活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非像安装一般Windows组件那样简单，必须在安装前完成一系列的准备，并要注意事项如下。

1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS，活动目录需要一个SYSVOL文件夹来存储域共享文件，该文件夹必须创建在NTFS磁盘内，系统默认是将其新建在系统磁盘（安装Windows Server 2008的磁盘，它是NTFS磁盘）。如果要将其存储到其他磁盘的话，该磁盘必须是NTFS磁盘，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP。

2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域。选择根域最为关键。根域名字的选择可以有以下几种方案。

●使用一个已经注册的DNS域名作为活动目录的根域名，以使企业的公共网络和私有网络使用同样的DNS名称。

●使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

●活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部和互联网上呈现出两种完全不同的命名结构。

3）域名策划：目录域名通常是该域的完整DNS名称，如“abc.net”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

提示：在TCP/IP网络中，DNS（Domain Name System，域名解析）是用来解决计算机名字和IP地址的映射关系的。活动目录和DNS的关系密不可分，它使用DNS服务器来登记域控制器的IP、各种资源的定位等，因此在一个域林中至少要有一个DNS服务器存在。Windows Server 2008中的域也是采用DNS的格式来命名的。

为了本单元说明的方便，以图4-12所示的拓扑图为样本，在该网络的域林中有两个域树：cninfo.com和information.com，其中cninfo.com域树下有hb.cninfo.com子域，在cninfo.com域中有两个域控制器：a.cninfo.com和b.cninfo.com；hb.cninfo.com子域中除了有一个域控制器（a.hb.cninfo.com）外，还有一个成员服务器（b.hb.cninfo.com）。首先创建cninfo.com域树，然后再创建information.com域树，将其加入到林中。

图4-12 网络规划拓扑图

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。系统提供的活动目录安装向导，可以帮助用户配置自己的服务器，如果网络没有其他域控制器，可将服务器配置为域控制器，并新建子域、新建域目录树。如果网络中有其他域控制器，可以把服务器设置为附加域控制器，加入旧域、旧目录树。

在Windows Server 2008中安装活动目录可以参照下述步骤进行操作。

1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机（本例为192.168.1.27），然后选择“开始”→“服务器管理器”命令打开“服务器管理器”，在左侧选择“角色”一项之后，单击右部区域的“添加角色”链接，并且在如图4-13所示的对话框中选中“Active Directory域服务”复选框。

2）单击“下一步”按钮继续操作，在如图4-14所示的对话框中，针对域服务进行了相关的介绍。

图4-13 选择“Active Directory域服务”复选框

图4-14 域服务简介

3）单击“下一步”按钮继续操作，在如图4-15所示的对话框中显示了安装域服务的相关信息，确认安装可以单击“安装”按钮。

4）域服务安装完成之后，可以在如图4-16所示的对话框中查看到当前计算机已经安装了Active Directory域控制器，单击“关闭”按钮退出添加角色向导。

图4-15 域服务安装信息

图4-16 域服务安装成功

5）返回“服务器管理器”窗口，在如图4-17所示的窗口中可以查看到Active Directory域服务已经安装，但是还没有将当前服务器作为域控制器运行，因此需要单击右部窗格中蓝色的“运行Active Directory域服务安装向导（dcpromo.exe）”链接来继续安装域服务。也可以单击“开始”菜单，在搜索栏中输入dcpromo.exe命令打开域服务安装向导。

图4-17 在“服务器管理器”窗口查看域服务

6）在域服务安装向导的欢迎界面中可以选中“使用高级模式安装”复选框，这样可以对域服务器中更多的高级选项部分进行设置，如图4-18所示。单击“下一步”按钮继续操作。

7）在如图4-19所示的“操作系统兼容性”界面中，简单介绍了Windows Server 2008域控制器和以前版本的Windows之间有可能存在的兼容性问题，可以了解相关知识，然后单击“下一步”按钮。

图4-18 安装欢迎界面

图4-19 兼容性介绍

提示：由于Windows Server 2008域控制器的“允许与Windows NT 4.0兼容的密码编译算法”策略默认是不允许客户端采用安全性较差的旧式密码编译算法来跟Windows Server 2008域控制器通信。因此它会让Windows NT 4.0等采用旧式算法的客户端无法与Windows Server 2008域控制器连接。这个策略也会影响到SAMBA等非Microsoft的SMB客户端与NAS存储设备。可以通过启用此策略或在客户端安装更新程序的方式来解决此问题。

8）在如图4-20所示的“选择某一部署配置”界面中，如果以前曾在该服务器上安装过Active Directory，可以选择“现有林”下的“向现有域添加域控制器”或“在现有林中新建域”选项；如果是第一次安装，则建议选择“在新林中新建域”选项，然后单击“下一步”按钮继续操作。

9）在如图4-21所示“命名林根域”界面中的“目录林根级域的FQDN”文本框中输入“cninfo.com”，单击“下一步”按钮继续操作。

图4-20 选择“在新林中新建域”选项

图4-21 输入域名

提示：FQDN（Fully Qualified Domain Name，完全合格域名/全称域名）是指主机名加上全路径，全路径中列出了序列中所有域成员。它可以从逻辑上准确地表示出主机在什么地方。也可以说，FQDN是主机名的一种完全表示形式。完全合格域名在实际使用过程中是非常有用的，电子邮件就使用它作为收信人的电子邮件地址，例如lbj7681@angel.com.cn。

10）在如图4-22所示的“域NetBIOS名称”界面中，系统会自动出现默认的域NetBIOS名称，此时可以直接单击“下一步”按钮。

提示：除了DNS域名cninfo.com之外，系统会另外创建一个NetBIOS域名，它让不支持DNS域名的旧版的Windows系统（如Windows 98、Windows NT）能够通过NetBIOS域名来与此域通信。系统默认的NetBIOS域名为DNS域名第1个句点左边的文字，例如，DNS域名为cninfo.com，则NetBIOS域名为CNINFO。安装程序会检查DNS与NetBIOS域名是否已被使用。

11）在如图4-23所示的“设置林功能级别”界面中，可以选择多个不同的林功能级别：“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000”一项，然后单击“下一步”按钮。

图4-22 设置NetBIOS信息

图4-23 选择林功能级别(www.daowen.com)

提示：林和域的功能级别越高，兼容性越小，但是能使用更多域的功能，表4-1和表4-2分别阐述了域和林的每一个功能级别启用的重要特性，也展示了被每一个功能级别支持的域控制器操作系统。要注意的是，功能级别的提升是单向的。例如，选择Windows Server 2008的林功能级别，就不能再降为Windows Server 2003或是Windows 2000。

表4-1 林功能级

表4-2 域功能级

12）在如图4-24所示的“设置域功能级别”界面中，可以选择多个不同的域功能级别：“Windows 2000纯模式”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000纯模式”一项。

13）单击“下一步”按钮，在如图4-25所示的“其他域控制器选项”界面中，可以对域控制器的其他方面进行设置。系统会检测是否有已安装好的DNS，由于没有安装其他的DNS服务器，系统会自动选中“DNS服务器”复选框来一并安装DNS服务，使得该域控制器同时也作为一台DNS服务器，该域的DNS区域及该区域的授权会被自动创建。由于林中的第一台域控制器必须是全局编录服务器，且不能是只读域控制器（RODC），所以这两项为不可选状态。

图4-24 选择域功能级别

图4-25 设置其他域控制选项

提示：①有了域林之后，同一域林中的域控制器共享一个活动目录。这个活动目录是分散存放在各个域的域控制器上的，每个域中的域控制器存有该域的对象的信息。如果一个域的用户要访问另一个域中的资源，这个用户要能够查找到另一个域中的资源才行。为了让每一用户能够快速查找到另一个域内的对象，微软公司设计了全局编录（Global Catalog，GC）。全局编录包含了整个活动目录中每一个对象的最重要的属性（即部分属性，而不是全部），这使得用户或者应用程序即使不知道对象位于哪个域内，也可以迅速找到被访问的对象。②只读域控制器必须从域内运行Windows Server 2008的可写域控制器进行复制，因此仅当域内存在Windows Server 2008的可写域控制器的情况下添加一台只读域控制器至域时，该选项有效。

14）单击“下一步”按钮，在如图4-26所示的信息提示对话框中，单击“是”按钮继续安装，之后在活动目录的安装过程中，将在这台计算机上自动安装和配置DNS服务，并且自动配置自己为首选DNS服务器。

