Windows Server 2003 i 2003 R2 to relikty przeszłości, ale z jakiegoś powodu czasami niektórzy je nadal wykorzystują (pomimo braku wsparcia, aktualizacji, braku możliwości migracji systemu itd.). Czasami tak bywa i trzeba się z tym liczyć, więc warto też wiedzieć jak przenieść obiekty w AD do systemu z tego aktualnego dziesięciolecia (co prawda końcówki, ale nadal).

W tym poście postaram się przedstawić najgorszy przypadek, jaki jest do migracji i właściwie jej cały proces. Teoretycznie można robić downgrade Windowsa Server do niższej wersji jeśli się zamówi do tego nośnik, ale po co? Mamy nowy sprzęt, mamy nowy system, więc dlaczego to zmieniać? Najlepiej się moim zdaniem trzymać nowszych systemów z prostego powodu – ich wsparcie się kończy później.

Okej, w takim razie moje środowisko wygląda tak:

• Domena: supra.local
• Nazwa hosta z Windowsem Server 2003: ad-2003
• Adres IP ad-2003: 192.168.162.10/24
• Nazwa hosta z Windowsem Server 2008 R2: ad-2008-r2
• Adres IP ad-2008-r2: 192.168.162.11/24
• Nazwa hosta z Windowsem Server 2019: ad-2019
• Domena supra.local znajduje się na ad-2003 (pełni on rolę kontrolera domeny AD)

Przeniesienie domeny bezpośrednio na Windowsa Server 2019 nie jest możliwe ze względu na to, że Windows Server 2019 nie wspiera SMB 1.0. Co prawda, można ją włączyć, ale to i tak nic nie da, bo jeszcze trzeba zmienić metodę replikacji danych pomiędzy kontrolerami z FRS na DFSR, gdzie DFSR nie jest wspierany przez Windowsa Server 2003. Jest on dostępny dopiero w Windowsie Server 2003 R2. W naszym scenariuszu postawimy tymczasowo Windowsa Server 2008 R2, przeniesiemy na niego domenę, a potem przeniesiemy domenę z 2008 R2 na 2019.

W tym poście pominę zrzuty ekranu z tego, jak się stawia kontroler domeny – będąc szczerym nie robiłem ich w momencie, gdy pisałem sobie notatki w tym zakresie. Tak czy siak, tym od czego należy zacząć jest instalacja Windowsa Server 2008 R2 (najlepiej na maszynie wirtualnej, potem można jej się szybko pozbyć). Na niej zmieniamy nazwę hosta na taką, jaką chcemy (w moim przypadku jest to ad-2008-r2 dla łatwiejszego zrozumienia jaki system na jakim etapie jest wykorzystywany), następnie ustawiamy statyczne adresy IP dla nowego serwera. W moim przypadku będzie to 192.168.162.11/24, poza tym serwerem DNS będzie adres aktualnego kontrolera domeny – 192.168.162.10. Po tym podłączamy ją do domeny (w moim przypadku supra.local podając uprawnienia do konta pozwalającego na dodanie do domeny nowego komputera.

Następnie instalujemy na nim rolę Usługi domenowe w usłudze Active Directory, to też nam zainstaluje Serwer DNS. W Windows Server 2008 (R2) można uruchomić kreatora promocji serwera do kontrolera domeny za pomocą polecenia dcpromo.exe i to też zrobiłbym, ale bez żadnego przygotowania można spotkać się z takim komunikatem w trakcie dodawania drugiego kontrolera domeny:

Na tym etapie powinniśmy przygotować strukturę lasu i domeny do umożliwienia stworzenia kontrolera domeny na Windowsie Server 2008 R2. Do tego musimy:

1. Sprawdzić jaki mamy aktualnie poziom funkcjonalności domeny i lasu. Domyślnie to jest Windows Server 2000 Local, należy go zmienić na Windows Server 2003. Na dobrą sprawę wystarczy ustawić Windows Server 2000 Mixed, ale w moim przypadku nie był on dostępny w opcjach. Na ten moment wystarczy zmiana samego poziomu domeny.
2. Podłączyć do napędu ad-2003 płytę instalacyjną Windowsa Server 2008 R2 (w moim przypadku napęd jest pod literą D:).
3. Otworzyć Wiersz polecenia jako Administrator, przejść do lokalizacji <litera-dysku>:\support\adprep, a następnie wykonać polecenie adprep32.exe /forestprep (lub adprep.exe /forestprep w przypadku 64-bitowego Windowsa Server 2003).

