Der Support für Windows Server 2003 endet zum 14. Juli 2015 und noch immer finden sich zahlreiche 2003 Server-Systeme im produktiven Umfeld. Eine Migration auf die Plattform Server 2008 R2 wird meist zugunsten von Server 2012 R2 übersprungen.
Ich schildere hier das Upgrade durch hinzufügen eines weiteren Domänencontrollers 2012 R2 zur bestehenden Domäne auf Basis von Server 2003 R2 mit der ADS Schema Erweiterung auf Server 2012 R2.
Voraussetzungen
- Domänen Funktionsmodus (domain functional level) muss mindestens “Server 2003” sein. Dazu das Tool “Active Directory Domänen und Vertrauensstellungen” öffnen und das Kontextmenü auf dem Domänennamen öffnen. Gleichermassen im Tool Active Directory Benutzer und Computer” Kontextmenü auf den Forest.
- Neuer Windows Server 2012 R2 mit fester IP als Memberserver in der bestehenden Domäne.
- Alle bestenden Domänencontroller müssen sauber replizieren. Es existieren keine Tombstones. Das Ereignislog ist sauber.
- Microsoft SP1 Support Tools sind auf den 2003 Servern installiert.
Vorprüfung
Schema kontrollieren
Auf einem der bestehenden DC das Schema prüfen. Für die Domäne mydomain.com lautet dieser:
dsquery * cn=schema,cn=configuration,dc=mydomain,dc=com-scope base -attr objectVersion
In einer Server 2003 R2 Umgebung wird die Ausgabe der dsquery Abfrage 31 sein.
| 13 | Windows Server 2000 |
| 30 | Windows Server 2003 |
| 31 | Windows Server 2003 R2 |
| 44 | Windows Server 2008 |
| 47 | Windows Server 2008 R2 |
| 56 | Windows Server 2012 |
| 69 | Windows Server 2012 R2 |
Replikation prüfen
repadmin /replsummary
Im Beispiel waren zu Beginn zwei DC vorhanden. Das Ergebnis sieht gut aus.
FSMO Rollen abfragen
netdom query fsmo
Die Ausgabe zeigt den Inhaber der aktuellen FSMO Rollen
- Schema owner
- Domain name owner
- PDC role
- RID Pool Manager
- Infrastructure owner
DCDIAG
Dieser Befehl gibt eine detaillierte Diagnose der Bestehenden Active Directory Struktur aus. Im Beispiel wird der Domänencomtroller mit Namen “DC1” abgefragt. Da die Ausgabe recht umfangreich ist, lohnt sich die Umleitung in eine Datei (>).
Dcdiag /v /c /d /e /s:DC1 >c:\temp\dcdiag.log
Alle Signale auf Grün
Nach erfogreicher Diagnose kann die Heraufstufung des 2012 R2 Servers beginnen.
Ich gehe davon aus, dass der 2012 R2 Server bereits Domänenmitglied (Memberserver) ist, eine feste IPv4 Adresse hat und als DNS Server die bestehenden DCs eingetragen hat. Es sollten keine Manipulationen an IPv6 gemacht werden!
Bei früheren Migrationen (zum Beispiel auf Server 2008 R2) musste zuvor das Schema erweitert werden. Das ist zwar immer noch eine Voraussetzung, jedoch übernimmt diese Aufgabe künftig ein Assistent im Hintergrund.
Alle Arbeiten werden nun vom Seerver 2012 R2 aus getätigt mit einem Konto, das zur Gruppe der Domänen-Admin gehört.
Im Servermanager wird die Rolle “Active Directory und Domänendienste” hinzugefügt.
Lesen, und “Weiter” klicken.
Zielserver ist der 2012 R2 Server selbst, von dem aus die Installation durchgeführt wird. Er wird im Standard zur Auswahl angezeigt.
Die Rolle “Active Directory-Domänendienste” auswählen.
Die Verwaltungstools sollten ebenfalls installiert werden (Haken unten im Fenster).
Es sind keine weiteren Features notwendig und der folgende Schritt kann mit “weiter” übersprungen werden.
Lesen und “Weiter” klicken.
Nach erfolgreicher Installation der Rolle erscheint oben im Server Manager ein Hinweis bei den Aufgaben. Es kann mit der Heraufstufuzng begonnen werden.
Installation Bestätigen und Weiter klicken.
Dcpromo
Dies ist die eigentliche Heraufstufung zum DC.
Der neue DC sollte DNS Server und Global Catalog enthalten.
Default Einstellungen verwenden und mit Weiter fortsetzen.
Die Sysvol-Dateien müssen sich auf einem NTFS Datenträger befinden.
Optionen prüfen und weiter.
Der Vorgang ist abgeschlossen. Das Schema der bestehenden Domäne wurde vom Assistenten automatisch erweitert.
Kontrolle der Schemaversion
Dsquery * cn=schema,cn=configuration,dc=domain,dc=local -scope base -attr objectVersion
Die Schemaversion 69 zeigt, daß die automatische Anhebung auf 2012 R2 erfolgreich war (vgl. Tabelle oben)
FSMO Rollen umziehen
Bevor man die alten Domaincontroller (2003 R2) aus dem Rennen nehmen kann, müssen sie FSMO Rollen auf den neuen Domaincontroller übertragen werden.
Kontrolle der Einstellungen
netdom query fsmo
Übertragung der Rollen mittels Powershell
Natürlich kann man die Rollen mit der GUI umziehen. Dies ist leider etwas mühsam, da man unterschiedliche Tools verwenden muss. Wenn ohnehin alle Rollen umgezogen werden sollen, kann man dies viel bequemer mit Powershell und dem Cmdlet Move-ADDirectoryServerOperationMasterRole erledigen. “MyDC” ist dabei der Name des Zielservers, auf den die Rollen übertragen werden sollen.
Move-ADDirectoryServerOperationMasterRole -identity "MyDC" -OperationMasterRole 0,1,2,3,4
Im Beispiel werden die Rollen 0-4 übertragen.
PDCEmulator = 0
RIDMaster = 1
InfrastructureMaster = 2
SchemaMaster = 3
DomainNamingMaster = 4
DNS Einstellungen
Erst nach vollständiger Replikation aller Domänendaten kann die DNS Einstellung des neuen DC umgestellt werden. Primärer DNS wird die eigene IP Adresse. Sekundärer DNS einer der anderen DC.
Achtung! Macht man diese Umstellung zu früh (vor Abschluss der Replikation), kann es zu Replikationsfehlern kommen.
Links
- TechNet – Move-ADDirectoryServerOperationMasterRole
- MWeber’s Blog – Upgrading an Active Directory Domain from Windows Server 2008 or Windows Server 2008 R2 to Windows Server 2012 or Windows Server 2012 R2
- CanITPro (MS TechNet) – Step-By-Step: Adding a Windows Server 2012 Domain Controller to an Existing Windows Server 2003 network