Обновлено 20.07.2016
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-00
Всем привет сегодня хочу рассказать как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2. Ситуация уже распространенная у вас есть домен Active Directory с контроллерами домена работающими на Windows Server 2008 R2, вы приняли решение обновить все контроллеры до Windows Server 2012 R2, и для этого вам нужно подготовить схему, далее мы рассмотрим как это сделать, чтобы у вас все прошло успешно и гладко.
Вообще если честно то если вы установите контроллер домена Windows Server 2012 R2 без предварительного расширения схемы домена и леса, он при установке это сам сделает за вас, но по правильному и взрослому лучше выполнить расширение в ручную.
Обновление схемы AD до Windows Server 2012 R2 с помощью adprep
Монтируем установочный диск с 2008R2 и нам нужно скачать с него папку supportadprerp. Скопируем ее для примера в корень диска c:
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-01
Adprep.exe — это средство командной строки, присутствующее на установочном диске любой версии Windows Server. Adprep.exe выполняет операции, которые должны быть выполнены в существующей среде Active Directory до того, как можно будет добавить контроллер домена, выполняющий эту версию Windows Server. Выполнение различных команд Adprep.exe с существующими контроллерами доменов для выполнения этих операций требуется в следующих случаях:
- Перед добавлением первого контроллера домена, работающего под управлением более поздней версии Windows Server, чем в существующем домене.При выполнении мастера установки доменных служб Active Directory (Dcpromo.exe), если программа Adprep.exe не выполнялась, выводится сообщение об ошибке.
- Перед обновлением существующего контроллера домена до более поздней версии Windows Server, если этот контроллер домена будет первым контроллером домена в домене или лесу, который будет выполнять эту версию Windows Server.
Открываем командную строку от имени администратора, и давайте посмотрим кто сейчас является Schema Master (Хозяин схемы), так как все действия нужно делать на нем. (более подробно о том Как определить FSMO хозяева операций читайте тут ) Вводим команду
И видим что роли fsmo держит dc1.msk.pyatilistnik.org
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-02
Для того чтобы расширить схему леса AD вводим следующую команду из cmd.
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-03
Вас уведомят каким требованиям должен соответствовать ваш парк DC, уверен что Windows 2000 уже как архаизм не используют нигде. Если все ок то вводим С и жмем enter
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-04
Версия схемы Active Directory в Windows Server 2012 — 69, Как узнать версию схемы Active Directory читаем тут. Следующим шагом нужно обновить схему домена, делается это командой.
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-05
После этого осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Можно не ждать а принудительно реплицировать контроллеры домена. Вот так вот просто подготовить и обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2.
Материал сайта pyatilistnik.org
Table of Contents
- ForestPrep
- DomainPrep
- How to find the Schema version
- Schema Version
- Verify ForestPrep, Domainprep & Rodcprep result
Manual Schema upgrade
with
ADPREP is
no more required for
Windows 2012. That
is
integrated with 2012
DC promotion. However If you want to
do
it manually follow the below steps.
Why you need
to
update schema manually? If you dont require the 2012
DC but you need schema version 56.
My current LAB Dc is 2008 R2(64 Bit) where I have updated the schema for 2012.
No 32bit any more ;2012 is supported only 64 bit. Same process for Windows Server 2012 R2.
ForestPrep
adprep path is <Media Drive:>supportadprepadprep.exe
D: is media drive at the below example. See the below example for 2012 Schema upgrade
D:support>cd adprep
D:supportadprep>adprep /forestprep
ADPREP WARNING:
Before running adprep, all Windows Active Directory Domain Controllers in the forest must run Windows Server 2003 or later.
You are about to upgrade the schema for the Active Directory forest named ‘conto
so.com’, using the Active Directory domain controller (schema master) ‘WIN-DGQ60
HD086Q.contoso.com’.
This operation cannot be reversed after it completes.
[User Action]
If all domain controllers in the forest run Windows Server 2003 or later and you
want to upgrade the schema, confirm by typing ‘C’ and then press ENTER to conti
nue. Otherwise, type any other key and press ENTER to quit.
c
Current Schema Version is 47
Upgrading schema to version 56
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch48.ldf»
Loading entries…………………………………
38 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch49.ldf»
Loading entries………………………………………….
86 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch50.ldf»
Loading entries…………………………….
119 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch51.ldf»
Loading entries……………………..
