Migracja usługi katalogowej Active Directory do systemu Windows Server 2016

  • Article

Proces migracji kontrolera domeny zostanie przeprowadzony w środowisku opartym o kontroler domeny z systemem Windows Server 2012 R2 z którego zostaną przeniesione role FSMO na nowy kontroler domeny z systemem Windows Server 2016.

Promowanie nowego kontrolera domeny

Prace związane z migracją usługi katalogowej Active Directory rozpoczniemy od instalacji systemu operacyjnego Windows Server 2016 Standard – proces instalacji jest bardzo prosty w związku z tym ten krok zostanie pominięty. Po wykonaniu instalacji należy upewnić się że zostały zainstalowane najnowsze aktualizacje, przypisany statyczny adres IP (w moim przypadku 192.168.0.101) oraz wprowadzona została poprawnie nazwa dla kontrolera domeny (w moim przypadku będzie to dc2016), serwer podpinamy do bieżącej domeny (w moim przypadku jest to farbenia.local).

Gdy wykonaliśmy wszystkie wyżej opisane czynności możemy przejść do dodania roli. W tym celu w poziomu Server Managera wybieramy opcję Add Roles and Features. Następnie w oknie kreatora wybieramy rolę Active Directory Domain Services dodatkowo automatycznie zostaną zaznaczone narzędzia administracyjne do zarządzania AD DS. i DNS Server. Po przeprowadzeniu instalacji roli Active Directory Domain Services należy wypromować nasz serwer to kontrolera domeny. Z poziomu Server Managera po wykonaniu instalacji pojawi się opcja Post-deployment Configuration – Promote this server to a domain controler, którą należy wybrać (Rys. 1)

Rys. 1. Promote this server to a domain controller

W kreatorze Active Directory Domain Services Configuration Wizard w kroku Deployment Configuration wybieramy opcję Add a domain controller to an existing domain. W polu Domain upewniamy się, że widnieje nazwa naszej domeny: farbenia.local (Rys. 2)

Rys. 2. Deployment Configuration

W kroku Domain Controller Options zaznaczamy opcję Domain Name System (DNS) server oraz Global Catalog (GC). W polu Password i Confirm Password wprowadzamy hasło do odzyskiwania usług katalogowych Active Directory (Rys. 3)

Rys. 3. Domain Controller Options

Pozostałe kroki: DNS Options, Additional Options, Paths itd. zostawiamy domyślnie i na końcu kreatora akceptujemy konfigurację za pomocą przycisku Install, który rozpocznie proces promowania nowego kontrolera domeny w domenie farbenia.local.

Po poprawnie przeprowadzonych czynnościach możemy uruchomić narzędzie Active Directory Users and Computers, przejść do jednostki organizacyjnej Domain Controllers i sprawdzić czy pojawił się nowy kontroler domeny dc2016 (Rys. 4)

Rys. 4. Listing kontrolerów domeny

Weryfikacja poprawności działania usługi katalogowej Active Directory

Weryfikację poprawności działania domeny zaczniemy od kluczowego polecenia dcdiag, które sprawdza aktualny stan kontrolerów domeny i raportuje swoje wyniki w wierszu poleceń. Wynik komendy dcdiag został przedstawiony na Rysunku 5.

Rys. 5. Weryfikacja kontrolera domeny za pomocą polecenia DCDiag

Kolejnym przydatnym narzędziem do weryfikacji replikacji pomiędzy kontrolerami domeny jest polecenie repadmin z przełącznikami /synccall oraz/showreps

Polecenie repadmin /synccall wymusza synchronizację pomiędzy wszystkimi kontrolerami w domenie.

Polecenie repadmin /showrepl wyświetla topologię replikacji pomiędzy kontrolerami domeny oraz ich status.

Przeniesienie ról FSMO na nowy kontroler domeny

Przed przystąpieniem do przeniesienia ról FSMO (Flexible Single Master Operation) na nowy kontroler domeny z systemem Windows Server 2016 należy zaktualizować usługę katalogową Active Directory za pomocą poniższych poleceń:

 adprep /forestprep
adprep /domainprep

Narzędzie adprep znajduje się na nośniku instalacyjnym systemu Windows Server 2016 w katalogu support/adprep

Następnie z poziomu wiersza poleceń za pomocą polecenia netdom query fsmo można sprawdzić na którym serwerze aktualnie przechowywane są role FSMO (Rys. 6). Zgodnie z Rysunkiem 6 wszystkie role znajdują się na kontrolerze domeny dc.farbenia.local.

  • Schema master
  • Domain naming master
  • PDC
  • RID pool manager
  • Infrastructure master

Rys. 6. Listing ról FSMO przed przeniesieniem na nowy kontroler domeny

Role FSMO można przenieść za pomocą interfejsu graficznego lub za pomocą narzędzia ntdsutil z poziomu wiersza poleceń. Ja osobiście od jakiegoś czasu jestem fanem wiersza poleceń między innymi z prostoty dokumentacji wykonywanych czynności.

Z poziomu wiersza poleceń należy uruchomić narzędzie ntdsutil (Rys. 7) Gdzie następnie należy wpisać polecenie connection. Pojawi się informacja, że aktualnie znajdujemy się w opcji fsmo maintenance, gdzie następnie należy wpisać polecenie connections. W tym kroku podłączamy się do kontrolera domeny na który zostaną przeniesione role fsmo wpisujemy connect to server dc2016.farbenia.local. Zostanie wyświetlona informacja o nawiązaniu połączenia z serwerem dc2016. W następnym kroku należy wpisać quit, automatycznie wrócimy do kroku fsmo maintenance gdzie następnie zostanie przeprowadzona migracja ról fsmo. Kolejno należy wpisać:

  • transfer pdc
  • transfer naming master
  • transfer schema master
  • transfer rid master
  • transfer infrastructure master

Na koniec wychodzimy z fsmo maintenance za pomocą polecenia quit i dalej z narzędzia ntdsutil również za pomocą polecenia quit.

Rys. 7. Migracja ról FSMO za pomocą ntdsutil

Deinstalacja starego kontrolera domeny

Gdy role FSMO zostały przeniesione na nowy kontroler domeny można ponownie sprawdzić na którym kontrolerze domeny aktualnie znajdują się role FSMO (Rys.8)

Rys. 8. Listing ról FSMO po migracji na nowy kontroler domeny z system Windows Server 2016

Po poprawnym przeniesieniu ról FSMO można zdepromować stary kontroler domeny. W tym celu z poziomu starego kontrolera domeny dc.farbenia.pl z Server Managera wybieramy opcję Remove Roles and Features, następnie w kroku Server Roles odznaczamy Active Directory Domain Services i DNS Server. Pojawi się informacja, że jest to kontroler domeny i przez usunięciem wybranych elementów należy zdepromować kontroler domeny (Rys. 9) za pomocą przycisku Demote this domain controller.

Rys. 9. Depromowanie kontrolera domeny

Gdy aktualny kontroler domeny zostanie zdepromowany serwer można usunąć z domeny, jedynym i aktualnym kontrolerem domeny który przechowuje wszystkie role FSMO jest serwer dc2016.farbenia.pl

UWAGA. Należy pamiętać że czasami może zdarzyć się sytuacja że na kontrolerze uruchomione są inne usługi które również należy przenieść przed skasowaniem starego kontrolera domeny.

/Bartłomiej Prokocki