Windows Server活動目錄企業(yè)應(yīng)用（微課版）（第2版） 課件 項目2 建立域和林

活動目錄企業(yè)應(yīng)用（微課版）項目2

建立域樹和林WindowsServer2.1相關(guān)知識創(chuàng)建子域通常用于以下幾種情況：一個已經(jīng)從公司中分離出來的獨立經(jīng)營的子公司。有些公司的部門或小組基于對特殊技術(shù)的需要，而與其他部門相對獨立地運行?；诎踩目紤]。創(chuàng)建子域的好處主要有以下幾個方面：便于管理自身的用戶和計算機，并允許采用不同于父域的管理策略。有利于子域資源的安全管理。在父子域環(huán)境中，由于父子域間會建立雙向可傳遞的父子信任關(guān)系，因此父域用戶默認可以使用子域的計算機；同理，子域用戶也可以使用父域的計算機。圖2-1是子域和目錄林的示意圖。圖2-1子域和目錄林的示意圖2.2項目設(shè)計及準備在開始建立域樹和林之前，若您對ActiveDirectory域服務(wù)（ADDS）的概念還不是很清楚，請先參考項目2的內(nèi)容?；谖疵镜那闆r，構(gòu)建如圖2-2所示的林結(jié)構(gòu)。此林內(nèi)包含左右兩個域樹。左邊的域樹：它是這個林內(nèi)的第一個域樹，其根域的域名為根域下有兩個子域，分別是與，林名稱以第一個域樹的根域名稱來命名，所以這個林的名稱就是。右邊的域樹：它是這個林內(nèi)的第二個域樹，其根域的域名為。根域下只有一個子域。建立域之前的準備工作與如何建立圖中第一個域的方法，都已經(jīng)在項目2中介紹過了。本項目將只介紹如何建立子域（例如圖中的）與第二個域樹（例如圖中的）。圖2-2ADDS網(wǎng)絡(luò)規(guī)劃拓撲圖2.3項目實施2.2.1任務(wù)1創(chuàng)建子域及驗證下面通過將圖2-2中升級為域控制器的方式來建立子域，這臺服務(wù)器可以是獨立服務(wù)器或隸屬于其他域的現(xiàn)有成員服務(wù)器。請先確定圖2-2中的根域已經(jīng)建立完成。1．創(chuàng)建子域

步驟1在dc2上以管理員賬戶登錄，打開“Internet協(xié)議版本4（TCP/IPv4）屬性”對話框，按圖2-2所示配置dc2計算機的IP地址、子網(wǎng)掩碼以及DNS服務(wù)器，其中DNS服務(wù)器一定要設(shè)置為自身的IP地址和父域的域控制器的IP地址。

步驟2添加“ActiveDirectory域服務(wù)”角色和功能的過程，請參見2.2.1小節(jié)中的“2.安裝ActiveDirectory域服務(wù)”，這里不再贅述。

步驟3啟動ActiveDirectory安裝向?qū)В▎臃椒ㄕ垍⒖?.2.2小節(jié)中的“4．安裝活動目錄”），當顯示“部署配置”窗口時，選擇【將新域添加到現(xiàn)有林】單選按鈕，單擊“未提供憑據(jù)”后面的【更改】按鈕，出現(xiàn)“Windows安全”對話框，輸入有權(quán)限的用戶：long\administrator及其密碼，如圖2-3所示。單擊【確定】按鈕。圖2-3“部署配置”窗口

步驟4出現(xiàn)提供憑據(jù)的“部署配置”界面，如圖2-4所示。請選擇或輸入父域：，鍵入新域名：beijing。（注意?。﹫D2-4提供憑據(jù)的“部署配置”界面

步驟5單擊【下一步】按鈕，顯示“域控制器選項”對話框。①選擇是否在此服務(wù)器上安裝DNS服務(wù)器（默認會）。②選擇是否將其設(shè)定為全局編錄服務(wù)器（默認會）。③選擇是否將其設(shè)置為只讀域控制器（默認不會）。④設(shè)置目錄服務(wù)還原模式的密碼。

