Este documento me fue de mucha utilidad en su momento, si se topan con una situación como esta, seguro les servira.
En este documento se mostrará cómo migrar
correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 a
Microsoft Windows 2008. Siendo la migración del Directorio Activo 2000 o 2003 a
2008. Se migrará el Directorio Activo a esta nueva versión a nuevos
controladores de dominio. Los controladores de dominio viejo desaparecerán. Así
que se necesitará un servidor nuevo para poder instalarle Windows 2008, hacerle
controlador de dominio, pasarle los roles y posteriormente despromocionar los
controladores de dominio viejos. Finalmente se elevará el nivel funcional del
dominio y del bosque a ‘Windows 2008′. Los pasos correctos a seguir serán:
Comprobar estado de los controladores de dominio –
AKI, (recomendable pero no
obligatorio)
Preparar el Directorio Activo – AKI,
Unirse a un Directorio Activo Existente – AKI,
Migrar los roles – AKI,
Despromoción de controladores de dominio antiguos –
AKI,
Elevar niveles funcionales –
AKI,
Ojo, antes de comenzar tendremos que tener en cuenta
que debemos tener copias de seguridad, tanto de los controladores de dominio
como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta
además todos los requisitos para actualizar un Directorio Activo a
2008:
- Dominio actual no tiene que ser ‘Modo Mixto’, si
no ‘Modo Nativo’ o ‘Windows 2003 Server’
- Comprobar HCL (Hardware Compatibility List) de los
nuevos controladores de dominio, para que sean soportados por MS Windows 2008 –
AKI.
- Los controladores de dominio basados en Windows
2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el
SP1.
Comprobar estado de los controladores de
dominio,
Bien,
lo primero que hay que
realizar ante una migración de Directorio Activo es comprobar que el AD nos está
funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios
y Servicios del Directorio Activo, comprobar que las réplicas están funcionando,
esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a
otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio
Activo con objetos obsoletos como controladores de dominio viejos inexisténtes…
Para que la migración sea correcta, debemos comprobar todo esto, para ello
Microsoft nos proporciona ciertas herramientas que nos ayudarán.
A parte del siempre útil Visor de Sucesos que no tenga
errores.
Por ejemplo, tenemos DCDIAG. Está utilidad nos
servirá para hacer un diagnostico de los controladores de dominio. Esta
herramienta de la línea de comandos analiza el estado de uno o todos los
controladores de dominio en un bosque e informa de cualquier problema para
facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft –
AKI. En el ejemplo de la imagen ejecutare el comando en
un controlador de dominio, en mi caso en el principal y redireccionaré la salida
de texto a un fichero de texto TXT:
dcdiag.exe > FICHERO_DE_LOG
Al abrir el fichero de LOG generado tendremos un
texto como el siguiente:
D
omain
Controller Diagnosis
Performing
initial setup:
Done
gathering initial info.
Doing
initial required tests
Testing
server: HXXXXXXXI\HXXXXXXX1
Starting
test: Connectivity
…………………….
HXXXXXXX1 passed test Connectivity
Doing
primary tests
Testing
server: HXXXXXXXI\HXXXXXXX1
Starting
test: Replications
[Replications
Check,HXXXXXXX1] A recent replication attempt failed:
From AXXXXX1 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.25.
The last success occurred at 2008-07-01 18:51.20.
91 failures have occurred since the last success.
[AXXXX01] DsBind() failed with error 1722,
El servidor RPC no está disponible..
The source remains down. Please check the machine.
[Replications Check,HXXXXXXX1] A recent replication attempt failed:
From MXXXX01 to HXXXXXXX1
Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
The replication generated an error (1722):
El servidor RPC no está disponible.
The failure occurred at 2008-07-15 07:38.48.
The last success occurred at 2008-07-01 18:51.20.
Ojo, me da errores, habría que verlo, pero en mi
caso los errores son debido a que estoy realizando un piloto y tengo este
controlador de dominio junto a otro aislado, en el caso del dominio que nos
concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es
para hacer este documento. Así que no problem. 
