域控制器迁移升级方案
CBSi中国·ZOL 【原创】 作者:中关村在线 zoler 2015年10月13日 05:20

1.       windows server 2008R2 活动目录功能改进

    活动目录是一种集成管理技术,与现实生活中的各种管理模式一样,它的出现是为了更有效,更灵活的实现管理目的。活动目录是一个层次的、树状的结构,通过活动目录组织和存储网络上的对象信息,可以让管理员非常方便的进行对象的查询、组织和管理。在Windows Server 2008中,活动目录有了不少新的改进,如增加审核新特性、可重启的活动目录域服务、多元密码策略、只读域控制器等。最新的Windows Server 2008 R2除具备这些特性外,增加了AD管理中心、活动目录回收站、离线加域等新功能。 

   微软从Win2000中引入了活动目录的概念,它的出现是为了更有效,更灵活的实现管理目的。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点,通过组织活动目录,可以实现提高用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。在Win2000Win2003系统中,活动目录服务被命名为AD Directory Service,而在Win2008中,活动目录服务有了一个新的名称:Active Directory Domain Service(在下文中简称ADDS)。名称的改变意味着微软对Win2008的活动目录进行了较大的调整,增加了功能强大的新特性并且对原有特性进行了增强。

Windows Server 2008中活动目录的改进:

Ø  活动目录审核(Audit)新特性 

活动目录审核(Audit)并不是Win2008活动目录中的一个新功能,在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能,系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录,以日志的方式进行储存,管理员可以通过管理工具中的“Event Viewer”来查看日志,查看日志是管理员了解系统状态、排除错误的一个重要手段。 

但是日志常常会迅速爆满,想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器(Filter)功能,但是操作起来也非常繁琐,影响效率。Win2008中将全局的活动目录审核策略Active Directory Service Access细化为4个子类别,并且增添了新的审核子类别“Directory Service Changes”,将审计功能进行了较大的优化,更为细化、精确,可以在日志中查看谁对活动目录做出过修改,修改何时发生、修改了哪些对象与属性以及修改的值等信息,这些细化的事件又分别对应着不同的事件ID,这样就使日志的可读性以及易检索性大大加强。 

Ø  多元密码策略新特性 

   目录服务器DC的安全性至关重要,密码的保护是安全性保护中重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁,保证活动目录的安全。应用过Win2000/2003的用户可能都记得,密码策略需要指派到域上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,一个域只能有一个密码策略。 

统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。为解决这个问题,在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如,可以为管理员组指派超强密码策略,密码16位以上、两周过期;为服务帐号指派中等密码策略,密码31天过期,不配置密码锁定策略;为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同要求。 

Ø  可重启的活动目录域服务 

Win2000/2003中,如果要执行离线整理活动目录数据库或者进入目录服务还原模式进行活动目录的修复或者还原,需要重启服务器进行切换。这时候服务器上的所有服务都会一同停止,这样就影响了其他不依赖于目录服务的一些如DHCP、流媒体等服务的执行。 

 Win2008中支持可重启的活动目录域服务(Restartable Active Directory Domain Services)功能,这时候活动目录域服务(Active Directory Domain Services)是直接作为一个服务而存在,可以在系统服务控制台中停止或者启动,而不必像Win2000/2003中必须将服务器重启才能停止。可重启的活动目录域服务功能的加入使不依赖于目录服务的服务在目录服务停止后仍可以正常运行,减少了服务器重启的次数,减少了Win2008执行操作的时间。 

Ø  只读域控制器 

   只读域控制器RODCRead-onlydomain controller) Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中,如Win2000/2003,森林中的所有域控制器均可以进行更新,管理员可以在任何一个域控制器上进行写操作,这些操作会同步到其他域控制器上。 

Win2008RODC具有以下这几点特性:RODC上存有活动目录域服务中所有的对象和属性,但是RODC上的数据只可读、不可写,RODC是单向复制,包括AD数据库和SYSVOL,只可以从其他域控制器上同步信息,不可以向其他域控制器同步信息。由于具有上述这些特性,RODC可以应用于物理安全上没有保障,或者IT管理水平不高的企业分支机构,将域和域控制器的安全级别提升了一个层次。 

