Active Directory服務(wù)器是企業(yè)網(wǎng)絡(luò)中的基礎(chǔ)，網(wǎng)絡(luò)中的身份驗(yàn)證、文件和打印共享、Exchange Server、SharePoint、OCS等產(chǎn)品也都需要Active Directory。如果企業(yè)信息化比較早，單位的網(wǎng)絡(luò)可能是從Windows Server 2003甚至是Windows 2000 Server一路升級(jí)過(guò)來(lái)的。Windows的產(chǎn)品升級(jí)做得相當(dāng)不錯(cuò)，可以將低版本產(chǎn)品升級(jí)到當(dāng)前最新的版本，例如現(xiàn)在一些單位的服務(wù)器都已經(jīng)是Windows Server 2012 R2 With Update的版本，工作站是Windows 8.1，也有的管理員安裝了Windows 10的預(yù)覽版進(jìn)行測(cè)試。

應(yīng)用需求

但隨著從低版本升級(jí)到高版本的過(guò)程中，尤其是在原來(lái)的服務(wù)器、通過(guò)“升級(jí)安裝”的方式進(jìn)行升級(jí)的Windows Server，可能會(huì)有一些問(wèn)題。例如，目前我們單位的網(wǎng)絡(luò)中主要有三臺(tái)服務(wù)器：

A ：Active Directory服務(wù)器，升級(jí)到Windows Server 2012 R2，同時(shí)是 DHCP、證書(shū)服務(wù)器、Windows部署服務(wù)器。

B：WSUS服務(wù)器，同時(shí)是第二臺(tái)DHCP服務(wù)器。

C：Hyper-V Server，在這臺(tái)服務(wù)器中運(yùn)行著幾個(gè)虛擬機(jī)，放置網(wǎng)站。

這 三 臺(tái)（A、B、C）服 務(wù)器已經(jīng)使用多年，以前都是從Windows Server 2008升級(jí)到Windows Server 2008 R2，再升級(jí)到Windows Server 2012，再 升 級(jí) 到Windows Server 2012 R2。在Windows Server 2008 的時(shí)候，A、B、C還配置了“分布式文件系統(tǒng)”，做文件服務(wù)器。但自從頻繁升級(jí)，也可能有其他原因?qū)е拢F(xiàn)在作為Active Directory服務(wù)器的A出現(xiàn)一些問(wèn)題，表現(xiàn)在：

1.分布式文件系統(tǒng)仍然可以使用，但使用“DFS復(fù)制組”的文件夾已經(jīng)不能同步，這個(gè)問(wèn)題在升級(jí)到Windows Server 2008 R2的時(shí)候就開(kāi)始出現(xiàn)了。直到升級(jí)到Windows Server 2012 R2 With Update仍然沒(méi)有解決。

2.A服務(wù)器過(guò)一段時(shí)間就不能訪問(wèn)Internet，重新啟動(dòng)又能解決，而過(guò)一段時(shí)間就再次不能訪問(wèn)外網(wǎng)，但訪問(wèn)局域網(wǎng)沒(méi)有問(wèn)題。

目前B、C還沒(méi)有發(fā)現(xiàn)問(wèn)題，可以使用。因?yàn)楣P者有大量的資料放在服務(wù)器中，主要是Microsoft及VMware的一些軟件，以及其他的一些第三方軟件或其他的一些資料，一直想使用DFS在三個(gè)服務(wù)器之間同步（現(xiàn)在每臺(tái)服務(wù)器都加裝了一個(gè)2TB的硬盤(pán)專門(mén)做數(shù)據(jù)盤(pán)，用于文件存儲(chǔ)）。

經(jīng)過(guò)筆者分析，問(wèn)題可能出在A服務(wù)器的操作系統(tǒng)上，因?yàn)锳服務(wù)器的Active Directory服 務(wù)、Windows部 署 服 務(wù)、DHCP及證書(shū)服務(wù)都沒(méi)有問(wèn)題，工作站加入與退出域也沒(méi)有問(wèn)題，Active Directory賬戶、身份驗(yàn)證也一直正常，問(wèn)題可能出在A服務(wù)器的操作系統(tǒng)中，服務(wù)器在多次升級(jí)的過(guò)程中，有些遺留問(wèn)題。而要徹底解決這個(gè)問(wèn)題，只能通過(guò)重新安裝操作系統(tǒng)來(lái)解決。

解決方案

由 于Active Directory、證書(shū)、DHCP等這些服務(wù)的應(yīng)用（尤其最重要的是Active Directory賬戶信息），又不能通過(guò)簡(jiǎn)單的“重裝”解決，所以就想通過(guò)“備份→遷移→恢復(fù)”的方式，解決A服務(wù)器的操作系統(tǒng)問(wèn)題。在解決問(wèn)題的過(guò)程中，整個(gè)網(wǎng)絡(luò)的服務(wù)又不能“中斷”、也不能影響各工作站業(yè)務(wù)系統(tǒng)的運(yùn)行（例如工作站登錄、身份驗(yàn)證、DNS解析），所以引入“中轉(zhuǎn)”服務(wù)器，在遷移、安裝的過(guò)程中，讓“中轉(zhuǎn)”服務(wù)器保存Active Directory賬戶信息、代替原來(lái)的服務(wù)器進(jìn)行DNS解析及Active Directory賬戶身份驗(yàn)證，等原來(lái)的服務(wù)器重新安裝完畢，再恢復(fù)Active Directory、DHCP及證書(shū)等服務(wù)（及數(shù)據(jù)）。

