幫你成功實(shí)現(xiàn)域控制器網(wǎng)絡(luò)遷移的七個(gè)小貼士
譯文【51CTO.com快譯】引言:在域控制器上更改網(wǎng)絡(luò)設(shè)置通常會(huì)是一個(gè)危險(xiǎn)的過程,因此大家最好避免發(fā)生。但是如果您必須這樣做的話,這里給您一些值得參考的“小貼士”。
活動(dòng)目錄域控制器(Active Directory domain controllers)應(yīng)該是服務(wù)器上最不應(yīng)該發(fā)生變化的服務(wù)了。它一般被用于協(xié)助域去驗(yàn)證用戶和設(shè)備,因此一旦設(shè)置完成,最好是保持不變,特別是在涉及到其對(duì)應(yīng)的主機(jī)名或網(wǎng)絡(luò)詳細(xì)信息的時(shí)候。
雖然業(yè)界曾流傳過一句沒腦子的斷言:對(duì)于域控制器的重命名幾乎是永遠(yuǎn)不會(huì)發(fā)生的事情。但實(shí)際上,在企業(yè)的運(yùn)營過程中,您遲早會(huì)碰到這一天的到來,而且您必須對(duì)網(wǎng)絡(luò)的設(shè)置做出相應(yīng)的調(diào)整。比如說:在一家公司發(fā)生并購的時(shí)候,也許其相應(yīng)的子網(wǎng)也要發(fā)生重組、甚至被淘汰;而與此同時(shí),新的子網(wǎng)會(huì)被引入,或者由于一些其他的因素,各個(gè)域控制器也要得到加固。
如果您已經(jīng)設(shè)置了冗余的域控制器(就像任何經(jīng)驗(yàn)豐富的IT專業(yè)人士所常做的那樣),那么將一個(gè)子網(wǎng)移至他處,相對(duì)來說還是比較容易的。而當(dāng)兩個(gè)子網(wǎng)同時(shí)被移動(dòng),并導(dǎo)致各個(gè)客戶端計(jì)算機(jī)繼續(xù)根據(jù)它們以往IP地址去尋找域控制器,卻又無法找到的時(shí)候,痛點(diǎn)就可能會(huì)出現(xiàn)了。因此我并不建議這么做,因?yàn)樗赡軙?huì)導(dǎo)致各種連接上的問題,甚至?xí)鹬袛唷5侨绻仨氝@樣做的話,下面給您提供一條值得謹(jǐn)慎借鑒的“道路”。
這里會(huì)羅列出成功實(shí)現(xiàn)域控制器網(wǎng)絡(luò)遷移的七個(gè)小貼士。
1. 檢查并建立您的防火墻規(guī)則
防火墻規(guī)則,尤其是在復(fù)雜的環(huán)境中,很可能會(huì)造成巨大的麻煩。因此您需要確保子網(wǎng)之間所必需的流量,能夠適用于在客戶端和域控制器之間、各個(gè)域控制器之間所可能進(jìn)行的通信。
所以無論您是要建立新的訪問規(guī)則、還是簡單地?cái)U(kuò)展您的已有規(guī)則,防火墻的設(shè)置都是非常關(guān)鍵。否則,您會(huì)發(fā)現(xiàn)在這些流量與域控制器企圖進(jìn)行“對(duì)話”的時(shí)候,系統(tǒng)會(huì)出現(xiàn)一些非常奇怪的行為和現(xiàn)象。
請(qǐng)至少保證如下的端口處于開啟狀態(tài):
微軟還指出:“在一個(gè)擁有基于Windows Server®2003域控制器的環(huán)境中,其默認(rèn)的動(dòng)態(tài)端口范圍是從1025到5000。而根據(jù)互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(Internet Assigned Numbers Authority,IANA)的建議,Windows Server 2008 R2和Windows Server 2008增加了動(dòng)態(tài)端口連接的范圍。新的默認(rèn)區(qū)間是從端口49152到65535。”
這是一個(gè)較寬的范圍,甚至超出了您的真實(shí)所需。因此,請(qǐng)檢查上述微軟設(shè)定的鏈接,以確保訪問連接能夠到位。
2. 在AD上配置站點(diǎn)和子網(wǎng)
