大家可能見多了AD域就地升級或者平推升級的文檔,但是對於AD域重構國內寫到的文章卻很少,老王前陣子承接了一個這樣的項目,覺得可以和大家分享一下。
那麼什麼叫重構呢,老王的理解重構就是捨棄現有的域環境,重新搭建新的域,並根據需要決定是否要遷移數據到新環境中。
我想到一個有意思的例子來解釋下重構和其它升級的區別,我把AD域的升級比做一個更新房子裝修的過程,大家可以自己去想一下對應的組件。
就地升級 : 不改變現有的房子,選擇一個時間節點,小孩子出去玩耍或者上課的時候,把房子重新裝修,更換新傢俱。
平推升級:在現有房子的基礎上,新增新的傢俱,把舊傢俱裏面裝的衣服和書挪到新傢俱後,再改造升級舊傢俱,改造後繼續使用。
重構升級:直接更換新的房子,使用全新的傢俱,把之前房子裏面的所有用品搬進來繼續使用。
不同的場景,不同版本間的升級,選擇不同的升級方案,不論那種選擇的目標都應以最好匹配需求,最少宕機時間,最少影響業務爲準。
那麼什麼場景下會用到重構呢,有這樣一種對景,企業裏面之前曾經有過多位工程師,部署了不同的域控,但沒有進行很好的記錄維護,導致的一個問題就是環境裏面的AD域架構混亂,明明用不到但是有很多臺域控,你不知道那臺域控宕機了會影響到那些業務,這樣的架構如果不進行修正,IT部門很難展開後面基於AD域的管理工作。
老王遇到的就是這樣一個項目,在項目中環境裏面共有6臺域控,但實際企業只有500用戶使用,IT主管和新入職的員工只清楚其中兩臺域控,剩餘的幾臺域控都是處於生死未卜的狀態,這天它們主域控壞了,碰巧下班時間,他們老闆找到我,希望能夠改變一下這種現狀,重新規劃一個乾淨的域。
需求
重新搭建2012AD域,兩臺物理機承載域控
遷移保留舊域控上面的用戶,組,OU
遷移2008域控上面DHCP作用域信息至新域控
搭建新環境後實現DHCP高可用
對於這種需求,這種場景下,老王覺得重構是完全沒有問題的,因爲牽扯的面積很小,重構意味着客戶將得到一個全新可控的環境,是一勞永逸,長遠解決問題的方法。
但並不一定所有場景都能適用重構,大家還是要結合實際場景,如果是一個很大規模的場景,原有域環境下涉及exchange,sharepoint等基於AD域的應用,就需要評估技術方面重構是否可行。
我們開始前做了一些梳理工作,在草紙上繪製升級流程圖 升級後的基礎架構圖,將腦海裏的架構落到紙上。
將環境裏面除了兩臺域控之外的其它域控,從AD中徹底清理掉。
針對最後剩下的一臺健康域控執行一次裸機備份
生產環境與測試環境不同的就是可能會遇到各種各樣的問題,每一個操作興許都會導致業務影響,所以在生產環境做事一定要頭腦清晰,知道每一步該做什麼,並永遠保留一個最後的恢復底牌。
備份結束後,我們進行了信息收集
在DHCP管理界面備份DHCP數據庫,除了執行常規備份還拍照片將DHCP作用域設置進行記錄下來
使用csvde命令導出用戶和組 csvde -f C:\ad.csv -d "OU=XXX,DC=XXX,DC=com"
導出之後甲方IT針對列表中已經離職不需要遷移到新環境的用戶進行整理刪除
由老王對CSV中不必要的列和對象進行刪除,確保可以正常導入
導出現有部門OU列表 ldifde -d "OU=XXX,DC=XXX,DC=com" -p subtree -r "(objectClass=organizationalUnit)" -o“uSNCreated,uSNChanged,objectguid,whencreated,whenchanged” -f c:\exportou.ldf
【uSNCreated,uSNChanged,objectguid,whencreated,whenchanged爲域內特有屬性,導出時最好除外】
記錄現有兩臺域控DNS服務器轉發器設置
檢查確認是否和其它NTP服務器同步,結果無,所有服務器客戶端均和PDC同步
確認組策略不需要遷移,文件服務器權限到新域後重新規劃
接下來開始重構操作部分
將原有主域控,刪除域控角色,退域,加入工作組,重做Server2012R2系統(前面提到該單位原主域控已經壞掉,現在角色轉移到輔助域控)
更新補丁,進行安全設置,機器名重新命名,IP和以前保持一致
安裝全新域控角色,創建新林,新域,名稱和之前保持一致。
機器重啓
導入OU列表 ldifde -i -f c:\exportou.ldf
導入用戶數據 csvde -i -f C:\ad.csv
導入後用戶默認處於禁用,批量將用戶啓用,設置密碼,下次登錄時必須修改密碼。
安裝DHCP角色,恢復數據庫,我們實際做的時候發現超級作用域信息沒有恢復過來,手動恢復了超級作用域信息。
按照記錄重新設置DNS服務器轉發器內容
第一臺做好之後,按照相同步驟操作現有最後一臺域控,前面步驟相同,當第二臺服務器也安裝好DHCP角色後,在裝好的第一臺新域控上面直接配置DHCP故障轉移即可,會自動將作用域信息同步給夥伴服務器,同樣的因爲同屬一個新域,第一臺域控設置好的DNS服務器轉發器也會同步給第二臺服務器。
後續工作驗證遷移過來的用戶,恢復DHCP,DNS工作,重新規劃文件服務器權限,整個操作過程歷時三個小時左右,晚上向來是我們IT Pro改變一切的時間:)
在過程中,大家不需要對用戶,OU的導出感到過於的複雜,它們本身和域並沒有過多的綁定關係,只是靜態的數據罷了,導出,導入到任何一個全新的域都可以工作,就好像數據庫裏面的創建一些表,沒有應用來用的時候表沒有用武之地,只有有人用靜態的數據纔會變成動態。AD域用戶也是同樣的道理,沒有應用調用它就是一個靜態數據,導出的時候我們告訴AD域服務要copy一份AD裏面的用戶列表出來,導入的時候我們告訴AD域服務這裏有一份列表照着這個列表給我導入進去。
當我們在進行重構操作的時候,甲方的IT利用這次機會,對服務器硬件進行了升級,確保兩臺物理域控內存硬盤一致,這也是微軟的最佳實踐,域控之間配置最好保持一致,此案例中我們採用的域控爲物理機架構,因爲客戶並沒有成熟的虛擬化基礎設施,事實上域控如果要虛擬化,涉及到的點很多,包括虛擬機快照,USN版本號,虛擬機的高可用規劃,老王建議,只有在環境裏面有穩定的高可用虛擬化羣集情況下再考慮虛擬化域控,同時也需要管理員正確理解虛擬機快照在域控上面的使用。
馬上2020年2008R2微軟就要停止技術支持,相信有不少企業都要面臨域控升級的問題,希望老王這篇文章能爲那些面臨升級的ITPro提供思路和幫助。