规划ActiveDirectory部署项目.doc

资源描述

Error! No text of specified style in document. 27 第 1 章规划 Active Directory 部署项目在所处环境中部署 Microsoft® Windows® Server 2003 Active Directory® 目录服务时，可以利用 Active Directory 提供的集中的委派式管理模型和单一登录功能。在确定组织的当前环境及部署目标后，就可以创建能够满足组织需要的 Active Directory 部署策略。在隔离的实验室环境中测试部署和在选定的生产环境试验区中改进部署有助于确保部署得以在整个组织内顺利进行。在本章中规划 Active Directory 部署项目概述 4 确定 Active Directory 设计和部署策略 8 测试和验证部署过程 19 其他资源 27 相关信息 · 有关规划、测试和试验部署项目的详细信息，请参阅此工具包中《Planning, Testing, and Piloting Deployment Projects》（规划、测试和试验部署项目）的“Designing a Test Environment”（设计测试环境）和“Planning and Testing for Application Deployment”（针对应用程序部署的规划和测试）部分。 · 有关部署 Windows Server 2003 域名系统 (DNS) 的详细信息，请参阅此工具包中《Deploying Network Services》（部署网络服务）的“Deploying DNS”（部署 DNS）部分。 · 有关组策略的详细信息，请参阅 Microsoft® Windows® Server 2003 Resource Kit 的《Distributed Services Guide》（分布式服务指南）（也可参阅 Web 上位置的《Distributed Services Guide》（分布式服务指南））。规划 Active Directory 部署项目概述 Microsoft® Windows® Server 2003 Standard Edition、Windows® Server 2003 Enterprise Edition 和 Windows® Server 2003 Datacenter Edition 操作系统中的 Active Directory 使组织能够在创建具有可伸缩性、安全性和可管理性的基础结构的同时简化用户和资源管理。可以使用 Active Directory 来管理网络基础结构，包括分支机构、Microsoft® Exchange Server 和多林环境。尽管本书中介绍的指导原则适用于几乎所有网络操作系统 (NOS) 的管理部署，但这些指导原则只是在用户数量不足 100,000、站点数量在 1,000 以下且网络连接速度最低每秒 28.8 KB (Kbps) 的环境下进行过测试和验证。如果所处的环境不满足上述条件，请考虑让具有在更复杂环境下部署 Active Directory 经验的咨询公司提供服务。部署 Active Directory 可为组织带来下列益处： · 行政管理和资源管理得到简化。可以向组织的各个级别委派行政管理，并可以使用组策略来将行政管理集中化。 · 网络安全性得到增强且用户可以进行单一登录。Active Directory 支持多个身份验证协议和 X.509 证书，并提供了对智能卡的支持。 · 能够与其他目录服务进行互操作。Active Directory 提供了基于标准的开放式接口，可以通过这些接口与其他目录服务和应用程序（如电子邮件应用程序）进行互操作。 · 增加了一些功能，这些功能可以降低行政管理成本、提高安全性并提供附加功能。应用程序目录分区让用户可以在域控制器上配置特定于应用程序的数据复制设置。将域或林的功能级别提升至 Windows Server 2003 后，可以实现下列目的： · 重命名域和域控制器 · 建立双向林信任 · 重组林 · 改进复制 · 去除具有大量站点的环境中的某些限制尽管本书中介绍的 Windows Server 2003 Active Directory 设计和部署策略是以大量的实验室和试验计划测试以及在客户环境中的成功实现为基础，但可能仍然需要对您的 Active Directory 设计和部署进行自定义，以使其更适合特定的复杂环境。有关在分支机构环境中部署 Active Directory 的详细信息，请参阅《Active Directory Branch Office Planning Guide》（Active Directory 分支机构规划指南）。有关在 Exchange 环境中部署 Active Directory 的详细信息，请参阅《Best Practice Active Directory Design for Exchange 2000》（Exchange 2000 Active Directory 设计最佳实践）。有关在多林环境中部署 Active Directory 的详细信息，请参阅《Multiple Forest Considerations》（多林注意事项）。要下载这些指南，请查看 Web Resources 页面（位于 Active Directory 链接，然后单击“Planning & Deployment Guides”（规划和部署指南）。本书还提供了流程图、作业辅助工具和部署示例，以帮助您优化 Active Directory 的设计和部署过程。 Active Directory 部署项目的规划过程要规划 Windows Server 2003 Active Directory 部署项目，首先要确定设计和部署策略，然后对设计和部署进行测试和验证。图 1.1 显示了 Active Directory 部署项目的规划过程。图 1.1 规划 Active Directory 部署项目 Active Directory 背景信息在设计和部署 Windows Server 2003 Active Directory 之前，除了要熟悉完成 Windows Server 2003 Active Directory 部署过程所需要了解的 Active Directory 相关术语外，还要熟悉 Active Directory 的部署项目周期。 Active Directory 部署项目周期 Active Directory 部署项目包括下列三个阶段：设计阶段、部署阶段和操作阶段。在设计阶段，设计团队为 Active Directory 逻辑结构创建设计，该设计能够最大程度地满足组织内将要使用该目录服务的每个部门的需要。设计获得批准后，部署团队在实验室环境中对设计进行测试，然后在生产环境中实现设计。由于测试由部署团队执行并可能会对设计阶段产生影响，因此这是一种覆盖设计和部署两个阶段的期间性活动。部署完成后，操作团队负责对目录服务进行维护。实验室测试和试验计划的实现贯穿于 Active Directory 部署的整个生存期。图 1.2 显示 Active Directory 项目周期的各个阶段与部署项目生存期之间的对应关系。图 1.2 Active Directory 项目周期各阶段之间的关系术语和定义下列术语对于了解 Windows Server 2003 Active Directory 部署过程非常重要。 Active Directory 域计算机网络中的一个管理单元，为便于进行管理而组合了若干项功能，其中包括： · 适用于整个网络的用户身份。域使得只需创建一次用户身份，就可以在已加入到域所在的林的任何计算机上对其进行引用。组成域的域控制器用于以安全方式存储用户帐户和用户凭据，如密码和证书。 · 身份验证。域控制器为用户提供身份验证服务并提供其他身份验证数据，如用户组成员身份。这些服务可用于控制对网络上资源的访问。 · 信任关系。域通过自动双向信任将身份验证服务扩展到其所在林内其他域中的用户，通过手动创建的外部信任或林信任将其扩展到其他林的域中的用户。 · 策略管理。域是管理策略（如密码复杂性和密码重用规则）的作用域。 · 复制。域会定义目录树的一个分区，该分区提供的数据足以提供所需的服务并且会在域控制器之间进行复制。这样一来，所有域控制器在域中都是对等的，将作为一个单元进行管理。 Active Directory 林一个或多个 Active Directory 域的集合，这些域除了共享自动的可双向传递信任关系外，还共享公用逻辑结构、目录架构和网络配置。每个林都是目录的一个实例，并且都定义一个安全界限。 Active Directory 功能级别 Windows Server 2003 Active Directory 中的一项设置，用于启用高级域范围或林范围 Active Directory 功能。迁移将对象从源域移动到目标域，同时保留或修改对象的特征，使得在新域中能够对其进行访问的过程。域重组涉及更改林的域结构的迁移过程。域重组可以包括合并域或添加域，并且可以在林之间或某个林内部进行。域合并通过将 Microsoft® Windows NT® 4.0 域或 Active Directory 域的内容与其他域的内容合并来去除这两种域的重组过程。域升级将域的目录服务升级为目录服务最新版本的过程。这包括升级所有域控制器上的操作系统，以及在适用的情况下提升 Active Directory 功能级别。原位域升级在使域对象（如用户和组）保持原位不动的情况下，对所有基于 Windows NT 4.0 或 Microsoft® Windows® 2000 操作系统的域控制器上的操作系统进行升级并在适用的情况下提升域功能级别的过程。地区域为优化复制通信而基于地理区域创建的子域。确定 Active Directory 设计和部署策略在对当前环境进行高级评估并确定 Active Directory 部署目标后，就可以确定最适用于所处环境的部署策略。图 1.3 显示了定义 Active Directory 部署过程的步骤。图 1.3 确定设计和部署策略所应用的 Active Directory 部署策略因现有网络配置的不同而异。例如，如果组织当前运行的是 Windows2000，则只需将操作系统升级到 Windows Server 2003 即可。不过，如果组织当前运行的是 Windows NT 4.0 或非 Windows 网络操作系统，就必须先对 Active Directory 基础结构进行设计，然后再将操作系统升级到 Windows Server 2003。部署过程可能涉及重组一个 Active Directory 林内或 Active Directory 林之间的现有域。在部署 Windows Server 2003 Active Directory 之后或在组织结构发生变化或进行企业收购之后，可能需要对现有域进行重组。还可以将 Windows NT 4.0 环境中的域重组到 Active Directory 林中，以便将生产环境升级到 Windows Server 2003。