Actualitzar Active Directory a Windows 2012 R2
EspañolSenyors/es, se’ns estan quedant els sistemes molt antiquats a les nostres instal·lacions. Sistemes que aviat deixaran d’actualitzar-se, de tenir suport, sistemes que requereixen ser substituïts perquè ja han donat tot el què havien de donar i no estan preparats pels reptes d’avui en dia; o perquè fins i tot el fabricant ha desaparegut. La producció no pot dependre d’aquests sistemes, toca fer renovació i ho sabem, fa mandra, si, però ens hem de posar les piles abans no ens peti la patata calenta a les nostres mans.
Un dels serveis a posar al dia és l’Active Directory, del què depen la seguretat i infraestructura de la nostra xarxa. Són moltes les novetats que aporta i el suport al desplegament de noves aplicacions o equips, per tant, val la pena posar-se les piles i fer el pas endavant abans no tinguem que còrrer a última hora amb ais i uis. A més, amb l’inminent aparició de la nova generació de servidors Microsoft Windows, ja no hi ha excusa vàlida per no fer el pas. No podem estar amb Directoris Actius basats en Microsoft Windows 2003 Server. Amb Windows 2008 el salt va ser enorme i Windows 2012 R2 és prou madur per confiar-hi plenament i us donarà el punt de tranquil·litat que ara mateix us pot fer falta.
No es tracta d’estar tot el dia amb els dits creuats perquè no passi res. Això són accions del passat.
Migració Active Directory de Windows 2012 a Windows 2012 R2
Aquesta entrada descriu la migració de l’Active Directory de Windows 2012 a Windows 2012 R2. En el cas que s’estigui en la versió Windows 2003, s’han de fer passos intermitjos per arribar-hi, depenent de les configuracions de cada instal·lació. El procés és força semblant al descrit passant abans per Windows 2008.
Partim d’una instal·lació amb dos controladors de Active Directory basats en Windows 2012 que cal actualitzar a Windows 2012 R2. Es farà una instal·lació neta del sistema operatiu i migració de l’Active Directory, és a dir, amb servidors nous, eliminant els actuals un cop s’hagi acabat la migració i sense fer actualitzacions a sobre, pel que pugui passar. S’ha de treballar sempre amb seguretat.
Abans de la migració hem de tenir en compte els serveis que té cada servidor. Es pot donar el cas que no siguin només controladors d’Active Directory, sinó potser també tenen el servei de DHCP, DNS, Entitat Certificadora, DFS, servidor de fitxers, etc…amb el que també haurem de fer el procés de migració de cada servei concret.
Totes les operacions s’han de realitzar amb un compte d’usuari amb els permisos corresponents, és a dir, Enterprise Admin, Schema Admin, Propietari d’Objectes, etc…
Comprovar l’estat de salut de l’Active Directory
L’estat de salut de l’Active Directory a migrar és molt important per no tenir problemes. Comprovar que no hi hagi servidors orfes (antics servidors que es van eliminar de la instal·lació a sac, tots sabem l’evolució històrica dels nostres sistemes) o problemes de replicació d’objectes.
En un controlador d’Active Directory, des de la consola de comandes amb privilegis d’administrador, executar la comanda:
dcdiag
El resultat ha de ser semblant al de la foto, indicant que s’ha passat correctament cada prova realitzada.
També revisar o bé forçar que les rèpliques estiguin al dia amb la següent comanda:
repadmin /syncall
Que ha de retornar un missatge final semblant a:
Comprovar la configuració dels llocs, mitjançant la consola ubicada a Eines Administratives > Sitios y servicios de Active Directory
Als diferents llocs, comprovar que els servidors que conté són els que realment tenim i no hi ha objectes perduts.
També s’ha de comprovar que cada servidor, a la seva carpeta NTDS Settings, té establertes connexions de rèplica amb els altres servidors controladors d’Active Directory.
Amb aquestes comprovacions fetes, s’ha d’assegurar que tenim un entorn de DNS piramidal: tots els controladors apunten a un únic servidor de DNS com a principal i com a secundari a ell mateix. Podem començar a fer la migració.
I per últim, que els nivells de funcionalitat del bosc i del domini estiguin suportats per la versió d’Active Directory a ampliar.
Ampliació de l’esquema
Abans de promocionar els nous servidors amb Windows 2012 R2, s’ha de preparar l’esquema de l’Active Directory per poder disposar dels nous objectes i atributs de Windows 2012 R2. Des d’un controlador d’Active Directory actual, amb els permisos anomenats anteriorment, carregar la imatge ISO de instal·lació de Windows 2012 R2.
Obrir la consola de símbol de comandes amb privilegis d’administrador.
Ubicar-se a la unitat lògica de la imatge de Windows 2012 R2, en el meu cas la e:\, i entrar al directori \support\adprep
Executar les instruccions:
adprep /forestprep
Demanar confirmació per iniciar la tasca, mitjançant la tecla C + INTRO, i fer la migració. Si tot és correcte, acaba amb un fantàstic: “Adprep actualizó correctamente la información de todo el bosque.”
Següent instrucció:
adprep /domainprep /gpprep
Pot ser que amb la primera instrucció ja n’hagi tingut prou, però per si les mosques, comprovar que tot sigui correcte, com a molt treurà una advertència de que ja està tot actualitzat.
Tot i que de moment no es necessiti pel tipus de instal·lació, és convenient preparar l’Active Directory per tenir servidors en mode lectura:
adprep /rodcprep
Assegurar la rèplica de l’Active Directory:
repadmin /syncall
Ja podem anar als nous servidors per continuar.
