WindowsServer2003域服务器的安装与配置

2011年4月23日 WindowsServer2003域服务器的安装与配置WindowsServer2003域服务器的安装与配置Windows Server 2003(以下简称Windows 20

2011年4月

23日 WindowsServer2003域服务器的安装与配置

WindowsServer2003域服务器

的安装与配置

Windows Server 2003(以下简称Windows 2003)具有高可靠性、可伸缩性和可管理性，它为加强联网应用程序、网络和XML Web服务的功能提供了高效的结构平台。

在Windows 2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、Windows Internet 命名服务的配合与支持。本文将向你重点讲解上述4种服务的实现方法与技巧。

一、安装和配置活动目录服务

(一) 什么是活动目录

活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活查询等优点。

(二)DNS 与活动目录

由于活动目录与DNS(Domain Name System ，域名系统) 集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要：

1.DNS 是一种名称解析服务

DNS 客户机向配置的DNS 服务器发送DNS 名称查询。DNS 服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS 服务器进行名称解析。DNS 不需要活动目录就能运行。

2. 活动目录是一种目录服务

活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。要定位活动目录服务器，活动目录客户机将查询DNS 。活动目录需要DNS 才

1

2011年4月

23日 WindowsServer2003域服务器的安装与配置

能工作。即活动目录用于组织资源，而DNS 用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS 是活动目录的关键组件，如果没有DNS ，活动目录就无法将用户的请求解析成资源的IP 地址，因此在安装和配置活动目录之前，我们必须对DNS 有深入的理解。

(三) 规划活动目录

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。

1. 规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。当DNS 域名称空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS 名称空间支持它。

在Windows 2003中，用DNS 名称命名活动目录域。选择DNS 名称用于活动目录域时，以保留在Internet 上使用的已注册DNS 域名后缀开始(如microsoft.com) ，并将该名称和单位中使用的地理(部门) 名称结合起来，组成活动目录域的全名。例如，microsoft 的sales 组可能称他们的域为“sales.microsoft.com”。这种命名方法确保每个活动目录域名是全球唯一的。而且，这种命名方法一旦被采用，使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。

2. 规划用户的域结构

最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units) 来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

3. 规划用户的委派模式

用户可以将权限下派给单位中最底层部门，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员偶尔使用。

2

2011年4月

23日 WindowsServer2003域服务器的安装与配置

(四) 安装活动目录服务

运行活动目录安装向导将Windows 2003计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。

1. 安装前的准备工作

首先，也是最重要的一点，就是你必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS 分区。同时，已做好了DNS 服务器的解析，如lanyi.com 。

2. 安装域控制器

在安装活动目录前首先确定DNS 服务正常工作，下面我们来安装根域为lanyi.com 的域控制器。

(1)依次单击“开始→设置→控制面板”菜单项，在“控制面板”对话框中双击“管理工具”项，然后在出现的对话框中双击“管理你的服务器向导”选项，启动配置向导。单击“添加或删除角色”选项，单击“下一步”按钮。

(2)在“配置选项”对话框中，选择“自定义配置”选项。单击“下一步”按钮。

(3)在“服务器角色”对话框中，选择“域控制器(Active Directory)”选项，单击“下一步”按钮，将启动活动目录安装向导。单击“下一步”按钮。

注意：你也可以运行位于C:Windowssystem32目录下的dcpromo.exe 文件，启动活动目录安装向导。

(4)由于用户所建立的是域中的第一台域控制器所以在“域控制器类型”对话框中选择“新域的域控制器”选项。单击“下一步”按钮。

(5)在“创建一个新域”对话框中选择“在新林中的域”选项。单击“下一步”按钮。

(6)在“新的域名”对话框中的“新域的DNS 全名”框中输入需要创建的域名，这里是lanyi.com 。单击“下一步”按钮。

3

2011年4月

23日 WindowsServer2003域服务器的安装与配置

(7)在“NetBIOS名”对话框中，更改NetBIOS 名称。运行非Windows 操作系统客户端将使用NetBIOS 域名。可保持默认设置，单击“下一步”按钮。

