问升级Active Directory

EN

通常情况下，一旦你到了AD，你想要提升，而不是迁移。这样你就不需要做计算机帐户的迁移，等等。是否是独立的森林(甚至是域)的问题更多地取决于你的工作方式，而不是其他任何事情。有些事情需要考虑：

• 域不是安全边界。森林是。如果需要无法通过委托权限处理的安全边界，则应使用多个林。否则，一片森林就行了。
• 您需要多个域吗？或者在OU级别使用OU和委托权限可以更好地服务于您吗？
• 如果您担心WAN上的身份验证流量以及诸如此类的事情，您应该已经在AD中设置了物理站点。这将确保人们最初使用最近的域控制器。
• 由于5个用户在地理上分散在多个站点上，您是否需要向他们部署一个DC (网络连接、中断等等)？如果不是，那么就有更多的理由撤回到单个林的单域配置。即使他们确实存在网络连接问题，您仍然可以将一个DC部署到站点上。如果你要到2008年，这甚至可以是一个只读DC。

你问题的关键是:我想要一个多森林基础设施还是一个单一森林基础设施？

当您需要组织之间的安全边界时，您需要多个森林。域不是安全边界。

回答这个问题，剩下的就很简单了。您希望尽可能少的森林来满足您的安全边界要求。您希望尽可能少的域来满足复制边界要求。

我的理解有点过时，但较新版本的AD更好地处理这种情况。我认为在这种情况下，空根是个好主意。你在森林的顶端有一个域名(比如说.dir.organisation.org)，它只适用于DNS和全局目录。然后创建子域(tx.dir.organisation.org、ca.dir.organisation.org等)作为空根的子域。然后为每个地理上分散的数据中心配置站点。全局目录数据仍需在WAN链接中复制，DNS更新也必须在一定程度上复制。不管这对你的环境是否合理，你必须自己决定。但如果你有这方面的基础设施，这就是我所建议的。这将提供内置的信任和统一帐户数据库，这是AD的主要优势之一。

至于升级，我们喜欢提升域的功能级别，然后使用dcpromo将DC降级到成员服务器，用新的OS版本重新格式化DC，然后使用dcpromo再次使其成为DC。清洗，冲洗，重复每个DC，直到所有的升级。然后，一旦您满意您的兼容性问题得到解决，提高功能水平到新的操作系统。