window
在Windows 2003中,各種網路服務以伺服器角色出現,方便了使用者對網路資源進行分配與管理。應用伺服器角色對網路進行管理,均需要有活動目錄服務、網域名稱系統服務、動態主機設定通訊協定服務、Windows Internet命名服務的配合與支援。本文將向你重點講解上述活動目錄服務務的實現方法與技巧。
(一)什麼是活動目錄
活動目錄(Active Directory)是用於Windows 2003的目錄服務。它儲存著網路上各種對象的有關資訊,並使該資訊易於管理員和使用者尋找及使用。活動目錄服務使用結構化的資料存放區作為目錄資訊的邏輯階層的基礎。
活動目錄具有資訊安全性、原則式管理、可擴充性、延展性、資訊的複製、與DNS整合、與其他目錄服務的互通性、靈活查詢等優點。
(二)DNS與活動目錄
由於活動目錄與DNS(Domain Name System,網域名稱系統)整合,共用相同的名稱空間結構,因此注意兩者之間的差異非常重要:
1.DNS是一種名稱解析服務
DNS客戶機向配置的DNS伺服器發送DNS名稱查詢。DNS伺服器接收名稱查詢,然後通過本機存放區的檔案解析名稱查詢,或者查詢其他DNS伺服器進行名稱解析。DNS不需要活動目錄就能運行。
2.活動目錄是一種目錄服務
活動目錄提供資訊存放庫以及讓使用者和應用程式訪問資訊的服務。活動目錄客戶使用“輕量級目錄訪問協議(Lightweight Directory Access Protocol,LDAP)”向活動目錄伺服器發送查詢。要定位活動目錄伺服器,活動目錄客戶機將查詢DNS。活動目錄需要DNS才能工作。
即活動目錄用於組織資源,而DNS用於尋找資源;只有它們共同工作才能為使用者或其他請求類似資訊的過程返回資訊。DNS是活動目錄的關鍵組件,如果沒有DNS,活動目錄就無法將使用者的請求解析成資源的IP地址,因此在安裝和配置活動目錄之前,我們必須對DNS有深入的理解。
(三)規劃活動目錄
在安裝活動目錄之前,我們首先要對活動目錄的結構進行細緻的規劃設計,讓使用者和管理員在使用時更為方便。
1.規劃DNS
如果使用者準備使用活動目錄,則需要首先規劃名稱空間。當DNS網域名稱稱空間可在Windows 2003中正確執行之前,需要有可用的活動目錄結構。所以,從活動目錄設計著手並用適當的DNS名稱空間支援它。
在Windows 2003中,用DNS名稱命名活動目錄域。選擇DNS名稱用於活動目錄域時,以保留在Internet上使用的登入DNS網域名稱尾碼開始(如microsoft.com),並將該名稱和單位中使用的地理(部門)名稱結合起來,組成活動目錄域的全名。例如,microsoft的sales組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄網域名稱是全球唯一的。而且,這種命名方法一旦被採用,使用現有名稱作為建立其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。
2.規劃使用者的域結構
最容易管理的域結構就是單域。規劃時,使用者應從單域開始,並且只有在單域模式不能滿足使用者的要求時,才增加其他的域。單域可跨越多個地理網站,並且單個網站可包含屬於多個域的使用者和電腦。在一個域中,可以使用組織單元(OU,Organizational Units)來實現這個目標。然後,可以指定組原則設定並將使用者、組和電腦放在組織單元中。
3.規劃使用者的委派模式
使用者可以將許可權下派給單位中最底層部門,方法是在每個域中建立組織單元樹,並將部分組織單元子樹的許可權委派給其他使用者或組。通過委派系統管理權限,使用者不再需要那些定期登入到特定賬戶的人員,這些賬戶具有對整個域的管理權。儘管使用者還擁有帶整個域的管理授權的管理員賬戶和網域系統管理員器組,可以仍保留這些賬戶以備少數管理員偶爾使用。
(四)安裝活動目錄服務
運行活動目錄安裝嚮導將Windows 2003電腦升級為網域控制站會建立一個新域或者向現有的域添加其他網域控制站。
1.安裝前的準備工作
首先,也是最重要的一點,就是你必須有安裝活動目錄的管理員權限,否則無法安裝。在安裝活動目錄之前,要確保系統硬碟為NTFS分區。同時,已做好了DNS伺服器的解析,如lanyi.com。
2.安裝網域控制站
在安裝活動目錄前首先確定DNS服務正常工作,下面我們來安裝根域為lanyi.com的網域控制站。
(1)依次單擊“開始→設定→控制台”功能表項目,在“控制台”對話方塊中雙擊“管理工具”項,然後在出現的對話方塊中雙擊“管理你的伺服器嚮導”選項,啟動設定精靈。單擊“添加或刪除角色”選項,單擊“下一步”按鈕。
(2)在“配置選項”對話方塊中,選擇“自訂配置”選項。單擊“下一步”按鈕。
(3)在“伺服器角色”對話方塊中,選擇“網域控制站(Active Directory)”選項,單擊“下一步”按鈕,將啟動活動目錄安裝嚮導。單擊“下一步”按鈕。
注意:你也可以運行位於C:\Windows\system32目錄下的dcpromo.exe檔案,啟動活動目錄安裝嚮導。
(4)由於使用者所建立的是域中的第一台網域控制站所以在“網域控制站類型”對話方塊中選擇“新域的網域控制站”選項。單擊“下一步”按鈕。
(5)在“建立一個新域”對話方塊中選擇“在新林中的域”選項。單擊“下一步”按鈕。
(6)在“新的網域名稱”對話方塊中的“新域的DNS全名”框中輸入需要建立的網域名稱,這裡是lanyi.com。單擊“下一步”按鈕。
(7)在“NetBIOS名”對話方塊中,更改NetBIOS名稱。運行非Windows作業系統用戶端將使用NetBIOS網域名稱。可保持預設設定,單擊“下一步”按鈕。
(8)在“資料庫和記錄檔檔案夾”對話方塊中,將顯示資料庫、記錄檔的儲存位置,一般不作修改。單擊“下一步”按鈕。
(9)在“共用的系統磁碟區”對話方塊中,指定作為系統磁碟區共用的檔案夾。Sysvol檔案夾存放域的公用檔案的伺服器複本。Sysvol廣播的內容被複製到域中的所有網域控制站,其檔案夾位置一般不作修改。單擊“下一步”按鈕。
(10)在“配置DNS”對話方塊中,單擊“下一步”按鈕。(如果在安裝活動目錄之前未配置DNS伺服器,可在此讓安裝嚮導配置DNS,推薦使用這種方法。)
(11)在“許可權”對話方塊中為使用者和組選擇預設許可權,考慮到現在大多數網路環境中仍然需要使用Windows 2003以前的作業系統,所以選擇“與Windows 2000之前的伺服器作業系統相容的許可權”選項,單擊“下一步”按鈕。
(12)在“目錄服務復原模式的管理員密碼”對話方塊中輸入以目錄復原模式下的管理員密碼。單擊“下一步”按鈕。
此時,安裝嚮導將顯示安裝摘要資訊。單擊“下一步”按鈕即可開始安裝,安裝完成之後,重新啟動電腦即可。
3.刪除活動目錄
運行dcpromo.exe檔案,根據嚮導提示即可刪除活動目錄。
(五)備份與恢複活動目錄
在Windows 2003中,備份與恢複活動目錄是一項非常重要的工作。你不能單獨備份活動目錄,因為Windows 2003將活動目錄作為系統狀態資料的一部分進行備份。系統狀態資料包括註冊表、系統開機檔案、類註冊資料庫、認證服務資料、檔案複寫服務 (FRS)、叢集服務、網域名稱服務 (DNS)和活動目錄等8部分,通常情況下只有前3部分。這8部分都不能單獨進行備份,必須作為系統狀態資料的一部分進行備份。
1.備份活動目錄
如果一個域記憶體在不止一台網域控制站,當重新安裝其中的一台網域控制站時,備份活動目錄並不是必需的,你只需要將其中的一台網域控制站從域中刪除,重新安裝,並使之回到域中,那麼另外的網域控制站自然會將資料複製到這台網域控制站上。如果一個域內只有一台網域控制站,那就有必要對活動目錄進行備份。
(1)單擊“開始→程式→附件→系統工具→備份”功能表項目,以啟動備份或還原嚮導。單擊“進階模式”選項,開啟“備份工具”對話方塊,單擊“備份嚮導”按鈕。單擊“下一步”按鈕。
(2)在“要備份的內容”對話方塊中,選擇“只備份系統狀態資料”選項。單擊“下一步”按鈕。
(3)在“備份類型、目標和名稱”對話方塊中,輸入備份資料檔案名,單擊“下一步”按鈕,完成備份嚮導。
2.活動目錄的恢複
有兩種辦法可以恢複活動目錄。
第一種方法是從域的其他網域控制站上恢複資料,前提是域內必須還有一台網域控制站是可用的,這時當損壞的網域控制站重新安裝並加入到它原來的域時,網域控制站之間會自動進行資料複製,活動目錄也會隨之恢複。
另一種方法就是從備份介質進行恢複。通常情況下,整個網路環境中只有一台網域控制站,因此從介質恢複活動目錄是經常遇到的事情。
從備份介質進行活動目錄恢複有兩種方式可以選擇:驗證方式(Authoritative Restore)和非驗證方式(Nonauthoritative Restore)。
3.非驗證方式恢複
通常情況下,Windows 2003使用非驗證方式恢複。活動目錄從備份介質中恢複以後,域內其他的網域控制站會在複製過程中使用新的資料覆蓋舊的資料。
要實現非驗證恢複,目錄服務必須處於離線狀態。同時,你必須使網域服務器處於“目錄服務復原模式”。重新啟動伺服器,按下F8鍵展開系統啟動進階菜單,選擇其中的“目錄服務復原模式”選項。當Windows 2003出現使用者登入視窗時,輸入本地管理員賬戶和密碼,登入成功後,就可以進行恢複操作了。
注意:這裡並不是在活動目錄中的管理員帳號和密碼。
(1)單擊“開始→程式→附件→系統工具→備份”功能表項目,以啟動備份或還原嚮導。單擊“進階模式”選項,開啟“備份工具”對話方塊,單擊“還原嚮導”按鈕。單擊“下一步”按鈕。
(2)在“還原項目”對話方塊中,選擇相應的備份檔案,單擊“下一步”按鈕,完成資料恢複,重新啟動機器即可。
注意:通常情況下,你不能恢複60天以前備份的活動目錄資料。
4.驗證方式恢複
驗證模會將從備份介質恢複過來的資料強行複製到域內所有的網域控制站上,無論從備份以後資料是否發生了變化。驗證模式恢複活動目錄通常用於活動目錄在域內某台網域控制站上發生了嚴重的錯誤,而且這種錯誤通過複製擴散到了域內的其他網域控制站上。
為實現驗證方式恢複,你必須首先實現非驗證方式恢複,然後使用NTDSUTIL命令列工具實現驗證式恢複。
重新啟動伺服器,按下F8鍵展開系統啟動進階菜單,選擇其中的“目錄服務復原模式”選項。當Windows 2003出現使用者登入視窗時,輸入本地管理員賬戶和密碼,登入成功後,就可以進行恢複操作了。
(1)單擊“開始→運行”功能表項目,在出現的對話方塊中輸入“ntdsutil”,啟動命令列工具。
恢複整個活動目錄資料庫,可使用下列命令:
authoritative restore
restore database
(2)恢複部分活動目錄資料,使用下列命令:
authoritative restore
restore subtree ou=works,dc=lanyi,dc=com
第二行命令需要根據實際情況確定,比如你的網域名稱字是lanyi.com,要恢複的OU是Works,即為上式中的:restore subtree ou=works,dc=lanyi,dc=com,依此類推。
最後使用quit命令退出,重新啟動機器即可。
注意:有關活動目錄的管理與使用已超出本文講述範圍,讀者可參看相關圖書。