Windows Server活動(dòng)目錄企業(yè)應(yīng)用（微課版）（第2版） 課件 項(xiàng)目2 建立域和林

活動(dòng)目錄企業(yè)應(yīng)用（微課版）項(xiàng)目2

建立域樹和林WindowsServer2.1相關(guān)知識(shí)創(chuàng)建子域通常用于以下幾種情況：一個(gè)已經(jīng)從公司中分離出來的獨(dú)立經(jīng)營(yíng)的子公司。有些公司的部門或小組基于對(duì)特殊技術(shù)的需要，而與其他部門相對(duì)獨(dú)立地運(yùn)行?；诎踩目紤]。創(chuàng)建子域的好處主要有以下幾個(gè)方面：便于管理自身的用戶和計(jì)算機(jī)，并允許采用不同于父域的管理策略。有利于子域資源的安全管理。在父子域環(huán)境中，由于父子域間會(huì)建立雙向可傳遞的父子信任關(guān)系，因此父域用戶默認(rèn)可以使用子域的計(jì)算機(jī)；同理，子域用戶也可以使用父域的計(jì)算機(jī)。圖2-1是子域和目錄林的示意圖。圖2-1子域和目錄林的示意圖2.2項(xiàng)目設(shè)計(jì)及準(zhǔn)備在開始建立域樹和林之前，若您對(duì)ActiveDirectory域服務(wù)（ADDS）的概念還不是很清楚，請(qǐng)先參考項(xiàng)目2的內(nèi)容?；谖疵镜那闆r，構(gòu)建如圖2-2所示的林結(jié)構(gòu)。此林內(nèi)包含左右兩個(gè)域樹。左邊的域樹：它是這個(gè)林內(nèi)的第一個(gè)域樹，其根域的域名為根域下有兩個(gè)子域，分別是與，林名稱以第一個(gè)域樹的根域名稱來命名，所以這個(gè)林的名稱就是。右邊的域樹：它是這個(gè)林內(nèi)的第二個(gè)域樹，其根域的域名為。根域下只有一個(gè)子域。建立域之前的準(zhǔn)備工作與如何建立圖中第一個(gè)域的方法，都已經(jīng)在項(xiàng)目2中介紹過了。本項(xiàng)目將只介紹如何建立子域（例如圖中的）與第二個(gè)域樹（例如圖中的）。圖2-2ADDS網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D2.3項(xiàng)目實(shí)施2.2.1任務(wù)1創(chuàng)建子域及驗(yàn)證下面通過將圖2-2中升級(jí)為域控制器的方式來建立子域，這臺(tái)服務(wù)器可以是獨(dú)立服務(wù)器或隸屬于其他域的現(xiàn)有成員服務(wù)器。請(qǐng)先確定圖2-2中的根域已經(jīng)建立完成。1．創(chuàng)建子域

步驟1在dc2上以管理員賬戶登錄，打開“Internet協(xié)議版本4（TCP/IPv4）屬性”對(duì)話框，按圖2-2所示配置dc2計(jì)算機(jī)的IP地址、子網(wǎng)掩碼以及DNS服務(wù)器，其中DNS服務(wù)器一定要設(shè)置為自身的IP地址和父域的域控制器的IP地址。

步驟2添加“ActiveDirectory域服務(wù)”角色和功能的過程，請(qǐng)參見2.2.1小節(jié)中的“2.安裝ActiveDirectory域服務(wù)”，這里不再贅述。

步驟3啟動(dòng)ActiveDirectory安裝向?qū)В▎?dòng)方法請(qǐng)參考2.2.2小節(jié)中的“4．安裝活動(dòng)目錄”），當(dāng)顯示“部署配置”窗口時(shí)，選擇【將新域添加到現(xiàn)有林】單選按鈕，單擊“未提供憑據(jù)”后面的【更改】按鈕，出現(xiàn)“Windows安全”對(duì)話框，輸入有權(quán)限的用戶：long\administrator及其密碼，如圖2-3所示。單擊【確定】按鈕。圖2-3“部署配置”窗口

步驟4出現(xiàn)提供憑據(jù)的“部署配置”界面，如圖2-4所示。請(qǐng)選擇或輸入父域：，鍵入新域名：beijing。（注意！）圖2-4提供憑據(jù)的“部署配置”界面

步驟5單擊【下一步】按鈕，顯示“域控制器選項(xiàng)”對(duì)話框。①選擇是否在此服務(wù)器上安裝DNS服務(wù)器（默認(rèn)會(huì)）。②選擇是否將其設(shè)定為全局編錄服務(wù)器（默認(rèn)會(huì)）。③選擇是否將其設(shè)置為只讀域控制器（默認(rèn)不會(huì)）。④設(shè)置目錄服務(wù)還原模式的密碼。

步驟6單擊【下一步】按鈕，顯示如圖2-5所示的“DNS選項(xiàng)”的對(duì)話框，默認(rèn)選中【創(chuàng)建DNS委派】復(fù)選按鈕。單擊【下一步】按鈕，設(shè)置“NetBIOS”名稱，單擊【下一步】按鈕。圖2-5指定DNS委派選項(xiàng)如果此處不選擇“創(chuàng)建DNS委派”選項(xiàng),創(chuàng)建子域完成后,可以打開域的“DNS管理器”→右鍵單擊“”域→單擊“新建委派”（如圖2-6所示）→輸入被委派的子域名稱：beijing（如圖2-7所示）→單擊“添加”按鈕→輸入“”被委派的DNS服務(wù)器名稱→單擊“解析”按鈕→自動(dòng)解析出此NS記錄的IP地址→單擊“確定”按鈕（如圖2-8所示），按提示完成DNS的區(qū)域委派。圖2-6新建委派圖2-7指定受委派域名圖2-8輸入受委派的權(quán)威DNS服務(wù)器名稱

步驟7持續(xù)單擊【下一步】按鈕，在“先決條件檢查”對(duì)話框中，如果順利通過檢查，就直接單擊【安裝】按鈕，否則要按提示先排除問題。安裝完成后會(huì)自動(dòng)重新開機(jī)。2．創(chuàng)建子域后的驗(yàn)證（1）利用子域系統(tǒng)管理員或林根域系統(tǒng)管理員身份登錄D重新開機(jī)后，可在此域控制器上利用子域系統(tǒng)管理員beijingj\administrator或林根域系統(tǒng)管理員long\administrator身份登錄。如圖2-9所示。

