迁移服务器方案设计

2015-12-03 01:03
网络安全和信息化 2015年8期
关键词:域控制器身份验证IP地址

Active Directory服务器是企业网络中的基础,网络中的身份验证、文件和打印共享、Exchange Server、SharePoint、OCS等产品也都需要Active Directory。如果企业信息化比较早,单位的网络可能是从Windows Server 2003甚至是Windows 2000 Server一路升级过来的。Windows的产品升级做得相当不错,可以将低版本产品升级到当前最新的版本,例如现在一些单位的服务器都已经是Windows Server 2012 R2 With Update的版本,工作站是Windows 8.1,也有的管理员安装了Windows 10的预览版进行测试。

应用需求

但随着从低版本升级到高版本的过程中,尤其是在原来的服务器、通过“升级安装”的方式进行升级的Windows Server,可能会有一些问题。例如,目前我们单位的网络中主要有三台服务器:

A :Active Directory服务器,升级到Windows Server 2012 R2,同时是 DHCP、证书服务器、Windows部署服务器。

B:WSUS服务器,同时是第二台DHCP服务器。

C:Hyper-V Server,在这台服务器中运行着几个虚拟机,放置网站。

这 三 台(A、B、C)服 务器已经使用多年,以前都是从Windows Server 2008升级到Windows Server 2008 R2,再升级到Windows Server 2012,再 升 级 到Windows Server 2012 R2。在Windows Server 2008 的时候,A、B、C还配置了“分布式文件系统”,做文件服务器。但自从频繁升级,也可能有其他原因导致,现在作为Active Directory服务器的A出现一些问题,表现在:

1.分布式文件系统仍然可以使用,但使用“DFS复制组”的文件夹已经不能同步,这个问题在升级到Windows Server 2008 R2的时候就开始出现了。直到升级到Windows Server 2012 R2 With Update仍然没有解决。

2.A服务器过一段时间就不能访问Internet,重新启动又能解决,而过一段时间就再次不能访问外网,但访问局域网没有问题。

目前B、C还没有发现问题,可以使用。因为笔者有大量的资料放在服务器中,主要是Microsoft及VMware的一些软件,以及其他的一些第三方软件或其他的一些资料,一直想使用DFS在三个服务器之间同步(现在每台服务器都加装了一个2TB的硬盘专门做数据盘,用于文件存储)。

经过笔者分析,问题可能出在A服务器的操作系统上,因为A服务器的Active Directory服 务、Windows部 署 服 务、DHCP及证书服务都没有问题,工作站加入与退出域也没有问题,Active Directory账户、身份验证也一直正常,问题可能出在A服务器的操作系统中,服务器在多次升级的过程中,有些遗留问题。而要彻底解决这个问题,只能通过重新安装操作系统来解决。

解决方案

由 于Active Directory、证书、DHCP等这些服务的应用(尤其最重要的是Active Directory账户信息),又不能通过简单的“重装”解决,所以就想通过“备份→迁移→恢复”的方式,解决A服务器的操作系统问题。在解决问题的过程中,整个网络的服务又不能“中断”、也不能影响各工作站业务系统的运行(例如工作站登录、身份验证、DNS解析),所以引入“中转”服务器,在迁移、安装的过程中,让“中转”服务器保存Active Directory账户信息、代替原来的服务器进行DNS解析及Active Directory账户身份验证,等原来的服务器重新安装完毕,再恢复Active Directory、DHCP及证书等服务(及数据)。

经过实际操作验证,问题得以解决。下面我们通过图1所示的实验拓扑,模拟我们的网络,告诉大家解决方法及操作步骤。

操作步骤

在图1中,分别有A、B、C、D四台服务器,其中A是Active Directory服务器,在A上安装了Windows Server 2012 R2,升级到Active Directory,安装了DHCP及企业证书服务器。模拟笔者网络中的Active Directory服 务 器。B是Windows Server 2012 R2,加入到 Active Directory,模拟 Active Directory中的一台成员服务器;C是Windows 7,也加入到Active Directory,模拟工作站。其中D是引入的“中转服务器”,用于本次迁移升级的“中转”。主要的步骤与流程如下:

图1 实验网络

1.备份A服务器的DHCP与证书CA及数据库,用于以后操作系统重装后的恢复。而Windows部署服务,在重新安装后重新配置即可。

2.在D中安装Windows Server 2012 R2,命名计算机名称为dcbackup,设置IP地址为172.16.20.110,DNS为A 的 IP地址172.16.20.1。并将D升级到Active Directory,作为现有林的额外域控制器。

3.将D升级到主域,即作为RID、PDC、基础架构主机、以及作为“全局编录”服务器。

4.在A上卸载企业证书服务器。

5.在A上 将Active Directory服务器降级,将A降级为“成员服务器”。此时,为了保证客户端登录,可以将A的IP地址由172.16.20.1改为网络中一个不使用的地址,例如172.16.20.109;在D中添加172.16.20.1的IP地址,这样可以保证“成员服务器”及“工作站”不进行任何修改的前提下,保证网络的正常运转不受影响。

6.将A从域中脱离,然后重新安装Windows Server 2012 R2。

7.将A升级为主域、将D降级。从D上删除172.16.20.1的IP地 址,在A中 添 加172.16.20.1的IP地址。最后在A上删除172.16.20.109的“临时IP地址”。

8.在A上安装DHCP及企业证书服务,恢复DHCP及证书备份。

操作说明

1.在整个迁移的过程中,需要增加两个临时的地址,这些地址在升级的过程中用于“中转”,并且根据角色的不同,会设置在不同的服务器上。例如,用于中转的D服务器的IP地 址 是 172.16.20.110,当D服务器升级到主域控制器的时候,会在A服务器上添加172.16.20.109的IP地 址,删除172.16.20.1的IP地址,而将172.16.20.1添加在D服务器上,此时D服务器有两个IP地址。这样原来的客户端或其他服务器的域名解析、身份验证不会中断;当A服务器通过重新安装、再次升级到域控制器、升级到主域时,则在D服务器上删除172.16.20.1的IP地址,再在A上添加172.16.20.1的IP地址。同样也是避免网络的中断。等所有的迁移完成后,会释放D服务器、172.16.20.109及172.16.20.110的IP地址。

2.因为网络中一般不止有一台DHCP服务器,所以在下面的过程中,删除其中一台服务器的DHCP,不会影响整个网络。

3.在我们这个案例中,只有一台Active Directory服务器,在大多数的生产环境中,我们推荐至少要有两台Active Directory服务器。

猜你喜欢
域控制器身份验证IP地址
面向汽车集中式EE架构下的MCU类域控制器软件开发集成过程研究
铁路远动系统几种组网方式IP地址的申请和设置
处理域控制器时间误差
IP地址切换器(IPCFG)
基于软件定义网络的分层式控制器负载均衡机制
修复域控制器故障
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
人脸识别身份验证系统在养老保险生存核查中的应用
Endogenous neurotrophin-3 promotes neuronal sprouting from dorsal root ganglia