步驟6單擊【下一步】按鈕，顯示如圖2-5所示的“DNS選項”的對話框，默認選中【創(chuàng)建DNS委派】復(fù)選按鈕。單擊【下一步】按鈕，設(shè)置“NetBIOS”名稱，單擊【下一步】按鈕。圖2-5指定DNS委派選項如果此處不選擇“創(chuàng)建DNS委派”選項,創(chuàng)建子域完成后,可以打開域的“DNS管理器”→右鍵單擊“”域→單擊“新建委派”（如圖2-6所示）→輸入被委派的子域名稱：beijing（如圖2-7所示）→單擊“添加”按鈕→輸入“”被委派的DNS服務(wù)器名稱→單擊“解析”按鈕→自動解析出此NS記錄的IP地址→單擊“確定”按鈕（如圖2-8所示），按提示完成DNS的區(qū)域委派。圖2-6新建委派圖2-7指定受委派域名圖2-8輸入受委派的權(quán)威DNS服務(wù)器名稱

步驟7持續(xù)單擊【下一步】按鈕，在“先決條件檢查”對話框中，如果順利通過檢查，就直接單擊【安裝】按鈕，否則要按提示先排除問題。安裝完成后會自動重新開機。2．創(chuàng)建子域后的驗證（1）利用子域系統(tǒng)管理員或林根域系統(tǒng)管理員身份登錄D重新開機后，可在此域控制器上利用子域系統(tǒng)管理員beijingj\administrator或林根域系統(tǒng)管理員long\administrator身份登錄。如圖2-9所示。

