מעבר מ-Active Directory 2003 לגרסת 2008 R2 [מדריך, חלק ג’]

מדריך קצר ופשוט המתאר את כל תהליך המעבר מ-Active Directory המבוסס על Windows Server 2003 ל-Windows Server 2008 R2. (חלק ב’)

מקור: צילומסך

הפוסט נכתב על ידי דניאל פטרי, Premier Field Engineer במיקרוסופט ישראל, העוסק בעיקר ב-Active Directory, Remote Desktop Services ו-Hyper-V.

בחלק הקודם תיארתי את התהליך המקדמי שלפני השידרוג עצמו. בחלק הרביעי של סידרת מאמרים זו נתמקד השבוע בתהליך החלפת DCים הישנים בחדשים, וכן בהסרת השאריות של ה-DCים הישנים.

שלב 11: הכנסת ה- DC החדש הראשון

כזכור לכם, בחלקו השלישי של המאמר דנו בבחירה לגבי שימוש בשמות ובכתובות המקוריים של ה-DCים הישנים. לצורך פשטות המאמר נניח שמדובר בשמות וכתובות חדשים לשרתים החדשים.

בשלב זה תתקינו את השרתים החדשים עם מערכת הפעלה Windows Server 2008 R2 בהתקנה חדשה ונקייה. תנו לכל שרת את השם המיועד שלו ואת כתובת ה- IP שלו.

זכרו: ב- Windows Server 2008 R2 התקנה של שרת חדש נותנת לשרת שם רנדומלי. עליכם לתת לשרת את שמו הקבוע בטרם תבצעו את תהליך ה-Dcpromo (אם כי ניתן, בנסיבות מסויימות, לבצע Rename לשרת גם אחרי שהוא הפך ל-DC. במקרה זה חובה להשתמש בפקודת Netdom ולא לעשות זאת בדרך המקובלת בשרתים או תחנות עבודה רגילים).

הערה: לא לשכוח – אסור בתכלית האיסור לשכפל שרתים סתם ככה. אם אתם ממש חייבים לשכפל שרתים (כמובן עוד בטרם הם הוגדרו כחברים בדומיין בכלל וכ-DCים בפרט!) עליכם לעשות שימוש בפקודת Sysprep /generalize (בגירסת מערכת הפעלה זו הפקודה קיימת בצורה מובנית במערכת ההפעלה).

לאחר ההתקנה נצרף את השרתים לדומיין ונדאג לבצע עדכון כללי ומלא של המערכת באמצעות Windows Update (או ע”י שימוש באמצעי עדכון פנימיים כגון WSUS או SCCM).

התקנת רכיבים אחרים: אינני ממליץ על ביטול ה-Windows Firewall על השרתים. אני כן ממליץ לבטל את ה-Internet Explorer Enhanced Security לנוחות השימוש (אם כי במחיר מסויים של הפחתת הבטיחות בעת גלישה באינטרנט). בנוסף, רצוי להתקין את רכיב ה-Windows Backup. אני לא ממליץ להתקין באופן ידני את ה-DNS Role, אלא לתת ל- Dcpromo לעשות זאת עבורנו.

לאחר שהשרת מוכן לעבודה מבצעית נריץ עליו את פקודת Dcpromo. פעולה זו, לאחר שתסתיים, תהפוך את השרת ל- DC.

הערה: במסגרת השיפורים בתהליך ה-Dcpromo בגירסת Windows Server 2008 R2, ניתן להגדיר האם השרת הוא DNS, האם הוא Global Catalog, לאיזה Site הוא שייך וכו’. בנוסף, ב-Windows Server 2008 R2, כשמריצים Dcpromo, המערכת תתקין קודם לכן באופן אוטומטי את ה-AD-DS Role.

Active Directory Domain Services (AD DS) Installation and Removal Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc755258(WS.10).aspx

הערה: רצוי מאוד שלא לבטל בשום דרך או צורה את IPv6 משרתי Windows Server 2008 R2. על הסיבות לכך במאמר עתידי.

לאחר סיום הרצת האשף המערכת תבקש לאתחל. נאתחל וניתן ל- AD כרבע שעה למצוא את ה- DC החדש וליצור את קשרי הרפליקציה בין כל ה-DCים (ניתן לזרז זאת במידת הצורך ע”י פקודת Repadmin /kcc). כמובן שבתצורות מורכבות יותר בהם יש אתרים פיזיים נפרדים והגדרות רפליקציה שונות יש לתכנן בהתאם. כעת, לפי התסריט שלנו, יש לנו ארבעה DCים.

שלב 12: הכנסת ה-DCים הנוספים

בשלב זה ניתן להוסיף את DCים הנוספים באמצעות הרצת פקודת Dcpromo. במידה והם יחליפו את השרתים הישנים יש לוודא שמערך ה- DNS שלכם מתוכנן כיאות (אל תשאירו רק שרת DNS אחד), ושכל ה- DCים הם גם Global Catalogs (אלא אם יש גורם תכנוני המונע זאת מסיבה כלשהי).

לאחר סיום הרמת 3 ה-DCים החדשים אנחנו עומדים בפני מצב שבו יש לנו דומיין המורכב מ-3 DCים חדשים ו-3 DCים ישנים. תצורת ה-Domain Function Level היא כמובן Windows Server 2003 Mode, וכך גם ה-Forest Function Level. כל עוד לא תיפטרו מכל ה-DCים הישנים לא תוכלו להעלות את רמת ה- DFL/FFL.

תנו ל-DCים ליצור את קשרי הרפליקציה ביניהם באופן אוטומטי. הקצו לצורך העניין לפחות 15 דקות (בסביבה פשוטה ולא מורכבת), והשתדלו שלא לנסות להתערב באופן ידני בתהליך.

למעשה, בשלב זה סיימתם את התהליך. אך אם אתם רוצים להיפטר מה- DCים הישנים עליכם לבצע גם את התהליכים הבאים.

שלב 13: הוצאת ה-DCים הישנים מתפעול

לפני שנמשיך הלאה אנחנו צריכים לוודא שהרפליקציה הצליחה, ושה-DNS וה-Global Catalog עובדים כיאות. ניתן להשתמש בסט פקודות סטנדרטי הכולל בין היתר פקודות כמו:

Ping
Nslookup
Dcdiag
Netdom
Rep
admin
Event Viewer
ועוד.

לאחר שראיתם שהכל תקין ניתן להעביר אל אחד מהשרתים החדשים, לפי התיכנון המקורי, את חלק או כל אחד מחמשת תפקידי ה-FSMO Roles.

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

http://support.microsoft.com/kb/255504

How to view and transfer FSMO roles in Windows Server 2003

http://support.microsoft.com/kb/324801

לאחר שבדקנו שהכל תקין (בשלב הזה אני ממליץ להמתין כיממה, בהתאם למורכבות המערכת), ניתן להוציא את DCים הישנים משימוש על ידי הרצת פקודת Dcpromo אשר הופכת אותם בחזרה ל-Member Servers רגילים. במידה והכל תקין, ה-DCים הישנים ירדו באופן עצמאי. אבל במידה וישנה איזושהי בעיית רפליקציה הם עלולים לסרב לתהליך ההורדה (בשלב הזה אתם צריכים לשאול את עצמכם איך לא עליתם על הבעיה קודם לכן…) אבל בכל מקרה ניתן לפעול לפי ההנחיות הסטנדרטיות של הסרה “בכוח” ע”י הרצת הפקודה:

Dcpromo /forceremoval

וניקוי ה-AD משרידי ה-DCים הסוררים בהתאם למאמרים הבאים:

Forcing the Removal of a Domain Controller: Active Directory

http://technet.microsoft.com/en-us/library/cc781245(WS.10).aspx

Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

http://support.microsoft.com/kb/332199

לאחר הסרת כל ה-DCים הישנים נוכל להעלות את ה-DFL בדומיין, ובמידה וכל הדומיינים ביער נקיים מגירסאות ישנות של DCים, נוכל להעלות גם את ה-FFL. תהליך זה הוא חד-כיווני ובלתי הפיך (אם כי ניתן במצבים מסוימים להוריד אותו לרמה של Windows Server 2008 RTM אבל לא מתחת לזאת).

How to raise Active Directory domain and forest functional levels

?http://support.microsoft.com/kb/32269

לסיכום, תהליך השידרוג דורש תכנון מדוקדק והקפדה על סדר הפעולות, תוך בדיקה שכל התהליכם, כמו רפליקציות, הסתיימו בהצלחה לפני שעוברים לשלב הבא.

בהצלחה!!!

הפוסט פורסם לראשונה בבלוג TechNet ישראל.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "מעבר מ-Active Directory 2003 לגרסת 2008 R2 [מדריך, חלק ג’]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מאור
Guest

אני לא איש windows…. אבל בפברואר 2012… הגרסה הכי מתקדמת של Active directory הוא 2008???

wpDiscuz

תגיות לכתבה: