实战域树部署，Active Directory系列之十九

实战子域部署

       域树是 Active Directory 针对 NT4 的传统域模型所进行的重要改进。在 NT4 时代的域模型中，每个域都要使用没有层次结构的 NETBIOS 名称，而且域和域之间缺少关联，只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素，首先域和域之间很难根据域名判断彼此间的隶属关系，例如 beijing 域和 shanghai 域；其次由于域之间的信任关系不可传递，在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有 10 个域，那我们在 10 个域之间要建立 45 次信任关系才能让这些域相互之间都完全信任。

         域树针对以上问题进行了很好的解决，域树的父域和子域之间由于使用了层次分明的 DNS 域名，只要根据域名我们就可以判断出两个域的隶属关系，例如有两个域 abc.com 和 test.abc.com ，我们可以很轻易地判断出后者是前者的子域。域树在信任关系上也有很好的改进，域树内的各个域之间会自动建立起双向可传递的信任关系，显然这是一个效率上的重大改进。

         既然域树如此重要，那我们将通过一个实例为大家介绍如何部署一个包括父域和子域的两层域树。拓扑如下图所示，父域为 itet.com ，域控制器和 DNS 都是 Florence 。子域是 shanghai.itet.com ，域控制器和 DNS 都是 Firenze 。父域已经创建完毕，我们将为大家介绍如何部署子域。如果父域和子域都使用同一个 DNS 服务器，部署起来会更容易。但我们考虑到有可能子域希望能拥有独立的域名解析权，这样很多工作会更容易开展，因此我们决定在子域也设置一个独立的 DNS 服务器。

一   DNS 委派

         首先我们要考虑 DNS 的委派问题。目前， itet.com 的解析权归 Florence ，也就是说 Florence 可以解析所有以 itet.com 结尾的域名。如果我们希望 Firenze 能够解析 shanghai.itet.com ，那么我们必须在 Florence 上对 Firenze 进行委派，授权 Firenze 可以解析 shanghai.itet.com 。我们在 Florence 上打开 DNS 管理器，如下图所示，右键点击 itet.com ，选择“新建委派”。

        

  如下图所示，我们准备对 shanghai.itet.com 区域进行委派。

 

接下来要设置委派对象，如下图所示，点击“添加”按钮来设置被委派的 DNS 服务器。

 

如下图所示，我们输入被委派 DNS 服务器的完全合格域名： firenze.shanghai.itet.com ，同时输入这个完全合格域名对应的 IP 地址，点击“添加”按钮就可以结束委派了。

 

二   创建 DNS 区域

         Florence 对 Fienze 进行了解析委派之后， Firenze 就可以解析以 shanghai.itet.com 结尾的域名了。接下来我们可以在 Firenze 上创建一个 DNS 区域： shanghai.itet.com ，如下图所示，在 Firenze 上打开 DNS 管理器，选择“新建区域”。

 

区域类型为主要区域。

 

区域名称和 Firenze 获得委派解析的域名一致，是 shanghai.itet.com 。

 

由于 Firenze 要为子域提供 DNS 解析服务，因此这个区域一定要允许动态更新，我们知道，在创建子域的 AD 时需要在 DNS 区域中主动注册 A 记录， Cname 记录和 SRV 记录。

 

如下图所示，创建完区域后，我们发现 DNS 区域中的 NS 记录和 SOA 记录都有问题。问题在于这些记录都不是用完全合格域名描述的，我们需要对这些记录进行修改。

 

首先我们修改 NS 记录，我们用 firenze.shanghai.itet.com 来描述 NS 记录，同时用 IP 地址 192.168.11.102 对这个记录进行解析。

 

修改完 NS 记录后，我们再来修改 SOA 记录，如下图所示，我们在 SOA 记录中也用 firenze.shanghai.itet.com 来描述主服务器。 NS 和 SOA 记录描述完后， DNS 方面的准备工作就算是完成了。

 

三   部署子域

         DNS 的准备工作就绪后，接下来我们就可以在 Firenze 上进行子域的部署了。我们在 Firenze 上运行 Dcpromo ，如下图所示，准备开始 Active Directory 的部署。

 

我们选择部署一个新域的域控制器。

 

接下来在域的类型中选择部署一个现有域树中的子域。

部署子域，需要得到域林管理员的授权。 tet.com 是域林内的第一个域，因此 itet.com 的域管理员拥有整个域树的管理权限。如下图所示，我们用 itet.com 的域管理员完成身份验证。

父域是 itet.com ，子域的名称设置为 shanghai.itet.com 。

 

子域的 NETBIOS 名称为 shanghai 。

 

由于是在测试环境下，因此 Active Directory 数据库和日志的存储路径我们使用默认路径就可以了。

 

Sysvol 文件夹的路径也可以使用默认值。

 

注意，下图中的 DNS 诊断结果已经显示出了 Firenze 已经为子域做好了解析准备，这说明我们之前进行的 DNS 准备工作是行之有效的。

 

摘要中显示了我们准备部署一个子域，如果摘要中的结论正确，点击下一步就可以开始子域的部署了。

 

经过了一段时间的部署后，子域被创建出来，如下图所示，点击“完成”就可以结束子域的部署了。

 

创建完子域后，我们在 Florence 上打开 Active Directory 域和信任关系，如下图所示，我们可以很清楚地看到父域和子域之间的层次关系。

 

利用 Active Directory 域和信任关系这个管理工具，在 itet.com 域的属性中查看域信任关系，我们看到 itet.com 和 shanghai.itet.com 之间已经自动创建出了双向可传递的信任关系。

 

至此，我们完成了一棵两层域树的搭建。对一般规模的企业来说，域树已经足以支持企业的管理规模了，只有对特大型企业，才有可能会使用到多棵域树。在后续的内容中我们会介绍如何在域林中加入第二棵域树。