【doc】 快速安全地升级NT4域

【doc】 快速安全地升级NT4域 快速安全地升级NT4域 升级改造责任编辑:孙浩峰联系电话:O)O一88559465投稿信 箱:pra,ctice@netadminc0mcn 快速安全地升级NT4域 天津/张波 为了充分的利用Windows2003 AD域的种种优越性.公司决定将现有 的NT4域升级为Windows2003域.经 过讨论,基本需求如下: l,现有域模型为单域模型,域名为 coact(NetBIOS域名),无任何域信任 关系.升级后的域名为coact.com(DNS 域名)和coact(NetBIOS域名). 2,现有PDC(服务器名为 CoactSrv1)一台,BDC(服务器名为 CoactSrv2)一台.PDC由于硬件老化, 所以希望购置新的服务器替代该服务 器,并将新服务器升级为WindOwS 2003Server.由于BDC上还有第三方 财务软件,所以暂时不考虑升级.最终 域模式为”Windows2003过渡模式”. 3,由于新购置的服务器的硬件支 持问题,上面无法安装NT4操作系统, 所以打算在这台服务器上全新安装 Windows2003EnterpriseServer. 4,域中共有客户机200台左右,系 统版本为Windows2000professional 和少量WindowsXP. 5,域中无任何组策略和登录脚本. 6,在CoactSrvl上有1000个左右 的共享文件夹,总数据量在30G以上.主 要存储着各部门的共享资料文件.绝大 部分共享文件夹都有其独立的NTFS权 限.这些共享文件夹及其相关权限也需 要迁移到新采购的服务器上. 7,升级在假日里完成,所以系统允 许短时间停机. 在明确系统升级需求之后,我们开 始着手定制一套既快速又安全的升级方 式.微软官方提供了两种NT4域升级方 式,即就地升级和域的重建.执行 WindowsNT4.0域的就地升级是指 通过在WindowsNT4.0域控制器上 安装WindowsServer2003来创建 ActiveDirectory域.域的重建(也就 是常说的域迁移)是指将WindowsNT 4.0源域中的安全主体克隆到新建或经 过升级的WindowsServer2003Active Directory域中.这两种方式各有其优缺 点和不同的应用范围.其中: 就地升级 在以下环境中进行域的升级是比较 适当的: ?现有的域符合新森林的要求: 现有的域结构同待建ActiveDirectory 域的结构一致. ?现有域的结构仍然适宜:现有 的域结构仍然符合业务和技术上的要求. ?需要实现最快捷的迁移:如果 机构要求迁移到ActiveDirectory的 工作在尽可能短的时间内完成,则可以 使用升级方式. ?NetB10s名称必须保留: WindowsNT4.0域的NetBIOS域名 必须保留一致.如果机构不希望修改该 域名,惟一可行的选项便是升级. 对WindowsNT4.0域执行就地 升级的优点包括: ?有效:由于保留了安全主体和 系统设置,因此该选项最为有效和风险 最小. ?快捷:可以快速享受到 WindowsServer2003和Active Directory的优点.. ?权限得以保留:对网络资源(如 应用数据和文件)的权限得以保留. 执行就地升级的不足之处在于: ?最新的域结构不适宜:如果域 的配置(包括NetBIOS名称)不再与 机构有关,在就地升级期间将无法更改 这些配置. ?造成用户不便:用户在升级 PDC期间无法更改其域密码.如果他们 的密码将在PDC升级过程中失效,用 户在此期间将无法登录该域. 域的重建 在以下情况中考虑进行域的重建可 能比较适宜: ?当前的域结构不符合迁移目标. ?迁移的时间框架足够长,可以 执行因为重建而导致的额外任务. ?有足够的人力资源执行迁移. ?在重建过程中,转换业务数据 和共享资源的访问权限存在较高的复杂 性和风险,对此您已经做好了准备. 与升级相比,域重建的优点是: ?对最终的域结构具有更大的控 制能力 ?可保持迁移期间的访问能力. 同升级相比,域重建的不足之处在 于: ?时间框架较长:要克隆和迁移 所有的账户和资源可能需要更多的时间. ?需要额外测试:所有驻留在源 域中的服务器应用都需要进行测试,以 验证它们在发生域变化后的效力. ?迁移期间存在额外工作量:将 服务器应用迁移到新的ActiveDirectory 域时,需要对域进行维护. 结合我们的企业需求和对这两种升 级方法的比较,我们决定以快速且安全 性高的”就地升级”为基础来进行NT4 域的升级.具体升级步骤如下: 网管员世界2005年12月刊55 opcomcN 步骤1:在NT4域中加入一台新的BDCB~ 务器.这台服务器将充当灾难恢复备份 域控服务器的角色. 主要步骤包括: 1.在一台新的PC(Tempsrv)上 安装WindowsNT4. 2.将Tempsrv加入到coact域中. 3.将Tempsrv升级为coact域的 BDC服务器. 4.使用VeritasBackupExec将 CoactSrvl的共享文件备份并还原到 Tempsrv上和其他备份软件一样, VeritasBackupExec保留备份文件的 NTFS权限,这样可避免在升级时 CoactSrvl的共享文件权限丢失. 5.将Tempsrv物理脱离网络以作 为一台灾难恢复备份域控服务器,以为 升级失败后的灾难恢复做准备.这样当 升级发生问题时,只要把将Tempsrv升 级为PDC并接入网络即可恢复系统初 始状态. 步骤2:通过update方式将NT4域升级为 Windows2003. 主要步骤包括: 1.在Coact~c(CoactSrv1)上 通过升级的方式安装wd0ws2003Server. 2.在CoactSrvl上安装DNS服务. 3.在CoactSrvl上运行dcpromo将 域升级为Windows2003AD域.DNS 域名为coact.com,NetBIOS域名保持 不变.选择本地DNS为DNS服务器. 4.由于在网络中有一台Windows NT4成员服务practice@netadmin~comcn升级改造 1.在新采购的服务器DC1上安装 Windows2003EnterpriseServer. 2.DCl加入到Windows2003域 coact.com中. 3.在DCl上安装DNS服务. 4.DCl上运行dcpromo将其升级 为该域的DC. 步骤4:将全局编录和各个操作主机从 CoactSrvl迁移到DC1上. 由于CoactSrvl未来将不再作为域 的DC,所以要将全局编录和各个操作 主机从CoactSrvI迁移到DCl上. 迁移全局编录可按如下步骤完成: 1.在DCl上,启动”ACtive Directory站点和服务”管理单元. 2.在控制台树中,双击”站点”,然 后双击站点名称. 3.双击”服务器”,单击DC1,右键 单击”NTDS设置”,然后单击”属性”. 4.在”常规”选项卡上,单击”全 局编录”复选框,将其选中,以将全局 编录角色分配给该服务器. 操作主机也称为”灵活单主机操 作”(FSMO).在目录林中,有至少五个 分配给一个或多个域控制器的FSMO 角色.这五个FSMO角色是: 1.架构主机:架构主机域控制器控 制对架构的所有更新和修改.若要更新目 录林的架构,您必须有权访问架构主机. 在整个目录林中只能有一个架构主机. 2.域命名主机:域命名主机域控 制器控制目录林中域的添加或删除.在 整个目录林中只能有一个域命名主机. 3.结构主机:结构主机负责将参 考从其域中的对象更新到其他域中的对 象.任何时刻,在每一域中只能有一个 域控制器充当结构主机. 4.相对ID(RID)主机:RID主 机负责处理来自特定域中所有域控制器 的RID池请求.任何时刻,在域中只 能有一个域控制器充当RID主机. 5.PDC模拟器:PDC模拟器是 一 种域控制器,它将自身作为主域控制 器(PDC)向运行Windows的早期版 本的工作站,成员服务器和域控制器公 布.任何时刻,在目录林的每个域中只能 有一个域控制器充当PDC模拟器主机. 我们可以使用以下”ACtive Directory架构”管理单元,”Active Directory域和信任关系”管理单元, “ActiveDirectory用户和计算机”管理 单元三个MMC管理单元工具来完成迁 移工作.其中”ActiveDirectory架构” 管理单元需要注册Schmmgmt.rill才能 在MMC中添加.关于详细的迁移步骤; 请参照微软知识库文档”如何查看和转 移WindowsServer2003中的FSM0 角色”. 当完成全局编录和各个操作主机的 迁移工作步骤后,重新启动DC1即可完 成迁移工作了. 步骤5:将共享文件从CoactSrvl迁移到 DC1上. 仍旧使用VeritasBackupExec将 CoactSrvl的共享文件备份还原到DCl 上,并验证NTFS权限是否正确保留.同 时将所有顶级文件夹的共享权限设为: Everyonefullcontrol.这样用户就可 以正常的访问这些共享文件了. 步骤6:后续工作 1.将CoactSrvl从DC降级为成员 服务器,然后脱离网络. 2.在”ActiveDirectory域和信 任关系”管理单元中查看森林和域的功 能模式.由于域中仍有NT4的DC,但是 没有Windows2000DC所以应该选择 “Windows2003过渡模式”.这种模式为 Windows2003独有模式.在这种模式可 以使用”LVR链接值复制”,”改进的 IsTG”等优秀的管理功能.当CoactSrv2 也升级到Windows2003时就可以将其升 级为”Windows2003模式”. 3.最后的工作就是验证DNS,域用户 权限,共享资源访问等是否工作正常.噬I