Migração de Active Directory 2000 para 2008

Vinícius Ramos ApolinárioMCSE - MCITP - MCTAbril 2010

Tecnologias
Microsoft Active DirectoryWindows 2000 ServerWindows Server 2008
Sumário
Neste artigo veremos como atualizar o Active Directory do Windows 2000 Server pa
ra o Windows Server 2008.
Conteúdo
Ambiente para migraçãoVerificando o ambientePreparando o ambiente para Domain Contro
ller Windows 2008Promovendo o Windows Server 2008 à Domain ControllerValidando a p
romoção do Domain Controller Windows Server 2008Iniciando o processo de remoção do Windo
ws 2000 ServerDespromovendo Domain Controller Windows 2000 Server
Introdução
Com o fim do suporte ao Windows 2000 em julho de 2010, tornou-se vital atualizar
os servidores para uma versão mais nova. OActive Directory é um dos serviços que está d
iretamente relacionado ao Sistema Operacional instalado nos Domain Controllers.A
baixo veremos os passos que devem ser seguidos para que a atualização ocorra de form
a correta.
Ambiente para migração
Antes de iniciar qualquer configuração, é preciso entender como será feita a migração. A mi
ração do Active Directory não deveser feita “in-place”, ou seja, fazendo a instalação do Wi
ws Server 2008 no mesmo servidor. É preciso ter um servidorparalelo que irá receber
o Windows Server 2008 e todas as funções do(s) antigo(s) controlador(es) de domínio d
evem serpassadas para este novo servidor. Não há problemas, porém, em instalar o servi
dor paralelo em plataforma x64 (64 bits), umavez que o Active Directory não é afetad
o pela plataforma do servidor Domain Controler.
Verificando o ambiente
Para que seja possível verificar o ambiente é recomendável instalar o Windows 2000 Sup
orte Tools, que pode ser encontrado noCD de instalação do Windows 2000 na pasta Driv
e:\Support\Tools, e traz diversas ferramentas de linha de comando que podemser u
tilizadas na administração do servidor. O primeiro item a ser verificado é o nível funci
onal do domínio. O nível funcional coloca um limite mínimo de SistemaOperacional para
novos Domain Controllers, além de permitir que novas funcionalidades sejam impleme
ntadas. Para fazer estaverificação, abra a console Active Directory Users and Comput
ers e abra as Propriedades do domínio. Será exibida uma tela como nível funcional atua
l. É preciso elevar o nível funcional do domínio caso este não esteja no Modo Nativo, co
nforme imagemabaixo: Depois de verificar o nível funcional do domínio, é preciso ver
ificar a versão do Schema do Active Directory. O Schema traz asinformações de Classes
e Atributos que estarão disponíveis para utilização pelo serviço de diretório. Cada versão
SistemaOperacional traz mudanças no Schema do Active Directory, assim como aplicações
que são incorporadas, como o Exchange
Server e OCS Server. Para verificar a versão do Schema abra o prompt de comando e
execute o comando “schupgr.exe”. Aseguinte informação deve ser exibida: É possível verifi
ar pela informação exibida que a versão do Schema é a 13. Verifique a tabela abaixo para
entender o que aversão significa: Versão Sistema Operacional suportado pelo Schema1
3 Windows 2000 Server30 Windows Server 2003 (com ou sem SP1 e SP2)31 Windows Ser
ver 2003 R244 Windows Server 2008 O valor 13 acima indica que, até o momento, só são s
uportados Domain Controllers Windows 2000 Server. Outro ponto importante para ve
rificar são os Mestres de Operações do Active Directory (FSMO). Os mestres de operaçõesexe
cutam funções exclusivas, tanto no domínio quanto na floresta do Active Directory. É imp
ortante verificar quem são osMestres de Operações pois serão necessárias ações no Schema Ma
r e Infrasctructure Master. Para saber quais DomainControllers são os Mestres de O
perações, execute a linha de comando “NETDOM QUERY FSMO” no prompt de comando. Ainformação
seguir será exibida: Neste caso, todas as funções estão sendo executadas no Domain Co
ntroller “DC-SRV2000”.
Preparando o ambiente para Domain Controller Windows 2008
Agora que temos todas as informações necessárias, podemos iniciar a preparação do Active D
irectory para receber o primeiroDomain Controller Windows Server 2008. É preciso i
nserir a mídia do Windows Server 2008 no Domain Controller Windows 2000Server para
executar os comando de preparação. No seu Schema Owner, execute o comando“Drive:\sour
ces\adprep\adprep.exe /forestprep", conforme imagem abaixo: Verifique a inform
ação de que todos os Domain Controllers Windows 2000 Server devem ter o Service Pack
4 aplicado. Paraverificar esta informação, abra o Active Directory Users and Comput
ers. Vá até a OU Domain Controllers, abra as propriedadesdas contas de computador, e
clique na aba Sistema Operacional. Se todos os Domain Controllers Windows 2000
Server jáestiverem com o Service Pack 4, digite c no prompt de comando e pressione
Enter para continuar.
