En este documento se mostrar cmo migrar correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Siendo la migracin del Directorio Activo 2000 o 2003 a 2008. Se migrar el Directorio Activo a esta nueva versin a nuevos controladores de dominio. Los controladores de dominio viejo desaparecern. As que se necesitar un servidor nuevo para poder instalarle Windows 2008, hacerle controlador de dominio, pasarle los roles y posteriormente despromocionar los controladores de dominio viejos. Finalmente se elevar el nivel funcional del dominio y del bosque a Windows 2008. Los pasos correctos a seguir sern: Comprobar estado de los controladores de dominio AKI, (recomendable pero no obligatorio)Preparar el Directorio Activo AKI,Unirse a un Directorio Activo Existente AKI,Migrar los roles AKI,Despromocin de controladores de dominio antiguos AKI,Elevar niveles funcionales AKI,Ojo, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta adems todos los requisitos para actualizar un Directorio Activo a 2008:- Dominio actual no tiene que ser Modo Mixto, si no Modo Nativo o Windows 2003 Server- Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 AKI.- Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.Comprobar estado de los controladores de dominio,Bien, lo primero que hay que realizar ante una migracin de Directorio Activo es comprobar que el AD nos est funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las rplicas estn funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexistntes Para que la migracin sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarn. A parte del siempre til Visor de Sucesos que no tenga errores.

Por ejemplo, tenemos DCDIAG. Est utilidad nos servir para hacer un diagnostico de los controladores de dominio. Esta herramienta de la lnea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolucin del mismo. Para leer ms, visitar la web de Microsoft AKI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionar la salida de texto a un fichero de texto TXT:dcdiag.exe > FICHERO_DE_LOGAl abrir el fichero de LOG generado tendremos un texto como el siguiente:

Domain Controller DiagnosisPerforming initial setup:Done gathering initial info.Doing initial required testsTesting server: HXXXXXXXI\HXXXXXXX1Starting test: Connectivity. HXXXXXXX1 passed test ConnectivityDoing primary testsTesting server: HXXXXXXXI\HXXXXXXX1Starting test: Replications[Replications Check,HXXXXXXX1] A recent replication attempt failed:From AXXXXX1 to HXXXXXXX1Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=esThe replication generated an error (1722):El servidor RPC no est disponible.The failure occurred at 2008-07-15 07:38.25.The last success occurred at 2008-07-01 18:51.20.91 failures have occurred since the last success.[AXXXX01] DsBind() failed with error 1722,El servidor RPC no est disponible..The source remains down. Please check the machine.[Replications Check,HXXXXXXX1] A recent replication attempt failed:From MXXXX01 to HXXXXXXX1Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=esThe replication generated an error (1722):El servidor RPC no est disponible.The failure occurred at 2008-07-15 07:38.48.The last success occurred at 2008-07-01 18:51.20.

Ojo, me da errores, habra que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. As que no problem.

Ms, tenemos REPADMIN, con este comando veremos el estado de las rplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicacin, entre ellas, administrar y modificar la topologa de replicacin, forzar los sucesos de replicacin, y mostrar los metadatos de replicacin y los vectores actualizados. Para leer ms, visitar la web de Microsoft AKI.

El caso es comprobar que las rplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:repadmin.exe /showreps > FICHERO_DE_LOG

Este sera un ejemplo de mi Directorio Activo, que s que est totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

HXXXXXXXI\HXXXXXXX1DSA Options : IS_GCobjectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f==== INBOUND NEIGHBORS ======================================CN=Schema,CN=Configuration,DC=XXXXXXX,DC=esUXXXXXXI\AXXXXX1 via RPCobjectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0Last attempt @ 2008-07-15 07:41.05 failed, result 1722:El servidor RPC no est disponible.Last success @ 2008-07-01 18:51.21.91 consecutive failure(s).CXXXXXN\AXXXXX1 via RPCobjectGuid: d14300de-a51a-4e8d-a770-dc44b7f029abLast attempt @ 2008-07-15 07:41.51 failed, result 1722:El servidor RPC no est disponible.Last success @ 2008-07-01 18:51.21.

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicacin y tener la misma GPO en diferentes sitios con diferentes configuraciones. Esta herramienta nos comprobar el estado de ellas.

El comando en cuestin se ejecuta de la siguiente manera:gpotool.exe > FICHERO_DE_LOG

Este sera un ejemplo de mi fichero LOG del GPOTool: Validating DCs

Available DCs:hXXXXXXX1.XXXXXXX.esSearching for policiesFound 167 policies========================================================================================================================Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801}Policy OK============================================================Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C}Policy OK============================================================Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8}Policy OK============================================================Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}Policy OK============================================================Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4}Policy OK============================================================Policy {0959942F-21A2-4FF0-B84C-1A3748E24815}Policy OK============================================================Policy {097AB751-C12A-4A42-B8BE-26B54190FB12}Policy OK============================================================Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F}Policy OK============================================================Policy {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}Policy OKPolicies OK

Preparar el Directorio Activo, Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Primero de todo, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:adprep /forestprep

Para continuar pulsamos C, pero tendremos en cuenta que todos los controladores de dominio sean como mnimo Windows 2000 SP4,

esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizar de la versin 13 que es un bosque 2000, a la versin 44 que es un bosque 2008)

Ok, comprobamos que finaliza correctamente.

