Podle mne nejjednodušší a přitom spolehlivá metoda spočívá v instalaci nového serveru, jeho povýšení na Domain Controller (DC) a převodu rolí a služeb. Tzv. in-place upgrade (upgrade OS serveru) se mi v minulosti několikrát neosvědčil, takže se o něj ani nepokouším. Navíc v některých případech musíme vyměnit HW, protože Windows Server 2008 R2 existuje pouze v 64 bitové verzi.
Jednotlivé kroky
- instalace serveru
- příprava lesa a domény
- povýšení serveru na DC
- přesun operations master rolí
- nastavení NTP
- převod služeb/rolí (podle potřeby)
- odstranění starého DC
- povýšení funkčního stupně domény a lesa
Instalace serveru
- Nový server HW
- standardní instalace Windows Server 2008 R2
- nastavíme pevnou IP adresu
- zařadíme server do domény (to není třeba, ale já to tak provádím)
Příprava lesa a domény
Dříve než přidáme první DC s Win2k8R2, tak musíme aktualizovat schéma Active Directory (AD).
- na současném DC, které je držitelem role Schema Master, se přihlásíme účtem, který je Enterprise Admin, připojíme instalační CD Win2k8R2 a v adresáři
/Support/adprep
spustíme souborAdprep32.exe /forestprep
, pokud náš současný DC je 32 bitový neboAdprep.exe /forestprep
pokud je 64 bitový - a potom obdobně pustíme
adprep /domainprep /gpprep
(na držiteli role infrastructure operations master) - pokud bychom chtěli použít RODC (DC pouze pro čtení), tak ještě
adprep /rodcprep
Povýšení serveru na doménový řadič (Domain Cotroller)
Povýšení serveru na DC znamená instalaci Active Directory Domain Services (AD DS).
- přihlásíme se účtem doménového admina
- spustíme
dcpromo.exe
(můžeme použít i přidání role Active Directory Domain Services, ale tradice je tradice ;-)) - já zaškrtávám Advanced mode
- volíme existující les i doménu, nemusíme měnit credentials, protože jsem jako domain admin
- nastavíme site, asi většinou ponecháme instalaci DNS serveru a Global Catalog (GC)
- volíme, zda se data replikují z nějakého DC nebo ze souboru, umístění databáze AD, logů a SYSVOLU (defaultně C:\Windows\NTDS a C:\Windows\SYSVOL)
- nastavíme heslo pro Directory Services Restore Mode Administrator a někde si ho bezpečně poznamenáme
- a dokončíme instalaci restartem
Na konci je dobré zkontrolovat logy na novém i starém DC.
Zjištění jaká Operations Master role kde běží
Při instalaci nebo dále kvůli přesunu musíme vědět, na jakém DC nám běží jaká Operations Master role. Pro zjištění je nejjednodušší použít řádkový příkaz (další možnost je grafické rozhranní, postup jako při přesunu rolí).
dsquery server
- seznam DC serverůdsquery server -hasfsmo schema
- vypíše, kdo má roli Schema Masterdsquery server -hasfsmo name
- vypíše, kdo má roli Domain Naming Masterdsquery server -hasfsmo infr
- vypíše, kdo má roli Infrastructure Masterdsquery server -hasfsmo pdc
- vypíše, kdo má roli PDC Emulatordsquery server -hasfsmo rid
- vypíše, kdo má roli RID Masterdsquery server –isgc
– vypíše DC, které mají GC
Přesun Operations Masters Roles
Role unikátní pro celý les
Změnu musíme provádět pod účtem Enterprise Admin.
Schema Master
Pomocí Active Directory Schema, klikneme pravým tlačítkem na root, pomocí Change Active Directory Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.
Domain Naming Master
Pomocí Active Directory Domains and Trusts, klikneme pravým tlačítkem na root, pomocí Change Active Directory Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.
Role unikátní pro doménu
Změnu musíme provádět minimálně pod účtem Domain Admin.
Relative Identifier (RID) Master
Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.
Primary Domain Controller (PDC) Emulator
Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.
Infrastructure Master
Pomocí Active Directory Users and Computers, klikneme pravým tlačítkem na jméno domény, pomocí Change Domain Controller se připojíme k DC, kterému chceme předat roli, pomocí Operations Master můžeme změnit držitele role.
Nastavení Global Catalog (GC)
Pokud jsme při instalaci nenastavili DC jako GC, tak můžeme nastavit pomocí Active Directory Sites and Services, kde se proklikáme přes odpovídající site na hledaný DC a pod ním klikneme pravým tlačítkem na NTDS Settings a zvolíme Properties.
Nastavení NTP (Network Time Protocol) - synchronizace času
Počítače v doméně používají jako NTP server doménový řadič, ke kterému se autentizovali. Doménové řadiče používají držitele role PDC. Když instalujeme nový PDC, tak mu musíme nastavit, aby synchronizoval svůj čas z nějakého jiného zdroje, nejčastěji z časového serveru v internetu.
Služba Windows Time má nastavení uloženo v registrech, takže můžeme buď přímo upravit hodnoty v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters
. Nebo k tomu samému využít řádkový příkaz w32tm
. Hlavní je NtpServer, adrese serveru (třeba tik.cesnet.cz) a Type, NT5DS
znamená synchronizaci s DC a NTP
se serverem.
Více informací v How to configure an authoritative time server in Windows Server.
Přesun DNS serveru
Roli DNS jsme nainstalovali spolu s AD DS. Běžné zóny jsou součástí AD, takže se nám přenesou spolu s replikací AD. Pouze pokud jsme použili nějaké zóny, které nejsou Active Directory-Integrated, tak je musíme řešit.
Na serveru 2008 došlo ke změně v Conditional Forwarders. Dříve jsme je nalezli na záložce ve vlastnostech DNS serveru, nyní se nachází jako samostatná větev pod DNS serverem. Po instalaci jsem je musel znovu vytvořit.
Také jsem narazil na problém, kdy pro některé domény nevracel server IP adresu (například csas.cz). Do logu se zapisovala chyba Event 5504, podle kterého jsem našel MS článek Windows Server 2008 DNS Servers may fail to resolve queries for some top-level domains. Uvedené řešení ovšem nefungovalo a jediné, co jsem na internetu našel, bylo nepoužívat Root Hints, ale přeposílat veškeré dotazy na jiný DNS server. Není to dobré řešení, ale jiné neznám.
Pozn.: K novému DNS serveru se nedá přihlásit pomocí Admin Packu ze Serveru 2003.
Převod WINS (Windows Internet Name Service) serveru
WINS server (NetBIOS Name Service) na 2008kách stále je, ale je trochu schovaný. Není zde mezi Roles, ale mezi Features. Převod na nový server je opět jednoduchý. Po instalaci nastavíme servery navzájem jako Replication Partners a provedeme replikaci. Vazbu pak můžeme zrušit a starý server odstranit.
Převod DHCP (Dynamic Host Configuration Protocol) serveru
Převod nastavení i databáze DHCP je možné provést pomocí exportu a importu. Ten se dá provést i pomocí grafické konsole DHCP serveru, ale tehdy se může objevit problém, takže se doporučuje použít řádkový příkaz netsh
.
Export z původního DHCP
- otevřeme příkazový řádek
netsh
dhcp
server <IP adresa>
export c:\dhcp all
Import na novém DHCP
- Instalace role DHCP – nastavení není důležité
- zkopírovat soubor s exportem
- zastavit DHCP
- smazat db, tzn. soubor
c:\windows\system32\DHCP\DHCP.mdb
- nastartovat
- spustit
cmd
jako Admin netsh
dhcp
server IP
import c:\dhcp
- restartovat DHCP
Pozn.: Novinkou DHCP na Serveru 2008 je podpora IPv6.
Více informací v How to move a DHCP database from a computer that is running Windows Server 2003 to Windows Server 2008.
Převod DFS (Distributed File System)
Služba Distributed File System je součástí role File Services, takže nainstalujeme potřebné části. Potom pomocí DFS Management přidáme nový Namespace Server pro každý používaný Namespace.
Převod IAS (RADIUS)
Na serveru 2008 již není Internet Authentication Service, která zajišťovala služby RADIUS (Remote Authentication Dial In User Service) serveru, ale máme zde Network Policy and Access Services (NPS). Když používáme Windows Server 2008 R2, tak můžeme převod konfigurace IAS na NPS provést jednoduše exportem a importem nastavení. NPS na serveru 2008 (bez R2) neobsahoval možnost importu (ale MS udělal dodatečně nástroj pro příkazovou řádku).
Export nastavení z IAS (uloží konfiguraci do textového souboru):
netsh aaaa show config > c:\iasconfig.txt
Import do NPS můžeme provést přes grafické rozhranní nástroje Network Policy Server, pravým tlačítkem na server a Import Configuration. Nebo přes příkazový řádek (musíme spustit jako administrátor):
netsh nps import c:\iasconfig.txt
Nějaké informace v How to import and to export IAS configuration information from one Windows 2000 Server-based computer to another Windows 2000 Server-based computer or to another Windows 2003 Server-based computer a NPS Fast Facts for Windows Server 2008 R2.
Převod Terminal Services Licensing server
Na doménovém řadiči můžeme mít instalovaný i licenční server pro Terminal Services, na Serveru 2008 se TS nazývají Remote Desktop Services. Jeho vlastní převod je jednoduchý, nainstalujeme na nový server a zadáme licence. Ovšem licence musíme nejprve převést. Buď to můžeme provést přes telefon s Microsoft Clearinghouse centrem nebo jednodušeji přes webovou stránku (kterou jsem naštěstí nalezl) https://activate.microsoft.com/.
Popis převodu v Move TS Licensing to a New Server.
Převod Certification Authority
Nejvíce problematický je převod CA a rovnou řeknu, že po řadě neúspěšných pokusů jsem provedl čistou instalaci, rozběhl CA nanovo a teprve tehdy vše dobře fungovalo. Uvedu zde jen pár poznámek.
MS postup je v článku AD CS Migration: Migrating the Certification Authority. Možná je dnes tento článek v lepší podobě, protože, když jsem jej použil, tak se jednalo o beta verzi článku a nyní se již jedná o normální článek.
V postupu je uvedena i možnost, že se CA převádí na server s jiným jménem (dříve se vždy uvádělo, že je třeba zachovat jméno serveru), to je možná jeden z problémů. Záloha staré CA proběhla bez problémů, stejně tak jako odebrání.
Pozn.: Při odinstalování CA na serveru zůstane řada údajů. Takže když na serveru, kde již byla CA (například špatně převedená), chceme nainstalovat čistou CA, tak musíme nejdříve provést vyčištění. Stejně tak v AD zůstávají určité údaje o staré CA.
V MS návodu se uvádí, že by se nejprve měla instalovat pouze samotná role service Certification Authority a pokud chceme nainstalovat i další služby, tak bychom to měli udělat později. V praxi jsem narazil na to, že když jsem chtěl dodatečně doinstalovat Certification Authority Web Enrollment, tak jsem dostal chybu. Její řešení jsem našel jediné (a to přímo u MS), odinstalovat CA a nainstalovat znovu, ale vše dohromady.
Když jsem převedl CA na nový server a vyřešil různé "drobné" problémy, tak vše vypadalo, že je OK a funguje. Jenže když se někdo pokusil využít SmartCard logon (pro který hlavně CA využíváme), tak dostal podivnou chybu o CRL, jejíž řešení jsem nikde nenalezl.
Odstranění starého DC (demote domain controller)
Nejprve je potřeba převést Operations Masters role a Global Catalog, ale to jsme již provedli.
- odinstalujeme komponenty/služby, které jsme převedli - Add or Remove Programs – Add/Remove Windows Components
- odstraníme AD – funkci doménového řadiče
- spustíme
dcpromo
- zadáme heslo pro lokálního Admina
- dojde k restartu
- odstraníme server z domény (Computer Name – Change – Member of Workgroup)
Více informací Demote a domain controller.
Vyčištění DNS
Náš DC byl DNS serverem a při odstranění rolí se neodstranily všechny záznamy z DNS, kde byl mezi Name Servery.
- otevřeme DNS správu na novém serveru – Forward Lookup Zones – pravým tlačítkem postupně na všech zónách – Properties – Name Servers
- smažeme starý záznam
- a to samé pro Reverse Lookup Zones
- ještě můžeme zkontrolovat záznamy ve Forward Lookup Zones _msdcs.naše.doména, zde na několika místech mohl zůstat starý záznam a může působit problémy
Můžeme ručně smazat záznam počítače z AD.
V AD Site and Services – Sites – naše site – Servers můžeme smazat odstraněný DC.
Povýšení funkčního stupně (functional level)
Povýšení domény
- pomocí Active Directory Users and Computers
- pravým tlačítkem na doménu
- volba Raise domain functional level
- zvolíme Windows Server 2008 R2 a klikneme Raise.
Povýšení lesa
- pomocí Active Directory Domains and Trust
- pravým tlačítkem na Active Directory Domains and Trust
- volba Raise Forest Functional Level
- zvolíme Windows Server 2008 R2 a klikneme Raise.
Chci se zeptat, zda nemáte zkušenost s převodem 2003 CZE na 2008 ENG. Jde to vůbec? Díky za odpověď.
odpověď na [1]Roman Mráz: Jak jsem psal, in-place upgrade podle mě není dobré řešení. A osobně bych ho ani nezkoušel.
A co se týče různých jazyků, tak to podle MS není podporované.
Cross-language in-place upgrades (for example, en-us to de-de) are not supported.
odpověď na [1]Roman Mráz: Ano, delal sem to z 2000 DE na 2008 CZE postup je stejny, jen musite mit spravne DVD s prislusnym jazykem pro pouziti adprep. Ve vasem pripade musite nekde sehnat 2008 CZE DVD bo jinak vam nepujde spustit adprep na tech 2003 CZE. Dokonce se to neobtezuje ani nahlasit chybu jen kdyz nesedi jazyky tak to neprobehne.
V pripade uzivani dvou DC, tj. primarniho a sekundarniho, je treba pripravu lesa pred upgrade udelat na obou, nebo staci na primarnim? Diky...
odpověď na [4]Plha: Podle dotazu předpokládám, že oba DC jsou ve stejném lese a doméně. Takže AD mají společnou, takže samozřejmě na jednom, a to na tom, který je držitelem role Schema Master.
odpověď na [5]Samuraj: Presne tak, diky...
odpověď na [5]Samuraj: Presne tak, diky...
Pěkně podrobný návod. Nevěda to jsem vytvořil taky jeden
http://honyczek.tvorime.net/cms/site/active-directory-services/povyseni--upgrade--domeny.html
Zdravim, mám problém pri pridaní W2K8 ako sekundarny DC.
problem sa hlási pri DNS.
Chyba: Název DNS neexistuje.
(kód chyby 0x0000232B RCODE_NAME_ERROR)
... Tento počítač je nakonfigurován tak, aby používal servery DNS s následujícími IP adresami:
10.0.0.1
- Jedna nebo více následujících zón neobsahují delegování do své podřízené zóny:
XXX.YYY.sk
YYY.sk
sk
odpověď na [9]Michal Detko: používáš nějaký DNS server, který nezná doménu, do které ho chceš přidat. Jako DNS server v konfiguraci síťového adaptéru budoucího DC nastav IP adresu stávajícího DC.
Caute, Mam problem uz hned prakticky v zaciatkoch. Mam AD tvoreny s w2k3 (nieR2) a snazim sa doplnit DC s win 2k8. Pomaly som sa dopracoval k adprep a tu som "narazil" na problem. Adprep vzdy skonci s chybou. Spustam ho na PDC v cmd: adprep /forestprep. Dostanem tuto chybu (resp log):
++++++++++++++++++++++++++++++++++++++++++++++++
[Status/Consequence]
Adprep queries the directory to see if the forest has already been prepared. If the information is unavailable or unknown, Adprep proceeds without attempting this operation.
++++++++++++++++++++++++++++++++++++++++++++++++
Ked davam pridat w2k8 ako DC, stale mi dava hlasku s adprep. V com robim chybu???
Martin
Mohu se zeptat, nějaký podrobný návod jak pracovat s Windows Server 2003 pro uplne zacatecniky?
Lze podobným způsobem přenést role (uživatelské jména hesla) z WS2003R2 na WS2012?
Ahoj, jen pro informaci.
Při povýšení Active Directory domény z verze 2003 na 2008R2 jsem se setkal s chybou během replikace po té, kdy jsem přepnul domain function level na 2008R2 verzi.
Problém nastal v replikaci, která vrátila chybu: KERBEROS DISTRIBUTION KEY (KDC) service (požadovaný typ šifrování není službou kdc podporován). Samozřejmě každá chyba replikace by mohla po pár dnech způsobit značné komplikace např. pro správné fungování DNS a následně navázaných služeb jako je např. Exchange apod.
Pro odstranění problému pomohl restart služby KERBEROS DISTRIBUTION KEY (KDC) service (Služba KDC Key Distribution Center protokolu Kerberos) pro všchny řadiče v sítí, v mém případě 10 kousků
Radel
Zdravim, mam jeden problem. Po presune DC z povodneho pdc s 2008 na nove pdc1 s 2012, som pridal do dns zaznam aby fungovalo aj pdc, ked ho ludia zadaju a odkazalo na novy server. Problem je, ze to nefunguje. S inym nazvom to samozrejme ide, ale s pdc to nechce ist, nakolko to bolo meno povodneho servera. Da sa to dako uvolnit aby to fungovalo? Podvodny server je odpojeny a odstraneny. Dakujem