Меню Рубрики

При апгрейде windows server 2003 на 2008 данные сохраняются

При апгрейде windows server 2003 на 2008 данные сохраняются

Введение в миграцию домена с Windows Server 2003 на Windows Server 2008/R2

Как недавно выяснилось, процесс миграции домена с Windows Server 2003 на Windows Server 2008/R2 (либо просто на другой сервер) для начинающих системных администраторов представляет сложности и даже вызывает некоторую боязнь, хотя на самом деле он настолько прост, что о написании такой статьи я даже и не задумывался никогда, тем более что в интернете их полно.

Тем не менее, целью данной статьи было объединить типовые действия, возникающие при миграции, поэтому приступим. Статья будет представлять собой пошаговый мануал, с наиболее распространенным случаем миграции с 2003 на 2008 R2 и с необходимыми отступлениями для других вариантов. Собственно шаги:

  • Исходные данные и техзадание
  • Подготовительные работы
  • Обновление схемы леса и домена
  • Передача ролей FSMO
  • Перенос глобального каталога
  • Перенастройка интерфейсов, DNS и другие послеустановочные задачи

Исходные данные и техзадание в миграции домена с Windows Server 2003 на Windows Server 2008/R2

Исходная ситуация — существует домен, testcompany.local. Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01. DNS-сервер также на нем, основная зона интегрирована в Active Directory.

Сетевые настройки контроллера:

IP-адрес — 192.168.1.11
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11

Задача — установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.

Подготовительные работы в миграции домена с Windows Server 2003 на Windows Server 2008/R2

В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag, убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.

В первую очередь определяем держателя FSMO-ролей в домене, командой:

Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:

Далее, устанавливаем операционную систему Windows Server 2008 R2 на новый сервер, даем имя скажем dc02, задаем сетевые настройки:

IP-адрес — 192.168.1.12
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11

и вводим его в существующий домен, testcompany.local в нашем случае.

Обновление схемы леса и домена

Следующий этап — обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep. Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01. На диске нас интересует папка X:\support\adprep (X: — буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной — adprep.exe.

Для выполнения команды adprep /forestprep никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.

После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С и нажимаем Enter:

Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:

Adprep successfully updated the forest-wide information.

Которая отработает не в пример быстрее:

Также стоит выполнить команду adprep /rodcprep. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller — RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.

После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.

На сервере dc02 заходим в Server Manager, добавляем роль Active Directory Domain Services. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)». Ее и запускаем. Либо можно в командной строке набрать dcpromo, что будет равноценно вышеприведенному действию.

Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog.

Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности (установки DNS-сервера и глобального каталога при добавлении добавочного контроллера домена) нет. О переносе глобального каталога и DNS-сервера будет немного ниже.

Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.

Передача ролей FSMO

Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe. В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504. Передача ролей FSMO будет состоять из следующих шагов:

  • Передача роли Schema Master.
  • Передача роли Domain Naming Master.
  • Передача ролей RID Master, PDC Emulator и Infrastructure Master.
Читайте также:  Smtp сервер windows 2012 r2 настройка

Передача роли Schema Master

Заходим на сервер dc02, на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema, сначала необходимо зарегистрировать библиотеку schmmgmt.dll. Это делается с помощью команды:

Далее, Start > Run > вводим mmc > Enter. В окне оснастки находим и добавляем компонент Active Directory Schema.

В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema и выбрать пункт Change Domain Controller. Там меняем контроллер на dc02.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema и выбираем пункт Operations Master. Появляется вот такое окно:

Нажимаем Change > Yes > OK и закрываем все эти окна.

Передача роли Domain Naming Master

Открываем оснастку Active Directory Domains and Trusts, щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем команду Change Active Directory Domain Controller. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.

В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем пункт Operations Master. В появившемся окне нажимаем кнопку Change.

Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Открываем оснастку Active Directory Users and Computers. Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.

В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers, выбираем пункт All Tasks, а затем Operations Master.

