2011年4月23日 WindowsServer2003域服務器的安裝與配置WindowsServer2003域服務器的安裝與配置Windows Server 2003(以下簡稱Windows 20

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

WindowsServer2003域服務器

的安裝與配置

Windows Server 2003(以下簡稱Windows 2003)具有高可靠性、可伸縮性和可管理性，它為加強聯(lián)網(wǎng)應用程序、網(wǎng)絡和XML Web服務的功能提供了高效的結構平臺。

在Windows 2003中，各種網(wǎng)絡服務以服務器角色出現(xiàn)，方便了用戶對網(wǎng)絡資源進行分配與管理。應用服務器角色對網(wǎng)絡進行管理，均需要有活動目錄服務、域名系統(tǒng)服務、動態(tài)主機配置協(xié)議服務、Windows Internet 命名服務的配合與支持。本文將向你重點講解上述4種服務的實現(xiàn)方法與技巧。

一、安裝和配置活動目錄服務

(一) 什么是活動目錄

活動目錄(Active Directory)是用于Windows 2003的目錄服務。它存儲著網(wǎng)絡上各種對象的有關信息，并使該信息易于管理員和用戶查找及使用?；顒幽夸浄帐褂媒Y構化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結構的基礎。

活動目錄具有信息安全性、基于策略的管理、可擴展性、可伸縮性、信息的復制、與DNS 集成、與其他目錄服務的互操作性、靈活查詢等優(yōu)點。

(二)DNS 與活動目錄

由于活動目錄與DNS(Domain Name System ，域名系統(tǒng)) 集成，共享相同的名稱空間結構，因此注意兩者之間的差異非常重要：

1.DNS 是一種名稱解析服務

DNS 客戶機向配置的DNS 服務器發(fā)送DNS 名稱查詢。DNS 服務器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其他DNS 服務器進行名稱解析。DNS 不需要活動目錄就能運行。

2. 活動目錄是一種目錄服務

活動目錄提供信息存儲庫以及讓用戶和應用程序訪問信息的服務?；顒幽夸浛蛻羰褂谩拜p量級目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)”向活動目錄服務器發(fā)送查詢。要定位活動目錄服務器，活動目錄客戶機將查詢DNS 。活動目錄需要DNS 才

1

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

能工作。即活動目錄用于組織資源，而DNS 用于查找資源；只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS 是活動目錄的關鍵組件，如果沒有DNS ，活動目錄就無法將用戶的請求解析成資源的IP 地址，因此在安裝和配置活動目錄之前，我們必須對DNS 有深入的理解。

(三) 規(guī)劃活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細致的規(guī)劃設計，讓用戶和管理員在使用時更為方便。

1. 規(guī)劃DNS

如果用戶準備使用活動目錄，則需要首先規(guī)劃名稱空間。當DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結構。所以，從活動目錄設計著手并用適當?shù)腄NS 名稱空間支持它。

在Windows 2003中，用DNS 名稱命名活動目錄域。選擇DNS 名稱用于活動目錄域時，以保留在Internet 上使用的已注冊DNS 域名后綴開始(如microsoft.com) ，并將該名稱和單位中使用的地理(部門) 名稱結合起來，組成活動目錄域的全名。例如，microsoft 的sales 組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。

2. 規(guī)劃用戶的域結構

最容易管理的域結構就是單域。規(guī)劃時，用戶應從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units) 來實現(xiàn)這個目標。然后，可以指定組策略設置并將用戶、組和計算機放在組織單元中。

3. 規(guī)劃用戶的委派模式

用戶可以將權限下派給單位中最底層部門，方法是在每個域中創(chuàng)建組織單元樹，并將部分組織單元子樹的權限委派給其他用戶或組。通過委派管理權限，用戶不再需要那些定期登錄到特定賬戶的人員，這些賬戶具有對整個域的管理權。盡管用戶還擁有帶整個域的管理授權的管理員賬戶和域管理員器組，可以仍保留這些賬戶以備少數(shù)管理員偶爾使用。

2

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

(四) 安裝活動目錄服務

運行活動目錄安裝向導將Windows 2003計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。

1. 安裝前的準備工作

首先，也是最重要的一點，就是你必須有安裝活動目錄的管理員權限，否則無法安裝。在安裝活動目錄之前，要確保系統(tǒng)盤為NTFS 分區(qū)。同時，已做好了DNS 服務器的解析，如lanyi.com 。

2. 安裝域控制器

在安裝活動目錄前首先確定DNS 服務正常工作，下面我們來安裝根域為lanyi.com 的域控制器。

(1)依次單擊“開始→設置→控制面板”菜單項，在“控制面板”對話框中雙擊“管理工具”項，然后在出現(xiàn)的對話框中雙擊“管理你的服務器向導”選項，啟動配置向導。單擊“添加或刪除角色”選項，單擊“下一步”按鈕。

(2)在“配置選項”對話框中，選擇“自定義配置”選項。單擊“下一步”按鈕。

(3)在“服務器角色”對話框中，選擇“域控制器(Active Directory)”選項，單擊“下一步”按鈕，將啟動活動目錄安裝向導。單擊“下一步”按鈕。

注意：你也可以運行位于C:Windowssystem32目錄下的dcpromo.exe 文件，啟動活動目錄安裝向導。

(4)由于用戶所建立的是域中的第一臺域控制器所以在“域控制器類型”對話框中選擇“新域的域控制器”選項。單擊“下一步”按鈕。

(5)在“創(chuàng)建一個新域”對話框中選擇“在新林中的域”選項。單擊“下一步”按鈕。

(6)在“新的域名”對話框中的“新域的DNS 全名”框中輸入需要創(chuàng)建的域名，這里是lanyi.com 。單擊“下一步”按鈕。

3

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

(7)在“NetBIOS名”對話框中，更改NetBIOS 名稱。運行非Windows 操作系統(tǒng)客戶端將使用NetBIOS 域名?？杀３帜J設置，單擊“下一步”按鈕。

(在“數(shù)據(jù)庫和日志文件文件夾”對話框中，將顯示數(shù)據(jù)庫、日志文件的保存位置，一般不作修改。單擊“下一步”按鈕。

(9)在“共享的系統(tǒng)卷”對話框中，指定作為系統(tǒng)卷共享的文件夾。Sysvol 文件夾存放域的公用文件的服務器副本。Sysvol 廣播的內容被復制到域中的所有域控制器，其文件夾位置一般不作修改。單擊“下一步”按鈕。

(10)在“配置DNS”對話框中，單擊“下一步”按鈕。(如果在安裝活動目錄之前未配置DNS 服務器，可在此讓安裝向導配置DNS ，推薦使用這種方法。)

(11)在“權限”對話框中為用戶和組選擇默認權限，考慮到現(xiàn)在大多數(shù)網(wǎng)絡環(huán)境中仍然需要使用Windows 2003以前的操作系統(tǒng)，所以選擇“與Windows 2000之前的服務器操作系統(tǒng)兼容的權限”選項，單擊“下一步”按鈕。

(12)在“目錄服務恢復模式的管理員密碼”對話框中輸入以目錄恢復模式下的管理員密碼。單擊“下一步”按鈕。

此時，安裝向導將顯示安裝摘要信息。單擊“下一步”按鈕即可開始安裝，安裝完成之后，重新啟動計算機即可。

3. 刪除活動目錄

運行dcpromo.exe 文件，根據(jù)向導提示即可刪除活動目錄。

(五) 備份與恢復活動目錄

在Windows 2003中，備份與恢復活動目錄是一項非常重要的工作。你不能單獨備份活動目錄，因為Windows 2003將活動目錄作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊表、系統(tǒng)啟動文件、類注冊數(shù)據(jù)庫、證書服務數(shù)據(jù)、文件復制服務、集群服務、域名服務和活動目錄等8部分，通常情況下只有前3部分。這8部分都不能單獨進行備份，必須作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。

1. 備份活動目錄

4

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

如果一個域內存在不止一臺域控制器，當重新安裝其中的一臺域控制器時，備份活動目錄并不是必需的，你只需要將其中的一臺域控制器從域中刪除，重新安裝，并使之回到域中，那么另外的域控制器自然會將數(shù)據(jù)復制到這臺域控制器上。如果一個域內只有一臺域控制器，那就有必要對活動目錄進行備份。

(1)單擊“開始→程序→附件→系統(tǒng)工具→備份”菜單項，以啟動備份或還原向導。單擊“高級模式”選項，打開“備份工具”對話框，單擊“備份向導”按鈕。單擊“下一步”按鈕。

(2)在“要備份的內容”對話框中，選擇“只備份系統(tǒng)狀態(tài)數(shù)據(jù)”選項。單擊“下一步”按鈕。

(3)在“備份類型、目標和名稱”對話框中，輸入備份數(shù)據(jù)文件名，單擊“下一步”按鈕，完成備份向導。

2. 活動目錄的恢復

有兩種辦法可以恢復活動目錄。

第一種方法是從域的其他域控制器上恢復數(shù)據(jù)，前提是域內必須還有一臺域控制器是可用的，這時當損壞的域控制器重新安裝并加入到它原來的域時，域控制器之間會自動進行數(shù)據(jù)復制，活動目錄也會隨之恢復。

另一種方法就是從備份介質進行恢復。通常情況下，整個網(wǎng)絡環(huán)境中只有一臺域控制器，因此從介質恢復活動目錄是經常遇到的事情。

從備份介質進行活動目錄恢復有兩種方式可以選擇：驗證方式(Authoritative Restore) 和非驗證方式(Nonauthoritative Restore)。

3. 非驗證方式恢復

通常情況下，Windows 2003使用非驗證方式恢復?；顒幽夸洀膫浞萁橘|中恢復以后，域內其他的域控制器會在復制過程中使用新的數(shù)據(jù)覆蓋舊的數(shù)據(jù)。

要實現(xiàn)非驗證恢復，目錄服務必須處于離線狀態(tài)。同時，你必須使域服務器處于“目錄服務恢復模式”。重新啟動服務器，按下F8鍵展開系統(tǒng)啟動高級菜單，選擇其中的“目錄

5

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

服務恢復模式”選項。當Windows 2003出現(xiàn)用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復操作了。

注意：這里并不是在活動目錄中的管理員賬號和密碼。

(1)單擊“開始→程序→附件→系統(tǒng)工具→備份”菜單項，以啟動備份或還原向導。單擊“高級模式”選項，打開“備份工具”對話框，單擊“還原向導”按鈕。單擊“下一步”按鈕。

(2)在“還原項目”對話框中，選擇相應的備份文件，單擊“下一步”按鈕，完成數(shù)據(jù)恢復，重新啟動機器即可。

注意：通常情況下，你不能恢復60天以前備份的活動目錄數(shù)據(jù)。

4. 驗證方式恢復

驗證模會將從備份介質恢復過來的數(shù)據(jù)強行復制到域內所有的域控制器上，無論從備份以后數(shù)據(jù)是否發(fā)生了變化。驗證模式恢復活動目錄通常用于活動目錄在域內某臺域控制器上發(fā)生了嚴重的錯誤，而且這種錯誤通過復制擴散到了域內的其他域控制器上。

為實現(xiàn)驗證方式恢復，你必須首先實現(xiàn)非驗證方式恢復，然后使用NTDSUTIL 命令行工具實現(xiàn)驗證式恢復。

重新啟動服務器，按下F8鍵展開系統(tǒng)啟動高級菜單，選擇其中的“目錄服務恢復模式”選項。當Windows 2003出現(xiàn)用戶登錄窗口時，輸入本地管理員賬戶和密碼，登錄成功后，就可以進行恢復操作了。

(1)單擊“開始→運行”菜單項，在出現(xiàn)的對話框中輸入“ntdsutil”，啟動命令行工具。

恢復整個活動目錄數(shù)據(jù)庫，可使用下列命令：

authoritative restore

restore database

6

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

(2)恢復部分活動目錄數(shù)據(jù)，使用下列命令：

authoritative restore

restore subtree ou=works,dc=lanyi,dc=com

第二行命令需要根據(jù)實際情況確定，比如你的域名字是lanyi.com ，要恢復的OU 是Works ，即為上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此類推。

最后使用quit 命令退出，重新啟動機器即可。

二、安裝和配置域名系統(tǒng)服務

域名系統(tǒng)服務(DNS)是在Internet 上使用的TCP/IP名稱解析服務。DNS 服務允許網(wǎng)絡上的客戶端計算機注冊和解析用戶的DNS 名稱。如果你計劃使你的資源在 Internet上可用，請將該服務器配置為DNS 服務器。

(一)DNS 基礎

1. 什么是DNS

DNS 即Domain Name System ，域名系統(tǒng)。它是一種組織成域層次結構的計算機和網(wǎng)絡服務命名系統(tǒng)。DNS 命名用于TCP/IP網(wǎng)絡，用來通過用戶的名稱定位計算機和服務。當用戶在應用程序中輸入DNS 名稱時，DNS 服務可以將此名稱解析為與此名稱相關的其他信息，如IP 地址。

由于IP 地址是一個32位的二進制數(shù)字，我們常常見到的是稱為點分十進制的IP 地址，它形如63.211.153.105，而域名就是形如www.microsoft.com 的名稱，但是計算機系統(tǒng)只認識IP 地址，必須要有一種方法把域名轉換為IP 地址，域名系統(tǒng)就是完成這種轉換的。

2.DNS 基本概念

(1)DNS域名空間：DNS 域名空間是一種樹狀結構，它指定了一個用于組織名稱的結構化的階層式域空間。如圖2所示。 目前由InterNIC 管理全世界的IP 地址，在InterNIC 之下的DNS 結構分為多個域。如圖2中，根域下的7個頂級域都歸InterNIC 管理，圖2中還顯示了由InterNIC 分配給微軟的域名空間。頂級域可以再細分為二級域，如“Microsoft”為公司名稱，而二級域又可以分成多級的子域，如example 、www ，在最下面一層被稱為

7

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

hostname(主機名稱) ，如host-a ，一般用戶使用完整的名稱來表示，如

host-a.example.microsoft.com 。

(2)DNS域名：DNS 利用完整的名稱方式來記錄和說明DNS 域名，就象用戶在命令行顯示一個文件或目錄的路徑，如C:WinntSystem32DriversEtcServices.txt。同樣在一個完整的DNS 域名中包含著多級域名。

如host-a.example.microsoft.com. 。其中，“host-a”是最基本的信息(一臺計算機的主機名稱) ；“example”表示主機名稱為host-a 的計算機在這個子域中注冊和使用它的主機名稱；“microsoft”是“example”的父域或相對的根域(即second-level domain)，“com”是用于表示商業(yè)機構的Top-level domain，最后的句點表示域名空間的根(root)。

(3)區(qū)域(zone)：區(qū)域是一個用于存儲單個DNS 域名的數(shù)據(jù)庫，它是域名稱空間樹狀結構的一部分，DNS 服務器是以區(qū)域為單位來管理域名空間的，區(qū)域中的數(shù)據(jù)保存在管理它的DNS 服務器中。當在現(xiàn)有的域中添加子域時，該子域既可以包含在現(xiàn)有的區(qū)域中，也可以為它創(chuàng)建一個新區(qū)域或包含在其他的區(qū)域中。一個DNS 服務器可以管理一個或多個區(qū)域，同時一個區(qū)域可以由多個DNS 服務器來管理。

用戶可以將一個域劃分成多個區(qū)域，分別進行管理以減輕網(wǎng)絡管理的負荷。

3.DNS 查詢的工作方式

當DNS 客戶機向DNS 服務器提出查詢請求時，每個查詢信息都包括兩部分信息。即一個指定的DNS 域名，要求使用完整名稱(FQDN)；指定查詢類型，既可以指定資源記錄類型又可以指定查詢操作的類型。

如指定的名稱為一臺計算機的完整主機名稱“host-a.example.microsoft.co m.”，指定的查詢類型為名稱的A(address)資源記錄?？梢岳斫鉃榭蛻魴C詢問服務器“你有關于計算機的主機名稱為‘hostname.example.microsoft.com.’的地址記錄嗎？”當客戶機收到服務器的回答信息時，它解讀該信息，從中獲得查詢名稱的IP 地址。

DNS 的查詢解析可以通過多種方式實現(xiàn)。客戶機利用緩存中記錄的以前查詢信息直接回答查詢請求，DNS 服務器利用緩存中的記錄信息回答查詢請求，DNS 服務器通過查詢其他服務器獲得查詢信息并將它發(fā)送給客戶機。這種查詢方式稱為遞歸查詢。

8

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

另外，客戶機通過DNS 服務器提供的地址直接嘗試向其他DNS 服務器提出查詢請求。這種查詢方式稱為反復查詢。當DNS 客戶機利用IP 地址查詢其名稱時，被稱為反向查詢。

當在客戶機Web 瀏覽器地址中輸入一個DNS 域名，則客戶機產生一個查詢，并將查詢傳給DNS 客戶服務時，利用本機的緩存信息進行解析，如果查詢信息可以被解析則完成了查詢。