(在“数据库和日志文件文件夹”对话框中，将显示数据库、日志文件的保存位置，一般不作修改。单击“下一步”按钮。

(9)在“共享的系统卷”对话框中，指定作为系统卷共享的文件夹。Sysvol 文件夹存放域的公用文件的服务器副本。Sysvol 广播的内容被复制到域中的所有域控制器，其文件夹位置一般不作修改。单击“下一步”按钮。

(10)在“配置DNS”对话框中，单击“下一步”按钮。(如果在安装活动目录之前未配置DNS 服务器，可在此让安装向导配置DNS ，推荐使用这种方法。)

(11)在“权限”对话框中为用户和组选择默认权限，考虑到现在大多数网络环境中仍然需要使用Windows 2003以前的操作系统，所以选择“与Windows 2000之前的服务器操作系统兼容的权限”选项，单击“下一步”按钮。

(12)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。单击“下一步”按钮。

此时，安装向导将显示安装摘要信息。单击“下一步”按钮即可开始安装，安装完成之后，重新启动计算机即可。

3. 删除活动目录

运行dcpromo.exe 文件，根据向导提示即可删除活动目录。

(五) 备份与恢复活动目录

在Windows 2003中，备份与恢复活动目录是一项非常重要的工作。你不能单独备份活动目录，因为Windows 2003将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分，通常情况下只有前3部分。这8部分都不能单独进行备份，必须作为系统状态数据的一部分进行备份。

1. 备份活动目录

4

2011年4月

23日 WindowsServer2003域服务器的安装与配置

如果一个域内存在不止一台域控制器，当重新安装其中的一台域控制器时，备份活动目录并不是必需的，你只需要将其中的一台域控制器从域中删除，重新安装，并使之回到域中，那么另外的域控制器自然会将数据复制到这台域控制器上。如果一个域内只有一台域控制器，那就有必要对活动目录进行备份。

(1)单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“备份向导”按钮。单击“下一步”按钮。

(2)在“要备份的内容”对话框中，选择“只备份系统状态数据”选项。单击“下一步”按钮。

(3)在“备份类型、目标和名称”对话框中，输入备份数据文件名，单击“下一步”按钮，完成备份向导。

2. 活动目录的恢复

有两种办法可以恢复活动目录。

第一种方法是从域的其他域控制器上恢复数据，前提是域内必须还有一台域控制器是可用的，这时当损坏的域控制器重新安装并加入到它原来的域时，域控制器之间会自动进行数据复制，活动目录也会随之恢复。

另一种方法就是从备份介质进行恢复。通常情况下，整个网络环境中只有一台域控制器，因此从介质恢复活动目录是经常遇到的事情。

从备份介质进行活动目录恢复有两种方式可以选择：验证方式(Authoritative Restore) 和非验证方式(Nonauthoritative Restore)。

3. 非验证方式恢复

通常情况下，Windows 2003使用非验证方式恢复。活动目录从备份介质中恢复以后，域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。

要实现非验证恢复，目录服务必须处于离线状态。同时，你必须使域服务器处于“目录服务恢复模式”。重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录

5

2011年4月

23日 WindowsServer2003域服务器的安装与配置

服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

注意：这里并不是在活动目录中的管理员账号和密码。

(1)单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“还原向导”按钮。单击“下一步”按钮。

(2)在“还原项目”对话框中，选择相应的备份文件，单击“下一步”按钮，完成数据恢复，重新启动机器即可。

注意：通常情况下，你不能恢复60天以前备份的活动目录数据。

4. 验证方式恢复

验证模会将从备份介质恢复过来的数据强行复制到域内所有的域控制器上，无论从备份以后数据是否发生了变化。验证模式恢复活动目录通常用于活动目录在域内某台域控制器上发生了严重的错误，而且这种错误通过复制扩散到了域内的其他域控制器上。

为实现验证方式恢复，你必须首先实现非验证方式恢复，然后使用NTDSUTIL 命令行工具实现验证式恢复。

重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

(1)单击“开始→运行”菜单项，在出现的对话框中输入“ntdsutil”，启动命令行工具。

恢复整个活动目录数据库，可使用下列命令：

authoritative restore

restore database

6

2011年4月

23日 WindowsServer2003域服务器的安装与配置

(2)恢复部分活动目录数据，使用下列命令：

authoritative restore

restore subtree ou=works,dc=lanyi,dc=com

第二行命令需要根据实际情况确定，比如你的域名字是lanyi.com ，要恢复的OU 是Works ，即为上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此类推。

最后使用quit 命令退出，重新启动机器即可。

二、安装和配置域名系统服务

域名系统服务(DNS)是在Internet 上使用的TCP/IP名称解析服务。DNS 服务允许网络上的客户端计算机注册和解析用户的DNS 名称。如果你计划使你的资源在 Internet上可用，请将该服务器配置为DNS 服务器。

(一)DNS 基础

1. 什么是DNS

DNS 即Domain Name System ，域名系统。它是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，用来通过用户的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如IP 地址。

由于IP 地址是一个32位的二进制数字，我们常常见到的是称为点分十进制的IP 地址，它形如63.211.153.105，而域名就是形如www.microsoft.com 的名称，但是计算机系统只认识IP 地址，必须要有一种方法把域名转换为IP 地址，域名系统就是完成这种转换的。

2.DNS 基本概念

(1)DNS域名空间：DNS 域名空间是一种树状结构，它指定了一个用于组织名称的结构化的阶层式域空间。如图2所示。 目前由InterNIC 管理全世界的IP 地址，在InterNIC 之下的DNS 结构分为多个域。如图2中，根域下的7个顶级域都归InterNIC 管理，图2中还显示了由InterNIC 分配给微软的域名空间。顶级域可以再细分为二级域，如“Microsoft”为公司名称，而二级域又可以分成多级的子域，如example 、www ，在最下面一层被称为

7

2011年4月

23日 WindowsServer2003域服务器的安装与配置

hostname(主机名称) ，如host-a ，一般用户使用完整的名称来表示，如

host-a.example.microsoft.com 。

(2)DNS域名：DNS 利用完整的名称方式来记录和说明DNS 域名，就象用户在命令行显示一个文件或目录的路径，如C:WinntSystem32DriversEtcServices.txt。同样在一个完整的DNS 域名中包含着多级域名。

如host-a.example.microsoft.com. 。其中，“host-a”是最基本的信息(一台计算机的主机名称) ；“example”表示主机名称为host-a 的计算机在这个子域中注册和使用它的主机名称；“microsoft”是“example”的父域或相对的根域(即second-level domain)，“com”是用于表示商业机构的Top-level domain，最后的句点表示域名空间的根(root)。

(3)区域(zone)：区域是一个用于存储单个DNS 域名的数据库，它是域名称空间树状结构的一部分，DNS 服务器是以区域为单位来管理域名空间的，区域中的数据保存在管理它的DNS 服务器中。当在现有的域中添加子域时，该子域既可以包含在现有的区域中，也可以为它创建一个新区域或包含在其他的区域中。一个DNS 服务器可以管理一个或多个区域，同时一个区域可以由多个DNS 服务器来管理。

用户可以将一个域划分成多个区域，分别进行管理以减轻网络管理的负荷。

3.DNS 查询的工作方式

当DNS 客户机向DNS 服务器提出查询请求时，每个查询信息都包括两部分信息。即一个指定的DNS 域名，要求使用完整名称(FQDN)；指定查询类型，既可以指定资源记录类型又可以指定查询操作的类型。

如指定的名称为一台计算机的完整主机名称“host-a.example.microsoft.co m.”，指定的查询类型为名称的A(address)资源记录。可以理解为客户机询问服务器“你有关于计算机的主机名称为‘hostname.example.microsoft.com.’的地址记录吗？”当客户机收到服务器的回答信息时，它解读该信息，从中获得查询名称的IP 地址。

DNS 的查询解析可以通过多种方式实现。客户机利用缓存中记录的以前查询信息直接回答查询请求，DNS 服务器利用缓存中的记录信息回答查询请求，DNS 服务器通过查询其他服务器获得查询信息并将它发送给客户机。这种查询方式称为递归查询。

8

2011年4月

23日 WindowsServer2003域服务器的安装与配置

另外，客户机通过DNS 服务器提供的地址直接尝试向其他DNS 服务器提出查询请求。这种查询方式称为反复查询。当DNS 客户机利用IP 地址查询其名称时，被称为反向查询。

当在客户机Web 浏览器地址中输入一个DNS 域名，则客户机产生一个查询，并将查询传给DNS 客户服务时，利用本机的缓存信息进行解析，如果查询信息可以被解析则完成了查询。

如果在本地无法获得查询信息，则将查询请求发送给DNS 服务器。查询请求首先发送给主DNS 服务器，当DNS 服务器接到查询后，首选在服务器管理的区域的记录中查找，如果找到相应的记录，则利用此记录进行解析。如果没有区域信息可以满足查询请求，服务器在本地的缓存中查找，如果找到相应的记录则查询过程结束。

如果在主DNS 服务器中仍无法查找到答案，则利用递归查询进行名称的全面解析，这需要网络中的其他DNS 服务器协助，默认情况下服务器支持递归查询。

为了DNS 服务器可以正常地进行递归查询，首选需要一些关于在DNS 域名空间中的其他DNS 服务器的信息以便通信。信息以root hints的形式提供一个关于其他DNS 服务器的列表。利用root hints DNS服务器可以进行完整的递归查询。

首先，主DNS 服务器解析这个完整名称，以确定它属于哪个顶级域，即com 。接着它利用转寄查询的方式向com DNS 服务器查询以获得 “microsoft.com”服务器的地址，然后以同样的方法它从“microsoft.com”服务器获得“example.microsoft.com”服务器的地址，最后它与名为“example.microsoft.com.”的DNS 服务器进行通信，由于用户所要查询的主机名称包含在该服务器管理的区域中，它向主DNS 服务器方发送一个回答，主DNS 服务器将这个回答转发给提出查询的客户机，到此递归查询过程结束。

(二) 安装DNS 服务器

(1)依次单击“开始→设置→控制面板”菜单项，在“控制面板”对话框中双击“添加或删除程序”项，然后在出现的对话框中单击“添加/删除Windows 组件”选项。

(2)在“Windows组件”对话框中，单击“网络服务”选项，然后单击“详细信息”按钮，在出现的对话框中，单击选中“域名系统(DNS)”选项。单击“确定”按钮。

(3)单击“下一步”按钮，将Windows Server 2003安装光盘置入光驱，即开始安装和配置DNS 组件。安装完成，单击“完成”按钮即可。

9

2011年4月

23日 WindowsServer2003域服务器的安装与配置

安装结束后，会在“开始→程序→管理工具”菜单项中增加“DNS”菜单项。

(三)DNS 服务器的设置与管理

1. 添加DNS 区域

因为DNS 的数据是以区域为管理单位的，因此用户必须先建立区域。

(1)依次单击“开始→程序→管理工具→DNS”菜单项，打开DNS 控制台。在左侧窗格中选择服务器，单击“操作→新建区域”菜单命令，启动新建区域向导。单击“下一步”按钮。

(2)在“区域类型”对话框中，选择“主要区域”选项。单击“下一步”按钮。

(3)在“正向或反向查找区域”对话框中，选择“正向查找区域”选项。单击“下一步”按钮。

(4)在“区域名称”对话框中，输入新区域的域名。如lanyi.com 。如果这里创建的是辅助区域则需要输入“主要区域”的域名。单击“下一步”按钮。

(5)在“区域文件”对话框中，“创建新文件，文件名”框中已自动输入了以域名为文件名的DNS 文件，如果是创建“辅助区域”，则选择“使用此现存文件”选项，并在输入文件名。单击“下一步”按钮。

(6)在“动态更新”对话框中，选择“允许非安全和安全动态更新”选项，单击“下一步”按钮。在出现的对话框中，单击“完成”按钮即可。

2. 添加DNS 域

在一个区域中用户还可以按地域、职能等划分为多个子域便于管理，如用户可以在lanyi.com 域中按部门划分为“Sale”、“Accounting”、“MIS”、“Works”等部门。下面举例说明在lanyi.com 域中加入Works 子域。

在DNS 控制台中，单击lanyi.com 服务器，单击“操作→新建域”菜单命令，在出现的对话框中输入域名，这里是“Works”。单击“确定”按钮即可。

10