圖2-9利用子域系統(tǒng)管理員或林根域系統(tǒng)管理員身份登錄（2）查看DNS管理器①完成域控制器的安裝后，因?yàn)樗谴擞蛑械牡谝慌_(tái)域控制器，故原本這臺(tái)計(jì)算機(jī)內(nèi)的本地用戶賬戶會(huì)被轉(zhuǎn)移到此域的ADDS數(shù)據(jù)庫內(nèi)。由于這臺(tái)域控制器同時(shí)也安裝了DNS服務(wù)器，因此其中會(huì)自動(dòng)建立如圖2-10所示的區(qū)域beijing.，它用來提供此區(qū)域的查詢服務(wù)。圖2-10DNS管理器—正向查找區(qū)域②此臺(tái)DNS服務(wù)器（）會(huì)將非域（包含）的查詢請(qǐng)求，通過轉(zhuǎn)發(fā)器轉(zhuǎn)給的DNS服務(wù)器（）來處理，您可以【在dc2的DNS管理器上單擊服務(wù)器DC2→單擊上方的屬性圖標(biāo)→通過轉(zhuǎn)發(fā)器選項(xiàng)卡來查看此設(shè)置】。如圖2-11所示。圖2-11“轉(zhuǎn)發(fā)器”選項(xiàng)卡③此服務(wù)器的首選DNS服務(wù)器會(huì)如圖2-12所示被改為指向自己（），其他DNS服務(wù)器指向的DNS服務(wù)器（）。圖2-12dc2安裝完成后DNS服務(wù)器設(shè)置的變化④在的DNS服務(wù)器內(nèi)也會(huì)自動(dòng)在區(qū)域下建立如圖2-13所示的委派域（beijing）與名稱服務(wù)器記錄（NS），以便當(dāng)它接收到查詢的請(qǐng)求時(shí)，可將其轉(zhuǎn)發(fā)給服務(wù)器來處理。圖2-13委派域（beijing）與名稱服務(wù)器記錄（NS）2．問題探究問題：根域的用戶是否可以在子域的成員計(jì)算機(jī)上登錄？子域的用戶是否可以在根域的成員計(jì)算機(jī)上登錄？回答：都可以。任何域的所有用戶，默認(rèn)都可在同一個(gè)林的其他域的成員計(jì)算機(jī)上登錄，但域控制器除外，因默認(rèn)只有隸屬于EnterpriseAdmins組（位于林根域內(nèi)）的用戶才有權(quán)限在所有域內(nèi)的域控制器上登錄。每一個(gè)域的系統(tǒng)管理員（DomainAdmins），雖然可以在所屬域的域控制器上登錄，但卻無法在其他域的域控制器上登錄，除非另外被賦予允許本地登錄的權(quán)限。請(qǐng)讀者思考：不妨在成員計(jì)算機(jī)上利用子域的用戶登錄，看一下會(huì)有什么結(jié)果。（先在上新建用戶jane，然后在ms1上使用子域用戶jane登錄。）登錄界面如圖2-14所示?？吹卿浭欠癯晒?。只要子域安裝成功，且委派正確，一定會(huì)登錄成功!圖2-14在ms1上使用子域賬戶登錄2.2.2任務(wù)2創(chuàng)建林中的第二個(gè)域樹在現(xiàn)有林中新建第二個(gè)（或更多個(gè)）域樹的方法為：先建立此域樹中的第一個(gè)域，而建立第一個(gè)域的方泫是通過建立第一臺(tái)域控制器的方式來實(shí)現(xiàn)的。假設(shè)我們要新建一個(gè)如圖2-15右側(cè)所示的域，由于這是該域樹中的第一個(gè)域，所以它是這個(gè)新域樹的根域。我們要將域樹加入到林中（是第一個(gè)域樹的根域的域名，也是整個(gè)林的林名稱）。圖2-15森林的網(wǎng)絡(luò)架構(gòu)圖可以通過建立圖2-15中域控制器的方式，來建立第二個(gè)域樹。但在建立第二個(gè)域樹前，更重要的工作是一定要熟悉DNS服務(wù)器相關(guān)內(nèi)容，特別是DNS服務(wù)器架構(gòu)。1．選擇適當(dāng)?shù)腄NS服務(wù)器架構(gòu)若要將域樹加入到林中，就必須在建立域控制器時(shí)能夠通過DNS服務(wù)器來找到林中的域命名操作主機(jī)（domainnamingoperationsmaster），否則無法建立域。域命名操作主機(jī)默認(rèn)由林中第一臺(tái)域控制器所扮演（詳見后面內(nèi)容），以圖2-15而言，就是。另外，在DNS服務(wù)器內(nèi)必須有一個(gè)名稱為的主要查找區(qū)域以便讓域的域控制器能夠?qū)⒆约旱怯浀酱藚^(qū)域內(nèi)。域與可以使用同一臺(tái)DNS服務(wù)器，也可以各自使用不同的DNS服務(wù)器。使用同一臺(tái)DNS服務(wù)器：請(qǐng)?jiān)诖伺_(tái)DNS服務(wù)器內(nèi)另外建立一個(gè)名稱為的主要區(qū)域，并啟用動(dòng)態(tài)更新功能。此時(shí)這臺(tái)DNS服務(wù)器內(nèi)同時(shí)擁有與兩個(gè)區(qū)域，這樣，和的成員計(jì)算機(jī)都可以通過此臺(tái)DNS服務(wù)器來找到對(duì)方。各自使用不同的DNS服務(wù)器，并通過區(qū)域傳送來復(fù)制記錄：請(qǐng)?jiān)诖伺_(tái)DNS服務(wù)器（見圖2-16右半部）內(nèi)建立一個(gè)名稱為的主要區(qū)域，并啟用動(dòng)態(tài)更新功能，您還需要在此臺(tái)DNS服務(wù)器內(nèi)另外建立一個(gè)名稱為的輔助區(qū)域，此區(qū)域內(nèi)的記錄需要通過區(qū)域傳送從域的DNS服務(wù)器（圖2-16左側(cè)）復(fù)制過來，它讓域的成員計(jì)算機(jī)可以找到域的成員計(jì)算機(jī)。圖2-16各自使用不同的DNS服務(wù)器，并通過區(qū)域傳送來復(fù)制記錄同時(shí)您也需要在域的DNS服務(wù)器內(nèi)另外建立一個(gè)名稱為的輔助區(qū)域，此區(qū)域內(nèi)的記錄也需要通過區(qū)域傳送從域的DNS服務(wù)器復(fù)制過來，它讓域的成員計(jì)算機(jī)可以找到域的成員計(jì)算機(jī)。

其他情況：我們前面所搭建的域環(huán)境是將DNS服務(wù)器直接安裝到域控制器上，因此其內(nèi)會(huì)自動(dòng)建立一個(gè)DNS區(qū)域（如圖2-17中左側(cè)的ActiveDirectory整合區(qū)域），接下來當(dāng)您要安裝的第一臺(tái)域控制器時(shí)，其默認(rèn)也會(huì)在這臺(tái)服務(wù)器上安裝DNS服務(wù)器，并自動(dòng)建立一個(gè)DNS區(qū)域（如圖2-17中右側(cè)的ActiveDirectory整合區(qū)域），而且還會(huì)自動(dòng)配置轉(zhuǎn)發(fā)器來將其他區(qū)域（包含）的查詢請(qǐng)求轉(zhuǎn)給圖中左側(cè)的DNS服務(wù)器，因此的成員計(jì)算機(jī)可以通過右側(cè)的DNS服務(wù)器來同時(shí)查詢與區(qū)域的成員計(jì)算機(jī)。不過您還必須在左側(cè)的DNS服務(wù)器內(nèi)自行建立一個(gè)輔助區(qū)域，此區(qū)域內(nèi)的記錄需要通過區(qū)域傳遞從右側(cè)的DNS服務(wù)器復(fù)制過來，它讓域的成員計(jì)算機(jī)可以找到域的成員計(jì)算機(jī)。圖2-17其他情況的DNS服務(wù)器架構(gòu)2．建立第二個(gè)域樹下面采用圖2-17的DNS架構(gòu)來建立林中第二個(gè)域樹，且通過將圖2-17中升級(jí)為域控制器的方式來建立此域樹，這臺(tái)服務(wù)器可以是獨(dú)立服務(wù)器或隸屬于其他域的現(xiàn)有成員服務(wù)器。

步驟1請(qǐng)先在圖2-17右上角的服務(wù)器上安裝WindowsServer2012R2，將其計(jì)算機(jī)名稱設(shè)置為dc5，IPv4地址等如圖2-15所示來設(shè)置（圖中采用TCP/IPv4）。注意將計(jì)算機(jī)名稱設(shè)置為dc5即可，等升級(jí)為域控制器后，它就會(huì)自動(dòng)被改為。另外，首選DNS服務(wù)器的IP地址請(qǐng)指向，以便通過它來找到林中的域命名操作主機(jī)（也就是第一臺(tái)域控制器dcl），等dc4升級(jí)為域控制器與安裝DNS服務(wù)器后，系統(tǒng)會(huì)自動(dòng)將其首選DNS服務(wù)器的口地址改為自己（）。步驟2在dc4上，打開服務(wù)器管理器，單擊儀表板處的添加角色和功能。

步驟3持續(xù)單擊【下一步】按鈕，在圖2-18中勾選ActiveDirectory城服務(wù)，單擊【添加功能】按鈕。圖2-18選擇服務(wù)器角色步驟4持續(xù)單擊【下一步】按鈕，直到確認(rèn)安裝所選內(nèi)容界面時(shí)單擊【安裝】按鈕。

步驟5圖2-19為完成安裝后的界面，請(qǐng)單擊“將此服務(wù)器提升為域控制器”鏈接。圖2-19安裝成功

步驟6如圖2-20所示，選擇將新域添加到現(xiàn)有林，域類型選擇樹域；輸入要加入的林名稱，輸入新域名后單擊【更改】按鈕。圖2-20選擇部署操作

步驟7如圖2-21所示，輸入有權(quán)限添加域樹的用戶賬戶（例如long\administrator）與密碼后單擊【確定】按鈕。返回到前一個(gè)界面后單擊【下一步】按鈕。圖2-21Windows安全

