【.com快译】简介:更改域控制器上的网络设置通常是一个危险的过程,因此最好避免。但如果必须,这里有一些值得考虑的“提示”。ActiveDirectory域控制器(ActiveDirectorydomaincontrollers)应该是服务器上最后一个不应该改变的服务。它通常用于协助域对用户和设备进行身份验证,因此一旦设置,最好保持不变,尤其是涉及到它们对应的主机名或网络详细信息时。虽然业界一直有一个无脑的断言:域控制器的重命名几乎不会发生。但实际上,在您经营业务的过程中迟早会遇到这一天,您将不得不相应地调整您的网络设置。例如:当一家公司发生并购时,其对应的子网也可能被重组甚至淘汰;同时,会引入一个新的子网,或者由于一些其他因素,每个域控制器也会被加强。如果您已经设置了冗余域控制器(就像任何经验丰富的IT专业人员通常所做的那样),那么将子网移动到别处就相对容易了。当两个子网同时移动时,可能会出现痛点,导致个别客户端计算机继续根据其先前的IP地址寻找域控制器,但找不到。所以我不建议这样做,因为它会导致各种连接问题甚至中断。但如果你非要这样做,下面将为你提供一条值得仔细参考的“路径”。以下是成功域控制器网络迁移的七个技巧。1.检查并建立你的防火墙规则防火墙规则,尤其是在复杂的环境中,可能会让人非常头疼。因此,您需要确保子网之间的必要流量可用于客户端和域控制器之间以及各个域控制器之间可能的通信。因此,无论您是想创建新的访问规则,还是简单地扩展现有规则,防火墙设置都非常关键。否则,当此流量试图与域控制器“对话”时,您会在系统中看到一些非常奇怪的行为和行为。请确保至少打开以下端口:Microsoft还声明:“在具有基于WindowsServer?2003的域控制器的环境中,默认动态端口范围是从1025到5000。根据Internet编号分配机构(IANA)的建议,WindowsServer2008R2和WindowsServer2008增加了动态端口连接的范围。新的默认范围是从端口49152到65535。“这是一个广泛的范围,甚至比您真正需要的还要多。因此请检查上面的Microsoft设置链接以确保访问连接到位。2.配置站点和子网AD如果你想配置域如果控制器所在的子网有实质性改变,请仔细按照下面的步骤操作(当然,如果你只是想改变IP地址并保持在原来的网络环境中,可以忽略此步骤)。ActiveDirectory使用已建立的站点和子网进行通信、复制和其他后台操作任务。因此,为ActiveDirectory设置适当的子网对于确保域环境的持续健康至关重要。您最好根据需要添加子网,并仔细检查与域环境相关的所有配置。此外,请不要删除任何即将退休的子网(如果它们仍然可用),直到它们真正被弃用吃了。3.关注DNSDNS记录是保证客户端能够持续与域控制器顺畅通信的重要条件之一。如果你使用的是动态DNS,只要你改变了域控制器的IP地址,它的DNS记录也会随之更新;但如果你使用的是静态记录,那么在割接后需要手动调整(无论使用哪种方式,都要确认相应的记录已经到位)。同时,您必须检查与这些主机关联的任何其他静态记录,当然还有正向和反向DNS区域。如果你的域控制器还提供了一些备份服务器的DNS信息,你需要考虑的不仅仅是活动目录的DNS记录那么简单,你需要查看各种相关设置,找到更多需要更新的内容。4、检查主机(host)文件虽然表面上看,现在管理和使用DNS已经很容易了,但是担心更新hosts文件是多余的。但信不信由你,hosts文件在业界还是经常被使用,尤其是在一些生产环境中,或者当DNS出现故障导致域名解析困难的时候。如果在迁移过程中涉及到几十个甚至上百个系统,逐一检查每台机器的hosts文件将是一个非常繁琐的过程。您可以使用一个简单的Windows批处理文件(注意:您必须对每个目标系统具有管理员权限。本例中Windows文件夹安装在C盘,默认共享为C$)。创建名为c:\results的文件夹。创建一个包含所有目标主机名的文本文件并将其保存到c:\results\computers.txt以供检查。使用以下行创建文本文件:FOR/F"tokens=1"%%iin(computers.txt)doxcopy\\%%i\c$\windows\system32\drivers\etc\hostsc:\results\%%i.txt将文件另存为c:\results\hostck.bat运行c:\results\hostck.bat。该文件的执行会访问各个目标系统的hosts文件,然后将其复制到c:\results文件夹中,并以相应的计算机名命名其文件。然后根据自己的修改在c:\results文件夹中搜索相关的IP地址。您也可以根据需要在目标系统上执行相同的操作。显然,这有点麻烦,而且在实际更改发生之前您可能不会逐步执行它。因此,我们在这里也提供了一个简单的更新host文件的方法:您可以创建一个名为:c:\results\hostupdt.bat的批处理文件,其内容如下:FOR/F"tokens=1"%%iin(computers.txt)doxcopyc:\results\%%i.txt\\%%i\c$\windows\system32\drivers\etc\hosts/y5.配置管理软件,如Puppet或Chef,可以捕获域控制器的IP地址,以及子网物理连接,甚至可以生成各种hosts文件。但是,配置管理客户端有时会自动更正您的一些主机文件更改以保持一致性,因此请记住手动检索域控制器的当前IP地址。6.确保与虚拟机关联的网络(如果适用)存在且可用。如果您正在将域控制器迁移到虚拟机上的另一个子网,则由虚拟机的管理程序发现和调用。当然,如果各个VM的客户端只是与域控制器通信(请记住在步骤1中的防火墙规则中允许此类通信),则您不一定需要将此子网添加到虚拟环境中。但是,如果您计划让客户端直接与域控制器通信而无需检查防火墙规则,则值得考虑添加到虚拟环境中。7.制定并执行您的计划此时,各种设置已到位,您可以开始制定并执行您的迁移计划。您应该提前告知用户迁移时间,最好是在非工作时间,这样可以将影响降到最低。确保在新的网络设置环境中一次只更新一台服务器。必要时可以进行实时调整,如修改配置软件、部署主机文件或更新DNS记录。如果可能,在过渡期间实时监控网络流量,以确保各个客户端可以继续与新环境中的服务器通信。您可以尝试ping它们,或运行NSLOOKUP命令,或在Windows资源管理器中转到域控制服务器以确认您可以看到SYSVOL和NETLOGON共享。您甚至可以关闭其他域控制器以确认您可以成功登录域并访问ActiveDirectory资源。当您完成所有域控制器的切换后,请确保原来与域控制器交互的其他系统,如备用DNS服务器,仍然可以正常交互。例如,您可以确认他们是否可以正常从域控制器服务器中拉取各种区域文件。如果遇到未解决的问题并且可能需要恢复到原始域控制器及其原始网络设置,请毫不犹豫地这样做。但请记住,这只是一个“延迟策略”,你还是需要根据实际情况一步一步去检查。例如,您可以研究域控制器事件日志中的错误并发现线索以确定下一步的行动方案并进一步完成迁移项目。标题:您不应该更改域控制器网络设置,但如果您必须更改,请按以下方法操作,作者:ScottMatteson
