首页> 系统技术> Windows 2008 AD域升级至2016的方法...

[文章]Windows 2008 AD域升级至2016的方法论

收藏
0 2772 0

【摘要】

每个 Windows 产品都有生命周期,生命周期从产品发布时算起,到其不再受支持时结束。微软官方明确说明,Windows Server 2008 R2 SP1的外延支持结束日期为2020114日,正常情况下,超过该日期后,微软不会再提供任何的补丁更新,同时也不会对该产品做技术支持服务。为保证业务系统的持续稳定运行,升级企业内运行的Windows Server 2008 操作系统势在必行,且尤为迫切。

AD活动目录往往是企业网络安全和应用系统的基石,承担着账号管理,准入和策略下发等多项角色,其重要性不言而喻。因此,对升级AD域更为重要。

【正文】

       本实验以单站点,内含2Windows Server 2008 R2操作系统的域控制器升级为例,升级步骤通常参考以下步骤进行:

一、环境调研:

        AD域升级前,必须对域内的所有域控制器开展充分的调研工作,调研是可重点关注如下信息:

        1.  站点:

        1)     是否设置站点桥头服务器;

        2)     站点的复制拓扑和域控间的复制链接(站点与站点间网络是否存在限制);

        2. FSMO 5大操作主角的分布(尤其是PDC主机为域内的时间源,PDC角色转移后后需重点关注域内的时间是否准确);

        3. &域功能级别

        4. 所有域控制器的DNS配置(包括正向查找区域,转发器,条件转发器,根提示);

        5. 域控上是否已安装其它角色或功能(如CADHCPRadiusDFS等);

        6. 域控上安装的所有应用程序(如SQL,杀毒软件等)

        7. 企业内部是否对新域控的计算机名称的要求(是否需要延续旧计算机名称);

        8. AD对接的应用系统信息的LDAP接口配置信息(非常重要);

二、升级准备工作

  1.      
    1.   1.  满足升级的先决条件(林&域功能级别是否满足要求,如果不满足需提升AD/域功能级别);
    2.   2.  准备新域控制的硬件资源(如果是物理机,可能涉及到采购,越早确认越好);
    3.   3.  准备基础环境

    p 操作系统(强烈要求使用psGetsid工具检查操作系统的SID是否不同);

    p 安装杀毒软件;

    p 更新最新的补丁更新;

    p 预备2个临时IP地址;

    p 网络端口开放;

    1. 4. 实施账号准备,用于AD域升级的账号必须具备架构管理员、企业管理员和域管理员的权限;
    2. 5. 应用系统兼容性测试;

三、AD升级方案

  AD升级方案较多,结合以往成功AD升级项目经验,本次提供以下2AD升级方案选择:

1.      逐台提升,逐步替换

所谓的逐台提升,逐步替换的升级方案,是指先将域内的一台Windows Server 2008 R2域控制器先降级退域(提前是已将其上的角色和应用进行转移),然后提升同名同IP地址的Windows Server 2016 域控制器,观察一段时间业务正常运行后,再使用相同的方案提升另外一台Windows Server 2016 域控制器以替代旧的Windows Server 2008 R2,升级路线可参考以下示意图:


                        逐台提升&逐步替换示意图

 

2.      批量提升新域控,批量卸载旧域控

所谓的批量提升新域控,批量卸载旧域控的升级方案,是指先在域内提升2Windows Server 2016域控制器,其次互换新旧域控制器的IP地址后关闭2台旧Windows Server 2008 R2域控制器(提前是已将其上的角色和应用进行转移),再删除旧域控制的A记录和新增别名记录的方法,把旧域控制器的计算机名指向新域控制器进行过度,升级路线可参考以下示意图:

                                      批量提升新域控&批量卸载示意图

 2种升级路线各有其优点和不足,方案1操作较为简单,实施风险较小,不会对当前AD造成垃圾对象,但面对域控制器数量极少的环境可能会带来隐患,方案1是新旧域控保持计算机名称和IP地址的AD升级的首选方案。而方案2过渡较为平滑,回退更快,但旧域控制器的资源释放周期较长,且新旧域控的计算机名称存在不一致的情况,如果新服务器名称与旧域控制器名称不需要一致,则首选方案2

 

四、总结

以上为AD域升级的大体思路,由于AD域在企业内部使用广泛,稍有不慎可能会影响到应用系统的正常运行及用户的正常办公,因此,建议AD域升级工作务必与具有相关资质的优秀供应商共同开展。


系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}