Ce document vous montrera comment migrer avec succès un environnement Microsoft Windows 2000 o Microsoft Windows 2003 vers Microsoft Windows 2008. Être la migration d’Active Directory 2000 ou 2003 À 2008. Active Directory sera migré vers cette nouvelle version vers de nouveaux contrôleurs de domaine. Les anciens contrôleurs de domaine vont disparaître. Vous aurez donc besoin d’un nouveau serveur pour installer Windows 2008, Faites-en un contrôleur de domaine, lui passer les rôles, puis annuler la promotion des anciens contrôleurs de domaine. Enfin, le niveau fonctionnel du domaine et de la forêt sera porté à 'Windows 2008'. Les étapes correctes à suivre seront:

Comprobar estado de los controladores de dominio – ICI, (recomendable pero no obligatorio)
Preparar el Directorio Activo – ICI,
Unirse a un Directorio Activo Existente – ICI,
Migrar los roles – ICI,
Despromoción de controladores de dominio antiguos – ICI,
Elevar niveles funcionales – ICI,

Oeil, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:

– Dominio actual no tiene que ser ‘Modo Mixto’, si no ‘Modo Nativo’ o ‘Windows 2003 Serveur’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – ICI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.

Comprobar estado de los controladores de dominio,

Pas mal, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Par exemple, tenemos DCDIAG. Está utilidad nos servirá para hacer un diagnostico de los controladores de dominio. Esta herramienta de la línea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft – ICI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionaré la salida de texto a un fichero de texto TXT:
dcdiag.exe > FICHERO_DE_LOG

Al abrir el fichero de LOG generado tendremos un texto como el siguiente:

---

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Connectivité
……………………. HXXXXXXX1 passed test Connectivity

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Replications
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From AXXXXX1 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.25.
The last success occurred at 2008-07-01 18:51.20.
91 failures have occurred since the last success.
[AXXXX01] DsBind() failed with error 1722,
El servidor RPC no está disponible..
The source remains down. Please check the machine.
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From MXXXX01 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.48.
The last success occurred at 2008-07-01 18:51.20.

---

Oeil, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. 😉

Plus, tenemos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, Y compris, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para leer más, visitar la web de Microsoft – ICI.

El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:

repadmin.exe /showreps > FICHERO_DE_LOG

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

---

HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, résultat 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, résultat 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.

---

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, nous pouvons avoir des échecs de réplication et avoir le même GPO dans différents sites avec des configurations différentes. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

---

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Fonder 167 policies
============================================================
Politique {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Politique {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Politique {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Politique {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Politique {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Politique {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Politique {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Politique {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Politique {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK

Policies OK

---

Preparar el Directorio Activo,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Tout d’abord, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, vers la version 44 que es un bosque 2008)…

D’accord, comprobamos que finaliza correctamente.

Maintenant, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:

adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean correctos.

Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.

Unirse a un Directorio Activo Existente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – ICI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Exécuter” del menú Inicio. Y aceptamos.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Suivant”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Continuer, “Suivant”,

Debemos seleccionar la opción “Bosque existente” et “Ajouter un contrôleur de domaine à un domaine existant”, “Suivant”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Suivant”,

Seleccionamos el dominio al que nos uniremos, “Suivant”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Suivant”,

Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Suivant”,

Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:WindowsNTDS y C:WindowsSYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, “Suivant”,

Pas mal, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), “Suivant”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Suivant”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Pas mal, una vez instalados los servicios del AD pulsamos en “Fin”,

Debemos reiniciar este servidor, Cliquez sur “Reiniciar ahora”,

Migrar los roles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Cela peut se faire de deux manières, Interface graphique de médiation, ou par l’intermédiaire de Commandes. Et il y a une troisième méthode qui serait agressive dans le cas où l’Active Directory ne fonctionne pas correctement et qu’il faut forcer le transfert des fonctions – ICI. A continuación lo haremos mediante GUI:

Para modificar los roles, nos vamos a la consola de “Utilisateurs et ordinateurs Active Directory” del servidor al que queremos migrar los roles, si es posible, autrement, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, Clic droit “Cambiar el controlador de dominio… “

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Pas mal, ahora comencemos a migrar los roles, pour cela, sobre el dominio con botón derecho > “Maestro de operaciones…”

Debemos cambiar las tres opciones, premier, desde la pestaña de RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Changement…”, Est.

Confirmer, “Oui”

“Accepter”.

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

Ahora con la siguiente pestaña, celle de “Controlador de dominio principal”, Cliquez sur “Changement…”

“Oui”,

“Accepter”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infraestructuras”, Cliquez sur “Changement…”,

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, Confirmer, “Oui”.

