Step by step 活动目录中添加一个子域

原创地址：http://www.cnblogs.com/jfzhu/p/4006545.html

转载请注明出处

前面介绍过如何创建一个域，下面再介绍一下如何在该父域中添加一个子域。

活动目录中的森林是eindhoven.local，根域也是eindhoven.local，子域为gagelbosch.eindhoven.local。

和创建根域域控制器类似，子域的域控制器也要先设置静态IP，DNS IP为父域DNS。

更改计算机名

重启计算机，然后为计算机添加AD DS的新角色。如何添加AD DS角色，请参见《Step by step 如何创建一个新森林》。

装好后AD DS后，要将该计算机提升为域控制器。

安装好后，计算机自动重启，然后以gagelbosch\administrator的身份登陆，查看一下计算机的DNS，发现第一选择已经是loop back地址，因为该计算机自己也已经是一台DNS服务器了。

打开DNS Manager

右键点击GAGELBOSCH-DC1节点，选择Properties

子域DNS服务器有一个指向父域DNS服务器的forwarder，也就是说，子域DNS服务器无法解析父域的名字（比如server1.eindhoven.local），会forward up给父域DNS服务器来处理。

登陆到父域DNS服务器上，打开DNS Manager，发现多了delegation，也就是说，父域DNS服务器无法解析的子域的名字（比如server2.gagelbosch.eindhoven.local），会delegate down给子域DNS服务器来处理。

关于父域子域DNS服务器间的关系，可以用下图来表示：

父域和子域之间，系统会自动创建一个双向可传递的信任关系（参见《活动目录的信任关系 》），所以子域中的用户在给予权限后，是可以访问父域中的资源的。

假设在子域中，有一个用户：

在父域域控制器中，打开 Active Directory Users and Computers，然后点击View –> Advanced Features。

然后在左边的面板中选择Domain Controllers，在右边的面板中右键点击EINDHOVEN-DC1 –> Properties

然后选择Security

点击Add按钮，然后在弹出的对话框中，将From this location改为gagelbosch.eindhoven.local，在下面的object name中输入brenda，然后点击Check Names，系统会自动在子域中查找到Brenda Patimkin这个用户。

总结：

(1) 安装子域的控制器和根域控制器很类似，添加AD DS角色，提升计算机为域控制器，但是dcpromo的时候，deployment option为add a new domain to an existing forest，domain type为child domain。

(2) 安装完子域域控制器后，DNS也自动装好了，子域DNS服务器会forward up到父域DNS服务器，父域DNS服务器会delegate down到子域DNS服务器。