A continuación presentamos la manera de migrar de Windows Server 2003 a Windows Server 2008.
Por qué Migrar???
-Server Core
-Mejoras en seguridad
-Virtualización
-Mejoras en Terminal Services
-Administración mas sencilla
-Etc.
COMO MIGRAR EL DOMINIO A WINDOWS SERVER 2008
Upgrade In-Place
Para este método necesitaremos hacer la actualización en el mismo hardware donde se encuentra actualmente nuestros DC. Debemos verificar que sea Windows Server 2003 SP1 y demás está decir que el hardware tiene que ser totalmente compatible con Windows Server 2008. Este método requiere la ejecución del ADPrep.exe antes de la actualización.
No podemos cambiar de arquitectura x86 x64 o Itanium y debemos verificar la versión de la cual y a donde migramos (la versión estándar se migra a Windows Server 2008 estándar o Enterprise, la versión Enterprise solo migra a Versión Enterprise y lo mismo con Datacenter, solo se migra a versión Datacenter.
Esta migración se puede aplicar:
Cuando el hardware es reusable y sabemos que tecnológicamente tendrá una ciclo de vida mayor a cuatro años.
Cuando no hay recursos económicos para comprar nuevos hardware.
Reestructuramiento
Este es el método más complejo porque estaríamos migrando no solo los DC, sino también todos los recursos del dominio (Servers, Clientes, Grupos y Usuarios) a un nuevo dominio basado en Windows Server 2008. Esto se debería hacer con herramientas como ADMT.
Se Aplica cuando:
Cuando se crea un dominio desde cero y luego se migran los objetos a este dominio.
Cuando se fusiones de empresas y un dominio es importado por otro.
Cuando se necesita separar los bosques de AD, ADMT v3.1 soportara Windows Server 20008 (aun no salió la versión final).
Transición
Este método es el más común, lo que haremos es poner nuevos equipos basados en Windows Server 2008, y preparar el Active Directory para poder poner Windows Server 2008 como controladores de dominio. Comprende de tareas como promover los Windows Server 2008 a Controladores de dominio, mover los roles (FSMO) y luego dar de baja los Windows Server 2003 que sean Windows Server 2003.
Se Aplica cuando:
Cuando la actualización in-place no puede hacerse por temas de hardware limitado.
Cuando se quiere conservar la estructura de AD actual, pero hacer los DC desde cero.
Detalles de cómo hacer una transición de Controladores satisfactoriamente
Como primer paso debemos asegurarnos que el dominio y los DC estén funcionando correctamente.
¿Qué debemos verificar entonces?:
Replicación de AD (replmon y repadmin). Verificar de cumplir con los requisitos de Parches (Windows Server 2003 SP1). Verificar con MAP Microsoft Assessment and Planning Solution Accelerator. Que tengamos copia de seguridad de los DC GC y del System State del dominio Actual. Tener en claro de estructura de dominio. Tener documentado Roles FSMO, Sitios, GC, estructura de DNS y medir posibles impactos.
Antes de promover el primer controlador de dominio de Windows Server 2008 debemos preparar nuestro esquema de Active Directory para tal fin.
Para tal fin debemos ejecutar:
adprep.exe /forestprep
En el forest donde queremos agregar el nuevo DC basado en Windows Server 2008 y debe ejecutarse sobre el rol de Schema Master. Para esta ejecución debemos ser miembros de Enterprise Admins group, Schema Admins group y Domain Admins group del dominio del rol de schema master.
adprep.exe /domainprep
En el dominio sobre el cual vamos a agregar el nuevo DC basado en Windows Server 2008 y lo ejecutaremos sobre el rol de Infrastructure Master.
adprep.exe /domainprep /gpprep
Solo si estamos haciendo la actualizacion de un dominio basado en Windows 2000 Server SP4, esto agrega la funcionalidad de Resultant Set of Policy (RSOP) al dominio y lo ejecutamos sobre el rol de Infrastructure Master.
adprep.exe /rodcprep
Sobre el rol de Domain Naming Master, solo si planeamos poner RODC. Debemos verificar el adprep.log (%SystemRoot%\System32\Debug\Adprep\Logs) y verificar que los cambios en el esquema se repliquen correctamente a todo el forest. Podemos usar el replmon y repadmin. También ver los códigos de error en caso que sea necesario - Códigos de Error del ADPrep
Dependiendo del tipo de arquitectura de AD puede tardar de 15 min a horas.
Agregando Primer Controlador de Dominio basado en Windows Server 2008
Una vez que tenemos el esquema listo, podemos promover nuestro primer Windows Server 2008 como controlador de dominio. Tendremos que tener una instalación limpia de Windows Server 2008, ya unido al dominio previamente. Antes de comenzar con la instalación de AD, debemos planificar y estandarizar nuestro Server. Parámetros de Memoria recomendados para un DC. Particionar volúmenes para separar SYSVOL, Bases y Logs del Active Directory. Instalación de Parches al día. Actualización de Drivers, Firmware y BIOS
Luego recién ejecutamos un DCPromo.exe, seleccionamos que sea un controlador adicional al dominio que ya existe.
