מומלץ לקרוא את המאמר בפורום של חמשת התפקידים - FSMO
פוסט דומה למאמר למטה ניתן למצוא
בבלג של נתנאל בן שושן שידרוג דומיין 2003 לדומיין 2008R2
מאת: הראל משה (כל הזכויות שמורות)
כמה מאיתנו (מנהלי הרשת) תכננו והקימו באופן עצמאי את ה AD שהם מנהלים כיום?
אני מניח שלרובנו לא הייתה את הפריבילגיה, מכיוון שברוב המקרים אנו מקבלים את הדומיין
בירושה ממנהל הרשת הקודם. יש להסיק כי מדובר ב AD בסביבת דומיין של 2003 (אחרת לא היינו קוראים
את הכתבה הזו) שקרוב לוודאי מותקן על שרת ישן, עם חצי ג'יגה זיכרון שבקושי נשאר בו מקום פנוי.
במידה וזה המצב, אולי הגיע הזמן שנשקול לשדרג את הדומיין ל Windows Server R2. מדריך זה מלווה במדריכי ווידאו באיכות HD. מה נדרש מאתנו על מנת לבצע שדרוג של הדומיין לגרסת 2008R2? 1. רכישת שרת חדש ברוב המקרים יהיה עלינו לשכנע את המנהל הישיר שלנו שפעולה זו אכן הכרחית. הרי הכל עובד, אז למה לבזבז זמן עבודה יקר ותקציב לרכישת שרת חדש? ובכן, כל מה שעלינו לעשות, הוא להסביר את חשיבותו של שרת ה Active Directory בארגון ומה יהיה אם יקרוס ביום מן הימים. ה- AD הינו השרת הקריטי ביותר בארגון, המחזיק עליו את כל הגדרות הדומיין. דרכו מתבצע הזיהוי (שם משתמש + סיסמה) של המשתמשים וכלל מערכות החברה. במקרי כשל, מערכות כגון: שרת הדואר, בסיסי הנתונים, אפליקציות וכד' לא יהיו זמינות ברשת.
2. מעבר לאספקט הקריטי, יש להסביר למנהל כי כיום השרת מצוי בגרסת 2003 ויש צורך לשדרגו לגרסת 2008 לטובת אבטחת מידע, שיפור הביצועים, השירותים והנגישות לכלל החבר ה .
שדרוג או מיגרציה? במידה ושרת ה DC מצוי בגרסת 64 ביט, ניתן לבצע שדרוג (להשתמש בשרת הקיים). כלומר להכניס את דיסק ההתקנה של Windows server 2008 R2 ולבצע שדרוג. במידה ושרת ה DC מצוי בגרסת 32 ביט (סביר להניח) אין לנו אפשרות לבצע שדרוג כלומר In-place upgrade, אלא להתקין שרת חדש ולהעביר אליו את כל תפקידי הדומיין. * מערכת הפעלה Windows 2008 R2 ניתנת להתקנה על פלטפורמת 64 ביט בלבד, ולא ניתן לבצע שדרוג בין פלטפורמות .
הכרת הצעדים הכלולים בתהליך
הכנת רשימה של השירותים הרצים על ה-AD הקיים כגון: DNS, DHCP, DNS, WINS, CA, Time Server, Print Server רכישת שרת חדש, התקנת מערכת הפעלה 2008R2, הגדרתכתובת IP קבועה וצירוף המכונה לדומיין . בדיקת תקינות לשירותי ה AD הקיים. ביצוע הכנות מקדימות – בדיקת מוכנות שרת ה-Exchange, בדיקת גרסת ה SP המותקנת על שרתי ה- DC והכנת ה Schema ביצוע גיבוי ל AD הקיים: System State או Bare Mental עדיף שניהם. הרצת dcpromo על השרת החדש וצירופו לדומיין הקיים. העברת תפקידי ה fsmo לשרת ה DC הרץ על 2008R2. בסיום התהליך, ניתן לבצע הסרה של הדומיין 2003 מהרשת. * את כל הפעולות הללו ניתן לבצע ללא Downtime. לפני שאנו מתחילים, מומלץ לעיין בקישורים הבאים: Migrate Server Roles to Windows Server 2008 R2 מיקרוסופט הכינה פורטל אשר מספק את כל המידע הדרוש לביצוע המיגרציה מדומיין 2003 ל 2008R2Windows Server Migration Tools - ווידאו .Upgrade Domain Controllers - מסמך שדרוג רשמי של מיקרוסופט.
דרישות מקדימות
יש לוודא כי ה domain functional level הינו Windows 2000 Native ומעלה. ניתן לוודא זאת ע"י פתיחת ה Active Directory User and Computers, קליק ימני על שם הדומיין ובחירה באופציה Raise Domain Functional Level. יש לוודא ש Windows 2003 server SP2 מותקן על שרתי ה DC הקיימים. יש לכבות את תוכנת האנטי-ווירוס והפיירוול על שרתי ה DC הקיימים לפני השדרוג. יש לבצע את ההתקנה עם משתמש בעל הרשאות: של: Schema and Enterprise Admin ו Domain Admin. רצוי להשתמש ב Administrator של הדומיין. נוודא כי ה DNS על שרת ה 2003 הינו מוגדר כ Active Directory-integrated DNS zones, במידה ולא? כדאי שנבצע (kb816101 ) זאת .VIDEO מוכנות שרת ה Exchange
Exchange 2010 - יש לוודא שה- forest functional level הינו Windows Server 2003 ומעלה. יש לוודא שה- Active directory הקיים רץ על מערכת הפעלה Windows Server 2003 SP2 ומעלה, Server 2008 SP2 ומעלה.Exchange 2007 – נוודא כי מותקן SP2 או SP1 עם UR9 . * במידה וברצוננו להתקין את חבילת עדכונים SP3 על Exchange 2007, יש לוודא כי ה forest functional level הינו Windows Server 2003 ומעלה. פרטים נוספים: Exchange Server Supportability Matrix . ראה גם: Exchange Server and its relationship to Active Directory כלי עזר במידה ואנו לא מכירים את הטופולוגיה של הרשת\AD, ניתן להיעזר בכלי ADTD -מאמר על מנת לוודא כי הדומיין מוכן וניתן לשדרוג\מיגרציה מהגרסה הקיימת (2003) לגרסה העתידית (2008/2008R2), ניתן להשתמש בכלי Microsoft Assessment and Planning Toolkit .
בדיקת תקינות ל AD יש לבצע בדיקות תקינות ל Active directory לצורך אבחון ואיתור בעיות בטרם ביצוע השדרוג.
Event Viewer - בדיקת הודעות המערכת וחיפוש שגיאותפקודות לבדיקת תקינות (Health Check ) -שימוש במספר כלים המצויים בחבילת ה Support Tools dcdiag /v -בדיקת שגיאות ובעיות ב AD. Netsh dhcp show server- בדיקת שירות הדי.H.סי.פי dnslint /ad /s IPAddress /v /no_open- בדיקת תקינות הדי.אנ.אס. DNS. DCDIAG /test:DNS /DNSALL /e /v- בדיקת תקינות הדי.אנ.אס. repadmin /showrepl ו repadmin /replsum /errorsonly -בדיקת תקינות רפליקציה. netdiag /v- בדיקות תקינות תקשורת .
כלים נוספים לבדיקות תקינות: Microsoft IT Environment Health Scanner Spotlight on Active Directory Active Directory Domain Services Best Practices Analyzer Gptool - תקינות הגרופ פוליסי בין הדומיינים. פרטים נוספים: recommended hotfixes that you can install before you begin VIDEO ביצוע גיבוי לפי תחילת השדרוג יש לגבות את ה System State של ה Domain Controller המחזיק את כל הרולים (שרת 2003). <VIDEO
תחילת תהליך השדרוג – הכנת דומיין 2003 לקראת דומיין 2008R2 הרצת פקודות: adprep /forestprep, adprep /domainprep לפני ביצוע פעולת ה DCPromo על ה DC, יש לבצע הכנה של ה- schema וה forest לקראת בואו של דומיין 2008R2. לשם כך נדרש להריץ מספר פקודות adprep (מידע נוסף ) על שרת ה 2003. נבצע את פקודות ה adprep רק לאחר שביצענו בדיקות לתקינות ה active directory ווידאנו שהרפליקציה עובדת כראוי!