步驟8完成圖2-22中的設(shè)置后單擊【下一步】按鈕。圖2-22域控制器選項(xiàng)選擇域功能級(jí)別：此處假設(shè)選擇WindowsServer2012R2。默認(rèn)會(huì)直接在此服務(wù)器上安裝DNS服務(wù)器默認(rèn)會(huì)扮演全局鳊錄服務(wù)器的角色新域的第一臺(tái)域控制器不可以是只讀域控制器(RODC)選擇新域控制器所在的ADDS站點(diǎn)，

目前只有一個(gè)默認(rèn)的站點(diǎn)Default-First-Site-Name可供選擇設(shè)置目錄服務(wù)還原模式的系統(tǒng)管理員密碼（需符合復(fù)雜性要求）

步驟9

出現(xiàn)如圖2-23所示的界面表示安裝向?qū)д也坏礁赣?，因而無法設(shè)置父域?qū)⒉樵兊墓ぷ魑山o此臺(tái)DNS服務(wù)器。然而此為根域，它并不需要通過父域來委派，或者說它沒有父域，故直接單擊【下一步】按鈕即可。

步驟10在圖2-24中單擊【下一步】按鈕。圖中安裝向?qū)?huì)為該域樹設(shè)置一個(gè)NetBIOS格式的域名（不區(qū)分大小寫），客戶端也可以利用此NetBIOS名稱來訪問此域的資源。默認(rèn)NetBIOS域名為DNS域名中第一個(gè)句點(diǎn)左邊的文字，例如DNS名稱為，則NetBIOS名稱為smile。圖2-24NetBIOS名稱

步驟11在圖2-25中可直接單擊【下一步】按鈕。圖2-25指定ADDS數(shù)據(jù)庫、日志文件和SYSVOL的位置

步驟12在查看選項(xiàng)界面中單擊【下一步】按鈕。

步驟13在“先決條件檢查”的界面中，若順利通過檢查，就直接單擊【安裝】按鈕，否則請(qǐng)根據(jù)界面提示先排除問題。

步驟14安裝完成后會(huì)自動(dòng)重新啟動(dòng)?？稍诖擞蚩刂破魃侠糜蛴械南到y(tǒng)管理員smile\administrator或林根域系統(tǒng)管理員long\administrator身份登錄。2.第二個(gè)域樹安裝后的DNS服務(wù)器相關(guān)設(shè)置①完成域控制器的安裝后，因?yàn)樗谴擞蛑械牡谝慌_(tái)域控制器，故原本此計(jì)算機(jī)內(nèi)的本地用戶賬戶會(huì)被轉(zhuǎn)移到ADDS數(shù)據(jù)庫。它同時(shí)也安裝了DNS服務(wù)器，其內(nèi)會(huì)自動(dòng)建立如圖2-26所示的區(qū)域，用來提供此區(qū)域的查詢服務(wù)。圖2-26DNS管理器②

此DNS服務(wù)器會(huì)將非的所有其他區(qū)域（包含）的查詢請(qǐng)求通過轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)給的DNS服務(wù)器（IP地址為），而您可以在DNS管理控制臺(tái)內(nèi)通過【如圖2-27所示單擊服務(wù)器DC4→單擊上方的屬性圖標(biāo)→選擇圖中所示的轉(zhuǎn)發(fā)器選項(xiàng)卡來查看此設(shè)置】。

圖2-27DNS管理器—轉(zhuǎn)發(fā)器③

這臺(tái)服務(wù)器的首選DNS服務(wù)器的IP地址會(huì)如圖2-28所示被自動(dòng)改為指向自己（），而原本位于首進(jìn)DNS服務(wù)器的IP地址（）會(huì)被設(shè)置為備用DNS服務(wù)器。

