一�、概述
某公司成立初期機(jī)房建設(shè)時使用window server 2003搭建AD域作為公司賬戶管理系統(tǒng)。隨著公司的辦公人員增加以及功能需求�����,目前AD域服務(wù)器已不能滿足業(yè)務(wù)的需求。Windows server 2008功能強(qiáng)大,其功能遠(yuǎn)遠(yuǎn)超過windows server 2003���。windows server 2008已經(jīng)逐步在企業(yè)中搭建應(yīng)用,可是基于舊管理平臺的windows server 2003的活動目錄還需要過渡到window server 2008
由于原服務(wù)器網(wǎng)段為C類私網(wǎng)段地址192.168.0.0/24。現(xiàn)在需要在不重新部署服務(wù)器的情況下進(jìn)行AD域服務(wù)器的IP地址更改�。更改后的網(wǎng)段地址為B類私網(wǎng)地址172.16.0.0/24�����。
環(huán)境如下圖:
二、服務(wù)器加入域
將計算機(jī)beijing加入到test.com域中
首先登錄服務(wù)器beijing上將裝有windows server 2008的計算機(jī)beijing加入到windows server 2003域中.
打開網(wǎng)絡(luò)設(shè)置,把DNS指向DNS服務(wù)器,在此我們指向istanbul
更改系統(tǒng)屬性���,把計算機(jī)加入到域中�,如下圖:
客戶端加入域需要權(quán)限�,因此加入域時需要輸入域管理員賬戶和密碼
下圖顯示加入域成功����,單擊確定
在加入域后重新啟動計算機(jī)
三、活動目錄升級
3.1提升域功能級別
window server 2003 AD域級別默認(rèn)級別為window server 2000.
登錄到istanbul服務(wù)器上操作進(jìn)行如下操作:
單擊開始——程序——管理工具——AD用戶和計算機(jī)��,右擊“test.com”���,選擇“
提升域功能級別”���。
功能級別選擇“windows server 2003”�,單擊提升
3.2提升林功能級別
window server 2003 AD林級別默認(rèn)級別為window server 2000.
單擊開始——程序——管理工具——AD域和信任關(guān)系,右擊“AD域和信任關(guān)系”��,選擇“提升林功能級別”
選擇“windows server 2003”�,單擊“提升”
四、林準(zhǔn)備
首先把windows server 2008的系統(tǒng)盤放入到光驅(qū)中���,打開命令提示符對話框,輸入以下DOS命令:
d:-----cd sources------cd adprep-------adprep /forestprep
然后按C鍵---------按回車鍵
已經(jīng)更新了全域性信息。提示成功。
五、域準(zhǔn)備
在林準(zhǔn)備完成后緊接著輸入adprep /domainprep,進(jìn)行域準(zhǔn)備
為了證實(shí)windows server 2003的AD域遷移到window server 2008中是否成功���,新建兩個用戶,如下圖
六、 搭建AD服務(wù)
windows server 2008上搭建AD服務(wù)
登錄到beijing服務(wù)器上做如下操作:
單擊服務(wù)器管理器----------角色----------添加角色
勾選“AD域服務(wù)”���,單擊下一步
單擊下一步
安裝完AD域服務(wù)后在運(yùn)行下輸入dcpromo命令進(jìn)行升域
單擊下一步
選擇“向現(xiàn)有域添加域控制器”,單擊下一步
輸入域名test.com��,單擊“設(shè)置”���,然后輸入域管理員賬號和密碼
單擊下一步
單擊是
單擊下一步
DNS服務(wù)器和全局編錄選擇默認(rèn)�����,單擊下一步
選擇“是�����,該計算機(jī)將使用動態(tài)的IP地址”
單擊“是”�,單擊下一步
輸入AD數(shù)據(jù)庫文件夾存儲路徑,在此為實(shí)驗(yàn)����,因此我們選擇默認(rèn)��,單擊下一步
輸入目錄還原模式密碼
系統(tǒng)開始配置AD域服務(wù),我們勾選上“完成后重新啟動”