Seleccionamos y Documentamos una clave compleja para Directory Services Restore Mode (DSRM).
Luego de reiniciar debemos verificar que tenga las carpetas NETLOGON y SYSVOL compartidas y que este replicando el AD correctamente. También debemos verificar los siguientes logs para verificar que este todo bien.
DCPromo.log (dentro de %SystemRoot%\Debug, ahi estarán todos los eventos de creación y remoción de AD, SYSVOL y Servicios).
DCPromoui.log (%SystemRoot%\Debug los eventos del lado de la interfaz grafica)
Luego podemos ir agregando los demás controladores adicionales a través de forma manual o usando instalación desatendidas.
Despromoviendo los Controladores de Windows Server 2003
Dar de baja los controladores de dominio de Windows Server 2003, luego de ya tener los nuevos controladores de dominio basados en Windows Server 2008, es una tarea simple, ejecutar el DCPromo.exe, pero debemos verificar otros servicios esenciales para no tener impacto. DNS, verificar que la zona de DNS del dominio este replicada a los nuevos Controladores. Verificar que los clientes y todos los Servidores apunten correctamente a los nuevos DNS. Verificar en el caso de tener Exchange Servers que tengan el AD Access los nuevos GC y DC.
Antes de ejecutar finalmente el DCPRomo.exe y remover completamente los DC basados en Windows 2003 como experiencia personal yo los mantengo apagados 3 dias, luego si durante el periodo de apagado no hay impactos se despromueven directamente. Ver Active Directory Installation and Removal Issues. Ahora que todos los DCs del dominio son Windows Server 2008, podemos aprovechar y activar todos los nuevas ventajas de Active Directory. Replicas del SYSVOL mejoradas, basadas en DFS-R. RODC (domain controler solo lectura). Administración de claves de forma mas granular (Fine-grained password policies). Auditoria más completa, sobre inicio de sesión, intentos fallidos etc. Para obtener algunas o todas estas funcionalidades debemos pasar el modo de operación de nuestro dominio y bosque (forest functional level) a Windows Server 2008 functional level.
Como grupo concluimos que la migración de Windows Server 2003 a Windows Swerver 2008 no es muy complicado si hemos instalado correctamente el Windows Server 2003, por que no nos presenta demasiados problemas a la hora de migrar.
-Server Core
-Mejoras en seguridad
-Virtualización
-Mejoras en Terminal Services
-Administración mas sencilla
-Etc.
COMO MIGRAR EL DOMINIO A WINDOWS SERVER 2008
Upgrade In-Place
Para este método necesitaremos hacer la actualización en el mismo hardware donde se encuentra actualmente nuestros DC. Debemos verificar que sea Windows Server 2003 SP1 y demás está decir que el hardware tiene que ser totalmente compatible con Windows Server 2008. Este método requiere la ejecución del ADPrep.exe antes de la actualización.
No podemos cambiar de arquitectura x86 x64 o Itanium y debemos verificar la versión de la cual y a donde migramos (la versión estándar se migra a Windows Server 2008 estándar o Enterprise, la versión Enterprise solo migra a Versión Enterprise y lo mismo con Datacenter, solo se migra a versión Datacenter.
Esta migración se puede aplicar:
Cuando el hardware es reusable y sabemos que tecnológicamente tendrá una ciclo de vida mayor a cuatro años.
Cuando no hay recursos económicos para comprar nuevos hardware.
Reestructuramiento
Este es el método más complejo porque estaríamos migrando no solo los DC, sino también todos los recursos del dominio (Servers, Clientes, Grupos y Usuarios) a un nuevo dominio basado en Windows Server 2008. Esto se debería hacer con herramientas como ADMT.
Se Aplica cuando:
Cuando se crea un dominio desde cero y luego se migran los objetos a este dominio.
Cuando se fusiones de empresas y un dominio es importado por otro.
Cuando se necesita separar los bosques de AD, ADMT v3.1 soportara Windows Server 20008 (aun no salió la versión final).
Transición
Este método es el más común, lo que haremos es poner nuevos equipos basados en Windows Server 2008, y preparar el Active Directory para poder poner Windows Server 2008 como controladores de dominio. Comprende de tareas como promover los Windows Server 2008 a Controladores de dominio, mover los roles (FSMO) y luego dar de baja los Windows Server 2003 que sean Windows Server 2003.
Se Aplica cuando:
Cuando la actualización in-place no puede hacerse por temas de hardware limitado.
Cuando se quiere conservar la estructura de AD actual, pero hacer los DC desde cero.
Detalles de cómo hacer una transición de Controladores satisfactoriamente
Como primer paso debemos asegurarnos que el dominio y los DC estén funcionando correctamente.
