In questo documento viene illustrato come eseguire correttamente la migrazione di un ambiente Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Essendo la migrazione di Active Directory 2000 o 2003 A 2008. Verrà eseguita la migrazione di Active Directory a questa nuova versione nei nuovi controller di dominio. I controller di dominio precedenti scompariranno. Quindi avrai bisogno di un nuovo server per installare Windows 2008, Trasformalo in un controller di dominio, passargli i ruoli e quindi annullare l'innalzamento di livello dei controller di dominio precedenti. Infine, il livello di funzionalità del dominio e della foresta sarà elevato a "Windows 2008". I passaggi corretti da seguire saranno:

Comprobar estado de los controladores de dominio – QUI, (recomendable pero no obligatorio)
Preparar el Directorio Activo – QUI,
Unirse a un Directorio Activo Existente – QUI,
Migrar los roles – QUI,
Despromoción de controladores de dominio antiguos – QUI,
Elevar niveles funcionales – QUI,

Occhio, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:

– Dominio actual no tiene que ser ‘Modo Mixto’, si no ‘Modo Nativo’ o ‘Windows 2003 Server’
– Comprobar HCL (Elenco di compatibilità hardware) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – QUI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.

Comprobar estado de los controladores de dominio,

Non male, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Per esempio, tenemos DCDIAG. Está utilidad nos servirá para hacer un diagnostico de los controladores de dominio. Esta herramienta de la línea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft – QUI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionaré la salida de texto a un fichero de texto TXT:
dcdiag.exe > FICHERO_DE_LOG

Al abrir el fichero de LOG generado tendremos un texto como el siguiente:

---

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Connettività
……………………. HXXXXXXX1 passed test Connectivity

Testing server: HXXXXXXXIHXXXXXXX1
Starting test: Replications
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From AXXXXX1 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.25.
The last success occurred at 2008-07-01 18:51.20.
91 failures have occurred since the last success.
[AXXXX01] DsBind() failed with error 1722,
El servidor RPC no está disponible..
The source remains down. Please check the machine.
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From MXXXX01 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.48.
The last success occurred at 2008-07-01 18:51.20.

---

Occhio, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. 😉

Più, tenemos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, Comprendente, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para leer más, visitar la web de Microsoft – QUI.

El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:

repadmin.exe /showreps > FICHERO_DE_LOG

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

---

HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, risultato 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, risultato 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.

---

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, possiamo avere errori di replica e avere lo stesso oggetto Criteri di gruppo in siti diversi con configurazioni diverse. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

---

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Fondare 167 policies
============================================================
Politica {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Politica {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Politica {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Politica {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Politica {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Politica {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Politica {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Politica {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Politica {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK

Policies OK

---

Preparar el Directorio Activo,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Innanzitutto, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, alla versione 44 que es un bosque 2008)…

Ok, comprobamos que finaliza correctamente.

Ora, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:

adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean correctos.

Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.

Unirse a un Directorio Activo Existente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – QUI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Eseguire” del menú Inicio. E noi accettiamo.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Seguente”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Continuare, “Seguente”,

Debemos seleccionar la opción “Bosque existente” e “Aggiungere un controller di dominio a un dominio esistente”, “Seguente”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Seguente”,

Seleccionamos el dominio al que nos uniremos, “Seguente”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Seguente”,

Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Seguente”,

Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:WindowsNTDS y C:WindowsSYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, “Seguente”,

Non male, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), “Seguente”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Seguente”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Non male, una vez instalados los servicios del AD pulsamos en “Fine”,

Debemos reiniciar este servidor, Clicca su “Reiniciar ahora”,

Migrar los roles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Può essere fatto in due modi, Mediare GUI, o tramite Comandi. E c'è un terzo modo che sarebbe aggressivo nel caso in cui Active Directory non funzioni correttamente e dobbiamo forzare il trasferimento delle funzioni – QUI. A continuación lo haremos mediante GUI:

Para modificar los roles, Andiamo alla console di “Utenti e computer di Active Directory” del servidor al que queremos migrar los roles, Se possibile, altrimenti, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, Fare clic con il pulsante destro del mouse “Modificare il controller di dominio… “

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Non male, ahora comencemos a migrar los roles, per questo, sobre el dominio con botón derecho > “Master Operazioni…”

Debemos cambiar las tres opciones, primo, dalla scheda RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Cambiare…”, È.

Confermare, “Sì”

“Accettare”.

