奔向2003

随着Windows Server 2003的推出，广大企业用户，特别是Windows NT 4.0的用户，非常关心如何实现原有的Windows系统升级。升级工作一般比较复杂，涉及的面很广，微软为此也提供了许多工具。本文的目的是能够提供给系统管理员一个升级的框架，实现平滑地升级Windows NT 4.0的域到Windows Server 2003。通过介绍一些升级的关键经验和技巧，来最小化域控制器断开系统的时间，以保证升级的顺利进行。

在实际升级过程中，如何保留原有的应用和升级账号是比较主要的方面，也更容易出问题。因此，本文着重给予讨论。Windows Server 2003有多种不同的版本，本文主要描述的是企业版的升级，这些信息同样适用于Windows Server 2003的其他版本。

一、需求与策略

从Windows 2000 Server开始，增加了活动目录的功能。活动目录引入的重要特性，使其成为目前市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍，因此企业和组织能够利用活动目录处理最为复杂的企业网络应用环境。如果从Windows NT 4.0升级，企业将获得活动目录的各种优势。如果从Windows 2000 Server升级，企业可以保留所有Windows 2000活动目录的好处，并增加新的特性。

在升级策略方面，首先要考虑的是森林根域的布置，活动目录的升级是整合账号和域很好的一个机会，我们可以设置如下的升级策略。

1．直接升级

即直接把Windows NT4.0的账号域升级到Windows Server 2003活动目录。这样可以将原来的账号直接升级到Windows Server 2003活动目录当中。

2．分步升级

先将Windows NT 4.0当中较大的域升级到Windows Server 2003活动目录，然后使用活动目录迁移工具将其他Windows NT 4.0域当中的账号迁移到活动目录当中。

3．创建全新目录

创建全新的Windows Server 2003 活动目录作为根域，然后将Windows NT 4.0的域升级为其子域，使用LDP.EXE支持工具来手工配置森林及直接Interim方式的信任。

第一种升级方式，直接升级适用于单域的环境，可以简便地执行域的升级，步骤也较为简单; 第二种升级的方式适用域多个账户域升级的场景，步骤稍复杂一些；第三种方式完全使用了移植的方式，基于升级以后域和森林的架构，可以在第二种和第三种升级的方式当中做灵活的选择。

关于服务器升级的路径选择，请参考如下链接：/windowsserver2003/evaluation/whyupgrade/supportedpaths.mspx。在升级过程中，Windows NT 4.0的主域控制器（Primary Domain Controller，PDC）必须是每一个要升级的Windows NT 4.0域当中第一个Windows Server 2003域控制器（Domain Controller，DC）。

二、兼容与安全

在升级之前，要首先根据下面的检查列表执行一些规划和检查的工作，然后才能继续升级的工作，列表如下：

应用程序兼容性测试

客户端兼容性测试

定义好活动目录的名字空间

定义升级后森林的结构

将升级后的域作为安全边界，来决定域的个数。

组织单元的名字空间和托管权限的设置

组织单元的设计

站点和站点链接的定义

DNS名字空间和名字解析策略

DC位置和摆放的策略

升级DC还是安装新的DC来迁移账号?

限于篇幅，这里只对一些重点内容，包括应用程序兼容性测试和安全方面的考虑等进行说明。

1．应用程序兼容性测试

应用程序兼容性测试是为了保证升迁之前，基于Windows NT 4.0服务器和Windows NT 4.0域环境下面的应用程序能够在Windows Server 2003上正常运行。通常而言，大部分在Windows NT 4.0环境下面的应用程序都能够在Windows Server 2003和Windows 2000上面运行。导致应用升级之后不能运行的主要原因是：原来的应用程序在运行时要调用版本检查的API GetVersionEx来判断Windows的版本，然后做出是否运行的决定，比如主版本号是4.0允许运行，而主版本号是5.2（Windows Server 2003）就不能运行，这样的应用程序稍做修改，或者使用Windows Server 2003自带的兼容来启动应用程序，通常能够解决问题。Windows Server 2003当中还有专门的应用程序兼容性测试包来测试应用程序的兼容性，见图1。

微软站点上面也列出了2003下面能够运行和不能够运行的产品，请参考如下列表：/windowsserver2003/evaluation/suppapps/appdetails.mspx。

客户端也需要做兼容性测试，主要是测试老的客户端能否在新的域环境下面登录网络，访问资源。这部分测试不通过的原因在下面的“松绑”过程当中和服务器的安全策略设置当中都有一些介绍，主要原因可以从验证的协议（LM/NTLM/NTLMV2/Kerberos），以及匿名用户能否访问服务器，数据包的签名等方面考虑。但是要说明一点，客户端的兼容程度越高，通常代表了安全性的降低，作为网络管理员而言，需要在二者之间做一个很好的平衡，制定符合自己公司的安全策略，有关内容请参考微软官方网站的“Windows Server 2003 安全指南”（/resources/practices/completelist.asp）。

此外，微软还提供了Windows应用兼容性工具包（Windows Windows Application Compatibility Toolkit 3.0），这是微软随同Windows Server 2003一起的兼容性测试包。同样也能使用于除了Windows Server 2003以外的Windows 2000 SP3以上版本和Windows XP。这个工具包当中包含了如下组件：（1）应用程序兼容性分析器。可以简化兼容性测试；（2）Windows应用校验器。可以帮助开发和测试人员在开发阶段就找到通常的兼容性问题之所在; （3）兼容性管理器。可以利用一系列的兼容性修复程序在Windows平台上支持旧的应用程序。

2．安全方面的考虑

另外，在客户端和服务器升级到Windows Server 2003之后，因为Windows Server 2003的安全性增强，需要修改一些互操作方面的设置。分为如下几个方面。

（1）活动目录管理工具支持对LDAP数据流的签名

LDAP数据流的签名可以提高LDAP操作的安全性，但是所有Windows 2000 SP3之前的服务器不能够支持这个新的功能，作为解决办法可以使用安装过SP3之后的Windows 2000 Server管理工具来管理Windows 2000的DC，但是千万不要使用该工具来管理Windows Server 2003的域，应该使用Windows XP加装Windows Server 2003的管理工具，或者直接在Windows Server 2003对域进行远端的管理，更多的信息请参考微软知识库中的文章（/default.aspx?scid=kb;en-us;811765和/default.aspx?scid=kb;en-us;325465）。

需要允许Windows 2000之前客户端兼容性访问的功能，否则在升级当中和Windows NT 4.0的互操作会出现连接障碍。

（2）禁止匿名LDAP访问

默认情况下，匿名的LDAP访问是被禁止的，需要更改该设定，见图2。请参考如下微软知识库文章：/default.aspx?scid=kb;en-us;326690。

（3）改变安全性

在升级之前，源于安全性的增强，需要对老的客户端进行一些“松绑”的操作。要在Windows Server 2003 DC上面禁止“Enforce SMB Signing”安全策略。或者对老的客户端进行升级，见图3。对Windows 9x系统而言，安装Dsclient，请参考如下微软知识库：/default.aspx?scid=kb;en-us;323466。对Windows NT 4.0系统，需要SP3之后的服务包来支持，建议应用SP6a。对于其他客户端而言，建议应用最新的服务包。

(4)计算机和域的命名

在计算机名称和域名的设定方面，也要遵循活动目录当中的规范，比如Windows NT 4.0允许数字作为计算机名称，但是这样的名称在活动目录当中会出现问题。关于命名方面的要素，请参考如下知识库文章：/default.aspx?scid=kb;en-us;190294、 /default.aspx?scid=kb;en-us;245809和/default.aspx?scid=kb;en-us;300684。

在站点的命名方面，也不允许使用数字，请参考：/default.aspx?scid=kb;en-us;306085。

三、账号升级

在操作系统中，账号是进行管理的最重要的要素，它关系到系统资源的使用和安全等。下面主要讨论账号域升迁过程，分为以下一些步骤。

1．执行DC和域的检查

需要检查DC的名称和域名是否符合约定。在账号较多的情况下，需要增加对注册表的大小限制。

2．服务器的登录

接下来需要检查成员服务器和工作站的服务启动配置，如果服务启动使用本地系统账号，那么在连接到远程系统的时候始终使用匿名账号。

3．目录复制服务的重新配置

如果使用了Windows NT 4.0的目录复制，也就是LMREPL，则应该将目录复制服务重新配置在一台最后升级的备份域控制器（BDC）上面，保持目录复制的正常操作。

4．BDC使用

需要保持一台Windows NT 4.0 BDC的备份作为升级前的备份，挑选或者新建一台Windows NT 4.0 BDC，然后使用服务器管理器，使BDC和PDC保持完全同步。然后让BDC完全断线做备份。

5．升级PDC

使用WINNT32.EXE完成升级Windows NT 4.0 PDC的工作。

6．DC的设置

如果升级的是森林的根域，可以选择Interim模式。如果提升的不是森林的根域，在提升完成后也可以选择为Interim模式。然后配置“pre Windows 2000 兼容性访问”的组。

7．核查工作

后期的升级操作，放宽安全设置，核实DC的状态、NETLOGON和SYSVOL的共享存在、DC响应LDAP、RPC和登录请求，以及FRS在本地是否已经添加了需要复制的目录等等。

8．安装配置Lbridge

可以用Lbridge来同步Windows NT 4.0和Windows Server 2003间的文件。

9．升级BDC

升级过程同前面升级第一个PDC的过程相当。

10．善后工作

升级组织中的最后一个Windows NT 4.0的BDC，完成升级后移除LMbridge和Windows NT 4.0 Emulator值，并且可以准备将森林的级别予以切换。

