Как мигрировать контроллер домена с системы Server 2003 на 2008

Posted by

Для того, чтобы мигрировать контроллер домена на базе Windows R2 Enterpise на систему Windows R2 Enterprise и пойдет речь в данной заметке.

Это делается для того, чтобы научиться управлять всеми возможностями новой среды, стать так сказать более продуктивнее. Многие заметки на моем блоге — это действительно показывают, причем наглядно и это не пустые слова, об этом говорит статистика их просмотров. Но довольно лирики, перейду к пошаговым шагам которые я изложу в этой заметке.

Мне понадобится:

Контроллер домена развернутый ранее (Windows Server 2003 R2)

и система Windows Server 2008 R2 (заострять внимание как развернуть данную систему смысла не вижу, у меня UAC отключен) в той же подсети.

И так у меня есть существующий домен, polygon.local. Сетевые настройки точно такие же, как и в моей предыдущей заметке, которая по сути и является основной, а текущая ее продолжением.

Выделю основную цель: — развернуть контроллер домена на новой операционной системе, а предшествующий контроллер домена освободить от занимаемых функций, в пользу нового.

Проверим на dc1.polygon.localкто же является обладателем всех FSMOролей.

FSMO – роли бывают:

Роль PDC Emulator – консоль Active Directory – Users and Computers

Роль RID Master – консоль Active Directory – Users and Computers (Хозяин относительных идентификаторов)

Роль Infrastructure Master – консоль Active Directory – консоль Users and Computers (Хозяин инфраструктуры )

Роль Domain Naming Master – консоль Active Directory – Domains and Trusts (Хозяин именования доменов)

Роль Schema Master (Хозяин схемы) — специальная консоль. Которая содержит оснастку Active Directory Schema (Схема Active Directory)

Win + R → cmd.exeвызываем утилиту (но есть одно, но данная утилита по умолчанию не установлена в системе, для ее установки потребуется пакет , обычно он идет в комплекте с дистрибутивом, в данный пакет также входять такие необходимые подготовительные утилиты, как:

dcdiagсредство для диагностики контроллера домена на работоспособность с целью исправить все обнаруженные ошибки (запуск ее перед миграцией очень важен)

C:\Documents and Settings\Administrator>netdom query fsmo

Schema owner dc1.polygon.local

Domain role owner dc1.polygon.local

PDC role dc1.polygon.local

RID pool manager dc1.polygon.local

Infrastructure owner dc1.polygon.local

The command completed successfully.

, как видно все FSMO роли принадлежат контроллеру домена dc1.

Далее установленную систему Windows Server 2008 R2 Enterprise с именем dc2 вводим в домен, предварительно предопределив статический IP адрес, к примеру: 10.9.9.2

dc2: Win + R → cmd.exe →

C:\Users\Administrator>netsh interface show interface

Admin State State Type Interface Name

————————————————————————-

Enabled Connected Dedicated Local Area Connection

C:\Users\Administrator>netsh interface ipv4 set address «Local Area Connection» static 10.9.9.2 255.255.255.0

C:\Users\Administrator>netsh interface ipv4 set dns name=»Local Area Connection» static 10.9.9.1 primary

C:\Users\Administrator>netdom join %computername% /domain:polygon.local /userd:polygon.local\ekzorchik /passwordd:*

Type the password associated with the domain user:

вводим — 712mbddr@

The computer needs to be restarted in order to complete the operation.

The command completed successfully.

Перезагружаем систему, чтобы применились изменения и система стала полноправным членом домена: C:\Users\Administrator>shutdown /r /t 3

Следующий этап: — это обновление домена и леса, для этого нужно из установочного диска Windows Server 2008 R2 подмонтированного на логический диск D:скопировать полностью папку («adrep”) и переместить ее на домен контроллер dc1:

Win + R → cmd.exe

C:\Users\Administrator>hostname

DC2

C:\Users\Administrator>mkdir \\dc1\c$\support

C:\Users\Administrator>copy d:\support\adprep \\dc1\c$\support
44 file(s) copied.

На заметку: Если система dc1 у Вас 32х битная то запускать следует исполняемый файл adprep32.exe, а если 64-х битная то adprep.exe

У меня dc164-х битный, поэтому и запускаем файл adprep.exe с ключами forestprep (как держатель мастер схемы) и после domainprep (как держателе инфраструктуры). Порой в небольшой организации (к примеру в которой я сейчас работаю) все эти роли обычно имеют место быть на одном из том же контроллере домена:

На заметку: при подготовке леса необходимо войти в мастер схемы в качестве члена группы Администраторов для схемы, предприятия и домена.

C:\Documents and Settings\Administrator>cd /d c:\

C:\>hostname

dc1

C:\>cd support

C:\support>adprep.exe /forestprep

если ничего не происходит, значит делаем по другому, а именно монтируем iso Образ дистрибутива Windows Server 2008 R2 к системе Windows Server 2003 R2 на логический диск D:

и через вызов командной строки: Win + R → cmd.exe

C:\>d:\support\adprep\adprep.exe /forestprep

ADPREP WARNING:

Before running adprep, all Windows 2000 Active Directory Domain Controllers in t

he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

[User Action]

If ALL your existing Windows 2000 Active Directory Domain Controllers meet this

requirement, type C and then press ENTER to continue. Otherwise, type any other

key and press ENTER to quit.

