Обновление Active Directory с Windows Server 2008 R2 до версии Windows Server 2012

В этой статье мы поговорим о процедуре обновления домена с версии Windows Server 2008 R2 до Windows Server 2012 с последующим понижением роли старого контроллера домена до рядового сервера AD.

Итак, что имеется:

• Домен Active Directory как минимум с одним контроллером домена на Windows Server 2008 R2
• Уровень леса и домена AD должен быть как минимум Windows Server 2003
• Дополнительный рядовой сервер домена с Windows Server 2012 , который в дальнейшем станет контроллером домена (как включить сервер в домен подробно описано в статье Как включить Windows 8 в домен).
• Учетная запись с правами администратора домена, схемы и леса.

Прежде чем добавлять новый контроллер домена на Windows 2012 необходимо обновить схему домена и леса. Классически подготовка и повышение уровня домена осуществлялась вручную с помощью утилиты Adprep.exe. В документации новой серверной платформы от Microsoft указано, что при повышении первого сервера с Windows Server 2012 до уровня контроллера домена, повышение уровня домена происходит автоматически при установке роли AD DS на первый сервер Windows 2012 в домене. Так что, теоретически, для подготовки домена ничего делать не нужно.

Однако, предпочтительнее контролировать результат такого ответственного процесса, как обновление схемы. Выполним процедуру обновления схемы вручную.

Обновление схемы AD до Windows Server 2012 с помощью adprep

Для обновления схемы нам понадобится утилита adprep.exe, взять которую можно в каталоге \support\adprep\ на диске с дистрибутивом Windows Server 2012. Данная утилита бывает только 64-разрадной (утилиты adprep32.exe больше не существует), соответственно, запустить ее можно будет только на 64 разрядном контроллере домена.

Необходимо скопировать утилиту на текущий DC с ролью Schema Master (Хозяин схемы) и в командной строке с правами администратора выполнить команду подготовки леса к установке нового DC на Windows Server 2012:

Версия схемы Active Directory в Windows Server 2012 — 56.

Далее обновим схему домена:

Далее осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Если все прошло хорошо – продолжаем. Пришла пора развернуть контроллер домена на Windows Server 2012.

Установка контроллер домена на Windows Server 2012

Первой интересной новостью является тот факт, что знакомой администраторам утилиты DCPROMO, позволяющей добавить или удалить контроллер домена в AD больше не существует. При ее запуске появляется окно, в котором сообщается, что мастер установки Active Directory Domain Services перемещен в консоль Server Manager.

Что ж, откроем консоль Server Manager и установим роль Active Directory Domain Services (Внимание! Установка роли автоматически не означает тот факт, что сервер стал контроллером домена, роль нужно сначала настроить)

После окончания установки роли появится окно, в котором сообщается, что сервер готов стать контроллером домена, для чего нужно нажать на ссылку “Promote this server to domain controller” (далее мы рассмотрим только значимые шаги мастера создания нового контроллера домена).

Затем нужно указать, что данный контроллер домена будет добавлен в уже существующий домен (Add a domain controller to an existing domain), указать имя домен и учетную запись из-под которой будет проводится операция.

Затем укажите, что данный контроллер домена будет содержать роли GC (Global Catalog) и DNS сервера. Также укажите пароль восстановления DSRM (Directory Services Restore Mode) и, если необходимо имя сайта, к которому будет относиться данный контроллер домена.

В разделе “Paths” указываются пути к базе Active Directory (NTDS), файлам логов и каталогу SYSVOL. Учтите, что данные каталоги должны находиться на разделе с файловой системой NTFS, тома с новой файловой системой Windows Server 2012 — Resilient File System (ReFS) – использовать для этих целей нельзя!

По окончании работы мастера установки роли AD DS, сервер нужно перезагрузить. После перезагрузки вы получаете новый контроллер домена с ОС Windows Server 2012.

Удаление старого контроллера домена на Windows Server 2008 R2

Прежде, чем понизить роль старого контроллера домена с Windows Server 2008 R2 до рядового сервера, нужно перенести все FSMO роли на новый контроллер домена .

Процедура переноса ролей FSMO с одного контролера домена на другой нами уже рассматривалась, подробнее с ней можно познакомится в статье Передача ролей FSMO в Active Directory. Процедуру можно осуществить через графический GUI (проще) или из командной строки с помощью утилиты ntdsutil

После передачи роли FSMO PDC Emulator, необходимо настроить синхронизацию времени на новом контроллере домена с внешним сервером (с которым время синхронизировалось ранее). Подробно процедура настройки синхронизации времени на PDC описана в статье: Синхронизация времени с внешним NTP сервером в Windows 2008 R2 . Формат команды примерно такой (ntp_server_adress – адрес NTP сервера):

После того, как все роли FSMO перенесены на новый DC Windows Server 2012, убедитесь, что домен работает корректно: проверьте прохождение репликации AD, журналы DNS и AD на наличие ошибки. Не забудьте в настройках сетевой карты на новом сервере в качестве предпочтительного DNS сервера указать собственный адрес.

Если все прошло корректно, можно понизить роль старого контроллера домена 2008 R2 до рядового сервера домена. Это можно сделать, запустив на нем мастер DCPROMO, и указать, что данный сервер более не является контроллером домена. После того, как данный сервер станет рядовым сервером, его можно полностью отключить.

Upgrade редакций Windows Server 2012

Ранее мы уже рассматривали процедуру обновления с Windows 2008 Standart до Enterprise, сегодня поговорим об этой же процедуре для новой версии серверной платформы Microsoft – Windows Server 2012. Прежде чем говорить о возможностях апгрейда с одной версии Windows Server 2012 на другую, попробуем вспомнить, а какие, собственно, версии Windows Server 2012 доступны и в чем заключаются их функциональные отличия и модели лицензирования.

Версии Windows Server 2012

В настоящий момент Windows Server 2012 доступна в 4 редакциях (пруф):

1. Windows Server 2012 Foundation – редакция для небольших организаций, которым необходим только базовый функционал сервера (роли файл, принт-сервера или сервера приложений). В данной версии не предусмотрены возможности виртуализации, а общее количество пользователей ограничено 15. Поставляется только в ОЕМ версии и поддерживает только однопроцессорные системы. Не требует покупки клиентских CAL.
2. Windows Server 2012 Essentials– редакция также предназначена для небольших организация (до 25 пользователей и 50 мобильных устройств), в эту редакцию включены практически все роли, доступные в старших редакциях (кроме Server Core, Hyper-V и Active Directory Federation Services). Клиентские лицензии CAL также не требуются.

По сути последние две редакции и являются основными доступными редакциями Windows Server 2012. Редакция Standard функционально полностью идентична версии Datacenter, поэтому при выборе редакции необходимо выбирать не в зависимости от наличия или отсутствия нужного функционала, а лишь в зависимости от плотности виртуальной среды.

Обновление версии Windows Server 2012

В случае, если вы работаете на «младшей» версии Windows Server 2012 и вам необходимо получить дополнительный функционал, можно выполнить обновление до следующей по старшинству версий Windows 2012. Обновление можно выполнить прямо в «онлайн» режиме без необходимости останавливать или перенастраивать службы (системные настройки, установленные роли, службы – все останется без изменений).

Доступны следующие варианты обновления:

• Обновление с Windows Server 2012 Essentials до Windows Server 2012 Standard
• Обновление с редакции Standard до Windows Server 2012 Datacenter

Примечание. Для обновления на «старшую» необходимо иметь соответствующий лицензионный ключ.

1. Откройте командную строку с правами администратора.
2. Определим текущую редакцию Windows Server с помощью команды

Версия установленной Windows 2012 — ServerStandart.
Получим список версий, до которых возможно обновить текущую редакцию получим так:

Как вы видите, возможно обновление до ServerDatacenter.
С помощью команды DISM выполним обновление с редакции Standart до Datacenter

Для того, чтобы стал доступен весь функционал новой редакции, сервер необходимо перезапустить (например, в период обслуживания)

В случае обновления с Windows Server 2012 Essentials до Standard в ОС останется ряд специфических инструментов редакции Essentials (Dashboard, Remote Web Access, возможность бэкапа клиентских компьютеров). Однако из-за технических ограничений эти инструменты смогут работать только с 75 пользователями и 75 мобильными устройствами. Чтобы убрать это ограничение, придется удалить данные инструменты управления и пользоваться стандартными для Windows Server 2012 средствами. Кроме того, т.к. в модели лицензирования Windows 2012 Essentials отсутствует понятие Client Access License (CAL), при обновлении до редакции Standard необходимо е забыть приобрести нужное количество CAL.

Если сервер является контроллером домена Active Directory, перед выполнением апгрейда версии, необходимо понизить его до уровня рядового сервера, проапгрейдить версию указанным способом, а потов вновь повысить до контроллера домена.

Как смигрировать домен до уровня Server 2012 R2

Итак появилось свободное время в которое никто не отвлекает, все налажено и все работает, а потому пора заняться самообразование ведь никто кроме меня не заинтересован чтобы я был квалификационным сотрудником. Но это все лирика, а т. к. мой блог в последнее время что-то замер в наполнении практический заметок, то пора это дело исправлять. Может конечно всему виной хорошая погода, а не загруженность, но это не важно. Когда в твою команду приходит новый сотрудник и рассказывает что он успешно переводил всю инфраструктуру на новый уровень в частности серверной операционной системы становится как-то жалко себя, — а почему же я сам этого не сделал и сижу на отлаженном старом. Без думно переходить на что-то не опробовав самостоятельно я не делаю — только тест тест тест и потом практика. И вот сейчас я покажу все шаги через которые я прошел дабы произвести миграцию с домена уровня Server 2008 R2 до уровня Server 2012 R2.

1) Домен (polygon.local) на системе Server 2008 R2 Ent (srv-dc) развернутый по шагам заметки. Текущие действующие роли: AD + DHCP + DNS, IP Address = 10.9.9.1

2) Развернут Server 2012 R2 Standard (srv-ad), IP Address = 10.9.9.20 получен от DHCP сервера.

3) Поставлены все обновления на Server 2012 R2, предварительно у Вас должен быть развернут сервис обновления Windows систем именуемый, как WSUS, IP Address = 10.9.9.3

4) Ввести в текущий домен систему Server 2012 R2

Win + X — Control Panel — Category (Small icons) — System — Advanced system settings — вкладка Computer Name — Change

Computer name: srv-ad

Member of (Domain:) polygon.local

и нажимаю кнопку OK, затем указываю идентификационные данные учетной записи у которой есть права ввода станций в домен, в моем случае:

Login: ekzorchik

Pass: 712mbddr@

и нажимаю кнопку OK, успехом считается появление сообщения: Welcome to the polygon.local domain

и нажимаю кнопку Ok, OK (соглашаемся о том чтобы изменения применились текущую систему следует перезагрузить), Close (окна System Properties), Restart Now (окна Microsoft Windows).

5) Опираясь на инструкцию (не которые моменты будут отличаться) установки AD сделать данную систему как домен контроллер, а до этого авторизуюсь под учетной записью ekzorchik&712mbddr@, данная учетная запись является Администратором домена и обладает всеми группами которые нужны для полного администрирования AD (Domain Admins, Enterprise Admins, Schema Admins) и обязательно не забудьте сделать статический IP адрес у данного сервера.

6) Текущее положение FSMO ролей

srv-ad.polygon.local: Win + X — Command Prompt (Admin) —

C:\Windows\system32>netdom query fsmo

Schema master srv-dc.polygon.local

Domain naming master srv-dc.polygon.local

RID pool manager srv-dc.polygon.local

Infrastructure master srv-dc.polygon.local

The command completed successfully.

, как видно всеми ролями владеет сервер под управлением Windows Server 2008 R2 (Ent), ну что же буду мигрировать на текущий:

Текущий список всех контроллеров домена:

C:\Windows\system32>dsquery server -forest

Дальнейшие действия опираются на следующую заметку.

Важно добиться чтобы вывод команды netdom query fsmo показал что все роли у srv-ad.polygon.local. У меня уже первая ошибка (или не знаю как по другому выразится), при попытке смены владельца Schema появляется всплывающее сообщение вида:

Active Directory Schema snap-in is not connected to the schema operations master. You will not be able to perform any changes Schema modifications can only be made on the schema FSMO holder.

Изменив шаги на:

Win + X — Command Prompts (Admin)

C:\Windows\system32>ntdsutil

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server srv-ad.polygon.local

Binding to srv-ad.polygon.local …

Connected to srv-ad.polygon.local using credentials of locally logged on user.

server connections: quit

fsmo maintenance: seize RID Master

fsmo maintenance: seize PDC

fsmo maintenance: seize infrastructure master

fsmo maintenance: seize naming master

fsmo maintenance: seize schema master

C:\Windows\system32>netdom query fsmo

Schema master srv-ad.polygon.local

Domain naming master srv-ad.polygon.local

RID pool manager srv-ad.polygon.local

Infrastructure master srv-ad.polygon.local

The command completed successfully.

Отлично все роли на новом сервере под управлением Windows Server 2012 R2 (Std), теперь удаляю контроллер домена под управлением Windows Server 2008 R2 из глобального каталога (Global Catalog):

Win + X — Control Panel — Administrative Tools — Active Directory Sites and Services —

Sites — Default-First-Site-Name — Server — разворачиваю и нахожу SRV-DC — затем открываю свойства (Properties) на NTDS Settings и внутри вкладки General снимаю галочку Global Catalog после чего нажимаю Apply , OK. Когда откроем оснастку Active Directory Users and Computer в организационном юните Domain Controllers будет видно, что сервер srv-dc больше не является глобальным каталогом:

Отлично, теперь ранее имевший место быть контроллер домена со всеми ролями по обслуживанию инфраструктуры можно деинсталлировать с помощью команды запущенной с правами администратора — dcpromo:

Start — All Programs — Accessories — Command Prompts (Run as Administrator) —

dcpromo, Next — отмечаю галочкой: Delete the domain because this server is the last domain controller in the domain, Next — Yes — указываю пароль на административный аккаунт указываемый при разворачивании домена:

Password: 712mbddr@

Confirm password: 712mbddr@

И нажимаю кнопку Next , Next но вот почему-то не все так просто как должно быть:

раз установщик не хочет по хорошему буду по плохому — удалю принудительно:

С:\Windows\system32\dcpromo /forceremoval , Yes — Next — Next — указываю пароль на административный аккаунт указываемый при разворачивании домена:

Password: 712mbddr@

Confirm password: 712mbddr@

И нажимаю кнопку Next, — Next — отмечаю галочкой Reboot on competion и вот только после принудительно удаления контроллер домена удаляется без каких либо проблем:

По окончании процедуры удаления нажимаем Finish — Restart Now.

Теперь нужно с мигрировать роль DHCP сервера с сервера srv-dc:

На srv-dc экспортирую настройки DHCP в файл:

Start — Control panels — Administrative Tools — DHCP — DHCP — srv-dc.polygon.local и через правый клик выбираю Backup… и указываю путь сохранения: c:\1 — внутри сохраняется файл: DhcpCfg

копирую данный файл (каталог net и файл DhcpCfg) на srv-ad:

c:\>xcopy c:\1\* \\10.9.9.20\c$\1

но сперва поднять роль DHCP на srv-ad делать это лучше через мастер добавления ролей:

Win + X — Control Panel — Administrative Tools — Server Manager — и добавляю роль DHCP (и устанавливаю в довесок компоненты DHCP Server Tools. Почему в Microsoft ни как не могут сделать чтобы при добавлении/удалении ролей системы не нужно было перезагружать не понимаю. Перезагружаю, после запускаю оснастку DHCP:

Win + X — Control Panel — Administrative Tools — DHCP — DHCP — srv-ad.polygon.local и через правый клик мышью импортирую настройки DHCP взятые с ранее имевшего место быть сервера srv-dc.polygon.local — Restore — C:\DhcpCfg

Следующим шагом проверяю какой функциональный уровень домена и леса через оснастку Active Directory Users and Computer — polygon.local — Properties и вижу не порядок (разве все это затевалось чтобы остаться как и было):

или же посмотреть текущий уровень домена можно через консоль командной строки PowerShell:

Win + X — Command Prompts (Admin) —

C:\Windows\system32>cd c:\Windows\System32\WindowsPowerShell\v1.0

c:\Windows\System32\WindowsPowerShell\v1.0>powershell.exe

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

c:\Windows\System32\WindowsPowerShell\v1.0> import-module -name activedirectory

PS C:\Windows\System32\WindowsPowerShell\v1.0> get-adforest | format-table name,

PS C:\Windows\System32\WindowsPowerShell\v1.0> exit

C:\Windows>cd %systemroot%\system32

через оснастку Active Directory Users and Computer — polygon.local — Raise domain functional level и опачки, мастер говорит что я не могу изменить функциональность домена потому что это домен включен в Active Directory Domain Controllers

Ладно значит нужно удалить из текущего домена (За основу беру заметку по удалению неисправного контроллера домена:) все упоминания об ранее имевшем место быть srv-dc:

C:\Windows\system32>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server srv-ad

Binding to srv-ad …

Connected to srv-ad using credentials of locally logged on user.

server connections: quit

metadata cleanup: select operation target

select operation target: list sites

select operation target: select site 0

No current domain

No current server

No current Naming Context

select operation target: list servers in site

Found 2 server(s)

select operation target: select server 0

No current domain

DSA object — CN=NTDS Settings,CN=SRV-DC,CN=Servers,CN=Default-First-Site

DNS host name — srv-dc.polygon.local

Computer object — CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: list domains

Found 1 domain(s)

select operation target: select domain 0

DSA object — CN=NTDS Settings,CN=SRV-DC,CN=Servers,CN=Default-First-Site

DNS host name — srv-dc.polygon.local

Computer object — CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: quit

metadata cleanup: remove selected server

Transferring / Seizing FSMO roles off the selected server.

Removing FRS metadata for the selected server.

Searching for FRS members under «CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local».

Deleting subtree under «CN=SRV-DC,OU=Domain Controllers,DC=polygon,DC=local».

The attempt to remove the FRS settings on CN=SRV-DC,CN=Servers,CN=Default-First-

Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local failed because «Element not found.»;

metadata cleanup is continuing.

lygon,DC=local» removed from server «srv-ad»

metadata cleanup: quit

ntdsutil: quit

Удаляю хост srv-dc из оснастки Active Directory Sites and Services

Удаляю все записи в DNS относящиеся к хосту srv-dc

и вот только после этого появляется возможность изменить функциональный уровень текущего домен контроллера с Server 2008 R2 на более высокий:

Active Directory Users and Computer — polygon.local — Raise domain functional level… — теперь доступны следующие уровни: Windows Server 2012 & Windows Server 2012 R2 — выбираю R2 и нажимаю Raise, OK, OK

И по такому же принципу изменяем функциональный уровень и для всего леса:

Active Directory Domains and Trusts — Active Directory Domains and Trusts [srv-ad.polygon.local] —

Raise Forest Functional Level… — Select an available forest functional level: сейчас установлено Windows Server 2012 изменяю на Windows Server 2012 R2 и нажимаю Raise, OK, OK. Изменения применяют сейчас, но все же это же Windows по возможности осуществите перезагрузку всего сервера: Win + X — Shut down or sign out — Restart — Continue — после перезагрузки проверяю какой функциональный уровень и вуаля и там и там значится Windows Server 2012 R2, а это новые возможности. Вот теперь я готов чтобы перевести все имеющее место быть собственно развернутое на самое последнее и стабильное. На этом я прощаюсь, с уважением автор блога — ekzorchik.