Active Directory: Migrazione da Windows Server 2008 R2 a 2012

Windows Server

La migrazione dei server è un’operazione di routine e con cadenze oramai triennali. I passaggi per la migrazione sono stati semplificati, ma questo non solleva l’operatore dall’essere molto attento durante l’evolversi delle procedure. La procedura di migrazione resta da sempre uno dei punti fondamentali di noi sistemisti e punto cardine delle infrastrutture.

Raccomando personalmente un backup di sicurezza del sistema, in modo da poterlo ripristinare in caso di errori.

Nel caso in cui si provenga da una migrazione 2003/2008 si elevano le funzionalità del server 2008 da 2003 a 2008 , al contrario, qualora si dia inizio ad una nuova installazione la procedura di elevazione non sarà necessaria, come mostrano le figure 1 e 2.

2013_07_18_ad-01Figura 1 – Elevazione Livello Dominio

Eseguita questa semplice operazione andremo ad aggiungere al dominio esistente il nostro nuovo Windows Server 2012 con la procedura classica ed installeremo il ruolo Servizi di dominio di Active Directory, come mostra la figura 2. D’ora in poi si lavorerà unicamente dal server 2012.

2013_07_18_ad-02
Figura 2 – Installazione Ruolo ADDS

Facendo questa semplice operazione, la nostra dashboard renderà disponibile la strumentazione di gestione Active Directory attraverso la finestra strumenti in alto a destra, come mostra la figura 3.

2013_07_18_ad-03

Figura 3 – Gestione AD

Ora il nostro Windows Server 2012 è pronto per diventare Controller di Dominio, ma non detiene ancora i ruoli FSMO ed i ruoli correlati, in compenso già in questa maniera possiamo gestire la nostra Active Directory direttamente dal nuovo server.

Infatti aprendo una finestra di prompt e digitando:

dsquery * cn=schema,cn=configuration,dc=nomedominio,dc=local(o suffisso impostato) -scope base -attr objectVersion

otterremo come risultato un valore che restituirà le informazioni riguardo al server che detiene ancora tutti i ruoli di autenticazione. Il server chiede un’ulteriore promozione; lo si nota dal fatto che in alto a destra comparirà un alert che viene chiamato configurazione post distribuzione – figura 4. In pratica chiede di farlo diventare Domain Controller.

2013_07_18_ad-04

Figura 4 – Richiesta Promozione a DC

Con l’innalzamento di livello, il nostro Windows Server 2012 diventerà a tutti gli effetti un Domain Controller, come mostra la figura 5.

2013_07_18_ad-05

Figura 5 – Configurazione Nuovo DC

2013_07_18_ad-06

Figura 6 – Errore DNS

La figura 6 mostra un errore legato ai DNS; questo avviso è trascurabile e per maggiori informazioni vi rimando alla KB Technet.

A questo punto il server esegue una serie di controlli delle credenziali per poter scrivere sull’attuale AD e cominciare le procedure per il trasferimento dei ruoli. In pratica lancia i programmi ADPREP/FORESTPREP e ADPREP/DOMAINPREP.

La figura 7 mostra l’ultima schermata prima della configurazione, in cui verrà avviata l’analisi; se tutto sarà ok, questa darà inizio alla migrazione.

2013_07_18_ad-07

Figura 7 – Verifica Requisiti

Riavviato il server dovremo verificare se la migrazione ha avuto successo. Apriamo PowerShell e lanciamo il seguente comando:

Get-ADObject -Identity “cn=Schema,cn=Configuration, dc=nomedominio,dc=local o suffisso se diverso” -Properties * | Select objectVersion

Se il risultato è 56 allora il nostro server è diventato un Global Catalog e la migrazione è avvenuta. Ora passiamo alle verifiche secondarie e sempre attraverso PowerShell lanciamo questi comandi:

dcdiag /test:MachineAccount
nltest /server:dc2012 /dsgetdc:nomedominio.suffisso

Per avere un risultato corretto, si dovrà ottenere una situazione simile a quella della figura 8.

2013_07_18_ad-08

Figura 8 – Verifica Stato DC

Verifica Registro Eventi

Nel registro eventi dovremo trovare le seguenti voci:

  • Registro Directory Services – Evento d’informazioni ActiveDirectory_DomainService 1000
  • Registro Directory Services – Evento d’informazioni ActiveDirectory_DomainService 1394
  • Registro DNS Server – Evento d’informazioni DNS-Server-Service 4 seguito dall’Evento d’informazioni DNS-Server-Service 2
  • Registro File Replication Service – Evento d’avviso NtFrs 13508 seguito dall’Evento d’avviso NtFrs 13508
  • Registro Servizi Web Active Directory – Evento d’informazione ADWS 1004

Verifica delle Share SYSVOL e NETLOGONS

net share
dcdiag /test:frssysvol
dcdiag /test:netlogons

Lanciando questi comandi, si dovrà ottenere un risultato come quello della figura 9.

2013_07_18_ad-09

Figura 9 – Verifica DCDiag

Lanciando l’ultimo comando, dcdiag /test:netlogons, potremo incorrere in un warning di credenziali. Leggendo alcune KB sembrerebbe un errore ignorabile, a patto che non ci siano del Read Only DC sulla rete. Nel nostro esempio, dove abbiamo un Single DC, è possibile ignorarlo.

Arrivati a questo punto è tutto pronto per il trasferimento dei ruoli FSMO, ma dovremo eseguire ancora qualche piccola verifica per essere certi che la migrazione abbia avuto buon esito, quindi valuteremo la situazione del DNS e della replica lanciando questi comandi:

dcdiag /test:DNS /DnsDynamicUpdate
dcdiag /test:RegisterInDNS /DnsDomain:%USERDNSDOMAIN%
dcdiag /test:DNS /DnsRecordRegistration

repadmin /showreps
dcdiag /test:Replications
dcdiag /test:VerifyReplicas

Verificare chi ancora detiene i ruoli FSMO:

netdom /query fsmo
dcdiag /test:knowsofroleholders
dcdiag /test:fsmocheck

Per chi volesse usare PowerShell i comandi sono i seguenti

Get-ADReplicationUpToDatenessVectorTable –Target Nome computer 2012
Get-ADReplicationFailure –Target nome computer 2012

Get-ADForest | Select SchemaMaster, DomainNamingMaster 
Get-ADDomain | Select RIDMaster, PDCEmulator, InfrastructureMaster

Ora, come da buone abitudini, si dovrà lanciare una BPA per essere certi che i server e le configurazioni siano in stato OK, come mostra la figura 10.

2013_07_18_ad-10

Figura 10 – Best Practice Analizer

Se tutto è ok, il BPA ci segnalerà unicamente la protezione della OU e delle norme Microsoft in quanto la macchina è virtuale.

Per prima cosa, impostare il DNS della scheda di rete del server in maniera che utilizzi se stesso come DNS principale, e cambiare il dns dei client che devono puntare al nuovo server. Ovviamente se le postazioni sono di una certa consistenza, si cambierà l’IP del DC alla fine della migrazione. Cosi facendo i client non subiranno disservizi.

Il trasferimento dei ruoli verrà lanciato dal server 2012 direttamente da PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity “Nome server 2012” -OperationMasterRole SchemaMaster, DomainNamingMaster, RIDMaster,InfrastructureMaster, PDCEmulator

Lanciando questa semplice riga e rispondendo “si” a tutte le domande che vengono poste, il server esegue la migrazione dei ruoli, facendo diventare DC il nostro nuovo server, e facendo detenere I ruoli di autenticazione su di esso. Consultanto il registro eventi troveremo l’evento:

Registro Directory Services – Evento d’informazioni ActiveDirectory_DomainService 1458

Si può eseguire la stessa procedura in PowerShell, attraverso i seguenti cmdlet:

Get-ADForest | Select SchemaMaster, DomainNamingMaster
Get-ADDomain | Select RIDMaster, PDCEmulator, InfrastructureMaster

Avremo il risultato finale della migrazione e vedremo il server 2012 detentore dei ruoli, come mostra la figura 11.

2013_07_18_ad-11

Figura 11 – Verifica Ruoli FSMO

Ora si dovrà rimuovere il Global Catalog dal Windows Server 2008 e, successivamente, i passaggi per il demote del domain controller obsoleto. Dal registro eventi si evincerà questa situazione:

Domain Controller Windows Server 2003: Registro Servizio Directory – Evento d’informazioni NTDS General 1120

Domain Controller Windows Server 2012: Registro Directory Services – Evento d’informazioni ActiveDirectory_DomainService 1869

Verificare, inoltre, che nella gestione del DNS non sia presente il Windows Server 2008 come GC e che sia presente unicamente il server basato su 2012, come mostra la figura 12.

2013_07_18_ad-12

Figura 12 – Modifica DNS

Effettuati questi step riavviare il server 2008. Per evitare di avere conflittualità tra il vecchio DC ed il nuovo DC, cambiare il DNS del server 2008 impostando il nuovo server, in questo modo il puntamento non comprometterà errori di demote.

Nel server 2008, lanciamo il comando dcpromo.exe, che avvierà la procedura di Demote; gli step sono molto semplici da eseguire, sarà sufficiente eseguire il comando “avanti” più volte. Molto importante, non flaggare Questo è l’ultimo server Domain Controller del dominio. La procedura finale rimuoverà il 2008 dalle impostazioni di DC; a riavvio eseguito potremo rimuovere anche i ruoli di AD dal 2008.

Aprire la gestione del DNS e successivamente le proprietà del nome domino, alla voce Server dei Nomi troveremo ancora un puntamento al vecchio DC che potrà essere rimosso. Stesso passaggio per la parte relativa a _msdcs, nella ricerca diretta, aprendo le proprietà dovremo modificare l’IP di assegnazione impostando il nostro nuovo IP. Le stesse operazioni vanno eseguite nella parte relativa a_msdcs.nomedominio.estensione.

Conclusioni

La procedura di migrazione da 2008 a 2012, è stata semplificata. Fatta eccezione per alcuni passaggi obbligati, tutte le procedure sono eseguite con gli automatismi della nuova piattaforma, che si integra alla perfezione con i sistemi precedenti. Gli scenari di migrazione sono molto ampi, si può tranquillamente migrare da un Windows Server 2003, con le dovute accortezze in quanto la versione è alquanto vecchia.