【51CTO.com快譯】引言：在域控制器上更改網(wǎng)絡(luò)設(shè)置通常會是一個危險的過程，因此大家最好避免發(fā)生。但是如果您必須這樣做的話，這里給您一些值得參考的“小貼士”。

活動目錄域控制器(Active Directory domain controllers)應(yīng)該是服務(wù)器上最不應(yīng)該發(fā)生變化的服務(wù)了。它一般被用于協(xié)助域去驗證用戶和設(shè)備，因此一旦設(shè)置完成，最好是保持不變，特別是在涉及到其對應(yīng)的主機(jī)名或網(wǎng)絡(luò)詳細(xì)信息的時候。

雖然業(yè)界曾流傳過一句沒腦子的斷言：對于域控制器的重命名幾乎是永遠(yuǎn)不會發(fā)生的事情。但實際上，在企業(yè)的運(yùn)營過程中，您遲早會碰到這一天的到來，而且您必須對網(wǎng)絡(luò)的設(shè)置做出相應(yīng)的調(diào)整。比如說：在一家公司發(fā)生并購的時候，也許其相應(yīng)的子網(wǎng)也要發(fā)生重組、甚至被淘汰;而與此同時，新的子網(wǎng)會被引入，或者由于一些其他的因素，各個域控制器也要得到加固。

如果您已經(jīng)設(shè)置了冗余的域控制器(就像任何經(jīng)驗豐富的IT專業(yè)人士所常做的那樣)，那么將一個子網(wǎng)移至他處，相對來說還是比較容易的。而當(dāng)兩個子網(wǎng)同時被移動，并導(dǎo)致各個客戶端計算機(jī)繼續(xù)根據(jù)它們以往IP地址去尋找域控制器，卻又無法找到的時候，痛點(diǎn)就可能會出現(xiàn)了。因此我并不建議這么做，因為它可能會導(dǎo)致各種連接上的問題，甚至?xí)鹬袛唷５侨绻仨氝@樣做的話，下面給您提供一條值得謹(jǐn)慎借鑒的“道路”。

這里會羅列出成功實現(xiàn)域控制器網(wǎng)絡(luò)遷移的七個小貼士。

1. 檢查并建立您的防火墻規(guī)則

防火墻規(guī)則，尤其是在復(fù)雜的環(huán)境中，很可能會造成巨大的麻煩。因此您需要確保子網(wǎng)之間所必需的流量，能夠適用于在客戶端和域控制器之間、各個域控制器之間所可能進(jìn)行的通信。

所以無論您是要建立新的訪問規(guī)則、還是簡單地擴(kuò)展您的已有規(guī)則，防火墻的設(shè)置都是非常關(guān)鍵。否則，您會發(fā)現(xiàn)在這些流量與域控制器企圖進(jìn)行“對話”的時候，系統(tǒng)會出現(xiàn)一些非常奇怪的行為和現(xiàn)象。

請至少保證如下的端口處于開啟狀態(tài)：

微軟還指出:“在一個擁有基于Windows Server®2003域控制器的環(huán)境中，其默認(rèn)的動態(tài)端口范圍是從1025到5000。而根據(jù)互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(Internet Assigned Numbers Authority，IANA)的建議，Windows Server 2008 R2和Windows Server 2008增加了動態(tài)端口連接的范圍。新的默認(rèn)區(qū)間是從端口49152到65535。”

這是一個較寬的范圍，甚至超出了您的真實所需。因此，請檢查上述微軟設(shè)定的鏈接，以確保訪問連接能夠到位。

2. 在AD上配置站點(diǎn)和子網(wǎng)

如果您要對域控制器所處的子網(wǎng)進(jìn)行實質(zhì)性的變更的話，請認(rèn)真遵循如下的步驟(當(dāng)然，如果您只是想改變IP地址，而將其保持在原有的網(wǎng)絡(luò)環(huán)境中的話，則可以忽略此步驟)。

活動目錄使用既定的網(wǎng)站和子網(wǎng)來進(jìn)行通訊、復(fù)制和其他后臺操作性的任務(wù)。

因此，設(shè)置好活動目錄相應(yīng)的子網(wǎng)，對于確保域環(huán)境能夠持續(xù)健康地運(yùn)行是至關(guān)重要的。您最好按需來添加子網(wǎng)，并仔細(xì)復(fù)查各種和域環(huán)境有關(guān)的配置。同時，請不要提前移除任何即將“退役”的子網(wǎng)(如尚能使用的話)，直到它們確實已被棄用。

3. 重點(diǎn)考慮DNS

DNS記錄是確保客戶端能夠持續(xù)與它們的域控制器進(jìn)行順暢通信的重要條件之一。如果您使用的是動態(tài)DNS，那么只要您變更了域控制器的IP地址，那么其DNS記錄也會做相應(yīng)的更新;但是如果您使用的是靜態(tài)記錄的話，那么就需要在割接之后手動調(diào)整了(無論是哪一種方式，您都應(yīng)該確認(rèn)其對應(yīng)記錄的準(zhǔn)確到位)。同時一定要檢查與這些主機(jī)相關(guān)聯(lián)的任何其他的靜態(tài)記錄，當(dāng)然也包括正向和反向的DNS區(qū)域。

如果您的域控制器同時也為一些備用服務(wù)器提供DNS信息的話，您需要考慮的就不僅僅是活動目錄的DNS記錄那么簡單了，您需要檢查各種相關(guān)的設(shè)置，以發(fā)現(xiàn)更多需要更新的內(nèi)容。

4. 檢查主機(jī)(host)文件

雖然從表面上看，如今管理和使用DNS已經(jīng)非常容易了，而再去擔(dān)心主機(jī)文件的更新會略顯多余。但是不管您是否相信，主機(jī)文件仍然被業(yè)界所頻繁地使用著，特別是在一些生產(chǎn)環(huán)境中，或者是在DNS出現(xiàn)故障而導(dǎo)致域名解析困難的時候。

如果您在遷移的過程中涉及到幾十、甚至上百個系統(tǒng)的話，逐一檢查每臺機(jī)器的主機(jī)文件將會是一個非常繁瑣的過程。您可以使用一個簡單的Windows批處理文件來實現(xiàn)(注意：您必須對各個目標(biāo)系統(tǒng)擁有管理員的權(quán)限。在本例中，Windows文件夾被安裝在C盤上，并以C$的形式被默認(rèn)共享)。

• 創(chuàng)建一個名為c:\results的文件夾。
• 創(chuàng)建一個包含所有目標(biāo)主機(jī)名的文本文件，然后將其保存到c:\results\computers.txt中用作檢查。
• 創(chuàng)建一個文本文件，并包含如下一行內(nèi)容：

FOR /F "tokens=1" %%i in (computers.txt) do xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt 

• 將文件保存為c:\results\hostck.bat
• 運(yùn)行c:\results\hostck.bat。

該文件的運(yùn)行會去訪問每個目標(biāo)系統(tǒng)的主機(jī)文件，然后將其復(fù)制到c:\results文件夾，并以相應(yīng)的計算機(jī)名來命名其文件。

然后根據(jù)您的修改，在c:\results文件夾里搜索相關(guān)的IP地址。您也可以按需在目標(biāo)系統(tǒng)上進(jìn)行同樣的操作。顯然，這樣做有些繁瑣，您可能要等到實際的變化發(fā)生之后才會去逐步操作。因此，我們在此也提供一個簡單更新主機(jī)文件的方法：您可以創(chuàng)建一個批處理文件，命名為：c:\results\hostupdt.bat，其內(nèi)容如下：

FOR /F "tokens=1" %%i in (computers.txt) do xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y 

5. 配置管理軟件

諸如Puppet或Chef這樣的配置管理軟件，能夠捕獲域控制器的IP地址，以及子網(wǎng)物理連接，甚至能夠生成各種主機(jī)文件。不過，配置管理客戶端有時也會根據(jù)統(tǒng)一性將您的一些主機(jī)文件的改變自動更正回來，因此請記得手動檢索一下您的域控制器的當(dāng)前IP地址。

6. 確保虛擬機(jī)相關(guān)網(wǎng)絡(luò)(如果適用)的存在與可用

如果您是在虛擬機(jī)上將一個域控制器遷移到另一個子網(wǎng)的話，請確保在虛擬環(huán)境中已經(jīng)搭建了該子網(wǎng)，并且能夠被虛擬機(jī)的管理程序所發(fā)現(xiàn)和調(diào)用。

當(dāng)然，如果各個虛擬機(jī)的客戶端只是與域控制器進(jìn)行簡單通信的話(記得要在第1步的防火墻規(guī)則中允許此類通信)，您也不一定需要將該子網(wǎng)添加到虛擬環(huán)境中。不過，如果您打算讓客戶端與域控制器直接通信，而不必通過防火墻規(guī)則做檢查的話，還是值得去考慮加入到虛擬環(huán)境中的。

7. 制定和執(zhí)行您的計劃

至此，各種設(shè)置已經(jīng)準(zhǔn)備到位，您可以開始制定并執(zhí)行您遷移的計劃了。您應(yīng)當(dāng)提前向用戶告知遷移時間，當(dāng)然最好是放在非工作時間進(jìn)行，從而把影響降到最小。

請確保在新的網(wǎng)絡(luò)設(shè)置環(huán)境中，一次只更新一臺服務(wù)器。如有需要可以進(jìn)行諸如修改配置軟件、部署主機(jī)文件、或更新DNS記錄等實時的調(diào)整。

如果可能，請在轉(zhuǎn)換過程中實時監(jiān)控網(wǎng)絡(luò)流量，以確保各個客戶端能夠與新的環(huán)境中的服務(wù)器持續(xù)通信。您可以嘗試著去ping它們，或是運(yùn)行NSLOOKUP命令，也可以通過在Windows資源管理器中訪問域控服務(wù)器，以確認(rèn)您能查看到SYSVOL和NETLOGON的共享。您甚至可以通過關(guān)停其他的域控制器，來確認(rèn)自己可以順利登錄到域中，并能訪問到活動目錄的資源。

一旦您完成了所有域控制器的切換，請確認(rèn)原來與域控服務(wù)器交互協(xié)作的其他系統(tǒng)，如備用DNS服務(wù)器仍能照?；?。比如說您可以確認(rèn)它們是否能以正常的方式從域控服務(wù)器上拉取各種區(qū)域文件(zone file)。

如果您碰到了無法解決的問題，而可能需要恢復(fù)到原有的域控制器和其原先的網(wǎng)絡(luò)設(shè)置的話，那么請不要猶豫這樣做。不過請記住這只是“緩兵之計”，您仍需要根據(jù)實際情況逐步進(jìn)行排查。比如說，您可以根據(jù)域控制器里事件日志中的錯誤來研究并發(fā)現(xiàn)線索，從而確定下一步的行動步驟，并進(jìn)一步完成該遷移項目。

標(biāo)題：You shouldn't change domain controller network settings, but here's how to do it if you must，作者: Scott Matteson

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】