[[23269]]作者介紹：黃俊麟。 目前供職于某大型外企，負(fù)責(zé)中國區(qū)的IT基礎(chǔ)設(shè)置建設(shè)。曾先后在500強(qiáng)外企從事系統(tǒng)管理，數(shù)據(jù)中心建設(shè)及網(wǎng)絡(luò)管理，對應(yīng)用部署，項(xiàng)目管理，團(tuán)隊(duì)建設(shè)等有深入了解，并長期致力于IT前沿技術(shù)的研究。

眾所周知，在當(dāng)今流行的IT環(huán)境中，活動(dòng)目錄已成為一個(gè)廣泛應(yīng)用在各種組織內(nèi)部的基礎(chǔ)平臺(tái)?；顒?dòng)目錄的穩(wěn)定工作，合理配置，對于組織內(nèi)系統(tǒng)的平穩(wěn)運(yùn)行具有舉足輕重的作用。將域控制器部署得當(dāng)，優(yōu)化配置域策略，不僅可以保證系統(tǒng)的安全和穩(wěn)定，也能讓內(nèi)網(wǎng)網(wǎng)絡(luò)貢獻(xiàn)最好的性能。毫不夸張地說，一個(gè)運(yùn)轉(zhuǎn)良好的域控環(huán)境，是整個(gè)IT系統(tǒng)及網(wǎng)絡(luò)的堅(jiān)實(shí)基礎(chǔ)。

多年來，微軟的Windows Server 2000及Windows Server 2003系列通過一貫穩(wěn)定的表現(xiàn)證明了其作為基礎(chǔ)平臺(tái)的優(yōu)異性能，是IT部門可信賴的工具。隨著IT環(huán)境日趨復(fù)雜，需求日益增長，云計(jì)算、虛擬化技術(shù)在近年的IT市場上風(fēng)起云涌，微軟也順應(yīng)形勢，適時(shí)地推出了WINNDOWS Server 2008及Windows Server 2008 R2系列。新版的Windows Server提供了不少富有價(jià)值的新功能，尤其是在高可用性、虛擬化支持以及集中管理等方面上具有突破性的改進(jìn)。主要的新特性在本文不逐一介紹，大家有興趣可在微軟官方網(wǎng)站上查閱（http://www.microsoft.com/china/WindowsServer2008/whats-new.aspx）。

本文將著重介紹新版Windows Server 2008在活動(dòng)目錄上的表現(xiàn)及將活動(dòng)目錄從Server 2003升級(jí)到Server 2008的過程。

升級(jí)的可行性和必要性

如果你是一位系統(tǒng)管理員，提到升級(jí)的第一反應(yīng)恐怕并不會(huì)歡欣鼓舞。因?yàn)榻?jīng)驗(yàn)告訴我們，最新的系統(tǒng)并不一定是最好的系統(tǒng)，很多時(shí)候一個(gè)穩(wěn)定運(yùn)行的系統(tǒng)對我們來說才是首要考慮的問題，尤其是對于活動(dòng)目錄這種基礎(chǔ)平臺(tái)來說。根據(jù)筆者在實(shí)際實(shí)施過程的經(jīng)驗(yàn)來看，大可不必?fù)?dān)心升級(jí)會(huì)帶來的問題，整個(gè)升級(jí)過程操作非常簡單，配置幾乎不需要做任何變更，而且耗費(fèi)的時(shí)間很短，用一個(gè)周末的時(shí)間就足以完成。如果你的組織內(nèi)部署有多臺(tái)域控服務(wù)器的話，對用戶的影響就更小了。

當(dāng)前平臺(tái)存在的眾多問題及瓶頸，在新版本平臺(tái)上將迎刃而解。而且升級(jí)可以讓你的IT環(huán)境緊跟硬件發(fā)展的趨勢，充分發(fā)揮新硬件的性能，和其它業(yè)務(wù)平臺(tái)保持一致水平，從而為業(yè)務(wù)增長提供可靠支持。而且微軟對每個(gè)版本W(wǎng)indows Server的技術(shù)支持都有時(shí)間期限，過了期限之后將得不到及時(shí)的補(bǔ)丁更新和支持，這也讓升級(jí)成為勢在必行的工作。

正式升級(jí)前的準(zhǔn)備

如前文所述，IT部門的首要任務(wù)是保證系統(tǒng)的高可用性。對于如此重大的平臺(tái)升級(jí)，必須在測試環(huán)境中充分驗(yàn)證，確保你的系統(tǒng)工程師了解整個(gè)過程，對可能出現(xiàn)的問題做好應(yīng)急準(zhǔn)備。另外，升級(jí)的規(guī)劃也非常重要。尤其是在大中型組織中，務(wù)必和組織內(nèi)部的用戶及管理層充分溝通，將升級(jí)安排在合適的時(shí)間進(jìn)行。另外，在IT部門內(nèi)部，也必須和網(wǎng)絡(luò)管理員、系統(tǒng)管理員及各個(gè)應(yīng)用的負(fù)責(zé)人充分溝通，因?yàn)檫@不可避免地會(huì)影響到其它系統(tǒng)，你必須依靠伙伴的協(xié)同合作來完成這個(gè)工作。任何疏忽都可能造成整個(gè)IT環(huán)境無法正常工作，進(jìn)而影響業(yè)務(wù)開展。#p#

直接將現(xiàn)有的域控制器從2003升級(jí)到2008

安裝一臺(tái)新的Windows Server 2008額外域控服務(wù)器，然后將原2003域控制器上的5個(gè)FSMO角色遷移到新域控制器上。將活動(dòng)目錄由Windows Server 2003升級(jí)到Windows Server 2008。

記住，在升級(jí)之前務(wù)必對整個(gè)活動(dòng)做一個(gè)全備份。這樣在升級(jí)失敗的情況下，我們還可以將用備份文件將環(huán)境還原到之前的正常狀態(tài)。

我們需要準(zhǔn)備一臺(tái)新的服務(wù)器來安裝Windows Server 2008操作系統(tǒng)。

1.首先需要確認(rèn)升級(jí)過程中采用的域賬戶必須具備相應(yīng)的權(quán)限，該賬戶必須是屬于Schema Admins、Enterprise Admins和Domain Admins組的成員。

2.要將運(yùn)行Windows Server 2008的域控制器添加到原Windows Server 2003活動(dòng)目錄中，首先要更新原AD架構(gòu)。將Windows Server 2008系統(tǒng)安裝光盤插入光驅(qū)，將 \sources\adprep 文件夾的內(nèi)容復(fù)制到架構(gòu)主機(jī)上的 Adprep 文件夾，然后在該文件夾下運(yùn)行命令：

adprep /forestprep

如果運(yùn)行成功，命令行會(huì)提示“Adprep 成功更新了全林性的信息”。

3.如果你需要部署只讀域控制器（RODC），那么你需要運(yùn)行以下命令來準(zhǔn)備架構(gòu)：

Adprep /rodcprep

同樣地，運(yùn)行完成之后系統(tǒng)會(huì)給出結(jié)果信息。

4.同理，還要準(zhǔn)備相應(yīng)的域，運(yùn)行命令：

adprep /domainprep /gpprep

5.在做好以上準(zhǔn)備工作之后，我們就可以開始安裝額外域控制器了。來到新安裝的Windows Server 2008服務(wù)器上，和以往版本一樣，運(yùn)行DCPROMO來將服務(wù)器提升為域控制器。

