CZ 
11.09.2024 VÍTEJTE V MÉM SVĚTĚ

Převod domény z Windows Server 2003 na Windows Server 2008 R2

| Petr Bouška - Samuraj |
Tento článek obsahuje stručný popis kroků pro převod MS domény na nový funkční level. Nejedná se o žádný podrobný ani úplný návod, ale pouze o orientační informace, které jsem si sepsal, když jsem převod prováděl. Vycházíme z toho, že máme doménu Windows Server 2003 a pro zjednodušení popisu jeden řadič.
zobrazeno: 54 137x | Komentáře [15]

Podle mne nejjednodušší a přitom spolehlivá metoda spočívá v instalaci nového serveru, jeho povýšení na Domain Controller (DC) a převodu rolí a služeb. Tzv. in-place upgrade (upgrade OS serveru) se mi v minulosti několikrát neosvědčil, takže se o něj ani nepokouším. Navíc v některých případech musíme vyměnit HW, protože Windows Server 2008 R2 existuje pouze v 64 bitové verzi.

Jednotlivé kroky

Instalace serveru

  • Nový server HW
  • standardní instalace Windows Server 2008 R2
  • nastavíme pevnou IP adresu
  • zařadíme server do domény (to není třeba, ale já to tak provádím)

Příprava lesa a domény

Dříve než přidáme první DC s Win2k8R2, tak musíme aktualizovat schéma Active Directory (AD).

  • na současném DC, které je držitelem role Schema Master, se přihlásíme účtem, který je Enterprise Admin, připojíme instalační CD Win2k8R2 a v adresáři /Support/adprep spustíme soubor Adprep32.exe /forestprep , pokud náš současný DC je 32 bitový nebo Adprep.exe /forestprep pokud je 64 bitový
  • a potom obdobně pustíme adprep /domainprep /gpprep (na držiteli role infrastructure operations master)
  • pokud bychom chtěli použít RODC (DC pouze pro čtení), tak ještě adprep /rodcprep

Povýšení serveru na doménový řadič (Domain Cotroller)

Povýšení serveru na DC znamená instalaci Active Directory Domain Services (AD DS).

  • přihlásíme se účtem doménového admina
  • spustíme dcpromo.exe (můžeme použít i přidání role Active Directory Domain Services, ale tradice je tradice ;-))
  • já zaškrtávám Advanced mode
  • volíme existující les i doménu, nemusíme měnit credentials, protože jsem jako domain admin
  • nastavíme site, asi většinou ponecháme instalaci DNS serveru a Global Catalog (GC)
  • volíme, zda se data replikují z nějakého DC nebo ze souboru, umístění databáze AD, logů a SYSVOLU (defaultně C:\Windows\NTDS a C:\Windows\SYSVOL)
  • nastavíme heslo pro Directory Services Restore Mode Administrator a někde si ho bezpečně poznamenáme
  • a dokončíme instalaci restartem

Na konci je dobré zkontrolovat logy na novém i starém DC.

Zjištění jaká Operations Master role kde běží

Při instalaci nebo dále kvůli přesunu musíme vědět, na jakém DC nám běží jaká Operations Master role. Pro zjištění je nejjednodušší použít řádkový příkaz (další možnost je grafické rozhranní, postup jako při přesunu rolí).

  • dsquery server - seznam DC serverů
  • dsquery server -hasfsmo schema - vypíše, kdo má roli Schema Master
  • dsquery server -hasfsmo name - vypíše, kdo má roli Domain Naming Master
  • dsquery server -hasfsmo infr - vypíše, kdo má roli Infrastructure Master
  • dsquery server -hasfsmo pdc - vypíše, kdo má roli PDC Emulator
  • dsquery server -hasfsmo rid - vypíše, kdo má roli RID Master
  • dsquery server –isgc – vypíše DC, které mají GC

Přesun Operations Masters Roles

Role unikátní pro celý les

Změnu musíme provádět pod účtem Enterprise Admin.

Schema Master

Pomocí Active Directory Schema, klikneme pravým tlačítkem na root, pomocí Change Active Directory Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.

Domain Naming Master

Pomocí Active Directory Domains and Trusts, klikneme pravým tlačítkem na root, pomocí Change Active Directory Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.

Role unikátní pro doménu

Změnu musíme provádět minimálně pod účtem Domain Admin.

Relative Identifier (RID) Master

Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.

Primary Domain Controller (PDC) Emulator

Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.

Infrastructure Master

Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.

Nastavení Global Catalog (GC)

Pokud jsme při instalaci nenastavili DC jako GC, tak můžeme nastavit pomocí Active Directory Sites and Services, kde se proklikáme přes odpovídající site na hledaný DC a pod ním klikneme pravým tlačítkem na NTDS Settings a zvolíme Properties.

Nastavení NTP (Network Time Protocol) - synchronizace času

Počítače v doméně používají jako NTP server doménový řadič, ke kterému se autentizovali. Doménové řadiče používají držitele role PDC. Když instalujeme nový PDC, tak mu musíme nastavit, aby synchronizoval svůj čas z nějakého jiného zdroje, nejčastěji z časového serveru v internetu.

Služba Windows Time má nastavení uloženo v registrech, takže můžeme buď přímo upravit hodnoty v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters. Nebo k tomu samému využít řádkový příkaz w32tm. Hlavní je NtpServer, adrese serveru (třeba tik.cesnet.cz) a Type, NT5DS znamená synchronizaci s DC a NTP se serverem.

Více informací v How to configure an authoritative time server in Windows Server.

Přesun DNS serveru

Roli DNS jsme nainstalovali spolu s AD DS. Běžné zóny jsou součástí AD, takže se nám přenesou spolu s replikací AD. Pouze pokud jsme použili nějaké zóny, které nejsou Active Directory-Integrated, tak je musíme řešit.

Na serveru 2008 došlo ke změně v Conditional Forwarders. Dříve jsme je nalezli na záložce ve vlastnostech DNS serveru, nyní se nachází jako samostatná větev pod DNS serverem. Po instalaci jsem je musel znovu vytvořit.

Také jsem narazil na problém, kdy pro některé domény nevracel server IP adresu (například csas.cz). Do logu se zapisovala chyba Event 5504, podle kterého jsem našel MS článek Windows Server 2008 DNS Servers may fail to resolve queries for some top-level domains. Uvedené řešení ovšem nefungovalo a jediné, co jsem na internetu našel, bylo nepoužívat Root Hints, ale přeposílat veškeré dotazy na jiný DNS server. Není to dobré řešení, ale jiné neznám.

Pozn.: K novému DNS serveru se nedá přihlásit pomocí Admin Packu ze Serveru 2003.

Převod WINS (Windows Internet Name Service) serveru

WINS server (NetBIOS Name Service) na 2008kách stále je, ale je trochu schovaný. Není zde mezi Roles, ale mezi Features. Převod na nový server je opět jednoduchý. Po instalaci nastavíme servery navzájem jako Replication Partners a provedeme replikaci. Vazbu pak můžeme zrušit a starý server odstranit.

Převod DHCP (Dynamic Host Configuration Protocol) serveru

Převod nastavení i databáze DHCP je možné provést pomocí exportu a importu. Ten se dá provést i pomocí grafické konsole DHCP serveru, ale tehdy se může objevit problém, takže se doporučuje použít řádkový příkaz netsh.

Export z původního DHCP

  • otevřeme příkazový řádek
  • netsh
  • dhcp
  • server <IP adresa>
  • export c:\dhcp all

Import na novém DHCP

  • Instalace role DHCP – nastavení není důležité
  • zkopírovat soubor s exportem
  • zastavit DHCP
  • smazat  db, tzn. soubor c:\windows\system32\DHCP\DHCP.mdb
  • nastartovat
  • spustit cmd jako Admin
  • netsh
  • dhcp
  • server IP
  • import c:\dhcp
  • restartovat DHCP

Pozn.: Novinkou DHCP na Serveru 2008 je podpora IPv6.

Více informací v How to move a DHCP database from a computer that is running Windows Server 2003 to Windows Server 2008.

Převod DFS (Distributed File System)

Služba Distributed File System je součástí role File Services, takže nainstalujeme potřebné části. Potom pomocí DFS Management přidáme nový Namespace Server pro každý používaný Namespace.

Převod IAS (RADIUS)

Na serveru 2008 již není Internet Authentication Service, která zajišťovala služby RADIUS (Remote Authentication Dial In User Service) serveru, ale máme zde Network Policy and Access Services (NPS). Když používáme Windows Server 2008 R2, tak můžeme převod konfigurace IAS na NPS provést jednoduše exportem a importem nastavení. NPS na serveru 2008 (bez R2) neobsahoval možnost importu (ale MS udělal dodatečně nástroj pro příkazovou řádku).

Export nastavení z IAS (uloží konfiguraci do textového souboru):

netsh aaaa show config > c:\iasconfig.txt

Import do NPS můžeme provést přes grafické rozhranní nástroje Network Policy Server, pravým tlačítkem na server a Import Configuration. Nebo přes příkazový řádek (musíme spustit jako administrátor):

netsh nps import c:\iasconfig.txt

Nějaké informace v How to import and to export IAS configuration information from one Windows 2000 Server-based computer to another Windows 2000 Server-based computer or to another Windows 2003 Server-based computer a NPS Fast Facts for Windows Server 2008 R2.

Převod Terminal Services Licensing server

Na doménovém řadiči můžeme mít instalovaný i licenční server pro Terminal Services, na Serveru 2008 se TS nazývají Remote Desktop Services. Jeho vlastní převod je jednoduchý, nainstalujeme na nový server a zadáme licence. Ovšem licence musíme nejprve převést. Buď to můžeme provést přes telefon s Microsoft Clearinghouse centrem nebo jednodušeji přes webovou stránku (kterou jsem naštěstí nalezl) https://activate.microsoft.com/.

Popis převodu v Move TS Licensing to a New Server.

Převod Certification Authority

Nejvíce problematický je převod CA a rovnou řeknu, že po řadě neúspěšných pokusů jsem provedl čistou instalaci, rozběhl CA nanovo a teprve tehdy vše dobře fungovalo. Uvedu zde jen pár poznámek.

MS postup je v článku AD CS Migration: Migrating the Certification Authority. Možná je dnes tento článek v lepší podobě, protože, když jsem jej použil, tak se jednalo o beta verzi článku a nyní se již jedná o normální článek.

V postupu je uvedena i možnost, že se CA převádí na server s jiným jménem (dříve se vždy uvádělo, že je třeba zachovat jméno serveru), to je možná jeden z problémů. Záloha staré CA proběhla bez problémů, stejně tak jako odebrání.

Pozn.: Při odinstalování CA na serveru zůstane řada údajů. Takže když na serveru, kde již byla CA (například špatně převedená), chceme nainstalovat čistou CA, tak musíme nejdříve provést vyčištění. Stejně tak v AD zůstávají určité údaje o staré CA.

V MS návodu se uvádí, že by se nejprve měla instalovat pouze samotná role service Certification Authority a pokud chceme nainstalovat i další služby, tak bychom to měli udělat později. V praxi jsem narazil na to, že když jsem chtěl dodatečně doinstalovat Certification Authority Web Enrollment, tak jsem dostal chybu. Její řešení jsem našel jediné (a to přímo u MS), odinstalovat CA a nainstalovat znovu, ale vše dohromady.

Když jsem převedl CA na nový server a vyřešil různé "drobné" problémy, tak vše vypadalo, že je OK a funguje. Jenže když se někdo pokusil využít SmartCard logon (pro který hlavně CA využíváme), tak dostal podivnou chybu o CRL, jejíž řešení jsem nikde nenalezl.

Odstranění starého DC (demote domain controller)

Nejprve je potřeba převést Operations Masters role a Global Catalog, ale to jsme již provedli.

  • odinstalujeme komponenty/služby, které jsme převedli - Add or Remove ProgramsAdd/Remove Windows Components
  • odstraníme AD – funkci doménového řadiče
    • spustíme dcpromo
    • zadáme heslo pro lokálního Admina
    • dojde k restartu
  • odstraníme server z domény (Computer Name – Change – Member of Workgroup)

Více informací Demote a domain controller.

Vyčištění DNS

Náš DC byl DNS serverem a při odstranění rolí se neodstranily všechny záznamy z DNS, kde byl mezi Name Servery.

  • otevřeme DNS správu na novém serveru – Forward Lookup Zones – pravým tlačítkem postupně na všech zónách – Properties – Name Servers
  • smažeme starý záznam
  • a to samé pro Reverse Lookup Zones
  • ještě můžeme zkontrolovat záznamy ve Forward Lookup Zones _msdcs.naše.doména, zde na několika místech mohl zůstat starý záznam a může působit problémy

Můžeme ručně smazat záznam počítače z AD.

V AD Site and Services Sitesnaše siteServers můžeme smazat odstraněný DC.

Povýšení funkčního stupně (functional level)

Povýšení domény

  • pomocí Active Directory Users and Computers
  • pravým tlačítkem na doménu
  • volba Raise domain functional level
  • zvolíme Windows Server 2008 R2 a klikneme Raise.

Povýšení lesa

  • pomocí Active Directory Domains and Trust
  • pravým tlačítkem na Active Directory Domains and Trust
  • volba Raise Forest Functional Level
  • zvolíme Windows Server 2008 R2 a klikneme Raise.

Co nám přinese převod domény na vyšší stupeň

Související články:

Active Directory a protokol LDAP

Správa firemní počítačové sítě využívající Microsoft OS většinou znamená správu Active Directory Domain Services (AD DS). Jedná se o velice rozsáhlou skupinu technologií, protokolů a služeb. Základem jsou adresářové služby, autentizace a komunikační protokol LDAP.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře
  1. [1] Roman Mráz

    Chci se zeptat, zda nemáte zkušenost s převodem 2003 CZE na 2008 ENG. Jde to vůbec? Díky za odpověď.

    Pondělí, 12.04.2010 10:03 | odpovědět
  2. [2] Samuraj

    odpověď na [1]Roman Mráz: Jak jsem psal, in-place upgrade podle mě není dobré řešení. A osobně bych ho ani nezkoušel.

    A co se týče různých jazyků, tak to podle MS není podporované.

    Cross-language in-place upgrades (for example, en-us to de-de) are not supported.

    Pondělí, 12.04.2010 10:22 | odpovědět
  3. [3] Jaroslav Šafranek

    odpověď na [1]Roman Mráz: Ano, delal sem to z 2000 DE na 2008 CZE postup je stejny, jen musite mit spravne DVD s prislusnym jazykem pro pouziti adprep. Ve vasem pripade musite nekde sehnat 2008 CZE DVD bo jinak vam nepujde spustit adprep na tech 2003 CZE. Dokonce se to neobtezuje ani nahlasit chybu jen kdyz nesedi jazyky tak to neprobehne.

    Pondělí, 12.04.2010 11:53 | odpovědět
  4. [4] Plha

    V pripade uzivani dvou DC, tj. primarniho a sekundarniho, je treba pripravu lesa pred upgrade udelat na obou, nebo staci na primarnim? Diky...

    Pátek, 09.07.2010 08:51 | odpovědět
  5. [5] Samuraj

    odpověď na [4]Plha: Podle dotazu předpokládám, že oba DC jsou ve stejném lese a doméně. Takže AD mají společnou, takže samozřejmě na jednom, a to na tom, který je držitelem role Schema Master.

    Pátek, 09.07.2010 08:54 | odpovědět
  6. [6] Plha

    odpověď na [5]Samuraj: Presne tak, diky...

    Sobota, 10.07.2010 11:32 | odpovědět
  7. [7] Plha

    odpověď na [5]Samuraj: Presne tak, diky...

    Sobota, 10.07.2010 11:32 | odpovědět
  8. [8] honyczek

    Pěkně podrobný návod. Nevěda to jsem vytvořil taky jeden :-(

    http://honyczek.tvorime.net/cms/site/active-directory-services/povyseni--upgrade--domeny.html

    Čtvrtek, 16.09.2010 10:51 | odpovědět
  9. [9] Michal Detko

    Zdravim, mám problém pri pridaní W2K8 ako sekundarny DC.

    problem sa hlási pri DNS.

    Chyba: Název DNS neexistuje.

    (kód chyby 0x0000232B RCODE_NAME_ERROR)

    ... Tento počítač je nakonfigurován tak, aby používal servery DNS s následujícími IP adresami:

    10.0.0.1

    - Jedna nebo více následujících zón neobsahují delegování do své podřízené zóny:

    XXX.YYY.sk

    YYY.sk

    sk

    Úterý, 07.12.2010 21:12 | odpovědět
  10. [10] honyczek

    odpověď na [9]Michal Detko: používáš nějaký DNS server, který nezná doménu, do které ho chceš přidat. Jako DNS server v konfiguraci síťového adaptéru budoucího DC nastav IP adresu stávajícího DC.

    Středa, 26.01.2011 20:09 | odpovědět
  11. [11] Martin L

    Caute, Mam problem uz hned prakticky v zaciatkoch. Mam AD tvoreny s w2k3 (nieR2) a snazim sa doplnit DC s win 2k8. Pomaly som sa dopracoval k adprep a tu som "narazil" na problem. Adprep vzdy skonci s chybou. Spustam ho na PDC v cmd: adprep /forestprep. Dostanem tuto chybu (resp log):

    ++++++++++++++++++++++++++++++++++++++++++++++++

    [Status/Consequence]

    Adprep queries the directory to see if the forest has already been prepared. If the information is unavailable or unknown, Adprep proceeds without attempting this operation.

    ++++++++++++++++++++++++++++++++++++++++++++++++

    Ked davam pridat w2k8 ako DC, stale mi dava hlasku s adprep. V com robim chybu???

    Martin

    Středa, 05.10.2011 10:43 | odpovědět
  12. [12] Filip

    Mohu se zeptat, nějaký podrobný návod jak pracovat s Windows Server 2003 pro uplne zacatecniky?

    Středa, 15.08.2012 18:45 | odpovědět
  13. [13] Ruda

    Lze podobným způsobem přenést role (uživatelské jména hesla) z WS2003R2 na WS2012?

    Sobota, 25.05.2013 16:12 | odpovědět
  14. [14] Radek Šlachta

    Ahoj, jen pro informaci.

    Při povýšení Active Directory domény z verze 2003 na 2008R2 jsem se setkal s chybou během replikace po té, kdy jsem přepnul domain function level na 2008R2 verzi.

    Problém nastal v replikaci, která vrátila chybu: KERBEROS DISTRIBUTION KEY (KDC) service (požadovaný typ šifrování není službou kdc podporován). Samozřejmě každá chyba replikace by mohla po pár dnech způsobit značné komplikace např. pro správné fungování DNS a následně navázaných služeb jako je např. Exchange apod.

    Pro odstranění problému pomohl restart služby KERBEROS DISTRIBUTION KEY (KDC) service (Služba KDC Key Distribution Center protokolu Kerberos) pro všchny řadiče v sítí, v mém případě 10 kousků

    Radel

    Čtvrtek, 03.07.2014 13:58 | odpovědět
  15. [15] Marsch

    Zdravim, mam jeden problem. Po presune DC z povodneho pdc s 2008 na nove pdc1 s 2012, som pridal do dns zaznam aby fungovalo aj pdc, ked ho ludia zadaju a odkazalo na novy server. Problem je, ze to nefunguje. S inym nazvom to samozrejme ide, ale s pdc to nechce ist, nakolko to bolo meno povodneho servera. Da sa to dako uvolnit aby to fungovalo? Podvodny server je odpojeny a odstraneny. Dakujem

    Úterý, 15.09.2015 14:23 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách