【文章內(nèi)容簡介】 關(guān)鏈接： 每個(gè)林必須具有 “架構(gòu)主機(jī) ”和 “域命名主機(jī) ”兩種角色。架構(gòu)主機(jī)域控制器控制對架構(gòu)的全部更新和修改。要更新林的架構(gòu)，必須擁有架構(gòu)主機(jī)的訪問權(quán)。域命名主機(jī)控制林中域的添加或刪除。在林中這些角色必須是唯一的，這意味著在整個(gè)林中，只能有一個(gè)架構(gòu)主機(jī)和一個(gè) 域命名主機(jī)。 林中的每個(gè)域都必須有 “相對 ID（ RID）主機(jī) ”、 “主域控制器（ PDC）仿真主機(jī) ”和 “結(jié)構(gòu)主機(jī) ”3種主機(jī)角色。同樣，在每個(gè)域中這些角色都必須是唯一的。 RID主機(jī)將相對 ID 分配給域中每個(gè)不同的域控制器。在任何時(shí)候，林中的每個(gè)域中只能有一個(gè)域控制器作為 RID主機(jī)。 如果域包含在沒有 Windows 2020 或 Windows XP Professional客戶端軟件情況下運(yùn)行的計(jì)算機(jī)，或者包含 Windows NT 備份域控制器（ BDC），則由 PDC仿真主機(jī)擔(dān)當(dāng) Windows NT的主域控制器。它處理來自客 戶端的密碼更改并將其復(fù)制到 BDC 中。在任何時(shí)候，林中的每個(gè)域中只能有一個(gè)域控制器作為 PDC 仿真主機(jī)。 基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新從它所在的域中的對象到其他域中對象的引用。基礎(chǔ)結(jié)構(gòu)主機(jī)將其數(shù)據(jù)與全局編錄的數(shù)據(jù)進(jìn)行比較。全局編錄通過復(fù)制操作定期接受所有域中對象的更新，從而使全局編錄的數(shù)據(jù)始終保持最新。如果結(jié)構(gòu)主機(jī)發(fā)現(xiàn)數(shù)據(jù)過時(shí)，則它從全局編錄中申請更新的數(shù)據(jù)?；A(chǔ)結(jié)構(gòu)主機(jī)再將這些更新的數(shù)據(jù)復(fù)制到域中的其他域控制器。在任何時(shí)候，每個(gè)域中只能有一個(gè)域控制器作為基礎(chǔ)結(jié)構(gòu)主機(jī)。 用戶和組管理 面試題 22：在配置 漫游用戶配置文件和主文件夾時(shí)，賬戶名可使用（ ）變量替代。 A. username B. %username% C. %username D. username% 解析： 這道題比較簡單，在 4個(gè)答案選項(xiàng)中的主體部分都相同，即使真的不知道是哪個(gè)正確，只要知道變量的表示方法就知道正確答案了。變量兩端都是有 “%”符號(hào)的。所以本題正確答案為 B。 答案： B。 面試題 23：對于 Windows 2020 Server 和 Windows Server 2020 域，默認(rèn)普通域用戶可以加入計(jì)算機(jī)到域中嗎？并簡 要說明。 解析： 這道題考的是域網(wǎng)絡(luò)管理的基本常識(shí)。在 Windows 2020 Server 和 Windows Server 2020域中，默認(rèn)普通用戶只能加入 10 個(gè)計(jì)算機(jī)賬戶到域中。而管理員組（ Administrators）成員不受此限制。 在本題中要明確的一點(diǎn)就是，用戶計(jì)算機(jī)加入域中不一定非要域管理員組成員才有資格，任意普通用戶，只要在域中有合法賬戶都可以加入計(jì)算機(jī)賬戶到域中的，只不過在數(shù)量上是有限制的。 答案： 可以，但最多只能是把 10 臺(tái)計(jì)算機(jī)加入到域中。而管理員組成員允許加入到域的計(jì)算機(jī)數(shù)量不受限制。 面試題 24：在 “活動(dòng)目錄用戶和計(jì)算機(jī) ”中，有關(guān)用戶對象的說法正確的是（ ）。 A. 可以同時(shí)位于多個(gè)用戶組或多個(gè)容器中 B. 可以同時(shí)位于多個(gè)用戶組，但只能位于一個(gè)容器中 C. 可以同時(shí)位于多個(gè)容器，但只能位于一個(gè)用戶組中 D. 只能位于一個(gè)容器或一個(gè)用戶組中 解析： 這道題的關(guān)鍵是要理解，域用戶賬戶只能由域控制器來進(jìn)行統(tǒng)一管理，其他組織單位均無權(quán)管理域賬戶。所以，在一個(gè)域中，用戶賬戶是唯一的。但用戶和組的關(guān)系不是一一對應(yīng)的，一個(gè)用戶可以隸屬于多個(gè)組中。 根據(jù)以上分析就可以很容易地得出本題的正確答案。 答案： B。 面試題 25：對于域內(nèi)用戶和計(jì)算機(jī)這兩個(gè)對象的具體管理，你認(rèn)為下述哪種做法不妥當(dāng)？（ ） A. 如果某用戶已從公司辭職則應(yīng)暫時(shí)將其域賬戶停用而不是立即刪除 B. 應(yīng)當(dāng)提醒用戶經(jīng)常性地按要求定期更換自己的賬戶密碼 C. 為了防止域內(nèi)用戶非法登錄本地計(jì)算機(jī)，最好將域內(nèi)計(jì)算機(jī)的本地賬戶停用 D. 域內(nèi)用戶可以被施以組策略來實(shí)現(xiàn)管理，但不要對域內(nèi)計(jì)算機(jī)對象采用組策略管理 解析： 這是一道與實(shí)際網(wǎng)絡(luò)管理經(jīng)驗(yàn)結(jié)合的用戶管理知識(shí)題。下面直接給出正確答案。 A、 B、C 選項(xiàng)都是正確的， D 選項(xiàng)不正確，因?yàn)橛?jì)算機(jī) 賬戶同樣可以通過組策略來管理，而且更方便。 答案： D。 面試題 26：一位域內(nèi)用戶試圖通過一臺(tái)域內(nèi)計(jì)算機(jī)登錄其所屬域時(shí)，在他輸入用戶名和密碼后，系統(tǒng)提示 “找不到域或域不存在 ”，發(fā)生這種故障現(xiàn)象的原因可能是（ ）。 A. 用戶輸入的用戶名和密碼不匹配或不正確 B. 用戶在 “登錄到 …” 對話框中選擇了錯(cuò)誤的域名 C. 為該域負(fù)責(zé)域名解析的 DNS 服務(wù)器損壞或 DC 死機(jī) D. 用戶計(jì)算機(jī)與域網(wǎng)絡(luò)的網(wǎng)絡(luò)連接已斷開 解析； 這也是一道與實(shí)際網(wǎng)絡(luò)管理經(jīng)驗(yàn)結(jié)合的用戶管理知識(shí)題。 A選項(xiàng)不正確，因?yàn)槿绻禽斿e(cuò)了用戶和密碼，不會(huì)提 示 “找不到域或域不存在 ”，而是直接告訴用戶名和密碼錯(cuò)誤。 B 選項(xiàng)與 A選項(xiàng)基本上是一樣，如果選錯(cuò)了域，同樣會(huì)出現(xiàn)用戶名和密碼錯(cuò)誤提示，而不會(huì)出現(xiàn) “找不到域或域不存在 ”。 C 選項(xiàng)是可能的原因之一，因?yàn)楫?dāng) DNS 或者 DC 工作不正常時(shí)，在進(jìn)行域網(wǎng)絡(luò)連接時(shí)得不到正確的域名解析，或者找不到 DC，這樣就會(huì)出現(xiàn)域找不到或不存在的錯(cuò)誤的提示。 D 選項(xiàng)也是可能的原因之一，因?yàn)橛脩粲?jì)算機(jī)與域網(wǎng)斷開后就得不到 DNS 服務(wù)提供的名稱解析，也找不到 DC。 答案： C D。 面試題 27：在 Windows 2020/Server 2020域中， 下列關(guān)于本地組與全局域網(wǎng)之間的關(guān)系說法正確的是（ ）。 A. 本地組可以被賦予權(quán)限，但全局組不可以被賦予權(quán)限 B. 本地組不可以被賦予權(quán)限，但全局組可以被賦予權(quán)限 C. 本地組可以包含全局組，但全局組不可以包含本地組 D. 本地組不可以包含全局組，但全局組可以包含本地組 解析： 全局組成員可包括只在其中定義該組的域中的其他組和賬戶，而且可在林中的任何域中指派權(quán)限。全局組成員可以全局使用，即可在本域和有信任關(guān)系的其他域中使用。本地組成員可包括 Windows Server 20 Windows 2020 或 Windows NT 域中的其他組（如全局域組、Windows Server 2020 中域的通用組）、賬戶，而且只能在域內(nèi)指派權(quán)限。 本地域組的權(quán)限是自身配置的，全局組的權(quán)限是來自其隸屬于的本地組而得到的。 答案： C。 面試題 28：下面關(guān)于組織單位的說法不正確的是（ ）。 A. 域控制器是最大的組織單位 B. 在組織單位可以創(chuàng)建用戶和組賬戶 C. 組織單位的組策略中可以配置用戶賬戶策略 D. 組織單位中的組策略是最優(yōu)先應(yīng)用的 解析： 這道題可以用排除法來解答。 A選項(xiàng)是正確的。域控制器是域網(wǎng)絡(luò)中的組 織單位，在域控制器之下還可以創(chuàng)建小的組織單位。 B 選項(xiàng)也是正確的。用戶和組賬戶可以 “Active Directory用戶和計(jì)算機(jī) ”管理工具的各容器中創(chuàng)建用戶和組賬戶。 C 選項(xiàng)是錯(cuò)誤的。因?yàn)橛虻馁~戶策略只能由域控制器級(jí)別進(jìn)行管理的，而不能由其他更小的組織單位來管理。 D 選項(xiàng)是正確的。組策略的應(yīng)用順序是：本地組策略對象 → 站點(diǎn)組策略對象 → 域組第一域組策略 → 組織單位組策略。越往后優(yōu)先級(jí)別越高，當(dāng)后面的策略項(xiàng)與前面的策略項(xiàng)相沖突時(shí)，以后面的為準(zhǔn)。 答案： C。 面試題 29：有關(guān) “創(chuàng)建域內(nèi)用戶 ”和 “將計(jì)算機(jī)加入域 ”這兩個(gè) 問題，說法正確的是（ ）。 A. 某域的 Domain Admins 組成員可以創(chuàng)建該域的域內(nèi)用戶。 B. 某林的 Enterprise Admins 組成員可以創(chuàng)建該林中任意域的域內(nèi)用戶。 C. 將計(jì)算機(jī)加入某個(gè)域時(shí)，應(yīng)輸入該域的 Domain Admins 組成員的用戶名及其口令。 D. 將計(jì)算機(jī)加入某個(gè)域時(shí)，可以輸入該域所屬林的 Enterprise Admins 組成員的用戶名及其口令。 答案： A B C D。 DNS 服務(wù)器管理 面試題 30：正確的 DNS 查詢解析的順序是（ ）。 A. 緩存、 是否本機(jī)、 HOSTS 文件、 DNS 服務(wù)器 B. 是否本機(jī)、緩存、 HOSTS 文件、 DNS 服務(wù)器 C. 緩存、是否本機(jī)、 DNS 服務(wù)器、 HOSTS 文件 D. 是否本機(jī)、 HOSTS 文件、緩存、 DNS 服務(wù)器 解析： 這道題考的是 DNS名稱查詢解析的基本原理。 DNS 名稱查詢解析可以分為兩個(gè)基本步驟，如圖 126 所示。 （點(diǎn)擊查看大圖）圖 126 DNS 名稱查詢解析的基本原理 （ 1）本地解析。 （ 2） DNS 服務(wù)器解析。 在本地解析過程中首先檢查請示名稱解析的是否為本機(jī) ，然后檢查主機(jī)配置文件（ HOSTS 文件），如果是本地配置主機(jī)文件，則來自該文件的任何主機(jī)名稱到地址的映射，在 DNS 客戶服務(wù)啟動(dòng)時(shí)將預(yù)先加載到緩存中。如果主機(jī)配置文件沒有找到，則繼續(xù)在以前的 DNS 查詢應(yīng)答的響應(yīng)緩存中查找。如果此查詢與緩存中的名稱還不匹配，則解析過程交給 DNS 服務(wù)器繼續(xù)進(jìn)行。本地 DNS 服務(wù)器解析不了，則還可通過 DNS 名稱解析轉(zhuǎn)發(fā)，交給其他 DNS 進(jìn)行解析。這就是圖 126 所示的 DNS 名稱查詢解析的全過程。 答案： D。 面試題 31： DNS 服務(wù)器代表 DNS 客戶端向其他 DNS 服務(wù)器發(fā)出查詢稱為（ ），客戶端自己向其他 DNS 服務(wù)器發(fā)出的查詢稱為（ ）。 A. 迭代，遞歸 B. 迭代，迭代 C. 遞歸，迭代 D. 遞歸，遞歸 解析： 這是一道考應(yīng)試者對 DNS 名稱解析服務(wù)原理理解的題。也就是 “遞歸 ”和 “迭代 ”這兩種查詢方式的區(qū)別。 在 DNS 名稱解析中規(guī)定： DNS 服務(wù)器代表請求客戶端查詢或聯(lián)系其他 DNS 服務(wù)器，以便完全解析該名稱，并隨后將應(yīng)答返回至客戶端，這一過程稱為 “遞歸 ”。而客戶端自己嘗試聯(lián)系其他的 DNS 服務(wù)器所進(jìn)行的名稱解析過程稱為 “迭代 ”。 答案： C。 面試題 32：配置了一個(gè)與 DNS 集成的 Windows Server 2020 域控制器，客戶端在加入域的時(shí)候提示找不到域控制器，原因可能有哪些？ 解析： 這道是對應(yīng)試者在域網(wǎng)絡(luò)配置時(shí)經(jīng)驗(yàn)方面綜合測試的題，同時(shí)也是網(wǎng)管員中問得最多的一個(gè)問題。要全面考慮網(wǎng)絡(luò)本身、防火墻和域名解析等。 答案： 出現(xiàn)客戶端加入域時(shí)說找不到域控制器的錯(cuò)誤現(xiàn)象，原因可能有以下幾個(gè)方面： 客戶端與域控制器之間的網(wǎng)絡(luò)不通?？梢酝ㄟ^在客戶端 ping域控制器來檢測。如果成功，則表示它們之間的網(wǎng)絡(luò)是通的。 域控制器端的防火墻沒有允許 “文件和打印機(jī)共享服務(wù) ”，使得客戶端與域控 制器之間無法進(jìn)行正常的網(wǎng)絡(luò)通信。 客戶端的 DNS服務(wù)器 IP 地址沒有指向域控制器集成的 DNS服務(wù)器 IP 地址，也就是域控制器 IP 地址。 在加入域時(shí)輸入了域的全稱，而在客戶端加入時(shí)應(yīng)輸入的是域名的 NetBIOS 名稱。如域名為 ，則只需要輸入 grfw 即可。因?yàn)榭蛻舳嗽跊]有加入之前，是不能利用 DNS服務(wù)器進(jìn)行 DNS 域名解析的，只能借助 NetBIOS或者 WINS 服務(wù)進(jìn)行 NetBIOS 名稱解析。 面試題 33：某用戶在建好域控制器后發(fā)現(xiàn)客戶端無法加入域。經(jīng)檢查，為原來與活動(dòng)目錄集成的 DNS 服務(wù)不能正常工作所致 ，解決的方法是（ ）。 A. 在域控制器上執(zhí)行 ipconfig/flushdns 命令 B. 在域控制器上執(zhí)行 ipconfig/registerdns 命令 C. 在域控制器上停用 logon 服務(wù)后再重啟用該服務(wù) D. 在客戶機(jī)上停用 logon 服務(wù)后再重啟用該服務(wù) 解析： 這是一道與 DNS 服務(wù)器管理的經(jīng)驗(yàn)題。 DNS 服務(wù)工作不正?？梢酝ㄟ^兩種途經(jīng)來嘗試修改，一種是通過執(zhí)行 ipconfig /registerdns 命令來為 DNS 服務(wù)重新注冊，另一種是通過重新啟動(dòng) logon 服務(wù)來實(shí)現(xiàn)。因?yàn)樵谀J(rèn)情況下， logon 服務(wù)為域控制器上主控的應(yīng)用程序目錄分區(qū)注冊域控制器定位程序（ Locator） DNS 資源記錄，它還為域控制器上主控的域分區(qū)注冊域控制器定位程序（ Locator） DNS 資源記錄，這兩種注冊方式是相同的。 答案： B D。 面試題 34：下面是域計(jì)算機(jī)成功加入到域的必要條件的是（ ）。 A. 計(jì)算機(jī)必須正確配置了指向域 DNS 服務(wù)器的首選 DNS 服務(wù)器的 IP 地址 B. 服務(wù)（ SRV）資源記錄必須存在于 DNS 中 C. 在 DNS 名稱所對應(yīng)的地址（ A）資源記錄必須存在于 DNS 中 D. 主 DNS 服務(wù)器必須位于域控制器上 答案： A B C。 面試題 35： DNS 服務(wù)器不呼應(yīng)客戶端的原因可能是（ ）。 A. DNS 服務(wù)器的網(wǎng)絡(luò)連接有問題 B. DNS 服務(wù)器已被配置為限制對其已配置的 IP 地址的特定列表提供服務(wù) C. DNS 服務(wù)器被配置成禁止使用其自動(dòng)創(chuàng)建的默認(rèn)反向查找區(qū)域 D. 將 DNS 服務(wù)器配置為使用非默 認(rèn)的服務(wù)端口 解析： 我們一一來分析。 A選項(xiàng)是可能的原因之一， DNS 服務(wù)器的網(wǎng)絡(luò)連接不通，當(dāng)然不能響應(yīng) DNS 客戶端的請求了。 B 選項(xiàng)也是可能的原因之一，如果在 DNS服務(wù)器配置