Neste momento os arquivos necessários estão sendo copiados e instalados para que a v
ersão do Schema seja atualizada para aversão 44. Após a conclusão, uma mensagem de suces
so é exibida. Neste momento, poderia ser executado o comando“Drive:\sources\adprep\a
dprep.exe /rodcprep”, caso o nível funcional de domínio já estivesse em Windows Server 2
003. Nãoserá possível instalar RODC’s (Domain Controllers somente leitura) enquanto houv
erem Domain Controllers Windows 2000Server. No seu Infrastructure Owner, execute
o comando “Drive:\sources\adprep\adprep.exe /domainprep /gpprep”. Veja que oparâmetro
/gpprep só se faz necessário quando a migração é do Windows 2000 Server. Caso a migração s
feita de umWindows Server 2003, este parâmetro não será necessário. A seguinte tela será
exibida: Para garantir que a alteração do Schema foi realizada com sucesso, verifi
que a versão novamente. Desta vez a informação deveter sido alterada para versão 44. Par
a finalizar a preparação do ambiente, faça a instalação do servidor Windows Server 2008que
irá ser um novo Domain Controller para o domínio.
Promovendo o Windows Server 2008 à Domain Controller
Depois de instalar e atualizar o Windows Server 2008, você pode iniciar a configur
ação do mesmo para que este seja promovidoà Domain Controller. É preciso antes, porém, con
figurar o endereço IPv4 deste servidor, inserindo como DNS preferêncial oendereço do D
omain Controller e DNS Server existênte. Para iniciar a promoção, abra o Server Manage
r e clique em Roles. Clique em Add Roles e faça a instalação da opção ActiveDirectory Doma
in Services. Depois de instalar a função de Active Directory Domain Services, você pod
e iniciar o assistente deinstalação do Active Directory. Marque a opção de usar o modo d
e instalação avançada. Durante a instalação você será solicitado a informar se a instalação
ovo domínio ou de um domínio existênte. No caso, faremos a instalação de um novo Domain Co
ntroller para um domínioexistênte, conforme imagem abaixo: Após, você deverá indicar o n
ome do domínio que este Domain Controller irá fazer parte e fornecer as credenciais
de DomainAdmin. deste domínio. Siga o assistente confirmando o domínio que este Doma
in Controller irá ingressar. Clique em Sim paracontinuar na informação de que não é possíve
instalar um RODC até que o parâmetro correto seja inserido. Selecione o site ao qua
l este Domain Controller fará parte e os serviços que este Domain Controller irá hospe
dar. Caso este sejao único Domain Controller que irá resultar da migração, é importantíssim
que ele tenha as funções de DNS Server e GlobalCatalog. Caso seja apresentada uma m
ensagem de que há um IP assinalado dinâmicamente, confirme se o endereço IPv4 estáconfig
urado de forma fixa e o servidor DNS preferêncial é o Domain Controller existente. E
m caso positivo, a mensagem devefazer referência ao IPvpv6 e pode ser ignorada. Si
ga o assistênte informando se os dados serão replicados através da rede ou mídia previam
ente configurada, o DomainController que será utilizado para replicar as informações e
as informações de local de armazenamento do Banco de Dados doActive Director assim
como os ar uivos de Lo e a asta SYSVOL.
Insira a senha do modo de recuperação do serviço de diretório. Esta senha deve ser docu
mentada para que em caso derestauração de backup do AD, não ocorra nenhum problema. Re
vise as informações e clique em Next para iniciar a promoção.Após a conclusão da promoção,
cessário reiniciar o servidor para que os serviços sejam iniciados corretamente e to
das asconfigurações do domínio sejam aplicadas.
Validando a promoção do Domain Controller Windows Server 2008
Para validar a promoção à Domain Controller e a replicação dos dados do Active Directory,
abra a console do Active DirectoryUsers and Computers e verifique se OUs, Usuários
, Computadores e demais objetos foram replicados corretamente, conformeimagem ab
aixo: Verifique se o Domain Controller foi inserido no site do Active Director
y corretamente e faça a inclusão ou remoção de algunsobjetos para garantir que a replicação
está ocorrendo corretamente. Verifique se as Zonas DNS, direta e reversa, forammig
radas abrindo a console do DNS Server no Windows Server 2008. Verifique, também, s
e as GPOs foram migradas corretamente através do Group Policy Management, conforme
imagem abaixo: Por fim, verifique o Event Viewer e veja se algum evento que i
ndica algum erro no Active Directory ou algum evento que mereceatenção no servidor.
Neste momento, os Domain Controllers estão trabalhando em conjunto e replicando as
informações entre sí.
Iniciando o processo de remoção do Windows 2000 Server
Após constatar que os Domain Controllers estão co-existindo corretamente, é possível ini
ciar o processo de remoção do(s)Domain Controller Windows 2000 Server. Isso consiste
em analisar todos os serviços que atualmente são executados peloservidor Windows 20
00 e transferí-lo para o novo servidor. É preciso verificar, por exemplo, serviços com
o DHCP, File Server eetc. Um dos principais pontos que deve ser observado é que os
Mestres de Operações estão sendo executados por DomainControllers Windows 2000 Server
. Para efetuar a transferência dos Mestres de Operações é possível utilizar o NTDSUtil. ON
TDSUtil é uma ferramenta de linha de comando que auxilia nas configurações do Active D
irectory e de seu banco de dados. Para utilizar o NTDSUtil, abra o prompt de com
ando e digite o comando ntdsutil. Ao executar o NTDSUtil é possível transferir osMes
tres de Operações. Para isso, digite os seguintes comandos:
- roles- connections- connect to server (nome do servidor W2008)- quit Até este
ponto, o NTDSUtil está conectado ao servidor para onde se quer efetuar a transferênc
ia dos Mestres de Operações. Atransferência de cada uma das funções é feita com os seguinte
comandos: - transfer infrastructure master;- transfer naming master;- transfer
pdc;- transfer rid master;- transfer schema master. Ao executar os comandos acim
a, confirme a transferência na caixa de diálogo que é exibida, conforme imagem abaixo:
Depois de transferir os Mestres de Operações, execute novamente o comando “NETDOM Q
UERY FSMO” para confirmar se atransferência ocorreu corretamente, conforme imagem ab
aixo: O próximo passo para a remoção do Windows 2000 Server é indicar o novo servidor
DNS para os clientes da rede interna. Alterea configuração do servidor DHCP para ind
icar o endereço do novo servidor Windows 2008 como DNS preferêncial dos clientes.Ver
ifique também, se o servidor Windows Server 2008 que tem a função de DNS Server tem p
ermissão no Firewall para efetuarconsultas na Internet.
Despromovendo Domain Controller Windows 2000 Server
Depois que todos os serviços foram transferidos para o Domain Controller Windows S
erver 2008, é possível remover totalmenteo Domain Controller Windows 2000 Server. Pa
ra que a função de Domain Controller seja corretamente removida, é precisoutilizar o c
omando DCPROMO para despromover este Domain Controller do domínio. Após iniciar o as
sistênte de instalação do Active Directory em um Domain Controller que também é Global Cat
alog, você énotificado de que é preciso manter pelo menos um Domain Controller que sej
a Global Catalog (Recomendação: No mínimo 1 porsite) e pode ignorar a mensagem pois o
Domain Controller Windows Server 2008 foi configurado como Global Catalog.
A seguir é preciso verificar se a opção “Este é o último Controlador de Domínio para o dom
stá desmarcada. Desta forma, oDomain Controller Windows 2000 Server será despromovid
o, mas o domínio continuará ativo nos outros Domain Controllers. É preciso também, re-in
serir a senha do administrador local, que será usada para efetuar logon após a despr
omoção do DomainController. Ao final da desinstalação, reinicie o servidor para concluir
a operação. É importante verificar se todos os registros deste servidor foram removid
os do Active Directory Users and Computers, Sites andServices e até mesmo do DNS.
Conclusão
Neste artigo vimos como efetuar a substituição de um Domain Controller Windows 2000
Server para Windows Server 2008. Éimportante seguir os passos apresentados neste a
rtigo para ter certeza que sua substituição não irá afetar os usuários.
Sobre o Autor
Vinícius é formado em Sistemas de Informação e atualmente trabalha como Administrador de
Redes em um parceiro Microsoft,além de ministrar treinamentos na Ka Solution como
MCT. Trabalha com produtos Microsoft há mais de 6 anos e mantém o BlogADM de Redes
(http://blogadmderedes.spaces.live.com) onde publica artigos, dicas e informações so
bre o mundo dosAdministradores de Redes Microsoft. Tem as certificações MCP, MCTS, M
CSA +S, MCSE +S, MCITP e MCT.