Windows server 2012 в домене windows server 2003

Не секрет, что окончание поддержки Windows Server 2003 все ближе. День Х назначен на 17 июля 2015 года, а значит остается все меньше времени, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. На Хабре мы уже делали несколько анонсов об окончании поддержки, на портале Microsoft Virtual Academy опубликован курс по материалам Jump Start, есть перевод статьи о переносе файлового сервера. В этой статье будет рассказано о миграции Active Directory и приведен пошаговый алгоритм, которым поможет вам при реализации переноса.

Перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.
На самом деле, перенос Active Directory не несет в себе каких-либо сложностей. Нужно выполнить лишь несколько шагов, о которых будет подробно рассказано далее.
Сначала выполним небольшую настройку на контроллере домена с установленной на нем Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003.
Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust. Для изменения режима работы домена щёлкаем правой кнопкой мыши по домену, для режима работы леса – по Active Directory Domains and Trusts. Выбираем Raise Domain Functional Level и Raise Forest Functional Level соответственно.


В обоих случаях режим работы должен быть установлен на Windows Server 2003.


Следующим шагом нам нужно добавить к нашей сети второй контроллер домена под управлением Windows Server 2012 R2. Для этого на сервер с Windows Server 2012 R2 устанавливаем роль Active Directory Domain Services.

После установки добавим новый контроллер домена к существующему домену. Для этого нам нужно будет использовать учетную запись, которая входит в группу Enterprise Admins и обладает соответствующими правами.

Необходимо указать, будет ли этот сервер выполнять роль DNS сервера и глобального каталога (Global Catalog – GC).

На экране Additional Options нужно указать с какого контроллера домена будет выполнена репликация на существующий. Нужно выбрать контроллер домена под управлением Windows Server 2003.

Для установки домена необходимо выполнить подготовку леса, домена и схемы. Если раньше для этого обязательно нужно было запустить команду adprep (причем сделать это надо было до начала конфигурации домена), то теперь эту задачу берет на себя мастер конфигурации ADDS, и подготовка может быть выполнена автоматически.

Далее нужно дождаться завершения установки и перезагрузить компьютер. В итоге, вы получите контроллер домена с установленной на нем Windows Server 2012 R2.
Теперь в оснастке Active Directory Users and Computers мы можем увидеть, что в нашей сети есть два контроллера домена.

После того, как выполнены предварительные шаги, мы можем перейти непосредственно к переносу Active Directory. Выполнять необходимые действия мы будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:

1. Перенос роли FSMO (Flexible Single Master Operations)
2. Изменение контроллера домена Active Directory
3. Изменение Мастера схемы (Schema Master)
4. Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)

1. Перенос роли FSMO (Flexible Single Master Operations)

Для того, чтобы перенести роль FSMO, открываем оснастку Active Directory Users and Computers, щёлкаем правой кнопкой мышки по нашему домену и в появившемся подменю выбираем Operations Masters.

Нам нужно перенести роль хозяина операций. Для этого на каждой вкладке во вновь появившемся окне нажимаем кнопку Change и переносим роль с 2003 сервера на сервер под управлением 2012 R2.

Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:

2. Изменение контроллера домена Active Directory

Теперь переходим к изменению контроллера домена Active Directory. Открываем консоль Active Directory Domains and Trusts, щёлкаем правой кнопкой мышки по лесу и выбираем пункт Change Active Directory Domain Controller.

В новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2.

Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master.

Переноси роль хозяина операций именования домена, нажав Change.

3. Изменение Мастера схемы (Schema Master)

Теперь приступаем к изменению мастера схемы (Schema Master). Запустите командную строку с правами Администратора и введите команду regsvr32 schmmgmt.dll

С помощью этой команды происходит первичная регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.
После того, как команда выполнена, можно закрыть командную строку, запустить консоль MMC и добавить оснастку Active Directory Schema (для этого выберите File > Add/Remove Snap—in).

В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. Аналогично действиям, которые мы выполняли в пункте 2, в новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2 и нажмите ОК. Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Нажмите ОК для продолжения.
Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master. Для переноса роли хозяина схемы в новом окне нажмите Change.
Теперь можно закрыть MMC консоль, открыть оснастку Active Directory Users and Computers и убедиться, что данные успешно реплицированы на ваш новый сервер под управлением Windows Server 2012 R2. Имейте ввиду, что процесс репликации может занять некоторое время (все зависит от количества объектов Active Directory, которые нужно реплицировать).

4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)

Осталось удалить контроллер домена под управлением Windows Server 2003 из глобального каталога. Для этого открываем Active Directory Sites and Services, разворачивает папку Sites, затем Default-First-Site-Name, затем Servers и, наконец, разворачиваем оба сервера.

Щёлкните правой кнопкой мышки по NTDS Settings для вашего старого сервера под управление Windows Server 2003, выберите Properties. Во вновь появившемся окне уберите галочку с пункта Global Catalog и нажмите ОК.

В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом.

Осталось проверить, что теперь роль FSMO запущена на Windows Server 2012 R2. Для этого в командной строке, открытой с правами Администратора запускаем команду netdom query fsmo

На этом миграция Active Directory завершена. На компьютере под управлением Windows Server 2003 запустите dcpromo (кстати, в Windows Server 2012 R2 dcpromo нет) для того, чтобы понизить роль компьютера с контроллера домена. Если после этого посмотреть на консоль Active Directory Users and Computers, вы увидите, что остался только один контроллер домена – под управлением Windows Server 2012 R2.

Надеюсь, что эта статья будем вам полезной!

Полезные ссылки

• Попробовать Azure бесплатно на 30 дней!
• Изучить курсы виртуальной академии Microsoft
  • Основы компьютерной безопасности
  • Основы построения доменной сети. Часть 2
  • Модернизация инфраструктуры организации с помощью Windows Server 2012 R2
  • Переход с VMware на Hyper-V
  • Основы построения доменной сети
  • Бизнес и облако: лучшие практики решений

• Скачать пробную версию Windows Server 2012 R2
• Загрузить бесплатную или пробную Visual Studio

 (Note: Have created few test Users, Groups and OUs to test the Migration process in Windows Server 2003 R2 [DC-2003-R2]).

Prerequisites

1- Raise Domain and Forest Functional level to Windows Server 2003 on Windows Server 2003 R2 Domain Controller.

2- Install Support Tools on Windows Server 2003 R2 from Windows Server 2003 R2 Installation Media.

After Installing ADDS & DNS, we will Raise Domain and Forest Functional level to Windows Server 2003 in (DC-200-R2).

And now we are going to our new Server (DC-2012-R2), to join it to the old Server (DC-2003-R2).

In (DC-2012-R2) we going to Server Manager to Install ADDS & DNS.

Click (Promote this Server to a domain controller).

Select (Add a domain controller to an existing domain), Next

The Domain Name System (DNS) Server and Global Catalog (GC) must be selected, then enter the Password for AD Restore Mode (DSRM)

Next

Next

Save the AD DS database, log files, SYSVOL in location

Next

Next  then Install



After installing ADDS on (DC-2012-R2), we need to transfer FSMO role from DC-2003-R2 to DC-2012-R2
On (DC-2012-R2)  open Command Prompt and run ( netdom query fsmo )

On (DC-2012-R2), open Active Directory Users and Computers Console and change RID, PDC & Infrastructure Operation Master from (DC-2003-R2) to (DC-2012-R2)

On (DC-2012-R2), open Active Directory Domain and Trusts Console and Change Domain Naming Operation Master from (DC-2003-R2) to (DC-2012-R2)

On (DC-2012-R2), we need to change Schema Master from (DC-2003-R2) to (DC-2012-R2), to change Schema Master register Schema Master Console from Command prompt.

Run ( regsvr32 schmmgmt.dll ) on Command prompt.

On (DC-2012-R2), Add Active Directory Schema Console from MMC and Change Schema Master from (DC-2003-R2) to (DC-2012-R2)

On (DC-2012-R2), open Active Directory Users and Computers Console and Verify that Active Directory database Replicated successfully to (DC-2012-R2).
(e.g. Users, OU’s and Groups etc.)
Active Directory database replication may take some time depend on the numbers of Objects in Active Directory.

Once you verify that Active Directory Users, OU’s, Groups, and Computers etc. replicated to (DC-2012-R2) successfully, then open Active Directory Sites and Services and remove (DC-2003-R2) from Global Catalog Server.

Now Verify that (DC-2012-R2) is running FSMO Role.
Run ( regsvr32 schmmgmt.dll ) on Command prompt.

Now Change the (Preferred DNS server)  in properties of you Ethernet from (DC-2003-R2) DNS to (127.0.0.1).

On (DC-2003-R2), Change (Preferred DNS server)  in properties of you Ethernet from IP Address of (DC-2003-R2) DNS to the IP Address of (DC-2012-R2)

In Addition, run ( dcpromo ) Command to demote (DC-2003-R2)

Then Restart your Computer.

On (DC-2012-R2), open Active Directory Users and Computers, the Raise Domain and Forest functional level to Windows Server 2008.

On (DC-2012-R2), open Active Directory Domain and Trusts, the Raise Domain and Forest functional level to Windows Server 2008.

Now the Migration is Complete, you can test it with join a Client to the Domain.

Одно из преимуществ перевода Active Directory с Windows Server 2003 на Windows Server 2012 R2 – доступ к новым командам Windows PowerShell. Для многих администраторов поиск и перемещение контроллеров домена с ролями хозяев единичной операции Flexible single-master operation (FSMO) в Windows Server 2003 с использованием командной строки – вечный источник неприятностей. К счастью, начиная с версии Server 2008 R2 этот процесс заметно упростился.Вы можете воспользоваться командами Get-ADForest, Get-ADDomain и Move-ADDirectoryServerOperationMasterRole с целевого контроллера домена Windows Server 2012 R2. Имейте в виду, что эти команды не удастся выполнить с контроллера домена Windows Server 2003.Задействовать эти команды можно следующим способом. Чтобы выяснить, на каком сервере в данный момент размещена каждая из ролей, примените следующие команды:

Get-ADForest windowsitpro.ocm | FT SchemaMaster
Get-ADForest windowsitpro.com | FT DomainNamingMaster
Get-ADDomain windowsitpro.com | FT PDCEmulator
Get-ADDomain windowsitpro.com | FT InfrastructureMaster
Get-ADDomain tailspintoys.com | FT RIDMaster

Можно использовать команду Move-ADDirectoryServerOperationMasterRole для перемещения этих ролей. Например, чтобы переместить роль хозяина схемы на сервер с именем SYDNEY-DC2, выполните следующую команду под учетной записью с правами администраторов предприятия и администраторов домена:

Move-ADDirectoryServerOperationMasterRole –Identity SYDNEY-DC2 –OperationMasterRole SchemaMaster

Если сервер, на котором размещен хозяин схемы (или другая роль FSMO), находится в автономном режиме, то можно применить параметр –Force для принудительного перемещения.

При перемещении ролей FSMO следует начать с переноса всех ролей в корневой домен леса из Server 2003 на узлы Server 2012 R2, прежде чем перемещать роли в дочерние домены леса. Помните, что роли хозяина схемы и хозяина именования доменов представляют собой роли уровня леса, а роли эмулятора основного контроллера домена, хозяина инфраструктуры и хозяина RID существуют для каждого домена.

Удаление устаревших контроллеров домена

После того, как вы добавили достаточное количество контроллеров домена Windows Server 2012 R2 к лесу Active Directory, перенесли роли FSMO, убедились, что все пользовательские разделы также размещены на контроллерах домена Server 2012 R2, и сделали пару контроллеров домена 2012 R2 серверами глобального каталога, можно избавиться от старых контроллеров домена Server 2003.

Самый простой способ это сделать — понизить уровень каждого контроллера домена Server 2003 до состояния рядового сервера, удалить его из домена, а затем пройти весь процесс списания, предусмотренный для компьютеров в вашей компании.

Понижение уровня контроллера домена Windows Server 2003 выполняется таким же способом, как и повышение. Скорее всего, прошло некоторое время с тех пор, когда вы последний раз повышали уровень рядового сервера Server 2003 до контроллера домена. В Windows Server 2012 R2 процедура полностью изменилась, поэтому следует запустить dcpromo.exe из командной строки с использованием учетной записи, которая является членом группы администраторов домена (Domain Admins) или администраторов предприятия (Enterprise Admins).

Процесс понижения уровня довольно прост, достаточно следовать указаниям мастера. После того, как будут удалены все контроллеры домена 2003 можно подумать о повышении рабочего уровня домена. Дополнительные сведения о понижении уровня контроллера домена Server 2003 можно найти в документе TechNet по адресу http://technet.microsoft.com/en-us/library/cc740017%28v=ws.10%29.aspx.

Перенос Windows Server 2003: обновление уровней работы домена и леса

После того, как из вашей среды будут удалены все контроллеры домена Windows Server 2003, можно обновить уровни работы домена и леса. Ключ к пониманию изменений в уровне работы в том, что ваши варианты зависят от операционных систем используемых контроллеров домена. Если в домене имеется несколько контроллеров Windows Server 2008, 2008 R2 или 2012, то вам не удастся повысить рабочий уровень до Windows Server 2012 R2, пока эти контроллеры не будут удалены.

Кроме того, если повысить уровень работы домена до Windows Server 2012 R2, этот рабочий уровень определит минимальную версию операционной системы всех будущих контроллеров домена. Другими словами, если имеется домен с уровнем работы Windows Server 2012 R2, то вам не удастся добавить в него контроллеры домена с операционными системами Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008.

Также следует помнить, что минимальный уровень работы домена определяет минимальный уровень работы леса. Если в лесу пять доменов и четыре из них работают с Windows Server 2012 R2, а один — с Windows Server 2008, то высшим уровнем работы леса будет Windows Server 2008. Вы не сможете повысить уровень работы леса до Windows Server 2012 R2, прежде чем измените уровень работы домена Windows Server 2008 до уровня работы Windows Server 2012 R2.

Оценка инфраструктуры DNS 2003 перед миграцией

Перед переходом от Server 2003 на Server 2012 R2 необходимо определить, какие серверы в вашей организации функционируют в качестве DNS-серверов. Кроме того, нужно выяснить, какие зоны DNS размещены на DNS-серверах, и понять природу этих зон. Интегрированная с Active Directory зона хранится в Active Directory. Обычная основная или дополнительная зона хранится в файле. Зоны-заглушки, которые просто содержат записи серверов имен, также могут храниться в Active Directory или в файле.

Развертывания службы DNS в Windows Server 2003 обычно имеют две формы: контроллеры домена работают и как сервер DNS или создаются автономные серверы DNS. Автономные серверы DNS будут настроены для размещения обычного основного или обычного дополнительного варианта зоны. На контроллерах домена также можно размещать обычные основные или обычные дополнительные варианты зоны.

