4.3 项目实施_Windows Server 2008操作系统项目教程-QQ阅读男生都市网

上QQ阅读APP看书，第一时间看更新

4.3　项目实施

4.3.1　创建第一个域（目录林根级域）

1.部署需求

在部署目录林根级域之前需满足以下要求：

（1）设置域控制器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。

（2）在域控制器上准备NTFS卷，如C：。

2.部署环境

任务1～任务3所有实例被部署在该域环境下。域名为long.com。win2008-1和win2008-2是Hyper-V服务器的两台虚拟机。读者在做实训时，为了不相互影响，建议Hyper-V服务器中虚拟网络的模式选择“专用”。网络拓扑图及参数规划如图4-4所示。

图4-4　创建目录林根级域的网络拓扑图

提示：将已经安装Windows Server 2008 R2的独立服务器，按要求进行IP地址、DNS服务器、计算机名等的设置，为后续工作奠定基础。

由于域控制器所使用的活动目录和DNS有着非常密切的关系，因此网络中要求有DNS服务器存在，并且DNS服务器要支持动态更新。如果没有DNS服务器存在，可以在创建域时一起把DNS安装上。这里假设图4-4中的win2008-1服务器未安装DNS，并且是该域林中的第一台域控制器。

3.安装Active Directory域服务

活动目录在整个网络中的重要性不言而喻，经过Windows 2000 Server和Windows Server 2003的不断完善，Windows Server 2008中的活动目录服务功能更加强大，管理更加方便。在Windows Server 2008系统中安装活动目录时，需要先安装Active Directory域服务，然后运行Dcpromp.exe命令启动安装向导。

Active Directory域服务的主要作用是存储目录数据并管理域之间的通信，包括用户登录处理、身份验证和目录搜索等。如果直接运行Dcpromo.exe命令启动Active Directory服务，则将自动在后台安装Active Directory域服务。

①首先确认win2008-1的“本地连接”属性TCP/IP中首选DNS指向了自己（本例定为10.10.10.1）。

②以管理员用户身份登录到win2008-1上，单击“开始”→“管理工具”→“服务器管理器”→“角色”命令，打开“服务器管理器”窗口。

③单击“添加角色”按钮，运行“添加角色向导”，当弹出图4-5所示的“选择服务器角色”对话框时，选择“Active Directory域服务”复选框。

④单击“下一步”按钮，弹出“Active Directory域服务”窗口，窗口中简要介绍了Active Directory域服务的主要功能以及安装过程中的注意事项，如图4-6所示。

⑤单击“下一步”按钮，弹出“确认安装选择”对话框，显示确认要安装的服务。

图4-5　“选择服务器角色”对话框

图4-6　“Active Directory域服务”对话框

⑥单击“安装”按钮即可开始安装。安装完成后弹出图4-7所示的“安装结果”对话框，提示“Active Directory域服务”已经成功安装。

⑦单击“关闭”按钮关闭安装向导，并返回“服务器管理器”窗口。

图4-7　安装结果对话框

4.安装活动目录

①单击“开始”→“管理工具”→“服务器管理器”命令，打开“服务器管理器”窗口，展开“角色”选项，即可看到已经安装成功的“Active Directory域服务”，如图4-8所示。

②单击“摘要”区域中的“运行Active Directory域服务安装向导（dcpromo.exe）”链接或者运行“dcpromo”命令，可启动“Active Directory域服务安装向导”。首先显示如图4-9所示的欢迎界面。

图4-8　“Active Directory域服务”窗口

③单击“下一步”按钮，弹出图4-10所示的“操作系统兼容性”对话框。

④单击“下一步”按钮，弹出图4-11所示的“选择某一部署配置”对话框，选择“在新林中新建域”单选按钮，创建一台全新的域控制器。如果网络中已经存在其他域控制器或林，则可以选择“现有林”单选按钮，在现在林中安装。

3个选项的具体含义如下。

“现有林”→“向现有域添加域控制器”：可以向现有域添加第二台或更多域控制器。

“现有林”→“在现有林中新建域”：在现有林中创建现有域的子域。

“在新林中新建域”：新建全新的域。

图4-9　欢迎界面

图4-10　“操作系统兼容性”对话框

提示：网络既可以有一台域控制器，也可以配置多台域控制器，以分担用户的登录和访问。多个域控制器可以一起工作，自动备份用户账户和活动目录数据，即使部分域控制器瘫痪后网络访问仍然不受影响，从而提高络安全性和稳定性。

