company_banner

Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory

    Не секрет, что окончание поддержки Windows Server 2003 все ближе. День Х назначен на 17 июля 2015 года, а значит остается все меньше времени, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. На Хабре мы уже делали несколько анонсов об окончании поддержки, на портале Microsoft Virtual Academy опубликован курс по материалам Jump Start, есть перевод статьи о переносе файлового сервера. В этой статье будет рассказано о миграции Active Directory и приведен пошаговый алгоритм, которым поможет вам при реализации переноса.


    Перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.
    На самом деле, перенос Active Directory не несет в себе каких-либо сложностей. Нужно выполнить лишь несколько шагов, о которых будет подробно рассказано далее.
    Сначала выполним небольшую настройку на контроллере домена с установленной на нем Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003.
    Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust. Для изменения режима работы домена щёлкаем правой кнопкой мыши по домену, для режима работы леса – по Active Directory Domains and Trusts. Выбираем Raise Domain Functional Level и Raise Forest Functional Level соответственно.


    В обоих случаях режим работы должен быть установлен на Windows Server 2003.


    Следующим шагом нам нужно добавить к нашей сети второй контроллер домена под управлением Windows Server 2012 R2. Для этого на сервер с Windows Server 2012 R2 устанавливаем роль Active Directory Domain Services.

    После установки добавим новый контроллер домена к существующему домену. Для этого нам нужно будет использовать учетную запись, которая входит в группу Enterprise Admins и обладает соответствующими правами.

    Необходимо указать, будет ли этот сервер выполнять роль DNS сервера и глобального каталога (Global Catalog – GC).

    На экране Additional Options нужно указать с какого контроллера домена будет выполнена репликация на существующий. Нужно выбрать контроллер домена под управлением Windows Server 2003.

    Для установки домена необходимо выполнить подготовку леса, домена и схемы. Если раньше для этого обязательно нужно было запустить команду adprep (причем сделать это надо было до начала конфигурации домена), то теперь эту задачу берет на себя мастер конфигурации ADDS, и подготовка может быть выполнена автоматически.

    Далее нужно дождаться завершения установки и перезагрузить компьютер. В итоге, вы получите контроллер домена с установленной на нем Windows Server 2012 R2.
    Теперь в оснастке Active Directory Users and Computers мы можем увидеть, что в нашей сети есть два контроллера домена.


    После того, как выполнены предварительные шаги, мы можем перейти непосредственно к переносу Active Directory. Выполнять необходимые действия мы будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:
    1. Перенос роли FSMO (Flexible Single Master Operations)
    2. Изменение контроллера домена Active Directory
    3. Изменение Мастера схемы (Schema Master)
    4. Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)

    1. Перенос роли FSMO (Flexible Single Master Operations)


    Для того, чтобы перенести роль FSMO, открываем оснастку Active Directory Users and Computers, щёлкаем правой кнопкой мышки по нашему домену и в появившемся подменю выбираем Operations Masters.

    Нам нужно перенести роль хозяина операций. Для этого на каждой вкладке во вновь появившемся окне нажимаем кнопку Change и переносим роль с 2003 сервера на сервер под управлением 2012 R2.

    Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:


    2. Изменение контроллера домена Active Directory


    Теперь переходим к изменению контроллера домена Active Directory. Открываем консоль Active Directory Domains and Trusts, щёлкаем правой кнопкой мышки по лесу и выбираем пункт Change Active Directory Domain Controller.

    В новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2.

    Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master.

    Переноси роль хозяина операций именования домена, нажав Change.


    3. Изменение Мастера схемы (Schema Master)


    Теперь приступаем к изменению мастера схемы (Schema Master). Запустите командную строку с правами Администратора и введите команду regsvr32 schmmgmt.dll

    С помощью этой команды происходит первичная регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.
    После того, как команда выполнена, можно закрыть командную строку, запустить консоль MMC и добавить оснастку Active Directory Schema (для этого выберите File > Add/Remove Snap-in).

    В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. Аналогично действиям, которые мы выполняли в пункте 2, в новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2 и нажмите ОК. Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Нажмите ОК для продолжения.
    Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master. Для переноса роли хозяина схемы в новом окне нажмите Change.
    Теперь можно закрыть MMC консоль, открыть оснастку Active Directory Users and Computers и убедиться, что данные успешно реплицированы на ваш новый сервер под управлением Windows Server 2012 R2. Имейте ввиду, что процесс репликации может занять некоторое время (все зависит от количества объектов Active Directory, которые нужно реплицировать).

