Windows Server
™
2003 Bible
R2 and SP1 Edition
Jeffrey R. Shapiro and Jim Boyce
01_754803 ffirs.qxp 2/6/06 3:10 PM Page iii
01_754803 ffirs.qxp 2/6/06 3:10 PM Page ii
Windows Server
™
2003 Bible
R2 and SP1 Edition
01_754803 ffirs.qxp 2/6/06 3:10 PM Page i
01_754803 ffirs.qxp 2/6/06 3:10 PM Page ii
Windows Server
™
2003 Bible
R2 and SP1 Edition
Jeffrey R. Shapiro and Jim Boyce
01_754803 ffirs.qxp 2/6/06 3:10 PM Page iii
LIMIT OF LIABILITY/DISCLAIMER OF WARRANTY: THE PUBLISHER AND THE AUTHOR MAKE NO REPRESENTATIONS
OR WARRANTIES WITH RESPECT TO THE ACCURACY OR COMPLETENESS OF THE CONTENTS OF THIS WORK AND
SPECIFICALLY DISCLAIM ALL WARRANTIES, INCLUDING WITHOUT LIMITATION WARRANTIES OF FITNESS FOR A
PARTICULAR PURPOSE. NO WARRANTY MAY BE CREATED OR EXTENDED BY SALES OR PROMOTIONAL MATERIALS.
THE ADVICE AND STRATEGIES CONTAINED HEREIN MAY NOT BE SUITABLE FOR EVERY SITUATION. THIS WORK IS
SOLD WITH THE UNDERSTANDING THAT THE PUBLISHER IS NOT ENGAGED IN RENDERING LEGAL, ACCOUNTING,
OR OTHER PROFESSIONAL SERVICES. IF PROFESSIONAL ASSISTANCE IS REQUIRED, THE SERVICES OF A COMPETENT
PROFESSIONAL PERSON SHOULD BE SOUGHT. NEITHER THE PUBLISHER NOR THE AUTHOR SHALL BE LIABLE FOR
DAMAGES ARISING HEREFROM. THE FACT THAT AN ORGANIZATION OR WEBSITE IS REFERRED TO IN THIS WORK
AS A CITATION AND/OR A POTENTIAL SOURCE OF FURTHER INFORMATION DOES NOT MEAN THAT THE AUTHOR
OR THE PUBLISHER ENDORSES THE INFORMATION THE ORGANIZATION OR WEBSITE MAY PROVIDE OR

RECOMMENDATIONS IT MAY MAKE. FURTHER, READERS SHOULD BE AWARE THAT INTERNET WEBSITES LISTED IN
THIS WORK MAY HAVE CHANGED OR DISAPPEARED BETWEEN WHEN THIS WORK WAS WRITTEN AND WHEN IT IS
READ.
Windows Server
™
2003 Bible, R2 and SP1 Edition
Published by
Wiley Publishing, Inc.
10475 Crosspoint Boulevard
Indianapolis, IN 46256
www.wiley.com
Copyright © 2006 by Wiley Publishing, Inc., Indianapolis, Indiana
Published simultaneously in Canada
ISBN-13: 978-0-471-75480-0
ISBN-10: 0-471-75480-3
Manufactured in the United States of America
10 9 8 7 6 5 4 3 2 1
1O/RT/QS/QW/IN
No part of this publication may be reproduced, stored in a retrieval system or transmitted in any form or by any means,
electronic, mechanical, photocopying, recording, scanning or otherwise, except as permitted under Sections 107 or 108 of
the 1976 United States Copyright Act, without either the prior written permission of the Publisher, or authorization through
payment of the appropriate per-copy fee to the Copyright Clearance Center, 222 Rosewood Drive, Danvers, MA 01923, (978)
750-8400, fax (978) 646-8600. Requests to the Publisher for permission should be addressed to the Legal Department, Wiley
Publishing, Inc., 10475 Crosspoint Blvd., Indianapolis, IN 46256, (317) 572-3447, fax (317) 572-4355, or online at
/>For general information on our other products and services or to obtain technical support, please contact our Customer
Care Department within the U.S. at (800) 762-2974, outside the U.S. at (317) 572-3993 or fax (317) 572-4002.
Wiley also publishes its books in a variety of electronic formats. Some content that appears in print may not be available in
electronic books.
Library of Congress Cataloging-in-Publication Data
Shapiro, Jeffrey, 1959-

Windows Server 2003 Bible, R2 and SP1 edition/Jeffrey Shapiro and Jim Boyce.
p. cm.
ISBN-13: 978-0-471-75480-0
ISBN-10: 0-471-75480-3
1. Microsoft Windows Server. 2. Operating systems (Computers) I. Boyce, Jim, 1958- II. Title.
QA76.76.O63S536 2006
005.4’476 dc22
Trademarks: Wiley and related trade dress are registered trademarks of Wiley Publishing, Inc., in the United States and
other countries, and may not be used without written permission. All other trademarks are the property of their respective
owners. Wiley Publishing, Inc., is not associated with any product or vendor mentioned in this book.
01_754803 ffirs.qxp 2/6/06 3:10 PM Page iv
About the Authors
Jeffrey R. Shapiro (Boca Raton, Florida) has worked in Information Technology for nearly
15 years. He has published more than 12 books on IT, network administration, and software
development, and has written for numerous publications over the years. He also regularly
speaks at events, and frequently participates in training courses on Microsoft systems.
In 2003, he was selected to lead Broward County’s NetWare to Windows Server 2003
migration project. His mission was to consolidate hundreds of NetWare Servers to 50 high-
performance Windows Server 2003 servers. Jeffrey continues to architect and design sys-
tems, specializing in the data tier. He also writes the Windows Server 2003 column for
serverpipline at
www.serverpipeline.com.
Jim Boyce (Rothsay, Minnesota) is a freelance author and former contributing editor
and monthly columnist for WINDOWS magazine. Jim has authored and co-authored more
than 45 books about computer software and hardware, and is a frequent contributor to
techrepublic.com and other technical publications. He has been involved with computers
since the late 1970s as a programmer and systems manager in a variety of capacities. He
has a wide range of experience in the DOS, Windows, Windows NT, Windows Server 2003,
and Unix environments.
01_754803 ffirs.qxp 2/6/06 3:10 PM Page v

Credits
Executive Editor
Chris Webb
Acquisitions Editor
Katie Mohr
Development Editor
Kevin Shafer
Technical Editor
Todd Meister
Production Editor
William A. Barton
Copy Editor
Luann Rouff
Editorial Manager
Mary Beth Wakefield
Production Manager
Tim Tate
Vice President & Executive Group
Publisher
Richard Swadley
Vice President and Publisher
Joseph B. Wikert
Project Coordinator
Michael Kruzil
Graphics and Production Specialists
Andrea Dahl
Lauren Goddard
Denny Hager
Barbara Moore
Rashell Smith

Alicia South
Quality Control Technician
Laura Albert
Proofreading and Indexing
TECHBOOKS Production Services
01_754803 ffirs.qxp 2/6/06 3:10 PM Page vi
Acknowledgments
God knows how hard writing a book is . . . and then to get it published. We are thankful for the
team that has helped us bring this baby into the world.
We would first like to thank our agent, David Fugate, for his effort over the past seven years
in bringing us together with the team at Wiley Publishing. If an Olympic team for computer
writers existed, David would surely be the head coach. Special honors also go to the Wiley
Publishing editorial team. In particular, we would like to “flag” our development editor, Kevin
Shafer, who did an outstanding job of bringing together the pieces of the puzzle.
The technical editor “Oscar” goes to Todd Meister and Chris Thibodeaux, not only for read-
ing our lines, but for reading in between them as well. In addition, we would no doubt have
gotten no farther than this acknowledgments page without the expert cyber-pencil of our
copy editor, Luann Rouff.
For every hour spent writing these words, at least ten were spent testing and toying with
Windows Server 2003. How do a bunch of authors get this far? Simple—you gather around
you a team of dedicated professionals who help you build a killer lab and then help you test
everything from the logon screen to the shutdown command.
Much of this book was written throughout 2002 on the foundation laid down by the Windows
2000 Server Bible, published in 2000; it was revised in 2003 and then revised again in 2005,
during the release of SP1 and the much anticipated R2. It would not have been survivable
for us without two special souls that we worked with. Omar Martinez takes the gold for
always being available for advice on just about any subject that involves a PC or a server . . .
hardware or software. He is the best Microsoft engineer we have worked with and redefines
the meaning of “operating system.”
The “home” team always gets the last mention, but without their support, input, and love, the

soul in this work would not have taken flight. Special thanks to Kim and Kevin Shapiro and
the ever-expanding Boyce clan.
01_754803 ffirs.qxp 2/6/06 3:10 PM Page vii
Contents at a Glance
Acknowledgments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv
Part I: Windows Server 2003 Architecture . . . . . . . . . . . . . . . . . . . . . 1
Chapter 1: Introducing Windows Server 2003. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Chapter 2: Windows Server 2003 and Active Directory . . . . . . . . . . . . . . . . . . . . . 21
Chapter 3: Windows Server 2003 Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Chapter 4: .NET Framework Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Part II: Planning, Installation, and Configuration. . . . . . . . . . . . . . . . 109
Chapter 5: Planning for Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Chapter 6: Installing Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Chapter 7: Configuring Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Part III: Active Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . 241
Chapter 8: Planning for Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Chapter 9: Organizing a Logical Domain Structure . . . . . . . . . . . . . . . . . . . . . . . 263
Chapter 10: Active Directory Physical Architecture. . . . . . . . . . . . . . . . . . . . . . . 301
Chapter 11: Active Directory Installation and Deployment. . . . . . . . . . . . . . . . . . . 345
Chapter 12: Active Directory Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Chapter 13: Managing Users and Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Chapter 14: Change Control, Group Policy, and Workspace Management . . . . . . . . . . 449
Part IV: Networking and Communication Services . . . . . . . . . . . . . . . 499
Chapter 15: Windows Server 2003 Networking. . . . . . . . . . . . . . . . . . . . . . . . . . 501
Chapter 16: DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Chapter 17: DNS and WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
Chapter 18: Routing and Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Part V: Availability Management . . . . . . . . . . . . . . . . . . . . . . . . . 677
Chapter 19: Storage Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679

Chapter 20: Backup and Restore. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Chapter 21: Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
Chapter 22: The Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
02_754803 ftoc.qxp 2/6/06 3:10 PM Page viii
Chapter 23: Auditing Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
Chapter 24: Service Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
Chapter 25: Windows Server 2003 High Availability Services . . . . . . . . . . . . . . . . . 807
Part VI: File, Print, Web, and Application Services . . . . . . . . . . . . . . . 879
Chapter 26: Windows Server 2003 File Systems . . . . . . . . . . . . . . . . . . . . . . . . . 881
Chapter 27: Sharing and Securing Files and Folders. . . . . . . . . . . . . . . . . . . . . . . 949
Chapter 28: Print Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001
Chapter 29: Web, FTP, and Intranet Services . . . . . . . . . . . . . . . . . . . . . . . . . . 1037
Chapter 30: Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1085
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121
02_754803 ftoc.qxp 2/6/06 3:10 PM Page ix
02_754803 ftoc.qxp 2/6/06 3:10 PM Page x
Contents
Acknowledgments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv
Part I: Windows Server 2003 Architecture 1
Chapter 1: Introducing Windows Server 2003 . . . . . . . . . . . . . . . . . . . 3
Welcome to Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Understanding the Windows Server 2003 Architecture . . . . . . . . . . . . . . . . . . 4
Operating system modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
User mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Kernel mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Windows 2003 processing architecture . . . . . . . . . . . . . . . . . . . . . . . . 9
Windows 2003 memory management . . . . . . . . . . . . . . . . . . . . . . . . . 9
Paging in depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
The Zero Administration Windows Initiative . . . . . . . . . . . . . . . . . . . . . . . . 11

