Contoso公司目前已經在IT部門的努力下,將公司的基礎架構中域控制器的操作系統平臺從Windows Server 2003升級到Windows Server 2008 R2,但是目前,域中還存在着一臺老舊的Windows Server 2003域控制器,而且DHCP服務也沒有轉移到新的域控制器上,DNS狀態也需要檢查,所以,進行下面的步驟,來完成遷移的最後過程:
1. Windows 2003域控制器正常降級,並脫離域。
2. 遷移DHCP服務到Server D上。
3. 爲Exchange Server 指定準確的目錄服務。
4. 檢查各個域控制器的DNS設置。
5. 提升域和森林的功能級別。
一、 降級舊域控制器
在整個基礎架構被Windows Server 2008 R2替換並且轉移了5個操作主機角色後,就可以降級和刪除舊的域控制器了。按照標準的方式是使用DCPROMO命令,它可以最直接,最徹底的進行刪除。在運行完DCPRMO命令後,域控制器就變成了域中的一個成員服務器,接下來就可以退域,斷開網絡了。但是不巧的是,由於IT部門的小趙的操作失誤,他沒有進行降級就從森林裏刪除了域控制器,導致了活動目錄中時不時的就出現一些很奇怪的錯誤,而且正是這臺沒有刪除乾淨的域控制器造成的,這下可急壞了小趙,立刻找來IT部的老牛支招。老牛笑道:別急,只要用ADSIEdit這個目錄工具把它刪除掉就好了:
1. 在服務器管理器界面,展開【角色】節點,選擇【Active Directory 域服務】。
2. 在右側滾動至高級工具,選擇【ADSI編輯器】。如圖1
圖1
3. 右擊【ADSI編輯器】,在彈出的連接設置中,連接點在【選擇一個已知命名上下文】裏選擇【配置】,確定。如圖2
圖2
4. 依次展開【配置】—【CN=Configuration】—【CN=Sites】—【CN=west】—【CN=Servers】—【CN=DC3】,這裏站點名稱和域控制器名稱對應需要刪除的域控制器名稱。
5. 右擊【CN=NTDS Settings】,刪除即可。如圖3
圖3
6. 將ADSI編輯器重新連接到【默認命名上下文】。
7. 依次展開【默認命名上下文】—【CN=SYSTEM】—【CN=File ReplicationService】—【CN=Domain System Volume(SYSVOL share)】—【CN=DC3】,其中DC3爲需要刪除的域控制器。
8. 刪除DC3即可。如圖4
圖4
現在,只要在【Active Directory 站點和服務】中,讓其他域控制器重新檢查複製拓撲,KCC就會自動檢查站點環境,恢復正常狀態。
二、 DHCP遷移
在Windows Server 2008 R2中,微軟對DHCP的功能做了較大改善,比較重要的改善就是DHCP的備份和恢復及遷移改善。在Windows Server 2008 R2中,不在需要使用netsh命令來進行數據庫內容的導入導出,可以直接從DHCP控制檯中進行DHCP數據庫的備份和恢復功能,極大的簡化了遷移過程。
注意:DHCP備份和恢復過程可以將DHCP現有配置、作用域、租約信息及保留範圍等信息非常方便的遷移到Windows Server 2008以上級別的系統中,但對Windows Server 2008 一下級別的系統,不支持該功能,只能通過導入導出數據庫文件來進行遷移。
在Contoso公司中,由於之前已經將Server A原地升級到了Windows Server 2008 R2並且其上DHCP也自動的進行相關升級。但是現在,需要將其遷移到新的服務器Server D中,根據之前的介紹,我們可以很容易的進行遷移操作。
1. 打開DHCP的控制檯,在當前服務器名稱上右擊,選擇【備份】,選擇一個備份文件存儲位置,確定即可。
2. 在目標DHCP服務器中,同樣右擊服務器名稱,選擇【還原】,選擇備份文件的位置,確定後,會彈出需要停止和重啓服務的確認對話框,點擊【是】。
3. 服務重啓完畢後,可以發現在新的DHCP服務器上,已經正常的恢復了原服務器上的DHCP信息,此時需要將原DHCP服務器授權解除,即完成了DHCP的遷移。
三、 爲Exchange Server 2007 指定準確的目錄服務
Contoso公司完成了提供基礎基礎架構平臺的域控制器升級之後,還需要對當前域中其他應用服務進行設置,以免其無法正常使用域服務,爲企業IT環境的穩定性帶來隱患。Exchange Server 2007就是其中之一,它完全依賴於狀況良好的且正常工作的Active Directory及DNS服務的可用性。Exchange會從Active Directory獲取配置和收件人信息,如果DNS或者Active Directory沒有相應Exchange 服務器的查詢,客戶端將不能進行身份驗證,通訊地址也將無法查找,電子郵件也不會進行傳送。所以需要檢查Contoso公司當前Exchange的設置:
1. 檢查Exchange Server 2007的DNS設置,將其指向域內有效的DNS上,這裏將其指向新硬件的Server D。
2. 檢查Exchange Server 2007指定的域控制器。在Exchange管理控制檯中,右擊【服務器配置】,選擇【修改配置域控制器】,即可設定配置域控制器的名稱。
四、檢查域控制器的DNS設置
DNS作爲實現活動目錄的一個重要組件,是網絡發揮其功能的核心所在。在對基礎架構進行完大規模變動後,DNS內部的設置也會發生改變。這裏就需要檢查DNS裏每個正向區域和反向區域的【起始授權記錄(SOA)】,【名稱服務器】及爲了安全考慮的【區域傳送設置】,將它們修改爲正確的DNS服務器地址,刪除舊的服務器地址,啓用名稱服務器中列出的服務器傳送和指定的服務器進行傳送,保證DNS正常安全的複製通信。
同時Windows Server 2008也解決了以前版本中的孤島問題,即DNS服務器一旦修改IP地址,會首先向其他授權服務器更改它的主機記錄,避免了域內其他DNS服務器無法從修改前的DNS服務器進行復制更新。
注意:在Windows Server 2008中還可以使用DNS中GlobalNames區域來減少企業對WINS的依賴性。
五、提升域和森林的功能級別
Windows Server 2008 R2提供了一種新的功能級別,但需要域中所有域控制器都運行Windows Server 2008 R2系統纔可以啓用,不過只要沒有使用此功能級別的任何特性,比如AD回收站,那麼此功能級別是可以退回到Windows Server 2008上來的。
Contoso公司此時已經將所有域控制器都升級到了Windows Server 2008 R2,並且準備應用其全新特性,所以需要提升域和森林的功能級別。具體操作如下:
1. 打開【Active Directory 域和信任關係】,右擊【contoso.com】,選擇【提升域功能級別】,在彈出的對話框內選擇【Windows Server 2008 R2】即可。如圖5
圖5
2. 右擊當前域控制器的【Active Directory 域和信任關係】,選擇【提升林功能級別】,在彈出的對話框選擇【Windows Server 2008 R2】即可。如圖6
圖6
至此,Contoso公司已經順利的將Windows Server 2003的基礎架構平臺升級到了Windows Server 2008 R2上來,IT部門歡呼雀躍,因爲終於可以使用盼望已久的新功能來實現公司的需求了,但這僅僅是開始,接下來,我將介紹Windows Server 2008 R2帶來的全新特性,請拭目以待。