Windows_server_2003_AD_DC域配置(12) 域控制器的卸载与清理

对于部署了AD架构的企业来说AD/DNS/DHCP/WINS都是我们必须用到的服务，一但这些服务中断会导致整个企业IT系统无法正常运作，如何保障这些基础服务的高可用性是我们每一位管理员需要考虑的。

一般的中小企业最少都会用两台或多台服务器做冗余保证企业内基础服务的高可用性，当一台服务器坏了或需要维护另一台服务器照样能够提供相同的服务来保障企业IT系统的正常运作。

下面是一张很经典的AD部署场景图，图里用了两台计算机做服务器，同时提供了ＡＤ/DNS/DHCP/WINS服务。

对AD/DNS/DHCP/WINS服务不了解的朋友请先学习一下理论知识，要动手实验朋友请先把下面的图看懂了再动手，本帖子适合对ＡＤ入门的朋友，老鸟们就直接跳过吧^_^。

下面是两台服务器的配置过程在配置前请先在两台计算机上安装好Windows2003 操作系统，升级打好最新补订！一、ＷinOSDC2服务器的配置过程1、ＡＤ的配置2、ＤＮＳ的配置3、ＤＨＣＰ的配置4、ＷINS的配置二、ＷinOSDC３服务器的配置过程1、ＡＤ的配置2、ＤＮＳ的配置3、ＤＨＣＰ的配置4、ＷINS的配置三、验证两台服务器是否能够提供冗余服务、一、ＷinOSDC2服务器的配置过程——1、ＡＤ的配置1、登录到WinOSDC2服务器，安装DNS/DHCP/WINS网络服务；２、配置本机的网络ＩＰ，子网掩码，网关，ＤＮＳ，ＷＩＮＳ；３、在“开始菜单”“运行”输入AD配置命令dcpromo ；４、下一步５、选择“新域的域控制器”“下一步”６、选择“在新林中的域”“下一步”７、输入要建立的或名 winos.ad ;8、输入域的NETBIOS名；9、默认“下一步”10、默认“下一步”11、选择第二项“下一步”12、不考虑NT系统，选择第二项；13、输入目录还原的密码，在日后的还原AD数据时会用到，14、“下一步” AD在配置中15、完成16、重启计算机一、ＷinOSDC2服务器的配置过程——２、ＤＮＳ的配置经过前面的操作我们的ＡＤ已经建立起来了，ＤＮＳ正向查找区域在配置ＡＤ的时候也自动建立起来了，我们需要手工的配置ＤＮＳ的反向查找区域，否则运行nslookup的时候会有错误提示。

AD域控制器如何安装配置
AD域控制器安装配置是怎么样的呢，那么AD域控制器如何安装配置的?下面是店铺收集整理的AD域控制器如何安装配置，希望对大家有帮助~~
AD域控制器安装配置的方法
工具/原料
Windows2003
方法/步骤
图1 所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:
Server IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
(因为我要把这台机器配置成DNS服务器)
打开虚拟机设置--选择CD/DVD，单击浏览找到Windows2003镜像
图2 打开开始菜单---运行--输入“dcpromo”单击“确定”
图3 会弹出窗口，选择默认“新域的域控制器”单击下一步
图4 选择默认“在新林中的域“ 单击下一步
图5 输入新域的DNS全名”“(这里根据你们公司实际域名情况输入)
图6 NetBLOS域名默认单击”下一步“
图7 指定放置 AD数据库文件和日志文件的路径，这里保存默认图8 SYSVOL文件夹保持默认路径单击下一步
图9 选择第二项”只与Windows2000或Windows server 2003
操作系统兼容“
图10 输入目录服务还原模式管理员密码
图11 相关设置摘要单击下一步
图12 此时正在安装，并DNS也会一起安装
图13 等待安装完成，后需要重启计算机，完成AD域控制器的安装
控制器如何安装配置。

实验二Windows Server 2003活动目录与域控制器[注意事项]：1、在虚拟机软件里自己安装的网络操作系统中做实验。

2、有两种方式打开安装或删除活动目录的界面：（1）用命令“开始——管理工具——配置您的服务器向导”（Server 2003才有）。

（2）用命令“开始——运行——输入‘dcpromo’”。

3、密码可以设置与5.1管理员相同的密码或设置另外的密码，并且一定要书面记住密码。

4、安装结束后出现配置DNS服务器的选项，选择让系统自动配置。

5、安装活动目录成功后的标志见下图5.19。

6、安装好活动目录后，请不要再次运行“dcpromo”命令，否则会删除已安装的活动目录。

一、实验目的学习活动目录的安装和删除（实验只要求安装）。

二、实验内容1．活动目录的安装（升级）2．活动目录的删除（降级）——理论上掌握，具体实验不要做三、实验理论基础活动目录是Windows Server 2003网络中提供的目录服务。

