Migracja domeny Active Directory z Windows SBS 2008 na Windows Server 2019

Zrobiłem wirtualkę z 40 GB przestrzeni dyskowej. Jak bardzo byłem w błędzie myśląc, że to wystarczy…

Domyślam się, że część z Was z takim problemem do czynienia miała lub mieć może do czynienia. Kiepska sprawa, bo SBSy w prawdzie działają wolniej niż zwykłe Windowsy Server 2008 dlatego, bo mają na sobie WSUSa, Exchange’a i wiele innych usług, o których administratorzy nie mają pojęcia, że w ogóle istnieją.

Tak czy siak najczęściej o istnieniu AD wiedzą i dzisiaj pokażę jak krok po kroku przenieść domenę z takiego kontrolera na zwykłego Windowsa Server. Aktualnie najnowszym jest Windows Server 2019, więc na taki przeniesiemy domenę.

Specyfikacja środowiska

Na początku dla jasności przedstawię środowisko i adresacje, które wykorzystałem w przykładzie:

Maszyna z WS SBS 2008:

  • Adres IP: 192.168.162.20/24
  • Brama domyślna: 192.168.162.2
  • DNS: 127.0.0.1 (w końcu kontroler domeny realizuje też funkcję DNSa)
  • Nazwa hosta: supra-ad (potem wykorzystywałem zrzuty z instalacji na której była nazwa it.supra.tf)
  • Nazwa domeny: domena-sbs.local

Maszyna docelowa z WS 2019 Standard:

  • Adres IP: 192.168.162.12/24
  • Brama domyślna: 192.168.162.2
  • DNS: 162.168.162.20 (it.supra.tf.domena-sbs.local)
  • Nazwa hosta: ad-2019

Zakładam, że obie maszyny mają statyczne skonfigurowane adresacje sieciowe.

Przygotowanie do przeniesienia

Jeśli będziecie próbowali podnieść serwer do roli kontrolera domeny bez jakichkolwiek zmian, spotkacie się z tym błędem.

Na początku garść teorii – Windows SBS 2008 posiada domyślnie poziom funkcjonalności domeny i lasu na poziomie Windowsa Server 2003. Ponadto korzysta on z systemu FRS (File Replication Services) do replikacji danych pomiędzy kontrolerami domeny. Windows Server 2016 i 2019 już nie wspierają tego systemu i jedyną opcją na postawienie kontrolera domeny na nich jest zmiana tego systemu na DFRS (Distributed File System Replication). Jest to generalnie dosyć łatwy proces, ale czasami może trochę potrwać.

A to jest drugi problem z którym można się spotkać jeśli już się podniesie poziom domeny i lasu na Windows Server 2008.

Aby podnieść poziom domeny i lasu do Windows Server 2008 należy wejść do narzędzia Użytkownicy i komputery usługi Active Directory, następnie kliknąć na początek drzewka z nazwą naszej domeny PPM i wybrać Podnieś poziom funkcjonalności domeny…, wybrać z listy Windows Server 2008 i zatwierdzić.

Następnie trzeba przejść do drugiego narzędzia Domeny i relacje zaufania usługi Active Directory, tutaj zmieniamy poziom lasu tak samo jak domeny – klikając na początek drzewka PPM i wybierając Podnieś poziom funkcjonalności domeny… i tak samo wybierając poziom na Windows Server 2008.

Następnie musimy zmienić system replikacji danych pomiędzy kontrolerami na DFSR. To jest dosyć proste. Na początku warto sprawdzić czy nasz kontroler działa poprawnie (za pomocą polecenia dcdiag /e /test:sysvolcheck /test:advertising):

Jeśli wszystko jest tak jak na moim zrzucie ekranu poprawnie, możemy włączyć pierwszy stan migracji „Prepared”: dfsrmig /setglobalstate 1

Następnie musimy poczekać. Nie ma żadnego paska postępu, jedyne co możemy zrobić to sprawdzić to, czy udało się zastosować zmianę poleceniem dfsrmig /getmigrationstate.

Jeśli macie taki wynik – to oznacza, że musicie jeszcze trochę poczekać!
Jeśli przejdzie, dostaniecie mniej więcej taki komunikat.

Gdy przejście na pierwszy stan się zakończy, musimy przejść na drugi za pomocą polecenia dfsrmig /setglobalstate 2, a po przejściu na drugi musimy przejść na trzeci stan za pomocą dfsrmig /setglobalstate 3.

Podniesienie nowego kontrolera domeny…

Gdy to mamy za sobą, możemy podłączyć nowy serwer do domeny i zająć się jego podniesieniem do kontrolera domeny. Na początku należy ustawić odpowiednią nazwę hosta, adresację i zainstalować rolę serwera Usługi domenowe Active Directory poprzez Menedżer serwera. Gdy to mamy za sobą, należy wybrać w Menedżerze serwera Promuj ten serwer do roli kontrolera domeny. Po tym pojawi się okno w którym wybieramy naszego użytkownika administracyjnego, wybieramy opcję wdrażania Dodaj kontroler domeny do istniejącej domeny i lecimy Dalej.

Następnie podajemy hasło do przywracania usług katalogowych DSRM, lecimy Dalej.


Tutaj i tak nic nie zrobimy; Dalej.

Tutaj równie dobrze możemy przejść Dalej…

I tutaj też.

Dalej też.

Tak samo…

Tutaj akurat Zakończ. Po wykonaniu czynności musimy zrestartować serwer i w ten sposób mamy nowy kontroler domeny w domenie.


…i migracja roli głównej kontrolera domeny na nowy

Na tym etapie musimy zmienić tak zwane wzorce operacji. Nawet po postawieniu nowego kontrolera domeny te znajdują się na serwerze, który był pierwotnie kontrolerem. Wzorców jest 5 i musimy przenieść wszystkie. Jeśli mamy wiele serwerów, możemy je przechowywać na różnych maszynach, ale nic nie stoi na przeszkodzie, by przenieść wszystkie na nowy kontroler domeny, bo w końcu pozbywamy się starego. Mowa tutaj o:

  • Wzorzec schematu,
  • Wzorzec nazw domen,
  • Podstawowy kontroler domeny,
  • Menedżer puli RID,
  • Wzorzec infrastruktury.

Bez wchodzenia w szczegóły co one robią, pokaże jak je przenieść na dwa sposoby:

Metoda „klikając”

Zaczniemy od wzorca schematu. Żeby grzebać w jego ustawieniach, musimy przejść na konto administratora (dosłownie administrator), które jest domyślnie w SBSie wyłączone, więc aby je włączyć wykonujemy polecenia:

net user administrator /active:yes
net user administrator 'na5zeha$lO'

Następnie przelogowujemy się na te konto, wchodzimy do sekcji Uruchom (najlepiej za pomocą Win+R) i uruchamiamy polecenie regsvr32 schmmgmt.dll. Jeśli nam się powiedzie, otrzymamy komunikat:

Jeśli się zaś nie przelogujemy na konto Administrator to dostaniemy taki komunikat:

Mając załadowaną DLLkę możemy odpalić konsolę Microsoft Management Console (MMC) tak samo jak uruchamialiśmy poprzednie polecenie: mmc. Następnie musimy dodać przystawkę Schemat usługi Active Directory. Klikamy u góry Plik -> Dodaj/Usuń przystawkę…, wybieramy ją z listy, klikamy Dodaj > i zatwierdzamy.

Domyślnie wskazany kontroler to ten pierwszorzędny, więc musimy go zmienić na nasz nowy. Należy kliknąć prawym na początek drzewka PPM i wybrać Zmień kontrolera domeny usługi Active Directory… i tam wybieramy nasz nowy kontroler.

Teraz w końcu możemy przejść do ustawień wzorca. Tak samo klikamy prawym na początek drzewka i wybieramy Wzorzec operacji…

Tutaj musimy tylko kliknąć Zmień… i zatwierdzić. Na tym etapie może się Wam pojawiać komunikat, że FSMO nie jest online. Szybkie rozwiązanie – restart systemu na obu kontrolerach.

Następnie zmienimy Menedżer puli RID, Podstawowy kontroler domeny (Kontroler PDC) oraz Wzorzec infrastruktury. Tutaj należy przejść do przystawki Użytkownicy i komputery usługi Active Directory, kliknąć na początek drzewka naszej domeny (będzie się nazywał tak samo jak nasza domena) PPM, zmienić serwer na nowy kontroler domeny tak samo jak w poprzednim przypadku i ponownie wejść w opcję Wzorzec operacji…

Następnie w zasadzie we wszystkich zakładkach trzeba kliknąć Zmień… i zatwierdzić.

