Задача: Нужно проработать процесс миграции домена на базе Windows Server 2008 R2 на Windows Server 2016
От моего коллеги по работе поступила задумка, а реально ли смигрировать текущий домен контроллер на базе Windows Server 2008 R2 Enterprise на систему с осью Windows Server 2016 Standard, в итоге новый контроллер домена будет обладать повышенными возможностями по управлению инфраструктурой. Да и пора уже избавиться от железной составляющей текущего домена на переход под Hyper-V система виртуализации которой используется в организации где я сейчас работаю.
Данная задача прорабатывается под Virtulbox основной системы Ubuntu 18.04 Desktop amd64 ноутбука Lenovo E555
Исходные данные:
- srv-dc1.polygon.local (на базе Windows Server 2008 R2 Enterprise) с ролями: AD DC,DHCP,DNS
- IP address: 10.90.90.2/24
C:\Users\Administrator>netsh firewall set icmpsetting 8 enable
- Login: ekzorchik
- Pass: 712mbddr@
- Group: Domain Admins, Schema Admins, Enterprise Admins
C:\Windows\system32>netdom query fsmo
Schema master srv-dc1.polygon.localDomain naming master srv-dc1.polygon.localPDC srv-dc1.polygon.localRID pool manager srv-dc1.polygon.localInfrastructure master srv-dc1.polygon.localThe command completed successfully.
srv-dc2.polygon.local (на базе Windows Server 2016) пока без ролей
IP address: 10.90.90.3/24
C:\Users\Администратор>netsh firewall set icmpsetting 8 enable
Шаг №1: Авторизуюсь под локальной учетной записью «Администратор» на srv-dc2. Ввожу данную систему в домен polygon.local.
Win + R → control.exe → Система — «Изменить параметры» — вкладка «Имя компьютера» окна «Свойства системы» нажимаю «Изменить«, отмечаю галочкой «Является членом«: Домена и указываю домен: polygon.local, затем нажимаю кнопку «ОК«.
[stextbox id=’alert’]
На заметку: Не забудьте в настройках сетевой карты хоста srv-dc2 указать DNS сервер системы srv-dc1 иначе получите ошибку: «При запросе DNS записи ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «polygon.local«, произошла ошибка:
Произошла ошибка: «Для локальной системы не настроено ни одного DNS-сервера.»»
[/stextbox]
Итак, DNS-сервер прописан в свойствах сетевого адаптера, при попытке ввода системы в домен понадобится знание учетных данных обладающих правами «Администраторы Домена (Domain Admins) или обладающих правами делегированных. Авторизую систему для присоединения к домену
- Имя пользователя: ekzorchik
- Пароль: 712mbddr@
и нажимаю «ОК» окна «Безопасность Windows«, обязательно Вы должны увидеть окно: «Добро пожаловать в домен polygon.local«. Перезагружаю систему для активации изменений, затем нажимаю сочетание клавиш «Ctrl + Alt + Del» и авторизуюсь в системе также под учетной записью входящей в группы которые есть в учетной записи ezkorchik если у Вас она отличается.
Шаг №2: Делаю систему srv-dc2 контроллером домена:
Win + R → control.exe или Win + X → «Панель управления» — «Администрирование» — «Диспетчер серверов» — «Панель мониторинга» — «Добавить роли и компоненты» — «Установка ролей или компонентов» — Выберите сервер из пула серверов: srv-dc1.polygon.local — отмечаю галочкой роль «Доменные службы Active Directory» — нажимаю «Добавить компоненты» — «Далее» — «Далее» — отмечаю галочкой «Автоматический перезапуск конечного сервера, если требуется» и нажимаю «Установить«.
Теперь настройка устанавливаемых компонент:
Win + R → control.exe или Win + X → «Панель управления» — «Администрирование» — «Диспетчер серверов» — «AD DS«:
«Доменные службы Active Directory — требуется настройка на srv-dc2» → нажимаю «Подробнее» — «Повысить роль этого сервера до уровня контроллера домена«. Операцию развертывания выбираю:
«Добавить контроллер домена в существующий домен»
- Домен: «polygon.local«
Для выполнения этой операции введите учетные данные: нажимаю «Изменить«, т. к. сейчас подставлены svr-dc2\Администратор (текущий пользователь) и указываю:
- Логин: ekzorchik
- Пароль: 712mbddr@
и нажимаю «ОК«, потом «Далее» окна «Мастер настройки доменных служб Active Directory«. Параметры контроллера домена оставляю дефолтными (это отмеченные галочкой DNS-сервер, Глобальный каталог (GC)), но обязательно нужно указать пароль для режима восстановления служб каталогов (DSRM):
- Пароль: 712bmddr@
- Подтверждение пароля: 712mbddr@
и нажимаю «Далее» — «Далее«, указываю откуда отреплицировать данные:
- Источник репликации: srv-dc1.polygon.local
и нажимаю «Далее» — «Далее» — «Далее» — «Далее«, обязательно следует убедиться в появлении надписи «Все проверки готовности к установке выполнены успешно» и только тогда нажимаем «установить«. В процесс система будет перезагружена. Авторизуюсь с использованием учетных данных login: ekzorchik
Шаг №3: Проверяю количество домен контроллеров и отсутствие ошибок в домена с использованием команд:
Win + X — Командная строка (администратор)
C:\Windows\system32>netdom query dc
Список контроллеров домена с учетными записями в домене:
SRV-DC1SRV-DC2
Команда выполнена успешно.
Отобразить текущий функциональный уровень леса:
C:\Windows\system32>dsquery * "CN=Partitions,CN=Configuration,DC=polygon,DC=local" -scope base -attr msDS-Behavior-Version
msDS-Behavior-Version
4 → где данное число расшифровывается, как Windows Server 2008 R2 operating system and later
Отобразить текущий функциональный уровень домена:
C:\Windows\system32>dsquery * "dc=polygon,dc=local" -scope base -attr msDS-Behavior-Version ntMixedDomain
msDS-Behavior-Version ntMixedDomain
4 0 → Windows Server 2008 operating system or later DCs in the domain
Шаг №4: Захватываю все роли с srv-dc1 на srv-dc2:
C:\Windows\system32>ntdsutil
- ntdsutil: roles
- fsmo maintenance: connection
- server connections: connect to server srv-dc1.polygon.local
Привязка к srv-dc1.polygon.local …
Подключен к srv-dc1.polygon.local с помощью учетных данных локального пользователя.
- server connections: quit
Затем применительно к каждой роли FSMO производим захват/миграцию:
fsmo maintenance: seize schema master
fsmo maintenance: seize naming master
fsmo maintenance: seize pdc
fsmo maintenance: seize rid master
fsmo maintenance: seize infrastructure master
[stextbox id=’alert’]На заметку: На все вопросы по захвату ролей нажимаю «Да«[/stextbox]
После не забываем выйти из консоли команды ntdsutil вводом quit.
fsmo maintenance: quit
ntdsutil: quit
C:\Windows\system32>
Проверяю кто сейчас держит роли FSMO:
C:\Windows\system32>netdom query fsmo
Хозяин схемы srv-dc2.polygon.localХозяин именования доменов srv-dc2.polygon.localPDC srv-dc2.polygon.localДиспетчер пула RID srv-dc2.polygon.localХозяин инфраструктуры srv-dc2.polygon.local
Команда выполнена успешно.
Так осталось перевести роль «Хозяина схемы» и «Хозяина именования доменов«:
C:\Windows\system32>powershell
PS C:\Windows\system32> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 4
Перемещение роли хозяина операций
Вы хотите переместить роль «DomainNamingMaster» на сервер «srv-dc2.polygon.local«?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"):A
PS C:\Windows\system32> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 3 -force
Перемещение роли хозяина операций
Вы хотите переместить роль «SchemaMaster» на сервер «srv-dc2.polygon.local«?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"):A
PS C:\Windows\system32> exit
Чтобы отобразить какой теперь функциональный уровень домена:
C:\Windows\system32>dsquery * "dc=polygon,dc=local" -scope base -attr msDS-Behavior-Version ntMixedDomain
msDS-Behavior-Version ntMixedDomain
4 0 — где данное значение расшифровывается, как Windows Server 2012 R2
Чтобы отобразить версию схемы Active Directory Schema:
C:\Windows\system32>dsquery * "CN=Schema,CN=Configuration,dc=polygon,dc=local" -scope base -attr objectVersion
objectVersion
87 — где данное значение расшифровывается, как Windows Server 2016, а все из-за того, что я в текущем домене сделал контроллером домена новую систему, а значит и могу поднять функциональный уровень домена и уровень леса.
Шаг №5: Удаляю контроллер домена под управлением Windows Server 2008 R2 из глобального каталога. На Server 2016 (srv-dc2) открываю оснастку:
Win + X — Панель управления — Администрирование — «Active Directory Сайты и Службы» и выделяю левой кнопкой мыши сервере srv-dc1 который являлся контроллером домена ранее в текущей сайте «Default-First-Site-Name» на NTDS Settings снимаю в свойствах галочку с настройки «Глобальный каталог»
Шаг №6: Опираясь на заметку по «Удалению неисправного домена контроллера из Active Directory в Server 2008 R2»
проделываю все указанные там действия. Выключаю srv-dc1
C:\Windows\system32>ntdsutil
- ntdsutil: metadata cleanup
- metadata cleanup: connections
- server connections: connect to server srv-dc2
Привязка к srv-dc2 …
Подключен к srv-dc2 с помощью учетных данных локального пользователя.
