Windows 2000/03域和活動目錄

本文縮略詞語

clearcase/" target="_blank" >cccccc cellSpacing=2 cellPadding=3 width="100%" bgColor=#ffffff border=1>

MS：Microsoft 微軟公司 95：Windows 95 98：Windows 98 XP：Windows XP NT：Windows NT Server 2000：Windows 2000 Server 03： Windows 2003 Server S：Server AS：Advanced Server

AD：Active Directory 即活動目錄 DC：Domain Controller 即域控制器 GC：Global Catalog 全局編錄 TS：Terminal Service 終端服務 PDC：Windows NT Server域中的主域控制器 BDC：Windows NT Server域中的備份控制器 SAM庫：安全帳號管理器數據庫 FQDN：完全有效域名，如：mcse.com NetBIOS名稱：形如mcse

　　本文的目的，是作為域和AD的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網管能對域和AD有一個全面的了解，并利用此文入門，將所管理的網絡實現一個基于域的管理模式。

一、認識Windows的域
　　本小節重點從理論上闡述域的概念、作用和Windows中域的產生。
　　一臺Windows計算機，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工作組是MS的概念，一般的普遍稱謂是對等網。工作組通常是一個由不多于10臺計算機組成的邏輯集合，如果要管理更多的計算機，MS推薦你使用域的模式進行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網絡管理的工作量達到最小。當然這里的10臺只是一個參考值，11臺甚至20臺，如果你不想進行集中的管理，那么你仍然可以使用工作組模式。
　　工作組的特點就是實現簡單，不需要域控制器DC，每臺計算機自己管理自己，適用于距離很近的有限數目的計算機。另外工作組名并沒有太多的實際意義，只是在網上鄰居的列表中實現一個分組而已；再就是對于“計算機瀏覽服務”，每一個工作組中，會自動推選出一個主瀏覽器，負責維護本工作組所有計算機的NetBIOS名稱列表。用戶可以使用默認的workgroup，也可以任意起個名字，同一工作組或不同工作組在訪問時也沒有什么分別。
　　域（Domain）是一個共用“目錄服務數據庫”的計算機和用戶的集合，實現起來要復雜一些，至少需要一臺計算機安裝NT/2000/03 Server版本使其充當DC，來實現集中式的管理。
　　若考慮到容錯的話，至少需要兩臺。對于NT4域就是一臺PDC（具有唯一性），一至多臺BDC，對于2000/03域，已經沒有PDC和BDC的概念，要容錯就需要兩至多臺DC。
　　域是邏輯分組，與網絡的物理拓撲無關，可以很小，比如只有一臺DC；也可以很大，包括遍布世界各地的計算機，比如大型跨國公司網絡上的域（當然實際中他們多采用多域結構，還可以利用AD站點來優化AD復制）。
　　這個“目錄服務數據庫”，在NT4時，保存用戶帳號名稱和密碼等安全安全信息，以及安全規則設置，又被稱作安全帳號管理（SAM）數據庫，簡稱SAM庫。在非DC上的本地的SAM庫與DC上域所用的SAM庫類似，只不過對于NT4域的SAM庫文件，保存有整個域的用戶和計算機，用“域用戶管理器”和“服務器管理器”來管理，本地的SAM庫文件，保存有本地機的用戶，由“用戶管理器”來管理。
　　從2000開始，MS引入了活動目錄AD，DC通過AD來提供目錄的服務，例如它負責維護AD數據庫、審核用戶的賬戶和密碼是否正確、將AD數據庫復制到其它的DC等。AD庫的核心文件就是winnt\ntds\ntds.dit文件。注意組策略的具體設置值，并不存在這個文件中，而是保存在winnt\sysvol\sysvol這個共享夾下，用于向其它DC復制，傳播給域成員，來生效。但需要說明的是：2000/XP/03的非DC域成員計算機上仍使用和NT4一樣的SAM庫文件來保存本地帳號。
　　正是由于所有域成員計算機和域用戶都共用這個域的“目錄服務數據庫”，域管理員就可以基于域的“目錄服務數據庫”來進行集中管理、共享資源，如用戶、組、計算機帳號、權限設置、組策略設置等等。目錄服務為管理員提供從網絡上任何一個計算機上查看和管理用戶和網絡資源的能力。目錄服務也為用戶提供唯一的用戶名和密碼，用戶只需一次登錄，即可訪問本域或有信任關系的其它域上的所有資源（當然用戶得有權限才行），而不需要多次提供用戶名和密碼登錄。
　　
二、構建Windows 2000的域
　　這個過程簡單說就是：選一臺2000S/AS計算機，運行AD安裝向導，在其上安裝活動目錄，使其成為DC。然后將其它的計算機加入到這個域。
　　說明：至于是用2000S，還是用2000AS，對于一般的用戶差別不大。2000S支持最多4個CPU，最大4G內存；2000AS支持最多8個CPU，最大內存8G，還支持群集功能。但這些我們一般用戶都用不到，所以對于普通用戶來說，選擇S或AS都是一樣的。
　　
1、系統要求
　　*一臺2000S或2000AS獨立或成員服務器，2000DS只有OEM版，隨廠商硬件發售，平常我們是見不到的。
　　* 其上必須有一個NTFS 5.0分區，用來保存AD的sysvol文件夾。注意：2000的NTFS分區是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問2000的NTFS分區。
　　* 網絡上必須有可用的DNS服務器，并且必須支持SRV記錄（Service Locaion Resource Record）和動態更新功能。如：MS Win2000S DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

說明：
　　構建NT4域并不需要DNS的支持，但2000域必須有DNS，且滿足上述要求。
　　SRV記錄的作用是指明域和站點（site）的DC、PDC仿真、GC是誰。動態更新也是2000DNS的新特色，管理員不必再象NT4 DNS那樣手動為計算機創建或修改相應記錄，在域成員計算機重啟，或改名、改IP時依賴周期性更新，自動動態實現。
　　如果沒有DNS服務器的話，也不一定非得預裝DNS，可以在安裝AD過程中，選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法，因為系統會根據你提供的FQDN域名，自動創建好DNS區域（zone），并配置成AD集成區域，僅安全動態更新。如果需要向外連或反向解析，用戶只需配置上轉發器和反向區域即可，不需要的話，直接就可以用了。
　　如果決定在安裝AD過程中在本機安裝DNS，應在安裝前，將本機TCP/IP配置/DNS服務器指向自己，這樣在安裝AD完成后重啟時，SRV記錄將被自動注冊到DNS服務器的區域當中去的，生成四個以下劃線開頭的文件夾，如_msdcs，03DNS在這里夾的層次結構有所變化，但本質沒變。當然如果忘了指，也可以后補上，只不過需要多重啟一次。

2、安裝步驟、注意事項、常見問題、經驗技巧

（1）啟動AD安裝向導
　　方法一：開始/程序/管理工具/配置服務器/ Active Directory /啟動AD安裝向導。
　　方法二：熟練后一般常用，開始/運行：dcpromo。

（2）安裝選項：指定服務器角色
　　三個界面，實現四種組合：

新域 附加DC

新樹 子域

新林 加入林

即：
* 新域—新樹—新林
* 附加DC
* 新域—子域
* 新域—新樹—加入林

全新安裝：新域—新樹—新林，這樣來建立第一個域中的第一臺DC。
　　2000的多域模型采用層次結構，不同于NT4域的平面結構，NT4的多個域之間只是通過信任關系關聯起來。接下來以下圖為例，對2000的域、樹、林進行簡要說明：

　　　ms.com
　　　/　　　\
trainning.mcse.com　lotus.com

　　這整個是一個林，ms.com為林根域，有兩個樹，一個由ms.com和它的子域trainning.ms.com組成，另一個由lotus.com單獨組成，林中有ms.com，trainning.ms.com，lotus.com三個域。相關概念如下：
　　林根域：在林中第一個建立的域，如：ms.com
　　樹：共用連續的命名空間的多層域，如ms.com和trainning.ms.com
　　樹根域：樹最高層的域，名最短。如：ms.com

說明：
　　2000可采用多層域結構，但最有效、最簡便的管理方法仍是單域，所以大家在實際工作中要記住一個原則“能用單域解決，就不用多域”。
　　再者2000AD是針對大中型網絡設計的，而我們一般管理的網絡也就幾百個節點，屬于小型網絡，一般來講用一個單域結構就夠用了，不要人為將管理環境復雜化。在實驗中，我們甚至可以一個林中只有一個樹，一個樹中只有一個域，一個域里只有一臺DC。
　　另外前面已經說過了，域是邏輯分組，與網絡的物理拓撲無關，不要總試圖規劃一個子網一個域。當然實際中多個子網一個域，子網中若有95/98/NT老計算機，無法利用DNS直接登錄到域，可以安裝一臺WINS服務器解決問題。將所有計算機，包括WINS服務器本身的TCP/IP配置中的WINS服務器指向此WINS服務器即可。

（3）安裝選項：新域的DNS全名
說明：
　　在這里應該輸入新域的完全有效域名FQDN，形如：mcse.com。系統會打算以mcse作為此域的NetBIOS名稱，并在網絡中檢查是否存在重名，需要等一會兒。不重名則設為mcse，建議用戶不要修改此名；重名則設為mcse0，建議用戶最好換個名字。這也就是說，網絡中如果已有一個域，名字叫做mcse.org，也會出現NetBIOS名稱沖突的問題。

（4）安裝選項：為新域指定一個NetBIOS名稱
說明：
　　NetBIOS名稱，只是為95/98/NT等老版本用戶通過“瀏覽服務”或WINS來識別這個域用的，如果確信域用戶都是2000及以上系統（它們通過DNS定位域），其實NetBIOS名稱沖不沖突，都無所謂。

（5）安裝選項：指定AD庫和日志文件位置
說明：
　　如果僅是實驗，用默認值即可。若是在真正的服務器上，都會有多塊物理硬盤，最好分開存放，以提高性能。另外需要強調的是：AD庫和日志文件并不要求非得NTFS 5.0分區，很多2000/03書在此語焉不詳。

（6）安裝選項：指定sysvol文件夾位置
說明：
　　是sysvol這個文件夾要求必須得NTFS 5.0分區。在它當中存儲有DC間AD要同步的內容，包括組策略的設置值。

（7）這時網絡中若無可用DNS服務器，就會出現提示：找不到DNS服務器，需要考慮在本機上安裝一個DNS服務器?？上炔槐乩頃?，點“確定”，接下來選“是，在本機上安裝并配置DNS”。初學者在此不要選“否，我將自己安裝并配置DNS”。

（8）幾分后，安裝完成，需要重啟。
說明：
　　若硬盤或網絡上沒有可用的2000S源文件，會提示要2000S光盤。
　　最好用新裝2000S來安裝AD，這樣不容易出問題。如果你是用一個臺運行了一段時間的2000S/AS，來安裝AD，使其成為DC。重啟及登錄時可能會很慢（有時可能長達20分鐘），這是較常見的現象。一般2-3次以后就好了，如果多次重啟后還那樣，那就要重裝系統及AD了。

3、域成員計算機

（1）將計算機加入到域
　　首先將客戶機TCP/IP配置中所配的DNS服務器，指向DC所用的DNS服務器。然后我的電腦/右鍵/屬性/網絡標識/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶口和口令，確定后提示重啟。
說明：
　　加入域時，如果輸入的域名為FQDN格式，形如mcse.com，必須利用DNS中的SRV記錄來找到DC，如果客戶機的DNS指的不對，就無法加入到域。
　　加入域時，如果輸入的域名為NetBIOS格式，如mcse，也可以利用瀏覽服務（廣播方式）直接找到DC，但它不是一個完善的服務，有時就會不好使。
　　這樣雖然也可把計算機加入到域，而且在等較長時間后也可以登錄到域上去，但不推薦。因為客戶機的DNS指的不對，則它無法利用2000DNS的動態更新動能，也就是說無法在DNS區域中自動生成關于這臺計算機的A記錄和PTR記錄。那么同一域另一子網的2000及以上計算機就無法利用DNS找到它，這本應是可以的。
　　再者，管理員無法在客戶機上利用域的管理工具來遠程管理域，因為這些管理工具必須使用DNS，出錯提示：找不到域命名信息（有時客戶機的DNS Client服務有問題也會出現上述提示，重啟服務即可）。這種情況下，要進行遠程管理，就只能利用TS（終端服務）基于IP來連了。
　　當然用戶也可以手動配置WINS或Lmhosts文件，來查找DC。這主要用于95/98/NT老版本計算機跨子網（路由）查找DC或加入域，因為這些老版本計算機無法利用DNS來查找DC，瀏覽服務又是廣播方式，只能在本網段進行，因為廣播信息是無法通過路由器的，RFC1542標準的路由器，可設置成允許DHCP的廣播數據通過，僅是一個特例。需要說明的是：95/98可以使用域用戶帳號登錄到域，但并不能加入到域，在AD中也沒有計算機帳號，而NT可以。
　　 計算機加入域成功后，未重啟，即已在AD用戶和計算機/computer容器下生成計算機帳號了，實驗中查看時，需要手動刷新一下。而在DNS中記錄必須在計算機重啟后（不必登錄）或15分鐘后才能自動注冊或更新到DNS區域。但若我們平常修改一個計算機的名字或IP，要馬上更新到DNS區域，倒不一定非得重啟，可利用ipconfig /registerdns命令就行。明白以上討論可用于排錯，不一定非得重啟登錄后才知道結果。
　　加入到NT4域時，需要有管理特權才行；從Windows 2000開始，微軟作了改進：在Windows 2000/03域中，默認Authenticated Users即可在域中最多創建 10 個計算機帳戶。Authenticated Users指被驗證的用戶組，也就是說任何經過身份驗證的普通域用戶都可以加最多10臺計算機到域。常見問題：在實際中用普通域帳號加計算機到域，有時會不好使，原因是同名計算機帳號（極可能是它自己已經失效的計算機帳號）已存在而無權覆蓋，這時就得用域管理員帳號了。

（2）在加入域的計算機上，用域用戶帳號登錄到域。
說明：
　　在域中的非DC計算機上，可以選擇登錄到域或本機，這是因為它同時還擁有本地用戶帳號。而在DC上只能選擇登錄到域了，因為整個域都是DC的，它沒有必要再保留本地帳號了。2000是個紅叉，03干脆就沒有了。
　　安裝AD時，會自動刪除本地帳號，即使將來刪除AD，也無法將本地帳號復原，而是重新生成的。這一點一定要注意：如果本地有EFS加密的文件，一定要將證書導出或將文件解密后，再在這臺計算機上做AD安裝實驗。
　　在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據本機DNS配置去找DNS服務器，DNS根據SRV記錄告訴它DC是誰，客戶機聯系DC，驗證后登錄。
（3）深入討論：
　　如果是在林中跨域登錄，是首先查詢DNS服務器，問林的GC是誰。
　　前面我們在步驟（1）中強調“加入域前，首先將客戶機TCP/IP配置中所配的DNS服務器，指向DC所用的DNS服務器?！逼鋵嵢绻蛑杏卸鄠€DNS服務器，也可以指向其它的DNS服務器，當然這些DNS服務器之間得有區域復制關系。這樣做的目的恰恰是：大中型網絡為了平衡DNS負載。
三、建立其它域控制器
　　前面我們討論了“建立第一個域中的第一臺域控制器”，分析得很細。以下相同知識點的內容將不再贅述。
1、安裝附加DC
（1）以本機管理員身份登錄，在獨立或成員服務器上，啟動AD安裝向導。
說明：
　　將成為附加DC的計算機，不必非得先加入域。
　　DNS指向已有DC所用DNS服務器，以便找到已有DC。安裝結束后，一般應該手動在本機上再裝一個DNS服務器，以實現DNS的容錯。
（2）選擇：現有域的額外域控制器
（3）輸入域管理員帳號，如：administrator，password，mcse.com（或mcse）。
　　常見找不到域的出錯提示：域“mcse.com”不是AD域，或用于域的AD域控制器無法聯系上。
　　解決：確保DNS指向已有DC所用DNS的服務器。
　　其它：Ping一下，檢查物理連通性。高級用戶是否設過TCP/IP篩選器或RRAS篩選器。
（4）輸入域名，如：mcse.com。
（5）指定AD庫和日志文件位置
（6）指定sysvol文件夾位置
（7）一般選：“與Windows 2000服務器之前的版本相兼容的權限”
（8）目錄服務恢復模式的管理員密碼
（9）幾分后，安裝完成，需要重啟。
（10）手動在本機上安裝DNS服務器，以實現DNS的容錯。
　　 A、開始/設置/控制面板/添加刪除程序/Windows組件/網絡服務/域名系統（DNS）。
　　 B、開始/程序/管理工具/DNS
　　 C、正向搜索區域/右鍵/新建區域，建議選擇“AD集成區域”，區域名：已有區域的名稱，如mcse.com。自動生成起始授權機構（SOA）、名稱服務器（NS）、主機（A）三條記錄，但此時SRV記錄并未被復制過來。需要等待5-15分鐘后，利用刷新或重新加載就可以看到復制過來的DNS記錄了（對于03馬上就可以看到復制過來的全部DNS記錄）。

深入討論：
　　03和2000比，功能更強大了。但在域和AD的體系結構上并沒有什么大的變化，而且MS的產品十分講究向前兼容。在一個域中可以既有2000DC，又有03DC；也可以既有2000DNS，又有03DNS，并且DC間的AD復制，DNS間的區域傳輸，都好像沒有版本差異一樣。
　　在我們這里要說的就是：2000可作為03域的附加DC，03也可以作為2000域的附加DC，但第二種情況需要在2000DC（SP2及更高）上運行03光盤/I386/adprep命令來做準備。
具體第一步：adprep /forestprep進行林準備，第二步adprep /domainprep進行域準備。

2、建立子域
（1）以本機管理員身份登錄，在獨立或成員服務器上，啟動AD安裝向導。
說明：
　　DNS指向林根域已有DC所用DNS服務器，以便找到已有DC。
　　保證域命名主控必須有效，它默認在林根域的第一臺DC上，且具有林唯一性。利用管理工具“AD域和信任關系”可轉移域命名主控。
（2）選擇：新域的域控制器，下一步，在現有的樹中創建一個新的子域
（3）輸入林管理員帳號，如：administrator，password，mcse.com（或mcse）。
　　常見出錯提示：域“mcse.com”不是AD域，或用于域的AD域控制器無法聯系上。解決方法見前。
（4）輸入父域名，如：mcse.com；輸入子域名，如sub，注意不要輸成sub.mcse.com。
（5）指定AD庫和日志文件位置
（6）指定sysvol文件夾位置
（7）一般選：“與Windows 2000服務器之前的版本相兼容的權限”
（8）目錄服務恢復模式的管理員密碼
（9）幾分后，安裝完成，需要重啟。
　　如果域命名主控失效將會出現如下出錯提示：“由于以下原因，操作失?。篈D無法與域命名主機xxx聯系。指定的服務器無法運行指定的操作?！?BR>　　解決：保證域命名主控聯機，如果確信其已無法正常工作，可強制傳給林內的任意一個DC，子域的DC也可以。原來的主機將必須被重做系統后，才可連入網絡，以保證域命名主控的林唯一性。

深入討論：
　　關于子域（子Domain）所對應的DNS子區域（子zone）是否委派的問題。（以下簡稱：子區域）
　　如果網絡規模不是很大，雖然實現了子域，但總部、二級單位的網管可能就是同一個人。這種情況下就不需要委派了?？梢园褏^域、子區域都放在同一個DNS服務器上，由同一名管理員來管理就可以了。默認值即如此，不需要手動設置。
如果網絡規模較大，且二級單位需要能夠控制自己的DNS子區域，比如自己增加www1,www2……這樣的主機記錄；在自己的子區域下再建子區域。這種情況下就需要委派子區域了，由二級單位的DNS管理員自己來管理。否則二級單位涉及DNS的每一個小變化，都需要找總部DNS管理員批準。
　　子區域委派，操作步驟如下：（最好按如下步驟進行，不容易出問題）
　　A、DNS指向林根域（如：mcse.com）已有DC所用DNS服務器
　　B、利用AD安裝向導，安裝子域（如：sub.mcse.com），重啟機。
　　C、在林根DNS控制臺上查看，確保已在mcse.com生成子文件夾sub，且sub下有4個以下劃線開頭的，保存有SRV記錄的子文件夾（_msdcs、_sites、_tcp、_udp）已生成；sub下還應有如下2條A記錄：（第二條記錄如果未生成，手動補上也可以。）

（與父文件夾相同）主機 IP
　　　　　　SUBdc 主機 IP

　　D、在父域（如：mcse.com）右鍵/新建委派/下一步/子區域名：sub。（不必擔心重名，因為委派完成后，灰顏色的委派的sub夾將取代黃顏色的sub夾，但注意操作過程中會共存一段時間）接下來，指定負責子區域的名稱服務器：SUBdc.sub.mcse.com及它的IP，以生成粘合記錄，下一步，完成。
　　E、在子域DC上安裝DNS，操作：開始/設置/控制面板/添加刪除程序/Windows組件/網絡服務/域名系統（DNS）。
　　 F、開始/程序/管理工具/DNS
　　 G、正向搜索區域/右鍵/新建區域，建議選擇“AD集成區域”，區域名：sub.mcse.com。自動生成SOA、NS、A、A四條記錄（后兩條A記錄，如C步中述），此時SRV記錄也被復制過來了。
 　　H、在DNS服務器的計算機名上/右鍵/屬性/轉發器：指向上一級或林根DNS的IP。
　　I、將子域DC的DNS指向自己，以后加入子域的計算機也使用子域的DNS，以實現DNS分擔負荷。（當然，子域中的計算機可以使用林中任一臺DNS，也都好使）
注意：
　　由上述過程，大家可以了解到，做為被委派的DNS子區域的二級單位DNS管理員，是不能隨意更改自己的DNS服務器的。比如修改DNS服務器的IP，需要通知上級管理員，及時更新委派子區域的NS記錄，否則林中其它用戶就會找不到你這個子域的計算機。

3、新域—新樹—加入林
　　此種情況平常較少用到，因為一般企業只用一套命名體系，很少采用兩上或兩個以上的樹。微軟舉的例子：一個大企業兼并另一企業，并且想保留它的命名體系，技術上對應實現就是目錄樹和DNS名稱空間。
　　 說明：此種應該預先建好DNS正向搜索區，因為它不能像建子域那樣，利用AD向導自動在已有DNS區域中創建子區域。下面以前文中的mcse.com，sub.mcse.com，my.com圖示為例進行說明。
（1）在林根DNS上，與mcse.com并列，創建區域my.com，最好選AD集成區域。
（2）以本機管理員身份登錄，在獨立或成員服務器上，啟動AD安裝向導。
說明：
DNS指向林根域已有DC所用DNS服務器，并保證域命名主控必須有效。
（3）選擇：新域—新樹—加入林
（4）輸入林管理員帳號，如：administrator，password，mcse.com（或mcse）。
說明：
 輸入的欲登錄的林根域名，也就告訴了系統要加入哪個林。
（5）輸入新域的DNS全名，如：my.com；域NetBIOS名：MY。
（6）指定AD庫和日志文件位置
（7）指定sysvol文件夾位置
（8）一般選：“與Windows 2000服務器之前的版本相兼容的權限”
（9）目錄服務恢復模式的管理員密碼
（10）幾分后，安裝完成，需要重啟。
說明：
　　用預建DNS這種方式加入林，使用的是林根上已有DNS服務器，所以此計算機在林根DNS的my.com區域下，僅生成一條主機（A）記錄（如需要可手動添加：treedc 主機 IP），SOA和NS記錄都是林根DNS服務器，但在my.com區域會有相應的SRV記錄來標識它是這個樹根域的DC。這種并沒有實現DNS的分擔負荷，如想實現，利用輔助區域來做。
　　實驗中發現：萬不可像全新安裝那樣，在安裝過程中，選擇在本地安裝一個DNS，這樣將會這把個樹根域安裝成一個獨立的林根域。原因嗎？去問微軟吧。

四、卸載AD
　　 在實際工作中有時我們需要改變服務器角色，或者將實驗中安裝的DC回復到普通成員/獨立服務器身份，這就要進行AD的卸載。
1、卸載時會提示給新的本地管理員設置密碼
2、附加DC卸載后，仍在域中。
3、如果AD不能卸載，應從以下幾方面考慮：
（1）權限
　　權限要求與安裝AD類似，若一個林中只有一個域，那么你要卸載的就是林根域，需要林管理員權限；卸載附加DC需要該域的域管理員權限；卸載子域或樹，涉及到林結構的改變，也需要林管理員權限。
（2）DNS
　　 一般應保證與安裝時所用DNS一致。如果做了DNS規劃，必須保證1中權限所要求的管理員身份能找到相應DC驗證。
（3）域命名主控
　　 卸載時只要涉及到林結構的改變，就需要保證域命名主控有效；卸載附加DC時不要求域命名主控有效。
但要注意的是：卸載時的出錯信息與安裝時的“AD無法與域命名主機xxx聯系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據綁定到服務器xxx失敗?！癛PC服務器不可用”。
（4）卸載的順序
 　　與安裝順序相反，應該先逐級卸載下面的子域，最后卸載樹根域、林根域。否則將導致子域無法卸載，而存在的子域還有問題。
 　　因為極有可能此時架構和域命名主控及GC未轉移，林管理員組和架構管理員組（Schema Admins）已經隨林根域的刪除而沒有了。為什么這么說呢？因為如果管理員考慮到主控及GC等的轉移問題，也就不會誤刪林根域了。

五、從NT4域升級到2000域
1、預備知識：
　　NT4域采用單主控復制，DC分為PDC和BDC，BDC存儲的只是PDC“目錄服務數據庫”文件的只讀復本。在“服務器管理器”中可以將一臺BDC提升為PDC，原PDC自動降為BDC。
　　一個域中只能有一臺PDC，零到多臺BDC以提供容錯和分擔負荷。但大家不要理解為一個網絡中只能有一臺PDC，域是邏輯分組，我們可以在一個子網中建多個域。
　　2000域開始采用多主控復制，DC不再有PDC和BDC之分，DC間的AD復制是雙向的。但2000域中會唯一有一臺DC擔當PDC仿真主控，負責充當NT4 BDC的PDC，并為早期版本客戶機提供服務。PDC仿真主控還負責管理運行NT、95/98計算機的密碼變化，寫入AD。接受密碼變化的DC必須通知PDC仿真主控，比如：用戶登錄時，如密碼錯誤，必先送至PDC仿真主控。因為普通DC不能確認到底是密碼錯誤，還是它沒有及時與PDC仿真主控同步。它還負責同步整個域中計算機的時間。通過以上我們可以知道：在2000域中存在的NT4域控制器，它的身份只能是BDC。
　　 2000域模式分為：混合（mixed）模式和本機（natived）模式。默認為混合模式，如果管理員確認域中所有DC（注意：這里強調的是DC，2000域本機模式下可以有NT4的成員服務器）都是2000DC，沒有NT4的域控制器，可以手動在“AD用戶和計算機中”將域模式更改為本機模式，以充分利用AD的新功能，比如使用“通用組”。
 　　通過以上分析，我們可以知道：如果在2000域中存在NT4域控制器，那么你只能使用2000域混合模式了。有人可能會想那我就不讓它再當域控制器了，但是NT4域的DC和成員服務器之間角色轉換必須重裝NT4系統，不能象2000那樣利用AD安裝向導，方便地進行安裝/卸載。

2、原則：由NT4域向2000域升級，第一個被升級的必須是NT4域的PDC。這樣才可以把帳號、安全設置、配置等帶到2000域

3、MS推薦策略：由于升級是一個極易出現各種問題的過程，必須考慮備份。再有就是實際操作時，可以先將NT4的BDC提升為PDC，再升級到2000。如果順利的話，再升級其它BDC。如果不順利的話，可將原來PDC復原，以此方法來避免損失。

4、深入討論：我們可以把前面的問題再深入討論一下，假設你的域中有NT4的PDC，并且在它上面運行的老程序不允許你把它升級為2000，但你還想要通過升級NT4域，得到2000域，那么應該怎么辦呢？答案很簡單，可以先將這臺PDC降為BDC，再將新PDC升級為2000。這樣你既得到了2000域，又保留了NT4的BDC。

5、我的推薦原則：在實際工作中，只要能進行2000域的全新安裝，就用全新安裝。因為NT4升級后得到的2000安全策略設置等等是繼承NT4時的設置，與2000域的默認值有較大出入，以后出問題，不易排錯，也不易與其它人交流溝通、解決問題。

　　 本文基于自己幾年來的實踐心得，討論重點放在如何規劃和最終實現Windows 2000/03域和活動目錄，以及此過程中要考慮和解決的各種各樣問題。至于如何基于域和AD的優點進行網絡管理降低TCO，AD的維護，主控的管理，將另行撰文專門討論。

,

原文轉自：http://www.kjueaiud.com