שדרוג דומיין 2003 לדומיין 2008R2

שדרוג סביבת דומיין 2003 לסביבת דומיין 2008
כמה מאיתנו (מנהלי הרשת) תכננו והקימו באופן עצמאי את ה AD שהם מנהלים כיום?
אני מניח שלרובנו לא הייתה את הפריבילגיה, מכיוון שברוב המקרים אנו מקבלים את הדומיין
בירושה ממנהל הרשת הקודם. יש להסיק כי מדובר ב AD בסביבת דומיין של 2003 (אחרת לא היינו קוראים
את הכתבה הזו) שקרוב לוודאי מותקן על שרת ישן, עם חצי ג'יגה זיכרון שבקושי נשאר בו מקום פנוי.
במידה וזה המצב, אולי הגיע הזמן שנשקול לשדרג את הדומיין ל Windows Server R2.

מדריך זה מלווה במדריכי ווידאו באיכות HD.

מה נדרש מאתנו על מנת לבצע שדרוג של הדומיין לגרסת 2008R2?
1. רכישת שרת חדש
ברוב המקרים יהיה עלינו לשכנע את המנהל הישיר שלנו שפעולה זו אכן הכרחית.
הרי הכל עובד, אז למה לבזבז זמן עבודה יקר ותקציב לרכישת שרת חדש?

ובכן, כל מה שעלינו לעשות, הוא להסביר את חשיבותו של שרת ה Active Directory בארגון
ומה יהיה אם יקרוס ביום מן הימים. ה- AD הינו השרת הקריטי ביותר בארגון,
המחזיק עליו את כל הגדרות הדומיין. דרכו מתבצע הזיהוי (שם משתמש + סיסמה) של
המשתמשים וכלל מערכות החברה. במקרי כשל, מערכות כגון: שרת הדואר,
בסיסי הנתונים, אפליקציות וכד' לא יהיו זמינות ברשת.

2. מעבר לאספקט הקריטי, יש להסביר למנהל כי כיום השרת מצוי בגרסת 2003
ויש צורך לשדרגו לגרסת 2008 לטובת אבטחת מידע, שיפור הביצועים, השירותים
והנגישות לכלל החבר
ה
.

שדרוג או מיגרציה?
במידה ושרת ה DC מצוי בגרסת 64 ביט, ניתן לבצע שדרוג (להשתמש בשרת הקיים).
כלומר להכניס את דיסק ההתקנה של Windows server 2008 R2 ולבצע שדרוג.
במידה ושרת ה DC מצוי בגרסת 32 ביט (סביר להניח) אין לנו אפשרות לבצע שדרוג
כלומר In-place upgrade, אלא להתקין שרת חדש ולהעביר אליו את כל תפקידי הדומיין.
*
מערכת הפעלה Windows 2008 R2 ניתנת להתקנה על פלטפורמת 64 ביט בלבד,
ולא ניתן לבצע שדרוג בין פלטפורמות
.

הכרת הצעדים הכלולים בתהליך

  1. הכנת רשימה של השירותים הרצים על ה-AD הקיים
    כגון: DNS, DHCP, DNS, WINS, CA, Time Server, Print Server
  2. רכישת שרת חדש, התקנת מערכת הפעלה 2008R2, הגדרת
    כתובת IP קבועה וצירוף המכונה לדומיין.
  3. בדיקת תקינות לשירותי ה AD הקיים.
  4. ביצוע הכנות מקדימות – בדיקת מוכנות שרת ה-Exchange, בדיקת גרסת
    ה SP המותקנת על שרתי ה- DC והכנת ה Schema
  5. ביצוע גיבוי ל AD הקיים: System State או Bare Mental עדיף שניהם.
  6. הרצת dcpromo על השרת החדש וצירופו לדומיין הקיים.
  7. העברת תפקידי ה fsmo לשרת ה DC הרץ על 2008R2.
  8. בסיום התהליך, ניתן לבצע הסרה של הדומיין 2003 מהרשת.
    * את כל הפעולות הללו ניתן לבצע ללא Downtime.

