將活動目錄從Server 2003升級到Server 2008
作者介紹:黃俊麟。 目前供職于某大型外企,負責中國區的IT基礎設置建設。曾先后在500強外企從事系統管理,數據中心建設及網絡管理,對應用部署,項目管理,團隊建設等有深入了解,并長期致力于IT前沿技術的研究。
眾所周知,在當今流行的IT環境中,活動目錄已成為一個廣泛應用在各種組織內部的基礎平臺。活動目錄的穩定工作,合理配置,對于組織內系統的平穩運行具有舉足輕重的作用。將域控制器部署得當,優化配置域策略,不僅可以保證系統的安全和穩定,也能讓內網網絡貢獻最好的性能。毫不夸張地說,一個運轉良好的域控環境,是整個IT系統及網絡的堅實基礎。
多年來,微軟的Windows Server 2000及Windows Server 2003系列通過一貫穩定的表現證明了其作為基礎平臺的優異性能,是IT部門可信賴的工具。隨著IT環境日趨復雜,需求日益增長,云計算、虛擬化技術在近年的IT市場上風起云涌,微軟也順應形勢,適時地推出了WINNDOWS Server 2008及Windows Server 2008 R2系列。新版的Windows Server提供了不少富有價值的新功能,尤其是在高可用性、虛擬化支持以及集中管理等方面上具有突破性的改進。主要的新特性在本文不逐一介紹,大家有興趣可在微軟官方網站上查閱(http://www.microsoft.com/china/WindowsServer2008/whats-new.aspx)。
本文將著重介紹新版Windows Server 2008在活動目錄上的表現及將活動目錄從Server 2003升級到Server 2008的過程。
升級的可行性和必要性
如果你是一位系統管理員,提到升級的第一反應恐怕并不會歡欣鼓舞。因為經驗告訴我們,最新的系統并不一定是最好的系統,很多時候一個穩定運行的系統對我們來說才是首要考慮的問題,尤其是對于活動目錄這種基礎平臺來說。根據筆者在實際實施過程的經驗來看,大可不必擔心升級會帶來的問題,整個升級過程操作非常簡單,配置幾乎不需要做任何變更,而且耗費的時間很短,用一個周末的時間就足以完成。如果你的組織內部署有多臺域控服務器的話,對用戶的影響就更小了。
當前平臺存在的眾多問題及瓶頸,在新版本平臺上將迎刃而解。而且升級可以讓你的IT環境緊跟硬件發展的趨勢,充分發揮新硬件的性能,和其它業務平臺保持一致水平,從而為業務增長提供可靠支持。而且微軟對每個版本Windows Server的技術支持都有時間期限,過了期限之后將得不到及時的補丁更新和支持,這也讓升級成為勢在必行的工作。
正式升級前的準備
如前文所述,IT部門的首要任務是保證系統的高可用性。對于如此重大的平臺升級,必須在測試環境中充分驗證,確保你的系統工程師了解整個過程,對可能出現的問題做好應急準備。另外,升級的規劃也非常重要。尤其是在大中型組織中,務必和組織內部的用戶及管理層充分溝通,將升級安排在合適的時間進行。另外,在IT部門內部,也必須和網絡管理員、系統管理員及各個應用的負責人充分溝通,因為這不可避免地會影響到其它系統,你必須依靠伙伴的協同合作來完成這個工作。任何疏忽都可能造成整個IT環境無法正常工作,進而影響業務開展。#p#
直接將現有的域控制器從2003升級到2008
安裝一臺新的Windows Server 2008額外域控服務器,然后將原2003域控制器上的5個FSMO角色遷移到新域控制器上。將活動目錄由Windows Server 2003升級到Windows Server 2008。
記住,在升級之前務必對整個活動做一個全備份。這樣在升級失敗的情況下,我們還可以將用備份文件將環境還原到之前的正常狀態。
我們需要準備一臺新的服務器來安裝Windows Server 2008操作系統。
