Actualizando el Directorio Activo a Windows Server 2012
En este documento veremos cómo actualizar la infraestructura de nuestro Directorio Activo a la última versión, Windows Server 2012, este proceso es mucho más sencillo que en versiones anteriores ya que el proceso de promoción nos preparará el D.A. e instalará requisitos necesarios,
El nivel funcional del bosque de nuestro D.A. será al menos ‘Windows Server 2003″ para continuar, si no, lo elevaremos!
Se podría realizar una actualización del propio DC si su S.O. es Windows Server 2008 o Windows Server 2008 R2, si tenemos unos DC’s con la edición Standard o Enterprise, los podremos subir a Standard o Datacenter.
Previa a cualquier migración, tendremos que confirmar que nuestro Directorio Activo es coherente, la replicación entre todos los controladores de dominio es correcta y estaría bien hacer una pequeña limpieza de los metadatos.
– DCDIAG. Ejecutando “dcdiag.exe > FICHERO_DE_LOG” para obtener los diagnosticos de cada controlador de dominio. Además analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo.
– REPADMIN. Ejecutando “repadmin.exe /showreps > FICHERO_DE_LOG” comprobaremos que las réplicas entre sitios y entre controladores de dominio es correcta.
– GPOTOOL. Ejecutando “gpotool.exe > FICHERO_DE_LOG” comprobaremos el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones.
Tenemos aquí una guía algo vieja pero igual de últil donde se explica cómo realizar ciertos tests o auditorías de nuestro DA o que también nos aclarará conceptos sobre ciertos términos.
Como comentamos antes, la preparación del Directorio Activo será opcional, ya que a la hora de promocionar nuestro primer controlador de dominio Windows 2012 se realizarán todas las pruebas necesarias cumpliendo todos los requisitos y nos lo preparará, pero podremos ejecutarlo si queremos pasarle parámetros opcionales a nuestro DA.
Lo primero que realizaremos será preparar el Directorio Activo para permitir disponer controladores de dominio con Windows Server 2012, lo haremos con la herramienta ADPREP que ahora sólo está disponible para sistemas de 64 bits. Ejecutaremos ‘adprep.exe /forestprep’
para preparar el esquema del AD desde cualquier servidor miembro del dominio.
‘adprep.exe /domainprep /gpprep’ para preparar cada dominio, deberemos ser: Scheme Admins, Enterprise Admins o Domain Admins.
Y opcionalmente ‘adprep.exe /rodcprep ‘ por si nos interesase tener en nuestro Directorio Activo controladores de dominio de sólo lectura. Bastará con ser Domain Admins para su ejecución.
Sencillamente para promocionar el nuevo DC en Windows Server 2012, tendremos que agregarle el Rol ADDS desde el Administrador del servidor > “Agregar roles y características”,
En Roles de servidor, seleccionamos “Servicios de dominio de Active Directory”,
Instalamos el rol que requerirá reinicio del servidor tras configurar la promoción de este equipo,
…
Pulsamos en “Promover este servidor a controlador de dominio”,
En este caso como vamos a migrar nuestro dominio 2003 (2008 o 2008 R2) a 2012, seleccionaremos “Agregar un controlador de dominio a un dominio existente”,
Haremos que este equipo sea servidor DNS y catálogo global, además de establecer una contraseña si necesitamos en el Modo de restauración de servicios de directorio,
Podemos especificar que replicaremos desde un DC en concreto así como importar la configuración del AD de forma manual con un archivo marcando ‘Instalar desde medios’.
Carpetas predeterminadas para la base de datos, archivos de registro o la carpeta SYSVOL,
Confirmarmos en el asistente que es todo correcto,
El asistente de promoción nos mostrará si cumplimos los requisitos previos, y se nos promocionará este servidor 2012 como parte de nuestros controladores de dominio. El equipo se reiniciará y ya estará listo para traer el resto de servicios que corra en algún servidor que querramos despromocionar posteriormente.
Para mover los FSMO ráplidamente a nuestro controlador de dominio 2012, podremos hacerlo por línea de comandos con ‘ntdsutil’, ejecutando:
ntdsutil: roles fsmo maintenance: connections server connections: connect to server NOMBRE_DC_SERVER_2012 server connections: q fsmo maintenance: transfer naming master fsmo maintenance: transfer infrastructure master fsmo maintenance: transfer PDC fsmo maintenance: transfer RID master fsmo maintenance: transfer schema master
A parte de los FSMO, habría que repasar nuestro DNS para confirmar que tenemos las zonas DNS de nuestra organización, configuraciones a tener en cuenta:
– Transferencias de zona: Se deben configurar transferencias de zona al nuevo servidor. Desde la consola DNS de cualquer servidor, en las propiedades de la zona nos vamos a la pestaña “Transferencias de zona”, habilitaremos la opción “Permitir transferencias de zona” y “Sólo a los servidores nombrados en la ficha Servidores de nombres”. Nos vamos a la pestaña “Servidores de nombres” y agregamos si no estuviese el servidor DNS destino.
– Cambios en los equipos clientes: Deberemos de cambiar dicha configuración en nuestro servidor DHCP apuntando a los nuevos servidores DNS o directamente en los equipos (si tienen direccionamiento de IP fija) siguiendo este documento o mediante GPO!
Este sería un pantallazo a la hora de promocionar el controlador de dominio Windows Server 2012 si no hemos ejecutado previamente ‘adprep’, la instalación lo haría de forma automática!
Posteriormente ya podremos realizar la despromoción de los servidores antiguos: Antes de despromocionar un controlador de dominio, tenemos que tener en cuenta qué servicios pueden depender de él, si disponemos de aplicaciones LDAP que apunten a él, o organizaciones Exchange, todo ello deberemos modificar para no tener problemas. Para despromocionar un controlador de dominio Windows 2003, 2008, o 2008 R2 ejecutaremos DCPROMO y seguiremos el asistente. Una vez finalizado el asistente y pasado un tiempo de réplica debemos comprobar que no quedan restos y si no, eliminar los antiguos controladores de dominio de las referencias que encontremos, cómo en las transferencias de zona de nuestros servidores DNS o en la Unidad Organizativa de “Domain Controllers”, ni deben salir reflejados en la consola de “Sitios y servicios de Active Directory” además de realizar una limpieza en nuestro Directorio Activo. Totalmente recomendable usar ADSIEdit para una correcta limpieza.
Por último, ya podremos realizar la elevación del nivel funcional del bosque y del dominio: Una vez tengamos todos los controladores de dominio basados en Windows Server 2012, podremos elevar el nivel funcional del bosque y del dominio(s) a “Windows Server Server 2012”. Desde la consola “Dominios y confianzas de Active Directory”, con botón derecho en cada dominio > “Elevar el nivel funional del dominio…”. Posteriormente realizaremos lo mismo para nuestro bosque desde la misma consola, con botón derecho en “Dominios y confianzas de Active Directory” > “Elevar el nivel funional del bosque…”.
Novedades de las nuevas funcionalidades en el Directorio Activo de Windows 2012: http://technet.microsoft.com/en-us/library/hh831477.aspx