Migrieren von Microsoft Windows Active Directory 2003 zu Microsoft Windows 2008
En este documento se mostrará cómo migrar correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 zu Microsoft Windows 2008. Siendo la migración del Directorio Activo 2000 oder 2003 An 2008. Se migrará el Directorio Activo a esta nueva versión a nuevos controladores de dominio. Los controladores de dominio viejo desaparecerán. Así que se necesitará un servidor nuevo para poder instalarle Windows 2008, hacerle controlador de dominio, Pasarle los roles y posteriormente despromocionar los controladores de dominio viejos. Finalmente se elevará el nivel funcional del dominio y del bosque a 'Windows 2008'. Los pasos correctos a seguir serán:
Comprobar estado de los controladores de dominio – HIER, (recomendable pero no obligatorio)
Preparar el Directorio Activo – HIER,
Unirse a un Directorio Activo Existente – HIER,
Migrar los roles – HIER,
Despromoción de controladores de dominio antiguos – HIER,
Elevar niveles funcionales – HIER,
Auge, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:
– Dominio actual no tiene que ser 'Modo Mixto', si no 'Modo Nativo’ o 'Windows 2003 Server’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – HIER.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.
Comprobar estado de los controladores de dominio,
Nicht schlecht, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.
Zum Beispiel, tenemos DCDIAG. Dieses Tool wird uns dabei helfen, eine Diagnose der Domänencontroller durchzuführen. Dieses Befehlszeilen-Tool analysiert den Zustand eines oder aller Domänencontroller in einer Gesamtstruktur und meldet etwaige Probleme, um deren Behebung zu erleichtern. Um mehr zu erfahren, Besuchen Sie die Microsoft-Website – HIER. Im Beispiel auf dem Bild werde ich den Befehl auf einem Domänencontroller ausführen, in meinem Fall auf dem primären, und die Textausgabe in eine TXT-Datei umleiten:
dcdiag.exe > LOG_DATEI
Beim Öffnen der erstellten LOG-Datei sehen wir einen Text wie den folgenden:
Diagnose des Domänencontrollers
Durchführung der Erstkonfiguration:
Sammlung von Anfangsinformationen abgeschlossen.
Server wird getestet: HXXXXXXXIHXXXXXXX1
Teststart: Konnektivität
……………………. HXXXXXXX1 hat den Connectivity-Test bestanden
Server wird getestet: HXXXXXXXIHXXXXXXX1
Teststart: Replikationen
[Replikationsprüfung,HXXXXXXX1] Ein kürzlicher Replikationsversuch ist fehlgeschlagen:
Von AXXXXX1 zu HXXXXXXX1
Namenskontext: CN=Schema,CN=Konfiguration,DC=XXXXXXX,DC=es
Die Replikation erzeugte einen Fehler (1722):
Der RPC-Server ist nicht verfügbar.
Der Fehler trat auf am 2008-07-15 07:38.25.
Der letzte Erfolg war am 2008-07-01 18:51.20.
91 Seit dem letzten Erfolg sind Fehler aufgetreten.
[AXXXX01] DsBind() fehlgeschlagen mit dem Fehler 1722,
Der RPC-Server ist nicht verfügbar..
Die Quelle bleibt offline. Bitte überprüfen Sie die Maschine.
[Replikationsprüfung,HXXXXXXX1] Ein kürzlicher Replikationsversuch ist fehlgeschlagen:
Von MXXXX01 zu HXXXXXXX1
Namenskontext: CN=Schema,CN=Konfiguration,DC=XXXXXXX,DC=es
Die Replikation erzeugte einen Fehler (1722):
Der RPC-Server ist nicht verfügbar.
Der Fehler trat auf am 2008-07-15 07:38.48.
Der letzte Erfolg war am 2008-07-01 18:51.20.
Auge, gibt mir Fehler, müsste man sich ansehen, aber in meinem Fall sind die Fehler darauf zurückzuführen, dass ich ein Pilotprojekt durchführe und diesen Domänencontroller zusammen mit einem anderen isolierten habe, im Fall der Domäne, die uns betrifft, hat sie 40 Domänencontroller und ich habe sie nicht in meinem Netzwerk, da es für dieses Dokument ist. Also kein Problem. 😉
Mehr, wir haben REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, Einschließlich, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Um mehr zu erfahren, Besuchen Sie die Microsoft-Website – HIER.
El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:
repadmin.exe /showreps > LOG_DATEI
Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:
HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f
==== INBOUND NEIGHBORS ======================================
CN=Schema,CN=Konfiguration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, Ergebnis 1722:
Der RPC-Server ist nicht verfügbar.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, Ergebnis 1722:
Der RPC-Server ist nicht verfügbar.
Last success @ 2008-07-01 18:51.21.
Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones. Esta herramienta nos comprobará el estado de ellas.
El comando en cuestión se ejecuta de la siguiente manera:
gpotool.exe > LOG_DATEI
Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…
Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Gründen 167 policies
============================================================
Politik {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Politik {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Politik {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Politik {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Politik {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Politik {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Politik {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Politik {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Politik {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK
Policies OK
Preparar el Directorio Activo,
Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.
Zuerst einmal, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:
adprep /forestprep
Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,
… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, zur Version 44 que es un bosque 2008)…
Okay, comprobamos que finaliza correctamente.
Jetzt, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol 'Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:
adprep /rodcprep
Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.
Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:
adprep /domainprep /gpprep
Esperamos a que se realice completamente el comando y que los resultados sean correctos.
Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.
Unirse a un Directorio Activo Existente,
Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – HIER. Y le promocionaremos a controlador de dominio en nuestro dominio actual.
En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ in der Option “Ausführen” del menú Inicio. Y aceptamos.
… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…
Comienza el asistente de instalación para crear o unirnos a un dominio, “Folgende”,
Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Fortsetzen, “Folgende”,
Debemos seleccionar la opción “Bosque existente” und “Agregar un controlador de dominio a un dominio existente”, “Folgende”,
Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Folgende”,
Wir wählen die Domäne aus, der wir beitreten werden, “Folgende”,
Es zeigt uns die Standorte an, die für die aktuelle Domäne konfiguriert sind, Wir müssen angeben, zu welchem Standort dieser Domänencontroller gehört & “Folgende”,
Wir geben optional an, dass dieser Controller ein globaler Katalog sein wird, da wir, wenn wir alte Domänencontroller entfernen wollen, Server mit der Rolle des globalen Katalogs benötigen. Da es notwendig ist, dass die Benutzer einen Server haben, der ihre Anmeldungen validiert. “Folgende”,
Wir müssen auswählen, wo wir die Active Directory-Datenbank speichern werden, sowie die Datenbank auch die Protokolldateien und den Speicherort des Sysvol-Ordners, ihre Standardpfade sind: C:WindowsNTDS und C:WindowsSYSVOL. Wenn wir sie ändern, geschieht dies, um die Leistung dieses Domänencontrollers zu erhöhen, wenn er stark ausgelastet ist, “Folgende”,
Nicht schlecht, jetzt müssen wir das Passwort des Administratorkontos angeben, wenn wir den Computer im Wiederherstellungsmodus starten müssen (beim Neustart F8 drücken), “Folgende”,
Wir überprüfen die Zusammenfassung der Vorbereitung, um diesen Server bereits zu fördern, “Folgende”,
… Wir warten, während alle Objekte auf diesen Server repliziert werden und konfigurieren diesen Server im Active Directory als zusätzlichen Domänencontroller…
Nicht schlecht, Sobald die AD-Dienste installiert sind, klicken wir auf “Ende”,
Wir müssen diesen Server neu starten, Anklicken “Jetzt neu starten”,
Sobald wir den ersten Domänencontroller mit Windows haben 2008, müssen wir ihm alle Rollen des Active Directory übertragen, um Funktionen von alten Servern zu entfernen und sie ersetzen zu können. Es kann auf zwei Arten durchgeführt werden, über die GUI, oder durch Befehle. Und es gibt eine dritte Methode, die die aggressive wäre, falls das Active Directory nicht korrekt funktioniert und wir die Funktionen zwangsweise verschieben müssen – HIER. Als Nächstes werden wir dies über die GUI tun:
Um die Rollen zu ändern, gehen wir in die Konsole von “Active Directory-Benutzer und -Computer” des Servers, auf den wir die Rollen migrieren wollen, falls möglich, sonst, verbinden wir uns von der Konsole aus mit dem gewünschten Server auf folgende Weise: Über die Domäne, Klicken Sie mit der rechten Maustaste “Domänencontroller ändern… “
Wir wählen den Domänencontroller aus, auf den wir die Rollen übertragen möchten, und bestätigen.
Nicht schlecht, Jetzt beginnen wir mit der Migration der Rollen, hierfür, Mit der rechten Maustaste auf die Domäne > “Betriebsrollen-Master…”
Wir müssen die drei Optionen ändern, erste, im RID-Tab, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Veränderung…”, Ist.
Bestätigen, “Ja”
“Annehmen”.
Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,
Ahora con la siguiente pestaña, die von “Controlador de dominio principal”, Anklicken “Veränderung…”
“Ja”,
“Annehmen”,
Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,
Y por último el servidor de “Infraestructuras”, Anklicken “Veränderung…”,
Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, Bestätigen, “Ja”.
Annehmen,
Y comprobamos que es cierto y el rol ya está migrado. Cerramos,
Okay, otro rol, ahora el de maestro de operaciones, Briefumschlag “Dominios y confianzas de Active Directory”, wir müssen das Gleiche wie vorher machen, prüfen, dass wir diese Rolle auf den richtigen Server anwenden, also Rechtsklick auf “Dominios y confianzas de Active Directory” > “Active Directory-Domänencontroller ändern…”
Wir wählen den Domänencontroller aus, auf den wir die Rolle übertragen möchten, und bestätigen,
Rechtsklick auf “Dominios y confianzas de Active Directory” und wählen Sie “Betriebsrollen-Master…”,
Okay, es sagt uns, dass wir von einem alten Server auf den 2008 das “Betriebsrollen-Master”, Wir geben “Veränderung…”,
Bestätigen, “Ja”,
Annehmen,
Jetzt, wir öffnen ein MSDOS-Fenster auf einem der alten Domänencontroller, Schreiben “regsvr32 schmmgmt.dll” um den Schema-Server zu migrieren, bei Anklicken von “Eintreten” wird die Bestätigung angezeigt, wir akzeptieren sie.
Was ich gesagt habe, “Annehmen”,
Jetzt öffnen wir eine MMC-Konsole (Microsoft Management Console) über das Startmenü in “Ausführen” eingeben von ‚mmc‘’ und bestätigen.
Anklicken “Datei” > “Add-on hinzufügen oder entfernen…”
Anklicken “Hinzufügen”,
In den Snap-Ins suchen wir nach dem “Active Directory-Schema” und klicken Sie auf “Hinzufügen” und dann auf “Schließen” und “Annehmen”,
Zuerst muss ich mich mit dem Server verbinden, auf den ich diese Rolle migrieren möchte, wie bisher, hierfür, Rechtsklick auf “Active Directory-Schema” und wir wählen “Domänencontroller ändern…”
Escribimos el nombre del servidor al que queremos migrar y aceptamos.
Para cambiar el servidor que aloja el esquema, pinchamos con botón derecho sobre “Active Directory-Schema” und wählen Sie “Betriebsrollen-Master…”
Wie zuvor, nos muestra el servidor actual de “Maestro de esquema”, para migrarlo de uno a otro pulsamos sobre “Veränderung…” und akzeptieren.
Confirmamos que lo queremos cambiar,
Annehmen.
Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, Briefumschlag “Sitios y servicios del AD” > “Lagen” > en cualquier domain controller, y nos vamos al servidor nuevo a “NTDS Settings” > Rechter Knopf > “Eigenschaften”,
Y simplemente marcarle el check de “Catálogo global” und akzeptieren,
Naja, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Permitir transferencias de zona” para que traiga la zona a nuestro nuevo controlador de dominio.
Despromoción de controladores de dominio antiguos,
Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, hierfür, los quitaremos de forma limpia, Das ist, con una despromoción.
Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ in der Option “Ausführen” del menú Inicio.
Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Nächster”,
Tendremos en cuenta que este servidor es un Catálogo Global, also, if we want to demote this one, we must ensure that at least another server in the network will be a Global Catalog, otherwise we will have problems with users' logins, since users cannot be validated without a GC. Annehmen.
“Folgende”,
we enter the password that we want the local administrator of this computer to have, “Folgende”,
we check all the steps and click on “Folgende” to demote this domain controller,
… Warten Sie ein paar Minuten…
“Ende”, it was removed successfully,
we must restart this server now for the changes to take effect. Anklicken “Jetzt neu starten”,
Once we no longer have servers that are domain controllers with Windows operating system 2000 o Fenster 2003 in our Active Directory, we will be able to raise the functional level of both the forest and the domain, Damit werden wir die folgenden Vorteile erzielen:
|
Funktionales Domänenniveau |
Aktivierte Funktionen |
Unterstützte Betriebssysteme für Domänencontroller |
||||||||||||||
|
Fenster 2000 ursprünglich |
Alle Standardfunktionen von Active Directory und die folgenden Funktionen:
|
Fenster 2000 |
||||||||||||||
|
Windows-Server 2003 |
Alle Standardfunktionen von Active Directory, alle Funktionen des funktionalen Domänenlevels von Windows 2000 nativ und die folgenden Funktionen:
|
Windows-Server 2003 |
||||||||||||||
|
Windows-Server 2008 |
Alle Standardfunktionen von Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes:
|
Windows-Server 2008 |
Brunnen, Para elevar el nivel funcional del dominio, Wir öffnen die Konsole “Dominios y confianzas de Active Directory” y sobre el dominio con botón derecho > “Elevar el nivel funcional de dominio…”
Debemos seleccionar el nivel funcional del dominio “Windows Server 2008” und wir drücken “Elevar”,
Annehmen, Auge! a tener en cuenta que esto será irreversible.
Perfekt, Annehmen,
Brunnen, para elevar el nivel funcional de bosque, Wir öffnen die Konsole “Dominios y confianzas de Active Directory” y sobre “Dominios y confianzas de Active Directory” Klicken Sie mit der rechten Maustaste > “Elevar el nivel funcional del bosque…”
Debemos seleccionar el nivel funcional del bosque “Windows Server 2008” und wir drücken “Elevar”,
Wie zuvor, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir.
“Annehmen” y ya tendríamos un Directorio Activo actualizado a nivel funcional Windows 2008.
www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0