Promocionant un servidor a controlador d’Active Directory
Amb el servidor acabat d’instal·lar i tot actualitzat a la data, s’ha d’afegir el rol de controlador d’Active Directory. Des de l’Administrador del servidor > Panel, clicar a Agregar roles y características.
S’inicia l’assistent, clicar Siguiente.
Seleccionar Instalación basada en características o en roles, clicar Siguiente.
Seleccionar el servidor on es volen instal·lar els rols, no té més, escollir el servidor corresponent. Clicar Siguiente.
Del llistat de rols, marcar Servicios de dominio de Active Directory, acceptar la pregunta d’afegir les eines d’administració, és clar. Clicar Siguiente.
En aquest cas, podem obviar l’apartat de característiques, clicar Siguiente.
Informació referent als serveis d’Active Directory, clicar Siguiente.
Resum de la instal·lació, clicar Instalar.
Un cop finalitzada la còpia de binaris, se’ns adverteix que s’ha de configurar. Clicar el botó Cerrar.
Des de l’Administrador del Servidor, clicar a la banderola amb el triàngle d’advertència. En el desplegable, clicar a Promover este servidor a controlador de dominio.
S’inicia l’assistent per afegir un controlador d’Active Directory. Com que el que es pretén és afegir controladors nous i no crear un Active Directory nou, seleccionar Agregar un controlador de dominio a un dominio existente. Seleccionar el domini i clicar a Siguiente.
Seleccionar les característiques addicionals del controlador:
- Servidor de Sistema de noms de domini (DNS)
- Catàleg global
- El lloc on s’instal·larà el nou controlador: Default-Firts-Site-Name
- I la contrasenya de restauració dels serveis de directori, recordeu que no ha de ser una contrasenya simple.
Clicar Siguiente quan tot estigui correcte.
Pot sortir una advertència de la delegació de zona DNS, segons el nom de domini que es disposi. Clicar Siguiente.
Ens pregunta des d’on es farà la rèplica de l’Active Directory al nou servidor. Indicar segons correspongui: una còpia de seguretat, un controlador d’Active Directory. Clicar a Siguiente.
Indicar la ruta on s’emmagatzemaran els fitxers de l’Active Directory. Si és un servidor dedicat amb un únic disc dur i segons el maquinari que hi hagi per a sota, es pot deixar per defecte. Si no, recordar les bones pràctiques i actuar segons correspongui: RAID-1, discs separats, espai necessari, etc…
- Capacity Planning pels serveis d’Active Directory.
- Creixement estimat per usuaris i unitats organitzatives d’Active Directory.
Clicar Siguiente per continuar.
Revisar les opcions de la instal·lació, clicar Siguiente.
Comprovació dels requeriments i possibles advertències. Actuar en conseqüència als resultats (llegir el que ens diu) i clicar Instalar.
Esperar que es portin a terme les accions necessàries, intentar no apagar el servidor i/o servidors d’Active Directory mentre realitza aquesta operació.
L’assistent s’encarrega de reiniciar el servidor quan és necessari, no us espanteu.
Quan hagi reiniciat iniciar sessió amb un usuari que disposi de tots els permisos corresponents per modificar l’Active Directory. Obrir, si no s’inicia sol, l’Administrador del servidor per comprovar que s’han instal·lat correctament els rols d’Active Directory i que el servidor ha passat a formar part activa del mateix.
A Herramientas > Sitios y Servicios de Active Directory
En el lloc on s’ha ubicat el nou servidor, comprovar que hi apareix i que s’està replicant amb els altres controladors d’Active Directory.
No està de més fer una comprovació amb el DCDIAG i el REPADMIN:
dcdiag
repadmin /syncall
Iniciant la consola d’administració d’usuaris i equips d’Active Directory: Administrador del servidor > Herramientas > Usuarios y equipos de Active Directory
es pot veure que el nou servidor s’ha mogut a la unitat organitzativa de Domain Controllers.
A l’afegir el rol de controlador d’Active Directory, també s’ha afegit el rol de DNS. Obrint la consola d’administració del DNS: Administrador del servidor > Herramientas > DNS.
Apareix el nou servidor amb les zones replicades. Però ull, les zones estan replicades, però el servei de DNS del servidor NO està configurat, cal aplicar-li la configuració corresponent. Veure l’entrada de com configurar un servidor de DNS.
Destruint els servidors antics
Quan s’hagi donat per bona la integració del nou controlador d’Active Directory, es pot procedir a desmantellar el/s servidor/s anterior/s, no sense abans haver fet les modificacions piramidals de DNS. No sigui el cas que desmantellem el servidor principal de DNS i se’ns esconya l’invent. Recordeu de moure els rols d’Active Directory de controlador, val més saber on són que no pas vagin saltant d’un lloc a un altre.
T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Hola Josep Mª,
Molt bon article.
Nosaltres estem en procés de canvi de 2003 a 2012R2, Déu n’hi do amb les implicacions! Ara ja ho tenim gairebé enllestit.
Hi ha una cosa que no entenc a l’article: què vols dir amb “modificacions piramidals de DNS”? No em consta que haguem fet res d’això…
Gràcies Álex. Sobre el dubte que planteges, la resposta és tenir un servidor DNS principal on apunten tots els altres controladors, almenys mentre duren les operacions de modificació dels controladors o sites. Si no ho fas així, corres el risc de que dos servidors s’aïllin (isolate) al no rebre correctament les modificacions fetes i deixin de veure els altres servidors, donant com a resultat una separació en dos del mateix Active Directory. I això no és gens agradable. Salut.
Ah, nosaltres hem tingut alguns problemes amb registres DNS de servidors que esporàdicament es perdien i potser és per alguna cosa relacionada amb això.. Ara que ja tenim els servidors antics “despromocionats” esperem no tenir més ensurts. Salutacions!