Windows Server 2008 和 Windows Server 2008 R2 已经在 2025 年 1 月 14 日停止所有技术支持(包括安全更新)。 在生产环境中使用它存在巨大的安全风险,并且不符合绝大多数行业的安全合规要求(如 PCI-DSS, HIPAA 等)。
强烈建议您将现有环境升级到现代且受支持的操作系统,如 Windows Server 2025 或 2025。 将作为技术知识参考和迁移前的准备工作,不建议您在任何关键业务环境中部署新的 Server 2008 域控制器。
什么是域服务器?
在深入 Server 2008 之前,我们先理解“域服务器”是什么。
域服务器,更准确地说是域控制器,是运行 Active Directory(活动目录)服务的服务器,Active Directory 是微软 Windows Server 操作系统中的一种目录服务,它提供了:
- 集中的身份验证:所有用户、计算机的账户都存储在 Active Directory 中,当用户登录到域内的任何一台计算机时,请求都会发送到域控制器进行验证,而不是验证本地计算机。
- 集中的资源管理:可以统一管理网络中的所有资源,如打印机、共享文件夹、应用程序权限等。
- 策略管理:通过组策略,管理员可以为用户和计算机应用统一的配置和安全策略,例如桌面背景、密码复杂度要求、软件安装等。
- 信息存储与查询:Active Directory 本质上是一个数据库,存储了网络对象(用户、计算机、打印机等)的属性信息,方便快速查询。
域控制器就是整个 Windows 域网络的“大脑”和“管家”,负责所有成员的身份识别、权限分配和行为规范。
Windows Server 2008 域服务的关键组件和技术
在 Windows Server 2008 中,域服务主要基于 Active Directory Domain Services (AD DS) 角色,以下是核心概念:
Active Directory 域服务
这是核心角色,安装后服务器就成为了域控制器,它负责存储目录数据并处理相关请求。
域和林
- 域:是 Active Directory 的核心管理单元,是一组共享通用目录数据库、安全策略和安全关系逻辑的计算机、用户和其他对象的集合,域有明确的边界,通过 Kerberos 协议进行安全认证。
- 林:是 Active Directory 的最高级别容器,由一个或多个域树组成,林中的所有域共享一个架构、配置和全局目录,林中的信任关系是可传递的,一个林代表一个完整的、独立的企业网络环境。
域控制器类型
Windows Server 2008 引入了一种新的域控制器类型,这是一个非常重要的改进:
-
只读域控制器:
(图片来源网络,侵删)- 功能:RODC 存储 Active Directory 数据的只读副本,它不能进行任何修改(如用户密码更改、计算机加入域等)。
- 主要用途:部署在物理安全较差的分支机构(如分公司办公室),RODC 被盗,攻击者无法从中获取可写入的账户信息,特别是无法获取 Administrator 账户的密码哈希,极大地提高了分支机构的安全性。
- 密码复制策略:管理员可以配置 RODC,使其只缓存特定用户和计算机的密码哈希,从而进一步降低风险。
-
可写域控制器:这是我们传统意义上的域控制器,拥有 Active Directory 数据的完整读写副本,林中的第一个域控制器总是可写的。
全局目录
全局目录是林中所有域的部分副本,它包含用户和对象最常用的属性,这使得用户可以在不指定域的情况下搜索整个林中的对象,全局目录对于跨域用户登录和查询至关重要。
站点
站点是基于网络连接速度和可用性(通常是子网)的逻辑概念,而不是基于地理位置。
- 作用:Active Directory 使用站点信息来优化复制流量,在同一站点内的控制器之间,会优先使用快速、可靠的网络连接进行复制(称为“站点内复制”),在不同站点之间的控制器,则通过配置的“站点链接”进行复制(称为“站点间复制”),通常会安排在非高峰时段。
- 好处:合理规划站点可以显著减少 WAN 链路上的流量,提高登录和资源访问速度。
Active Directory 数据库
- Ntds.dit:这是 Active Directory 的核心数据库文件,存储了所有的目录信息。
- 日志文件:用于记录对数据库的修改,确保在系统故障后可以恢复数据。
- EDB.log 和 Edb.chk:事务日志和检查点文件。
在 Windows Server 2008 上部署域控制器的步骤(概念性)
-
服务器准备:
