Actualizar – Migrar Dominio a Windows Server 2016 – Detallado

Aunque en general casi todos solemos usar el término “actualizar”, en realidad el proceso de pasar desde un Dominio con versión anterior a uno con versión más nueva de los Controladores de Dominio, suele hacerse mediante “migración”, que es algo diferente

La definición (de Microsoft) de actualizar, es hacer lo que se llama “upgrade-in-place”, esto es, sobre la misma instalación hacer una actualización del sistema operativo

Pero la opción recomendada es diferente y consiste en instalar Controladores de Dominio con la versión más nueva, para poder finalmente migrar el servicio

Iba a titular la nota con “Actualizar”, ya que es la terminología más usada, pero he agregado “Migrar” ya que es el término correcto

A diferencia de otras notas anteriores con otras versiones, en esta nota trataré de hacer el tema lo más detallado posible, consideraciones importantes que se deben tener en cuenta, tener un procedimiento que permita volver todo atrás en caso de problemas, y resaltar opciones importantes que debemos tener en cuenta

Ver actualización de la siguiente nota:
Actualizar a Windows Server 2016 [Actualizado]

La infraestructura inicial que utilizo es la siguiente: un Dominio Active Directory con dos Controladores de Dominio con sistema operativo Windows Server 2012 R2, aunque bien podrían ser versiones anteriores.

  • DC1.dominio.ad: Controlador de Dominio
    Dirección IP: 192.168.3.201/24
  • DC2.dominio.ad: Controlador de Dominio
    Dirección IP: 192.168.3.202/24

Y el resultado final será quedar con dos Controladores de Dominio con Windows Server 2016

  • DC3.dominio.ad: Controlador de Dominio
    Dirección IP: 192.168.3.203/24
  • DC4.dominio.ad: Controlador de Dominio
    Dirección IP: 192.168.3.204/24

Si alguien desea mantener los nombres y las direcciones IP de los “viejos” Controladores de Dominio, luego de la migración deberá hacer los cambios correspondientes. Para el cambio de nombres pueden ver la siguiente nota:

Windows Server 2012: Renombrar un Controlador de Dominio

Esta va a ser una nota muy larga, todavía no sé si la voy a tener que dividir, así que lo primero que haré es detallar los pasos que debemos hacer, en todos los casos es muy importante ir cambiando la configuración de DNS de cada máquina para que se mantenga la conectividad para cada uno de los procesos siguientes:

  1. Verificar que no hayan errores en el Dominio actual. Esto es muy importante, si hubieran, antes de comenzar hay que solucionarlos. Si no los puedieran solucionar con la versión actual, sólo los trasladarían y sería mucho más difícil o imposible solucionarlos luego de la actualización
  2. Como método de “roll-back” que ante problemas pueda volver todo como estaba rápidamente, mantendré apagado uno de los Controladores de Dominio (DC2) que no tenga los “FSMO Roles”. Esta opción permite volver al entorno tal cual como al inicio de todo, con sólo algunas correccines mínimas
  3. Agregar como Controlador de Dominio un servidor con la nueva versión de sistema operativo (DC3)
  4. Como método de verificación que el nuevo Controlador de Dominio (DC3) funciona correctamente, agregaré provisoriamente un usuario nuevo de prueba, y una máquina cliente configurada para usar únicamente al nuevo Controlador de Dominio (DC3)
  5. Si el punto anterior no tuvo problemas, entonces despromoveré al “viejo” Controlador de Dominio (DC1)
  6. Promoveré al nuevo segundo Controlador de Dominio (DC4)
  7. Controlaremos que todo esté funcionando adecuadamente
  8. Quitaremos al “viejo” Controlador de Dominio (DC2) que había quedado como opción por si ocurrieran problemas. En este caso deberemos hacer una desporomoción forzada, seguida del proceso de “limpieza” del Dominio

Pongo una pantalla con la configuración IP de DC1, observen que la configuración DNS está “cruzada”. DC1 apunta como DNS preferido a DC2, y como alternativo a sí mismo. Aunque no pongo la captura, DC2 tiene una configuración analoga

Observen la configuración tanto en “Active Directory Users and Computers” como en la consola DNS

Como parte de la revisión inicial, en ambos Controladores de Dominio, debemos controlar que no existan errores relativos al Dominio, esto es importante …

Podemos verificar con REPADMIN /REPLSUMMARY que no hay errores de replicación

Lo mismo con REPADMIN /SHOWREPL Esto lo debemos hacer en ambos Controladores de Dominio

Por último en ambos Controladores de Dominio con DCDIAG /TEST:REPLICATIONS podemos asegurarnos que todo esté bien

Aunque un DCDIAG, redirigido a un archivo de texto para poderlo analizar con toda calma, no está demás :) DCDIAG > Diagnostico.TXT

Si quieren todavía algo más, recordar que se puede bajar e instalar “Active Directory Replication Status Tool

Con lo anterior doy por finalizado el primer punto que consideramos, el cual es controlar que la situación inicial es la correcta

Así que siguiendo el orden propuesto en el paso 2, procederé a apagar DC2. El hecho de mantener un Controlador de Dominio que no sufrirá ningún cambio de configuración mientras realizamos el resto del proceso de actualización, permitirá que en caso de problemas, simplemente con ponerlo en funcionamiento y un simple proceso de “limpieza” y asunción forzada de los “FSMO Roles” todo el Dominio vuelva a estar como antes de comenzar

Por supuesto que a DC1 habrá que reinstalarlo, pero lo importante es que el Dominio no ha sido modificado para nada

Yo prefiero esta opción a tener que recuperar de copias de seguridad (“Restore”) que además de ser un proceso más lento, nunca está garantizada la recuperación completa ;)

Entonces con DC2 apagado, podemos ver la primera máquina que promoveré como Controlador de Dominio (DC3). Adelantándome ya le he puesto el nombre, y observen que le he configurado que use como DNS a DC1

Instalamos la funcionalidad “Active Directory Domain Services” de la forma habitual y conocida, y mostraré sólo las pantallas del proceso de promoción

Si ponemos primero las credenciales necesarias, luego reconocerá al Dominio automáticamente. Si procedemos en el otro orden debemos ingresar dos veces las credenciales

Importante: completemos el nombre del Dominio con la sintaxis DNS, y no la por omisión que es NetBIOS, de esta forma nos aseguramos que se use el servicio DNS

Noten que por omisión instalará el servicio DNS y seá Catálogo Global. Y además que la contraseña que se agrega en esta pantalla no corresponde a la del administrador del Dominio, sino a la cuenta que nos permite hacer una recuperación desde una copia de seguridad del Dominio en caso de ser necesario. No tiene relación con la del administrador de Dominio, y además es local e individual en cada uno de los Controladores de Dominio

Aunque podemos dejar el valor por omisión, para facilitar la replicación puedo configurar para que replique desde el único Controlador de Dominio que puede utilizar

No más ADPREP, ya lo hace automáticamente cuando es necesario

Luego del reinicio ya podemos iniciar sesión con el administrador del Dominio

Mientras, desde DC1, podemos ver que se ha registrado correctamente en DNS

Y que ha quedado la cuenta de máquina en la Unidad Organizativa “Domain Controllers”

Los objetos conexión que permiten la replicación entre Controladores de Dominio suelen pasar hasta 30 minutos para que se creen. Un buen momento para tomarse un descanso, o si quieren apurarse (no conveniente) podemos forzar y refrescar. Por supuesto sólo entre DC1 y DC3

Y forzar la replicación, para ver si está bien

Podemos observar que los “FSMO Roles” no tienen cambios, siguen en DC1

Para que todo quede correctamente configurado debemos modificar la configuración de DNS en ambos Controladores de Dominio (DC1 y DC3), para que se usen a sí mismos, y al otro. Aunque funciona de todas formas yo sigo con la vieja costumbre de Windows Server 2000 y los pongo “cruzados”, esto es, que cada uno utilice como preferido al otro, y alternativo a sí mismo

Es un buen momento para probar que todo esté funcionando correctamente, así que creo un usuario de prueba “Usuario Prueba” (u1) y agregaré una máquina también de prueba al Dominio, esta máquina tiene configurado para usar como DNS únicamente a DC3. Luego en esta máquina nueva, iniciaré sesión con el usuario de prueba. Debería funcionar todo normalmente, y me permite verificar que DC3 por sí sólo, admite la creación de cuentas y autenticación

Sabiendo que DC3 puede complir sus funciones normalemente, el paso siguiente será despromover DC1, quitando la funcionalidad correspondiente

Desmarcaremos la funcionalidad

Personalmente creo que hay un error, porque al no existir más DCPROMO, no me permite la despromoción antes de quitar la funcionalidad. La única forma que he conseguido es como lo estoy haciendo, tratando de quitar la funcionalidad para que me diga “NO, primero debes despromoverlo” y da la opción :)

Avisa que tendrá que reiniciar la máquina

Y debemos confirmar marcando la opción

Importante: al dejar de ser Controlador de Dominio, tendrá una cuenta de administrador local ¿qué contraseña tendrá?

