转移活动目录到Win Server2008 R2[Windows安全]

　　大概你目前正在利用Windows Server 2003 (R2) 大概 Windows Server2008的域掌握器,并且但愿把这些服务转移到Windows Server 2008 R2域掌握器以便于利用新功效.

　　而你也同时但愿把这些老化的Windows Server 2003 (R2) 大概 Windows Server2008域掌握器用R2的域掌握器代替,从而是你的活动目录运行的越发流利.

　　转换活动目录是迁移活动目录最常见的方法,本文将用一种一个构造公道,均衡的和完好的方法帮忙你完成这个工作.

　　迁移的途径

　　有三种差别的方法更新你的Windows Server 2003 (R2) / 2008活动目录环境到Windows Server 2008 R2

　　* 本地进级

　　只要符合以下要求,03R2和08都可以本地进级为08R2:

　　——03系统至少打了补钉包 SP2

　　——尺度版系统可以进级为企业版或尺度版

　　——企业版只能进级为企业版

　　——数据中央版只能进级为数据中央版

　　——基金会版(08独有)只能进级为基金会版

　　——服务器核心安装包只能进级为服务器核心安装包

　　* 过渡

　　迁移的方法意味着增添08R2域掌握器到你现有的活动目录环境中.在你成功地移动FSMO角色之后,便可以很轻松地降级从前的域掌握器,并把它们从域乃至是系统中完好清理出去

　　关于那些从2000的域功效等级中发展出来的活动目录来说,过渡是一件很普通的事情.

　　* 重组

　　第三种从03R2大概08进级到08R2的办法是重组你的活动目录环境.这需求你把原有的全部资源从本来的环境(比方03)通通转移到一个全新的环境中去(08R2).像ADMT(活动目录迁移工具)这些东西在这个历程中是非常重要的.

　　转换的来由

　　我认为转换时相关于别的两种方法更中庸的办法:

　　* 重组意味着破坏原有的构造,将资料填充于新的活动目录

　　* 本地进级意味着你必须利用一样的硬件并且途径也被严峻限制

　　* 而转换的历程, 你可以保存现有的活动目录筹划,内容,组战略和情势,这些会转移到一台新机械上,那台机械假如没有不测,可以再持续工作3-5年.

　　在以下条件下,转换是很好的挑选:

　　* 极力改正AD使得他尽大概完善

　　* 你的服务器开始老话

　　* 本地进级呈现弊端,产生不必要的产物 (比方说,服务核,企业级域掌握器)

　　* 你需求一个机会在一个新的位置或卷里去设置你的AD文件.

　　假如一切顺利,你的同事大概根本不知道发生过什么.!下限是你需求切当地知道你在做什么;因为毛病的发展非常疾速,这也就是我写这篇文章的缘由.

　　转换的步骤

　　向08R2转移域掌握器的步骤以下:

　　预备工作

　　避免简单错误

　　这里有一篇由专家所写的关于微软底子知识的文章Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain,值得读两遍,此中大部份内容也实用于过渡到08 R2 的历程 .

　　设置你服务器的生命周期

　　关于域掌握器来说,要在你的网络点上持续工作5年左右可不普通. 我相信你会把这些牢紧记着,假如你要选购一台服务器的话. 你需求当心设置分区和卷;活动目录也应当在差别的分区上,假如你想开始工作.WIN服务器目录可以帮忙你挑选一个轻松运行08R2的系统.

　　查抄预备工作

　　微软为你预备了扫描系统的工具以便于确认他能否可以顺利运行08R2,驱动器能否可用(微软更新和安装盘都要查抄)以及在设置08R2历程中会发生什么问题.我激烈倡议利用这个工具查抄你的电脑: MAP,微软评价和筹划办理筹划加快器的简称.

　　拟定64位机的转换筹划

　　因为08R2只能在64位机上工作,你必须确认活动目录的各个方面都已经转化完成. MAP 工具不大概为你决意任何事情,你需求在反病毒,备份,灾备,掌握疗养,系统管理,时间同步,以及各种资源(VAMT/ MAK / KMS)等方面自己处理.

　　核进级历程

　　08 R2的活动目录域掌握器对与现有的活动目录功效块做了很大的调整. 比方说, NT 4.0 的兼容性加密在08R2的域掌握器默许状况时关闭. 详情请见《关于他们能否属于弊端考虑和决意》these considerations and determine whether they are show stoppers in your environment.

　　备份

　　把域掌握器上全部的资源,只要你能保存,全部做备份.