Następnie musimy przygotować domenę tak samo jak las, więc uruchamiamy polecenie adprep32.exe /forestprep (lub adprep.exe /domainprep w przypadku 64-bitowego Windowsa Server 2003).

Po tym powinno się podać parametry /gpprep i /rodcprep, więc wykonujemy adprep32.exe /gpprep, a potem adprep32.exe /rodcprep (jak mamy wersję 64-bitową, program to adprep.exe jak w poprzednich poleceniach).

Po tym możemy ponownie odpalić Kreator instalacji usług domenowych Active Directory i tym razem nie powinno być problemu z dodaniem kontrolera domeny na Windowsie Server 2008 R2.

Okej, jak kontroler się postawi to trzeba standardowo zrobić restart systemu. Teraz trzeba się zabrać za podniesienie poziomu domeny, przeniesienie ról głównego kontrolera domeny na ad-2008-r2 i pozbycie się ad-2003. Na początku zaczniemy od podniesienia poziomu funkcjonalności lasu do Windowsa Server 2003. Można to zrobić w Domeny i relacje zaufania usługi Active Directory. Po otwarciu musimy kliknąć na główne drzewko, które się nazywa tak samo jak okno, wybrać Podnieś poziom funkcjonalności lasu…, a następnie wybrać Windows Server 2003.

Teraz możemy zająć się przenoszeniem ról głównego kontrolera domeny. Upewnij się, że jesteś zalogowany na koncie administratora (dosłownie Administrator) i uruchom polecenie regsvr32 schmmgmt.dll.

To nam doda nową przystawkę do MMC – Schemat usługi Active Directory. Uruchom konsolę MMC poprzez polecenie mmc, kliknij Plik -> Dodaj/Usuń przystawkę… i wybierz z listy wspomnianą, a następnie kliknij przycisk Dodaj.

Następnie musisz zmienić kontroler domeny, z którego wykonujesz czynność, bo założenie jest takie, że z jego poziomu możesz kliknąć Zmień…. Tak będzie ogólnie z każdym wzorcem operacji, który musimy zmienić, a jest ich 5:

• Wzorzec schematu,
• Wzorzec nazw domen,
• Podstawowy kontroler domeny,
• Menedżer puli RID,
• Wzorzec infrastruktury.

W Schemacie usługi Active Directory zmieniamy wzorzec schematu. Na początku tak jak pisałem kontroler domeny wybierając PPM na początek drzewka, który nazywa się tak samo jak podstawka i wybieramy Zmień kontrolera domeny usługi Active Directory…, a następnie wybieramy nowy kontroler domeny, w moim przypadku ad-2008-r2. Następnie ponownie klikamy PPM na początek drzewka, lecz tym razem wybieramy Wzorzec operacji… i klikamy Zmień…. Zostaniemy spytani, czy na pewno chcemy przenieść wzorzec na taki host i to musimy zatwierdzić. Niestety, z tego etapu nie mam zrzutu ekranu 🙁

Tak czy siak, teraz musimy przenieść wzorzec nazw domen i to robimy w Domeny i relacje zaufania usługi Active Directory. Zmieniamy kontroler domeny, otwieramy opcje zmiany wzorca operacji w taki sam sposób, jak poprzednio, klikamy Zmień… i w ten sposób wzorzec nazw domen mamy za sobą.

Teraz pora na pozostałe 3 komponenty. Te zmieniamy w Użytkownicy i komputery usługi Active Directory klikając na drzewko z nazwą naszej domeny (w moim przypadku supra.local) prawym przyciskiem myszy, zmieniamy kontroler domeny na ad-2008-r2 i podobnie jak poprzednio wybieramy Wzorce operacji…. Tutaj na każdej karcie musimy kliknąć Zmień… i zatwierdzić.