圖2-9利用子域系統(tǒng)管理員或林根域系統(tǒng)管理員身份登錄（2）查看DNS管理器①完成域控制器的安裝后，因為它是此域中的第一臺域控制器，故原本這臺計算機內(nèi)的本地用戶賬戶會被轉(zhuǎn)移到此域的ADDS數(shù)據(jù)庫內(nèi)。由于這臺域控制器同時也安裝了DNS服務(wù)器，因此其中會自動建立如圖2-10所示的區(qū)域beijing.，它用來提供此區(qū)域的查詢服務(wù)。圖2-10DNS管理器—正向查找區(qū)域②此臺DNS服務(wù)器（）會將非域（包含）的查詢請求，通過轉(zhuǎn)發(fā)器轉(zhuǎn)給的DNS服務(wù)器（）來處理，您可以【在dc2的DNS管理器上單擊服務(wù)器DC2→單擊上方的屬性圖標→通過轉(zhuǎn)發(fā)器選項卡來查看此設(shè)置】。如圖2-11所示。圖2-11“轉(zhuǎn)發(fā)器”選項卡③此服務(wù)器的首選DNS服務(wù)器會如圖2-12所示被改為指向自己（），其他DNS服務(wù)器指向的DNS服務(wù)器（）。圖2-12dc2安裝完成后DNS服務(wù)器設(shè)置的變化④在的DNS服務(wù)器內(nèi)也會自動在區(qū)域下建立如圖2-13所示的委派域（beijing）與名稱服務(wù)器記錄（NS），以便當它接收到查詢的請求時，可將其轉(zhuǎn)發(fā)給服務(wù)器來處理。圖2-13委派域（beijing）與名稱服務(wù)器記錄（NS）2．問題探究問題：根域的用戶是否可以在子域的成員計算機上登錄？子域的用戶是否可以在根域的成員計算機上登錄？回答：都可以。任何域的所有用戶，默認都可在同一個林的其他域的成員計算機上登錄，但域控制器除外，因默認只有隸屬于EnterpriseAdmins組（位于林根域內(nèi)）的用戶才有權(quán)限在所有域內(nèi)的域控制器上登錄。每一個域的系統(tǒng)管理員（DomainAdmins），雖然可以在所屬域的域控制器上登錄，但卻無法在其他域的域控制器上登錄，除非另外被賦予允許本地登錄的權(quán)限。請讀者思考：不妨在成員計算機上利用子域的用戶登錄，看一下會有什么結(jié)果。（先在上新建用戶jane，然后在ms1上使用子域用戶jane登錄。）登錄界面如圖2-14所示。看登錄是否成功。只要子域安裝成功，且委派正確，一定會登錄成功!圖2-14在ms1上使用子域賬戶登錄2.2.2任務(wù)2創(chuàng)建林中的第二個域樹在現(xiàn)有林中新建第二個（或更多個）域樹的方法為：先建立此域樹中的第一個域，而建立第一個域的方泫是通過建立第一臺域控制器的方式來實現(xiàn)的。假設(shè)我們要新建一個如圖2-15右側(cè)所示的域，由于這是該域樹中的第一個域，所以它是這個新域樹的根域。我們要將域樹加入到林中（是第一個域樹的根域的域名，也是整個林的林名稱）。圖2-15森林的網(wǎng)絡(luò)架構(gòu)圖可以通過建立圖2-15中域控制器的方式，來建立第二個域樹。但在建立第二個域樹前，更重要的工作是一定要熟悉DNS服務(wù)器相關(guān)內(nèi)容，特別是DNS服務(wù)器架構(gòu)。1．選擇適當?shù)腄NS服務(wù)器架構(gòu)若要將域樹加入到林中，就必須在建立域控制器時能夠通過DNS服務(wù)器來找到林中的域命名操作主機（domainnamingoperationsmaster），否則無法建立域。域命名操作主機默認由林中第一臺域控制器所扮演（詳見后面內(nèi)容），以圖2-15而言，就是。另外，在DNS服務(wù)器內(nèi)必須有一個名稱為的主要查找區(qū)域以便讓域的域控制器能夠?qū)⒆约旱怯浀酱藚^(qū)域內(nèi)。域與可以使用同一臺DNS服務(wù)器，也可以各自使用不同的DNS服務(wù)器。使用同一臺DNS服務(wù)器：請在此臺DNS服務(wù)器內(nèi)另外建立一個名稱為的主要區(qū)域，并啟用動態(tài)更新功能。此時這臺DNS服務(wù)器內(nèi)同時擁有與兩個區(qū)域，這樣，和的成員計算機都可以通過此臺DNS服務(wù)器來找到對方。各自使用不同的DNS服務(wù)器，并通過區(qū)域傳送來復(fù)制記錄：請在此臺DNS服務(wù)器（見圖2-16右半部）內(nèi)建立一個名稱為的主要區(qū)域，并啟用動態(tài)更新功能，您還需要在此臺DNS服務(wù)器內(nèi)另外建立一個名稱為的輔助區(qū)域，此區(qū)域內(nèi)的記錄需要通過區(qū)域傳送從域的DNS服務(wù)器（圖2-16左側(cè)）復(fù)制過來，它讓域的成員計算機可以找到域的成員計算機。圖2-16各自使用不同的DNS服務(wù)器，并通過區(qū)域傳送來復(fù)制記錄同時您也需要在域的DNS服務(wù)器內(nèi)另外建立一個名稱為的輔助區(qū)域，此區(qū)域內(nèi)的記錄也需要通過區(qū)域傳送從域的DNS服務(wù)器復(fù)制過來，它讓域的成員計算機可以找到域的成員計算機。

其他情況：我們前面所搭建的域環(huán)境是將DNS服務(wù)器直接安裝到域控制器上，因此其內(nèi)會自動建立一個DNS區(qū)域（如圖2-17中左側(cè)的ActiveDirectory整合區(qū)域），接下來當您要安裝的第一臺域控制器時，其默認也會在這臺服務(wù)器上安裝DNS服務(wù)器，并自動建立一個DNS區(qū)域（如圖2-17中右側(cè)的ActiveDirectory整合區(qū)域），而且還會自動配置轉(zhuǎn)發(fā)器來將其他區(qū)域（包含）的查詢請求轉(zhuǎn)給圖中左側(cè)的DNS服務(wù)器，因此的成員計算機可以通過右側(cè)的DNS服務(wù)器來同時查詢與區(qū)域的成員計算機。不過您還必須在左側(cè)的DNS服務(wù)器內(nèi)自行建立一個輔助區(qū)域，此區(qū)域內(nèi)的記錄需要通過區(qū)域傳遞從右側(cè)的DNS服務(wù)器復(fù)制過來，它讓域的成員計算機可以找到域的成員計算機。圖2-17其他情況的DNS服務(wù)器架構(gòu)2．建立第二個域樹下面采用圖2-17的DNS架構(gòu)來建立林中第二個域樹，且通過將圖2-17中升級為域控制器的方式來建立此域樹，這臺服務(wù)器可以是獨立服務(wù)器或隸屬于其他域的現(xiàn)有成員服務(wù)器。