144 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch52.ldf»
Loading entries…………………………….
177 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch53.ldf»
Loading entries…
179 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch54.ldf»
Loading entries….
182 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch55.ldf»
Loading entries….
185 entries modified successfully.
The command has completed successfully
Verifying file signature
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepsch56.ldf»
Loading entries….
188 entries modified successfully.
The command has completed successfully
Connecting to «WIN-DGQ60HD086Q.contoso.com»
Logging in as current user using SSPI
Importing directory from file «D:supportadprepPAS.ldf»
Loading entries…………..
201 entries modified successfully.
The command has completed successfully
……………………………………………………………………..
……………………………………………………………………..
……………………………………………………………………..
……………………………………………………………………..
……………………………………………………………………..
……………………………………………………………………..
Adprep successfully updated the forest-wide information.
See the below snaps.
DomainPrep
D:supportadprep>adprep /domainprep
How to find the Schema version
Schema Version
Version Windows Server Version
13 Windows 2000 Server
30 Windows Server 2003
31 Windows Server 2003 R2
44 Windows Server 2008
47 Windows Server 2008 R2
56 Windows Server 2012
69 Windows Server 2012 R2
81 Windows Server 2016 CTP
___________________________________________
Adprep in Windows Server 2012-By Justin Hall MSFT
Verify ForestPrep, Domainprep & Rodcprep result
http://social.technet.microsoft.com/wiki/contents/articles/23219.verify-forestprep-domainprep-rodcprep-result.aspx
Все аспекты процесса установки DC Server 2012 и обновления AD проанализированы и переработаны с целью повышения эффективности интеграции и снижения затрат. Процесс стал автоматизированным и настолько незаметным, что уже нет необходимости принимать меры защиты от незапланированных обновлений леса и домена
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP
Расширение схемы AD для поддержки новой версии операционной системы или интегрированных с Active Directory (AD) приложений, для которых это необходимо (например, Exchange Server) – обычная, хотя и не очень распространенная, административная задача. Обновления схемы всегда были источником беспокойства для администраторов AD. Причина не связана с неудачным опытом обновления схемы: у 499 из 500 опрошенных администраторов AD такой печальный опыт отсутствует. Причина опасений — в беспорядке, который вносит обновление схемы AD, и этот процесс необратим. Любое действие, которое затрагивает инфраструктуру аутентификации и авторизации Windows и для которого не существует кнопки отмены, требует осмотрительности.
Помимо администраторов AD, обновления схемы также досаждают службам поддержки (CSS) Microsoft, поскольку порождают многочисленные звонки от пользователей. Кроме того, внедрение новых функций, относящихся к AD и к новой операционной системе, ощутимо замедляется, если их реализация зависит от обновления схемы, которое требует повышенного внимания, а значит, дополнительных трудозатрат. Поэтому перед группой разработчиков AD для Windows Server 2012 стояла задача сделать данный процесс более простым и быстрым, чем в предыдущих версиях. В Server 2012 утилита Adprep интегрирована в процесс установки роли службы доменов Active Directory (AD DS).
Adprep – утилита на установочном носителе операционной системы, выполняющая ряд важных функций обновления AD для поддержки этой операционной системы. Из трех основных процессов – /forestprep, /domainprep и /rodcprep – первым выполняется /forestprep, который дополняет схему AD новыми классами объектов и атрибутов, необходимыми для новой версии AD. Далее, /domainprep обеспечивает создание новых известных объектов в AD и применение изменений в системе безопасности. Наконец, задача /rodcprep состоит во внесении изменений в систему безопасности леса для реализации функциональности контроллера домена только для чтения (RODC).
Adprep в составе диспетчера сервера
Во врезке «Обновление каталога Active Directory до версии Windows Server 2012» описано обновление леса Windows Server 2008 R2 до Server 2012 с использованием интегрированной утилиты Adprep и последующее повышение локального DC с Server 2008 R2 до Server 2012. Администраторов AD, которые не утруждали себя изучением документации, ожидает большой сюрприз, поскольку процессы подготовки леса и домена выполняются в результате инициирования установки DC Server 2012 автоматически и без оповещения, а не заблаговременно (см. экран). Это означает, что если одному из ваших коллег-администраторов вздумается установить DC Server 2012 в домен, вы узнаете об этом тогда, когда Adprep уже отработает все необходимые действия. Вот вам и тщательное планирование! С другой стороны, небольшим предприятиям вообще будет не о чем беспокоиться.
 |
| Экран. Проверка леса и домена |
Adprep из командной строки
Чтобы успокоить администраторов AD старой школы, заметим, что остается возможность запуска Adprep вручную из папки supportadprep установочного диска Server 2012. Однако, в отличие от предыдущих версий, 32-разрядный вариант утилиты (Adprep32) отсутствует, и запуск Adprep возможен лишь из 64-разрядной версии Server 2008 (или более поздней).
