Windows Server 2016 AD域服務升級實戰

要使用最新本的Windows Server 2016的活動目錄與服務的話，其實就是對域控制器進行升級操作。

升級操作一般采用的是Side By Side模式，該模式的優點在于不會導致原有DC服務的中斷，當升級完畢后，新的DC就會響應客戶端的請求，之后就可以移除原有的DC。

要實現上述升級，是存在一些條件的，例如原有DC最低版本為Windows Server 2008，并且域和森林的級別也不能低于Windows Serber 2008，本例中原有域控采用的是Windows Server 2012 R2系統，其名稱為DC1。

在該機中打開服務器管理器窗口，在左側選擇“本地服務器”項，在右側可以查看其詳細的版本信息。

點 擊 菜 單“工具” →“Active Directory用戶和計算機”項，在左側選擇“域名”→“Domain Controllers”項，在右側顯示所有的域控信息。

在另外一臺主機上安裝好Windows Server 2016，其名稱為DC2。在該機中雙擊當前的網絡連接項目，在網絡狀態窗口中點擊“屬性”按鈕，在打開窗口中雙擊“Internet協議版本4”項，選擇“使用下面的IP地址”項，來手工指定IP地址。

在“首選DNS服務器”欄中輸入當前DC的IP地址。在系統屬性窗口中點擊“更改”按鈕，可以修改該機的名稱，在“隸屬于”欄中選擇“域”項，輸入域名，點擊確定按，將其加入到當前域中。

重啟后以域管理員身份登錄，在服務器管理器中點擊“添加角色和功能”項，在向導界面中選擇“Active Directory域服務”項，來安裝該角色。

之后點擊“將此服務器提升為域控制器”鏈接，在向導界面中選擇“將域控制器添加到現有域”項，在下一步窗口中輸入目錄服務還原模式密碼。

例如，對于用戶類來說，就存在很多屬性（例如賬戶名，地址等）。在不同版本的活動目錄域服務中，其Schema分區是存在一些不同的。

例 如，對 于Windows Server 2008來說，在其用戶屬性中就存在“密碼復制”的屬性，這主要針對RODC只讀域控而言有效。

但是在之前版本的Windows Server 來說，是不存在這一屬性的。因此，對活動目錄域服務進行升級的話，必然會擴展Schema分區中的類和屬性信息。

新版本的Windows Server必然會增加很多新的功能，對應的就會在活動目錄中存儲新的對象和屬性信息。

在進行升級時，就需要對活動目錄數據庫進行擴展。利用操作向導，可以自動執行上述擴展操作。

但是，在實際的生產環境中，情況往往比較復雜，例如在不同的分支機構中分別部署了域控，在進行升級時，在有些時候就需要對Schema分區以及域的信息進行手動的更新。

這樣，在總部進行了升級后，必須使用同步的方式將更新的信息同步到所有的分支機構的DC中。

手工操作方法是先準備好Windows Server 2016的安裝鏡像。在當前DC上打開ADSI編輯器，在其中左側選擇“ADSI編輯器”項，在其右鍵菜單上點擊“連接到”項，在打開窗口中選擇“選擇一個已知的上下文”項，在列表中選擇“架構”項。

連接之后打開Schema屬性窗口，在屬性列表中的“objectVersion”欄中顯示為“69”，這說明當前系統的活動目錄的Schema的版本信息。

對Windows Server 2016安裝鏡像進行解壓，在CMD窗口中切換到解壓路徑 中 的“supportadprep”目錄，執行“adprep.exe /forestprep” 命 令， 對Schema分區進行擴展。

點擊“c”鍵確認后，就可以在Schema分區中添加大量的新的屬性信息。

執 行“adprep.exe /domainprep”命令，來更新全域性信息。

當擴展完成后，再次查看上述版本信息，可以看到其版本好變成了“87”。當采用自動或者手工方式完成擴展后，利用活動目錄的同步復制機制，就可以將更改信息同步到所有分支機構的DC中。

當然這需要等待一定的時間，才可以執行同步操作。因為默認情況下，站點之間的復制的間隔為180分鐘。

為了加快速度，可以在Active Directory站點和服務窗口中選擇“Sites”→“Branch”→“Serv ers” →“總 部 的 DC名稱” →“NTDS Setting”項， 在 右 側 的“RODC Connection”項的右鍵菜單上點擊“立即復制”項，讓上述復制操作立即執行。

為了保證操作順利進行，可 以 執 行“services.msc”程序，在服務管理器中重啟名 為“Active Directory Domain Services”的服務。

完成了信息的擴展后，才可以執行所需的升級操作。在該Windows Server 2016主機上打開Active Directoru用戶的計算機窗口，在左側選擇“Domain Controllers”項，可以查看該機已經升級為域控。

之后需要對客戶端進行設置，讓其相關的LDAP查詢，Kerberos驗證等請求由DC2進行承擔，方法很簡單，在客戶機上登錄到域環境，將其DNS服務器的地址指向DC2即可。

當然，在實際的網絡環境中，會存在大量的客戶端，手工設定DNS服務器顯得很繁瑣。

可以在DHCP服務器上進行統一配置，這樣當客戶機自動獲取IP時，可以自動設定新的DNS服務器。

在服務器管理器窗口中點擊菜單“工具”→“DHCP”項，在DHCP控制臺左側選擇“域名”→“IPv4”→“作用域”項，在右側雙擊“作用域選項”項，在空白處右鍵菜單上點擊“配置選項”項，在彈出窗口的列表中選擇“006 DNS服務器”項。

在“IP地址”中添加DNS服務器地址，讓客戶端主機可以定位DC控制器。

因為DC1已經不再承當具體的工作，所以在該機上的服務器管理器中點擊“添加角色和功能”項，在向導界面中點擊“啟動刪除角色和功能向導”項，取消“Active Directory域服務”項的選擇，來刪除該角色。

在系統彈出的提示信息中點擊“將此域控制器降級”鏈接，在打開窗口中選擇“繼續刪除”項，輸入新的本地管理員密碼，點擊“降級”按鈕，使其變成一臺成員服務器。對于其他的域控，可以按照同樣的方法進行卸載。

完成以上操作后，在企業環境中就只存在Windows Server 2016的域控，因此需要對活動目錄的域級別以及森林級別進行調整。

在Active Directory用戶和計算機窗口左側選擇域名，在其右鍵菜單上點擊“提升域功能級別”項，在打開窗口中點擊“提升”按鈕，將域的功能級別提升到Windows Server 2016。

在CMD窗口中執行“regsvr32 schmmgmt.dll”命令，來注冊對應的組件。在Active Directory域和信任關系窗口左側選擇“Active Directory 域和信任關系”項，在其右鍵菜單上點擊“提升林功能級別”項，點擊“提升”按鈕，將林功能級別提升為Windows Server 2016。