Actualizando el Directorio Activo a Windows Server 2012

Inprimatzeko Lagunkoa, PDF eta Email

En este documento veremos cómo actualizar la infraestructura de nuestro Directorio Activo a la última versión, Windows Server 2012, este proceso es mucho más sencillo que en versiones anteriores ya que el proceso de promoción nos preparará el D.A. e instalará requisitos necesarios,

El nivel funcional del bosque de nuestro D.A. será al menos ‘Windows Server 2003″ jarraitzeko, baina ez badugu, lo elevaremos!

Se podría realizar una actualización del propio DC si su S.O. es Windows Server 2008 o Windows Server 2008 R2, si tenemos unos DC’s con la edición Standard o Enterprise, los podremos subir a Standard o Datacenter.

Previa a cualquier migración, tendremos que confirmar que nuestro Directorio Activo es coherente, la replicación entre todos los controladores de dominio es correcta y estaría bien hacer una pequeña limpieza de los metadatos.

– DCDIAG. Ejecutando “dcdiag.exe > FICHERO_DE_LOG” para obtener los diagnosticos de cada controlador de dominio. Además analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo.

– REPADMIN. Ejecutando “repadmin.exe /showreps > FICHERO_DE_LOG” comprobaremos que las réplicas entre sitios y entre controladores de dominio es correcta.

– GPOTOOL. Ejecutando “gpotool.exe > FICHERO_DE_LOG” comprobaremos el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones.

Tenemos aquí una guía algo vieja pero igual de últil donde se explica cómo realizar ciertos tests o auditorías de nuestro DA o que también nos aclarará conceptos sobre ciertos términos.

 

Como comentamos antes, la preparación del Directorio Activo será opcional, ya que a la hora de promocionar nuestro primer controlador de dominio Windows 2012 beharrezko proba guztiak egingo dira, eskakizun guztiak betez eta prestatuko digu, baina gure DAri parametro aukeragarriak pasatzea nahi badugu exekuta dezakegu.

Lehenengo egingo duguna da Active Directory prestatu, Windows Server duten domeinu kontrolatzaileak izan ahal izateko 2012, ADPREP tresnarekin egingo dugu, orain sistema hauetan soilik eskuragarri dagoena 64 bits. ‘adprep.exe /forestprep' exekutatuko dugu’

ADren eskema prestatzeko domeinu kide den edozein zerbitzaritatik.

 

‘adprep.exe /domainprep /gpprep'’ domeinu bakoitza prestatzeko, izamango gara: Scheme Admins, Enterprise Admins edo Domain Admins.

 

eta, aukeraz, ‘adprep.exe /rodcprep' ‘ gure Active Directoryn irakurketa bakarreko domeinu kontrolatzaileak izatea interesatzen bazaigu. Bastará con ser Domain Admins para su ejecución.

 

Sencillamente para promocionar el nuevo DC en Windows Server 2012, tendremos que agregarle el Rol ADDS desde el Administrador del servidor > “Agregar roles y características”,

 

En Roles de servidor, seleccionamos “Servicios de dominio de Active Directory”,

 

Instalamos el rol que requerirá reinicio del servidor tras configurar la promoción de este equipo,

 

 

Sakatu on “Promover este servidor a controlador de dominio”,

 

En este caso como vamos a migrar nuestro dominio 2003 (2008 edo 2008 R2) a 2012, seleccionaremos “Agregar un controlador de dominio a un dominio existente”,

 

Haremos que este equipo sea servidor DNS y catálogo global, además de establecer una contraseña si necesitamos en el Modo de restauración de servicios de directorio,

 

Podemos especificar que replicaremos desde un DC en concreto así como importar la configuración del AD de forma manual con un archivo marcando 'Instalar desde medios'.

 

Carpetas predeterminadas para la base de datos, archivos de registro o la carpeta SYSVOL,

 

Confirmarmos en el asistente que es todo correcto,

 

El asistente de promoción nos mostrará si cumplimos los requisitos previos, y se nos promocionará este servidor 2012 como parte de nuestros controladores de dominio. El equipo se reiniciará y ya estará listo para traer el resto de servicios que corra en algún servidor que querramos despromocionar posteriormente.

 

FSMOak azkar gure domeinu kontroladoreari mugitze aldera 2012, 'ntdsutil' komando-lerrotik egin ahal izango dugu, exekutatuz:

ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server NOMBRE_DC_SERVER_2012
server connections: q
fsmo maintenance: transfer naming master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: schema master transferitu

 

FSMOetaz gain, gure DNSa berrikusi beharko genuke, gure erakundearen DNS eskualdeak dauzkagula egiaztatzeko, kontuan hartzeko konfigurazioak:

– Zona-transferentziak: Zona-transferentziak konfiguratu behar dira zerbitzari berrian. Edozein zerbitzariren DNS kontsolatik, eskualdearen propietateetan 'Transferentzia-leihoak' fitxara joango gara, habilitaremos la opción “Permitir transferencias de zona” y “Sólo a los servidores nombrados en la ficha Servidores de nombres”. Nos vamos a la pestaña “Servidores de nombres” y agregamos si no estuviese el servidor DNS destino.
– Bezeroen ekipamenduan aldaketak: Deberemos de cambiar dicha configuración en nuestro servidor DHCP apuntando a los nuevos servidores DNS o directly en los equipos (si tienen direccionamiento de IP fija) siguiendo hau documento o mediante GPO!

 

Este sería un pantallazo a la hora de promocionar el controlador de dominio Windows Server 2012 si no hemos ejecutado previamente ‘adprep’, la instalación lo haría de forma automática!

Posteriormente ya podremos realizar la despromoción de los servidores antiguos: Antes de despromocionar un controlador de dominio, tenemos que tener en cuenta qué servicios pueden depender de él, si disponemos de aplicaciones LDAP que apunten a él, o organizaciones Exchange, todo ello deberemos modificar para no tener problemas. Para despromocionar un controlador de dominio Windows 2003, 2008, edo 2008 R2 ejecutaremos DCPROMO y seguiremos el asistente. Laguntzailea amaitutakoan eta erreplika denbora igaro ondoren egiaztatu behar dugu ez dagoela hondarrik eta badago, eliminar los antiguos controladores de dominio de las referencias que encontremos, cómo en las transferencias de zona de nuestros servidores DNS o en la Unidad Organizativa de “Domain Controllers”, ni deben salir reflejados en la consola de “Sitios y servicios de Active Directory” además de realizar una limpieza en nuestro Directorio Activo. Totalmente commendable usar ADSIEdit para una correcta limpieza.

Azkenik, ya podremos realizar la elevación del nivel funcional del bosque y del dominio: Una vez tengamos todos los controladores de dominio basados en Windows Server 2012, podremos elevar el nivel funcional del bosque y del dominio(s) a “Windows Server Server 2012”. Desde la consola “Dominios y confianzas de Active Directory”, con botón derecho en cada dominio > “Elevar el nivel funional del dominio...”. Posteriormente realizaremos lo mismo para nuestro bosque desde la misma consola, con botón derecho en “Dominios y confianzas de Active Directory” > “Elevar el nivel funional del bosque...”.

Windowseko Aktibo Zuzendariaren funtzionalitate berrien berriak 2012: http://technet.microsoft.com/en-us/library/hh831477.aspx

Izenburuko mezuak

Windows-eko metrikak Prometheus eta Grafana-rekin
Irakurri
gordetako gailuetako sarbideak aztertzen
Irakurri
VPN Citrix NetScaler III-rekin - Ziurtagiriekin autentifikazioa
Irakurri
Crowdsec Windows makin batean ezartzen
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

vSphere segurtasun gida dago jada eskuragarri 5.1

16 apiriletik 2013

Windows Server domeinu kontrolatzaileak kloheatzea 2012

2 de May de 2013