如果在本地無法獲得查詢信息，則將查詢請求發(fā)送給DNS 服務器。查詢請求首先發(fā)送給主DNS 服務器，當DNS 服務器接到查詢后，首選在服務器管理的區(qū)域的記錄中查找，如果找到相應的記錄，則利用此記錄進行解析。如果沒有區(qū)域信息可以滿足查詢請求，服務器在本地的緩存中查找，如果找到相應的記錄則查詢過程結束。

如果在主DNS 服務器中仍無法查找到答案，則利用遞歸查詢進行名稱的全面解析，這需要網(wǎng)絡中的其他DNS 服務器協(xié)助，默認情況下服務器支持遞歸查詢。

為了DNS 服務器可以正常地進行遞歸查詢，首選需要一些關于在DNS 域名空間中的其他DNS 服務器的信息以便通信。信息以root hints的形式提供一個關于其他DNS 服務器的列表。利用root hints DNS服務器可以進行完整的遞歸查詢。

首先，主DNS 服務器解析這個完整名稱，以確定它屬于哪個頂級域，即com 。接著它利用轉寄查詢的方式向com DNS 服務器查詢以獲得 “microsoft.com”服務器的地址，然后以同樣的方法它從“microsoft.com”服務器獲得“example.microsoft.com”服務器的地址，最后它與名為“example.microsoft.com.”的DNS 服務器進行通信，由于用戶所要查詢的主機名稱包含在該服務器管理的區(qū)域中，它向主DNS 服務器方發(fā)送一個回答，主DNS 服務器將這個回答轉發(fā)給提出查詢的客戶機，到此遞歸查詢過程結束。

(二) 安裝DNS 服務器

(1)依次單擊“開始→設置→控制面板”菜單項，在“控制面板”對話框中雙擊“添加或刪除程序”項，然后在出現(xiàn)的對話框中單擊“添加/刪除Windows 組件”選項。

(2)在“Windows組件”對話框中，單擊“網(wǎng)絡服務”選項，然后單擊“詳細信息”按鈕，在出現(xiàn)的對話框中，單擊選中“域名系統(tǒng)(DNS)”選項。單擊“確定”按鈕。

(3)單擊“下一步”按鈕，將Windows Server 2003安裝光盤置入光驅，即開始安裝和配置DNS 組件。安裝完成，單擊“完成”按鈕即可。

9

2011年4月

23日 WindowsServer2003域服務器的安裝與配置

安裝結束后，會在“開始→程序→管理工具”菜單項中增加“DNS”菜單項。

(三)DNS 服務器的設置與管理

1. 添加DNS 區(qū)域

因為DNS 的數(shù)據(jù)是以區(qū)域為管理單位的，因此用戶必須先建立區(qū)域。

(1)依次單擊“開始→程序→管理工具→DNS”菜單項，打開DNS 控制臺。在左側窗格中選擇服務器，單擊“操作→新建區(qū)域”菜單命令，啟動新建區(qū)域向導。單擊“下一步”按鈕。

(2)在“區(qū)域類型”對話框中，選擇“主要區(qū)域”選項。單擊“下一步”按鈕。

(3)在“正向或反向查找區(qū)域”對話框中，選擇“正向查找區(qū)域”選項。單擊“下一步”按鈕。

(4)在“區(qū)域名稱”對話框中，輸入新區(qū)域的域名。如lanyi.com 。如果這里創(chuàng)建的是輔助區(qū)域則需要輸入“主要區(qū)域”的域名。單擊“下一步”按鈕。

(5)在“區(qū)域文件”對話框中，“創(chuàng)建新文件，文件名”框中已自動輸入了以域名為文件名的DNS 文件，如果是創(chuàng)建“輔助區(qū)域”，則選擇“使用此現(xiàn)存文件”選項，并在輸入文件名。單擊“下一步”按鈕。

(6)在“動態(tài)更新”對話框中，選擇“允許非安全和安全動態(tài)更新”選項，單擊“下一步”按鈕。在出現(xiàn)的對話框中，單擊“完成”按鈕即可。

2. 添加DNS 域

在一個區(qū)域中用戶還可以按地域、職能等劃分為多個子域便于管理，如用戶可以在lanyi.com 域中按部門劃分為“Sale”、“Accounting”、“MIS”、“Works”等部門。下面舉例說明在lanyi.com 域中加入Works 子域。

在DNS 控制臺中，單擊lanyi.com 服務器，單擊“操作→新建域”菜單命令，在出現(xiàn)的對話框中輸入域名，這里是“Works”。單擊“確定”按鈕即可。

10