הרצת פקודות ה ADPREP פעולה זו תשדרג את ה Schema לגרסה 44 (Server 2008) או לגרסה 47 (Server 2008R2). ניתן לבדוק את גרסת ה Schema הנוכחית ע"י הרצת הפקודה "schupgr" מחלון דוס.
כלי ה adprep מצוי בדיסק ההתקנה של Server 2008R2 בתיקיית support\adprep. חשוב להשתמש בגרסת adprep התואמת לפלטפורמה עליה רץ שרת ה DC. הרצת הפקודות צריכות להתבצע ע"י משתמש בעל הרשאות: Schema, Enterprise And Domain Admins
הפקודות
D:\support\adprep32.exe /forestprep D:\support\adprep32.exe /domainprep -פעולה זו עשויה לקחת זמן מה. D:\support\adprep32.exe /domainprep /gpprep -יש להריץ את הפקודה לאחר שרפליקציה בוצעה לשאר ה-DC. D:\support\adprep32.exe /rodcprep -פקודה זו מיועדת אך ורק אם בכוונתו להתקין\לצרף RODC לדומיין . לפרטים והסברים נוספים ראה: Run Adprep commands לאחר ביצוע פקודות ה adprep יש לתת לדומיין זמן מה כדי לבצע רפליקציה לשאר ה DC. יש לעבור על ה Eventviewer ולוודא שאין שגיאות. יש להריץ את פקודת ה adsiedit.msc ולוודא כי גרסת ה Revision תחת ה Configuration>ForestUpdates>ActiveDirectoryUpdate הינה 5 וגרסת ה objectVersion של ה Schema הינה 47 –פרטים נוספים: VerifyForestPrep . במידה ונתקלנו בבעיות בזמן הרצת adprep יש לעיין בקישור הבא: Troubleshooting errors with Adprep.exe .
ווידאו 1 VIDEO
ווידאו 2 VIDEO
התקנת שרת 2008R2 התקנת 2008R2, צירופו לדומיין כ Member Server (בדומה להוספת תחנה) הקצאת כתובת IP קבועה. כתובת ה DNS אמורה להיות זאת של ה-DC הקיים (2003), זאת עד שנבצע dcpromo לשרת ה 2008R2.
הרצת dcpromo על השרת החדש (2008R2), נכנס לחלון דוס ונכתוב את הפקודה dcpromo. פעולה זו תבצע התקנה של ה Active Directory Domain Services Role ולאחר מכן תעלה את אשף ההתקנה של AD. מכיוון שברצוננו להוסיף DC חדש לדומיין הקיים, נבחר באופציה "an additional domain controller in an existing domain". נזין את שם הדומיין שאליו ברצוננו להוסיף את ה DC , נאפשר לאשף ההתקנה להוסיף ולהגדיר את שירות ה-DNS וה- Global Catalog באופן אוטומטי. * יש לרשום בצד את הסיסמה של ה DSRM * יש להמתין זמן מה עד שהDC יבצע רפליקציה (מינימום 15 דק) .
ווידאו VIDEO
בדיקת תקינות לאחר ה dcpromo לאחר ביצוע ה dcpromo ואתחול השרת נוודא:
ששרת ה 2008R2 הוגדר כ DC ע"י כניסה ל Active Directory Users & Computers וחיפושו תחת הקונטיינר של ה Domain Controllers.
Global Catalog – נוודא שהשרת החדש מוגדר כ Global Catalog ניתן לבצע זאת מתפריט-> ה Active Directory Sites and Services>Sites, Servers> 2008R2 server קליק ימני, Properties על NTDS Settings ונוודא שה Global Catalog מסומן .
DNS – נוודא שה DNS סונכרן לשרת החדש (2008R2) ניתן לוודא זאת מממשק הניהול של ה DNS management console. הגדרות ה-DNS אמורות להסתנכרן לשרת החדש באופן אוטומטי אחרי רפליקציה .
במידה והכל כשורה, נבצע שינוי לכתובת ה DNS על השרת (2008R2), כך שישתמש ב DNS של עצמו. מעבר לכך, נצטרך לשנות את הגדרות ה DNS בשירות ה DHCP על כל התחנות והשרתים המוגדרים עם כתובת IP קבועה .
העברת תפקידי ה FSMO משרת ה 2003 לשרת החדש כדי לאתר את השרת שמחזיק את ה FSMO roles, ניתן להריץ את הפקודה: netdom /query fsmo. את התפקידים של ה RID Master, ה PDC Emulator,וה Infrastructure Masters, ניתן להעביר ע"י הפעלת ה Active Directory Users and Computers, ביצוע קליק ימני על שם הדומיין וקליק על אופציית ה Operation Master.
את ה Operations Master role ניתן לשנות מהממשק של ה Active Directory Domains and Trusts, קליק ימני על Active Directory Domains and Trusts וקליק על אופציית ה Operation Master.
את ה Schema Master ניתן להעביר מממשק ה Active Directory Schema, אך לפני כן נצטרך להפעיל את האופציה ע"י הרצת הפקודה regsvr32 schmmgmt.dll מחלון דוס.
ווידאו VIDEO
בסופו של תהליך, יש לוודא כי בוצעה העברה תקינה ע"י כניסה ל AD Sites and Services ובדיקת ההפניה המוגדרת ב Licensing Site Settings ומעבר על ה Event viewer. לאחר זמן מה (שעה שעתיים), ניתן לבטל את פונקציית ה Global Catalog משרתי ה-DC של ה 2003. העברת ה DHCP לשרת החדש ישנן מספר דרכים לבצע מיגרציה לשירות ה DHCP משרת לשרת.
הדרך החדשנית ביותר הינה להשתמש ב Migration Tools של מיקרוסופט (ראה ווידאו ). אופציה נוספת היא לבצע זאת באופן ידני- ע"י התקנת ה DHCP Server role על השרת החדש (2008R2). ביצוע Deactivate ל DHCP ע"י כניסה לממשק הניהול שלה DHCP שבשרת הישן (2003), קליק ימני על שם השרת וביצוע Deactive. הורדת ה Service של ה DHCP על השרת הישן (2003) והגדרתו מחדש על השרת החדש ( kb962355 ). האופציה השלישית היא לבצע יצוא ויבוא של ההגדרות משרת לשרת ע"י פקודות netsh. נבצע זאת ע"י פתיחת חלון דוס (כ administrator) על השרת הישן (2003) והרצת הפקודה: netsh dhcp server export C:\dhcp.txt all. לאחר מכן, נייבא את הגדרות ה DHCP לשרת ה 2008R2 ע"י הרצתה פקודה: netsh dhcp server import c:\dhcp.txt all. נכנס לממשק הניהול (בשרת ה 2008R2) של ה DHCP, נוודא שכל ההגדרות עברו באופן תקין, נסמן את האופציה Conflict detection attempts (כדי להימנע מהתנגשויות). ובסופו של דבר נבצע קליק ימני על שם השרת ונקליק על אופציית ה Authorize .ווידאו VIDEO
פעולות נוספות :חשוב מאוד לא לשכוח לשנות את כתובות הDNS בשירות ה DHCP, כך שיפנו ל DC החדש. מעבר לכך, נוודא כי תחנות העבודה והשרתים משתמשים בשירות ה DNS של השרת החדש. * יש לשנות את הגדרות ה Tcpip בתחנות ושרתים שמוגדר להם IP סטטי, לשנות להם את כתובת ה DNS, כך שיופנו לשרת החדש. הסרת שרתי ה DC של 2003 מהרשת
ה Global Catalog יש לבטל את פונקציית ה Global Catalog מה DC של ה 2003. ניתן לבצע זאת מתפריט ה- Active Directory Sites and Services>Sites> Servers> DC 2008R2 server קליק ימני> Properties על NTDS Settings והורדת הסימון של ה Global Catalog .
יש לבדוק כי שרת ה Exchange משתמש ב Global catalog של השרת החדש.
שלב הבא הוא לכבות את שרתי ה DC 2003 ולבדוק שהתחנות מצליחות להתחבר לדומיין, ששרת ה Exchange ושירות ה OWA עובדים תקין. במידה וכן, יש להמשיך לשלב הבא…
הסרת ה DC מהדומיין מתבצע ע"י הרצת DCPromo על שרתי ה 2003 לאחר ביצוע ה demote, יש לוודא שהשרת לא מתפקד יותר כ DC האובייקטים של ה DC אמורים לעבור מה OU של ה Domain Controllers ל OU של ה Computers. פרטים נוספים: קישור1 , קישור2 VIDEO