¿Qué debemos verificar entonces?:
Replicación de AD (replmon y repadmin). Verificar de cumplir con los requisitos de Parches (Windows Server 2003 SP1). Verificar con MAP Microsoft Assessment and Planning Solution Accelerator. Que tengamos copia de seguridad de los DC GC y del System State del dominio Actual. Tener en claro de estructura de dominio. Tener documentado Roles FSMO, Sitios, GC, estructura de DNS y medir posibles impactos.
Antes de promover el primer controlador de dominio de Windows Server 2008 debemos preparar nuestro esquema de Active Directory para tal fin.
Para tal fin debemos ejecutar:
adprep.exe /forestprep
En el forest donde queremos agregar el nuevo DC basado en Windows Server 2008 y debe ejecutarse sobre el rol de Schema Master. Para esta ejecución debemos ser miembros de Enterprise Admins group, Schema Admins group y Domain Admins group del dominio del rol de schema master.
adprep.exe /domainprep
En el dominio sobre el cual vamos a agregar el nuevo DC basado en Windows Server 2008 y lo ejecutaremos sobre el rol de Infrastructure Master.
adprep.exe /domainprep /gpprep
Solo si estamos haciendo la actualizacion de un dominio basado en Windows 2000 Server SP4, esto agrega la funcionalidad de Resultant Set of Policy (RSOP) al dominio y lo ejecutamos sobre el rol de Infrastructure Master.
adprep.exe /rodcprep
Sobre el rol de Domain Naming Master, solo si planeamos poner RODC. Debemos verificar el adprep.log (%SystemRoot%\System32\Debug\Adprep\Logs) y verificar que los cambios en el esquema se repliquen correctamente a todo el forest. Podemos usar el replmon y repadmin. También ver los códigos de error en caso que sea necesario - Códigos de Error del ADPrep
Dependiendo del tipo de arquitectura de AD puede tardar de 15 min a horas.
Agregando Primer Controlador de Dominio basado en Windows Server 2008
Una vez que tenemos el esquema listo, podemos promover nuestro primer Windows Server 2008 como controlador de dominio. Tendremos que tener una instalación limpia de Windows Server 2008, ya unido al dominio previamente. Antes de comenzar con la instalación de AD, debemos planificar y estandarizar nuestro Server. Parámetros de Memoria recomendados para un DC. Particionar volúmenes para separar SYSVOL, Bases y Logs del Active Directory. Instalación de Parches al día. Actualización de Drivers, Firmware y BIOS
Luego recién ejecutamos un DCPromo.exe, seleccionamos que sea un controlador adicional al dominio que ya existe.
Seleccionamos y Documentamos una clave compleja para Directory Services Restore Mode (DSRM).
Luego de reiniciar debemos verificar que tenga las carpetas NETLOGON y SYSVOL compartidas y que este replicando el AD correctamente. También debemos verificar los siguientes logs para verificar que este todo bien.
DCPromo.log (dentro de %SystemRoot%\Debug, ahi estarán todos los eventos de creación y remoción de AD, SYSVOL y Servicios).
DCPromoui.log (%SystemRoot%\Debug los eventos del lado de la interfaz grafica)
Luego podemos ir agregando los demás controladores adicionales a través de forma manual o usando instalación desatendidas.
Despromoviendo los Controladores de Windows Server 2003
Dar de baja los controladores de dominio de Windows Server 2003, luego de ya tener los nuevos controladores de dominio basados en Windows Server 2008, es una tarea simple, ejecutar el DCPromo.exe, pero debemos verificar otros servicios esenciales para no tener impacto. DNS, verificar que la zona de DNS del dominio este replicada a los nuevos Controladores. Verificar que los clientes y todos los Servidores apunten correctamente a los nuevos DNS. Verificar en el caso de tener Exchange Servers que tengan el AD Access los nuevos GC y DC.
Antes de ejecutar finalmente el DCPRomo.exe y remover completamente los DC basados en Windows 2003 como experiencia personal yo los mantengo apagados 3 dias, luego si durante el periodo de apagado no hay impactos se despromueven directamente. Ver Active Directory Installation and Removal Issues. Ahora que todos los DCs del dominio son Windows Server 2008, podemos aprovechar y activar todos los nuevas ventajas de Active Directory. Replicas del SYSVOL mejoradas, basadas en DFS-R. RODC (domain controler solo lectura). Administración de claves de forma mas granular (Fine-grained password policies). Auditoria más completa, sobre inicio de sesión, intentos fallidos etc. Para obtener algunas o todas estas funcionalidades debemos pasar el modo de operación de nuestro dominio y bosque (forest functional level) a Windows Server 2008 functional level.
Como grupo concluimos que la migración de Windows Server 2003 a Windows Swerver 2008 no es muy complicado si hemos instalado correctamente el Windows Server 2003, por que no nos presenta demasiados problemas a la hora de migrar.
