Migrare Active Directory da Windows 2008 a 2012 · 2017-02-14 · Migrare Active Directory da Windows 2008 a 2012 Rimozione del server dal dominio Poichè il server non sarà più

Migrare Active Directory da Windows 2008 a 2012

1


Migrare Active Directory a Windows 2012 R2

Per migrare Active Directory a Windows 2012 R2, tutti i Domain Controller devono essere portati alla versione Server 2012 R2 seguendo una specifica procedura.

I Domain Controller da migrare sono installati con Windows Server 2008 R2 e prima di cominciare la procedura, è fortemente raccomandato avere o effettuare un full backup funzionante dell’intero ambiente.

Verificare la funzionalità dei Domain ControllerPrima di procedere con la migrazione, è opportuno verificare lo stato di funzionalità dei DC in modo da essere sicuri che la configurazione corrente funziona senza riscontrare problemi. Per verificare i DC si può utilizzare un semplice script che salva i risultati su file per essere analizzati successivamente.

@echo offclsecho.echo ---------------------------echo Test ACTIVE DIRECTORYecho ---------------------------echo.echo.echo Testing DNSecho ---------------------------dcdiag /TEST:DNS /v >> c:\temp\ad01_dns.txt echo.echo.echo Testing DHCPecho ---------------------------netsh dhcp show server >> c:\temp\ad02_dhcp.txt echo.echo.echo Testing Domain Controllersecho ---------------------------dcdiag /a /v /c >> c:\temp\ad03_dc.txt echo.echo.echo Testing Replicaecho ---------------------------repadmin /showrepl >> c:\temp\ad04_replica.txt

2


echo.echo.echo Replica Summaryecho ---------------------------repadmin /replsummary >> c:\temp\ad05_replica_sum.txt echo.echo.echo Show Replica Errorsecho ---------------------------repadmin /replsum /errorsonly >> c:\temp\ad06_replica_err.txtrepadmin /options * >> c:\temp\ad07_replica_opt.txt pauseexit,

Come vengono presentati i risultati delle verifiche eseguendo i comandi direttamente dal Command Prompt.

Se durante i test non vengono riscontrati errori, la migrazione può essere cominciata in sicurezza.

Aggiornare l’Active Directory SchemaDa un Domain Controller effettuare il mount del disco di installazione del Server 2012 R2 per effettuare l’aggiornamento utilizzando VMware Web Client.

3


4


5


Dal Domain Controller, verificare che il CD di installazione di Windows Server 2012 R2 sia accessibile.

6


Aprire il Command Prompt con i privilegi di amministratore e posizionarsi sulla directory \support\adprep nel CD di installazione.

D:\>cd \support\adprep

E’

necessario effettuare l’aggiornamento della versione dell’Active Directory Schema a Windows

7


2012 R2. Eseguire il comando adprep /forestprep.

D:\support\adprep>adprep /forestprep

Digitare C per avviare il processo.

8


Terminata l’operazione, eseguire il comando adprep /domainprep.

D:\support\adprep>adprep /domainprep

9


Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters

Il valore della REG_WORD Schema Version deve essere 69.

Il processo di aggiornamento dell’Active Directory Schema è stato completato.

10


Decommission del DC secondario Windows 2008 R2Dal Domain Controller secondario, cliccare su Start > Run e digitare il comando dcpromo.

Il sistema verifica l’ambiente AD installato.

Qunado la finestra dell’Installation Wizard compare, cliccare su Next per continuare.

11


Poichè questo DC ha installato il servizio Global Catalog, prima di effettuare l’operazione di demotion verificare che anche il DC primario abbia installato il servizio GC. Cliccare su OK.

Per verificare se il DC ha il servizio Global Catalog abilitato, aprire Active Directory Sites and Services. Espandere la voce Sites e posizionarsi su Default-First-Site-Name > Servers. Effettuare un click con il tasto destro del mouse sul primo DC e selezionare l’opzione Properties.