經(jīng)過(guò)實(shí)際操作驗(yàn)證，問(wèn)題得以解決。下面我們通過(guò)圖1所示的實(shí)驗(yàn)拓?fù)洌M我們的網(wǎng)絡(luò)，告訴大家解決方法及操作步驟。

操作步驟

在圖1中，分別有A、B、C、D四臺(tái)服務(wù)器，其中A是Active Directory服務(wù)器，在A上安裝了Windows Server 2012 R2，升級(jí)到Active Directory，安裝了DHCP及企業(yè)證書(shū)服務(wù)器。模擬筆者網(wǎng)絡(luò)中的Active Directory服 務(wù) 器。B是Windows Server 2012 R2，加入到 Active Directory，模擬 Active Directory中的一臺(tái)成員服務(wù)器；C是Windows 7，也加入到Active Directory，模擬工作站。其中D是引入的“中轉(zhuǎn)服務(wù)器”，用于本次遷移升級(jí)的“中轉(zhuǎn)”。主要的步驟與流程如下：

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)

1.備份A服務(wù)器的DHCP與證書(shū)CA及數(shù)據(jù)庫(kù)，用于以后操作系統(tǒng)重裝后的恢復(fù)。而Windows部署服務(wù)，在重新安裝后重新配置即可。

2.在D中安裝Windows Server 2012 R2，命名計(jì)算機(jī)名稱為dcbackup，設(shè)置IP地址為172.16.20.110，DNS為A 的 IP地址172.16.20.1。并將D升級(jí)到Active Directory，作為現(xiàn)有林的額外域控制器。

3.將D升級(jí)到主域，即作為RID、PDC、基礎(chǔ)架構(gòu)主機(jī)、以及作為“全局編錄”服務(wù)器。

4.在A上卸載企業(yè)證書(shū)服務(wù)器。

5.在A上 將Active Directory服務(wù)器降級(jí)，將A降級(jí)為“成員服務(wù)器”。此時(shí)，為了保證客戶端登錄，可以將A的IP地址由172.16.20.1改為網(wǎng)絡(luò)中一個(gè)不使用的地址，例如172.16.20.109；在D中添加172.16.20.1的IP地址，這樣可以保證“成員服務(wù)器”及“工作站”不進(jìn)行任何修改的前提下，保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)不受影響。

6.將A從域中脫離，然后重新安裝Windows Server 2012 R2。

7.將A升級(jí)為主域、將D降級(jí)。從D上刪除172.16.20.1的IP地 址，在A中 添 加172.16.20.1的IP地址。最后在A上刪除172.16.20.109的“臨時(shí)IP地址”。

8.在A上安裝DHCP及企業(yè)證書(shū)服務(wù)，恢復(fù)DHCP及證書(shū)備份。

操作說(shuō)明

1.在整個(gè)遷移的過(guò)程中，需要增加兩個(gè)臨時(shí)的地址，這些地址在升級(jí)的過(guò)程中用于“中轉(zhuǎn)”，并且根據(jù)角色的不同，會(huì)設(shè)置在不同的服務(wù)器上。例如，用于中轉(zhuǎn)的D服務(wù)器的IP地 址 是 172.16.20.110，當(dāng)D服務(wù)器升級(jí)到主域控制器的時(shí)候，會(huì)在A服務(wù)器上添加172.16.20.109的IP地 址，刪除172.16.20.1的IP地址，而將172.16.20.1添加在D服務(wù)器上，此時(shí)D服務(wù)器有兩個(gè)IP地址。這樣原來(lái)的客戶端或其他服務(wù)器的域名解析、身份驗(yàn)證不會(huì)中斷；當(dāng)A服務(wù)器通過(guò)重新安裝、再次升級(jí)到域控制器、升級(jí)到主域時(shí)，則在D服務(wù)器上刪除172.16.20.1的IP地址，再在A上添加172.16.20.1的IP地址。同樣也是避免網(wǎng)絡(luò)的中斷。等所有的遷移完成后，會(huì)釋放D服務(wù)器、172.16.20.109及172.16.20.110的IP地址。

2.因?yàn)榫W(wǎng)絡(luò)中一般不止有一臺(tái)DHCP服務(wù)器，所以在下面的過(guò)程中，刪除其中一臺(tái)服務(wù)器的DHCP，不會(huì)影響整個(gè)網(wǎng)絡(luò)。

3.在我們這個(gè)案例中，只有一臺(tái)Active Directory服務(wù)器，在大多數(shù)的生產(chǎn)環(huán)境中，我們推薦至少要有兩臺(tái)Active Directory服務(wù)器。