2．1 DNS和活動目錄

DNS（Domain Name System – 域名解析系統）是一個 Internet 的標準服務，它可以將域名如 www.microsoft.com 翻譯成計算機能夠識別的二進位制的 TCP/IP 地址。

Windows 2000/2003 的域名是以 DNS 分層命名結構為基礎的，這是一個顛倒的目錄樹結構：單個根域，以下可以是父域和子域（枝和葉）。例如，諸如 child.parent.microsoft.com 的 Windows 2000/2003 域名識別名為 “child” 的域，此域是名為 “parent” 域的一個子域，而 “parent” 域自身又是根域 microsoft.com 的一個子域。

域中的每臺計算機依靠其完整的合格域名識別。位於 child.parent.microsoft.com 域中計算機的完整合格域名應是 computername.child.parent.microsoft.com 。

2.1.1 DNS和活動目錄的關係

活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。

DNS為活動目錄網路提供了下列主要功能：

1.名稱解析。 DNS通過將計算機的全稱域名（FQDN）轉化為IP地址來提供名稱解析，以便計算機之間的相互定位、查詢和訪問。。

2.域命名約定。 AD使用DNS的命名管理約定來命名Windows的域名。在Windows2000的網路中，DNS域和活動目錄域共享一個公共的分層命名結構。

3.定位活動目錄的物理元件。 DNS通過SRV（服務資源記錄）來標識域控制器。當有驗證登入請求或執行一個活動目錄查詢時，客戶機可以通過詢問DNS以查詢提供服務的域控制器。

DNS與活動目錄的關係

DNS和活動目錄整合目錄服務是微軟Windows 2000/2003的一個關鍵特性。DNS和活動目錄的關係如下：

1.AD和DNS使用相同的命名層次結構，共享相同的域名，故域和計算機可以使用DNS的節點和AD的物件來表示。

2.AD和DNS儲存了同一物理物件的不同資訊，從而代表了兩 個不同的域名空間。DNS存放資源記錄（如域名和IP的對映）；AD存放資源物件（如計算機、用使用者、組以及其相應的屬性等）。

3.AD使用DNS來幫助搜尋資源，AD必須要依靠DNS，使用者用DNS來查詢DC以使AD提供服務；DNS可以不依靠AD，它只是AD中的一個必須的工具而已。

2.1.2 服務資源記錄

Active Directory 將 DNS 用作域控制器定位機制，使計算機能找到域控制器的 IP 地址。為查詢特定域或目錄林中的域控制器，客戶端向 DNS 查詢相應的服務位置 (service location , SRV) 和地址 (address , A) 資源記錄。這些 DNS 資源記錄提供域控制器的名稱和 IP 地址。

因此，用於支援 Active Directory 部署的 DNS 伺服器必須支援 SRV 記錄。而且，Microsoft 極力推薦這些 DNS 伺服器也支援動態更新。域控制器動態註冊域控制器定位機制成功執行所必需的 DNS 記錄。

服務資源記錄的功能

當DC啟動後，Netlogon service會自動在DNS Server中註冊SRV記錄。SRV記錄有以下功能：

1.服務記錄的資訊將服務名和DNS的提供該服務的域控制器的計算機名連線起來。

2.服務記錄允許允許客戶機通過DNS查詢提供特定活動目錄服務的伺服器。

SRV資源記錄可以標識：

1.在特定的域和森林中的域控制器。

2.在同一個站點作為客戶機的域控制器。

3.註冊成為全域性目錄伺服器的域控制器。

4.註冊成為Kerberos KDC伺服器的域控制器。

服務資源記錄使用的格式

所有服務資源記錄使用下列格式：

_service-Protocol.name ttk class SRV priority weight port target

例：_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

下表給出了服務記錄中每個欄位的描述：

定位域控制器

當域控制器開始啟動以及在執行過程中是週期性的，該域控制器的Netlogon服務會使用動態 DNS（DDNS）公佈它的DNS SRV記錄。此SRV記錄描述了該域控制器提供的服務。例如：Kerberos 認證、輕量級目錄訪問協議以及AD 全域性編錄（Global Catalog，GC）查詢。由於域控制器使用分層次結構的SRV記錄，所以這就為工作站定位所屬站點或者所屬域提供了便利。

圖 2-1 SRV記錄的命名層次結構

如圖2-1顯示了SRV記錄的命名層次結構。從其結構圖中我們發現它的結構與Windows 2000/2003的DNS層次結構十分相似。這種結構的好處之一就是，工作站可以在不需要了解所需服務具體引數的情況下快速搜尋。例如：要在域森林中查詢全域性編錄的伺服器，只需要在搜尋條件中指定域森林的名稱和協議型別（可以使用forestname._tcp來搜尋_gc SRV記錄），這個搜尋將返回指定域內所有全域性編錄伺服器的SRV記錄。如果工作站已經知道AD站點的名稱，可以使用 forestname._sites.sitename._tcp來搜尋_gc SRV記錄，這個搜尋將返回指定站點內的全域性編錄伺服器的SRV記錄。

在 DNS中週期性地公佈SRV記錄對於工作站快速定位域控制器有很大幫助。當工作站被認證屬於某一個域後，工作站就需要在該AD站點中選擇一個域控制器。工作站上執行的Netlogon程序將控制整個認證過程。作為Netlogon元件之一的DC Locator負責為工作站定位域控制器。早期版本Windows中的DC Locator使用WINS來定位域控制器，在Windows 2000以及其他AD工作站中都使用搜索SRV記錄的方法定位域控制器。

在工作站第一次被認證之前，它不知道自身所在的站點。所以此時工作站的第一個任務就是查詢域內的所有域控制器。工作站首先向本機TCP/IP設定中的主DNS伺服器發出搜尋請求，在 _tcp.dcs._msdcs.domainname內搜尋_ldap SRV記錄。如果該DNS伺服器沒有響應，工作站將會向輔DNS伺服器發出請求。

DNS伺服器在收到查詢請求後，會向工作站返回域內所有域控制器的列表。收到列表後工作站對所有記錄初始化低優先順序的值，之後依次AD Ping（一個基於UDP的LDAP查詢命令）每個域控制器。如果域控制器沒有在十分之一秒內響應，工作站會繼續測試下一個，依次類推，直到有一個域控制器響應。

當域控制器收到來自工作站的AD Ping，域控制器在返回之前需要對兩個重要資訊進行判斷。首先，域控制器需要判斷與工作站最近的站點。如何判斷？域控制器使用記憶體中保留的站點和子網的 IP地址與AD Ping的源IP地址相比較。然後，域控制器判斷自身是否處於該站點（同樣從IP地址對比的角度）。最後將這些資訊和該域控制器所處站點的名稱以一個 UDP資料報返回給工作站。

工作站在接收到響應後，檢查迴應的域控制器是否位於最近站點中。如果是，就將該工作站所屬的站點資訊儲存到登錄檔“HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services\Netlogon\Parameters”下的“DynamicSiteName”子鍵中，並且將該域控制器作為將來提供認證服務的提供者。如果域控制器返回的資訊表明它不在最近的站點中，工作站就使用所提供的站點名稱向DNS伺服器請求此站點內域控制器的列表。向 _tcp.sitename.sites.dc._msdcs.domainname區域查詢_ldap SRV記錄。DNS伺服器根據指定的站點名稱返回域控制器列表。之後工作站將再次重複，在收到列表之後對所有記錄設定低優先順序值，依次AD Ping域控制器，直到有域控制器在十分之一秒內響應。

如果在工作站所處站點中沒有一個域控制器響應，那會怎樣？在這種情況下（當然我們希望這種情況最好永遠別發生），工作站將嘗試與任何能夠通訊的域控制器聯絡。

2.1.3 AD整合區域

當在Windows 2000/2003中實現了DNS，就可以把活動目錄中的服務當作資料儲存和複製的引擎來使用，也即將DNS和AD整合在一起，將DNS的區域型別更改為“活動目錄整合區域”。

圖 2-2 活動目錄整合區域

DNS和活動目錄整合區域的好處之一就是能夠將DNS的域和活動目錄資料結合起來。主DNS區域也將作為物件儲存在活動目錄資料庫。而且當DNS進行區域檔案資料庫的複製時，也將隨著AD的複製而進行。

活動目錄整合區域也須在一臺域控制器上才能建立，它具有有以下的優點：

1. 消除了主DNS伺服器作為單個失敗點而帶來的不足。DNS複製是單個主控，它依靠主DNS伺服器來更新所有其它輔助伺服器。而活動目錄複製是多主控複製，因此可以對任何伺服器進行更新，更改將複製給其它的域控制器。因此如將DNS區域和活動目錄進行整合，活動目錄複製將總會同步DNS資訊。

2.能夠進行安全可靠的動態更新。因為DNS區域在活動目錄整合區域中是活動目錄物件，在那些區域的記錄中可以設定許可權來控制哪臺計算機可以動態的更新。因此使用安全的動態更新協議的更新將僅來自那些授權的計算機，如域中的計算機。

3.對那些沒有註冊為域控制器的DNS伺服器執行標準區域傳送。必須使用標準區域傳輸來把區域複製到其它域中的DNS伺服器。

2．2 建立域

Active Directory 服務部署由一個或多個林組成，每個林又包含一個或多個域。在網路中建立初始域控制器 （DC）時，就會在林中建立第一個域；域必須至少包含一個域控制器。建立的第一個域是第一個林的根域。同一域林中的其他域可以是子域或樹根域。同一域樹中位於一個域的上方與其緊鄰的域被視為該域的父域。

域用來實現各種網路管理目標，如構造網路、劃定安全範圍、應用組策略以及複製資訊等。

Active Directory 允許將域控制器用作對等計算機；因此，客戶端可通過域中的任何域控制器來更新 Active Directory。這與 Windows NT Server 主域控制器 （PDC）和備份域控制器 （BDC） 所扮演的讀寫/只讀角色具有非常大的差異。Windows NT Server 域系統支援單主機複製，它要求所有更改都必須在 PDC 上進行。

Windows 2000/2003 作業系統支援多主控複製；域中的所有域控制器都可以接收物件更改，並且可以將這些更改複製到該域中的所有其他域控制器。預設情況下，在林中建立的第一個域控制器是全域性編錄伺服器，它包含所在域的目錄中所有物件的完整副本，還包括林中所有其他域的目錄中儲存的所有物件的部分副本。

在域控制器之間複製 Active Directory 資料有助於提高資訊可用性、容錯性、負載平衡和效能。在單元中，您可以通過安裝多個域控制器，充分利用多主機模型提供的更好的容錯效能。即使某個域控制器停止工作，也不會影響 Active Directory 的可用性。

2.2.1 安裝前的準備

域是Windows 2000/2003網路中的核心管理單元。在Windows 2000/2003中，域用來限定資訊和資源的組織與管理方式。

在活動目錄中建立的第一個域是整個目錄林的根域或目錄林的根。在Windows 2000網路上第一次安裝活動目錄時，需要在新目錄林中建立第一個域控制器，同時也就建立了根域。

安裝Windows 2000活動目錄的系統要求：

在利用活動目錄安裝嚮導安裝活動目錄之前，必須確保計算機系統滿足安裝活動目錄所需的所有要求：

1.計算機上執行的是Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server（即伺服器版的Win2000作業系統）；

2.用於活動目錄資料庫的最小磁碟空間200MB，另外還需要附加的50MB的空間用於活動目錄資料庫的事務日誌檔案。如果域控制器同時也作為全域性目錄伺服器，則還需要額外的空間。