15）单击“下一步”按钮，在如图4-27所示的“数据库、日志文件和SYSVOL的位置”界面中，需要指定包含这些文件所在的卷及文件夹的位置。

图4-26 信息提示

图4-27 指定数据库、日志文件以及SYSVOL的位置

提示：数据库存储有关用户、计算机和网络中的其他对象的信息；日志文件记录与活动目录服务有关的活动，例如有关当前更新对象的信息；SYSVOL存储组策略对象和脚本。默认情况下，SYSVOL是位于%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。如果在计算机上安装有RAID（独立冗余磁盘阵列）或几块磁盘控制器，为了获得更好的性能和可恢复性，建议将数据库和日志文件分别存储在不包含程序或者其他非目录文件的不同卷（或磁盘）上。

16）单击“下一步”按钮，在如图4-28所示的“目录服务还原模式的Administrator密码”界面中输入两次完全一致的密码，用以创建目录服务还原模式的超级用户账户密码。

17）单击“下一步”按钮，在如图4-29所示的“摘要”界面中，可以查看在以上各步骤中配置的相关信息。

图4-28 创建目录服务还原模式的账户密码

图4-29 域服务安装摘要信息

提示：当启动Windows Server 2008时，在键盘上按＜F8＞键，在出现的启动选择菜单中选择“目录还原模式”选项，启动计算机就要输入该密码。目录还原模式是一个安全模式，允许还原系统状态数据，包括注册表、系统文件、启动文件、Windows文件保护下的文件、数字证书服务数据库、活动目录数据库、共享的系统卷等。

18）确认之后单击“下一步”按钮继续，安装向导将自动进行活动目录的安装和配置，如图4-30所示。如果选中“完成后重新启动”复选框，则计算机会在域服务安装完成之后自动重新启动计算机；否则，将会弹出如图4-31所示的“完成Active Directory域服务安装向导”界面，单击“完成”按钮，将重新启动计算机，即可完成活动目录的配置。

图4-30 活动目录配置过程

图4-31 完成服务向导

活动目录安装好之后，可以选择“开始”→“管理工具”命令，查看Windows Server 2008的管理工具安装之后出现的变化，如图4-32所示。菜单中增加了有关活动目录的几个管理工具，其中“Active Directory用户和计算机”用于管理活动目录的对象、组策略和权限等；“Active Directory域和信任关系”用于管理活动目录的域和信任关系；“Active Directory站点和服务”用于管理活动目录的物理结构站点。

图4-32 管理工具菜单安装活动目录之后的变化

a）安装前 b）安装后

注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也变慢，所以如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。要删除活动目录，需打开“开始”菜单，选择“运行”命令，在打开的“运行”对话框中输入“dcpromo”命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并按着向导的步骤进行删除，这里不再介绍其过程。

在服务器上确认域控制器成功安装的方法如下。

1）由于域中的所有对象都依赖于DNS服务，因此，首先应该确认与域控制器集成的DNS服务器的安装是否正确。测试方法：选择“开始”→“所有程序”→“管理工具”→“DNS”命令，打开如图4-33所示的窗口，选择“正向查找区域”选项，可以见到与域控制器集成的正向查找区域的多个子目录，这是域控制器安装成功的标志。

2）选择“开始”→“管理工具”命令，在“管理工具”菜单选项的列表中，可以看到系统已经有域控制器的若干菜单选项。选择其中的“Active Directory用户和计算机”选项，打开如图4-34所示的“Active Directory用户和计算机”窗口，选择“Domain Controllers”选项，可以看到安装成功的域控制器。此外，在“控制面板”的“系统属性”对话框中，选择“计算机名”选项卡，也可以看到域名表示的域控制器的完整域名。

3）选择“开始”→“命令提示符”命令，进入DOS命令提示符状态，输入“ping cninfo.com”，若能ping通，则代表域控制器安装成功，如图4-35所示。

图4-33 “DNS管理器“窗口

图4-34 “Active Directory用户和计算机”窗口

图4-35 DOS命令提示符窗口

提示：Ping（Packet Internet Grope，Internet包探测器）是Windows系统自带的一个可执行命令，用于测试网络连接量的程序。Ping发送一个ICMP回声请求消息给目的地，并报告是否收到所希望的ICMP回声应答。它是用来检查网络是否通畅或者网络连接速度的命令，用时延来表示，其值越大，速度越慢。作为网络管理员来说，这是第一个必须掌握的DOS命令。它的原理是这样的：网络上的机器都有唯一的IP地址，给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包可以确定目标主机的存在。用好它可以很好地分析判定网络故障。其应用格式为：PingIP地址或域名。该命令还可以附加许多参数使用，具体方法是：输入Ping命令，然后按＜Enter＞键，即可看到详细说明。