⑤单击“下一步”按钮，弹出图4-12所示的“命名林根域”对话框。在“目录林根级域的FQDN”文本框中输入林根域的域名（如本例为long.com）。林中的第一台域控制器是根域，在根域下可以继续创建从属于根域的子域控制器。

图4-11　“选择某一部署配置”对话框

图4-12　“命名林根域”对话框

⑥单击“下一步”按钮，弹出图4-13所示的“设置林功能级别”对话框。不同的林功能级别可以向下兼容不同平台的Active Directory服务功能。选择“Windows 2000”则可以提供Windows 2000平台以上的所有Active Directory功能；选择“Windows Server2003”则可提供Windows Server 2003平台以上的所有Active Directory功能。用户可根据实际网络环境选择合适的功能级别。

提示：安装后若要设置“林功能级别”，请登录域控制器，打开“Active Directory域和信任关系”窗口，右击“Active Directory域和信任关系”，在弹出的快捷菜单中单击“提升林功能级别”命令，选择相应的林功能级别。

⑦单击“下一步”按钮，弹出图4-14所示的“设置域功能级别”对话框。设置不同的域功能级别主要是为兼容不同平台下的网络用户和子域控制嚣。例如设置为“Windows Server 2003”，则只能向该域中添加Windows Server 2003平台或更高版本的域控制器。

图4-13　“设置林功能级别”对话框

图4-14　“设置域功能级别”对话框

提示：安装后若要设置“域功能级别”，请登录域控制器，打开“Active Directory域和信任关系”窗口，右击域名“long.com”，在弹出的快捷菜单中单击“提升域功能级别”命令，选择相应的域功能级别。

⑧单击“下一步”按钮，弹出图4-15所示的“其他域控制器选项”对话框。林中的第一个域控制器必须是全局编录服务器且不能是只读域控制器，所以“全局编录”和“只读域控制器”两个选项都是不可选的。建议选择“DNS服务器”复选框，在域控制器上同时安装DNS服务。

特别注意：在运行“Active Directory域服务安装向导”时，建议安装DNS。如果这样做，该向导将自动创建DNS区域委派。无论DNS服务器服务是否与AD DS（活动目录域）集成，都必须将其安装在部署的AD DS目录林根级域的第一个域控制器上。

⑨单击“下一步”按钮，开始检查DNS配置，弹出图4-16所示的提示框。该信息表示因为无法找到有权威的父区域或者未运行DNS服务器，所以无法创建该DNS服务器的委派。

图4-15　“其他域控制器选项”对话框

图4-16　无法创建的提示框

注意：如果服务器没有分配静态IP地址，此时会弹出图4-17所示的“静态IP分配”对话框。提示需要配置静态IP地址。可以返回重新设置，也可跳过此步骤，只使用动态IP地址。

⑩单击“是”按钮，弹出图4-18所示的“数据库、日志文件和SYSVOL的位置”对话框，默认位于“C：\Windows”文件夹下，也可以单击“浏览”按钮更改为其他路径。其中，数据库文件夹用来存储互动目录数据库，日志文件夹用来存储活动目录的变化日志，以便于日常管理和维护。需要注意的是，SYSVOL文件夹必须保存在NTFS格式的分区中。

图4-17　“静态IP分配”对话框

图4-18　“数据库、日志文件和SYSVOL的位置”对话框

单击“下一步”按钮，弹出图4-19所示的“目录服务还原模式的Administrator密码”对话框。由于有时需要备份和还原活动目录，且还原时必须进入“目录服务还原模式”下，所以此处要求输入“目录服务还原模式”时使用的密码。由于该密码和管理员密码可能不同，所以一定要牢记该密码。

单击“下一步”按钮，弹出图4-20所示的“摘要”对话框，列出前面所有的配置信息。如果需要修改，可单击“上一步”按钮返回。

图4-19　“目录服务还原模式的Administrator密码”对话框

图4-20　“摘要”对话框

提示：单击“导出设置”按钮，即可将当前安装设置输出到记事本中，以用于其他类似域控制器的无人值守安装。

单击“下一步”按钮即可开始安装，弹出“Active Directory域服务安装向导”对话框，根据所设置的选项配置Active Directory。由于这个过程一般比较长，可能要花几分钟或更长时间，所以要耐心等待，也可选择“完成后重新启动”复选框，则安装完成后计算机会自动重新启动。

配置完成后，弹出“完成Active Directory域服务安装向导”对话框，表示Active Directory已安装成功。

单击“完成”按钮，弹出“提示重启计算机”对话框，提示在安装完Active Directory后必须重新启动服务器。单击“立即重新启动”按钮重新引导计算机即可。

重新启动计算机，升级为Active Directory域控制器之后，必须使用域用户账户登录，格式为“域名\用户账户”，如图4-21所示。

提示：如果希望登录本地计算机，请单击“切换用户”→“其他用户”按钮，然后在用户名处输入“计算机名\登录账户名”，在“密码”处输入该账户的密码，即可登录本机。

5.验证Active Directory域服务的安装

活动目录安装完成后，在win2008-1上可以从各个方面进行验证。

（1）查看计算机名

图4-21　“登录”对话框

打开“系统”窗口，单击“高级系统设置”按钮，弹出“系统设置”对话框，选择“计算机”选项卡，可以看到计算机已经由工作组成员变成了域成员，而且是域控制器。

（2）查看管理工具

活动目录安装完成后，会添加一系列的活动目录管理工具，包括“Active Directory用户和计算机”“Active Directory站点和服务”“Active Directory域和信任关系”等。单击“开始”→“管理工具”命令，可以在“管理工具”窗口中找到管理工具的快捷方式。

（3）查看活动目录对象

打开“Active Directory用户和计算机”管理工具，可以看到企业的域名long.com。单击该域名，窗口右侧“详细信息”窗格中会显示域中的各个容器。其中包括一些内置容器，主要有：

built-in：存放活动目录域中的内置组账户。

computers：存放活动目录域中的计算机账户。

users：存放活动目录域中的一部分用户和组账户。

Domain Controllers：存放域控制器的计算机账户。

（4）查看Active Directory数据库

Active Directory数据库文件保存在％SystemRoot％\Ntds（本例为C：\windows\ntds）文件夹中，主要的文件有：

Ntds.dit：数据库文件。

Edb.chk：检查点文件。

Temp.edb：临时文件。

（5）查看DNS记录

为了让活动目录正常工作，需要DNS服务器的支持。活动目录安装完成后，重新启动win2008-1时会向指定的DNS服务器上注册SRV记录。一个注册了SRV记录的DNS服务器如图4-22所示（在“服务器管理器”中查询DNS角色）。

图4-22　注册SRV记录

有时由于网络连接或者DNS配置的问题，造成未能正常注册SRV记录的情况。对于这种情况，可以先维护DNS服务器，并将域控制器的DNS设置指向正确的DNS服务器，然后重新启动NETLOGON服务。

具体操作可以使用以下命令：

试一下：SRV记录手动添加无效。将注册成功的DNS服务器中“long.com”域下面的SRV记录删除一部分，试着在域控制器上使用上面的命令恢复DNS服务器被删除的内容。

6.将客户端计算机加入到域

下面将win2008-2独立服务器加入到long.com域，将win2008-2提升为long.com的成员服务器。其步骤如下。

①首先在win2008-2服务器上，确认“本地连接”属性中的TCP/IP首选DNS指向了long.com域的DNS服务器，即10.10.10.1。

②打开“系统属性”对话框，选择“计算机名”选项卡，单击“更改”按钮；弹出“计算机名/域更改”对话框，如图4-23所示。

③在“隶属于”选项区域中，选择“域”单选按钮，并输入要加入的域的名字long.com，单击“确认”按钮。

④输入有权限加入该域的账户的名称和密码，确定后重新启动计算机即可。

图4-23　“计算机名/域更改”对话框

提示：Windows 2003的计算机要加入到域中的步骤和Windows Server 2008加入到域中的步骤是一样的。

4.3.2　安装额外的域控制器

在一个域中可以有多台域控制器，和Windows NT 4.0不一样，Windows Server 2008的域中不同的域控制器的地位是平等的，它们都有所属域的活动目录的副本，多个域控制器可以分担用户登录时的验证任务，提高用户登录效率，同时还能防止单一域控制器的失败而导致网络的瘫痪。在域中的某一域控制器上添加用户时，域控制器会把活动目录的变化复制到域中别的域控制器上。在域中安装额外的域控制器，需要把活动目录从原有的域控制器复制到新的服务器上。

下面以win2008-2服务器为例说明添加的过程。

①首先在win2008-2服务器上检查“本地连接”属性，确认win2008-2服务器和现在的域控制器win2008-1能否正常通信；更为关键的是要确认“本地连接”属性中TCP/IP的首选DNS指向了原有域中支持活动目录的DNS服务器，本例中是win2008-1，其IP地址为10.10.10.1（win2008-1既是域控制器，又是DNS服务器）。

②安装Active Directory域服务。操作方法与安装第一台域控制器的完全相同。

③启动Active Directory安装向导，弹出“选择某一部署配置”对话框时，选择“现有林”单选按钮，并选择“向现有域添加域控制器”单选按钮，如图4-24所示。

④单击“下一步”按钮，弹出图4-25所示的“网络凭据”对话框。在“键入位于计划安装此域控制器的林中任何域的名称”文本框中输入主域的域名。域林中可以存在多个主域控制器，彼此之间通过信任关系建立连接。

图4-24　“选择某一部署配置”对话框

图4-25　“网络凭据”对话框

⑤单击“设置”按钮，弹出图4-26所示的“Windows安全”对话框。需要指定可以通过相应主域控制器验证的用户账户凭据，该用户账户必须是Domain Admins组，拥有域管理员权限。

⑥单击“确定”按钮返回“网络凭据”对话框。单击“下一步”按钮，弹出图4-27所示的“选择域”对话框，为该额外域控制器选择域。在“域”列表框中选择主域控制器所在的域long.com。

图4-26　“Windows安全”对话框

图4-27　“选择域”对话框

图4-28　“其他域控制器选项”对话框

⑦单击“下一步”按钮，弹出“请选择一个站点”对话框，在“站点”列表框中选择站点。

⑧单击“下一步”按钮，弹出图4-28所示的“其他域控制器选项”对话框，选择“全局编录”复选框，将额外域控制器作为全局编录服务器。由于当前存在一个注册为该域的权威性名称服务器的DNS服务器，所以可以不勾选“DNS服务器”。当然也可选择“DNS服务器”。

⑨单击“下一步”按钮，完成设置数据库、日志文件和SYSVOL的位置，并设置目录服务还原模式的Administrator密码等操作，然后开始安装并配置Active Directory域服务。

⑩配置完成以后，弹出“完成Active Directory域服务安装向导”对话框，域的额外域控制器安装完成。

单击“完成”按钮，根据系统提示重新启动计算机，并使用域用户账户登录到域。

4.3.3　转换服务器角色

Windows Server 2008服务器在域中可以有3种角色：域控制器、成员服务器和独立服务器。当一台Windows Server 2008成员服务器安装了活动目录后，服务器就成为域控制器，域控制器可以对用户的登录等进行验证；然而Windows Server 2008成员服务器可以仅仅加入到域中，而不安装活动目录，这时服务器的主要目的是为了提供网络资源，这样的服务器称为成员服务器。严格来说，独立服务器和域没有什么关系，如果服务器不加入到域中也不安装活动目录，服务器就称为独立服务器。服务器的这3个角色的改变如图4-29所示。

1.域控制器降级为成员服务器

图4-29　服务器角色的变化

在域控制器上把活动目录删除，服务器就降级为成员服务器。下面以win2008-2降级为例，介绍具体步骤。

（1）删除活动目录注意要点

用户删除活动目录也就是将域控制器降级为独立服务器。降级时要注意以下3点。

①如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。

②如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器。因此，该域控制器被删除，而该计算机被降级为独立服务器。

③如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。如果没有，则要先指派一台域控制器来担当“全局编录”的角色，否则将影响用户的登录操作。

提示：指派“全局编录”的角色时，可以依次打开“开始”→“管理工具”→“Active Directory站点和服务”→“Sites”→“Default-First-Site-Name”→“Servers”，展开要担当“全局编录”角色的服务器名称，右击“NTDS Settings属性”选项，在弹出的快捷菜单中选择“属性”命令，在弹出的“NTDS Settings属性”对话框中选择“全局编录”复选框。

