Domain Upgrade – Windows 2008 RTM


Jeg valgte her i weekenden, at opgradere mit eksisterende test domæne “win.local” (Windows 2003) til RTM versionen af Windows 2008.
Af nye spændende features i Windows 2008 kan nævnes:
Read-Only Domain Controllers (RODC) – Fine-Grained Password Policies – AD DS Auditing – Server Core – Group Policy (Preferences) – Network Access Protection mfl.
For mere info omkring de nye features se nedenstående link.
Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008:
http://www.microsoft.com/downloads/details.aspx?familyid=173E6E9B-4D3E-4FD4-A2CF-73684FA46B60&displaylang=en

Min plan for selve opgraderingen var som følger: Se også nedenstående link.
http://technet2.microsoft.com/windowsserver2008/en/library/9c91be5f-df14-40b2-b176-2b1852a51e611033.mspx?mfr=true

På de eksisterende Windows 2003 Domain Controllere, backup System State.
Hvis ikke det er gjort, så “raise domain and forest functional Level” til Windows 2003 (http://support.microsoft.com/kb/322692).
Kør følgende “Diagnostic tools” mod det eksisterende Windows 2003 domain (Netdiag – DCdiag – Repadmin – Gpotool – Event Viewer).
For repadmin kørte jeg kommandoen repadmin.exe /replsum /bysrc /bydest /sort:delta.
Udvid schema på den eksisterende Windows 2003 Schema Master DC. Kør Adprep /forestprep og vent til ændringerne er replikeret ud.
Kør Adprep /domainprep på den den eksisterende Windows 2003 Infrastructure Master DC.
Kør Adprep /rodc, hvis du ønsker at implementere Read-Only Domain Controllers.

Installer en ny Windows 2008 Std. member server med fast IP adresse. Jeg vælger her ikke at udføre en in-place upgrade.
Disable Antivirus og den indbyggede firewall.
Kør dcpromo /adv og vælg DNS og Global Catalog. Afslut med at genstarte serveren.

Installer DHCP og WINS service på den nye Windows 2008 DC. Disable DHCP for en kort periode.
Flyt FSMO rollerne til den nye Windows 2008 DC’er. Jeg valgte her at gøre det med et PowerShell script.
http://jravn.dk/?p=35
Eksporter DHCP databasen fra den eksisternede Windows 2003 DC/Server (http://support.microsoft.com/kb/325473).
Enable DHCP på den nye 2008 DC og importer den med samme kommando (netsh dhcp server import). Tilret Scope Options.
Disable DHCP servicen på den gamle DC/Server.
Move WINS databasen fra den gamle DC og over på den nye 2008 DC (http://support.microsoft.com/kb/875419/en-us)
Kør DCDIAG på den nye Windows 2008 DC og tjek eventloggen. Support Tools er nu inkluderet i Windows 2008.

Jeg havde en Enterprise Certificate Authority kørende på en af min eksisterende Windows 2003 DC’er.
Den havde til formål at udstede Maskine certifikater til VPN validering, samt Outlook Web Access.
Jeg ønskede at migrere den eksisterende CA over til den nye Windows 2008 DC og bibeholde mine public/private keys.
Måden jeg gjorde det på, var som følger:
Backup “Private key, and the certificate that the CA uses for digitally signing” fra den eksiterende  CA server.
http://technet2.microsoft.com/windowsserver/en/library/69e3aa8e-800c-435e-920a-f5eb2ac2a9ed1033.mspx?mfr=true
Afinstaller herefter CA på den gamle Windows 2003 DC. Afslut med at genstarte den.
Installer AD CS på den nye 2008 DC + CA Web Services. Vælg Enterprise CA. Genstart serveren.


Vælg “Use existing private key”.

Import herefter den tidligere lavet backup fil.

Nedenstående viser det importerede Rod Certifikat fra backup filen.

Angiv de brugere og computer objekter, som må connecte op mod den nye CA. Dette gælder for gruppen “Certificate Service DCOM Access”.

Angiv til sidst hvilke bruger og computer der kan anmode/Enroll et Computer eller Domain Controller Certifikat, udfra de indbyggede CA templates.

 

Installer nummer 2 Windows 2008 DC med DNS, WINS og Global Catalog.
Tilret DNS settings på de eksisterende servere, så de peger hen mod de nye Windows 2008 Domain Controllers.
Demote de eksisterende Windows 2003 DC’ere og luk dem ned. Tjek at de rydder op efter sig i DNS manageren.
Raise Domain and Forest functional level til Windows 2008.
http://technet2.microsoft.com/windowsserver2008/en/library/4e703a77-d9ba-4a26-b756-eba5499f15581033.mspx?mfr=true


Test de eksisterende systemer som er afhængig af Active Directory (Exchange 2003/2007 – Sharepoint – Antispam/LDAP  – Single Sign-on for Citrix Web Interface mfl.)
Afslut hele Domain upgrade processen med at migrere eksisterende ADM templates om til ADMX.

For mere info se nedenstående link.

Managing Group Policy ADMX Files Step-by-Step Guide – Create a Central Store.
http://msdn2.microsoft.com/en-us/library/bb530196.aspx#manageadmxfiles_topic6

Convert the existing ADM templates to ADMX and move them to the Central Store.
http://www.microsoft.com/downloads/details.aspx?familyid=0F1EEC3D-10C4-4B5F-9625-97C2F731090C&displaylang=en

Inside ADM and ADMX Templates for Group Policy.
http://www.microsoft.com/technet/technetmag/issues/2008/01/Layout/?loc=en&rss=http://www.microsoft.com/technet/technetmag/issues/2008/01/Layout/?loc=en

Comments are closed.