表 1.1 列出了 Windows Server 2003 Active Directory 部署的可能起点和目标，以及本书中适用于各起点和目标的部署步骤和章。表 1.1 部署 Windows Server 2003 Active Directory 的当前环境、目标和相应章环境部署目标相应章新组织创建林、域、DNS 和组织单元设计。第 2 章：“Designing the Active Directory Logical Structure”（设计 Active Directory 逻辑结构）创建站点和站点链接设计。第 3 章：“Designing the Site Topology”（设计站点拓扑）评估硬件需求。第 4 章：“Planning Domain Controller Capacity”（规划域控制器能力）部署林根域。第 6 章：“Deploying the Windows Server 2003 Forest Root Domain”（部署 Windows Server 2003 林根域）部署地区域。第 7 章：“Deploying Windows Server 2003 Regional Domains”（部署 Windows Server 2003 地区域）提升域和林的功能级别。第 5 章：“Enabling Advanced Windows Server 2003 Active Directory Features”（启用 Windows Server 2003 Active Directory 高级功能） Windows NT 4.0 创建林、域、DNS 和组织单位设计。第 2 章：“Designing the Active Directory Logical Structure”（设计 Active Directory 逻辑结构）创建站点和站点链接设计。第 3 章：“Designing the Site Topology”（设计站点拓扑）评估硬件需求。第 4 章：“Planning Domain Controller Capacity”（规划域控制器能力）部署林根域。第 6 章：“Deploying the Windows Server 2003 Forest Root Domain”（部署 Windows Server 2003 林根域）部署地区域。第 7 章：“Deploying Windows Server 2003 Regional Domains”（部署 Windows Server 2003 地区域）对仍将作为 Active Directory 域结构一部分的原位 Windows NT 4.0 域进行升级。第 8 章：“Upgrading Windows NT 4.0 Domains to Windows Server 2003 Active Directory”（将 Windows NT 4.0 域升级到 Windows Server 2003 Active Directory）重组其他 Windows NT 4.0 域。第 10 章：“Restructuring Windows NT 4.0 Domains to an Active Directory Forest”（将 Windows NT 4.0 域重组为 Active Directory 林）提升域和林的功能级别。第 5 章：“Enabling Advanced Windows Server 2003 Active Directory Features”（启用 Windows Server 2003 Active Directory 高级功能） Windows 2000 对 Windows 2000 域控制器进行升级。第 9 章：“Upgrading Windows 2000 Domains to Windows Server 2003 Domains”（将 Windows 2000 域升级到 Windows Server 2003 域）提升域和林的功能级别。第 5 章：“Enabling Advanced Windows Server 2003 Active Directory Features”（启用 Windows Server 2003 Active Directory 高级功能）表 1.2 列出了重组林内部或林之间域的目标和相应章。表 1.2 重组 Active Directory 域的目标和相应章操作部署目标相应章重组林内部的域创建林、域、DNS 和组织单位设计。第 2 章：“Designing the Active Directory Logical Structure”（设计 Active Directory 逻辑结构）创建站点和站点链接设计。第 3 章：“Designing the Site Topology”（设计站点拓扑）使用 Active Directory Migration Tool (ADMT) 之类的工具重组林内部的域。第 12 章：“Restructuring Active Directory Domains Within a Forest”（在林内部重组 Active Directory 域）重组林之间的域创建林、域、DNS 和组织单位设计。第 2 章：“Designing the Active Directory Logical Structure”（设计 Active Directory 逻辑结构）创建站点和站点链接设计。