מעבר מ-Active Directory 2003 לגרסת 2008 R2 [מדריך, חלק א’]

מדריך קצר ופשוט המתאר את כל תהליך המעבר מ-Active Directory המבוסס על Windows Server 2003 ל-Windows Server 2008 R2.

הפוסט נכתב על ידי דניאל פטרי, Premier Field Engineer במיקרוסופט ישראל, העוסק בעיקר ב-Active Directory, Remote Desktop Services ו-Hyper-V.

תמונה: צילומסך

כל מי שחושב או ממש מתכוון לשדרג את ה- Active Directory הארגוני מגרסת Windows Server 2003 ל- Windows Server 2008 R2 וודאי יודע שעל מנת לשמור על רציפות תפעולית של הארגון ולמזער הפרעות, תהליך השדרוג מצריך תכנון נכון, מיפוי הכשלים האפשריים (risks) ותכנון שיחזור למצב קודם במקרה של תקלה. בכדי לעזור לכם בתהליך זה, ריכזתי מקבץ נקודות למחשבה שיעזור לכם בתכנון הנכון של פעולת המיגרציה ובבניית תוכנית שדרוג מסודרת וההכנות המקדמות בתהליך המעבר מ-Active Directory המבוסס על Windows Server 2003 ל-Windows Server 2008 R2. תוכלו למצוא את החלק הראשון של המאמר המסביר על הסיבות למעבר ל-2008 R2 בקישור הבא.

שלב 1: בניית תוכנית שדרוג מסודרת

אין ספק שפרט לידע וניסיון, אחד מסודות ההצלחה בשדרוגים הינו בניית תוכנית מפורטת עבור השדרוג. רצוי שתוכנית השדרוג תכלול את המרכיבים הבאים:

מטרות הפרוייקט: במסגרת הגדרת מטרות הפרוייקט, אתם צריכים לשאול את עצמכם מהי התוצאה הסופית הרצוייה של הפרוייקט. האם אתם רוצים להחליף את כל הדומיין קונטרולרים או רק את חלקם? האם אתם רוצים לשמור על שמות וכתובות ה- IP של ה- DCים הישנים? האם אתם מעוניינים לבצע שינוי בתשתית החומרה ואולי לעבור לעבוד בתצורה של מכונות וירטואליות? האם אתם מרוצים מטופולוגיית הרפליקציה של ה- AD, או שמא דרושים שינויים גם בתחום זה? ועוד.

מיפוי המשאבים: יש למפות היטב את המשאבים המשתתפים בשדרוג והמושפעים ממנו. רצוי להחזיק דיאגרמת רשת ומשאבים מסודרת ומעודכנת, ולבדוק היטב שכל ההגדרות של כל מרכיבי המפתח של ה-AD קיימים בידיכם.

תפקידים נוספים שה-DCים הקיימים מבצעים: האם ה- DCים שלכם מבצעים תפקידים נוספים? האם הם גם שרתי DNS, DHCP, WINS? מי מחזיק בתפקידי ה- FSMO? האם הם מחזיקים את ה- Terminal Server Licensing Server? האם אחד מהם הוא גם Certificate Authority? האם רחמנא ליצלן הם גם משמשים כשרתי קבצים/מדפסות? אם התשובה חיובית, חובה להתייחס לכך במהלך תכנון העבודה, ולבחון אילו אפשרויות עומדות בפניכם להעביר תפקידים אלה לשרתים אחרים ו/או ל- DCים החדשים.
הגדרת הסיכונים: יש לנסות למפות את הסיכונים על ידי מיפוי של המשאבים הקריטיים. ככל שהארגון גדול יותר כך תהליך זה יותר מורכב, אך הכרחי. ארגון שנכנס לתהליך מיגרציה מורכב מבלי להיות מודע לסיכונים העומדים בפניו עלול להימצא מול שוקת שבורה במידה ומשהו לא יעבוד כפי שתוכנן.

חלוקת אחריות: מי מבצע מה, מה נמצא באחריותו של הלקוח, ומה באחריותו של הספק אם ישנו כזה.

הגדרת תהליך Rollback: יש להערך למצב שתהליך השדרוג יכשל בכל נקודת זמן ואז יהיה צורך בשחזור המצב הקודם. לכן יש לבנות תוכנית גיבוי ותוכנית Rollback מסודרת הכוללת גיבויים בדוקים ותקינים.