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

Ahora con la siguiente pestaña, quello di “Controller di dominio primario”, Clicca su “Cambiare…”

“Sì”,

“Accettare”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infrastruttura”, Clicca su “Cambiare…”,

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, Confermare, “Sì”.

Accettare,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Ok, otro rol, ahora el de maestro de operaciones, busta “Domini e trust di Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Domini e trust di Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botón derecho en “Domini e trust di Active Directory” e seleziona “Master Operazioni…”,

Ok, nos dice que cambiaremos de de un servidor antiguo al 2008 Le “Master Operazioni”, Diamo “Cambiare…”,

Confermare, “Sì”,

Accettare,

Ora, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, Scrivere “regsvr32 schmmgmt.dll” Per eseguire la migrazione del server di schema, quando dai il “Entrare” Avremo conferma, Lo accettiamo.

Cosa ho detto, “Accettare”,

Ahora abrimos una consola MMC (Microsoft Management Console) desde el menú Inicio en “Eseguire” escribiendo ‘mmc’ y aceptando.

Clicca su “File” > “Aggiungere o rimuovere un componente aggiuntivo…”

Clicca su “Aggiungere”,

En los complementos buscamos el “Active Directory Schema” e clicca su “Aggiungere” e poi così via “Chiudere” e “Accettare”,

Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, per questo, Fare clic con il tasto destro su “Active Directory Schema” e scegliamo “Modificare il controller di dominio…”

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, fare clic con il pulsante destro del mouse su “Active Directory Schema” e seleziona “Master Operazioni…”

Come prima, ci mostra il server corrente di “Schema Master”, para migrarlo de uno a otro pulsamos sobre “Cambiare…” e accetta.

Confirmamos que lo queremos cambiar,

Accettare.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, busta “Sitios y servicios del AD” > “Siti” > su qualsiasi controller di dominio, y nos vamos al servidor nuevo a “Impostazioni NTDS” > Pulsante destro > “Proprietà”,

E basta controllare il “Catalogo globale” e accetta,

Oh, bene, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Consenti trasferimenti di zona” para que traiga la zona a nuestro nuevo controlador de dominio.

Despromoción de controladores de dominio antiguos,

Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, per questo, los quitaremos de forma limpia, Questo è, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Eseguire” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Prossimo”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Accettare.

“Seguente”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Seguente”,

Comprobamos todos los pasos y pulsamos en “Seguente” para despromocionar este controlador de dominio,

… Attendi qualche minuto…

“Fine”, se quitó bien,

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Clicca su “Reiniciar ahora”,

Elevar niveles de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio	Características habilitadas	Sistemas operativos de controlador de dominio admitidos
Finestre 2000 nativo	Todas las características predeterminadas de Active Directory y las características siguientes: • Los grupos universales están habilitados para grupos de distribución y de seguridad. • Anidación de grupos. • La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución. • Historial de identificadores de seguridad (SID).	Finestre 2000 Windows Server 2003 Windows Server 2008
Windows Server 2003	Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes: • La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio. • Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio. • La capacidad de establecer el atributo userPassword como la contraseña efectiva en inetOrgPerson y los objetos de usuario. • La capacidad de redirigir los contenedores Usuarios y equipos. Per impostazione predefinita, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: Voglio dire, cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica permite definir una ubicación nueva conocida para estas cuentas. • Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS). • Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos. • Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.	Windows Server 2003 Windows Server 2008
Windows Server 2008	Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes: • Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL. • Compatibilidad de los Servicios de cifrado avanzado (AES 128 e 256) con el protocolo Kerberos. • Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión. • Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.	Windows Server 2008

Bene, para elevar el nivel funcional del dominio, Apriamo la console “Domini e trust di Active Directory” y sobre el dominio con botón derecho > “Elevar el nivel funcional de dominio…”

Debemos seleccionar el nivel funcional del dominio “Windows Server 2008” e premiamo “Elevar”,

Accettare, occhio! a tener en cuenta que esto será irreversible.

Perfetto, Accettare,

Bene, para elevar el nivel funcional de bosque, Apriamo la console “Domini e trust di Active Directory” y sobre “Domini e trust di Active Directory” Fare clic con il pulsante destro del mouse > “Elevar el nivel funcional del bosque…”

Debemos seleccionar el nivel funcional del bosque “Windows Server 2008” e premiamo “Elevar”,

Come prima, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir.

“Accettare” y ya tendríamos un Directorio Activo actualizado a nivel funcional Windows 2008.

www.bujarra.com – Héctor Herrero – Nh*****@bu*****.cOm – v 1.0