圖2-27首選DNS服務(wù)器指向了自己④等一下要到DNS服務(wù)器內(nèi)建立一個(gè)輔助區(qū)域，以便讓域的成員計(jì)算機(jī)可以查詢到域的成員計(jì)算機(jī)。此區(qū)域內(nèi)的記錄將通過區(qū)域傳送從復(fù)制過來，不過我們需要先在內(nèi),設(shè)置允許此區(qū)域內(nèi)的記錄可以區(qū)域傳送給()：如圖2-28所示【選中區(qū)域→單擊上方的屬性圖標(biāo)→如圖所示通過區(qū)域傳送選項(xiàng)卡來設(shè)置】。圖2-28首先設(shè)置只允許計(jì)算機(jī)區(qū)域傳送（dc4上）⑤

接下來到這臺(tái)DNS服務(wù)器上添加正向輔助區(qū)域，并選擇從（04）來執(zhí)行區(qū)域傳送操作，也就是其主機(jī)服務(wù)器是(04)，圖2-29為完成后的界面，界面右側(cè)的記錄是從通過區(qū)域傳送傳送過來的。

圖2-29輔助區(qū)域完成區(qū)域復(fù)制2.2.3任務(wù)3刪除子域與域樹我們將利用圖2-30中左下角的域來說明如何刪除子域、同時(shí)利用右側(cè)的域來說明如何刪除域樹。刪除的方式是將域中的最后一臺(tái)域控制器降級(jí)，也就是將ADDS從該域控制器刪除。至于如何刪除額外域控制器與林根域已經(jīng)在項(xiàng)目2中介紹過，此處不再贅述。圖2-30ADDS網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D您必須是EnterpriseAdmins組內(nèi)的用戶才有權(quán)來刪除子域或域樹。由于刪除子域與域樹的步驟類似，因此下面利用刪除子域?yàn)槔齺碚f明，而且假設(shè)圖中的是這個(gè)域中的最后一臺(tái)域控制器。步驟如下。

步驟1到域控制器上利用long\Administrator身份（EnterpriseAdmins組的成員）登錄→打開服務(wù)器管理器→選中圖2-31中管理菜單下的【刪除角色和功能】。圖2-31【刪除角色和功能】

步驟2持續(xù)單擊【下一步】按鈕，直到出現(xiàn)圖2-32的界面時(shí)，取消勾選ActiveDirectory城服務(wù)，單擊【刪除功能】按鈕。然后單擊將“此域控制器降級(jí)”鏈接。圖2-31勾選“ActiveDirectory“,單擊【將此域控制器降級(jí)】鏈接

步驟3當(dāng)前登錄的用戶為long\Administrator，其有權(quán)刪除此域控制器，故請(qǐng)?jiān)趫D2-32中直接單擊—按鈕（否則需單擊鈕來輸入新的賬戶與密碼）。同時(shí)因它是此域的最后一臺(tái)域控制器，故需勾選“域中的最后一個(gè)域控制器”。圖2-32憑據(jù)

步驟4在圖2-33中勾選“繼續(xù)刪除”后單擊【下一步】按鈕。圖2-33警告信息

步驟5出現(xiàn)如圖2-34所示的界面時(shí)，可選擇是否要?jiǎng)h除DNS區(qū)域與應(yīng)用程序目錄分區(qū)。由于圖中選擇了將DNS區(qū)域刪除，因此也請(qǐng)將父域（）內(nèi)的DNS委派區(qū)域（beijing，參見圖2-13）一同刪除，也就是勾選“刪除DNS委派”。單擊【下一步】按鈕。圖2-33刪除選項(xiàng)

步驟6在圖2-34中，為這臺(tái)即將被降級(jí)為獨(dú)立服務(wù)器的計(jì)算機(jī)設(shè)置其本地Administrator的新密碼（需符合密碼復(fù)雜性要求）后單擊【下一步】按鈕。圖2-34新管理員密碼

步驟7在查看選項(xiàng)界面中單擊【降級(jí)】按鈕。

步驟8完成后會(huì)自動(dòng)重新啟動(dòng)計(jì)算機(jī)，請(qǐng)重新登錄。

步驟9在服務(wù)器管理器中單擊管理菜單下的【刪除角色和功能】。

步驟10持續(xù)單擊【下一步】按鈕直到出現(xiàn)如圖2-35所示的界面，取消勾選ActiveDirectory域服務(wù)，單擊【刪除功能】按鈕。圖2-35刪除服務(wù)器角色和功能圖2-36更改域控制器名稱