Más, tenemos REPADMIN, con este comando veremos el
estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas
relacionadas con la replicación, entre ellas, administrar y modificar la
topología de replicación, forzar los sucesos de replicación, y mostrar los
metadatos de replicación y los vectores actualizados. Para leer más, visitar la
web de Microsoft – AKI.
El caso es comprobar que las réplicas entre sitios y
entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el
siguiente formato:
repadmin.exe /showreps >
FICHERO_DE_LOG
Este sería un ejemplo de mi Directorio Activo, que
sé que está totalmente corrompido por lo que digo anteriormente, que me faltan
como unos 38 controladores de dominio en mi red:
HXXXXXXXI\HXXXXXXX1
DSA
Options : IS_GC
objectGuid
: c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID:
65de4042-efe6-4619-b3c5-11b5fbcb264f
====
INBOUND NEIGHBORS ======================================
CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXI\AXXXXX1
via RPC
objectGuid:
c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last
attempt @ 2008-07-15 07:41.05 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXN\AXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, result 1722:
El servidor RPC no está disponible.
Last success @ 2008-07-01 18:51.21.
Otra, tenemos GPOTOOL. Esta herramienta o utilidad
sirve para comprobar el estado de cada directiva que tengamos en nuestro
Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO
en diferentes sitios con diferentes configuraciones. Esta herramienta nos
comprobará el estado de ellas.
El comando en cuestión se ejecuta de la siguiente
manera:
gpotool.exe > FICHERO_DE_LOG
Este sería un ejemplo de mi fichero LOG del GPOTool:
Validating DCs…
Available
DCs:
hXXXXXXX1.XXXXXXX.es
Searching
for policies…
Found
167 policies============================================================
============================================================
Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Policy {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Policy {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
Policy
{FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy
OK
Policies
OK
Preparar el Directorio Activo,
Tras comprobar que tenemos correcto el Directorio
Activo, debemos preparar nuestro Directorio Activo para que soporte
controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para
ello debemos ejecutar los siguientes comandos y comprobar que finalizan
correctamente sin errores.
Primero de todo, en el servidor que tiene el rol de
Maestro de Esquema y con un usuario con permisos de Administrador de Empresa,
Administrador de Esquema y Administrador de dominio
ejecutaremos:
adprep /forestprep
Para continuar pulsamos “C”, pero tendremos en
cuenta que todos los controladores de dominio sean como mínimo Windows 2000
SP4,
… esperamos unos minutos mientras nos actualiza el
bosque del Directorio activo (en el ejemplo superior me actualizará de la
versión 13 que es un bosque 2000, a la versión 44 que es un bosque
2008)…
Ok, comprobamos que finaliza
correctamente.
Ahora, debemos preparar si nos interesa el
Directorio Activo para poder usar controladores de dominio de lectura, este
comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming
Master’ o RID con nivel de permisos de Administrador de dominio. El comando
será:
adprep /rodcprep
Esperamos a que se complete el comando y comprobamos
que todo ha sido correctamente realizado.
Ahora preparamos el dominio y añadiremos el
parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará
en el Maestro de Infraestructuras con permisos de Administrador de
dominio:
adprep /domainprep /gpprep
Esperamos a que se realice completamente el comando
y que los resultados sean correctos.
Tendremos que tener en cuenta que si nuestro
Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos
de réplica, daremos tiempo a que se replique el Directorio Activo entre comando
y comando. Aproximandamente 15 minutos entre cada comando.
Unirse a un
Directorio Activo Existente,
Una vez ya tenemos el Directorio Activo actualizado
a la versión Windows 2008 ya podremos crear controladores de dominio con esta
versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor
siguiendo este procedimiento – AKI. Y le promocionaremos a
controlador de dominio en nuestro dominio actual.
En el servidor 2008 recien instalado, le agregaremos
la función de Servicios de dominio de Active Directory mediante el comando
‘dcpromo’ en la opción “Ejecutar” del menú Inicio. Y
aceptamos.
… esperamos mientras prepara el asistente de
instalación de los servicios de dominio de Directorio Activo…
Comienza el asistente de instalación para crear o
unirnos a un dominio, “Siguiente”,
Leemos atentamente y si no tenemos clientes de
Windows NT 4.0 o no-Microsoft SMB, continuamos, “Siguiente”,
Debemos seleccionar la opción “Bosque existente” y
“Agregar un controlador de dominio a un dominio existente”,
“Siguiente”,
Indicamos el nombre del dominio al que nos queremos
unir como controlador de dominio, indicamos unas credenciales con permisos de
unirnos al dominio y “Siguiente”,
Seleccionamos el dominio al que nos uniremos,
“Siguiente”,
Nos muestra los sitios que tiene configurados el
dominio actual, debemos indicar a que sitio pertenece este controlador de
dominio & “Siguiente”,
Indicamos como opción adicional que a este
controlador le haremos catálogo global, ya que si vamos a quitar controladores
de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es
necesario que los usuarios tengan un servidor que les valide los inicios de
sesion. “Siguiente”,
Debemos seleccionar donde guardaremos la BD del
directorio activo, así como la base de datos también los archivos de registro de
ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son:
C:\Windows\NTDS y C:\Windows\SYSVOL. Si los cambiamos será para aumentar
rendimiento en este controlador de dominio, si tiene mucha carga,
“Siguiente”,
Bien, ahora debemos indicar la contraseña del
usuario Administrador si necesitamos entrar en el equipo en modo restauración
(pulsando F8 al reiniciar), “Siguiente”,
Comprobamos el resumen de la preparación para
promocionar ya a este servidor, “Siguiente”,
… esperamos mientras replica todos los objetos a
este servidor y configura en el Directorio Activo a este servidor como un
controlador de dominio adicional…
Bien, una vez instalados los servicios del AD
pulsamos en “Finalizar”,
Debemos reiniciar este servidor, pulsamos en
“Reiniciar ahora”,
Migrar los
roles,
Una vez que ya tenemos el primer controlador de
dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los
roles del Directorio Activo y así quitar funciones a los servidores antiguos y
poder reemplazarlos. Se puede realizar de dos formas, mediate GUI, o mediante
comandos. Y hay una tercera forma que sería la agresiva por
si no nos funciona correctamente el Directorio Activo y debemos forzar el
traslado de las funciones – AKI. A continuación lo haremos mediante
GUI:
Para modificar los roles, nos vamos a la consola de
“Usuarios y Equipos de Active Directory” del servidor al que queremos migrar los
roles, si es posible, si no, nos conectamos desde la consola al servidor deseado
de la siguiente manera: Sobre el dominio, con botón derecho “Cambiar el
controlador de dominio… “
Seleccionamos el controlador de dominio al que
queremos pasarle los roles y aceptamos.
Bien, ahora comencemos a migrar los roles, para
ello, sobre el dominio con botón derecho > “Maestro de
operaciones…”
Debemos cambiar las tres opciones, primero, desde la
pestaña de RID, nos muestra cual es el servidor RID actual y a cual lo
pasaríamos si pulsamos sobre “Cambiar…”, le damos.
Confirmamos, “Sí”
“Aceptamos”.
Comprobamos que el rol se ha migrado correctamente y
ahora cambiamos de pestaña,
Ahora con la siguiente pestaña, la de “Controlador
de dominio principal”, pulsamos sobre “Cambiar…”
“Sí”,
“Aceptar”,
Ya hemos migrado el controlador de dominio principal
a nuestro DC Windows 2008,
Y por último el servidor de “Infraestructuras”,
pulsamos sobre “Cambiar…”,
Eso pasa por que el controlador de dominio actual
también es Catalogo Global, es una configuración no recomendable, en principio
no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así,
así que posteriormente cambiaremos este rol o haremos a otro DC GC, confirmamos,
“Sí”.
Aceptamos,
Y comprobamos que es cierto y el rol ya está
migrado. Cerramos,
Ok, otro rol, ahora el de maestro de operaciones,
sobre “Dominios y confianzas de Active Directory”, tenemos que hacer lo de
antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que
botón derecho sobre “Dominios y confianzas de Active Directory” > “Cambiar
controlador de dominio de Active Directory…”
Seleccionamos el controlador de dominio al que
queremos pasarle el rol y aceptamos,
Pulsamos con el botón derecho en “Dominios y
confianzas de Active Directory” y seleccionamos “Maestro de
operaciones…”,
Vale, nos dice que cambiaremos de de un servidor
antiguo al 2008 el “Maestro de operaciones”, le damos a
“Cambiar…”,
Confirmamos, “Sí”,
Aceptamos,
Ahora, abrimos una ventana de MSDOS en uno de los
controladores de dominio antiguos, escribimos “regsvr32 schmmgmt.dll” para
migrar el servidor de esquema, al dar al “Enter” nos saldrá la confirmación, la
aceptamos.
Lo dicho, “Aceptar”,
Ahora abrimos una consola MMC (Microsoft Management
Console) desde el menú Inicio en “Ejecutar” escribiendo ‘mmc’ y
aceptando.
Pinchamos en “Archivo” > “Agregar o quitar
complemento…”
Pulsamos en “Agregar”,
En los complementos buscamos el “Esquema de Active
Directory” y pulsamos sobre “Agregar” y luego sobre “Cerrar” y
“Aceptar”,
Primero me tengo que conectar al servidor donde
quiero migrar este rol, como antes, para ello, botón derecho sobre “Esquema de
Active Directory” y elegimos “Cambiar el controlador de
dominio…”
Escribimos el nombre del servidor al que queremos
migrar y aceptamos.
Para cambiar el servidor que aloja el esquema,
pinchamos con botón derecho sobre “Esquema de Active Directory” y seleccionamos
“Maestro de operaciones…”
Igual que antes, nos muestra el servidor actual de
“Maestro de esquema”, para migrarlo de uno a otro pulsamos sobre “Cambiar…” y
aceptamos.
Confirmamos que lo queremos
cambiar,
Aceptamos.
Finalmente comprobar que uno de los servidores con
Windows 2008 tiene la característica de catálogo global habilitada lo veremos
desde la consola de “Sitios y Servicios de Active Directory”, sobre “Sitios y
servicios del AD” > “Sites” > en cualquier domain controller, y nos vamos
al servidor nuevo a “NTDS Settings” > botón derecho >
“Propiedades”,
Y simplemente marcarle el check de “Catálogo global”
y aceptamos,
Y bueno, esto no es un rol, pero es algo a tener en
cuenta, ya que estamos migrando todo, debemos tener en cuenta que también
migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro
dominio y zona inversa debemos marcar la opción de “Permitir transferencias de
zona” para que traiga la zona a nuestro nuevo controlador de
dominio.
Despromoción de controladores de dominio antiguos,
Una vez que hemos migrado todos los roles del
Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir
quitando los controladores de dominio obsoletos para sustituirlos si nos
interesa con otros nuevos con Windows 2008, para ello, los quitaremos de forma
limpia, esto es, con una despromoción.
Así que en los servidores obsoletos se debe
despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Ejecutar” del
menú Inicio.
Al ejecutar el DCPROMO en un DC antiguo nos sale el
asistente para instalación de Active Directory, debemos pulsar en
“Next”,
Tendremos en cuenta que este servidor es un Catálogo
Global, así que si queremos despromocionar este tendremos en cuenta que por lo
menos otro servidor de la red será Catálogo Global, si no tendremos problemas
con los inicios de sesión de los usuarios, ya que sin un GC no se validan los
usuarios. Aceptamos.
“Siguiente”,
Introducimos la contraseña que queremos que tenga el
administrador local de este equipo, “Siguiente”,
Comprobamos todos los pasos y pulsamos en
“Siguiente” para despromocionar este controlador de dominio,
… esperamos unos minutos…
“Finalizar”, se quitó bien,
Debemos reiniciar este servidor ahora para que los
cambios surjan efecto. Pulsamos en “Reiniciar ahora”,
Elevar niveles de funcionamiento,
Una vez que ya no tengamos servidores que sean
controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en
nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del
bosque como del dominio, con esto conseguiremos las siguientes
ventajas:
|
Nivel funcional del
dominio
|
Características
habilitadas
|
Sistemas operativos de controlador de dominio
admitidos
|
|
Windows 2000 nativo
|
Todas las características predeterminadas de Active
Directory y las características siguientes:
•
|
Los grupos universales están habilitados para grupos
de distribución y de seguridad.
|
|
•
|
Anidación de grupos.
|
|
•
|
La conversión de grupos está habilitada, lo que hace
posible la conversión entre grupos de seguridad y grupos de
distribución.
|
|
•
|
Historial de identificadores de seguridad
(SID).
|
|
Windows 2000
Windows Server 2003
Windows Server 2008
|
|
Windows Server 2003
|
Todas las características predeterminadas de Active
Directory, todas las características del nivel funcional de dominio de Windows
2000 nativo y las características siguientes:
•
|
La disponibilidad de la herramienta de
administración de dominios, netdom.exe, para preparar el cambio de nombre del
controlador de dominio.
|
|
•
|
Actualización de la marca de tiempo de inicio de
sesión. El atributo lastLogonTimestamp se actualizará con la
hora en que el usuario o equipo inició sesión por última vez. Este atributo se
replica dentro del dominio.
|
|
•
|
La capacidad de establecer el atributo
userPassword como la contraseña efectiva en
inetOrgPerson y los objetos de
usuario.
|
|
•
|
La capacidad de redirigir los contenedores Usuarios
y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos
para albergar cuentas de equipo y usuario o grupo: es decir,
cn=Computers, y cn=Users,. Esta
característica permite definir una ubicación nueva conocida para estas
cuentas.
|
|
•
|
Permite que el Administrador de autorización
almacene las directivas de autorización en los Servicios de dominio de Active
Directory (AD DS).
|
|
•
|
Incluye delegación restringida para que las
aplicaciones puedan aprovechar la delegación segura de credenciales de usuario
por medio del protocolo de autenticación Kerberos. La delegación se puede
configurar para que sólo se permita en servicios de destino
específicos.
|
|
•
|
Admite autenticación selectiva, que hace posible
especificar los usuarios y grupos de un bosque de confianza a los que se les
permite autenticarse en servidores de recursos en un bosque que confía.
|
|
Windows Server 2003
Windows Server 2008
|
|
Windows Server 2008
|
Todas las características predeterminadas de Active
Directory, todas las características del nivel funcional de dominio de
Windows Server 2003 y las características siguientes:
•
|
Compatibilidad con la replicación del Sistema de
archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más
sólida y detallada del contenido de SYSVOL.
|
|
•
|
Compatibilidad de los Servicios de cifrado avanzado
(AES 128 y 256) con el protocolo Kerberos.
|
|
•
|
Información acerca del último inicio de sesión
interactivo, que muestra la hora del último inicio de sesión interactivo
correcto de un usuario, la estación de trabajo desde la que se inició y el
número de intentos de inicio de sesión erróneos desde el último inicio de
sesión.
|
|
•
|
Directivas de contraseña muy específicas, que
permiten indicar directivas de contraseña y directivas de bloqueo de cuentas
para usuarios y grupos de seguridad global en un
dominio.
|
|
Windows Server 2008
|
Bueno, para elevar el nivel funcional del dominio,
abrimos la consola “Dominios y confianzas de Active Directory” y sobre el
dominio con botón derecho > “Elevar el nivel funcional de
dominio…”
Debemos seleccionar el nivel funcional del dominio
“Windows Server 2008″ y pulsamos “Elevar”,
Aceptamos, ojo! a tener en cuenta que esto será
irreversible.
Perfecto, aceptamos,
Bueno, para elevar el nivel funcional de bosque,
abrimos la consola “Dominios y confianzas de Active Directory” y sobre “Dominios
y confianzas de Active Directory” con botón derecho > “Elevar el nivel
funcional del bosque…”
Debemos seleccionar el nivel funcional del bosque
“Windows Server 2008″ y pulsamos “Elevar”,
Igual que antes, aceptamos y tendremos en cuenta que
será un proceso que no se podrá revertir.
“Aceptar” y ya tendríamos un Directorio Activo
actualizado a nivel funcional Windows 2008.
Descargar Windows Easy Transfer