目录服务也是一种网络服务，它把网络中的资源信息集中存储起来，并将其提供给用户和应用程序使用。

它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。

通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。

由于活动目录中网络资源信息集中存放和管理，使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。

当用户访问网络时，无需了解资源的物理位置和连接方法，就可以访问资源。

这对于多数缺乏网络专业知识的网络普通用户来说，显得格外有意义。

使管理员和一般用户可以方便地查找和使用网络信息，同时也更便于网络管理员有效的管理网络。

活动目录是由组织单位（OU）、域（Domain）、域树（Domain Tree）和森林（Domain Forest）组成的层次结构，它存储有关计算机网络对象的信息。

例如，用户、组、计算机、组织、帐户、共享资源和打印机等等。

域是网络对象的分组，如用户、组和计算机。

win2003_AD域配置详解一为什么需要域, .................................................................... ................................................... 2 二部署第一个域 ..................................................................... ...................................................... 5 3 用备份进行Active Directory的灾难重建 ..................................................................... (27)4 部署额外域控制器 ..................................................................... ................................................ 43 5 Active Directory 的授权还原 ..................................................................... .............................. 52 6 离线部署额外域控制器 ..................................................................... ........................................ 61 7 Active Directory的脱机碎片整理 ..................................................................... ...................... 72 8 Active Directory的复制拓扑 ..................................................................... .............................. 76 9 Active Directory操作主机详解 ............................................................................................. 81 10 实战操作主机角色转移 ..................................................................... .................................... 84 11什么是站点 ..................................................................... .. (96)12 实战Active Directory站点部署与管理 ..................................................................... .. (98)13 域控制器的常规卸载 ..................................................................... ........................................ 110 14 域控制器的强制卸载 ..................................................................... ........................................ 116 15 域控制器的终极卸载 ..................................................................... ........................................ 125 17 实战详解域信任关系 ..................................................................... ........................................ 132 创建Win2003域和Win2008域之间的信任关系 (145)19 实战子域部署 ..................................................................... .................................................... 163 20 创建可传递的林信任 ..................................................................... ........................................ 178 初步理解组策略 ..................................................................... (187)1 为什么需要域,对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

win2003主备域控制器配置方法假设有2台SERVER，要将两台SERVER做成主备域控制器。

假设SERVER1为DC1，SERVER2为DC2，步骤如下： 1.在DC1上按正常方法安装一个新的域控制器同时安装DNS服务； 2.完成DC1域控制器安装后，在域中增加一个用户，并将该用户隶属于DOMAIN ADMINS和ENTERPISE ADMINS两组； 3.将DC2的主DNS地址写成DC1的IP地址； 4.用DCPROMO /ADV 命令在DC2上安装额外的域控制器，当提示输入用户时输入步骤2中设置的用户和密码； 5.完成安装后重启，重启后安装DNS服务； 6.安装完成DNS后不用做任何操作，稍等片刻后，系统会自动将主备域控制器的域名加入到正向解析列表中； 7.将主备域控制器的主用DNS都写成本机IP地址，备用DNS写成对方的IP地址。

8.将域用户的主备DNS写成DC1、DC2的地址；这样就实现了域控制器的双机热备，其中任何一台机器出现问题都不会影响整个域。

（MICROSOFT在NT4.0中有主备域控制器的概念，在WIN2000和WIN2003中已无主备域控制器这一概念，取而代之的为“额外域控制器”）设有2台SERVER，要将两台SERVER做成主备域控制器。

假设SERVER1为DC1，SERVER2为DC2，步骤如下： 1.在DC1上按正常方法安装一个新的域控制器同时安装DNS服务dcpromo； 2.完成DC1域控制器安装后，在域中增加一个用户，并将该用户隶属于DOMAIN ADMINS和ENTERPISE ADMINS两组； 3.将DC2的主DNS地址写成DC1的IP地址； 4.用DCPROMO /ADV 命令在DC2上安装额外的域控制器，当提示输入用户时输入步骤2中设置的用户和密码； 5.完成安装后重启，重启后安装DNS服务；【添加网络服务/域名系统dns】或配置服务器系统添加dns服务 6.安装完成DNS后不用做任何操作，稍等片刻后，系统会自动将主备域控制器的域名加入到正向解析列表中； 7.将主备域控制器的主用DNS都写成本机IP地址，备用DNS写成对方的IP地址。

Windows Server 2003域控制器的安装、新建用户及客户机加入域的步骤一．Windows Server 2003域控制器的安装步骤1.在<管理您的服务器>里点里点““增加或删除角色增加或删除角色””（如果开机时不自动弹出<管理您的服务器>界面，就依次点界面，就依次点““开始开始””——“—“管理工具管理工具管理工具”——“”——“”——“管理您的工具管理您的工具管理您的工具””）2.直接点下一步””直接点““下一步3.选择后，点下一步””后，点““下一步下一步””后，点““下一步4.选择后，点7.再点下一步””再点““下一步下一步””后，点““下一步10.选择后，点11.输入你想要取的域名后，点“下一步”12.直接点下一步””直接点““下一步13.点“下一步下一步””14.再点下一步””再点““下一步15.选择后，点“下一步””一步16.设还原模式的密码后，点下一步””设还原模式的密码后，点““下一步17.点“下一步下一步””出现如下界面就耐心的等一段时间了18.等待一段时间后，点“完成”19.即重启即重启””20.出现如下界面，点完成””出现如下界面，点““完成之后就出现如下界面21.检验域控制器安装是否成功21.1选择“开始”——“管理工具”——“Active Directory 用户和计算机”21.2选择21.3出现如下的界面这时就说明域控制区器安装成功了二．在域里面新建一个用户1.为了在新建用户设密码的时候能顺利快速地进行，先调节一下一下““安全策略安全策略””，点，点““开始开始”——“”——“”——“管理工具管理工具管理工具”——“”——“”——“域域安全策略安全策略””2.点“安全设置安全设置””5.右击属性””，点““属性密码必须符合复杂性要求””，点右击““密码必须符合复杂性要求6.选择正确””，点““正确已禁用””，点选择““已禁用7.右击属性””，点““属性密码长度最小值””，点右击““密码长度最小值8.调为正确””调为““0”后，点后，点““正确9.然后，点然后，点““开始开始”——“”——“”——“关机关机关机”——“”——“”——“重新启动重新启动重新启动””10.重启进入桌面后重启进入桌面后，，点“开始开始””——“管理工具管理工具””——“ActiveDirectory 用户和计算机用户和计算机””11.右击右击““user ”，点，点““新建新建”——“”——“”——“用户用户用户””12.输入下一步””后，点““下一步用户登录名””后，点输入““姓”和“用户登录名13.输入下一步””用户不能更改密码””后，点“下一步密码””，选“用户不能更改密码输入““密码14.点“完成完成””15.在出现的界面中看到刚刚新建的用户名在出现的界面中看到刚刚新建的用户名““wlx”中新建的用户““wlx”就成功了此时，在域此时，在域““”中新建的用户三．客户机登录到域1.打开客户机（客户机可以装不同版本的的系统）后，右击“我的电脑我的电脑””，点，点““属性属性””2.点“计算机名计算机名””3.点“更改更改””4.输入要加的域名称后，点正确””输入要加的域名称后，点““正确5.如果加入域成功，将会显示如果加入域成功，将会显示““欢迎加入域”（以，最为例）的信息框，否则提示错误信息，我安装的为例）的信息框，否则提示错误信息”。

简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。

后续分步指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

在配置通用网络结构后，可以使用任何其他分步指南。

注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC 可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。

此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

在WINDOWS 2003 SERVER上利用域服务器设置管理域用户与计算机的相关操作第一步：安装WINDOWS 2003 SERVER，打补丁，安装防病毒软件，并设置IP地址第二步：在WINDOWS 2003 SERVER添加域服务器1、打开“管理您的服务器” ，选择“添加或删除角色”2、在弹出的“预备步骤”中单击“下一步”3、在“服务器角色”中选择“域控制器（Active Directory）”4、在“选择总结”中单击“下一步”5、在“Active Directory安装向导”中单击“下一步”6、“在操作系统兼容性”中单击“下一步”7、在“域控制器类型”中选择“新域的域控制器”8、在“创建一个新域”中选择“在新林中的域”9、在“新域名”中输入你所建域的名称，也可以是“teacher”“Stu”等等。

10、在“NetBIOS域名”中自己命名NetBIOS域名11、“在数据库和日志文件文件夹”中单击“下一步”12、在“共享系统卷”中单击“下一步”13、在“DNS注册诊断”中单击“下一步”14、在“权限”中单击“下一步”15、在“目录服务还原模式的管理员密码”中输入自行设置的还原密码16、在“摘要”中单击“下一步”17、这时出现下面的界面，系统开始配置Active Directory，并提示插入WINDOWS2003 SERVER安装盘，需要一点时间18、安装完成后显示出下，单击“完成”19、显示“此服务器现在是域控制器”，单击“完成”20、这时，重启计算机。

回到“配置您的服务器向导”，你会发现其中多了“域控制器（Active Directory）”至此，第二步工作完成。

第三步：在域控制器中批量生成用户1、在EXCEL中为每个学生生成一个用户名和密码。

说明：a) WINDOWS 2003 SERVER默认密码要求比较高，如果要给学生设置比较容易记的密码，需要事先更改WINDOWS 2003 SERVER中的设置，具体办法如下：“开始”—“程序”—“管理工具”—“域安全策略”，打开“安全设置”选择“账户策略”—“密码策略”，将其中的“密码必须符合复杂性要求”禁用；并修改“密码长度最小值”。

情境1_项目1：Windows Server 2003安装、域环境搭建与管理1、实验目的掌握Windows 2003的安装和配置、域控制器的安装2、实验主要内容（1）Windows 2003的安装、域控制器的安装（2）查看所在系统的网络配置情况（3）网络组件的安装和配置（4）备用配置的应用（5）常用网络命令的使用3、实验仪器设备一台计算机，要求能开启两台虚拟机，其中一台标识为：windows server 2003A，在该台上学生自行安装Windows server 2003网络操作系统，另一台标识为：windows server 2003B，选择已安装好的Windows 2003系统（不要选择LONDON那台）。

4、实验步骤4.1 在windows server 2003A虚拟机上进行Windows server2003系统安装4.1.1 启动虚拟机软件，新建一台虚拟机，命名为windows server 2003A4.1.2 在虚拟机上载入CD映像，选择windows server 2003企业光盘映像4.1.3 启动虚拟机，进行安装向导4.2在windows server 2003B虚拟机上装载已安装好的Windows 2003系统（不要选择LONDON那台）4.3 在windows server 2003B虚拟机上熟悉TCP/IP协议配置4.3.1设置为自动配置或动态配置（1）右单击网上邻居---属性---右单击本地连接---属性---从列表中选TCP/IP 协议并双击，弹出TCP/IP属性窗口----选取自动获得IP地址单选框，按确定（2）开始---运行----输入cmd，切换到DOS窗口，运行IPconfig/all，查看网络配置情况，并填写以下表格：回答问题：本机是否获取到有效的IP地址？从哪里获得？4.3.2手动配置右单击网上邻居---属性---右单击本地连接---属性---从列表中选TCP/IP协议并双击，弹出TCP/IP属性窗口----选取使用下面的IP地址单选框，在以下的IP地址、子网掩码、默认网关文本框中输入正确的值----选择使用下面的DNS服务器地址单选框，在首选DNS服务器和备用DNS服务器的文本框中输入正确的值，（注意IP地址的分类、子网掩码的选择和DNS服务器的作用）----单击“高级”按钮，可设置多个的IP 地址、默认网关、和DNS配置。

图文详解Windows2003配置域服务器目录一、安装配置Active Directory（独立服务器上安装） (3)1.1 运行AD 向导 (3)1.1.1 把系统盘放入光驱中 (3)1.1.2 调出Active Drictory 向导 (3)1.1.3 安装配置Active Directory (4)二、Active Directory 客户端配置 (13)三、软件部署(发布程序包) (17)3.1 准备安装包 (17)3.2 创建分发点 (17)3.3 创建组策略对象并发布程序包 (17)四、权限分配 (20)五、安装配置Exchange 2003（邮件服务器） (23)六、安装配置SharePoint （网上协同平台） (24)七、常见问题 (25)一、安装配置Active Directory（独立服务器上安装）需要DNS，安装AD 时会自动安装并配置DNS。

1.1运行AD向导1.1.1把系统盘放入光驱中1.1.2调出Active Drictory向导方法一(传统)：步骤：开始→控制面板→管理工具→配置您的服务器向导，出现【配置您好的服务器向导】对话框。

根据向导提示进行操作。

将出现下面这个对话框。

您可先了解下都有什么服务，已经安装了那些服务。

主要查看：域控制器(Active directory) 和DNS 服务器都还未配置。

选择域控制器(Acrive directory)，下一步，出现【Acrive Directory 安装向导】对话框。

方法二(命令)：步骤：开始 运行cmd，输入dcpromo 命令，运行，出现【Acrive Directory 安装向导】对话框。

1.1.3 安装配置Active Directory【Acrive Directory 安装向导】对话框。

(1)域控制类型选中【新域的域控制器】，下一步。

(2)创建一个新域选中【在新林中的域】，下一步。

配置域服务器(Windows2003) 作者：Canaan 个人主页： (3)新的域名指定新域的DNS 名称，一般应为公用的DNS 域名，也可是内部网使用的专用域名。

Windows2003建立与加入域控制器1 安装DNS机器名:Server IP:203.110.66.116 DNS: 203.110.66.116 (要把这台机器配置成DNS服务器)先安装DNS，:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows 组件”，找到“网络服务”，点“详细信息”进行自定义安装，可以只选择DNS，然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

2 Active Directory安装2.1Start-run，输入“Dcpromo”安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”进入“Active Directory安装向导”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”:2.2Domain controller for a new domain在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器（Domain controller for a new domain）”，然后点“下一步”.2.3Domain in a new forest既然是第一台域控，那么当然也是选择“在新林中的域(Domain in a new forest)”.2.4安装和配置DNS在这台计算机上(如果DNS没有配置则会出现此)2.5Input your domain在这里我们要指定一个域名，我在这里指定的是，下一步，此时报告domainserver1的主机名已经被用（其实就是本机的主机名），系统自动分配domainserver10作为你的NETBIOS domain name。

所以更改为域名，如下2.6指定NetBIOS名这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“DS1”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

win2003域控制器建立windows学习笔记2009-05-20 22:34:13 阅读545 评论0 字号：大中小订阅把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:Active Directory 的基本概念Active Directory是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。

）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

Active Directory 使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

活动目录的基本概念活动目录服务是Windows 2000/2003 Server中最重要的核心任务之一。

什么是活动目录活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的控制，活动目录的服务通过将对网络中的各种资源的信息，保存到一个数据库中，来为网络中的用户和管理员提供对这些资源的访问、管理和控制，这个数据库叫活动目录数据库。

通过活动目录服务，管理员可以实现整个网络的集中管理。

关于目录与目录服务要想理解什么是活动目录（Active Directory），必须先了解什么是目录(Directory)和目录服务（Directory Service）。

本文所述双机热备是采用微软公司Windows2003 Server操作系统，非第三方管理软件。

硬件需求：1、两台服务器，一台为主域控制器，另一台为额外域控制器；2、每台服务器配置两块网卡，和两块阵列卡（一块做本地服务器磁盘阵列，另一块连接磁盘柜阵列）；3、一台用来共享资源的存储设备（本文为Dell221s磁盘阵列柜）；4、一条点对点的反转网线（充做心跳线）；两条将服务器接入网络的网线。

系统安装：主域控制器和额外域控制器可以分两个时间段来完成，这也是群集的最大特点，可以不停机的进行数据转移。

以下一同描述主域控制器和额外控制器的安装：1、服务器分为主域控制器（主服务器）和额外域控制器（从服务器），这里将主域控制器标名为hrb0，将额外域控制器标名为hrb1；2、将hrb0 的第一块网卡做为外网（局域网）使用的网卡，标明public，第二块网卡做为私网（与hrb1的连接）使用的网卡，标明private；3、在主服务器上安装Windows 2003 Server Enterprise（过程略）；4、配置tcp/ip协议：外网: 10.195.10.18 掩码：255.255.255.0 网关：10.195.10.210DNS：10.195.10.19 10.195.10.18（把对方服务器IP作为本机的主DNS，本机地址做备用DNS）内网: 192.168.0.1 掩码：255.255.255.0 （网关空）DNS: 192.168.0.2 192.168.0.1（把对方服务器IP作为本机的主DNS，本机地址做备用DNS）5、安装补丁；6、其它相关配置完成后，关闭服务器，准备连接磁盘阵列；7、将磁盘阵列柜的应用模式调至“群集模式”（在盘柜的背面有滑动开关，调至靠近模块拉手一侧）;由于在“群集模式”下，RAID卡会占用ID15的槽位，所以ID15槽位的磁盘在以后的配置应用过程中不会起到作用，建议将盘柜ID15槽位的硬盘取下,做为以后的备用硬盘。