Accepter,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

D’accord, otro rol, ahora el de maestro de operaciones, enveloppe “Domaines et approbations Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Domaines et approbations Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botón derecho en “Domaines et approbations Active Directory” et sélectionnez “Maestro de operaciones…”,

D’accord, nos dice que cambiaremos de de un servidor antiguo al 2008 le “Maestro de operaciones”, Nous donnons “Changement…”,

Confirmer, “Oui”,

Accepter,

Maintenant, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, escribimos “regsvr32 schmmgmt.dll” para migrar el servidor de esquema, al dar al “Entrer” nos saldrá la confirmación, la aceptamos.

Ce que j’ai dit, “Accepter”,

Ahora abrimos una consola MMC (Console de gestion Microsoft) desde el menú Inicio en “Exécuter” escribiendo ‘mmc’ y aceptando.

Cliquez sur “Lime” > “Agregar o quitar complemento…”

Cliquez sur “Ajouter”,

En los complementos buscamos el “Schéma Active Directory” et cliquez sur “Ajouter” y luego sobre “Fermer” et “Accepter”,

Primero me tengo que conectar al servidor donde quiero migrar este rol, comme avant, pour cela, botón derecho sobre “Schéma Active Directory” y elegimos “Cambiar el controlador de dominio…”

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, pinchamos con botón derecho sobre “Schéma Active Directory” et sélectionnez “Maestro de operaciones…”

Comme avant, nos muestra el servidor actual de “Maestro de esquema”, para migrarlo de uno a otro pulsamos sobre “Changement…” et acceptez.

Confirmamos que lo queremos cambiar,

Accepter.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, enveloppe “Sitios y servicios del AD” > “Sites” > en cualquier domain controller, y nos vamos al servidor nuevo a “Paramètres NTDS” > Bouton droit > “Propriétés”,

Y simplemente marcarle el check de “Catálogo global” et acceptez,

Oh, bien, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Autoriser les transferts de zone” para que traiga la zona a nuestro nuevo controlador de dominio.

Despromoción de controladores de dominio antiguos,

Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, pour cela, los quitaremos de forma limpia, C’est, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Exécuter” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Prochain”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Accepter.

“Suivant”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Suivant”,

Comprobamos todos los pasos y pulsamos en “Suivant” para despromocionar este controlador de dominio,

… Patientez quelques minutes…

“Fin”, se quitó bien,

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Cliquez sur “Reiniciar ahora”,

Elevar niveles de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Fenêtres 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio	Características habilitadas	Sistemas operativos de controlador de dominio admitidos
Windows 2000 nativo	Todas las características predeterminadas de Active Directory y las características siguientes: • Los grupos universales están habilitados para grupos de distribución y de seguridad. • Anidación de grupos. • La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución. • Historial de identificadores de seguridad (SID).	Windows 2000 Serveur Windows 2003 Serveur Windows 2008
Serveur Windows 2003	Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes: • La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio. • Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio. • La capacidad de establecer el atributo userPassword como la contraseña efectiva en inetOrgPerson y los objetos de usuario. • La capacidad de redirigir los contenedores Usuarios y equipos. Par défaut, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: Je veux dire, cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica permite definir una ubicación nueva conocida para estas cuentas. • Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS). • Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos. • Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.	Serveur Windows 2003 Serveur Windows 2008
Serveur Windows 2008	Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes: • Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL. • Compatibilidad de los Servicios de cifrado avanzado (AES 128 et 256) con el protocolo Kerberos. • Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión. • Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.	Serveur Windows 2008

Puits, para elevar el nivel funcional del dominio, Nous ouvrons la console “Domaines et approbations Active Directory” y sobre el dominio con botón derecho > “Elevar el nivel funcional de dominio…”

Debemos seleccionar el nivel funcional del dominio “Windows Server 2008” et nous appuyons sur “Elevar”,

Accepter, oeil! a tener en cuenta que esto será irreversible.

Parfait, Accepter,

Puits, para elevar el nivel funcional de bosque, Nous ouvrons la console “Domaines et approbations Active Directory” et à propos “Domaines et approbations Active Directory” Clic droit > “Elevar el nivel funcional del bosque…”

Debemos seleccionar el nivel funcional del bosque “Windows Server 2008” et nous appuyons sur “Elevar”,

Comme avant, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir.

“Accepter” y ya tendríamos un Directorio Activo actualizado a nivel funcional Windows 2008.

www.bujarra.com – Héctor Herrero – Nh*****@bu*****.cOm – v 1.0