Povýšení (upgrade) domény Active Directory

Před tím, než se pustíme k dílu, bychom vůbec něco měli o Active Directory vědět. No a pak dále doporučuji si upgrade vyzkoušet nanečisto v nějakém testovacím prostředí (například virtuální počítače).

Co připravit?

  • Udělejte si přehled služeb, aplikací a serverů, které přímo souvisí s doménou Active Directory (např. CA, DC, DHCP, DNS, Exchange, IIS).
  • Zjistěte, zda aplikace, které používáte, budou s novou verzí domény Active Directory spolupracovat, případně co udělat proto, abyste pak službu mohli zprovoznit či nahradit (např. nástroje pro správu MS Exchange nemusí spolupracovat s novějším OS).
  • Udělejte si plán, kolik budete potřebovat serverů, licencí, času, dále si rozvrhněte rozložení služeb a FSMO (viz doporučení).
  • V případě, že na řadičích domény provozujete kromě AD DS a DNS ještě jiné služby (např. DHCP), připravte si plán, jak s těmito službami naložíte. Mnoho věcí se může usnadnit, když zajistíte jejich přesun dříve, než provedete samotný upgrade Active Directory.
  • Pokud používáte MS Enterprise CA nainstalované na DC, připravte se na to, že budete muset provést tzv. in-place upgrade (aktualizaci samotného serveru na vyšší verzi Windows)
  • Analyzujte dosavadní řadiče domény, zda neobsahují chybu konfigurace. Pomohou Vám nástroje Prohlížeč událostí (Eventlog), dcdiag, netdiag a nltest.
  • Zazálohujte, opište, vytiskněte si nastavení aplikací, kterých by se mohly změny dotknout, abyste mohli případné chyby odstranit dle původní šablony nastavení.
  • Nachystejte si instalační CD/DVD nové verze MS Windows Server, na kterou budete aktualizovat řadiče domény a hlavně doménu samotnou, a zároveň zajistěte, abyste toto médium (nebo zkopírované soubory) mohli spustit na nynějším DC, které vlastní FSMO roli Schema master.
  • Informujte kolegy, správce aplikací/programátory a další osoby, kterých by se mohl upgrade dotknout, o tom, že chcete provést upgrade a domluvte si vhodný termín.

Kroky samotného upgradu

  1. Nainstalujte servery pro nové řadiče domény a zatím jen zařaďte do domény.
  2. Abyste do stávající domény mohli zařadit řadič domény s novější verzí MS Windows, je zapotřebí provést přípravu adresářové struktury pomocí nástroje adprep (v případě 64bitového instalačního zdroje spustťe na 32bitových strojích adprep32):
    • nástroj naleznete na instalačním médiu MS Windows Server v adresáři \\support\\adprep (v případě Windows Server 2003 R2 hledejte na druhém CD v \\CMPNENTS\\R2\\ADPREP)
    • jako Enterprise Admin v příkazovém řádku serveru s FSMO rolí Schema master přejděte do výše zmíněného adresáře
    • spustťe příkaz adprep /forestprep
    • spustťe příkaz adprep /domainprep /gpprep
    • spustťe příkaz adprep /rodcprep
  3. Pokud rozšíření adresářové struktury dopadlo dobře, můžete pokračovat tím, že připravené servery s novějším Windows povýšíte na řadič domény - pomocí příkazu dcpromo:
    • V zobrazeném průvodci pak při dotazu na cílový les (forest) a doménu zvolte Existing forest - Add a domain controller to an existing domain.
    • Dále zadejte přihlašovací údaje admiínistrátora forestu/domény.
    • Pokud není les/doména připravena pomocí příkazu adprep, je zobrazena chybová hláška.
    • Když skončí instalace komponent nového doménového řadiče, zobrazí se volby, zda chcete nainstalovat DNS, globální katalog nebo zda chcete mít DC jen pro čtení (Read-only Domain Controller). Zde zatrhněte volby dle Vašeho plánu.
    • Po zadání zdrojového řadiče domény vás průvodce požádá o vytvoření hesla pro administrátora režimu obnovy (pro případ havárie AD DS).
    • Dále proběhne replikace objektů AD na nový server a tím je průvodce u konce.
    • Následuje restart nového serveru, který se při spuštění zařadí jako další řadič domény.
    • Zopakujte postup třetího kroku pro každý nový řadič domény.
  4. Nyní přesuňte role FSMO dle vašeho plánu na nové servery:  
    • RID, PDC, Infrastructure:
      • Na cílovém serveru otevřete Administrative Tools - Active Directory Users and Computers.
      • Pravým tlačítkem otevřete kontextové menu domény a zvolte Operations Masters.
      • V záložce dané role pro přesunutí role klepněte na tlačítko Change.
    • Domain Naming:
      • Na cílovém serveru si otevřete Administrative Tools - Active Directory Domains and Trusts.
      • Pravým tlačítkem otevřete kontextové menu přímo položky Active Directory Domains and Trusts a zvolte Operations Master...
      • Klepnutím na Change se role Domain Naming přenese.
    • Schema master:
      • Pro přenos této role je nutné zavést na cílovém serveru snap-in modul mmc konzole do nabídky. Stane se tak pomocí příkazu regsvr32 schmmgmt.dll.
      • Dále je nutné otevřít konzoli pro správu - příkaz mmc, zvolit File - Add/Remove Snap-in (Ctrl+M). Označením Active Directory Schema, klepnutím na Add > a na OK přidáme do konzole nástroj pro správu schématu.
      • Otevřeme kontextové menu položky Active Directory Schema, zvolíme Change Active Directory Domain Controller, ponecháme Any writable Domain Controller, případně můžeme vybrat konkrétní server a potvrdit OK.
      • Opět otevřeme kontextové menu a zvolíme Operations Master. Pro změnu klepneme na Change.
  5. V dalším kroku můžete zapnout/vypnout funkci GC (pokud jste ji nezvolili během povýšení na řadič domény):
    • Otevřete Administrative Tools - Active Directory Sites and Services a v adresáři Sites - <nazev site> - Servers zvolte server, na kterém chcete zapnout/vypnout funkci globálního katalogu.
    • V pravé části okna otevřete kontextové menu položky NTDS Settings a zvolte Properties.
    • V zobrazeném okně změnou zatržítka Global Catalog určete stav funkce.
    • Potvrďte změnu klepnutím na OK.
  6. Službu GC musí poskytovat nejméně jeden server, má totiž velice důležitý úkol - ověřuje přihlášení uživatelů do domény. Proto před ukončením práce se změnou globálních katalogů zkontrolujte, že máte alespoň jeden!
  7. Změny funkce GC se nemusí projevit ihned, proto buď několik hodin vyčkejte nebo ručně proveďte replikaci nastavení. Pro kontrolu si otevřete konzoli Active Directory Sites and Services i na ostatních serverech a zkontrolujte, že se změny opravdu zreplikovaly.
  8. Nyní je zapotřebí provést konfiguraci synchronizace času na novém serveru, který vlastní FSMO roli PDC Emulator. Návod najdete na TechNetu. Dále na serveru, který tuto roli vlastnil původně, je zapotřebí dle návodu provést úpravy.
  9. Pokud jste z původních řadičů domény odsunuli FSMO role a funkci GC, můžete provést »ponížení« serverů spuštěním průvodce pomocí příkazu dcpromo.
  10. Jakmile se v doméně nenachází doménový řadič, na kterém by běžela verze MS Windows starší, než nové DC, můžete provést povýšení funkční úrovně domény:
    • Otevřete si konzoli Active Directory Users and Computers.
    • Klepněte pravým tlačítkem na <název domény> a zvolte Raise domain functional level.
    • Zvolte v roletce (pokud je v nabídce více verzí) požadovanou úroveň.
    • Klepněte na tlačítko Raise.
  11. Pokud se v lese (forest) nenachází již žádná starší úroveň domény, můžete provést i povýšení lesa:
    • Klepnutím na Administrative Tools - Active Directory Domains and Trusts si otevřete konzoli.
    • Pravým tlačítkem klepněte na Active Directory Domains and Trusts v kontextovém menu zvolte Raise forest functional level.
    • Potvrzením volby v roletce a klepnutím na Raise povýšíte funkční úroveň lesa.
  12. V případě, že původní řadiče domény rušíte úplně, nezapomeňte zkontrolovat služby, které jsou vázány na jejich IP adresu (např. položka DNS v DHCP)

Komentáře

Okomentovat

Populární příspěvky z tohoto blogu