Come migrare un PDC Windows Server 2003 verso una nuova macchina
Come migrare un PDC Windows Server 2003 verso una nuova macchina
Supponiamo di avere un server di dominio che non sia più sufficiente a soddisfare le nostre esigenze per le sue caratteristiche hardware ormai datate, o perché vogliamo una macchina più sicura e con maggiori prestazioni per la dimora del nostro dominio, o semplicemente perché il vecchio server ci ha stufato… Questa guida vi indicherà passo passo come trasferire l’intera struttura di dominio dal vecchio server al nuovo senza tempi di down-time, quindi è tranquillamente applicabile ad un sistema in produzione, ma vi consiglio prima di farvi qualche prova magari con un paio di macchine virtuali.
Partiamo da uno scenario in cui abbiamo il vecchio PDC e la nuova macchina avviata e in rete come server membro, chiameremo d’ora in poi il PDC s1 e il nuovo server s2 in modo tale da non fare confusione. Non dimenticate di fare un backup del system state su s1 come precauzione prima di procedere.
Operazione 1Promuovere s2 a DC agganciadolo all’AD di s1 (s2 replica AD di s1)
Prima di procedere configurate le proprietà TCP/IP di s2 in modo che abbia un IP statico e che il primo DNS (non occorre inserire il secondo) sia l’IP di s1 quale server DNS del dominio.
Da s2 start -> esegui -> dcpromo
Fate click su avanti e alla finestra successiva ancora click su avanti, a questo punto siete nella seguente posizione
Flaggate come in figura in corrispondenza di “Controller aggiuntivo di dominio…” e fate click su avanti.Nella finestra che segue inserite le credenziali d’accesso dell’Administrator di s1 e il nome del relativo dominio:
Fate click su avanti e sarete nella posizione come in figura seguente, dove dovrete inserire il nome completo del dominio su s1. Potete anche fare click su sfoglia per una lista di domini contattabili, nel caso nella vostra rete vi sia solo quello residente su s1, nella lista comparirà solo la voce relativa al dominio su s1:
Cliccate su avanti e accettate le impostazioni di default delle successive due finestre fino ad arrivare alla scelta della password di “amministratore modalità ripristino servizi”, sciegliete una password, cliccate avanti accettando le impostazioni di default delle schermate successive, poi fate click su “fine” iniziando così il processo di replica:
Al termine vi verrà chiesto di riavviare la macchina. Ricordatevi che ora vi loggherete su s2 con le credenziali dell’Administrator di dominio, quindi con la stessa password con cui accedete a s1. Una volta riavviata la macchina controllate che AD di s2 sia identica a AD di s1 e che non vi siano errori nel visualizzatore eventi, in questo caso la replica è andata a buon fine.
Operazione 2Abilitazione trasferimento zona DNS su s1 e installazione DNS su s2
Su s1 aprite la dns e fate clickàstrumenti di amministrazioneàconsole di gestione del DNS, start sul + in corrispondenza di “zone di ricerca diretta”. Come in figura sottoriportata tasto destro su “_msdcs.vostrodominio”
E’ necessario abilitare il trasferimento di zona anche per la zona vostrodominio (in figura è home.local) , quindi ripetete gli stessi identici passaggi appena fatti per la zona “_msdcs.vostrodominio”.
A questo punto tornate su s2 per installare il DNS, click su start -> pannello di controllo -> installazione applicazioni, click su “installazione componenti di Windows”. Si apre la finestra sottoriportata, scorrete fino a “servizi di rete” evidenziandolo, ma non flaggando la voce:
Fate click su “dettagli” e flaggate “Domani Name System (DNS)” come nella figura sotto:
Click su ok e poi avanti, inizierà l’installazione del DNS (avrete bisogno del cd di Windows 2003), al termine dell’installazione fate click su fine. Il DNS su s2 non si replicherà da s1 immediatamente, saranno necessari alcuni minuti, quindi aprite la console del DNS, start -> strumenti di amministrazione -> dns, e controllate che la zona di ricerca diretta contenga gli stessi record del DNS di s1. Cambiate su s2 l’IP del DNS in 127.0.0.1
Operazione 3 Trasferimento del GC (Global Catalog) da s1 a s2
Questo step è tanto semplice quanto fondamentale in quanto se su s2 non portiamo il GC, nessun client sarà più in grado poi di loggarsi al dominio sul nuovo server , o lo farà con la password in cache ammesso ce ne sia una, altrimenti potrà accedere solo in locale. Solo gli utenti appartenenti al gruppo domain admins possono loggarsi nel dominio senza contattare GC. Procediamo partendo da s2 per assegnargli il ruolo di GC:
Start -> strumenti di amministrazione -> siti e servizi di active directory, espandete “sito”, “nome sito” e “servers”, doppio click su s2, tasto destro -> proprietà su “NTDS settings” flaggate “catalogo globale”. La situazione sarà come in figura:
Date OK per confermare, sarà necessario un po’ di tempo per il completamento delle nuove impostazioni, tempo che varia secondo le impostazioni nel registro e la complessità della rete. Per avere un’idea più precisa su questa latenza, aprite il visualizzatore eventi, e sotto “servizio directory” cercate l’evento 1110 con origine “NTDS general”. Sempre sotto “servizio directory” a conferma che s2 è un GC, attendete l’evento 1119 con origine “NTDS general” che vi confermerà che “il controller di dominio è ora un catalogo globale”.
Ora dobbiamo rimuovere il ruolo di GC da s1, procediamo sempre su s2 (potete farlo farlo anche su s1) come in precedenza espandendo in siti e servizi di active directory “sito”, “nome sito” e “servers”, doppio click su s1, tasto destro -> proprietà, su “NTDS settings” levate il flag “catalogo globale” e confermate con OK. A conferma di operazione riuscita portatevi su s1 ed aprite il visualizzatore eventi, sotto “servizio directory” troverete un evento 1120 con origine “NTDS general” in cui sarete informati che “il controller di dominio non è più un catalogo globale”.
Operazione 4Demote di s1, i 5 ruoli master saranno trasferiti su s2
Un PDC per essere tale svolge 5 ruoli detti “ruoli master”: schema master, Domain Naming Master, PDC emulator, Relative Identifier Master (RID) e Infrastructure Master.
Tornando alla nostra situazione i ruoli master sono attualmente su s1 al quale ora andremo a togliere il grado di PDC downgradandolo a semplice server membro (demote), per poi staccarlo definitivamente dalla rete.
Su s1 start -> esegui -> dcpromo, click su avanti:
NON mettete il flag “Questo server è l’ultimo controller…”, ma fate click su avanti e seguite i restanti pochi passi… Il processo di demote avrà inizio e i 5 ruoli master saranno trasferiti automaticamente su s2 che sarà ora a tutti gli effetti il nuovo PDC del dominio, il tutto senza down-time. Potete spegnere e staccare dalla rete s1, date a s2 l’IP che aveva s1 (altrimenti i client puntano a un DNS che non c’è) e avete finito! Naturalmente prima di staccare s1 è bene controllare nel visualizzatore eventi la presenza di errori o meno e di assicurarsi che ogni client si logghi e lavori correttamente.
Ma se avreste voluto tenere in piedi s1 senza downgradarlo a server membro, magari per avere un DC al quale assegnare ruoli meno pesanti come si fa con ogni vecchietto che si rispetti?Leggete il successivo paragrafo...
Operazione 4 bisTrasferimento dei 5 ruoli master da s1 a s2 (ntdsutil.exe)
Nel caso in cui volessimo mantenere s1 come DC aggiuntivo, per trasferire i ruoli master non avvalendoci di una procedura di demote, dobbiamo utilizzare l’utility ntdsutil.exe (su s1) che avrete a disposizione installando i support tools che trovare nella cartella support/tools del cd di Windows 2003 o che potete scaricare
Una volta installati i tools su s1, start -> programmi -> windows support tools -> command prompt, digitate e date invio:
ntdsutil
roles
connections
connect to server s2
quit
Ora siamo pronti a trasferire i ruoli, quindi digitate e date invio per ognuno dei seguenti comandi:
transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master
quit
quit
Per avere conferma del corretto trasferimento dei ruoli sempre da prompt dei comandi digitate “netdom /query fsmo”, date invio e avrete per ogni ruolo il nome della macchina che lo detiene, nel nostro caso s2. A questo punto avrete il PDC su s2, mentre s1 è rimane un DC al quale poter delegare le funzioni che più ritenete opportune,
Per la cronaca è possibile trasferire i ruoli anche attraverso l’interfaccia grafica, ma personalmente preferisco la riga di comando….
Supponiamo di avere un server di dominio che non sia più sufficiente a soddisfare le nostre esigenze per le sue caratteristiche hardware ormai datate, o perché vogliamo una macchina più sicura e con maggiori prestazioni per la dimora del nostro dominio, o semplicemente perché il vecchio server ci ha stufato… Questa guida vi indicherà passo passo come trasferire l’intera struttura di dominio dal vecchio server al nuovo senza tempi di down-time, quindi è tranquillamente applicabile ad un sistema in produzione, ma vi consiglio prima di farvi qualche prova magari con un paio di macchine virtuali.
Partiamo da uno scenario in cui abbiamo il vecchio PDC e la nuova macchina avviata e in rete come server membro, chiameremo d’ora in poi il PDC s1 e il nuovo server s2 in modo tale da non fare confusione. Non dimenticate di fare un backup del system state su s1 come precauzione prima di procedere.
Operazione 1Promuovere s2 a DC agganciadolo all’AD di s1 (s2 replica AD di s1)
Prima di procedere configurate le proprietà TCP/IP di s2 in modo che abbia un IP statico e che il primo DNS (non occorre inserire il secondo) sia l’IP di s1 quale server DNS del dominio.
Da s2 start -> esegui -> dcpromo
Fate click su avanti e alla finestra successiva ancora click su avanti, a questo punto siete nella seguente posizione
Flaggate come in figura in corrispondenza di “Controller aggiuntivo di dominio…” e fate click su avanti.Nella finestra che segue inserite le credenziali d’accesso dell’Administrator di s1 e il nome del relativo dominio:
Fate click su avanti e sarete nella posizione come in figura seguente, dove dovrete inserire il nome completo del dominio su s1. Potete anche fare click su sfoglia per una lista di domini contattabili, nel caso nella vostra rete vi sia solo quello residente su s1, nella lista comparirà solo la voce relativa al dominio su s1:
Cliccate su avanti e accettate le impostazioni di default delle successive due finestre fino ad arrivare alla scelta della password di “amministratore modalità ripristino servizi”, sciegliete una password, cliccate avanti accettando le impostazioni di default delle schermate successive, poi fate click su “fine” iniziando così il processo di replica:
Al termine vi verrà chiesto di riavviare la macchina. Ricordatevi che ora vi loggherete su s2 con le credenziali dell’Administrator di dominio, quindi con la stessa password con cui accedete a s1. Una volta riavviata la macchina controllate che AD di s2 sia identica a AD di s1 e che non vi siano errori nel visualizzatore eventi, in questo caso la replica è andata a buon fine.
Operazione 2Abilitazione trasferimento zona DNS su s1 e installazione DNS su s2
Su s1 aprite la dns e fate clickàstrumenti di amministrazioneàconsole di gestione del DNS, start sul + in corrispondenza di “zone di ricerca diretta”. Come in figura sottoriportata tasto destro su “_msdcs.vostrodominio”
E’ necessario abilitare il trasferimento di zona anche per la zona vostrodominio (in figura è home.local) , quindi ripetete gli stessi identici passaggi appena fatti per la zona “_msdcs.vostrodominio”.
A questo punto tornate su s2 per installare il DNS, click su start -> pannello di controllo -> installazione applicazioni, click su “installazione componenti di Windows”. Si apre la finestra sottoriportata, scorrete fino a “servizi di rete” evidenziandolo, ma non flaggando la voce:
Fate click su “dettagli” e flaggate “Domani Name System (DNS)” come nella figura sotto:
Click su ok e poi avanti, inizierà l’installazione del DNS (avrete bisogno del cd di Windows 2003), al termine dell’installazione fate click su fine. Il DNS su s2 non si replicherà da s1 immediatamente, saranno necessari alcuni minuti, quindi aprite la console del DNS, start -> strumenti di amministrazione -> dns, e controllate che la zona di ricerca diretta contenga gli stessi record del DNS di s1. Cambiate su s2 l’IP del DNS in 127.0.0.1
Operazione 3 Trasferimento del GC (Global Catalog) da s1 a s2
Questo step è tanto semplice quanto fondamentale in quanto se su s2 non portiamo il GC, nessun client sarà più in grado poi di loggarsi al dominio sul nuovo server , o lo farà con la password in cache ammesso ce ne sia una, altrimenti potrà accedere solo in locale. Solo gli utenti appartenenti al gruppo domain admins possono loggarsi nel dominio senza contattare GC. Procediamo partendo da s2 per assegnargli il ruolo di GC:
Start -> strumenti di amministrazione -> siti e servizi di active directory, espandete “sito”, “nome sito” e “servers”, doppio click su s2, tasto destro -> proprietà su “NTDS settings” flaggate “catalogo globale”. La situazione sarà come in figura:
Date OK per confermare, sarà necessario un po’ di tempo per il completamento delle nuove impostazioni, tempo che varia secondo le impostazioni nel registro e la complessità della rete. Per avere un’idea più precisa su questa latenza, aprite il visualizzatore eventi, e sotto “servizio directory” cercate l’evento 1110 con origine “NTDS general”. Sempre sotto “servizio directory” a conferma che s2 è un GC, attendete l’evento 1119 con origine “NTDS general” che vi confermerà che “il controller di dominio è ora un catalogo globale”.
Ora dobbiamo rimuovere il ruolo di GC da s1, procediamo sempre su s2 (potete farlo farlo anche su s1) come in precedenza espandendo in siti e servizi di active directory “sito”, “nome sito” e “servers”, doppio click su s1, tasto destro -> proprietà, su “NTDS settings” levate il flag “catalogo globale” e confermate con OK. A conferma di operazione riuscita portatevi su s1 ed aprite il visualizzatore eventi, sotto “servizio directory” troverete un evento 1120 con origine “NTDS general” in cui sarete informati che “il controller di dominio non è più un catalogo globale”.
Operazione 4Demote di s1, i 5 ruoli master saranno trasferiti su s2
Un PDC per essere tale svolge 5 ruoli detti “ruoli master”: schema master, Domain Naming Master, PDC emulator, Relative Identifier Master (RID) e Infrastructure Master.
Tornando alla nostra situazione i ruoli master sono attualmente su s1 al quale ora andremo a togliere il grado di PDC downgradandolo a semplice server membro (demote), per poi staccarlo definitivamente dalla rete.
Su s1 start -> esegui -> dcpromo, click su avanti:
NON mettete il flag “Questo server è l’ultimo controller…”, ma fate click su avanti e seguite i restanti pochi passi… Il processo di demote avrà inizio e i 5 ruoli master saranno trasferiti automaticamente su s2 che sarà ora a tutti gli effetti il nuovo PDC del dominio, il tutto senza down-time. Potete spegnere e staccare dalla rete s1, date a s2 l’IP che aveva s1 (altrimenti i client puntano a un DNS che non c’è) e avete finito! Naturalmente prima di staccare s1 è bene controllare nel visualizzatore eventi la presenza di errori o meno e di assicurarsi che ogni client si logghi e lavori correttamente.
Ma se avreste voluto tenere in piedi s1 senza downgradarlo a server membro, magari per avere un DC al quale assegnare ruoli meno pesanti come si fa con ogni vecchietto che si rispetti?Leggete il successivo paragrafo...
Operazione 4 bisTrasferimento dei 5 ruoli master da s1 a s2 (ntdsutil.exe)
Nel caso in cui volessimo mantenere s1 come DC aggiuntivo, per trasferire i ruoli master non avvalendoci di una procedura di demote, dobbiamo utilizzare l’utility ntdsutil.exe (su s1) che avrete a disposizione installando i support tools che trovare nella cartella support/tools del cd di Windows 2003 o che potete scaricare
Una volta installati i tools su s1, start -> programmi -> windows support tools -> command prompt, digitate e date invio:
ntdsutil
roles
connections
connect to server s2
quit
Ora siamo pronti a trasferire i ruoli, quindi digitate e date invio per ognuno dei seguenti comandi:
transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master
quit
quit
Per avere conferma del corretto trasferimento dei ruoli sempre da prompt dei comandi digitate “netdom /query fsmo”, date invio e avrete per ogni ruolo il nome della macchina che lo detiene, nel nostro caso s2. A questo punto avrete il PDC su s2, mentre s1 è rimane un DC al quale poter delegare le funzioni che più ritenete opportune,
Per la cronaca è possibile trasferire i ruoli anche attraverso l’interfaccia grafica, ma personalmente preferisco la riga di comando….
Commenti
Posta un commento