Migração de Active Directory 2000 para 2008

 
Vinícius Ramos Apolinário
MCSE - MCITP - MCT
Abril 2010

Tecnologias
Microsoft Active Directory
Windows 2000 Server
Windows Server 2008

Sumário
Neste artigo veremos como atualizar o Active Directory do Windows 2000 Server para o Windows Server 2008.

Conteúdo
Ambiente para migração
Verificando o ambiente
Preparando o ambiente para Domain Controller Windows 2008
Promovendo o Windows Server 2008 à Domain Controller
Validando a promoção do Domain Controller Windows Server 2008
Iniciando o processo de remoção do Windows 2000 Server
Despromovendo Domain Controller Windows 2000 Server

Introdução
Com o fim do suporte ao Windows 2000 em julho de 2010, tornou-se vital atualizar os servidores para uma versão mais nova. O
Active Directory é um dos serviços que está diretamente relacionado ao Sistema Operacional instalado nos Domain Controllers.
Abaixo veremos os passos que devem ser seguidos para que a atualização ocorra de forma correta.

Ambiente para migração

Antes de iniciar qualquer configuração, é preciso entender como será feita a migração. A migração do Active Directory não deve
ser feita “in-place”, ou seja, fazendo a instalação do Windows Server 2008 no mesmo servidor. É preciso ter um servidor
paralelo que irá receber o Windows Server 2008 e todas as funções do(s) antigo(s) controlador(es) de domínio devem ser
passadas para este novo servidor. Não há problemas, porém, em instalar o servidor paralelo em plataforma x64 (64 bits), uma
vez que o Active Directory não é afetado pela plataforma do servidor Domain Controler.

Verificando o ambiente
Para que seja possível verificar o ambiente é recomendável instalar o Windows 2000 Suporte Tools, que pode ser encontrado no
CD de instalação do Windows 2000 na pasta Drive:\Support\Tools, e traz diversas ferramentas de linha de comando que podem
ser utilizadas na administração do servidor.

O primeiro item a ser verificado é o nível funcional do domínio. O nível funcional coloca um limite mínimo de Sistema
Operacional para novos Domain Controllers, além de permitir que novas funcionalidades sejam implementadas. Para fazer esta
verificação, abra a console Active Directory Users and Computers e abra as Propriedades do domínio. Será exibida uma tela com
o nível funcional atual. É preciso elevar o nível funcional do domínio caso este não esteja no Modo Nativo, conforme imagem
abaixo:

Depois de verificar o nível funcional do domínio, é preciso verificar a versão do Schema do Active Directory. O Schema traz as
informações de Classes e Atributos que estarão disponíveis para utilização pelo serviço de diretório. Cada versão de Sistema
Operacional traz mudanças no Schema do Active Directory, assim como aplicações que são incorporadas, como o Exchange
Server e OCS Server. Para verificar a versão do Schema abra o prompt de comando e execute o comando “schupgr.exe”. A
seguinte informação deve ser exibida:

É possível verificar pela informação exibida que a versão do Schema é a 13. Verifique a tabela abaixo para entender o que a
versão significa:

Versão Sistema Operacional suportado pelo Schema

13 Windows 2000 Server
30 Windows Server 2003 (com ou sem SP1 e SP2)
31 Windows Server 2003 R2
44 Windows Server 2008

O valor 13 acima indica que, até o momento, só são suportados Domain Controllers Windows 2000 Server.

Outro ponto importante para verificar são os Mestres de Operações do Active Directory (FSMO). Os mestres de operações
executam funções exclusivas, tanto no domínio quanto na floresta do Active Directory. É importante verificar quem são os
Mestres de Operações pois serão necessárias ações no Schema Master e Infrasctructure Master. Para saber quais Domain
Controllers são os Mestres de Operações, execute a linha de comando “NETDOM QUERY FSMO” no prompt de comando. A
informação a seguir será exibida:

Neste caso, todas as funções estão sendo executadas no Domain Controller “DC-SRV2000”.

Preparando o ambiente para Domain Controller Windows 2008

Agora que temos todas as informações necessárias, podemos iniciar a preparação do Active Directory para receber o primeiro
Domain Controller Windows Server 2008. É preciso inserir a mídia do Windows Server 2008 no Domain Controller Windows 2000
Server para executar os comando de preparação. No seu Schema Owner, execute o comando
“Drive:\sources\adprep\adprep.exe /forestprep", conforme imagem abaixo:

Verifique a informação de que todos os Domain Controllers Windows 2000 Server devem ter o Service Pack 4 aplicado. Para
verificar esta informação, abra o Active Directory Users and Computers. Vá até a OU Domain Controllers, abra as propriedades
das contas de computador, e clique na aba Sistema Operacional. Se todos os Domain Controllers Windows 2000 Server já
estiverem com o Service Pack 4, digite c no prompt de comando e pressione Enter para continuar.
Neste momento os arquivos necessários estão sendo copiados e instalados para que a versão do Schema seja atualizada para a
versão 44. Após a conclusão, uma mensagem de sucesso é exibida. Neste momento, poderia ser executado o comando
“Drive:\sources\adprep\adprep.exe /rodcprep”, caso o nível funcional de domínio já estivesse em Windows Server 2003. Não
será possível instalar RODC’s (Domain Controllers somente leitura) enquanto houverem Domain Controllers Windows 2000
Server.

No seu Infrastructure Owner, execute o comando “Drive:\sources\adprep\adprep.exe /domainprep /gpprep”. Veja que o
parâmetro /gpprep só se faz necessário quando a migração é do Windows 2000 Server. Caso a migração seja feita de um
Windows Server 2003, este parâmetro não será necessário. A seguinte tela será exibida:

Para garantir que a alteração do Schema foi realizada com sucesso, verifique a versão novamente. Desta vez a informação deve
ter sido alterada para versão 44. Para finalizar a preparação do ambiente, faça a instalação do servidor Windows Server 2008
que irá ser um novo Domain Controller para o domínio.

Promovendo o Windows Server 2008 à Domain Controller

Depois de instalar e atualizar o Windows Server 2008, você pode iniciar a configuração do mesmo para que este seja promovido
à Domain Controller. É preciso antes, porém, configurar o endereço IPv4 deste servidor, inserindo como DNS preferêncial o
endereço do Domain Controller e DNS Server existênte.

Para iniciar a promoção, abra o Server Manager e clique em Roles. Clique em Add Roles e faça a instalação da opção Active
Directory Domain Services. Depois de instalar a função de Active Directory Domain Services, você pode iniciar o assistente de
instalação do Active Directory.

Marque a opção de usar o modo de instalação avançada. Durante a instalação você será solicitado a informar se a instalação é
de um novo domínio ou de um domínio existênte. No caso, faremos a instalação de um novo Domain Controller para um domínio
existênte, conforme imagem abaixo:

Após, você deverá indicar o nome do domínio que este Domain Controller irá fazer parte e fornecer as credenciais de Domain
Admin. deste domínio. Siga o assistente confirmando o domínio que este Domain Controller irá ingressar. Clique em Sim para
continuar na informação de que não é possível instalar um RODC até que o parâmetro correto seja inserido.

Selecione o site ao qual este Domain Controller fará parte e os serviços que este Domain Controller irá hospedar. Caso este seja
o único Domain Controller que irá resultar da migração, é importantíssimo que ele tenha as funções de DNS Server e Global
Catalog. Caso seja apresentada uma mensagem de que há um IP assinalado dinâmicamente, confirme se o endereço IPv4 está
configurado de forma fixa e o servidor DNS preferêncial é o Domain Controller existente. Em caso positivo, a mensagem deve
fazer referência ao IPvpv6 e pode ser ignorada.

Siga o assistênte informando se os dados serão replicados através da rede ou mídia previamente configurada, o Domain
Controller que será utilizado para replicar as informações e as informações de local de armazenamento do Banco de Dados do
Active Directory, assim como os arquivos de Log e a pasta SYSVOL.
Insira a senha do modo de recuperação do serviço de diretório. Esta senha deve ser documentada para que em caso de
restauração de backup do AD, não ocorra nenhum problema. Revise as informações e clique em Next para iniciar a promoção.
Após a conclusão da promoção, será necessário reiniciar o servidor para que os serviços sejam iniciados corretamente e todas as
configurações do domínio sejam aplicadas.

Validando a promoção do Domain Controller Windows Server 2008

Para validar a promoção à Domain Controller e a replicação dos dados do Active Directory, abra a console do Active Directory
Users and Computers e verifique se OUs, Usuários, Computadores e demais objetos foram replicados corretamente, conforme
imagem abaixo:

Verifique se o Domain Controller foi inserido no site do Active Directory corretamente e faça a inclusão ou remoção de alguns
objetos para garantir que a replicação está ocorrendo corretamente. Verifique se as Zonas DNS, direta e reversa, foram
migradas abrindo a console do DNS Server no Windows Server 2008.

Verifique, também, se as GPOs foram migradas corretamente através do Group Policy Management, conforme imagem abaixo:

Por fim, verifique o Event Viewer e veja se algum evento que indica algum erro no Active Directory ou algum evento que merece
atenção no servidor.

Neste momento, os Domain Controllers estão trabalhando em conjunto e replicando as informações entre sí.

Iniciando o processo de remoção do Windows 2000 Server

Após constatar que os Domain Controllers estão co-existindo corretamente, é possível iniciar o processo de remoção do(s)
Domain Controller Windows 2000 Server. Isso consiste em analisar todos os serviços que atualmente são executados pelo
servidor Windows 2000 e transferí-lo para o novo servidor. É preciso verificar, por exemplo, serviços como DHCP, File Server e
etc.

Um dos principais pontos que deve ser observado é que os Mestres de Operações estão sendo executados por Domain
Controllers Windows 2000 Server. Para efetuar a transferência dos Mestres de Operações é possível utilizar o NTDSUtil. O
NTDSUtil é uma ferramenta de linha de comando que auxilia nas configurações do Active Directory e de seu banco de dados.

Para utilizar o NTDSUtil, abra o prompt de comando e digite o comando ntdsutil. Ao executar o NTDSUtil é possível transferir os
Mestres de Operações. Para isso, digite os seguintes comandos:
- roles
- connections
- connect to server (nome do servidor W2008)
- quit

Até este ponto, o NTDSUtil está conectado ao servidor para onde se quer efetuar a transferência dos Mestres de Operações. A
transferência de cada uma das funções é feita com os seguintes comandos:

- transfer infrastructure master;

- transfer naming master;
- transfer pdc;
- transfer rid master;
- transfer schema master.

Ao executar os comandos acima, confirme a transferência na caixa de diálogo que é exibida, conforme imagem abaixo:

Depois de transferir os Mestres de Operações, execute novamente o comando “NETDOM QUERY FSMO” para confirmar se a
transferência ocorreu corretamente, conforme imagem abaixo:

O próximo passo para a remoção do Windows 2000 Server é indicar o novo servidor DNS para os clientes da rede interna. Altere
a configuração do servidor DHCP para indicar o endereço do novo servidor Windows 2008 como DNS preferêncial dos clientes.
Verifique também, se o servidor Windows Server 2008 que tem a função de DNS Server tem permissão no Firewall para efetuar
consultas na Internet.

Despromovendo Domain Controller Windows 2000 Server

Depois que todos os serviços foram transferidos para o Domain Controller Windows Server 2008, é possível remover totalmente
o Domain Controller Windows 2000 Server. Para que a função de Domain Controller seja corretamente removida, é preciso
utilizar o comando DCPROMO para despromover este Domain Controller do domínio.

Após iniciar o assistênte de instalação do Active Directory em um Domain Controller que também é Global Catalog, você é
notificado de que é preciso manter pelo menos um Domain Controller que seja Global Catalog (Recomendação: No mínimo 1 por
site) e pode ignorar a mensagem pois o Domain Controller Windows Server 2008 foi configurado como Global Catalog.
A seguir é preciso verificar se a opção “Este é o último Controlador de Domínio para o domínio” está desmarcada. Desta forma, o
Domain Controller Windows 2000 Server será despromovido, mas o domínio continuará ativo nos outros Domain Controllers.

É preciso também, re-inserir a senha do administrador local, que será usada para efetuar logon após a despromoção do Domain
Controller. Ao final da desinstalação, reinicie o servidor para concluir a operação.

É importante verificar se todos os registros deste servidor foram removidos do Active Directory Users and Computers, Sites and
Services e até mesmo do DNS.

Conclusão
Neste artigo vimos como efetuar a substituição de um Domain Controller Windows 2000 Server para Windows Server 2008. É
importante seguir os passos apresentados neste artigo para ter certeza que sua substituição não irá afetar os usuários.

Sobre o Autor
Vinícius é formado em Sistemas de Informação e atualmente trabalha como Administrador de Redes em um parceiro Microsoft,
além de ministrar treinamentos na Ka Solution como MCT. Trabalha com produtos Microsoft há mais de 6 anos e mantém o Blog
ADM de Redes (http://blogadmderedes.spaces.live.com) onde publica artigos, dicas e informações sobre o mundo dos
Administradores de Redes Microsoft. Tem as certificações MCP, MCTS, MCSA +S, MCSE +S, MCITP e MCT.