Прочитано:
14 649
Задача: Нужно проработать процесс миграции домена на базе Windows Server 2008 R2 на Windows Server 2016
От моего коллеги по работе поступила задумка, а реально ли смигрировать текущий домен контроллер на базе Windows Server 2008 R2 Enterprise на систему с осью Windows Server 2016 Standard, в итоге новый контроллер домена будет обладать повышенными возможностями по управлению инфраструктурой. Да и пора уже избавиться от железной составляющей текущего домена на переход под Hyper-V система виртуализации которой используется в организации где я сейчас работаю.
Данная задача прорабатывается под Virtulbox основной системы Ubuntu 18.04 Desktop amd64 ноутбука Lenovo E555
Исходные данные:
- srv-dc1.polygon.local (на базе Windows Server 2008 R2 Enterprise) с ролями: AD DC,DHCP,DNS
- IP address: 10.90.90.2/24
C:UsersAdministrator>netsh firewall set icmpsetting 8 enable
- Login: ekzorchik
- Pass: 712mbddr@
- Group: Domain Admins, Schema Admins, Enterprise Admins
C:Windowssystem32>netdom query fsmo
Schema master srv-dc1.polygon.localDomain naming master srv-dc1.polygon.localPDC srv-dc1.polygon.localRID pool manager srv-dc1.polygon.localInfrastructure master srv-dc1.polygon.localThe command completed successfully.
srv-dc2.polygon.local (на базе Windows Server 2016) пока без ролей
IP address: 10.90.90.3/24
C:UsersАдминистратор>netsh firewall set icmpsetting 8 enable
Шаг №1: Авторизуюсь под локальной учетной записью «Администратор» на srv-dc2. Ввожу данную систему в домен polygon.local.
Win + R → control.exe → Система — «Изменить параметры» — вкладка «Имя компьютера» окна «Свойства системы» нажимаю «Изменить», отмечаю галочкой «Является членом»: Домена и указываю домен: polygon.local, затем нажимаю кнопку «ОК».
[stextbox id=’alert’]
На заметку: Не забудьте в настройках сетевой карты хоста srv-dc2 указать DNS сервер системы srv-dc1 иначе получите ошибку: «При запросе DNS записи ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «polygon.local«, произошла ошибка:
Произошла ошибка: «Для локальной системы не настроено ни одного DNS-сервера.»»
[/stextbox]
Итак, DNS-сервер прописан в свойствах сетевого адаптера, при попытке ввода системы в домен понадобится знание учетных данных обладающих правами «Администраторы Домена (Domain Admins) или обладающих правами делегированных. Авторизую систему для присоединения к домену
- Имя пользователя: ekzorchik
- Пароль: 712mbddr@
и нажимаю «ОК» окна «Безопасность Windows», обязательно Вы должны увидеть окно: «Добро пожаловать в домен polygon.local». Перезагружаю систему для активации изменений, затем нажимаю сочетание клавиш «Ctrl + Alt + Del» и авторизуюсь в системе также под учетной записью входящей в группы которые есть в учетной записи ezkorchik если у Вас она отличается.
Шаг №2: Делаю систему srv-dc2 контроллером домена:
Win + R → control.exe или Win + X → «Панель управления» — «Администрирование» — «Диспетчер серверов» — «Панель мониторинга» — «Добавить роли и компоненты» — «Установка ролей или компонентов» — Выберите сервер из пула серверов: srv-dc1.polygon.local — отмечаю галочкой роль «Доменные службы Active Directory» — нажимаю «Добавить компоненты» — «Далее» — «Далее» — отмечаю галочкой «Автоматический перезапуск конечного сервера, если требуется» и нажимаю «Установить».