其中（主要計(jì)算機(jī)名稱）為當(dāng)前的舊計(jì)算機(jī)名稱，而為新計(jì)算機(jī)名稱，它們都必須是FQDN。上述命令會(huì)替這臺(tái)計(jì)算機(jī)另外添加DNS計(jì)算機(jī)名稱（與NetBIOS計(jì)算機(jī)名稱NEWDC4），并更新此計(jì)算機(jī)賬戶在ADDS中的SPN（ServicePrincipalName）屬性，也就是在這個(gè)SPN屬性內(nèi)同時(shí)擁有當(dāng)前的舊計(jì)算機(jī)名稱與新計(jì)算機(jī)名稱。注意新計(jì)算機(jī)名稱與舊計(jì)算機(jī)名稱的后綴需相同，例如都是。

步驟11回到刪除服務(wù)器角色界面時(shí)，確認(rèn)ActiveDirectory域服務(wù)已經(jīng)被取消勾選（也可以同時(shí)取消勾選DNS服務(wù)器）后單擊【下一步】安鈕。

步驟12出現(xiàn)刪除功能界面時(shí)，單擊【下一步】鈕。步驟13在確認(rèn)刪除選項(xiàng)界面中單擊【刪除】按鈕。

步驟14完成后，重新啟動(dòng)計(jì)算機(jī)。2.2.4任務(wù)4更改域控制器的計(jì)算機(jī)名稱若因?yàn)楣窘M織變更或?yàn)榱俗尮芾砉ぷ鞲鼮榉奖?，而需要更改域控制器的?jì)算機(jī)名稱，此時(shí)可以使用Netdom.exe程序。您必須至少是隸屬于DomainAdmins組內(nèi)的用戶，才有權(quán)更改域控制器的計(jì)算機(jī)名稱。下面范要將域控制器改名為。

步驟1以系統(tǒng)管理員身份到登錄→選中左下角的開始圖標(biāo)并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執(zhí)行下面命令（參見圖2-36）netdom computername /add:

步驟2可以通過執(zhí)行Adsiedit.msc來查看在ADDS內(nèi)添加的信息：【按+R鍵→運(yùn)行Adsiedit.msc→選中ADSI編輯器并單擊右鍵→連接到→直接單擊【確定】按鈕（采用默認(rèn)命名上下文）→如圖2-37所示展開到CN=DC4單擊上方內(nèi)容圖示→從圖中可看到另外添加了計(jì)算機(jī)名稱NEWDC4與】。

圖2-37查看修改名稱信息

步驟3如圖2-38所示繼續(xù)向下瀏覽到屬性servicePrincipaIName，雙擊它后可從圖中看到添加在SPN屬性內(nèi)與新計(jì)算機(jī)名稱有關(guān)的屬性值。圖2-38查看SPN屬性內(nèi)與新計(jì)算機(jī)名稱有關(guān)的屬性值

步驟4請(qǐng)等待一段足夠長(zhǎng)的時(shí)間，以便讓SPN屬性復(fù)制到此域內(nèi)的所有域控制器，而且管轄此域的所有DNS服務(wù)器都接收到新記錄后，再繼續(xù)下面刪除舊計(jì)算機(jī)名稱的步驟，否則因?yàn)橛行┛蛻舳送ㄟ^DNS服務(wù)器所查詢到的計(jì)算機(jī)名稱可能是舊的，同時(shí)其他域控制器可能仍然通過舊計(jì)算機(jī)名稱來與這臺(tái)域控制器通信，故若您先執(zhí)行下面刪除舊計(jì)算機(jī)名稱步驟，則它們利用舊計(jì)算機(jī)名稱來與這臺(tái)域控制器通信時(shí)會(huì)失敗，因?yàn)榕f計(jì)算機(jī)名稱已經(jīng)被刪除，因而會(huì)找不到這臺(tái)域控制器。

步驟5執(zhí)行下面命令（如圖2-39所示）：netdomcomputernamedc4.S/makeprimary:newdc4.此命令會(huì)將新計(jì)算機(jī)名稱設(shè)置為主要計(jì)算機(jī)名稱。圖2-39設(shè)置為主要計(jì)算機(jī)名稱

步驟6重新啟動(dòng)計(jì)算機(jī)。重啟計(jì)算機(jī)后，打開“DNS管理器”，發(fā)現(xiàn)在DNS服務(wù)器內(nèi)登記了新計(jì)算機(jī)名稱的記錄，但同時(shí)舊計(jì)算機(jī)的靜態(tài)記錄也一直存在。如圖2-39所示。圖2-39設(shè)置為主要計(jì)算機(jī)名稱

步驟7以系統(tǒng)管理員身份到登錄→選中左下角的開始圖標(biāo)并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執(zhí)行下面命令（如圖2-40所示）：netdomcomputernamenewdc4.S/remove:dc4.S此命令會(huì)將當(dāng)前的舊計(jì)算機(jī)名稱刪除，在您刪除此計(jì)算機(jī)名稱之前，客戶端計(jì)算機(jī)可以同時(shí)通過新、舊計(jì)算機(jī)名稱來找到這臺(tái)域控制器。圖2-40刪除當(dāng)前的舊計(jì)算機(jī)名稱打開DNS管理器，查看相關(guān)SRV記錄，發(fā)現(xiàn)已經(jīng)更新到，但舊計(jì)算機(jī)的靜態(tài)的主機(jī)記錄將一直存在，直到手工刪除。如圖2-41所示。圖2-41SRV記錄已自動(dòng)更新到新計(jì)算機(jī)名稱2.4習(xí)題一、選擇題1．公司有一個(gè)總部和一個(gè)分部。你將運(yùn)行MicrosoftWindowsServer2012的只讀域控制器(RODC)部署在分部。你需要確保分部的用戶能夠使用RODC登錄到域。你該怎么做？A.在分部再部署一個(gè)RODC B.在總部部署一臺(tái)橋頭服務(wù)器C.在RODC上配置密碼復(fù)制策略D.使用“ActiveDirectory站點(diǎn)和服務(wù)”控制臺(tái)減少所有連接對(duì)象的復(fù)制時(shí)間間隔2.公司有一個(gè)總部和一個(gè)分部,有一個(gè)單域的ActiveDirectory林。總部有兩個(gè)運(yùn)行WindowsServer2012的域控制器，并且分別名為DC1和DC2。分部有一臺(tái)WindowsServer2012只讀域控制器(RODC)，名為DC3。所有域控制器都承擔(dān)著DNS服務(wù)器角色，并都配置為ActiveDirectory集成區(qū)域。DNS區(qū)域只允許安全更新。你需要在DC3上啟用動(dòng)態(tài)DNS更新。你該怎么做？A.在DC3上運(yùn)行Ntdsutil.exe>DSBehavior命令。B.在DC3上運(yùn)行Dnscmd.exe/ZoneResetType命令。C.在DC3上將ActiveDirectory域服務(wù)重新安裝為可寫域控制器。D.在DC1上安裝自定義應(yīng)用程序目錄分區(qū)。配置該分區(qū)以存儲(chǔ)ActiveDirectory集成區(qū)域。2.你有一個(gè)ActiveDirectory域。所有域控制器都運(yùn)行WindowsServer2012，并且配置為DNS服務(wù)器。該域包含一個(gè)ActiveDirectory集成的DNS區(qū)域。你需要確保系統(tǒng)從DNS區(qū)域中自動(dòng)刪除過期的DNS記錄。你該怎么做？A.從區(qū)域的屬性中，啟用清理。B.從區(qū)域的屬性中，禁用動(dòng)態(tài)更新。C.從區(qū)域的屬性中，修改SOA記錄的TTL。D.從命令提示符下，運(yùn)行ipconfig/flushdns。4.有一臺(tái)運(yùn)行WindowsServer2012的域控制器，名為DC1。DC1被配置為

的DNS服務(wù)器。你在名為Server1的成員服務(wù)器上安裝了DNS服務(wù)器角色，然后你創(chuàng)建了

的標(biāo)準(zhǔn)輔助區(qū)域。你將DC1配置為該區(qū)域的主服務(wù)器。你需要確保Server1