每当人们谈论“迁移到Windows的最新版本”,我总是想澄清他们是否谈及将他们的应用服务器到最新版本,和/或它们的活性主任到最新版本,有一个巨大的差异。要从比如说Windows 2003中移动作为文件服务器到Windows 2008 R2的文件服务器,这只是一个操作系统的转变。当他们安装新的应用程序组织频繁升级自己的操作系统,所以他们可能有Windows Server 2003作为其基础操作系统的Exchange 2003服务器上,并作为组织迁移到Exchange 2010,他们安装了Windows 2008 R2作为基本操作系统系统E2010将运行。
Upgrading the Active Directory is something that organizations don’t do as frequently as it does require the upgrading of the operating system of ALL of the organization’s domain controllers, which for large enterprises could take weeks to get around to all of the global catalog servers and domain controllers in the organization. And there’s that fear of “biting the bullet” and making the shift to a new version of AD as the whole “schema update” thing can be a scarey concept for many. A lot of that fear was instilled in us back when we went from Windows NT4 to Active Directory in the early days where the whole “you don’t want to have to update your schema too often” was mentioned early on, however in reality, organizations do update their schema sometimes in the middle fo the day without really thinking about it. As an example, any organization upgrading to Exchange 2007 Service Pack 2 actually perform a schema update, something that is in E2007 SP2 to update the schema to support the extensions needed for Exchange 2010. Or organizations that properly implement System Center Configuration Manager 2007 update their schema to support the tighter integration of SCCM into Active Directory. And the biggest challenge with updating the schema as part of updating to the latest version of Active Directory is that it happens all at once, you can’t “stage” the update. Once you update the schema, it happens immediately and there’s no simple “undo” button…
然而,检查Active Directory的供应商支持的一点点尽职调查,这是一个相对简单的升级。我们发现最关键的是AD更新很少,如果从来没有影响的应用程序,除非应用程序本身实际上更新架构。所以,如果你在安装时有一个Web服务器,文件服务器,打印服务器,终端服务器等不更新架构,然后这些应用程序(永远)有更新版本的Active Directory时的冲击(我把“从不”in parenthesis because I’ve NEVER seen the problem in the past, but always hate to say “never” as testing is critical to make sure things work as planned). The apps that are impacted by AD updates are applications that require a schema update to be installed like Exchange, Distributed File System (DFS), System Center Configuration Mgr, Office Communications Server 2007, Cisco Unity voicemail, etc.
当执行AD更新,备份全局编录服务器的一个有助于保护AD有一个“回滚”选项。一个AD回滚基本上恢复从备份或快照AD和AD带来回到它的最后工作。做一个AD回滚超出了本文的范围,但有效它需要关闭Active Directory中的所有副本,恢复或重新插入AD的影响副本,重新连接的工作站/服务器,并把信息返回到它以前的状态失败。
至于升级到Active Directroy 2008 R2,正如我在以前的帖子中提到,没有人真正“有”迁移到AD / 2008或AD / 2008 R2为目前任何产品,所以像Exchange 2010中,SharePoint 2010的等不需要AD / 2008(或2008 R2)。我们的客户有很多谁是兴高采烈地与所有的最新运行AD / 2003在本地模式和最大的产品上运行。然而,对于那些谁想要在公元增强,在Active Directory 2008 R2 BIGGIES是:
·回收站(实际上可以让你简单地恢复已删除对象的AD,所以如果你胖手指删除用户对象或意外覆盖的AD组,你可以简单地去回收站和恢复删除的东西...)。
·脱机加入域,它允许您以预筹备创建于公元计算机帐户,转储XML文件,然后当你的计算机上安装Windows 7,您可以在Windows 7上运行一个DJoin命令和“加盟”上的域没有Win7的电脑Win7的电脑,甚至被连接到网络!这样,你可以建立在实验室系统和“合作”到公元没有实际/物理的计算机连接到AD。
·东西我仍然在AD / 2008激励有关的是细粒度密码策略。在AD / 2003,你只能有每个域1个密码策略(大写的,复杂的密码,更改每30天等不得不在域中的每个人都一样)。现在有了细粒度密码添加到AD / 2008(和结转到AD / 2008 R2),你可以设置密码策略“每组”这样你就可以在人力资源管理或会计人更改他们的密码,每30天来取悦监管机构,和现场支持和销售人员可以更改自己的密码说以往90天或东西。全部由集团完成,真正漂亮的!