לפני שאנו מתחילים, מומלץ לעיין בקישורים הבאים:
Migrate Server Roles to Windows Server 2008 R2

מיקרוסופט הכינה פורטל אשר מספק את כל המידע הדרוש לביצוע המיגרציה
מדומיין 2003 ל 2008R2
Windows Server Migration Tools
- ווידאו.
Upgrade Domain Controllers
- מסמך שדרוג רשמי של מיקרוסופט.

דרישות מקדימות

  1. יש לוודא כי ה domain functional level הינו Windows 2000 Native ומעלה.
    ניתן לוודא זאת ע"י פתיחת ה Active Directory User and Computers,
    קליק ימני על שם הדומיין ובחירה באופציה Raise Domain Functional Level.
  2. יש לוודא ש Windows 2003 server SP2 מותקן על שרתי ה DC הקיימים.
  3. יש לכבות את תוכנת האנטי-ווירוס והפיירוול על שרתי ה DC הקיימים לפני השדרוג.
  4. יש לבצע את ההתקנה עם משתמש בעל הרשאות: של:
    Schema and Enterprise Admin ו Domain Admin. רצוי להשתמש
    ב Administrator של הדומיין.
  5. נוודא כי ה DNS על שרת ה 2003 הינו מוגדר כ Active Directory-integrated DNS zones,
    במידה ולא? כדאי שנבצע (kb816101) זאת
    .
    YouTube Preview Image

מוכנות שרת ה Exchange

  1. Exchange 2010- יש לוודא שה- forest functional level
    הינו Windows Server 2003 ומעלה. יש לוודא שה- Active directory הקיים
    רץ על מערכת הפעלה Windows Server 2003 SP2 ומעלה, Server 2008 SP2 ומעלה.
  2. Exchange 2007 – נוודא כי מותקן SP2 או SP1 עם UR9.
    * במידה וברצוננו להתקין את חבילת עדכונים SP3 על Exchange 2007,
    יש לוודא כי ה forest functional level הינו Windows Server 2003 ומעלה.
    פרטים נוספים: Exchange Server Supportability Matrix.
    ראה גם:
    Exchange Server and its relationship to Active Directory
    Exchange Server Supportability Matrix

כלי עזר
במידה ואנו לא מכירים את הטופולוגיה של הרשת\AD, ניתן להיעזר בכלי ADTD -מאמר
על מנת לוודא כי הדומיין מוכן וניתן לשדרוג\מיגרציה מהגרסה הקיימת (2003) לגרסה
העתידית (2008/2008R2), ניתן להשתמש בכלי
Microsoft Assessment and Planning Toolkit.

בדיקת תקינות ל AD
יש לבצע בדיקות תקינות ל Active directory לצורך אבחון ואיתור בעיות בטרם ביצוע השדרוג.

  1. Event Viewer- בדיקת הודעות המערכת וחיפוש שגיאות
  2. פקודות לבדיקת תקינות (Health Check) -שימוש במספר כלים המצויים
    בחבילת ה Support Tools
  3. dcdiag /v -בדיקת שגיאות ובעיות ב AD.
  4. Netsh dhcp show server-  בדיקת שירות הדי.H.סי.פי
  5. dnslint /ad /s IPAddress /v /no_open- בדיקת תקינות הדי.אנ.אס.
  6. DNS. DCDIAG /test:DNS /DNSALL /e /v- בדיקת תקינות הדי.אנ.אס.
  7. repadmin /showrepl ו repadmin /replsum /errorsonly -בדיקת תקינות רפליקציה.
  8. netdiag /v- בדיקות תקינות תקשורת.

    כלים נוספים לבדיקות תקינות:
    Microsoft IT Environment Health Scanner
    Spotlight on Active Directory
    Active Directory Domain Services Best Practices Analyzer
    Gptool- תקינות הגרופ פוליסי בין הדומיינים.
    פרטים נוספים:
    recommended hotfixes that you can install before you begin
    YouTube Preview Image

ביצוע גיבוי לפי תחילת השדרוג
יש לגבות את ה System State של ה Domain Controller המחזיק את כל הרולים (שרת 2003).
YouTube Preview Image

תחילת תהליך השדרוג – הכנת דומיין 2003 לקראת דומיין 2008R2
הרצת פקודות: adprep /forestprep, adprep /domainprep

לפני ביצוע פעולת ה DCPromo על ה DC, יש לבצע הכנה
של ה- schema וה forest לקראת בואו של דומיין 2008R2.
לשם כך נדרש להריץ מספר פקודות adprep (מידע נוסף) על שרת ה 2003.
נבצע את פקודות ה adprep רק לאחר שביצענו בדיקות לתקינות
ה active directory ווידאנו שהרפליקציה עובדת כראוי!

הרצת פקודות ה ADPREP
פעולה זו תשדרג את ה Schema לגרסה 44 (Server 2008)
או לגרסה 47 (Server 2008R2). ניתן לבדוק את גרסת ה Schema הנוכחית
ע"י הרצת הפקודה "schupgr" מחלון דוס.

כלי ה adprep מצוי בדיסק ההתקנה של Server 2008R2 בתיקיית support\adprep.
חשוב להשתמש בגרסת adprep התואמת לפלטפורמה עליה רץ שרת ה DC.
הרצת הפקודות צריכות להתבצע ע"י משתמש בעל הרשאות:
Schema, Enterprise And Domain Admins

הפקודות

  1. D:\support\adprep32.exe /forestprep
  2. D:\support\adprep32.exe /domainprep -פעולה זו עשויה לקחת זמן מה.
  3. D:\support\adprep32.exe /domainprep /gpprep -יש להריץ את הפקודה
    לאחר שרפליקציה בוצעה לשאר ה-DC.
  4. D:\support\adprep32.exe /rodcprep -פקודה זו מיועדת אך ורק אם  בכוונתו
    להתקין\לצרף RODC לדומיין. לפרטים והסברים נוספים ראה:
    Run Adprep commands
    adprep

לאחר ביצוע פקודות ה adprep יש לתת לדומיין זמן מה כדי לבצע
רפליקציה לשאר ה DC. יש לעבור על ה Eventviewer ולוודא שאין שגיאות.
יש להריץ את פקודת ה adsiedit.msc ולוודא כי גרסת ה Revision תחת
ה Configuration>ForestUpdates>ActiveDirectoryUpdate הינה 5
וגרסת ה objectVersion של ה Schema  הינה 47 –פרטים נוספים: VerifyForestPrep.
במידה ונתקלנו בבעיות בזמן הרצת adprep יש לעיין בקישור
הבא:
Troubleshooting errors with Adprep.exe.
AD Revision

ווידאו 1
YouTube Preview Image

ווידאו 2
YouTube Preview Image

התקנת שרת 2008R2
התקנת 2008R2, צירופו לדומיין כ Member Server (בדומה להוספת תחנה)
הקצאת כתובת IP  קבועה. כתובת ה DNS אמורה להיות זאת של
ה-DC הקיים (2003), זאת עד שנבצע dcpromo לשרת ה 2008R2.

הרצת dcpromo
על השרת החדש  (2008R2), נכנס לחלון דוס ונכתוב את הפקודה dcpromo.
פעולה זו תבצע התקנה של ה Active Directory Domain Services Role ולאחר מכן
תעלה את אשף ההתקנה של AD. מכיוון שברצוננו להוסיף DC חדש לדומיין הקיים,
נבחר באופציה "an additional domain controller in an existing domain".
נזין את שם הדומיין שאליו ברצוננו להוסיף את ה DC , נאפשר לאשף ההתקנה
להוסיף ולהגדיר את שירות ה-DNS  וה- Global Catalog באופן אוטומטי.
* יש לרשום בצד את הסיסמה של ה DSRM
* יש להמתין זמן מה עד שהDC יבצע רפליקציה (מינימום 15 דק)
.

ווידאו
YouTube Preview Image

בדיקת תקינות לאחר ה dcpromo
לאחר ביצוע ה dcpromo ואתחול השרת נוודא:

ששרת ה 2008R2 הוגדר כ DC ע"י כניסה ל  Active Directory Users & Computers
וחיפושו תחת הקונטיינר של ה Domain Controllers.
Domain Controllers

Global Catalog – נוודא שהשרת החדש מוגדר כ Global Catalog
ניתן לבצע זאת מתפריט->
ה Active Directory Sites and Services>Sites, Servers> 2008R2
server
קליק ימני, Properties על NTDS Settings ונוודא שה Global Catalog מסומן
.

DNS – נוודא שה DNS סונכרן לשרת החדש (2008R2)
ניתן לוודא זאת מממשק הניהול של ה DNS management console.
הגדרות ה-DNS אמורות להסתנכרן לשרת החדש באופן אוטומטי אחרי רפליקציה
.

במידה והכל כשורה, נבצע שינוי לכתובת ה DNS על השרת (2008R2),
כך שישתמש ב DNS של עצמו. מעבר לכך, נצטרך לשנות את הגדרות ה DNS בשירות
ה DHCP על כל התחנות והשרתים המוגדרים עם כתובת IP קבועה
.

העברת תפקידי ה FSMO משרת ה 2003 לשרת החדש
כדי לאתר את השרת שמחזיק את ה FSMO roles, ניתן להריץ את
הפקודה: netdom /query fsmo. את התפקידים של
ה RID Master, ה PDC Emulator,וה Infrastructure Masters,
ניתן להעביר ע"י הפעלת ה Active Directory Users and Computers,
ביצוע קליק ימני על שם הדומיין וקליק על אופציית ה Operation Master.

את ה Operations Master role ניתן לשנות מהממשק של
ה Active Directory Domains and Trusts, קליק ימני
על Active Directory Domains and Trusts וקליק על אופציית
ה Operation Master.

את ה Schema Master ניתן להעביר מממשק ה Active Directory Schema,
אך לפני כן נצטרך להפעיל את האופציה ע"י הרצת
הפקודה regsvr32 schmmgmt.dll מחלון דוס.

ווידאו
YouTube Preview Image

בסופו של תהליך, יש לוודא כי בוצעה העברה תקינה
ע"י כניסה ל AD Sites and Services ובדיקת ההפניה המוגדרת
ב Licensing Site Settings ומעבר על ה Event viewer.
לאחר זמן מה (שעה שעתיים), ניתן לבטל את פונקציית ה Global Catalog
משרתי ה-DC של ה 2003.


העברת ה DHCP לשרת החדש
ישנן מספר דרכים לבצע מיגרציה לשירות ה DHCP משרת לשרת.

  1. הדרך החדשנית ביותר הינה להשתמש ב Migration Tools של מיקרוסופט (ראה ווידאו).
  2. אופציה נוספת היא לבצע זאת באופן ידני- ע"י התקנת ה DHCP Server role
    על השרת החדש (2008R2). ביצוע Deactivate ל DHCP ע"י כניסה לממשק
    הניהול שלה DHCP  שבשרת הישן (2003), קליק ימני על שם השרת וביצוע Deactive.
    הורדת ה Service של ה DHCP על השרת הישן (2003) והגדרתו מחדש על השרת החדש (
    kb962355).
  3. האופציה השלישית היא לבצע יצוא ויבוא של ההגדרות משרת לשרת
    ע"י פקודות netsh. נבצע זאת ע"י פתיחת חלון דוס (כ administrator) על השרת
    הישן (2003) והרצת הפקודה: netsh dhcp server export C:\dhcp.txt all.
    לאחר מכן, נייבא את הגדרות ה DHCP לשרת ה 2008R2 ע"י הרצתה
    פקודה: netsh dhcp server import c:\dhcp.txt all.
    נכנס לממשק הניהול (בשרת ה 2008R2) של ה DHCP, נוודא שכל ההגדרות
    עברו באופן תקין, נסמן את האופציה Conflict detection attempts (כדי להימנע מהתנגשויות).
    ובסופו של דבר נבצע קליק ימני על שם השרת ונקליק על אופציית ה Authorize
    .

