Migrar el Directori Actiu de Microsoft Windows 2003 a Microsoft Windows 2008

En aquest document es mostrarà com migrar correctament un entorn Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Sent la migració del Directori Actiu 2000 o 2003 a 2008. Es migrarà el Directori Actiu a aquesta nova versió a nous controladors de domini. Els controladors de domini vell desapareixeran. Així que es necessitarà un servidor nou per poder instal·lar-li Windows 2008, fer-li controlador de domini, passar-li els rols i posteriorment despromocionar els controladors de domini vells. Finalment s'elevarà el nivell funcional del domini i del bosc a 'Windows 2008'. Els passos correctes a seguir seran:

Comprobar estado de los controladores de dominio – AKI, (recomendable pero no obligatorio)
Preparar el Directorio Activo – AKI,
Unirse a un Directorio Activo Existente – AKI,
Migrar los roles – AKI,
Despromoción de controladores de dominio antiguos – AKI,
Elevar niveles funcionales – AKI,

Ull, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:

– Dominio actual no tiene que ser ‘Modo Mixto’, si no ‘Modo Nativo’ o ‘Windows 2003 Server’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – AKI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.

Comprobar estado de los controladores de dominio,

Bé, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Per exemple, tenemos DCDIAG. Está utilidad nos servirá para hacer un diagnostico de los controladores de dominio. Esta herramienta de la línea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft – AKI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionaré la salida de texto a un fichero de texto TXT:
dcdiag.exe > FITXER_DE_LOG

Al abrir el fichero de LOG generado tendremos un texto como el siguiente:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Connectivity
……………………. HXXXXXXX1 passed test Connectivity

Doing primary tests

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Replications
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From AXXXXX1 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.25.
The last success occurred at 2008-07-01 18:51.20.
91 failures have occurred since the last success.
[AXXXX01] DsBind() failed with error 1722,
El servidor RPC no está disponible..
The source remains down. Please check the machine.
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From MXXXX01 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.48.
The last success occurred at 2008-07-01 18:51.20.

Ull, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. 😉

Més, tenemos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, entre elles, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para leer más, visitar la web de Microsoft – AKI.

El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:

repadmin.exe /showreps > FITXER_DE_LOG

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podem tenir falles en la replicació i tenir la mateixa GPO en diferents llocs amb diferents configuracions. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FITXER_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Found 167 policies
============================================================
Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Policy {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Policy {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Policy {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK

Policies OK

Preparar el Directorio Activo,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Primer de tot, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, a la versió 44 que es un bosque 2008)…

Ok, comprobamos que finaliza correctamente.

Ara, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:

adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean correctos.

Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.

Unirse a un Directorio Activo Existente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – AKI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Executar” del menú Inicio. Y aceptamos.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Següent”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, continuem, “Següent”,

Debemos seleccionar la opción “Bosque existente” y “Agregar un controlador de dominio a un dominio existente”, “Següent”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Següent”,

Seleccionamos el dominio al que nos uniremos, “Següent”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Següent”,

Indiquem com a opció addicional que a aquest controlador li farem catàleg global, ja que si anem a treure controladors de domini antics, necessitem tenir servidors amb el rol de CG. Ja que és necessari que els usuaris tinguin un servidor que els validi les iniciacions de sessió. “Següent”,

Hem de seleccionar on guardarem la BD del directori actiu, així com la base de dades també els fitxers de registre d'ella i la ubicació de la carpeta Sysvol, els seus paths predeterminats són: C:WindowsNTDS i C:WindowsSYSVOL. Si els canviem serà per augmentar rendiment en aquest controlador de domini, si té molta càrrega, “Següent”,

Bé, ara hem d’indicar la contrasenya de l’usuari Administrador si necessitem entrar a l’equip en mode restauració (prement F8 en reiniciar), “Següent”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Següent”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Bé, una vez instalados los servicios del AD pulsamos en “Finalitzar”,

Debemos reiniciar este servidor, posem en “Reiniciar ahora”,

Migrar los roles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Se puede realizar de dos formas, mediate GUI, o mitjançant comandaments. Y hi ha una tercera forma que seria la agressiva por si no nos funciona correctament el Directorio Activo y hem de forçar el trasllat de les funcions – AKI. A continuación lo haremos mediante GUI:

Para modificar los roles, nos vamos a la consola de “Usuaris i Equips de l'Active Directory” del servidor al que queremos migrar los roles, si és possible, si no, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, amb botó dret “Cambiar el controlador de dominio… “

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Bé, ahora comencemos a migrar los roles, per a això, sobre el dominio con botón derecho > “Mestre d’operacions…”

Debemos cambiar las tres opciones, primer, des de la pestanya de RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Canviar…”, li donem.

Confirmem, “Sí”

“Acceptem”.

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

Ahora con la siguiente pestaña, la de “Controlador de dominio principal”, polsem sobre “Canviar…”

“Sí”,

“Acceptar”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infraestructuras”, polsem sobre “Canviar…”,

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principi no pasa nada en organitzacions pequeñas, pero no recomanable mantenerlo així, així que posteriorment canviaremos aquest rol o haremos a un altre DC GC, confirmamos, “Sí”.

Acceptem,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Ok, otro rol, ahora el de maestro de operaciones, sobre “Dominios y confianzas de Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcte, així que el botó té dret sobre “Dominios y confianzas de Active Directory” > “Canviar el controlador de domini de l'Active Directory…”

Seleccionamos el controlador de domini al que volem passar el rol i acceptamos,

Pulsem amb el botó dret en “Dominios y confianzas de Active Directory” y seleccionamos “Mestre d’operacions…”,

Val, nos dice que cambiaremos de un servidor antic al 2008 el “Mestre d’operacions”, li donem a “Canviar…”,

Confirmem, “Sí”,

Acceptem,

Ara, abrimos una finestra de MSDOS en un dels controladors de domini antiguos, escrivim “regsvr32 schmmgmt.dll” para migrar el servidor de esquema, al dar al “Enter” nos saldrá la confirmación, la aceptamos.

El que s'ha dit, “Acceptar”,

Ara abrimos una consola MMC (Microsoft Management Console) des del menú Inici en “Executar” escrivint 'mmc’ i acceptant.

Punxem en “Arxiu” > “Agregar o quitar complemento…”

Posem en “Agregar”,

En los complimentos buscamos el “Esquema de l'Active Directory” i posem sobre “Agregar” i després sobre “Tancar” y “Acceptar”,

Primer tinc que connectar al servidor on quiero migrar aquest rol, com abans, per a això, botón derecho sobre “Esquema de l'Active Directory” y elegimos “Cambiar el controlador de dominio…”

Escriu el nombre del servidor al que volem migrar i acceptamos.

Per canviar el servidor que allàvem l'esquema, pinchamos con botón derecho sobre “Esquema de l'Active Directory” y seleccionamos “Mestre d’operacions…”

Igual que abans, no muestra el servidor actual de “Maestro de esquema”, per migrar d'un a un altre pulsador sobre “Canviar…” i acceptem.

Confirmamos que lo volem canviar,

Acceptem.

Finalment comprobar que uno de los servidors amb Windows 2008 té la característica de catálogo global habilitada lo verem des de la consola de “Sitios y Serveis de Active Directory”, sobre “Llocs i serveis del AD” > “Sites” > en qualsevol controlador de domini, y ens vamos al servidor nou a “Configuració de NTDS” > botó dret > “Propietats”,

Y simplement marcarem el check de “Catálogo global” i acceptem,

I bo, esto no és un rol, però és alguna cosa a tenir en compte, ya que estamos migrando todo, hem de tenir en compte que també migrarem el servei DNS d'un servidor a un altre, sobre la zona del nostre domini i la zona inversa hem de marcar l'opció de “Permetre transferències de zona” para que traiga la zona a nostre nou controlador de domini.

Despromoción de controladores de dominio antiguos,

Una vegada que hem migrado tots els rols del Directorio Actiu ja a el nostre servidor amb Windows 2008, procedirem a ir quitando els controladores de domini obsoletos per substituir els que ens interessen amb altres nous amb Windows 2008, per a això, els quitaremos de forma neteja, això és, amb una despromoció.

Així que en els servidors obsolets se ha de despromocionar mitjançant el comandament 'dcpromo.exe’ en la opción “Executar” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Next”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Acceptem.

“Següent”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Següent”,

Comprobamos todos los pasos y pulsamos en “Següent” para despromocionar este controlador de dominio,

… esperem uns minuts…

“Finalitzar”, se quitó bien,

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Posem en “Reiniciar ahora”,

Elevar niveles de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio

Características habilitadas

Sistemas operativos de controlador de dominio admitidos

Windows 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

•	Los grupos universales están habilitados para grupos de distribución y de seguridad.
•	Anidación de grupos.
•	La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución.
•	Historial de identificadores de seguridad (SID).

Windows 2000
Windows Server 2003
Windows Server 2008

Windows Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes:

•	La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio.
•	Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio.
•	La capacidad de establecer el atributo userPassword como la contraseña efectiva en inetOrgPerson y los objetos de usuario.
•	La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: és a dir, cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica permite definir una ubicación nueva conocida para estas cuentas.
•	Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS).
•	Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos.
•	Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.

Windows Server 2003
Windows Server 2008

Windows Server 2008

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes:

•	Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.
•	Compatibilidad de los Servicios de cifrado avanzado (AES 128 y 256) con el protocolo Kerberos.
•	Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, l'estació de treball des de la qual es va iniciar i el nombre d'intents d'inici de sessió incorrectes des de l'últim inici de sessió.
•	Directives de contrasenya molt específiques, que permeten indicar directives de contrasenya i directives de bloqueig de comptes per a usuaris i grups de seguretat globals en un domini.

Windows Server 2008

Bo, per augmentar el nivell funcional del domini, Abrimos la consola “Dominios y confianzas de Active Directory” i sobre el domini amb botó dret > “Augmentar el nivell funcional del domini…”

Hauríem de seleccionar el nivell funcional del domini “Windows Server 2008” i posem “Augmentar”,

Acceptem, ull! tenir en compte que això serà irreversible.

Perfecte, acceptem,

Bo, per augmentar el nivell funcional del bosc, Abrimos la consola “Dominios y confianzas de Active Directory” y sobre “Dominios y confianzas de Active Directory” amb botó dret > “Augmentar el nivell funcional del bosc…”