Windows 2008 server в домене windows 2003

Всем привет!
Как Вы все знаете, поддержка Windows Server 2003/R2 стремится к
официальной дате завершения
. Спланировать апгрейд данных ОС до новых версий ещё возможно и данная статья частично в этом Вам поможет. Рассматривается добавление новых контроллеров домена на базе 2008 R2 в текущую инфраструктуру 2003 R2
(x86)

Перед любым изменением топологии/конфигурации требуется:

Для подготовки исп-ся ADPREP.exe , который поставляется вместе с дистрибутивом/образом ОС
(D:\Support\adprep\adprep32.exe – для 32-разрядных ОС,
adprep.exe – для 64-разрядных)

и включает 4 этапа:

• подготовка леса (/forestPrep)
• подготовка домена (/domainPrep)
• подготовка групповых политик
  
• (/domainprep /gpprep), подготовка к Read-Only DC (/rodcPrep)
  

 Поехали!

 1. Подключитесь к Schema Owner (кто? >> netdom query fsmo)
 2. Запустите adprep32.exe /forestprep для начала подготовки леса

 3. Нажмите C , затем Enter и дождитесь завершения расширения схемы

 4. Результат

 5. На Infrastructure owner запустить 
adprep.exe /domainprep

 6. В этом же окне запустить
adprep.exe /domainprep /gpprep

 7. Для возможности добавления RODC-контроллеров необходимо провести запуск
adprep /rodcprep , иначе на этапе добавления новых КД будет выдаваться предупреждение о недоступности исп-ся RODC

8. Добавьте новые КД , проверьте состояние репликации и результаты диагностики.  


Начиная с Windows Server 2012, подобная процедура заметно упростилась, а именно:

• adprep запускается автоматически на этапе добавления КД 2012/2012 R2 (adprep /rodcprep, ../forestprep, …/domainprep)
• adprep автоматически опр-ет держателей FSMO и запускается удаленно. итого: процедура проходит только в рамках будущего КД
• adprep /domainprep /gpprep автоматически НЕ выполняется =
  запустить самостоятельно
• adprep только для x64 и ОС от Windows Server 2008 и позже. Запустить Adprep (2012) в среде 2003 не получится (как правило, этого не требуется)

Смежные статьи:

1. Перенос FSMO на примере 2003 и 2008 R2
2. Понижаем КД, удаляем DNS, повышаем функ.уровень (2003
   <> 2008R2)
3. Миграция
   центра сертификации (2003, 2008R2) 

Блог по разным причинам давно не обновлялся, так что давайте сегодня напишем ниже! Сегодня я написал о добавлении дополнительного контроллера домена Windows Server 2008 в домен Active Directory Windows Server 2003. Добавить дополнительный контроллер домена Windows Server 2003 в домен Active Directory Windows Server 2003 очень просто, но добавление 08 к 03 не сработает. Все очень просто: при добавлении необходимо выполнить подготовку домена, подготовку леса и обновление архитектуры.

Хорошо, нечего сказать, давайте начнем сейчас! Есть два компьютера, одна из которых — операционная система Windows Server 2003, а другая — операционная система Windows Server 2008. Windows server 2003 является DC и DNS-сервером, IP: 192.168.1.11, доменное имя win2003.com; Windows Server 2008 является рядовым сервером в домене win2003.com, IP: 192.168.1.10, DNS: 192.168.1.11

Я не буду много говорить о создании домена. Ниже приводится атрибут IP в Windows Server 2003, а DNS — это сам по себе.

Это атрибут IP сервера Windows Server 2008, а DNS указывает на компьютер Windows Server 2003.

1. Присоедините Windows server 2008 к домену

Затем мы добавим компьютер Windows server 2008 в домен win2003.com и позволим компьютеру Windows server 2008 стать рядовым сервером в домене win2003.com. Добавить домен очень просто. Мы не будем вводить их по одному. Как показано на рисунке ниже, у нас уже есть Присоедините компьютер Windows server 2008 к домену win203.com.

Два, Лин подготовил

Прежде всего, нам нужно поместить установочный компакт-диск Windows Server 2008 в контроллер домена, потому что следующее расширение платформы должно использовать файлы на компакт-диске. Вставив компакт-диск, введите команду «CMD» в операции запуска, введите путь к диску с буквой D, как показано ниже, а затем выполните команду «adprep / forestprep», чтобы расширить архитектуру леса контроллера домена, как показано на следующем рисунке.

После выполнения команды «adprep / forestprep» появится запрос «Если в среде есть контроллеры домена Windows 2000, эти контроллеры домена должны быть исправлены с помощью SP4 или новее перед обновлением архитектуры».

После выполнения вышеуказанных условий нажмите «C» на клавиатуре, а затем нажмите клавишу «Enter». Как показано на рисунке ниже, архитектура леса расширяется.

Хорошо! Через несколько минут архитектура леса расширяется. Adprep успешно обновил информацию по всему лесу.

Примечание. Если вы напрямую добавите 08 дополнительных контроллеров домена, не расширяя структуру леса, вы получите следующий запрос.

Три, расширение доменной архитектуры

После расширения архитектуры леса мы должны расширить архитектуру домена следующим образом.

Путь такой же, как и сейчас. Теперь мы вводим команду «adprep / domainprep», чтобы расширить архитектуру домена. Хорошо! Adprep успешно обновил глобальную информацию.

Примечание. Если при расширении архитектуры домена появляется сообщение «Установите домен в основной режим, а затем попробуйте запустить domainprep», то нам необходимо повысить уровень функции домена. Затем выполните команду расширения схемы домена «adprep / domainprep».В начале программы управления контроллером домена —— найдите «Доверительные отношения домена Active Directory», затем щелкните правой кнопкой мыши «win2003.com» и выберите «Улучшить функциональный уровень домена».

Обновите уровень функций домена со смешанного режима Windows Server 2000 до чистого режима Windows Server 2003. Щелкните ОК для выхода.

В-четвертых, добавьте дополнительные контроллеры домена для windows server 2008.

Далее мы вводим команду «Dcpromo» при запуске компьютера windows server 2008

 

После появления мастера установки Active Directory нажмите Далее.

Как показано на рисунке ниже: Нажмите «Далее» в окне «Совместимость с операционной системой»,

Выберите «Добавить контроль домена в существующий домен» в «Существующем лесу»

Введите учетную запись «доменное имя», которая была назначена для выполнения установки.

Выберите домен и нажмите «Далее», затем нажмите «Да».

Выберите сайт и нажмите Далее

Отметьте «DNS-сервер» и «Глобальный каталог», а затем нажмите «Далее».

Нажмите «Да»

На этом шаге нажимаем «Да», чтобы продолжить

Выберите место хранения базы данных, журналов и папок SYSVOL

Введите пароль режима восстановления целевого сервера

Подтвердите правильность информации в окне «Сводка» и нажмите «Далее».

Хорошо! Домен продвигается. Скопируйте связанную информацию из родительского домена,

Через несколько минут обновление будет завершено, нажмите «Готово», чтобы закрыть мастер установки.

После перезагрузки компьютера добавление дополнительного контроллера домена Windows Server 2008 в Windows Server 2003 завершается успешно.

После перезапуска компьютера Windows Server 2008 мы видим, что есть параметры, связанные с Active Directory.

Эта статья перенесена из блога Zhang Hongwei 51CTO, исходная ссылка: http://blog.51cto.com/hongwei/178812

Введение

Как недавно выяснилось, процесс миграции домена с Windows Server 2003 на Windows Server 2008/R2 (либо просто на другой сервер) для начинающих системных администраторов представляет сложности и даже вызывает некоторую боязнь, хотя на самом деле он настолько прост, что о написании такой статьи я даже и не задумывался никогда, тем более что в интернете их полно.

Тем не менее, целью данной статьи было объединить типовые действия, возникающие при миграции, поэтому приступим. Статья будет представлять собой пошаговый мануал, с наиболее распространенным случаем миграции с 2003 на 2008 R2 и с необходимыми отступлениями для других вариантов. Собственно шаги:

• Исходные данные и техзадание.
• Подготовительные работы.
• Обновление схемы леса и домена.
• Передача ролей FSMO.
• Перенос глобального каталога.
• Перенастройка интерфейсов, DNS и другие послеустановочные задачи.

Исходные данные и техзадание

Иходная ситуация — существует домен, testcompany.local. Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01. DNS-сервер также на нем, основная зона интегрирована в Active Directory.

Сетевые настройки контроллера:

IP-адрес — 192.168.1.11
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11

Задача — установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.

Подготовительные работы

В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag, убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.

В первую очередь определяем держателя FSMO-ролей в домене, командой:

netdom query fsmo

Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:

Далее, устанавливаем операционную систему Windows Server 2008 R2 на новый  сервер, даем имя скажем dc02, задаем сетевые настройки:

IP-адрес — 192.168.1.12
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11

и вводим его в существующий  домен, testcompany.local в нашем случае.

Обновление схемы леса и домена

Следующий этап — обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep. Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01. На диске нас интересует папка X:\support\adprep (X: — буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной — adprep.exe.

Для выполнения команды adprep /forestprep никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.

Вводим команду:

X:\support\adprep>adprep32.exe /forestprep

После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С и нажимаем Enter:

Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:

Adprep successfully updated the forest-wide information.

После этого вводим команду:

X:\support\adprep>adprep32.exe /domainprep /gpprep

Которая отработает не в пример быстрее:

Также стоит выполнить команду adprep /rodcprep. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller — RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.

После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02 заходим в Server Manager, добавляем роль Active Directory Domain Services. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)». Ее и запускаем. Либо можно в командной строке набрать dcpromo, что будет равноценно вышеприведенному действию.

Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog.

Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.

Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.

Передача ролей FSMO

Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe. В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504. Передача ролей FSMO будет состоять из следующих шагов:

• Передача роли Schema Master.
• Передача роли Domain Naming Master.
• Передача ролей RID Master, PDC Emulator и Infrastructure Master.

Передача роли Schema Master

Заходим на сервер dc02, на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema, сначала необходимо зарегистрировать библиотеку schmmgmt.dll. Это делается с помощью команды:

regsvr32 schmmgmt.dll

Далее, Start > Run > вводим mmc > Enter. В окне оснастки находим и добавляем компонент Active Directory Schema.

В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema и выбрать пункт Change Domain Controller. Там меняем контроллер на dc02.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema и выбираем пункт Operations Master. Появляется вот такое окно:

Нажимаем Change > Yes > OK и закрываем все эти окна.

Передача роли Domain Naming Master

Открываем оснастку Active Directory Domains and Trusts, щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем команду Change Active Directory Domain Controller. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем пункт Operations Master. В появившемся окне нажимаем кнопку Change.

Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Открываем оснастку Active Directory Users and Computers. Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.

В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers, выбираем пункт All Tasks, а затем Operations Master.

Выбираем вкладку, соответствующую передаваемой роли (RID, PDC или Infrastructure Master), и нажимаем кнопку Change.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Перенос глобального каталога

Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services, ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.

Global Catalog» title=»Active Directory Sites and Services > Global Catalog» class=»aligncenter size-full wp-image-812″ width=»735″ height=»598″>

После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Computer: dc02.testcompany.local
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.

Interval (minutes):
5

This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Перенастройка интерфейсов, DNS и другие послеустановочные задачи

Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.

В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders, на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.

Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командой netdom renamecomputer.

После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix.

Использованные источники:

http://support.microsoft.com/kb/324801/
http://technet.microsoft.com/en-us/library/cc731728(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/upgrade-domain-controllers-to-windows-server-2008-r2(WS.10).aspx#BKMK_FL