Особенности обновления контроллера домена до Windows Server 2008
Архив номеров / 2008 / Выпуск №10 (71) / Особенности обновления контроллера домена до Windows Server 2008
Рубрика: Администрирование / Продукты и решения
Андрей Бирюков
Особенности обновления контроллера домена до Windows Server 2008
Более полугода прошло с момента официального выхода операционной системы Windows Server 2008. Многие уже, наверное, задумываются об обновлении своих серверов. Рассмотрим некоторые особенности перехода на новую операционную систему.
Обновление программных продуктов традиционно является головной болью практически всех системных администраторов. Многие администраторы стараются до последнего откладывать обновление своего программного обеспечения. Так, например, мне приходилось еще совсем недавно видеть сервера под управлением Windows NT 4.0, почтовые системы под Exchange 5.5 или MS SQL 7.0 в промышленной эксплуатации. В качестве обоснования такого консерватизма системные администраторы часто приводят очень простой довод – все и так работает. Бесспорно, в этом есть здравый смысл, ведь если система нормально функционирует и отвечает всем требованиям бизнеса, то менять ее зачастую оказывается себе дороже.
Но вендоры в свою очередь стараются всеми возможными средствами заставить клиентов переходить на новые версии. Политика Microsoft в этом отношении, на мой взгляд, излишне агрессивна. Вспомните хотя бы историю с попытками компании завершить продажи Windows XP в пользу Vista, таким образом вынудив многих производителей оборудования и программного обеспечения перейти на новую версию операционной системы. Однако обсуждение политики корпорации Microsoft не является темой сегодняшней статьи.
Когда речь идет об обновлении не рядового сервера, а контроллера домена, на первый план выходят технические и функциональные преимущества. Такие как RODC (Read Only Domain Controller) – контроллеры домена, доступные только для чтения, служба LDS (Lightweight Directory Services), которая позволяет использовать возможности LDAP без необходимости развертывать домен Active Directory, средство управления идентификацией пользователей Federation Services и другие. Возможность использования данного функционала является хорошим стимулом к переходу на новую версию операционной системы Windows Server 2008.
Итак, предположим, что у вас имеется парк серверов, работающих под управлением Windows Server 2003, и вам необходимо обновить их до Windows Server 2008.
Сразу скажу: в этой статье будет рассмотрено обновление только для операционной системы, что касается приложений, то, возможно, обновление наиболее популярных из них будет рассматриваться в следующих статьях. В качестве обновляемого сервера у нас будет выступать сервер контроллера домена Active Directory. Конечно, лучшим решением была бы установка «чистого» сервера Windows Server 2008 и последующее его включение в существующий домен с повышением до контроллера домена, но мы будем предполагать, что у нас нет оборудования для такой установки и поэтому нам необходимо выполнить именно обновление.
Но перед началом обновления давайте определимся с редакциями операционной системы, на которые вы можете перейти. В таблице я привел варианты обновления в зависимости от редакции операционной системы.
Совместимость версий Windows 2003 и Windows 2008
Вы используете сейчас:
Можно обновиться до:
Windows Server 2003 R2 Standard Edition
Windows Server 2003 Standard Edition with Service Pack 1 (SP1)
Windows Server 2003 Standard Edition with Service Pack 2 (SP2)
Full installation of Windows Server 2008 Standard (with or without Hyper-V)
Full installation of Windows Server 2008 Enterprise (with or without Hyper-V)
Windows Server 2003 R2 Enterprise Edition
Windows Server 2003 Enterprise Edition with Service Pack 1 (SP1)
Windows Server 2003 Enterprise Edition with Service Pack 2 (SP2)
Full installation of Windows Server 2008 Enterprise (with or without Hyper-V)
Windows Server 2003 R2 Datacenter Edition
Windows Server 2003 Datacenter Edition with Service Pack 1 (SP1)
Windows Server 2003 Datacenter Edition with Service Pack 2 (SP2)
Full installation of Windows Server 2008 Datacenter (with or without Hyper-V)
Как видно из таблицы, редакцию Standard Edition можно обновить как до Standard, так и до Enterprise-версии Windows Server 2008. Но в нашем случае мы будем использовать редакцию Standard Edition.
Готовимся к худшему
Прежде чем начать процесс обновления, необходимо совершить рутинные, но необходимые действия. Нужно выполнить резервное копирование данных.
Для контроллера домена можно как минимум воспользоваться штатной утилитой операционной системы – Ntbackup. С ее помощью можно сделать копию всех системных настроек (System State). Хотя, конечно, более надежным, на мой взгляд, способом является полная копия образа диска с помощью таких утилит, как Acronis True Image. Некоторые умельцы используют в качестве резервной копии один из двух дисков в «зеркале» RAID-1, при этом на втором диске производя обновление. Но подобные эксперименты уже на любителя, главное чтобы у вас была резервная копия операционной системы вашего контроллера домена.
Но одного только бэкапа недостаточно, лучше обеспечить отказоустойчивость. У вас в сети должен быть резервный контроллер домена. Проверьте его работоспособность, перенесите на него роль глобального каталога, затем отключив основной контроллер от сети.
Если все прошло успешно, то ваш сервер готов к обновлению.
Прежде всего установим в DVD-привод установочный диск с операционной системой. Далее необходимо запустить утилиты для подготовки домена и леса Active Directory. Для этого перейдите на DVD-привод, например, выполнив команду:
После этого нужно запустить команду adprep с различными параметрами:
Пока эти команды выполняются, я хотел бы сделать небольшое отступление и пояснить, что такое RODC. Контроллеры домена только для чтения предназначены для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллерах домена выполняются другие приложения. Это еще один довод для перехода на Windows Server 2008.
Между тем подготовка домена и леса благополучно завершилась, и мы можем продолжать обновление. В случае если возникли какие-либо проблемы, лучше всего обратиться к базе знаний Microsoft TechNet.
Теперь запускаем установку операционной системы. На первом же шаге вам будет предложено произвести установку последних обновлений (естественно, если ваш сервер подключен к Интернету). Я не стал совмещать две такие важные задачи, как установка заплаток и обновление операционной системы. Поэтому обновления мы установим потом (см. рис. 1).
Рисунок 1. Установка обновлений
На следующем шаге вам необходимо указать активационный ключ продукта. Затем принимаем условия лицензионного соглашения.
Если все предыдущие шаги были аналогичны обычному режиму установки, то следующий шаг будет немного отличаться (см. рис. 2). Выбираем режим Upgrade. После этого вас предупредят о проблемах совместимости оборудования и начнется процесс установки.
Рисунок 2. Выбор режима установки
В целом следует отметить, что по сравнению с предыдущими версиями операционной системы Windows 2000/2003 здесь задается гораздо меньше вопросов, к тому же все они задаются перед началом установки, а не во время. Это позволяет не сидеть около сервера все это время, а заняться более важными делами.
В процессе установки и обновления вас ждет несколько перезагрузок (к сожалению, от этой особенности инсталляции операционных систем от Microsoft, Windows Server 2008 сервер так и не избавился).
Итак, если по завершении обновления ваш сервер благополучно функционирует, пользователи успешно авторизуются в домене и другие контроллеры без проблем выполняют репликации, то можно вас поздравить и вся оставшаяся часть статьи к вам не относится.
Но что делать, если возникли какие-то проблемы и все работает не так как раньше?
В случае если сервер вообще не загружается, лучшим вариантом будет восстановление из резервной копии, одним из тех способов, о которых я упоминал в начале статьи. Надеюсь, вы не пренебрегли данным советом!
А что делать, если сервер загрузился, но работает как-то не так? Прежде всего необходимо проверить журнал событий на наличие сообщений об ошибках. Для этого нужно зайти в раздел Administrative Tools и выбрать Event Viewer. Размещение журнала событий Event Viewer аналогично предыдущим версиям Windows Server, а вот сам журнал несколько изменился. Добавились функции различной фильтрации и поиска.
