AD域的安装（在Windows Server 2003中安装Active Directory）

在Active Directory中提供了一组服务器作为身份验证服务器或登录服务器，这类服务器被称作域控制器（Domain Controller，简称DC）。建立一个AD域的过程实际就是在一台运行Windows 2000 Server或运行Windows Server 2003系统的计算机上安装AD，使其成为DC的过程。安装完AD后，在DC中将网络的其他计算机加入到AD域中并创建和管理用户账户是管理AD域的重要内容。在运行Windows Server 2003（SP1）系统的服务器中安装Active Directory的步骤如下所述：

步骤/方法

1. 1
   第1步，在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项，打开“配置您的服务器向导”对话框。在欢迎对话框中单击依次单击“下一步”→“下一步”按钮。
2. 2
   第2步，配置向导检测网络设置和网络连接是否正常，如果没有发现问题则打开“服务器角色”对话框。在“服务器角色”列表中选中“域控制器（Active Directory）”选项，并单击“下一步”按钮，如图2008112501所示。
   图2008112501 选中“域控制器（Active Directory）”选项
    
3. 3
   第3步，在打开的“选择总结”对话框中直接单击“下一步”按钮。如果在当前服务器中安装了终端服务，则会提示用户安装Active Directory将改变终端服务器的安全策略。单击“确定”按钮即可，如图2008112502所示。
   图2008112502 单击“确定”按钮
    
4. 4
   第4步，打开“Active Directory安装向导”对话框，在欢迎对话框中单击“下一步”按钮。
   小提示：用户也可以在“运行”对话框中输入Dcpromo命令并按回车键来打开Active Directory安装向导。
5. 5
   第5步，在打开的“操作系统兼容性”对话框中，提示用户运行旧版本Windows 系统的客户端将无法登录到Windows Server 2003（SP1）系统域中。单击“下一步”按钮，如图2008112503所示。
   图2008112503 “操作系统兼容性”对话框
    
6. 6
   第6步，打开“域控制器类型”对话框，在该对话框中需要指定这台Windows Server 2003（SP1）系统服务器担任的角色。如果要创建一个全新的域，则必须选中“新域的域控制器”单选框，并单击“下一步”按钮，如图2008112504所示。
   图2008112504 选中“新域的域控制器”单选框
    
7.  
   第7步，在打开的“创建一个新域”对话框中，AD可以把域组织成域树，然后把域树组织成森林。如果要创建新域树中的第一个域（也是新森林中的第一个域树），则需要选中“在新林中的域”单选框，并单击“下一步”按钮，如图2008112505所示。
   图2008112505 选中“在新林中的域”单选框
    
8.  
   第8步，打开“新的域名”对话框，在“新域的DNS全名”编辑框中输入要使用的域名，并单击“下一步”按钮，如图2008112506所示。
   图2008112506 “新的域名”对话框
    
9.  
   第9步，在打开的“NetBIOS域名”对话框中，需要为新域指定一个NetBIOS域名。因为在企业的局域网中可能运行着Windows 2000系统以前的版本（如Windows 9X系统），这些系统无法识别域名。因此AD域为这些系统准备了一个它们能够识别的域名，即“NetBIOS域名”。默认情况下，安装向导会将域名中分隔符最左边的部分作为NetBIOS域名。用户可以保留默认值，并单击“下一步”按钮，如图2008112507所示。
   图2008112507 “NetBIOS域名”对话框
   小提示：如果默认设置的NetBIOS域名与网络中其他计算机的名称相同，会提示计算机名称冲突，并自动重新设置NetBIOS域名，如图2008112508所示。
   图2008112508 提示用户名称冲突
    

   
10.  
    第10步，打开“数据库和日志文件文件夹”对话框，在这里需要设置两个文件夹的路径。AD域把AD数据库存储为两部分，一部分是AD数据库文件本身，另一部分是事务日志。如果将AD数据库文件存储在NTFS分区中，可以获得明显优于FAT分区的性能。而如果将事务日志文件存储在跟AD数据文件不同的物理硬盘上（且使用不同的IDE通道），则可以实现AD数据库和日志的同时更新，所获得的性能提高同样非常明显。如果计算机中只安装一块硬盘系统，则可以保持默认路径，并单击“下一步”按钮，如图2008112509所示。
    图2008112509 “数据库和日志文件文件夹”对话框
     
11.  
    第11步，在打开的“共享的系统卷”对话框中，需要为Sysvol文件夹选择一个NTFS格式的分区路径。Sysvol文件夹中存储有AD域中重要的用户配置和控制信息文件（如“系统策略文件”、“默认配置文件”和“登录脚本”等），并且该文件夹会自动地被复制到其他的DC中，实现域信息的同步更新。但是系统对Sysvol文件夹的自动复制需要NTFS分区的支持，这也是在表8-1中所提到的需要一个NTFS分区的原因。本例中硬盘的C区是一个NTFS分区，因此保持默认路径并单击“下一步”按钮，如图2008112510所示。
    图2008112510 “共享的系统卷”对话框
     
12.  
    第12步，稍等一段时间会打开“DNS注册诊断”对话框，在列出的诊断结果中可以看到出错提示。这是因为这台服务器未正确配置DNS服务，因此这里选中“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框。单击“下一步”按钮，如图2008112511所示。
    图2008112511 “DNS注册诊断”对话框
    小提示：DNS是AD域的基础，AD会把域控制器和全局目录服务器列表存储在DNS中，因此在网络中存在一台DNS服务器是必需的。当然也可以在安装AD的过程中让安装向导在DC上自动设置DNS服务器，这种方式比较适合对DNS和AD域不熟悉者使用。
     
13.  
    第13步，在打开的“权限”对话框中，需要设定用户和组对象的默认权限。其实这里所说的权限主要涉及到RAS（Remote Access Server，远程访问能服务器）的匿名登录问题。因为在NT4域中，RAS在没有匿名登录的域中是无法工作的。如果确信企业网络中的服务器系统均在Windows 2000 Server以上，则建议选中“只与Windows 2000或Windows Server 2003系统操作系统兼容的权限”复选框。因为该选项将关闭RAS服务器的匿名登录，从而提高安全性。单击“下一步”按钮，如图2008112512所示。
    图2008112512 “权限”对话框
     
14.  
    第14步，打开“目录服务还原模式的管理员密码”对话框，设置一组还原密码。在Windows 2000 Server和Windows Server 2003（SP1）系统的启动过程中，有一个选项可以用来重建被损坏的AD数据库，并把它恢复到内部一致的一个较早期版本。然而这是一把双刃剑，因为重建数据库与破坏数据库在破坏者眼中是一个道理，因此设置还原密码很有必要。单击“下一步”按钮，如图2008112513所示。
    图2008112513 “目录服务还原模式的管理员密码”对话框
    小提示：设置的还原密码应该符合密码策略，在用户更改或创建密码时会被强制执行该策略。密码策略主要包括以下两个方面：
    ★不包含全部或部分的用户账户名；
    ★长度至少为六个字符，必须同时包含英文大写字母（从A到Z）、英文小写字母（从a到z）、10个基本数字（从0到9）和非字母字符（例如，!、$、#、%）四个类别中的三个字母。
     
15.  
    第15步，在“摘要”对话框中确认所做的设置正确无误，单击“下一步”按钮开始安装AD。在安装过程中会打开“Windows安装程序”对话框安装DNS服务器，并要求插入Windows Server 2003（SP1）系统安装光盘或指定系统安装源文件。AD的安装过程较漫长，一般需要20～30分钟的时间，如图2008112514所示。
    图2008112514 正在安装Active Directory
     
16.  
    第16步，安装结束后单击“完成”按钮，并根据提示重新启动计算机即可，如图2008112515所示。
    图2008112515 完成Active Directory安装向导
     
    END

软件基本信息