środa, 26 sierpnia 2015

Dołączanie kontrolera Windows 2012R2 do domeny o poziomie funkcjonalności Windows 2003

Dawno nie było tu już nic o klasycznej informatyce, więc trzeba coś dodać.
Z racji tego, że okres supportu Windows 2003 Server dobiegł końca, pewnie coraz więcej firm i instytucji będzie zmuszonych przejść na nowszą wersję systemu Windows, jaką jest wersja 2012.
Microsoft umożliwił migrację domeny z poziomu Windows Server 2003 do poziomu Windows Server 2012 bez przechodzenia przez Windows Server 2008, co poniżej opiszę.



Czynności przygotowujące na dotychczasowym kontrolerze

W oknie Domeny i relacje zaufania usługi Active Directory klikając prawym klawiszem myszy na nazwę domeny test.local możemy wywołać okno Podnoszenie poziomu funkcjonalności domeny w którym sprawdzamy, ewentualnie podnosimy funkcjonalność domeny do Windows Server 2003. Jest to najniższy poziom z którego możemy iść dalej.

Poziom funkcjonalności domeny. Musi być minimum Windows Server 2003.
Poziom funkcjonalności domeny. Musi być minimum Windows Server 2003. 

Następnie, pięterko wyżej, w Domeny i relacje zaufania usługi Active Directory sprawdzamy i ewentualnie podnosimy funkcjonalność lasu do poziomu Windows Server 2003.

Poziom funkcjonalności lasu.
Poziom funkcjonalności lasu.

Kontrolnie sprawdzamy, czy połączenie do kontrolera domeny przechowującego role FSMO działa (jeżeli mamy ich kilka) oraz czy jest on poprawnie rozpoznawany po nazwie DNS.

Wprawdzie nie jest to wymagane, ale warto przeprowadzić sprawdzanie domeny poleceniami
dcdiag /e /c /v
oraz
repadmin /showrepl /all /verbose
Wyniki z poleceń należy prześledzić w poszukiwaniu błędów. Z tego co wiem, to jedynym błędem możliwym do zignorowania w wynikach jest EventID: 0x00000457 dotyczący logów systemowych. Resztę należy rozwiązać przed przejściem dalej.

Przy dołączaniu kontrolera domeny opartego na Windows 2008 powinniśmy jeszcze przygotować środowisko poleceniem adprep, ale w przypadku Windowsa 2012 nie ma takiej konieczności, gdyż podczas dołączania system wykona te czynności za nas.

Skoro jesteśmy pewni, że domena i las mają poziom funkcjonalności Windows Server 2003 lub wyżej i wcześniejsze polecenia nie wyrzuciły błędów to możemy przejść do meritum sprawy.

Przygotowywanie Windows 2012R2

Przygotowując nowy serwer sprawdźmy czy karta sieciowa jest poprawnie skonfigurowana, a zwłaszcza czy wskazuje na DNS istniejący już w naszej domenie.

Wskazanie serwera DNS w domenie
Wskazanie serwera DNS w domenie


Dla pewności możemy też pingnąć dotychczasowy kontroler po jego nazwie FQDN.

W poprzednich wersjach do promocji kontrolera domeny służyło polecenie dcpromo, natomiast w wersji 2012 Microsoft uczynił z tego jedną z ról dostępną przez Server ManagerAdd Roles and features
Server Manager
Server Manager

Tak więc uruchamiamy Server Managera i przechodzimy dalej do pozycji Server Roles gdzie zaznaczamy Active Directory Domain Services

Dodawanie roli Active Directory Domain Services
Dodawanie roli Active Directory Domain Services

Po wybraniu tej opcji od razu wyskakuje okno z wymaganymi do instalacji dodatkami, które zatwierdzamy. 

Dodatkowe "ficzery", które będą zainstalowane
Dodatkowe "ficzery", które będą zainstalowane

Kolejną pozycją jest zakładka Features, w której już nic nie zaznaczamy, gdyż wszelkie wymagane rzeczy zaznaczyliśmy w poprzednim kroku. 

Dodatkowe "ficzery", które możemy chcieć zainstalować. 

Następnie na zakładce AD DS zapoznajemy się z rzeczami, które Microsoft uznaje za ważne.
Poczytajka by Microsoft
Poczytajka by Microsoft
Aby w końcu dojść do zakładki Confirmation gdzie wylistowane zostały rzeczy do instalacji. Warto tutaj zaznaczyć okienko Restart the destination server automatically if required dzięki czemu serwer sam się zrestartuje w wymaganych momentach. 

Podsumowanie
Podsumowanie

Klikamy Install i trzymamy kciuki, żeby się nie okazało, że coś przegapiliśmy.

Trzymamy kciuki :)

Gdy instalacja dobiegnie końca możemy zamknąć okno przyciskiem Close, ale to jeszcze nie wszystko.

Promowanie Windows 2012 do roli kontrolera domeny

Role zostały zainstalowane, ale teraz musimy wypromować serwer do roli kontrolera domeny o czym przypomina nam żółty wykrzyknik. Klikamy więc w niego, a następnie w Promote this server to a domain controller

Informacja o konieczności wypromowania serwera do roli kontrolera domeny
Informacja o konieczności wypromowania serwera do roli kontrolera domeny

Następnie zaznaczamy pierwszą opcję Add a domain controller to an existing domain, uzupełniamy nazwę naszej domeny oraz poprzez wprowadzamy poświadczenia administratora przedsiębiorstwa.

