נקודות למחשבה בעת מעבר מ- Active Directory המבוסס על Windows Server 2003 ל- Windows Server 2008 R2 – חלק ג' (3/4)

18 בינואר 2012

תגיות: ,
אין תגובות

daniel-petri-mug-9 מאת: דניאל פטרי 

בשבוע שעבר תיארתי את התהליך המקדמי שלפני השידרוג עצמו. השבוע, בחלק השלישי של סידרת מאמרים זו, אתמקד בתהליך השידרוג הכולל הרצת פקודות הכנת עדכון ברמות השונות (Forest/Domain).

 

שלב 7: הרחבת הסכימה והכנת היער להתקנה

על מנת לשדרג את ה- AD ולהכין אותו לקראת הכנסת ה- DC הראשון של Windows Server 2008 R2 יש לבצע הרחבה של הסכימה. פעולה זו היא חד-כיוונית ובלתי הפיכה, והיא תשפיע על כל ה- Forest וכל הדומיינים שבו. לכן יש להקפיד הקפדה יתרה על קיומו של גיבוי מסודר כפי שתואר בחלקו הראשון של המאמר.

את הפעולה נבצע ע"י הרצת הפקדת Adprep, אותה ניתן למצוא בתקליטור ההתקנה בתיקיית X:\support\adprep.

על ה- DC שמשמש כ- Schema Mater ביער, הכניסו את מדיית ההתקנה, עברו לתיקיית X:\support\adprep, והריצו את הפקודה הבאה:

Adprep.exe /forestprep

שימו לב: קיימות 2 גירסאות של פקודת Adprep – אחת ל- 32 ביט והשניה ל- 64 ביט. השתמשו בגרסה המתאימה עבורכם.

Running Adprep.exe

http://technet.microsoft.com/en-us/library/dd464018(WS.10).aspx

טיפ: תוכנות אנטי-וירוס מסויימות הרצות על DCים עשויות להפריע לפעולה זו. במידה ואתם מקבלים הודעת שגיאה, בטלו באופן זמני את פעולת תוכנת האנטי-וירוס על ה- DC והריצו שוב את הפקודה.

הערה: במידה ואינכם יודעים מיהו ה- DC המחזיק בתפקידי ה- FSMO, תוכלו לבדוק זאת באמצעות כלי ה- GUI, או ע"י שימוש בפקודה הבאה:

Netdom query fsmo

פקודה זו זמינה כברירת מחדל ב- Windows Server 2008 R2, אבל דורשת התקנת Support Tools אם מדובר ב- Windows Server 2003.

How to view and transfer FSMO roles in Windows Server 2003

http://support.microsoft.com/kb/324801

Windows Server 2003 Service Pack 2 32-bit Support Tools

http://www.microsoft.com/download/en/details.aspx?DisplayLang=en&id=15326

לאחר תהליך זה שנמשך מספר דקות, משודרגת הסכימה לרמה חדשה וה- Schema Master ישכפל שינויים אלה לכל ה- DCים ביער. כדי לוודא שהשינויים המתאימים בוצעו, תוכלו להריץ את הפקודה הבאה:

dsquery * “cn=ActiveDirectoryUpdate,cn=ForestUpdates,cn=configuration,dc=contoso,dc=com” –scope base –attr revision

(החליפו את שם הדומיין dc=contoso,dc=com בשם הדומיין שלכם)

התוצאה צריכה להיות 5 עבור גרסת R2.

בנוסף, נבדוק את גרסת הסכימה ע"י הרצת הפקודה הבאה:

dsquery * “cn=schema,cn=configuration,dc=contoso,dc=com” –scope base –attr objectversion

(החליפו את שם הדומיין dc=contoso,dc=com בשם הדומיין שלכם)

התוצאה צריכה להיות 47 עבור גרסת R2.

יש להמתין עד לסיום השכפול לאורך כל היער, פרק זמן שתלוי במורכבות הטופולוגיה שלכם. בדומיין קטן בן שניים או שלושה DCים תהליך השכפול יסתיים תוך מספר דקות, אבל באירגון גדול בו קיימים הרבה DCים המפוזרים על פני מספר Sites פיזיים עם קווי תקשורת איטיים, התהליך עשוי להימשך זמן ארוך יותר, עד כדי מספר שעות. אנא וודאו סיום מוצלח של הרפליקציה בטרם תמשיכו לשלב הבא. תוכלו לעשות זאת ע"י שימוש בפקודה הבאה:

Repadmin /replsum /bysrc /bydest /sort:delta

התוצאה צריכה להיות 0 שגיאות עבור כל ה- DCים, וזמן הרפליקציה המקסימלי צריך להיות שווה או קטן יותר מזמן הרפליקציה המקסימאלי בין ה- Sites השונים (ברירת מחדל – 3 שעות, אלא אם הוא שונה באופן ידני).