Теперь настройка устанавливаемых компонент:
Win + R → control.exe или Win + X → «Панель управления» — «Администрирование» — «Диспетчер серверов» — «AD DS»:
«Доменные службы Active Directory — требуется настройка на srv-dc2» → нажимаю «Подробнее» — «Повысить роль этого сервера до уровня контроллера домена». Операцию развертывания выбираю:
«Добавить контроллер домена в существующий домен»
- Домен: «polygon.local»
Для выполнения этой операции введите учетные данные: нажимаю «Изменить», т. к. сейчас подставлены svr-dc2Администратор (текущий пользователь) и указываю:
- Логин: ekzorchik
- Пароль: 712mbddr@
и нажимаю «ОК», потом «Далее» окна «Мастер настройки доменных служб Active Directory». Параметры контроллера домена оставляю дефолтными (это отмеченные галочкой DNS-сервер, Глобальный каталог (GC)), но обязательно нужно указать пароль для режима восстановления служб каталогов (DSRM):
- Пароль: 712bmddr@
- Подтверждение пароля: 712mbddr@
и нажимаю «Далее» — «Далее», указываю откуда отреплицировать данные:
- Источник репликации: srv-dc1.polygon.local
и нажимаю «Далее» — «Далее» — «Далее» — «Далее», обязательно следует убедиться в появлении надписи «Все проверки готовности к установке выполнены успешно» и только тогда нажимаем «установить». В процесс система будет перезагружена. Авторизуюсь с использованием учетных данных login: ekzorchik
Шаг №3: Проверяю количество домен контроллеров и отсутствие ошибок в домена с использованием команд:
Win + X — Командная строка (администратор)
C:Windowssystem32>netdom query dc
Список контроллеров домена с учетными записями в домене:
SRV-DC1SRV-DC2
Команда выполнена успешно.
Отобразить текущий функциональный уровень леса:
C:Windowssystem32>dsquery * "CN=Partitions,CN=Configuration,DC=polygon,DC=local" -scope base -attr msDS-Behavior-Version
msDS-Behavior-Version
4 → где данное число расшифровывается, как Windows Server 2008 R2 operating system and later
Отобразить текущий функциональный уровень домена:
C:Windowssystem32>dsquery * "dc=polygon,dc=local" -scope base -attr msDS-Behavior-Version ntMixedDomain
msDS-Behavior-Version ntMixedDomain
4 0 → Windows Server 2008 operating system or later DCs in the domain
Шаг №4: Захватываю все роли с srv-dc1 на srv-dc2:
C:Windowssystem32>ntdsutil
- ntdsutil: roles
- fsmo maintenance: connection
- server connections: connect to server srv-dc1.polygon.local
Привязка к srv-dc1.polygon.local …
Подключен к srv-dc1.polygon.local с помощью учетных данных локального пользователя.
- server connections: quit
Затем применительно к каждой роли FSMO производим захват/миграцию:
fsmo maintenance: seize schema master
fsmo maintenance: seize naming master
fsmo maintenance: seize pdc
fsmo maintenance: seize rid master
fsmo maintenance: seize infrastructure master
[stextbox id=’alert’]На заметку: На все вопросы по захвату ролей нажимаю «Да»[/stextbox]
После не забываем выйти из консоли команды ntdsutil вводом quit.
fsmo maintenance: quit
ntdsutil: quit
C:Windowssystem32>
Проверяю кто сейчас держит роли FSMO:
C:Windowssystem32>netdom query fsmo
Хозяин схемы srv-dc2.polygon.localХозяин именования доменов srv-dc2.polygon.localPDC srv-dc2.polygon.localДиспетчер пула RID srv-dc2.polygon.localХозяин инфраструктуры srv-dc2.polygon.local
Команда выполнена успешно.
Так осталось перевести роль «Хозяина схемы» и «Хозяина именования доменов»:
C:Windowssystem32>powershell
PS C:Windowssystem32> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 4
Перемещение роли хозяина операций
Вы хотите переместить роль «DomainNamingMaster» на сервер «srv-dc2.polygon.local«?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"):A
PS C:Windowssystem32> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 3 -force
Перемещение роли хозяина операций
Вы хотите переместить роль «SchemaMaster» на сервер «srv-dc2.polygon.local«?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"):A
PS C:Windowssystem32> exit
Чтобы отобразить какой теперь функциональный уровень домена:
C:Windowssystem32>dsquery * "dc=polygon,dc=local" -scope base -attr msDS-Behavior-Version ntMixedDomain
msDS-Behavior-Version ntMixedDomain
4 0 — где данное значение расшифровывается, как Windows Server 2012 R2
Чтобы отобразить версию схемы Active Directory Schema:
C:Windowssystem32>dsquery * "CN=Schema,CN=Configuration,dc=polygon,dc=local" -scope base -attr objectVersion
objectVersion
87 — где данное значение расшифровывается, как Windows Server 2016, а все из-за того, что я в текущем домене сделал контроллером домена новую систему, а значит и могу поднять функциональный уровень домена и уровень леса.
Шаг №5: Удаляю контроллер домена под управлением Windows Server 2008 R2 из глобального каталога. На Server 2016 (srv-dc2) открываю оснастку:
Win + X — Панель управления — Администрирование — «Active Directory Сайты и Службы» и выделяю левой кнопкой мыши сервере srv-dc1 который являлся контроллером домена ранее в текущей сайте «Default-First-Site-Name» на NTDS Settings снимаю в свойствах галочку с настройки «Глобальный каталог»
Шаг №6: Опираясь на заметку по «Удалению неисправного домена контроллера из Active Directory в Server 2008 R2»
проделываю все указанные там действия. Выключаю srv-dc1
C:Windowssystem32>ntdsutil
- ntdsutil: metadata cleanup
- metadata cleanup: connections
- server connections: connect to server srv-dc2
Привязка к srv-dc2 …
Подключен к srv-dc2 с помощью учетных данных локального пользователя.
- server connections: quit
- metadata cleanup: select operation target
- select operation target: list sites
Найдено сайтов: 1
0 — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
select operation target: select site 0
Сайт — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
select operation target:
- select operation target: list servers in site
Найдено серверов: 2
0 — CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
1 — CN=SRV-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
select operation target:
- select operation target: select server 0
- select operation target: list domains
Найдено доменов: 1
0 — DC=polygon,DC=local
select operation target: select domain 0
Сайт — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Домен — DC=polygon,DC=local
Сервер — CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Объект DSA — CN=NTDS Settings,CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local
Имя DNS-узла — srv-dc1.polygon.local
Объект-компьютер — CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local
Нет текущего контекста именования
- metadata cleanup: remove selected server
Передача или захват ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Поиск членов FRS в «CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local».
Удаление поддерева в «CN=SRV-DC1,OU=Domain Controllers,DC=polygon,DC=local».
Ошибка при попытке удалить параметры FRS на CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local: «Элемент не найден.»;
очистка метаданных продолжается.
«CN=SRV-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local» удалена с сервера «srv-dc2»
Из оснастки DNS сервера svr-dc2 удаляем все упоминания об srv-dc1. И переопределяем DNS-сервер в настройках сетевого адаптера хоста srv-dc2 с 10.90.90.2 на 10.90.90.3
Шаг №7: Проверяю текущий домен контроллер на наличие ошибок: dcdiag & repadmin
PS C:Windowssystem32> repadmin /syncall
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
PS C:Windowssystem32> repadmin /showrepl
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-NameSRV-DC2
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA — GUID объекта: 401b3342-854f-4eb4-8261-ff6ce3848354
DSA — код вызова: 20507c04-d7a4-4a88-9eae-7a6dbd015321
Шаг №8: Изменяю режим работы леса с Windows Server 2008 R2 на Windows Server 2016 через оснастку «Active Directory — домены и доверие» щелкнув правой кнопкой мыши по надписи «Active Directory — домены и доверие» открытой оснастки, затем выбрав элемент меню «Изменение режима работы леса» и изменяю режим работы леса на «Windows Server 2016» и нажимаю «Изменить» — «ОК» окна «Повышение режима работы леса». Или можно через консоль командной строки powershell проделать это:
C:Windowssystem32>powershell
Windows PowerShell
(C) Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены.
PS C:Windowssystem32> Set-ADDomainMode -identity polygon.local -DomainMode Windows2016Domain
PS C:Windowssystem32> Set-ADForestMode -identity polygon.local -ForestMode Windows2016Forest
Проверить, что команды выше отработали как надо можно так:
PS C:Windowssystem32> get-addomain | fl Name,DomainMode ;get-adforest | fl Name,ForestMode
Name : polygonDomainMode : Windows2016DomainName : polygon.localForestMode : Windows2016Forest
Результат положителен. Я успешно оформил как заметка, как повысить домен до уровня Windows2016 путем захвата всех ролей на новом домен контроллере под управлением Windows Server 2016 Standard.
Шаг №9: Не забываем, раз на srv-dc1 был DHCP сервер, то его стоило забекапить, а потом импортировать на srv-dc2, либо же если настроек не много и Вы все помните, то установить роль DHCP сервиса и настроить область выдачи IP—адресов.