第 3 章：“Designing the Site Topology”（设计站点拓扑）使用 ADMT 之类的工具重组林之间的域。第 11 章：“Restructuring Active Directory Domains Between Forests”（在林之间重组 Active Directory 域）确定 Active Directory 设计需求如果当前运行的网络环境不使用目录服务，或需要修改当前的 Active Directory 基础结构，则请完成 Active Directory 基础结构的设计过程。必须在部署 Active Directory 之前完成 Active Directory 逻辑结构的全面设计。要使部署具有成本效益，进行周密的 Active Directory 设计至关重要。逻辑结构设计在部署 Windows Server 2003 Active Directory 之前，必须针对所处环境对 Active Directory 的逻辑结构进行规划和设计。Active Directory 的逻辑结构决定目录对象的组织结构，并会提供一种有效的方法来管理您的网络帐户和共享资源。设计 Active Directory 逻辑结构时，实际上是在定义组织网络基础结构的一个重要部分。要设计 Active Directory 逻辑结构，请确定组织所需的林数量，然后为域、DNS 和组织单位创建设计。站点拓扑设计为 Active Directory 基础结构设计逻辑结构后，必须设计网络的站点拓扑。站点拓扑是对物理网络的逻辑表示。它包含有关 Active Directory 站点位置、每个站点内的 Active Directory 域控制器以及支持站点间 Active Directory 复制的站点链接的信息。域控制器能力规划为确保 Active Directory 具有高效的性能，必须为每个站点确定适当的域控制器数量并验证它们是否满足 Windows Server 2003 的硬件需求。对域控制器进行细致的能力规划可以确保不低估硬件需求，低估硬件需求会导致域控制器性能较差和应用程序响应时间较长。 Active Directory 高级功能 Windows Server 2003 Active Directory 中的功能级别让您可以启用一些新功能，如经过改进的组成员身份复制、对架构中的属性和类取消激活和进行重新定义以及林信任关系，这些关系要求参与域或林内的所有域控制器都运行 Windows Server 2003。Active Directory 设计过程的一部分涉及确定组织所需的域和林的功能级别。要在组织中实现这些 Windows Server 2003 Active Directory 功能，必须先部署 Windows Server 2003 Active Directory，然后将林和域提升到所需的功能级别。确定 Active Directory 部署需求现有环境的结构决定 Windows Server 2003 Active Directory 的部署策略。如果要创建 Active Directory 环境但又没有现成的域结构，则必须先完成 Active Directory 设计，再开始创建 Active Directory 环境。 Windows Server 2003 林根要部署 Active Directory，必须先部署 Windows Server 2003 林根域。为此，必须配置 DNS、部署林根域控制器、配置林根域的站点拓扑以及配置操作主角色。 Windows Server 2003 地区域如果要在 Windows Server 2003 林中创建一个或多个新的地区域，则必须在部署林根域之后部署每个地区域。为此，必须委派一个 DNS 区域并为每个地区域部署域控制器。从 Windows NT 4.0 域升级到 Windows Server 2003 在对 Windows NT 4.0 域执行原位域升级后，就可以开始使用 Active Directory 而不必对现有域结构进行任何修改。如果不想保留现有域结构，也可以将 Windows NT 4.0 域重组到 Windows Server 2003 林中。有关将 Windows NT 4.0 域重组为 Windows Server 2003 林的详细信息，请参阅本章后文中的“确定重组需求”。从 Windows 2000 域升级到 Windows Server 2003 将 Windows 2000 域升级为 Windows Server 2003 域是一种简明、高效的能够对 Windows Server 2003 附加特色和功能加以利用的方法。从 Windows 2000 升级到 Windows Server 2003 所需进行的网络配置很少，对用户操作的影响也很小。确定重组需求作为 Active Directory 部署的一部分，您可能会选择对环境进行重组。在这样做之前，必须先确定想要在何时以及如何对环境进行重组。具有现成 Windows NT 4.0 域结构的组织可能会对某些域执行原位升级，对其他域则会进行重组。此外，您还可能决定在部署 Active Directory 后通过重组林之间或林内的域来减少环境的复杂性。将 Windows NT 4.0 域重组到 Windows Server 2003 林中由于 Windows Server 2003 Active Directory 环境具有更强的可伸缩性，因此与 Windows NT 4.0 环境相比，所需要的域也较少。如果不对 Windows NT 4.0 域执行原位升级，而是将数量众多的较小 Windows NT 4.0 帐户和资源域合并为数量较少但更大的 Active Directory 域，可能更为高效。林间 Active Directory 域重组重组 Windows Server 2003 林之间的域时，可以减少环境中域的数量，也因此降低了管理的复杂性和开销。作为重组过程的一部分在林之间迁移对象时，源和目标域环境都将同时存在。这样必要时就可以在迁移期间回滚到源环境。林内 Active Directory 域重组重组 Windows Server 2003 林内的 Windows Server 2003 域时，可以合并域结构，因此降低了管理的复杂性和开销。与重组林间 Windows Server 2003 域的过程不同，重组林内的域时，源域中将不再有已迁移的帐户。表 1.3 列出了林间和林内域重组的区别。表 1.3 林间和林内域重组的区别迁移注意事项林间重组林内重组对象保留克隆对象而不是迁移对象。源位置仍保留原始对象，以使用户能够继续访问资源。迁移对象，源位置不再保留对象。 SID 历史维护维护 SID 历史为可选操作。维护 SID 历史为必需操作。口令保留口令保留为可选操作。一律保留口令。本地配置文件迁移必须使用 ADMT 之类的工具迁移本地配置文件。对于运行 Windows 2000 及更高版本的工作站，将自动迁移本地配置文件，因为用户的 GUID 将得到保留。不过，对于运行 Windows NT 4.0 及更低版本的工作站，则必须使用 ADMT 之类的工具迁移本地配置文件。闭集不需要迁移闭集内的帐户。必须迁移闭集内的帐户。示例：建立 Active Directory 部署策略为举例说明 Active Directory 的部署过程，本书中的各章以一个虚构的公司 Contoso Pharmaceuticals 为例来说明该公司如何在其环境中部署 Active Directory。Contoso 环境由四个域组成，所有这些域都运行 Windows 2000 Active Directory。图 1.4 显示了 Contoso 公司的当前域结构。在对其现有环境进行审查并确定部署目标后，Contoso 建立了下列 Active Directory 部署策略： · 将 Windows 2000 域升级为 Windows Server 2003 域。 · 通过将域和林的功能级别提升到 Windows Server 2003 来启用 Active Directory 的高级功能。在将所有 Windows 2000 域都升级为 Windows Server 2003 域后，Contoso 将重组林内的域，以将该域与域合并。 Contoso 公司正在收购一家名为 Trey Research 的公司，该公司当前运行基于 Windows NT 4.0 的环境，如图 1.5 所示。图 1.5 Trey Research 公司的当前环境 Contoso 公司为其收购的 Trey Research 公司建立了下列 Active Directory 部署策略： · 设计 Active Directory 逻辑结构，以为新的 Windows Server 2003 环境创建林、域、DNS 和组织单位设计。 · 设计站点拓扑，以创建所需的站点、站点链接和站点链接桥。 · 对域控制器的能力进行规划，以确定新 Windows Server 2003 环境的硬件需求。 · 将部署为林根域。 · 部署三个地区域。不同的团队可以同时创建这些域。 · 将 EAST 域升级到 Windows Server 2003 以成为。 · 创建两个名为和的新 Windows Server 2003 地区域。 · 通过使用 ADMT，将 BOSTON、MAIL-APPS、PROD-APPS 和 OFFICE-APPS 域重组为 Windows Server 2003 域。 · 将域和林的功能级别提升到 Windows Server 2003。图 1.6 显示了 Trey Research 公司的过渡时期环境。图 1.6 Trey Research 公司的过渡时期环境后来，Contoso 公司决定欧洲、中东和亚洲地区共用一个域将更具成本效益，因此部署过程中的最后一步是通过使用 ADMT 将重组到域中。图 1.7 显示了在收购 Trey Research 公司并完成 Windows Server 2003 Active Directory 部署过程之后 Contoso 公司的域结构。图 1.7 Contoso 公司和 Trey Research 公司的最终环境测试和验证部署过程在任何 Active Directory 部署中，都可以通过对设计假定进行测试和在试验计划中验证部署过程来最大限度地减小对常规业务运营的影响。请在创建 Active Directory 设计的初稿时便开始进行测试和验证。测试和验证始于设计阶段，并持续到部署和操作阶段。图 1.8 显示了对 Active Directory 的设计和部署进行测试和验证的过程。图 1.8 测试和验证 Active Directory 的设计和部署在实验室环境中测试设计和部署实验室测试是对 Active Directory 设计的首次评估。在实验室测试期间，需要对设计师做出的设计假定加以确认。在 Active Directory 设计的初稿接近完成时，开始在实验室环境中对部署过程中的特定设计假定进行测试。通过在实验室中测试部署过程，可以发现会影响部署过程的潜在设计问题，并能为设计团队提供反馈，以便在部署之前纠正问题。确保测试用的实验室环境与组织的其余生产网络相隔离，并且能够小规模地代表组织中计算机的硬件和操作系统配置。在实验室环境中加入足够的域控制器，以支持具有代表性的站点设计示例，其中包括站点内和站点间复制合作伙伴、站点链接以及现实复制间隔。加入用户和组帐户以及其他专为进行测试而指定的资源。确保测试环境能够根据需要提供对外部服务测试配置的访问（如大型机或 Internet 访问）。永久性地保留实验室，以便对新程序进行测试和对部署团队进行培训。部署团队可以利用实验室环境来了解部署过程的细节以及熟悉 Active Directory 部署过程中使用的部署和迁移工具。通常情况下，设计假定测试和部署过程测试由不同的团队执行。表 1.4 列出了实验室测试和在实验室中执行测试的团队成员。表 1.4 实验室测试和相应的团队成员测试流程实验室测试团队成员测试设计假定条件分析 Active Directory 复制和站点拓扑。设计团队、站点拓扑所有者和部署团队。测试应用程序和桌面兼容性。设计团队。测试部署过程测试灾难恢复。林所有者和部署团队。测试帐户和资源迁移。林所有者和部署团队。评估委派、行政管理和管理。林所有者。测试设计假定在设计过程中，设计团队会做出一些假定（如 Active Directory 复制和应用程序兼容性方面的假定），这些假定将纳入到 Active Directory 设计中。该团队完成设计初稿后，必须在实验室环境中验证这些假定。要在实验室环境中测试设计假定，设计团队必须完成以下工作： · 分析 Active Directory 复制站点拓扑。 · 制定一个测试计划，然后测试应用程序和桌面兼容性。分析 Active Directory 复制和站点拓扑站点拓扑设计规定最大复制执行时间。这是复制整个林的更改所需的时间长度。设计团队必须确保整个林的复制执行时间不超过设计中规定的最大复制执行时间。该团队必须执行最坏情况测试，该测试基于设计中假定的最大跃点数。该团队必须遵守域控制器或通信链路发生故障时进行复制恢复所需的时间。分析 Active Directory 的站点间复制站点故障转移 1. 使用“Active Directory 站点和服务”来确定负责进行站点间复制的域控制器。 2. 断开进行站点间复制时使用的域控制器的连接或禁用进行站点间复制时使用的通信链路。 3. 允许知识一致性检查器 (KCC) 自动配置新的复制拓扑。 4. 确定现在负责进行站点间复制的域控制器。 5. 重新连接域控制器或启用通信链路。 6. 验证站点间复制拓扑是否恢复了初始状态，即步骤 1 中所确定的状态。验证应用程序和桌面兼容性设计团队还必须确定应用程序、桌面操作系统和 Active Directory 之间的兼容性。通常，除了远程访问使用之外，应用程序测试中受 Active Directory 迁移或升级影响的方面还包括在服务器和客户端计算机上运行的应用程序。通过创建所有关键应用程序的列表来验证应用程序和桌面兼容性设计假定。让设计团队成员测试每个应用程序以确保每个应用程序在迁移后的环境中正常运行。验证应用程序和桌面兼容性时，请验证以下内容： · 现有服务器应用程序（例如当前在 Windows NT 4.0 备份域控制器 (BDC) 上运行的那些服务器应用程序）能否在基于 Windows Server 2003 的成员服务器和域控制器上运行。例如，一些在 BDC 上运行的服务器应用程序利用了“共享本地组”。要在基于 Windows Server 2003 的域控制器上运行这些服务器应用程序，则验证这些应用程序能否通过使用 Active Directory 域本地组正常运行。 · 在基于 Windows Server 2003 和基于 Windows NT 4.0 的混合服务器上运行的服务器应用程序之间能否进行互操作。例如，验证运行 Microsoft® SQL Server™ 的基于 Windows Server 2003 的服务器能否与运行同一应用程序的基于 Windows NT 4.0 的服务器交互。 · 将域基础结构迁移到 Windows Server 2003 Active Directory 后，现有桌面应用程序能否正常运行。 · 将域基础结构迁移到 Windows Server 2003 Active Directory 后，使用集成的 Windows 安全功能的现有应用程序能否正常运行。如果发现服务器应用程序无法迁移到基于 Windows Server 2003 的域控制器，则可以尝试在基于 Windows Server 2003 的成员服务器上重新安装该应用程序或该应用程序的较新版本。如果无法在运行 Windows Server 2003 的服务器上运行该应用程序，则可以继续在运行 Windows NT 4.0 或 Windows 2000 的服务器上运行该应用程序。向设计团队提供反馈，说明该服务器应用程序的域无法进行原位升级或合并，必须一直保留到该应用程序发布了可以在基于 Windows Server 2003 的域控制器上运行的版本时为止。作为一个长期部署目标，将当前在域控制器上运行的所有应用程序都转换到成员服务器。测试部署过程在试验计划开始前的实验室环境中，部署团队必须对 Active Directory 部署过程最基本的特定任务进行测试，例如测试从 Windows NT 4.0 向 Windows Server 2003 Active Directory

展开阅读全文