1.首先需要確認升級過程中采用的域賬戶必須具備相應的權限,該賬戶必須是屬于Schema Admins、Enterprise Admins和Domain Admins組的成員。
2.要將運行Windows Server 2008的域控制器添加到原Windows Server 2003活動目錄中,首先要更新原AD架構。將Windows Server 2008系統安裝光盤插入光驅,將 \sources\adprep 文件夾的內容復制到架構主機上的 Adprep 文件夾,然后在該文件夾下運行命令:
adprep /forestprep
如果運行成功,命令行會提示“Adprep 成功更新了全林性的信息”。
3.如果你需要部署只讀域控制器(RODC),那么你需要運行以下命令來準備架構:
Adprep /rodcprep
同樣地,運行完成之后系統會給出結果信息。
4.同理,還要準備相應的域,運行命令:
adprep /domainprep /gpprep
5.在做好以上準備工作之后,我們就可以開始安裝額外域控制器了。來到新安裝的Windows Server 2008服務器上,和以往版本一樣,運行DCPROMO來將服務器提升為域控制器。
這個過程需要等待很長時間。然后會出現以下窗口:
點擊NEXT繼續,
繼續NEXT,
這里,因為我們是將其作為額外域控制器加入到現有的域中,所以選擇向現有域中添加新域控,然后點擊next繼續,
輸入你的域名,然后繼續,選擇所在域及要安裝的目標站點,繼續,
一般情況下,同時將此域控制器作為DNS服務器和全球編錄服務器,將這兩項選中,然后繼續,
選擇活動目錄數據庫、日志文件及SYSVOL所在目錄,然后繼續,
輸入還原密碼,再確認摘要中所有設置沒有問題后,選擇繼續開始安裝活動目錄,
安裝完成后需要重啟服務器。
6.到這一步,我們就完成了Windows Server 2008額外域控制器的安裝。該過程也可以在服務器管理器中通過添加角色來完成。接下來我們嘗試將原Windows Server 2003域控制器上的5個FSMO角色轉移到新的額外域控制器上。
7.這樣,新安裝的Windows Server 2008域控制器就可以獨立承擔整個域控的功能。原來的Windows Server 2003域控制器,可以做降級處理或者升級到2008。當然,也可以保持現有狀態作為額外域控制器繼續工作。
升級后的驗證,測試
至此,該升級任務基本完成。為了保證升級后的活動目錄工作良好,我們還需要做一些測試和驗證工作。
常規的驗證可以包括以下幾點:
- 嘗試用不同版本操作系統的PC登錄域,確認基本域帳號驗證功能。找一臺PC,嘗試加入域和退出域的操作。
- 如果域環境中有EXCHANGE服務器,特別需要檢查EXCHANGE服務器的工作狀態,測試手法郵件等功能正常。
- 在域控上增加和刪除用戶帳號,更改用戶帳號信息。
- 在新的Windows Server 2008域控制器上更改域策略,更改域登錄腳本,然后去原2003域控上查看是否同步了這些變更狀態。
- 檢查各臺域控服務器的日志,特別注意是否有錯誤及警報日志。
- 刷新域策略,看在PC上作用的情況是否正常。
- 查看各個域控制器之間活動目錄數據同步的情況。
- 查看DNS的運行情況及各DNS服務器之間的數據同步情況。
- 如果IT環境中有其他應用系統的帳號驗證是和AD集成的(讀取LDAP信息)方式,需要測試同步帳號,并嘗試登錄該系統進行驗證。確保所有應用運行正常。
總結
怎么樣?看到這里,你應該對將活動目錄升級到Windows Server 2008有一個基本的概念了吧?只要在實施前做好充分的測試和準備工作,和組織內部相關智能部門做好溝通,在實施之后做好測試驗證工作。相信你也能順利地將系統成功升級。從而讓IT環境更上一層樓,享受功能更豐富,性能更強勁的系統帶來的便利,進而為業務發展提供堅實動力。
【編輯推薦】
