У цій статті ми поговоримо про процедуру поновлення домену з версії Windows Server 2008 R2 до Windows Server 2012 з подальшим зниженням ролі старого контролера домену до рядового сервера AD.
Отже, що є:
- Домен Active Directory як мінімум з одним контролером домену на Windows Server 2008 R2
- Рівень лісу і домена AD повинен бути як мінімум Windows Server 2003
- Додатковий рядовий сервер домену з Windows Server 2012, який в подальшому стане контролером домену (як включити сервер в домен докладно описано в статті Як включити Windows 8 в домен).
- Обліковий запис з правами адміністратора домену, схеми і ліси.
Перш ніж додавати новий контролер домену на Windows 2012 необхідно оновити схему домену та ліси. Класично підготовка і підвищення рівня домену здійснювалася вручну за допомогою утиліти Adprep.exe. У документації нової серверної платформи від Microsoft зазначено, що при підвищенні першого сервера з Windows Server 2012 до рівня контролера домену, підвищення рівня домену відбувається автоматично при установці ролі AD DS на перший сервер Windows 2012 у домені. Так що, теоретично, для підготовки домену нічого робити не потрібно.
Однак, краще контролювати результат такого відповідального процесу, як оновлення схеми. Виконаємо процедуру поновлення схеми вручну.
Оновлення схеми AD до Windows Server 2012 за допомогою adprep
Для оновлення схеми нам знадобиться утиліта adprep.exe, взяти яку можна в каталозі \ support \ adprep \ на диску з дистрибутивом Windows Server 2012. Дана утиліта буває тільки 64-разрадной (утиліти adprep32.exe більше не існує), відповідно, запустити її можна буде тільки на 64 розрядному контролері домену.
Необхідно скопіювати утиліту на поточний DC з роллю Schema Master (Хазяїн схеми) і в командному рядку з правами адміністратора виконати команду підготовки лісу до установки нового DC на Windows Server 2012:
adprep / forestprep
Версія схеми Active Directory в Windows Server 2012 - 56.
Далі оновимо схему домену:
adprep / domainprep
Далі залишилося чекати закінчення реплікації змін в схемі по всьому лісу і перевірити існуючі контролери домену на наявність помилок. Якщо все пройшло добре - продовжуємо. Прийшла пора розгорнути контролер домену на Windows Server 2012.
Установка контролер домену на Windows Server 2012
Першою цікавою новиною є той факт, що знайомої адміністраторам утиліти DCPROMO, що дозволяє додати або видалити контролер домену в AD більше не існує. При її запуску з'являється вікно, в якому повідомляється, що майстер установки Active Directory Domain Services переміщений в консоль Server Manager.
Що ж, відкриємо консоль Server Manager і встановимо роль Active Directory Domain Services (Увага! Установка ролі автоматично не означає той факт, що сервер став контролером домену, роль потрібно спочатку налаштувати)
Після закінчення установки ролі з'явиться вікно, в якому повідомляється, що сервер готовий стати контролером домену, для чого потрібно натиснути на посилання "Promote this server to domain controller " (Далі ми розглянемо тільки значимі кроки майстра створення нового контролера домену).
Потім потрібно вказати, що даний контролер домену буде додано до вже існуючий домен (Add a domain controller to an existing domain), Вказати ім'я домен і обліковий запис з-під якої буде проводиться операція.
Потім вкажіть, що даний контролер домену буде містити ролі GC (Global Catalog) та DNS сервера. Також вкажіть пароль відновлення DSRM (Directory Services Restore Mode) і, якщо необхідно ім'я сайту, до якого буде ставитися даний контролер домену.
В розділі "Paths"Вказуються шляхи до бази Active Directory (NTDS), файлів логів і каталогом SYSVOL. Врахуйте, що дані каталоги повинні знаходитися на розділі з файловою системою NTFS, тому з нової файлової системи Windows Server 2012 - Resilient File System (ReFS) - використовувати для цих цілей не можна!
Після закінчення роботи майстра установки ролі AD DS, сервер потрібно перезавантажити. Після перезавантаження ви отримуєте новий контролер домену з ОС Windows Server 2012.
Видалення старого контролера домену на Windows Server 2008 R2
Перш, ніж знизити роль старого контролера домену під керуванням Windows Server 2008 R2 до рядового сервера, потрібно перенести все FSMO ролі на новий контролер домену .
Процедура перенесення ролей FSMO з одного контролера домену на інший нами вже розглядалася, докладніше з нею можна ознайомитися в статті Передача ролей FSMO в Active Directory. Процедуру можна здійснити через графічний GUI (простіше) чи з командного рядка за допомогою утиліти ntdsutil
Після передачі ролі FSMO PDC Emulator, необхідно налаштувати синхронізацію часу на новому контролері домену із зовнішнім сервером (з яким час синхронізувати раніше). Детально процедура настройки синхронізації часу на PDC описана в статті: Синхронізація часу з зовнішнім NTP сервером в Windows 2008 R2. Формат команди приблизно такий (ntp_server_adress - адреса NTP сервера):
w32tm / config / manualpeerlist: ntp_server_adress / syncfromflags: manual / reliable: yes / update
Після того, як всі ролі FSMO перенесені на новий DC Windows Server 2012 переконайтеся, що домен працює коректно: перевірте проходження реплікації AD, журнали DNS і AD на наявність помилки. Не забудьте в налаштуваннях мережевої карти на новому сервері як пріоритетне DNS сервера вказати власну адресу.
Якщо все пройшло коректно, можна знизити роль старого контролера домену 2008 R2 до рядового сервера домена. Це можна зробити, запустивши на ньому майстер DCPROMO, і вказати, що даний сервер більш не є контролером домену. Після того, як даний сервер стане рядовим сервером, його можна повністю відключити.