Adprep не обязательно запускать на контроллере домена с ролью хозяина схемы, однако сервер Server 2012, из которого загружается обновление (не обязательно DC), должен иметь возможность установления соединения с владельцем схемы леса и владельцем инфраструктуры домена. С помощью параметров /user и /userdomain можно указать отдельные учетные данные для Adprep /forestprep (группа Enterprise Admins), /domainprep или /rodcprep (группа Domain Admins). Это повышает степень гибкости в обновлении леса и доменов.
Упразднение Dcpromo
Утилита Dcpromo прекратила свое существование. При попытке ее запуска появляется сообщение о том, что процесс установки роли доменных служб Active Directory (то есть возведения в ранг DC) перемещен в диспетчер сервера, со ссылкой на статью «Installing AD DS by using Server Manager» (http://technet.microsoft.com/en-us/library/hh472162.aspx#BKMK_GUI), содержащую инструкции по установке AD DS. Это не просто внешнее изменение, так как сам процесс переработан до основания. Чтобы снизить вероятность ошибок, еще до повышения роли выполняется ряд предварительных проверок с последующей попыткой исправления ошибки конфигурации, либо выдачей сообщения (написанного понятно, а не на языке разработчиков) с описанием ошибки и предложением действий по ее исправлению. Как и для других административных задач в Server 2012, все, что можно сделать в графическом интерфейсе, может быть сделано в PowerShell, и наоборот. Сценарий PowerShell, содержащий все параметры, указанные при установке в графическом интерфейсе, можно экспортировать, что позволяет использовать его повторно на другом DC в данном домене.
.
Обновление каталога Active Directory до версии Windows Server 2012
В списке проблем, которые не дают администратору Active Directory спать по ночам, обновление схемы Active Directory всегда занимало едва ли не первое место. Эта проблема существует с момента появления каталога Active Directory в службе Windows 2000 и актуальна до сих пор. Почему обновление схемы Active Directory вызывает столько опасений? Все они сводятся к двум словам: «Возврата нет». Расширение схемы Active Directory, всегда сопровождающее переход к использованию новой версии операционной системы Windows Server, чрезвычайно трудно обратить вспять, и к этому варианту прибегают только в самых крайних обстоятельствах.
Однако сейчас, спустя одиннадцать лет с момента реализации, процесс ADPREP был признан весьма надежным, и излишнее волнение по поводу результатов его выполнения вряд ли оправдано. В версии Windows Server 2012 разработчики Microsoft сделали шаг вперед, объединив механизмы обновления леса и домена ADPREP с процессами подготовки контроллеров домена DCPROMO и интегрировав их в единый мастер Active Directory Domain Service Configuration Wizard, который «обо всем позаботится».
Давайте пошагово пройдем алгоритм, который я решил использовать при обновлении своего домашнего леса Windows Server 2008 R2 до версии Windows Server 2012. На данный момент у меня там два контроллера домена версии Windows Server 2008 R2 и три сайта. Я собираюсь выполнить обновление, используя сценарий, подходящий для малого и среднего бизнеса: мне нужен контроллер домена Windows Server 2012 в лесу Active Directory, чтобы использовать новые возможности (такие, как новый интерфейс корзины и детальные политики паролей), и мне не хочется отвлекаться на мелочи.
Для этого я беру обычный сервер с системой Windows Server 2012 и делаю его контроллером домена, последовательно выполняя инструкции мастеров Add Roles and Features и AD DS Configuration.
Процесс обновления леса, домена и контроллера домена до версии Windows Server 2012 в моем маленьком лесу занял 30 минут от начала и до конца. Конечно, ваши временные затраты могут отличаться, так как время обновления леса и домена зависит от количества имеющихся контроллеров домена и топологии сайта.