12


Nella sezione General verificare che l’opzione Global Catalog si abilitata. Nell’esempio anche il DC primario ha il servizio GC abilitato.

13


NON spuntare l’opzione Delete the domain because this server is the last domain controller in the domain e cliccare su Next.

14


Digitare la Password che sarà assegnata all’account Local Administrator e cliccare su Next.

15


Dalla finestra di Summary, cliccare su Next per avviare l’operazione.

16


Al Domain Controller viene effettuata l’operazione di demotion. Spuntare l’opzione Reboot on completion per riavviare il server automaticamente.

17


Rimuovere i Roles

Dopo che il server è stato riavviato, accedere ai server Roles dal Server Manager e cliccare su Remove Roles.

Il Remove Role Wizard viene avviato. Cliccare su Next per continuare.

18


Rimuovere la spunta dai check box per i roles da rimuovere.

19


Cliccare su Next quando terminato.

20


Cliccare su Remove per procedere con la rimozione.

Il

21


processo di rimozione viene eseguito.

Cliccare su Close per uscire dal Wizard.

22


Cliccare su Yes per riavviare il server.

Dopo aver effettuato il reboot del server, il Configuration Wizard riprende la configurazione per completare il processo di rimozione.

23


I componenti vengono eliminati dal sistema.

24


Quando la rimozione viene completata, cliccare su Close per uscire dal Wizard.

25


Rimozione del server dal dominio

Poichè il server non sarà più utilizzato, il Domain Controller su cui si è appena effettuata l’operazione di demotion deve essere rimosso dal dominio. Dal Server Manager cliccare su Change System Properties.

Nella sezione Computer Name cliccare su Change. Selezionare l’opzione Workgroup e digitare

26


un nome da assegnare e cliccare quindi su OK per confermare.

Cliccare su OK per continuare.

Il server è rimosso dal dominio. Cliccare su OK.

27


Cliccare su OK.

Cliccare su Close.

Il server non sarà più utilizzato quindi cliccare su Restart Later.

28


Effettuare lo shutdown del server da Start > Shutdown.

La procedura per effettuare la decommission del Domain Controller secondario è completa.

Dopo aver aggiornato l’AD Schema ed aver effettuato la demotion dei DC secondari, altri step sonorichiesti per migrare Active Directory a Windows 2012 R2.

Le prossime operazioni da effettuare consistono nell’installazione dei nuovi Domain Controller Windows 2012 R2 e il trasferimento dei ruoli FSMO .

Installare il primo DC Windows 2012 R2Da vSphere Web Client (se si lavora in ambiente VMware) effettuare il deployment di un nuovo server Windows 2012 R2 che sarà utilizzato come nuovo Domain Controller.

29


Nel nuovo server, effettuare un Windows Update in modo da installare le ultime patch disponibili nel sistema.

30


Join del server al dominio

Dal Server Manager, selezionare la voce Local Server e cliccare sul nome del Workgroup per effettuare il join del server al dominio.

Nella sezione Computer Name, cliccare sul bottone Change e digitare il nome del Domain a cui siintende effettuare il join. Cliccare su OK per salvare la configurazione.

31


Digitare le credenziali del Domain Administrator per effettuare il join della macchina al dominio e cliccare su OK.

32


Il nuovo server è ora membro del dominio. Cliccare su OK per proseguire.

Cliccare su OK.

33


Cliccare su Apply per attivare le modifiche.

Cliccare su Restart now per effettuare il reboot del server.

Installare i Roles

Per configurare il nuovo server come Domain Controller, il comando dcpromo non è più utilizzato in Windows 2012 R2 ma è richiesta l’installazione nel sistema del ruolo Active Directory Domain Services.

Dal Server Manager, cliccare sull’opzione Add roles and features.

34


Cliccare su Next per avviare l’Add Roles and Feature Wizard.

Selezionare l’opzione Role-based or feature-base installation e cliccare successivamente su Next.

35


Spuntare la voce Select a server from the server pool e selezionare il server da installare. Cliccare su Next.

