项目2-建立域和林.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,活动目录企业应用（微课版）,项目,2,建立域树和林,杨云 主编,W,indows Server,2.1,相关知识,创建子域通常用于以下几种情况：,一个已经从公司中分离出来的独立经营的子公司。,有些公司的部门或小组基于对特殊技术的需要，而与其他部门相对独立地运行。,基于安全的考虑。,创建子域的好处主要有以下几个方面：,便于管理自身的用户和计算机，并允许采用不同于父域的管理策略。,有利于子域资源的安全管理。,在父子域环境中，由于父子域间会建立双向可传递的父子信任关系，因此父域用户默认可以使用子域的计算机；同理，子域用户也可以使用父域的计算机。图,2-1,是子域和目录林的示意图。,图,2-1,子域和目录林的示意图,2.2,项目设计及准备,在开始建立域树和林之前，若您对,Active Directory,域服务（,AD DS,）的概念还不是很清楚，请先参考项目,2,的内容。,基于未名公司的情况，构建如图,2-2,所示的林结构。此林内包含左右两个域树。,左边的域树：它是这个林内的第一个域树，其根域的域名为,根域下有两个子域，分别是,与,，林名称以第一个域树的根域名称来命名，所以这个林的名称就是,。,右边的域树：它是这个林内的第二个域树，其根域的域名为,。根域下只有一个子域,。,建立域之前的准备工作与如何建立图中第一个域,的方法，都已经在项目,2,中介绍过了。本项目将只介绍如何建立子域（例如图中的,）与第二个域树（例如图中的,）。,图,2-2 AD DS,网络规划拓扑图,2.3,项目实施,2.2.1,任务,1,创建子域及验证,下面通过将图,2-2,中,升级为域控制器的方式来建立子域,，这台服务器可以是独立服务器或隶属于其他域的现有成员服务器。请先确定图,2-2,中的根域,已经建立完成。,1,创建子域,步骤,1,在,dc2,上以管理员账户登录，打开“,Internet,协议版本,4,（,TCP/IPv4,）属性”对话框，按图,2-2,所示配置,dc2,计算机的,IP,地址、子网掩码以及,DNS,服务器，其中,DNS,服务器一定要设置为自身的,IP,地址和父域的域控制器的,IP,地址。,步骤,2,添加“,Active Directory,域服务”角色和功能的过程，请参见,2.2.1,小节中的“,2.,安装,Active Directory,域服务”，这里不再赘述。,步骤,3,启动,Active Directory,安装向导（启动方法请参考,2.2.2,小节中的“,4,安装活动目录”），当显示“部署配置”窗口时，选择【将新域添加到现有林】单选按钮，单击“未提供凭据”后面的【更改】按钮，出现“,Windows,安全”对话框，输入有权限的用户：,longadministrator,及其密码，如图,2-3,所示。单击【确定】按钮。,图,2-3,“部署配置”窗口,步骤,4,出现提供凭据的“部署配置”界面，如图,2-4,所示。请选择或输入父域：,，键入新域名：,beijing,。（注意！）,图,2-4,提供凭据的“部署配置”界面,步骤,5,单击【下一步】按钮，显示“域控制器选项”对话框。,选择是否在此服务器上安装,DNS,服务器（默认会）。,选择是否将其设定为全局编录服务器（默认会）。,选择是否将其设置为只读域控制器（默认不会）。,设置目录服务还原模式的密码。,步骤,6,单击【下一步】按钮，显示如图,2-5,所示的“,DNS,选项”的对话框，默认选中【创建,DNS,委派】复选按钮。单击【下一步】按钮，设置“,NetBIOS,”名称，单击【下一步】按钮。,图,2-5,指定,DNS,委派选项,如果此处不选择,“,创建,DNS,委派,”,选项,创建子域完成后,可以打开,域,的“,DNS,管理器,”右键单击“,”,域单击“,新建委派,”（如图,2-6,所示）输入被委派的子域名称：,beijing,（如图,2-7,所示）单击“添加”按钮输入“,”,被委派的,DNS,服务器名称单击“解析”按钮自动解析出此,NS,记录的,IP,地址单击,“,确定,”,按钮（如图,2-8,所示），按提示完成,DNS,的区域委派。