Выбираем вкладку, соответствующую передаваемой роли (RID, PDC или Infrastructure Master), и нажимаем кнопку Change. Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Перенос глобального каталога

Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставится, либо вы не поставили галку Global Catalog при установке добавочного контроллера домена, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services, ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.

После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут:

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Computer: dc02.testcompany.local
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.

Interval (minutes):
5

This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.

Перенастройка интерфейсов, DNS и другие послеустановочные задачи

Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.

В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders, на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.

Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо командой netdom renamecomputer.

После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix.

Источник

Особенности обновления контроллера домена до Windows Server 2008

Архив номеров / 2008 / Выпуск №10 (71) / Особенности обновления контроллера домена до Windows Server 2008

Андрей Бирюков

Особенности обновления контроллера домена
до Windows Server 2008

Более полугода прошло с момента официального выхода операционной системы Windows Server 2008. Многие уже, наверное, задумываются об обновлении своих серверов. Рассмотрим некоторые особенности перехода на новую операционную систему.

Обновление программных продуктов традиционно является головной болью практически всех системных администраторов. Многие администраторы стараются до последнего откладывать обновление своего программного обеспечения. Так, например, мне приходилось еще совсем недавно видеть сервера под управлением Windows NT 4.0, почтовые системы под Exchange 5.5 или MS SQL 7.0 в промышленной эксплуатации. В качестве обоснования такого консерватизма системные администраторы часто приводят очень простой довод – все и так работает. Бесспорно, в этом есть здравый смысл, ведь если система нормально функционирует и отвечает всем требованиям бизнеса, то менять ее зачастую оказывается себе дороже.

Но вендоры в свою очередь стараются всеми возможными средствами заставить клиентов переходить на новые версии. Политика Microsoft в этом отношении, на мой взгляд, излишне агрессивна. Вспомните хотя бы историю с попытками компании завершить продажи Windows XP в пользу Vista, таким образом вынудив многих производителей оборудования и программного обеспечения перейти на новую версию операционной системы. Однако обсуждение политики корпорации Microsoft не является темой сегодняшней статьи.

Когда речь идет об обновлении не рядового сервера, а контроллера домена, на первый план выходят технические и функциональные преимущества. Такие как RODC (Read Only Domain Controller) – контроллеры домена, доступные только для чтения, служба LDS (Lightweight Directory Services), которая позволяет использовать возможности LDAP без необходимости развертывать домен Active Directory, средство управления идентификацией пользователей Federation Services и другие. Возможность использования данного функционала является хорошим стимулом к переходу на новую версию операционной системы Windows Server 2008.

Итак, предположим, что у вас имеется парк серверов, работающих под управлением Windows Server 2003, и вам необходимо обновить их до Windows Server 2008.

Сразу скажу: в этой статье будет рассмотрено обновление только для операционной системы, что касается приложений, то, возможно, обновление наиболее популярных из них будет рассматриваться в следующих статьях. В качестве обновляемого сервера у нас будет выступать сервер контроллера домена Active Directory. Конечно, лучшим решением была бы установка «чистого» сервера Windows Server 2008 и последующее его включение в существующий домен с повышением до контроллера домена, но мы будем предполагать, что у нас нет оборудования для такой установки и поэтому нам необходимо выполнить именно обновление.

Но перед началом обновления давайте определимся с редакциями операционной системы, на которые вы можете перейти. В таблице я привел варианты обновления в зависимости от редакции операционной системы.

Совместимость версий Windows 2003 и Windows 2008

Вы используете сейчас:

Можно обновиться до:

Windows Server 2003 R2 Standard Edition

Windows Server 2003 Standard Edition with Service Pack 1 (SP1)

Windows Server 2003 Standard Edition with Service Pack 2 (SP2)

Full installation of Windows Server 2008 Standard (with or without Hyper-V)

Full installation of Windows Server 2008 Enterprise (with or without Hyper-V)

Windows Server 2003 R2 Enterprise Edition

Windows Server 2003 Enterprise Edition with Service Pack 1 (SP1)

Windows Server 2003 Enterprise Edition with Service Pack 2 (SP2)

Full installation of Windows Server 2008 Enterprise (with or without Hyper-V)

Windows Server 2003 R2 Datacenter Edition

Windows Server 2003 Datacenter Edition with Service Pack 1 (SP1)

Windows Server 2003 Datacenter Edition with Service Pack 2 (SP2)

Full installation of Windows Server 2008 Datacenter (with or without Hyper-V)

Как видно из таблицы, редакцию Standard Edition можно обновить как до Standard, так и до Enterprise-версии Windows Server 2008. Но в нашем случае мы будем использовать редакцию Standard Edition.

