&">nbsp; Windows操作系统在不断的升级,为此企业的网络环境也是一个不断升级的过程中,Windows Server 2008推出来之后,企业将域环境升级到Windows Server 2008也有一个过程。
有一家DTM公司在浙江、广西等地都有分公司。为了统一网络环境,网络管理员设置了如下的域树结果。其中dtm.cn是集团总公司所在的域,而zj.dtm.cn与gx.dtm.cn是下面两个分公司所在的域。每一个域都会有一个域控制器。在域环境升级的过程中,出于稳定的考虑,管理员不会同时将所有的域控制器都升级到2008,而是一步步的进行升级。为此在某一段时间内,可能三个地方的域控制器采用的是不同的操作系统,如可能是2000、2003或者2008等等。现在域管理员需要考虑的问题是在2008R2的环境下,各个域控制器的兼容性如何呢?或者说,如果域控制器采用的操作系统不同,则在功能上是否需要收到什么限制?笔者这篇文章就帮助大家解决这个问题。
一、了解Windows Server 2008 R2的功能级别
正如2000或者2003版本一样,微软是通过功能级别来定义不同操作系统之间的功能级别。在2003等前期的服务器版本中,有各自的功能级别。而在2008服务器操作系统中也继承了这个特性,通过功能级别这个概念来维护兼容性。在2008R2种,主要存在如下三个功能级别。
一是2000本地功能级别。在这个级别下,域树环境中允许存在2000、2003、以及2008不同操作系统的域控制器。不过这里需要注意,对于不同操作系统的补丁有严格的要求。如在2000本地功能级别下,要求2000操作系统具有SP3的补丁。同时提高兼容性,最好2008操作系统也能够打上R2的补丁集。R2补丁有利于提高2000本地功能级别的稳定性。
二是2003本地功能级别。顾名思义,在这个级别的域树环境中,只允许存在2003以及2008操作系统版本的域控制器。这也是笔者比较推荐的一个本地功能级别。在大部分情况下,笔者都不建议跨版本的升级。也就是说,在同一个域树中,不同域控制器服务器操作系统的版本相差不要太大。如果相差太大的话,不仅在功能上有很大的限制,而且还不利于其域环境的稳定。最好将域控制器的服务器版本差异限制在两个版本中。如这里所讲的,2003与2008只相差一带,是一个不错的选择。在这个功能级别中,可以通过将额外的功能加入到森林中,实现一些比较强的功能。如可以实现森林的可传递信任,可以加强域控制器的复制能力等等。
三是2008本地功能级别。在这个级别下,只允许域中存在2008域控制器。也就是说,所有的域控制器必须都允许2008的操作系统。当然,对于客户端来说没有这个要求。在实际工作中,刚对域控制器进行升级的时候往往需要一个过程,需要一个缓冲带。不会同时对所有域控制器进行升级。如上图所示,可能域管理员会先对集团公司的域控制器进行升级。然后再对各地办事处的域控制器进行升级。这主要是出于稳定性的考虑。不过,从长期来看,域管理员还是需要确保域内的所有控制器都保持最新的操作系统版本,或者说相同的操作系统版本。如对于2008R2来说,往往一些特殊的加强功能只有在2008本地功能级别下才能够实现。如精细粒度口令策略,就只有在这个级别下才能够实现。
总之,笔者建议在升级的过程中,允许不同的域控制器采用不同的操作系统版本,不过这个版本的差异也不要太大。不过这不能够成为企业网络环境的常态。也就是说,当时机成熟后,域管理员最好还是需要将不同的域控制器升级到相同的操作系统版本,以部署一些新版本的实用功能。如果域环境中存在一些比较低版本的域控制器,则出于兼容性的考虑,某些2008操作系统的功能会受到限制。也就是说在2000或者2003功能级别下,2008域控制器按照的是一种降级模式的兼容性来执行相关操作的。
二、将功能级别从Windows Server 2000或者Windows Server 2003升级到Windows Server 2008
当时机成熟后,笔者建议用户将功能级别升级到2008功能级别,以完全实现Windows2008域控制器的所有功能。默认情况下,如果使用Windows2008全新部署域环境的话,则其采用的就是2008功能级别。不过大部分情况下,企业在部署2008域控制器之前,往往都已经有了低版本的域控制器。此时出于兼容性考虑,就不得不采用其他的功能级别。当域控制器升级完毕之后,还需要手工调整这个功能级别。具体的调整步骤如下:
1、首先需要检查一下是否符合2008功能级别的条件。在2008功能级别下要求所有的域控制器都必须采用2008的操作系统。为此网络管理员需要确保所有的域控制器都已经升级或者替换到了Windows2008域控制器。这里值得一提的是,在升级或者替换的过程中,最好能够打上最新的补丁,如2008R2补丁等等。
2、在各个域控制器进行升级操作。即使将所有的域控制器都替换成2008域控制器,域环境也不会自动调整功能级别。为此需要域管理员在不同的域控制器上分别进行操作。通过“活动目录与域”工具可以实现这个升级的操作。这里需要注意的是,需要在所有的域控制器上进行这个升级操作。一般情况下,先对下面的域控制器上进行操作。最后才对根域控制器进行升级。
当江所有的域和森林级别都提升到2008功能级别时, 就可以完全实现Windows2008的功能,如可以实现精细粒度口令策略等等。除了可以实现一些特定功能之外,最重要的改善还是稳定性方面的改善。
三、域信任与访问权不能等同
域树是由多个通过双向传递信任连接的域构成,每个域控制器共享一个公共的模式和全局目录。在域树中,可传递信任关系是自动的。如上图所示,域控制器zj.dtm.cn相信根域dtm.cn,而根域相信gx.dtm.cn。此时域控制器zj.dtm.cn也就相信域gx.dtm.cn。这就好像一些小说中讲的江湖义气“你的朋友就是我的朋友”一样。这就是可传递信任关系的本质。
但是这里需要注意,尽管域树中的信任是可以传递的,但是域信任与访问权并不能等同。如上图所示,zj.dtm.cn通过信任传递关系取得了与域gx.dtm.cn的双向信任。但是域zj.dtm.cn的管理员不没有取得域gx.dtm.cn的访问权。这也就是说,信任传递并不意味着权限的传递。即使是域之间的管理员,信任权也只是提供从一个域到另一个域的路径。默认情况下,信任权限的传递跟访问权限的传递是相互独立的。并不允许访问权限从一个域中传递到另外一个域中。如果一个域的管理员希望访问另外一个域中的资源,则域的管理员必须要为另一个域用户或者管理员分配相关的权限后,其才能够访问特定域中的资源。
在2008R2环境中,对此做了小小的一点改善。即通过相关的设置,可以实现访问权限随着信任权限而传递。不过实用这个特性的时候需要注意,所有的域控制器必须采用的都是2008的域控制器。也就是说,必须要在2008级别下才能够实现这个特性。另外需要注意的是,如果访问权限随着信任权限的传递而传递,可能会带来一些数据安全上的隐患。因为在大部分情况下,信任关系的传递是自动的。但是访问权限的传递往往不是自动,出于安全考虑,需要明确的授权。所以在采用这个特性之前,域管理员还是需要对由此带来的安全隐患进行评估。或者预先采取措施防止可能带来的损失。