Migrando nuestro Directorio Activo a Windows 2008 R2
En este documento se explican los pasos para poder migrar un directorio activo basado en “Windows Server 2003” o “Windows Server 2008” a “Windows Server 2008 R2”, además de indicar los pasos recomendables a seguir o los requisitos a tener en cuenta.
Para migrar el Directorio Activo a Windows 2008 R2, debemos realizar los siguientes pasos:
0. Pre. Confirmar que nuestro Directorio Activo es coherente, la replicación entre todos los controladores de dominio es correcta y estaría bien hacer una pequeña limpieza de los metadatos. Además de cumplir con los requisitos.
Primero de todo, deberemos elevar el nivel funcional de nuestro bosque y de nuestro(s) dominios a “Windows Server 2003”. Desde la consola “Dominios y confianzas de Active Directory”, con botón derecho en cada dominio > “Elevar el nivel funional del dominio…”. Posteriormente realizaremos lo mismo para nuestro bosque desde la misma consola, con botón derecho en “Dominios y confianzas de Active Directory” > “Elevar el nivel funional del bosque…”
Podremos confirmar que nuestro directorio activo funciona correctamente gracias a herramientas tipo:
- DCDIAG. Ejecutando “dcdiag.exe > FICHERO_DE_LOG” para obtener los diagnosticos de cada controlador de dominio. Además analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo.
- REPADMIN. Ejecutando “repadmin.exe /showreps > FICHERO_DE_LOG” comprobaremos que las réplicas entre sitios y entre controladores de dominio es correcta.
- GPOTOOL. Ejecutando “gpotool.exe > FICHERO_DE_LOG” comprobaremos el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones.
1. Preparación del Directorio Activo para poder soportar controladores de dominio Windows 2008 R2. Previamente nuestros controladores de dominio serán Windows 2000 SP4 o superiores, http://www.bujarra.com/?p=3718
2. Promocionar un nuevo controlador de dominio Windows Server 2008 R2 en nuestro Directorio Activo.
- Para promocionar un servidor Windows 2008 R2 a controlador de dominio deberemos ejecutar la utilidad dcpromo.exe en el servidor y previamente le instalaremos la función de “Servicios de dominio de Active Directory”.
- Una vez tengamos un controlador de dominio de escritura siempre podremos agregar uno de lectura o RODC. Si queremos información sobre cómo usar script’s con dcpromo podemos consultar http://support.microsoft.com/kb/947034 para usar archivos de respuesta.
3. Configuraciones en el servidor DNS:
- Transferencias de zona. Se deben configurar transferencias de zona al nuevo servidor. Desde la consola DNS de cualquer servidor, en las propiedades de la zona nos vamos a la pestaña “Transferencias de zona”, habilitaremos la opción “Permitir transferencias de zona” y “Sólo a los servidores nombrados en la ficha Servidores de nombres”. Nos vamos a la pestaña “Servidores de nombres” y agregamos si no estuviese el servidor DNS destino.
- Cambios en los equipos clientes. Deberemos de cambiar dicha configuración en nuestro servidor DHCP apuntando a los nuevos servidores DNS o directamente en los equipos (si tienen direccionamiento de IP fija) siguiendo este documento: http://www.bujarra.com/?p=802.
4. Migrar FSMO al nuevo servidor. A parte de transferir los roles http://www.bujarra.com/?p=3711, deberemos comprobar que el nuevo controlador de dominio es “Catálogo Global”, desde la herramienta “Sitios y servicios de Active Directory” > “Sites” > SITIO > “Servers” > SERVIDOR > Propiedades de “NTDS Settings”, que tenga marcado “Catálogo Global”.
5. Despromoción de los servidores antiguos: Antes de despromocionar un controlador de dominio, tenemos que tener en cuenta qué servicios pueden depender de él, si disponemos de aplicaciones LDAP que apunten a él, o organizaciones Exchange, todo ello deberemos modificar para no tener problemas. Para despromocionar un controlador de dominio Windows 2003 o Windows 2008, ejecutaremos DCPROMO y seguiremos el asistente. Una vez finalizado el asistente y pasado un tiempo de réplica debemos comprobar que no quedan restos y si no, eliminar los antiguos controladores de dominio de las referencias que encontremos, cómo en las transferencias de zona de nuestros servidores DNS o en la Unidad Organizativa de “Domain Controllers”, ni deben salir reflejados en la consola de “Sitios y servicios de Active Directory” además de realizar una limpieza en nuestro Directorio Activo. Totalmente recomendable usar ADSIEdit para una correcta limpieza.
6. Elevación del nivel funcional del bosque y del dominio.
Una vez tengamos todos los controladores de dominio basados en Windows 2008 R2, podremos elevar el nivel funcional del bosque y del dominio(s) a “Windows Server 2008 R2”. Desde la consola “Dominios y confianzas de Active Directory”, con botón derecho en cada dominio > “Elevar el nivel funional del dominio…”. Posteriormente realizaremos lo mismo para nuestro bosque desde la misma consola, con botón derecho en “Dominios y confianzas de Active Directory” > “Elevar el nivel funional del bosque…”. Novedades de las nuevas funcionalidades de Windows 2008 R2: AKI.
Documentación oficial de migración de Microsoft: AKI.