三、建立其它域控制器
　　前面我们讨论了“建立第一个域中的第一台域控制器”，分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
（1）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
　　将成为附加DC的计算机，不必非得先加入域。
　　DNS指向已有DC所用DNS服务器，以便找到已有DC。安装结束后，一般应该手动在本机上再装一个DNS服务器，以 实现DNS的容错。
（2）选择：现有域的额外域控制器
（3）输入域管理员帐号，如：administrator，password，mcse.com（或mcse）。
　　常见找不到域的出错提示：域“mcse.com”不是AD域，或用于域的AD域控制器无法联系上。
　　解决：确保DNS指向已有DC所用DNS的服务器。
　　其它：Ping一下，检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
（4）输入域名，如：mcse.com。
（5）指定AD库和日志文件位置
（6）指定sysvol文件夹位置
（7）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（8）目录服务恢复模式的管理员密码
（9）几分后，安装完成，需要重启。
（10）手动在本机上安装DNS服务器，以实现DNS的容错。
　　 A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统（DNS）。
　　 B、开始/程序/管理工具/DNS
　　 C、正向搜索区域/右键/新建区域，建议选择“AD集成区域”，区域名：已有区域的名称，如mcse.com。 自动生成起始授权机构（SOA）、名称服务器（NS）、主机（A）三条记录，但此时SRV记录并未被复制过来。需要等 待5-15分钟后，利用刷新或重新加载就可以看到复制过来的DNS记录了（对于03马上就可以看到复制过来的全部DNS记 录）。

深入讨论：
　　03和2000比，功能更强大了。但在域和AD的体系结构上并没有什么大的变化，而且MS的产品十分讲究向前兼容。 在一个域中可以既有2000DC，又有03DC；也可以既有2000DNS，又有03DNS，并且DC间的AD复制，DNS间的区域传输， 都好像没有版本差异一样。
　　在我们这里要说的就是：2000可作为03域的附加DC，03也可以作为2000域的附加DC，但第二种情况需要在2000DC （SP2及更高）上运行03光盘/I386/adprep命令来做准备。
具体第一步：adprep /forestprep进行林准备，第二步adprep /domainprep进行域准备。

2、建立子域
（1）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
　　DNS指向林根域已有DC所用DNS服务器，以便找到已有DC。
　　保证域命名主控必须有效，它默认在林根域的第一台DC上，且具有林唯一性。利用管理工具“AD域和信任关系” 可转移域命名主控。
（2）选择：新域的域控制器，下一步，在现有的树中创建一个新的子域
（3）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
　　常见出错提示：域“mcse.com”不是AD域，或用于域的AD域控制器无法联系上。解决方法见前。
（4）输入父域名，如：mcse.com；输入子域名，如sub，注意不要输成sub.mcse.com。
（5）指定AD库和日志文件位置
（6）指定sysvol文件夹位置
（7）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（8）目录服务恢复模式的管理员密码
（9）几分后，安装完成，需要重启。
　　如果域命名主控失效将会出现如下出错提示：“由于以下原因，操作失败：AD无法与域命名主机xxx联系。指定 的服务器无法运行指定的操作。”
　　解决：保证域命名主控联机，如果确信其已无法正常工作，可强制传给林内的任意一个DC，子域的DC也可以。原 来的主机将必须被重做系统后，才可连入网络，以保证域命名主控的林唯一性。