בדיקת תאימות: עבור כל מוצר צד שלישי שקשור במערכת ה- AD באיזשהו אופן (לדוגמה Firewall, שרתי VPN, מערך Radius, שרתי טרמינל, מערכי איחסון, מערכת שו”ב, מערכת ERP/CRM, מוצרי תקשורת פנים ארגוניים ועוד) יש לוודא עם היצרן שהוא תומך בגירסה החדשה של Windows Server 2008 R2, וכי כל עידכון חומרה או תוכנה דרוש אכן הותקן או יותקן כחלק ממהלך הפרוייקט. בנוסף, חובה לוודא את קיומם של בעלי התפקיד, המומחים ומחזיקי הידע הרלוונטיים בכל אחד מהמוצרים הללו, ואת זמינותם ומחויבותם לפרוייקט.

בדיקות מעבדה: ככל שהארגון גדול ומורכב יותר, כך שלב זה חשוב יותר. ללא בדיקות מעבדה לא יהיה ניתן לוודא ב- 100% שתהליך השדרוג לא יפגע בשירותים או מוצרים המותקנים על השרתים השונים.

שלב 2: גיבוי מלא, תקין ובדוק

מכיוון שתהליך השדרוג הוא חד-כיווני ובלתי הפיך, שלב קריטי בתהליך השדרוג הוא ביצוע גיבוי מלא, מסודר ובדוק, הכולל את כל המרכיבים של ה- AD, וכולל מן הסתם את בסיס הנתונים עצמו וכל הרכיבים הקשורים אליו. כלל האצבע אומר – גיבוי של לפחות DC תקין אחד בכל דומיין ביער, רצוי שניים, ורצוי שהם יהיו גם Global Catalogs. כמובן שיש לבדוק היטב שהגיבוי עובד. אנחנו לא רוצים למצוא את עצמנו בוהים בקלטת ריקה בדיוק כשאנחנו צריכים אותה…

לאור הניסיון העגום עם מספר לקוחות “חכמים” במיוחד חשוב שאציין זאת שוב: הדרך היחידה לגיבוי מלא, תקין, אמין ונתמך של AD היא באמצעות תוכנת גיבוי התומכת והעובדת עם ה- API המתאים לגיבוי AD. במידה ואתם לא בטוחים ביכולתה של תוכנת הגיבוי שלכם, תמיד תוכלו להשתמש ביכולות הגיבוי המובנות ב-Windows – שימוש בתוכנת Windows Backup או NTbackup (בהתאם לגירסת Windows), וביצוע גיבוי מלא של ה-System State.

Back up system state: Active Directory

בנוסף לגיבוי, ישנה אפשרות לשמר את המצב הקיים של אחד ה- DCים, ולהחזירו לשימוש במקרה תקלה. אם יש אפשרות, (למשל אם יש שלושה DCים ומבחינת העומס לא דרושים שלושה בו זמנית) ניתן לנתק את אחד מהם מהרשת על מנת לשמר אותו במצב הקיים בטרם נתחיל בתהליך השדרוג. כך במקרה אסון שדורש הקמת מחדש של כל ה- AD מגיבוי, נוכל לחסוך את תהליך השיחזור מקלטת/דיסק ולהחזיר את המידע מאותו DC מנותק. יש לציין שלא מדובר בתהליך של מה בכך, אבל היתרון של טקטיקה זו, במקרה של אסון, הוא בכך שאנחנו חוסכים את זמן ההמתנה לשיחזור ה- System State מתוך מדיית הגיבוי. על כך במאמר אחר.

חשוב מאוד: במידה ואתם עושים שימוש בתשתית וירטואליזציה, ובמידה וה- DCים הקיימים רצים כמכונות וירטואליות, עליכם לזכור שבשום פנים ואופן אסור להסתמך על ביצוע Snapshots או Disk Cloning, וכי אסור לבצע Pause או “הקפאת מצב” של אף אחד מה- DCים הללו. הדרך היחידה, גם בתצורה וירטואלית, לגיבוי AD תקין ונתמך הינה ביצוע System State Backup בצורה מסודרת.

Virtual Active Directory Domain Services Domain Controllers Hyper-V

שלב 3: וודאו שיש לכם הרשאות מתאימות

וודאו שיש לכם הרשאות מתאימות. במקרה זה מדובר בהרשאות Domain Admin, Enterprise Admin ו-Schema Admin.

שלב 4: תחנת ניהול

רצוי להתקין מחשב אחד (לפחות) ולהשתמש בו בתור תחנת ניהול. המחשב יכול להריץ Windows 7 עם כלי ניהול של Windows Server 2008 R2 – Remote Server Administrator Tools (או RSAT) או שרת Windows Server 2008 R2 עם RSAT.

Download: Remote Server Administration Tools for Windows 7 with SP1 – Microsoft Download Center – Download Details

שלב 5: Domain Function Level ו – Forest Function Level

וודאו שה- Domain Function Level וה – Forest Function Level יהיו בגירסת Windows 2000 Native ומעלה, כלומר לא בתצורת Mixed או Interim. מיותר לומר אבל נציין בקצרה – BDCים של Windows NT 4.0 אינם יכולים להיות קיימים במערכת בזמן השדרוג. היפטרו מהם, אם עוד יש לכם כאלה.

How to raise Active Directory domain and forest functional levels

בנוסף, רצוי להזכיר שבמידה וקיימים DCים של Windows 2000, הם חייבים לרוץ בגירסת SP4 בלבד.

שלב 6: וודאו את תקינות ה- Domain Controllers והרפליקציה של Active Directory

יש לוודא את תקינות הרפליקציה ואת תקינות ה- DNS. וודאו שאין שום אירועים בעייתיים. בצעו בדיקה מדוקדקת של אירועים המופעים ב- Event Viewer על כל ה- DCים, ובדקו היטב שאין שום בעיות שעלולות לגרום לפרוייקט להסתבך.

Troubleshooting replication: Active Directory

הפוסט פורסם לראשונה בבלוג TechNet ישראל.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

8 תגובות על "מעבר מ-Active Directory 2003 לגרסת 2008 R2 [מדריך, חלק א’]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוסי מזרחי
Guest

האמת, כתבה נחמדה.
אתייחס רק לדבר אחד..
“האם רחמנא ליצלן הם גם משמשים כשרתי קבצים/מדפסות?”
ישנם ארגוני SMB שזה דבר מאוד לגיטמי ידידי..
לא שזה הדבר הכי חכם.. אבל זה חסכוני לארגון קטן.

אביעד
Guest

מצויין! תודה!

אליקו
Guest

יוסי, אני מניח שהכוונה במאמר היא לשרתים שאינם SBSים. ברור שבמקרה שמדובר בשרת בודד לחברה אין מנוס אלא מלהריץ עליו שירותים נוספים, אבל לדעתי לא בכך מדובר שהרי כל הקונספט של SBS הוא שרת אחד שמריץ את הכל….
אחלה מאמר דניאל! מתי יוצא ההמשך?

חיים
Guest

שכחתם לציין, אם כבר עברתם למצב תאימות 2008 R2 כדאי לעבור גם לDFSR ב SYSVOL…

אליקו
Guest

חיים אני מניח שכפי שכתוב בפוסט המקורי פה, מדובר במאמר מס’ 2 מתוך 4 מאמרים. סמוך על דניאל שיכסה את הכל…

http://blogs.microsoft.co.il/blogs/technet/archive/2012/01/10/2-4-active-directory-windows-server-2003-windows-server-2008-r2.aspx

חיים
Guest

אהה… בכל מקרה, זה נחמד לידע כללי.
אין תחליף למאמר המלא מה TECHNET. אני בטוח שגם מר פטרי יסכים איתי…

דניאל
Guest

יוסי – נכון אתה צודק, יש בהחלט תסריטי SMB שבהם שרת אחד עושה הכל. המאמר התכוון לסביבה שבה ה- DCים הם DCים ולא יותר מזה.

אליקו – צודק, תודה.

חיים – ברור, מעבר ל- DFSR הוא בהחלט אחד התהליכים שנרצה לבצע מיד בתום השדרוג. אבל שים לב, המאמר הזה (ובכלל, הסדרה בת 4 המאמרים הזו) מתייחסת לעצם השדרוג ולא למה שאפשר לעשות אחרי השדרוג, שהרי הרשימה גדולה וכוללת פיצ’רים ויכולות שבהחלט רצוי וכדאי להשתמש בהן. ראה בלינק הרצ”ב את החלק הראשון, שם חלק נכבד מאותם פיצ’רים נסקרים:

http://blogs.microsoft.co.il/blogs/technet/archive/2012/01/01/active-directory-windows-server-2003-windows-server-2008-r2.aspx

בעתיד אשתדל לכתוב גם על אותם פיצ’רים בהרחבה.

מקווה שזה עזר.

Adom-it - אדום שירותי מחשוב
Guest

מעולה, תודה רבה

wpDiscuz

תגיות לכתבה: