Перенос контроллера домена ActiveDirectory на новый сервер

В этой статье хочу рассмотреть процесс переноса контролера домена ActiveDirectory c Windows 2003 на Windows Server 2008.

Перед началом работы рекомендуется ввести новый сервер в домен. Вообще это не принципиально, но будет на много удобнее.

Дальше необходимо удостовериться, что пользователь под которым мы будем все переносить состоит в следующих группах:

• Enterprise admins
• Schema Admins
• Domain Admins

Дальше берем с установочного диска Windows 2008 папку support, находим в ней папку adprep и переходим в нее на исходнос сервере. При миграции с 2003 на 2008 нужно брать adprep с 2008-й винды.

Подготавливаем все к миграции:

Если исходный сервер имеет операционку x64, тогда используем вот такие команды. Первая может выполняться довольно долго:

Так же рекомендуется выполнить вот такую команду. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller — RODC), она уберет ненужные сообщения об ошибках в журнале событий.

С исходным севером все готово. Подключаемся к серверу №2 — тот на который переезжаем. Запускаем консоль от и выполняем:

Это открывает окно установки AD. Жмем Next .

Я добавлял контроллер в уже существующий лес, поэтому выбрал соответствующий пункт.

Дальше установщик предложит имя домена и имя пользователя от которого устанавливается служба.

Дальше Вы получите возможность выбрать сайт в который должен быть добавлен контролер. Менеджер установки сам предложит это на основе ip адреса, в зависимости от того к какому из сайтов относится подсеть.

В принципе все очень логично понятно. Дожидаемся окончания работы мастера и перезагружаем новый контролер домена.

Осталось перенести роли FSMO на новый сервер. Для Этого нужно запустить консоль под названием Active Directory Schema . Для этого переходим в меню Пуск/Start и выбираем пункт Запуск/Run. В появившееся окно вводим mmc.exe и жмем OK .

В появившемся окне из меню File выбираем пункт Add/Remove Snap-In:

Из списка в левой колонке выбираем Active Directory Schema жмем кнопку Add-> потом OK .

В результате таких телодвижений в левой колонке консоли появится элемент Active Directory Schema . Жмем правой кнопкой и выбираем Change Active Directory Domain Controller .

В появившемся окошке выбираем контролер домена на котором крутятся роли FSMO:

С выбором трудно ошибиться. Если Вы выберете КД который не управляет FSMO, получить вот такую ошибку:

Теперь мы подключены к главному держателю ролей. Жмем правой кнопкой на Active Directory Schema и выбираем пункт Operations Master :

В окошке выбираем куда перенести FSMO и жмем ОК.

Для переноса ролей RID, PDC и Infrastructure Master запускаем Active Directory Users and Computers (Пуск/Start->Панель Управления/Control Panel->Администрирование/Admin tools). Дальше по аналогии с предыдущим шагом подключаемся к исходному серверу. Правой кнопкой мыши жмем на Active Directory Users and Computers и выбираем пункт Operations Master . В появившемся окне переходим на нужную вкладку RID, PDC или Infrastructure и выбираем новый серсер для роли.

Для того, что бы перенести роль DNS нужно запустить консоль Active Directory Domains and Trusts . Дальше по аналогии с предыдущим шагом подключаемся к исходному серверу. Правой кнопкой мыши жмем на Active Directory Domains and Trusts и выбираем пункт Operations Master . В появившемся окне выбираем новый серсер для роли.

При написании статьи использовались следующие материалы:

Перенос контроллера домена на новый сервер

Довольно часто перед начинающими администраторами встает задача перенести контроллер домена на новое железо. В статье будет описан перенос контроллера домена под управлением Windows 2003 на новый сервер с установленной операционной системой Windows 2003. Переносить можно как с сохранением имени старого сервера, так и без сохранения имени. Статья рассчитана на совсем уж новичков, поэтому все будет разжевано.

• Домен: company.local;
• Старый сервер: Win2003, AD, DNS, DHCP, IP=192.168.0.100, имя=dc01;
• Новый сервер: Win2003, IP=192.168.0.101, имя=dc02;

1. Проверка действующего контроллера домена

На старом сервере запускаем утилиты dcdiag и netdiag и убеждаемся что никаких ошибок они не находят. Эти утилиты входят в состав Support Tools и если при запуске одной из утилит выскакивает сообщение

, то их необходимо установить. Либо с установочного диска Windows 2003, либо с официального сайта. Если никаких ошибок не обнаружено, то идем дальше, если же появляются ошибки, то исправляем их. В принципе достаточно воспользоваться поиском по каждой из ошибок и найти решение.

2. Установка дополнительного контроллера домена

Далее необходимо поднять дополнительный контроллер домена на новом сервере (тот который 192.168.0.101). Для этого нужно запустить (Пуск—>Выполнить или Start—>Run) на нем команду

и в появившемся окне выбрать Additional domain controller for an existing domain

После установки AD, перезагружаемся.

3. Установка DNS и DHCP

Устанавливаем DNS и если нужно, то DHCP на новый сервер. Заходим в Установку и удаление программ (Add or Remove Programs) и выбираем пункт установка компонентов Windows (Add/Remove Windows Components). В разделе Сетевые службы (Network Services) ставим галочки напротив DNS и DHCP и устанавливаем их.

Вполне вероятно что при установке AD, заодно поставился и DNS, поэтому не пугайтесь если DNS уже установлен.

На обоих контроллерах домена выставляем в настройках DNS, адрес нового сервера.

4. Перенос базы DHCP

Если нужно перенести базу DHCP, на старом сервере выполняем команду:

переносим полученный файл на новый сервер и на новом сервере выполняем команду:

Ну и соответственно в настройках DHCP выставляем всем клиентам DNS адрес нового сервера 192.168.0.101

5. Проверка контроллеров домена на ошибки

После всех предыдущих манипуляций, ждем минут 15-20, чтобы дать новому серверу перенести все настройки и записи в AD со старого. После чего, запускаем на обоих серверах уже знакомые нам утилиты dcdiag и netdiag и убеждаемся в отсутствии ошибок.

6. Перемещение Global Catalog

Теперь настала очередь перенести Global Catalog на новый сервер. Открываем на новом сервере Active Directory — сайты и службы (Sites and Services) —> Сайты (Sites) —> имя_сайта —> Серверы (Servers). Выбираем новый контроллер домена и в правом окне на объекте NTDS Settings выбираем Свойства (Properties). В появившемся окне ставим галку Global Catalog.

Ждем минут 5-10, в логах должно будет появиться сообщение This domain controller is now a global catalog, после чего можно удалять Global Catalog на старом сервере. Процедура таже, только теперь выбираем старый сервер и снимаем галку Global Catalog.

7. Перенос ролей FSMO

Для начала посмотрим, кто же все таки является держателем ролей FSMO-ролей в домене, в этом нам поможет команда:

Результат будет примерно таким:

Как видно из вывода, держателем ролей является наш старый сервер dc01. Исправим это недоразумение. Все дальнейшие действия производим на новом сервере.

Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры

Открываем оснастку Active Directory — пользователи и компьютеры (Users and Computers), щелкаем правой кнопкой по имени сайта и выбираем меню Хозяева операций (Operations Masters). В появившемся окне, на всех 3-х вкладках жмем на кнопку изменить (change) и соглашаемся с применением изменений.

Передача роли хозяина именования домена

Открываем оснастку Active Directory — домены и доверие (Domain and Trusts), и точно так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений.

Передача роли хозяина схемы

С передачей этой роли все происходит немного посложнее. Для начала нужно зарегистрировать в системе библиотеку schmmgmt.dll. Для этого выполняем команду:

Далее запускаем оснастку mmc:

и в появившемся окне в меню файл выбираем пункт Добавить или удалить оснастку (Add/Remove Snap-in). Далее Добавить (Add) и Схема Active Directory (Active Directory Schema).

И добавляем схему. Далее так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений. Если в поле изменить будет стоять адрес старого сервера, то достаточно выбрать пункт меню Изменение контролера домена (Change Domain Controller) и выбрать новый домен контроллер, после чего опять попытаться изменить хозяина.

Ну что, все роли успешно перенесены на новый сервер.

8. Удаление старого контроллера домена

Теперь настала пора удалить старый домен контроллер из сети. Запускаем:

и следуя мастеру, удаляем старый домен контроллер и все его упоминания из сети. После этого старый сервер можно погасить или отправить его выполнять другие обязанности.

Как мигрировать контроллер домена с системы Server 2003 на 2008

Для того, чтобы мигрировать контроллер домена на базе Windows Server 2003 R2 Enterpise на систему Windows Server 2008 R2 Enterprise и пойдет речь в данно й заметке.

Это делается для того, чтобы научиться управлять всеми возможностями новой среды, стать так сказать более продуктивнее. Многие заметки на моем блоге — это действительно показывают, причем наглядно и это не пустые слова, об этом говорит статистика их просмотров. Но довольно лирики, перейду к пошаговым шагам которые я изложу в этой заметке.

Контроллер домена развернутый ранее ( Windows Server 2003 R2)

и система Windows Server 2008 R2 ( заострять внимание как развернуть данную систему смысла не вижу, у меня UAC отключен) в той же подсети.

И так у меня есть существующий домен, polygon.local. Сетевые настройки точно такие же, как и в моей предыдущей заметке, которая по сути и является основной, а текущая ее продолжением.

Выделю основную цель: — развернуть контроллер домена на новой операционной системе, а предшествующий контроллер домена освободить от занимаемых функций, в пользу нового.

Проверим на dc1.polygon.local – кто же является обладателем всех FSMO— ролей.

FSMO – роли бывают:

Роль PDC Emulator – консоль Active Directory – Users and Computers

Роль RID Master – консоль Active Directory – Users and Computers ( Хозяин относительных идентификаторов)

Роль Infrastructure Master – консоль Active Directory – консоль Users and Computers ( Хозяин инфраструктуры )

Роль Domain Naming Master – консоль Active Directory – Domains and Trusts ( Хозяин именования доменов)

Роль Schema Master ( Хозяин схемы) — специальная консоль. Которая содержит оснастку Active Directory Schema ( Схема Active Directory)

Win + R → cmd.exe → вызываем утилиту netdom ( но есть одно, но данная утилита по умолчанию не установлена в системе, для ее установки потребуется пакет Support Tools, обычно он идет в комплекте с дистрибутивом, в данный пакет также входять такие необходимые подготовительные утилиты, как:

dcdiag – средство для диагностики контроллера домена на работоспособность с целью исправить все обнаруженные ошибки (запуск ее перед миграцией очень важен)

C:\Documents and Settings\Administrator>netdom query fsmo

Schema owner dc1.polygon.local

Domain role owner dc1.polygon.local

PDC role dc1.polygon.local

RID pool manager dc1.polygon.local

Infrastructure owner dc1.polygon.local

The command completed successfully.

, как видно все FSMO роли принадлежат контроллеру домена dc1.

Далее установленную систему Windows Server 2008 R2 Enterprise с именем dc2 вводим в домен, предварительно предопределив статический IP адрес, к примеру: 10.9.9.2

dc2: Win + R → cmd.exe →

C:\Users\Administrator>netsh interface show interface

Admin State State Type Interface Name

Enabled Connected Dedicated Local Area Connection

C:\Users\Administrator>netsh interface ipv4 set address «Local Area Connection» static 10.9.9.2 255.255.255.0

C:\Users\Administrator>netsh interface ipv4 set dns name=»Local Area Connection» static 10.9.9.1 primary

C:\Users\Administrator>netdom join %computername% /domain:polygon.local /userd:polygon.local\ekzorchik /passwordd:*

Type the password associated with the domain user:

The computer needs to be restarted in order to complete the operation.

The command completed successfully.

Перезагружаем систему, чтобы применились изменения и система стала полноправным членом домена : C:\Users\Administrator>shutdown /r /t 3

Следующий этап: — это обновление домена и леса , для этого нужно из установочного диска Windows Server 2008 R2 подмонтированного на логический диск D: — скопировать полностью папку (« adrep”) и переместить ее на домен контроллер dc1:

Win + R → cmd.exe

C:\Users\Administrator>hostname

C:\Users\Administrator>mkdir \\dc1\c$\support

C:\Users\Administrator>copy d:\support\adprep \\dc1\c$\support
44 file(s) copied.

На заметку: Если система dc1 у Вас 32— х битная то запускать следует исполняемый файл adprep32.exe, а если 64- х битная то adprep.exe

У меня dc1 – 64-х битный, поэтому и запускаем файл adprep.exe с ключами forestprep ( как держатель мастер схемы) и после domainprep ( как держателе инфраструктуры). Порой в небольшой организации (к примеру в которой я сейчас работаю) все эти роли обычно имеют место быть на одном из том же контроллере домена:

На заметку: при подготовке леса необходимо войти в мастер схемы в качестве члена группы Администраторов для схемы, предприятия и домена.

C:\Documents and Settings\Administrator>cd /d c:\

C:\>hostname

C:\>cd support

C:\support>adprep.exe /forestprep

если ничего не происходит, значит делаем по другому, а именно монтируем iso Образ дистрибутива Windows Server 2008 R2 к системе Windows Server 2003 R2 на логический диск D:

и через вызов командной строки: Win + R → cmd.exe

C:\>d:\support\adprep\adprep.exe /forestprep

Before running adprep, all Windows 2000 Active Directory Domain Controllers in t

he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

If ALL your existing Windows 2000 Active Directory Domain Controllers meet this

requirement, type C and then press ENTER to continue. Otherwise, type any other

key and press ENTER to quit.

C — на предупреждение вводим « C” и нажимаем Enter, чтобы начать подготовку леса. ( процесс отрабатывает довольно долго)

Opened Connection to DC1

SSPI Bind succeeded

Current Schema Version is 31

Upgrading schema to version 47

Connecting to «DC1»

Logging in as current user using SSPI

Importing directory from file «C:\WINDOWS\system32\sch32.ldf»

18 entries modified successfully.

И много всякой успешной информации которую я не буду здесь приводить.

Adprep successfully updated the forest-wide information.

Результирующим завершения команды должна быть надпись : Adprep successfully updated the forest-wide information.

После этого вводим команду:

C:\>d:\support\adprep\adprep.exe /domainprep /gpprep

Adprep detected that the domain is not in native mode

Adprep has stopped without making changes.

Configure the domain to run in native mode and re-run domainprep

поправить данное не выполнение команды можно так:

Start – Control Panel – Administrative Tools – Active Directory Users and Computers

выделяем домен polygon.local и через правый клик изменяем режим работы домена:

polygon.local – Raise Domain Functional Level

Привести к виду: выбрав вместо Windows 2000 native → Windows Server 2003 и нажать Raise ( Изменить)

и после подтвердить нажав OK

(Перевод: Это изменение затрагивает весь домен. После повышения режима работы домена его невозможно отменить.)

После будет информативное окно, что:

(Перевод: Режим работы успешно повышен. Новый режим работы будет реплицирован на каждый контроллер домена в домене. Время, которое на это потребуется, зависит от топологии репликации.)

После этого снова запускаем командную строку и набираем:

C:\>d:\support\adprep\adprep.exe /domainprep /gpprep

Adprep successfully updated the domain-wide information.

Adprep successfully updated the Group Policy Object (GPO) information.

Далее разрешим обновление контроллеров домена с доступом только для чтения.

C:\>d:\support\adprep\adprep.exe /rodcprep

Вот основные шаги по обновления схемы завершены, приступим к повышению роли нового сервера ( dc2) до контроллера домена.

На сервере Dc2: логинимся под доменной учетной запись обладающей правами « Domain Adminis”, в моем случае это учетная запись ekzorchik и вызываем утилиту dcpromo: Win +R > dcpromo

ставим галочку: Use advanced mode installation – Next – Next – Existing forest – Add a domain controller to an existing domain ( добавить домен контроллер в существующий домен) — Next – проверяем настройки аутентификации: (должно быть так как указано на скриншоте ниже)

и нажимаем Next – выбираем домен polygon.local (forest root domain) – Next – выбираем текущий сайт (у меня он один) Default-First-Site-Name – Next – активируем установку ( Ставим галки) следующих опций на вводимом в эксплуатацию контроллере домена, таких как:

Далее соглашаемся Yes – отмечаем пункт Replicate data over the network from an existing domain controller – Next – отмечаем пункт Use this specific and appropriate domain controller ( выделяем dc1.polygon.local) – Next – местонахождение каталогов NTDS (Database), NTDS (Log), SYSVOL оставляем дефолтным — Next – задаем пароль для Административной учетной записи на случай восстановления: — я указываю 712mbddr@ — Next – Next – начнется процесс преобразования

и ставим в этом процессе галочку « Reboot on completion” — перезагрузить систему ( dc2) когда процесс становления контроллера домена завершится успешно, дабы активировать изменения.

Теперь у меня есть два контроллера домена, работающих одновременно.

Дальше нужно передать роли FSMO с dc1 на dc2, сделать это можно двумя различными способами:

• Первый способ: через графический интерфейс

• Второй способ: через консольную утилиту ntdsutil.exe

У меня уже есть совмещенная заметка где описаны оба способа: ( см заметку: http://www.ekzorchik.ru/2012/09/server-2008-fsmo-roles-move/ )

Если же Вам нужно удалить неисправный контроллер домена (см. заметку:

Вот собственно и все, с чем я хотел познакомить читателей моего блога, но и про себя не забыл подробным руководством, что и как сделать. Данный процесс я проводил в одной организации в которой имел место работать. Если у меня будут какие либо неполадки в следствии этой миграции то они обязательно лягут в основу расписанных заметок. До встречи, с уважением автор блога ekzorchik.