Actualizar Active Directory a Windows 2012 R2

Señores/as, se nos están quedando los sistemas muy anticuados en nuestras instalaciones. Sistemas que pronto dejaran de actualizarse, de tener soporte, sistemas que requieren ser sustituidos porque ya han dado todo lo que tenían que dar y no están preparados para los retos de hoy en día; o porque incluso el fabricante ha desaparecido. La producción no puede depender de estos sistemas, toca renovar y lo sabemos, da pereza, si, pero tenemos que ponernos las pilas antes que la bomba explote en nuestras manos.

Uno de los servicios en poner al día es el Active Directory, del que depende la seguridad y infraestructura de nuestra red. Son muchas las novedades que aporta y el soporte al despliegue de nuevas aplicaciones o equipos, por lo tanto, vale la pena ponerse las pilas y dar el paso hacía delante antes de que tengamos que correr a última hora con lamentos. Además, con la inminente aparición de la nueva generación de servidores Microsoft Windows, ya no hay excusa válida para no dar el paso. No podemos estar con Directorios Activos basados en Microsoft Windows 2003 Server. Con Windows 2008 el salto fue enorme y Windows 2012 R2 es suficientemente maduro para confiar plenamente y os dará el punto de tranquilidad que ahora mismo os puede faltar.

No se trata de estar todo el día con los dedos cruzados para que no pase nada. Eso son acciones del pasado.

Migración Active Directory de Windows 2012 a Windows 2012 R2

Esta entrada describe la migración del Active Directory de Windows 2012 a Windows 2012 R2. En el caso que se esté en la versión Windows 2003, se deben de hacer pasos intermedios para llegar, dependiendo de las configuraciones de cada instalación. El proceso es muy parecido al descrito pasando antes por Windows 2008.

Partimos de una instalación con dos controladores de Active Directory basados en Windows 2012 que hay que actualizar a Windows 2012 R2. Se hará una instalación limpia del sistema operativo y migración del Active Directory, es decir, con servidores nuevos, eliminando los actuales una vez se haya acabado la migración y sin hacer actualizaciones encima, para lo que pueda pasar. Hay que trabajar siempre con seguridad.

Antes de la migración tenemos que tener en cuenta los servicios que tiene cada servidor. Se puede dar el caso que no sean solo controladores de Active Directory, sino quizás también tienen el servicio de DHCP, DNS, Entidad Certificadora, DFS, servidor de ficheros, etc… con el que también tendremos que hacer el proceso de migración de cada servicio concreto.

Todas las operaciones se tienen que realizar con una cuenta de usuario con los permisos correspondientes, es decir, Enterprise Admin, Schema Admin, Propietario de Objetos, etc…

Comprobar el estado de salud del Active Directory

El estado de salud del Active Directory a migrar es muy importante para no tener problemas. Comprobar que no haya servidores huérfanos (antiguos servidores que se eliminaron de la instalación a saco, todos sabemos la evolución histórica de nuestros sistemas) o problemas de replicación de objetos.

En un controlador de Active Directory, desde la consola de comandos con privilegios de administrador, ejecutar el comando:

dcdiag

El resultado tiene que ser parecido al de la foto, indicando que se ha pasado correctamente cada prueba realizada.

También revisar o bien forzar que las réplicas estén al día con el siguiente comando:

repadmin /syncall

Que debe devolver un mensaje final parecido a:

Comprobar la configuración de los sitios, mediante la consola ubicada en Herramientas Administrativas > Sitios y servicios de Active Directory

En los diferentes sitios, comprobar que los servidores que contiene son los que realmente tenemos y no hay objetos perdidos.

También debe comprobarse que cada servidor, en su carpeta NTDS Settings, tiene establecidas conexiones de réplica  con los otros servidores controladores de Active Directory.

Con estas comprobaciones hechas, hay que asegurarse que tenemos un entorno de DNS piramidal: todos los controladores apuntan a un único servidor de DNS como principal y como secundario a él mismo. Podemos empezar a hacer la migración.

Y por último, que los niveles de funcionalidad del bosque y del dominio estén soportados por la versión de Active Directory a ampliar.

Ampliación del esquema

Antes de promocionar los nuevos servidores con Windows 2012 R2, hay que preparar el esquema del Active Directory para poder disponer de los nuevos objetos y atributos de Windows 2012 R2. Desde un controlador de Active Directory actual, con los permisos nombrados anteriormente, cargar la imagen ISO de instalación de Windows 2012 R2.

Abrir la consola de símbolo de comandos con privilegios de administrador.

Ubicarse en la unidad lógica de la imagen de Windows 2012 R2, en mi caso la e:\, y entrar en el directorio  \support\adprep

Ejecutar las instrucciones:

adprep /forestprep

Pedir confirmación para iniciar la tarea, mediante la tecla C + INTRO, y hacer la migración. Si todo es correcto, acaba con un fantástico: «Adprep actualizó correctamente la información de todo el bosque.»

Siguiente instrucción:

adprep /domainprep /gpprep

Puede ser que con la primera instrucción ya haya tenido suficiente, pero por si las moscas, comprobar que todo esté correcto, como mucho saldrá una advertencia de que ya está todo actualizado.

Aunque de momento no se necesite para el tipo de instalación, es conveniente preparar el Active Directory para tener servidores en modo lectura:

adprep /rodcprep

Asegurar la réplica del Active Directory:

repadmin /syncall

Ya podemos ir a los nuevos servidores para continuar.

Promocionando un servidor a controlador de Active Directory

Con el servidor acabado de instalar y todo actualizado a la fecha, se debe añadir el rol de controlador de Active Directory. Desde el Administrador del servidor > Panel, hacer clic en Agregar roles y características.

Se inicia el asistente, hacer clic en Siguiente.

Seleccionar Instalación basada en características o en roles, hacer clic en Siguiente.

Seleccionar el servidor donde se quieren instalar los roles, no tiene más, escoger el servidor correspondiente. Hacer clic en Siguiente.

Del listado de roles, marcar Servicios de dominio de Active Directory, aceptar la pregunta de añadir las herramientas de administración, claro. Hacer clic en Siguiente.

En este caso, podemos obviar el apartado de características, hacer clic en Siguiente.

Información referente a los servicios de Active Directory, hacer clic en Siguiente.

Resumen de la instalación, hacer clic en Instalar.

Una vez finalizada la copia de binarios, se nos advierte que se tiene que configurar. Hacer clic en el botón Cerrar.

Desde el Administrador del Servidor, hacer clic en la banderita con el triángulo de advertencia. En el desplegable, hacer clic en Promover este servidor a controlador de dominio.

Se inicia el asistente para añadir un controlador de Active Directory. Como que lo que se pretende es añadir controladores nuevos y no crear un Active Directory nuevo, seleccionar Agregar un controlador de dominio a un dominio existente. Seleccionar el dominio y hacer clic en Siguiente.

Seleccionar las características adicionales del controlador:

• Servidor de Sistema de nombres de dominio (DNS)
• Catálogo global
• El sitio donde se instalará el nuevo controlador: Default-Firts-Site-Name
• Y la contraseña de restauración de los servicios de directorio, recordad que no debe ser una contraseña simple.

Hacer clic en Siguiente cuando todo esté correcto.

Puede salir una advertencia de la delegación de zona DNS, según el nombre de dominio que se disponga. Hacer clic       en Siguiente.

Nos pregunta desde donde se hará la réplica del Active Directory al nuevo servidor. Indicar según corresponda: una copia de seguridad, un controlador de Active Directory. Hacer clic en Siguiente.

Indicar la ruta donde se almacenaran los ficheros del Active Directory. Si es un servidor dedicado con  un único disco duro y según el hardware que haya por debajo, se puede dejar por defecto. Si no, recordar las buenas prácticas y actuar según corresponda: RAID-1, discos separados, espacio necesario, etc…

• Capacity Planning para los servicios de Active Directory.
• Crecimiento estimado por usuarios y unidades organizativas de Active Directory.

Hacer clic en Siguiente para continuar.

Revisar las opciones de la instalación, hacer clic en Siguiente.

Comprobación de los requerimientos y posibles advertencias. Actuar en consecuencia a los resultados (leer lo que nos dice) y hacer clic en Instalar.

Esperar que se lleven a cabo las acciones necesarias, intentar no apagar el servidor y/o servidores de Active Directory mientras realiza esta operación.

El asistente se encarga de reiniciar el servidor cuando es necesario, no os asustéis.

Cuando haya reiniciado iniciar sesión con un usuario que disponga de todos los permisos correspondientes para modificar el Active Directory. Abrir, si no se inicia solo, el Administrador del servidor para comprobar que se han instalado correctamente los roles de Active Directory y que el servidor ha pasado a formar parte activa del mismo.

En Herramientas > Sitios y Servicios de Active Directory

En el lugar donde se ha ubicado el nuevo servidor, comprobar que aparece y que se está replicando con los otros controladores de Active Directory.

No está de más hacer una comprobación con el DCDIAG y el REPADMIN:

dcdiag

repadmin /syncall

Iniciando la consola de administración de usuarios y equipos de Active Directory: Administrador del servidor > Herramientas > Usuarios y equipos de Active Directory

se puede ver que el nuevo servidor se ha movido a la unidad organizativa de Domain Controllers.

Al añadir el rol de controlador de Active Directory, también se ha añadido el rol de DNS. Abriendo la consola de administración del DNS: Administrador del servidor > Herramientas > DNS.

Aparece el nuevo servidor con las zonas replicadas. Pero ojo, las zonas están replicadas, pero el servicio de DNS del servidor NO está configurado, hay que aplicarle la configuración correspondiente. Ver la entrada de como configurar un servidor de DNS.

Destruyendo los servidores antiguos

Cuando se haya dado por buena la integración del nuevo controlador de Active Directory, se puede proceder a desmantelar el/los servidor/es anterior/es, no sin antes haber hecho las modificaciones piramidales de DNS. No sea el caso que desmantelemos el servidor principal de DNS y se nos estropea el invento. Recordad de mover los roles de Active Directory de controlador, vale más saber donde están que no que vayan saltando de un sitio a otro.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

• Microsoft SQL Server con SMB3
• Microsoft SQL Server amb SMB3
• Containers en Linux
• Containers amb Linux
• Migrar el servidor de archivos a Windows Server 2019
• Migrar el servidor de fitxers a Windows Server 2019
• Puerta enlace a Azure en el Windows Admin Center
• Porta enllaç a Azure en el Windows Admin Center
• Hola mundo! WordPress 5 y Gutenberg
• Hola món! WordPress 5 i Gutenberg