Windows 2000/03域和活动目录（4）

3、域成员计算机

（1）将计算机加入到域
　　首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于，选择域：输入域名，确定。提示输入用户口和口令，确定后提示重启。
说明：
　　加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域。
　　加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但它不是一个完善的服务，有时就会不好使。
　　这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但不推荐。因为客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应是可以的。
　　再者，管理员无法在客户机上利用域的管理工具来远程管理域，因为这些管理工具必须使用DNS，出错提示：找不到域命名信息（有时客户机的DNS Client服务有问题也会出现上述提示，重启服务即可）。这种情况下，要进行远程管理，就只能利用TS（终端服务）基于IP来连了。
　　当然用户也可以手动配置WINS或Lmhosts文件，来查找DC。这主要用于95/98/NT老版本计算机跨子网（路由）查找DC或加入域，因为这些老版本计算机无法利用DNS来查找DC，浏览服务又是广播方式，只能在本网段进行，因为广播信息是无法通过cisco路由器的，RFC1542标准的cisco路由器，可设置成允许DHCP的广播数据通过，仅是一个特例。需要说明的是：95/98可以使用域用户帐号登录到域，但并不能加入到域，在AD中也没有计算机帐号，而NT可以。
　　 计算机加入域成功后，未重启，即已在AD用户和计算机/computer容器下生成计算机帐号了，实验中查看时，需要手动刷新一下。而在DNS中记录必须在计算机重启后（不必登录）或15分钟后才能自动注册或更新到DNS区域。但若我们平常修改一个计算机的名字或IP，要马上更新到DNS区域，倒不一定非得重启，可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错，不一定非得重启登录后才知道结果。
　　加入到NT4域时，需要有管理特权才行；从Windows 2000开始，微软作了改进：在Windows 2000/03域中，默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题：在实际中用普通域帐号加计算机到域，有时会不好使，原因是同名计算机帐号（极可能是它自己已经失效的计算机帐号）已存在而无权覆盖，这时就得用域管理员帐号了。

（2）在加入域的计算机上，用域用户帐号登录到域。
说明：
　　在域中的非DC计算机上，可以选择登录到域或本机，这是因为它同时还拥有本地用户帐号。而在DC上只能选择登录到域了，因为整个域都是DC的，它没有必要再保留本地帐号了。2000是个红叉，03干脆就没有了。
　　安装AD时，会自动删除本地帐号，即使将来删除AD，也无法将本地帐号复原，而是重新生成的。这一点一定要注意：如果本地有EFS加密的文件，一定要将证书导出或将文件解密后，再在这台计算机上做AD安装实验。
　　在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。

（3）深入讨论：
　　如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。
　　前面我们在步骤（1）中强调“加入域前，首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。”其实如果域中有多个DNS服务器，也可以指向其它的DNS服务器，当然这些DNS服务器之间得有区域复制关系。这样做的目的恰恰是：大中型网络为了平衡DNS负载。