Tym sposobem wszystkie role głównego kontrolera domeny zostały przeniesione. Teraz pora pozbyć się hosta z WS 2003. Przed samym wyłączeniem funkcji zmieniam jeszcze wpis w _mscds.supra.local i wpisuję tutaj IP nowego kontrolera domeny. Czasami po zdjęciu funkcji kontolera domeny ten wpis nie jest zmieniany.

Okej, usunięcie roli kontrolera domeny jest dosyć proste, bo trzeba uruchomić kreator poleceniem dcpromo.exe (dokładnie tak jak byśmy promowali serwer do roli kontrolera domeny), lecz w kreatorze będziemy pytani o inne rzeczy. W tym kreatorze padnie pytanie czy to ostatni kontroler domeny – pod żadnym pozorem nie zaznaczajcie tej opcji. Z tego, co pamiętam ona spowoduje usunięcie wszystkiego w DNSie związanego z całą domeną i nie wiem szczerze co to zrobi bazą LDAP (obstawiam, że ją usunie).

Pytanie czy usuwamy dane po kontrolerze AD. Jasne, że tak!

Następne pytanie w kreatorze to to, czy usunąć wpisy w DNS dotyczące tego serwera i tutaj warto zaznaczyć. Czasami i tak ten kreator tego nie zrobi i wtedy musimy usuwać wszystkie odwołania do starego kontrolera domeny, ale jeśli to się stanie to przynajmniej mamy mniej roboty. UWAGA: to czasami się wykrzacza i trzeba pousuwać wpisy ręcznie.

W sumie to by było na tyle. Po tym możemy rozpocząć proces usuwania roli kontrolera domeny.

I tym oto sposobem możemy usunąć z domeny starego Windowsa. Następnie zmieńmy poziom funkcjonalności domeny i lasu do Windowsa Server 2008 R2 (najwyższego, jaki jesteśmy w stanie osiągnąć aktualnie). Robimy to tak samo, jak poprzednio. Robimy to dlatego, bo nowsze wersje Windowsa Server wymagają DFSR do replikacji obiektów w domenie (gdzie w starszych wersjach odbywa się to za pomocą mechanizmu FSR).

Na samym początku sprawdźmy, czy stan naszej domeny jest poprawny. Robimy to odpalając z poziomu Wiersza poleceń z uprawnieniami administratora polecenie dcdiag /e /test:sysvolcheck /test:advertising.

W moim przypadku wszystko jest okej, więc przejdę dalej. Następnie musimy przejść przez 3-etapowy proces migracji z FSR do DFSR. To nie jest nic skomplikowanego, ale czasami to trochę trwa. Na samym początku zaczynamy poleceniem dfsrmig /setglobalstate 1. To ustawia status globalny DFSR na „prepared”. Po wykonaniu polecenia możemy sprawdzać status wykonania poleceniem dfsrmig /getmigrationstate. Poniżej efekty z tego, jak to wygląda gdy etap migracji nie został zakończony i gdy mamy już go za sobą.

Następnie uruchamiamy przejście na drugi etap migracji „redirected” poleceniem dfsrmig /setglobalstate 2. Gdy to się skończy, powtarzamy operację dla trzeciego etapu „eliminated”, oczywiście za pomocą polecenia dfsrmig /setglobalstate 3. Status migracji sprawdzamy tak samo jak w poprzednich etapach – poleceniem dfsrmig /getmigrationstate.

Gdy po ostatniej zmianie mamy informację, że wszystko jest okej, możemy przejść do przeniesienia funkcji na nowego hosta z Windowsem Server 2019, czyli ad-2019. Zmieniamy wzorce dokładnie tak samo jak z 2003 na 2008 R2: zmieniamy schemat domeny. Warto nie zapomnieć o tym, by przy każdej operacji wskazać ten nowy serwer. Taką operację możemy zrobić na dobrą sprawę z dowolnego kontrolera domeny. W moim przypadku zrzuty są z hosta ad-2019.