ווידאו
YouTube Preview Image

פעולות נוספות:
חשוב מאוד לא לשכוח לשנות את כתובות הDNS  בשירות ה DHCP, כך שיפנו ל DC  החדש.
מעבר לכך, נוודא כי תחנות העבודה והשרתים משתמשים בשירות ה DNS  של השרת החדש.
* יש לשנות את הגדרות ה Tcpip בתחנות ושרתים שמוגדר להם IP סטטי, לשנות להם את כתובת
ה DNS, כך שיופנו לשרת החדש.


הסרת שרתי ה DC של 2003 מהרשת

ה Global Catalog
יש לבטל את פונקציית ה Global Catalog מה DC של ה 2003.
ניתן לבצע זאת מתפריט
ה- Active Directory Sites and Services>Sites> Servers> DC 2008R2 server
קליק ימני> Properties על  NTDS Settings והורדת הסימון של ה Global Catalog
.

יש לבדוק כי שרת ה Exchange משתמש ב Global catalog של השרת החדש.
Exchange Server GC

שלב הבא הוא לכבות את שרתי ה DC 2003 ולבדוק שהתחנות מצליחות להתחבר לדומיין,
ששרת ה Exchange ושירות ה OWA עובדים תקין. במידה וכן, יש להמשיך לשלב הבא…

הסרת ה DC מהדומיין מתבצע ע"י הרצת DCPromo על שרתי ה 2003
לאחר ביצוע ה demote, יש לוודא שהשרת לא מתפקד יותר כ DC
האובייקטים של ה DC אמורים לעבור מה OU של ה Domain Controllers
ל OU של ה Computers. פרטים נוספים:
קישור1, קישור2
YouTube Preview Image

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

WOW, תודה כל פוסט מושלם, בדיוק מה שהייתי צריך ועוד בעברית.
הרבה תודות!

שאלה
1. על ה DC הקיים שלי (2003) מותקן גם certificate authority,
האם ישנה דרך להעביר אותו לדומיין 2008R2 לאחר השידרוג?

2. ה DC הקיים (2003) משמש גם כשרת מדפסות, האם ישנה דרך להעביר אותן לדומיין 2008R2 לאחר השידרוג?

טל

ואם כבר אז יש לי שאלה נוספת.
התבקשתי לייצא מה Active Directory נתונים כגון:

שם משתמש
שם ומשפחה
תפקיד
טלפון
טלפון נייד
כתובת דוא"ל או contact
קבוצות: רשימות תפוצה וחברים שלהן, קבוצות אבטחה וחברים שלהן.

האם קיימת תוכנה שתאפשר לי לבצע זאת בייתר קלות ללא הצורך בשימוש בפקודות?

שוב תודה,
טל

טל,
1. בגדול אין זה מומלץ להתקין את ה CA על שרת ה DC (אלא על member server) מכיוון שזה מסובך להעביר אותו לאחר מכן, אך מכיוון שאין לך ברירה תצטרך לבצע מספר פעולות כגון: לייצא את ה CA לקובץ, להסיר את שירות ה CA משרת ה 2003 ולייבא אותו לשרת החדש. ראה מספר מדריכים שיסיעו לך לבצע זאת בצורה מושכלת:
How to move a certification authority to another server
http://go.microsoft.com/fwlink/?LinkID=156771
http://support.microsoft.com/kb/298138
install-certificate-services-on-windows-server-2008-r2

2. העברת המדפסות משרת 2003 ל 2008R2
ניתן לבצע זאת בעזרת הכלי של מיקרוסופט Print Migrator
התקן אותו על השרת (Server 2003) ועקוב אחר אשף המיגרציה.
ראה גם: Migrate Printers From Windows 2003 to Windows 2008 Server

