在Windows 2003中，各種網絡服務以服務器角色出現，方便了用戶對網絡資源進行分配與管理。應用服務器角色對網絡進行管理，均需要有活動目錄服務、域名系統服務、動態主機配置協議服務、Windows Internet命名服務的配合與支持。本文將向你重點講解上述活動目錄服務務的實現方法與技巧。

(一)什么是活動目錄

活動目錄(Active Directory)是用于Windows 2003的目錄服務。它存儲著網絡上各種對象的有關信息，并使該信息易于管理員和用戶查找及使用。活動目錄服務使用結構化的數據存儲作為目錄信息的邏輯層次結構的基礎。 
活動目錄具有信息安全性、基于策略的管理、可擴展性、可伸縮性、信息的復制、與DNS集成、與其他目錄服務的互操作性、靈活查詢等優點。 
(二)DNS與活動目錄

由于活動目錄與DNS(Domain Name System，域名系統)集成，共享相同的名稱空間結構，因此注意兩者之間的差異非常重要： 
1.DNS是一種名稱解析服務 
DNS客戶機向配置的DNS服務器發送DNS名稱查詢。DNS服務器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其他DNS服務器進行名稱解析。DNS不需要活動目錄就能運行。 
2.活動目錄是一種目錄服務 
活動目錄提供信息存儲庫以及讓用戶和應用程序訪問信息的服務。活動目錄客戶使用“輕量級目錄訪問協議(Lightweight Directory Access Protocol，LDAP)”向活動目錄服務器發送查詢。要定位活動目錄服務器，活動目錄客戶機將查詢DNS。活動目錄需要DNS才能工作。 

即活動目錄用于組織資源，而DNS用于查找資源；只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS是活動目錄的關鍵組件，如果沒有DNS，活動目錄就無法將用戶的請求解析成資源的IP地址，因此在安裝和配置活動目錄之前，我們必須對DNS有深入的理解。 
(三)規劃活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細致的規劃設計，讓用戶和管理員在使用時更為方便。 
1.規劃DNS 
如果用戶準備使用活動目錄，則需要首先規劃名稱空間。當DNS域名稱空間可在Windows 2003中正確執行之前，需要有可用的活動目錄結構。所以，從活動目錄設計著手并用適當的DNS名稱空間支持它。 
在Windows 2003中，用DNS名稱命名活動目錄域。選擇DNS名稱用于活動目錄域時，以保留在Internet上使用的已注冊DNS域名后綴開始(如microsoft.com)，并將該名稱和單位中使用的地理(部門)名稱結合起來，組成活動目錄域的全名。例如，microsoft的sales組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現有名稱作為創建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。 
2.規劃用戶的域結構 

最容易管理的域結構就是單域。規劃時，用戶應從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units)來實現這個目標。然后，可以指定組策略設置并將用戶、組和計算機放在組織單元中。 
3.規劃用戶的委派模式 
用戶可以將權限下派給單位中最底層部門，方法是在每個域中創建組織單元樹，并將部分組織單元子樹的權限委派給其他用戶或組。通過委派管理權限，用戶不再需要那些定期登錄到特定賬戶的人員，這些賬戶具有對整個域的管理權。盡管用戶還擁有帶整個域的管理授權的管理員賬戶和域管理員器組，可以仍保留這些賬戶以備少數管理員偶爾使用。 
(四)安裝活動目錄服務

運行活動目錄安裝向導將Windows 2003計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。 
1.安裝前的準備工作 
首先，也是最重要的一點，就是你必須有安裝活動目錄的管理員權限，否則無法安裝。在安裝活動目錄之前，要確保系統盤為NTFS分區。同時，已做好了DNS服務器的解析，如lanyi.com。  

2.安裝域控制器 
在安裝活動目錄前首先確定DNS服務正常工作，下面我們來安裝根域為lanyi.com的域控制器。 
(1)依次單擊“開始→設置→控制面板”菜單項，在“控制面板”對話框中雙擊“管理工具”項，然后在出現的對話框中雙擊“管理你的服務器向導”選項，啟動配置向導。單擊“添加或刪除角色”選項，單擊“下一步”按鈕。 
(2)在“配置選項”對話框中，選擇“自定義配置”選項。單擊“下一步”按鈕。 
(3)在“服務器角色”對話框中，選擇“域控制器(Active Directory)”選項，單擊“下一步”按鈕，將啟動活動目錄安裝向導。單擊“下一步”按鈕。
注意：你也可以運行位于C:\Windows\system32目錄下的dcpromo.exe文件，啟動活動目錄安裝向導。 
(4)由于用戶所建立的是域中的第一臺域控制器所以在“域控制器類型”對話框中選擇“新域的域控制器”選項。單擊“下一步”按鈕。 
(5)在“創建一個新域”對話框中選擇“在新林中的域”選項。單擊“下一步”按鈕。 
(6)在“新的域名”對話框中的“新域的DNS全名”框中輸入需要創建的域名，這里是lanyi.com。單擊“下一步”按鈕。 
(7)在“NetBIOS名”對話框中，更改NetBIOS名稱。運行非Windows操作系統客戶端將使用NetBIOS域名。可保持默認設置，單擊“下一步”按鈕。 

(8)在“數據庫和日志文件文件夾”對話框中，將顯示數據庫、日志文件的保存位置，一般不作修改。單擊“下一步”按鈕。 
(9)在“共享的系統卷”對話框中，指定作為系統卷共享的文件夾。Sysvol文件夾存放域的公用文件的服務器副本。Sysvol廣播的內容被復制到域中的所有域控制器，其文件夾位置一般不作修改。單擊“下一步”按鈕。 
(10)在“配置DNS”對話框中，單擊“下一步”按鈕。(如果在安裝活動目錄之前未配置DNS服務器，可在此讓安裝向導配置DNS，推薦使用這種方法。) 

(11)在“權限”對話框中為用戶和組選擇默認權限，考慮到現在大多數網絡環境中仍然需要使用Windows 2003以前的操作系統，所以選擇“與Windows 2000之前的服務器操作系統兼容的權限”選項，單擊“下一步”按鈕。 
(12)在“目錄服務恢復模式的管理員密碼”對話框中輸入以目錄恢復模式下的管理員密碼。單擊“下一步”按鈕。 

此時，安裝向導將顯示安裝摘要信息。單擊“下一步”按鈕即可開始安裝，安裝完成之后，重新啟動計算機即可。 
3.刪除活動目錄

運行dcpromo.exe文件，根據向導提示即可刪除活動目錄。 
(五)備份與恢復活動目錄

在Windows 2003中，備份與恢復活動目錄是一項非常重要的工作。你不能單獨備份活動目錄，因為Windows 2003將活動目錄作為系統狀態數據的一部分進行備份。系統狀態數據包括注冊表、系統啟動文件、類注冊數據庫、證書服務數據、文件復制服務、集群服務、域名服務和活動目錄等8部分，通常情況下只有前3部分。這8部分都不能單獨進行備份，必須作為系統狀態數據的一部分進行備份。 

1.備份活動目錄 
如果一個域內存在不止一臺域控制器，當重新安裝其中的一臺域控制器時，備份活動目錄并不是必需的，你只需要將其中的一臺域控制器從域中刪除，重新安裝，并使之回到域中，那么另外的域控制器自然會將數據復制到這臺域控制器上。如果一個域內只有一臺域控制器，那就有必要對活動目錄進行備份。 
(1)單擊“開始→程序→附件→系統工具→備份”菜單項，以啟動備份或還原向導。單擊“高級模式”選項，打開“備份工具”對話框，單擊“備份向導”按鈕。單擊“下一步”按鈕。 

(2)在“要備份的內容”對話框中，選擇“只備份系統狀態數據”選項。單擊“下一步”按鈕。 

(3)在“備份類型、目標和名稱”對話框中，輸入備份數據文件名，單擊“下一步”按鈕，完成備份向導。 
2.活動目錄的恢復 
有兩種辦法可以恢復活動目錄。 
第一種方法是從域的其他域控制器上恢復數據，前提是域內必須還有一臺域控制器是可用的，這時當損壞的域控制器重新安裝并加入到它原來的域時，域控制器之間會自動進行數據復制，活動目錄也會隨之恢復。　 
另一種方法就是從備份介質進行恢復。通常情況下，整個網絡環境中只有一臺域控制器，因此從介質恢復活動目錄是經常遇到的事情。 
從備份介質進行活動目錄恢復有兩種方式可以選擇：驗證方式(Authoritative Restore)和非驗證方式(Nonauthoritative Restore)。 
3.非驗證方式恢復 
通常情況下，Windows 2003使用非驗證方式恢復。活動目錄從備份介質中恢復以后，域內其他的域控制器會在復制過程中使用新的數據覆蓋舊的數據。 

要實現非驗證恢復，目錄服務必須處于離線狀態。同時，你必須使域服務器處于“目錄服務恢復模式”。重新啟動服務器，按下F8鍵展開系統啟動高級菜單，選擇其中的“目錄服務恢復模式”選項。當Windows 2003出現用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復操作了。 
注意：這里并不是在活動目錄中的管理員賬號和密碼。 
(1)單擊“開始→程序→附件→系統工具→備份”菜單項，以啟動備份或還原向導。單擊“高級模式”選項，打開“備份工具”對話框，單擊“還原向導”按鈕。單擊“下一步”按鈕。 
(2)在“還原項目”對話框中，選擇相應的備份文件，單擊“下一步”按鈕，完成數據恢復，重新啟動機器即可。 
注意：通常情況下，你不能恢復60天以前備份的活動目錄數據。 
4.驗證方式恢復

驗證模會將從備份介質恢復過來的數據強行復制到域內所有的域控制器上，無論從備份以后數據是否發生了變化。驗證模式恢復活動目錄通常用于活動目錄在域內某臺域控制器上發生了嚴重的錯誤，而且這種錯誤通過復制擴散到了域內的其他域控制器上。 
為實現驗證方式恢復，你必須首先實現非驗證方式恢復，然后使用NTDSUTIL命令行工具實現驗證式恢復。 
重新啟動服務器，按下F8鍵展開系統啟動高級菜單，選擇其中的“目錄服務恢復模式”選項。當Windows 2003出現用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復操作了。 
(1)單擊“開始→運行”菜單項，在出現的對話框中輸入“ntdsutil”，啟動命令行工具。　 
恢復整個活動目錄數據庫，可使用下列命令： 
authoritative restore 
restore database 
(2)恢復部分活動目錄數據，使用下列命令： 
authoritative restore 
restore subtree ou=works,dc=lanyi,dc=com 
第二行命令需要根據實際情況確定，比如你的域名字是lanyi.com，要恢復的OU是Works，即為上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此類推。 
最后使用quit命令退出，重新啟動機器即可。 
注意：有關活動目錄的管理與使用已超出本文講述范圍，讀者可參看相關圖書。

關鍵字：目錄服務、服務器、數據