I teraz najlepsze – ten cały proces zmiany wzorców możemy zrobić one-linerem z poziomu konsoli Windows PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity ad-2019 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Warto sobie sprawdzić na sam koniec, czy wszystkie role się przeniosły. Robimy to poleceniem netdom query fsmo:

I to tyle. W ten sposób możemy pozbyć się kontrolera domeny na Windowsie Server 2008 R2 za pomocą kreatora uruchamianego poleceniem dcpromo.exe, usunąć serwer z domeny i możemy zapomnieć o problemie.

Domyślam się, że część z Was z takim problemem do czynienia miała lub mieć może do czynienia. Kiepska sprawa, bo SBSy w prawdzie działają wolniej niż zwykłe Windowsy Server 2008 dlatego, bo mają na sobie WSUSa, Exchange’a i wiele innych usług, o których administratorzy nie mają pojęcia, że w ogóle istnieją.

Tak czy siak najczęściej o istnieniu AD wiedzą i dzisiaj pokażę jak krok po kroku przenieść domenę z takiego kontrolera na zwykłego Windowsa Server. Aktualnie najnowszym jest Windows Server 2019, więc na taki przeniesiemy domenę.

Specyfikacja środowiska

Na początku dla jasności przedstawię środowisko i adresacje, które wykorzystałem w przykładzie:

Maszyna z WS SBS 2008:

• Adres IP: 192.168.162.20/24
• Brama domyślna: 192.168.162.2
• DNS: 127.0.0.1 (w końcu kontroler domeny realizuje też funkcję DNSa)
• Nazwa hosta: supra-ad (potem wykorzystywałem zrzuty z instalacji na której była nazwa it.supra.tf)
• Nazwa domeny: domena-sbs.local

Maszyna docelowa z WS 2019 Standard:

• Adres IP: 192.168.162.12/24
• Brama domyślna: 192.168.162.2
• DNS: 162.168.162.20 (it.supra.tf.domena-sbs.local)
• Nazwa hosta: ad-2019

Zakładam, że obie maszyny mają statyczne skonfigurowane adresacje sieciowe.

Przygotowanie do przeniesienia

Na początku garść teorii – Windows SBS 2008 posiada domyślnie poziom funkcjonalności domeny i lasu na poziomie Windowsa Server 2003. Ponadto korzysta on z systemu FRS (File Replication Services) do replikacji danych pomiędzy kontrolerami domeny. Windows Server 2016 i 2019 już nie wspierają tego systemu i jedyną opcją na postawienie kontrolera domeny na nich jest zmiana tego systemu na DFRS (Distributed File System Replication). Jest to generalnie dosyć łatwy proces, ale czasami może trochę potrwać.

Aby podnieść poziom domeny i lasu do Windows Server 2008 należy wejść do narzędzia Użytkownicy i komputery usługi Active Directory, następnie kliknąć na początek drzewka z nazwą naszej domeny PPM i wybrać Podnieś poziom funkcjonalności domeny…, wybrać z listy Windows Server 2008 i zatwierdzić.

Następnie trzeba przejść do drugiego narzędzia Domeny i relacje zaufania usługi Active Directory, tutaj zmieniamy poziom lasu tak samo jak domeny – klikając na początek drzewka PPM i wybierając Podnieś poziom funkcjonalności domeny… i tak samo wybierając poziom na Windows Server 2008.

Następnie musimy zmienić system replikacji danych pomiędzy kontrolerami na DFSR. To jest dosyć proste. Na początku warto sprawdzić czy nasz kontroler działa poprawnie (za pomocą polecenia dcdiag /e /test:sysvolcheck /test:advertising):

Jeśli wszystko jest tak jak na moim zrzucie ekranu poprawnie, możemy włączyć pierwszy stan migracji „Prepared”: dfsrmig /setglobalstate 1

Następnie musimy poczekać. Nie ma żadnego paska postępu, jedyne co możemy zrobić to sprawdzić to, czy udało się zastosować zmianę poleceniem dfsrmig /getmigrationstate.

Gdy przejście na pierwszy stan się zakończy, musimy przejść na drugi za pomocą polecenia dfsrmig /setglobalstate 2, a po przejściu na drugi musimy przejść na trzeci stan za pomocą dfsrmig /setglobalstate 3.

Podniesienie nowego kontrolera domeny…

Gdy to mamy za sobą, możemy podłączyć nowy serwer do domeny i zająć się jego podniesieniem do kontrolera domeny. Na początku należy ustawić odpowiednią nazwę hosta, adresację i zainstalować rolę serwera Usługi domenowe Active Directory poprzez Menedżer serwera. Gdy to mamy za sobą, należy wybrać w Menedżerze serwera Promuj ten serwer do roli kontrolera domeny. Po tym pojawi się okno w którym wybieramy naszego użytkownika administracyjnego, wybieramy opcję wdrażania Dodaj kontroler domeny do istniejącej domeny i lecimy Dalej.

Następnie podajemy hasło do przywracania usług katalogowych DSRM, lecimy Dalej.

Tutaj i tak nic nie zrobimy; Dalej.

Tutaj równie dobrze możemy przejść Dalej…

I tutaj też.

Dalej też.

Tak samo…

Tutaj akurat Zakończ. Po wykonaniu czynności musimy zrestartować serwer i w ten sposób mamy nowy kontroler domeny w domenie.

…i migracja roli głównej kontrolera domeny na nowy

Na tym etapie musimy zmienić tak zwane wzorce operacji. Nawet po postawieniu nowego kontrolera domeny te znajdują się na serwerze, który był pierwotnie kontrolerem. Wzorców jest 5 i musimy przenieść wszystkie. Jeśli mamy wiele serwerów, możemy je przechowywać na różnych maszynach, ale nic nie stoi na przeszkodzie, by przenieść wszystkie na nowy kontroler domeny, bo w końcu pozbywamy się starego. Mowa tutaj o:

• Wzorzec schematu,
• Wzorzec nazw domen,
• Podstawowy kontroler domeny,
• Menedżer puli RID,
• Wzorzec infrastruktury.

Bez wchodzenia w szczegóły co one robią, pokaże jak je przenieść na dwa sposoby:

Metoda „klikając”

Zaczniemy od wzorca schematu. Żeby grzebać w jego ustawieniach, musimy przejść na konto administratora (dosłownie administrator), które jest domyślnie w SBSie wyłączone, więc aby je włączyć wykonujemy polecenia:

net user administrator /active:yes
net user administrator 'na5zeha$lO'

Następnie przelogowujemy się na te konto, wchodzimy do sekcji Uruchom (najlepiej za pomocą Win+R) i uruchamiamy polecenie regsvr32 schmmgmt.dll. Jeśli nam się powiedzie, otrzymamy komunikat:

Jeśli się zaś nie przelogujemy na konto Administrator to dostaniemy taki komunikat:

Mając załadowaną DLLkę możemy odpalić konsolę Microsoft Management Console (MMC) tak samo jak uruchamialiśmy poprzednie polecenie: mmc. Następnie musimy dodać przystawkę Schemat usługi Active Directory. Klikamy u góry Plik -> Dodaj/Usuń przystawkę…, wybieramy ją z listy, klikamy Dodaj > i zatwierdzamy.

Domyślnie wskazany kontroler to ten pierwszorzędny, więc musimy go zmienić na nasz nowy. Należy kliknąć prawym na początek drzewka PPM i wybrać Zmień kontrolera domeny usługi Active Directory… i tam wybieramy nasz nowy kontroler.

Teraz w końcu możemy przejść do ustawień wzorca. Tak samo klikamy prawym na początek drzewka i wybieramy Wzorzec operacji…

Tutaj musimy tylko kliknąć Zmień… i zatwierdzić. Na tym etapie może się Wam pojawiać komunikat, że FSMO nie jest online. Szybkie rozwiązanie – restart systemu na obu kontrolerach.

Następnie zmienimy Menedżer puli RID, Podstawowy kontroler domeny (Kontroler PDC) oraz Wzorzec infrastruktury. Tutaj należy przejść do przystawki Użytkownicy i komputery usługi Active Directory, kliknąć na początek drzewka naszej domeny (będzie się nazywał tak samo jak nasza domena) PPM, zmienić serwer na nowy kontroler domeny tak samo jak w poprzednim przypadku i ponownie wejść w opcję Wzorzec operacji…

Następnie w zasadzie we wszystkich zakładkach trzeba kliknąć Zmień… i zatwierdzić.

Mając to za sobą pozostaje jedynie zmiana ostatniego wzorca operacji – nazw domen. Należy tutaj przejść do przystawki Domeny i relacje zaufania usługi Active Directory, tam kliknąć prawym przyciskiem na najwyższy element przystawki (nie drzewko z nazwą domeny), zmienić tutaj kontroler domeny jak poprzednio i otworzyć opcje zmiany wzorca poprzez Wzorzec operacji…

Tak samo jak poprzednio klikamy Zmień… i zatwierdzamy.

Metoda „na szybko”

Jest o wiele szybsza, niż mogłaby się wydawać. Uruchamiamy na koncie administratora (nazwa Administrator) konsolę Windows PowerShell i wykonujemy polecenie (po wykonaniu polecenia musimy je zatwierdzić):

Move-ADDirectoryServerOperationMasterRole -Identity <nazwa-nowego-serwera> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

W moim przypadku to było:

Move-ADDirectoryServerOperationMasterRole -Identity ad-2019 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

W ten sposób powinniśmy mieć wszystkie wzorce przeniesione. By się upewnić, można na serwerze uruchomić polecenie netdom query fsmo:

Jeśli wszystkie wyniki nie wskazują na stary serwer – jesteśmy w domu.

Sprzątanie po imprezie

Teraz, aby pozbyć się starego kontrolera domeny, musimy najpierw na nim usunąć rolę Usługi certyfikatów w usłudze Active Directory. Otwieramy Menedżer serwera, przechodzimy do sekcji Role w drzewku i po prawej stronie znajdziemy przycisk Usuń role.

Następnie w Kreatorze usuwania ról odznaczamy wspomnianą rolę i przechodzimy dalej.

Następnie zatwierdzamy naciskając Usuń.

Jak to się skończy, musimy uruchomić Kreator instalacji usług domenowych w usłudze Active Directory za pomocą polecenia dcpromo.exe.

Przywita nas kreator. Nie mamy czym się obawiać, zatwierdzamy i idziemy dalej.

Nie zaznaczamy tej opcji. To nie jest jedyny kontroler domeny, więc nie mamy do tego powodu, bo nie pozbywamy się domeny.

Jeśli pojawi Ci się taki komunikat jak ten:

W takiej sytuacji pod żadnym pozorem nie kontynuuj procesu usuwania kontrolera. Ten komunikat oznacza inaczej, że nie przeniosłeś wzorca schematu i musisz to zrobić zanim pozbędziesz się tego kontrolera. W innym wypadku kontynuacja spowoduje totalne wyczyszczenie DNSa, a to proszenie się o kłopoty. Jeśli nie ma takiego komunikatu – nie ma o co się obawiać.

Akurat to zostawiamy zaznaczone:

To też. Być może będziesz musiał te rekordy naprawdę wyczyścić ręcznie. Musiałem tutaj podać poświadczenia administratora.

Na koniec krótkie podsumowanie tego, na co się zdecydowaliśmy…i lecimy dalej.

Jeśli pojawi Ci się po wykonaniu operacji taki komunikat – to oznacza, że wpisy w DNSie musisz pousuwać ręcznie. Tak czy siak kontroler się usunie.

Zresztą, jak widać:

Na koniec otwórz ustawienia serwera DNS na nowym kontrolerze domeny i:

• Zmień wpis w <domena>\_mscds na FQDN swojego kontrolera domeny:

• Usuń wszystkie wpisy wskazujące na stary kontroler domeny. Zaznaczyłem wszystkie podfoldery, w którym się znajdują na zrzucie ekranu (zaznaczyłem też jak taki wpis może wyglądać, w skrócie zawiera FQDN starego kontrolera domeny):

I to byłoby na tyle. Teraz możesz usunąć starą maszynę z domeny, ewentualnie jeśli potrzebujesz to możesz przejść do przeniesienia innych usług, np. DHCP.