Como no quité el servicio DNS, aunque ha quedado la consola, podemos ver que ya no está la zona. Esto es así porque al estar integrada en Active Directory se ha quitado conjuntamente con la funcionalidad

Entonces en DC3, debemos configurar para que use como DNS sólo a sí mismo. Y si mantuviéramos a DC1 como servidor miembro del Dominio, proceder de igual forma. En este momento el único servicio DNS del Dominio está en DC3

Si quisiéramos mantenerlo habría que crear una Zona Secundaria, y además desde otro Controlador de Dominio con DNS permitir la transferencia de zona hacia este

Podemos ver que ya no está más como Controlador de Dominio

También se han eliminado las registraciones de Controlador de Dominio en el servicio DNS

 

¿Qué pasado con los “FSMO Roles”? ¿me olvidé? no, no me olvidé, el proceso de despromoción simplemente los ha transferido a otro Controlador de Dominio, y al haber disponible sólo uno (DC3), éste los ha tomado

Si hubieran existido varios Controladores de Dominio en ese momento y quisiera que los asuma uno en particular, entonces debería haber hecho el proceso de cambio manualmente antes de la despromoción

 

Ya podemos comenzar con la promoción de DC4. Le he configurado para que use como DNS, solamente a DC3. Por supuesto además ya tiene el nombre previsto (DC4)

No muestro las capturas de pantalla, es igual a como hicimos antes con DC1. Lo único diferente que he visto es que ahora informa de problemas de replicación, lo cual es lógico pues tenemos apagado a DC2

Análogamente a como hicimos antes verificamos que se ha creado la correspondiente cuenta de máquina en “Domain Controllers” y que está correctamente registrado en el servicio DNS

Por supuesto, ya sea forzando o esperando, vemos que se han creado los objetos conexión y que replican correctamente

Y ahora sí, ya podemos poner la configuración final de DNS tanto en DC3, como en DC4, “cruzados” a mi gusto :)

Nos queda eliminar a mano, algunos rastros que ha dejado el proceso de despromoción de DC1. A mi entender debería haberlo hecho en forma automática, pero no ha sido así

Quedará finalmente así

 

Este es un momento, donde aunque yo procederé a continuación, si estuviera en ambiente productivo sería muy diferente. En este último caso pasarían varios días hasta que me decida a eliminar a DC2, porque una vez hecho ya no hay forma de recuperar el Dominio tal como estaba antes de la actualización – migración

Acá tenemos dos opción, una es ir directamente al proceso de limpieza de los datos de DC2 en el Dominio, o si quisiéramos aprovechar la instalación deberíamos hacer una despromoción forzada de DC2, y luego también el proceso de limpieza

¿Por qué hay que hacer una despromoción forzada de DC2? Yo creo que iba a poder hacerlo normalmente, pero recordemos que DC2 se apagó cuando sólo estaba presente él y DC1, y no tiene conocimiento de DC3 y DC4, y por lo tanto no puede replicar con ninguno de los dos

Y DC1 ya fue despromovido, así que no tiene forma de enterarse de los cambios porque DC2 sabía que podía resplicar únicamente desde DC1

El proceso de despromoción se hace de la misma forma que lo hicimos con DC1, con una única diferencia para que sea en forma forzada, debemos marcar la opción “Force the removal of this domain controller”. Por supuesto que a esta máquina habrá que luego sacarla a grupo de trabajo

Y luego en DC3 o DC4 procederemos con el proceso de limpieza de datos de DC2. Primero eliminaré la cuenta de máquina

Si, si, si, estoy seguro :)

Luego los registros en DNS

Y por último en “Active Directory Sites and Services”, primero el servidor

Y luego los objetos conexión que hayan quedado

 

Ha sido una nota larga esta, pero me pareció interesante hacerla por el nivel de detalle, y los cuidados que hay que tener en cada paso con la configuración DNS. Además me pareció que puede ser útil el método de “roll-back” dejando uno de los Controladores de Dominio apagado

Por supuesto que se pueden hacer muchas más combinaciones posibles: que si tengo un único Controlador de Dominio, que si tengo X, que si va a ser en el mismo hardware en cuyo caso necesitaré máquinas auxiliares, etc. etc. pero con este caso ya tienen una idea bastante acabada del proceso

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 20/12/2016 at 07:26

    Vaya tutorial !!!

    Me lo imprimó para poder leerlo en detalle.

    Gracias.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: