У цій статті ми поговоримо про процедуру поновлення домену з версії Windows Server 2008 R2 до Windows Server 2012 з подальшим зниженням ролі старого контролера домену до рядового сервера AD.

Отже, що є:

  • Домен Active Directory як мінімум з одним контролером домену на Windows Server 2008 R2
  • Рівень лісу і домена AD повинен бути як мінімум Windows Server 2003
  • Додатковий рядовий сервер домену з Windows Server 2012, який в подальшому стане контролером домену (як включити сервер в домен докладно описано в статті Як включити Windows 8 в домен).
  • Обліковий запис з правами адміністратора домену, схеми і ліси.

Перш ніж додавати новий контролер домену на Windows 2012 необхідно оновити схему домену та ліси. Класично підготовка і підвищення рівня домену здійснювалася вручну за допомогою утиліти Adprep.exe. У документації нової серверної платформи від Microsoft зазначено, що при підвищенні першого сервера з Windows Server 2012 до рівня контролера домену, підвищення рівня домену відбувається автоматично при установці ролі AD DS на перший сервер Windows 2012 у домені. Так що, теоретично, для підготовки домену нічого робити не потрібно.

Однак, краще контролювати результат такого відповідального процесу, як оновлення схеми. Виконаємо процедуру поновлення схеми вручну.

Оновлення схеми AD до Windows Server 2012 за допомогою adprep

Для оновлення схеми нам знадобиться утиліта adprep.exe, Взяти яку можна в каталозі support adprep на диску з дистрибутивом Windows Server 2012. Дана утиліта буває тільки 64-разрадной (утиліти adprep32.exe більше не існує), відповідно, запустити її можна буде тільки на 64 розрядному контролері домену.

Необхідно скопіювати утиліту на поточний DC з роллю Schema Master (Хазяїн схеми) і в командному рядку з правами адміністратора виконати команду підготовки лісу до установки нового DC на Windows Server 2012:

adprep /forestprep

adprep - оновлюємо схеми домену до windows 2012

Версія схеми Active Directory в Windows Server 2012 – 56.

Далі оновіть схему домену:

adprep /domainprep

Далі залишилося чекати закінчення реплікації змін в схемі по всьому лісу і перевірити існуючі контролери домену на наявність помилок. Якщо все пройшло добре – продовжуємо. Прийшла пора розгорнути контролер домену на Windows Server 2012.

Установка контролер домену на Windows Server 2012

Першою цікавою новиною є той факт, що знайомої адміністраторам утиліти DCPROMO, що дозволяє додати або видалити контролер домену в AD більше не існує. При її запуску з’являється вікно, в якому повідомляється, що майстер установки Доменні служби Active Directory переміщений в консоль Server Manager.

dcpromo в windows 2012

Що ж, відкриємо консоль Server Manager і встановимо роль Active Directory Domain Services (Увага! Установка ролі автоматично не означає той факт, що сервер став контролером домену, роль потрібно спочатку налаштувати)

Установка ролі Active Directory Domain Services в Win2012

Після закінчення установки ролі з’явиться вікно, в якому повідомляється, що сервер готовий стати контролером домену, для чого потрібно натиснути на посилання “Просувайте це сервер до домен контролер ” (Далі ми розглянемо тільки значимі кроки майстра створення нового контролера домену).

Установка контролера домену на Windows Server 2012

Потім потрібно вказати, що даний контролер домену буде додано до вже існуючий домен (Додайте контролер домену до існуючого домену), Вказати ім’я домен і обліковий запис з-під якої буде проводиться операція.

Установка DC на win2012

Потім вкажіть, що даний контролер домену буде містити ролі GC (Глобальний каталог) и DNS сервера. Також вкажіть пароль відновлення DSRM (Directory Services Restore Mode) і, якщо необхідно ім’я сайту, до якого буде ставитися даний контролер домену.

Параметри нового контролера домену Windows Server 2012

В розділі “Шляхи“Вказуються шляхи до бази Active Directory (NTDS), файлів логів і каталогом SYSVOL. Врахуйте, що дані каталоги повинні знаходитися на розділі з файловою системою NTFS, тому з нової файлової системи Windows Server 2012 – Еластична файлова система (ReFS) – використовувати для цих цілей не можна! Шлях до ntds і sysvol в windows 2012

Після закінчення роботи майстра установки ролі AD DS, сервер потрібно перезавантажити. Після перезавантаження ви отримуєте новий контролер домену з ОС Windows Server 2012.

Видалення старого контролера домену на Windows Server 2008 R2

Перш, ніж знизити роль старого контролера домену під керуванням Windows Server 2008 R2 до рядового сервера, потрібно перенести все FSMO ролі на новий контролер домену.

Процедура перенесення ролей FSMO з одного контролера домену на інший нами вже розглядалася, докладніше з нею можна ознайомитися в статті Передача ролей FSMO в Active Directory. Процедуру можна здійснити через графічний GUI (простіше) чи з командного рядка за допомогою утиліти ntdsutil

Після передачі ролі FSMO PDC Emulator, необхідно налаштувати синхронізацію часу на новому контролері домену із зовнішнім сервером (з яким час синхронізувати раніше). Детально процедура настройки синхронізації часу на PDC описана в статті: Синхронізація часу з зовнішнім NTP сервером в Windows 2008 R2. Формат команди приблизно такий (ntp_server_adress – адреса NTP сервера):

w32tm /config /manualpeerlist:ntp_server_adress /syncfromflags:manual /reliable:yes /update

Після того, як всі ролі FSMO перенесені на новий DC Windows Server 2012 переконайтеся, що домен працює коректно: перевірте проходження реплікації AD, журнали DNS і AD на наявність помилки. Не забудьте в налаштуваннях мережевої карти на новому сервері як пріоритетне DNS сервера вказати власну адресу.

Якщо все пройшло коректно, можна знизити роль старого контролера домену 2008 R2 до рядового сервера домена. Це можна зробити, запустивши на ньому майстер DCPROMO, І вказати, що даний сервер більш не є контролером домену. Після того, як даний сервер стане рядовим сервером, його можна повністю відключити.

Leave a Reply

Your email address will not be published. Required fields are marked *