步驟1請先在圖2-17右上角的服務(wù)器上安裝WindowsServer2012R2，將其計算機名稱設(shè)置為dc5，IPv4地址等如圖2-15所示來設(shè)置（圖中采用TCP/IPv4）。注意將計算機名稱設(shè)置為dc5即可，等升級為域控制器后，它就會自動被改為。另外，首選DNS服務(wù)器的IP地址請指向，以便通過它來找到林中的域命名操作主機（也就是第一臺域控制器dcl），等dc4升級為域控制器與安裝DNS服務(wù)器后，系統(tǒng)會自動將其首選DNS服務(wù)器的口地址改為自己（）。步驟2在dc4上，打開服務(wù)器管理器，單擊儀表板處的添加角色和功能。

步驟3持續(xù)單擊【下一步】按鈕，在圖2-18中勾選ActiveDirectory城服務(wù)，單擊【添加功能】按鈕。圖2-18選擇服務(wù)器角色步驟4持續(xù)單擊【下一步】按鈕，直到確認安裝所選內(nèi)容界面時單擊【安裝】按鈕。

步驟5圖2-19為完成安裝后的界面，請單擊“將此服務(wù)器提升為域控制器”鏈接。圖2-19安裝成功

步驟6如圖2-20所示，選擇將新域添加到現(xiàn)有林，域類型選擇樹域；輸入要加入的林名稱，輸入新域名后單擊【更改】按鈕。圖2-20選擇部署操作

步驟7如圖2-21所示，輸入有權(quán)限添加域樹的用戶賬戶（例如long\administrator）與密碼后單擊【確定】按鈕。返回到前一個界面后單擊【下一步】按鈕。圖2-21Windows安全

步驟8完成圖2-22中的設(shè)置后單擊【下一步】按鈕。圖2-22域控制器選項選擇域功能級別：此處假設(shè)選擇WindowsServer2012R2。默認會直接在此服務(wù)器上安裝DNS服務(wù)器默認會扮演全局鳊錄服務(wù)器的角色新域的第一臺域控制器不可以是只讀域控制器(RODC)選擇新域控制器所在的ADDS站點，

目前只有一個默認的站點Default-First-Site-Name可供選擇設(shè)置目錄服務(wù)還原模式的系統(tǒng)管理員密碼（需符合復(fù)雜性要求）

步驟9

出現(xiàn)如圖2-23所示的界面表示安裝向?qū)д也坏礁赣?，因而無法設(shè)置父域?qū)⒉樵兊墓ぷ魑山o此臺DNS服務(wù)器。然而此為根域，它并不需要通過父域來委派，或者說它沒有父域，故直接單擊【下一步】按鈕即可。

步驟10在圖2-24中單擊【下一步】按鈕。圖中安裝向?qū)樵撚驑湓O(shè)置一個NetBIOS格式的域名（不區(qū)分大小寫），客戶端也可以利用此NetBIOS名稱來訪問此域的資源。默認NetBIOS域名為DNS域名中第一個句點左邊的文字，例如DNS名稱為，則NetBIOS名稱為smile。圖2-24NetBIOS名稱

步驟11在圖2-25中可直接單擊【下一步】按鈕。圖2-25指定ADDS數(shù)據(jù)庫、日志文件和SYSVOL的位置

步驟12在查看選項界面中單擊【下一步】按鈕。

步驟13在“先決條件檢查”的界面中，若順利通過檢查，就直接單擊【安裝】按鈕，否則請根據(jù)界面提示先排除問題。

步驟14安裝完成后會自動重新啟動?？稍诖擞蚩刂破魃侠糜蛴械南到y(tǒng)管理員smile\administrator或林根域系統(tǒng)管理員long\administrator身份登錄。2.第二個域樹安裝后的DNS服務(wù)器相關(guān)設(shè)置①完成域控制器的安裝后，因為它是此域中的第一臺域控制器，故原本此計算機內(nèi)的本地用戶賬戶會被轉(zhuǎn)移到ADDS數(shù)據(jù)庫。它同時也安裝了DNS服務(wù)器，其內(nèi)會自動建立如圖2-26所示的區(qū)域，用來提供此區(qū)域的查詢服務(wù)。圖2-26DNS管理器②

此DNS服務(wù)器會將非的所有其他區(qū)域（包含）的查詢請求通過轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)給的DNS服務(wù)器（IP地址為），而您可以在DNS管理控制臺內(nèi)通過【如圖2-27所示單擊服務(wù)器DC4→單擊上方的屬性圖標→選擇圖中所示的轉(zhuǎn)發(fā)器選項卡來查看此設(shè)置】。

圖2-27DNS管理器—轉(zhuǎn)發(fā)器③

這臺服務(wù)器的首選DNS服務(wù)器的IP地址會如圖2-28所示被自動改為指向自己（），而原本位于首進DNS服務(wù)器的IP地址（）會被設(shè)置為備用DNS服務(wù)器。

圖2-27首選DNS服務(wù)器指向了自己④等一下要到DNS服務(wù)器內(nèi)建立一個輔助區(qū)域，以便讓域的成員計算機可以查詢到域的成員計算機。此區(qū)域內(nèi)的記錄將通過區(qū)域傳送從復(fù)制過來，不過我們需要先在內(nèi),設(shè)置允許此區(qū)域內(nèi)的記錄可以區(qū)域傳送給()：如圖2-28所示【選中區(qū)域→單擊上方的屬性圖標→如圖所示通過區(qū)域傳送選項卡來設(shè)置】。圖2-28首先設(shè)置只允許計算機區(qū)域傳送（dc4上）⑤

接下來到這臺DNS服務(wù)器上添加正向輔助區(qū)域，并選擇從（04）來執(zhí)行區(qū)域傳送操作，也就是其主機服務(wù)器是(04)，圖2-29為完成后的界面，界面右側(cè)的記錄是從通過區(qū)域傳送傳送過來的。

圖2-29輔助區(qū)域完成區(qū)域復(fù)制2.2.3任務(wù)3刪除子域與域樹我們將利用圖2-30中左下角的域來說明如何刪除子域、同時利用右側(cè)的域來說明如何刪除域樹。刪除的方式是將域中的最后一臺域控制器降級，也就是將ADDS從該域控制器刪除。至于如何刪除額外域控制器與林根域已經(jīng)在項目2中介紹過，此處不再贅述。圖2-30ADDS網(wǎng)絡(luò)規(guī)劃拓撲圖您必須是EnterpriseAdmins組內(nèi)的用戶才有權(quán)來刪除子域或域樹。由于刪除子域與域樹的步驟類似，因此下面利用刪除子域為例來說明，而且假設(shè)圖中的是這個域中的最后一臺域控制器。步驟如下。

步驟1到域控制器上利用long\Administrator身份（EnterpriseAdmins組的成員）登錄→打開服務(wù)器管理器→選中圖2-31中管理菜單下的【刪除角色和功能】。圖2-31【刪除角色和功能】

步驟2持續(xù)單擊【下一步】按鈕，直到出現(xiàn)圖2-32的界面時，取消勾選ActiveDirectory城服務(wù)，單擊【刪除功能】按鈕。然后單擊將“此域控制器降級”鏈接。圖2-31勾選“ActiveDirectory“,單擊【將此域控制器降級】鏈接

步驟3當前登錄的用戶為long\Administrator，其有權(quán)刪除此域控制器，故請在圖2-32中直接單擊—按鈕（否則需單擊鈕來輸入新的賬戶與密碼）。同時因它是此域的最后一臺域控制器，故需勾選“域中的最后一個域控制器”。圖2-32憑據(jù)

步驟4在圖2-33中勾選“繼續(xù)刪除”后單擊【下一步】按鈕。圖2-33警告信息

步驟5出現(xiàn)如圖2-34所示的界面時，可選擇是否要刪除DNS區(qū)域與應(yīng)用程序目錄分區(qū)。由于圖中選擇了將DNS區(qū)域刪除，因此也請將父域（）內(nèi)的DNS委派區(qū)域（beijing，參見圖2-13）一同刪除，也就是勾選“刪除DNS委派”。單擊【下一步】按鈕。圖2-33刪除選項

步驟6在圖2-34中，為這臺即將被降級為獨立服務(wù)器的計算機設(shè)置其本地Administrator的新密碼（需符合密碼復(fù)雜性要求）后單擊【下一步】按鈕。圖2-34新管理員密碼

步驟7在查看選項界面中單擊【降級】按鈕。

步驟8完成后會自動重新啟動計算機，請重新登錄。

步驟9在服務(wù)器管理器中單擊管理菜單下的【刪除角色和功能】。

步驟10持續(xù)單擊【下一步】按鈕直到出現(xiàn)如圖2-35所示的界面，取消勾選ActiveDirectory域服務(wù)，單擊【刪除功能】按鈕。圖2-35刪除服務(wù)器角色和功能圖2-36更改域控制器名稱

其中（主要計算機名稱）為當前的舊計算機名稱，而為新計算機名稱，它們都必須是FQDN。上述命令會替這臺計算機另外添加DNS計算機名稱（與NetBIOS計算機名稱NEWDC4），并更新此計算機賬戶在ADDS中的SPN（ServicePrincipalName）屬性，也就是在這個SPN屬性內(nèi)同時擁有當前的舊計算機名稱與新計算機名稱。注意新計算機名稱與舊計算機名稱的后綴需相同，例如都是。

步驟11回到刪除服務(wù)器角色界面時，確認ActiveDirectory域服務(wù)已經(jīng)被取消勾選（也可以同時取消勾選DNS服務(wù)器）后單擊【下一步】安鈕。

步驟12出現(xiàn)刪除功能界面時，單擊【下一步】鈕。步驟13在確認刪除選項界面中單擊【刪除】按鈕。

步驟14完成后，重新啟動計算機。2.2.4任務(wù)4更改域控制器的計算機名稱若因為公司組織變更或為了讓管理工作更為方便，而需要更改域控制器的計算機名稱，此時可以使用Netdom.exe程序。您必須至少是隸屬于DomainAdmins組內(nèi)的用戶，才有權(quán)更改域控制器的計算機名稱。下面范要將域控制器改名為。

步驟1以系統(tǒng)管理員身份到登錄→選中左下角的開始圖標并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執(zhí)行下面命令（參見圖2-36）netdom computername /add:

步驟2可以通過執(zhí)行Adsiedit.msc來查看在ADDS內(nèi)添加的信息：【按+R鍵→運行Adsiedit.msc→選中ADSI編輯器并單擊右鍵→連接到→直接單擊【確定】按鈕（采用默認命名上下文）→如圖2-37所示展開到CN=DC4單擊上方內(nèi)容圖示→從圖中可看到另外添加了計算機名稱NEWDC4與】。

圖2-37查看修改名稱信息

步驟3如圖2-38所示繼續(xù)向下瀏覽到屬性servicePrincipaIName，雙擊它后可從圖中看到添加在SPN屬性內(nèi)與新計算機名稱有關(guān)的屬性值。圖2-38查看SPN屬性內(nèi)與新計算機名稱有關(guān)的屬性值

