Windows Server 2016 AD域服務(wù)升級(jí)實(shí)戰(zhàn)

要使用最新本的Windows Server 2016的活動(dòng)目錄與服務(wù)的話，其實(shí)就是對(duì)域控制器進(jìn)行升級(jí)操作。

升級(jí)操作一般采用的是Side By Side模式，該模式的優(yōu)點(diǎn)在于不會(huì)導(dǎo)致原有DC服務(wù)的中斷，當(dāng)升級(jí)完畢后，新的DC就會(huì)響應(yīng)客戶端的請(qǐng)求，之后就可以移除原有的DC。

要實(shí)現(xiàn)上述升級(jí)，是存在一些條件的，例如原有DC最低版本為Windows Server 2008，并且域和森林的級(jí)別也不能低于Windows Serber 2008，本例中原有域控采用的是Windows Server 2012 R2系統(tǒng)，其名稱為DC1。

在該機(jī)中打開服務(wù)器管理器窗口，在左側(cè)選擇“本地服務(wù)器”項(xiàng)，在右側(cè)可以查看其詳細(xì)的版本信息。

點(diǎn) 擊 菜 單“工具” →“Active Directory用戶和計(jì)算機(jī)”項(xiàng)，在左側(cè)選擇“域名”→“Domain Controllers”項(xiàng)，在右側(cè)顯示所有的域控信息。

在另外一臺(tái)主機(jī)上安裝好Windows Server 2016，其名稱為DC2。在該機(jī)中雙擊當(dāng)前的網(wǎng)絡(luò)連接項(xiàng)目，在網(wǎng)絡(luò)狀態(tài)窗口中點(diǎn)擊“屬性”按鈕，在打開窗口中雙擊“Internet協(xié)議版本4”項(xiàng)，選擇“使用下面的IP地址”項(xiàng)，來手工指定IP地址。

在“首選DNS服務(wù)器”欄中輸入當(dāng)前DC的IP地址。在系統(tǒng)屬性窗口中點(diǎn)擊“更改”按鈕，可以修改該機(jī)的名稱，在“隸屬于”欄中選擇“域”項(xiàng)，輸入域名，點(diǎn)擊確定按，將其加入到當(dāng)前域中。

重啟后以域管理員身份登錄，在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory域服務(wù)”項(xiàng)，來安裝該角色。

之后點(diǎn)擊“將此服務(wù)器提升為域控制器”鏈接，在向?qū)Ы缑嬷羞x擇“將域控制器添加到現(xiàn)有域”項(xiàng)，在下一步窗口中輸入目錄服務(wù)還原模式密碼。

例如，對(duì)于用戶類來說，就存在很多屬性（例如賬戶名，地址等）。在不同版本的活動(dòng)目錄域服務(wù)中，其Schema分區(qū)是存在一些不同的。

例 如，對(duì) 于Windows Server 2008來說，在其用戶屬性中就存在“密碼復(fù)制”的屬性，這主要針對(duì)RODC只讀域控而言有效。

但是在之前版本的Windows Server 來說，是不存在這一屬性的。因此，對(duì)活動(dòng)目錄域服務(wù)進(jìn)行升級(jí)的話，必然會(huì)擴(kuò)展Schema分區(qū)中的類和屬性信息。

新版本的Windows Server必然會(huì)增加很多新的功能，對(duì)應(yīng)的就會(huì)在活動(dòng)目錄中存儲(chǔ)新的對(duì)象和屬性信息。

在進(jìn)行升級(jí)時(shí)，就需要對(duì)活動(dòng)目錄數(shù)據(jù)庫進(jìn)行擴(kuò)展。利用操作向?qū)В梢宰詣?dòng)執(zhí)行上述擴(kuò)展操作。

但是，在實(shí)際的生產(chǎn)環(huán)境中，情況往往比較復(fù)雜，例如在不同的分支機(jī)構(gòu)中分別部署了域控，在進(jìn)行升級(jí)時(shí)，在有些時(shí)候就需要對(duì)Schema分區(qū)以及域的信息進(jìn)行手動(dòng)的更新。

這樣，在總部進(jìn)行了升級(jí)后，必須使用同步的方式將更新的信息同步到所有的分支機(jī)構(gòu)的DC中。

手工操作方法是先準(zhǔn)備好Windows Server 2016的安裝鏡像。在當(dāng)前DC上打開ADSI編輯器，在其中左側(cè)選擇“ADSI編輯器”項(xiàng)，在其右鍵菜單上點(diǎn)擊“連接到”項(xiàng)，在打開窗口中選擇“選擇一個(gè)已知的上下文”項(xiàng)，在列表中選擇“架構(gòu)”項(xiàng)。

連接之后打開Schema屬性窗口，在屬性列表中的“objectVersion”欄中顯示為“69”，這說明當(dāng)前系統(tǒng)的活動(dòng)目錄的Schema的版本信息。

對(duì)Windows Server 2016安裝鏡像進(jìn)行解壓，在CMD窗口中切換到解壓路徑 中 的“supportadprep”目錄，執(zhí)行“adprep.exe /forestprep” 命 令， 對(duì)Schema分區(qū)進(jìn)行擴(kuò)展。

點(diǎn)擊“c”鍵確認(rèn)后，就可以在Schema分區(qū)中添加大量的新的屬性信息。

執(zhí) 行“adprep.exe /domainprep”命令，來更新全域性信息。

當(dāng)擴(kuò)展完成后，再次查看上述版本信息，可以看到其版本好變成了“87”。當(dāng)采用自動(dòng)或者手工方式完成擴(kuò)展后，利用活動(dòng)目錄的同步復(fù)制機(jī)制，就可以將更改信息同步到所有分支機(jī)構(gòu)的DC中。

當(dāng)然這需要等待一定的時(shí)間，才可以執(zhí)行同步操作。因?yàn)槟J(rèn)情況下，站點(diǎn)之間的復(fù)制的間隔為180分鐘。

為了加快速度，可以在Active Directory站點(diǎn)和服務(wù)窗口中選擇“Sites”→“Branch”→“Serv ers” →“總 部 的 DC名稱” →“NTDS Setting”項(xiàng)， 在 右 側(cè) 的“RODC Connection”項(xiàng)的右鍵菜單上點(diǎn)擊“立即復(fù)制”項(xiàng)，讓上述復(fù)制操作立即執(zhí)行。

為了保證操作順利進(jìn)行，可 以 執(zhí) 行“services.msc”程序，在服務(wù)管理器中重啟名 為“Active Directory Domain Services”的服務(wù)。

完成了信息的擴(kuò)展后，才可以執(zhí)行所需的升級(jí)操作。在該Windows Server 2016主機(jī)上打開Active Directoru用戶的計(jì)算機(jī)窗口，在左側(cè)選擇“Domain Controllers”項(xiàng)，可以查看該機(jī)已經(jīng)升級(jí)為域控。

之后需要對(duì)客戶端進(jìn)行設(shè)置，讓其相關(guān)的LDAP查詢，Kerberos驗(yàn)證等請(qǐng)求由DC2進(jìn)行承擔(dān)，方法很簡(jiǎn)單，在客戶機(jī)上登錄到域環(huán)境，將其DNS服務(wù)器的地址指向DC2即可。

當(dāng)然，在實(shí)際的網(wǎng)絡(luò)環(huán)境中，會(huì)存在大量的客戶端，手工設(shè)定DNS服務(wù)器顯得很繁瑣。

可以在DHCP服務(wù)器上進(jìn)行統(tǒng)一配置，這樣當(dāng)客戶機(jī)自動(dòng)獲取IP時(shí)，可以自動(dòng)設(shè)定新的DNS服務(wù)器。

在服務(wù)器管理器窗口中點(diǎn)擊菜單“工具”→“DHCP”項(xiàng)，在DHCP控制臺(tái)左側(cè)選擇“域名”→“IPv4”→“作用域”項(xiàng)，在右側(cè)雙擊“作用域選項(xiàng)”項(xiàng)，在空白處右鍵菜單上點(diǎn)擊“配置選項(xiàng)”項(xiàng)，在彈出窗口的列表中選擇“006 DNS服務(wù)器”項(xiàng)。

在“IP地址”中添加DNS服務(wù)器地址，讓客戶端主機(jī)可以定位DC控制器。

因?yàn)镈C1已經(jīng)不再承當(dāng)具體的工作，所以在該機(jī)上的服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“啟動(dòng)刪除角色和功能向?qū)А表?xiàng)，取消“Active Directory域服務(wù)”項(xiàng)的選擇，來刪除該角色。

在系統(tǒng)彈出的提示信息中點(diǎn)擊“將此域控制器降級(jí)”鏈接，在打開窗口中選擇“繼續(xù)刪除”項(xiàng)，輸入新的本地管理員密碼，點(diǎn)擊“降級(jí)”按鈕，使其變成一臺(tái)成員服務(wù)器。對(duì)于其他的域控，可以按照同樣的方法進(jìn)行卸載。

完成以上操作后，在企業(yè)環(huán)境中就只存在Windows Server 2016的域控，因此需要對(duì)活動(dòng)目錄的域級(jí)別以及森林級(jí)別進(jìn)行調(diào)整。

在Active Directory用戶和計(jì)算機(jī)窗口左側(cè)選擇域名，在其右鍵菜單上點(diǎn)擊“提升域功能級(jí)別”項(xiàng)，在打開窗口中點(diǎn)擊“提升”按鈕，將域的功能級(jí)別提升到Windows Server 2016。

在CMD窗口中執(zhí)行“regsvr32 schmmgmt.dll”命令，來注冊(cè)對(duì)應(yīng)的組件。在Active Directory域和信任關(guān)系窗口左側(cè)選擇“Active Directory 域和信任關(guān)系”項(xiàng)，在其右鍵菜單上點(diǎn)擊“提升林功能級(jí)別”項(xiàng)，點(diǎn)擊“提升”按鈕，將林功能級(jí)別提升為Windows Server 2016。