Ahora, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando ser opcional. Se ejecutar en el servidor con el rol Domain Naming Master o RID con nivel de permisos de Administrador de dominio. El comando ser:adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y aadiremos el parmetro [gpprep] para preparar las directivas o GPO. Este comando se realizar en el Maestro de Infraestructuras con permisos de Administrador de dominio:adprep /domainprep /gpprep

Esperamos a que se realice completamente el comando y que los resultados sean correctos.Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de rplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.Unirse a un Directorio Activo Existente, Una vez ya tenemos el Directorio Activo actualizado a la versin Windows 2008 ya podremos crear controladores de dominio con esta versin de Windows. As que ahora instalamos Windows 2008 en algn servidor siguiendo este procedimiento AKI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

En el servidor 2008 recien instalado, le agregaremos la funcin de Servicios de dominio de Active Directory mediante el comando dcpromo en la opcin Ejecutar del men Inicio. Y aceptamos.

esperamos mientras prepara el asistente de instalacin de los servicios de dominio de Directorio Activo

Comienza el asistente de instalacin para crear o unirnos a un dominio, Siguiente,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, continuamos, Siguiente,

Debemos seleccionar la opcin Bosque existente y Agregar un controlador de dominio a un dominio existente, Siguiente,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y Siguiente,

Seleccionamos el dominio al que nos uniremos, Siguiente,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & Siguiente,

Indicamos como opcin adicional que a este controlador le haremos catlogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. Siguiente,

Debemos seleccionar donde guardaremos la BD del directorio activo, as como la base de datos tambin los archivos de registro de ella y la ubicacin de la carpeta Sysvol, sus paths predeterminados son: C:\Windows\NTDS y C:\Windows\SYSVOL. Si los cambiamos ser para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, Siguiente,

Bien, ahora debemos indicar la contrasea del usuario Administrador si necesitamos entrar en el equipo en modo restauracin (pulsando F8 al reiniciar), Siguiente,

Comprobamos el resumen de la preparacin para promocionar ya a este servidor, Siguiente,

esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional

Bien, una vez instalados los servicios del AD pulsamos en Finalizar,

Debemos reiniciar este servidor, pulsamos en Reiniciar ahora,Migrar los roles, Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a l todos los roles del Directorio Activo y as quitar funciones a los servidores antiguos y poder reemplazarlos. Se puede realizar de dos formas, mediate GUI, o mediante comandos. Y hay una tercera forma que sera la agresiva por si no nos funciona correctamente el Directorio Activo y debemos forzar el traslado de las funciones AKI. A continuacin lo haremos mediante GUI:

Para modificar los roles, nos vamos a la consola de Usuarios y Equipos de Active Directory del servidor al que queremos migrar los roles, si es posible, si no, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, con botn derecho Cambiar el controlador de dominio

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Bien, ahora comencemos a migrar los roles, para ello, sobre el dominio con botn derecho > Maestro de operaciones

Debemos cambiar las tres opciones, primero, desde la pestaa de RID, nos muestra cual es el servidor RID actual y a cual lo pasaramos si pulsamos sobre Cambiar, le damos.

Confirmamos, S

Aceptamos.

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaa,

Ahora con la siguiente pestaa, la de Controlador de dominio principal, pulsamos sobre Cambiar

S,

Aceptar,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por ltimo el servidor de Infraestructuras, pulsamos sobre Cambiar,

Eso pasa por que el controlador de dominio actual tambin es Catalogo Global, es una configuracin no recomendable, en principio no pasa nada en organizaciones pequeas, pero no recomendable mantenerlo as, as que posteriormente cambiaremos este rol o haremos a otro DC GC, confirmamos, S.

Aceptamos,

Y comprobamos que es cierto y el rol ya est migrado. Cerramos,

Ok, otro rol, ahora el de maestro de operaciones, sobre Dominios y confianzas de Active Directory, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, as que botn derecho sobre Dominios y confianzas de Active Directory > Cambiar controlador de dominio de Active Directory

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botn derecho en Dominios y confianzas de Active Directory y seleccionamos Maestro de operaciones,

Vale, nos dice que cambiaremos de de un servidor antiguo al 2008 el Maestro de operaciones, le damos a Cambiar,

Confirmamos, S,

Aceptamos,

Ahora, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, escribimos regsvr32 schmmgmt.dll para migrar el servidor de esquema, al dar al Enter nos saldr la confirmacin, la aceptamos.

Lo dicho, Aceptar,

Ahora abrimos una consola MMC (Microsoft Management Console) desde el men Inicio en Ejecutar escribiendo mmc y aceptando.

Pinchamos en Archivo > Agregar o quitar complemento

Pulsamos en Agregar,

En los complementos buscamos el Esquema de Active Directory y pulsamos sobre Agregar y luego sobre Cerrar y Aceptar,

Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, para ello, botn derecho sobre Esquema de Active Directory y elegimos Cambiar el controlador de dominio

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, pinchamos con botn derecho sobre Esquema de Active Directory y seleccionamos Maestro de operaciones

Igual que antes, nos muestra el servidor actual de Maestro de esquema, para migrarlo de uno a otro pulsamos sobre Cambiar y aceptamos.

Confirmamos que lo queremos cambiar,

Aceptamos.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la caracterstica de catlogo global habilitada lo veremos desde la consola de Sitios y Servicios de Active Directory, sobre Sitios y servicios del AD > Sites > en cualquier domain controller, y nos vamos al servidor nuevo a NTDS Settings > botn derecho > Propiedades,

Y simplemente marcarle el check de Catlogo global y aceptamos,

Y bueno, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que tambin migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opcin de Permitir transferencias de zona para que traiga la zona a nuestro nuevo controlador de dominio.Despromocin de controladores de dominio antiguos, Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, para ello, los quitaremos de forma limpia, esto es, con una despromocin.

As que en los servidores obsoletos se debe despromocionar mediante el comando dcpromo.exe en la opcin Ejecutar del men Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalacin de Active Directory, debemos pulsar en Next,

Tendremos en cuenta que este servidor es un Catlogo Global, as que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red ser Catlogo Global, si no tendremos problemas con los inicios de sesin de los usuarios, ya que sin un GC no se validan los usuarios. Aceptamos.

Siguiente,

Introducimos la contrasea que queremos que tenga el administrador local de este equipo, Siguiente,

Comprobamos todos los pasos y pulsamos en Siguiente para despromocionar este controlador de dominio,

esperamos unos minutos

Finalizar, se quit bien,

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Pulsamos en Reiniciar ahora,Elevar niveles de funcionamiento, Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:Nivel funcional del dominioCaractersticas habilitadasSistemas operativos de controlador de dominio admitidos

Windows 2000 nativoTodas las caractersticas predeterminadas de Active Directory y las caractersticas siguientes: Los grupos universales estn habilitados para grupos de distribucin y de seguridad.

Anidacin de grupos.

La conversin de grupos est habilitada, lo que hace posible la conversin entre grupos de seguridad y grupos de distribucin.

Historial de identificadores de seguridad (SID).

Windows 2000Windows Server2003Windows Server2008

Windows Server2003Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del nivel funcional de dominio de Windows 2000 nativo y las caractersticas siguientes: La disponibilidad de la herramienta de administracin de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio.

Actualizacin de la marca de tiempo de inicio de sesin. El atributo lastLogonTimestamp se actualizar con la hora en que el usuario o equipo inici sesin por ltima vez. Este atributo se replica dentro del dominio.

La capacidad de establecer el atributo userPassword como la contrasea efectiva en inetOrgPerson y los objetos de usuario.

La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: es decir, cn=Computers, y cn=Users,. Esta caracterstica permite definir una ubicacin nueva conocida para estas cuentas.

Permite que el Administrador de autorizacin almacene las directivas de autorizacin en los Servicios de dominio de Active Directory (ADDS).

Incluye delegacin restringida para que las aplicaciones puedan aprovechar la delegacin segura de credenciales de usuario por medio del protocolo de autenticacin Kerberos. La delegacin se puede configurar para que slo se permita en servicios de destino especficos.

Admite autenticacin selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confa.

Windows Server2003Windows Server2008

Windows Server2008 Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del nivel funcional de dominio de WindowsServer2003 y las caractersticas siguientes: Compatibilidad con la replicacin del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicacin ms slida y detallada del contenido de SYSVOL.

Compatibilidad de los Servicios de cifrado avanzado (AES128 y 256) con el protocolo Kerberos.

Informacin acerca del ltimo inicio de sesin interactivo, que muestra la hora del ltimo inicio de sesin interactivo correcto de un usuario, la estacin de trabajo desde la que se inici y el nmero de intentos de inicio de sesin errneos desde el ltimo inicio de sesin.

Directivas de contrasea muy especficas, que permiten indicar directivas de contrasea y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows Server2008

Bueno, para elevar el nivel funcional del dominio, abrimos la consola Dominios y confianzas de Active Directory y sobre el dominio con botn derecho > Elevar el nivel funcional de dominio

Debemos seleccionar el nivel funcional del dominio Windows Server 2008 y pulsamos Elevar,

Aceptamos, ojo! a tener en cuenta que esto ser irreversible.

Perfecto, aceptamos,

Bueno, para elevar el nivel funcional de bosque, abrimos la consola Dominios y confianzas de Active Directory y sobre Dominios y confianzas de Active Directory con botn derecho > Elevar el nivel funcional del bosque

Debemos seleccionar el nivel funcional del bosque Windows Server 2008 y pulsamos Elevar,

Igual que antes, aceptamos y tendremos en cuenta que ser un proceso que no se podr revertir.

Aceptar y ya tendramos un Directorio Activo actualizado a nivel funcional Windows 2008.