,图,2-6,新建委派,图,2-7,指定受委派域名,图,2-8,输入受委派的权威,DNS,服务器名称,步骤,7,持续单击,【,下一步,】,按钮，在,“,先决条件检查,”,对话框中，如果顺利通过检查，就直接单击,【,安装,】,按钮，否则要按提示先排除问题。安装完成后会自动重新开机。,2,创建子域后的验证,（,1,）利用子域系统管理员或林根域系统管理员身份登录,D,重新开机后，可在此域控制器上利用子域系统管理员,beijingjadministrator,或林根域系统管理员,longadministrator,身份登录。如图,2-9,所示。,图,2-9,利用子域系统管理员或林根域系统管理员身份登录,（,2,）查看,DNS,管理器,完成域控制器的安装后，因为它是此域中的第一台域控制器，故原本这台计算机内的本地用户账户会被转移到此域的,AD DS,数据库内。由于这台域控制器同时也安装了,DNS,服务器，因此其中会自动建立如图,2-10,所示的区域,beijing,，它用来提供此区域的查询服务。,图,2-10 DNS,管理器,正向查找区域,此台,DNS,服务器（,）会将非,域（包含,）的查询请求，通过转发器转给,的,DNS,服务器,（,192.168.10.1,）来处理，您可以【在,dc2,的,DNS,管理器,上单击服务器,DC2,单击上方的,属性,图标通过,转发器选项卡,来查看此设置】。如图,2-11,所示。,图,2-11,“转发器”选项卡,此服务器的首选,DNS,服务器会如图,2-12,所示被改为指向自己（,127.0.0.1,），其他,DNS,服务器指向,的,DNS,服务器,（,192.168.10.1,）。,图,2-12 dc2,安装完成后,DNS,服务器设置的变化,在,的,DNS,服务器,内也会自动在区域,下建立如图,2-13,所示的委派域（,beijing,）与名称服务器记录（,NS,），以便当它接收到查询,的请求时，可将其转发给服务器,来处理。,图,2-13,委派域（,beijing,）与名称服务器记录（,NS,）,2,问题探究,问题,：根域,的用户是否可以在子域,的成员计算机上登录？子域,的用户是否可以在根域,的成员计算机上登录？,回答,：都可以。任何域的所有用户，默认都可在同一个林的其他域的成员计算机上登录，但域控制器除外，因默认只有隶属于,Enterprise Admins,组（位于林根域,内）的用户才有权限在所有域内的域控制器上登录。每一个域的系统管理员（,Domain Admins,），虽然可以在所属域的域控制器上登录，但却无法在其他域的域控制器上登录，除非另外被赋予,允许本地登录,的权限。,请读者思考,：不妨在,成员计算机上利用子域的用户登录，看一下会有什么结果。（先在,上新建用户,jane,，然后在,ms1,上使用子域用户,jane,登录。）登录界面如图,2-14,所示。看登录是否成功。只要子域安装成功，且委派正确，一定会登录成功,!,图,2-14,在,ms1,上使用子域账户登录,2.2.,2,任务,2,创建林中的第二个域树,在现有林中新建第二个（或更多个）域树的方法为：先建立此域树中的第一个域，而建立第一个域的方泫是通过建立第一台域控制器的方式来实现的。,假设我们要新建一个如图,2-15,右侧所示的域,，由于这是该域树中的第一个域，所以它是这个新域树的根域。我们要将,域树加入到林,中（,是第一个域树的根域的域名，也是整个林的林名称）。,图,2-15,森林的网络架构图,可以通过建立图,2-15,中域控制器,的方式，来建立第二个域树。但在建立第二个域树前，更重要的工作是一定要熟悉,DNS,服务器相关内容，特别是,DNS,服务器架构。,1,选择适当的,DNS,服务器架构,若要将,域树加入到林,中，就必须在建立域控制器,时能够通过,DNS,服务器来找到林中的域命名操作主机（,domain naming operations master,），否则无法建立域,。域命名操作主机默认由林中第一台域控制器所扮演（,详见后面内容,），以图,2-15,而言，就是,。,另外，在,DNS,服务器内必须有一个名称为,的主要查找区域以便让域,的域控制器能够将自己登记到此区域内。域,与,可以使用同一台,DNS,服务器，也可以各自使用不同的,DNS,服务器。,使用同一台,DNS,服务器：请在此台,DNS,服务器内另外建立一个名称为,的主要区域，并启用动态更新功能。此时这台,DNS,服务器内同时拥有,与,两个区域，这样，,和,的成员计算机都可以通过此台,DNS,服务器来找到对方。,各自使用不同的,DNS,服务器，并通过区域传送来复制记录：请在此台,DNS,服务器（见图,2-16,右半部）内建立一个名称为,的主要区域，并启用动态更新功能，您还需要在此台,DNS,服务器内另外建立一个名称为,的辅助区域，此区域内的记录需要通过区域传送从域,的,DNS,服务器（图,2-16,左侧）复制过来，它让域,的成员计算机可以找到域,的成员计算机。,图,2-16,各自使用不同的,DNS,服务器，并通过区域传送来复制记录,同时您也需要在域,的,DNS,服务器内另外建立一个名称为,的辅助区域，此区域内的记录也需要通过区域传送从域,的,DNS,服务器复制过来，它让域,的成员计算机可以找到域,的成员计算机。,其他情况：我们前面所搭建的,域环境是将,DNS,服务器直接安装到域控制器上，因此其内会自动建立一个,DNS,区域,（如图,2-17,中左侧的,Active Directory,整合区域,），接下来当您要安装,的第一台域控制器时，其默认也会在这台服务器上安装,DNS,服务器，并自动建立一个,DNS,区域,（如图,2-17,中右侧的,Active Directory,整合区域,），而且还会自动配置转发器来将其他区域（包含,）的查询请求转给图中左侧的,DNS,服务器，因此,的成员计算机可以通过右侧的,DNS,服务器来同时查询,与,区域的成员计算机。,不过您还必须在左侧的,DNS,服务器内自行建立一个,辅助区域，此区域内的记录需要通过区域传递从右侧的,DNS,服务器复制过来，它让域,的成员计算机可以找到域,的成员计算机。,图,2-17,其他情况的,DNS,服务器架构,2,建立第二个域树,下面采用图,2-17,的,DNS,架构来建立林中第二个域树,，且通过将图,2-17,中,升级为域控制器的方式来建立此域树，这台服务器可以是独立服务器或隶属于其他域的现有成员服务器。,步骤,1,请先在图,2-17,右上角的服务器,上安装,Windows Server 2012 R2,，将其计算机名称设置为,dc5,，,IPv4,地址等如图,2-15,所示来设置（图中采用,TCP/IPv4,）。注意将计算机名称设置为,dc5,即可，等升级为域控制器后，它就会自动被改为,。另外，首选,DNS,服务器的,IP,地址请指向,192.168.10.1,，以便通过它来找到林中的域命名操作主机（也就是第一台域控制器,dcl,），等,dc4,升级为域控制器与安装,DNS,服务器后，系统会自动将其首选,DNS,服务器的口地址改为自己（,127.0.0.1,）。,步骤,2,在,dc4,上，打开服务器管理器，单击仪表板处的添加角色和功能。,步骤,3,持续单击【下一步】按钮，在图,2-18,中勾选,Active Directory,城服务，单击【添加功能】按钮。,图,2-18,选择服务器角色,步骤,4,持续单击【下一步】按钮，直到确认安装所选内容界面时单击【安装】按钮。,步骤,5,图,2-19,为完成安装后的界面，请单击“,将此服务器提升为域控制器”,链接。,图,2-19,安装成功,步骤,6,如图,2-20,所示，选择将新域添加到现有林，域类型选择树域；输入要加入的林名称,，输入新域名,后单击【更改】按钮。