Итак, какие типовые ошибки можно найти в журнале событий контроллера домена?
Symbolic Name: DIRLOG_GCVERIFY_ERROR
Данная ошибка сообщает о невозможности установки связи с сервером глобального каталога. Решений данной проблемы может быть несколько, в зависимости от структуры вашего каталога Active Directory.
Во-первых, проверьте наличие соединения с сервером, выполняющим роль глобального каталога. Возможно, после обновления на Windows Server 2008 вы не установили драйвера для сетевой карты или установили излишне жесткие настройки для межсетевого экрана сервера. Проверку можно выполнить с помощью команды ping.
Во-вторых, проверьте наличие хотя бы одного сервера глобального каталога в лесу. Сделать это можно с помощью консоли dssite.msc или в разделе Active Directory Sites and Services. Только для этого вам потребуются права пользователя из группы Domain Admins. Далее выбираем раздел Default First Site Name, сервер, который должен являться глобальным каталогом и NTDS Settings. Далее выбираем Properties и смотрим, является ли сервер глобальным каталогом, если нет, то, возможно, имеет смысл сделать его таковым (см. рис. 3).
Рисунок 3. Наличие роли глобального каталога на сервере
Но тут не стоит забывать о «подводных камнях», а именно, сервер, который является глобальным каталогом, не должен содержать роли FSMO (Flexible Single Master Operations). В случае если он содержит данную роль, вам будет выведено предупреждение.
Еще одним поводом для появления ошибки 1126 может стать отсутствие запущенной службы NTDS Service на сервере глобального каталога. Для просмотра состояния данного сервиса воспользуйтесь командой sc query ntds. В строке STATE вы увидите его текущее состояние. Для запуска используйте команду net start ntds.
И еще одной причиной для появления данной ошибки является неверный номер порта для установки соединения с сервером глобального каталога. Выявить ее можно следующим образом. Откройте консоль Active Directory Users and Computers. Далее выбираем Change Domain Controller, затем Change Directory Server. После этого необходимо указать сервер DC и порт. Далее следите за значением поля Status. Если изменения вступили в силу, то значение Pending должно измениться на значение Online. Появление значения Unavailable должно заставить задуматься о настройках сети между серверами, скорее всего, межсетевой экран блокирует соединение по данному порту. Для того чтобы полностью удостовериться в том, что соединение между контроллером домена и сервером глобального каталога восстановлено, можно воспользоваться командой nltest. Для этого откройте командную строку и введите:
В результате успешного выполнения команды на экран будет выведена информация о данном сервере. Наличие в разделе Flags записи GC говорит о том, что данный сервер содержит роль Global Catalog (см. рис. 4).
Рисунок 4. Проверка соединения с сервером глобального каталога
На примере проблем с доступом к серверу глобального каталога я рассмотрел одну из типичных проблем работы Active Directory после обновления на версию 2008. Поэтому для решения проблем с Active Directory и Windows Server 2008 я рекомендую обратиться на Microsoft TecNet [2].
Рассмотрев процесс обновления контроллера домена Windows Server 2003 до версии 2008, а также типовые сложности, которые могут возникнуть в процессе установки, я завершаю эту статью. Надеюсь, изложенная информация будет полезна вам в работе.
Как мигрировать контроллер домена с системы Server 2003 на 2008
Для того, чтобы мигрировать контроллер домена на базе Windows Server 2003 R2Enterpise на систему Windows Server 2008 R2 Enterprise и пойдет речь в данно й заметке.
Это делается для того, чтобы научиться управлять всеми возможностями новой среды, стать так сказать более продуктивнее. Многие заметки на моем блоге — это действительно показывают, причем наглядно и это не пустые слова, об этом говорит статистика их просмотров. Но довольно лирики, перейду к пошаговым шагам которые я изложу в этой заметке.
Контроллер домена развернутый ранее ( Windows Server 2003 R2)
и система Windows Server 2008 R2 ( заострять внимание как развернуть данную систему смысла не вижу, у меня UAC отключен) в той же подсети.
И так у меня есть существующий домен, polygon.local. Сетевые настройки точно такие же, как и в моей предыдущей заметке, которая по сути и является основной, а текущая ее продолжением.
Выделю основную цель: — развернуть контроллер домена на новой операционной системе, а предшествующий контроллер домена освободить от занимаемых функций, в пользу нового.
Проверим на dc1.polygon.local – кто же является обладателем всех FSMO— ролей.
Роль PDC Emulator – консоль Active Directory – Users and Computers
Роль RID Master – консоль Active Directory – Users and Computers ( Хозяин относительных идентификаторов)
Роль Infrastructure Master – консоль Active Directory – консоль Users and Computers ( Хозяин инфраструктуры )
Роль Domain Naming Master – консоль Active Directory – Domains and Trusts ( Хозяин именования доменов)
Роль Schema Master ( Хозяин схемы) — специальная консоль. Которая содержит оснастку Active Directory Schema ( Схема Active Directory)
Win + R → cmd.exe → вызываем утилиту netdom ( но есть одно, но данная утилита по умолчанию не установлена в системе, для ее установки потребуется пакет Support Tools, обычно он идет в комплекте с дистрибутивом, в данный пакет также входять такие необходимые подготовительные утилиты, как:
dcdiag – средство для диагностики контроллера домена на работоспособность с целью исправить все обнаруженные ошибки (запуск ее перед миграцией очень важен)
C:\Documents and Settings\Administrator>netdom query fsmo
Schema owner dc1.polygon.local
Domain role owner dc1.polygon.local
PDC role dc1.polygon.local
RID pool manager dc1.polygon.local
Infrastructure owner dc1.polygon.local
The command completed successfully.
, как видно все FSMO роли принадлежат контроллеру домена dc1.
Далее установленную систему Windows Server 2008 R2 Enterprise с именем dc2 вводим в домен, предварительно предопределив статический IP адрес, к примеру: 10.9.9.2
dc2: Win + R → cmd.exe →
C:\Users\Administrator>netsh interface show interface
Admin State State Type Interface Name
Enabled Connected Dedicated Local Area Connection
C:\Users\Administrator>netsh interface ipv4 set address «Local Area Connection» static 10.9.9.2 255.255.255.0
C:\Users\Administrator>netsh interface ipv4 set dns name=»Local Area Connection» static 10.9.9.1 primary
На заметку: Если система dc1 у Вас 32— х битная то запускать следует исполняемый файл adprep32.exe, а если 64-х битная то adprep.exe
У меня dc1 – 64-х битный, поэтому и запускаем файл adprep.exe с ключами forestprep ( как держатель мастер схемы) и после domainprep ( как держателе инфраструктуры). Порой в небольшой организации (к примеру в которой я сейчас работаю) все эти роли обычно имеют место быть на одном из том же контроллере домена:
На заметку: при подготовке леса необходимо войти в мастер схемы в качестве члена группы Администраторов для схемы, предприятия и домена.
C:\Documents and Settings\Administrator>cd /d c:\
C:\>hostname
C:\>cd support
C:\support>adprep.exe /forestprep
если ничего не происходит, значит делаем по другому, а именно монтируем iso Образ дистрибутива Windows Server 2008 R2 к системе Windows Server 2003 R2 на логический диск D:
и через вызов командной строки: Win + R → cmd.exe
C:\>d:\support\adprep\adprep.exe /forestprep
Before running adprep, all Windows 2000 Active Directory Domain Controllers in t
he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.
If ALL your existing Windows 2000 Active Directory Domain Controllers meet this
requirement, type C and then press ENTER to continue. Otherwise, type any other
key and press ENTER to quit.
C — на предупреждение вводим « C” и нажимаем Enter, чтобы начать подготовку леса. ( процесс отрабатывает довольно долго)
Opened Connection to DC1
SSPI Bind succeeded
Current Schema Version is 31
Upgrading schema to version 47
Logging in as current user using SSPI
Importing directory from file «C:\WINDOWS\system32\sch32.ldf»
18 entries modified successfully.
И много всякой успешной информации которую я не буду здесь приводить.
Adprep successfully updated the forest-wide information.
Результирующим завершения команды должна быть надпись : Adprep successfully updated the forest-wide information.
Adprep detected that the domain is not in native mode
Adprep has stopped without making changes.
Configure the domain to run in native mode and re-run domainprep
поправить данное не выполнение команды можно так:
Start – Control Panel – Administrative Tools – Active Directory Users and Computers
выделяем домен polygon.local и через правый клик изменяем режим работы домена:
polygon.local – Raise Domain Functional Level
Привести к виду: выбрав вместо Windows 2000 native → Windows Server 2003 и нажать Raise ( Изменить)
и после подтвердить нажав OK
(Перевод: Это изменение затрагивает весь домен. После повышения режима работы домена его невозможно отменить.)
После будет информативное окно, что:
(Перевод: Режим работы успешно повышен. Новый режим работы будет реплицирован на каждый контроллер домена в домене. Время, которое на это потребуется, зависит от топологии репликации.)
После этого снова запускаем командную строку и набираем:
Adprep successfully updated the domain-wide information.
Adprep successfully updated the Group Policy Object (GPO) information.
Далее разрешим обновление контроллеров домена с доступом только для чтения.
C:\>d:\support\adprep\adprep.exe /rodcprep
Вот основные шаги по обновления схемы завершены, приступим к повышению роли нового сервера ( dc2) до контроллера домена.
На сервере Dc2: логинимся под доменной учетной запись обладающей правами «Domain Adminis”, в моем случае это учетная запись ekzorchik и вызываем утилиту dcpromo: Win +R > dcpromo
ставим галочку: Use advanced mode installation – Next – Next – Existing forest – Add a domain controller to an existing domain ( добавить домен контроллер в существующий домен) — Next – проверяем настройки аутентификации: (должно быть так как указано на скриншоте ниже)
и нажимаем Next – выбираем домен polygon.local (forest root domain) – Next – выбираем текущий сайт (у меня он один) Default-First-Site-Name – Next – активируем установку ( Ставим галки) следующих опций на вводимом в эксплуатацию контроллере домена, таких как:
Далее соглашаемся Yes – отмечаем пункт Replicate data over the network from an existing domain controller – Next – отмечаем пункт Use this specific and appropriate domain controller ( выделяемdc1.polygon.local) – Next – местонахождение каталогов NTDS (Database), NTDS (Log), SYSVOL оставляем дефолтным — Next – задаем пароль для Административной учетной записи на случай восстановления: — я указываю 712mbddr@ — Next – Next – начнется процесс преобразования
и ставим в этом процессе галочку «Reboot on completion” — перезагрузить систему ( dc2) когда процесс становления контроллера домена завершится успешно, дабы активировать изменения.
Теперь у меня есть два контроллера домена, работающих одновременно.
Дальше нужно передать роли FSMO с dc1 на dc2, сделать это можно двумя различными способами:
У меня уже есть совмещенная заметка где описаны оба способа: ( см заметку: http://www.ekzorchik.ru/2012/09/server-2008-fsmo-roles-move/ )
Если же Вам нужно удалить неисправный контроллер домена (см. заметку:
Вот собственно и все, с чем я хотел познакомить читателей моего блога, но и про себя не забыл подробным руководством, что и как сделать. Данный процесс я проводил в одной организации в которой имел место работать. Если у меня будут какие либо неполадки в следствии этой миграции то они обязательно лягут в основу расписанных заметок. До встречи, с уважением автор блога ekzorchik.
Особенности обновления контроллера домена до Windows Server 2008
Особенности обновления контроллера домена до Windows Server 2008
Андрей Бирюков