3.必須有一個NTFS檔案系統格式化的分割槽或卷，這是系統卷（Sysvol）資料夾所必需的；

4.如果DNS伺服器不是本機，那麼應把將要安裝活動目錄的伺服器作為DNS的客戶端（安裝並配置成可以使用DNS的TCP/IP）；

5.如果是在現存的Windows 2000網路上建立域，那麼還需要有建立域所需的管理特權。

安裝活動目錄的方法

可以採用以下兩種方法來安裝活動目錄：

1. 採用Dcpromo.exe命令進行常規安裝。

2. 採用無人值守的安裝指令碼安裝。安裝命名為：Dcpromo.exe /answer:answerfile （其中answer file是解答檔案的名字。此檔案有相關安裝資訊，詳細資料參考Windows2000 Advanced Server CD中的\Support\Tools裡面）。

應答檔案的準備

當要選擇無人蔘與的安裝指令碼進行活動目錄安裝，就應先做好一個應答檔案。

活動目錄安裝嚮導的應答檔案只包含一個部分：[DCIstall]。安裝嚮導中的每個操作都會用到這個檔案中的具體引數。如果沒有指定具體的引數值，就會使用預設引數值。

應答檔案示例如下：

[Unattended]

[Dcinstall]

Rebootonsuccess=yes (計算機安裝完畢後需要重啟動)

Databasepath=d:\winnt\Ntds （資料庫路徑）

Logpath=d:\winnt\Ntds （日誌檔案路徑）

Sysvolpath=e:\winnt\sysvol （系統卷路徑）

Sitename=site1 （站點名）

ReplicaorNewDomain=Domain （複製或新域，此處選新域）

TreeorChild=Tree （目錄樹或子域，此處選新建一個目錄樹）

CreatorJoin=Creat （建立或新增，此處選擇建立）

DomainNetBIOSName=esstest （域的Netbios名）

NewDomainDnsName=esstest.com （新域的DNS名）

DnsonNetwork=Yes （利用網上原有的DNS配置）

AutoconfigDNS=No （在安裝過程中不配置DNS）

2.2.2 域控制器的建立

網路環境簡述：網路中有一臺DNS伺服器（計算機名為ESS-ISA-0A），現準備將其升級為DC，同時將網路中另一臺成員伺服器ESS-DC-11升級為附加的域控制器。下表列出了各個計算機的TCP/IP配置：

DNS的基本配置

由於網路中已存在DNS伺服器，在建立域前，我們先在上面為域建立區域和主機記錄。建立過程如下：

1、在【管理工具】 => 【DNS】中開啟DNS管理控制檯。然後在正向搜尋區域中選擇【新建區域】。如圖2-3所示。

2、在【區域名】對話方塊中，輸入新建區域的域名：esstest.com。然後點選【下一步】按鈕，選擇區域型別為標準主區域，然後按預設設定完成區域的建立。如圖2-4所示。

