Как смигрировать домен до уровня Server 2012 R2

Posted by

Итак появилось свободное время в которое никто не отвлекает, все налажено и все работает, а потому пора заняться самообразование ведь никто кроме меня не заинтересован чтобы я был квалификационным сотрудником. Но это все лирика, а т. к. мой блог в последнее время что-то замер в наполнении практический заметок, то пора это дело исправлять. Может конечно всему виной хорошая погода, а не загруженность, но это не важно. Когда в твою команду приходит новый сотрудник и рассказывает что он успешно переводил всю инфраструктуру на новый уровень в частности серверной операционной системы становится как-то жалко себя, — а почему же я сам этого не сделал и сижу на отлаженном старом. Без думно переходить на что-то не опробовав самостоятельно я не делаю — только тест тест тест и потом практика. И вот сейчас я покажу все шаги через которые я прошел дабы произвести миграцию с домена уровня Server 2008 R2 до уровня .

Ну что ж пора:

1) Домен (polygon.local) на системе Server 2008 R2 Ent (srv-dc) развернутый по шагам заметки. Текущие действующие роли: AD + DHCP + DNS, IP Address = 10.9.9.1

2) Развернут Server 2012 R2 Standard (srv-ad), IP Address = 10.9.9.20 получен от DHCP сервера.

3) Поставлены все обновления на Server 2012 R2, предварительно у Вас должен быть развернут сервис обновления Windows систем именуемый, как WSUS, IP Address = 10.9.9.3

4) Ввести в текущий домен систему Server 2012 R2

Win + X — Control Panel — Category (Small icons) — System — Advanced system settings — вкладка Computer Name — Change

Computer name: srv-ad

Member of (Domain:) polygon.local

и нажимаю кнопку OK, затем указываю идентификационные данные учетной записи у которой есть права ввода станций в домен, в моем случае:

Login: ekzorchik

Pass: 712mbddr@

и нажимаю кнопку OK, успехом считается появление сообщения: Welcome to the polygon.local domain

и нажимаю кнопку Ok, OK (соглашаемся о том чтобы изменения применились текущую систему следует перезагрузить), Close (окна System Properties), Restart Now (окна Microsoft Windows).

5) Опираясь на инструкцию (не которые моменты будут отличаться) установки AD сделать данную систему как домен контроллер, а до этого авторизуюсь под учетной записью ekzorchik&712mbddr@, данная учетная запись является Администратором домена и обладает всеми группами которые нужны для полного администрирования AD (Domain Admins, Enterprise Admins, Schema Admins) и обязательно не забудьте сделать статический IP адрес у данного сервера.

6) Текущее положение FSMO ролей

srv-ad.polygon.local: Win + X — Command Prompt (Admin) —

C:\Windows\system32>netdom query fsmo

Schema master srv-dc.polygon.local

Domain naming master srv-dc.polygon.local

PDC srv-dc.polygon.local

RID pool manager srv-dc.polygon.local

Infrastructure master srv-dc.polygon.local

The command completed successfully.

, как видно всеми ролями владеет сервер под управлением Windows Server 2008 R2 (Ent), ну что же буду мигрировать на текущий:

Текущий список всех контроллеров домена:

C:\Windows\system32>dsquery server -forest

«CN=SRV-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local»

«CN=SRV-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local»

Дальнейшие действия опираются на следующую заметку.

Важно добиться чтобы вывод команды netdom query fsmo показал что все роли у srv-ad.polygon.local. У меня уже первая ошибка (или не знаю как по другому выразится), при попытке смены владельца Schema появляется всплывающее сообщение вида:

Active Directory Schema snap-in is not connected to the schema operations master. You will not be able to perform any changes Schema modifications can only be made on the schema FSMO holder.

Изменив шаги на:

Win + X — Command Prompts (Admin)

C:\Windows\system32>ntdsutil

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server srv-ad.polygon.local

Binding to srv-ad.polygon.local …

Connected to srv-ad.polygon.local using credentials of locally logged on user.

server connections: quit

fsmo maintenance: seize RID Master

fsmo maintenance: seize PDC

fsmo maintenance: seize infrastructure master

fsmo maintenance: seize naming master

fsmo maintenance: seize schema master

C:\Windows\system32>netdom query fsmo

Schema master srv-ad.polygon.local

Domain naming master srv-ad.polygon.local

PDC srv-ad.polygon.local

RID pool manager srv-ad.polygon.local

Infrastructure master srv-ad.polygon.local

The command completed successfully.

Отлично все роли на новом сервере под управлением Windows Server 2012 R2 (Std), теперь удаляю контроллер домена под управлением Windows Server 2008 R2 из глобального каталога (Global Catalog):

Win + X — Control Panel — Administrative Tools — Active Directory Sites and Services —

Sites — Default-First-Site-Name — Server — разворачиваю и нахожу SRV-DC — затем открываю свойства (Properties) на NTDS Settings и внутри вкладки General снимаю галочку Global Catalog после чего нажимаю Apply , OK. Когда откроем оснастку Active Directory Users and Computer в организационном юните Domain Controllers будет видно, что сервер srv-dc больше не является глобальным каталогом:

Ранее предшествующий сервер srv-dc больше не является глобальным каталогом

Отлично, теперь ранее имевший место быть контроллер домена со всеми ролями по обслуживанию инфраструктуры можно деинсталлировать с помощью команды запущенной с правами администратора — dcpromo:

Start — All Programs — Accessories — Command Prompts (Run as Administrator) —

dcpromo, Next — отмечаю галочкой: Delete the domain because this server is the last domain controller in the domain, NextYes — указываю пароль на административный аккаунт указываемый при разворачивании домена:

Password: 712mbddr@

Confirm password: 712mbddr@

И нажимаю кнопку Next , Next но вот почему-то не все так просто как должно быть:

Не могу удалить контроллер домена через dcpromo

раз установщик не хочет по хорошему буду по плохому — удалю принудительно:

С:\Windows\system32\dcpromo /forceremoval, Yes — Next — Next — указываю пароль на административный аккаунт указываемый при разворачивании домена:

Password: 712mbddr@

Confirm password: 712mbddr@

И нажимаю кнопку Next, — Next — отмечаю галочкой Reboot on competion и вот только после принудительно удаления контроллер домена удаляется без каких либо проблем:

Форсированное удаление домен контроллера проходит без проблем

По окончании процедуры удаления нажимаем FinishRestart Now.

Теперь нужно с мигрировать роль DHCP сервера с сервера srv-dc:

На srv-dc экспортирую настройки DHCP в файл:

Start — Control panels — Administrative Tools — DHCP — DHCP — srv-dc.polygon.local и через правый клик выбираю Backup… и указываю путь сохранения: c:\1 — внутри сохраняется файл: DhcpCfg

копирую данный файл (каталог net и файл DhcpCfg) на srv-ad:

c:\>xcopy c:\1\* \\10.9.9.20\c$\1

но сперва поднять роль DHCP на srv-ad делать это лучше через мастер добавления ролей:

Win + X — Control Panel — Administrative Tools — Server Manager — и добавляю роль DHCP (и устанавливаю в довесок компоненты DHCP Server Tools. Почему в Microsoft ни как не могут сделать чтобы при добавлении/удалении ролей системы не нужно было перезагружать не понимаю. Перезагружаю, после запускаю оснастку DHCP:

Win + X — Control Panel — Administrative Tools — DHCP — DHCP — srv-ad.polygon.local и через правый клик мышью импортирую настройки DHCP взятые с ранее имевшего место быть сервера srv-dc.polygon.local — Restore — C:\DhcpCfg

Следующим шагом проверяю какой функциональный уровень домена и леса через оснастку Active Directory Users and Computer — polygon.local — Properties и вижу не порядок (разве все это затевалось чтобы остаться как и было):

Текущий функциональный уровень домена и леса

или же посмотреть текущий уровень домена можно через консоль командной строки PowerShell:

Win + X — Command Prompts (Admin) —

C:\Windows\system32>cd c:\Windows\System32\WindowsPowerShell\v1.0

c:\Windows\System32\WindowsPowerShell\v1.0>powershell.exe

Windows PowerShell

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

c:\Windows\System32\WindowsPowerShell\v1.0> import-module -name activedirectory

PS C:\Windows\System32\WindowsPowerShell\v1.0> get-adforest | format-table name,

ForestMode

name ForestMode

—- ———-

polygon.local Windows2008R2Forest

PS C:\Windows\System32\WindowsPowerShell\v1.0> exit

C:\Windows>cd %systemroot%\system32

Буду изменять:

через оснастку Active Directory Users and Computer — polygon.local — Raise domain functional level и опачки, мастер говорит что я не могу изменить функциональность домена потому что это домен включен в Active Directory Domain Controllers

Не могу изменить функциональность домена

Ладно значит нужно удалить из текущего домена (За основу беру заметку по удалению неисправного контроллера домена:) все упоминания об ранее имевшем место быть srv-dc:

C:\Windows\system32>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server srv-ad

Binding to srv-ad …

Connected to srv-ad using credentials of locally logged on user.

server connections: quit

metadata cleanup: select operation target

select operation target: list sites

Found 1 site(s)

0 — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

select operation target: select site 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

No current server

No current Naming Context

select operation target: list servers in site

Found 2 server(s)

0 — CN=SRV-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC

=polygon,DC=local

1 — CN=SRV-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC

=polygon,DC=local

select operation target: select server 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

Server — CN=SRV-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurati

on,DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=SRV-DC,CN=Servers,CN=Default-First-Site

-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — srv-dc.polygon.local

Computer object — CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: list domains

Found 1 domain(s)

0 — DC=polygon,DC=local

select operation target: select domain 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

Domain — DC=polygon,DC=local

Server — CN=SRV-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurati

on,DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=SRV-DC,CN=Servers,CN=Default-First-Site

-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — srv-dc.polygon.local

Computer object — CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

metadata cleanup: remove selected server

Transferring / Seizing FSMO roles off the selected server.

Removing FRS metadata for the selected server.

Searching for FRS members under «CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local».

Deleting subtree under «CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local».

The attempt to remove the FRS settings on CN=SRV-DC,CN=Servers,CN=Default-First-

Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local failed because «Element not found.»;

metadata cleanup is continuing.

«CN=SRV-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=po

lygon,DC=local» removed from server «srv-ad»

metadata cleanup: quit

ntdsutil: quit

Удаляю хост srv-dc из оснастки Active Directory Sites and Services

Удаляю все записи в DNS относящиеся к хосту srv-dc

и вот только после этого появляется возможность изменить функциональный уровень текущего домен контроллера с Server 2008 R2 на более высокий:

Active Directory Users and Computer — polygon.local — Raise domain functional level… — теперь доступны следующие уровни: Windows Server 2012 & Windows Server 2012 R2 — выбираю R2 и нажимаю Raise, OK, OK

появляется возможность изменить функциональный уровень текущего домен контроллера с Server 2008 R2 на более высокий:

И по такому же принципу изменяем функциональный уровень и для всего леса:

Active Directory Domains and Trusts — Active Directory Domains and Trusts [srv-ad.polygon.local] —

Raise Forest Functional Level… — Select an available forest functional level: сейчас установлено Windows Server 2012 изменяю на Windows Server 2012 R2 и нажимаю Raise, OK, OK. Изменения применяют сейчас, но все же это же Windows по возможности осуществите перезагрузку всего сервера: Win + X — Shut down or sign out — Restart — Continue — после перезагрузки проверяю какой функциональный уровень и вуаля и там и там значится Windows Server 2012 R2, а это новые возможности. Вот теперь я готов чтобы перевести все имеющее место быть собственно развернутое на самое последнее и стабильное. На этом я прощаюсь, с уважением автор блога — ekzorchik.