Actualizar Dominio Windows 2003 a Windows Server 2012 R2

Estaba pensando en el tema de actualización de Dominios Active Directory y sobre todo en qué posibilidades de actualización desde versiones anteriores podrían hacerse

Tengamos en cuenta que todavía hay en funcionamiento versiones anteriores, inclusive algunas con Windows Server 2003 R2, así que decidí probar

La partida será desde un ambiente de Dominio Windows Server 2003 R2 con nivel funcional Windows 2003.

Y también con clientes “viejos”, en mi caso, al Dominio Windows Server 2003 R2 le he podido agregar sin problemas máquinas con los siguientes sistemas operativos, y sin actualizaciones posteriores a las nombradas:

  • Windows XP SP3 ………………(CL1)
  • Windows 7 x86 SP1 ….………..(CL2)
  • Windows 8 x86 ……………..….(CL3)
  • Windows 8.1 ……………………(CL4)
  • Windows Server 2012 R2 …….(DC1)

Resumiendo, armé un Controlador de Dominio del Dominio “ad.guillermod.com.ar” con Windows Server 2003 R2 y nivel funcional Windows 2003
Luego agregué al Dominio a los clientes de acuerdo a lo nombrado antes, y reitero nada anormal ni problemático

También, para verificar que hubiera otro tipo de problemas creé cuatro usuarios y pude iniciar sesión con los mismos en los cuatro sistemas operativos de escritorio, además de incluirlos en un grupo Global, que he incluido en un grupo Domain Local, al cual le he dado permisos sobre una carpeta compartida

El objetivo es promover al servidor Windows Server 2012 R2 como Controlador de Dominio adicional en el Domiino existente y verificar si hubiera algún problema

Como ya lo hemos comprobado con Windows Server 2012, lo promoveré a Controlador de Dominio en forma directa sin haber ejecutado previamente ADPREP. No mostraré las capturas de pantallas ya que supongo que nadie tendrá problemas ya que lo hemos visto en este sitio muchas veces, sólo las que mencionan la actualización de Bosque (Forest) y Domain (Dominio)

Como podemos observar, nuestro Controlador de Dominio con Windows Server 2012 R2 se ha agregado perfectamente y si errores al Domino con funcionalidad Windows 2003

 

Para finalizar la actualización, deberíamos:

  • Configurar a los clientes para que usen el nuevo DNS (DC1)
  • Apagar durante un tiempo el Controlador de Dominio con Windows Server 2003 R2 (DC0) y verificar que todo funcione correctamente (Más abajo hablaremos de transferir los “FSMO Roles”)
  • Poner nuevamente en la red a DC0 y despromoverlo, pasándolo a servidor miembro (Ver nota más abajo sobre los “FSMO Roles”)
  • Sacar a DC0 del Dominio y eliminar su cuenta en el directorio

Veamos un poco el tema de transferir los roles FSMO, por si alguien tiene dudas o quiere repasar conocimiento de los mismos, puede utilizar los siguientes enlaces:

Maestros de Operaciones (FSMO Roles) – Parte 1

Maestros de Operaciones (FSMO Roles) – Parte 2

En general casi todos los escritos sobre el tema nombran transferir los “FSMO Roles” antes de quitar la funcionalidad de Controlador de Dominio, pero también es importante tener en cuenta que cuando se despromueve un Controlador de Dominio que tiene algunos de los “FSMO Roles” el sistema se encargará de transferirlos automáticamente a otro Controlador de Dominio
Si hubiera más de dos, y uno deseara elegir a cual otro hará la transferencia, entonces es correcto hacerlo antes de la despromoción
Pero como en nuestro caso, simplemente quedará un único Controlador de Dominio, lo anterior no tiene mucho sentido. Dejaré que la trasnferencia se haga en forma automática

Entonces, comencemos cambiando a los clientes, e inclusive el nuevo Controlador de Dominio (DC1) para que apunte como DNS sólo a sí mismo. Normalmente esto lo haríamos a través de DHCP. Antes de hacer esto verificar que la información de DNS se haya replicado

Luego apagamos al “viejo” Controlador de Dominio y verificamos que todo siga funcionando correctamente. Por ejemplo inciando sesión en cada uno de los clientes con algún usuario que nunca antes haya iniciado sesión para evitar el tema “cached credentials”

