为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

天天活动目录服务器基础架构升级项目实施文档

2017-11-07 50页 doc 2MB 24阅读

用户头像

is_477730

暂无简介

举报
天天活动目录服务器基础架构升级项目实施文档天天活动目录服务器基础架构升级项目实施文档 天天餐饮管理有限公司活动目录升级实施 天天活动目录服务器基础架构升级 项目成员: 指导老师: 1 天天餐饮管理有限公司活动目录升级实施 目录 1 实施环境拓扑与说明 ................................................................................................. 3 1.1 实施拓扑.............................................
天天活动目录服务器基础架构升级项目实施文档
天天活动目录服务器基础架构升级项目实施文档 天天餐饮管理有限公司活动目录升级实施 天天活动目录服务器基础架构升级 项目成员: 指导老师: 1 天天餐饮管理有限公司活动目录升级实施 目录 1 实施环境拓扑与说明 ................................................................................................. 3 1.1 实施拓扑..................................................................................................... 3 1.2 拓扑说明..................................................................................................... 3 2 企业环境IT系统任务描述 ........................................................................................ 4 2.1 域环境描述 ................................................................................................. 4 2.2 活动目录升级描述....................................................................................... 4 3 AD升级准备—备份.................................................................................................... 6 4 活动目录升级的实现 ............................................................................................... 16 4.1 升级要求................................................................................................... 16 4.2 升级Windows Server 20003活动目录的林和域架构 .................................. 17 4.3 提升域功能级别 ........................................................................................ 17 4.3.1 提升林功能级别 ................................................................................. 18 4.3.2 林准备 ............................................................................................... 20 4.3.3 域准备 ............................................................................................... 21 DC2008升级准备—配置安装...................................................................... 23 4.4 4.4.1 将计算机dc2008加入到tiantian.local域中.................................... 23 4.4.2 在dc2008上搭建AD服务 ................................................................... 25 4.4.3 将windows server 2003上的操作主机转移到windows server 2008 ..... 38 4.4.4 将原来的DC(guangzhou)降为域成员(在guangzhou上操作)............. 49 4.4.5 提升Windows 2008 AD 林和域的功能级别.......................................... 53 5 站点规划与实现 ...................................................................................................... 57 5.1 站点分析................................................................................................... 57 5.2 搭建.......................................................................................................... 57 6 升级后备份 ............................................................................................................. 63 6.1 组策略设置介绍 ........................................................................................ 64 6.2 安装 Windows Server Backup ................................................................... 65 6.3 备份.......................................................................................................... 67 7 测验——恢复.......................................................................................................... 78 2 1 实施环境拓扑与说明 1.1 实施拓扑 1.2 拓扑说明 根据需要利用四台计算机,域名:tiantian.local ,其中RAS充当路由器~guangzhou为广州总公司的一台主域控制器,dc2008是准备升级替代原来的域控制器guangzhou,dongguan是在东莞分公司的一台站点域控制器 PC 角色 功能 IP Guangzhou AD、DNS、DHCP 原广州主域控制器 10.10.0.10 Dc2008 AD、DNS、DCHP 替代原来的主域控10.10.0.20 制器 Dongguan AD DNS 东莞站点控制器 192.168.1.254 RAS 路由 充当路由器连接广10.10.0.1 3 州和东莞的DC机 192.168.1.1 2 企业环境IT系统任务描述 2.1 域环境描述 总部部署有活动目录域tiantian.local,是单域多站点结构。一共有4台DC,分别分布在广州3台,东莞1台,广州地区的DC也分布在不同的地方,不同地区的DC通过隧道或点对点的方式来连接。3台DC为物理服务器,1台DC为虚拟机,其中东莞的DC为物理服务器,其它的都在广州。 主域控DC为一台物理服务器,Windows Server 2003 R2 X64的操作系统,固定的IP地址,该根域DC除了目录服务外,并承载所有操作主机角色和GC,还承载有DNS、DHCP服务器角色。 主域控DC的硬件配置信息:DELL 1950 、1U、 8G内存、C盘:已用9G/40G、D盘:已用50G/120G。域中,一共有域用户数为1500+,这些域用户主要代表为每个分店以及分店中的部门,作用于邮箱以及OA系统。当前IT环境中,已存在有WSUS服务器,邮件系统为Domino,OA系统,ERP系统。其中WSUS、邮件系统和OA系统使用微软活动目录服务。 2.2 活动目录升级描述 活动目录升级规划目标:在保证性能的前提下,提高整个网络资源的可管理性,增强网络的整体安全性。 活动目录域拓扑结构: 4 域控制器域控制器DNS服务器DNS服务器 总部站点 域控制器域控制器DNS服务器DNS服务器域控制器域控制器DNS服务器DNS服务器 只读域控制器其他站点DNS服务器其他站点 其他站点 主要流程如下: 1. 备份主站点的现有的域控制器 2. 在主站点将新的安装了Windows Server 2008 R2的服务器添加为辅助域控制器。 3. 将主站点的活动目录中的FSMO 5个主机角色传输到新的域控制器上。 4. 在新安装的域控制器上安装DHCP服务器,并迁移DHCP到新的域控制上,并且测试通过 5. 