Migrar el Directorio Activo de Microsoft Windows 2003 a Microsoft Windows 2008

1 de 46 10/09/2008 13:53 Migrar el Directorio Activo de Microsoft Windows 2003 a Microsoft Windows 2008 Migrar Active Directory de Windows 2003 a Windows 2008, En este documento se mostrará cómo migrar correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Siendo la migración del Directorio Activo 2000 o 2003 a 2008. Se migrará el Directorio Activo a esta nueva versión a nuevos controladores de dominio. Los controladores de dominio viejo desaparecerán. Así que se necesitará un servidor nuevo para poder instalarle Windows 2008, hacerle controlador de dominio, pasarle los roles y posteriormente despromocionar los controladores de dominio viejos. Finalmente se elevará el nivel funcional del dominio y del bosque a 'Windows 2008'. Los pasos correctos a seguir serán: Comprobar estado de los controladores de dominio - AKI, (recomendable pero no obligatorio) Preparar el Directorio Activo - AKI, Unirse a un Directorio Activo Existente - AKI, Migrar los roles - AKI, Despromoción de controladores de dominio antiguos - AKI, Elevar niveles funcionales - AKI, Ojo, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008: - Dominio actual no tiene que ser 'Modo Mixto', si no 'Modo Nativo' o 'Windows 2003 Server' - Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 - AKI. - Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1. Comprobar estado de los controladores de dominio, Bien, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol... no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes... Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

2 de 46 10/09/2008 13:53 Por ejemplo, tenemos DCDIAG. Está utilidad nos servirá para hacer un diagnostico de los controladores de dominio. Esta herramienta de la línea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft - AKI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionaré la salida de texto a un fichero de texto TXT: dcdiag.exe > FICHERO_DE_LOG Al abrir el fichero de LOG generado tendremos un texto como el siguiente: Domain Controller Diagnosis

3 de 46 10/09/2008 13:53 Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: HXXXXXXXI\HXXXXXXX1 Starting test: Connectivity... HXXXXXXX1 passed test Connectivity Doing primary tests Testing server: HXXXXXXXI\HXXXXXXX1 Starting test: Replications [Replications Check,HXXXXXXX1] A recent replication attempt failed: From AXXXXX1 to HXXXXXXX1 Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es The replication generated an error (1722): El servidor RPC no está disponible. The failure occurred at 2008-07-15 07:38.25. The last success occurred at 2008-07-01 18:51.20. 91 failures have occurred since the last success. [AXXXX01] DsBind() failed with error 1722, El servidor RPC no está disponible.. The source remains down. Please check the machine. [Replications Check,HXXXXXXX1] A recent replication attempt failed: From MXXXX01 to HXXXXXXX1 Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es The replication generated an error (1722): El servidor RPC no está disponible. The failure occurred at 2008-07-15 07:38.48. The last success occurred at 2008-07-01 18:51.20. Ojo, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. ;) Más, tenemos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, entre ellas, administrar y modificar la topología de

4 de 46 10/09/2008 13:53 replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para leer más, visitar la web de Microsoft - AKI. El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato: repadmin.exe /showreps > FICHERO_DE_LOG Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

5 de 46 10/09/2008 13:53 HXXXXXXXI\HXXXXXXX1 DSA Options : IS_GC objectguid : c35f9d05-c11b-4f10-bfc0-022218fe3c31 invocationid: 65de4042-efe6-4619-b3c5-11b5fbcb264f ==== INBOUND NEIGHBORS ====================================== CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es UXXXXXXI\AXXXXX1 via RPC objectguid: c14aa802-564c-4667-aa8a-d610aa5c4cd0 Last attempt @ 2008-07-15 07:41.05 failed, result 1722: El servidor RPC no está disponible. Last success @ 2008-07-01 18:51.21. 91 consecutive failure(s). CXXXXXN\AXXXXX1 via RPC objectguid: d14300de-a51a-4e8d-a770-dc44b7f029ab Last attempt @ 2008-07-15 07:41.51 failed, result 1722: El servidor RPC no está disponible. Last success @ 2008-07-01 18:51.21. Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones. Esta herramienta nos comprobará el estado de ellas.

6 de 46 10/09/2008 13:53 El comando en cuestión se ejecuta de la siguiente manera: gpotool.exe > FICHERO_DE_LOG Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs... Available DCs: hxxxxxxx1.xxxxxxx.es Searching for policies... Found 167 policies

7 de 46 10/09/2008 13:53 ============================================================ Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801} Policy OK ============================================================ Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C} Policy OK ============================================================ Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8} Policy OK ============================================================ Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963} Policy OK ============================================================ Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4} Policy OK ============================================================ Policy {0959942F-21A2-4FF0-B84C-1A3748E24815} Policy OK ============================================================ Policy {097AB751-C12A-4A42-B8BE-26B54190FB12} Policy OK ============================================================ Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F} Policy OK ============================================================... ============================================================ Policy {FF00FDCE-229C-4EFA-B442-4CADE83A49EA} Policy OK Policies OK Preparar el Directorio Activo, Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores. Primero de todo, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos: adprep /forestprep

8 de 46 10/09/2008 13:53 Para continuar pulsamos "C", pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,... esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, a la versión 44 que es un bosque 2008)...

