1.域 --- 对于微软环境描述的统称的概念
 域的高可用：创建多个DC
 
2.子域
 在什么情况下需要创建子域？ 一般在“管理独立”的分支机构
 子域的命名：.父域的命名
 创建子域的前提条件：一定需要父域给你提供企业管理员组的权限！
 A: 要做子域控的服务器需要加入到父域
 B: 使用“Enterprise Admins" 组的权限完成域的向导！
 
3.分支机构到底建立备份域控，还是建立子域？
 总部和分支机构部署域控场景
 场景01：两个独立的林 --- 两套独立的架构 --- 非常捞
 场景02： 分支机构是总部的备份DC --- 多数
 场景03：分支机构是总部的子域 --- 少量
 
到底选用备份域控还是子域，和下列因素有关：
 A：分支机构是否需要独立管理 --- 非常重要
 适用于无论行政，还是信息管理上，分支机构都是独立管理
 如果需要独立管理 --- 推荐使用子域；如果需要统一化管理，就使用备份域控
 B：分支机构是否有专门的域管理团队
 如果分支机构只有Helpdesk，没有服务器运维，建议创建备份域控！
 
4.父域的DC和子域的DC有数据同步吗？
 ADSIEDIT --- ADSI编辑器 --- 用来编辑活动目录数据库底层的数据
 活动目录数据库主要有四个存储分区：架构目录分区，配置分区，域目录分区，应用程序目录分区
 A：域分区 --- 存储着当前这个域中的所有的对象
 B：配置分区---存储着针对当前林的配置信息
 C：构架分区--- 存储着当前林的对象的构架
 D：应用程序目录分区 --- 应用程序目录分区是由应用程序所建立的, 其内储存着与该应用程 序有关 的数据, 如DNS服务器. 应用程序分区会被复制到林中的特定域控制器,而不是所有 的域控制器,应用 程序目录分区比较, 一般用不到
 
 重要：如果两个DC在同一个域中，三个分区都相互同步；
 如果两个DC在同一个林中，但不在一个域中，只有配置分区和构架分区同步
 
5.域树
 新数域创建好后，必须要做一个配置，否则新树域无法工作
 必须要在根域（林中的第一个域）上配置到新树域的DNS转发！！！
 
6.林
 两个林之间如果希望能传递身份验证，必须需要手工建立信任
 建立信任的条件：
 A：两个林能相互转发DNS解析
 B：必须要林功能级别在Windows Server 2003 以上
 
7.全局编录服务器或者叫全局目录服务器 --- 简称 GC
 微软默认推荐：所有的DC都是全局编录服务器
 在搜索活动目录对象的时候，不是在某一个域，而是在林中所有的域上完成搜索---GC
 DC --- 包含当前域中所有的对象
 GC --- 包含整个林的所有的对象
 当在搜索时，选择“整个目录”，就是在GC上搜索
 
怎么找到GC呢？ DNS的SRV记录里。 如下图：
 

 
 
 GC --- 包含了林中所有的域对象 （假设林中有20个域，每个域的数据库 10GB），
 那么：GC 的DB --- 200GB。那么搜索的速度…可想而知
 SO，微软对此进行了优化：GC包含林中所有的对象，但只包含部分的属性，主要使用的属性！！！
 
例如当一个跨国性企业，想要搜索企业里有多少中国人的时候。因为GC里默认没有包含国家的属性
需要添加国家的属性到GC ，那怎样查看国家的属性？
打开ADDS找到你填写过国家值的用户，根据填写的值，反推出对应的属性。如下图：**
 

 
 
那怎样把相应的属性添加到GC的搜索中？ 在运行里输入下图命令:
 

 
 
然后运行，输入mmc，添加管理单元Active Directory 构架，点击属性，在属性里找到刚才反推出的属性
然后右键点击，选择属性，勾上将此属性复制到全局编录，点击确定。如下图：

 
一段时间后，GC里就可以按国家搜索了