Migrar o Diretório Ativo da Microsoft Windows 2003 para Microsoft Windows 2008
Neste documento será mostrado como migrar corretamente um ambiente Microsoft Windows 2000 ou Microsoft Windows 2003 para Microsoft Windows 2008. Sendo a migração do Diretório Ativo 2000 ou 2003 Para 2008. O Diretório Ativo será migrado para esta nova versão em novos controladores de domínio. Os controladores de domínio antigos desaparecerão. Portanto, será necessário um novo servidor para poder instalar o Windows 2008, torná-lo controlador de domínio, transferir-lhe os papéis e posteriormente despromover os controladores de domínio antigos. Finalmente, será elevado o nível funcional do domínio e da floresta para 'Windows 2008'. Os passos corretos a seguir serão:
Verificar o estado dos controladores de domínio – AQUI, (recomendável mas não obrigatório)
Preparar o Diretório Ativo – AQUI,
Unirse a un Directorio Activo Existente – AQUI,
Migrar los roles – AQUI,
Despromoção de controladores de domínio antiguos – AQUI,
Elevar níveis funcionales – AQUI,
Olho, antes de começar tendremos em conta que devemos ter cópias de segurança, tanto de los controladores de domínio como do Directorio Ativo por si algo sale mal. Devemos ter en conta além de todos os requisitos para atualizar um Directorio Ativo a 2008:
– Domínio atual não tem que ser 'Modo Mixto', si no 'Modo Nativo’ o 'Windows 2003 Servidor’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – AQUI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.
Verificar o estado dos controladores de domínio,
Nada mau, lo primero que hay que realizar antes de uma migração de Directorio Ativo es comprobar que el AD nos está a funcionar corretamente. Que devemos ter bem configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están a funcionar, esto es que las GPO se copian de um sitio a outro, de un controlador de domínio a outro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de domínio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo isto, para ello Microsoft nos proporciona ciertas herramientas que nos ajudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Por exemplo, tenemos DCDIAG. Esta utilidade servirá para fazermos um diagnóstico dos controladores de domínio. Esta ferramenta de linha de comando analisa o estado de um ou todos os controladores de domínio numa floresta e informa de qualquer problema para facilitar a sua resolução. Para ler mais, visitar o site da Microsoft – AQUI. No exemplo da imagem executarei o comando num controlador de domínio, no meu caso no principal e redirecionarei a saída de texto para um ficheiro de texto TXT:
dcdiag.exe > FICHERO_DE_LOG

Ao abrir o ficheiro de LOG gerado teremos um texto como o seguinte:
Diagnóstico do Controlador de Domínio
A realizar configuração inicial:
Informações iniciais recolhidas.
A testar servidor: HXXXXXXXIHXXXXXXX1
Início do teste: Connectivity
……………………. HXXXXXXX1 passou no teste de Conectividade
A testar servidor: HXXXXXXXIHXXXXXXX1
Início do teste: Replicações
[Verificação de Replicações,HXXXXXXX1] Uma tentativa recente de replicação falhou:
De AXXXXX1 para HXXXXXXX1
Contexto de Nomeação: CN=Esquema,CN=Configuração,DC=XXXXXXX,DC=es
A replicação gerou um erro (1722):
O servidor RPC não está disponível.
A falha ocorreu em 2008-07-15 07:38.25.
O último sucesso ocorreu em 2008-07-01 18:51.20.
91 falhas ocorreram desde o último sucesso.
[AXXXX01] DsBind() falhou com o erro 1722,
O servidor RPC não está disponível..
A origem permanece inativa. Por favor, verifique a máquina.
[Verificação de Replicações,HXXXXXXX1] Uma tentativa recente de replicação falhou:
De MXXXX01 para HXXXXXXX1
Contexto de Nomeação: CN=Esquema,CN=Configuração,DC=XXXXXXX,DC=es
A replicação gerou um erro (1722):
O servidor RPC não está disponível.
A falha ocorreu em 2008-07-15 07:38.48.
O último sucesso ocorreu em 2008-07-01 18:51.20.
Olho, dá-me erros, haveria que verificar, mas no meu caso os erros devem-se ao facto de eu estar a realizar um piloto e tenho este controlador de domínio junto a outro isolado, no caso do domínio que nos diz respeito tem 40 controladores de domínio e eu não os tenho na minha rede pois é para fazer este documento. Portanto, sem problema. 😉

Mais, temos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, Incluindo, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para ler mais, visitar o site da Microsoft – AQUI.