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Microsoft Management Console . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Server and client in unison: IntelliMirror . . . . . . . . . . . . . . . . . . . . . . 12
Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Availability services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Distributed security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Interoperation and integration services. . . . . . . . . . . . . . . . . . . . . . . 16
Hardware support and plug and play . . . . . . . . . . . . . . . . . . . . . . . . 16
Storage and File System Services. . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Internet Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Communications Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chapter 2: Windows Server 2003 and Active Directory . . . . . . . . . . . . . 21
The Omniscient Active Directory: Dawn of a New Era . . . . . . . . . . . . . . . . . . 22
Why do we need directories? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
What is Active Directory? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
The grandfather of the modern directory: The X.500 specification . . . . . . . 26
The father of the modern directory: LDAP . . . . . . . . . . . . . . . . . . . . . 28
After X.500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
The open Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
How the registry fits in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xi
xii
Contents
The Elements of Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Namespaces and naming schemes . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Active Directory and the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Active Directory everywhere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Inside Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

If it walks like a duck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
The Active Directory database structure . . . . . . . . . . . . . . . . . . . . . . 37
Active Directory objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Active Directory schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Object attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Walking the Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Naming conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Domain objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Organizational units . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Forests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
The global catalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
My active directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Bridging the Divide: Legacy NT and Windows Server 2003. . . . . . . . . . . . . . . . 50
Single point of access and administration. . . . . . . . . . . . . . . . . . . . . . 52
Domains and more domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Intra-domain trust relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Access control lists and access tokens . . . . . . . . . . . . . . . . . . . . . . . 54
Reality Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Chapter 3: Windows Server 2003 Security. . . . . . . . . . . . . . . . . . . . . 57
An Overview of Windows 2003 Security . . . . . . . . . . . . . . . . . . . . . . . . . . 57
The Need for Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Data input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Data transport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Why the threat exists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Rising to the Security Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Understanding Encryption Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Getting to Know Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Private keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Public keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Session keys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Key certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Digital signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Understanding Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Kerberos and the Single Sign-On initiative . . . . . . . . . . . . . . . . . . . . . 67
Psst . . . this is how Kerberos works . . . . . . . . . . . . . . . . . . . . . . . . . 67
Time authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Key distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Session tickets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Kerberos and trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Locating KDCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Getting to Know IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xii
xiii
Contents
Understanding Microsoft Certificate Services . . . . . . . . . . . . . . . . . . . . . . . 73
Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Digital certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creating the PKI with Microsoft Certificate Services . . . . . . . . . . . . . . . 74
Support for Legacy NTLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Smart Cards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Domains. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Logon and Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Windows 2003 logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Bi-factorial and mono-factorial authentication . . . . . . . . . . . . . . . . . . . 76
Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Security Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Active Directory Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Secure Sockets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Firewalls, Proxies, and Bastions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Introduction to the Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . 83
Setting up and Configuring a Windows PKI . . . . . . . . . . . . . . . . . . . . . . . . . 83
Understanding Certificate Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Setting up and Configuring a Certificate Authority . . . . . . . . . . . . . . . . . . . . 84
Deploying a PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Trust model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Chapter 4: .NET Framework Services . . . . . . . . . . . . . . . . . . . . . . . . 95
Introduction to the .NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
64-bit platform support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Access Control List. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
ADO .NET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Asynchronous processing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Understanding the .NET Initiative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
The Common Language Runtime . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Common Type System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
.NET security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Application domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Garbage collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
.NET vs. the JVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Configuring the Global Assembly Cache . . . . . . . . . . . . . . . . . . . . . . 103
Administering Web Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Part II: Planning, Installation, and Configuration 109
Chapter 5: Planning for Windows Server 2003 . . . . . . . . . . . . . . . . . 111
Steps to Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Formulating a plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Implementing in phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Step 1: Establishing timelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xiii
xiv
Contents
Step 2: Understanding the technology . . . . . . . . . . . . . . . . . . . . . . . 114
Step 3: Understanding how your enterprise is positioned to exploit
Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Step 4: Establishing a budget . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Step 5: Creating a lab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Step 6: Designing the logical and physical structures . . . . . . . . . . . . . . 117
Step 7: Securing the lab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Step 8: Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Step 9: Positioning the enterprise on Windows Server 2003. . . . . . . . . . . 117
Step 10: Evaluating the project . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Step 11: Creating pilot projects . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Step 12: Beginning conversions . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Analysis and Ramp-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Understanding the technology . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Focusing on capabilities and not features . . . . . . . . . . . . . . . . . . . . . 120
Needs analyses-needs syntheses . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Don’t overlook your present needs. . . . . . . . . . . . . . . . . . . . . . . . . 121
Assessing your future needs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Assessing your strengths and weaknesses . . . . . . . . . . . . . . . . . . . . 122
Assessing the risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Tinkering in the labs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Creating the network infrastructure plan . . . . . . . . . . . . . . . . . . . . . 132
Setting up the lab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Lab-management pointers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Establishing Sanity Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Running Pilot Projects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Pilot scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Pilot objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Pilot users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Disaster recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Operating System Conversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Coming to Grips with Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . 145
Clean up your old NT domains . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Standardize on TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Deploy DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Deploy WINS .NET. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Deploy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Chapter 6: Installing Windows Server 2003 . . . . . . . . . . . . . . . . . . . 149
Installation and Configuration Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Getting psyched up about installing . . . . . . . . . . . . . . . . . . . . . . . . 150
Server recipes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
An Overview of Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
The Hardware Compatibility List (HCL) . . . . . . . . . . . . . . . . . . . . . . 154
Motherboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Central processing units (CPUs) . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Hard-disk drives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
HDD controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xiv

xv
Contents
Network interface cards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Plug and play (PnP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Getting Ready to Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Standalone servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Member servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Role servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Domain controller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Installing Windows Server 2003. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Partitioning hard-disk drives . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Performing a basic install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Installing from the network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Streamlining setup from the command line by using winnt and winnt32 . . . 169
Troubleshooting the Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Post-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Introducing the Boot File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Windows Server 2003 as a Communications Server and Microsoft Exchange . . . . 174
Internet Information Services integration . . . . . . . . . . . . . . . . . . . . . 174
Active Directory integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Distributed services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Single-seat and policy-based administration . . . . . . . . . . . . . . . . . . . 175
SMTP message routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Internet mail content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
System Monitoring Using Windows Management Instrumentation . . . . . . . . . . 176
Windows Server 2003 for Database Services with SQL Server . . . . . . . . . . . . . 177
Windows Server 2003 for IIS and ASP.NET. . . . . . . . . . . . . . . . . . . . . . . . . 178
Windows Server 2003 for Application Services. . . . . . . . . . . . . . . . . . . . . . 178
Windows Server 2003 Catalogs and Indexes . . . . . . . . . . . . . . . . . . . . . . . 180

Windows Server 2003 Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . 180
Windows Server 2003 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Windows Server 2003 for Resolutions Services . . . . . . . . . . . . . . . . . . . . . 182
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Chapter 7: Configuring Windows Server 2003. . . . . . . . . . . . . . . . . . 185
Using the Microsoft Management Console . . . . . . . . . . . . . . . . . . . . . . . . 185
Understanding the function of the MMC . . . . . . . . . . . . . . . . . . . . . . 185
Opening the MMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Using snap-ins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Getting to know taskpads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Other add-in tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Customizing MMC to suit your needs . . . . . . . . . . . . . . . . . . . . . . . 193
Control Panel versus MMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Windows Firewall Changes for MMC Tools . . . . . . . . . . . . . . . . . . . . . . . . 195
Getting to Know the MMC Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Certification Authority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Cluster Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Component Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Computer Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xv
xvi
Contents
Event Viewer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Monitoring performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Server extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Configure Your Server Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Using the Security Configuration Wizard . . . . . . . . . . . . . . . . . . . . . . . . . 215

