Atualizando o Active Directory para Windows Server 2012

Impressão amigável, PDF & E-mail

Neste documento veremos como atualizar a infraestrutura do nosso Active Directory para a versão mais recente, Servidor Windows 2012, este proceso es mucho más sencillo que en versiones anteriores ya que el proceso de promoción nos preparará el D.A. e instalará requisitos necesarios,

O nível funcional do bosque do nosso D.A. será ao menos 'Windows Server 2003″ para continuar, caso contrário, o elevaremos!

Se poderia realizar uma atualização del próprio DC si su S.O. es Windows Server 2008 ou Windows Server 2008 R2, si tenemos unos DC's con la edición Standard o Enterprise, los podremos subir a Standard o Datacenter.

Previa a qualquer migração, tendremos que confirmar que o nosso Directorio Ativo es coherente, la replicación entre todos los controladores de domínio es correcta y estaría bem fazendo una pequeña limpieza de los metadatos.

– DCDIAG. Ejecutando “dcdiag.exe > FICHERO_DE_LOG” para obter los diagnósticos de cada controlador de dominio. Além disso, analisa o estado de um o todos los controladores de domínio num bosque e informa de qualquer problema para facilitar a resolução del mismo.

– REPADMIN. Ejecutando “repadmin.exe /showreps > FICHERO_DE_LOG” verificaremos que as réplicas entre sites e entre controladores de domínio estão corretas.

– GPOTOOL. Ejecutando “gpotool.exe > FICHERO_DE_LOG” verificaremos o estado de cada política que temos no nosso Diretório Ativo, podemos ter falhas na replicação e ter a mesma GPO em sites diferentes com configurações diferentes.

Temos aqui um guia um pouco antigo mas ainda assim útil onde se explica como realizar certos testes ou auditorias do nosso DA ou que também nos esclarecerá conceitos sobre certos termos.

 

Como comentámos antes, a preparação do Diretório Ativo será opcional, uma vez que à altura de promover o nosso primeiro controlador de domínio Windows 2012 se realizarán todas las pruebas necesarias cumpliendo todos los requisitos y nos lo preparará, pero podremos executarlo si queremos pasarle parâmetros opcionales a nosso DA.

Lo primero que realizaremos será preparar el Directorio Activo para permitir disponer controladores de domínio com Windows Server 2012, lo haremos con la herramienta ADPREP que ahora sólo está disponível para sistemas de 64 bits. Executaremos 'adprep.exe /forestprep’

para preparar el esquema del AD desde qualquer servidor miembro del dominio.

 

'adprep.exe /domainprep /gpprep’ para preparar cada domínio, deberemos ser: Scheme Admins, Enterprise Admins o Domain Admins.

 

Y opcionalmente 'adprep.exe /rodcprep ‘ por si nos interessassem ter no nosso Directorio Activo controladores de domínio de sólo lectura. Bastará ser Domain Admins para a sua execução.

 

Simplesmente para promover o novo DC em Windows Server 2012, teremos de adicionar-lhe o Papel ADDS a partir do Gestor do servidor > “Adicionar papéis e funcionalidades”,

 

Em Papéis de servidor, Selecionar “Serviços de Domínio do Active Directory”,

 

Instalamos o papel que requererá reinício do servidor após configurar a promoção deste computador,

 

 

Clique em “Promover este servidor a controlador de domínio”,

 

Neste caso, como vamos migrar o nosso domínio 2003 (2008 ou 2008 R2) Para 2012, Selecione “Agregar un controlador de domínio a um domínio existente”,

 

Faremos com que este computador seja servidor DNS e catálogo global, além de definir uma palavra-passe, se necessário, no Modo de restauração dos serviços de diretório,

 

Podemos especificar que replicaremos desde un DC en concreto así como importar la configuración del AD de forma manual con un archivo marcando ‘Instalar desde medios’.

 

Carpetas predeterminadas para la base de datos, archivos de registro o la carpeta SYSVOL,

 

Confirmarmos en el asistente que es todo correcto,

 

El asistente de promoción nos mostrará si cumplimos los requisitos previos, y se nos promocionará este servidor 2012 como parte de nuestros controladores de dominio. El equipo se reiniciará y ya estará listo para traer el resto de servicios que corra en algún servidor que querramos despromocionar posteriormente.

 

Para mover los FSMO ráplidamente a nuestro controlador de dominio 2012, podremos hacerlo por línea de comandos con ‘ntdsutil’, Executando:

ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server NOMBRE_DC_SERVER_2012
server connections: q
fsmo maintenance: transfer naming master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer schema master

 

A parte de los FSMO, habría que repasar nuestro DNS para confirmar que tenemos las zonas DNS de nuestra organización, configuraciones a tener en cuenta:

Transferencias de zona: Se deben configurar transferencias de zona al nuevo servidor. Desde la consola DNS de cualquer servidor, en las propiedades de la zona nos vamos a la pestaña “Transferencias de zona”, habilitaremos la opción “Permitir transferencias de zona” y “Sólo a los servidores nombrados en la ficha Servidores de nombres”. Nos vamos a la pestaña “Servidores de nombres” y agregamos si no estuviese el servidor DNS destino.
Cambios en los equipos clientes: Deberemos de cambiar dicha configuración en nuestro servidor DHCP apuntando a los nuevos servidores DNS o directamente en los equipos (si tienen direccionamiento de IP fija) siguiendo este documento o mediante GPO!

 

Este sería un pantallazo a la hora de promocionar el controlador de dominio Windows Server 2012 si no hemos ejecutado previamente ‘adprep’, la instalación lo haría de forma automática!

Posteriormente ya podremos realizar la despromoção de los servidores antiguos: Antes de despromocionar un controlador de dominio, tenemos que tener en cuenta qué servicios pueden depender de él, si disponemos de apps LDAP que apunten a él, o organizaciones Exchange, todo ello deberemos modificar para no tener problemas. Para despromocionar un controlador de domínio Windows 2003, 2008, ou 2008 R2 executaremos DCPROMO y seguiremos el asistente. Una vez finalizado el asistente y pasado un tiempo de réplica devemos comprovar que no quedan restos y si no, eliminar los antiguos controladores de domínio de las referências que encontremos, como en las transferências de zona de nossos servidores DNS o en la Unidad Organizativa de “Domain Controllers”, ni deben salir reflejados na consola de “Sitios y servicios de Active Directory” además de realizar una limpieza en nuestro Directorio Ativo. Totalmente recomendable usar ADSIEdit para una limpa correcta.

Último, ya podremos realizar la elevación del nível funcional del bosque y del dominio: Una vez tengamos todos los controladores de domínio baseados no Windows Server 2012, podremos elevar o nível funcional do bosque e do domínio(s) Para “Windows Server Server 2012”. Desde a consola “Dominios y confianzas de Active Directory”, com botão direito em cada domínio > “Elevar o nível unional do domínio...”. Posteriormente realizaremos o mesmo para o nosso bosque desde a mesma consola, con botón derecho en “Dominios y confianzas de Active Directory” > “Elevar o nível unional do bosque...”.

Novedades de las nuevas funcionalidades en el Directorio Ativo de Windows 2012: http://technet.microsoft.com/en-us/library/hh831477.aspx

Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Desplegando Crowdsec en una máquina Windows
Ler
Auditando o acesso a dispositivos de armazenamento removíveis
Ler
Métricas do Windows com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Guia de segurança do vSphere já disponível 5.1

16 Abril de 2013

Clonagem de controladores de domínio Windows Server 2012

2 de Maio de 2013