,图,2-20,选择部署操作,步骤,7,如图,2-21,所示，输入有权限添加域树的用户账户（例如,longadministrator,）与密码后单击【确定】按钮。返回到前一个界面后单击【下一步】按钮。,图,2-21 Windows,安全,步骤,8,完成图,2-22,中的设置后单击【下一步】按钮。,图,2-22,域控制器选项,选择域功能级别：此处假设选择,Windows Server 2012 R2,。,默认会直接在此服务器上安装,DNS,服务器,默认会扮演全局鳊录服务器的角色,新域的第一台域控制器不可以是只读域控制器,(RODC),选择新域控制器所在的,AD DS,站点，,目前只有一个默认的站点,Default-First-Site-Name,可供选择,设置目录服务还原模式的系统管理员密码（需符合复杂性要求）,步骤,9,出现如图,2-23,所示的界面表示安装向导找不到父域，因而无法设置父域将查询,的工作委派给此台,DNS,服务器。然而此,为根域，它并不需要通过父域来委派，或者说它没有父域，故直接单击,【,下一步,】,按钮即可,。,步骤,10,在图,2-24,中单击【下一步】按钮。图中安装向导会为该域树设置一个,NetBIOS,格式的域名（不区分大小写），客户端也可以利用此,NetBIOS,名称来访问此域的资源。默认,NetBIOS,域名为,DNS,域名中第一个句点左边的文字，例如,DNS,名称为,，则,NetBIOS,名称为,smile,。,图,2-24 NetBIOS,名称,步骤,11,在图,2-25,中可直接单击【下一步】按钮。,图,2-25,指定,AD DS,数据库、日志文件和,SYSVOL,的位置,步骤,12,在查看选项界面中单击【下一步】按钮。,步骤,13,在“,先决条件检查,”的界面中，若顺利通过检查，就直接单击【安装】按钮，否则请根据界面提示先排除问题。,步骤,14,安装完成后会自动重新启动。可在此域控制器上利用域有,的系统管理员,smileadministrator,或林根域系统管理员,longadministrator,身份登录。,2.,第二个域树安装后的,DNS,服务器相关设置,完成域控制器的安装后，因为它是此域中的第一台域控制器，故原本此计算机内的本地用户账户会被转移到,AD DS,数据库。它同时也安装了,DNS,服务器，其内会自动建立如图,2-26,所示的区域,，用来提供此区域的查询服务。,图,2-26 DNS,管理器,此,DNS,服务器会将非,的所有其他区域（包含,）的查询请求通过转发器转发给,的,DNS,服务器（,IP,地址为,192.168.10.1,），而您可以在,DNS,管理控制台内通过,【,如图,2-27,所示单击服务器,DC4,单击上方的属性图标,选择图中所示的转发器选项卡来查看此设置,】,。,图,2-27 DNS,管理器,转发器,这台服务器的首选,DNS,服务器的,IP,地址会如图,2-28,所示被自动改为指向自己（,127.0.0.1,），而原本位于首进,DNS,服务器的,IP,地址（,192.168.10.1,）会被设置为备用,DNS,服务器。,图,2-27,首选,DNS,服务器指向了自己,等一下要到,DNS,服务器,内建立一个辅助区域,，以便让域,的成员计算机可以查询到域,的成员计算机。此区域内的记录将通过区域传送从,复制过来，不过我们需要先在,内,设置允许此区域内的记录可以区域传送给,(192.168.10.1),：如图,2-28,所示【选中区域,单击上方的属性图标如图所示通过,区域传送,选项卡来设置】。,图,2-28,首先设置只允许,192.168.10.1,计算机区域传送（,dc4,上）,接下来到,这台,DNS,服务器上添加正向辅助区域,，并选择从,（,192.168.10.104,）来执行区域传送操作，也就是其主机服务器是,(192.168.10.104),，图,2-29,为完成后的界面，界面右侧的记录是从,通过区域传送传送过来的。