Cна предупреждение вводим «Cи нажимаем Enter, чтобы начать подготовку леса. (процесс отрабатывает довольно долго)

Opened Connection to DC1

SSPI Bind succeeded

Current Schema Version is 31

Upgrading schema to version 47

Connecting to «DC1»

Logging in as current user using SSPI

Importing directory from file «C:\WINDOWS\system32\sch32.ldf»

Loading entries……………….

18 entries modified successfully.

И много всякой успешной информации которую я не буду здесь приводить.

……………………………………………………………………..

……………………………………………………………………..

……

Adprep successfully updated the forest-wide information.

Результирующим завершения команды должна быть надпись: Adprep successfully updated the forest-wide information.

После этого вводим команду:

C:\>d:\support\adprep\adprep.exe /domainprep /gpprep

Running domainprep …

Adprep detected that the domain is not in native mode

[Status/Consequence]

Adprep has stopped without making changes.

[User Action]

Configure the domain to run in native mode and re-run domainprep

поправить данное не выполнение команды можно так:

Start – Control Panel – Administrative Tools – Active Directory Users and Computers

выделяем домен polygon.local и через правый клик изменяем режим работы домена:

Изменяем режима работы домена

 

polygon.local – Raise Domain Functional Level

Привести к виду: выбрав вместо Windows 2000 nativeWindows Server 2003 и нажать Raise (Изменить)

Режим работы домена вместо Windows 2000 на Windows 2003

и после подтвердить нажав OK

(Перевод: Это изменение затрагивает весь домен. После повышения режима работы домена его невозможно отменить.)

Подтверждаем изменения для всего домена

После будет информативное окно, что:

(Перевод: Режим работы успешно повышен. Новый режим работы будет реплицирован на каждый контроллер домена в домене. Время, которое на это потребуется, зависит от топологии репликации.)

Режим работы домена завершен

После этого снова запускаем командную строку и набираем:

C:\>d:\support\adprep\adprep.exe /domainprep /gpprep

Adprep successfully updated the domain-wide information.

Adprep successfully updated the Group Policy Object (GPO) information.

Далее разрешим обновление контроллеров домена с доступом только для чтения.

C:\>d:\support\adprep\adprep.exe /rodcprep

Вот основные шаги по обновления схемы завершены, приступим к повышению роли нового сервера (dc2) до контроллера домена.

На сервере Dc2: логинимся под доменной учетной запись обладающей правами «Domain Adminis”, в моем случае это учетная запись ekzorchik и вызываем утилиту dcpromo: Win +R > dcpromo

ставим галочку: Use advanced mode installation – Next – Next – Existing forest – Add a domain controller to an existing domain (добавить домен контроллер в существующий домен) — Nextпроверяем настройки аутентификации: (должно быть так как указано на скриншоте ниже)

Добавляем новый контроллер домена

и нажимаем Nextвыбираем домен polygon.local (forest root domain) – Next – выбираем текущий сайт (у меня он один) Default-First-Site-Name – Next – активируем установку (Ставим галки) следующих опций на вводимом в эксплуатацию контроллере домена, таких как:

DNS Server

Global catalog

Для нового контроллера домена добавляем роли DNS & Global Catalog

Далее соглашаемся Yesотмечаем пункт Replicate data over the network from an existing domain controller – Nextотмечаем пункт Use this specific and appropriate domain controller (выделяем dc1.polygon.local) – Next – местонахождение каталогов NTDS (Database), NTDS (Log), SYSVOL оставляем дефолтным — Nextзадаем пароль для Административной учетной записи на случай восстановления: — я указываю 712mbddr@ — Next – Nextначнется процесс преобразования

Идет процесс наделения нового контроллера домена необходимыми функциями

и ставим в этом процессе галочку «Reboot on completion”перезагрузить систему (dc2) когда процесс становления контроллера домена завершится успешно, дабы активировать изменения.

Теперь у меня есть два контроллера домена, работающих одновременно.

Теперь у меня два контроллера домена

Дальше нужно передать роли FSMO с dc1 на dc2, сделать это можно двумя различными способами:

  • Первый способ: через графический интерфейс
  • Второй способ: через консольную утилиту ntdsutil.exe

У меня уже есть совмещенная заметка где описаны оба способа: (см заметку: http://www.ekzorchik.ru/2012/09/server-2008-fsmo-roles-move/)

Если же Вам нужно удалить неисправный контроллер домена (см. заметку:

http://www.ekzorchik.ru/2012/08/server2008-ntdsutil-dc2-delete/)

Вот собственно и все, с чем я хотел познакомить читателей моего блога, но и про себя не забыл подробным руководством, что и как сделать. Данный процесс я проводил в одной организации в которой имел место работать. Если у меня будут какие либо неполадки в следствии этой миграции то они обязательно лягут в основу расписанных заметок. До встречи, с уважением автор блога ekzorchik.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

8 + 13 =