　　文档

　　切当地知道你所迁移的内容非常重要..当事情发展方向有误时,你需求有返回原点的的本领. 这也是在要求目录服务复原情势(DSRM) 保存有服务账户的密码和安全认证,那些东西是不会再任何其他地方呈现的. 在多重域掌握器,多重域,多重林和多重虚拟站点中,做一个表来包含每个域的相关信息 是很明智的,这些域来自FSMO角色,全局编录的位 置,域成员,网站会员,复制拓扑构造,路由表,IP地址等.

　　交流

　　当一切完毕, 你的同事极大概什么都没发觉,但是最好还是跟他们打声招呼,阐明下你做了什么.当然也要和终端用户做下交流,你会重新架构其底子设备的核心. 这应当会让同事懂得你确切做了很多,也会让问题快速地被转述出去——当然问我看法,我认为二者都很酷...

　　调整你的AD环境

　　在你开始08R2域掌握器设置进入现有的AD环境之前,还有一些必要的预备工作.

　　微软供应两种工具来帮忙你完成预备工作. 你可以按照实际情形来挑选肆意一种:

　　adprep.exe实用于64位直接进级;adprep32.exe实用于32位 二次进级

　　然后在现有AD环境中,在新域掌握器上运行以下的号令,

　　Command 域掌握器

　　adprep.exe /forestprep

　　adprep32.exe /forestprep Schema Master

　　adprep.exe /domainprep

　　adprep32.exe /domainprep Infrastructure Master

　　adprep.exe /domainprep /gpprep

　　adprep32.exe /domainprep /gpprep Infrastructure Master

　　adprep.exe /rodcprep *

　　adprep32.exe /rodcprep Domain Naming Master

　　当你做好预备之后一定要确认进度.一旦失利,其影响力可以涉及时间查询器,注释你就需求查抄adprep.log 文件.

　　整个域掌握器的复制需求充足的时间.某些具体历程大概需求几个小时来完成.当你认为所编的改变参数都已复制完成,就需求利用 repadmin 工具来查抄并挑选性地处理AD复制任务. 下面这行号令可以奉告你格格域掌握器的架构版本:

　　repadmin /showattr * "cn=schema,cn=configuration,dc=domain,dc=tld" /atts:objectVersion

　　当全部的DC都返回参数47后,你便可以举行下边的步骤了.

　　安装第一个Windows Server 2008 R2 DC

　　你已经预备好开始安装Windows Server 2008 R2到一台新机械上,并在处理AD时预备让他成为拟定域的成员了.但是更新包,备份还有反恶意软件底子设置都很花时间,能不能让他们自行智能处理呢?

　　当你的AD预备完毕,复制进程也一切顺利,你便可以安装第一份08域掌握器并且利用 dcpromo.exe来把08设置进入域掌握器..

　　在运行dcpromo.exe 的时刻,一定要确保本来的DC中有为你所转换的AD域保存了一个空的DC.并为目录服务复原情势(DSRM)设定一个密码.

　　提醒:

　　(DSRM)的密码要分外记着.

　　因为每个AD的DC都保存了一份AD的信息,比方 用户,所用计算机,the NETLOGON and SYSVOL同享等等,你的08R2 DC在你重启并完成向导后关于事业是开放的..

　　安装其他的DC

　　持续安装其他的08R2DC就很简单了买回来,做认证,运路程序然后疗养——完成了.真的就没什么分外的了,你做过一遍后,就自然很纯熟了.

　　假如你认为DC的安装时一件烦琐的工作,你就应当想到《利用应答文件在DC中设备服务条款》当 DC需求本地设置又有限衔接或带宽的限制时,你大概又会需求研究《从媒体安装》的大概性.

　　查抄安装,复制和更新的必须条件

　　查抄日记以发现问题是最好的操练,因为奉行历程中随时会发生,专门负责审议的logs包含:

　　* dcpromo.log

　　全部关于成立和迁移AD, SYSVOL树的事件,还有安装,改正和删除关键服务的事件

　　* dcpromoui.log

　　按照图形界面角度改变所引发的事件

　　当然还有事件浏览器

　　总结

　　把Active Directory转移到Windows Server 2008 R2就像运行adprep.exe大概adprep32.exe,大概安装Window Server 2008域掌握器一样简单.这大概就是在有一个Active Directory的丛林里有一个独立的域掌握器.

　　一定在一个较大的环境中查抄,就仿佛在商店里摆着的一个DC,一个AD域 然后再他的林里有个AD环境.在更大的环境中,必须查抄、确认你所做的事情正在顺利安装.