【51CTO.com快譯】引言：在域控制器上更改網絡設置通常會是一個危險的過程，因此大家最好避免發生。但是如果您必須這樣做的話，這里給您一些值得參考的“小貼士”。

活動目錄域控制器(Active Directory domain controllers)應該是服務器上最不應該發生變化的服務了。它一般被用于協助域去驗證用戶和設備，因此一旦設置完成，最好是保持不變，特別是在涉及到其對應的主機名或網絡詳細信息的時候。

雖然業界曾流傳過一句沒腦子的斷言：對于域控制器的重命名幾乎是永遠不會發生的事情。但實際上，在企業的運營過程中，您遲早會碰到這一天的到來，而且您必須對網絡的設置做出相應的調整。比如說：在一家公司發生并購的時候，也許其相應的子網也要發生重組、甚至被淘汰;而與此同時，新的子網會被引入，或者由于一些其他的因素，各個域控制器也要得到加固。

如果您已經設置了冗余的域控制器(就像任何經驗豐富的IT專業人士所常做的那樣)，那么將一個子網移至他處，相對來說還是比較容易的。而當兩個子網同時被移動，并導致各個客戶端計算機繼續根據它們以往IP地址去尋找域控制器，卻又無法找到的時候，痛點就可能會出現了。因此我并不建議這么做，因為它可能會導致各種連接上的問題，甚至會引起中斷。但是如果您必須這樣做的話，下面給您提供一條值得謹慎借鑒的“道路”。

這里會羅列出成功實現域控制器網絡遷移的七個小貼士。

1. 檢查并建立您的防火墻規則

防火墻規則，尤其是在復雜的環境中，很可能會造成巨大的麻煩。因此您需要確保子網之間所必需的流量，能夠適用于在客戶端和域控制器之間、各個域控制器之間所可能進行的通信。

所以無論您是要建立新的訪問規則、還是簡單地擴展您的已有規則，防火墻的設置都是非常關鍵。否則，您會發現在這些流量與域控制器企圖進行“對話”的時候，系統會出現一些非常奇怪的行為和現象。

請至少保證如下的端口處于開啟狀態：

微軟還指出:“在一個擁有基于Windows Server®2003域控制器的環境中，其默認的動態端口范圍是從1025到5000。而根據互聯網數字分配機構(Internet Assigned Numbers Authority，IANA)的建議，Windows Server 2008 R2和Windows Server 2008增加了動態端口連接的范圍。新的默認區間是從端口49152到65535。”

這是一個較寬的范圍，甚至超出了您的真實所需。因此，請檢查上述微軟設定的鏈接，以確保訪問連接能夠到位。

2. 在AD上配置站點和子網

如果您要對域控制器所處的子網進行實質性的變更的話，請認真遵循如下的步驟(當然，如果您只是想改變IP地址，而將其保持在原有的網絡環境中的話，則可以忽略此步驟)。

活動目錄使用既定的網站和子網來進行通訊、復制和其他后臺操作性的任務。

因此，設置好活動目錄相應的子網，對于確保域環境能夠持續健康地運行是至關重要的。您最好按需來添加子網，并仔細復查各種和域環境有關的配置。同時，請不要提前移除任何即將“退役”的子網(如尚能使用的話)，直到它們確實已被棄用。

3. 重點考慮DNS

DNS記錄是確保客戶端能夠持續與它們的域控制器進行順暢通信的重要條件之一。如果您使用的是動態DNS，那么只要您變更了域控制器的IP地址，那么其DNS記錄也會做相應的更新;但是如果您使用的是靜態記錄的話，那么就需要在割接之后手動調整了(無論是哪一種方式，您都應該確認其對應記錄的準確到位)。同時一定要檢查與這些主機相關聯的任何其他的靜態記錄，當然也包括正向和反向的DNS區域。

如果您的域控制器同時也為一些備用服務器提供DNS信息的話，您需要考慮的就不僅僅是活動目錄的DNS記錄那么簡單了，您需要檢查各種相關的設置，以發現更多需要更新的內容。

