Windows 2000/03域和活动目录（6）

2、建立子域

（1）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
　　DNS指向林根域已有DC所用DNS服务器，以便找到已有DC。
　　保证域命名主控必须有效，它默认在林根域的第一台DC上，且具有林唯一性。利用管理工具“AD域和信任关系”可转移域命名主控。
（2）选择：新域的域控制器，下一步，在现有的树中创建一个新的子域
（3）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
　　常见出错提示：域“mcse.com”不是AD域，或用于域的AD域控制器无法联系上。解决方法见前。
（4）输入父域名，如：mcse.com；输入子域名，如sub，注意不要输成sub.mcse.com。
（5）指定AD库和日志文件位置
（6）指定sysvol文件夹位置
（7）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（8）目录服务恢复模式的管理员密码
（9）几分后，安装完成，需要重启。

　　如果域命名主控失效将会出现如下出错提示：“由于以下原因，*作失败：AD无法与域命名主机xxx联系。指定的服务器无法运行指定的*作。”
　　解决：保证域命名主控联机，如果确信其已无法正常工作，可强制传给林内的任意一个DC，子域的DC也可以。原来的主机将必须被重做系统后，才可连入网络，以保证域命名主控的林唯一性。

深入讨论：
　　关于子域（子Domain）所对应的DNS子区域（子zone）是否委派的问题。（以下简称：子区域）
　　如果网络规模不是很大，虽然实现了子域，但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委派了。可以把区域、子区域都放在同一个DNS服务器上，由同一名管理员来管理就可以了。默认值即如此，不需要手动设置。
如果网络规模较大，且二级单位需要能够控制自己的DNS子区域，比如自己增加www1,www2……这样的主机记录；在自己的子区域下再建子区域。这种情况下就需要委派子区域了，由二级单位的DNS管理员自己来管理。否则二级单位涉及DNS的每一个小变化，都需要找总部DNS管理员批准。

　　子区域委派，*作步骤如下：（最好按如下步骤进行，不容易出问题）
　　A、DNS指向林根域（如：mcse.com）已有DC所用DNS服务器
　　B、利用AD安装向导，安装子域（如：sub.mcse.com），重启机。
　　C、在林根DNS控制台上查看，确保已在mcse.com生成子文件夹sub，且sub下有4个以下划线开头的，保存有SRV记录的子文件夹（_msdcs、_sites、_tcp、_udp）已生成；sub下还应有如下2条A记录：（第二条记录如果未生成，手动补上也可以。）

（与父文件夹相同）主机 IP
　　　　　　SUBdc 主机 IP

　　D、在父域（如：mcse.com）右键/新建委派/下一步/子区域名：sub。（不必担心重名，因为委派完成后，灰颜色的委派的sub夹将取代黄颜色的sub夹，但注意*作过程中会共存一段时间）接下来，指定负责子区域的名称服务器：SUBdc.sub.mcse.com及它的IP，以生成粘合记录，下一步，完成。
　　E、在子域DC上安装DNS，*作：开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统（DNS）。
　　 F、开始/程序/管理工具/DNS
　　 G、正向搜索区域/右键/新建区域，建议选择“AD集成区域”，区域名：sub.mcse.com。自动生成SOA、NS、A、A四条记录（后两条A记录，如C步中述），此时SRV记录也被复制过来了。
　　H、在DNS服务器的计算机名上/右键/属性/转发器：指向上一级或林根DNS的IP。
　　I、将子域DC的DNS指向自己，以后加入子域的计算机也使用子域的DNS，以实现DNS分担负荷。（当然，子域中的计算机可以使用林中任一台DNS，也都好使）

注意：
　　由上述过程，大家可以了解到，做为被委派的DNS子区域的二级单位DNS管理员，是不能随意更改自己的DNS服务器的。比如修改DNS服务器的IP，需要通知上级管理员，及时更新委派子区域的NS记录，否则林中其它用户就会找不到你这个子域的计算机。