9 de 46 10/09/2008 13:53 Ok, comprobamos que finaliza correctamente. Ahora, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol 'Domain Naming Master' o RID con nivel de permisos de Administrador de dominio. El comando será: adprep /rodcprep

10 de 46 10/09/2008 13:53 Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado. Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio: adprep /domainprep /gpprep

11 de 46 10/09/2008 13:53 Esperamos a que se realice completamente el comando y que los resultados sean correctos. Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando. Unirse a un Directorio Activo Existente, Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento - AKI. Y le promocionaremos a controlador de dominio en nuestro dominio actual. En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando 'dcpromo' en la opción "Ejecutar" del menú Inicio. Y aceptamos.

12 de 46 10/09/2008 13:53... esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo... Comienza el asistente de instalación para crear o unirnos a un dominio, "Siguiente",

13 de 46 10/09/2008 13:53 Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-microsoft SMB, continuamos, "Siguiente",

14 de 46 10/09/2008 13:53 Debemos seleccionar la opción "Bosque existente" y "Agregar un controlador de dominio a un dominio existente", "Siguiente",

15 de 46 10/09/2008 13:53 Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y "Siguiente",

16 de 46 10/09/2008 13:53 Seleccionamos el dominio al que nos uniremos, "Siguiente",

17 de 46 10/09/2008 13:53 Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & "Siguiente",

18 de 46 10/09/2008 13:53 Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. "Siguiente",

19 de 46 10/09/2008 13:53 Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:\Windows\NTDS y C:\Windows\SYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, "Siguiente",

20 de 46 10/09/2008 13:53 Bien, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), "Siguiente",

21 de 46 10/09/2008 13:53 Comprobamos el resumen de la preparación para promocionar ya a este servidor, "Siguiente",... esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional...

22 de 46 10/09/2008 13:53 Bien, una vez instalados los servicios del AD pulsamos en "Finalizar", Debemos reiniciar este servidor, pulsamos en "Reiniciar ahora", Migrar los roles, Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Se puede realizar de dos formas, mediate GUI, o mediante comandos. Y hay una tercera forma que sería la agresiva por si no nos funciona correctamente el Directorio Activo y debemos forzar el traslado de las funciones - AKI. A continuación lo haremos mediante GUI:

23 de 46 10/09/2008 13:53 Para modificar los roles, nos vamos a la consola de "Usuarios y Equipos de Active Directory" del servidor al que queremos migrar los roles, si es posible, si no, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, con botón derecho "Cambiar el controlador de dominio... " Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

24 de 46 10/09/2008 13:53 Bien, ahora comencemos a migrar los roles, para ello, sobre el dominio con botón derecho > "Maestro de operaciones..."

25 de 46 10/09/2008 13:53 Debemos cambiar las tres opciones, primero, desde la pestaña de RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre "Cambiar...", le damos. Confirmamos, "Sí" "Aceptamos". Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

26 de 46 10/09/2008 13:53 Ahora con la siguiente pestaña, la de "Controlador de dominio principal", pulsamos sobre "Cambiar..." "Sí", "Aceptar",

27 de 46 10/09/2008 13:53 Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008, Y por último el servidor de "Infraestructuras", pulsamos sobre "Cambiar...",

28 de 46 10/09/2008 13:53 Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, confirmamos, "Sí". Aceptamos, Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

29 de 46 10/09/2008 13:53 Ok, otro rol, ahora el de maestro de operaciones, sobre "Dominios y confianzas de Active Directory", tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre "Dominios y confianzas de Active Directory" > "Cambiar controlador de dominio de Active Directory..." Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

30 de 46 10/09/2008 13:53 Pulsamos con el botón derecho en "Dominios y confianzas de Active Directory" y seleccionamos "Maestro de operaciones...", Vale, nos dice que cambiaremos de de un servidor antiguo al 2008 el "Maestro de operaciones", le damos a "Cambiar...", Confirmamos, "Sí",

31 de 46 10/09/2008 13:53 Aceptamos, Ahora, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, escribimos "regsvr32 schmmgmt.dll" para migrar el servidor de esquema, al dar al "Enter" nos saldrá la confirmación, la aceptamos. Lo dicho, "Aceptar",

32 de 46 10/09/2008 13:53 Ahora abrimos una consola MMC (Microsoft Management Console) desde el menú Inicio en "Ejecutar" escribiendo 'mmc' y aceptando. Pinchamos en "Archivo" > "Agregar o quitar complemento..."

33 de 46 10/09/2008 13:53 Pulsamos en "Agregar", En los complementos buscamos el "Esquema de Active Directory" y pulsamos sobre "Agregar" y luego sobre

34 de 46 10/09/2008 13:53 "Cerrar" y "Aceptar", Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, para ello, botón derecho sobre "Esquema de Active Directory" y elegimos "Cambiar el controlador de dominio..." Escribimos el nombre del servidor al que queremos migrar y aceptamos.

35 de 46 10/09/2008 13:53 Para cambiar el servidor que aloja el esquema, pinchamos con botón derecho sobre "Esquema de Active Directory" y seleccionamos "Maestro de operaciones..." Igual que antes, nos muestra el servidor actual de "Maestro de esquema", para migrarlo de uno a otro pulsamos sobre "Cambiar..." y aceptamos.

36 de 46 10/09/2008 13:53 Confirmamos que lo queremos cambiar, Aceptamos. Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de "Sitios y Servicios de Active Directory", sobre "Sitios y servicios del AD" > "Sites" > en cualquier domain controller, y nos vamos al servidor nuevo a "NTDS Settings" > botón derecho > "Propiedades",

37 de 46 10/09/2008 13:53 Y simplemente marcarle el check de "Catálogo global" y aceptamos,

38 de 46 10/09/2008 13:53 Y bueno, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de "Permitir transferencias de zona" para que traiga la zona a nuestro nuevo controlador de dominio. Despromoción de controladores de dominio antiguos, Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, para ello, los quitaremos de forma limpia, esto es, con una despromoción. Así que en los servidores obsoletos se debe despromocionar mediante el comando 'dcpromo.exe' en la opción "Ejecutar" del menú Inicio.

39 de 46 10/09/2008 13:53 Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en "Next", Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Aceptamos.

40 de 46 10/09/2008 13:53 "Siguiente", Introducimos la contraseña que queremos que tenga el administrador local de este equipo, "Siguiente",

41 de 46 10/09/2008 13:53 Comprobamos todos los pasos y pulsamos en "Siguiente" para despromocionar este controlador de dominio,... esperamos unos minutos...

42 de 46 10/09/2008 13:53 "Finalizar", se quitó bien, Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Pulsamos en "Reiniciar ahora", Elevar niveles de funcionamiento, Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas: Nivel funcional del Características habilitadas dominio Windows 2000 Todas las características predeterminadas de Active Directory y nativo las características siguientes: Los grupos universales están habilitados para grupos de distribución y de seguridad. Anidación de grupos. Sistemas operativos de controlador de dominio admitidos Windows 2000 Windows Server 2003 Windows Server 2008

43 de 46 10/09/2008 13:53 Windows Server 2003 Windows Server 2008 La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución. Historial de identificadores de seguridad (SID). Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes: La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio. Actualización de la marca de tiempo de inicio de sesión. El atributo lastlogontimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio. La capacidad de establecer el atributo userpassword como la contraseña efectiva en inetorgperson y los objetos de usuario. La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: es decir, cn=computers,<raízdedominio> y cn=users, <raízdedominio>. Esta característica permite definir una ubicación nueva conocida para estas cuentas. Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS). Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos. Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía. Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes: Windows Server 2003 Windows Server 2008 Windows Server 2008 Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL. Compatibilidad de los Servicios de cifrado avanzado (AES 128 y 256) con el protocolo Kerberos. Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión. Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

44 de 46 10/09/2008 13:53 Bueno, para elevar el nivel funcional del dominio, abrimos la consola "Dominios y confianzas de Active Directory" y sobre el dominio con botón derecho > "Elevar el nivel funcional de dominio..." Debemos seleccionar el nivel funcional del dominio "Windows Server 2008" y pulsamos "Elevar", Aceptamos, ojo! a tener en cuenta que esto será irreversible.

45 de 46 10/09/2008 13:53 Perfecto, aceptamos, Bueno, para elevar el nivel funcional de bosque, abrimos la consola "Dominios y confianzas de Active Directory" y sobre "Dominios y confianzas de Active Directory" con botón derecho > "Elevar el nivel funcional del bosque..."

46 de 46 10/09/2008 13:53 Debemos seleccionar el nivel funcional del bosque "Windows Server 2008" y pulsamos "Elevar", Igual que antes, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir. "Aceptar" y ya tendríamos un Directorio Activo actualizado a nivel funcional Windows 2008. www.bujarra.com - Héctor Herrero - nheobug@bujarra.com - v 1.0