Zmiana menedżera puli RID
Zmiana podstawowego kontrolera domeny (PDC)
Zmiana wzorca infrastruktury

Mając to za sobą pozostaje jedynie zmiana ostatniego wzorca operacji – nazw domen. Należy tutaj przejść do przystawki Domeny i relacje zaufania usługi Active Directory, tam kliknąć prawym przyciskiem na najwyższy element przystawki (nie drzewko z nazwą domeny), zmienić tutaj kontroler domeny jak poprzednio i otworzyć opcje zmiany wzorca poprzez Wzorzec operacji…

Tak samo jak poprzednio klikamy Zmień… i zatwierdzamy.

Metoda „na szybko”

Jest o wiele szybsza, niż mogłaby się wydawać. Uruchamiamy na koncie administratora (nazwa Administrator) konsolę Windows PowerShell i wykonujemy polecenie (po wykonaniu polecenia musimy je zatwierdzić):

Move-ADDirectoryServerOperationMasterRole -Identity <nazwa-nowego-serwera> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

W moim przypadku to było:

Move-ADDirectoryServerOperationMasterRole -Identity ad-2019 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

W ten sposób powinniśmy mieć wszystkie wzorce przeniesione. By się upewnić, można na serwerze uruchomić polecenie netdom query fsmo:

Wynik polecenia netdom query fsmo

Jeśli wszystkie wyniki nie wskazują na stary serwer – jesteśmy w domu.

Sprzątanie po imprezie

Teraz, aby pozbyć się starego kontrolera domeny, musimy najpierw na nim usunąć rolę Usługi certyfikatów w usłudze Active Directory. Otwieramy Menedżer serwera, przechodzimy do sekcji Role w drzewku i po prawej stronie znajdziemy przycisk Usuń role.

Następnie w Kreatorze usuwania ról odznaczamy wspomnianą rolę i przechodzimy dalej.

Następnie zatwierdzamy naciskając Usuń.

Jak to się skończy, musimy uruchomić Kreator instalacji usług domenowych w usłudze Active Directory za pomocą polecenia dcpromo.exe.

Przywita nas kreator. Nie mamy czym się obawiać, zatwierdzamy i idziemy dalej.

Nie zaznaczamy tej opcji. To nie jest jedyny kontroler domeny, więc nie mamy do tego powodu, bo nie pozbywamy się domeny.

Jeśli pojawi Ci się taki komunikat jak ten:

W takiej sytuacji pod żadnym pozorem nie kontynuuj procesu usuwania kontrolera. Ten komunikat oznacza inaczej, że nie przeniosłeś wzorca schematu i musisz to zrobić zanim pozbędziesz się tego kontrolera. W innym wypadku kontynuacja spowoduje totalne wyczyszczenie DNSa, a to proszenie się o kłopoty. Jeśli nie ma takiego komunikatu – nie ma o co się obawiać.

Akurat to zostawiamy zaznaczone:

To też. Być może będziesz musiał te rekordy naprawdę wyczyścić ręcznie. Musiałem tutaj podać poświadczenia administratora.

Na koniec krótkie podsumowanie tego, na co się zdecydowaliśmy…i lecimy dalej.

Jeśli pojawi Ci się po wykonaniu operacji taki komunikat – to oznacza, że wpisy w DNSie musisz pousuwać ręcznie. Tak czy siak kontroler się usunie.

Zresztą, jak widać:

Na koniec otwórz ustawienia serwera DNS na nowym kontrolerze domeny i:

  • Zmień wpis w <domena>\_mscds na FQDN swojego kontrolera domeny:
  • Usuń wszystkie wpisy wskazujące na stary kontroler domeny. Zaznaczyłem wszystkie podfoldery, w którym się znajdują na zrzucie ekranu (zaznaczyłem też jak taki wpis może wyglądać, w skrócie zawiera FQDN starego kontrolera domeny):

I to byłoby na tyle. Teraz możesz usunąć starą maszynę z domeny, ewentualnie jeśli potrzebujesz to możesz przejść do przeniesienia innych usług, np. DHCP.