如何提升AD域功能级别到Windows Server 2008 R2

　　提升功能级别的实际过程非常简单——双击就可完成。但前提是每个域控制器都必须支持新的层级，因此，这意味着建立在早前Windows Server版本上的已有域控制器不可用。虽然这些域控制器还可以作为服务器的一部分保留，但是我们必须用DCPROMO来取代域控制器的角色。在我们的实例中，最后一个域控制器恰好是新域中的第一个控制器，因此，这个域还要扮演FSMO(Flexible Single Master Operations)的角色，而FSMO仍然是AD Domain Services的一部分。此转换无法自动完成，需要手动操作。

　　有五种可以用来转换的角色，分别是：架构主机，域命名主机，PDC，RID 池管理器和基础结构主机。若想知道环境中有哪个服务器控制这些角色，可以打开命令窗口，输入：

　netdom query fsmo /domain:yourdomaincom

　　在本文的实例中，是由同一个服务器控制这五个角色。笔者使用MMC管理单元来转换下列角色，此MMC管理单元来自一个添加了域的工作站，而工作站上安装了远程服务器管理工具(RSAT)：

　　步骤一：转换成PDC，RID池管理器和基础结构主机

　　1打开Active Directory Users and Computers。

　　2右键单击管理单元的左面板中的Active Directory Users and Computers，然后选择 Connect to domain controller，再选择需要进行转换的域控制器。

　　3再次右键单击 Active Directory Users and Computers，选择 All Tasks，然后选择 Operations Masters。

　　4对于RID，PCD和Infrastructure这三个标签进行验证，确认当前操作主机是否是我们需要执行转换的双方(FROM和TO的对象是否正确)，最后点击确认。

　　5关闭对话。

　　步骤二：转换成域命名主机

　　1打开Active Directory Domain and Trusts

　　2右键单击Active Directory Domains and Trusts，选择Change Active Directory Domain Controller,然后再选择需要进行转换的域控制器。

　　3右键单击Active Directory Domains and Trusts，然后选择Operations Master。

　　4验证当前主机服务器和新的主机服务器是否安排得当，然后点击更改。

　　5关闭对话。

　　步骤三：转换成架构主机

　　1首先，注册管理单元——启动，运行，输入regsvr32 schmmgmtdll，确认键结束。

　　2启动，运行，mmcexe。

　　3在控制台屏幕上，找到文件菜单，然后选择“添加/删除 管理单元”。

　　4从可用的管理单元中选择Active Directory Schema，选择添加，然后点击确认。

　　5右键单击Active Directory Schema，选择Change Active Directory Domain Controller。选择需要转换的域控制器。

　　6右键单击Active Directory Schema，选择Operations Master。

　　7验证当前主机服务器和新的主机服务器是否安排得当，然后点击更改。

　　8关闭对话。

　　剩下要考虑的事情是分析在旧的域控制器上，当前运行的角色是哪一个。在此实例中，它还扮演着DHCP服务器的角色，因此这些角色需要复制到新的架构和已迁移文件上，因为笔者此前的打算是完全关闭旧的域控制器。大家也要留意任何特殊的验证情景——如，笔者拥有一个曾支持AD验证的NAS，但是由于它曾使用遗留的验证形式，因此必须指向它扮演PDC角色的AD服务器。

　　找到旧的域控制器，启动，运行DCPROMO，以运行ADDS安装向导。

　　1点击“下一步”。

　　2点“确认”，表示已经确认自己的网络上存在另一个可用的的全域数据库目录服务器。

　　3不要点击下一页面的复选框，因为这样会删除域。

　　4如果DNS正在域控制器上运行，在复选框中打钩标记，以删除指向服务器的DNS，再输入管理凭证进行确认。

　　5输入新的管理员账户密码。

　　该服务器将配置并删除ADDS，然后将已有数据复制到其他域控制器。该进程结束后重启系统。一旦旧系统被重启，就要使用新的本地管理账户登录，然后卸载不需要的服务。

　　对AD Users and Computers，Sites and Services和DNS进行检查，确保域控制器已经被成功删除。暂时需要等待几小时完成域的复制。

　　为了提升域的功能级别，要运行Active Directory Users and Computers。右键单击域，选择Raise domain functional level。在可用的域功能级别选择区域选择“Windows Server 2008 R2”，最后点击升级。域的层级现在已经获得提升，而这一更改也会复制到每个域控制器上。

　　为了提升林的级别，要运行Active Directory Domains and Trusts，再右键单击Active Directory Domains and Trusts(不要选择域)。点击Raise Forest Functional Level，选择升级到Windows Server 2008 R2，最后确认升级。而这一更改也会将林的更改复制到其他域控制器上。

你的说法，不完全正确。1、当AD server为DNS服务器时，internet接入是经过这台server控制，那DNS配置为内网IP，则所有加入AD域的工作站，都不能上外网。2、当server配置好DNS服务时，在DHCP服务池中配置好IP地址分配，符合的IP才可通过DNS服务解析，连接外网。 所以你的关键问题，并没搞清楚server是否控制外网接入。

采用活动目录管理网络的意义在于：加强网络管理、统一身份认证、增强安全性、组织间的相互身份认证。

1 加强网络管理

在没有使用域模式管理的网络中，通常采用工作组模式。这种模式下，网络中的各台终端地位是平等的，没有一个统一的网络管理的

角色。网络管理员无法对网络内的用户及用户使用的计算机进行管理。域模式的应用使网络从“自由市场”变成了“商场”，域控制器就是“商场”的管理员。域控制器知道网络中所有资源的信息，并且将他们组织起来。通过组策略可以对网络中的计算机进行设置，例如可以统一设置IE选项、在开机和关机时自动运行脚本、远程安装软件等。域让网络管理员有了管理网络的手段。

2 统一身份认证

企业一般有很多的信息系统，例如，协同办公系统、财务系统、人力资源系统、项目管理系统等等。每个信息系统都要维护一套用户信息、实现一套身份认证程序，根据用户的权限对其开放相应的资源。对用户来说，要记住每个系统的账号和口令，复杂还容易遗忘。对信息系统管理员来说，维护多套系统的用户信息带来了大量枯燥无味的工作。

域管理解决了这一问题，通过域和各信息系统的集成，系统的人员信息由域统一提供。在域中新增用户，即可同步到各信息系统。身份认证的工作也由域来完成，用户通过了域认证即可访问其授权的网络资源，访问各信息系统时不必再输入账号和口令，实现单点登录。解决了记忆多套系统账号和口令的问题。

3 增强安全性

这是域的统一认证功能带来的附加优势。各应用系统厂商实现的身份认证模块安全性良莠不齐，可能存在各种安全漏洞。域的身份认证支持kerberos协议、X509、智能卡认证等多种身份认证方式。主

要的认证方式是kerberos协议，该协议采用了公钥密码和对称密钥结合的技术，保障了身份认证的安全性。

4 组织间的身份认证

随着信息化的发展，组织之间需要交互的系统越来越多。比如企业的采购系统，定期在上面发布招标信息，各供应商登录系统进行投标。这就需要给供应商开设账户。但怎样认证某个人是该供应商公司的员工可能是各复杂的问题。而且当这个人离职之后，怎样通知采购系统管理员及时删除该账户，避免恶意登录呢？

AD支持联合身份认证来解决这个难题。例如，甲乙两家公司都采用了域管理，甲公司的员工需要登录乙公司的信息系统。通过活动目录联合身份认证服务，甲公司的AD为需要登录乙公司系统的用户发布一个声明（可以理解成其身份证），该用户将声明交给乙公司的AD进行验证，验证通过后自动登录系统。当然这些过程不是用户手工完成的，而是由系统自动实现的。

总之，活动目录（AD）是网络管理和核心和基石，随着技术的不断进步，其功能也会更加强大。

1 LDAP入门

11 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X500标准基础上产生的一个简化版本。

12 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

13 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

21 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

22 作用

221 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

222 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

223 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

224 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

225 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

23 AD域结构常用对象

231 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

232 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

233 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

234 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP操作AD域

特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXXcom:389 和 ldap://XXXXXcom:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

31 389登录

32 636登录验证（需要导入证书）

33 查询域用户信息

34 重置用户密码

35 域账号解锁

总结