4. 檢查主機(host)文件

雖然從表面上看，如今管理和使用DNS已經非常容易了，而再去擔心主機文件的更新會略顯多余。但是不管您是否相信，主機文件仍然被業界所頻繁地使用著，特別是在一些生產環境中，或者是在DNS出現故障而導致域名解析困難的時候。

如果您在遷移的過程中涉及到幾十、甚至上百個系統的話，逐一檢查每臺機器的主機文件將會是一個非常繁瑣的過程。您可以使用一個簡單的Windows批處理文件來實現(注意：您必須對各個目標系統擁有管理員的權限。在本例中，Windows文件夾被安裝在C盤上，并以C$的形式被默認共享)。

• 創建一個名為c:\results的文件夾。
• 創建一個包含所有目標主機名的文本文件，然后將其保存到c:\results\computers.txt中用作檢查。
• 創建一個文本文件，并包含如下一行內容：

FOR /F "tokens=1" %%i in (computers.txt) do xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt 

• 將文件保存為c:\results\hostck.bat
• 運行c:\results\hostck.bat。

該文件的運行會去訪問每個目標系統的主機文件，然后將其復制到c:\results文件夾，并以相應的計算機名來命名其文件。

然后根據您的修改，在c:\results文件夾里搜索相關的IP地址。您也可以按需在目標系統上進行同樣的操作。顯然，這樣做有些繁瑣，您可能要等到實際的變化發生之后才會去逐步操作。因此，我們在此也提供一個簡單更新主機文件的方法：您可以創建一個批處理文件，命名為：c:\results\hostupdt.bat，其內容如下：

FOR /F "tokens=1" %%i in (computers.txt) do xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y 

5. 配置管理軟件

諸如Puppet或Chef這樣的配置管理軟件，能夠捕獲域控制器的IP地址，以及子網物理連接，甚至能夠生成各種主機文件。不過，配置管理客戶端有時也會根據統一性將您的一些主機文件的改變自動更正回來，因此請記得手動檢索一下您的域控制器的當前IP地址。

6. 確保虛擬機相關網絡(如果適用)的存在與可用

如果您是在虛擬機上將一個域控制器遷移到另一個子網的話，請確保在虛擬環境中已經搭建了該子網，并且能夠被虛擬機的管理程序所發現和調用。

當然，如果各個虛擬機的客戶端只是與域控制器進行簡單通信的話(記得要在第1步的防火墻規則中允許此類通信)，您也不一定需要將該子網添加到虛擬環境中。不過，如果您打算讓客戶端與域控制器直接通信，而不必通過防火墻規則做檢查的話，還是值得去考慮加入到虛擬環境中的。

7. 制定和執行您的計劃

至此，各種設置已經準備到位，您可以開始制定并執行您遷移的計劃了。您應當提前向用戶告知遷移時間，當然最好是放在非工作時間進行，從而把影響降到最小。

請確保在新的網絡設置環境中，一次只更新一臺服務器。如有需要可以進行諸如修改配置軟件、部署主機文件、或更新DNS記錄等實時的調整。

如果可能，請在轉換過程中實時監控網絡流量，以確保各個客戶端能夠與新的環境中的服務器持續通信。您可以嘗試著去ping它們，或是運行NSLOOKUP命令，也可以通過在Windows資源管理器中訪問域控服務器，以確認您能查看到SYSVOL和NETLOGON的共享。您甚至可以通過關停其他的域控制器，來確認自己可以順利登錄到域中，并能訪問到活動目錄的資源。

一旦您完成了所有域控制器的切換，請確認原來與域控服務器交互協作的其他系統，如備用DNS服務器仍能照常互動。比如說您可以確認它們是否能以正常的方式從域控服務器上拉取各種區域文件(zone file)。

如果您碰到了無法解決的問題，而可能需要恢復到原有的域控制器和其原先的網絡設置的話，那么請不要猶豫這樣做。不過請記住這只是“緩兵之計”，您仍需要根據實際情況逐步進行排查。比如說，您可以根據域控制器里事件日志中的錯誤來研究并發現線索，從而確定下一步的行動步驟，并進一步完成該遷移項目。

標題：You shouldn't change domain controller network settings, but here's how to do it if you must，作者: Scott Matteson

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】