 

שלב 8: הכנת הדומיין להתקנה

בשלב הבא עלינו להכין כל דומיין ביער שבו אנחנו מתעתדים להכניס DCים של Windows Server 2008 R2. במידה ויש דומיין אחד, נריץ בו את הפקודה. במידה ויש מספר דומיינים, נריץ את הפקודה בכל אחד מהם.

על ה- DC שמשמש כ- Infrastructure Master בכל אחד מהדומיינים, הכניסו את מדיית ההתקנה, עברו לתיקיית X:\support\adprep, והריצו את הפקודה הבאה:

Adprep.exe /domainprep

זכרו, יש שתי גירסאות לפקודה, השתמשו בזו המתאימה לכם.

בניגוד לפקודה בשלב 7, פקודה זו תסתיים במהירות. נבדוק זאת ע"י הרצת הפקודה הבאה:

dsquery * “cn=ActiveDirectoryUpdate,cn=DomainUpdates,cn=system,dc=contoso,dc=com” –scope base –attr revision

(החליפו את שם הדומיין dc=contoso,dc=com בשם הדומיין שלכם)

התוצאה צריכה להיות 5 עבור גרסת R2.

יש לוודא שהשכפול בין כל ה- DCים בדומיין הסתיים בהצלחה.

במידה והנכם משדרגים ישירות מ- Windows 2000 יש להשתמש בפקודה מעט שונה:

Adprep.exe /domainprep /gpprep

 

שלב 9: הכנת הדומיין להתקנת RODCים

במידה והנכם מעוניינים להשתמש בעתיד ב- RODCים בדומיין, עליכם להריץ פקודה נוספת:

Adprep.exe /rodcprep

פקודה זו מכינה את הדומיין לקראת הכנסה עתידית של RODCים. אני ממליץ להריץ את הפקודה בכל מקרה, גם אם אינכם חושבים על שימוש ב- RODCים בעתיד, וזאת למען הכנה נכונה יותר של ה- AD. בכל מקרה, הרצת הפקודה לא תגרום לשום נזק אלא רק תעזור לכם בעתיד.

נבדוק את הצלחת הפקודה ע"י הרצת הפקודה הבאה:

dsquery * “cn=ActivedirectoryRodcUpdate,cn=ForestUpdates,cn=configuration,dc=contoso,dc=com” –scope base –attr revision

(החליפו את שם הדומיין dc=contoso,dc=com בשם הדומיין שלכם)

התוצאה צריכה להיות 2.

 

שלב 10: מדיניות כתובות ושמות ל- DCים החדשים

בסיום שלבים אלה ה- Active Directory שודרג בהצלחה, אך עדיין עומדת בפנינו המשימה של החלפת ה- DCים שמריצים את גרסת Windows Server 2003. עפ"י התכנון שביצעתם, עליכם לבחור האם לשדרג את הגירסה על גבי השרתים הקיימים (לא מומלץ) או להחליף אותם בשרתים חדשים.

בהנחה שתרצו להכניס שרתים חדשים שישמשו בתור ה- DCים, עליכם להחליט מה לעשות עם השרתים הישנים. אופציה אחת היא לשמור אותם כ- DCים מתפקדים (בנתיים, עד להסרתם בעתיד). אופציה שניה היא להסירם כעת, כחלק מתהליך השידרוג.

בנוסף, לפני שמכניסים את ה- DCים החדשים לפעולה, עליכם להחליט לגבי מדיניות הכתובות והשמות של השרתים החדשים. האם תרצו לשמור על השמות וכתובות ה- IP של ה- DCים הישנים? האם תרצו לנצל את ההזדמנות כדי להחליף שמות וכתובות אלה?

בדרך כלל, על מנת לחסוך עדכונים רבים של כל המרכיבים העושים שימוש בכתובות ה- DCים (לדוגמה עידכון כל התחנות והשרתים עם כתובות DNS חדשות), נרצה לשמור על הכתובות הקיימות. אגב, אם היו לכם לפני כן שמות בעייתיים לשרתים שלכם, זו הזדמנות טובה לתקן את הבעיה ולשנות אותם לשמות חדשים.

  • אופציה 1 – כתובות IP ושמות חדשים: בתסריט זה היו לכם 3 DCים ישנים לפי המפרט הבא:

DC01 – 192.168.1.1

DC02 – 192.168.1.2

DC03 – 192.168.1.3

ה- DCים החדשים יקבלו את השמות והכתובות הללו:

DC-NEW-01 – 192.168.1.11

DC-NEW-02 – 192.168.1.12

DC-NEW-03 – 192.168.1.13

כמובן ששמות אלה הם לדוגמה בלבד.

לפי תסריט זה אין כל קושי בהקמת ה- DCים החדשים והקצאת כתובות ה- IP שלהם.

  • אופציה 2 – שמות חדשים, כתובות IP ישנות: בתסריט זה היו לכם 3 DCים ישנים לפי המפרט הבא:

DC01 – 192.168.1.1

DC02 – 192.168.1.2

DC03 – 192.168.1.3

ה- DCים החדשים יקבלו את השמות והכתובות הללו:

DC-NEW-01 – 192.168.1.1

DC-NEW-02 – 192.168.1.2

DC-NEW-03 – 192.168.1.3

כמובן ששמות אלה הם לדוגמה בלבד.

לפי תסריט זה נצטרך לדאוג "לפנות" כל כתובת של DC ישן בטרם נעניק אותה ל- DC חדש. יש כמה דרכים לעשות זאת, ביניהם הסרה של DC ישן ואז הענקת הכתובות שלו לשרת שאמור להיות DC חדש, ואז ביצוע Dcpromo כדי להפוך אותו ל- DC (על כך במאמר הבא). אפשרות נוספת תהיה הענקת כתובת אחרת ל- DC הישן בעודו נותר ב"תפקיד", מתן הכתובת המקורית לשרת שאמור להיות DC חדש, ואז ביצוע Dcpromo כדי להפוך אותו ל- DC. בחרו את הדרך המתאימה לכם, אבל בכל מקרה, הקפידו על ווידוא תקינות רשומות ה- DCים ב- DNSים.

  • אופציה 3 – שמות ישנים, כתובות IP ישנות: בתסריט זה היו לכם 3 DCים ישנים לפי המפרט הבא:

DC01 – 192.168.1.1

DC02 – 192.168.1.2

DC03 – 192.168.1.3

כמובן ששמות אלה הם לדוגמה בלבד.

ה- DCים החדשים יקבלו את אותם השמות והכתובות כפי שהיו ב- DCים הישנים.

לפי תסריט זה נצטרך לפנות גם את השם וגם את הכתובת של כל DC ישן בטרם נרים DC חדש במקומו. בהנחה שהארגון יכול לתפקד זמנית עם 2 DCים (לפי דוגמה זו), נסיר DC ישן אחד ע"י ביצוע פקודת Dcpromo, נוודא שהוא נמחק ונוקה מה- AD וכי כל רשומות ה- DNS שלו נמחקו, ונוודא סיום מוצלח של הרפליקציה של שני ה- DCים הנותרים. כמובן שבמקרה ואותו DC שימש גם כמחזיק תפקידי FSMO, נצטרך להזיז אותם לאחד מה- DCים הנותרים בטרם נסיר אותו. כך גם לגבי תפקיד ה- Global Catalog ולגבי Roles נוספים כמו DNS, DHCP, WINS וכו'.

לאחר הסרתו המוחלטת של אותו DC, נעניק את השם והכתובת שלו לשרת שאמור להיות DC חדש, ואז ביצוע Dcpromo כדי להפוך אותו ל- DC. לאחר ווידוא הצלחת התהליך והשלמת רפליקציה מלאה בינו לבין שני ה- DCים הישנים, נעביר אליו את תפקידי ה- FSMO, ה- GC, וכן Roles נוספים כמו DNS, DHCP, WINS וכו'.

נחזור על התהליך עם 2 ה- DCים הישנים אל מול 2 השרתים שאמורים לתפקד כ- DCים חדשים. על כך כאמור בחלקו הרביעי של המאמר.

בשבוע הבא נדון בהכנסת ה- DCים החדשים בפועל, ניקוי ה- DCים הישנים, וסיום הפרויקט.

Stay tuned 🙂

דניאל פטרי משמש כ– Premier Field Engineer במיקרוסופט ישראל  מזה כחצי שנה ועוסק בעיקר ב– Active Directory, Remote Desktop Services ו– Hyper-V. קודם לכן יצר וכתב את אחד מאתרי המידע הפופולריים בעולםwww.petri.co.il, שימש כיועץ עצמאי ללקוחות רבים בארץ ובחו"ל, והחזיק בתואר MVP של מיקרוסופט במשך 8 שנים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *