Windows 2000活動目錄遷移

劉戰(zhàn)武

（鄭州飛機(jī)裝備有限責(zé)任公司，河南 鄭州 450005）

1 遷移的必要性

微軟服務(wù)器產(chǎn)品不斷的推出，這意味著在服務(wù)器領(lǐng)域中不斷的有新技術(shù)的實現(xiàn)，對域控制器來說，很有必要進(jìn)行遷移。

在Windows server 2003中域控制器新增功能如下：

1.1 更強(qiáng)的靈活性

活動目錄引入的重要新特性確保了它成為今天的市場中最具靈活性的目錄架構(gòu)之一。由于與目錄集成的應(yīng)用變得更為普遍，因此組織能利用活動目錄處理最為復(fù)雜的企業(yè)網(wǎng)絡(luò)環(huán)境。從Internet數(shù)據(jù)中心到擁有大量分支機(jī)構(gòu)的企業(yè)，由Windows Server 2003所提供的改善可以大大簡化管理并且提高性能和效率，使它成為一個應(yīng)用十分廣泛的解決方案

1.2 對域的部署管理

Windows Server 2003增強(qiáng)了管理員的能力以使其即使在包含多個森林、域及站點的大企業(yè)中也能有效的配置和管理活動目錄。改進(jìn)的遷移和管理工具連同重命名域的功能，使得部署活動目錄任務(wù)明顯簡化。工具也提供了更加人性化的拖曳、多對象的選擇以及保存和重用查詢的功能。另外對組策略進(jìn)行了改進(jìn)以使其能夠被更加簡單和有效地在活動目錄環(huán)境中對大量用戶和計算機(jī)進(jìn)行管理。

1.3 重命名域

支持對當(dāng)前森林中域的DNS名稱與NetBIOS名稱的更改，并且保證了森林仍然是“結(jié)構(gòu)良好”的。管理員在活動目錄部署后調(diào)整結(jié)構(gòu)時有了更大的靈活性?？梢詫ψ畛醯脑O(shè)計進(jìn)行修正，這使得企業(yè)在發(fā)生合并或重組時更容易改變現(xiàn)有的目錄結(jié)構(gòu)。

1.4 架構(gòu)（Schema）重定義

活動目錄的靈活性得到了增強(qiáng)，可以在活動目錄架構(gòu)中禁用定義的屬性和類。這樣，在初始的定義中出現(xiàn)了錯誤時，屬性和類可以被重新定義。

1.5 組策略的改進(jìn)

微軟在Windows Server 2003中推出一個新的組策略的管理工具，作為統(tǒng)一的組策略管理解決方案。微軟的組策略管理控制臺（GPMC）提供了一個管理所有與組策略相關(guān)任務(wù)的工具。GPMC使得管理員可以在一個森林中的多個站點或域中來管理組策略，所有這些操作都通過一個支持拖曳功能的簡化的用戶界面進(jìn)行。它包括一些新的功能比如對于活動目錄對象的備份、恢復(fù)、導(dǎo)入、復(fù)制和報告。這些操作是完全腳本化的，從而使管理員可以實現(xiàn)自定義和自動的管理。這些特性也可以使組策略更加易用，幫助你更加經(jīng)濟(jì)高效地管理企業(yè)。

1.6 更加安全

額外的安全特性使得管理多森林和跨域信任關(guān)系更加容易?？缟值男湃侮P(guān)系是有別于現(xiàn)有Windows信任關(guān)系的新類型，它可以管理兩個森林間的安全關(guān)系——大大簡化了跨森林的安全管理以及驗證。用戶可以在不用犧牲單一登錄功能的情況下，訪問其他森林的資源，并且由于只需在用戶所在的森林中維護(hù)它的用戶ID和口令，因此管理也被大大的簡化了。

1.7 軟件限制策略

軟件限制策略用來規(guī)范未知和不被信任的軟件的使用。使用軟件限制策略，你可以通過指定哪些軟件可以運(yùn)行來保護(hù)當(dāng)前的計算機(jī)應(yīng)用環(huán)境不被非信任的軟件影響。

1.8 改進(jìn)的性能與可靠性

Windows Server 2003能夠更加有效的管理活動目錄的復(fù)制與同步。不管是在域內(nèi)還是在域間管理員都可以更好地控制需要在域控制器間進(jìn)行同步的信息類型。此外，活動目錄提供了許多技術(shù)可以智能地選擇只將那些發(fā)生了更改的信息進(jìn)行復(fù)制，而不是機(jī)械地復(fù)制整個目錄數(shù)據(jù)庫。

1.9 可靠性的改善

活動目錄包括了幾個新特性來增強(qiáng)可靠性，比如健康監(jiān)視器，這個功能允許管理員檢驗域控制器間的復(fù)制，全局編錄的復(fù)制也被改進(jìn)了，并且與Windows 2000相比，一個更新的站間復(fù)制拓?fù)浒l(fā)生器（ISTG）可以在擁有大量站點的森林中提供支持，從而增強(qiáng)了擴(kuò)展性。

2 遷移過程

2.1 原Windows 2000 Server域控制器為SRV-AD01；準(zhǔn)備遷移到的

Windows Server 2003為SRV-AD02；域名為test.com。

2.2 操作步驟

在SRV-AD01上執(zhí)行ntbackup，對C盤進(jìn)行全盤備份，為遷移過程中出錯后恢復(fù)做好準(zhǔn)備。

在SRV-AD01上插入Windows Server 2003光盤 （假設(shè)光盤盤符為G），在CMD中依次執(zhí)行以下命令：

在 SRV-AD02的CMD中運(yùn)行 “dcpromo”， 將 SRV-AD02作為SRV-AD01的額外域控制器，在“Active Directory安裝向?qū)А敝休斎隨RV-AD01的域管理員賬號和密碼，域中輸入“test.com”；在下一個窗口的“域名”中還輸入“test.com”，等待完成后在SRV-AD02上依次執(zhí)行以下命令：

將SRV-AD01關(guān)機(jī)，測試客戶機(jī)是否能正常登陸域，如果正常的話在SRV-AD01上運(yùn)行“dcpromo”，對SRV-AD01進(jìn)行降級，完成域的遷移工作。

3 遷移過程中的注意事項

在上一節(jié)中對遷移過程進(jìn)行了說明，按照步驟進(jìn)行操作可以完成對域控制器的遷移，但是在遷移前需要注意以下幾個方面：

1）確保新服務(wù)器有足夠的可用磁盤空間；

2）將新服務(wù)器所有補(bǔ)丁更新到最新；

3）對舊服務(wù)器進(jìn)行完整備份；

4）升級前禁用新、舊服務(wù)器的防病毒軟件。

以上是實際工作中的一些經(jīng)驗，肯定存在一些不足之處，希望大家積極與本人交流，共同探討技術(shù)上的問題，共同提高。