它的命名体系，技术上对应实现就是目录树和DNS名称空间。
　　 说明：此种应该预先建好DNS正向搜索区，因为它不能像建子域那样，利用AD向导自动在已有DNS区域中创建子区域。下面以前文中的mcse.com，sub.mcse.com，my.com图示为例进行说明。

（1）在林根DNS上，与mcse.com并列，创建区域my.com，最好选AD集成区域。
（2）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
DNS指向林根域已有DC所用DNS服务器，并保证域命名主控必须有效。
（3）选择：新域—新树—加入林
（4）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
说明：
输入的欲登录的林根域名，也就告诉了系统要加入哪个林。
（5）输入新域的DNS全名，如：my.com；域NetBIOS名：MY。
（6）指定AD库和日志文件位置
（7）指定sysvol文件夹位置
（8）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（9）目录服务恢复模式的管理员密码
（10）几分后，安装完成，需要重启。

说明：
　　用预建DNS这种方式加入林，使用的是林根上已有DNS服务器，所以此计算机在林根DNS的my.com区域下，仅生成一条主机（A）记录（如需要可手动添加：treedc 主机 IP），SOA和NS记录都是林根DNS服务器，但在my.com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷，如想实现，利用辅助区域来做。

　　实验中发现：万不可像全新安装那样，在安装过程中，选择在本地安装一个DNS，这样将会这把个树根域安装成一个独立的林根域。原因吗？去问微软吧。

四、卸载AD
　　 在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后，仍在域中。
3、如果AD不能卸载，应从以下几方面考虑：
（1）权限
　　权限要求与安装AD类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员权限；卸载附加DC需要该域的域管理员权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。
（2）DNS
　　 一般应保证与安装时所用DNS一致。如果做了DNS规划，必须保证1中权限所要求的管理员身份能找到相应DC验证。
（3）域命名主控
　　 卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。

但要注意的是：卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同，具体是：由于以下原因，*作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
（4）卸载的顺序
　　与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。否则将导致子域无法卸载，而存在的子域还有问题。
　　因为极有可能此时架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删林根域了。