Вы можете определить, хранится зона в Active Directory или в файле, с помощью следующей команды на сервере DNS:

Dnscmd /enumzones

Еще это можно сделать, проверив зоны в консоли диспетчера DNS. Преимущество использования dnscmd в том, что ее можно использовать для дистанционных запросов к DNS-серверам.

Следует также определить, настроены ли посредники запросов DNS и заданы ли дополнительные параметры, такие как циклическое обслуживание или расстановка по адресу, отличные от значений по умолчанию. Как правило, в большинстве компаний значения по умолчанию не изменяются, но полезно выполнить проверку на этапе оценки, иначе можно обнаружить, что вы пропустили важные настройки посреди процесса миграции.

Перевод службы имен доменов с Server 2003 на 2012 R2

Выше мы говорили об оценке инфраструктуры службы DNS. Миграция интегрированных с Active Directory зон DNS осуществляется достаточно просто. Прежде всего, нужно добавить контроллер домена с установленной на нем системой Server 2012 R2. Его необходимо настроить как сервер DNS. Позаботьтесь о том, чтобы соответствующая зона реплицировалась на новом контроллере домена. Если вы настроили зону таким образом, чтобы она реплицировалась в особом разделе, вам придется предварительно создать такой раздел на контроллере домена. Завершив установку интегрированных с Active Directory зон DNS на своих контроллерах доменов 2012 R2, вы можете приступать к мягкому выводу из эксплуатации серверов DNS, на которых эти зоны были размещены ранее.

Если вы выполняете миграцию стандартных основных зон, важно выполнить следующие действия: создать вспомогательную зону на сервере DNS, куда вы переходите, настроить репликацию с основной зоны на вспомогательную и после этого преобразовать вновь реплицированную вспомогательную зону так, чтобы она стала первичной. Тип зоны можно изменить через консоль диспетчера DNS или с помощью утилиты командной строки dnscmd.exe. После того, как вы преобразуете новую вспомогательную зону в первичную, вам придется либо продолжить преобразования и превратить изначальную первичную зону во вспомогательную, либо вывести из эксплуатации данный сервер DNS.

Windows Server 2003: что делать после переноса службы имен доменов

Итак, вы перевели все свои зоны с серверов DNS, функционирующих под управлением Windows Server 2003, на серверы DNS, работающие под Windows Server 2012 R2. И что же делать дальше?

Выполните следующие операции (их очередность особого значения не имеет):

• Выведите из эксплуатации серверы DNS, функционирующие под управлением Windows Server 2003. Если вы провели миграцию корректно, ни один из них не будет выполнять функции сервера основной зоны.
• Перенастройте области DHCP, используя адреса новых серверов DNS. Это задача несложная.
• Проведите перенастройку клиентов, у которых адреса серверов DNS определены статично. Возможно, это не так просто. Если специалисты вашей компании не отличаются особым прилежанием в деле документирования параметров настроек, вам, возможно, неизвестно, настройки DNS каких компьютеров заданы статически.

Дело осложняется тем, что настройки DNS статически назначаются не только компьютерам. Адреса серверов DNS статически назначаются и некоторым приложениям. Перед отключением таких приложений полезно удостовериться, что соответствующие серверы DNS не отвечают на запросы. Эту задачу можно решить посредством настройки процедуры регистрации и выяснения, проходят ли запросы по каналам связи. А можно подойти к вопросу, что называется, без затей: отключить компьютер и посмотреть, начнет ли кто-то из пользователей возмущаться.

Словом, определить, каким образом были настроены адреса серверов DNS, не всегда просто. Поэтому администраторы нередко назначают новому серверу DNS IP-адрес старого сервера DNS.

Сортировка рабочих нагрузок файловых серверов

Вероятно, скромный файловый сервер — самая распространенная роль сервера Windows. Необходимость иметь центр для обмена файлами между сотрудниками офиса отчасти была причиной для разработки сети Ethernet в компании Xerox PARC.

Если вы еще не приступили к миграции, то, скорее всего, среди ваших рабочих нагрузок больше всего файловых серверов с Windows Server 2003. В отличие от других рабочих нагрузок, файловые серверы, как правило, присутствуют во всех подразделениях компании. Это означает, что в рамках миграции необходимо предусмотреть меры для рабочих нагрузок, размещенных в удаленных офисах.

При сортировке рабочих нагрузок файловых серверов учитывайте следующие обстоятельства:

• Является ли файловый сервер частью развертывания службы DFS или автономного файлового сервера?
• Содержит ли файловый сервер только документы или используется для размещения таких рабочих нагрузок, как профили пользователей и домашние папки?
• Как настроены разрешения на доступ к общему ресурсу?
• Как настроены разрешения на уровне папок и файлов?
• Назначены ли квоты NTFS или диспетчера ресурсов файлового сервера?
• Действует ли фильтр блокировки файлов?
• Не проще ли выполнить миграцию, сохранив имя сервера, или новое имя файлового сервера приемлемо?
• Следует ли использовать файловые серверы для документов, или пришло время переходить на такое решение, как SharePoint?
• Хранятся ли на файловых серверах устаревшие данные, от которых лучше избавиться?

Если файловый сервер существует довольно давно, а регулярные чистки не проводились, то некоторые файлы наверняка перестали быть интересными пользователям уже много месяцев или лет назад. Порой оказывается, что вместо гигабайтов файлов достаточно перенести на новое место пару сотен мегабайт данных.

Новые возможности файловых серверов

Администраторы, сохранившие верность файловым серверам с Windows Server 2003, обычно плохо представляют себе достоинства новых версий операционной системы Windows Server.

Перечислим наиболее важные из них:

• Дедупликация. Данная функция появилась в операционной системе Windows Server 2012. В дедупликации используется метод фрагментирования (chunking), при котором операционная система определяет и дедуплицирует наборы идентичных блоков данных. Это может обеспечить значительную экономию места в традиционных сценариях использования файловых серверов.
• Динамический контроль доступа. Вместо того чтобы назначать разрешения для папок и файлов вручную, разрешения назначаются динамически на основе свойств файлов или папок. Например, благодаря динамическому контролю доступа можно автоматически назначать разрешения на основе ключевых слов, содержащихся в документе. Для компаний с десятками, если не сотнями тысяч файлов, динамический контроль доступа более эффективен, чем вручную назначаемые разрешения.
• Репликация DFS. Если в компании используется распределенная файловая система (DFS), то механизм репликации, доступный в более новых версиях операционной системы, лучше применявшегося в Windows Server 2003. Среди улучшений в Windows Server 2012 R2 — создание клонов базы данных для реплик, предшествующих заданию начальных значений, и возможность восстановления файлов.
• Диспетчер ресурсов файлового сервера (FSRM). FSRM стал новшеством Windows Server 2003 R2, это одна из функций, о которых многие администраторы просто не знают. С помощью FSRM можно применять жесткие и мягкие квоты для папок, решать задачи управления папками, в частности, идентифицируя и перемещая файлы, к которым не было обращений в течение определенного времени, и формировать отчеты на основе характеристик файлов (возраст, размер, частота обращений и другое).

Миграция рабочих нагрузок файлового сервера Server 2003

Для переноса рабочей нагрузки файлового сервера Server 2003 на Server 2012 R2 недостаточно просто скопировать файлы с компьютера Server 2003 на компьютер Server 2012 R2. Как отмечалось выше, необходимо помнить о:

• разрешениях для общего ресурса;
• разрешениях для файлов и папок;
• квотах;
• фильтрах блокировки файлов.

В зависимости от ваших настроек и способов использования файлов может потребоваться даже учесть такие факторы, как аудит, дедупликация, сжатие файлов и папок и шифрование EFS.

