суббота, 19 февраля 2011 г.

Миграция ролей AD и DNS с ОС Windows Server 2003 на Windows Server 2008 R2



Имеется 2 сервера домен контролера: Server1 и Server2. Первый содержит все роли FSMO и DNS. Имя домена: yourdomain.local


Миграция DNS:

1) Останавливаем службуд DNS на Server1, через DNS в Administrative tools
2) Экспортируем ключи реестра и настройки в папку DNS:
    reg export hkey_local_machine\system\currentControlSet\Services\DNS\Parameters c:\DNS\DNS-Service.reg
   reg export "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server" c:\DNS\DNS-Software.reg
   xcopy %windir%\system32\dns c:\dns\dns_migrate /s 
3) Запускаем службу DNS на Server1
4) Копируем папку DNS на Server2
4) Останавливаем службу DNS на Server2, через DNS в Administrative tools
5) На Server2 импортриуем ключи реестра, дважды кликнув по каждому.
6) Копируем все файлы (кроме файлов реестра и папки samples) из папки DNS в папку %windir%\system32\dns (c:\windows\system32\dns). На попрос, желаем ли мы перезаписать уже имеющиеся отвечаем положительно.
7) Запускаем службу DNS на Server2.
8) Перезапускаем сервер

9) Переходим на Server1 и принудительно проводим репликацию. В Active Directory Sites and Services, > Sites > Default-First-Site-Name>Servers>Server1>NDTS Settings, в правом окне прой кнопкой по строке, Replicate Now. Аналогично делаем и с ... Default-First-Site-Name>Servers>Server2 (всё это делается в рамках одной консоли, подключаться к другому серверу не нужно.)
10) Start > DNS > Run> CMD
DNSconvergeCheck.cmd Server1 Server2 yourdomain.local 
Скачать скрипт проверки DNS > DNSconvergeCheck
11) Вы должны получить 4 сообщения SUCCESS!

Миграция Ролей:

Для перемещения ролей FSMO администратор должен быть членом слудующих групп:

FSMO роль        Администратор член группы
Schema                Schema Admins
Domain Naming    Enterprise Admins
RID                      Domain Admins
PDC Emulator      Domain Admins
Infrastructure        Domain Admins

Перенос ролей по средствам GUI (графический интерфейс)

RID Master,  PDC Emulator, Infrastructure Master

1) Открыть Active Directory Users and Computers из Administrative tools
2) Если вы не подключены к целевому домен контролеру, правый клик по Active Directory Users and Computers выбрать Connect to Domain Controller
3) Правый клик по названию домена, Operations Masters 
4) На какждой из 3 вкладок нажать Change

Domain Naming Master
1) Active Directory Domains and Trusts из Administrative tools
2) Если вы не подключены к целевому домен контролеру, правый клик по Active Directory Domains and Trusts выбрать Connect to Domain Controller
3) Правый клик по Active Directory Domains and Trusts, выбрать Operation Masters
4) Нажать Change.

Schema Master
1) Зарегистировать библиетеку Schmmgmt.dll. Start > Run:
    regsvr32 schmmgmt.dll     
2) Start > Run: набрать MMC. Откроется консоль.
3) File > Add/Remove Snap-in
4) Выбрать Active Directory Schema
5)  Если вы не подключены к целевому домен контролеру, правый клик по Active Directory Schemas выбрать Change Domain Controller. Выбрать целевой домен контролер.
6) Правый клик по Active Directory Schema, выбрать  Operations Master.
7) Нажать Change.

Перезагрузите сервер.

Перенос ролей по средствам Ntdsutil (командная строка)

1) На любом домен контролере, Start > Run
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\WINDOWS>ntdsutil
ntdsutil:

2) Roles, <Enter>
ntdsutil: roles
fsmo maintenance:

3) connections,  <Enter>
fsmo maintenance: connections
server connections:
4) connect to server <servername>,  <Enter>
server connections: connect to server server2 (на который переносим роли)
Binding to server1 ...
Connected to server1 using credentials of locally logged on user.
server connections:

5) q, <Enter>
server connections: q
fsmo maintenance:
6) transfer <роль>, <Enter> (вместо <роль> перечисляете поочерёдности все 5 ролей)
    Командры буду выглядеть следйющим образом:
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

7) Будет предупреждение, с вопросом - хотите ли вы произвести перенос роли. Нажмите Yes.
8) После того как вы перенесёте все роли, наберите q, <Enter>, до тех пор пока не выйдите Ntdsutil.exe.
9) Перезагрузите сервер.

10) Проверка на Server2 наличия всех 5 ролей:
     netdom query /domain:yourdomain.local fsmo
Результатом должны увидеть:
Schema master                        Server1.ingens.local
Domain naming master             Server1.ingens.local
PDC                                       Server1.ingens.local
RID pool manager                   Server1.ingens.local
Infrastructure master                Server1.ingens.local
The command completed successfully.


The End, of the so long story !  =)

 * - Перенос ролей не всегда через GUI работает. В моём случае ругался постоянно, что куда-то не может подключиться. В случае с командной строкой, всё прошло идеально.
- adprep /rodcprep так и не отработала. Всячески бился, но не помогло. Как мне 2008 написал - в результате я лишился возможности в будущем Read-Only Domain Controller создать.
- Также столкнулся с тем что в поле хозяина схемы было написао "Ошибка" вместо имени домен-контроллера.
   Вылечил утилитой NTDSUTIL. По средствам seize schema master (Захват роли).

7 комментариев:

  1. Поясни...
    Не претендую на абсолюную правду в посте. Возможно что-то упустил.

    ОтветитьУдалить
  2. Перед тем как передавать роли, обычно расшаривают схему. У тебя корректно всё работает?

    ОтветитьУдалить
  3. Версия схемы и там и там одинакова?
    Схема АД.

    ОтветитьУдалить
  4. вот имно , нужно сначала подготовить домен и лес для перехода на win2008r2 :
    adprep /forestprep
    и
    adprep /domainprep /gpprep

    ну и FFL должен быть win2003

    ОтветитьУдалить
  5. Да и статья тупо слизана с techdays ))

    ОтветитьУдалить
  6. Благодарю за комментарии.
    По поводу расширении схемы - прянито.
    Не могу сказать как в тот раз делал, так как было давно и площадка уже более мне доступна.

    ОтветитьУдалить