3、在esstest.com區域的屬性中，將區域設定為【允許動態更新】。如圖2-5所示。

4、在esstest.com的區域中，為即將升級的為DC的計算機建立一條主機記錄，如圖2-6所示。

圖 2-3 新建區域 圖 2-4 輸入區域名稱 圖 2-5 設定允許動態更新 圖 2-6 建立主機記錄

建立第一個域控制器

網路上第一次安裝活動目錄就是在建立目錄林的根域。活動目錄的安裝嚮導將逐步引導你指定新域控制器所需的資訊。

在建立第一個DC的時候，也會建立下列的目錄分割槽，並通過複製從而複製到以後建立的其它DC上。

1.架構目錄分割槽。 包含架構容器，用來儲存所有現存的和可能建立的AD物件和屬性的定義。在目錄林中複製。

2.配置目錄分割槽。 包含配置容器，用來儲存整個目錄林的所有配置物件，如站點、服務和目錄分割槽等資訊。在目錄林中複製。

3.域目錄分割槽。 包含域容器，如esstest.com，用來儲存使用者、計算機、組和其它Windows2000域所要求的具體物件。在同一個域中複製。

按下列步驟建立根域：

1、在計算機ESS-ISA-01上，選擇【開始】 => 【執行】，然後在執行對話方塊中輸入dcpromo.exe命令，進入到活動目錄安裝嚮導。

2、在【域控制器型別】對話方塊中選擇【新的域控制器】；在【建立目錄樹或子域】對話方塊中選擇【建立一個新的目錄樹】；在【建立或加入目錄林】選項中，選擇【建立新的域目錄林】。如圖2-7所示。

圖 2-7 建立新的域控制器 3、在【新的域名】對話方塊中，輸入在DNS中為之建立的區域名：esstest.com。然後在域NetBios名中保留ESSTEST名。如圖2-8所示。 圖 2-8 輸入新域的DNS全名 4、在【共享的系統卷】選項中，將資料夾位置放到一個NTFS檔案系統的分割槽或捲上。如圖2-9所示。 圖 2-9 將Sysvol資料夾放在一個NTFS分割槽或捲上 5、在【配置DNS】對話方塊中，選擇【否，我將自己安裝並配置DNS】。如圖2-10所示。 圖 2-10 配置DNS 6、在【目錄服務恢復模式的管理員密碼】中，輸入相應的口令，以便在將來AD受到破壞時，可以通過這個口令進入到目錄服務恢復模式進行對AD的恢復。如圖2-11所示。 圖 2-11 設定目錄恢復模式口令 7、以上設定完成後，將進行活動目錄的安裝配置。配置完畢後，重啟計算機，登入到域中。 8、展開DNS管理控制檯，在esstest.com區域的屬性對話方塊中，將區域型別更改為【Active Directory 整合的】，在【允許動態更新】選項中選擇【僅安全更新】。如圖2-12所示。 圖 2-12 設定活動目錄整合區域

新增複製域控制器

在要域控制器意外離線的情況下具有容錯性，就需要在一個域中至少有兩個域控制器。當有多個域控制器時，可以通過複製來保護活動目錄中的一致性，也可以保證登入請求、全域性目錄查詢和共它域控制器提供的服務在進行的時候不會出現單個域控制器過載的現象。

可以按下列步驟把一個域控制器加入到現存的域上：

建立一個附加的域控制器：

1、在計算機ESS-DC-01上，選擇【開始】 => 【執行】，然後在執行對話方塊中輸入dcpromo.exe命令，進入到活動目錄安裝嚮導。

2、在【域控制器型別】對話方塊中選擇【現有域的額外域控制器】，然後單擊【下一步】按鈕進行繼續安裝。如圖2-13所示。

圖 2-13 新增複製域控制器 3、在【網路憑據】對話方塊中，輸入“Administrator”作為使用者名稱，然後輸入管理員密碼，並鍵入esstest.com作為域名，然後單擊【下一步】按鈕。如圖2-14所示。 圖 2-14 提供網路憑據 4、在【額外的域控制器】對話方塊上，輸入esstest.com作為域名稱，在【NetBIOS 域名】對話方塊中，接受預設值ESSTEST。 5、在資料庫和日誌位置對話方塊上，接受預設值，在【共享的系統卷】，將資料夾存放於一個NTFS檔案系統的分割槽或捲上。 並按照預設設定完成餘下的安裝。 6、安裝完畢後，選擇【管理工具】 => 【Active Directory使用者和計算機】，展開所建立的域，在容器Domani Controllers中，可以看到在域中已存在兩臺域控制器。如圖2-15所示。 圖 2-15 活動目錄管理工具

