[[23269]]作者介紹：黃俊麟。 目前供職于某大型外企，負責中國區(qū)的IT基礎(chǔ)設置建設。曾先后在500強外企從事系統(tǒng)管理，數(shù)據(jù)中心建設及網(wǎng)絡管理，對應用部署，項目管理，團隊建設等有深入了解，并長期致力于IT前沿技術(shù)的研究。

眾所周知，在當今流行的IT環(huán)境中，活動目錄已成為一個廣泛應用在各種組織內(nèi)部的基礎(chǔ)平臺?；顒幽夸浀姆€(wěn)定工作，合理配置，對于組織內(nèi)系統(tǒng)的平穩(wěn)運行具有舉足輕重的作用。將域控制器部署得當，優(yōu)化配置域策略，不僅可以保證系統(tǒng)的安全和穩(wěn)定，也能讓內(nèi)網(wǎng)網(wǎng)絡貢獻最好的性能。毫不夸張地說，一個運轉(zhuǎn)良好的域控環(huán)境，是整個IT系統(tǒng)及網(wǎng)絡的堅實基礎(chǔ)。

多年來，微軟的Windows Server 2000及Windows Server 2003系列通過一貫穩(wěn)定的表現(xiàn)證明了其作為基礎(chǔ)平臺的優(yōu)異性能，是IT部門可信賴的工具。隨著IT環(huán)境日趨復雜，需求日益增長，云計算、虛擬化技術(shù)在近年的IT市場上風起云涌，微軟也順應形勢，適時地推出了WINNDOWS Server 2008及Windows Server 2008 R2系列。新版的Windows Server提供了不少富有價值的新功能，尤其是在高可用性、虛擬化支持以及集中管理等方面上具有突破性的改進。主要的新特性在本文不逐一介紹，大家有興趣可在微軟官方網(wǎng)站上查閱（http://www.microsoft.com/china/WindowsServer2008/whats-new.aspx）。

本文將著重介紹新版Windows Server 2008在活動目錄上的表現(xiàn)及將活動目錄從Server 2003升級到Server 2008的過程。

升級的可行性和必要性

如果你是一位系統(tǒng)管理員，提到升級的第一反應恐怕并不會歡欣鼓舞。因為經(jīng)驗告訴我們，最新的系統(tǒng)并不一定是最好的系統(tǒng)，很多時候一個穩(wěn)定運行的系統(tǒng)對我們來說才是首要考慮的問題，尤其是對于活動目錄這種基礎(chǔ)平臺來說。根據(jù)筆者在實際實施過程的經(jīng)驗來看，大可不必擔心升級會帶來的問題，整個升級過程操作非常簡單，配置幾乎不需要做任何變更，而且耗費的時間很短，用一個周末的時間就足以完成。如果你的組織內(nèi)部署有多臺域控服務器的話，對用戶的影響就更小了。

當前平臺存在的眾多問題及瓶頸，在新版本平臺上將迎刃而解。而且升級可以讓你的IT環(huán)境緊跟硬件發(fā)展的趨勢，充分發(fā)揮新硬件的性能，和其它業(yè)務平臺保持一致水平，從而為業(yè)務增長提供可靠支持。而且微軟對每個版本W(wǎng)indows Server的技術(shù)支持都有時間期限，過了期限之后將得不到及時的補丁更新和支持，這也讓升級成為勢在必行的工作。

正式升級前的準備

如前文所述，IT部門的首要任務是保證系統(tǒng)的高可用性。對于如此重大的平臺升級，必須在測試環(huán)境中充分驗證，確保你的系統(tǒng)工程師了解整個過程，對可能出現(xiàn)的問題做好應急準備。另外，升級的規(guī)劃也非常重要。尤其是在大中型組織中，務必和組織內(nèi)部的用戶及管理層充分溝通，將升級安排在合適的時間進行。另外，在IT部門內(nèi)部，也必須和網(wǎng)絡管理員、系統(tǒng)管理員及各個應用的負責人充分溝通，因為這不可避免地會影響到其它系統(tǒng)，你必須依靠伙伴的協(xié)同合作來完成這個工作。任何疏忽都可能造成整個IT環(huán)境無法正常工作，進而影響業(yè)務開展。#p#

直接將現(xiàn)有的域控制器從2003升級到2008

安裝一臺新的Windows Server 2008額外域控服務器，然后將原2003域控制器上的5個FSMO角色遷移到新域控制器上。將活動目錄由Windows Server 2003升級到Windows Server 2008。

記住，在升級之前務必對整個活動做一個全備份。這樣在升級失敗的情況下，我們還可以將用備份文件將環(huán)境還原到之前的正常狀態(tài)。

我們需要準備一臺新的服務器來安裝Windows Server 2008操作系統(tǒng)。

1.首先需要確認升級過程中采用的域賬戶必須具備相應的權(quán)限，該賬戶必須是屬于Schema Admins、Enterprise Admins和Domain Admins組的成員。

2.要將運行Windows Server 2008的域控制器添加到原Windows Server 2003活動目錄中，首先要更新原AD架構(gòu)。將Windows Server 2008系統(tǒng)安裝光盤插入光驅(qū)，將 \sources\adprep 文件夾的內(nèi)容復制到架構(gòu)主機上的 Adprep 文件夾，然后在該文件夾下運行命令：

adprep /forestprep

如果運行成功，命令行會提示“Adprep 成功更新了全林性的信息”。

3.如果你需要部署只讀域控制器（RODC），那么你需要運行以下命令來準備架構(gòu)：

Adprep /rodcprep

同樣地，運行完成之后系統(tǒng)會給出結(jié)果信息。

4.同理，還要準備相應的域，運行命令：

adprep /domainprep /gpprep

5.在做好以上準備工作之后，我們就可以開始安裝額外域控制器了。來到新安裝的Windows Server 2008服務器上，和以往版本一樣，運行DCPROMO來將服務器提升為域控制器。

這個過程需要等待很長時間。然后會出現(xiàn)以下窗口：

點擊NEXT繼續(xù)，

繼續(xù)NEXT,

這里，因為我們是將其作為額外域控制器加入到現(xiàn)有的域中，所以選擇向現(xiàn)有域中添加新域控，然后點擊next繼續(xù)，

輸入你的域名，然后繼續(xù)，選擇所在域及要安裝的目標站點，繼續(xù)，

一般情況下，同時將此域控制器作為DNS服務器和全球編錄服務器，將這兩項選中，然后繼續(xù)，

選擇活動目錄數(shù)據(jù)庫、日志文件及SYSVOL所在目錄，然后繼續(xù)，

輸入還原密碼，再確認摘要中所有設置沒有問題后，選擇繼續(xù)開始安裝活動目錄，

安裝完成后需要重啟服務器。

6.到這一步，我們就完成了Windows Server 2008額外域控制器的安裝。該過程也可以在服務器管理器中通過添加角色來完成。接下來我們嘗試將原Windows Server 2003域控制器上的5個FSMO角色轉(zhuǎn)移到新的額外域控制器上。

7.這樣，新安裝的Windows Server 2008域控制器就可以獨立承擔整個域控的功能。原來的Windows Server 2003域控制器，可以做降級處理或者升級到2008。當然，也可以保持現(xiàn)有狀態(tài)作為額外域控制器繼續(xù)工作。

升級后的驗證，測試

至此，該升級任務基本完成。為了保證升級后的活動目錄工作良好，我們還需要做一些測試和驗證工作。

常規(guī)的驗證可以包括以下幾點：

1. 嘗試用不同版本操作系統(tǒng)的PC登錄域，確認基本域帳號驗證功能。找一臺PC，嘗試加入域和退出域的操作。
2. 如果域環(huán)境中有EXCHANGE服務器，特別需要檢查EXCHANGE服務器的工作狀態(tài)，測試手法郵件等功能正常。
3. 在域控上增加和刪除用戶帳號，更改用戶帳號信息。
4. 在新的Windows Server 2008域控制器上更改域策略，更改域登錄腳本，然后去原2003域控上查看是否同步了這些變更狀態(tài)。
5. 檢查各臺域控服務器的日志，特別注意是否有錯誤及警報日志。
6. 刷新域策略，看在PC上作用的情況是否正常。
7. 查看各個域控制器之間活動目錄數(shù)據(jù)同步的情況。
8. 查看DNS的運行情況及各DNS服務器之間的數(shù)據(jù)同步情況。
9. 如果IT環(huán)境中有其他應用系統(tǒng)的帳號驗證是和AD集成的（讀取LDAP信息）方式，需要測試同步帳號，并嘗試登錄該系統(tǒng)進行驗證。確保所有應用運行正常。

總結(jié)

怎么樣？看到這里，你應該對將活動目錄升級到Windows Server 2008有一個基本的概念了吧？只要在實施前做好充分的測試和準備工作，和組織內(nèi)部相關(guān)智能部門做好溝通，在實施之后做好測試驗證工作。相信你也能順利地將系統(tǒng)成功升級。從而讓IT環(huán)境更上一層樓，享受功能更豐富，性能更強勁的系統(tǒng)帶來的便利，進而為業(yè)務發(fā)展提供堅實動力。

【編輯推薦】

1. 活動目錄在構(gòu)建核心過程中的八個關(guān)鍵點
2. 活動目錄設計中需要遵循的七個原則
3. 如何在多域林中恢復活動目錄根域
4. 小心雙刃劍 Ntdsutil對活動目錄的管理
5. 替代活動目錄管理的PowerShell命令