降级Windows Server 2003的域控制器。 6. 再在主站点部署一台Windows Server 2008 R2 的虚拟机服务器,并添加为辅助域控制器。 7. 分别在各个分站点部署windows 2008 R2 额外域控制器 8. 分别在各个分站点降级旧的windows 2003 域控制器。 5 3 AD升级准备—备份 1. 在广州总部主域控制器——guangzhou的服务器上进行升级前备份总体步骤: (1) 以域管理员登录guangzhou服务器上 用户administrator 密码: P@ssw0rd 我们将要用到Windows 2003自带的备份工具Ntbackup。 (2) 点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序 -附件-备份”, (3) 点击高级模式 6 ,下一步; (4) 选择备份向导(高级) (5) 在这里请注意,直接点“取消”,这样可以进入备份工具控制器,以便 有更多的可以自定义的项目: 7 (6) 在这里,需要值得提醒是,如果你只是想备份活动目录的话,那么你只 需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘 的备份!以防止丢失一些其它的数据。 8 (7) 在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且 支持网络备份的,在这里建议如果有条件最好备份到独立的硬盘或者备份到 远程网络上。选择好备份文件的存放路径后(E盘是我的一个独立硬盘),勾 上左边的“本地C盘”和System State就可以点击“开始备份”了,将出 现如下图: (8) 在上面的选项中,点击“”,系统会提示你“保存当前备份设置”, 保存完成后,会出现下面的画面: 9 (9) 选择好保存路径和文件名后: (10) 点击上述画面中的“属性”: 10 (11) 在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份, 就不用一次次的手动备份了,当然这次我们是要准备升级做的备份就可以不 用设置计划备份,只要一次性备份就可以,同时最好把备份开始的时间设置 比现在晚一分钟,不然将无法进行备份。确定后到下面如图 11 (12) 在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点 “确定” 运行方式:tiantian\adminimstrator 密码:P@ssw0rd 12 (13) 输入作业名beifei确定,回到了刚刚的画面 (14) 这次点击“高级”: 13 在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个可以根据需要进行选择,主要简单介绍一下五个备份类型: 正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记 副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记 增量:只备份选择的且有标记的文件夹和文件,但是会清除标记; 差异:只备份选择的且有标记的文件夹和文件,且不清除标记; 每日:以天为单位,每天发生变化的文件都会被备份; 这五种备份类型具体如何应用,如何配合使用,请根据需要结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了: (15) 等到刚才备份时间后,系统就会自动备份,如图 14 (16) 备份完成后,我们可以在备份目录下找到这个备份文件,其大小 为:1.11G。 15 (17) 其实我们这个这个备份包括了三样东西:BOOT信息、活动目录信息、及 System32文件夹下的所有文件,当然还有系统盘的其他的文件~~ (18) 为了安全起见,我们在备份好广州的主域控制器后最好同时备份其他站 点的域控制器,具体步骤跟主域控制器备份一样。 4 活动目录升级的实现 4.1 升级要求 必须是SP1及以上版本的Windows Server 2003才能升级到Server Server 2008;只允许相同版本之间,或者低版本向高版本升级,比如说windows 2003版,升级到windows 2008标准版;不支持跨语言版本升级 16 4.2 升级Windows Server 20003活动目录的林和域架构 4.3 提升域功能级别 (1) 以管理员登陆guangzhou,用户名:administrator 密码:P@ssw0rd (2) 单击开始—程序—管理工具—AD用户和计算机,右击 “tiantian.local”,选择“提升域功能级别” (3) 功能级别选择“windows server 2003”,单击提升 17 4.3.1 提升林功能级别 (1) 单击开始—程序—管理工具—AD域和信任关系,右击“AD域和信任关系”, 选择“提升林功能级别 (2) 选择“windows server 2003”,单击“提升” 18 (3) 点击确定 (4) 提升成功 19 4.3.2 林准备 (1) 把Windows Server 2008安装光盘放入guangzhou光驱。在这里我的光 盘盘符是D盘 (2) 打开“开始菜单”“运行”输入cmd 命令,点击“确定” (3) 将命令提示符转到D盘的sources/adprep目录,升级2003 AD 林架 构; 输入 adprep.exe /forestprep,并回车确认 (4) 命令成功后 20 4.3.3 域准备 (1) 在林准备完成后紧接着输入adprep /domainprep,进行域准备 21 (2) 更新组策略对象权限; adprep /domainprep /gpprep (3) 更新AD对RODC只读域控器的支持; adprep /rodcprep 22 (4) 为了验证把windows server 2003的AD迁移到2008中,这时公司之前 的部分用户如下图 4.4 DC2008升级准备—配置安装 4.4.1 将计算机dc2008加入到tiantian.local域中 (1) 将装有windows server 2008的计算机dc2008加入到windows server 2008域中,在dc2008上操作 (2) 打开网络设置,把DNS指向DNS服务器,在此我们指向guangzhou 23 (3) 更改系统属性,把计算机加入到域中,如下图 24 (4) 客户端加入域需要权限,因此加入域时需要输入域管理员账户和密码, 用户:administrator,密码P@ssw0rd (5) 成功加入域后重启计算机 4.4.2 在dc2008上搭建AD服务 (1) 单击服务器管理器—角色—添加角色,点击下一步 25 (2) 勾选“AD域服务”,弹出添加必需角色向导,点击添加必须的功能,下一步 (3) 下一步 26 (4) 安装 (5) 完成向导 27 关闭该向导并启动AD域服务安装向导(dcpromo.exe)” (6) 点击” (7) 勾选使用高级模式安装,下一步 28 (8) 选择“向现有域添加域控制器”,单击下一步 29 (9) 输入域名tiantian.local,单击“设置”,然后输入域管理员账号和密码 域管理员:administrator 密码:P@ssw0rd,下一步 30 (10) 点击下一步 31 (11) 此时弹出对话框,点击是 (12) 下一步 (13) 勾选DNS服务器和全局编录,单击下一步 32 (14) 点击是,下一步 (15) 在这里我们是选择通过网络复制数据,如果是远程的话我们最好就要准 备安装介质,选择介质复制数据,下一步 33 (16) 源域控制器对话框中选择第一个,下一步 34 (17) 输入AD数据库文件夹存储路径,在此我们可以选择默认,单击下一步 (18) 输入目录还原模式密码P@ssw0rd,下一步 35 (19) 下一步 36 (20) 系统开始配置AD域服务,我们勾选上“完成后重新启动” AD域服务安 装完成后会自动重启计算机 37 4.4.3 将windows server 2003上的操作主机转移到windows server 2008 (1) 此时操作主机的五个角色还在 windows server 2003(guangzhou)上, 因此我们需要把它转移到windows server 2008(dc2008)上 (2) 打开登录计算机dc2008,用户:administrator 密码:P@ssw0rd (3) 更改dc2008计算机的DNS地址,重新指向自己的IP地址; (4) 打开AD用户和计算机---右击“tiantian.local”---单击“操作主机” 38 (4) 此处会有三个操作主机角色(RID、PDC、基础架构),我们依次单击更改 依次确定,点击是 39 40 41 (5) 更改域命名主机:打开AD域和信任关系----右击“AD域和信任关系” ----单击“操作主机” 42 (5) 点击更改 (6) 在运行中输入regsvr32 schmmgmt.dll,单击确定 43 (7) 点击是,确认 (8) 更改架构主机:在运行中输入MMC,添加管理单元 (9) 单击文件---添加、删除管理单元 44 (10) 选择“AD架构”——单击“添加”——单击“确定 (11) 右击“AD架构”---选择“更改AD域控制器” 45 (12) 选择“dc2008.tiantian.local”,单击确定 点击确定 46 (13) 右击“AD架构”,选择“操作主机” (14) 单击“更改”,确认 47 (15) 至此5个FSMO角色传送完毕,現在dc2008就是我们域中的主域控制器 了 ,我们可以检测一下FSMO是否順利可以用這個这个命令检查一下如图证 明已经OK了。 netdom query fsmo (16) 到此时我们已经把原来的AD角色成功迁移过来,为了验证是否成功,我 们可以打开AD用户和计算机看一下原来的公司成员是不是已经迁移过来了 48 4.4.4 将原来的DC(guangzhou)降为域成员(在guangzhou上操作) (1) 打开登录guangzhou,用户:administrator@tiantian.local 密码: P@ssw0rd (2) 在运行中输入dcpromo /forceremoval,强制将DC降级为域成员 (3) 弹出对话框点击是 49 (4) 单击“下一步” (5) 输入降级后的本地Administrator管理员密码 密码:P@ssw0rd,下一步 50 (6) 下一步 (7) 卸载完成后单击“完成”,然后重启计算机 51 (8) 到dc008控器“服务器管理”“Active Directory站点和服务”删除 guangzhou的残留数据 (9) 打开登录dc2008计算机,管理工具——Ad站点与服务,删除guangzhou 数据,如图 52 (10) 删除guangzhou计算机,修改dc2008计算机IP地址与原来的guangzhou 计算机IP地址相同,这样就可以不用重新修改各户机的DNS地址 4.4.5 提升Windows 2008 AD 林和域的功能级别 由于要提升到2008 AD活动目录需要所有域控制器都是Windows server 2008系统,因此我们也要将原来的其他的2003域控制器降级,用新的2008域控制器代替,具体步骤跟guangzhou计算机降级一样,然后重新安装2008 AD 53 域额外控制器 (1) 打开登录dc2008计算机,管理工具——AD用户和计算机 ,右键打开 tiantian.local,提升域功能级别 点击提升,确定 54 (2) 提升Windows 2008的林功能級別,打开AD域和信任关系控制台,右键 提升林功能级别 55 点击提升确认 56 5 站点规划与实现 5.1 站点分析 对于该公式企业的现状,在逻辑结构上采用单域模式, 如果不采用站点,广州和东莞的域用户在客户端登录到域的过程会比较慢(不管你在东莞和广州是否放置了DC,都一样),原因是客户端会通过DNS查询本域内 的DC,而查到的DC也可能就是广州的(如果是多DC会动态定位),这样就通过WAN连到广州的DC上进行身份验证。此外如果你在每个地区都有DC的 话,DC之间的复制也是不可控的,会产生很大流量。兼于此,我们必须划分站点。 划分站点的好处: 1.优化客户端的登录。当域用户在上海或广东的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。 2.优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出,我会在后面的专中详细讨论。 5.2 搭建 事先规划好各个子网,广州子网10.10.0.0/24,东莞子网192.168.1.0/24; (1) 打开登录dc2008计算机,用户:administrator 密码 :P@ssw0rd (2) 打开“AD站点和服务”管理工具(或利用命令dssite.msc),如下图所示 展开:在default-first-site(默认站点) 57 利用如下四个操作完成配置过程: 1新建站点 新建两个站点shanghai和guangzhou(北京站点用那个默认的,过后改一下名字就可以了),注意在新建站点时必须选中一个叫“站点连接”的东西,先选择,后面再说其作用。如下图所示,在sites上右击选“新站点”,输入名字,并选择defaultipsitelink,单击确定。如下面两图: 58 建完东莞站点后,把default-first-site改名为guangzhou. 2.新建子网 新建对应的子网,注意选择相对应的站点。 具体操作需要在subnets上右击先“新建子网”,如下图所示: 59 60 61 3.移动DC 把相应的DC移动到相应的站点。 直接移动对应的服务器(DC),到相应的站点下的servers下就可以了。最后如 图所示: 62 说明:在上图的最右侧,大家看见了标注为<自动生成的>“连接对象”,这个东西就实现了DC之间的相互复制,它是由每个DC上叫KCC的进程自动产生的。 6 升级后备份 我们已经将环境升级上去,也规划建立好站点,接下来我们就是预防环境崩溃损坏;如果 Active Directory 出现故障,网络实际就崩溃了。因此,Active Directory 的备份和恢复计划是安全性、业务连续性和法规遵从性的基础 Windows Server 2008 为 Active Directory@带来了许多新功能,其中对备份和恢复计划具有重大影响的两个功能是:新的 Windows Server Backup 实用工具,以及获取和使用 Active Directory 的“卷影复制服务”快照的能力 63 6.1 组策略设置介绍 Windows Server Backup 提供了若干组策略设置,使您可以在一定程度上控制备份在您服务器上的工作方式。使用这些备份策略,人们通过未经授权的备份访问未授权数据的风险会降低。选项包括: 仅允许系统备份 如果设置了此选项,则 Windows Server Backup 只能备份关键的系统卷。它无法执行卷备份。 不允许本地附加的存储作为备份目标 如启用此设置,它不允许备份至本地附加的驱动器。只能备份至网络共享。 不允许网络作为备份目标 此设置不允许备份至任何网络共享。 不允许光学媒体作为备份目标 如设置了此选项,Windows Server Backup 无法备份至任何光学媒体,例如可的 DVD 驱动器。 不允许一次性运行备份 此设置不允许 Windows Server Backup 运行非计划的特定备份。仅通过 Windows Server Backup MMC 管理单元计划的备份可以运行。 尽管 Windows@Server 备份是 Windows Server 2008 唯一的现成备份解决,但它并不是替换 NTBACKUP 的另一种功能。最大的差异在于:Windows Server Backup 是磁盘到磁盘的备份解决方案;它不支持备份至磁带。您可以在直接附加的磁盘卷、网络共享,甚至是外部 USB 硬盘和可记录的多卷 DVD 上创建备份映像。但您不能备份至磁带。这里明确一点,您仍可以在 Windows Server 2008服务器上挂接磁带驱动器,并将 Windows Server Backup 生成的备份映像复制到磁带驱动器——但您必须使用其他方软件才能完成此操作。 NTBACKUP 是基于文件的备份和还原工具,而 Windows Server Backup 是以卷和块为基本对象。Windows Server Backup 将其备份源处理为卷集,每个卷均作为一个磁盘块集合。与通过文件系统备份文件相比,这样效率要提高很多。以块为基础处理备份还使 Windows Server Backup 能利用“卷影复制服务”快照来执行块级别增量备份,以及在目标卷上创建快照以简化多个备份的使用(并减少其所占用的空间)。 即使您正在执行的是完整备份,Windows Server Backup 也能在目标磁盘上提供很大的空间效率。例如,您可对同一卷执行多个完整备份。由于 Windows Server Backup 在存储备份映像的目标磁盘上使用“卷影复制服务”快照,因此,快照将仅存储已发生更改的块。这极大地减少了多个完整备份所占用的空间。这样即不必通过执行多个还原操作恢复增量备份。尽管快照仅存储每个备份的变化量,但“卷影复制服务”会确保每个备份的完整性。 不过,请注意,您只有在备份至本地硬盘时才能从目标上的“卷影复制 64 服务”快照中受益——Windows Server Backup 无法对存储在 DVD 或网络共享上的备份执行“卷影复制服务”操作。 Windows Server 备份以 Microsoft? 虚拟硬盘 (VHD) 格式存储备份映像,这会产生额外的益处。您可以实际获取备份映像,在 Microsoft Virtual Server 2005 下运行的虚拟机中将其安装成一个卷。您只需在虚拟机中安装 VHD 并浏览特定文件即可,不必通过测试还原磁带来查看哪个磁带上具有文件。(特别注意:您不能从备份映像中启动虚拟机。由于备份的硬件配置与虚拟机的配置不搭配,因此,无法将 Windows Server 备份用作物理到虚拟的迁移工具。) Windows Server Backup 的卷和块定向有一个缺点。因为此新工具将备份源视为一组卷和块,所以它不允许您仅备份选定文件。必须备份整个卷。此外,默认情况下,无法将备份映像存储在所备份的一个卷上(有一些方法可就此进行配置; 6.2 安装 Windows Server Backup 1) 打开登录dc2008计算机,用户:administrator 密码:P@ssw0rd 2) Windows Server Backup 是 Windows Server 2008 中的一项“功能”, 默认情况下并不安装。在使用 Windows Server Backup 执行备份之前, 必须使用“服务器管理器”,选择服务器管理—功能——添加功能,如 图所示: 65 3) 点击下一步,安装 66 6.3 备份 打开Server Backup工具,可以选择“备份计划”、“一次性备份”、“恢复“等选项,选择备份计划可以进行每天一次的备份计划、也可以进行每天多次不同时间点的备份, 同时备份之前我们最好要添加另外的单独磁盘,以存取备份文件,当然如果远程共享文件夹也可以存取到远程 (1) 打开server backup如图 67 (2) 首先我们先一次性完整备份,点击右边的一次性备份,按默认选择下一 步 (3) 由于我们第一次备份,选择备份整个服务器,下一步 68 (4) 选择本地驱动器备份,如果有远程的共享文件夹则选择“远程共享文件 夹”下一步 69 (5) 选择我们开始添加的磁盘,下一步 70 (6) 点击确定,开始备份 71 (7) 备份进度 72 73 (8) 计划性备份 (9) 进行下一步时,选择备份配置 74 (10) 根据需求,选择备份计划可以进行每天一次的备份计划、也可以进行每天 多次不同时间点的备份 75 (11) 进行下一步时,推荐备份到一个专用于存储备份的硬盘上,如果选择此 选项,该硬盘将被格式化,专门用于存储备份内容 76 77 7 测验——恢复 一次性自定义的备份成功后的恢复,重点关注AD数据库 (1) 备份完成后新增个用户 78 (2) 重新启动,重新启动时按下F8,选择“目录服务还原模式”。 79 (3) 选择“恢复”,在入门向导选择“此服务器”。 80 (4) 如果存在多个备份可以进行选择,选择根据时间选择你想要恢复的备份 项目 81 (5) 恢复的内容选择“仅还原系统状态” (6) 选择系统状态还原至原始位置,不勾选授权还原的选项。 (7) 一直按下一步进行恢复 82 (8) 勾选自动重新引导服务器以完成恢复过程 83 (9) 重新启动后,测试是否恢复 84
/
本文档为【天天活动目录服务器基础架构升级项目实施文档】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索