深入讨论：
　　关于子域（子Domain）所对应的DNS子区域（子zone）是否委派的问题。（以下简称：子区域）
　　如果网络规模不是很大，虽然实现了子域，但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委 派了。可以把区域、子区域都放在同一个DNS服务器上，由同一名管理员来管理就可以了。默认值即如此，不需要手 动设置。
如果网络规模较大，且二级单位需要能够控制自己的DNS子区域，比如自己增加www1,www2……这样的主机记录；在自 己的子区域下再建子区域。这种情况下就需要委派子区域了，由二级单位的DNS管理员自己来管理。否则二级单位涉 及DNS的每一个小变化，都需要找总部DNS管理员批准。
　　子区域委派，操作步骤如下：（最好按如下步骤进行，不容易出问题）
　　A、DNS指向林根域（如：mcse.com）已有DC所用DNS服务器
　　B、利用AD安装向导，安装子域（如：sub.mcse.com），重启机。
　　C、在林根DNS控制台上查看，确保已在mcse.com生成子文件夹sub，且sub下有4个以下划线开头的，保存有SRV记 录的子文件夹（_msdcs、_sites、_tcp、_udp）已生成；sub下还应有如下2条A记录：（第二条记录如果未生成，手 动补上也可以。）

（与父文件夹相同）主机 IP
　　　　　　SUBdc 主机 IP

　　D、在父域（如：mcse.com）右键/新建委派/下一步/子区域名：sub。（不必担心重名，因为委派完成后，灰颜 色的委派的sub夹将取代黄颜色的sub夹，但注意操作过程中会共存一段时间）接下来，指定负责子区域的名称服务器 ：SUBdc.sub.mcse.com及它的IP，以生成粘合记录，下一步，完成。
　　E、在子域DC上安装DNS，操作：开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统（DNS）。
　　 F、开始/程序/管理工具/DNS
　　 G、正向搜索区域/右键/新建区域，建议选择“AD集成区域”，区域名：sub.mcse.com。自动生成SOA、NS 、A、A四条记录（后两条A记录，如C步中述），此时SRV记录也被复制过来了。
　　H、在DNS服务器的计算机名上/右键/属性/转发器：指向上一级或林根DNS的IP。
　　I、将子域DC的DNS指向自己，以后加入子域的计算机也使用子域的DNS，以实现DNS分担负荷。（当然，子域中的 计算机可以使用林中任一台DNS，也都好使）
注意：
　　由上述过程，大家可以了解到，做为被委派的DNS子区域的二级单位DNS管理员，是不能随意更改自己的DNS服务 器的。比如修改DNS服务器的IP，需要通知上级管理员，及时更新委派子区域的NS记录，否则林中其它用户就会找不 到你这个子域的计算机。

3、新域—新树—加入林
　　此种情况平常较少用到，因为一般企业只用一套命名体系，很少采用两上或两个以上的树。微软举的例子：一个 大企业兼并另一企业，并且想保留它的命名体系，技术上对应实现就是目录树和DNS名称空间。
　　 说明：此种应该预先建好DNS正向搜索区，因为它不能像建子域那样，利用AD向导自动在已有DNS区域中创 建子区域。下面以前文中的mcse.com，sub.mcse.com，my.com图示为例进行说明。
（1）在林根DNS上，与mcse.com并列，创建区域my.com，最好选AD集成区域。
（2）以本机管理员身份登录，在独立或成员服务器上，启动AD安装向导。
说明：
DNS指向林根域已有DC所用DNS服务器，并保证域命名主控必须有效。
（3）选择：新域—新树—加入林
（4）输入林管理员帐号，如：administrator，password，mcse.com（或mcse）。
说明：
输入的欲登录的林根域名，也就告诉了系统要加入哪个林。
（5）输入新域的DNS全名，如：my.com；域NetBIOS名：MY。
（6）指定AD库和日志文件位置
（7）指定sysvol文件夹位置
（8）一般选：“与Windows 2000服务器之前的版本相兼容的权限”
（9）目录服务恢复模式的管理员密码
（10）几分后，安装完成，需要重启。
说明：
　　用预建DNS这种方式加入林，使用的是林根上已有DNS服务器，所以此计算机在林根DNS的my.com区域下，仅生成 一条主机（A）记录（如需要可手动添加：treedc 主机 IP），SOA和NS记录都是林根DNS服务器，但在my. com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷，如想实现，利用辅助区域 来做。
　　实验中发现：万不可像全新安装那样，在安装过程中，选择在本地安装一个DNS，这样将会这把个树根域安装成 一个独立的林根域。原因吗？去问微软吧。