- 安装 Windows Server 2008 Standard 或 Enterprise 版本。
- 为服务器设置一个静态 IP 地址、子网掩码、默认网关和首选 DNS 服务器(在部署第一个 DC 时,DNS 应指向自身)。
- 更新所有系统补丁(尽管已停止支持,但这是基本操作)。
-
安装 AD DS 角色:
- 通过“服务器管理器” -> “角色” -> “添加角色”。
- 选择“Active Directory 域服务”角色。
- 根据向导完成安装,AD DS 文件会被复制到服务器,但服务器尚未成为域控制器。
-
提升域控制器:
- 在安装完 AD DS 角色后,服务器管理器会提示您“提升此服务器为域控制器”。
- 运行
dcpromo.exe命令,启动“Active Directory 域服务安装向导”。 - 选择部署操作:
- 新林的根域:创建全新的 Active Directory 林。
- 新子域:在现有林中创建一个新的子域。
- 新的域树:在现有林中创建一个新的域树。
- 现有林的额外域控制器:向现有域中添加新的域控制器。
- 指定域名:
corp.example.com。 - 指定 NetBIOS 域名:
CORP(用于旧版客户端)。 - 设置林功能级别和域功能级别:
- 功能级别决定了您可以在域或林中使用哪些 AD DS 功能,选择 Windows Server 2008 可以使用所有新特性,如 RODC。
- 林功能级别:Windows Server 2008
- 域功能级别:Windows Server 2008
- 指定数据库、日志和 SYSVOL 文件夹路径:建议使用非系统盘。
- 设置目录服务还原模式的管理员密码:这是一个非常重要的密码,用于在域控制器启动失败时进行修复。
- 完成向导后,服务器将重启,此时它已成为域控制器。
Server 2008 域服务的主要新特性(相对于 2003)
- 只读域控制器:这是最重要的安全特性。
- 可重启的服务器:在 Server 2008 中,很多核心服务(包括 AD DS)都可以在不重启服务器的情况下进行维护和更新。
- Active Directory 管理中心:一个图形化管理工具,简化了 AD 的管理。
- Active Directory 模块用于 Windows PowerShell:首次引入了强大的 PowerShell 模块来管理 AD,实现了自动化脚本管理。
- 脱机碎片整理:可以对 AD 数据库进行在线碎片整理,无需重启服务器。
迁移建议:从 Server 2008 升级
由于 Server 2008 已停止支持,迁移是必然选择,正确的升级路径是:
Windows Server 2008 / 2008 R2 → Windows Server 2012 R2 → Windows Server 2025 / 2025
这是一个“滚动升级”的过程,步骤如下:
-
准备阶段:
- 健康检查:确保所有域控制器(包括 RODC)都运行正常,没有错误,运行
dcdiag /v和repadmin /showrepl进行检查。 - 更新所有客户端:确保所有 Windows 客户端都支持目标操作系统(如 2025/2025)。
- 备份,备份,再备份! 在进行任何操作前,对所有域控制器进行完整的系统状态备份。
- 阅读升级指南:务必仔细阅读微软官方提供的升级文档。
- 健康检查:确保所有域控制器(包括 RODC)都运行正常,没有错误,运行
-
升级第一个域控制器(可写):
- 选择一台性能最好、角色最简单的全局编录服务器作为升级目标。
- 将其提升为全局编举主机,以确保在升级过程中林的功能级别不会意外提升。
- 在原服务器上运行 Windows Server 2025/2025 的安装程序,选择“升级”选项。
- 升级完成后,它将成为一台运行新操作系统的域控制器,但林和域功能级别仍然是 2008。
-
升级其他域控制器:
- 重复步骤 2,逐个将其他可写域控制器升级到新版本。
- 然后升级 RODC。
-
提升林和域功能级别:
- 当林中所有的域控制器都升级到 Windows Server 2025/2025 后,您才能提升林和域的功能级别。
- 提升功能级别是不可逆的,一旦提升,就无法再将域控制器降级到旧版本。
- 在提升前,请再次确认所有旧版域控制器都已移除。
Windows Server 2008 的域服务,特别是 RODC 和站点管理,在当时是革命性的进步,在安全至上的今天,其停止支持的状态使其成为一个巨大的安全隐患。
请立即制定计划,将您的域基础设施迁移到受支持的现代操作系统上。 这不仅是技术更新的需要,更是保障企业网络安全和数据合规的必要举措。
