Actualitzant el Directori Actiu a Windows Server 2012

Print Friendly, PDF i correu electrònic

En aquest document veremos com actualitzar la infraestructura del nostre Director Actiu a la darrera versió, Windows Server 2012, aquest procés és molt més senzill que en versions anteriors ja que el procés de promoció preparem el D.A. instal·larà requisits necessaris,

El nivel funcional del bosque de nuestro D.A. será al menos ‘Windows Server 2003″ per continuar, si no, lo elevaremos!

Se podría realizar una actualización del propio DC si su S.O. es Windows Server 2008 o Windows Server 2008 R2, si tenemos unos DC’s con la edición Standard o Enterprise, los podremos subir a Standard o Datacenter.

Previa a cualquier migración, tendremos que confirmar que nuestro Directorio Activo es coherente, la replicació entre tots els controladores de domini es correcta y estaría bé fer una petita neteja de les metadats.

– DCDIAG. Executant “dcdiag.exe > FITXER_DE_LOG” per obtenir els diagnòstics de cada controlador de domini. A més analitza l'estat d'un o tots els controladors de domini en un bosc i informa de qualsevol problema per facilitar la resolució del mateix.

– REPADMIN. Executant “repadmin.exe /showreps > FITXER_DE_LOG” comprovarem que les rèpliques entre llocs i entre controladors de domini són correctes.

– GPOTOOL. Executant “gpotool.exe > FITXER_DE_LOG” comprovarem l'estat de cada directiva que tinguem en el nostre Directori Actiu, podem tenir falles en la replicació i tenir la mateixa GPO en diferents llocs amb diferents configuracions.

Tenemos aquí una guía algo vieja pero igual de últil donde se explica cómo realizar ciertos tests o auditorías de nuestro DA o que también nos aclarará conceptos sobre ciertos términos.

 

Como comentamos antes, la preparación del Directorio Activo será opcional, ya que a la hora de promocionar nuestro primer controlador de dominio Windows 2012 se realizarán todas las pruebas necesarias cumpliendo todos los requisitos y nos lo preparará, pero podremos ejecutarlo si queremos pasarle parámetros opcionales a nuestro DA.

Lo primero que realizaremos será preparar el Directorio Activo para permitir disponer controladores de dominio con Windows Server 2012, lo haremos con la herramienta ADPREP que ahora sólo está disponible para sistemas de 64 bits. Ejecutaremos ‘adprep.exe /forestprep

para preparar el esquema del AD desde cualquier servidor miembro del dominio.

 

‘adprep.exe /domainprep /gppreppara preparar cada dominio, deberemos ser: Scheme Admins, Enterprise Admins o Domain Admins.

 

Y opcionalmente ‘adprep.exe /rodcpreppor si nos interesase tener en nuestro Directorio Activo controladores de dominio de sólo lectura. Bastará con ser Domain Admins para su ejecución.

 

Sencillamente para promocionar el nuevo DC en Windows Server 2012, tendremos que agregarle el Rol ADDS desde el Administrador del servidor > “Agregar roles y características”,

 

En Roles de servidor, seleccionem “Serveis de domini d' Active Directory”,

 

Instalamos el rol que requerirá reinicio del servidor tras configurar la promoción de este equipo,

 

 

Posem en “Promover este servidor a controlador de dominio”,

 

En este caso como vamos a migrar nuestro dominio 2003 (2008 o 2008 R2) a 2012, seleccionarem “Agregar un controlador de dominio a un dominio existente”,

 

Haremos que este equipo sea servidor DNS y catálogo global, además de establecer una contraseña si necesitamos en el Modo de restauración de servicios de directorio,

 

Podemos especificar que replicaremos desde un DC en concreto así como importar la configuración del AD de forma manual con un archivo marcando ‘Instalar desde medios’.

 

Carpetas predeterminadas para la base de datos, archivos de registro o la carpeta SYSVOL,

 

Confirmarmos en el asistente que es todo correcto,

 

El asistente de promoción nos mostrará si cumplimos los requisitos previos, y se nos promocionará este servidor 2012 como parte de nuestros controladores de dominio. El equipo se reiniciará y ya estará listo para traer el resto de servicios que corra en algún servidor que querramos despromocionar posteriormente.

 

Para mover los FSMO ráplidamente a nuestro controlador de dominio 2012, podremos hacerlo por línea de comandos con ‘ntdsutil’, executant:

ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server NOMBRE_DC_SERVER_2012
server connections: q
fsmo maintenance: transfer naming master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer schema master

 

A parte de los FSMO, habría que repasar nuestro DNS para confirmar que tenemos las zonas DNS de nuestra organización, configuraciones a tener en cuenta:

– Transferències de zona: S'han de configurar transferències de zona al nou servidor. Des de la consola DNS de qualsevol servidor, en las propiedades de la zona nos vamos a la pestaña “Transferencias de zona”, habilitaremos la opción “Permitir transferencias de zona” y “Sólo a los servidores nombrados en la ficha Servidores de nombres”. Nos vamos a la pestaña “Servidores de nombres” y agregamos si no estuviese el servidor DNS destino.
– Canvis en els equips clients: Haurem de canviar aquesta configuració al nostre servidor DHCP indicant els nous servidors DNS o directament als equips (si tenen adreça IP fixa) siguiendo aquest documento o mediante GPO!

 

Este sería un pantallazo a la hora de promocionar el controlador de dominio Windows Server 2012 si no hemos ejecutado previamente ‘adprep’, la instalación lo haría de forma automática!

Posteriormente ya podremos realizar la despromoción de los servidores antiguos: Abans de despromocionar un controlador de domini, hem de tenir en compte quins serveis poden dependre d'ell, si disposem d'aplicacions LDAP que apuntin a ell, o organitzacions Exchange, tot això haurem de modificar per no tenir problemes. Per despromocionar un controlador de domini Windows 2003, 2008, o 2008 R2 ejecutaremos DCPROMO y seguiremos el asistente. Un cop finalitzat l'assistent i passat un temps de rèplica hem de comprovar que no queden restes i, si no, eliminar els antics controladors de domini de les referències que trobem, com en les transferències de zona dels nostres servidors DNS o a la Unitat Organitzativa de “Domain Controllers”, ni han de sortir reflectits a la consola de “Llocs i serveis d'Active Directory” a més de realizar una neteja en el nostre Directori Actiu. Totalmente recomendable usar ADSIEdit para una correcta limpieza.

Finalment, ya podremos realizar la elevación del nivel funcional del bosque y del dominio: Una vez tengamos todos los controladores de dominio basados en Windows Server 2012, podremos elevar el nivell funcional del bosque y del domini(s) a “Windows Server Server 2012”. Des de la consola “Dominios y confianzas de Active Directory”, con botón derecho en cada domini > “Elevar el nivel funional del dominio…”. Posteriorment realizarem el mateix per al nostre bosc des de la mateixa consolació, amb el botó dret a “Dominios y confianzas de Active Directory” > “Elevar el nivel funional del bosque…”.

Novedades de las nuevas funcionalidades en el Directorio Activo de Windows 2012: http://technet.microsoft.com/en-us/library/hh831477.aspx

Posts recomanats

VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir
Mètriques de Windows amb Prometheus i Grafana
Llegir
Auditant els accessos a dispositius d' emmagatzematge extraïbles
Llegir
Desplegant Crowdsec en una màquina Windows
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Ja disponible la guia de seguretat de vSphere 5.1

16 d'April de 2013

Clonant controladors de domini Windows Server 2012

2 de May de 2013