Estaba pensando en el tema de actualización de Dominios Active Directory y sobre todo en qué posibilidades de actualización desde versiones anteriores podrían hacerse
Tengamos en cuenta que todavía hay en funcionamiento versiones anteriores, inclusive algunas con Windows Server 2003 R2, así que decidí probar
La partida será desde un ambiente de Dominio Windows Server 2003 R2 con nivel funcional Windows 2003.
Y también con clientes “viejos”, en mi caso, al Dominio Windows Server 2003 R2 le he podido agregar sin problemas máquinas con los siguientes sistemas operativos, y sin actualizaciones posteriores a las nombradas:
- Windows XP SP3 ………………(CL1)
- Windows 7 x86 SP1 ….………..(CL2)
- Windows 8 x86 ……………..….(CL3)
- Windows 8.1 ……………………(CL4)
- Windows Server 2012 R2 …….(DC1)
Resumiendo, armé un Controlador de Dominio del Dominio “ad.guillermod.com.ar” con Windows Server 2003 R2 y nivel funcional Windows 2003
Luego agregué al Dominio a los clientes de acuerdo a lo nombrado antes, y reitero nada anormal ni problemático
También, para verificar que hubiera otro tipo de problemas creé cuatro usuarios y pude iniciar sesión con los mismos en los cuatro sistemas operativos de escritorio, además de incluirlos en un grupo Global, que he incluido en un grupo Domain Local, al cual le he dado permisos sobre una carpeta compartida
El objetivo es promover al servidor Windows Server 2012 R2 como Controlador de Dominio adicional en el Domiino existente y verificar si hubiera algún problema
Como ya lo hemos comprobado con Windows Server 2012, lo promoveré a Controlador de Dominio en forma directa sin haber ejecutado previamente ADPREP. No mostraré las capturas de pantallas ya que supongo que nadie tendrá problemas ya que lo hemos visto en este sitio muchas veces, sólo las que mencionan la actualización de Bosque (Forest) y Domain (Dominio)
Como podemos observar, nuestro Controlador de Dominio con Windows Server 2012 R2 se ha agregado perfectamente y si errores al Domino con funcionalidad Windows 2003
Para finalizar la actualización, deberíamos:
- Configurar a los clientes para que usen el nuevo DNS (DC1)
- Apagar durante un tiempo el Controlador de Dominio con Windows Server 2003 R2 (DC0) y verificar que todo funcione correctamente (Más abajo hablaremos de transferir los “FSMO Roles”)
- Poner nuevamente en la red a DC0 y despromoverlo, pasándolo a servidor miembro (Ver nota más abajo sobre los “FSMO Roles”)
- Sacar a DC0 del Dominio y eliminar su cuenta en el directorio
Veamos un poco el tema de transferir los roles FSMO, por si alguien tiene dudas o quiere repasar conocimiento de los mismos, puede utilizar los siguientes enlaces:
Maestros de Operaciones (FSMO Roles) – Parte 1
Maestros de Operaciones (FSMO Roles) – Parte 2
En general casi todos los escritos sobre el tema nombran transferir los “FSMO Roles” antes de quitar la funcionalidad de Controlador de Dominio, pero también es importante tener en cuenta que cuando se despromueve un Controlador de Dominio que tiene algunos de los “FSMO Roles” el sistema se encargará de transferirlos automáticamente a otro Controlador de Dominio
Si hubiera más de dos, y uno deseara elegir a cual otro hará la transferencia, entonces es correcto hacerlo antes de la despromoción
Pero como en nuestro caso, simplemente quedará un único Controlador de Dominio, lo anterior no tiene mucho sentido. Dejaré que la trasnferencia se haga en forma automática
Entonces, comencemos cambiando a los clientes, e inclusive el nuevo Controlador de Dominio (DC1) para que apunte como DNS sólo a sí mismo. Normalmente esto lo haríamos a través de DHCP. Antes de hacer esto verificar que la información de DNS se haya replicado
Luego apagamos al “viejo” Controlador de Dominio y verificamos que todo siga funcionando correctamente. Por ejemplo inciando sesión en cada uno de los clientes con algún usuario que nunca antes haya iniciado sesión para evitar el tema “cached credentials”
Un comentario al respecto. En mi caso apagué DC0, e inicié sesión en cada cliente con una cuenta nueva, y demoró bastante ¿por qué es esto? Fundamentalmente porque los clientes tenían el canal seguro de comunicación armado contra un Controlador de Dominio que estaba apagado. Si reinician a los clientes todo es más rápido. Al que le costó más tiempo fue a cliente Windows 8, y al Windows XP. Pero finalmente todos los usuarios pudieron iniciar sesión
Así que el próximo paso, es volver a poner en línea a DC0 y despromoverlo como Controlador de Dominio, luego sacarlo a grupo de trabajo (en realidad no es necesario, lo hago sólo de “prolijo”), y eliminar su cuenta en el Dominio
Como hemos podido ver, Windows Server 2012 R2 nos otorga la posibilidad de actualizar aún desde un Dominio Windows Server 2003 con clientes XP
Y como si fuera poco, en un Dominio con Windows Server 2012 R2 como Controlador de Dominio aún podemos tener clientes XP
Un tema adicional que también habría que ver es la compatibilidad con otras aplicaciones
Así que los que aún estén con sistemas “viejos”, yo no dejaría pasar la oportunidad, yo dudaba que se mantuviera la compatibilidad de actualización desde Windows 2003 / XP, pero observemos que aún estamos a tiempo
WindowServer 
Comentarios
Excelente post mi amigo, yo voy a probar hacerlo y veremos que pasa. Avísame cuando estés conectado para ejecutar la migración y así tenerte en línea para las consultas jaajajjaja
No, no, soporte no :)
Guillermo he seguido tu tutorial, creo que bien, pero me da un error al intentar promover el windows 2012 a controlador de dominio. Me aparece un mensaje diciendo que el nivel funcional de windows es 2000 y en realidad es 2003. Que puedo hacer? Gracias!
Hola Francisco,
Para poder actualizar un dominio a W2012 o W2012R2, los mínimos requeridos niveles funcionales de Dominio y Bosque son W2003
Para poder elevar el nivel funcional de un Dominio la condición es la versión de sistema operativo de los Controladores de Dominio, no importa el de los servidores miembro o cliente
Si todos los Controladores de Dominio de tu Dominio son por lo menos W2003 o superior, puedes elevar el nivel funcional del mismo.
En Usuarios y Equipos de AD, con botón derecho sobre el Dominio te aparece la opción («Raise Domain Functional Level»). Este cambio debe replicarse a todos los Controladores del Dominio
Una vez hecho lo anterior, y esperando que se replique el cambio a todos los Controladores de Dominio del Bosque (si tuvieras más de un Dominio) también se puede elevar el nivel funcional del Bosque
Lo haces con botón derecho sobre la «raíz» de la consola Dominios y Confianzas de AD («Raise Forest Functional Level»)
hola, que tal, una consulta tengo windows server 2003 standard y cuando realizo la migracion a windows server 2012 standard, me sale el mensaje de EL NIVEL FUNCIONAL DEL BOSQUE ES WINDOWS 2000, ya he revisado los niveles del bosque y dominio y los dos estan elevados su nivel funcional a windows 2003, no encuentro cual es el problema
Hola Renzo, revisa otra vez porque son dos cosas diferentes. El nivel funcional del Bosque lo puedes ver al tratar de elevar el nivel funcional en «Dominios y Confianzas de AD» ¿seguro que ahí está 2003? :)
¿Es necesario que el servidor DNS esté en el mismo controlador de dominio? He leido que microsoft recomienda tenerlos por separados AD y DNS. Al migrar el AD 2003 server a un 2012 Server, he dejado los servicios DNS y DHCP en el 2003 por lo que en el AD 2012 no tengo DNS Server ni DHCP. Ahora tengo el 2003 como controlador de dominio y el 2012 con todos los roles y el catalogo. Mi pregunta es si le hago un demote al 2003, ¿pasaría algo con los servicios DNS y DHCP?
Hola Nacho, no es requerido que los Controladores de Dominio sean también DNS, pero es altamente recomendable. No sé dónde puedes haber leído que Microsoft recomiende separarlos, porque yo creo que es lo contrario; cuando promueves un servidor a Controlador de Dominio por omisión está marcado que también tenga el servicio DNS
La recomendación, para tener tolerancia a fallas es tener más de un Controlador de Dominio y que tengan DNS (y Catálogo Global en la mayoría de los casos), y que los clientes apunten como DNS a más de uno de ellos
Revisa esta nota sobre tolerancia a fallas de los Controladores de Dominio: Controladores de Dominio: Tolerancia a Fallas | WindowServer:
https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/
Inclusive, si pasaras ambos servidores como Controladores de Dominio, con DNS, Catálogo Global, y con DHCP podrías también hacer que este último tenga tolerancia a fallas: Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover) | WindowServer:
https://windowserver.wordpress.com/2012/05/04/windows-server-2012-demostracin-dhcp-tolerancia-a-fallas-dhcp-failover/
Si la idea es sacar al W2003, recuerda que a los clientes debes apuntarlos para que usen el nuevo DNS
Como recomendación, si puedieras mantener ambos servidores con W2012, como Controladores de Dominio sería lo mejor
Nadie le da importancia a la tolerancia a fallas hasta que no tiene un problema :-D
Teniendo un único Controlador de Dominio, ante un problema lo único que queda es recuperar desde una copia de seguridad (Restore), y llegado el caso son muchos los que no lo pueden hacer
Hola,
Un tutorial EXCELENTE!!, pero a mi me surgen unas dudas.. que hacemos con el DHCP?, se instalan dos DHCP?, se deben de configurar a «mano»?, se replican?
Saludos y gracias!
Hola antarro, lo único que nombro en la nota sobre DHCP es cambiarle las opciones que le da a los clientes para que usen el nuevo DNS
No hace falta tener dos, salvo que quieras tener tolerancia a fallas. De esto tienes notas en este blog.
El servicio DHCP está normalizado, cualquier servidor de DHCP puede usarse, alcanza con que le de a los clientes la configuración correcta, o sea que si lo tienes sobre W2003 y quieres dejarlo ahí, no habrá problema
¡Gracias por el comentario! :-)
Hola buenas tardes estoy haciendo el paso a paso pero aun cuando verifico que el controlador de dominio 2003r2 Sp2 esta en el nivel de funcionalidad 2003, cuando intento agregar el 2012 r2 sigue saliendo el error de nivel de funcionalidad es 2000.
Que puedo hacer
gracias
Hola Javier, hay que levantar el nivel funcional de Bosque. Primero se eleva el nivel funcional del Dominio, y luego hay que elevar el del Bosque (en la raíz de AD Domains and Trusts)
Hola Guillermo.
Yo estoy igual, he levantado el nivel funcional del bosque y el del dominio a Windows 2003, pero no hay manera a promocionar el Server 2012 R2.
Me sigue diciendo que el nivel funcional es Windows 2000.
Ya no se que mirar mas!!!
Porfa, me puedes echar una mano?
Hola Miguel Angel, primero que nada vuelve a revisar si tanto el nivel funcional del Dominio, y del Bosque ya son W2003
También a tener en cuenta, es que si hay más de un Controlador de Dominio, hay que esperar que la información se replique a todos los Controladores de Dominio del Bosque
Si luego de confirmar lo anterior aún no puedes agregar el W2012, te sugiero, recurras a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Puedes poner las capturas de pantalla en el propio foro, o en un lugar tipo Onedrive donde puedas compartirla
O si quieres ver los niveles funcionales por línea de comandos puedes ver:
Get Forest and Domain Functional Level from command line or PowerShell | Sysadmin Lab
http://www.sysadminlab.net/windows/get-forest-and-domain-functional-level-from-command-line-or-powershell
Hola Guillermo.
Pues si, el nivel funcional del dominio y el del bosque ya son W2003.
He revisado también por línea de comandos y me indica que ObjetctVersion: 31, es decir W2003.
Solo tengo un controlador de dominio.
Hola Miguel, recurre por favor al foro que puse antes, o a otro si te parece mejor, porque no puedo usar estos comentarios para soporte
Como adicional, revisa si no te han quedado rastros de un Controlador de Dominio que fue mal quitado
Estoy intentando realizar el proceso en un ambiente en produccion y en la parte de DNS options me da una advertencia que no puede ser creada una delegacion para este servidor DNS porque no puede ser encontrada una zona autoritativa o no corre windows DNS server, que si estoy integrandolo con una zona existente que debo crear manualmente la delegacion en la zona para que pueda resolver nombres fuera de mi domino. Yo en el DNS Server actual (WS2003) hice la delegacion que apunta el nuevo DC y la ip del nuevo DC (WS2012) pero no estoy seguro que asi vaya a funcionar. Gracias.
Hola Luis, a ver si puedo aclarar el panorama :)
Una «delegación» es una «delegación de Dominio» a un servidor
Cuando uno promueve un DC o crea un dominio, por ejemplo «empresa.com» o lo que sea, el sistema trata de crear una «delegación de Dominio» en el dominio DNS superior, en este ejemplo en «.com» que por supuesto al tratarse de un Dominio AD, no podrá hacerlo
Y menos aún, si el nombre del Dominio AD, fuera con una extensión inexistente, por ejemplo «empresa.local»
Si estás agregando un DC adicional a un Dominio AD existente, no debes preocuparte para nada por ese mensaje
La funcionalidad para que el asistente cree la delegación del dominio DNS (no AD), tiene sentido sólo si estuvieras creando un Subdominio de otro Dominio de tu AD
Por ejemplo, si tuviera «empresa.com» y creo el subdominio «otro.empresa.com» entonces sí tendría sentido hacer la delagación
Resumiendo, si es todo en el mismo Dominio AD, no debes preocuparte
Hola buenas noches tengo la tarea de transferir el directorio de usuarios de un equipo con Server 2013 a un server 2012 R2, los usuarios tiene WiN XP algunos de ellos al haber realizado la configuración para conectarlos al server 2012 dejaron de funcionar, tengo 1800 usuarios en 2013 y requiero pasarlos a 2012 R2, Crees poder apoyarme con esto por favor o debo pasarlos por captura uno a uno. Gracias.
Hola Black Jack, ayudo haciendo estas notas, y si puedo oriento, pero esto no es un sitio de soporte
Si tienes problemas deberías acudir a algún foro de soporte, por ejemplo los foros de Technet en Español
Y muy importante es que des datos para que alguien pueda ayudarte ya «dejaron de funcionar» no aclara nada para ayudarte
Después de utilizar tu guía para promover varios servidores Windows Server 2003 a 2012 R2 he comprobado que los usuarios que he creado a partir de ahí en en el dominio por medio de Active Directory Server no pueden iniciar sesión en los clientes y aparece un mensaje «Error en el Servicio de Perfil de Usuarios al iniciar sesión. No se puede cargar el Perfil de Usuario». En cambio el resto de los usuarios creados con anterioridad a la migración a 2012 continúan iniciando sesión en los clientes perfectamente ¿sabes a qué puede deberse? En internet he encontrado referencias a como solucionar este error en maquinas independientes pero, en este caso, lo que se ve es un problema en la comunicación entre cliente y servidor. He revisado los servicios que corren en ambos lados y todo parece funcionar correctamente y los 3 servidores que manejo en el dominio replican entre ellos perfectamente. Gracias de antemano. El nivel funcional de dominio es 2003, porque todavía mantengo uno de ellos con server 2003. Gracias de antemano. Saludos
Hola Jesús, yo trataría primero de forzar la autenticación con cada servidor a ver si realmente el problema viene del Controlador de Dominio, o no
Cuando el usuario incia sesión desde un CMD ejecutando SET, revisa la variable %logonserver%. Siempre reiniciando antes
Si sucede cuando %logonserver% apunta a uno, a otro, o a ambos. De esa forma se puede acotar el problema
También revisa Aparece el mensaje de error «Error en el inicio de sesión del servicio de perfil de usuario»:
https://support.microsoft.com/es-es/kb/947215
Hola Guillermo: Gracias por responder. He hecho lo que me indicas. Creo que el problema viene porque uno de los servidores que actualice de 2003 al 2012 era el DNS principal y al migrar, aunque le instalé el rol DNS, no ha llegado a asumir. Con el el SET he comprobado comprobado que los clientes siempre se conectaban al server 2012 en el que instalé el DNS (y que en la fase previa, cuando corría en 2003, era el DNS primario) pero que ahora no responde como debiera. Voy a seguir revisando y procederé a reinstalar el DNS.
En cuanto al documento de soporte de microsoft que me enlazas ya lo conocía pero sólo es aplicable a monopuestos fuera de dominio. Gracias de nuevo. Te mantendré informado.
Hola Jesús. Si la zona DNS está integrada en AD, como debería ser, no hay DNS principal, todos tienen acceso de escritura y lectura
No comprendo qué quieres decir con «no ha llegado a asumir». Si te refieres a replicación de AD y DNS eso es lo primero a solucionar, lo mismo que si ha compartido SYSVOL
Para que los clientes se puedan conectar a ambos DCs entoneces tienen que tener configurado para usar como DNS a ambos. Siempre tratará primero con el preferido
Y recuerda que en un ambiende de único Dominio, todos los DCs deben ser Catálogo Global
No tiene mucho sentido reinstalar DNS, ya que volverá a tomar la misma configuración que tiene ya. Lo mejor es dejar que DNS sea instalado por el propio sistema durante el proceso de promoción
Y por las dudas :) que todas todas todas las máquinas tengan configurado para usar como DNS únicamente a los DCs con DNS
Si tuvieras más dudas, por favor postea la pregunta, explicando la situación en ,por ejemplo, los foros de Technet (https://social.technet.microsoft.com/Forums/es-ES/home) que no quiero que estos comentarios se conviertan en soporte :)
Buen día Guillermo,
Antes que nada muchas gracias por tomarte el tiempo de hacer los articulos. Mi caso es el siguiente, yo tengo mis controladores de dominio en server 2003 y voy a empezar a hacer la migracion a server 2008 r2. Mi pregunta es si aplica este mismo procedimiento? o si hay algo distinto que realizar.
Saludos y de
Hola Heber, es diferente el proceso, ya que la actualización del Schema y del Dominio no se hace automáticamente
Desde el DVD de W2008R2, copia al W2003 la carpeta ADPREP
Y en el W2003 debes ejecutar desde un CMD como administrador los siguientes comandos:
– ADPREP32 -FORESTPREP
– ADPREP32 -DOMAINPREP
Si el W2003 es x64 entonces utiliza ADPREP, y no ADPREP32
Estos comandos hay ejecutarlos una sola vez, en el Controlador de Dominio que tenga todos los «FSMO Roles» y con una cuenta de usuario perteneciente a «Enterprise Admins»
Entre uno y otro comando hay que darle tiempo que replique el cambio al resto de los Controladores de Dominio, si hubiera
Hola buenas tardes muy bueno el tutorial pero tengo un problema cuando intento elevar el nivel funcional del bosque me dice no se puede aumentar el nivel funcional . error: el servidor ha devuelto una referencia. y ahi queda. Tengo un windows 2003 y lo estoy migrando a un windows 2012 r2.
Hola Gabriel, primero hay que elevar el nivel del Dominio, y luego el del Bosque
En la mayoría de los casos, cuando no permite elevar el nivel funcional, es que ha quedado «restos» de un Controlador de Dominio con versión anterior, que no se ha quitado correctamente, revisa eso
Si fuera así, revisa este enlace
How to remove data in Active Directory after an unsuccessful domain controller demotion:
https://support.microsoft.com/en-us/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-controller-demotion
Hola muy buena guia, se que no es un lugar de soporte pero haciendo mi laboratorio me paso que el cliente que cree pierde la relacion de confianza con el servidor. en el manual comentas que «…Si reinician a los clientes todo es más rápido…» podrias por favor indicarme a que te refieres con reiniciar a los clientes… mucho agradecere que me ayudes.
Por la perdida de la relacion:Solución: Las Máquinas que se Salen del Dominio | WindowServer
https://windowserver.wordpress.com/2014/07/24/solucin-las-mquinas-que-se-salen-del-dominio/
El tema del reinicio es para forzar al cliente a rehacer el canal seguro de comunicacion con el DC
Hola:
¿La nota sirve para actualizar un dominio Windows Server 2003 «Sin R2»?. Hace un tiempo aplique la nota con un Windows Server 2003 R2, y no tuve ningún problema.
El problema es el siguiente:
En todo el proceso hasta antes de apagar el Windows Server 2003, no da ningún indicio de que algo haya ido mal. Agregado al dominio existente correctamente, replica correcta, …
Es cuando apago el Windows Server 2003 cuando los clientes, no se conectan a las unidades compartidas. Pide nueva autentificación en el dominio.
Y al intentar abrir Usuarios y equipos de Active Directory del Windows Server 2012 R2, aparece el error:
No se puede encontrar la información de nombre debido a: El dominio especificado no existe o no se pudo poner en contacto con el.
Los clientes tienen como Servidor DNS el Windows Server 2012 R2. Pero solo ven las unidades compartidas si el Windows Server 2003 esta en marcha.
Gracias por tus magnificas notas.
Hola Jesús, el procedimiento es el mismo
Respecto a los problemas que comentas, recuerda por favor que en estos comentarios no puedo hacer soporte, deberías dirigirte a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Si apagas un DC, puede que los clientes que tengan creado el canal seguro de comunicación lo tengan con éste, y por lo tanto puede ser el síntoma que nombras, o incluso en algunos sistemas requiere reinicio del cliente. Para ver cuál ejecuta desde un CMD el comando SET, y revisa la variable %logonserver%
Por otro lado no poder resolver nombres da para pensar que no está replicando correctamente
Como comenté antes pon mejor la pregunta en un foro de soporte, y trata de dar datos como por ejemplo la configuación y la variable que puede ayudar
Trackbacks
[…] Actualizar Dominio Windows 2003 a Windows Server 2012 R2 | WindowServer […]
[…] La segunda figura, corresponde a un Dominio que se ha actualizado desde versiones anteriores. Para más detalles: es el correspondiente a la nota publicada Actualizar Dominio Windows 2003 a Windows Server 2012 R2 […]
[…] La segunda figura, corresponde a un Dominio que se ha actualizado desde versiones anteriores. Para más detalles: es el correspondiente a la nota publicada Actualizar Dominio Windows 2003 a Windows Server 2012 R2 […]
[…] Blog de WindowsServer. […]