36


Selezionare il ruolo Active Directory Domain Services.

37


Poichè il ruolo selezionato necessita di componenti aggiuntivi, cliccare su Add Features per completare i requisiti.

38


Cliccare su Next per continuare.

39


Cliccare su Next per continuare.

40


Niente da selezionare in questa schermata. Cliccare su Next.

41


Spuntare l’opzione Restart the destination server automatically if required e cliccare su Yes nella finestra pop up che compare.

42


Cliccare sul bottone Install per installare i ruoli selezionati.

I ruoli vengono installati nel sistema.

43


Completata l’operazione, un messaggio di avviso informa che il server deve essere convertito in Domain Controller. Cliccare sul link Promote this server to a domain controller per procedere.

44


Convertire il server come Domain Controller

Quando l’Active Directory Domain Services Configuration Wizard si avvia, selezionare l’opzione Add domain controller to an existing domain e cliccare su Next.

45


Verificare che le voci DNS e GC siano selezionate ed inserire una password robusta per il DSRM. Click su Next.

46


Cliccare su Next.

47


Lasciare il valore di default Any domain controller per specificare da dove deve essere effettuata la replica dei dati e cliccare su Next.

48


Se non si hanno particolari esigenze, lasciare le location di default e cliccare su Next.

49


Nella schermata Review Options cliccare su Next per continuare.

50


Se tutte le verifiche dei prerequisiti vengono passate con successo, cliccare su Install per avviare l’installazione.

51


L’installazione viene eseguita.

52


Quando il processo è completato, il server automaticamente effettua il reboot.

53


Una volta che il server si è riavviato, dal Server Manager selezionare Tools > Active Directory Users and Computers.

Espandere il nome del dominio e selezionare la voce Domain Controllers. Nella parte destra dello schermo compare il nuovo Domain Controller.

54


Per verificare se il DNS funziona correttamente, da Server Manager selezionare Tools > DNS.

Espandere il nome del server e la voce Forward Lookup Zones. Effettuare un click con il tasto destro del mouse sul nome del dominio e selezionare Properties.

55


Verificare che nella sezione Name Server il DC sia presente nella lista .

56


Mantenere gli stessi Indirizzi IP per i nuovi DCSe si intende mantenere gli stessi Indirizzi IP per i Domain Controller durante la migrazione a Windows 2012 R2, impostare i nuovi server Windows 2012 R2 come Domain Controller configurando IP differenti per la stessa subnet.

Durante l’operazione di promotion, un nuovo DC (es. w12r2-dc01) è installato nella rete.

57


Cambiare l’IP di uno dei server secondari Windows 2012 R2 (es. w12r2-dc02) utilizzando l’IP di uno dei DC precedentemente spenti (es. w2k8r2-dc02) e riavviare il server.

58


Dopo il riavvio, verificare nella sezione DNS Name Servers se il server a cui si è modificato l’IP è presente nella lista.

59


Controllare eventuali errori durante la replica tramite il comando:

C:\>repadmin /replsummary

60


Se non vengono riscontrati errori, l’operazione è andata a buon fine.

Trasferire i ruoli FSMOPrima di disattivare i vecchi Domain Controller, i ruoli FSMO devono essere trasferiti ai nuovi server Windows 2012 R2 per il corretto funzionamento dell’AD. Cinque ruoli in Active Directory devono essere trasferiti dai vecchi ai nuovi DC:

Schema master Naming master PDC RID master Infrastructure master

Per procedere, aprire il Command Prompt con i privilegi di amministratore.

Per verificare su quale Domain Controller Windows 2008 R2 siano configurati i ruoli FSMO, digitare il seguente comando:

C:\Windows\system32>netdom query fsmo

61


I ruoli FSMO devono essere trasferiti nel nuovo DC 2012 R2 tramite il comando ntdsutil.

C:\Windows\system32>ntdsutil

Digitare roles quando richiesto e premere Enter.

ntdsutil: roles

62


Digitare il comando connections e premere Enter.

fsmo maintenance: connections

Digitare l’istruzione connect to server server2012r2dc.domain.com, dove server2012r2dc è il nuovo Domain Controller appena configurato, e premere Enter per connettersi al DC su cui trasferire i ruoli.

server connections: connect to server w12r2-dc01.nolabnoparty.local

63


Ora digitare il comando quit e premere Enter.

server connections: quit

Dopo essersi connessi al DC, digitare il comando transfer schema master per procedere con il trasferimento del primo ruolo e premere Enter.

fsmo maintenance: transfer schema master

Digitare Yes per confermare il trasferimento.

64


Il ruolo schema master è stato correttamente trasferito.

Digitare transfer naming master e premere Enter.

fsmo maintenance: transfer naming master


65


Il ruolo naming master è stato correttamente trasferito.

Digitare transfer PDC e premere Enter.

fsmo maintenance: transfer PDC


66


Il ruolo PDC è stato correttamente trasferito.

Digitare transfer RID master e premere Enter.

fsmo maintenance: transfer RID master


67


Il ruolo RID master è stato correttamente trasferito.

Digitare transfer infrastructure master e premere Enter.

fsmo maintenance: transfer infrastructure master


68


Il ruolo infrastructure master è stato correttamente trasferito.

Il trasferimento dei cinque ruoli è ora completo. Digitare quit per uscire dall’fsmo maintenance.

fsmo maintenance: quit

69


Digitare quit per uscire da ntdsutil.

ntdsutil: quit

Verificare i ruoli per assicurarsi che siano stati trasferiti nel nuovo Server 2012 R2 utilizzando il comando netdom query fsmo.

C:\Windows\system32>netdom query fsmo

70


I ruoli sono stati correttamente trasferiti nel nuovo Domain Controller 2012 R2. Attendere alcuni minuti affinchè siano replicati.

Impostare il PDC per connettersi ad una fonte esternaPer tenere il network time sincronizzato è consigliato configurare il Domain Controller con il ruolo di PDC in modo da connettersi ad una fonte esterna.

Fermare il servizio w32time.

c:\>net stop w32time

Configurare le fonti esterne da utilizzare per la sincronizzazione.

71


c:\>w32tm /config /syncfromflags:manual /manualpeerlist:”0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org”

Rendere il PDC come fonte attendibile per i client.

c:\>w32tm /config /reliable:yes

Avviare nuovamente il servizio w32time.

c:\> net start w32time

72


Per verificare la nuova configurazione, eseguire il comando:

c:\>w32tm /query /configuration

73


Gli ultimi passaggi per migrare Active Directory a Windows 2012 R2 includono la decommission del primo DC 2008 R2 migrando il setup del DHCP al nuovo Windows Server 2012 R2.

Se il vecchio Domain Controller svolge anche il ruolo di DHCP server, la configurazione del DHCPdeve essere migrata al nuovo server 2012 R2 in modo da mantenere le stesse impostazioni e funzionalità di rete.

Esportare la configurazione del DHCPSe il vecchio Domain Controller primario svolge il ruolo di DHCP, prima di effettuare la decommission è necessario migrare la configurazione del DHCP al nuovo server 2012 R2.

Effetuare il login al Windows Server 2012 R2 configurato precedentemente (DC01) ed aprire la shell PowerShell.

74


Eseguire il seguente comando per esportare la configurazione del DHCP su file:

Export-DhcpServer –ComputerName server.domain.com -Leases -File path\dhcpconfig.xml -verbose

PS C:\> Export-DhcpServer –ComputerName w2k8r2-dc01.nolabnoparty.local -Leases -File C:\temp\dhcpconfig.xml -verbose

Chiudere la PowerShell. Il file esportato dhcpconfig.xml contiene la configurazione del DHCP corrente.

75


Effettuare la decommission dell’ultimo DC 2008 R2Per effettuare la decommission dell’ultimo Domain Controller 2008 R2 bisogna seguire la stessa procedura utilizzata nella parte 1 – Decommission del DC secondario Windows 2008 R2.

Dal Domain Controller Windows 2008 R2 lanciare il comando dcpromo e seguire gli step richiesti per effetture la procedura di demotion del server.

76

http://nolabnoparty.com/migrare-active-directory-a-windows-2012-r2-pt-1/


Successivamente effettuare il deploy di un nuovo server 2012 R2 e configurarlo come Domain Controller seguendo la stessa procedura utilizzata nella parte 2 – Installare il primo DC Windows 2012 R2.

NON spuntare l’opzione Delete the domain because this server is the last domain controller in the domain e cliccare su Next per procedere.

77




Cliccare su Yes per continuare.

Digitare la Password e cliccare su Next.

78


Cliccare su Next per avviare il processo di demoting del Domain Controller Windows 2008 R2.

79


Quando il processo di demotion viene completato, il server effettua un reboot automatico.

Una volta che il server si è riavviato, rimuovere il DC dal dominio.

80


Verificare che il computer sia stato disabilitato in Active Directory.

81


Questo server non sarà più utilizzato quindi effettuare lo shutdown della VM.

Se si intende mantenere lo stesso indirizzo IP del vecchio Domain Controller, cambiare l’IP nel nuovo DC Windows 2012 R2. Una volta completatata la configurazione, effettuare il reboot della VM.

Riavviato il server, dal Server Manager selezionare Tools > Active Directory Users and Computers. Espandere il nome del dominio e selezionare la voce Domain Controllers. Nella partedestra della schermata compare il nuovo Domain Controller.

82


Per verificare la funzionalità del DNS, dal Server Manager selezionare Tools > DNS. Espandere il server name e la voce Forward Lookup Zones. Effettuare un click con il tasto destro del mouse sul nome del dominio e selezionare Properties. Controllare che nella sezione Name Servers il DC sia presente nella lista.

83


Importare la configurazione del DHCPSe il Domain Controller primario ha il ruolo di DHCP installato, è necessario effettuare il restore della configurazione del DHCP precedentemente esportata dal vecchio server 2008 R2 per mantenere la consistenza dei lease distribuiti nella rete.

Effettuare il login a Windows 2012 R2 (DC01) ed aprire la shell PowerShell.

84


Eseguire il seguente comando per importare le impostazioni del DHCP:

Import-DhcpServer –ComputerName server.domain.com -Leases -File path\dhcpconfig.xml -BackupPath C:\temp\dhcp_backup\ -verbose

PS C:\>Import-DhcpServer -ComputerName w12r2-dc01.nolabnoparty.local -Leases -File C:\temp\dhcpconfig.xml -BackupPath C:\temp\dhcp_backup\ -verbose Type Y to proceed with import.

La configurazione è importata nel sistema.

85


Aprire lo snap-in DHCP, effettuare un click con il tasto destro del mouse sul nome del server e selezionare l’opzione Authorize.

86


Lo scope importato è ora attivo nel nuovo server 2012 R2 server.

La procedura di migrazione è completa. Verificare lo stato di funzionalità dell’Active Directory tramite lo stesso script utilizzato all’inizio della migrazione per essere sicuri che non ci siano

87


eventuali problemi di funzionamento.

TroubleshootingUna problema comune che potrebbe verificarsi durante la migrazione è la mancanza degli share SYSVOL e NETLOGON nei nuovi DC 2012 R2 dopo aver effettuato la procedura di promotion.

Verificare la presenza degli share tramite il comando:

C:\>net share

Per risolvere il problema è necessario forzare una sincronizzazione di tipo authoritative e non-authoritative per i SYSVOL replicati. Sono disponibili in Internet diverse procedure per effettuare correttamente il processo di sincronizzazione.

88


Quando gli share sono nuovamente disponibili, la migrazione può essere considerata conclusa.

89

Documents

Migrare Active Directory da Windows 2008 a 2012 · 2017-02-14 · Migrare Active Directory da Windows 2008 a 2012 Rimozione del server dal dominio Poichè il server non sarà più