(管理与培训)金牌网管师初级中小型企业网络组建配置与管理笔记整理

第1章中小企业网络特点为和管理技能要
求
网络基础知识：
●计算机网络的概念、基本组成和主要应用
●主要以太局域网拓扑结构类型及各自的主要优缺点
●OSI/RM分层结构、各层的主要功能和工作原理
●LAN/RM分层结构、各层的主要功能和工作原理
●主要以太网标准特性及各自的物理层、MAC子层结构和帧格式
●主要WLAN标准及帧格式
●CSMA、CSMA/CD、CSMA/CA的工作原理和应用
●数据通信基本模型
●主要数据传输技术和原理
●主要数制类型和相互转换方法
●主要数字编码方式和计算
●IPV4和IPV6协议的主要功能、数据包格式
●IPV4和IPV6的地址类型及配置方法
●IPV4协议子网划分与聚合计算方法
●TCP协议的主要特点和分段格式
●TCP协议的主要特点和分段格式
●TCP连接的建立与释放原理
●UDP、HTTP、ARP、PPP等觉通信协议的基本工作原理和包（帧）格式
●交换机、路由器和防火墙技术
●VLAN、STP、RSTP、MST、VTP等设备的技术原理和应用
●其他网络基础知识需求
第2章双绞网络和信息模块的制作
1、在6类和6a类的连接器也是RJ-45，与5类和5e（超5类）类的差别：一是除了主体的
拔插接头外，还有一个分线器的附件，用于固定8根芯线的位置；二是6类和6a类双绞线的RJ-45连接器的铜片更粗、更光滑，用于提高接触性能。

2、千兆以太网排线顺序可以任意，但是两端得一样
3、国际影响力的三家综合布线标准发布组织是：
●ANSI（American National Standard Institute,美国国家标准化组织）
●TIA（Telecommunication Industry Association,电信工业协会）
●EIA（Electronic Industries Alliance,电信工业协会）
4、EIA/TIA-568A的排列序列：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
EIA/TIA-568B的排列序列：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
实际用到的只有4根传输，即1、2、3、6
5、双绞线分为直通网线和交叉网线，直通网络即水晶头两端排列顺序一样
6、直通线连接不同网络设备间的连接，交叉线用于同种设备的连接
7、如果是直通双绞线网络的测试，正常情况下，测试仪的4个指示灯为绿色并从上至下依
次闪过。

如果有提示灯为黄色或红色，则证明相应引脚的网线制作不良
第3章有线工作网络组建与配置
1.网络工作组的主要特点：
●工作组主机间是平等的
●管理和安全边界为各成员计算机
●采用NetBIOS名称解析
●在一个工作组网络中可以有多个工作组
●不同工作组是可以相互访问的
2.工作组优缺点
●安全管理简单（优点）
●网络性能比较高（优点）
●网络管理不方便（缺点）
●网络公共应用配置比较烦琐（缺点）
3.域是一种基于对象（用户、组、计算机等账户都是对象）和安全策略的分布式数据
库系统
4.域网络最大的特点就是可以实现用户、计算机等对象账户，以及网络安全策略的集
中管理和部署
5.活动目录数据库中包括了3个表格：schema表（包含了所有可以在活动目录中创建
的对象信息以及他们之间的相互关系，包括各种类型对象的可选及不可选的各种属性）、link表（包含所有属性的关联，包括活动目录中所有对象的属性的值）、data
表（活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在DATA表）
6.域网络的主要特点：
●集中管理
●多级账户和安全策略组策略的应用顺序是：本地组策略-站点组
策略-域组策略-组织单位（OU）组策略-了OU组策略
●默认信任
●集中存储
●单点登录
●采用DNS解析协议
●支持漫游配置
7.域网络的主要优缺点：
●管理更方便（优点）
●安全性更高（优点）
●网络访问更方便（优点）
●需要专门的高性能服务器（缺点）
●安全配置更复杂（缺点）
●网络性能较低（缺点）
8.工作组与域的先把
主要考虑以下几个方面：
●安全策略的复杂性
●有无全局、集中管理需求
●有无基于活动目录的应用与管理需求
●首要考虑
sh工具配置windows系统的TCP/IP协议
netsh interface ip set /? 查看该命令的主要参数及对应功能的帮助说明
配置IP地址。

设置接口IP地址的命令格式如下：
Netsh interface ip set address [name=]InterfaceName [source=]{dhcp | static
[addr=]ipaddress [mask=]subnetmask
[gateway=]{none|defaultgateway[[gwmetric=]gatewaymetric]}}
下面是各命令参数的说明
[name=]InterfaceName 为必需配置项，指定要配置其地址和网关信息的接口名称。

InterfaceName参数必须与图3-1所示“网络连接”窗口中对应的接口名称匹配。

如果InterfaceName含有空格，则请将文本置于引号之中(例如“InterfaceName 1”)
[source=]{dhcp | static [addr=]ipaddress [mask=]subnetmask
[gateway=]{none|defaultgateway[[gwmetric=]auto|gatewaymetric]}}
为必需配置项，指定是通过DHCP服务器配置IP地址，还是使用静态IP地址。

如果使用静态地址，那么IPAddress将指定要配置的地址，而subnetmask将指定所配置IP地址的子网掩码。

如果使用静态地址，那么还必须同时指定是保留当前默认的网关（如果有），还是为该地址配置一个网关。

如果配置默认网关，则利用DefaultGateway 变量指定要配置的默认网关的IP地址，而gatewaymetric指定要配置的默认网关的跃点数（通常都是0，指的是网关与接口处于同一网段），也可以先把自动获得方式；
如果不配置网关，则选择none选项。

如要为“本地连接”配置采用DHCP服务器分配的IP地址，则键入以下命令：
Netsh interface ipset address name=本地连接sourcd=dhcp
如果为“本地连接”配置静态IP地址为192.168.1.200，子网掩码为255.255.255.0，默认网关为192.168.1.2，则键入以下命令：
Netsh interface ip set address name=本地连接source=static addr=192.168.1.200
mask=255.255.255.0 gateway=192.168.1.2 gwmetric=auto
注：如果是静态IP地址配置，则必须要同时为addr、mask、gateway和gwmetric关键字指定设置，不能遗漏，否则会不能成功配置。

接口名，如果中间没有空格，则可以不用引号括住（当然也可以用引号括住），但如果名称中包括了空格，则一定要用引号括住。

另外，在命令格式中，等号（=）两端不要留空格，而在各关键词前面
要有空格。

DNS服务器地址的命令格式为：Netsh interface ip set dns [name=]InterfaceName [source=]{dhcp | static [addr=]dnsaddress |none}}[register=]{none|primary|both} [name=]InterfaceName为必需配置项，指定要设置其DNS信息的接口的名称。

InterfaceName参数必须与图3-1所示“网络连接”窗口中指定的的接口名称匹配。

如果InterfaceName含有空格，则请将文本置于引号之中(例如“InterfaceName 1”)
[source=]{dhcp | static [addr=]dnsaddress |none}} 为必需配置项，指定DNS服务器的IP地址是通过DHCP配置的还是为静态地址。

如果是静态IP地址，则用DNSaddress 变量指定要配置的DNS服务器的IP地址，如果先把none选项，则指定删除的DNS 配置。

[register=]{none|primary|both} 为可选配置项，指定计算机注册方式。

如果选择none 选项，则表示该计算机禁用动态DNS注册完整的计算机名；如果选择primary选项，则指定只在主DNS服务器后缀下注册完整的计算机名；如果选择both选项，则同时在主DNS和其他指定DNS服务器后缀下注册完整的计算机名。

自动获得DNS键入的命令：netsh interface ip set dns name=本地连接source=dhcp
设置首先静态DNS服务器地址为192.168.1.1，则键入以下格式的命令：netsh interface ip set dns name=本地连接source=static addr=192.168.1.1 register=primary
为接口配置多个IP地址：
Netsh interface ip add address [name=]InterfaceName [addr=]ipaddress
[mask=]subnetmask [gateway=]defaultgateway[gwmetric=]gatewaymetric]
如向本地连接中再添加一个不同网段的IP地址172.16.1.200，子网掩码为
255.255.0.0，跳点2的默认网关为172.16.1.1，则可键入以下格式的命令：
Netsh interface ip add address name=本地连接addr=172.16.1.200 mask=255.255.0.0 gateway=172.16.1.1 gwmetric=2
删除IP地址
Netsh interface ip delete address [name=]InterfaceName [addr=]ipaddress [[gateway=]{defaultgateway|all}]
All选项表示删除所有默认网关，只想删除一个默认网关，则Defaultgateway变量将指定要删除的默认网关的IP地址
如要删除在前面为本地连接添加的172.16.1.200这个IP地址和172.16.1.1这个默认网关，则键入以下格式的命令
Netsh interface ip delete address name=本地连接addr=172.16.1.200
gateway=172.16.1.1
添加DNS服务器地址
Netsh interface ip add dns [name=]InterfaceName [addr=]dnsaddress
[[index=]dnsindex]
Dnsindex是用来指定添加的DNS服务器地址接口中的DNS服务器列表的位置。

如在本地连接中添加第二个备用DNS服务器地址192.168.1.10，刚可键入以下格式的命令：
Netsh interface ip add dns name=本地连接addr=192.168.1.10 index=2
删除DNS服务器地址：
Netsh interface ip delete dns [name=]InterfaceName [addr=]dnsaddress|all}
All表示用来删除所有DNS服务器地址
如：netsh interface ip delete dns name=本地连接addr=192.168.1.10
利用netsh工具导出/导入IP配置
导出格式：netsh –c interface ip dump>脚本文件路径和文件名
导入格式：netsh –f 设置脚本文件
10.工作组名称是NetBIOS名称，最多只能是15个数字、字符，或者7个纯汉字。

11.强制某台机器为主浏览器的方法：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\browser\parameters注册表位置上将isdonainmaster键值改为True
12.如果想让某台机器永远不能成为主浏览器：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\browser\parameters注册表位置上将maintainserverlist键值改为no , 此时COMPUTER BROWSER服务也将无法启动
13.网上邻居正常工作的必要条件：
●客户机要配置了用于名称解析的NetBIOS协议。

一般情况下TCP/IP协议就内置
并且启动了NetBIOS协议
●客户端启用了“microsoft网络的文件和打印机共享”服务
●网络中至少有一台机器启动了计算机浏览（Computer Browser）服务。

要看网
络中是否有浏览器主机，nbtstat –a连接网络的网卡IP地址命令实现，主浏览器
的标识是含有\_msbrowse_这样的标识
●启动workstation或server服务
14.造成“网上邻居”访问不成功的原因
●对方计算机上的防火墙阻止了。

137端口在局域网中提供计算机的名字或IP地
址查询服务，一般安装了NETBIOS协议后，该端口会自动处于开放状态。

138
端口是为NETBIOS datagram Service(netbios数据报服务)提供的，主要作用就
是提供netbios环境下计算机名浏览功能，也就是browser服务有关。

139端口
是为netbios session service(netbios会话服务)提供的，主要用于提供windows
文件和打印机共享以及unix中的samba服务。

445端口，也是提花局域网中文
件或打印机共享服务
●组策略限制了。

IP安全策略中主要看是否限制了上面介绍的这些网上邻居访问
端口的通信。

经典访问模式中，需要访问者在对方计算机上有合法的用户账户
才能访问对方的共享资源，需要经过明确的身份验证；而来宾模式则用户访问
时是以来来宾guest账户进行身份验证，澡需要输入账户和密码（前提是启用
来宾用户）。

如果把windows XP或以后版本系统中的guest账户也像以前系统
那样放进everyone组中，享受同样的权限，那就是组策略中的“让‘每个人’的权限应用于匿名用户”策略。

空密码账户的访问限制-----使用空白密码的用户
只允许进行控制台登录。

从网络上访问此计算机，拒绝从网络上访问此计算机
●用户的共享文件夹权限和NTFS文件访问权限限制了
●工作组网络用户访问域网络用户。

工作组网络用户无法访问域网络中的计算机。

反过来域网络用户访问工作组网络用户则可以
15.桌面或者“开始”菜单上没有“网上邻居”快捷项
要在桌面上显示“网上邻居”，只需要在桌面的空白处右击，选属性—桌面—自定义桌面
开始菜单中显示“网上邻居”快捷键，只需在状态栏的空白处右击，属性——【开始】菜单——自定义——高级——网上邻居复选框——确定
16.在“网上邻居”中没有“整个网络”
●HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Net
work位置，查看是否有一个名为noentirenetwork的dword键项，如果有将其
值设为0，没有就新建
●HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\expl
ores位置看一下是否有noentirenetwork的DWORD键项，值改为0
●HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\expl
ores位置下新建一个nonethood的dword键项，将其值设为0即可取消“网上
邻居”在桌面和菜单中的显示。

以上是针对当前用户的设备，如果想要使计算
机上的所有用户都采用以上设置，则需要在
hey_users\.default\software\microsoft\windows\currentversion\policies\network(
或explorer)位置查看地是否有noentirenetwork键项，如果没有则新建
network(或explorer)主键，然后再新建noentirenetwork双字节键项，并将其设
置为0.
17.网上邻居中可以看到自己，却看不到其他联网的计算机
从以下几个方面找原因
1）查看网络中是否只有这一台计算机存在这种问题：如果只有个别计算机存在这种问题，则可以肯定的是与其他计算机无关，只与本机软件配置和相连接网卡、网线、集线器等设备端口有关
2）确定属于本机或与有关的硬件故障有关后，先排除自身的软件配置问题。

在此还要特别提醒各位以下几点：
●查看所有计算机IP地址是否都配置在同一网段上
●在网络组件中是否安装了“网络客户”选项
●在“服务”控制台中检查计算机是否已启动了computer browser service服务
3）如果软件配置没问题，则需要进一确认硬件部分所存在的问题了。

●用ping.exe命令Ping其它主机的IP地址，检查其他计算机连接速度是否正常
●检查网卡状态指示灯是否闪烁
●检查集线器上的端口和其他计算机端口的指示灯是否正常
●如果还怀疑其它计算机有软件配置或硬件故障，则可进一步检查
18.在网上邻居中可以看到其它机器，却看不到自己
没有正常启动server(服务器)服务，还要检查下computer browser ，net logon服务
19.当双击访问“网上邻居”中的“整个网络”时弹出如下错误提示“无法浏览网络。

网络末连接或启动”，这是因为workstation服务没有启动，相关联是computer
browser service、net logom
20.已启用guest账户，仍不能访问“网上邻居”中的其他计算机
如果要使用guest用户访问windows XP系统，则要进行上面的3个设置：启用guest 账户；修改安全策略允许guest从网络访问（在本地组策略中的“用户权利指派”
项下的“从网络访问此计算机”选项中添加guest账户，但一定不要在“拒绝从网络访问这台计算机”选项中有guest账户；在“网络安全”项下启用是“‘让每个人’权限应用于匿名用户”选项），禁用“安全选项”中的“账户：使用空密码用户只能进行控制台登录”安全策略，或者给guest加个密码
21.网络访问windows xp系统主机的时候，总是出现输入用户名进行身份验证的对话杠，
或者登录圣诞在框中的用户是灰的，始终以guest用户访问，不能输入别的用户账号，为什么
本地安全策略中的“安全选项”项下的“网络访问：本地账户的共享和安全模式”
中，如果是“仅来宾模式，这样就固定为guest账户，如果是经典模式，就要输入用户名与密码
最简单的解决办法就是：不用启用guest账户，仅修改上面安全策略为“经典”模式即可，别的系统访问xp时只需要输入有效的本地账户即可，这样更安全，但有时显示比较麻烦
第4章WLAN无线网络连接配置
1.在WLAN中，有两种连接方式，采用DCF（Distributed coordination function,分布
式协调功能）机制无中心控制设备的点对点Ad Hoc（是一种拉丁语）结构WLAN
网络和采用PCF（point coordination function,点调功能）机制有中心控制设备（如
WLAN AP）的点对多点infrastructure结构wlan网络
2.AD hoc WLAN网络中，只需在计算机上的WLAN网上中进行WLAN无线连接和
用户访问身份验证配置，基本配置如下：
●SSID(Service set identifier,服务集合标识符)
●安全访问微分验证方式
●WLAN网络类型
3.通常采用1、6、11，2，7、12，3、8、13这3个信道组合，否则就会有重叠。

注意不能与同一无线网络中的其他AP所设置的信道重复。

第5章共享上网方案与配置
1、最简单上网方案就是利用微软windows2000以后版本系统中推出的ICS（internet
connection sharing,internet连接共享）方式，但在部署ICS共享上网之前需要注意以下几点：
●如果网络中已有DHCP服务器，而且已采用该DHCP服务器自动分配IP地址，则要
禁用该DHCP服务器。

因为安装ICS后，也会提供DHCP服务，而且网络中的ICS客户机均必须采用ICS自带的DHCP服务获得IP地址，否则就会发生冲突
●如果网络中已安装了其他共享上网应用软件，如sygate/wingate/ccproxy等，则要卸
载它们，因为这些应用程序安装后会控制计算机上安装的网卡，而在安装ICS后也要控制你的计算机网上，不卸载那些应用软件，就会发生网上控制冲突问题
●如果公司是采用ADSL之类需要安装接入终端设备的互联网接入方式，则采用ICS
共享上网时，在ICS服务器端要安装两块网卡
2、ICS共享上网方式性能也不是很好，一般公用于20台机器以内的网络先把使用，毕竟采
用的是软件NAT技术。

一个最大的优点：配置简单，配置成功后不会对任何应用进行限制，所有互联网应用直接应用即可，无须任何特别配置。

3、ICS共享上网的设置通常不单独手动设置，而是通过运行“设置家庭或小型办公网络”
向导（通常把它称为“ICS设置向导”）来进行。

（只适合小型网络，一般仅用于20台机器以内）
4
5、“设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。

6、如果采用的是网络安装磁盘向导运行方式，则可以直接双击网络安装磁盘（或者已复制到硬盘中的）netsetup.exe程序。

7、如果先把电信的E家ADSL宽带方案，则不能采用路由共享方式上网。

破解方式：像sniffer 之类的抓包工具，在进行PPPoE协议包，sniffer就会把加密前后的密码都呈现在你面前，这样就可以获得这个加密后的密码了。

8、一般半径为50米以内的区域中，只请允许我有3个无线AP
9、“开放系统”是指用户端无须输入密钥，直接与无线网络连接的方式，这种方式在较大的安全隐患，在企业网络中通常不采用。

“共享密钥”方式则需要用户端在进行无线连接时输入接入点预设的密钥，只有正确输入密钥的用户才能与无线接入点连接，确保了用户的合法
性。

“自动选择”方式则是由路由器自动为无线客户端分配密钥，出于安全考虑不宜先把，特别是在企业网络中
10、代理服务器共享上网方式也要分别对服务器端和客户端进行配置
11、中小型企业网络通常是对等网，所以不选择NT服务，这样就不会把这项代理服务当作NT域中的一项服务，不会随系统自动启动、自动运行。

对等网络中通常也不需要DNS进行名称解析，所以也不要选择“DNS”复选项。

12、CCProxy默认采用的HTTP协议端口为808
第6章域控制器的安装、配置与管理
1、如果是新安装的Windows Server 2003系统，而且没做其他任务配置，则可直接安装第
一台服务器，否则需要满足以下条件才能进行：
●该计算机上运行的不是Windows Server 2003 Datacenter Edition或Windows
Server2003 WEB Edition版本系统
●已安装并配置网卡的TCP/IP协议，并且要分配静态IP地址
●计算机上必须至少有一个NTFS分区
●该计算机没有加入到其他域中，当然该计算机更不能已经配置为域控制器
●在该计算机上没有启动过“Active Directory安装向导”，没有运行“路由和远程访问”
服务，但配置域控制器后可重新配置和运行“路由和远程访问”服务
●该计算机上没有证书颁发机构（CA），如果安装了，要先卸载“证书服务”组件，
但配置域控制后可以重新安装“证书服务”组件，并配置成证书颁发机构
●该计算机没有配置为DNS服务器或DHCP服务器
2.额外域控制器的作用
●提供服务器容错
●为现有域控制器提供负载均衡
●更易于用户的连接和访问
2、额外域控制器的安装有两种方式：在线安装方式和离线安装方式
3、要进行在线额外域控制器安装，首先要把该台成员服务器的DNS指向当前域网络中的
DNS服务器，当然还得连接在域网络中（但可以不事先加入域）
4、安装离线额外域控制器的两大步骤：
●NTBACKUP.exe工具从现有域控制器上获得活动目录配置信息文件
●利用活动目录配置信息文件，通过高级Active Directory安装向导完成额外域控制器
的安装
5、Active Directory配置信息文件是备份工具中System state(系统状态)的一部分，整个
System state的内容分为5部分：Active Directory(活动目录，主要是包括了NTDS这个数据库文件夹)、Boot Files（引导文件）、COM+Class Registration Database(组件类注册数据库)、Registry(注册表)和SYSVOL（系统卷）。

离线方式安装额外域控制器时只需要Active Directory、Registry和SYSVOL三部分
6、离线安装额外域控制器：安装、配置好DNS服务器后，现在就可以使用dcpromo/adv
这个带有高级参数的活动目录运行向导来安装额外域控制器了。

7、重命名域控制器有一个前提条件，即该域的域功能级别设置必须为windows server 2003
8、重命名域名前的准备：域控制器、域、林功能提升到windows server 2003
9、重命名域的工具是Rendom.etx,操作系统安装光盘上：Valueadd/Msft/Mgmt/domren目录
上，网上下载的名称为domainrename.exe（网上安装后产生一个组策略修改工具
gpfixup.exe）
10、重命名域方法如下：
（1）先找到rendom.exe程序文件
（2）在主域控制器、额外域控制器或者任意一台成员服务器的命令提示符下输入rendom /list命令，然后按回车。

运行成功后，会在该工具所在的文件夹
下产生一个名为domainlist.xml文件，用记事本打开，进行修改（3）输入rendom /upload命令。

同时会产生一个dclist.xml文件
（4）输入rendom /prepare命令。

检验是否已全部准备好（如果出错可用rendom /end结束）
（5）输入rendom /execute命令
（6）到了这里有一些细节需要处理。

（7）进一步消除Active Directory中的旧域名。

在命令提示符下进入rendom文件所在的目录，输入rendom/clean命令，按回车。

最后修改域组策略（工具
gpfixup）。

（8）在命令提示进入这个目录，键入gpfixup /?命令，查看该命令格式和可用参数
（9）具体的命令：gpfixup /olddns:lycb.local /newdns:lycb_gz.local /oldnb:lycb /newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local
11、无法正常删除，还是强制删除，当域控制器上安装了“证书”服务时，不能删除域
控制器，必须先卸载证书服务组件。

另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。

也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称/forcecleanup
12、配置全局控制器为全局编录角色的方法是在：“Active Directory站点和服务”管理
单元控制台中Default-First-Site下面的server节点下单击选择相应的域控制器，然后在右侧窗格中的NTDS Settings项上右击，在“常规”选项卡中选择“全局编录”复选项13、强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval 强制删除命令
强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息
14、具体清除Active Directory元数据的步骤如下：
（1）命令符下输入ntdsutil命令，然后在ntdsutil提示符下输入“？”，用来清理Active Directory元数据的子命令是metadata cleanup
（2）在metadata cleanup命令，按回车进入metadata cleanup命令执行环境，准备清除已强制删除的域控制器上不再使用的Active Directory数据
（3）metadata cleanup提示符下输入“？”，首先用到的是connections子命令，连接到要清除元数据的对象
（4）metadata cleanup提示符下输入connections命令，按回车进入connections命令执行环境。

然后再在server connections提示符下输入“？”
（5）在server connections提示符下输入connect to server lycb-dc2命令，绑定连接到要清除元数据的那台降级了的域控制器
（6）再在server connections提示符下输入quit，退回到上级的metadata cleanup命令环境，正式对lycb-dc2服务器上的元数据进行清除工作。

注意：对象的定位是遵
循从大到小规则的，先查找清理对象所在的站点，再在站点中找到对应的域，
最终在域中找到对应的服务器
（7）在metadata cleanup提示符下输入Select operation target命令，进入Select operation target命令操作环境。

（8）在Select operation target中输入list sites命令，查看当前网络中的所有站点，看要清理的对象在哪个站点上
（9）在Select operation target输入listdomain in site命令，查看各站点中所有的域（10）在Select operation target提示符下输入select domain 0命令，锁定对应的域（11）在Select operation target输入list server for domain insite命令，查看上次锁定的域中的所有控制器序号
（12）在Select operation target提示符下输入select server 1命令，锁定要清理的服务器
（13）在Select operation target提示符下输入quit命令，退出Select operation target定位命令环境，因为要清理元数据的服务器已最终锁定
（14）在metadata cleanup提示符下输入remove selected server命令，对锁定的服务器执行正式的元数据清理工作。

（15）在“Active Directory用户和计算机”管理单元控制台的Domain Controllers容器下删除该域控制器。

在SP2版本中，这里的删除不是那么简单，不能像以前版
本那样直接删除。

在弹出框中要选择：“这台域控制器永远为脱机并且不能再用
Active Directory安装向导（DCPROMO）将其降级”单选项。

第7章DNS和DHCP服务器安装、配置与管
理
1、存根区域与辅助区域不同同时创建相同的区域名
2、顾要区域和辅助区域有类似之处，都要从对应区域的主要区域的DNS服务器上复制数
据。

不同之处在于，辅助区域复制区域中的所有记录，但存根区域只复制区域的SOA（起始授权机构）记录、NS（名称服务器）记录和解析NS记录的A记录（主机地址记录）
3、区域创建原则
●可以划分主DNS服务器和辅助DNS服务器，也可以不划分，全部作为主DNS服务
器（但不可能全部是辅助DNS服务器）。

每台DNS服务器一开始都是把自己当作主DNS服务器的，直到创建了辅助区域
●对于某个特定的区域（如正向查找区域和反射查找区域）来说，主DNS服务器上通
常只要创建主要区域，而不创建辅助区域，除非所创建的辅助区域要从另一台主
DNS服务器上复制数据，否则主、辅DNS服务器和主、辅区域都在同一台机器上就没有意义了。

在辅助DNS服务器上，不要创建主要区域，否则就不是辅助DNS服
务器而是主DNS服务器了。