Существует по крайней мере два метода копирования файлов и папок с исходного компьютера на целевой компьютер.

• Использовать приложение резервного копирования для архивации структуры папок с последующим восстановлением структуры папок на целевом компьютере. Это обеспечит сохранение разрешений для файлов и папок. В общем случае разрешения для общих ресурсов при этом не сохраняются.
• Использовать такую программу, как robocopy.exe с параметром /copyall. В результате будут скопированы не только файлы, но и атрибуты, временные метки, разрешения безопасности, информация о владельце и аудите. Перед копированием убедитесь, что том назначения имеет формат NTFS.

Немного сложнее обстоит дело с разрешениями для общего ресурса. Процедура экспорта описана в статье базы знаний 125996 (http://support.microsoft.com/kb/125996). В сущности, это позволяет убедиться, что путь исходной папки и путь папки назначения одинаковы. Затем выполняется следующая команда на исходном сервере для экспорта имен, путей и параметров безопасности общего ресурса:

reg export HKLMSYSTEMCurrentControlSetServicesLanmanServerShares c:share-permissions.reg

Далее выполняется импорт разрешений с помощью команды:

reg import share-permissions.reg

Если требуется изменить настройки папок расположения общих ресурсов в сценариях и домашних каталогах, можно настроить новый Server 2012 R2 с таким же именем, как у исходного сервера 2003. Дополнительные сведения о переводе файловых серверов с Server 2003 на Server 2012 R2 можно получить по следующей ссылке: http://blogs.technet.com/b/josebda/archive/2014/11/05/migrating-file-server-from-windows-server-2003-to-windows-server-2012-r2.aspx

IPAM.doc

Что такое IPAM

При планировании перевода инфраструктуры сети на версию Windows Server 2012 R2 вам, помимо прочего, придется рассмотреть возможность применения механизма централизованного управления протоколом DHCP средствами IPAM.

IPAM (IP Address Management, управление IP-адресами) — это функция, впервые реализованная в системе Windows Server 2012. Она позволяет осуществлять централизованное управление серверами DHCP. С помощью этой технологии вы можете просматривать итоговую информацию по областям, включая сведения об использовании адресов, глобальном изменении параметров, переносить области с одного сервера DHCP на другие и следить за тем, какие компьютеры и какие пользователи сдают в аренду те или иные адреса в определенный момент времени.

При переводе инфраструктуры DHCP из среды Windows Server 2003 в среду Windows Server 2012 R2 следует внимательно рассмотреть возможность использования IPAM в целях повышения эффективности управления серверами DHCP. В прошлом, когда в разговорах с разными специалистами я затрагивал вопрос об управлении серверами DHCP, мои собеседники, как правило, признавали, что используют решения, специально подобранные для того или иного случая. При этом электронные таблицы Excel применяются в качестве средства централизованного управления IP-адресами чаще, чем любое решение, созданное для этой цели.

Недостаток IPAM состоит в том, что даже после внесения изменений в версию Windows Server 2012 R2 это средство в отношении своих функциональных возможностей не достигло того уровня зрелости, который устроил бы большинство администраторов. Со своей задачей IPAM справляется, но в следующей версии Windows этот продукт, вероятнее всего, станет еще лучше (к тому же позволит администраторам централизованно управлять всеми DNS-серверами организации). С установкой IPAM вам, возможно, придется немного повозиться, и здесь надо отметить, что многие специалисты, пытавшиеся решить проблему данным способом, приходили к выводу, что заставить существующую инфраструктуру серверов DHCP взаимодействовать с этим продуктом слишком сложно, — и оставляли свои попытки. Если же вам предстоит осуществить переход на новые серверы DHCP, все будет проще.

Требования к серверам DHCP, управляемым с помощью IPAM

Выше мы рассмотрели технологию IPAM, которая позволяет централизованно управлять эксплуатируемым в организации сервером DHCP. Однако IPAM может применяться не только для управления серверами DHCP, функционирующими под управлением систем Windows Server 2012 и Windows Server 2012 R2.

Эту технологию можно использовать и для управления серверами DHCP Windows Server 2008 R2 и предыдущих версий. Таким образом, хотя возможность управления серверами DHCP версии 2003 до установки на них новой редакции операционной системы не предусмотрена, если вы перевели серверы DHCP на версию Windows Server 2008 R2, то можете воспользоваться преимуществами технологии IPAM, не отказываясь от этой платформы.

Разумеется, на самом сервере IPAM должна быть установлена Windows Server 2012, Windows Server 2012 R2 или Windows Server vNext, и вам придется в конечном итоге обновлять упомянутые серверы Windows Server 2008 R2. Но на момент написания данной статьи больший интерес вызывают серверы, работающие под управлением системы Server 2003. У нас будет возможность подумать об отказе от использования системы Server 2008 R2, когда до дня прекращения поддержки этого продукта производителем останется всего несколько месяцев.

Сценарии регистрации, предпочтения групповых политик и переход с системы Server 2003

Предпочтения групповых политик Group Policy Preferences — группа технологий, ставших достоянием потребителей с выходом системы Windows Server 2008. Одна из проблем администраторов, все еще эксплуатирующих систему Windows Server 2003 и переходящих на Windows Server 2012 R2, состоит в том, что почти все материалы, привлекающие внимание пользователей интернета в 2015 году, посвящены особенностям версии Windows Server 2012 R2. А ведь имеется ряд любопытных технологий, впервые примененных в версиях Windows Server 2008 и Windows Server 2008 R2 и до сих пор сохранившихся в операционной системе. Но за последние 7 лет эти технологии почти не претерпели изменений, и потому о них больше не пишут.

Сценарии регистрации — проклятие для многих администраторов, отчасти потому, что эти сценарии обычно развиваются методом приращений. В новых обстоятельствах администраторы не хотят переписывать их с самого начала, а стараются «достраивать» такие сценарии по мере необходимости — каждый раз применительно к конкретному случаю. Мне доводилось видеть необычайно длинные сценарии регистрации, предназначенные для выполнения вполне стандартных задач. Администраторы, унаследовавшие их от своих предшественников, ограничиваются «навешиванием» на старый продукт дополнительных фрагментов, вместо того чтобы копать глубже и разбираться в логике процесса, что стало бы предварительным этапом процесса написания сценария, что называется, «с чистого листа».

Идея разработчиков предпочтений групповых политик сводится к тому, чтобы использовать групповые политики для решения задач, традиционно выполнявшихся с помощью сценариев регистрации. Речь идет о таких задачах, как отображение сетевых накопителей, настройка соединений принтеров, конфигурация реестра, а также конфигурация системы локальных файлов. Предпочтения групповых политик не обеспечивают решение всех проблем, с которыми может справиться сценарий регистрации, но они наделены многими функциональными возможностями, характерными для таких сценариев.

В следующей статье я подробно расскажу о том, чего можно добиться с помощью предпочтений групповых политик и почему стоит рассмотреть возможность их использования вместо сценариев регистрации, когда вы завершите процесс перехода с системы Windows Server 2003.

Миграцию или перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.

Для начала необходимо выполнить настройку на контроллере домена с ОС Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003., если нет, то меняем.
Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust (Домены и доверия), нажать правой кнопкой по домену, выбрать Raise Domain Functional Level и Raise Forest Functional Level соответственно. Далее нажать кнопку Raise и Ок.
В обоих случаях режим работы должен быть установлен на Windows Server 2003.

Следующим шагом нам нужно добавить к нашей сети второй контроллер домена под управлением Windows Server 2012 R2. Для этого на сервер с Windows Server 2012 R2 устанавливаем роль Active Directory Domain Services.




После установки добавим новый контроллер домена к существующему домену. Нажимаем на подсказку (восклицательный знак) и переходим к мастеру.

Для этого нам нужно будет использовать учетную запись, которая входит в группу Enterprise Admins и обладает соответствующими правами на старом контроллере домена под управлением windows server 2003.

В процессе нужно указать, будет ли этот сервер выполнять роль DNS сервера и глобального каталога (Global Catalog – GC). В нашем случае, да будет.

На экране Additional Options нужно указать с какого контроллера домена будет выполнена репликация на существующий. Нужно выбрать контроллер домена под управлением Windows Server 2003.

Для развертывания домена необходимо выполнить подготовку леса, домена и схемы. Если ранее для этого обязательно нужно было запустить команду adprep (причем сделать это надо было до начала конфигурации домена), то теперь эту задачу берет на себя сам мастер конфигурации ADDS, и подготовка выполняется в автоматическом режиме.
После проверки дополнительных требований, можно нажать кнопку «Установить».

Ожидаем завершения установки и перезагрузить сервер. В результате получаем контроллер домена на базе свежей ОС Windows Server 2012 R2.
Теперь в Active Directory Users and Computers можно увидеть, что в сети имеется два действующих контроллера домена.

Мы прошли предварительную подготовку, далее переходим непосредственно к переносу Active Directory. Выполнять необходимые манипуляции будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:
Перенос роли FSMO (Flexible Single Master Operations)
Изменение контроллера домена Active Directory
Изменение Мастера схемы (Schema Master)
Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)

1. Перенос роли FSMO (Flexible Single Master Operations)

Для того, чтобы перенести роль FSMO, открываем оснастку Active Directory Users and Computers, щёлкаем правой кнопкой мышки по нашему домену и в появившемся подменю выбираем Operations Masters.

Нам нужно перенести роль хозяина операций. Для этого на каждой вкладке во вновь появившемся окне нажимаем кнопку Change и переносим роль с 2003 сервера на сервер под управлением 2012 R2.
Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:

2. Изменение контроллера домена Active Directory

Приступаем к смене первичного контроллера домена. Открываем консоль Active Directory Domains and Trusts, щёлкаем правой кнопкой мышки по лесу и выбираем пункт Change Active Directory Domain Controller.
В новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2.

Далее нажимаем правой кнопкой мышки по лесу и выбираем пункт Operations Master.
Нажав кнопку Change, мы перенесем роль хозяина операций именования домена.

3. Изменение Мастера схемы (Schema Master)

Переназначаем мастера схемы (Schema Master). В командной строке с правами Администратора и вводим команду regsvr32 schmmgmt.dll. С помощью данной команды выполняется регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.

Далее запускаем консоль MMC (Win+R, mmc) и добавить оснастку Active Directory Schema (для этого выберите File > Add/Remove Snap-in).

В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. В новом окне выберите пункт This Domain Controller or AD LDS instance и выберите сервер под управлением Windows Server 2012 R2 и нажмите ОК.

Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Игнорируем предупреждение и нажмите ОК для продолжения.

В этом же окне, нажимаем правой кнопкой мышки по лесу и выбираем пункт Operations Master. Нажимаем кнопку Change, для переноса роли хозяина схемы.

Закрываем MMC консоль и открываем оснастку Active Directory Users and Computers, для того чтобы убедиться, что данные успешно синхронизированы на новый сервер под управлением Windows Server 2012 R2. Учтите, что может потребоваться дополнительное время, в зависимости от количества объектов в активном каталоге.

4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)

Для удаления контроллер домена под управлением Windows Server 2003 из глобального каталога, открываем Active Directory Sites and Services, разворачивает папку Sites, далее Default-First-Site-Name, затем Servers, разворачиваем оба сервера.

Нажимаем правой кнопкой по NTDS Settings для вашего старого сервера Windows Server 2003, выбираем Properties (Свойства) и в появившемся окне убираем галочку с пункта Global Catalog (Глобальный каталог) и нажимаем ОК.

В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом.

Проверяем, что на данный момент роль FSMO уже запущена на Windows Server 2012 R2. Для этого в командной строке (Win+R), открытой с правами Администратора запускаем команду netdom query fsmo

На этом миграция Windows Server 2003 на Windows Server 2012 R2 завершена. На сервере под управлением Windows Server 2003 запустите dcpromo для того, чтобы понизить роль сервера с контроллера домена на сервер член домена и далее вывести его с эксплуатации (при необходимости). Не забудьте повысить функциональный уровень нового контроллера домена и развернуть вторичный (дублирующий) контроллер домена. Как это сделать, показано в следующей статье.

This blog post comes as a part of broader case study about migrating server infrastructure from Windows Server 2003 and Windows Server 2008 to Windows Server 2012, including the operating systems, core network services like DNS, DHCP, but also Active Directory Services, etc. It is kind of tutorial blended with my personal review during the process.

This post particularly covers adding a Windows Server 2012 R2 domain controller in existing Windows 2003 network. It can help System Administrators in small-to-medium businesses to successfully migrate, step by step, their Active Directory Services from Windows Server 2003 to a Windows Server 2012 R2.

It is a real scenario happening in a production environment and below are the steps that were undertaken during the entire process. Screenshots are blurred on parts where the real names of the servers appear, for objective reasons. I will be using synonyms.

How this post is organized:

Part 1: Pre-checks on Windows Server 2003

• Server full backup
• Prerequisites
• Checking the health of the domain controller and domain in general
• Tools for troubleshooting Active Directory

Part 2: Pre-checks on Windows Server 2012 R2

• Setting up correct network configuration
• Patching the OS with latest Windows updates
• Initiating the wizard for adding the new domain controller

Part 3: Post-installation steps

• Changes in DHCP server
• Installing AV protection and System management software

The synonym for my Windows Server 2003 R2 name will be “server A”. The synonym for my Windows Server 2012 R2 name will be “server D”

Let’s get started.

PART 1: Pre-checks on Windows Server 2003

The Windows Server 2003 R2, or server A, is a server which holds multiple roles like: Domain Controller (Active Directory), DNS Server, DHCP Server, IAS (Internet Authentication Server or RADIUS), File Server, and Print Server. This is a typical setup in small and small-to-medium sized enterprises.

Server full backup

Recommendation: Do a full system backup before you start the procedure. If there is a disaster recovery procedure in place, even better.

Prerequisites

According to official documentation I found in Microsoft directories about Upgrading DCs to Windows Server 2012 and Understanding AD DS Functional Levels, in order to configure Windows Server 2012 Domain Controller within Windows Server 2003 network you must ensure that Domain Functional Level and Forest Functional Level are at least in Windows 2003 mode.

Those functional levels can be easily checked by opening Active Directory Users and Computers. Right click on the domain and choose Properties:

First thing would be raising the domain functional level. Using the previously opened console, right click your domain name and choose “Raise Domain Functional Level”. In Select an available domain functional level, choose Windows Server 2003 and then click the Raise button. This is one time action and it is irreversible.

In my case, this is one and only DC in the domain (no earlier generations like Windows 2000 domain or NT), so there wasn’t a reason why not to proceed.

If you do this in your domain and everything goes OK you should see a confirmation message:

This change can be noticed if you go back in the Domain Properties:

Next step is raising the Forest functional level. For this purpose, open Active Directory Domains and Trusts Console which can be found in Start menu > Administrative tools:

Right click the node “Active Directory Domains and Trusts” and choose “Raise Forest Functional Level…”. In the following window, from “Select an available forest functional level” choose Windows Server 2003 and then click the Raise button.

This is also one time action and it is irreversible.

Message for successful raise followed:

If you need to prove yourself that this operation passed successfully you can check the Properties of the domain once again:

Tip: These changes are also written in the Windows Event Viewer, specifically in Directory Service log. The Event ID for raising domain functional level is 2039 and for raising forest functional level is 2040.

Checking the health of the domain controller and domain in general

In network with multiple domain controllers next step would be to verify which DC holds each of the FSMO roles and how do they replicate between each other. Also, performing a thorough Domain Controller health-check and ensuring their availability is crucial for a successful transition.

Check which DC holds FSMO roles by opening the command prompt and running the following command:

C:Program FilesSupport Toolsnetdom query fsmo

Netdom is located in the Support Tools package which by default is not installed on your Windows Server 2003. You may download it from here.

Since in my environment there was only one DC, the result was expected and it was the Server A:

Finally the last step before Active Directory preparation for the first Windows Server 2012 R2 domain controller, is checking the health of the domain.

By executing the dcdiag command from the Support Tools, a lots of tests will be executed against your existing DC. Make sure all of them complete with a status “PASS”.

In my case I noticed certain problems with the systemlog test. After googling the errors that showed up I realized that the systemlog test reads out most recent logs from the System log in the Windows Event Viewer. I opened the Event Viewer and I saw errors related to failed user authentication in IAS (Internet Authentication Service) which wasn’t a server-side problem, but a user in my domain that was continuously typing a wrong password. Then I continued to scroll backward and didn’t notice some significant problems.

Regarding this issue I found recommendations on Internet forums that you should delete the System log and start dcdiag over again, but I didn’t want to lose the events in System log because I was assured that everything is fine.

For even more detailed health check, you may consider to execute following command:

Dcdiag /e /c /v

Especially after this command, make sure you see six PASSes in the result:

If you want to test only DNS, run this command:

dcdiag /test:dns

To check if DCs are replicating data correctly run the repadmin command:

Repadmin /showrepl /all /verbose

Tools for troubleshooting Active Directory

If you are doing these tests against your domain and some of them didn’t pass, you will have to check and fix all errors. Here are couple of useful links where to start from:

Tools for troubleshooting Active Directory

Diagnosing and troubleshooting Active Directory problems

Top 5 free Microsoft tools for Active Directory Health

Active Directory Replication Status Tool. Read the TechNet blog how this works.

My domain passed all the tests, so it was ready to accept first Windows Server 2012 R2 domain controller in Windows Server 2003 network.

Part 2: Pre-checks on Windows Server 2012 R2

Now, we will switch to the new box installed with Windows Server 2012 R2.

Patching the OS with latest Windows updates

After the initial OS installation, setting the RAID array and logical partitions – I installed most recent Windows updates and patches available at the moment.

Setting up correct network configuration

Next is setting the fixed values for IP address, subnet mask, default gateway and DNS server. If your server obtained these network settings from DHCP during the initial installation, now it is time to go to Network and Sharing Center and set fixed values for them since it is very important to properly configure Network Card settings for successful promotion of your new Windows 2012 Server as domain controller.

Pay attention to properly set up DNS on the new server. You should point your new Windows Server 2012 to one of the existing Domain Controllers with installed and configured DNS.

In my case, in the network card settings as DNS server for Server D, I set the IP address of Server A – since Server A is the only one DNS server.

Important: Ensure you login with an account that is member of Enterprise Admins group. The best is to use Enterprise Administrator account.

Initiating the wizard for adding the new domain controller

Promotion of a new domain controller starts in the new Server Manager console (dcpromo command is discontinued in Windows Server 2012).

Open the Server Manager Console and click on “Add roles and features”

Select the option Role-based or feature-based installation

In the next window, from the Server Pool choose the server on which to install roles and features. In my case, only Server D was available:

Then, select Active Directory Domain Services:

Accept the default features by clicking Add features:

Ensure that the required role “Active Directory Domain Services” is ticked and then click Next:

On next window “Select features” just click Next. There isn’t necessary to add additional features at this step.

On next window read the information about Active Directory Domain Services, then click Next:

On next window “Confirm installation selections” click Install (it is not necessary to tick the option for Restart):

Installation has started:

The installation has completed successfully:

You can start DC promotion either by clicking “Promote this server to a domain controller” or by clicking Close and starting it from the Dashboard. I chose the second option.

In the header section of the Dashboard you will notice an exclamation mark which notifies that post-installation steps are required:

The wizards has just started and on the next window select the option Add a domain controller to an existing domain. In the “Specify the domain information for this operation” section, click Select button and choose your domain:

In the “Supply the credentials to perform this operation” section, click Change and make sure you provide the Enterprise Administrator credentials in the following format administrator@your_FQDN:

Click OK, then Next.

Next window was just a warning in case I would want to install a Read-Only Domain Controller (RODC). So, minimum requirement to install Windows Server 2012 R2 as RODC is to have a domain controller running Windows Server 2008 or later.

In my case, I was adding the first fully functional Windows Server 2012 domain controller in Windows 2003 network, so I just safely skipped this warning.

Just ensure that both options for Domain Name System (DNS) Server and Global Catalog (GC) are ticked. Then, select the Site name where this DC will belong and type the Directory Services Restore mode password:

Click Next.

Read the warning, click OK and then Next (this server is not DNS server yet).

In Additional Options window, you have option to specify the location where the new DC should replicate from:

Click Next.

On Paths window, leave the default locations and click Next

In this step the Wizard informs you that it will perform Forest/Schema and Domain preparation. Click Next.

Next window is summary where you can review all the steps that will be performed

Optionally, you may click View script button to see the powershell script that will be executed in the background. Click Next.

Prerequisites check starts. If everything is fine you should see a green check-mark:

Click Install. The wizard started the process of: upgrading the forest, DNS installation, configuring the local computer to host Active Directory Domain Services, Replicating the configuration directory partition, setting the computer’s DNS computer name root to match the FQDN, etc.

At the end, after the installation is over, the wizard restarts the server. It may take a while.

PART 3: Post installation steps

Changes in DHCP server

Depending on the size and complexity of your existing Active Directory it may take some time before all data is replicated. After all Active Directory objects are fully replicated to the new Windows Server 2012 R2 domain controller, as well as DNS entries – it is time to update all servers and workstations to point to this new secondary DNS server.

As for servers, you will need to do it manually.

As for workstations, go to your DHCP server, open DHCP Management Console, then in each DHCP scope open Scope Options. Find option 006 DNS Servers and type the name of your new DC, then click Resolve. After the name is resolved in IP address, click Add and then OK. If you have several DHCP scopes, repeat this procedure.

Installing AV protection and System management software

After all, install appropriate security protection on the server and system management software recommended by the vendor.

Hi all,

I have read through a lots of online tutorials / guides regarding adding win 2012 R2 to Win 2003 domain before we start.

unfortunately this is not an easy task in our environment. when it gets to ADPREP check, it shows «The RPC server is unavailable.» error.

— Existing DC is running on 2003 R2, Domain functional level is on 2003.

— Domain firewall is off.

— Existing DC 1 has got Exchange 2007 on it. (2003R2 -64 bit)

— Existing DC 2 as file server. (2003R2 -64 bit)

Any thoughts?

thanks

Gary

error log:

————————————————————————-

———————————————————————————————-

Hi all,

I have read through a lots of online tutorials / guides regarding adding win 2012 R2 to Win 2003 domain before we start.

unfortunately this is not an easy task in our environment. when it gets to ADPREP check, it shows «The RPC server is unavailable.» error.