Manage Your Server Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Working with Data Sources (ODBC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Defining DSNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Viewing Driver Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Tracing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Connection Pooling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Understanding Control Panel Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Accessibility options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Add or Remove Hardware applet . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Add or Remove Programs applet . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Administrative Tools applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Automatic Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Date and Time applet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Display object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Folder Options applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Internet Options applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Licensing object. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Network Connections applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Power Options applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Printers Control Panel applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Scheduled Tasks folder. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
System applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Part III: Active Directory Services 241
Chapter 8: Planning for Active Directory . . . . . . . . . . . . . . . . . . . . . 243
Active Directory Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Basic Design Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Active Directory Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
A domain plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Site topology. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

A forest plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
A trust plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
An organizational unit plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Planning for the Active Directory Enterprise . . . . . . . . . . . . . . . . . . . . . . . 249
Naming strategy plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Domain and organizational units plan . . . . . . . . . . . . . . . . . . . . . . . 251
Branch office plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Administration Planning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Delegating administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Delegating forests, trees, and organizational units . . . . . . . . . . . . . . . . 256
Implementing object security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Administrative roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xvi
xvii
Contents
Migration Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Upgrade plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Restructuring plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Migration tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Test-lab plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Backup and recovery plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Deploying the Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Chapter 9: Organizing a Logical Domain Structure. . . . . . . . . . . . . . . 263
Keepers of the New Order. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Active Directory Infrastructure Planning . . . . . . . . . . . . . . . . . . . . . . . . . 264
Planning for the Logical Domain Structure . . . . . . . . . . . . . . . . . . . . . . . . 264
Preparing yourself mentally . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Assembling the team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
The domain planning committee . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Domain management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Change control management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Domain security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Intradomain communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Education and information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Surveying the enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Enterprise analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Enterprise environments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Working with organizational charts. . . . . . . . . . . . . . . . . . . . . . . . . 272
Identifying the Key Management Entities . . . . . . . . . . . . . . . . . . . . . 273
Strategic drivers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Identifying the logical units . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Identifying the physical units . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Administrative modeling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Logical Domain Structure: The Blueprint . . . . . . . . . . . . . . . . . . . . . . . . . 280
The top-level domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
DNS naming practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Second-level domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Partitioning the Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Organizational units . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Working with groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Securing the partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Chapter 10: Active Directory Physical Architecture. . . . . . . . . . . . . . . 301
Past, Present, and Future . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Forests and Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Forest choice design implications . . . . . . . . . . . . . . . . . . . . . . . . . 306
Domain Controllers and Global Catalogs . . . . . . . . . . . . . . . . . . . . . . . . . 307
Domain controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Global catalogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
The DC and GC locator services . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Design decisions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xvii
xviii
Contents
Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Replication within sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Site links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Site link bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Connection objects between sites . . . . . . . . . . . . . . . . . . . . . . . . . 318
Active Directory Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
How replication works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Directory Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Active Directory Site Design and Configuration . . . . . . . . . . . . . . . . . . . . . 322
Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Creating DC sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Deploying domain controllers. . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Securing domain controllers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Deploying GC servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Deploying DNS servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
A DDNS architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Deploying WINS servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Deploying DHCP servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
A Site Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Site link cost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Time service architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Chapter 11: Active Directory Installation and Deployment . . . . . . . . . . 345
Getting Ready to Deploy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Millennium City Active Directory Deployment Plan . . . . . . . . . . . . . . . . . . . 346
Executive Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
MCITY Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
The GENESIS domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
The CITYHALL domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
The DITT domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
The MCPD domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Installing and Testing the Active Directory Domain Controllers . . . . . . . . . . . . 350
Installing the DC machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Promoting to domain controller . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Establishing in DNS/WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Creating sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Creating organizational units (OUs) . . . . . . . . . . . . . . . . . . . . . . . . 364
Delegating OU administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Securing the DC and following disaster recovery protocol . . . . . . . . . . . 366
Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
IP address reservations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Installation of the root domain, MCITY.US . . . . . . . . . . . . . . . . . . . . . 368
Quality assurance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xviii
xix
Contents
Chapter 12: Active Directory Management. . . . . . . . . . . . . . . . . . . . 375
Installing New Directory Services into an Existing Infrastructure . . . . . . . . . . . 375
Replication Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Installing New Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376

Installing New Catalog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Protecting Active Directory from Corruption. . . . . . . . . . . . . . . . . . . . . . . 378
Online and offline database defragmentation . . . . . . . . . . . . . . . . . . . 378
Ensuring database integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Moving Active Directory from Server to Server . . . . . . . . . . . . . . . . . . . . . 381
Integrating Active Directory with Other Services . . . . . . . . . . . . . . . . . . . . 381
Active Directory and SQL Server . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Active Directory and Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . 382
Trust and Replication Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Logon without the Global Catalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Active Directory and DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Active Directory Administration Architecture . . . . . . . . . . . . . . . . . . . . . . 385
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Windows Server 2003 group membership . . . . . . . . . . . . . . . . . . . . . 390
Network services administration . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Administration of Enterprise Service Servers . . . . . . . . . . . . . . . . . . . 393
Remote workstation administration architecture. . . . . . . . . . . . . . . . . 394
Terminal Services policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Secure administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Chapter 13: Managing Users and Groups . . . . . . . . . . . . . . . . . . . . 403
The Windows Server 2003 Account: A User’s Resource . . . . . . . . . . . . . . . . . 404
What is a user? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
What are contacts? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Local users and “local users” . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
What is a group? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Exploring the Users and Computers management tools . . . . . . . . . . . . . 408
Windows Server 2003 user accounts . . . . . . . . . . . . . . . . . . . . . . . . 410
Account policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Security principals and the logon authentication process. . . . . . . . . . . . 414

Security identifiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
SAM and LSA authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
User Accounts in Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Getting familiar with RunAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Naming user accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Understanding logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Granting remote access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Creating a user account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Renaming user accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Deleting and disabling user accounts . . . . . . . . . . . . . . . . . . . . . . . 427
Copying accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Computer Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Group Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
The scope of groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
The elements of groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xix
xx
Contents
Installing predefined groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Groups on member servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Nesting groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Group creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Managing groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Rights and permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Mixed mode versus native mode . . . . . . . . . . . . . . . . . . . . . . . . . . 441
The Zen of Managing Users and Groups. . . . . . . . . . . . . . . . . . . . . . . . . . 442
Delegating responsibility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
User and Group Management Strategies . . . . . . . . . . . . . . . . . . . . . . . . . 444
Keep your eye on TCO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

Determine the access and privileges needed . . . . . . . . . . . . . . . . . . . 446
Determine the security level. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Protect resources and lessen the load by using Local groups . . . . . . . . . 446
Delegate with care . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Keep changes to a minimum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Chapter 14: Change Control, Group Policy, and Workspace
Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
What Is Change Control? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Understanding Change Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
The user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
The computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Taking Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Operating system environment . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Workstation lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Getting ready for change-control policy . . . . . . . . . . . . . . . . . . . . . . 459
Understanding Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Types of Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
The elements of Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Where GPOs live . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
How Group Policy Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Local or nonlocal Group Policy Objects . . . . . . . . . . . . . . . . . . . . . . 469
Group Policy application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Filtering policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Delegating control of GP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Security at the local Group Policy Objects . . . . . . . . . . . . . . . . . . . . 473
How Group Policy is processed . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Putting Group Policy to Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

The software policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Security policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Group Policy and Change Management: Putting It All Together . . . . . . . . . . . . 478
Don’t accept the default policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Establishing a GP attack plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Dealing with computer accounts . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Customizing logon/logoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Locking down the desktop. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xx
xxi
Contents
Controlling the Start menu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Folder redirection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Older versions of Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Change Control Management for Group Policy . . . . . . . . . . . . . . . . . . . . . . 483
From development to production with Group Policy . . . . . . . . . . . . . . 484
Change control for Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Planning and troubleshooting GP by using RSoP . . . . . . . . . . . . . . . . . 485
Architecting Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Password policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Account lockout policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
Audit policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Event log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Locking down Domain Admins . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Part IV: Networking and Communication Services 499
Chapter 15: Windows Server 2003 Networking . . . . . . . . . . . . . . . . . 501
TCP/IP on Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
TCP/IP Basics (IPv4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

IP addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Subnetting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Classless Interdomain Routing notation . . . . . . . . . . . . . . . . . . . . . . 506
Obtaining IP addresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Gateways and routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
Dynamic Host Configuration Protocol (DHCP) . . . . . . . . . . . . . . . . . . 509
Domains and name resolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Preparing for installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Setting up TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Configuring TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
Understanding and Using IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
IPv6 terms and concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Using IPv6 in Windows Server 2003. . . . . . . . . . . . . . . . . . . . . . . . . 521
Troubleshooting TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Common troubleshooting concepts . . . . . . . . . . . . . . . . . . . . . . . . 523
ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
ipconfig. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
hostname. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
tracert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
nbtstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Legacy Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
NetBEUI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
IPX/SPX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Understanding how SNMP works . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Installing and configuring SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 536

02_754803 ftoc.qxp 2/6/06 3:10 PM Page xxi
xxii
Contents
Windows Firewall Configuration and Management. . . . . . . . . . . . . . . . . . . . 539
Overview of Windows Firewall changes . . . . . . . . . . . . . . . . . . . . . . 539
Configuring Windows Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Managing Windows Firewall with Group Policy . . . . . . . . . . . . . . . . . . 544
Managing Windows Firewall from a console. . . . . . . . . . . . . . . . . . . . 545
Network Access Quarantine Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Chapter 16: DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Overview of DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
The Windows Server DHCP Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Support for dynamic DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Vendor and user classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Multicast address allocation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Unauthorized DHCP server detection . . . . . . . . . . . . . . . . . . . . . . . 550
Automatic client configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Improved monitoring and reporting . . . . . . . . . . . . . . . . . . . . . . . . 550
Installing and Configuring the DHCP Server . . . . . . . . . . . . . . . . . . . . . . . 551
Installing DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Using the DHCP console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Creating scopes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Setting general scope options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Configuring global DHCP options . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Creating reservations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Setting global scope properties . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Activating and deactivating a scope . . . . . . . . . . . . . . . . . . . . . . . . 558
Authorizing the server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Defining and Implementing User and Vendor Classes . . . . . . . . . . . . . . . . . . 558

Vendor classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
User classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Configuring a client to use class IDs . . . . . . . . . . . . . . . . . . . . . . . . 561
Creating and Using Superscopes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Creating a superscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Activating and deactivating a superscope . . . . . . . . . . . . . . . . . . . . . 563
Removing scopes from a superscope . . . . . . . . . . . . . . . . . . . . . . . 563
Deleting superscopes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Creating Multicast Scopes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Configuring Global DHCP Server Properties . . . . . . . . . . . . . . . . . . . . . . . 565
Managing the DHCP Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
Backing up and restoring the DHCP database. . . . . . . . . . . . . . . . . . . 567
Moving the DHCP database to another server . . . . . . . . . . . . . . . . . . 568
Configuring Windows DHCP Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
Configuring DNS options for DHCP . . . . . . . . . . . . . . . . . . . . . . . . . 569
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Chapter 17: DNS and WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
Overview of the Domain Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . 571
Understanding domain names. . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Today’s DNS system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Resolvers, name servers, and forward lookup . . . . . . . . . . . . . . . . . . 574
Domain records and zone files . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
02_754803 ftoc.qxp 2/6/06 3:10 PM Page xxii