Готовимся к худшему

Прежде чем начать процесс обновления, необходимо совершить рутинные, но необходимые действия. Нужно выполнить резервное копирование данных.

Для контроллера домена можно как минимум воспользоваться штатной утилитой операционной системы – Ntbackup. С ее помощью можно сделать копию всех системных настроек (System State). Хотя, конечно, более надежным, на мой взгляд, способом является полная копия образа диска с помощью таких утилит, как Acronis True Image. Некоторые умельцы используют в качестве резервной копии один из двух дисков в «зеркале» RAID-1, при этом на втором диске производя обновление. Но подобные эксперименты уже на любителя, главное чтобы у вас была резервная копия операционной системы вашего контроллера домена.

Но одного только бэкапа недостаточно, лучше обеспечить отказоустойчивость. У вас в сети должен быть резервный контроллер домена. Проверьте его работоспособность, перенесите на него роль глобального каталога, затем отключив основной контроллер от сети.

Если все прошло успешно, то ваш сервер готов к обновлению.

Прежде всего установим в DVD-привод установочный диск с операционной системой. Далее необходимо запустить утилиты для подготовки домена и леса Active Directory. Для этого перейдите на DVD-привод, например, выполнив команду:

После этого нужно запустить команду adprep с различными параметрами:

  • adprep /forestprep – команда выполняет подготовку леса к обновлению контроллера домена;
  • adprep /domainprep – подготовка домена к обновлению;
  • adprep /rodcprep – эта команда не является обязательной, она требуется, если вы планируете сделать впоследствии Read Only Domain Controller.

Пока эти команды выполняются, я хотел бы сделать небольшое отступление и пояснить, что такое RODC. Контроллеры домена только для чтения предназначены для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллерах домена выполняются другие приложения. Это еще один довод для перехода на Windows Server 2008.

Между тем подготовка домена и леса благополучно завершилась, и мы можем продолжать обновление. В случае если возникли какие-либо проблемы, лучше всего обратиться к базе знаний Microsoft TechNet.

Теперь запускаем установку операционной системы. На первом же шаге вам будет предложено произвести установку последних обновлений (естественно, если ваш сервер подключен к Интернету). Я не стал совмещать две такие важные задачи, как установка заплаток и обновление операционной системы. Поэтому обновления мы установим потом (см. рис. 1).

Рисунок 1. Установка обновлений

На следующем шаге вам необходимо указать активационный ключ продукта. Затем принимаем условия лицензионного соглашения.

Если все предыдущие шаги были аналогичны обычному режиму установки, то следующий шаг будет немного отличаться (см. рис. 2). Выбираем режим Upgrade. После этого вас предупредят о проблемах совместимости оборудования и начнется процесс установки.

Рисунок 2. Выбор режима установки

В целом следует отметить, что по сравнению с предыдущими версиями операционной системы Windows 2000/2003 здесь задается гораздо меньше вопросов, к тому же все они задаются перед началом установки, а не во время. Это позволяет не сидеть около сервера все это время, а заняться более важными делами.

В процессе установки и обновления вас ждет несколько перезагрузок (к сожалению, от этой особенности инсталляции операционных систем от Microsoft, Windows Server 2008 сервер так и не избавился).

Итак, если по завершении обновления ваш сервер благополучно функционирует, пользователи успешно авторизуются в домене и другие контроллеры без проблем выполняют репликации, то можно вас поздравить и вся оставшаяся часть статьи к вам не относится.

Но что делать, если возникли какие-то проблемы и все работает не так как раньше?

В случае если сервер вообще не загружается, лучшим вариантом будет восстановление из резервной копии, одним из тех способов, о которых я упоминал в начале статьи. Надеюсь, вы не пренебрегли данным советом!

А что делать, если сервер загрузился, но работает как-то не так? Прежде всего необходимо проверить журнал событий на наличие сообщений об ошибках. Для этого нужно зайти в раздел Administrative Tools и выбрать Event Viewer. Размещение журнала событий Event Viewer аналогично предыдущим версиям Windows Server, а вот сам журнал несколько изменился. Добавились функции различной фильтрации и поиска.

Итак, какие типовые ошибки можно найти в журнале событий контроллера домена?

Symbolic Name: DIRLOG_GCVERIFY_ERROR

Message: Unable to establish connection with global catalog. (Internal DSID %1) .

Рубрика: Администрирование / Продукты и решения

Данная ошибка сообщает о невозможности установки связи с сервером глобального каталога. Решений данной проблемы может быть несколько, в зависимости от структуры вашего каталога Active Directory.

Во-первых, проверьте наличие соединения с сервером, выполняющим роль глобального каталога. Возможно, после обновления на Windows Server 2008 вы не установили драйвера для сетевой карты или установили излишне жесткие настройки для межсетевого экрана сервера. Проверку можно выполнить с помощью команды ping.

Во-вторых, проверьте наличие хотя бы одного сервера глобального каталога в лесу. Сделать это можно с помощью консоли dssite.msc или в разделе Active Directory Sites and Services. Только для этого вам потребуются права пользователя из группы Domain Admins. Далее выбираем раздел Default First Site Name, сервер, который должен являться глобальным каталогом и NTDS Settings. Далее выбираем Properties и смотрим, является ли сервер глобальным каталогом, если нет, то, возможно, имеет смысл сделать его таковым (см. рис. 3).

Рисунок 3. Наличие роли глобального каталога на сервере

Но тут не стоит забывать о «подводных камнях», а именно, сервер, который является глобальным каталогом, не должен содержать роли FSMO (Flexible Single Master Operations). В случае если он содержит данную роль, вам будет выведено предупреждение.

Еще одним поводом для появления ошибки 1126 может стать отсутствие запущенной службы NTDS Service на сервере глобального каталога. Для просмотра состояния данного сервиса воспользуйтесь командой sc query ntds. В строке STATE вы увидите его текущее состояние. Для запуска используйте команду net start ntds.

И еще одной причиной для появления данной ошибки является неверный номер порта для установки соединения с сервером глобального каталога. Выявить ее можно следующим образом. Откройте консоль Active Directory Users and Computers. Далее выбираем Change Domain Controller, затем Change Directory Server. После этого необходимо указать сервер DC и порт. Далее следите за значением поля Status. Если изменения вступили в силу, то значение Pending должно измениться на значение Online. Появление значения Unavailable должно заставить задуматься о настройках сети между серверами, скорее всего, межсетевой экран блокирует соединение по данному порту. Для того чтобы полностью удостовериться в том, что соединение между контроллером домена и сервером глобального каталога восстановлено, можно воспользоваться командой nltest. Для этого откройте командную строку и введите:

Nltest /server:Имя_сервера /dsgetdc:Имя_домена /gc /force

  • Имя_сервера – это имя сервера глобального каталога;
  • Имя_домена – это домен Active Directory.

В результате успешного выполнения команды на экран будет выведена информация о данном сервере. Наличие в разделе Flags записи GC говорит о том, что данный сервер содержит роль Global Catalog (см. рис. 4).

Рисунок 4. Проверка соединения с сервером глобального каталога

На примере проблем с доступом к серверу глобального каталога я рассмотрел одну из типичных проблем работы Active Directory после обновления на версию 2008. Поэтому для решения проблем с Active Directory и Windows Server 2008 я рекомендую обратиться на Microsoft TecNet [2].

Рассмотрев процесс обновления контроллера домена Windows Server 2003 до версии 2008, а также типовые сложности, которые могут возникнуть в процессе установки, я завершаю эту статью. Надеюсь, изложенная информация будет полезна вам в работе.

Источник

Adblock
detector