,图,2-29,辅助区域,完成区域复制,2.2.,3,任务,3,删除子域与域树,我们将利用图,2-30,中左下角的域,来说明如何删除子域、同时利用右侧的域,来说明如何删除域树。删除的方式是将域中的最后一台域控制器降级，也就是将,AD DS,从该域控制器删除。至于如何删除额外域控制器,与林根域,已经在项目,2,中介绍过，此处不再赘述,。,图,2-30 AD DS,网络规划拓扑图,您必须是,Enterprise Admins,组内的用户才有权来删除子域或域树。由于删除子域与域树的步骤类似，因此下面利用删除子域,为例来说明，而且假设图中的,是这个域中的最后一台域控制器。步骤如下。,步骤,1,到域控制器,上利用,longAdministrator,身份（,Enterprise Admins,组的成员）登录打开服务器管理器选中图,2-31,中管理菜单下的【删除角色和功能】。,图,2-31,【删除角色和功能】,步骤,2,持续单击,【,下一步,】,按钮，直到出现图,2-32,的界面时，取消勾选,Active Directory,城服务,，单击,【,删除功能,】,按钮。然后单击将,“,此域控制器降级,”,链接。,图,2-31,勾选,“,Active Directory,“,单击,【,将此域控制器降级,】,链接,步骤,3,当前登录的用户为,longAdministrator,，其有权删除此域控制器，故请在图,2-32,中直接单击,按钮（否则需单击 钮来输入新的账户与密码）。同时因它是此域的最后一台域控制器，故需勾选,“,域中的最后一个域控制器,”,。,图,2-32,凭据,步骤,4,在图,2-33,中勾选,“,继续删除,”,后单击,【,下一步,】,按钮。,图,2-33,警告信息,步骤,5,出现如图,2-34,所示的界面时，可选择是否要删除,DNS,区域与应用程序目录分区。由于图中选择了将,DNS,区域删除，因此也请将父域（,）内的,DNS,委派区域（,beijing,，参见图,2-13,）一同删除，也就是勾选,“,删除,DNS,委派,”,。单击,【,下一步,】,按钮。,图,2-33,删除选项,步骤,6,在图,2-34,中，为这台即将被降级为独立服务器的计算机设置其本地,Administrator,的新密码（需符合密码复杂性要求）后单击,【,下一步,】,按钮。,图,2-34,新管理员密码,步骤,7,在查看选项界面中单击【降级】按钮。,步骤,8,完成后会自动重新启动计算机，请重新登录。,步骤,9,在服务器管理器中单击管理菜单下的【,删除角色和功能,】。,步骤,10,持续单击【下一步】按钮直到出现如图,2-35,所示的界面，取消勾选,Active Directory,域服务，单击【,删除功能,】按钮。,图,2-35,删除服务器角色和功能,图,2-36,更改域控制器名称,其中,（主要计算机名称）为当前的旧计算机名称，而,为新计算机名称，它们都必须是,FQDN,。上述命令会替这台计算机另外添加,DNS,计算机名称,（与,NetBIOS,计算机名称,NEWDC4,），并更新此计算机账户在,AD DS,中的,SPN,（,Service Principal Name,）属性，也就是在这个,SPN,属性内同时拥有当前的旧计算机名称与新计算机名称。注意新计算机名称与旧计算机名称的后缀需相同，例如都是,。,步骤,11,回到,删除服务器角色,界面时，确认,Active Directory,域服务已经被取消勾选（也可以同时取消勾选,DNS,服务器）后单击【下一步】安钮。,步骤,12,出现,删除功能,界面时，单击【下一步】钮。,步骤,13,在确认,删除选项,界面中单击【删除】按钮。,步骤,14,完成后，重新启动计算机。,2.2.,4,任务,4,更改域控制器的计算机名称,若因为公司组织变更或为了让管理工作更为方便，而需要更改域控制器的计算机名称，此时可以使用,Netdom.exe,程序。您必须至少是隶属于,Domain Admins,组内的用户，才有权更改域控制器的计算机名称。下面范要将域控制器,改名为,。,步骤,1,以系统管理员身份到,登录选中左下角的开始图标并单击右键命令提示符（或打开,Windows PowerShell,窗口）执行下面命令（参见图,2-36,）,netdom computername/add:,步骤,2,可以通过执行,Adsiedit.msc,来查看在,AD DS,内添加的信息：,【,按,+R,键运行,Adsiedit.msc,选中,ADSI,编辑器并单击右键连接到直接单击,【,确定,】,按钮（采用默认命名上下文）如图,2-37,所示展开到,CN=DC4,单击上方内容图示从图中可看到另外添加了计算机名称,NEWDC4,与,】,。,图,2-37,查看修改名称信息,步骤,3,如图,2-38,所示继续向下浏览到属性,servicePrincipaIName,，双击它后可从图中看到添加在,SPN,属性内与新计算机名称有关的属性值。,图,2-38,查看,SPN,属性内与新计算机名称有关的属性值,步骤,4,请等待一段足够长的时间，以便让,SPN,属性复制到此域内的所有域控制器，而且管辖此域的所有,DNS,服务器都接收到新记录后，再继续下面删除旧计算机名称的步骤，否则因为有些客户端通过,DNS,服务器所查询到的计算机名称可能是旧的，同时其他域控制器可能仍然通过旧计算机名称来与这台域控制器通信，故若您先执行下面删除旧计算机名称步骤，则它们利用旧计算机名称来与这台域控制器通信时会失败，因为旧计算机名称已经被删除，因而会找不到这台域控制器。,步骤,5,执行下面命令（如图,2-39,所示）：,netdom computername dc4.S /makeprimary:newdc4.,此命令会将新计算机名称,设置为主要计算机名称。,图,2-39,设置,为主要计算机名称,步骤,6,重新启动计算机。,重启计算机后，打开“,DNS,管理器”，发现在,DNS,服务器内登记了新计算机名称的记录，但同时旧计算机的静态记录也一直存在。如图,2-39,所示。,图,2-39,设置,为主要计算机名称,步骤,7,以系统管理员身份到,登录选中左下角的开始图标并单击右键命令提示符（或打开,Windows PowerShell,窗口）执行下面命令（如图,2-40,所示）：,netdom computername newdc4.S /remove:dc4.S,此命令会将当前的旧计算机名称删除，在您删除此计算机名称之前，客户端计算机可以同时通过新、旧计算机名称来找到这台域控制器。,图,2-40,删除当前的旧计算机名称,打开,DNS,管理器，查看相关,SRV,记录，发现已经更新到,，但旧计算机的静态的主机记录将一直存在，直到手工删除。如图,2-41,所示。,图,2-41 SRV,记录已自动更新到新计算机名称,2.4,习题,一、选择题,1,公司有一个总部和一个分部。你将运行,Microsoft Windows Server 2012,的只读域控制器,(RODC),部署在分部。你需要确保分部的用户能够使用,RODC,登录到域。你该怎么做？,A.,在分部再部署一个,RODCB.,在总部部署一台桥头服务器,C.,在,RODC,上配置密码复制策略,D.,使用,“,Active Directory,站点和服务,”,控制台减少所有连接对象的复制时间间隔,2.,公司有一个总部和一个分部,有一个单域的,Active Directory,林。总部有两个运行,Windows Server 2012,的域控制器，并且分别名为,DC1,和,DC2,。分部有一台,Windows Server 2012,只读域控制器,(RODC),，名为,DC3,。所有域控制器都承担着,DNS,服务器角色，并都配置为,Active Directory,集成区域。,DNS,区域只允许安全更新。你需要在,DC3,上启用动态,DNS,更新。你该怎么做？,A.,在,DC3,上运行,Ntdsutil.exe DS Behavior,命令。,B.,在,DC3,上运行,Dnscmd.exe/ZoneResetType,命令。,C.,在,DC3,上将,Active Directory,域服务重新安装为可写域控制器。,D.,在,DC1,上安装自定义应用程序目录分区。配置该分区以存储,Active Directory,集成区域。,2.,你有一个,Active Directory,域。所有域控制器都运行,Windows Server 2012,，并且配置为,DNS,服务器。该域包含一个,Active Directory,集成的,DNS,区域。你需要确保系统从,DNS,区域中自动删除过期的,DNS,记录。你该怎么做？,A.,从区域的属性中，启用清理。,B.,从区域的属性中，禁用动态更新。,C.,从区域的属性中，修改,SOA,记录的,TTL,。,D.,从命令提示符下，运行,ipconfig/flushdns,。,4.,有一台运行,Windows Server 2012,的域控制器，名为,DC1,。,DC1,被配置为,的,DNS,服务器。你在名为,Server1,的成员服务器上安装了,DNS,服务器角色，然后你创建了,的标准辅助区域。你将,DC1,配置为该区域的主服务器。你需要确保,Server1,收到来自,DC1,的区域复制。你该怎么做？,A.,在,Server1,上，添加条件转发器。,B.,在,DC1,上，修改,区域的权限。,C.,在,DC1,上，修改,区域的区域传送设置。,D.,将,Server1,计算机账户添加到,DNSUpdateProxy,组。,5.,网络由一个,Active Directory,林组成，该林包含一个名为,的域。所有域控制器都运行,Windows Server 2012,，并且配置为,DNS,服务器。你有两个,Active Directory,集成区域：,和,。你需要确保用户能够修改,区域中的记录。你必须防止用户修改,区域中的,SOA,记录。你该怎么做？,A.,从“,DNS,管理器”控制台中，修改,区域的权限。,B.,从“,DNS,管理器”控制台中，修改,区域的权限。,C.,从“,Active Directory,用户和计算机”控制台中，运行“控制委派向导”。,D.,从“,Active Directory,用户和计算机”控制台中，修改,Domain Controllers,组织单位,(OU),的权限。,6.,网络包含一个,Active Directory,林。所有域控制器都运行,Windows Server 2012,，并且都配置为,DNS,服务器。你有一个,的,Active Directory,集成区域。你有一台基于,Unix,的,DNS,服务器。你需要配置,Windows Server 2012,环境，以允许,区域传送到基于,Unix,的,DNS,服务器。应在“,DNS,管理器”控制台中执行什么操作？,A.,禁用递归。,B.,创建存根区域。,C.,创建辅助区域。,D.,启用,BIND,辅助域。,二、简答题,1,你正在分支机构中部署域控制器。该分支机构没有高度安全的服务器机房，因此你对服务器的安全性有所担忧。为了加强域控制器部署的安全性，你可以利用哪两种,Windows Server 2012,功能？,2,你正在分支机构中部署,RODC,。你需要确保，即使分支机构的,WAN,连接不可用，分支机构中的所有用户仍可完成身份验证。但只有在分支机构中正常登录的用户才能如此。你应该如何配置密码复制策略？,2.,你需要使用从介质安装选项来安装域控制器，需要执行哪些步骤来完成此过程？,4,客户端计算机如何确定自己位于哪个站点？,5.,列出,Active Directory,集成区域的至少三项益处。,6,Active Directory,集成区域动态更新的默认状态是什么？标准主要区域动态更新的默认状态是什么？哪些组有权执行安全动态更新？,