[stextbox id=’alert’]На заметку: Не обязательно иметь в локальной сети DHCP сервис на базе Windows, можно чтобы он был и на сетевом оборудовании, к примеру Mikrotik. У меня так.[/stextbox]
Может так случить, что служба работает, но развернутая область не активна. В логах есть ошибки на этот счет: Event ID 1056
Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки «netsh dhcp server set dnscredentials» или с помощью программы администрирования DHCP.
C:Windowssystem32> netsh dhcp server set dnscredentials ekzorchik poligon.local 712mbddr@
Пока проблема не поднимается. Нет нужно было удалить текущую область и заново не торопясь его создать и настроить.
Шаг №10: Проверяю, что рабочая станция может стать членом текущего домена и авторизоваться в нем.
C:Usersalektest>hostname
system
C:Usersalektest>ipconfig
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : polygon.local
IPv4-адрес. . . . . . . . . . . . : 10.90.90.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.90.90.1
а на srv-dc2:
C:Usersekzorchik>dsquery computer
"CN=SRV-DC2,OU=Domain Controllers,DC=polygon,DC=local"
"CN=SYSTEM,CN=Computers,DC=polygon,DC=local" → ну вот и рабочая станция успешно авторизованная в домене.
Итого, заметка работоспособна. Раз получилось сделать в тестовой конфигурации, то как показывает моя практика сделать это можно будет и на боевой инфраструктуре. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.
- Remove From My Forums
-
Вопрос
-
Добрый день!
Прошу практической помощи в таком вопросе.
Есть два виртуальных сервера под управлением Windows Server 2008 SP2 32bit с поднятыми ролями DNS и AD.
Есть две свежих виртуальных машины куда планируется установка Windows Server 2016.
Задача такая: Произвести миграцию ролей с Windows Server 2008 SP2 32bit на Windows Server 2016.
Опыта подобной работы у меня нет и возникает ряд вопросов:
1. Возможна ли миграция этих ролей с 32-битной системы на 64-битную?
2. Возможна ли миграция сразу с Windows Server 2008 SP2 32bit на Windows Server 2016 или нужно мигрировать сначала на Windows Server 2012 R2?
Если миграция возможна то какие шаги я должен сделать по порядку?
Ответы
-
Я скажу больше, не забудьте сделать копии/снапшоты своих виртуальных контроллеров.
Благо с появлением виртуализации, есть быстрые пути обхода косяков.
А так, коллеги всё по делу написали.
-
Помечено в качестве ответа
2 сентября 2019 г. 7:41
-
Помечено в качестве ответа
-
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
2 сентября 2019 г. 7:41
-
Помечено в качестве ответа
-
Не забудьте передать роли FSMO на новые КД и повысить схемы леса, домена после миграции.
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
2 сентября 2019 г. 7:41
-
Помечено в качестве ответа
-
Я бы делал постепенно
поднимаете вторичный контроллер на 2008r2
передаете на него все роли
выводите старый контроллер 2008 х32 из AD
поднимаете вторичный контроллер на 2012r2
передаете на него роли
2008r2 выводите из AD
и наконец также с 2016
в конце всего повышаете роль всего домена до 2016
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
2 сентября 2019 г. 7:41
-
Помечено в качестве ответа
1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
Repadmin /syncall /AeS
repadmin /replsum
8. Перераспределяем роли FSMO:
Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster
где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum
11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.
Важно проверить совместимость версией схемы,домена с Microsoft Exchange
Окружение домен nh.local
Хост AD2.nh.local Windows Server 2008 sp2 std x86 RU
Хост DC01.nh.local Windows Server 2008 R2 std x64 RU
—
Хост AD01.nh.local Windows Server 2016 std x64 RU , with gui
Хост AD02.nh.local Windows Server 2016 std x64 RU CORE , no gui
План действий:
1)Повышение функциональных уровней домена и леса Active Directory. (Raising the domain functional level and forest)
2)Миграция репликации SYSVOL с File Replication Service (FRS) на Distributed File System (DFS) Replication migration.
3)Добавление контроллеров домена Active Directory Adding Domain Controllers.
4)Перемещение хозяев FSMO-ролей Moving Hosts.
5)Вывод из эксплуатации контроллеров домена Active Directory Decommissioning domain controllers.
Функциональные уровни домена/леса Domain / Forest Functional Levels
https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/active-directory-functional-levels
1)Используя adsi.msc edit проверим тип репликации между домен котроллерами File Replication Service (FRS) и Distributed File System (DFS)
adsi edit подключаемся к контексту именования по умолчанию,
Domain controlles
2)Если тип подписки CN=NTFRS Subcritions необходимо мигрировать тип подписки с FRS на DFS
3)Проверка репликацией между домен контроллерами ; проверяем fails 0
хост ad2 , dc01
repadmin.exe /replsum
4)Повышение функционального уровня домена Rise domain functional level до 2008
5)Повышение функционального уровня домена леса Raising the forest functional level of the domain 2008
6)Миграция FRS на DFS
6.1)проверка статус миграции
dfrsmig.exe /GetGlobalState
начало миграции FRS на DFS
dfrsmig.exe /SetGlobalState 1
DFSR global state Start
Проверка перехода в состояние Start начало
dfrsmig.exe /GetMigrationState
Для ускорения запустим репликацию нахосте ad2 , dc01
repadmin.exe /syncall
Ещё раз проверяем состояние миграции должно быть Prepared
проверяем через adsi.msc что появилась запись DFRS
Создаем репликацию , статус ‘Redirected‘ перенаправлено
dfrsmig.exe /SetGlobalState 2
dfrsmig.exe /GetMigrationState
Для ускорения запустим репликацию на хосте ad2 , dc01
repadmin.exe /syncall
Миграция в исключенном состоянии является необратимой, и откат из этого состояния невозможен, поэтому используйте значение 3 SYSVOL. Migration to the Eliminated state is irreversible and rollback from that state is not possible, so use a value of 3 for state only when you are fully committed to using DFS Replication for SYSVOL replication.
dfrsmig.exe /SetGlobalState 3
7)Добавляем роли AD DS доменны служб на Windows Server 2016 add role
Минимальные требования:
7.1)Статический ip адрес
7.2)Имя сервера — хоста
7.3)Проверка разрежения имени в домене DNS ДНС
7.4)Сетевой доступ к контроллерам домена
Используя Диспетчер сервера Server Manager
Add roles and features Роли и компоненты :Доменные службы Active Directory Active Directory Domain Services
8)Повышение сервера до домен контроллера Promote this server to a domain controller
8.1)Добавить контроллер домена в существующий лес, Домен:nh.local
8.2)Параметры контроллера домена , Укажите возможности контроллера домена и сведения о сайте
DNS-сервер , Глобальный каталог (GC). пароль для режима восстановления служб каталогов (DSRM)
8.3)Параметры DNS
8.4)Дополнительные параметры источник репликации (Любой контроллер домена иил конкретный домен контроллер)
8.5)Укажите расположение баз данных AD DS, файлов журналов и папки SYSVOL
9)Обновим топологию репликации ps на сервере 2016
repadmin.exe /kcc
9.1)Выполним репликацию на сервере 2016
repadmin.exe /syncall
9.2)Повторяем на серверах 2008 2008r2
repadmin.exe /kcc
repadmin.exe /syncall
10)На ad02 Windows server 2016 core no gui ставим Windows Admin Center (ранее Project Honolulu): веб-интерфейс управления серверами Windows Server
https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/understand/windows-admin-center
msiexec /i WindowsAdminCenter1809.msi /qn /L*v log.txt SME_PORT=6516 SSL_CERTIFICATE_OPTION=generate
11)Установка ролей и компонентов через WindowsAdminCenter
12)Установка ролей и компонентов через PowerShell
проверка состояние компонентов
Get-WindowsFeature -Name ad-domain-services,dns
добавляем компоненты и консоли управления
Add-WindowsFeature -Name ad-domain-services,dns -IncludeManagementTools
13)Добавление домен контроллера AD DS через PowerShell
Import-Module ServerManager
13.1)Ввод учетных данных для добавление сервера в домен , через переменную
$c = Get-Credential
13.2)Пароль для режима восстановления DSRM . добавим через переменную и конвертацию текстового пароля
$p = ConvertTo-SecureString 'Qwerty123' -AsPlainText - Force
13.3)Устанавливаем контроллер домена
Install-ADDSDomainController -DomainName 'nh.local' -SafeModeAdministratorPAssword $p -Credential $c -Confirm:$false
14)После перезагрузки ad02 Windows server 2016 core no gui делаем проверку репликации
ps repadmin /kcc repadmin /syncall
14.1)Replsum, позволяет получить информацию о статусе репликации всех контроллеров доменов
repadmin.exe /replsum
15)Вывод контроллеров домена AD 2008 2008 R ; dcpromo
15.1)Проверяем владельца хозяина ролей командой
netdom query fsmo15.2)Перемещение FSMO ролей
regsvr32 schmmgmt.dll Move-ADDirectoryServerOperationMasterRole -Identity "AD02" -OperationMasterRole SchemaMaster,DomainNamingMaster Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole RIDMaster, PDCEmulator, InfrastructureMaster Захват ролей FSMO ntdsutil -- roles connections connect to server DC2 q -- seize naming master seize infrastructure master seize rid master seize schema master seize pdc q
15.2)Перемещение FSMO ролей
regsvr32 schmmgmt.dll
Move-ADDirectoryServerOperationMasterRole -Identity "AD02"
-OperationMasterRole SchemaMaster,DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity "DC02"
-OperationMasterRole RIDMaster, PDCEmulator, InfrastructureMaster
Захват ролей FSMO
ntdsutil
--
roles
connections
connect to server DC2
q
--
seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc
q
на каждом домен контроллере ускоряем репликациюrepadmin.exe /syncall
Проверка расположение ролей
netdom query fsmo
16)Замена DNS в Свойствах tcp/ipv4 ,на серверах AD01 , AD02
между собой самих на себя
17)Для понижения роли серверов 2008 2008R AD2 DC01 запустим dcpromo.exe (2012 ps Uninstall-ADDSDomainController) до рядового сервера
не удаляем домен, вводим новый пароль для учетной записи администратора, далее , готово , перезагрузка
https://lebedevum.blogspot.com/2017/01/active-directory-ad-ds-windows-server.html
17.1)На dc серверах windows server 2016 выполняем
repadmin /kcc repadmin /syncall repadmin /replsum
18)Повышение режима работы домена
оснастка mmc Active Diretory — домены и доверие
на AD02 DC02
repadmin /replsum
18.1)Повышение режима работы леса
на AD02 DC02
repadmin /replsum
19)Создаем новую учетную запись пользователя
поправим через adsi edit длинну поля Отчество с 6 до 15 символо
20)Проверим dns адреса на клиентский рабочих станциях пк
установить ip AD02 DC02
For this post I just wanted to note down my thoughts and plan that I recently used to migrate a client from Active Directory 2008 R2 to Active Directory 2016. For this work the servers involved were four Windows 2008 R2 servers which all ran AD, DNS, DHCP and NPS. These roles were being migrated to four Windows 2016 servers. The servers are spread out geographically and are on different networks but are all part of a single AD domain. All of the servers are Global Catalog servers. This is not designed to be low-level guide with all the intricate details but more of an overview (with some useful commands thrown in).
Setting up the new servers
This stage was pretty easy as we were using VMware, all I had to do was create four new Windows 2016 servers from a template. I then checked the domain health on the existing domain controllers using dcdiag /c and verified that there were no nasty errors in the event logs. I next installed the Active Directory Domain Services and DNS roles on all of the servers.
Migrating the FSMO roles
To migrate the FSMO roles I used ntdsutil. You can actually do this in the gui but I prefer to use the command-line so that I can verify everything as I go. Here are the commands I used:
First view the current roles:
Then connect to the destination server (where you are transferring roles to):
ntdsutil roles connections DC05.domain.local quit
To transfer the Infrastructure Master role:
Transfer Infrastructure master
I then ran the below command after every transfer to confirm that it has worked successfully:
To transfer the domain naming master role:
To transfer the PDC emulator:
To transfer the RID Master role:
To transfer the Schema Master role:
DNS
As long as you are using AD integrated DNS like I was here there shouldn’t be anything to configure in DNS. Verify that the zones have all replicated successfully and then point a desktop at the new DNS server to confirm it is working correctly. If you have any specific DNS logging options set on the existing DNS servers you may want to replicate these on the new servers.
Once you are happy that the new DNS servers are working ok you will need to make the necessary changes in the DHCP scope options for your clients. You will then need to change anything with the entries statically set (servers, printers, photocopiers etc.)
DHCP
To migrate the DHCP servers I used the same netsh commands that I have used or years and on many previous migrations.
Here is a quick run-down of the steps required to migrate the DHCP database. We need to carry this out on the two new Windows 2016 DHCP servers.
1. Log on to the old/existing DHCP server.
2. Click Start, click Run, type cmd in the open box, right-click, and then “Run as Administrator”.
3. Type the below:
netsh dhcp server export C:tempdhcp.txt all
and then press ENTER.
4. Install the DHCP role on the new ( Windows 2016) DHCP server using Server Manager.
5. Copy the exported DHCP text file to the C:temp folder of the new DHCP server.
6. Verify that the DHCP service is installed and started on the new DHCP server.
7. Click Start, click Run, type cmd in the Open box, right-click, and then “Run as Administrator”.
8. Type the below:
netsh dhcp server import C:tempdhcp.txt all
and then press ENTER
9. Open DHCP console on the new server.
10. In the console tree, right-click DHCP.
11. Select “Authorize”.
Migrating the CA (Certificate Authority)
Information from various articles online suggests that migrating from a Microsoft CA to a server with a different name is not a good idea. The consensus seems to be to either build a new root CA or to do an in-place upgrade. As I do not like doing in-place upgrades (due to past problems) I decided to just build a new CA and migrate everything across to it. This was actually not as scary as it sounds.
Essentially it involved the below steps:
- Stopping and disabling the CA services on the existing CA. (obviously check that you have no urgent need to issue any certificates before doing this!)
- Install the AD CA role on one of the new Windows 2016 servers and configure it the same way as the existing server.
- Create a new template that allows you to reenrol all certificate holders
- Export and re-issue the new root CA certificate to all client machines via group policy.
- Change any NPS policies that currently reference the old certificate and update to the new one (this was necessary for me as the client used 802.1x authentication for their WiFi authentication.
- Lastly update any client systems/applications (i.e. the internal antivirus server) that use a certificate to verify their identify.
None of this was actually disruptive at all because the old certificates remained intact throughout the process.
A quick tip – make sure that you enable the new certificate template after you have created it by opening the CA console>Right clicking on Certificate Templates and clicking New>Certificate Template to issue.
To force your machine to poll the CA and pick up the new certificate you can open a command prompt and type:
Migrating the NPS role
To migrate the NPS role I had to:
1. Install the NPS role on all of the new domain controllers
2. Export the NPS configuration from the existing NPS using the command:
netsh nps export filename="C:tempConfig.xml" exportPSK=YES
3. Import the NPS configuration to the new domain controllers using the command:
netsh nps import filename="C:tempConfig.xml"
We also had to make a change to enable MD5 in NPS for compatibility with the phones (that logged into the switches using 802.1x authentication and had been setup on the old server). For this I found this article that was very useful. This was essentially a harmless registry change as below:
The contents of the registry change are:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManPPPEAP4] "RolesSupported"=dword:0000000a "FriendlyName"="MD5-Challenge" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74, 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00, 61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "InvokeUsernameDialog"=dword:00000001 "InvokePasswordDialog"=dword:00000001
Decommissioning the old servers
Before decommissioning the old/existing domain controllers I wanted to make sure that the new servers were functioning correctly. I therefore ran a dcdiag /c and verified that the FSMO roles and Global Catalog servers were all correct and working ok. I then disabled the netlogon service on the old domain controllers. After a couple of days with the netlogon service disabled I shut the servers down completely. Once I was happy that all was working well with out the old servers I started to decommission them.
This should have been an easy task, I ran DCPROMO and was very careful not to select the checkbox to remove the entire domain (fortunately this has been removed from 2012 onwards).
I was then greeted with an error unfortunately that stated ‘Active Directory could not transfer the remaining data in directory partition.’ This was a bit of a pain to fix and I have done a write-up of this here. In short the problem stemmed from someone not correctly removing and old domain controller many many ions ago. The only way to fix it was to remove all references to the old DC manually. Once I had sorted this I was able to remove Active Directory and upgrade the functional level.