Ø  活动目录(ActiveDirectory)管理中心 

   虽然WindowsServer 2008的活动目录已经很强大,但是不免有一些不足之处。在网络环境比较复杂的情况下,如对多个域甚至多个森林中的对象进行管理,如更改用户密码和权力等,需要在活动目录中逐个域的查找,操作起来不是很方便。在R2活动目录中增加了活动目录管理中心的新功能,是一个面向任务的管理模型,能管理大量数据集合与环境,比如管理多个森林或多个域,具有强大的检索和管理能力,底层通过PowerShell Cmdlet实现,可以通过同一个图形界面对活动目录中的一些常见任务如检索用户、更改密码等操作进行处理,使对活动目录的管理大大简化,提高效率。 

Ø  活动目录回收站 

Windows 2000Windows 2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存60天时间,这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。 

而在WindowsServer 2008 AD中,微软对活动目录对象增加了一层新的防误删保护机制。我们在创建对象时,可直接勾选是否启用防误删保护。Win2008 R2里面就为我们提供了一个近似回收站的对象保护功能,如果管理员将此功能启用,在活动目录中删除任何对象时都会被放到此回收站中,并可以通过命令将被删除对象数据恢复到原始位置。 

Ø  离线加域 

在之前的WindowsServer环境中,计算机需要在有网络连接的情况下才能加入域,并且加入域后还需要重启。在Windows Server 2008 R2中增加了离线加域功能,可以在域中预先准备好计算机帐户,添加帐户的时候不需要网络连接,计算机在最初启动的过程中就会自动加入到域,不需要重启,这样大大减少了将计算机加入到域的步骤和时间。 

2.       升级步骤

2.1.1准备工作

Ø  硬件

处理器最低:1.4GHzx64架构

注意:安腾版WindowsServer 2008 R2需要Intel Itanium 2处理器

内存最低:512MB

最大:8GB(基础版)、32GB(标准版)、2TB(企业版、数据中心版和安腾版)

硬盘空间最低:32GB或更大(推荐使用RAID技术磁盘冗余保护)

基础版:10GB或更大

注意:如果系统内存大于16GB,那么需要更大的硬盘空间,用于存储页面文件、休眠以及系统调试文件

显示 Super VGA (800 × 600)或更高分辨率的显示器

其他 DVD光驱、键盘鼠标 

Ø  软件     Windows Server2008 R2 Enterprise  

2.1.2 安装操作系统,加入域 

    将已完成Windows Server2008R2系统安装的服务器加入到域中

 2.1.3 升级域成员角色为从域控制器

 将加入到域中的成员计算机提升为从域控制器,并完成域数据库数据及DNS区域数据的同步。 

如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003Active Directory环境中,首先需要更新Active Directory的架构,并且该更新需要在架构主机上进行操作,同时进行操作的域用户需要时Enterprise AdminsSchema Admins  Domain Admins组的成员才可以。 

2.1.4 迁移原域控制器角色至windows2008R2 域控制 

迁移5FSMO角色到新加入的从域控制器上。分别是:PDC主机、RID主机、域命名主机、架构主机、结构主机。它们是特定林范围内和特定域范围内中被林和域中的单个域控制器所拥有。其中,架构主机和域命名主机是目录林级的角色。因此,每个目录林都只有一个架构主机和一个域命名主机。RID 主机、PDC 主机和基础结构主机是域级角色。每个域都有其各自的 RID 主机、PDC 主机和结构主机。

 2.1.5 确认活动目录数据库同步后关闭原有主域控制器。 

确认活动目录数据已完成同步,并手动关闭2003活动目录控制器。 

2.1.6 进步为期两周稳定性及故障测试,并完成测试项目情况汇总 

使用新加入的2008域控制器进行稳定性测试,测试身份认证及域名解析等一系列工作,完成问题采集,并协调管理员进行故障解决。 

2.1.7 降级原有域控为普通域成员主机 

完成为期两周的稳定性测试后,汇总问题,确认已汇总问题是否得到解决,如已完成问题汇总及解决。后续即可进行原有2003活动目录控制器的卸载。 

3.       新建windows server 2008R2 从域控制器 

重复2.1.1---2.1.3步骤 

4.进行可靠性及模拟故障测试 

  通过人为的模拟断电等突发故障来进行运行情况测试,测试某一台服务器突然中止服务后,其它域控制器可否接替主域控制器的工作,不间断的为用户提供一系列的诸如域名解析、身份认证等工作,从而测试是否能达到高可用性的设计初衷。  

[商家名称]北京思华科技

[联系地址]北京海淀区苏州街银丰大厦1号楼1603  杨丽莎 

[联系方式] 13581716526                                        

商家网店大全