    4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)


    Осталось удалить контроллер домена под управлением Windows Server 2003 из глобального каталога. Для этого открываем Active Directory Sites and Services, разворачивает папку Sites, затем Default-First-Site-Name, затем Servers и, наконец, разворачиваем оба сервера.

    Щёлкните правой кнопкой мышки по NTDS Settings для вашего старого сервера под управление Windows Server 2003, выберите Properties. Во вновь появившемся окне уберите галочку с пункта Global Catalog и нажмите ОК.


    В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом.

    Осталось проверить, что теперь роль FSMO запущена на Windows Server 2012 R2. Для этого в командной строке, открытой с правами Администратора запускаем команду netdom query fsmo

    На этом миграция Active Directory завершена. На компьютере под управлением Windows Server 2003 запустите dcpromo (кстати, в Windows Server 2012 R2 dcpromo нет) для того, чтобы понизить роль компьютера с контроллера домена. Если после этого посмотреть на консоль Active Directory Users and Computers, вы увидите, что остался только один контроллер домена – под управлением Windows Server 2012 R2.


    Надеюсь, что эта статья будем вам полезной!

    Полезные ссылки


    Microsoft 409,98
    Microsoft — мировой лидер в области ПО и ИТ-услуг
    Поделиться публикацией
    Комментарии 23
    • 0
      Чем переход контроллера с 2003 отличается от перехода с любой другой версии?
      • 0
        Для версий Windows Server 2008 R2 и выше возможен Upgrade in place. Для более старых версий — только такой вариант.
        • 0
          А что если Windows 2003 -> Windows 2008 R2 ->…?
          • +1
            x86 --> x64 не поддерживается.
      • +3
        Отличная статья о том, как предложение «добавьте штатной процедурой в домен новый контроллер на 2012 и выведите из домена штатной процедурой 2003» можно расписать в неплохой документ. Наглядное пособие для инженера интегратора. Быгыг.
        • 0
          Я когда-то переносил PDC с 2008R2 на 2012R2. Подход похожий, но больше магии. Вот фрагмент заклинания для переноса ролей.

          Как переносить роли контроллеров домена:

          Делается это с помощью команды ntdsutil. Запускать ее мы будем на %servername%, т.е. сервере, который хотим сделать самым главным.

          После запуска утилиты вводим заклинания:

          roles — будем управлять владельцами NTDS ролей
          connections — будем подключаться к какой AD DS
          connect to server %servername% — подключаемся к серверу %servername%.
          q — выходим из режима подключений
          ? — смотрим что мы можем делать
          transfer infrastructure master
          transfer naming master
          transfer PDC
          transfer RID master
          transfer schema master
          выходим из утилиты набрав два раза q.
          • 0
            Имеет смысл когда core редакция либо требуется массовое выполнение.
            • 0
              Не вижу смысла.
              Core радакция вполне себе управляется через mmc.
              Массовое выполнение чего? Переноса ролей? 0_o
              • 0
                Тут каждому свое. Кому-то проще мышкой тыкать, кому-то — в консоли заклинание произнести. Я в сое время просто не знал что это можно сделать «мышкой». Нашел решение с помощью ntdsutil. Его и озвучил.
              • 0
                del
              • 0
                Чуточку большая магия, когда владелец ролей физически умер например. Хотя тоже хорошо задокументированная самой MS процедура.
                • 0
                  — вместо transfer пишем seize.
                • 0
                  activate instance NTDS забыли :-)
                • 0
                  Интересно, что ссылки на картинки в этом посте выглядят, например, так:

                  litehtmlconv.azurewebsites.net/api/pics/1j769eplayx8opso56ahn-fr3

                  Какой смысл хранить картинки для поста именно в Azure Websites, да еще отдавать их не как статику?
                  • 0
                    1) Вы забыли изменить настройки службы времени после переноса PDC.
                    2) Не совсем понятно, зачем убирать GC c 2003? В некоторых конфигурациях это может привести к проблемам.
                    • 0
                      ИМХО статья бесполезна. Тоже самое на technet, только более подробно и без картинок. А уж сколько подобных статей в интернете не счесть
                      • 0
                        А где описание миграции FRS на DFS или в 2012 R2 оно происходит автоматически?
                      • 0
                        Плюс, перед понижением роли 2003 я бы:
                        1) подождал недельки две для выявления возможных багов
                        2) проверил корректность работы всех контроллеров через dcdiag
                        • 0
                          А уровень леса до 2012 поднимать нужно?
                          • 0
                            Если других DC уровня 2003 нет, то можно.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое