Windows 2003安裝和配置活動目錄服務

在Windows 2003中，各種網絡服務以伺服器角色出現，友善了使用者對網絡資源進行配置設定與管理。應用伺服器角色對網絡進行管理，均需要有活動目錄服務、域名系統服務、動态主機配置協定服務、Windows Internet命名服務的配合與支援。本文将向你重點講解上述活動目錄服務務的實作方法與技巧。

(一)什麼是活動目錄

活動目錄(Active Directory)是用于Windows 2003的目錄服務。它存儲着網絡上各種對象的有關資訊，并使該資訊易于管理者和使用者查找及使用。活動目錄服務使用結構化的資料存儲作為目錄資訊的邏輯層次結構的基礎。

活動目錄具有資訊安全性、基于政策的管理、可擴充性、可伸縮性、資訊的複制、與DNS內建、與其他目錄服務的互操作性、靈活查詢等優點。

(二)DNS與活動目錄

由于活動目錄與DNS(Domain Name System，域名系統)內建，共享相同的名稱空間結構，是以注意兩者之間的差異非常重要：

1.DNS 是一種名稱解析服務

DNS客戶機向配置的DNS伺服器發送DNS名稱查詢。DNS伺服器接收名稱查詢，然後通過本地存儲的檔案解析名稱查詢，或者查詢其他DNS伺服器進行名稱解析。DNS不需要活動目錄就能運作。

2.活動目錄是一種目錄服務

活動目錄提供資訊存儲庫以及讓使用者和應用程式通路資訊的服務。活動目錄客戶使用“輕量級目錄通路協定(Lightweight Directory Access Protocol，LDAP)”向活動目錄伺服器發送查詢。要定位活動目錄伺服器，活動目錄客戶機将查詢DNS。活動目錄需要DNS才能工作。

即活動目錄用于組織資源，而DNS用于查找資源；隻有它們共同工作才能為使用者或其他請求類似資訊的過程傳回資訊。DNS是活動目錄的關鍵元件，如果沒有 DNS，活動目錄就無法将使用者的請求解析成資源的IP位址，是以在安裝和配置活動目錄之前，我們必須對DNS有深入的了解。

(三) 規劃活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細緻的規劃設計，讓使用者和管理者在使用時更為友善。

1.規劃DNS

如果使用者準備使用活動目錄，則需要首先規劃名稱空間。當DNS域名空間可在Windows 2003中正确執行之前，需要有可用的活動目錄結構。是以，從活動目錄設計着手并用适當的DNS名稱空間支援它。

在Windows 2003中，用DNS名稱命名活動目錄域。選擇DNS名稱用于活動目錄域時，以保留在Internet上使用的已注冊DNS域名字尾開始(如 microsoft.com)，并将該名稱和機關中使用的地理(部門)名稱結合起來，組成活動目錄域的全名。例如，microsoft的sales組可能稱他們的域為“sales.microsoft.com”。這種命名方法確定每個活動目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現有名稱作為建立其他子域的父名稱以及進一步增大名稱空間以供機關中的新部門使用的過程将變得非常簡單。

2.規劃使用者的域結構

最容易管理的域結構就是單域。規劃時，使用者應從單域開始，并且隻有在單域模式不能滿足使用者的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的使用者和計算機。在一個域中，可以使用組織單元(OU，Organizational Units)來實作這個目标。然後，可以指定組政策設定并将使用者、組和計算機放在組織單元中。

3.規劃使用者的委派模式

使用者可以将權限下派給機關中最底層部門，方法是在每個域中建立組織單元樹，并将部分組織單元子樹的權限委派給其他使用者或組。通過委派管理權限，使用者不再需要那些定期登入到特定賬戶的人員，這些賬戶具有對整個域的管理權。盡管使用者還擁有帶整個域的管理授權的管理者賬戶和域管理者器組，可以仍保留這些賬戶以備少數管理者偶爾使用。

(四)安裝活動目錄服務

運作活動目錄安裝向導将Windows 2003計算機更新為域控制器會建立一個新域或者向現有的域添加其他域控制器。

1.安裝前的準備工作

首先，也是最重要的一點，就是你必須有安裝活動目錄的管理者權限，否則無法安裝。在安裝活動目錄之前，要確定系統盤為NTFS檔案系統。同時，已做好了DNS伺服器的解析，如lanyi.com。 

2.安裝域控制器

在安裝活動目錄前首先确定DNS服務正常工作，下面我們來安裝根域為lanyi.com的域控制器。

(1)依次單擊“開始→設定→控制台”菜單項，在“控制台”對話框中輕按兩下“管理工具”項，然後在出現的對話框中輕按兩下“管理你的伺服器向導”選項，啟動配置向導。單擊“添加或删除角色”選項，單擊“下一步”按鈕。

(2)在“配置選項”對話框中，選擇“自定義配置”選項。單擊“下一步”按鈕。

(3)在“伺服器角色”對話框中，選擇“域控制器(Active Directory)”選項，單擊“下一步”按鈕，将啟動活動目錄安裝向導。單擊“下一步”按鈕。

注意：你也可以運作位于C:\Windows \system32目錄下的dcpromo.exe檔案，啟動活動目錄安裝向導。

(4)由于使用者所建立的是域中的第一台域控制器是以在“域控制器類型”對話框中選擇“新域的域控制器”選項。單擊“下一步”按鈕。

(5)在“建立一個新域”對話框中選擇“在新林中的域”選項。單擊“下一步”按鈕。

(6)在“新的域名”對話框中的“新域的DNS全名”框中輸入需要建立的域名，這裡是lanyi.com。單擊“下一步”按鈕。

(7) 在“NetBIOS域名”對話框中，更改NetBIOS名稱。運作非Windows作業系統用戶端将使用NetBIOS域名。可保持預設設定，單擊“下一步”按鈕。

(8)在“資料庫和日志檔案檔案夾”對話框中，将顯示資料庫、日志檔案的儲存位置，一般不作修改。單擊“下一步”按鈕。

(9) 在“共享的系統卷”對話框中，指定作為系統卷共享的檔案夾。Sysvol檔案夾存放域的公用檔案的伺服器副本。Sysvol廣播的内容被複制到域中的所有域控制器，其檔案夾位置一般不作修改。單擊“下一步”按鈕。

(10)在“配置DNS”對話框中，單擊“下一步”按鈕。(如果在安裝活動目錄之前未配置DNS伺服器，可在此讓安裝向導配置DNS，推薦使用這種方法。)

(11)在“權限”對話框中為使用者群組選擇預設權限，考慮到現在大多數網絡環境中仍然需要使用Windows 2003以前的作業系統，是以選擇“與Windows 2000之前的伺服器作業系統相容的權限”選項，單擊“下一步”按鈕。

(12)在“目錄服務恢複模式的管理者密碼”對話框中輸入以目錄恢複模式下的管理者密碼。單擊“下一步”按鈕。

此時，安裝向導将顯示安裝摘要資訊。單擊“下一步”按鈕即可開始安裝，安裝完成之後，重新啟動計算機即可。

3.删除活動目錄

運作dcpromo.exe檔案，根據向導提示即可删除活動目錄。

(五)備份與恢複活動目錄

在Windows 2003中，備份與恢複活動目錄是一項非常重要的工作。你不能單獨備份活動目錄，因為Windows 2003将活動目錄作為系統狀态資料的一部分進行備份。系統狀态資料包括系統資料庫、系統啟動檔案、類注冊資料庫、證書服務資料、檔案複制服務、叢集服務、域名服務和活動目錄等8部分，通常情況下隻有前3部分。這8部分都不能單獨進行備份，必須作為系統狀态資料的一部分進行備份。

1.備份活動目錄

如果一個域記憶體在不止一台域控制器，當重新安裝其中的一台域控制器時，備份活動目錄并不是必需的，你隻需要将其中的一台域控制器從域中删除，重新安裝，并使之回到域中，那麼另外的域控制器自然會将資料複制到這台域控制器上。如果一個域内隻有一台域控制器，那就有必要對活動目錄進行備份。

(1)單擊 “開始→程式→附件→系統工具→備份”菜單項，以啟動備份或還原向導。單擊“進階模式”選項，打開“備份工具”對話框，單擊“備份向導”按鈕。單擊“下一步”按鈕。

(2)在“要備份的内容”對話框中，選擇“隻備份系統狀态資料”選項。單擊“下一步”按鈕。

(3)在“備份類型、目标和名稱”對話框中，輸入備份資料檔案名，單擊“下一步”按鈕，完成備份向導。

2.活動目錄的恢複

有兩種辦法可以恢複活動目錄。

第一種方法是從域的其他域控制器上恢複資料，前提是域内必須還有一台域控制器是可用的，這時當損壞的域控制器重新安裝并加入到它原來的域時，域控制器之間會自動進行資料複制，活動目錄也會随之恢複。　

另一種方法就是從備份媒體進行恢複。通常情況下，整個網絡環境中隻有一台域控制器，是以從媒體恢複活動目錄是經常遇到的事情。

從備份媒體進行活動目錄恢複有兩種方式可以選擇：驗證方式(Authoritative Restore)和非驗證方式(Nonauthoritative Restore)。

3.非驗證方式恢複

通常情況下，Windows 2003使用非驗證方式恢複。活動目錄從備份媒體中恢複以後，域内其他的域控制器會在複制過程中使用新的資料覆寫舊的資料。

要實作非驗證恢複，目錄服務必須處于離線狀态。同時，你必須使域伺服器處于“目錄服務恢複模式”。重新啟動伺服器，按下F8鍵展開系統啟動進階菜單，選擇其中的“目錄服務恢複模式”選項。當Windows 2003出現使用者登入視窗時，輸入本地管理者賬戶和密碼，登入成功後，就可以進行恢複操作了。

注意：這裡并不是在活動目錄中的管理者賬号和密碼。

(1)單擊“開始→程式→附件→系統工具→備份”菜單項，以啟動備份或還原向導。單擊“進階模式”選項，打開“備份工具”對話框，單擊“還原向導”按鈕。單擊“下一步”按鈕。

(2)在“還原項目”對話框中，選擇相應的備份檔案，單擊“下一步”按鈕，完成資料恢複，重新啟動機器即可。

注意：通常情況下，你不能恢複60天以前備份的活動目錄資料。

4.驗證方式恢複

驗證模會将從備份媒體恢複過來的資料強行複制到域内所有的域控制器上，無論從備份以後資料是否發生了變化。驗證模式恢複活動目錄通常用于活動目錄在域内某台域控制器上發生了嚴重的錯誤，而且這種錯誤通過複制擴散到了域内的其他域控制器上。

為實作驗證方式恢複，你必須首先實作非驗證方式恢複，然後使用NTDSUTIL指令行工具實作驗證式恢複。

重新啟動伺服器，按下F8鍵展開系統啟動進階菜單，選擇其中的“目錄服務恢複模式”選項。當Windows 2003出現使用者登入視窗時，輸入本地管理者賬戶和密碼，登入成功後，就可以進行恢複操作了。

(1)單擊“開始→運作” 菜單項，在出現的對話框中輸入“ntdsutil”，啟動指令行工具。　

恢複整個活動目錄資料庫，可使用下列指令：

authoritative restore

restore database

(2)恢複部分活動目錄資料，使用下列指令：

authoritative restore

restore subtree ou=works,dc=lanyi,dc=com

第二行指令需要根據實際情況确定，比如你的域名字是lanyi.com，要恢複的OU是Works，即為上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此類推。

最後使用quit指令退出，重新啟動機器即可。

注意：有關活動目錄的管理與使用已超出本文講述範圍，讀者可參看相關圖書。

轉載于:https://blog.51cto.com/tiancong/668700