Migrar el Directorio Activo de Microsoft Windows 2003 a Microsoft Windows 2008

En este documento se mostrará cómo migrar correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Siendo la migración del Directorio Activo 2000 edo 2003 a 2008. Se migrará el Directorio Activo a esta nueva versión a nuevos controladores de dominio. Los controladores de dominio viejo desaparecerán. Así que se necesitará un servidor nuevo para poder instalarle Windows 2008, domenuko kontrolatzaile egin, pasarle los roles y posteriormente despromocionar los controladores de dominio viejos. Finalmente se elevará el nivel funcional del dominio y del bosque a 'Windows 2008'. Los pasos correctos a seguir serán:

Comprobar estado de los controladores de dominio – AKI, (recomendable pero no obligatorio)
Preparar el Directorio Activo – AKI,
Unirse a un Directorio Activo Existente – AKI,
Migrar los roles – AKI,
Despromoción de controladores de dominio antiguos – AKI,
Elevar niveles funcionales – AKI,

Ojo, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:

– Dominio actual no tiene que ser ‘Modo Mixto’, si no ‘Modo Nativo’ o ‘Windows 2003 Server’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – AKI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.

Comprobar estado de los controladores de dominio,

Ondo, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Adibidez, tenemos DCDIAG. Tresna honek domeinu kontrolatzaileen diagnostikoa egiteko balioko digu. Lineako komando tresna honek basoan dauden domeinu kontrolatzaile baten edo guztien egoera aztertzen du eta arazo guztiak jakinarazten ditu, horiek konpontzea errazteko. Gehiago irakurri nahi baduzu, Microsoft-en webgunea bisitatu – AKI. Irudiaren adibidean, komandoa domeinu kontrolatzaile batean exekutatuko dut, nire kasuan, nagusian, eta testu-irteera TXT fitxategi batera birbideratuko dut:
dcdiag.exe > FICHERO_DE_LOG

Sortutako LOG fitxategia irekitzean, ondorengo testua izango dugu:

Domeinu Kontrolatzailearen Diagnostikoa

Hasierako ezarpena egiten:
Informazio hasierakoa biltzea amaitu da.

Beharrezko lehen probak egiten

Zerbitzaria probatzen: HXXXXXXXIHXXXXXXX1
Proba hasi: Konektibitatea
……………………. HXXXXXXX1 konektibitate probak gainditu ditu

Probak egiteko nagusiak

Zerbitzaria probatzen: HXXXXXXXIHXXXXXXX1
Proba hasi: Errepikapenak
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From AXXXXX1 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.25.
The last success occurred at 2008-07-01 18:51.20.
91 failures have occurred since the last success.
[AXXXX01] DsBind() failed with error 1722,
El servidor RPC no está disponible..
The source remains down. Please check the machine.
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From MXXXX01 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.48.
The last success occurred at 2008-07-01 18:51.20.

Ojo, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. 😉

Gehiago, tenemos REPADMIN, komando honekin gure Aktibo Zuzendaritzako errepikapenen egoera ikusiko dugu. Errepikazioarekin lotutako zereginak burutzen ditu, horien artean, errepikazioaren topologia kudeatu eta aldatu, errepikazio gertaerak behartu, eta errepikazioaren metadatuak eta eguneratutako bektoreak erakutsi. Gehiago irakurri nahi baduzu, Microsoft-en webgunea bisitatu – AKI.

Kasuak aztertzea da gune eta domeinu kontrolatzaileen arteko errepikapenak zuzena direla, Horretarako REPADMIN exekutatzen dugu hurrengo formatuan:

repadmin.exe /showreps > FICHERO_DE_LOG

Hau da nire Aktibo Zuzendaritzako adibidea, goian esan dudan moduan oso korruptuta dagoela dakidala, nire sarean falta zaizkidan batzuk direlako 38 domeinu kontrolatzaileak:

HXXXXXXXIHXXXXXXX1
DSA Aukerak : IS_GC
objektuGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objektuGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objektuGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Found 167 policies
============================================================
Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Politika Ongi
============================================================
Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Politika Ongi
============================================================
Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Politika Ongi
============================================================
Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Politika Ongi
============================================================
Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Politika Ongi
============================================================
Policy {0959942F-21A2-4FF0-B84C-1A3748E24815}
Politika Ongi
============================================================
Policy {097AB751-C12A-4A42-B8BE-26B54190FB12}
Politika Ongi
============================================================
Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Politika Ongi
============================================================
…
============================================================
Policy {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Politika Ongi

Politikak Ongi

Preparar el Directorio Activo,

Konprobatu ondoren Active Directory zuzena dugula, gure Active Directory prestatu beharko dugu Microsoft Windows-en domeinu kontrolatzaileak onartzeko 2008 sistemaren eragilearen. Horretarako, hurrengo komandook exekutatu eta akatsik gabe amaitzen diren egiaztatu behar dugu.

Primero de todo, Esquema Maisuaren rola duen zerbitzarian eta Enpresaren Administratzaile baimenak dituen erabiltzaile batekin, Esquema Administratzaile eta domeinu Administratzaile gisa exekutatuko dugu:

adprep /forestprep

Jarraitzeko sakatzen dugu “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el adibide superior me actualizará de la versión 13 que es un bosque 2000, bertara 44 que es un bosque 2008)…

Ados, comprobamos que finaliza correct.

orain, debemos prestatu si interesa dugu el Directorio Activo para poder usar controladores de dominio de lectura, este komandante izango da aukerakoa. Se executará en el server con el rol 'Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el komando y comprobamos que dena ha sido behar bezala realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este komandante se realizará en el Maestro de Infraestructuras con baimenak de dominioaren administratzaile:

adprep /domainprep /gpprep

Esperamos a que se realice osorik komandantea eta emaitzak zuzenak izango diren.

Tendremos que tener en cuenta que si gure Directorio Activo es handia eta ditugu hainbat toki denbora desberdinetan réplica denbora desberdinekin, daremos denbora a que erantzun el Directorio Aktibo komando eta komandoan. Aproximandamente 15 minutos entre cada comando.

Unirse a un Directorio Activo Existente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya creamos controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este prozedura – AKI. Y le promocionaremos a control de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Ejecutar” del menú Inicio. Y aceptamos.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Hurrengoa”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, jarraitu., “Hurrengoa”,

Aukera hau hautatu behar dugu “Bosque existente” eta “Agregar un controlador de dominio a un dominio existente”, “Hurrengoa”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Hurrengoa”,

Seleccionamos el dominio al que nos uniremos, “Hurrengoa”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Hurrengoa”,

Aukera osagarri gisa adierazten dugu kontroladore honi katalogo globala egingo diogula, domeinu kontroladore zaharrak kendu behar baditugu, CG rola duten zerbitzariak izatea behar dugu. beharrezkoa delako erabiltzaileek saioa hasteko balio duen zerbitzari bat izatea. “Hurrengoa”,

Aktibo direktorioaren Datu Basea non gordeko dugun hautatu behar dugu, datu baseaz gain, horren erregistro fitxategiak eta Sysvol karpetaren kokapena ere bai, bere bideen lehenetsitakoak dira: C:WindowsNTDS eta C:WindowsSYSVOL. Aldatzen baditugu, domeinu kontroladore honen errendimendua handitzeko izango da, karga handia badu, “Hurrengoa”,

Ondo, orain Administratzaile erabiltzailearen pasahitza adierazi behar dugu, ekipoan berreskuratze moduan sartzea behar badugu (F8 sakatuz berrabiaraztean), “Hurrengoa”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Hurrengoa”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Ondo, una vez instalados los servicios del AD pulsamos en “Amaitu”,

Debemos reiniciar este servidor, sustatu “Reiniciar ahora”,

Migrar los roles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Se puede realizar de dos formas, GUI bidez, o mediante comandos. Eta hirugarren modu bat dago, erasokorra izango litzatekeena, Active Directoryak behar bezala funtzionatzen ez badu eta funtzioak behartuta lekuz aldatu behar baditugu – AKI. A continuación lo haremos mediante GUI:

Para modificar los roles, nos vamos a la consola de “Active Directoryko Erabiltzaileak eta Taldeak” del servidor al que queremos migrar los roles, si es posible, baina ez badugu, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, con botón derecho “Domeinu kontrolagailua aldatzea… “

Seleccionamos el control de dominio al que queremos pasarle los roles y acceptamos.

Ondo, ahora comencemos a migrar los roles, horretarako, sobre el dominio con botón derecho > “Maestro de operaciones…”

Debemos cambiar las tres aukera, lehenengo, desde la pestaña de RID, nos erakusten dugu que es el servidor RID actual y a cual pasaríamos si pulsamos gain “Cambiar…”, le damos.

Berretsi, “Bai”

“Onartzen dugu”.

Egiaztatu dugu rolak zuzen migratu ditu eta orain aldatu ditugu pestaña,

Orain con la siguiente pestaña, horietakoa “Controlador de dominio principal”, klikatu “Cambiar…”

“Bai”,

“Onartu”,

Ya hemos migrado el control de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infraestructuras”, klikatu “Cambiar…”,

Eso pasa por que el control de dominio actual ere es Catalogo Global, es una configuration no commendable, en principio no pasa ezer en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, berretsi, “Bai”.

Onartzen dugu,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Ados, otro rol, ahora el de maestro de operaciones, sobre “Dominios y confianzas de Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Dominios y confianzas de Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botón derecho en “Dominios y confianzas de Active Directory” eta hautatzen dugu “Maestro de operaciones…”,

Vale, nos dice que cambiaremos de de un servidor antiguo al 2008 el “Maestro de operaciones”, le damos a “Cambiar…”,

Berretsi, “Bai”,

Onartzen dugu,

orain, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, escribimos “regsvr32 schmmgmt.dll” eskema zerbitzaria migratzeko, sakatzen dugunean “Enter” baimena emango zaigu, onartzen dugu.

Esan dut, “Onartu”,

Ahora abrimos una consola MMC (Microsoft Management Console) desde el menú Inicio en “Ejecutar” escribiendo ‘mmc’ y aceptando.

Sustatu “Fitxategia” > “Osagarriak gehitu edo kendu…”

Sakatu on “Agregar”,

En los complementos buscamos el “Active Directoryko Eskema” y pulsamos sobre “Agregar” eta gero gainean “Itxi” eta “Onartu”,

Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, horretarako, eskuineko botoia gainean “Active Directoryko Eskema” eta aukeratzen dugu “Domeinu kontrolagailua aldatzea…”

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, eskuineko botoiarekin klik egiten dugu “Active Directoryko Eskema” eta hautatzen dugu “Maestro de operaciones…”

Igual que antes, egungo zerbitzaria erakusten digu “Eskema maisua”, para migrarlo de uno a otro pulsamos sobre “Cambiar…” y aceptamos.

Confirmamos que lo queremos cambiar,

Onartzen dugu.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, sobre “Sitios y servicios del AD” > “Sites” > en cualquier domain controller, y nos vamos al servidor nuevo a “NTDS Settings” > botón derecho > “Propiedades”,

Y simplemente marcarle el check de “Catálogo global” y aceptamos,

Y bueno, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, gure dominioa eta zona alderantzizkoa dugu aukerarik markatzea “Zona-transferentziak onartzea” para que traiga la zona a gure kontrolatzaile berri de dominio.

Despromoción de controladores de dominio antiguos,

Une vez que hemos migrado todos los roles del Directorio Activo ya a gure zerbitzari Windows 2008, procederemos a iritsi gabe uzten dituen kontrolatzaile zaharkituak ordezkatzeko, beste Windows berriekin interesatzen bagara 2008, horretarako, los quitaremos de forma limpia, hau da, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando 'dcpromo.exe’ en la opción “Ejecutar” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalazio de Active Directory, debemos pulsar en “Next”,

Tendremos en cuenta que este server es un Catálogo Global, beraz, despromozionatu nahi badugu honakoa kontuan izango dugu gutxienez sareko beste zerbitzari bat Katalogo Global izango dela, bestela erabiltzaileen saioak hasterakoan arazoak izango ditugu, GCrik gabe erabiltzaileak ez dira balioztatuko. Onartzen dugu.

“Hurrengoa”,

Sartu nahi dugun pasahitza sartu honen tokiko administratzaileak izango duena, “Hurrengoa”,

Kontrolatu guztiak urratsak eta sakatu “Hurrengoa” despromozionatzeko domeinu kontroladore hau,

… Minutu batzuk itxaroten dugu…

“Amaitu”, ondo kendu zen,

Zerbitzari hau berrabiarazi behar dugu orain aldaketek eragina izan dezaten. Sakatu on “Reiniciar ahora”,

Funtzionamendu mailak igotzea,

Windows eragile-sistema duten domeinu kontroladoreak ez dugunean 2000 edo Windows 2003 gure Aktiboen Direktorian, basoaren zein domeinuaren funtzionamendu maila igo ahal izango dugu, honekin honako abantailak lortuko ditugu:

Domeinuaren funtzio-maila

Gaitutako ezaugarriak

Onartutako domeinu kontrolatzaileko sistema eragileak

Windows 2000 nativo

Active Directoryren lehenetsitako ezaugarri guztiak eta honako ezaugarriak:

•	Unibertsitateko taldeak banaketa eta segurtasun taldeetarako gaituta daude.
•	Taldeen barneko nestaketa.
•	Taldeen bihurketa gaituta dago, segurtasun taldeak eta banaketa taldeak elkarrekin bihur daitezkeela posible egiten duena.
•	Segurtasun identifikatzaileen historiaren erregistroa (SID).

Windows 2000
Windows Server 2003
Windows Server 2008

Windows Server 2003

Active Directoryren lehenetsitako ezaugarri guztiak, Windows-eko domeinu-maila funtzionaleko ezaugarri guztiak 2000 berezko eta honako ezaugarriak:

•	Domeinu kudeaketa tresnaren eskuragarritasuna, netdom.exe, domeinu-kontrolatzailearen izena aldatzeko prestatzeko.
•	Saioa hasten den denboraren marka eguneratzea. Atributua lastLogonTimestamp azken aldiz erabiltzaileak edo ordenagailuak saioa hasi zuen orduarekin eguneratuko da. Atributu hau domeinu barruan errepikatzen da.
•	Atributua ezartzeko gaitasuna userPassword pasahitza eraginkorra bezala inetOrgPerson-en eta erabiltzaile objektuen.
•	Erabiltzaile eta ordenagailu ontziak birbideratzeko gaitasuna. Lehentasunezko moduan, bi ontzi ezagun eskaintzen dira ordenagailu eta erabiltzaile edo talde kontuak gordetzeko: hau da, cn=Computers,<domeinuOinarria> eta cn=Users,<domeinuOinarria>. Ezaugarri honek kontu hauei lekua berri ezagun bat definitzea ahalbidetzen du.
•	Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS).
•	Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos.
•	Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.

Windows Server 2003
Windows Server 2008

Windows Server 2008

Active Directoryren lehenetsitako ezaugarri guztiak, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes:

•	Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.
•	Compatibilidad de los Servicios de cifrado avanzado (AES 128 eta 256) con el protocolo Kerberos.
•	Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.
•	Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y talde seguridad global en un dominio.

Windows Server 2008

Onena, para elevar el maila funtzional del dominio, kontsola irekitzen dugu “Dominios y confianzas de Active Directory” y sobre el dominio con botón derecho > “Elevar el maila funtzional de dominio…”

Debemos aukeratu el maila funtzional del dominio “Windows Server 2008” y pulsamos “Elevar”,

Onartzen dugu, kontuz! a tener en cuenta ke esto será irreversible.

Perfecta, onartu,

Onena, para elevar el maila funtzional de bosque, kontsola irekitzen dugu “Dominios y confianzas de Active Directory” y sobre “Dominios y confianzas de Active Directory” con botón derecho > “Elevar el maila funtzional del bosque…”