AD域服務(wù)安裝完成后會自動重啟計算機(jī)
七�����、操作主機(jī)角色轉(zhuǎn)移
此時操作主機(jī)的角色還在 windows server 2003上���,因此我們需要把它轉(zhuǎn)移到windows server 2008上��。
登錄到服務(wù)器beijing上做如下操作:
打開AD用戶和計算機(jī)-------右擊“test.com”---------單擊“操作主機(jī)”
此處會有三個操作主機(jī)角色(RID����、PDC����、基礎(chǔ)架構(gòu)),我們依次單擊更改
更改域命名主機(jī):打開AD域和信任關(guān)系---------右擊“AD域和信任關(guān)系”----------單擊“操作主機(jī)”
單擊“更改”
在運(yùn)行中輸入DOS命令:regsvr31 schmmgmt.dll�,單擊確定
單擊確定
更改架構(gòu)主機(jī):在運(yùn)行中輸入DOS命令:MMC�����,添加管理單元
單擊文件----------添加、刪除管理單元
選擇“AD架構(gòu)”-----------單擊“添加”-------單擊“確定”
右擊“AD架構(gòu)”--------選擇“更改AD域控制器”
選擇“Beijing.test.com”����,單擊確定
右擊“AD架構(gòu)”�,選擇“操作主機(jī)”
單擊“更改”并確定����。
下面我們再打開AD用戶和計算機(jī)看一下在test.com域中是否存在user1�、和user2用戶
八、DC降級為域成員
登錄到服務(wù)器istanbul上做以下操作:
在運(yùn)行中輸入DOS命令:dcpromo /forceremoval����,強(qiáng)制將原來的DC降級為域成員
單擊“下一步”
系統(tǒng)正在卸載域服務(wù)
卸載完成后單擊“完成”�����,然后重啟計算機(jī)
九�����、修改DC控制器IP
如果這臺域控制器沒有安裝exchange,sharepiont這些應(yīng)用程序的話�,您可以較為簡單的更改這臺域控制器的IP地址�。
具體的操作步驟如下:
1. 如果您的域中還有其他域控制器的話�����,可以直接更改這臺域控制器的IP地址�,然后在命令提示符下輸入:
Net stop netlogon 停止“網(wǎng)絡(luò)登錄”服務(wù)
Net start netlogon 開啟“網(wǎng)絡(luò)登錄”服務(wù)
Ipconfig /registerdns 重新刷新所有DHCP租期并重新注冊DNS名字
2. 重啟這臺域控制器���。在重啟后�����,系統(tǒng)會自動在DNS中注冊新的IP地址��。
3. 如果域中只有一臺域控制器的話,我們建議您在較少用戶登錄的時候執(zhí)行該操作,因?yàn)橛蚩刂破鞲腎P地址的一段時間內(nèi)用戶會無法聯(lián)系到域控制器。
4.在重啟完域控后,必須手動清除DNS服務(wù)器里面之前的主機(jī)記錄!
域控制器DNS設(shè)置:
Windows Server 2008 域控制器將非常緩慢引導(dǎo)����。可能需要 15 分鐘以上的域控制器啟動����。
解決辦法:
若要解決此問題���,請在域控制器指向至少兩個 DNS 服務(wù)器上��。
選項 1: 點(diǎn)以使用遠(yuǎn)程 DNS 服務(wù)器作為首選的 DNS 服務(wù)器,并將其自身用作輔助 DNS 服務(wù)器。
選項 2: 點(diǎn)到其自身作為首選的 DNS 服務(wù)器�����,并使用另一臺 DNS 服務(wù)器作為輔助 DNS 服務(wù)器���。
搬遷我是專業(yè)的���,在我們公司呆了將近7年����,機(jī)房從自建機(jī)房搬到租用機(jī)房, 微軟云搬機(jī)房和aws��,aws搬青云和機(jī)房���,青云搬機(jī)房和騰訊云�����,現(xiàn)在又在繼續(xù)老機(jī)房搬到亦莊新機(jī)房����,有同事開玩笑說不行成立一個專業(yè)idc搬遷公司得了��,嘿嘿。
一��、目標(biāo):
機(jī)房搬遷整體方案是為了平穩(wěn)遷移所有業(yè)務(wù)�����,在有限的資源和有限的切換時間(甚至秒鐘級別時間內(nèi))完成搬遷(有銀行�、atm之類的公司不能比���,再不提供新資源或者提供基礎(chǔ)幾臺資源的情況下搬遷)���,保證機(jī)房業(yè)務(wù)和數(shù)據(jù)能夠安全、可靠��、快速的搬遷 �。
