Como migrar un dominio Windows Server 2003 a Windows Server 2008

La migración a Windows Server 2008 no es una tarea compleja, pero si muy importante. Veamos algunos puntos y  recomendaciones que debemos tener a la hora de migrar el Active Directory de Windows Server 2003 o Windows Server 2003 R2 a Windows Server 2008.

Para la migración hay distintos métodos con diferentes Pros y Contras en cada uno

Upgrade In-Place
Para este método necesitaremos hacer la actualización en el mismo hardware donde se encuentra actualmente nuestros DC. Debemos verificar que sea Windows Server 2003 SP1 y demás está decir que el hardware tiene que ser totalmente compatible con Windows Server 2008. Este método requiere la ejecución del ADPrep.exe antes de la actualización.
No podemos cambiar de arquitectura x86 x64 o Itanium y debemos verificar la versión de la cual y a donde migramos (la versión estándar se migra a Windows Server 2008 estándar o Enterprise, la versión Enterprise solo migra a Versión Enterprise y lo mismo con Datacenter, solo se migra  a versión Datacenter.

Esta migración se puede aplicar: 
Cuando el hardware es reusable y sabemos que tecnológicamente tendrá una ciclo de vida mayor a cuatro años.
Cuando no hay recursos económicos para comprar nuevos hardware.

 

Reestructuramiento
Este es el método más complejo por que estaríamos migrando no solo los DC, sino también todos los recursos del dominio (Servers, Clientes, Grupos y Usuarios) a un nuevo dominio basado en Windows Server 2008. Esto se debería hacer con herramientas como ADMT.

Se Aplica cuando:
Cuando se crea un dominio desde cero y luego se migran los objetos a este dominio   Cuando se fusiones de empresas y un dominio es importado por otro
Cuando se necesita separar los bosques de AD
 ADMT v3.1 soportara Windows Server 20008 (aun no salió la versión final)

Transición
Este método es el mas común, lo que haremos es poner nuevos equipos basados en Windows Server 2008, y preparar el Active Directory para poder poner Windows Server 2008 como controladores de dominio. Comprende de tareas como promover los Windows Server 2008 a Controladores de dominio, mover los roles (FSMO) y luego dar de baja los Windows Server 2003 que sean Windows Server 2003

Se Aplica cuando:
Cuando la actualización in-place no puede hacerse por temas de hardware limitado.
Cuando se quiere conservar la estructura de AD actual, pero hacer los DC desde cero.

Detalles de cómo hacer una transición de Controladores satisfactoriamente

Como primer paso debemos asegurarnos que el dominio y los DC estén funcionando correctamente. Que debemos verificar entonces:

Replicacion de AD (replmon  y repadmin )
Verificar de cumplir con los requisitos de Parches  (Windows Server 2003 SP1)
Verificar con MAP Microsoft Assessment and Planning Solution Accelerator      
Que tengamos copia de seguridad de los DC GC y del System State del dominio Actual.
Tener en claro de estructura de dominio
Tener documentado Roles FSMO, Sitios, GC, estructura de DNS y medir posibles impactos.

Antes de promover el primer controlador de dominio de Windows Server 2008 debemos preparar nuestro esquema de Active Directory para tal fin.

Para tal fin debemos ejecutar el adprep.exe 

adprep.exe /forestprep 
En el forest donde queremos agregar el nuevo DC basado en Windows Server 2008 y debe ejecutarse sobre el rol de Schema Master. Para esta ejecución debemos ser miembros de Enterprise Admins group, Schema Admins group y Domain Admins group del dominio del rol de schema master

adprep.exe /domainprep
En el dominio sobre el cual vamos a agregar el nuevo DC basado en Windows Server 2008 y lo ejecutaremos sobre el rol de Infrastructure Master

adprep.exe /domainprep /gpprep
Solo si estamos haciendo la actualizacion de un dominio basado en Windows 2000 Server SP4, esto agrega la funcionalidad de Resultant Set of Policy (RSOP) al dominio y lo ejecutamos sobre el rol de Infrastructure Master
Mas información KB94798

adprep.exe /rodcprep
sobrel el rol deDomain Naming Master, solo si planeamos poner RODC

Debemos verificar el adprep.log  (%SystemRoot%\System32\Debug\Adprep\Logs) y verificar que los cambios en el esquema se repliquen correctamente a todo el forest. Podemos usar el replmon y repadmin. Tambien ver los codigos de error en caso que sea necesario - Codigos de Error del ADPrep

Dependiendo del tipo de arquitectura de AD puede tardar de 15 min a horas.

Agregando nuestro Primer Controlador de Dominio basado en Windows Server 2008 

Una vez que tenemos el esquema listo, podemos promover nuestro primer Windows Server 2008 como controlador de dominio.

Tendremos que tener una instalación limpia de Windows Server 2008, ya unido al dominio previamente.
Antes de comenzar con la instalación de AD, debemos planificar y estandarizar nuestro Server.

Parametros de Memoria recoemndados para un DC
Particionar volumenes para separar SYSVOL, Bases y Logs del Active Directory.
Instalacion de Parches al dia
Actualizacion de Drivers, Firmware y BIOS

 Luego recien ejecutamos un DCPromo.exe, seleccionamos que sea un controlador adicional al dominio que ya existe.
Seleccionamos y Documentamos una clave compleja para Directory Services Restore Mode (DSRM).

Luego de reiniciar debemos verificar que tenga las carpetas NETLOGON y SYSVOL compartidas y que este replicando el AD correctamente.

También debemos verificar los siguientes logs para verificar que este todo ok.

DCPromo.log (dentro de %SystemRoot%\Debug, ahi estarán todos los eventos de creación y remoción de AD, SYSVOL y Servicios)
DCPromoui.log (%SystemRoot%\Debug los eventos del lado de la interfaz grafica)

Luego podemos ir agregando los demás controladores adicionales a través de forma manual o usando instalación desatendidas

Movimientos de Roles y GC

Antes de dar de baja los Controladores de dominios basados en Windows Server 2003, debemos mover los roles de FMSO desde la interfaz grafica usando las recomendaciones KB223346

En caso de tener múltiples dominios, tener en cuenta que no debemos juntar los roles de Infrastructure Master (FSMO) con Global Catalog o en todo caso hacer Global Catalog a todos los DCs.

En caso que exista una organización de Exchange Servers dentro del forest, debemos reiniciar los controladores de dominio luego que son puestos como Global Catalog, debido a que los Exchange Servers consultan vía MAPI y es necesario reiniciar para que el GC funcione con estos requerimientos.

Para verificar los roles podemos usar el Replmon o ejecutar netdom.exe query fsmo

Despromoviendo los Controladores de Windows Server 2003

Dar de baja los controladores de dominio de Windows Server 2003, luego de ya tener los nuevos controladores de dominio basados en Windows Server 2008, es una tarea simple, ejecutar el DCPromo.exe, pero debemos verificar otros servicios esenciales para no tener impacto

                DNS, verificar que la zona de DNS del dominio este replicada a los nuevos Controladores
                Verificar que los clientes y todos los Servidores apunten correctamente a los nuevos DNS
                Verificar en el caso de tener Exchange Servers que tengan el AD Access los nuevos GC y DC

Antes de ejecutar finalmente el DCPRomo.exe y remover completamente los DC basados en Windows 2003 como experiencia personal yo los mantengo apagados 3 dias, luego si durante el periodo de apagado no hay impactos se despromueven directamente.

Ver Active Directory Installation and Removal Issues

Ahora que todos los DCs del dominio son Windows Server 2008, podemos aprovechar y activar todos los nuevas ventajas de Active Directory.

                Replicas del SYSVOL mejoradas, basadas en DFS-R
                RODC (domain controler solo lectura
                Administración de claves de forma mas granular (Fine-grained password policies)
                Auditoria más completa, sobre inicio de sesión, intentos fallidos etc.

Para obtener algunas o todas estas funcionalidades debemos pasar el modo de operacion de nuestro dominio y bosque (forest functional level) a  Windows Server 2008 functional level.

Link Informativos Adicionales