2.2.3 將工作站加入到域中

當完成第一臺域控制器的建立後，就可以將網路中的其它工作站加入到域中，從而形成域管理的網路模式。 將一臺工作站加入到域中過程如下： 1、以本機管理員身份登入到客戶機Clinet1上，在我的電腦屬性對話方塊中，選擇【網路標識】，然而點選【屬性】按鈕。 2、在【標識更改】對話方塊中，修改【隸屬於】選項，並輸入域名esstest.com，然後點選【確定】按鈕。如圖2-16所示。 圖 2-16 將一臺計算機加入到域中 3、在出現的【域使用者名稱和密碼】對話方塊中，輸入要加入的域的管理員的憑證。 4、當出現歡迎加入域的網路標識訊息框時，表示工作站已成功加入到域中。 5、重啟客戶機Client1，進入登入介面時，以域使用者身份登入，並選擇登入到域中。登入成功後，使用者將訪問域中的資源。如圖2-17所示。 圖 2-17 選擇登入到域中

2．3 域和林功能級別

在活動目錄安裝和域建立完畢後，域和活動目錄都處於Windows 2000混合模式下執行，這是預設的域模式。混合模式的域對於Windows 2000或Windows NT 4.0的域控制器都能支援。但由於要相容Windows NT 4.0的域控制器功能，所以Windows 2000域網路的功能不能完全實現。如遠端訪問策略的控制、組巢狀和通用安全組的建立等，都只能在Windows 2000純模式（本機模式下）實現，在混合模式下這些功能無效。

而Windows Server 2003 Active Directory 中引入的域和林的功能提供了在您的網路環境中啟用域或林範圍的 Active Directory 功能的一種方法。根據您和環境，提供了不同級別的域功能和林功能。如果您的域或林中的所有域控制器都執行 Windows Server 2003 並且功能級別設定為 Windows Server 2003，那麼可以使用域和林範圍的所有功能。

2.3.1 域功能級別

域功能可啟用影響整個域或隻影響該域的功能。有四個域功能級別，它們是：Windows 2000 混合（預設）、Windows 2000 本機、Windows Server 2003 臨時和 Windows Server 2003。預設情況下，域以 Windows 2000 混合功能級別操作。

下表列出了域功能級別以及相應的所支援的域控制器。

一旦提升域功能級別之後，就不能再將執行舊版作業系統的域控制器引入該域中。例如，如果將域功能級別提升至 Windows Server 2003，則不能再將執行 Windows 2000 Server 的域控制器新增到該域中。

下表描述了為三種域功能級別啟用的域範圍的功能。

2.3.2 林功能級別

林功能可啟用跨越林內所有域的功能。有三種林功能級別，它們是：Windows 2000（預設）、Windows Server 2003 臨時和 Windows Server 2003。預設情況下，林工作在 Windows 2000 功能級別。可以將林功能級別提升到 Windows Server 2003。

下表列出了林功能級別以及相應所支援的域控制器：

一旦提升林的功能級別之後，就不能再將執行舊版作業系統的域控制器引入該林中。例如，如果將林功能級別提升至 Windows Server 2003，則不能再將執行 Windows 2000 Server 的域控制器新增到該林中。

如果您正在升級第一個 Windows NT 4.0 域以便使其成為新 Windows Server 2003 林中的第一個域，則可以將域功能級別設定為 Windows Server 2003 臨時。

下表描述了為 Windows 2000 和 Windows Server 2003 林功能級別啟用的林範圍的功能。

2.3.4 實現Windows Server 2003域功能級別的提升

可以按下列步驟實現Windows Server 2003域功能級別的提升：

1、選擇【管理工具】 =>【Active Directory域和信任關係】。

2、右擊域，在出現的選單中選擇【提供域功能級別】。在出現的對話方塊中，選擇將要提升到的級別，然後單擊【提升】按鈕。如圖2-18所示。

圖 2-18 提升域功能級別

2．4 驗證活動目錄的安裝

活動目錄安裝完成以後，應該驗證目錄資料庫檔案、SYSVOL資料夾和DNS資源記錄都已建立完成，這樣活動目錄才能正常工作。

驗證SRV資源記錄

活動目錄安裝完成以後，新的域控制器在啟動時會把SRV資源記錄註冊到DNS資料庫中。

用nslookup命令來驗證SRV資源記錄是否註冊成功：

在命令提示行下，輸入nslookup命令；回車後輸入ls -t SRV domainname命令，此時如果返回了一系列註冊的SRV記錄，表示SRV記錄工作正常。

利用DNS管理單元來驗證SRV資源記錄是否註冊成功：

在DNS管理控制檯中，展開正向搜尋區域中的相應區域，在域名下面的將出現下列的子域：

_msdcs、_sites、 _tcp、 _udp

如果SRV資源記錄不出現，可開開啟命令提示符，輸入net stop netlogon以後回車，再輸入net start netlogon命令進行強制註冊SRV資源記錄。

驗證SYSVOL

SYSVOL（共用的系統卷）用於儲存的檔案有：登入、退出、啟動與關閉指令碼、組策略資訊等。這些檔案在域控制器內複製。

要驗證SYSVOL，必須先驗證資料夾結構已經建立，然後再驗證必要的共用資料夾已經建立。若SYSVOL資料夾建立的不正確，那麼儲存在SYSVOL中的資料將不能在控制器間複製。

按下列步驟驗證SYSVOL資料夾結構是否已經建立：

在【執行】框中，輸入：%systemroot%\sysvol，然後單擊【確定】按鈕，這時將在Windows資源管理器中找開並顯示SYSVOL資料夾中的內容，它應包括下列的子資料夾：

1.Domain（域）

2.Staging（分級）

3.Staging areas（分級區域）

4.Sysvol（系統卷）

按下列步驟驗證必要的共用資料夾是否已經建立：

在命令提示視窗中，輸入：net share

在計算機共用資料夾列表中，會有下表所列的內容：

驗證目錄資料庫和日誌檔案

按下列步驟驗證目錄資料庫和日誌檔案是否安裝正確：

在【執行】框中，輸入：%systemroot%\ntds，然後單擊【確定】按鈕，這時將在Windows資源管理器中找開並顯示NTDS資料夾中的內容，它應包括下列的子資料夾：

顯示Ntds資料夾中的內容，包括：

1.Ntds.dit（目錄資料庫檔案）

2.Edb.*（事件日誌和檢驗點檔案）

3.Res*.log（保留日誌檔案）

通過檢查事件日誌來驗證安裝結果

在活動目錄安裝完成之後，應檢查事件日誌檔案，看安裝程序中是否出現錯誤。下列日誌將包含安裝過程中出現的錯誤：

1.System Log（系統日誌）

2.Directory Service（目錄服務）

3.DNS Server（DNS伺服器）

4.File Republication service（檔案複製服務）

檢視管理工具

在管理工具中，安裝完活動目錄後新增了與活動目錄有關的5個選項：

1.Active Directory 使用者和計算機

2.Active Directory 站點和服務

3.Active Directory 域和信任關係

4.域安全策略

5.域控制器安全策略

2．5 刪除活動目錄

可以利用活動目錄安裝嚮導刪除活動目錄。在域控制器上用dcpromo.exe命令啟動安裝嚮導時，域控制器標識為包含活動目錄的伺服器，安裝嚮導將提示刪除活動目錄的資訊。

要刪除活動目錄，必須提供下列的管理憑證：

1.要從目錄林最後一個DC上刪除AD，必須以管理員或域管理組成員的身份登入。

2.要從域的控制器（不是最後一個DC）中刪除活動目錄，無須提供憑證，但也必須是域管理員或企業管理員的身分登入。

從最後一個域控制器中或從附加域控制器刪除活動目錄，有一些操作是共同的。只要有任何操作沒有成功，就不能實現活動目錄的刪除。

轉載於:https://blog.51cto.com/lgzeng2360/167736