作者:張偉日期:2010-04-14
自Windows Server 2008 正式發佈以來,已受到廣泛的好評,它是對已使用5年之久的Windows操作系統的重大改進,將會在未來幾年內極大的增強IT界支持業務和組織創新的能力。
隨着Windows Server 2008 R2的發佈,它又提供了像Direct Access、Branch Cache、Powershell 2.0、Hyper-v 2.0等全新的功能特性,並且在AD服務中又添加了諸多令人興奮的功能,像AD回收站、離線加入域。這些優秀技術的加入,使得IT技術人員可以更加靈活方便的進行管理,提高工作效率的同時讓工作充滿了樂趣。
Contoso公司目前就面臨了這樣一個問題:使用Windows Server 2003作爲基礎架構平臺,但隨着公司業務的發展,公司規模的不斷擴展,需要在外地建立分支機構,並且擁有一支人數不少的業務團隊,並且團隊需要與總部保持通訊,由於業務需要,工作人員需要使用筆記本在公網接入公司內網,查詢信息。這樣就對目前基礎架構發起了挑戰,IT部門經過討論決定,將基礎架構升級至Windows Server 2008 R2,並使用其新的功能特性來滿足公司需求。
Contoso公司目前服務器情況如下:
一臺配置主流的服務器A運行Windows Server 2003 R2 64位操作系統作爲域控制器,DNS和DHCP服務器。
一臺配置已經過時的服務器B運行Windows Server 2003 R2 32位操作系統作爲輔助域控制器,DNS。
一臺配置剛好的服務器C運行Windows Server 2003 R2 64位操作系統作爲Exchange 2007 郵件服務器。
經過分析,服務器A硬件配置符合Windows Server 2008 R2安裝需求,可保留作爲輔助域控制器,服務器B硬件配置過時不建議繼續使用,新購買一臺服務器D安裝Windows Server 2008 R2作爲主要域控制器使用。所以IT部門決定使用本地升級加添加新服務器硬件的方式進行基礎架構的升級。具體方法是:
1. 加入一臺支持64位操作系統的主流服務器D,安裝Windows Server 2008 R2並提升爲域控制器。
2. 服務器B正常退域,轉移服務器A中的五個操作主機角色和DHCP至服務器D。
3. 本地升級服務器A操作系統至Windows Server 2008 R2作爲輔助域控制器。
拓撲如下:
.jpg)
一、 遷移前準備
如果要將允許Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory環境中,首先需要更新Active Directory的架構,並且該更新需要在架構主機上進行操作,同時進行操作的域用戶需要時Enterprise Admins、Schema Admins 和 Domain Admins組的成員纔可以。
1. 更新林架構
在Server A中插入Windows Server 2008 R2的安裝光盤,導航到\sources\adprep目錄下,運行adprep /forestprep,在警告窗口中鍵入C,確認所有Windows 2000域控制器都是SP4或更高版本。即開始自動更新目錄林架構。如圖1
.jpg)
圖1
注意:任何之前對Windows Server 2003活動目錄的擴展,比如Exchange 2007所作的擴展,都不會受adprep的影響。該過程只是添加一些附加屬性,並不更改當前已存在內容。
2. 更新域架構
在相同的目錄下,運行adprep /Domainprep /gpperp之後,活動目錄森林就爲加入Windows Server 2008 R2域控制器做好了準備。
如果需要在林中部署只讀域控制器,需要運行adprep /rodcprep來更新架構信息。
注意:如果當前域的功能級別非Windows 2000純模式以上,將會得到如下提示:如圖2,此時只要在Active Directory域和信任關係中,將功能級別提升到Windows 2000純模式即可。
.jpg)
圖2
二、 在林中加入Windows Server 2008 R2的域控制器
1. 安裝AD DS角色
Windows Server 2008 R2使用一個基於角色的模型。所以,要使一個Windows 2008 服務器成爲一個域控制器,需要先添加Active Directory Domain Services角色。
打開【服務器管理器】,選擇【角色】節點,點擊【添加角色】,選中【Active Directory域服務】,在彈出的嚮導中,點擊【添加必需的功能】,添加.NET Framwork 3.5.1功能。如圖3
.jpg)
圖3
然後點擊兩次【下一步】,到達確認安裝嚮導,點擊【安裝】即可.安裝成功後,關閉嚮導即可。
2. 提升爲域控制器
(1) 點擊【開始】,【運行】,提示框內輸入【DCPROMO】來打開Active Directory的域服務嚮導。
(2) 點擊兩次【下一步】,選中【現有林】和【向現有域添加域控制器】,點擊【下一步】。
(3) 在網絡憑據中鍵入當前域的名稱【contoso.com】,並在備用憑據中設置當前域具有相關權限的用戶,這裏使用域管理員賬戶。點擊【下一步】如圖4
.jpg)
圖4
(4) 爲新的域控制器選擇適當的域,點擊【下一步】
(5) 爲域選擇一個站點,如果此時域中含有多個站點,這裏系統將自動根據站點中的IP子網劃分,自動選擇對應的站點。點擊【下一步】
(6) 在其他域控制器選項中,默認系統當前選擇即可,如果需要當前域控制器成爲全局編錄服務器,可以取消勾選。這裏【只讀域控制器】無法勾選,因爲RODC需要域中存在一個非RODC的Windows 2008域控制器,當前域控制器是域中第一個Windows 2008域控制器。完成點擊【下一步】。
注意:DNS選擇可以不勾選,因爲可以在其他Windows Server系統用構建DNS,但是爲了安全及方便管理維護,建議在域控制器中構建DNS服務。
(7) 彈出提示無法創建DNS委派,因爲當前並沒有安裝DNS服務,確定後,系統將自動創建。如圖5
.jpg)
圖5
(8) 爲數據庫、日誌及SYSVOL選擇存放位置,點擊【下一步】
(9) 設置一個目錄還原模式的密碼,點擊【下一步】
(10) 查看摘要信息,沒有問題點擊【下一步】,即開始創建域控制器並複製活動目錄數據庫,這需要花費一些時間,時間長短取決於網絡和活動目錄數據庫的大小。
(11) 嚮導完成安裝後,點擊【完成】,並重啓域控制器。
到目前爲止,我們已經爲Contoso公司創建好了一個基於Windows Server 2008 R2的域控制器,並且與當前的Windows Server 2003域控制器處於共存狀態,但是域功能級別還停留在Windows 2000純模式下,雖然還不能完全利用Windows Server 2008 R2架構帶來的全新體驗,但是仍然可以使用Windows Server 2008 R2操作系統本身帶來的便利。諸如加強的事件查看器就曾經幫了我很大的忙,可以讓我更清晰更詳盡的發現問題的結症,並提供更完善的處理方式。但需要注意的是,如果企業網絡中並沒有IPV6地址的使用環境,最好禁用Windows Server 2008 R2中的IPV6協議,因爲在Windows 2008中IPV6地址的使用優先級高於IPV4地址,可能會造成域控制器間的通信失敗,影響正常的域服務使用。