— Existing DC is running on 2003 R2, Domain functional level is on 2003.

— Domain firewall is off.

— Existing DC 1 has got Exchange 2007 on it. (2003R2 -64 bit)

— Existing DC 2 as file server. (2003R2 -64 bit)

Any thoughts?

thanks

Gary

error log:

————————————————————————-

———————————————————————————————-

Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003

Заходим в Windows Server 2003 под учетной записью из группы локальных администраторов.
Выбираем Start – Administrative Tools – Certificate Authority

Щелкаем правой кнопкой мыши по узлу сервера. Выбираем All Tasks, затем Back up CA

Откроется “Certification Authority Backup Wizard” и нажимаем “Next” для продолжения.

В следующем окне выбираете те пункты, которые подсвечены, чтобы указать нужные настройки и нажмите “Browse” для того, чтобы указать место сохранения резервной копии. Нажмите “Next” для продолжения.

Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите “Next”.

В следующем окне будет запрошено подтверждение. Если все в порядке – нажмите “Finish” для завершения процесса.

Шаг 2. Резервирование параметров реестра центра сертификации

Нажмите Start, затем Run. Напечатайте regedit и нажмите ОК.

Затем откройте HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc
Щелкните правой кнопкой мыши по ключу “Configuration” и выберите “Export”

В следующем окне укажите путь, по которому вы хотите сохранить резервный файл и укажите его имя. Затем нажмите “Save”, чтобы закончить резервирование.

Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2.

Шаг 3. Удаление службы центра сертификации с Windows Server 2003

Теперь, когда готовы резервные файлы и прежде, чем настроить службы сертификации на новом Windows Server 2012 R2, мы можем удалить службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.
Щёлкаем Start > Control Panel > Add or Remove Programs

Затем выбираем “Add/Remove Windows Components”

В следующем окне уберите галочку с пункта “Certificate Services” и нажмите “Next” для продолжения

После завершения процесса, вы увидите подтверждение и можете нажать “Finish”

На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центра сертификации на Windows Server 2012 R2.

Шаг 4. Установка служб сертификации на Windows Server 2012 R2

Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, или локального администратора.
Перейдите в Server Manager > Add roles and features.

Запустится “Add roles and features”, нажмите “Next” для продолжения.
В следующем окне выберите “Role-based or Feature-based installation”, нажмите “Next” для продолжения.
Из списка доступных серверов выберите ваш, и нажмите “Next” для продолжения.
В следующем окне выберите роль “Active Directory Certificate Services”, установите все сопутсвующие компоненты и нажмите “Next”.

В следующих двух окнах нажимайте “Next”. После этого вы увидите варианты выбора служб для установки. Мы выбираем Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

Для установки Certification Authority Web Enrollment необходимо установить IIS. Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите “Next”.
Далее вы увидите окно подтверждения. Если все в порядке, нажмите “Install” для того, чтобы начать процесс установки.

После того, как установка завершена, вы можете закрывать мастер установки и переходить к следующему шагу.

Шаг 5. Настройка AD CS

В этом шаге мы рассмотрим как настроить и восстановить те файлы резервирования, которые мы создали.
Зайдите на сервере с правами Enterprise Administrator
Перейдите в Server Manager > AD CS

C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите “More”

Откроется окно, в котором вам нужно нажать “Configure Active Directory Certification Service…”

Откроется окно мастера настройки роли, в котором появится возможность изменить учетную запись. Т.к. мы уже вошли в систему с учетной записью Enterprise Administrator, то мы оставим то, что указано по умолчанию и нажмем “Next”

В следующем окне спросят, каким службы мы хотим настроить. Выберите Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

Это будет Enterprise CA, поэтому в следующем окне выберите в качестве типа установки Enterprise CA и нажмите “Next” для продолжения.

В следующем окне выберите “Root CA” в качестве типа CA и нажмите “Next” для продолжения.

Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс миграции, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выберите вариант, который отмечен на скриншоте и нажмите “Next” для продолжения.

В следующем окне нажмите кнопку “Import”.

Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, который мы использовали. Затем нажимаем OK.

Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем “Next” для продолжения.

В следующем окне мы можем определить путь к базе данных сертификата. Я оставил то, что указано по умолчанию и нажимаю “Next” для продолжения.

В следующем окне будет предоставлена вся информация для настройки. Если все нормально, то нажимаем “Configuration” для запуска процесса.

После того, как процесс завершен, закрываем мастера конфигурации.

Шаг 6. Восстановление зарезервированного CA

Теперь мы переходим к наиболее важной части всего процесса миграции, в которой мы восстановим зарезервированный в Windows Server 2003 CA.
Открываем Server Manager > Tools > Certification Authority

Щелкаете правой кнопкой мыши по имени сервера и выбираете All Tasks > Restore CA

Далее появится предупреждение о том, что служба сертификатов должна быть установлена для продолжения. Нажмите ОК.

Запустится Certification Authority Restore Wizard, нажмите “Next” для продолжения.
В следующем окне укажите путь к папке, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите “Next” для продолжения.

В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода, нажмите “Next” для продолжения.

В следующем окне нажмите “Finish” для завершения процесса импорта.
После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.

Шаг 7. Восстановление информации в реестре

Во время создания резервной копии CA мы также создали резервную копию ключа реестра. Теперь нужно ее восстановить. Для этого откройте папку, которая содержит зарезервированный ключ реестра. Щелкните по нему дважды левой кнопкой мыши.
Появится предупреждающее окно. Нажмите “Yes” для восстановления ключа реестра.

По окончании вы получите подтверждение об успешном восстановлении.

Шаг 8. Перевыпуск шаблона сертификата

Мы завершили процесс миграции, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался “PC Certificate”, с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.
Открывает консоль Certification Authority
Щелкаем правой кнопкой мышки по Certificate Templates Folder > New > Certificate Template to Reissue.

Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК.

Шаг 9. Тестируем CA

Теперь, когда шаблон сертификата установлен на компьютер, его нужно установить на автоматический режим. Для проверки я установил компьютер с операционной системой Windows 8.1, назвал его demo1 и добавил в домен canitpro.local. После его первой загрузки, на сервере я открываю консоль центра сертификации и разворачиваю раздел “Issued Certificate”. Там я могу увидеть новый сертификат, который выпущен для компьютера.

На этом процесс миграции успешно завершен.

Введение в окружающую среду:

Сначала объясните мою среду, две виртуальные машины (одну Windows Server 2003 и одну Windows Server 2012 R2).Доменное имяcontoso.com。

1. Сначала добавьте Win2012 в домен Contoso.com.

2、 win2012После перезагрузки домена установите ADСвязанныйРоль (поскольку команда dcpromo для повышения рядовых серверов до контроллеров домена устарела в 2012 году, вам необходимо вручную установить соответствующие компоненты)

3. Подождите несколько минут и дождитесь завершения установки компонентов, связанных с AD.

4、После нескольких минут ожидания соответствующие компоненты AD были установлены. Затем мы собираемся расширить AD. Обратите внимание, что win2003 — это 32-разрядная система, и 64-разрядные команды не могут использоваться для выполнения команд расширения домена, поэтому я установил Windows Server Загрузите компакт-диск 2012 на сервер Win2012 и используйте команду для поиска каталога adprep, измените командную строку на каталог support / adprep диска D и обновите архитектуру леса схемы AD 2003;

Введите adprep.exe / forestprep (запускается в Win2012).

5. Согласно изображению вышеПодскажите, нам нужно убедиться, что функциональный уровень леса и домена равен как минимум Windows Server 2003 или новее, поэтому мы переключаемся на сервер win2003, чтобы обновить архитектуру леса и домена. В рекламном домене и доверительных отношениях щелкните правой кнопкой мыши имя домена и поднимите уровень функции домена до режима Windows Server 2003.

6. Войдите в Win2003, откройте домен Active Directory и доверительные отношения,вДомен Active Directory и доверительные отношенияЩелкните правой кнопкой мыши и выберите повышение функционального уровня леса до windows server2003.

7、Вернитесь к win2012, продолжайте расширять лесную архитектуруadprep.exe /forestprep,Нажмите C, чтобы продолжить, и дождитесь завершения расширения.

8、Обновление архитектуры домена схемы AD 2003; adprep.exe / domainprep (запускается в Win2012)

9、Обновить разрешения объекта групповой политики; adprep.exe / domainprep / gpprep(Работает на Win2012)

10、Обновление поддержки AD для контроллера домена только для чтения RODC; adprep.exe / rodcprep(Работает на Win2012)

11、На данный момент архитектура леса и домена AD была успешно обновлена,следующийWin2012Повысьте уровень контроллера домена, продолжите предыдущие шаги, щелкните, чтобы повысить уровень этого сервера до контроллера домена.

12、На странице конфигурации развертывания мы видим текущий серверFQDNИ текущее доменное имя и текущий пользователь. Если вам нужно изменить, просто нажмите, чтобы внести изменения после соответствующего элемента. Мы оставляем здесь значение по умолчанию, нажмите Далее, чтобы продолжить.

13、На следующем шаге мы увидим предупреждающее сообщение, нажмите, чтобы просмотреть подробную информацию, с запросом, если вам нужно развернуть контроллер домена только для чтения.windows server 2008、2008R2или2012Контроллер домена, поскольку мы устанавливаем дополнительный контроллер домена, а не отдельный контроллер домена только для чтения, поэтому это предупреждение можно проигнорировать.

14、Затем снова появляется предупреждающее сообщение, невозможно создатьDNSДелегирование сервера, поскольку текущий сервер не установленDNSВ результате автоматическая установка будет проверена в последующих действиях и перейдет к следующему шагу.

15、Укажите, с какого контроллера домена копировать информацию. В текущей среде есть только одинWin2003 Контроллер домена, вы можете выбратьwin2003, Или оставьте значение по умолчанию—-Установка с любого контроллера домена, здесь я сохраняю значение по умолчанию, следующий шаг, продолжить.

16、Место хранения базы данных и других папок, значение по умолчанию, следующий шаг.

17、Покажите все настройки параметров, убедитесь, что они верны, и нажмите «Далее», чтобы продолжить.

18、Все условия проверки выполнены, нажмите Установить.

19、После установки компьютер автоматически перезагрузится.

20, перезапускwin2012После открытияADПользователь и компьютер, щелкните правой кнопкой мышиcontoso.com, Ведущий операции.

21、В очередиRID、PDCИ инфраструктура изменена. (Если вы не можете его изменить, вы можете использовать команду для вытеснения. Конкретные шаги можно найти в моем блоге)

22、Откройте домен и доверительные отношения, щелкните правой кнопкой мыши—Ведущий операции.

23、Внесите изменения в мастер именования доменов, нажмите на изменение, мастер именования домена плавно изменится сwin2003Переключился наwin2012На сервере.

24、вwin2012На сервере щелкните, чтобы начать работу (Примечание: я даюwin2012Сервер установил плагин меню Пуск) или непосредственно вызовите инструмент командной строки, введите:regsvr32 schmmgmt.dll。

25、Введите в окно запускаmmc, Вызовите инструмент управления консолью, щелкните файл—Добавить удалить оснастку, добавитьADАрхитектура.

26、Щелкните правой кнопкой мыши—-ADАрхитектура, выберите измененияADКонтроллер домена.

27、Выбратьwin2012Сервер, нажмите ОК, текущий подключенный сервер каталоговwin2003Вносить изменения.

28、Продолжайте выбиратьADАрхитектура, мы заметили, что теперь она подключена кwin2012Сервер включен, щелкните хост операции.

29、Нажмите кнопку «Изменить», чтобы изменить мастер схемы сwin2003Перемещенный вwin2012сервер.

30、включитьADСайты и сервисы, выберитеwin2003,Отменаwin2003Функция глобального каталога сервера, потому что наша конечная цель — поставитьwin2003Сервер выходит из домена, поэтому не позволяйте ему брать на себя какую-либо роль.

31、После изменения обновите статус и посмотрите нашwin2003Роль изменилась сGCсталDC。

32、В окне командной строки вводимnetdom query fsmoИ посмотрите, что наши роли были изменены наwin2012.contoso.com。

33、Мы пытаемся подсказать уровень функции домена наwindows server 2012, Предполагая, что естьwindows server 2003Контроль домена версии существует, и тогда мы ставимwin2003Контроль домена выходит из домена.

34、win2003Процесс де-домена, долгое ожидание. . . . . .

35、Нажмите Готово, поэтомуwin2003Просто перейдите на рядовой сервер домена и следуйте инструкциямwin2003Сервер перезагружается.

36、воляwin2003с участиемwin2012изdnsПредпочтительные адреса серверов изменены наwin2012изIP, Это наша последняя2012Под контролем доменаIPадрес. (Примечание: еслиwin2003изdnsЕсли адрес перезапущен без изменения, мы обнаружим, что процесс входа в систему идет очень медленно. Это связано с проблемой кеша.dnsУкажите на последнийwin2012Позже мы обнаружим, что процесс входа в систему происходит очень быстро)

37、Убедитесь, что добавление нашего домена происходит нормально, и не влияет ли это на логин компьютера, который был добавлен в домен. Мы ставим на первое местоwin2012Сервер перезагружается, а затемwin2003Компьютер де-домена переименован вtestИ повторно добавьте домен, используйте аккаунтceshi1Войдите в систему как обычно.

38、Основные шаги выполнены, клиент также вошел в систему нормально, мы проверяем последниеwindows server 2012Точна ли информация об управлении доменом. Щелкните правой кнопкой мышиwin2012, Транспондер по-прежнему оригинальный192.168.1.50Сервер, здесь мы его удаляем, если нам нужно разрешить во внешнюю сеть, мы можем заполнить наш локальныйdnsАдрес сервера, здесь я заполняю Гуандунdns, 202.96.128.166,202.96.134.133。

39、Щелкните правой кнопкой мышиcontoso.com, Первоначальное уполномоченное учреждение показывает последнееwin2012,Параметр сервера имен будетwin2003Записи удаляются.

40、Щелкните правой кнопкой мыши_msdcs.contoso.com, Первоначальное уполномоченное учреждение показывает последнееwin2012,Параметр сервера имен будетwin2003Записи удаляются.

41、Щелкните правой кнопкой мыши в области обратного поиска, начальный авторитет показывает, что последний является самым последнимwin2012,Параметр сервера имен будетwin2003Удалить,И будет позиционироватьIPИзмените адрес на правильный.

42、Перезагрузить после измененияdnsсервер.

43、ADУдалить с сайтов и сервисовwin2003сервер.

44、В то же время мы также заметилиwin2012изdnsСервер был недавно добавленtestКомпьютерные записи.

Уже,win2003Чтобыwin2012Шаги по обновлению домена завершены, спасибо!

Эта статья перенесена из блога zyliday 51CTO, исходная ссылка: http://blog.51cto.com/itsoul/1708233