Этот комплексный, объединенный процесс подойдет не всем; многие администраторы крупных каталогов AD все равно захотят разбить процесс обновления на части и иметь над ним жесткий контроль. Однако для тех 80% каталогов Active Directory в мире, которыми управляют специалисты по ИТ, этот процесс обновления и расширения функциональности сделает переход окружения Active Directory на версию Windows Server 2012 куда более простой задачей.
Menu
Running Adprep
Before you can replace your old computer with a new computer that is
running a new version of Windows Server, you need to first prepare the
Active Directory schema by running adprep.
The adprep console utility will upgrade the Active Directory
schema to add new object types required by the new operating system.
If you forget to run adprep, U-Move will display
a warning message to remind you.
Windows Server 2012-2022: Windows will automatically run adprep during the promotion of the new domain controller.
How To Run Adprep
Windows Server 2008 R2 (or earlier): You need to run adprep on the domain controller that owns the Schema Master FSMO role. This is typically the root DC for the entire AD forest.
Use the
copy of ADPREP.EXE that is located on the installation DVD for the
new operating system.
Prepare the AD Forest and Domain
- Apply the schema update to the Active Directory. On
the old domain controller (DC) that owns the
Schema Master FSMO role, insert the DVD disk for the new operating
system and type the following:
D:
cd supportadprep
adprep /forestprep
For D: substitute the disk letter of your DVD drive.
If you are running
a 32-bit operating system, type adprep32 instead of adprep.If you are unsure which DC hosts the Schema Master role, you can
view the FSMO roles by typing the command netdom query fsmo.
This will apply the schema update to the AD forest. - Apply the domain update. On the old domain controller (DC)
that owns the Infrastructure Master
FSMO role, insert the DVD disk for the new operating system
and type the following:
D:
supportadprep
adprep /domainprep /gpprep
For D: substitute the disk letter of your DVD drive.
This will apply the AD security and group-policy updates
to the domain.
Manually running adprep on Windows Server 2012-2022
On the Windows Server installation DVD, you can find adprep
at D:Supportadprepadprep.exe. Note that
this is only the 64-bit version of adprep. Windows Server 2012-2022
does not provide a 32-bit version of adprep.
Running adprep is optional before adding a Windows Server 2012-2022
domain controller. This is because Windows Server will run it
automatically for you as part of the domain controller promotion
process. This is called transparent adprep.
More Information
For detailed information on using adprep see
Running Adprep.exe
and the
Microsoft command reference for adprep (Microsoft Docs).
You only need to run adprep once. It is not harmful if you run
adprep multiple times or run it on the wrong DC. It will display
an error message and quit without changing anything.
Warning Message: Need to run adprep
If you have not yet successfully run adprep, U-Move will display a warning message and refuse to proceed.
How to override this warning
Данная утилита всё также лежит по пути x:supportadprep в файлах дистрибутива. Просто сейчас (начиная с Windows Server 2012) процесс поднятия функционального уровня домен/леса интегрирован в GUI и нет необходимости выполнять его через утилиту adprep.
Adprep.exe это инструмент командной строки, который расширяет схему Active Directory и обновляет разрешения, необходимые для подготовки леса и домена к работе с контроллерами домена на ОС Windows Server 2008 и выше
Повысить уровень работы леса вы сможете после того, как обновите все ваши КД до необходимых версий. Это можно сделать через оснастки Active Directory Domains and Trusts или Active Directory Users and Computers, или с помощью PowerShell (Set-ADDomainMode)
Работает — но ввиду того, что отсутствует возможность через dcpromo делать промоушн домена, а только через Server ManagerPowershell — там есть проверка необходимости forest prepdomain prep и мастер предупредит, что нужно это сделать и сделает сам в процессе.
Today we will look that how to prepare the AD Schema when migrate DC from 2008 r2 to Server 2012 R2.
To do that follow steps below:
- Check Schema object Version before perform procedure. To do that follow picture below. If it is 47 that’s means you have Windows server 2008 r2 DC. After schema upgraded schema version will be 69. All schema version you can see below:
Version Windows Server Version
13 Windows 2000 Server
30 Windows Server 2003
31 Windows Server 2003 R2
44 Windows Server 2008
47 Windows Server 2008 R2
56 Windows Server 2012
69 Windows Server 2012 R2
81 Windows Server 2016 CTP
2. Insert the Windows Server 2012 R2 DVD into the DVD drive of the Windows Server 2008 R2 Domain Controller:
3. Open Command Prompt As Administrator:
4. Open the Directory of the DVD drive and navigate to adprep directory and then type : adprep /forestprep
5. You will receive a warning that all active directory domain controllers in the forest must be running at least windows server 2003. click c and Enter to confirm and continue.
6. Adprep will successfully update the forest:
7. Then type adprep /domainprep and press enter :
8. As we see Adprep successfully updated the domain-wide information.
If you check(1st steps) schema object version again it will be 69.
That’s all Schema Upgrade successfully.
Migrating Active Directory to Windows 2012 R2, all Domain Controllers have to be migrated to Server version 2012 R2 following a specific procedure.
The Domain Controllers to migrate are installed with Windows Server 2008 R2 and before begin the procedure, check you have a full working backup of your environment.
Blog series
Migrate Active Directory to Windows 2012 R2 — pt. 1
Migrate Active Directory to Windows 2012 R2 — pt. 2
Migrate Active Directory to Windows 2012 R2 — pt. 3
Check Domain Controllers health status
Before starting the migration, check DCs health status in order to be sure that current configuration is working with no issues.
To check DCs you can use a simple script to stores the results into files to be further analyzed.
@echo off cls echo. echo --------------------------- echo Test ACTIVE DIRECTORY echo --------------------------- echo. echo. echo Testing DNS echo --------------------------- dcdiag /TEST:DNS /v >> c:tempad01_dns.txt echo. echo. echo Testing DHCP echo --------------------------- netsh dhcp show server >> c:tempad02_dhcp.txt echo. echo. echo Testing Domain Controllers echo --------------------------- dcdiag /a /v /c >> c:tempad03_dc.txt echo. echo. echo Testing Replica echo --------------------------- repadmin /showrepl >> c:tempad04_replica.txt echo. echo. echo Replica Summary echo --------------------------- repadmin /replsummary >> c:tempad05_replica_sum.txt echo. echo. echo Show Replica Errors echo --------------------------- repadmin /replsum /errorsonly >> c:tempad06_replica_err.txt repadmin /options * >> c:tempad07_replica_opt.txt pause exit
How results are displayed running the commands from the Command Prompt.
If the tests don’t detect any error, the migration can safely begin.
Prepare Active Directory Schema
From one of your Domain Controller mount the Server 2012 R2 installation disc using the VMware Web Client.
Select the Windows Server 2012 R2 installation media then click OK.
Enable the connection to the CD for the Domain Controller then click OK.
From the Domain Controller, check the Windows Server 2012 R2 installation media is accessible.
Open the Command Prompt with administrative privileges and navigate to supportadprep on the installation media.
D:>cd supportadprep
We need to upgrade the Active Directory Schema version to Windows 2012 R2. Run the command adprep /forestprep.
D:supportadprep>adprep /forestprep
Type C to begin the process.
Now run the command adprep /domainprep.
D:supportadprep>adprep /domainprep
To verify if the schema version has been updated successfully, open the Registry Editor and navigate to:
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNTDSParameters
The Schema Version REG_WORD value should be 69.
The Active Directory preparation schema process is now complete.
Decommission secondary Windows 2008 R2 DC
From the secondary Domain Controller, click Start > Run and type the command dcpromo.
The system checks the AD environment.
When the Installation Wizard window appears, click Next to continue.
Since this DC has the Global Catalog service installed, before demoting make sure the primary DC has the GC service enabled as well. Click OK.
To check if the primary DC has the Global Catalog service enable, open Active Directory Sites and Services. Expand Sites and navigate to Default-First-Site-Name > Servers. Right click first DC and select Properties option.
In General tab check if Global Catalog option is checked. In this example also the primary DC has the GC service enabled.
DON’T check the Delete the domain because this server is the last domain controller in the domain option and click Next.
Type the Password for the Local Administrator account then click Next.
From the Summary window, click Next to begin the operation.
The Domain Controller is being demoted. Check the Reboot on completion option to restart the server automatically.
Remove roles
After the server has rebooted, access the server Roles from the Server Manager and click Remove Roles.
The Remove Role Wizard starts. Click Next to continue.
Clear the check boxes for the roles to remove.
Click Next when done.
Click Remove to proceed with removal.
The removal process is being executed.
Click Close to exit the Wizard.
Click Yes to restart the server now.
After rebooting the server the Configuration Wizard resumes the configuration to complete the removal process.
Components are being removed from the system.
When the removal has completed, click Close to exit the Wizard.