步驟4請等待一段足夠長的時間，以便讓SPN屬性復(fù)制到此域內(nèi)的所有域控制器，而且管轄此域的所有DNS服務(wù)器都接收到新記錄后，再繼續(xù)下面刪除舊計算機名稱的步驟，否則因為有些客戶端通過DNS服務(wù)器所查詢到的計算機名稱可能是舊的，同時其他域控制器可能仍然通過舊計算機名稱來與這臺域控制器通信，故若您先執(zhí)行下面刪除舊計算機名稱步驟，則它們利用舊計算機名稱來與這臺域控制器通信時會失敗，因為舊計算機名稱已經(jīng)被刪除，因而會找不到這臺域控制器。

步驟5執(zhí)行下面命令（如圖2-39所示）：netdomcomputernamedc4.S/makeprimary:newdc4.此命令會將新計算機名稱設(shè)置為主要計算機名稱。圖2-39設(shè)置為主要計算機名稱

步驟6重新啟動計算機。重啟計算機后，打開“DNS管理器”，發(fā)現(xiàn)在DNS服務(wù)器內(nèi)登記了新計算機名稱的記錄，但同時舊計算機的靜態(tài)記錄也一直存在。如圖2-39所示。圖2-39設(shè)置為主要計算機名稱

步驟7以系統(tǒng)管理員身份到登錄→選中左下角的開始圖標并單擊右鍵→命令提示符（或打開WindowsPowerShell窗口）→執(zhí)行下面命令（如圖2-40所示）：netdomcomputernamenewdc4.S/remove:dc4.S此命令會將當前的舊計算機名稱刪除，在您刪除此計算機名稱之前，客戶端計算機可以同時通過新、舊計算機名稱來找到這臺域控制器。圖2-40刪除當前的舊計算機名稱打開DNS管理器，查看相關(guān)SRV記錄，發(fā)現(xiàn)已經(jīng)更新到，但舊計算機的靜態(tài)的主機記錄將一直存在，直到手工刪除。如圖2-41所示。圖2-41SRV記錄已自動更新到新計算機名稱2.4習題一、選擇題1．公司有一個總部和一個分部。你將運行MicrosoftWindowsServer2012的只讀域控制器(RODC)部署在分部。你需要確保分部的用戶能夠使用RODC登錄到域。你該怎么做？A.在分部再部署一個RODC B.在總部部署一臺橋頭服務(wù)器C.在RODC上配置密碼復(fù)制策略D.使用“ActiveDirectory站點和服務(wù)”控制臺減少所有連接對象的復(fù)制時間間隔2.公司有一個總部和一個分部,有一個單域的ActiveDirectory林。總部有兩個運行WindowsServer2012的域控制器，并且分別名為DC1和DC2。分部有一臺WindowsServer2012只讀域控制器(RODC)，名為DC3。所有域控制器都承擔著DNS服務(wù)器角色，并都配置為ActiveDirectory集成區(qū)域。DNS區(qū)域只允許安全更新。你需要在DC3上啟用動態(tài)DNS更新。你該怎么做？A.在DC3上運行Ntdsutil.exe>DSBehavior命令。B.在DC3上運行Dnscmd.exe/ZoneResetType命令。C.在DC3上將ActiveDirectory域服務(wù)重新安裝為可寫域控制器。D.在DC1上安裝自定義應(yīng)用程序目錄分區(qū)。配置該分區(qū)以存儲ActiveDirectory集成區(qū)域。2.你有一個ActiveDirectory域。所有域控制器都運行WindowsServer2012，并且配置為DNS服務(wù)器。該域包含一個ActiveDirectory集成的DNS區(qū)域。你需要確保系統(tǒng)從DNS區(qū)域中自動刪除過期的DNS記錄。你該怎么做？A.從區(qū)域的屬性中，啟用清理。B.從區(qū)域的屬性中，禁用動態(tài)更新。C.從區(qū)域的屬性中，修改SOA記錄的TTL。D.從命令提示符下，運行ipconfig/flushdns。4.有一臺運行WindowsServer2012的域控制器，名為DC1。DC1被配置為

的DNS服務(wù)器。你在名為Server1的成員服務(wù)器上安裝了DNS服務(wù)器角色，然后你創(chuàng)建了

的標準輔助區(qū)域。你將DC1配置為該區(qū)域的主服務(wù)器。你需要確保Server1