這個(gè)過程需要等待很長時(shí)間。然后會(huì)出現(xiàn)以下窗口：

點(diǎn)擊NEXT繼續(xù)，

繼續(xù)NEXT,

這里，因?yàn)槲覀兪菍⑵渥鳛轭~外域控制器加入到現(xiàn)有的域中，所以選擇向現(xiàn)有域中添加新域控，然后點(diǎn)擊next繼續(xù)，

輸入你的域名，然后繼續(xù)，選擇所在域及要安裝的目標(biāo)站點(diǎn)，繼續(xù)，

一般情況下，同時(shí)將此域控制器作為DNS服務(wù)器和全球編錄服務(wù)器，將這兩項(xiàng)選中，然后繼續(xù)，

選擇活動(dòng)目錄數(shù)據(jù)庫、日志文件及SYSVOL所在目錄，然后繼續(xù)，

輸入還原密碼，再確認(rèn)摘要中所有設(shè)置沒有問題后，選擇繼續(xù)開始安裝活動(dòng)目錄，

安裝完成后需要重啟服務(wù)器。

6.到這一步，我們就完成了Windows Server 2008額外域控制器的安裝。該過程也可以在服務(wù)器管理器中通過添加角色來完成。接下來我們嘗試將原Windows Server 2003域控制器上的5個(gè)FSMO角色轉(zhuǎn)移到新的額外域控制器上。

7.這樣，新安裝的Windows Server 2008域控制器就可以獨(dú)立承擔(dān)整個(gè)域控的功能。原來的Windows Server 2003域控制器，可以做降級(jí)處理或者升級(jí)到2008。當(dāng)然，也可以保持現(xiàn)有狀態(tài)作為額外域控制器繼續(xù)工作。

升級(jí)后的驗(yàn)證，測試

至此，該升級(jí)任務(wù)基本完成。為了保證升級(jí)后的活動(dòng)目錄工作良好，我們還需要做一些測試和驗(yàn)證工作。

常規(guī)的驗(yàn)證可以包括以下幾點(diǎn)：

1. 嘗試用不同版本操作系統(tǒng)的PC登錄域，確認(rèn)基本域帳號(hào)驗(yàn)證功能。找一臺(tái)PC，嘗試加入域和退出域的操作。
2. 如果域環(huán)境中有EXCHANGE服務(wù)器，特別需要檢查EXCHANGE服務(wù)器的工作狀態(tài)，測試手法郵件等功能正常。
3. 在域控上增加和刪除用戶帳號(hào)，更改用戶帳號(hào)信息。
4. 在新的Windows Server 2008域控制器上更改域策略，更改域登錄腳本，然后去原2003域控上查看是否同步了這些變更狀態(tài)。
5. 檢查各臺(tái)域控服務(wù)器的日志，特別注意是否有錯(cuò)誤及警報(bào)日志。
6. 刷新域策略，看在PC上作用的情況是否正常。
7. 查看各個(gè)域控制器之間活動(dòng)目錄數(shù)據(jù)同步的情況。
8. 查看DNS的運(yùn)行情況及各DNS服務(wù)器之間的數(shù)據(jù)同步情況。
9. 如果IT環(huán)境中有其他應(yīng)用系統(tǒng)的帳號(hào)驗(yàn)證是和AD集成的（讀取LDAP信息）方式，需要測試同步帳號(hào)，并嘗試登錄該系統(tǒng)進(jìn)行驗(yàn)證。確保所有應(yīng)用運(yùn)行正常。

總結(jié)

怎么樣？看到這里，你應(yīng)該對將活動(dòng)目錄升級(jí)到Windows Server 2008有一個(gè)基本的概念了吧？只要在實(shí)施前做好充分的測試和準(zhǔn)備工作，和組織內(nèi)部相關(guān)智能部門做好溝通，在實(shí)施之后做好測試驗(yàn)證工作。相信你也能順利地將系統(tǒng)成功升級(jí)。從而讓IT環(huán)境更上一層樓，享受功能更豐富，性能更強(qiáng)勁的系統(tǒng)帶來的便利，進(jìn)而為業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)動(dòng)力。

【編輯推薦】

1. 活動(dòng)目錄在構(gòu)建核心過程中的八個(gè)關(guān)鍵點(diǎn)
2. 活動(dòng)目錄設(shè)計(jì)中需要遵循的七個(gè)原則
3. 如何在多域林中恢復(fù)活動(dòng)目錄根域
4. 小心雙刃劍 Ntdsutil對活動(dòng)目錄的管理
5. 替代活動(dòng)目錄管理的PowerShell命令