一些技术任务从我的书“的Windows Server 2008 R2偷跑” pulll我剪切/粘贴在这里,涉及到Active Directory中的最新版本:
恢复删除的AD DS对象使用Active Directory Recyle斌
其中最显著添加到Windows Server 2008 R2的实现AD DS的是Active Directory回收站。Active Directory林和域的Windows Server 2008 R2中现在允许删除OU,用户,组或其他AD对象的恢复。有迹象表明,必须满足然而,在AD回收站,可以启用前的几个先决条件:
在AD DS林和域必须在Windows Server 2008 R2功能级别。
当恢复的对象,他们在以前存在的OU必须首先得到恢复。如果对象嵌套OU结构居住,顶级OU必须先恢复,然后是下一个最高的子OU,等等。
企业管理员组中的成员,需要以使AD回收站。
使AD回收站的过程是不可逆的。
启用AD回收站
要启用Active Directory回收站,请执行以下步骤:
1.单击开始,所有程序,管理工具。在Active Directory模块用于Windows PowerShell中单击鼠标右键,然后单击以管理员身份运行。
2.从PowerShell提示符,输入以下命令:
“启用-ADOptionalFeature -Identity'CN =回收站功能,CN =可选功能,CN =目录服务CN = Windows NT中,CN =服务,CN =配置,DC = companyabc,DC = com公司-Scope ForestOrConfigurationSet - 目标“companyabc.com'”
与其中AD回收站将被启用的域的适当名称替换companyabc.com和DC = companyabc,DC = COM。
3.出现提示时,键入Y确认,然后按Enter。
4.验证回收站已启用,去到CN =分区容器,使用编辑器如ADSIEDIT。在详细信息窗格中,找到msDSEnabledFeature属性,并确认该值包括回收站目标域名您在步骤2中键入。
恢复已删除的邮件使用AD回收站
删除的对象可以使用Ldp.exe工具来恢复,也可以使用Windows PowerShell来恢复。PowerShell中提供了一个更简单的方法来恢复已删除邮件,并且在大多数情况下,建议。
要恢复已删除对象,请使用Get-ADObject cmdlet可以从Active Directory模块的Windows PowerShell,请务必打开使用管理员身份运行选项模块。GET-ADObject可以使用用于寻找对象,然后可以恢复的恢复-ADObject cmdlet的。例如,下面的语法中恢复用户扎卡里Sefanov删除的用户帐户:
GET-ADObject -Filter {显示名当量 “扎卡里Sefanov”} -IncludeDeletedObjects |还原 - ADObject
有关这些cmdlet的详细信息,请键入获取帮助获取帮助恢复-ADObject从PowerShell中获取-AdObject。
在域控制器重新启动AD DS
Windows Server 2008的最初引入新的功能来启动或停止目录服务的域控制器上运行,而无需将其关闭。
这允许管理员无需重新启动进入目录服务还原模式执行Active Directory数据库的维护或恢复。
除了允许进行维护和恢复,在一个AD关闭域控制器功能DC基本上变成该域控制器为成员服务器,允许服务器以在必要时快速地使DC模式的进行。微软还取消了需要在DC本地管理员有域管理权为好,这提高了在需要的DC服务器的管理地方的整体安全,但并不需要完整的域管理员权限。
要采取的Windows Server 2008 R2的DC离线,请执行下列步骤:
1.打开服务MMC(开始,所有程序,管理工具,服务)。
2.从服务MMC,选择Active Directory域服务的服务。右键单击它并选择停止。
3.当提示停止AD DS将停止其他相关服务,如DNS,DFS,Kerberos和站点间消息,选择是继续。
4.要重新启动AD DS,右键单击AD DS服务并选择启动。启动站点间消息服务和Kerberos密钥分发中心服务也是如此。
实现每个域的多个密码策略
另一个Windows Server 2008中除了AD DS是实现跨越单个域精细密码策略的能力。此前,这是只有安装在林中的域控制器的第三方密码更改实用工具的选项。在Windows Server 2008或Windows Server 2008 R2,管理员可以定义哪些用户有更复杂的密码政策,这将能够使用更宽松的政策。
有几个关键点,这种技术必须实现它之前被理解。这些点如下:
域模式必须设置为Windows Server 2008或Windows Server 2008 R2的水平,这意味着域中的所有域控制器必须运行Windows Server 2008 R2 RTM或。
细粒度密码策略总是战胜域密码策略。
密码策略可以应用到组,但他们必须是全局安全组。
应用于用户超过总是赢设置细粒度的密码策略应用到组。
口令设置对象(的PSO)被存储在密码设置容器在AD(即,CN =密码设置容器,CN =系统,DC = companyabc,DC = COM)。
只有一组密码策略可以应用到用户。如果应用多个密码策略,以较低的优先级号胜政策。
要为特定用户创建的自定义口令策略,一个密码设置对象(PSO)必须使用ADSIEdit工具,其用于低级别更改为AD DS或AD LDS目录对象和属性来创建。
警告
ADSIEDIT是一个非常强大的,低级别的目录编辑,并应十分注意使用时的拍摄。要使用编辑器极为谨慎,删除对象特别是,作为ADSIEDIT可以很容易地删除AD树的整个部分使用一个按键,如果不小心。
ADSIEDIT的版本包含在Windows Server 2008 RTM / R2提供了原油向导,允许要创建支持和平行动。该向导自动执行PSO的创建,并允许特定的属性,要对所涉及到的密码策略的PSO设置。系统提示由向导创建的属性。所有属性必须以正确的格式输入所要建立一个PSO。请注意,只有属性msDSPSOAppliesTo没有向导提示,并且必须手动输入。