El caso es comprobar que las réplicas entre sitios y entre controladores de domínio es correcta, para ello executamos REPADMIN en el siguiente formato:
repadmin.exe /showreps > FICHERO_DE_LOG

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de domínio en mi red:
HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f
==== VIZINHOS DE ENTRADA ======================================
CN=Esquema,CN=Configuração,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Última tentativa @ 2008-07-15 07:41.05 falhou, result 1722:
O servidor RPC não está disponível.
Último sucesso @ 2008-07-01 18:51.21.
91 falha consecutiva(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Última tentativa @ 2008-07-15 07:41.51 falhou, result 1722:
O servidor RPC não está disponível.
Último sucesso @ 2008-07-01 18:51.21.

Outra, temos GPOTOOL. Esta ferramenta ou utilitário serve para verificar o estado de cada política que temos no nosso Directório Ativo, podemos ter falhas na replicação e ter a mesma GPO em sites diferentes com configurações diferentes. Esta ferramenta irá verificar-nos o estado delas.

O comando em questão é executado da seguinte maneira:
gpotool.exe > FICHERO_DE_LOG

Este seria um exemplo do meu ficheiro LOG do GPOTool: A validar DCs…
DCs disponíveis:
hXXXXXXX1.XXXXXXX.es
A procurar políticas…
Fundar 167 políticas
============================================================
Política {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Política OK
============================================================
Política {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Política OK
============================================================
Política {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Política OK
============================================================
Política {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Política OK
============================================================
Política {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Política OK
============================================================
Política {0959942F-21A2-4FF0-B84C-1A3748E24815}
Política OK
============================================================
Política {097AB751-C12A-4A42-B8BE-26B54190FB12}
Política OK
============================================================
Política {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Política OK
============================================================
…
============================================================
Política {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Política OK
Políticas OK
Após verificar que temos o Active Directory correto, devemos preparar o nosso Active Directory para que suporte controladores de domínio com Microsoft Windows 2008 de sistema operativo. Para tal devemos executar os seguintes comandos e verificar que terminam corretamente sem erros.

Primero de todo, no servidor que tem o papel de Mestre de Esquema e com um utilizador com permissões de Administrador da Empresa, Administrador de Esquema e Administrador de domínio executaremos:
adprep /forestprep

Para continuar pressionamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, para a versão 44 que es un bosque 2008)…

Okey, comprobamos que finaliza correctamente.

Agora, devemos preparar se nos interessa o Directorio Ativo para poder usar controladores de domínio de leitura, este comando será opcional. Se executará en el servidor con el rol 'Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:
adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el domínio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:
adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean corretos.
Tendremos que tener en cuenta que si nuestro Directorio Ativo es grande y tenemos diferentes sítios com diferentes tempos de réplica, daremos tempo a que se replique o Directorio Ativo entre comando y comando. Aproximandamente 15 minutos entre cada comando.
Unirse a un Directorio Activo Existente,
Una vez ya tenemos el Directorio Activo actualizado a la versão Windows 2008 ya podremos criar controladores de domínio com esta versão de Windows. Así que ahora instalamos Windows 2008 en algún servidor a seguir este procedimiento – AQUI. Y le promocionaremos a controlador de domínio no nosso domínio atual.

En el servidor 2008 recien instalado, le agregaremos a função de Servicios de dominio de Active Directory mediante el comando 'dcpromo’ en la opción “Executar” del menu Inicio. Y aceitamos.

… esperamos enquanto prepara el asistente de instalação de los servicios de dominio de Directorio Activo…

Começa o assistente de instalação para criar o unirnos a um domínio, “Seguinte”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Continuar, “Seguinte”,

Debemos seleccionar la opción “Bosque existente” e “Agregar un controlador de domínio a um domínio existente”, “Seguinte”,

Indicamos el nombre del domínio al que nos queremos unir como controlador de domínio, indicamos unas credenciales con permisos de unirnos al domínio y “Seguinte”,

Selecionamos el dominio al que nos uniremos, “Seguinte”,

Nos muestra los sitios que tiene configurados el dominio actual, Indicamos a que sitio pertenece este controlador de dominio & “Seguinte”,

Indicamos como opção adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de domínio velho, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Seguinte”,

Debemos selecionar donde guardaremos la BD del directorio activo, assim como a base de dados también los ficheiros de registo de ela y a localização da carpeta Sysvol, sus paths predeterminados son: C:WindowsNTDS y C:WindowsSYSVOL. Si los cambiamos será para aumentar o rendimento neste controlador de domínio, si tiene mucha carga, “Seguinte”,

Nada mau, agora devemos indicar a palavra-passe do utilizador Administrador se precisarmos de entrar no computador em modo de recuperação (premindo F8 ao reiniciar), “Seguinte”,

Verificamos o resumo da preparação para promover este servidor, “Seguinte”,

… esperamos enquanto replica todos os objetos para este servidor e configura no Diretório Ativo este servidor como um controlador de domínio adicional…

Nada mau, uma vez instalados os serviços do AD, clicamos em “Fim”,

Devemos reiniciar este servidor, Clique em “Reiniciar agora”,
Uma vez que já temos o primeiro controlador de domínio com Windows 2008, o que temos de fazer é transferir para ele todos os papéis do Diretório Ativo e assim retirar funções aos servidores antigos e poder substituí-los. Se puede realizar de dos formas, mediate GUI, o mediante Comandos. Y hay uma terceira forma que seria la agressiva por si no nos funciona corretamente o Directorio Ativo y devemos forçar o traslado das funções – AQUI. De seguida, faremos isto através da GUI:

Para modificar os papéis, vamos à consola de “Usuarios y Equipos de Active Directory” del servidor al que queremos migrar los roles, se possível, caso contrário, nos conectamos desde a consola al servidor deseado de la próxima maneira: Sobre el dominio, Clique com o botão direito do mouse “Mudar o controlador de domínio… “

Selecionamos el controlador de domínio al que queremos passar los roles y aceitamos.

Nada mau, agora começamos a migrar los roles, por isso, sobre o domínio com o botão direito > “Mestre de operações…”

Devemos mudar las tres opções, primeiro, a partir do separador RID, nos mostra que é o servidor RID actual e a qual o que passamos si pulsamos sobre “Mudar…”, le damos.

Confirmamos, “Sim”

“Aceitar”.

Comprobamos que el rol se ha migrado corretamente y agora cambiamos de pestaña,

Ahora con la siguiente pestaña, la de “Controlador de domínio principal”, Clique em “Mudar…”

“Sim”,

“Aceitar”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infraestruturas”, Clique em “Mudar…”,

Eso pasa porque el controlador de domínio actual também es Catalogo Global, es una configuração no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente mudaremos este rol o haremos a otro DC GC, Confirmar, “Sim”.

Aceitar,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Okey, otro rol, ahora el de maestro de operaciones, envelope “Dominios y confianzas de Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Dominios y confianzas de Active Directory” > “Changer controlador de domínio de Active Directory…”

Selecionamos o controlador de domínio al que queremos passar o papel e aceitamos,

Pulsamos com o botão direito en “Dominios y confianzas de Active Directory” y seleccionamos “Mestre de operações…”,

Okey, nos dice que cambiaremos de un servidor antiguo al 2008 o “Mestre de operações”, Nós damos “Mudar…”,

Confirmamos, “Sim”,

Aceitar,

Agora, abrimos una ventana de MSDOS en um dos controladores de domínio antiguos, Escrever “regsvr32 schmmgmt.dll” para migrar o servidor de esquema, al dar al “Entrar” nos saldrá la confirmación, la aceptamos.

