在Windows 2003中，各種網(wǎng)絡(luò)服務(wù)以服務(wù)器角色出現(xiàn)，方便了用戶對網(wǎng)絡(luò)資源進行分配與管理。應(yīng)用服務(wù)器角色對網(wǎng)絡(luò)進行管理，均需要有活動目錄服務(wù)、域名系統(tǒng)服務(wù)、動態(tài)主機配置協(xié)議服務(wù)、Windows Internet命名服務(wù)的配合與支持。本文將向你重點講解上述活動目錄服務(wù)務(wù)的實現(xiàn)方法與技巧。

(一)什么是活動目錄

活動目錄(Active Directory)是用于Windows 2003的目錄服務(wù)。它存儲著網(wǎng)絡(luò)上各種對象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。活動目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。 
活動目錄具有信息安全性、基于策略的管理、可擴展性、可伸縮性、信息的復(fù)制、與DNS集成、與其他目錄服務(wù)的互操作性、靈活查詢等優(yōu)點。 
(二)DNS與活動目錄

由于活動目錄與DNS(Domain Name System，域名系統(tǒng))集成，共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要： 
1.DNS是一種名稱解析服務(wù) 
DNS客戶機向配置的DNS服務(wù)器發(fā)送DNS名稱查詢。DNS服務(wù)器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其他DNS服務(wù)器進行名稱解析。DNS不需要活動目錄就能運行。 
2.活動目錄是一種目錄服務(wù) 
活動目錄提供信息存儲庫以及讓用戶和應(yīng)用程序訪問信息的服務(wù)。活動目錄客戶使用“輕量級目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)”向活動目錄服務(wù)器發(fā)送查詢。要定位活動目錄服務(wù)器，活動目錄客戶機將查詢DNS。活動目錄需要DNS才能工作。 

即活動目錄用于組織資源，而DNS用于查找資源；只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS是活動目錄的關(guān)鍵組件，如果沒有DNS，活動目錄就無法將用戶的請求解析成資源的IP地址，因此在安裝和配置活動目錄之前，我們必須對DNS有深入的理解。 
(三)規(guī)劃活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結(jié)構(gòu)進行細致的規(guī)劃設(shè)計，讓用戶和管理員在使用時更為方便。 
1.規(guī)劃DNS 
如果用戶準備使用活動目錄，則需要首先規(guī)劃名稱空間。當DNS域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結(jié)構(gòu)。所以，從活動目錄設(shè)計著手并用適當?shù)腄NS名稱空間支持它。 
在Windows 2003中，用DNS名稱命名活動目錄域。選擇DNS名稱用于活動目錄域時，以保留在Internet上使用的已注冊DNS域名后綴開始(如microsoft.com)，并將該名稱和單位中使用的地理(部門)名稱結(jié)合起來，組成活動目錄域的全名。例如，microsoft的sales組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。 
2.規(guī)劃用戶的域結(jié)構(gòu) 

最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時，用戶應(yīng)從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units)來實現(xiàn)這個目標。然后，可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。 
3.規(guī)劃用戶的委派模式 
用戶可以將權(quán)限下派給單位中最底層部門，方法是在每個域中創(chuàng)建組織單元樹，并將部分組織單元子樹的權(quán)限委派給其他用戶或組。通過委派管理權(quán)限，用戶不再需要那些定期登錄到特定賬戶的人員，這些賬戶具有對整個域的管理權(quán)。盡管用戶還擁有帶整個域的管理授權(quán)的管理員賬戶和域管理員器組，可以仍保留這些賬戶以備少數(shù)管理員偶爾使用。 
(四)安裝活動目錄服務(wù)

運行活動目錄安裝向?qū)�將Windows 2003計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。 
1.安裝前的準備工作 
首先，也是最重要的一點，就是你必須有安裝活動目錄的管理員權(quán)限，否則無法安裝。在安裝活動目錄之前，要確保系統(tǒng)盤為NTFS分區(qū)。同時，已做好了DNS服務(wù)器的解析，如lanyi.com。  

2.安裝域控制器 
在安裝活動目錄前首先確定DNS服務(wù)正常工作，下面我們來安裝根域為lanyi.com的域控制器。 
(1)依次單擊“開始→設(shè)置→控制面板”菜單項，在“控制面板”對話框中雙擊“管理工具”項，然后在出現(xiàn)的對話框中雙擊“管理你的服務(wù)器向?qū)А边x項，啟動配置向?qū)А�單擊“添加或刪除角色”選項，單擊“下一步”按鈕。 
(2)在“配置選項”對話框中，選擇“自定義配置”選項。單擊“下一步”按鈕。 
(3)在“服務(wù)器角色”對話框中，選擇“域控制器(Active Directory)”選項，單擊“下一步”按鈕，將啟動活動目錄安裝向?qū)А�單擊“下一步”按鈕。
注意：你也可以運行位于C:\Windows\system32目錄下的dcpromo.exe文件，啟動活動目錄安裝向?qū)А?nbsp;
(4)由于用戶所建立的是域中的第一臺域控制器所以在“域控制器類型”對話框中選擇“新域的域控制器”選項。單擊“下一步”按鈕。 
(5)在“創(chuàng)建一個新域”對話框中選擇“在新林中的域”選項。單擊“下一步”按鈕。 
(6)在“新的域名”對話框中的“新域的DNS全名”框中輸入需要創(chuàng)建的域名，這里是lanyi.com。單擊“下一步”按鈕。 
(7)在“NetBIOS名”對話框中，更改NetBIOS名稱。運行非Windows操作系統(tǒng)客戶端將使用NetBIOS域名。可保持默認設(shè)置，單擊“下一步”按鈕。 

(8)在“數(shù)據(jù)庫和日志文件文件夾”對話框中，將顯示數(shù)據(jù)庫、日志文件的保存位置，一般不作修改。單擊“下一步”按鈕。 
(9)在“共享的系統(tǒng)卷”對話框中，指定作為系統(tǒng)卷共享的文件夾。Sysvol文件夾存放域的公用文件的服務(wù)器副本。Sysvol廣播的內(nèi)容被復(fù)制到域中的所有域控制器，其文件夾位置一般不作修改。單擊“下一步”按鈕。 
(10)在“配置DNS”對話框中，單擊“下一步”按鈕。(如果在安裝活動目錄之前未配置DNS服務(wù)器，可在此讓安裝向?qū)�配置DNS，推薦使用這種方法。) 

(11)在“權(quán)限”對話框中為用戶和組選擇默認權(quán)限，考慮到現(xiàn)在大多數(shù)網(wǎng)絡(luò)環(huán)境中仍然需要使用Windows 2003以前的操作系統(tǒng)，所以選擇“與Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”選項，單擊“下一步”按鈕。 
(12)在“目錄服務(wù)恢復(fù)模式的管理員密碼”對話框中輸入以目錄恢復(fù)模式下的管理員密碼。單擊“下一步”按鈕。 

此時，安裝向?qū)�將顯示安裝摘要信息。單擊“下一步”按鈕即可開始安裝，安裝完成之后，重新啟動計算機即可。 
3.刪除活動目錄

運行dcpromo.exe文件，根據(jù)向?qū)�提示即可刪除活動目錄。 
(五)備份與恢復(fù)活動目錄

在Windows 2003中，備份與恢復(fù)活動目錄是一項非常重要的工作。你不能單獨備份活動目錄，因為Windows 2003將活動目錄作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊表、系統(tǒng)啟動文件、類注冊數(shù)據(jù)庫、證書服務(wù)數(shù)據(jù)、文件復(fù)制服務(wù)、集群服務(wù)、域名服務(wù)和活動目錄等8部分，通常情況下只有前3部分。這8部分都不能單獨進行備份，必須作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。 

1.備份活動目錄 
如果一個域內(nèi)存在不止一臺域控制器，當重新安裝其中的一臺域控制器時，備份活動目錄并不是必需的，你只需要將其中的一臺域控制器從域中刪除，重新安裝，并使之回到域中，那么另外的域控制器自然會將數(shù)據(jù)復(fù)制到這臺域控制器上。如果一個域內(nèi)只有一臺域控制器，那就有必要對活動目錄進行備份。 
(1)單擊“開始→程序→附件→系統(tǒng)工具→備份”菜單項，以啟動備份或還原向?qū)А�單擊“高級模式”選項，打開“備份工具”對話框，單擊“備份向?qū)А卑粹o。單擊“下一步”按鈕。 

(2)在“要備份的內(nèi)容”對話框中，選擇“只備份系統(tǒng)狀態(tài)數(shù)據(jù)”選項。單擊“下一步”按鈕。 

(3)在“備份類型、目標和名稱”對話框中，輸入備份數(shù)據(jù)文件名，單擊“下一步”按鈕，完成備份向?qū)А?nbsp;
2.活動目錄的恢復(fù) 
有兩種辦法可以恢復(fù)活動目錄。 
第一種方法是從域的其他域控制器上恢復(fù)數(shù)據(jù)，前提是域內(nèi)必須還有一臺域控制器是可用的，這時當損壞的域控制器重新安裝并加入到它原來的域時，域控制器之間會自動進行數(shù)據(jù)復(fù)制，活動目錄也會隨之恢復(fù)。　 
另一種方法就是從備份介質(zhì)進行恢復(fù)。通常情況下，整個網(wǎng)絡(luò)環(huán)境中只有一臺域控制器，因此從介質(zhì)恢復(fù)活動目錄是經(jīng)常遇到的事情。 
從備份介質(zhì)進行活動目錄恢復(fù)有兩種方式可以選擇：驗證方式(Authoritative Restore)和非驗證方式(Nonauthoritative Restore)。 
3.非驗證方式恢復(fù) 
通常情況下，Windows 2003使用非驗證方式恢復(fù)。活動目錄從備份介質(zhì)中恢復(fù)以后，域內(nèi)其他的域控制器會在復(fù)制過程中使用新的數(shù)據(jù)覆蓋舊的數(shù)據(jù)。 

要實現(xiàn)非驗證恢復(fù)，目錄服務(wù)必須處于離線狀態(tài)。同時，你必須使域服務(wù)器處于“目錄服務(wù)恢復(fù)模式”。重新啟動服務(wù)器，按下F8鍵展開系統(tǒng)啟動高級菜單，選擇其中的“目錄服務(wù)恢復(fù)模式”選項。當Windows 2003出現(xiàn)用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復(fù)操作了。 
注意：這里并不是在活動目錄中的管理員賬號和密碼。 
(1)單擊“開始→程序→附件→系統(tǒng)工具→備份”菜單項，以啟動備份或還原向?qū)А�單擊“高級模式”選項，打開“備份工具”對話框，單擊“還原向?qū)А卑粹o。單擊“下一步”按鈕。 
(2)在“還原項目”對話框中，選擇相應(yīng)的備份文件，單擊“下一步”按鈕，完成數(shù)據(jù)恢復(fù)，重新啟動機器即可。 
注意：通常情況下，你不能恢復(fù)60天以前備份的活動目錄數(shù)據(jù)。 
4.驗證方式恢復(fù)

驗證模會將從備份介質(zhì)恢復(fù)過來的數(shù)據(jù)強行復(fù)制到域內(nèi)所有的域控制器上，無論從備份以后數(shù)據(jù)是否發(fā)生了變化。驗證模式恢復(fù)活動目錄通常用于活動目錄在域內(nèi)某臺域控制器上發(fā)生了嚴重的錯誤，而且這種錯誤通過復(fù)制擴散到了域內(nèi)的其他域控制器上。 
為實現(xiàn)驗證方式恢復(fù)，你必須首先實現(xiàn)非驗證方式恢復(fù)，然后使用NTDSUTIL命令行工具實現(xiàn)驗證式恢復(fù)。 
重新啟動服務(wù)器，按下F8鍵展開系統(tǒng)啟動高級菜單，選擇其中的“目錄服務(wù)恢復(fù)模式”選項。當Windows 2003出現(xiàn)用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復(fù)操作了。 
(1)單擊“開始→運行”菜單項，在出現(xiàn)的對話框中輸入“ntdsutil”，啟動命令行工具。　 
恢復(fù)整個活動目錄數(shù)據(jù)庫，可使用下列命令： 
authoritative restore 
restore database 
(2)恢復(fù)部分活動目錄數(shù)據(jù)，使用下列命令： 
authoritative restore 
restore subtree ou=works,dc=lanyi,dc=com 
第二行命令需要根據(jù)實際情況確定，比如你的域名字是lanyi.com，要恢復(fù)的OU是Works，即為上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此類推。 
最后使用quit命令退出，重新啟動機器即可。 
注意：有關(guān)活動目錄的管理與使用已超出本文講述范圍，讀者可參看相關(guān)圖書。

關(guān)鍵字：目錄服務(wù)、服務(wù)器、數(shù)據(jù)