Domain Upgrade – Windows 2008 R2 Release Candidate

Der kommer en lang række nye AD features i Windows 2008 R2.
Nedenstående lister et par stykker af dem (relateret til AD) med link til en mere detaljeret beskrivelse.

Active Directory Recycle Bin:
Man kan nu restore AD objekter uden nedetid. Denne funktion kræver R2 forest functional level.
http://technet.microsoft.com/en-us/library/dd391916.aspx

Active Directory PowerShell and Windows PowerShell™ cmdlets:
Disse funktioner vil erstatte command line og give native support for AD management via Powershell.
Der er p.t ca. 85 Active Directory cmdlets.
http://technet.microsoft.com/en-us/library/dd378783.aspx

Active Directory Administrative Center:
Er det nye MMC Management Console , som bliver afløseren for ADUC.
Det giver et bedre overblik og man har muliged for at tilrette det, så det passer til ens dagelige drift opgaver.
Det baserer sig på de nye PowerShell cmdlets.
http://technet.microsoft.com/en-us/library/dd378856.aspx

Active Directory Best Practices Analyzer
http://technet.microsoft.com/en-us/library/dd378893(WS.10).aspx

Jeg vil i denne blog-post fokusere på opgraderingen af mit eksisterende Windows 2008  til Windows 2008 R2 RC.
For god ordens skyld, skal man ikke følge denne blog-post i sit eget produktionsmiljø, før Windows 2008 R2 er i RTM.
Første step er at schema-udvide mit eksisterende AD til version 47.
Jeg kører her nedenstående kommandoer på min FSMO DC (WIN-DC-001).

adprep.exe /forestprep (Schema Master)
adprep.exe /domainprep /gpprep (Infrastructure Master)
adprep.exe /rodcprep (Valgfri – Infrastructure Master)

Med kommandoen “schupgr” kan jeg vertificere at schema udvidelsen er korrekt.
Alternativt kan jeg benytte: “dsquery.exe * “CN=Schema,CN=Configuration,DC=win,DC=local” -scope base -attr objectversion”
http://msdn.microsoft.com/en-us/library/cc200395.aspx

 

Jeg  Installerede herefter den første Windows 2008 R2 (WIN-DC01) og kørte “dcpromo /adv” (DNS + GC).
WIN-DC01 er en såkladt swing server, som bliver demotet, så snart jeg har fået WIN-DC-001 og WIN-DC-002 op på Windows 2008 R2 platformen.
Jeg afviklede herefter den nye “Best Practice Analyzer” (BPA), som default følger med Windows 2008 R2.
Den bliver afviklet under Server Manager – Roles – Active Directory Domain Services.
Jeg kørte den mod min nye 2008 R2 DC, for at sikre mig, at den nuværende rolle (AD DS) fungerede korrekt.

  

De Roller der p.t understøttes af “Windows 2008 R2 BPA”, er som følger:
Active Directory Domain Services
Active Directory Certificate Services
DNS Server
Active Directory Rights Management Services (AD RMS)
Remote Desktop Services
Web Server (IIS)

I BPA GUI mode er det kun muligt at scanne en rolle af gangen.
Med PowerShell cmdlets, skulle man kunne scanne flere af gangen.
Jeg fik det ikke til at virke via PowerShell, idet jeg ikke kunne finde BPACmdlet (Get-Help BPACmdlet -full).
Jeg prøvede også at finde den via kommandoen “Get-Command -CommandType Cmdlet”.
http://technet.microsoft.com/en-us/library/dd378893.aspx

Næste step var så at lave en backup af min Enterprise Root CA, som jeg senere vil restore på en ny Windows 2008 R2 DC med samme navn.
http://support.microsoft.com/kb/298138

Flytning af DHCP sker i henhold til nedesntående process.
Eksport DHCP fra WIN-DC-001 (Windows 2008)
netsh DHCP server export c:MasterDHCPdb all

Import DHCP til WIN-DC01 (Windows 2008 R2).
Installer DHCP server – Stop DHCP service – Slet dhcp.mdb – Start DHCP service.
netsh DHCP server import c:MasterDHCPdb all
http://support.microsoft.com/kb/962355/en-us

Jeg ønsker herefter at flytte FSMO rollerne fra WIN-DC-001 til WIN-DC01 (R2). Jeg sikre mig forinden at det WIN-DC-001 der har alle rollerne.
Dette gøres normal med “netdom query fsmo”. Men det kan også gøres via PowerShell.
Samtidig fik jeg også testet den nye PowerShell GUI (ISE)
http://technet.microsoft.com/en-us/library/dd378784.aspx

Jeg kunne ikke finde en native AD cmdlets, der kunne liste FSMO rollerne.

Flytning af FSMO rollerne over til min nye R2 DC (WIN-DC01), udføres via NTDSUTIL, som følger:
Bermærk her at kommandoen “activate instance ntds” er ny for Windows 2008 og R2, samt “domain naming master” nu er ændret til “naming master”.

ntdsutil
activate instance ntds
roles
connections
connect to server WIN-DC01
q
Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
q
q

Jeg Installerer nu en ny R2 DC’er (WIN-DC-002), som også er DNS + GC.
Jeg demoter herefter min oprindelige windows 2008 DC’er (WIN-DC-001) og slukker den.
Jeg havde forinden taget en backup af certifikat rollen.

Jeg er nu klar til at installere en min nye WIN-DC-001 R2 dc’ere, som skal hoste FSMO rollerne, samt “Enterprise CA Service Provider.
Jeg restorer “Enterprise CA” i henhold til nedenstående KB artikel. Det er vigtigt at den nye CA server har det samme computername, som den tidligere CA server.
http://support.microsoft.com/kb/298138

Jeg vælger herefter at flytte FSMO rollerne via AD cmdlets “Move-ADDirectoryServerOperationMasterRole”. Jeg afvikler nedenstående fra WIN-DC-001.
Start Active Directory PowerShell (Run as administrator). Kør nedenstående kommando.
Move-ADDirectoryServerOperationMasterRole -Identity WIN-DC-001 DomainNamingMaster,InfrastructureMaster,RIDMaster,PDCEmulator,SchemaMaster
Nedenstående billeder viser at FSMO rollerne bliver flyttet.


 

Flyt Windows Time Service sker med nedenstående kommandoer:
w32tm /config /manualpeerlist:”0.dk.pool.ntp.org 1.dk.pool.ntp.org 2.dk.pool.ntp.org” /syncfromflags:manual
w32tm /resync /nowait /rediscover

Kør net stop w32time + net start w32time. Tjek eventloggen og se at den laver time-sync uden fejl.
http://jravn.dk/?p=86

Jeg sikre mig at “Domain Controllers gruppen er medlem af “Certificate Service DCOM Access gruppen”.

 

Jeg demoter herefter WIN-DC01.
Jeg schedulerer backup for mine to nye DC’er WIN-DC-001/002.
wbadmin.exe start backup -backuptarget:\WIN-FIL-001DC_Backup -allCritical -VSSfull -quiet

Jeg afslutter hele processen med at opgradere domain og forest functional level til Windows 2008 R2.
Det vælger jeg, at gøre inde fra “Active Directory Administrative Center”.






Comments are closed.