Un comentario al respecto. En mi caso apagué DC0, e inicié sesión en cada cliente con una cuenta nueva, y demoró bastante ¿por qué es esto? Fundamentalmente porque los clientes tenían el canal seguro de comunicación armado contra un Controlador de Dominio que estaba apagado. Si reinician a los clientes todo es más rápido. Al que le costó más tiempo fue a cliente Windows 8, y al Windows XP. Pero finalmente todos los usuarios pudieron iniciar sesión

Así que el próximo paso, es volver a poner en línea a DC0 y despromoverlo como Controlador de Dominio, luego sacarlo a grupo de trabajo (en realidad no es necesario, lo hago sólo de “prolijo”), y eliminar su cuenta en el Dominio

 

Como hemos podido ver, Windows Server 2012 R2 nos otorga la posibilidad de actualizar aún desde un Dominio Windows Server 2003 con clientes XP

Y como si fuera poco, en un Dominio con Windows Server 2012 R2 como Controlador de Dominio aún podemos tener clientes XP

Un tema adicional que también habría que ver es la compatibilidad con otras aplicaciones

Así que los que aún estén con sistemas “viejos”, yo no dejaría pasar la oportunidad, yo dudaba que se mantuviera la compatibilidad de actualización desde Windows 2003 / XP, pero observemos que aún estamos a tiempo

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Fernando Urrutia  On 22/10/2013 at 15:19

    Excelente post mi amigo, yo voy a probar hacerlo y veremos que pasa. Avísame cuando estés conectado para ejecutar la migración y así tenerte en línea para las consultas jaajajjaja

  • Francisco  On 13/11/2013 at 15:00

    Guillermo he seguido tu tutorial, creo que bien, pero me da un error al intentar promover el windows 2012 a controlador de dominio. Me aparece un mensaje diciendo que el nivel funcional de windows es 2000 y en realidad es 2003. Que puedo hacer? Gracias!

    • Guillermo Delprato  On 13/11/2013 at 15:13

      Hola Francisco,
      Para poder actualizar un dominio a W2012 o W2012R2, los mínimos requeridos niveles funcionales de Dominio y Bosque son W2003
      Para poder elevar el nivel funcional de un Dominio la condición es la versión de sistema operativo de los Controladores de Dominio, no importa el de los servidores miembro o cliente
      Si todos los Controladores de Dominio de tu Dominio son por lo menos W2003 o superior, puedes elevar el nivel funcional del mismo.
      En Usuarios y Equipos de AD, con botón derecho sobre el Dominio te aparece la opción (“Raise Domain Functional Level”). Este cambio debe replicarse a todos los Controladores del Dominio

      Una vez hecho lo anterior, y esperando que se replique el cambio a todos los Controladores de Dominio del Bosque (si tuvieras más de un Dominio) también se puede elevar el nivel funcional del Bosque
      Lo haces con botón derecho sobre la “raíz” de la consola Dominios y Confianzas de AD (“Raise Forest Functional Level”)

      • renzo orihuela  On 10/04/2015 at 12:51

        hola, que tal, una consulta tengo windows server 2003 standard y cuando realizo la migracion a windows server 2012 standard, me sale el mensaje de EL NIVEL FUNCIONAL DEL BOSQUE ES WINDOWS 2000, ya he revisado los niveles del bosque y dominio y los dos estan elevados su nivel funcional a windows 2003, no encuentro cual es el problema

      • Guillermo Delprato  On 10/04/2015 at 16:30

        Hola Renzo, revisa otra vez porque son dos cosas diferentes. El nivel funcional del Bosque lo puedes ver al tratar de elevar el nivel funcional en “Dominios y Confianzas de AD” ¿seguro que ahí está 2003? :)

  • Nacho  On 19/02/2014 at 09:18

    ¿Es necesario que el servidor DNS esté en el mismo controlador de dominio? He leido que microsoft recomienda tenerlos por separados AD y DNS. Al migrar el AD 2003 server a un 2012 Server, he dejado los servicios DNS y DHCP en el 2003 por lo que en el AD 2012 no tengo DNS Server ni DHCP. Ahora tengo el 2003 como controlador de dominio y el 2012 con todos los roles y el catalogo. Mi pregunta es si le hago un demote al 2003, ¿pasaría algo con los servicios DNS y DHCP?