Disjoin server from domain
Since the server won’t be used anymore, the demoted Domain Controller must be disjoined from domain. From the Server Manager click Change System Properties.
In Computer Name tab click Change. Select Workgroup option and type a name to assign then click OK to confirm.
Click OK to continue.
The server is disjoined from the domain. Click OK.
Click OK.
Click Close.
Since we no longer need this server, click Restart Later.
Shutdown the server from Start > Shutdown.
The procedure to decommission the secondary Domain Controller has been completed. Part 2 of the procedure will cover the deployment of new 2012 R2 Domain Controllers transferring the FSMO Roles.
В этой статье мы поговорим о процедуре обновления домена с версии Windows Server 2008 R2 до Windows Server 2012 с последующим понижением роли старого контроллера домена до рядового сервера AD.
Итак, что имеется:
- Домен Active Directory как минимум с одним контроллером домена на Windows Server 2008 R2
- Уровень леса и домена AD должен быть как минимум Windows Server 2003
- Дополнительный рядовой сервер домена с Windows Server 2012 , который в дальнейшем станет контроллером домена (как включить сервер в домен подробно описано в статье Как включить Windows в домен).
- Учетная запись с правами администратора домена, схемы и леса.
Прежде чем добавлять новый контроллер домена на Windows 2012 необходимо обновить схему домена и леса. Классически подготовка и повышение уровня домена осуществлялась вручную с помощью утилиты Adprep.exe. В документации новой серверной платформы от Microsoft указано, что при повышении первого сервера с Windows Server 2012 до уровня контроллера домена, повышение уровня домена происходит автоматически при установке роли AD DS на первый сервер Windows 2012 в домене. Так что, теоретически, для подготовки домена ничего делать не нужно.
Однако, предпочтительнее контролировать результат такого ответственного процесса, как обновление схемы. Выполним процедуру обновления схемы вручную.
Обновление схемы AD до Windows Server 2012 с помощью adprep
Для обновления схемы нам понадобится утилита adprep.exe, взять которую можно в каталоге supportadprep на диске с дистрибутивом Windows Server 2012. Данная утилита бывает только 64-разрадной (утилиты adprep32.exe больше не существует), соответственно, запустить ее можно будет только на 64 разрядном контроллере домена.
Необходимо скопировать утилиту на текущий DC с ролью Schema Master (Хозяин схемы) и в командной строке с правами администратора выполнить команду подготовки леса к установке нового DC на Windows Server 2012:
adprep /forestprep
Версия схемы Active Directory в Windows Server 2012 — 56.
Далее обновим схему домена:
adprep /domainprep
Далее осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Если все прошло хорошо – продолжаем. Пришла пора развернуть контроллер домена на Windows Server 2012.
Установка контроллер домена на Windows Server 2012
Первой интересной новостью является тот факт, что знакомой администраторам утилиты DCPROMO, позволяющей добавить или удалить контроллер домена в AD больше не существует. При ее запуске появляется окно, в котором сообщается, что мастер установки Active Directory Domain Services перемещен в консоль Server Manager.
Что ж, откроем консоль Server Manager и установим роль Active Directory Domain Services (Внимание! Установка роли автоматически не означает тот факт, что сервер стал контроллером домена, роль нужно сначала настроить)
После окончания установки роли появится окно, в котором сообщается, что сервер готов стать контроллером домена, для чего нужно нажать на ссылку “Promote this server to domain controller” (далее мы рассмотрим только значимые шаги мастера создания нового контроллера домена).
Затем нужно указать, что данный контроллер домена будет добавлен в уже существующий домен (Add a domain controller to an existing domain), указать имя домен и учетную запись из-под которой будет проводится операция.
Затем укажите, что данный контроллер домена будет содержать роли GC (Global Catalog) и DNS сервера. Также укажите пароль восстановления DSRM (Directory Services Restore Mode) и, если необходимо имя сайта, к которому будет относиться данный контроллер домена.
В разделе “Paths” указываются пути к базе Active Directory (NTDS), файлам логов и каталогу SYSVOL. Учтите, что данные каталоги должны находиться на разделе с файловой системой NTFS, тома с новой файловой системой Windows Server 2012 — Resilient File System (ReFS) – использовать для этих целей нельзя! 
По окончании работы мастера установки роли AD DS, сервер нужно перезагрузить. После перезагрузки вы получаете новый контроллер домена с ОС Windows Server 2012.