Windows Server 2003的AD配置AD的介绍Active Directoty (活动目录)是一种目录服务，它是Windows 2003网络的核心元素。

Active Directory 就像一本百科全书，将真实世界中的每个对象抽象为目录中的元素的各个元素并分门别类加以管理。

真实的网络环境中的应用程序、文件、打印机、计算机，乃至每个公司成员和相应的资产等，都可以在Active Directory中找到相应的对象。

基于Active Directory的服务既为Active Directory 目录服务。

它为企业提供了一个网络的基础架构，能够灵活的组织网络中的资源实现方便统一的管理。

并提供身份验证、访问控制等安全机制。

管理员可以基于管理Active Directory 目录服务集中管理和查找资源，并指定各种管理权限，实现各种基于网络的管理手段。

1.打开“Active Directory向导”对话框以本地管理员账户登录到server上，单击“开始——运行”，在“打开”文本框中输入命令“dcpromo”；单击【确定】按钮，即打开“Active Directory安装向导”对话框。

2.操作系统兼容性单击【下一步】按钮，出现“操作系统兼容性”对话框，该对话框提示了关于操作系统兼容性的信息。

3.设置域控制器的类型单击【下一步】按钮，出现“域控制器类型”对话框。

选择“新域的域控制器”。

4.创建新域、设置域名、设置NetBIOS名单击【下一步】按钮，出现一个“创建一个新域”对话框。

选择“在新林中的域”。

单击【下一步】按钮，出现“新的域名”对话框，在“新域的DNS全名”文本框中输入新域的DNS全名为“”。

单击【下一步】按钮，出现“NetBIOS域名”对话框，在“域NetBIOS文本框中默认显示“ld”。

5.设置数据库和日记文件保存路径、设置共享系统卷单击【下一步】按钮，出现“据库和日记文件文件夹”对话框。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

Windows_server_2003_AD_DC域配置-域控制器的卸载与清理我们现在已经有一些Active Directory的部署及管理经验了，今天我们要考虑一个问题，如果一个域控制器我们不需要了，那应该如何处理呢？直接把它砸了是不对的，这未免太暴力了，和当前的和谐环境有些格格不入哦。

关键是，如果我们让这台域控制器直接消失，那么其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制，客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。

如果这个被暴力卸载的域控制器还承担着一些操作主机角色，我们就更麻烦了。

因此，我们进行域控制器卸载时，一定要把工作做到位，优先使用常规卸载，争取不留后患。

有些朋友可能会说，我也希望用常规卸载，但有时就是不能正常卸载，没办法，只好…..我们要分析一下，为什么域控制器无法正常卸载呢？当域控制器进行常规卸载时，AD的内容发生了变化，域控制器会把这个变化通知自己的复制伙伴，再由自己的复制伙伴通知其他域控制器。

如果所有的域控制器都通知到了，那就肯定可以正常卸载，而且DNS记录，操作主机角色，AD复制拓扑等问题都可以迎刃而解。

因此，域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面，域控制器卸载时也要进行AD复制。

想知道一个域控制器是否可以正常卸载，我们只要在Active Directory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了，只要能进行AD 复制，基本卸载域控制器时就没有问题。

我们举一个域控制器正常卸载的例子，拓扑如下图所示，我们准备卸载shanghai站点内的域控制器perth。

从拓扑可以看出，perth的复制伙伴应该是Firenze，只要perth和Firenze之间可以进行AD 复制，perth应该就可以进行域控制器卸载。

在perth上运行Dcpromo，如下图所示，出现Active Directory安装向导，向导判断我们准备把Active Directory删除，点击“下一步”继续。

域控制器的搭建与管理目前绝大多数公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，实验环境：服务器1作为域控制器。

IP:172.16.200.200/24DNS:172.16.200.200(因为我要把这台服务器配置成DNS服务器)服务器二作为额外域控制器。

IP地址为172.16.200.201/24客户端主机×1.地址为172.16.200.100/24。

DNS为172.16.200.200实验目的：1.掌握域控制器的安装，与管理。

知道客户端如何加入域22.掌握额外域控制器的配置实验环境及过程：1.我们要做的第一件事就是给服务器和客户机指定IP地址了。

2.搭建AD控制器继续俩次下一步。

出现AD的安装向导。

继续俩次下一步在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:因为域控制器要用到DNS的查询。

所以选择是将配置DNS客户端。

在这里我们要指定一个域名，我在这里指定的是按照提示输入域名--继续这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“test ”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。