נקודות למחשבה בעת מעבר מ- Active Directory המבוסס על Windows Server 2003 ל- Windows Server 2008 R2 – חלק ד' (4/4)

29 בינואר 2012

תגובה אחת

daniel-petri-mug-9  מאת: דניאל פטרי

בשבוע שעבר תיארתי את התהליך המקדמי שלפני השידרוג עצמו. בחלק הרביעי של סידרת מאמרים זו נתמקד השבוע בתהליך החלפת DCים הישנים בחדשים, וכן בהסרת השאריות של ה- DCים הישנים.

 

שלב 11: הכנסת ה- DC החדש הראשון

כזכור לכם, בחלקו השלישי של המאמר דנו בבחירה לגבי שימוש בשמות ובכתובות המקוריים של ה- DCים הישנים. לצורך פשטות המאמר נניח שמדובר בשמות וכתובות חדשים לשרתים החדשים.

בשלב זה תתקינו את השרתים החדשים עם מערכת הפעלה Windows Server 2008 R2 בהתקנה חדשה ונקייה. תנו לכל שרת את השם המיועד שלו ואת כתובת ה- IP שלו.

זכרו: ב- Windows Server 2008 R2 התקנה של שרת חדש נותנת לשרת שם רנדומלי. עליכם לתת לשרת את שמו הקבוע בטרם תבצעו את תהליך ה- Dcpromo (אם כי ניתן, בנסיבות מסויימות, לבצע Rename לשרת גם אחרי שהוא הפך ל- DC. במקרה זה חובה להשתמש בפקודת Netdom ולא לעשות זאת בדרך המקובלת בשרתים או תחנות עבודה רגילים).

הערה: לא לשכוח – אסור בתכלית האיסור לשכפל שרתים סתם ככה. אם אתם ממש חייבים לשכפל שרתים (כמובן עוד בטרם הם הוגדרו כחברים בדומיין בכלל וכ- DCים בפרט!) עליכם לעשות שימוש בפקודת Sysprep /generalize (בגירסת מערכת הפעלה זו הפקודה קיימת בצורה מובנית במערכת ההפעלה).

לאחר ההתקנה נצרף את השרתים לדומיין ונדאג לבצע עדכון כללי ומלא של המערכת באמצעות Windows Update (או ע"י שימוש באמצעי עדכון פנימיים כגון WSUS או SCCM).

התקנת רכיבים אחרים: אינני ממליץ על ביטול ה- Windows Firewall על השרתים. אני כן ממליץ לבטל את ה- Internet Explorer Enhanced Security לנוחות השימוש (אם כי במחיר מסויים של הפחתת הבטיחות בעת גלישה באינטרנט). בנוסף, רצוי להתקין את רכיב ה- Windows Backup. אני לא ממליץ להתקין באופן ידני את ה- DNS Role, אלא לתת ל- Dcpromo לעשות זאת עבורנו.

לאחר שהשרת מוכן לעבודה מבצעית נריץ עליו את פקודת Dcpromo. פעולה זו, לאחר שתסתיים, תהפוך את השרת ל- DC.

הערה: במסגרת השיפורים בתהליך ה- Dcpromo בגירסת Windows Server 2008 R2, ניתן להגדיר האם השרת הוא DNS, האם הוא Global Catalog, לאיזה Site הוא שייך וכו'. בנוסף, ב- Windows Server 2008 R2, כשמריצים Dcpromo, המערכת תתקין קודם לכן באופן אוטומטי את ה- AD-DS Role.

Active Directory Domain Services (AD DS) Installation and Removal Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc755258(WS.10).aspx

הערה: רצוי מאוד שלא לבטל בשום דרך או צורה את IPv6 משרתי Windows Server 2008 R2. על הסיבות לכך במאמר עתידי.

לאחר סיום הרצת האשף המערכת תבקש לאתחל. נאתחל וניתן ל- AD כרבע שעה למצוא את ה- DC החדש וליצור את קשרי הרפליקציה בין כל ה- DCים (ניתן לזרז זאת במידת הצורך ע"י פקודת Repadmin /kcc). כמובן שבתצורות מורכבות יותר בהם יש אתרים פיזיים נפרדים והגדרות רפליקציה שונות יש לתכנן בהתאם. כעת, לפי התסריט שלנו, יש לנו ארבעה DCים.

 

שלב 12: הכנסת ה- DCים הנוספים

בשלב זה ניתן להוסיף את DCים הנוספים באמצעות הרצת פקודת Dcpromo. במידה והם יחליפו את השרתים הישנים יש לוודא שמערך ה- DNS שלכם מתוכנן כיאות (אל תשאירו רק שרת DNS אחד), ושכל ה- DCים הם גם Global Catalogs (אלא אם יש גורם תכנוני המונע זאת מסיבה כלשהי).

לאחר סיום הרמת 3 ה- DCים החדשים אנחנו עומדים בפני מצב שבו יש לנו דומיין המורכב מ- 3 DCים חדשים ו- 3 DCים ישנים. תצורת ה- Domain Function Level היא כמובן Windows Server 2003 Mode, וכך גם ה- Forest Function Level. כל עוד לא תיפטרו מכל ה- DCים הישנים לא תוכלו להעלות את רמת ה- DFL/FFL.

תנו ל- DCים ליצור את קשרי הרפליקציה ביניהם באופן אוטומטי. הקצו לצורך העניין לפחות 15 דקות (בסביבה פשוטה ולא מורכבת), והשתדלו שלא לנסות להתערב באופן ידני בתהליך.

למעשה, בשלב זה סיימתם את התהליך. אך אם אתם רוצים להיפטר מה- DCים הישנים עליכם לבצע גם את התהליכים הבאים.

 

שלב 13: הוצאת ה- DCים הישנים מתפעול

לפני שנמשיך הלאה אנחנו צריכים לוודא שהרפליקציה הצליחה, ושה- DNS וה- Global Catalog  עובדים כיאות. ניתן להשתמש בסט פקודות סטנדרטי הכולל בין היתר פקודות כמו:

  • Ping
  • Nslookup
  • Dcdiag
  • Netdom
  • Repadmin
  • Event Viewer

ועוד.

לאחר שראיתם שהכל תקין ניתן להעביר אל אחד מהשרתים החדשים, לפי התיכנון המקורי, את חלק או כל אחד מחמשת תפקידי ה- FSMO Roles.

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

http://support.microsoft.com/kb/255504

How to view and transfer FSMO roles in Windows Server 2003

http://support.microsoft.com/kb/324801

לאחר שבדקנו שהכל תקין (בשלב הזה אני ממליץ להמתין כיממה, בהתאם למורכבות המערכת), ניתן להוציא את DCים הישנים משימוש על ידי הרצת פקודת Dcpromo אשר הופכת אותם בחזרה ל- Member Servers רגילים. במידה והכל תקין, ה- DCים הישנים ירדו באופן עצמאי. אבל במידה וישנה איזושהי בעיית רפליקציה הם עלולים לסרב לתהליך ההורדה (בשלב הזה אתם צריכים לשאול את עצמכם איך לא עליתם על הבעיה קודם לכן…) אבל בכל מקרה ניתן לפעול לפי ההנחיות הסטנדרטיות של הסרה "בכוח" ע"י הרצת הפקודה:

Dcpromo /forceremoval

וניקוי ה- AD משרידי ה- DCים הסוררים בהתאם למאמרים הבאים:

Forcing the Removal of a Domain Controller: Active Directory

http://technet.microsoft.com/en-us/library/cc781245(WS.10).aspx

Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

http://support.microsoft.com/kb/332199

לאחר הסרת כל ה- DCים הישנים נוכל להעלות את ה- DFL בדומיין, ובמידה וכל הדומיינים ביער נקיים מגירסאות ישנות של DCים, נוכל להעלות גם את ה- FFL. תהליך זה הוא חד-כיווני ובלתי הפיך (אם כי ניתן במצבים מסוימים להוריד אותו לרמה של Windows Server 2008 RTM אבל לא מתחת לזאת).

How to raise Active Directory domain and forest functional levels

http://support.microsoft.com/kb/322692

 

לסיכום, תהליך השדרוג דורש תכנון מדוקדק והקפדה על סדר הפעולות, תוך בדיקה שכל התהליכים, כמו רפליקציות, הסתיימו בהצלחה לפני שעוברים לשלב הבא.

אתם מוזמנים ללחוץ להורדה של המצגת המקיפה בנושא שהעברתי במפגש יוזר גרופ תשתיות בסוף ינואר

בהצלחה!!!

 

דניאל פטרי משמש כ– Premier Field Engineer במיקרוסופט ישראל  מזה כחצי שנה ועוסק בעיקר ב– Active Directory, Remote Desktop Services ו– Hyper-V. קודם לכן יצר וכתב את אחד מאתרי המידע הפופולריים בעולםwww.petri.co.il, שימש כיועץ עצמאי ללקוחות רבים בארץ ובחו"ל, והחזיק בתואר MVP של מיקרוסופט במשך 8 שנים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. חיים11 בפברואר 2012 ב 19:42

    מה אם אחד מDCים הישנים הוא CA?
    יש דרך נוחה להעביר Certים ללא התעסקות בDB ובRegsitry?

    הגב