windows2003怎么安装活动目录

在Windows Server 2003上安装活动目录（Active Directory，AD）需要遵循系统化的步骤，同时需注意关键配置细节。以下是详细的操作流程和扩展知识：

一、安装前准备

1. 系统要求验证

- 确保服务器硬件符合最低配置：至少133MHz CPU、256MB内存（建议512MB以上）、2GB磁盘空间（系统分区需NTFS格式）。

- 操作系统必须为Windows Server 2003标准版、企业版或数据中心版（Web版不支持AD）。

2. 网络配置

- 设置静态IP地址：避免DHCP分配导致的IP变更问题。

- 配置DNS服务器：AD依赖DNS解析域名，建议先安装DNS服务或将首选DNS指向域控自身（若后续集成DNS角色）。

3. 管理员权限

- 使用本地Administrator账户或具有同等权限的账户操作。

二、安装Active Directory

1. 启动安装向导

- 打开“运行”输入`dcpromo`，或通过“管理工具”中的“管理您的服务器”选择“添加角色”启动Active Directory安装向导。

2. 选择域控制器类型

- 新域控制器：选择“新域的域控制器”创建新林或子域。

- 现有域控制器：若加入现有域，需提供域管理员凭据。

3. 设置域名

- 输入完整的DNS域名（如`example.com`），需与实际DNS解析匹配。

- NetBIOS域名自动生成（如`EXAMPLE`），可手动修改但需避免特殊字符。

4. 数据库和日志路径

- 默认路径为`%systemroot%\NTDS`，建议将数据库和日志文件存放于不同物理磁盘以提高性能。

5. DNS集成配置

- 若未预装DNS服务，勾选“安装并配置DNS服务器”自动创建正向/反向查找区域。

- 现有DNS需手动添加SRV记录或允许向导自动配置。

6. 权限兼容性

- 选择“与Windows 2000之前的版本兼容的权限”或“仅与Windows 2000或更高版本兼容”，取决于域内是否有旧版系统。

7. 目录服务还原模式密码

- 设置还原密码（用于离线修复AD数据库），需复杂且妥善保管。

三、安装后配置

1. 验证DNS配置

- 运行`dcdiag /test:dcpromo /test:dns`检查DNS记录是否完整。

- 确认`_ldap._tcp.dc._msdcs.<域名>`等SRV记录存在。

2. 创建组织单位（OU）和用户

- 通过“Active Directory用户和计算机”管理单元创建OU、用户组和计算机账户，实施分级管理策略。

3. 组策略（GPO）部署

- 链接默认策略或新建GPO，配置密码策略、软件分发等。使用`gpupdate /force`强制刷新策略。

4. 备份与维护

- 使用`ntbackup`工具定期备份系统状态（含AD数据库）。

- 监控事件查看器中与AD相关的事件ID（如目录服务日志）。

四、扩展知识

FSMO角色：AD包含五种操作主控角色（如架构主机、域命名主机），默认由第一台域控承担，可通过`ntdsutil`转移或抢占。

全局编录（GC）：多域环境中启用GC以加速跨域查询，需在“NTDS设置”中勾选。

站点与复制：通过“Active Directory站点和服务”配置子网和站点链接，优化域控间的同步流量。

降级域控制器：运行`dcpromo`可降级域控，若失败需使用元数据清理工具手动删除残留数据。

若需高可用性，建议部署额外域控制器并配置DNS冗余。注意Windows Server 2003已终止支持，建议升级至新版系统以获得安全更新。