（2）删除活动目录

①以管理员身份登录win2008-2，直接运行命令dcpromo，弹出“Active Directory域服务删除向导”对话框。但如果该域控制器是“全局编录”服务器，就会弹出图4-30所示的提示框。

②如图4-31所示，若该计算机是域中的最后一台域控制器，请选择“这个服务器是域中的最后一个域控制器”复选框，则降级后变为独立服务器，此处由于long.com还有一个域控制器win2008-1.long.com，所以不选择此复选框。单击“下一步”按钮。

图4-30　删除AD提示框

图4-31　指明是否是域中的最后一个域控制器

（3）接下来输入删除Active Directory域服务后的管理员的新密码，单击“下一步”按钮；确认从服务器上删除活动目录后，服务器将成为long.com域上的一台成员服务器。确定后，安装向导从该计算机删除活动目录。删除完毕后重新启动计算机，即把域控制器降级为成员服务器。

2.成员服务器降级为独立服务器

win2008-2删除Active Directory域服务后，降级为域long.com的成员服务器。现在将该成员服务器继续降级为独立服务器。

首先在win2008-2上以管理员身份登录。登录成功后单击“开始”→“控制面板”→“系统和安全”→“系统”→“高级系统设置”命令，弹出“系统属性”对话框，选择“计算机名”选项卡，单击“更改”按钮；弹出“计算机名/域更改”对话框；在“隶属于”选项区域中，选择“工作组”单选按钮，并输入从域中脱离后要加入的工作组的名字（本例WORKGROUP），单击“确定”按钮；输入有权限脱离该域的账户的名称和密码，确定后重新启动计算机即可。

4.3.4　创建子域

本次任务要求创建long.com的子域china.long.com。创建子域之前，读者需要了解本任务实例部署的需求和实训环境。

1.部署需求

在向现有域中添加域控制器前需满足以下要求。

（1）设置域中父域控制器和子域控制器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。

（2）部署域环境，父域域名为long.com，子域域名为china.long.com。

2.部署环境

本任务所有实例被部署在域环境下，父域域名为long.com，子域域名为china.long.com。其中父域的域控制器主机名为win2008-1，其本身也是DNS服务器，IP地址为10.10.10.1。子域的域控制器主机名为win2008-2，其本身也是DNS服务器，IP地址为10.10.10.2。具体网络拓扑图如图4-32所示。

提示：win2008-1和win2008-2是Hyper-V服务器的两台虚拟机。读者在做实训时，为了不相互影响，建议Hyper-V服务器中虚拟网络的模式选择“专用”。

图4-32　创建子域的网络拓扑图

在计算机“win2008-2”上安装Active Directory域服务，使其成为子域“china.long.com”中的域控制器。

3.创建子域

①在win2008-2上以管理员账户登录，打开“Internet协议版本4（TCP/IP）属性”对话框，按图4-33所示配置该计算机的IP地址、子网掩码、默认网关以及DNS服务器，其中DNS服务器一定要设置为自身的IP地址和父域的域控制器的IP地址。

②启动“Active Directory域服务安装向导”对话框，在“选择某一部署配置”对话框中选择“现有林”和“在现有林中新建域”单选按钮，如图4-34所示。

③单击“下一步”按钮，弹出图4-35所示的“网络凭据”对话框。在“键入位于计划安装此域控制器的林中任何域的名称”文本框中输入当前域控制器父域的域名；选择“备用凭据”单选按钮，单击“设置”按钮添加备用凭据（一组域凭据）。

图4-33　设置DNS服务器

图4-34　“选择某一部署配置”对话框

④单击“下一步”按钮，弹出图4-36所示的“命名新域”对话框。“父域的FQDN”文本框中将自动显示当前域控制器的域名，在“子域的单标签DNS名称”文本框中输入所要创建的子域的名称（本例为china）。

图4-35　“网络凭据”对话框

图4-36　“命名新域”对话框

⑤单击“下一步”按钮，显示“其他域控制器选项”对话框，默认已经选中“DNS服务器”，如图4-37所示。

⑥接下来的操作和额外域控制器的安装完全相同，只需按照向导单击“下一步”按钮即可。安装完成后，根据提示重新启动计算机，即可登录到子域中。

图4-37　“其他域控制器选项”对话框

4.验证子域的创建

① 重新启动win2008-2计算机后，用管理员身份登录到子域中。依次单击“开始”→“管理工具”→“Active Directory用户和计算机”命令，打开“Active Directory用户和计算机”窗口，可以看到china.long.com子域。

②在win2008-2上，依次单击“开始”→“管理工具”→“DNS”命令，打开“DNS管理器”窗口，依次展开各选项，可以看到区域“china.long.com”，如图4-38所示。

图4-38　“DNS管理器”窗口

观察：请打开win2008-1的DNS服务器的“DNS管理器”窗口，观察china区域下面有何记录。

③打开子域域控制器的“Active Directory用户和计算机”，可以看到域“china.long.com”。

做一做：在Hyper-V中再新建一台Windows Server 2008的虚拟机，计算机名为win2008-3，IP地址为10.10.10.3，子网掩码为255.255.255.0，DNS服务器第一情况设置为10.10.10.1，DNS服务器第二种情况设置为10.10.10.2。分两种情况分别加入到china.long.com，都能成功吗？能否设置为主辅DNS服务器？做完后请认真思考。

5.验证父子信任关系

通过前面的任务，我们构建了long.com及其子域china.long.com，而子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。

①在win2008-1上以域管理员身份登录，单击“开始”→“管理工具”→“Active Directory域和信任关系”命令，打开“Active Directory域和信任关系”窗口，可以对域之间的信任关系进行管理，如图4-39所示。

图4-39　“Active Directory域和信任关系”窗口

②在图4-39中的左侧，右击“long.com”，选择“属性”命令，弹出“long.com属性”对话框，选择“信任”选项卡，如图4-40所示，可以看到long.com和其他域的信任关系。对话框的上部列出的是long.com所信任的域，表明long.com信任其子域china.long.com；窗口的下部列出的是信任long.com的域，表明其子域china.long.com信任其父域long.com。

③在图4-38中选择china.long.com域，查看其信任关系，如图4-41所示。可以发现，该域只是显式地信任其父域long.com，而和另一域树中的根域smile.com并无显式的信任关系。可以直接创建它们之间的信任关系以减少信任的路径。

图4-40　long.com的信任关系

图4-41　china.long.com的信任关系

4.3.5　备份与恢复活动目录

网络中所有的用户信息都存储在Active Directory中，如果网络中只有一台域控制器，或者想安装一台新的域控制器，备份与恢复活动日录就成为一项非常重要的工作。Windows Server 2008的域控制器备份与以往的Windows服务器备份略有不同，备份工具提供了关键卷备份、完全备份和计划备份等方法。

1.安装Windows Server Backup

Windows Server 2008中没有提供类似于Windows Server 2003或Windows XP的“备份和还原向导”，取而代之的是一个称为“Windows Server Backup”的备份工具，该工具默认是不被安装的，需要在“服务器管理器”中手动添加。

①打开“服务器管理器”窗口，展开“功能”选项，单击窗口右侧的“添加功能”超级链接，弹出图4-42所示的“添加功能向导”对话框，选择“Windows Server Backup功能”复选框。

②单击“下一步”按钮，弹出图4-43所示的“确认安装选择”对话框。

图4-42　“添加功能向导”对话框

图4-43　“确认安装选择”对话框

③单击“安装”按钮即可开始安装，安装完成后显示“安装结果”对话框，单击“关闭”按钮关闭即可。

2.完全备份

完全备份是指备份当前服务器的所有数据（即所有逻辑磁盘上的文件），可能要花费较多的时间，但备份数据全面，可操作性更强。备份数据可以选择保存在本地DVD驱动器的可写入磁盘上，也可选择保存在网络上的共享目录。

①单击“开始”→“管理工具”→“Windows Server Back”命令，打开图4-44所示的“Windows Server Backup”窗口。也可以在“运行”对话框中运行“wbadmin.msc”命令启动备份工具。

图4-44　“Windows Server Backup”窗口

②单击最右侧“一次性备份”超链接，启动备份向导，弹出图4-45所示的“备份选项”对话框。由于没有配制备份计划，所以只能选择“其他选项”单选按钮。

③单击“下一步”按钮，弹出图4-46所示的“选择备份配置”对话框。选择“整个服务器”单选按钮，备份当前服务器的所有数据、应用程序和系统状态。

图4-45　“备份选项”对话框

图4-46　“选择备份配置”对话框。

④单击“下一步”按钮，弹出图4-47所示的“指定目标类型”对话框。选择“本地驱动器”单选按钮，可以将备份保存至本地逻辑驱动器或DVD驱动器；选择“远程共享文件夹”单选按钮，可将备份保存至局域网中指定的共享文件夹中。

⑤这里选择远程共享文件夹作为保存目录。单击“下一步”按钮，弹出图4-48所示的“指定远程文件夹”文本框，并在“请键入远程共享文件夹的路径”文本框中输入要指定的目标路径。在“访问控制”选项区域中选择“不继承”单选按钮，可以为特定的用户账户赋予访问此备份的权限；选择“继承”单选按钮，任何用户账户都可以访问备份文件。

提示：建议将备份保存至DVD驱动器或远程共享文件夹中，这样安全程度相对较高，但速度会较慢。如果保存至本地磁盘，则将自动从备份目标中剔除“作为保存目录的磁盘分区”，并且服务器出现磁盘故障时，备份数据也将丢失。因此，如果备份到本地，请保证存在“作为保存目录的磁盘分区”以外的分区存在。本例中，除C盘分区外，还存在E：\。下面自定义备份时，将备份文件保存到本地磁盘E：\。

图4-47　“指定目标类型”对话框

图4-48　“指定远程文件夹”对话框

⑥单击“下一步”按钮，弹出“提供用于备份的用户凭据”对话框，分别在“用户名”和“密码”文本框中输入要指定的用户名和密码，注意，该用户必须是远程计算机中已经赋予足够权限的用户账户，否则备份将无法顺利进行。

⑦单击“确定”按钮，弹出“确认”对话框，显示已经设置的备份项目、备份目标以及高级选项等，单击“上一步”按钮可返回重新设置。

⑧单击“备份”按钮即可开始备份。如果需要备份的文件较多，则可能需要较长的时间。备份至网络存储器时应注意确保网络连接的稳定性。

技巧：在备份过程中，可单击“关闭”按钮关闭当前对话框，备份向导将在后台继续运行。

⑨备份完成后，单击“关闭”按钮关闭备份向导，返回“服务器管理器”窗口。

3.自定义备份

自定义备份允许用户对要备份的分区进行选择，例如只备份系统分区（网络服务关键数据所在分区），此时备份则可以保存在其他逻辑分区或磁盘，可以节约备份时间开销。仍在win2008-2上进行，在图4-46所示的“选择备份配置”对话框中选择“自定义”单选按钮，单击“下一步”按钮，弹出图4-49所示的“选择要备份的项”对话框，单击“添加项”按钮，弹出图4-50所示的“选择项”对话框。若想备份活动目录，请选择“系统状态”。需要注意的是，如果不想备份系统分区，则应取消选择“裸机恢复”复选框。接下来的操作与“完全备份”完全相同。本例“系统状态”数据备份到E：\卷。

图4-49　“选择要备份的项”对话框

图4-50　“选择项”对话框

4.恢复

由于操作不当或系统故障而导致服务器无法正常工作时，就可以利用备份进行恢复。恢复操作要比备份操作复杂，而且为了系统安全，应在“目录服务还原模式”下进行还原。

以上面备份的win2008-2的“系统状态”数据，恢复遭损坏的win2008-2的活目录。

①以域管理员身份登录win2008-2，建立一个域用户testdomain，然后重新启动win2008-2的系统，在进入Windows Server 2008启动界面前按【F8】键（若是Hyper-V的虚拟机，按【Tab+F8】组合键），进入“高级启动选项”界面。通过键盘上的方向键选择“目录服务还原模式”选项，如图4-51所示。

②按【Enter】键，加载操作系统文件并启动。在登录窗口中单击“切换用户”→“其他用户”按钮，在“用户”文本框中输入“Administrator”登录到本地计算机而不是登录到域，在“密码”文本框中输入目录服务还原模式密码。

注意：“目录服务还原模式密码”就是在安装域控制器过程中设置的“目录服务还原模式”的管理员账户的密码。

③按【Enter】键，启动到Windows Server 2008安全模式下的桌面。

④单击“开始”→“服务器管理器”命令，打开“服务器管理器”窗口，展开“存储”→“Windows Server Backup”，如图4-44所示。

⑤在右侧的“操作”窗口中单击“恢复”超链接，运行“恢复向导”，在“入门”对话框中选择“此服务器”单选按钮，如图4-52所示。