如果您要對(duì)域控制器所處的子網(wǎng)進(jìn)行實(shí)質(zhì)性的變更的話,請(qǐng)認(rèn)真遵循如下的步驟(當(dāng)然,如果您只是想改變IP地址,而將其保持在原有的網(wǎng)絡(luò)環(huán)境中的話,則可以忽略此步驟)。
活動(dòng)目錄使用既定的網(wǎng)站和子網(wǎng)來進(jìn)行通訊、復(fù)制和其他后臺(tái)操作性的任務(wù)。
因此,設(shè)置好活動(dòng)目錄相應(yīng)的子網(wǎng),對(duì)于確保域環(huán)境能夠持續(xù)健康地運(yùn)行是至關(guān)重要的。您最好按需來添加子網(wǎng),并仔細(xì)復(fù)查各種和域環(huán)境有關(guān)的配置。同時(shí),請(qǐng)不要提前移除任何即將“退役”的子網(wǎng)(如尚能使用的話),直到它們確實(shí)已被棄用。
3. 重點(diǎn)考慮DNS
DNS記錄是確保客戶端能夠持續(xù)與它們的域控制器進(jìn)行順暢通信的重要條件之一。如果您使用的是動(dòng)態(tài)DNS,那么只要您變更了域控制器的IP地址,那么其DNS記錄也會(huì)做相應(yīng)的更新;但是如果您使用的是靜態(tài)記錄的話,那么就需要在割接之后手動(dòng)調(diào)整了(無論是哪一種方式,您都應(yīng)該確認(rèn)其對(duì)應(yīng)記錄的準(zhǔn)確到位)。同時(shí)一定要檢查與這些主機(jī)相關(guān)聯(lián)的任何其他的靜態(tài)記錄,當(dāng)然也包括正向和反向的DNS區(qū)域。
如果您的域控制器同時(shí)也為一些備用服務(wù)器提供DNS信息的話,您需要考慮的就不僅僅是活動(dòng)目錄的DNS記錄那么簡單了,您需要檢查各種相關(guān)的設(shè)置,以發(fā)現(xiàn)更多需要更新的內(nèi)容。
4. 檢查主機(jī)(host)文件
雖然從表面上看,如今管理和使用DNS已經(jīng)非常容易了,而再去擔(dān)心主機(jī)文件的更新會(huì)略顯多余。但是不管您是否相信,主機(jī)文件仍然被業(yè)界所頻繁地使用著,特別是在一些生產(chǎn)環(huán)境中,或者是在DNS出現(xiàn)故障而導(dǎo)致域名解析困難的時(shí)候。
如果您在遷移的過程中涉及到幾十、甚至上百個(gè)系統(tǒng)的話,逐一檢查每臺(tái)機(jī)器的主機(jī)文件將會(huì)是一個(gè)非常繁瑣的過程。您可以使用一個(gè)簡單的Windows批處理文件來實(shí)現(xiàn)(注意:您必須對(duì)各個(gè)目標(biāo)系統(tǒng)擁有管理員的權(quán)限。在本例中,Windows文件夾被安裝在C盤上,并以C$的形式被默認(rèn)共享)。
- 創(chuàng)建一個(gè)名為c:\results的文件夾。
- 創(chuàng)建一個(gè)包含所有目標(biāo)主機(jī)名的文本文件,然后將其保存到c:\results\computers.txt中用作檢查。
- 創(chuàng)建一個(gè)文本文件,并包含如下一行內(nèi)容:
- FOR /F "tokens=1" %%i in (computers.txt) do xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt
該文件的運(yùn)行會(huì)去訪問每個(gè)目標(biāo)系統(tǒng)的主機(jī)文件,然后將其復(fù)制到c:\results文件夾,并以相應(yīng)的計(jì)算機(jī)名來命名其文件。
然后根據(jù)您的修改,在c:\results文件夾里搜索相關(guān)的IP地址。您也可以按需在目標(biāo)系統(tǒng)上進(jìn)行同樣的操作。顯然,這樣做有些繁瑣,您可能要等到實(shí)際的變化發(fā)生之后才會(huì)去逐步操作。因此,我們?cè)诖艘蔡峁┮粋€(gè)簡單更新主機(jī)文件的方法:您可以創(chuàng)建一個(gè)批處理文件,命名為:c:\results\hostupdt.bat,其內(nèi)容如下:
- FOR /F "tokens=1" %%i in (computers.txt) do xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y
5. 配置管理軟件
諸如Puppet或Chef這樣的配置管理軟件,能夠捕獲域控制器的IP地址,以及子網(wǎng)物理連接,甚至能夠生成各種主機(jī)文件。不過,配置管理客戶端有時(shí)也會(huì)根據(jù)統(tǒng)一性將您的一些主機(jī)文件的改變自動(dòng)更正回來,因此請(qǐng)記得手動(dòng)檢索一下您的域控制器的當(dāng)前IP地址。
6. 確保虛擬機(jī)相關(guān)網(wǎng)絡(luò)(如果適用)的存在與可用
如果您是在虛擬機(jī)上將一個(gè)域控制器遷移到另一個(gè)子網(wǎng)的話,請(qǐng)確保在虛擬環(huán)境中已經(jīng)搭建了該子網(wǎng),并且能夠被虛擬機(jī)的管理程序所發(fā)現(xiàn)和調(diào)用。
當(dāng)然,如果各個(gè)虛擬機(jī)的客戶端只是與域控制器進(jìn)行簡單通信的話(記得要在第1步的防火墻規(guī)則中允許此類通信),您也不一定需要將該子網(wǎng)添加到虛擬環(huán)境中。不過,如果您打算讓客戶端與域控制器直接通信,而不必通過防火墻規(guī)則做檢查的話,還是值得去考慮加入到虛擬環(huán)境中的。
7. 制定和執(zhí)行您的計(jì)劃
至此,各種設(shè)置已經(jīng)準(zhǔn)備到位,您可以開始制定并執(zhí)行您遷移的計(jì)劃了。您應(yīng)當(dāng)提前向用戶告知遷移時(shí)間,當(dāng)然最好是放在非工作時(shí)間進(jìn)行,從而把影響降到最小。
請(qǐng)確保在新的網(wǎng)絡(luò)設(shè)置環(huán)境中,一次只更新一臺(tái)服務(wù)器。如有需要可以進(jìn)行諸如修改配置軟件、部署主機(jī)文件、或更新DNS記錄等實(shí)時(shí)的調(diào)整。
如果可能,請(qǐng)?jiān)谵D(zhuǎn)換過程中實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量,以確保各個(gè)客戶端能夠與新的環(huán)境中的服務(wù)器持續(xù)通信。您可以嘗試著去ping它們,或是運(yùn)行NSLOOKUP命令,也可以通過在Windows資源管理器中訪問域控服務(wù)器,以確認(rèn)您能查看到SYSVOL和NETLOGON的共享。您甚至可以通過關(guān)停其他的域控制器,來確認(rèn)自己可以順利登錄到域中,并能訪問到活動(dòng)目錄的資源。
一旦您完成了所有域控制器的切換,請(qǐng)確認(rèn)原來與域控服務(wù)器交互協(xié)作的其他系統(tǒng),如備用DNS服務(wù)器仍能照常互動(dòng)。比如說您可以確認(rèn)它們是否能以正常的方式從域控服務(wù)器上拉取各種區(qū)域文件(zone file)。
如果您碰到了無法解決的問題,而可能需要恢復(fù)到原有的域控制器和其原先的網(wǎng)絡(luò)設(shè)置的話,那么請(qǐng)不要猶豫這樣做。不過請(qǐng)記住這只是“緩兵之計(jì)”,您仍需要根據(jù)實(shí)際情況逐步進(jìn)行排查。比如說,您可以根據(jù)域控制器里事件日志中的錯(cuò)誤來研究并發(fā)現(xiàn)線索,從而確定下一步的行動(dòng)步驟,并進(jìn)一步完成該遷移項(xiàng)目。
標(biāo)題:You shouldn't change domain controller network settings, but here's how to do it if you must,作者: Scott Matteson
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】