Wybranie opcji i ustawienie nazwy istniejącej domeny oraz podanie konta jej administratora
Wybranie opcji i ustawienie nazwy istniejącej domeny oraz podanie konta jej administratora

Na następnym ekranie wita nas nieprzyjemny, żółty wykrzyknik z komunikatem A domain controller running Windows Server 2008 or later could not be located in this domain. To install .... Na szczęście jest to tylko komunikat, że w naszej konfiguracji nie będzie można używać kontrolerów tylko do odczytu (Read Only Domain Controller). Ignorujemy ten fakt, wprowadzamy hasło przywracania usług katalogowych (zapisać! i przechowywać w ważnym miejscu). Widać, że zaznaczona jest opcja dodająca serwer DNS oraz czyniąca z serwera miejsce przechowywania wykazu globalnego (Global Catalog).
Po zapoznaniu się z okienkiem klikamy Next.

Żółty wykrzyknik - potencjalna przyczyna zawału administratorów...
Żółty wykrzyknik - potencjalna przyczyna zawału administratorów...

Znowu żółty wykrzyknik... Tym razem komunikat brzmi A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found....
Nie mamy jeszcze serwera DNS, więc ten błąd ignorujemy i klikamy Next.

Kolejny żółty wykrzyknik...
Kolejny żółty wykrzyknik...

W zakładce Additional Options możemy wybrać kontroler z którego ma zostać przeprowadzona replikacja lub pozostawić domyślną opcję Any domain controller.

Z jakiego kontrolera chcemy dokonać replikacji?
Z jakiego kontrolera chcemy dokonać replikacji?

Dalej możemy zmienić ścieżki bazy AD, logów i folderu SYSVOL. Jeżeli nie ma ku temu wyraźnych przeciwskazań, to pozostawiamy domyślne. 

Ścieżki plików usługi katalogowej
Ścieżki plików usługi katalogowej

Teraz serwer wykona to co w poprzednich wersjach musieliśmy robić sami, czyli przygotuje schemat dla domeny i lasu.

Przygotowywanie lasu i domeny
Przygotowywanie lasu i domeny

Review Options to po prostu przejrzenie tego co będzie zrobione. 

Podsumowanie
Podsumowanie

Następnie zostaną sprawdzone wymagania
Sprawdzanie wymagań
Sprawdzanie wymagań

oraz wyświetlone podsumowanie.

Najważniejszy w poniższym oknie jest komunikat:
All prerequisite checks passed succesfully. Click 'Install' to begin installation.
A skoro tak to klikamy Install i znowu trzymamy kciuki.
Wymagania spełnione. Przycisk Install aktywny

Serwer teraz sobie pomieli i się zrestartuje. Po uruchomieniu operacja będzie zakończona, a my będziemy mogli zalogować się do nowego kontrolera kontem domenowym. Nowy kontroler będzie także widoczny w Lokacjach i usługach Active Directory.

Lokacje i usługi Active Directory w Windows 2003

Należy zauważyć, że samo dodanie nowego kontrolera opartego na Windows 2012 nie spowoduje zmiany poziomu funkcjonalności domeny, czy lasu. Dalej będzie to ustawiony wcześniej poziom Windows 2003 Server. Aby podnieść poziom domeny należy najpierw usunąć z domeny istniejące kontrolery Windows 2003 i dopiero potem na Windows 2012 można dokonać promocji. Niedługo także opiszę te czynności. 

Czynności po...

W związku z tym, że wśród powyższych kroków został zainstalowany nowy serwer DNS, warto dodać jego adres do opcji DHCP.

Serwery DNS w domenie
Serwery DNS w domenie
Dodawanie adresu nowego serwera DNS do opcji DHCP
Dodawanie adresu nowego serwera DNS do opcji DHCP

No i to w zasadzie tyle :) 
Cały wieczór poświęcony, ale mam nadzieję, że komuś się powyższe wypociny przydadzą :)
Po jakimś czasie zauważyłem, że połączenie w ramach jednej domeny kontrolera win 2012R2 z win 2003 może powodować brakiem możliwości zalogowania do win 2012R2. Objawia się to dość specyficznie: podłączenie pulpitem zdalnym przepuszcza, natomiast później wyskakuje informacja o błędnym haśle.
Jeżeli coś takiego Wam się przytrafiło to zapoznajcie się z tą informacją Microsoft - Nie można zalogować się po zmianie hasła konta komputera w mieszanym środowisku Windows Server 2012 R2 i Windows Server 2003

1 komentarz:

  1. Przy próbie podniesienia poziomu funkcjonalności domeny (w nazwie jest Windows Server 2003) jest komunikat, że nie można podnieść poziomu domeny ponieważ ta domena zawiera kontrolery domeny AD na których nie jest uruchomiona odpowiednia wersja systemu Windows.

    Czy wystarczy, że z kontrolerów domeny usunę serwer,który działa na 2003?

    OdpowiedzUsuń

Bardzo proszę o zachowanie netykiety.