自Windows Server 2008 正式发布以来,已受到广泛的好评,它是对已使用5年之久的Windows操作系统的重大改进,将会在未来几年内极大的增强IT界支持业务和组织创新的能力。
随着Windows Server 2008 R2的发布,它又提供了像Direct Access、Branch Cache、Powershell 2.0、Hyper-v 2.0等全新的功能特性,并且在AD服务中又添加了诸多令人兴奋的功能,像AD回收站、离线加入域。这些优秀技术的加入,使得IT技术人员可以更加灵活方便的进行管理,提高工作效率的同时让工作充满了乐趣。
Contoso公司目前就面临了这样一个问题:使用Windows Server 2003作为基础架构平台,但随着公司业务的发展,公司规模的不断扩展,需要在外地建立分支机构,并且拥有一支人数不少的业务团队,并且团队需要与总部保持通讯,由于业务需要,工作人员需要使用笔记本在公网接入公司内网,查询信息。这样就对目前基础架构发起了挑战,IT部门经过讨论决定,将基础架构升级至Windows Server 2008 R2,并使用其新的功能特性来满足公司需求。
Contoso公司目前服务器情况如下:
一台配置主流的服务器A运行Windows Server 2003 R2 64位操作系统作为域控制器,DNS和DHCP服务器。
一台配置已经过时的服务器B运行Windows Server 2003 R2 32位操作系统作为辅助域控制器,DNS。
一台配置刚好的服务器C运行Windows Server 2003 R2 64位操作系统作为Exchange 2007 邮件服务器。
经过分析,服务器A硬件配置符合Windows Server 2008 R2安装需求,可保留作为辅助域控制器,服务器B硬件配置过时不建议继续使用,新购买一台服务器D安装Windows Server 2008 R2作为主要域控制器使用。所以IT部门决定使用本地升级加添加新服务器硬件的方式进行基础架构的升级。具体方法是:
1. 加入一台支持64位操作系统的主流服务器D,安装Windows Server 2008 R2并提升为域控制器。
2. 服务器B正常退域,转移服务器A中的五个操作主机角色和DHCP至服务器D。
3. 本地升级服务器A操作系统至Windows Server 2008 R2作为辅助域控制器。
拓扑如下:
一、 迁移前准备
如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中,首先需要更新Active Directory的架构,并且该更新需要在架构主机上进行操作,同时进行操作的域用户需要时Enterprise Admins、Schema Admins 和 Domain Admins组的成员才可以。
1. 更新林架构
在Server A中插入Windows Server 2008 R2的安装光盘,导航到/sources/adprep目录下,运行adprep /forestprep,在警告窗口中键入C,确认所有Windows 2000域控制器都是SP4或更高版本。即开始自动更新目录林架构。如图1
图1
注意:任何之前对Windows Server 2003活动目录的扩展,比如Exchange 2007所作的扩展,都不会受adprep的影响。该过程只是添加一些附加属性,并不更改当前已存在内容。
2. 更新域架构
在相同的目录下,运行adprep /Domainprep /gpperp之后,活动目录森林就为加入Windows Server 2008 R2域控制器做好了准备。
如果需要在林中部署只读域控制器,需要运行adprep /rodcprep来更新架构信息。
注意:如果当前域的功能级别非Windows 2000纯模式以上,将会得到如下提示:如图2,此时只要在Active Directory域和信任关系中,将功能级别提升到Windows 2000纯模式即可。
图2
二、 在林中加入Windows Server 2008 R2的域控制器
1. 安装AD DS角色
Windows Server 2008 R2使用一个基于角色的模型。所以,要使一个Windows 2008 服务器成为一个域控制器,需要先添加Active Directory Domain Services角色。
打开【服务器管理器】,选择【角色】节点,点击【添加角色】,选中【Active Directory域服务】,在弹出的向导中,点击【添加必需的功能】,添加.NET Framwork 3.5.1功能。如图3
图3
然后点击两次【下一步】,到达确认安装向导,点击【安装】即可.安装成功后,关闭向导即可。
2. 提升为域控制器
(1) 点击【开始】,【运行】,提示框内输入【DCPROMO】来打开Active Directory的域服务向导。
(2) 点击两次【下一步】,选中【现有林】和【向现有域添加域控制器】,点击【下一步】。
(3) 在网络凭据中键入当前域的名称【contoso.com】,并在备用凭据中设置当前域具有相关权限的用户,这里使用域管理员账户。点击【下一步】如图4
图4
(4) 为新的域控制器选择适当的域,点击【下一步】
(5) 为域选择一个站点,如果此时域中含有多个站点,这里系统将自动根据站点中的IP子网划分,自动选择对应的站点。点击【下一步】
(6) 在其他域控制器选项中,默认系统当前选择即可,如果需要当前域控制器成为全局编录服务器,可以取消勾选。这里【只读域控制器】无法勾选,因为RODC需要域中存在一个非RODC的Windows 2008域控制器,当前域控制器是域中第一个Windows 2008域控制器。完成点击【下一步】。
注意:DNS选择可以不勾选,因为可以在其他Windows Server系统用构建DNS,但是为了安全及方便管理维护,建议在域控制器中构建DNS服务。
(7) 弹出提示无法创建DNS委派,因为当前并没有安装DNS服务,确定后,系统将自动创建。如图5
图5
(8) 为数据库、日志及SYSVOL选择存放位置,点击【下一步】
(9) 设置一个目录还原模式的密码,点击【下一步】
(10) 查看摘要信息,没有问题点击【下一步】,即开始创建域控制器并复制活动目录数据库,这需要花费一些时间,时间长短取决于网络和活动目录数据库的大小。
(11) 向导完成安装后,点击【完成】,并重启域控制器。
到目前为止,我们已经为Contoso公司创建好了一个基于Windows Server 2008 R2的域控制器,并且与当前的Windows Server 2003域控制器处于共存状态,但是域功能级别还停留在Windows 2000纯模式下,虽然还不能完全利用Windows Server 2008 R2架构带来的全新体验,但是仍然可以使用Windows Server 2008 R2操作系统本身带来的便利。诸如加强的事件查看器就曾经帮了我很大的忙,可以让我更清晰更详尽的发现问题的结症,并提供更完善的处理方式。但需要注意的是,如果企业网络中并没有IPV6地址的使用环境,最好禁用Windows Server 2008 R2中的IPV6协议,因为在Windows 2008中IPV6地址的使用优先级高于IPV4地址,可能会造成域控制器间的通信失败,影响正常的域服务使用。