3. תוכל לייצא נתונים מה AD ע"י קליק ימני על ה OU ובחירה באופציה Export List.
אך תצטרך לבצע זאת על כל OU בנפרד. בנוגע לתוכנה, תוכל להישתמש ב
Active Directory Reports Lite אשר ניתנת בחינם, אך מאפשרת הצגה וייצוא של 200 אובייקטים בלבד. במידה ואתה צריך להציג יותר מ 200 אובייקטים, תוכל להתקין את
הגרסה המסחרית של התוכנה (ניתנת לשבועיים ניסיון ללא מגבלות) ולייצא את הנתונים בקלות יתר. ראה גם ADManager Plus -> CSV Generator Tool.

בהצלחה,
הראל

ישר כח
המדריכים שלך משתדרגים מנושא לנשוא המשך כך..
אבישי

פוסט מעולה!
שתי שאלות:
1. איך ניתן להתקין שרת FTP על Windows Server 2008 R2, ניסיתי, אך לא מצאתי אופציה המאפשרת להגדיר זאת תחת ה IIS 7.5?
2. איך ניתן לגבות את ה System state תחת Windows Server 2008 R2. ניסיתי לבצע זאת באמצעות ה Windows Server Backup,
אך לא מצאתי את האופציה?

תודה מראש,
אור

אור,
IIS7 in Windows Server 2008 R2
כנס ל http://www.iis.net/download/FTP הורד והתקן את המודול של ה FTP על השרת.
כנס לממשק הניהול של IIS, קליק ימיני על Sites, בחר באופציה Add FTP Site ועקוב אחר אשף ההתקנה.
במידה ומדובר בגרסת Windows Server 2008 R2 Core, ראה מדריך + ווידאו
וודא כי הפיירוול לא חוסם את פורט 21. –ראה מדריך

System State Backup
ראשית כנס לתיבת ה Windows Server Backup Features, וודא כי Command-line Tools מסומן.
ביצוע הגיבוי: פתח חלון דוס בהרשאות מנהל והרץ את הפקודה:
WBADMIN START SYSTEMSTATEBACKUP –backuptarget:D:\SystemStateBK –quiet
פרטים נוספים.

הראל

היי תודה על הכתבה המופלאה!
מחפש תוכנה חינמית שמסוגלת לעבוד מול ה Group Policy ולנעול את הגישה לכונני USB. האם אתה מכיר כזו?

נדב,
תוכל להשתמש ב USB Blocker אשר מתממשקת מול Active Directory וה GPO, מאפשרת ניהול מרכזי ופשוטה לתפעול. הגירסה החינמית מאפשרת נעילה של כוננים חיצוניים עד ל 50 מחשבים.

מעבר לכך, יש גם את:
1.DeviceLock
2. את הכלי של intelliadmin
(יש להם גם כלי מסחרי Network Administrator מעולה).
3. וכמובן שיטות שונות לבצע זאת באמצעות ה Group Policy:1,2,3,4, והרג'סטרי.

*יש לציין כי אם ברשותך דומיין של Windows Server 2008 ומעלה, פונקציה זו קיימת בברירת מחדל: User Configuration–>Policies–>Administrative Templates–>System–>Removable Storage Access
בדומיין 2003, צריך לייצר קובץ ADM באופן עצמאי KB555324.
null
4. ניתן ליישם זאת גם באמצעות סקריפט: USBSecure.

אפרופו Group Policy, תוכל למצוא אינפורמציה רבה באתר GPOGUY.COM,
בקישור זה ו GPO How to ב http://sdmsoftware.com/blog/.
וכמובן Group Policy Team Blog.

הראל

תוכנה מעולה נוספת למניעת הגישה לכונני USB ובכלל כוננים חיצוניים (ניתן אפילו למנוע את הגישה לפי דגם מסויים או לפי מספר סידורי ספציפי של הכונן) היא Safend protector. לא חינמית.
http://www.safend.com/65-en/safend%20protector.aspx

השארת תגובה

(חובה)

(חובה)