Eseguire la migrazione di Microsoft Windows Active Directory 2003 a Microsoft Windows 2008

Compatibile con la stampa, PDF ed e-mail

In questo documento viene illustrato come eseguire correttamente la migrazione di un ambiente Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Essendo la migrazione di Active Directory 2000 o 2003 A 2008. Verrà eseguita la migrazione di Active Directory a questa nuova versione nei nuovi controller di dominio. I controller di dominio precedenti scompariranno. Quindi avrai bisogno di un nuovo server per installare Windows 2008, Trasformalo in un controller di dominio, passargli i ruoli e quindi annullare l'innalzamento di livello dei controller di dominio precedenti. Infine, il livello di funzionalità del dominio e della foresta sarà elevato a "Windows 2008". I passaggi corretti da seguire saranno:

Controllare lo stato dei controller di dominio – QUI, (consigliabile ma non obbligatorio)
Preparare Active Directory – QUI,
Unirsi a un Active Directory esistente – QUI,
Migrare i ruoli – QUI,
De-promo dei controller di dominio vecchi – QUI,
Elevare i livelli funzionali – QUI,

Occhio, prima di iniziare dovremo tenere in considerazione che dobbiamo avere copie di backup, sia dei controller di dominio sia di Active Directory nel caso qualcosa vada storto. Dovremo inoltre tenere in considerazione tutti i requisiti per aggiornare un Active Directory a 2008:

– Il dominio attuale non deve essere in 'Modalità Mista', ma in 'Modalità Nativa'’ o 'Windows' 2003 Server’
– Controllare HCL (Elenco di compatibilità hardware) dei nuovi controller di dominio, affinché siano supportati da MS Windows 2008 – QUI.
– I controller di dominio basati su Windows 2000 devono avere installato SP4. Nel caso di Windows 2003 tener el SP1.

Controllare lo stato dei controller di dominio,

Non male, lo primo que hay que realizar ante una migrazione de Directorio Activo es comprobar que el AD nos está funcionando correttamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a altro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos fornisce ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Per esempio, tenemos DCDIAG. Questa utilità ci servirà per fare una diagnosi dei controller di dominio. Questo strumento da riga di comando analizza lo stato di uno o di tutti i controller di dominio in un forest e segnala eventuali problemi per facilitare la loro risoluzione. Per leggere di più, visitare il sito web di Microsoft – QUI. Nell'esempio dell'immagine eseguirò il comando su un controller di dominio, nel mio caso sul principale e reindirizzerò l'output di testo a un file di testo TXT:
dcdiag.exe > FICHERO_DE_LOG

Aprendo il file di LOG generato avremo un testo come il seguente:

Diagnosi del Controller di Dominio

Esecuzione della configurazione iniziale:
Raccolta informazioni iniziali completata.

Esecuzione dei test iniziali richiesti

Test del server: HXXXXXXXIHXXXXXXX1
Avvio del test: Connettività
……………………. HXXXXXXX1 ha superato il test di Connettività

Esecuzione dei test principali

Test del server: HXXXXXXXIHXXXXXXX1
Avvio del test: Repliche
[Controllo Repliche,HXXXXXXX1] Un recente tentativo di replica è fallito:
Da AXXXXX1 a HXXXXXXX1
Contesto di denominazione: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
La replica ha generato un errore (1722):
Il server RPC non è disponibile.
Il fallimento si è verificato alle 2008-07-15 07:38.25.
L'ultimo successo si è verificato alle 2008-07-01 18:51.20.
91 si sono verificati fallimenti dall'ultimo successo.
[AXXXX01] DsBind() è fallito con errore 1722,
Il server RPC non è disponibile..
La sorgente rimane inattiva. Si prega di controllare la macchina.
[Controllo Repliche,HXXXXXXX1] Un recente tentativo di replica è fallito:
Da MXXXX01 a HXXXXXXX1
Contesto di denominazione: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
La replica ha generato un errore (1722):
Il server RPC non è disponibile.
Il fallimento si è verificato alle 2008-07-15 07:38.48.
L'ultimo successo si è verificato alle 2008-07-01 18:51.20.

Occhio, mi dà errori, bisognerebbe vederlo, ma nel mio caso gli errori sono dovuti al fatto che sto facendo un pilota e ho questo controller di dominio insieme a un altro isolato, nel caso del dominio che ci riguarda ha 40 controller di dominio e non li ho nella mia rete poiché è per fare questo documento. Quindi nessun problema. 😉

Più, abbiamo REPADMIN, con questo comando vedremo lo stato delle repliche del nostro Active Directory. Esegue le attività relative alla replicazione, Comprendente, amministrare e modificare la topologia di replicazione, forzare gli eventi di replicazione, e mostrare i metadati di replicazione e i vettori aggiornati. Per leggere di più, visitare il sito web di Microsoft – QUI.

Il caso è verificare che le repliche tra siti e tra controller di dominio siano corrette, Per questo eseguiamo REPADMIN nel seguente formato:

repadmin.exe /showreps > FICHERO_DE_LOG

Questo sarebbe un esempio del mio Active Directory, di cui so che è totalmente corrotto per quello che ho detto prima, che mi mancano circa 38 controller di dominio nella mia rete:

HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, risultato 1722:
Il server RPC non è disponibile.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, risultato 1722:
Il server RPC non è disponibile.
Last success @ 2008-07-01 18:51.21.

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, possiamo avere errori di replica e avere lo stesso oggetto Criteri di gruppo in siti diversi con configurazioni diverse. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Fondare 167 policies
============================================================
Politica {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Politica {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Politica {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Politica {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Politica {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Politica {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Politica {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Politica {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Politica {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK

Policies OK

Preparare Active Directory,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Innanzitutto, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, alla versione 44 que es un bosque 2008)…

Ok, comprobamos que finaliza correctamente.

Ora, debemos preparare si nos interessa el Directorio Activo para poter usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol 'Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:

adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean correctos.

Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.

Unirsi a un Active Directory esistente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – QUI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ nell'opzione “Eseguire” del menú Inicio. E noi accettiamo.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Seguente”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Continuare, “Seguente”,

Dobbiamo selezionare l'opzione “Bosque existente” e “Aggiungere un controller di dominio a un dominio esistente”, “Seguente”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Seguente”,

Seleccionamos el dominio al que nos uniremos, “Seguente”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Seguente”,

Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Seguente”,

Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:WindowsNTDS y C:WindowsSYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, “Seguente”,

Non male, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), “Seguente”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Seguente”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Non male, una vez instalados los servicios del AD pulsamos en “Fine”,

Debemos reiniciar este servidor, Clicca su “Reiniciar ahora”,

Migrare i ruoli,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y quindi quitar funciones a los servidores antiguos y poder reemplazarlos. Può essere fatto in due modi, Mediare GUI, o tramite Comandi. E c'è un terzo modo che sarebbe aggressivo nel caso in cui Active Directory non funzioni correttamente e dobbiamo forzare il trasferimento delle funzioni – QUI. A continuación lo haremos mediante GUI:

Para modificar los roles, Andiamo alla console di “Utenti e computer di Active Directory” del servidor al que queremos migrar los roles, Se possibile, altrimenti, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, Fare clic con il pulsante destro del mouse “Modificare il controller di dominio… “

Selezionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Non male, ahora comencemos a migrar los roles, per questo, sobre el dominio con botón derecho > “Master Operazioni…”

Debemos changer las tres options, primo, dalla scheda RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Cambiare…”, È.

Confermare, “Sì”

“Accettare”.

Comprobamos que el rol se ha migrado correttamente y ora cambiamos de pestaña,

Ahora con la siguiente pestaña, quello di “Controller di dominio primario”, Clicca su “Cambiare…”

“Sì”,

“Accettare”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infrastruttura”, Clicca su “Cambiare…”,

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no commendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, Confermare, “Sì”.

Accettare,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Ok, otro rol, ahora el de maestro de operaciones, busta “Domini e trust di Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Domini e trust di Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botón derecho en “Domini e trust di Active Directory” e seleziona “Master Operazioni…”,

Ok, nos dice que cambiaremos de de un servidor antiguo al 2008 Le “Master Operazioni”, Diamo “Cambiare…”,

Confermare, “Sì”,

Accettare,

Ora, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, Scrivere “regsvr32 schmmgmt.dll” Per eseguire la migrazione del server di schema, quando dai il “Entrare” Avremo conferma, Lo accettiamo.

Cosa ho detto, “Accettare”,

Ahora abrimos una consola MMC (Microsoft Management Console) desde el menú Inicio en “Eseguire” escribiendo ‘mmc’ y aceptando.

Clicca su “File” > “Aggiungere o rimuovere un componente aggiuntivo…”

Clicca su “Aggiungere”,

En los complementos buscamos el “Active Directory Schema” e clicca su “Aggiungere” e poi così via “Chiudere” e “Accettare”,

Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, per questo, Fare clic con il tasto destro su “Active Directory Schema” e scegliamo “Modificare il controller di dominio…”

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, fare clic con il pulsante destro del mouse su “Active Directory Schema” e seleziona “Master Operazioni…”

Come prima, ci mostra il server corrente di “Schema Master”, para migrarlo de uno a otro pulsamos sobre “Cambiare…” e accetta.

Confirmamos que lo queremos cambiar,

Accettare.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, busta “Sitios y servicios del AD” > “Siti” > su qualsiasi controller di dominio, y nos vamos al servidor nuevo a “Impostazioni NTDS” > Pulsante destro > “Proprietà”,

E basta controllare il “Catalogo globale” e accetta,

Oh, bene, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Consenti trasferimenti di zona” para que traiga la zona a nuestro nuevo controlador de dominio.

De-promo dei controller di dominio vecchi,

Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, per questo, los quitaremos de forma limpia, Questo è, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ nell'opzione “Eseguire” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Prossimo”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Accettare.

“Seguente”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Seguente”,

Comprobamos todos los pasos y pulsamos en “Seguente” para despromocionar este controlador de dominio,

… Attendi qualche minuto…

“Fine”, Se quitó bien,

Debemos reiniciar este server ahora para que los changements surjan efecto. Clicca su “Reiniciar ahora”,

Elevar livelli de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el livello de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio

Características habilitadas

Sistemas operativos de controlador de dominio admitidos

Finestre 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

•	Los grupos universales están habilitados para grupos de distribución y de seguridad.
•	Anidación de grupos.
•	La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución.
•	Historial de identificadores de seguridad (SID).

Finestre 2000
Windows Server 2003
Windows Server 2008

Windows Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes:

•	La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio.
•	Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Questo attributo si replica all'interno del dominio.
•	La capacità di impostare l'attributo userPassword come la password effettiva in inetOrgPerson e negli oggetti utente.
•	La capacità di reindirizzare i contenitori Utenti e computer. Per impostazione predefinita, sono forniti due contenitori conosciuti per ospitare account utente e computer o gruppo: Voglio dire, cn=Computers,<radiceDelDominio> e cn=Users,<radiceDelDominio>. Questa funzionalità permette di definire una nuova posizione conosciuta per questi account.
•	Consente all'Amministratore di autorizzazione di archiviare le policy di autorizzazione nei Servizi di dominio di Active Directory (AD DS).
•	Include delega ristretta affinché le applicazioni possano sfruttare la delega sicura delle credenziali utente tramite il protocollo di autenticazione Kerberos. La delegazione può essere configurata in modo che sia consentita solo su servizi di destinazione specifici.
•	Supporta l'autenticazione selettiva, che consente di specificare gli utenti e i gruppi di una foresta attendibile a cui è permesso autenticarsi sui server di risorse in una foresta che si fida.

Windows Server 2003
Windows Server 2008

Windows Server 2008

Todas las características predeterminadas de Active Directory, tutte le caratteristiche del livello funzionale di dominio di Windows Server 2003 e le seguenti caratteristiche:

•	Compatibilità con la replica del File System Distribuito (DFS) per SYSVOL, che fornisce una replica più solida e dettagliata del contenuto di SYSVOL.
•	Compatibilità dei Servizi di crittografia avanzata (AES 128 e 256) con il protocollo Kerberos.
•	Informazioni sull'ultimo accesso interattivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.
•	Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows Server 2008

Bene, para elevar el livello funcional del dominio, Apriamo la console “Domini e trust di Active Directory” y sobre el dominio con botón derecho > “Elevar el nivel funcional del dominio…”

Debemos seleccionar el nivel funcional del dominio “Windows Server 2008” e premiamo “Elevar”,

Accettare, occhio! a tener en cuenta que esto será irreversible.

Perfetto, Accettare,

Bene, para elevar el nivel funcional de bosque, Apriamo la console “Domini e trust di Active Directory” y sobre “Domini e trust di Active Directory” Fare clic con il pulsante destro del mouse > “Elevar el nivel funcional del bosque…”