    • Guillermo Delprato  On 19/02/2014 at 10:05

      Hola Nacho, no es requerido que los Controladores de Dominio sean también DNS, pero es altamente recomendable. No sé dónde puedes haber leído que Microsoft recomiende separarlos, porque yo creo que es lo contrario; cuando promueves un servidor a Controlador de Dominio por omisión está marcado que también tenga el servicio DNS
      La recomendación, para tener tolerancia a fallas es tener más de un Controlador de Dominio y que tengan DNS (y Catálogo Global en la mayoría de los casos), y que los clientes apunten como DNS a más de uno de ellos
      Revisa esta nota sobre tolerancia a fallas de los Controladores de Dominio: Controladores de Dominio: Tolerancia a Fallas | WindowServer:
      https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/

      Inclusive, si pasaras ambos servidores como Controladores de Dominio, con DNS, Catálogo Global, y con DHCP podrías también hacer que este último tenga tolerancia a fallas: Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover) | WindowServer:
      https://windowserver.wordpress.com/2012/05/04/windows-server-2012-demostracin-dhcp-tolerancia-a-fallas-dhcp-failover/

      Si la idea es sacar al W2003, recuerda que a los clientes debes apuntarlos para que usen el nuevo DNS
      Como recomendación, si puedieras mantener ambos servidores con W2012, como Controladores de Dominio sería lo mejor

      Nadie le da importancia a la tolerancia a fallas hasta que no tiene un problema :-D
      Teniendo un único Controlador de Dominio, ante un problema lo único que queda es recuperar desde una copia de seguridad (Restore), y llegado el caso son muchos los que no lo pueden hacer

  • antarro  On 12/04/2014 at 19:08

    Hola,

    Un tutorial EXCELENTE!!, pero a mi me surgen unas dudas.. que hacemos con el DHCP?, se instalan dos DHCP?, se deben de configurar a “mano”?, se replican?

    Saludos y gracias!

    • Guillermo Delprato  On 12/04/2014 at 20:36

      Hola antarro, lo único que nombro en la nota sobre DHCP es cambiarle las opciones que le da a los clientes para que usen el nuevo DNS
      No hace falta tener dos, salvo que quieras tener tolerancia a fallas. De esto tienes notas en este blog.
      El servicio DHCP está normalizado, cualquier servidor de DHCP puede usarse, alcanza con que le de a los clientes la configuración correcta, o sea que si lo tienes sobre W2003 y quieres dejarlo ahí, no habrá problema

      ¡Gracias por el comentario! :-)

  • Javier  On 04/09/2014 at 18:42

    Hola buenas tardes estoy haciendo el paso a paso pero aun cuando verifico que el controlador de dominio 2003r2 Sp2 esta en el nivel de funcionalidad 2003, cuando intento agregar el 2012 r2 sigue saliendo el error de nivel de funcionalidad es 2000.
    Que puedo hacer

    gracias

    • Guillermo Delprato  On 04/09/2014 at 19:09

      Hola Javier, hay que levantar el nivel funcional de Bosque. Primero se eleva el nivel funcional del Dominio, y luego hay que elevar el del Bosque (en la raíz de AD Domains and Trusts)

      • Miguel Angel  On 27/10/2016 at 16:57

        Hola Guillermo.
        Yo estoy igual, he levantado el nivel funcional del bosque y el del dominio a Windows 2003, pero no hay manera a promocionar el Server 2012 R2.
        Me sigue diciendo que el nivel funcional es Windows 2000.
        Ya no se que mirar mas!!!
        Porfa, me puedes echar una mano?

      • Guillermo Delprato  On 27/10/2016 at 17:50

        Hola Miguel Angel, primero que nada vuelve a revisar si tanto el nivel funcional del Dominio, y del Bosque ya son W2003
        También a tener en cuenta, es que si hay más de un Controlador de Dominio, hay que esperar que la información se replique a todos los Controladores de Dominio del Bosque
        Si luego de confirmar lo anterior aún no puedes agregar el W2012, te sugiero, recurras a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
        Puedes poner las capturas de pantalla en el propio foro, o en un lugar tipo Onedrive donde puedas compartirla
        O si quieres ver los niveles funcionales por línea de comandos puedes ver:
        Get Forest and Domain Functional Level from command line or PowerShell | Sysadmin Lab
        http://www.sysadminlab.net/windows/get-forest-and-domain-functional-level-from-command-line-or-powershell

      • Miguel Angel  On 28/10/2016 at 03:50

        Hola Guillermo.
        Pues si, el nivel funcional del dominio y el del bosque ya son W2003.
        He revisado también por línea de comandos y me indica que ObjetctVersion: 31, es decir W2003.
        Solo tengo un controlador de dominio.

      • Guillermo Delprato  On 28/10/2016 at 06:25

        Hola Miguel, recurre por favor al foro que puse antes, o a otro si te parece mejor, porque no puedo usar estos comentarios para soporte
        Como adicional, revisa si no te han quedado rastros de un Controlador de Dominio que fue mal quitado

  • Luis M Garcia  On 12/11/2014 at 13:17

    Estoy intentando realizar el proceso en un ambiente en produccion y en la parte de DNS options me da una advertencia que no puede ser creada una delegacion para este servidor DNS porque no puede ser encontrada una zona autoritativa o no corre windows DNS server, que si estoy integrandolo con una zona existente que debo crear manualmente la delegacion en la zona para que pueda resolver nombres fuera de mi domino. Yo en el DNS Server actual (WS2003) hice la delegacion que apunta el nuevo DC y la ip del nuevo DC (WS2012) pero no estoy seguro que asi vaya a funcionar. Gracias.

    • Guillermo Delprato  On 12/11/2014 at 14:07

      Hola Luis, a ver si puedo aclarar el panorama :)
      Una “delegación” es una “delegación de Dominio” a un servidor
      Cuando uno promueve un DC o crea un dominio, por ejemplo “empresa.com” o lo que sea, el sistema trata de crear una “delegación de Dominio” en el dominio DNS superior, en este ejemplo en “.com” que por supuesto al tratarse de un Dominio AD, no podrá hacerlo
      Y menos aún, si el nombre del Dominio AD, fuera con una extensión inexistente, por ejemplo “empresa.local”
      Si estás agregando un DC adicional a un Dominio AD existente, no debes preocuparte para nada por ese mensaje

      La funcionalidad para que el asistente cree la delegación del dominio DNS (no AD), tiene sentido sólo si estuvieras creando un Subdominio de otro Dominio de tu AD
      Por ejemplo, si tuviera “empresa.com” y creo el subdominio “otro.empresa.com” entonces sí tendría sentido hacer la delagación

      Resumiendo, si es todo en el mismo Dominio AD, no debes preocuparte

  • Black Jack  On 28/07/2015 at 02:28

    Hola buenas noches tengo la tarea de transferir el directorio de usuarios de un equipo con Server 2013 a un server 2012 R2, los usuarios tiene WiN XP algunos de ellos al haber realizado la configuración para conectarlos al server 2012 dejaron de funcionar, tengo 1800 usuarios en 2013 y requiero pasarlos a 2012 R2, Crees poder apoyarme con esto por favor o debo pasarlos por captura uno a uno. Gracias.

    • Guillermo Delprato  On 28/07/2015 at 07:33

      Hola Black Jack, ayudo haciendo estas notas, y si puedo oriento, pero esto no es un sitio de soporte
      Si tienes problemas deberías acudir a algún foro de soporte, por ejemplo los foros de Technet en Español
      Y muy importante es que des datos para que alguien pueda ayudarte ya “dejaron de funcionar” no aclara nada para ayudarte

  • Jesús  On 03/02/2016 at 08:50

    Después de utilizar tu guía para promover varios servidores Windows Server 2003 a 2012 R2 he comprobado que los usuarios que he creado a partir de ahí en en el dominio por medio de Active Directory Server no pueden iniciar sesión en los clientes y aparece un mensaje “Error en el Servicio de Perfil de Usuarios al iniciar sesión. No se puede cargar el Perfil de Usuario”. En cambio el resto de los usuarios creados con anterioridad a la migración a 2012 continúan iniciando sesión en los clientes perfectamente ¿sabes a qué puede deberse? En internet he encontrado referencias a como solucionar este error en maquinas independientes pero, en este caso, lo que se ve es un problema en la comunicación entre cliente y servidor. He revisado los servicios que corren en ambos lados y todo parece funcionar correctamente y los 3 servidores que manejo en el dominio replican entre ellos perfectamente. Gracias de antemano. El nivel funcional de dominio es 2003, porque todavía mantengo uno de ellos con server 2003. Gracias de antemano. Saludos

    • Guillermo Delprato  On 03/02/2016 at 12:39

      Hola Jesús, yo trataría primero de forzar la autenticación con cada servidor a ver si realmente el problema viene del Controlador de Dominio, o no
      Cuando el usuario incia sesión desde un CMD ejecutando SET, revisa la variable %logonserver%. Siempre reiniciando antes
      Si sucede cuando %logonserver% apunta a uno, a otro, o a ambos. De esa forma se puede acotar el problema
      También revisa Aparece el mensaje de error “Error en el inicio de sesión del servicio de perfil de usuario”:
      https://support.microsoft.com/es-es/kb/947215

      • Jesús  On 04/02/2016 at 09:10

        Hola Guillermo: Gracias por responder. He hecho lo que me indicas. Creo que el problema viene porque uno de los servidores que actualice de 2003 al 2012 era el DNS principal y al migrar, aunque le instalé el rol DNS, no ha llegado a asumir. Con el el SET he comprobado comprobado que los clientes siempre se conectaban al server 2012 en el que instalé el DNS (y que en la fase previa, cuando corría en 2003, era el DNS primario) pero que ahora no responde como debiera. Voy a seguir revisando y procederé a reinstalar el DNS.
        En cuanto al documento de soporte de microsoft que me enlazas ya lo conocía pero sólo es aplicable a monopuestos fuera de dominio. Gracias de nuevo. Te mantendré informado.

      • Guillermo Delprato  On 04/02/2016 at 09:33

        Hola Jesús. Si la zona DNS está integrada en AD, como debería ser, no hay DNS principal, todos tienen acceso de escritura y lectura
        No comprendo qué quieres decir con “no ha llegado a asumir”. Si te refieres a replicación de AD y DNS eso es lo primero a solucionar, lo mismo que si ha compartido SYSVOL
        Para que los clientes se puedan conectar a ambos DCs entoneces tienen que tener configurado para usar como DNS a ambos. Siempre tratará primero con el preferido
        Y recuerda que en un ambiende de único Dominio, todos los DCs deben ser Catálogo Global
        No tiene mucho sentido reinstalar DNS, ya que volverá a tomar la misma configuración que tiene ya. Lo mejor es dejar que DNS sea instalado por el propio sistema durante el proceso de promoción
        Y por las dudas :) que todas todas todas las máquinas tengan configurado para usar como DNS únicamente a los DCs con DNS
        Si tuvieras más dudas, por favor postea la pregunta, explicando la situación en ,por ejemplo, los foros de Technet (https://social.technet.microsoft.com/Forums/es-ES/home) que no quiero que estos comentarios se conviertan en soporte :)

  • Heber  On 08/02/2016 at 16:15

    Buen día Guillermo,
    Antes que nada muchas gracias por tomarte el tiempo de hacer los articulos. Mi caso es el siguiente, yo tengo mis controladores de dominio en server 2003 y voy a empezar a hacer la migracion a server 2008 r2. Mi pregunta es si aplica este mismo procedimiento? o si hay algo distinto que realizar.

    Saludos y de

    • Guillermo Delprato  On 08/02/2016 at 18:08

      Hola Heber, es diferente el proceso, ya que la actualización del Schema y del Dominio no se hace automáticamente
      Desde el DVD de W2008R2, copia al W2003 la carpeta ADPREP
      Y en el W2003 debes ejecutar desde un CMD como administrador los siguientes comandos:
      – ADPREP32 -FORESTPREP
      – ADPREP32 -DOMAINPREP
      Si el W2003 es x64 entonces utiliza ADPREP, y no ADPREP32
      Estos comandos hay ejecutarlos una sola vez, en el Controlador de Dominio que tenga todos los “FSMO Roles” y con una cuenta de usuario perteneciente a “Enterprise Admins”
      Entre uno y otro comando hay que darle tiempo que replique el cambio al resto de los Controladores de Dominio, si hubiera

  • Gabriel  On 15/02/2017 at 15:10

    Hola buenas tardes muy bueno el tutorial pero tengo un problema cuando intento elevar el nivel funcional del bosque me dice no se puede aumentar el nivel funcional . error: el servidor ha devuelto una referencia. y ahi queda. Tengo un windows 2003 y lo estoy migrando a un windows 2012 r2.

  • Marlon Estefo  On 29/05/2017 at 14:46

    Hola muy buena guia, se que no es un lugar de soporte pero haciendo mi laboratorio me paso que el cliente que cree pierde la relacion de confianza con el servidor. en el manual comentas que “…Si reinician a los clientes todo es más rápido…” podrias por favor indicarme a que te refieres con reiniciar a los clientes… mucho agradecere que me ayudes.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: