В далеком уже 2008 году, у себя в тестовой лаборатории проводил тесты по переводу домена 2003 на платформу 2008 сервера. Было любопытно посмотреть, что из этого получится, какие “вкусности” появились и нужно ли мне переводить “боевой” домен на 2008 сервер.
Ниже привожу пошаговый конспект (написанный в том же 2008 году), как разворачивал сервер с ролью контролера домена на Windows 2008 в лесу 2003 домена.
I. Готовим тестовый домен.
В составе домена:
1) DC.home-test.net - сервер контролера домена (192.168.174.129)
Установлены необходимые сервисы: DNS (все зоны хранятся в АД в корне леса), WINS, DHCP
Система вычищена от предупреждений и ошибок различных служб.
Установлены последние обновления.
2) WIN2008-01.home-test.net – сервер, будущий контролер домена (192.168.174.130)
Установка по умолчанию, дополнительно активирована система и установлены последние обновления.
II. Процесс установки контролера домена на Windows server 2008
1) Чтобы Windows server 2008 поднять до роли контролера домена в существующем лесу и домене, нам необходимо подготовить к этому мероприятию существующий лес и домен. Не выполнив нижеописанные действия, Windows server 2008 контролером домена не станет.
Нам потребуется на сервере DC выполнить подготовку леса (не на Windows server 2008, а именно на "живом" контролере домена под управлением Windows server 2003 R2). Для этого копируем с диска с Windows server 2008 из папки \SOURCES\ADPREP все содержимое на DC или работаем с инсталляционным диском. Что может программа ADPREP.EXE, смотрим ADPREP.EXE /?
Запускаем adprep /forestprep - вы должны иметь права "Администратора схемы" и "Администратора предприятия". Видим предупреждение:
ADPREP WARNING:
Before running adprep, all Windows 2000 Active Directory Domain Controllers in t
he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.[User Action]
If ALL your existing Windows 2000 Active Directory Domain Controllers meet this
requirement, type C and then press ENTER to continue. Otherwise, type any other
key and press ENTER to quit.
Набираем букву "С" и нажимаем "Enter"
Ждем, пока не закончит исполнение команда, и мы не увидим надписи: Adprep successfully updated the forest-wide information.
Запускаем adprep /domainprep - вы должны иметь права "Администратора схемы" и "Администратора предприятия". Видим следующее:
Running domainprep ...
Adprep successfully updated the domain-wide information.
The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory Domain Services permissions
to be updated for existing Group Policy Objects (GPOs). You can enable this
functionality at any time by running "adprep.exe /domainprep /gpprep" on the
Active Directory Domain Controller that holds the infrastructure operations
master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the AD DCs in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.
Запускаем adprep.exe /domainprep /gpprep, как нам советуют на предыдущем этапе.
Запускаем adprep.exe /rodcprep, если мы будем использовать Read-only domain controller (RODC) в нашем хозяйстве.
2) Запускаем dcpromo на сервере WIN2008-01. Запускается мастер установки контролера домена. Говорим, что будущий контролер домена находится в лесу и входит в существующий домен. Проходим проверку (тестирование) леса и домена (если что-то забыли сделать на первом этапе, то мастер Вам подскажет, что делать и как работать с программой adprep.exe).
- Выбираем, какой лес (в моем случае - это "TEST").
- Выбираем дополнительные параметры контролера домена: DNS, Global catalog и Read-only domain controller (RODC) - в моем случае RODC неактивен.
- У меня было предупреждение связанное с сервисом DNS, т.к. он не был установлен.
- Выбираем вид репликации - онлайн или офлайн.
- Выбираем, с каким DC мы будем реплицироваться
- Следующим шагом выбираем, где будем хранить базу АД
- Задаем пароль восстановления
- В конце мастер нам покажет то, что мы выбрали, проверяем и жмем далее.
Теперь ждем (можно поставить галочку для автоматического рестарта сервера).
Перегружаем новоиспеченный контролер домена.
3) После перезагрузки у нас появились новые роли:
- Active Directory Domain Services
- DNS
Видим также предупреждения, связанные с разворачиванием контролера домена на сервере WIN2008-01. Пока игнорируем их.
В настройках брандмауэра появилось исключение для Active Directory.
- Следующим действием будет бездействие, ждем пока контролеры домена не договорятся между собой, не обменяются информацией, когда в оснастке управления репликами автоматически не создадутся связи. После появления связей нужно подождать еще около 10-15 минут. Проверка - на обоих контролерах домена запустить репликации в ручную. Если все будет хорошо, то ошибок при этой операции не появится.
- Перед тем как передавать роли со старого 2003 сервера перезагрузим новый 2008 контролер домена.
В общем ничего сложного переход на платформу 2008 сервера не представляет. Перенос ролей и вывод 2003 контролера из домена прошел благополучно. Домен windows 2008 удачно прожил в тестовой лаборатории пока не потребовалась лицензия windows server 2008 для других задач.
