標籤:
在Active Directory中提供了一組伺服器作為驗證服務器或登入伺服器,這類伺服器被稱作網域控制站(Domain Controller,簡稱DC)。建立一個AD域的過程實際就是在一台運行Windows 2000 Server或運行Windows Server 2003系統的電腦上安裝AD,使其成為DC的過程。安裝完AD後,在DC中將網路的其他電腦加入到AD域中並建立和系統管理使用者賬戶是管理AD域的重要內容。在運行Windows Server 2003(SP1)系統的伺服器中安裝Active Directory的步驟如下所述:步驟/方法
- 1第1步,在開始菜單中依次單擊“管理工具”→“配置您的伺服器嚮導”功能表項目,開啟“配置您的伺服器嚮導”對話方塊。在歡迎對話方塊中單擊依次單擊“下一步”→“下一步”按鈕。
- 2第2步,設定精靈檢測網路設定和網路連接是否正常,如果沒有發現問題則開啟“伺服器角色”對話方塊。在“伺服器角色”列表中選中“網域控制站(Active Directory)”選項,並單擊“下一步”按鈕,2008112501所示。
圖2008112501 選中“網域控制站(Active Directory)”選項
- 3第3步,在開啟的“選擇總結”對話方塊中直接單擊“下一步”按鈕。如果在當前伺服器中安裝了終端服務,則會提示使用者安裝Active Directory將改變終端伺服器的安全性原則。單擊“確定”按鈕即可,2008112502所示。
圖2008112502 單擊“確定”按鈕
- 4第4步,開啟“Active Directory安裝嚮導”對話方塊,在歡迎對話方塊中單擊“下一步”按鈕。
小提示:使用者也可以在“運行”對話方塊中輸入Dcpromo命令並按斷行符號鍵來開啟Active Directory安裝嚮導。
- 5第5步,在開啟的“作業系統相容性”對話方塊中,提示使用者運行舊版本Windows 系統的用戶端將無法登入到Windows Server 2003(SP1)系統域中。單擊“下一步”按鈕,2008112503所示。
圖2008112503 “作業系統相容性”對話方塊
- 6第6步,開啟“網域控制站類型”對話方塊,在該對話方塊中需要指定這台Windows Server 2003(SP1)系統伺服器擔任的角色。如果要建立一個全新的域,則必須選中“新域的網域控制站”單選框,並單擊“下一步”按鈕,2008112504所示。
圖2008112504 選中“新域的網域控制站”單選框
- 第7步,在開啟的“建立一個新域”對話方塊中,AD可以把域組織成域樹,然後把域樹組織成森林。如果要建立新域樹中的第一個域(也是新森林中的第一個域樹),則需要選中“在新林中的域”單選框,並單擊“下一步”按鈕,2008112505所示。
圖2008112505 選中“在新林中的域”單選框
- 第8步,開啟“新的網域名稱”對話方塊,在“新域的DNS全名”編輯框中輸入要使用的網域名稱,並單擊“下一步”按鈕,2008112506所示。
圖2008112506 “新的網域名稱”對話方塊
- 第9步,在開啟的“NetBIOS網域名稱”對話方塊中,需要為新域指定一個NetBIOS網域名稱。因為在企業的區域網路中可能運行著Windows 2000系統以前的版本(如Windows 9X系統),這些系統無法識別網域名稱。因此AD域為這些系統準備了一個它們能夠識別的網域名稱,即“NetBIOS網域名稱”。預設情況下,安裝嚮導會將網域名稱中分隔字元最左邊的部分作為NetBIOS網域名稱。使用者可以保留預設值,並單擊“下一步”按鈕,2008112507所示。
圖2008112507 “NetBIOS網域名稱”對話方塊
小提示:如果預設設定的NetBIOS網域名稱與網路中其他電腦的名稱相同,會提示電腦名稱衝突,並自動重新設定NetBIOS網域名稱,2008112508所示。
圖2008112508 提示使用者名稱稱衝突
- 第10步,開啟“資料庫和記錄檔檔案夾”對話方塊,在這裡需要設定兩個檔案夾的路徑。AD域把AD資料庫儲存為兩部分,一部分是AD資料庫檔案本身,另一部分是交易記錄。如果將AD資料庫檔案儲存在NTFS分區中,可以獲得明顯優於FAT分區的效能。而如果將交易記錄檔儲存在跟AD資料檔案不同的物理硬碟上(且使用不同的IDE通道),則可以實現AD資料庫和日誌的同時更新,所獲得的效能提高同樣非常明顯。如果電腦中只安裝一塊硬碟系統,則可以保持預設路徑,並單擊“下一步”按鈕,2008112509所示。
圖2008112509 “資料庫和記錄檔檔案夾”對話方塊
- 第11步,在開啟的“共用的系統磁碟區”對話方塊中,需要為Sysvol檔案夾選擇一個NTFS格式的分區路徑。Sysvol檔案夾中儲存有AD域中重要的使用者配置和控制資訊檔(如“系統策略檔案”、“預設設定檔”和“登入指令檔”等),並且該檔案夾會自動地被複製到其他的DC中,實現域資訊的同步更新。但是系統對Sysvol檔案夾的自動複製需要NTFS分區的支援,這也是在表8-1中所提到的需要一個NTFS分區的原因。本例中硬碟的C區是一個NTFS分區,因此保持預設路徑並單擊“下一步”按鈕,2008112510所示。
圖2008112510 “共用的系統磁碟區”對話方塊
- 第12步,稍等一段時間會開啟“DNS註冊診斷”對話方塊,在列出的診斷結果中可以看到出錯提示。這是因為這台伺服器未正確配置DNS服務,因此這裡選中“在這台電腦上安裝並配置DNS伺服器,並將這台DNS伺服器設為這台電腦的首選DNS伺服器”單選框。單擊“下一步”按鈕,2008112511所示。
圖2008112511 “DNS註冊診斷”對話方塊
小提示:DNS是AD域的基礎,AD會把網域控制站和全域目錄伺服器列表格儲存體在DNS中,因此在網路中存在一台DNS伺服器是必需的。當然也可以在安裝AD的過程中讓安裝嚮導在DC上自動化佈建DNS伺服器,這種方式比較適合對DNS和AD域不熟悉者使用。
- 第13步,在開啟的“許可權”對話方塊中,需要設定使用者和組對象的預設許可權。其實這裡所說的許可權主要涉及到RAS(Remote Access Server,遠端存取能伺服器)的匿名登入問題。因為在NT4域中,RAS在沒有匿名登入的域中是無法工作的。如果確信商業網路中的伺服器系統均在Windows 2000 Server以上,則建議選中“只與Windows 2000或Windows Server 2003系統作業系統相容的許可權”複選框。因為該選項將關閉RAS伺服器的匿名登入,從而提高安全性。單擊“下一步”按鈕,2008112512所示。
圖2008112512 “許可權”對話方塊
- 第14步,開啟“目錄服務還原模式的管理員密碼”對話方塊,設定一組還原密碼。在Windows 2000 Server和Windows Server 2003(SP1)系統的啟動過程中,有一個選項可以用來重建被損壞的AD資料庫,並把它恢複到內部一致的一個較早期版本。然而這是一把雙刃劍,因為重建資料庫與破壞資料庫在破壞者眼中是一個道理,因此設定還原密碼很有必要。單擊“下一步”按鈕,2008112513所示。
圖2008112513 “目錄服務還原模式的管理員密碼”對話方塊
小提示:設定的還原密碼應該符合密碼原則,在使用者更改或建立密碼時會被強制執行該策略。密碼原則主要包括以下兩個方面:
★不包含全部或部分的使用者賬戶名;
★長度至少為六個字元,必須同時包含英文大寫字母(從A到Z)、英文小寫字母(從a到z)、10個基本數字(從0到9)和非字母字元(例如,!、$、#、%)四個類別中的三個字母。
- 第15步,在“摘要”對話方塊中確認所做的設定正確無誤,單擊“下一步”按鈕開始安裝AD。在安裝過程中會開啟“Windows安裝程式”對話方塊安裝DNS伺服器,並要求插入Windows Server 2003(SP1)系統安裝光碟片或指定系統安裝源檔案。AD的安裝過程較漫長,一般需要20~30分鐘的時間,2008112514所示。
圖2008112514 正在安裝Active Directory
- 第16步,安裝結束後單擊“完成”按鈕,並根據提示重新啟動電腦即可,2008112515所示。
圖2008112515 完成Active Directory安裝嚮導END
軟體基本資料
AD域的安裝(在Windows Server 2003中安裝Active Directory)
