Windows Server 2016 AD域服務(wù)升級實戰(zhàn)

要使用最新本的Windows Server 2016的活動目錄與服務(wù)的話，其實就是對域控制器進(jìn)行升級操作。

升級操作一般采用的是Side By Side模式，該模式的優(yōu)點在于不會導(dǎo)致原有DC服務(wù)的中斷，當(dāng)升級完畢后，新的DC就會響應(yīng)客戶端的請求，之后就可以移除原有的DC。

要實現(xiàn)上述升級，是存在一些條件的，例如原有DC最低版本為Windows Server 2008，并且域和森林的級別也不能低于Windows Serber 2008，本例中原有域控采用的是Windows Server 2012 R2系統(tǒng)，其名稱為DC1。

在該機(jī)中打開服務(wù)器管理器窗口，在左側(cè)選擇“本地服務(wù)器”項，在右側(cè)可以查看其詳細(xì)的版本信息。

點 擊 菜 單“工具” →“Active Directory用戶和計算機(jī)”項，在左側(cè)選擇“域名”→“Domain Controllers”項，在右側(cè)顯示所有的域控信息。

在另外一臺主機(jī)上安裝好Windows Server 2016，其名稱為DC2。在該機(jī)中雙擊當(dāng)前的網(wǎng)絡(luò)連接項目，在網(wǎng)絡(luò)狀態(tài)窗口中點擊“屬性”按鈕，在打開窗口中雙擊“Internet協(xié)議版本4”項，選擇“使用下面的IP地址”項，來手工指定IP地址。

在“首選DNS服務(wù)器”欄中輸入當(dāng)前DC的IP地址。在系統(tǒng)屬性窗口中點擊“更改”按鈕，可以修改該機(jī)的名稱，在“隸屬于”欄中選擇“域”項，輸入域名，點擊確定按，將其加入到當(dāng)前域中。

重啟后以域管理員身份登錄，在服務(wù)器管理器中點擊“添加角色和功能”項，在向?qū)Ы缑嬷羞x擇“Active Directory域服務(wù)”項，來安裝該角色。

之后點擊“將此服務(wù)器提升為域控制器”鏈接，在向?qū)Ы缑嬷羞x擇“將域控制器添加到現(xiàn)有域”項，在下一步窗口中輸入目錄服務(wù)還原模式密碼。

例如，對于用戶類來說，就存在很多屬性（例如賬戶名，地址等）。在不同版本的活動目錄域服務(wù)中，其Schema分區(qū)是存在一些不同的。

例 如，對 于Windows Server 2008來說，在其用戶屬性中就存在“密碼復(fù)制”的屬性，這主要針對RODC只讀域控而言有效。

但是在之前版本的Windows Server 來說，是不存在這一屬性的。因此，對活動目錄域服務(wù)進(jìn)行升級的話，必然會擴(kuò)展Schema分區(qū)中的類和屬性信息。

新版本的Windows Server必然會增加很多新的功能，對應(yīng)的就會在活動目錄中存儲新的對象和屬性信息。

在進(jìn)行升級時，就需要對活動目錄數(shù)據(jù)庫進(jìn)行擴(kuò)展。利用操作向?qū)?，可以自動?zhí)行上述擴(kuò)展操作。

但是，在實際的生產(chǎn)環(huán)境中，情況往往比較復(fù)雜，例如在不同的分支機(jī)構(gòu)中分別部署了域控，在進(jìn)行升級時，在有些時候就需要對Schema分區(qū)以及域的信息進(jìn)行手動的更新。

這樣，在總部進(jìn)行了升級后，必須使用同步的方式將更新的信息同步到所有的分支機(jī)構(gòu)的DC中。

手工操作方法是先準(zhǔn)備好Windows Server 2016的安裝鏡像。在當(dāng)前DC上打開ADSI編輯器，在其中左側(cè)選擇“ADSI編輯器”項，在其右鍵菜單上點擊“連接到”項，在打開窗口中選擇“選擇一個已知的上下文”項，在列表中選擇“架構(gòu)”項。

連接之后打開Schema屬性窗口，在屬性列表中的“objectVersion”欄中顯示為“69”，這說明當(dāng)前系統(tǒng)的活動目錄的Schema的版本信息。

對Windows Server 2016安裝鏡像進(jìn)行解壓，在CMD窗口中切換到解壓路徑 中 的“supportadprep”目錄，執(zhí)行“adprep.exe /forestprep” 命 令， 對Schema分區(qū)進(jìn)行擴(kuò)展。

點擊“c”鍵確認(rèn)后，就可以在Schema分區(qū)中添加大量的新的屬性信息。

執(zhí) 行“adprep.exe /domainprep”命令，來更新全域性信息。

當(dāng)擴(kuò)展完成后，再次查看上述版本信息，可以看到其版本好變成了“87”。當(dāng)采用自動或者手工方式完成擴(kuò)展后，利用活動目錄的同步復(fù)制機(jī)制，就可以將更改信息同步到所有分支機(jī)構(gòu)的DC中。

當(dāng)然這需要等待一定的時間，才可以執(zhí)行同步操作。因為默認(rèn)情況下，站點之間的復(fù)制的間隔為180分鐘。

為了加快速度，可以在Active Directory站點和服務(wù)窗口中選擇“Sites”→“Branch”→“Serv ers” →“總 部 的 DC名稱” →“NTDS Setting”項， 在 右 側(cè) 的“RODC Connection”項的右鍵菜單上點擊“立即復(fù)制”項，讓上述復(fù)制操作立即執(zhí)行。

為了保證操作順利進(jìn)行，可 以 執(zhí) 行“services.msc”程序，在服務(wù)管理器中重啟名 為“Active Directory Domain Services”的服務(wù)。

完成了信息的擴(kuò)展后，才可以執(zhí)行所需的升級操作。在該Windows Server 2016主機(jī)上打開Active Directoru用戶的計算機(jī)窗口，在左側(cè)選擇“Domain Controllers”項，可以查看該機(jī)已經(jīng)升級為域控。

之后需要對客戶端進(jìn)行設(shè)置，讓其相關(guān)的LDAP查詢，Kerberos驗證等請求由DC2進(jìn)行承擔(dān)，方法很簡單，在客戶機(jī)上登錄到域環(huán)境，將其DNS服務(wù)器的地址指向DC2即可。

當(dāng)然，在實際的網(wǎng)絡(luò)環(huán)境中，會存在大量的客戶端，手工設(shè)定DNS服務(wù)器顯得很繁瑣。

可以在DHCP服務(wù)器上進(jìn)行統(tǒng)一配置，這樣當(dāng)客戶機(jī)自動獲取IP時，可以自動設(shè)定新的DNS服務(wù)器。

在服務(wù)器管理器窗口中點擊菜單“工具”→“DHCP”項，在DHCP控制臺左側(cè)選擇“域名”→“IPv4”→“作用域”項，在右側(cè)雙擊“作用域選項”項，在空白處右鍵菜單上點擊“配置選項”項，在彈出窗口的列表中選擇“006 DNS服務(wù)器”項。

在“IP地址”中添加DNS服務(wù)器地址，讓客戶端主機(jī)可以定位DC控制器。

因為DC1已經(jīng)不再承當(dāng)具體的工作，所以在該機(jī)上的服務(wù)器管理器中點擊“添加角色和功能”項，在向?qū)Ы缑嬷悬c擊“啟動刪除角色和功能向?qū)А表棧∠癆ctive Directory域服務(wù)”項的選擇，來刪除該角色。

在系統(tǒng)彈出的提示信息中點擊“將此域控制器降級”鏈接，在打開窗口中選擇“繼續(xù)刪除”項，輸入新的本地管理員密碼，點擊“降級”按鈕，使其變成一臺成員服務(wù)器。對于其他的域控，可以按照同樣的方法進(jìn)行卸載。

完成以上操作后，在企業(yè)環(huán)境中就只存在Windows Server 2016的域控，因此需要對活動目錄的域級別以及森林級別進(jìn)行調(diào)整。

在Active Directory用戶和計算機(jī)窗口左側(cè)選擇域名，在其右鍵菜單上點擊“提升域功能級別”項，在打開窗口中點擊“提升”按鈕，將域的功能級別提升到Windows Server 2016。

在CMD窗口中執(zhí)行“regsvr32 schmmgmt.dll”命令，來注冊對應(yīng)的組件。在Active Directory域和信任關(guān)系窗口左側(cè)選擇“Active Directory 域和信任關(guān)系”項，在其右鍵菜單上點擊“提升林功能級別”項，點擊“提升”按鈕，將林功能級別提升為Windows Server 2016。