O que eu disse, “Aceitar”,

Agora abrimos una consola MMC (Console de Gerenciamento Microsoft) desde o menu Início en “Executar” escrevendo 'mmc’ y aceptando.

Clique em “Arquivo” > “Agregar o quitar complemento…”

Clique em “Adicionar”,

En los complementos buscamos el “Esquema de Active Directory” e clique em “Adicionar” y luego sobre “Fechar” e “Aceitar”,

Primeiro tenho que conectar al servidor donde quiero migrar este rol, como antes, por isso, botón derecho sobre “Esquema de Active Directory” y elegimos “Mudar o controlador de domínio…”

Escrevemos o nome do servidor que queremos migrar e aceitamos.

Para mudar o servidor que aloja o esquema, pinchamos con botón derecho sobre “Esquema de Active Directory” y seleccionamos “Mestre de operações…”

Igual que antes, nos mostra el servidor actual de “Maestro de esquema”, para migrar de um a outro pulsos sobre “Mudar…” y aceptamos.

Confirmamos que o queremos mudar,

Aceitar.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, envelope “Sitios y servicios del AD” > “Sites” > en qualquer domain controller, y nos vamos al servidor nuevo a “Definições NTDS” > Botão direito > “Propriedades”,

E simplesmente marcar a caixa de “Catálogo global” y aceptamos,

Oh, bem, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Permitir transferências de zona” para que traiga la zona a nuestro nuevo controlador de dominio.
Despromoção de controladores de domínio antiguos,
Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, por isso, los quitaremos de forma limpia, Isso é, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Executar” del menu Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Próximo”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Aceitar.

“Seguinte”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Seguinte”,

Comprobamos todos los pasos y pulsamos en “Seguinte” para despromocionar este controlador de dominio,

… Aguarde alguns minutos…

“Fim”, se quitó bien,

Devemos reiniciar este servidor agora para que as mudanças surjan efecto. Clique em “Reiniciar agora”,
Elevar níveis de funcionamiento,
Uma vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o janelas 2003 no nosso Directorio Ativo, podremos elevar o nível de funcionamento tanto do bosque como do domínio, com isto conseguiremos as seguintes ventajas:
|
Nível funcional do domínio |
Características habilitadas |
Sistemas operativos de controlador de domínio admitidos |
||||||||||||||
|
Windows 2000 nativo |
Todas las características predeterminadas de Active Directory y las características siguientes:
|
Windows 2000 |
||||||||||||||
|
Servidor Windows 2003 |
Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do nível funcional de domínio do Windows 2000 nativo e as funcionalidades seguintes:
|
Servidor Windows 2003 |
||||||||||||||
|
Servidor Windows 2008 |
Todas as funcionalidades predefinidas do Active Directory, todas las características del nivel funcional de domínio de Windows Server 2003 y las características siguientes:
|
Servidor Windows 2008 |

Poço, para elevar el nivel funcional del dominio, abrimos la consola “Dominios y confianzas de Active Directory” e sobre o domínio com o botão direito > “Elevar o nível funcional do domínio…”

Devemos selecionar o nível funcional do domínio “Windows Server 2008” e nós pressionamos “Elevar”,

Aceitar, olho! ter em conta que isto será irreversível.

Perfeito, Aceitar,

Poço, para elevar o nível funcional de bosque, abrimos la consola “Dominios y confianzas de Active Directory” e sobre “Dominios y confianzas de Active Directory” Clique com o botão direito do mouse > “Elevar o nível funcional do bosque…”

Devemos selecionar o nível funcional do bosque “Windows Server 2008” e nós pressionamos “Elevar”,

Igual que antes, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir.

“Aceitar” y ya tendríamos un Directorio Activo actualizado a nível funcional Windows 2008.
www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0








