二、背景
現(xiàn)今IDC跟10年前IDC不同����,第一是數(shù)量開始增多�����,第二價格下降,第三很多公司使用公有云替換了IDC�,當(dāng)然也有使用公有云+IDC的公司����??傊F(xiàn)在因?yàn)樾枨蟮牟煌鞣N方案都有�����。(使用公有云替換自己租IDC的公司��,主要考慮自己維護(hù)管理機(jī)房、采購服務(wù)器、后期維保服務(wù)器等不是專業(yè)的�����,專業(yè)的事交給專業(yè)的公司干��,將公司的精力集中到公司業(yè)務(wù)�,當(dāng)然關(guān)鍵的還能提升運(yùn)維效率�����,如�����,一個項目立馬上線,如果普通中小企業(yè)無備用服務(wù)器的情況下���,就需要立即購買,可能會有選型�����,招標(biāo)過程�����,這樣整個采購周期就很長�,項目上線可能延遲�。如果使用云幾分鐘就完成任務(wù))。
三、遷移前的考慮
(其實(shí)這里搬遷到云上已經(jīng)包含其中,當(dāng)然有一些沒法搬遷的后面補(bǔ)充)
1、機(jī)房標(biāo)準(zhǔn):環(huán)境了解,機(jī)柜位置了解,機(jī)房動環(huán)系統(tǒng),pda插口是否滿足需求。
2、一般租用的機(jī)房公司,他們是否給巡檢,是否有基本的上架��,梳理線纜服務(wù)(實(shí)際工作中����,上架���、拉線�����、綁線很浪費(fèi)時間����,最后還不是很美觀��。)
3����、機(jī)房專線進(jìn)入是否方便�,進(jìn)園區(qū)是否收費(fèi),機(jī)房所在公司是否在收端口費(fèi)用����,端口費(fèi)用有多貴�?
4、網(wǎng)絡(luò)如何規(guī)劃,需要多少個接入交換機(jī)���,路由器、防火墻,是否滿足高可用,是使用大二層還是3層網(wǎng)絡(luò)���?是使用基于單個主機(jī)冗余(交換機(jī)浪費(fèi),但是適用于中小企業(yè)),還是基于整個機(jī)柜甚至整排機(jī)柜的冗余�����?我們曾經(jīng)的機(jī)房是基于主機(jī)冗余(單臺主機(jī)雙網(wǎng)卡綁定)��,現(xiàn)在新機(jī)房是使用基于機(jī)柜冗余(允許宕機(jī)一個機(jī)柜)
如果是公有云:考慮網(wǎng)絡(luò)規(guī)劃、網(wǎng)段、安全組等基礎(chǔ)環(huán)境配置,然后考慮專線跟IDC打通。
四、搬遷團(tuán)隊(運(yùn)維人員+開發(fā)+業(yè)務(wù))
1�、是否雇傭?qū)I(yè)搬遷公司�����,還是自己搬遷+雇傭車。原則上是重要設(shè)備,高端存儲之類的設(shè)備雇傭?qū)I(yè)公司進(jìn)行搬遷,普通x86服務(wù)器�,多節(jié)點(diǎn)的業(yè)務(wù)����,自己搬遷即可��。(可以節(jié)省很大的成本)
2�、一般情況下搬遷團(tuán)隊是由公司運(yùn)維部門擔(dān)任�����,當(dāng)然一般搬遷都是公司大事����,必須知會各個開發(fā)部門領(lǐng)導(dǎo)和產(chǎn)品��,甚至開專門的動員會�,這樣開發(fā)才會配合支持�����。
五���、原機(jī)房注意事項
1�����、統(tǒng)計搬遷的數(shù)據(jù):機(jī)器數(shù)量、分別每個機(jī)器的u數(shù)����,分類搬遷。
2�、準(zhǔn)備打包箱子�、標(biāo)簽紙����、扎帶等
3、小型機(jī)鏈接線務(wù)必輕拔輕放���,包裝好。
4����、根據(jù)業(yè)務(wù)類型劃分搬遷次序�����,分配到責(zé)任人,責(zé)任人務(wù)必包含運(yùn)維���、開發(fā)、產(chǎn)品���。比如:支付系統(tǒng)、營銷等
5、識別特殊系統(tǒng),比如:有停機(jī)先后順序的,帶存儲的,掛載有nfs的系統(tǒng)��,帶狗的系統(tǒng),有物理機(jī)授權(quán)等���。
六、針對每套系統(tǒng)具體方案編寫
1�、按照具體業(yè)務(wù)列出具體系統(tǒng)中的每個模塊���,如營銷系統(tǒng)中的優(yōu)惠券�、活動��,采銷系統(tǒng)中的訂單、主數(shù)據(jù)等�,越細(xì)越好��。
2、按照每套系統(tǒng)的每個模塊編寫文檔��,內(nèi)容包含原主機(jī)ip���、部署內(nèi)容�、部署路徑或者目錄、緩存ip�����、數(shù)據(jù)庫連接ip���,zk地址等等�,所有詳細(xì)信息均要列出。
3、與開發(fā)溝通編寫api部分模塊���,具體到調(diào)用接口和http接口,所有接口都要列出(后期用于驗(yàn)證)
4、網(wǎng)絡(luò)層面權(quán)限查看�����,是否有特殊限制���,比如分支機(jī)構(gòu)或者分公司是否有權(quán)限訪問���。
5�����、域名查看�����,是否有公網(wǎng)�����。
6�����、注意點(diǎn):如tomcat是否有用戶限制,最好方式將tomcat直接打包原路徑解壓�。及時是平臺管理也可以這樣操作���。
7��、數(shù)據(jù)庫連接查看,是否有共用庫的情況�����,是否有大數(shù)據(jù)抽數(shù)���,是否有其他特殊權(quán)限����。
七、 具體切換方案
1、網(wǎng)關(guān)或者負(fù)載均衡按照原配置配置即可�����,后面切換dns即可。
2、Web層大部分系統(tǒng)為基于互聯(lián)網(wǎng)的多web或者多模塊系統(tǒng)�����,1:1部署即可����,按照第六步統(tǒng)計結(jié)果進(jìn)行部署即可�����。
3��、Redis、mysql��、mongodb采用數(shù)據(jù)同步
4�����、Es采用加入集群同步數(shù)據(jù)方式���,完成后把老機(jī)器踢出集群��。
5、如果有oracle�,采用ogg或者dg同步到新機(jī)房�,提前配置應(yīng)用jdbc鏈接��,當(dāng)數(shù)據(jù)追平時�����,重啟應(yīng)用即可生效。這步說是簡單�����,實(shí)際辦起來可能因?yàn)閿?shù)據(jù)大小��,或者每天產(chǎn)生的數(shù)據(jù)過多,會導(dǎo)致性能問題��。當(dāng)然還有一些其他的問題����,細(xì)節(jié)上要注意,多想問題�。
6���、最難的就是一些老系統(tǒng)�����,比如一些win系統(tǒng),開發(fā)走了無人維護(hù)��,甚至一些系統(tǒng)是購買的商業(yè)軟件�����,但是這個商業(yè)軟件公司已經(jīng)倒閉���。這種系統(tǒng)最麻煩�,一般采用硬搬���,當(dāng)然要備份相應(yīng)的數(shù)據(jù)���。
7�、小型機(jī)和存儲搬遷也是麻煩事,注意上面拆除小型機(jī)�����,一些連接線要保存好����,存儲這個該買保險買保險。
八、 具體切換
1�����、按照上面7個步驟該準(zhǔn)備的準(zhǔn)備���,越細(xì)越好��。
2���、提前將新環(huán)境部署好�����,只等待dba同步數(shù)據(jù),等到數(shù)據(jù)同步完畢�����,每套系統(tǒng)按照具體的修改代碼提交����,發(fā)布,鏈接到新機(jī)房的庫。
3、數(shù)據(jù)庫檢查鏈接正常���,即可驗(yàn)證業(yè)務(wù)。
4、產(chǎn)品通知業(yè)務(wù)一起驗(yàn)證業(yè)務(wù)�。
5��、回顧切換過程中的問題,形成總結(jié)文檔。
這里還有最重要的���,回滾方案要做好���,回滾方案要做好��,回滾方案要做好
九�、 總結(jié)
以上幾點(diǎn)均是我在搬遷工作中形成的一個經(jīng)驗(yàn)性過程�,越細(xì)越不容易出問題,一般遷移切換選擇閑時進(jìn)行,比如晚上或者半夜遷移切換,往往第二天早上因?yàn)橐粋€配置疏忽造成業(yè)務(wù)受影響����,所以重要系統(tǒng)��,重要配置最好雙人檢核,避免出現(xiàn)事故。
遷移這個活對公司內(nèi)部成員來說不是功勞苦勞,是應(yīng)該干好的,不出現(xiàn)問題是應(yīng)該的����,出現(xiàn)問題就要追責(zé)�。一入運(yùn)維深似海����,萬年填坑填不平。
歡迎討論�����。