对于Windows NT 4.0的资源域而言，通常使用活动目录管理工具ADMT v2.0的工具将用户迁移到活动目录的组织单元（OU）当中。这部分内容，请下载微软官方站点的ADMT工具（从/downloads/当中检索“admt”）。

四、升级常遇到的问题

在升级过程中也遇到不少的问题和解决办法，列举如下。

Windows NT 4.0域当中单个组的用户数目超过5000个的时候，不能直接升级为Windows 2003 Mixed Mode或者Windows 2003 Native Mode。这是由于Windows 2003活动目录设计之初的限制所决定的，作为解决办法，可以使用Windows 2003 Interim模式，这种模式可以共存Windows NT 4.0 DC和Windows Server 2003，所以把这种共存的模式叫做Windows Server 2003 interim模式。

命名方面，一方面，不能使用数字作为域名；另一方面，森林当中能够支持的最长域名为63个字符。在规划之前一定要注意。

从域的构架来看，强烈建议使用单层的森林和域层次结构。从技术角度而言，这样的机构可以满足大部分组织的需求，另外，单个根域可以支持最大850个子域，这样的数量对于现有的组织来说足够使用了。

一般而言，很少看到有Windows NT 4.0 PDC升级到Windows Server 2003失败的情况，但是在硬件、应用等诸多因素的作用下，还是强烈建议在升级之前能够有完整的BDC来做备份，避免意外事件的发生。

在Windows NT 4.0中，我们使用PDC来完成域当中所有对象的更改，然后将更改自动复制到BDC上面，这时候的改动工作相对比较简单，在Windows Server 2003域的环境中，所有的DC都可以同时执行对象的添加，删除和修改（读写操作）。为了完成并发的修改，我们添加了一些新的服务器角色来完成特定的工作，这些角色叫FSMO（flexible single master operations），微软知识库文章/default.aspx?scid=kb;en-us;223346专门描述FSMO的布置问题。

常有升级之后设置了过高的安全策略的情况，比如密码有复杂性的要求，我们发现大量的用户账号被锁出（Lockout）。所以建议升级之后能够放松账号锁定的阙值，比如15次。这样设置不会影响安全性的降低。

（作者地址：上海市龙华西路315-7-501，200232）

趋势科技eDoctor信箱

“哎，好怀念以前的日子啊！现在，该死的病毒越来越肆虐，害得我们每天为企业网络的正常运转忙得团团转，还总要挨老总的训斥，真不知道这种日子什么时候是个头儿。”上海一家外资企业的网管员小李对着同伴小王诉苦。

“是啊，如果网络感染了病毒，我们还得花更大的精力去做善后及清除工作，我都好几个礼拜没休息了，如果能有防毒厂商开发出具有主动预防策略并能自动更新的产品就好了。”小王也在发着牢骚。

目前，很多的网管员就像小王和小李一样，每天都在为保障企业网络的安全运行超负荷工作。据调查，在中国绝大多数企业还在使用传统的被动式杀毒产品。这种产品依据病毒代码库中的代码查杀病毒，这就需要不断完善病毒监测网、快速更新病毒代码库以确保网络的安全。

即使如此，对于这些采用被动式防毒产品的企业来说，在新的病毒码制作出来之前，企业只能眼看着病毒肆虐而无计可施。好不容易等到病毒码制作完成，病毒却已经在网络中大量繁殖和扩散，造成的损失因此也就不可避免了，同时企业还要花费大量的精力和时间去清除已进入网络中的病毒。

趋势科技是如何解决这一难题的呢？作为网络防毒与互联网内容安全软件及服务领域的全球领导者，趋势科技针对Nimda这类的混合型病毒，并经对全球100多位IT经理的调查，去年推出了企业安全防护战略（EPS，Enterprise Protection Strategy），这是防病毒领域一个划时代的伟大创举。EPS以创新的企业网络防毒中央控管系统及首创的病毒生命周期管理为核心，利用中央控管系统克服企业网络的复杂性、服务器的设置点和各种平台，能使网管员能够轻松地通过单点进行企业防毒网络的安装配置、监控与服务器端的维护工作。

在竞争对手还在比谁的病毒码更新得快的时候，趋势科技的EPS却已经在病毒事件爆发的15分钟内，也就是病毒码制作完成之前，提供一个病毒爆发预防策略，拦截试图入侵企业内的可疑数据，并冻结已经进入网络内的可疑数据，从而有效防止了新病毒在企业网络内扩散。这是一个类似预代码的概念，在正式病毒码制作出来之前，预代码可以起到及时有效的预防作用，从而有效防止了新病毒在企业网络内扩散。而且这个预代码的部署也是由趋势科技的中央控管软件自动完成的，十分简单方便。

您对网络防毒有什么疑问吗？请eMail至：.cn。 也许下期的论点就是您提的问题哟！我们会每周选择出20个精彩提问，赠送趋势科技精美礼品一份（T恤衫或CD盒），请在邮件中注明姓名、电话、电子邮件、工作单位、地址及职务等信息，否则礼品将无法送至。