2.3.1  安装前准备

活动目录是整个Windows Server 2003系统中的一个关键服务，它与许多协议和服务有非常紧密的关系，并且涉及到整个系统的结构和安全。在安装前要进行一系列的策划和准备工作；否则轻则根本无法享受到活动目录所带来的优越性，重则不能正确安装活动目录服务。
安装前所需要进行的准备工作如下。

（1）必须保证已经有一台机器安装Windows Server 2003 或者Windows 2003 Advanced Server，且至少有一个NTFS分区。此外已经为TCP/IP 配置了DNS协议，并且DNS服务支持SRV记录和动态更新协议。

（2）要规划好整个系统的域结构，活动目录可包含一个或多个域。如果整个系统的目录结构规划不合理，层次不清晰，则不能很好地发挥活动目录的优越性。其中选择根域是一个关键，可以有以下几种选择方案。

使用一个已经注册的DNS域名，好处在于企业的公共网络和私有网络使用同样的DNS名。
使用一个已经注册的DNS域名的子域名。
为活动目录选择一个与已经注册的DNS域名完全不同的域名，这样可以使企业网络在内部和Internet上呈现两种完全不同的命名结构。
企业网络的公共部分用一个已经注册的DNS域名，而私有网络用另一个内部域名。即从名字空间上把两部分分开，这样使得每一部分要访问另一部分时必须使用对方的名字空间来标识对象。

（3）策划域和账户命名，因为使用活动目录的意义之一就在于使内部和外部网络使用统一的目录服务，采用统一的命名方案可方便网络管理和商务往来。活动目录域名通常是该域的完整DNS名称，但是为确保向下兼容，每个域最好还有一个Windows Server 2003以前版本的名称，以便在运行Windows Server 2003以前版本的操作系统的计算机上使用。每个用户账户在活动目录中都有一个用户登录名、一个Windows Server 2003以前版本的用户登录名（安全账户管理员的账户名）和一个用户主要名称后缀。在创建用户账户时，管理员输入其登录名并选择用户主要名称，活动目录建议Windows Server 2003以前版本的用户登录名使用此用户登录名的前20个字节。活动目录命名策略是企业规划网络系统的第1个步骤，它直接影响到网络的基本结构，甚至影响网络的性能和可扩展性。活动目录为现代企业提供了很好的参考模型，既考虑了企业的多层次结构，也考虑了企业的分布式特性，甚至为直接接入Internet提供完全一致的命名模型。

用户主要名称由用户账户名称和表示用户账户所在域的域名组成，这是登录到 Windows Server 2003域的标准用法。其标准格式为user@domain.com，类似于个人的电子邮件地址。但是不要在用户登录名或用户主要名称中加入@号，活动目录在创建用户主要名称时会自动添加此符号，包含多个@号的用户主要名称是无效的。

在活动目录中的默认用户主要名称后缀是域树中根域的DNS名。如果用户的单位使用由部门和区域组成的多层域树，则底层用户的域名可能很长。对于该域中的用户，默认的用户主要名称可能是grandchild.child.root.com，该域中用户默认的登录名可能是 user@grandchild.child.root.com。这样用户登录时要输入的用户名可能太长，非常不方便。为了解决这一问题，Windows Server 2003规定在创建主要名称后用户只要在根域后加上相应的用户名，使同一用户使用更简单的登录名user@root.com即可登录。

（4）设置域间的信任关系，对于运行Windows Server 2003系统的计算机，通过基于Kerberos V5安全协议的双向可传递信任关系启用域之间的账户验证。在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。在域林中，在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。如果这些信任关系是可传递的，则可以在域树或域林中的任何域之间进行用户和计算机的身份验证。

如果将Windows Server 2003以前版本的 Windows域升级为Windows Server 2003域，Windows Server 2003域将自动保留域和任何其他域之间现有的单向信任关系，包括Windows Server 2003以前版本的Windows域的所有信任关系。如果用户要安装新的Windows Server 2003域并且希望与任何Windows Server 2003以前版本的域建立信任关系，则必须创建与这些域的外部信任关系。