Удаление старого контроллера домена на Windows Server 2008 R2
Прежде, чем понизить роль старого контроллера домена с Windows Server 2008 R2 до рядового сервера, нужно перенести все FSMO роли на новый контроллер домена .
Процедура переноса ролей FSMO с одного контролера домена на другой нами уже рассматривалась, подробнее с ней можно познакомится в статье Передача ролей FSMO в Active Directory. Процедуру можно осуществить через графический GUI (проще) или из командной строки с помощью утилиты ntdsutil
После передачи роли FSMO PDC Emulator, необходимо настроить синхронизацию времени на новом контроллере домена с внешним сервером (с которым время синхронизировалось ранее). Подробно процедура настройки синхронизации времени на PDC описана в статье: Синхронизация времени с внешним NTP сервером в Windows 2008 R2 . Формат команды примерно такой (ntp_server_adress – адрес NTP сервера):
w32tm /config /manualpeerlist:ntp_server_adress /syncfromflags:manual /reliable:yes /update
После того, как все роли FSMO перенесены на новый DC Windows Server 2012, убедитесь, что домен работает корректно: проверьте прохождение репликации AD, журналы DNS и AD на наличие ошибки. Не забудьте в настройках сетевой карты на новом сервере в качестве предпочтительного DNS сервера указать собственный адрес.
Если все прошло корректно, можно понизить роль старого контроллера домена 2008 R2 до рядового сервера домена. Это можно сделать, запустив на нем мастер DCPROMO, и указать, что данный сервер более не является контроллером домена. После того, как данный сервер станет рядовым сервером, его можно полностью отключить.
- Remove From My Forums
-
Question
-
I am attempting to upgrade Server 2012 to Server 2012 R2. This machine is a domain controller alongside a Server 2003 R2 machine, which is the main domain controller.
When running adprep /forestprep, I get the following error —
Microsoft Windows [Version 6.2.9200]
(c) 2012 Microsoft Corporation. All rights reserved.C:Usersplypackadmin>cd E:
E:C:Usersplypackadmin>E:
E:>cd support
E:support>cd adprep
E:supportadprep>adprep /forestprep
ADPREP WARNING:
Before running adprep, all Windows Active Directory Domain Controllers in the fo
rest must run Windows Server 2003 or later.You are about to upgrade the schema for the Active Directory forest named ‘plypa
ck.local’, using the Active Directory domain controller (schema master) ‘BC-SERV
ER.plypack.local’.
This operation cannot be reversed after it completes.[User Action]
If all domain controllers in the forest run Windows Server 2003 or later and you
want to upgrade the schema, confirm by typing ‘C’ and then press ENTER to conti
nue. Otherwise, type any other key and press ENTER to quit.C
Adprep could not retrieve data from the server 2K3.domain.local through W
indows Managment Instrumentation (WMI).
[User Action]
Check the log file ADPrep.log in the C:Windowsdebugadpreplogs20160302135800
directory for possible cause of failure.Adprep encountered a Win32 error.
Error code: 0x5 Error message: Access is denied.Adprep failed while performing Exchange schema check.
[Status/Consequence]
The Active Directory Domain Services schema is not upgraded.
[User Action]
Check the log file ADPrep.log in the C:Windowsdebugadpreplogs20160302135800
directory for possible cause of failure.Adprep encountered a Win32 error.
Error code: 0x5 Error message: Access is denied.E:supportadprep>
The Network Service account is allowed logon as a service and DCOM is enabled. There is no firewall on either server that is preventing the connecting. What else could be causing this?
Answers
-
The schema master is the Server 2003 DC. How would you upgrade the schema on it when the adprep from the Server 2012 R2 DVD does not run on 2003?
Hi,
The Adprep.exe that is included with Windows Server 2012 supports «remote» updates of the forest and domain (It can be run remotely from any server that runs a 64-bit version of Windows Server 2008 or later).
There is no longer any requirement to run Adprep.exe on the existing Schema Master or Infrastructure Master domain controllers.
See this KB article for more information:
https://support.microsoft.com/en-us/kb/2743367Regards,
Ethan Hua
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact
tnmff@microsoft.com-
Proposed as answer by
Tuesday, March 15, 2016 1:24 PM
-
Marked as answer by
Ethan HuaMicrosoft contingent staff
Wednesday, March 23, 2016 8:27 AM
-
Proposed as answer by