- server connections: quit
- metadata cleanup: select operation target
- select operation target: list sites
Найдено сайтов: 1
0 — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
select operation target: select site 0
Сайт — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
select operation target:
- select operation target: list servers in site
Найдено серверов: 2
0 — CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
1 — CN=SRV-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
select operation target:
- select operation target: select server 0
- select operation target: list domains
Найдено доменов: 1
0 — DC=polygon,DC=local
select operation target: select domain 0
Сайт — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Домен — DC=polygon,DC=local
Сервер — CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Объект DSA — CN=NTDS Settings,CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Имя DNS-узла — srv-dc1.polygon.local
Объект-компьютер — CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local
Нет текущего контекста именования
- metadata cleanup: remove selected server
Передача или захват ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Поиск членов FRS в «CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local».
Удаление поддерева в «CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local».
Ошибка при попытке удалить параметры FRS на CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local: «Элемент не найден.»;
очистка метаданных продолжается.
«CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local» удалена с сервера «srv-dc2»
Из оснастки DNS сервера svr-dc2 удаляем все упоминания об srv-dc1. И переопределяем DNS-сервер в настройках сетевого адаптера хоста srv-dc2 с 10.90.90.2 на 10.90.90.3
Шаг №7: Проверяю текущий домен контроллер на наличие ошибок: dcdiag & repadmin
PS C:\Windows\system32> repadmin /syncall
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
PS C:\Windows\system32> repadmin /showrepl
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\SRV-DC2
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA — GUID объекта: 401b3342-854f-4eb4-8261-ff6ce3848354
DSA — код вызова: 20507c04-d7a4-4a88-9eae-7a6dbd015321
Шаг №8: Изменяю режим работы леса с Windows Server 2008 R2 на Windows Server 2016 через оснастку «Active Directory — домены и доверие» щелкнув правой кнопкой мыши по надписи «Active Directory — домены и доверие» открытой оснастки, затем выбрав элемент меню «Изменение режима работы леса» и изменяю режим работы леса на «Windows Server 2016» и нажимаю «Изменить» — «ОК» окна «Повышение режима работы леса«. Или можно через консоль командной строки powershell проделать это:
C:\Windows\system32>powershell
Windows PowerShell
(C) Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены.
PS C:\Windows\system32> Set-ADDomainMode -identity polygon.local -DomainMode Windows2016Domain
PS C:\Windows\system32> Set-ADForestMode -identity polygon.local -ForestMode Windows2016Forest
Проверить, что команды выше отработали как надо можно так:
PS C:\Windows\system32> get-addomain | fl Name,DomainMode ;get-adforest | fl Name,ForestMode
Name : polygonDomainMode : Windows2016DomainName : polygon.localForestMode : Windows2016Forest
Результат положителен. Я успешно оформил как заметка, как повысить домен до уровня Windows2016 путем захвата всех ролей на новом домен контроллере под управлением Windows Server 2016 Standard.
Шаг №9: Не забываем, раз на srv-dc1 был DHCP сервер, то его стоило забекапить, а потом импортировать на srv-dc2, либо же если настроек не много и Вы все помните, то установить роль DHCP сервиса и настроить область выдачи IP—адресов.
[stextbox id=’alert’]На заметку: Не обязательно иметь в локальной сети DHCP сервис на базе Windows, можно чтобы он был и на сетевом оборудовании, к примеру Mikrotik. У меня так.[/stextbox]
Может так случить, что служба работает, но развернутая область не активна. В логах есть ошибки на этот счет: Event ID 1056
Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки «netsh dhcp server set dnscredentials» или с помощью программы администрирования DHCP.
C:\Windows\system32> netsh dhcp server set dnscredentials ekzorchik poligon.local 712mbddr@
Пока проблема не поднимается. Нет нужно было удалить текущую область и заново не торопясь его создать и настроить.
Шаг №10: Проверяю, что рабочая станция может стать членом текущего домена и авторизоваться в нем.
C:\Users\alektest>hostname
system
C:\Users\alektest>ipconfig
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : polygon.local
IPv4-адрес. . . . . . . . . . . . : 10.90.90.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.90.90.1
а на srv-dc2:
C:\Users\ekzorchik>dsquery computer
"CN=SRV-DC2,OU=Domain Controllers,DC=polygon,DC=local"
"CN=SYSTEM,CN=Computers,DC=polygon,DC=local" → ну вот и рабочая станция успешно авторизованная в домене.
Итого, заметка работоспособна. Раз получилось сделать в тестовой конфигурации, то как показывает моя практика сделать это можно будет и на боевой инфраструктуре. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.