Actualización de DC Windows Server 2003 R2 a Windows Server 2016

Enviado por zigor el

Sí, ya sé que había que haber actualizado antes el servidor, pero por problemas de herencia de software y falta de organización lo he ido retrasando. Al grano.

Objetivo:

  • ServidorA: PDC Windows Server 2008 R2 -> igual.
  • ServidorB: BDC Windows Server 2003 R2 -> Windows Server 2016. Mismo nombre. Misma IP.
  • Dominio y Forest: Windows 2003R2 -> Raise a Windows 2008R2.

La ruta es la siguiente:

  1. Actualizar todos los DC.
  2. Backup de todo. Imagen y estado de sistema.
  3. Montar un tercer DC con Windows 2008R2 por si acaso.
  4. Despromocionar ServidorB.
  5. Raise Forest y Domain Level a Windows 2008R2.
  6. Instalar Server 2016 en ServidorB.
  7. Promocionar a DC.
  8. Portar SYSVOL de FRS a DFS-R con DFSmgr.
  9. Revisar que todo funciona bien.
  10. Monitorizar.

Y ahora el paso a paso, más o menos detallado (me paro en lo chungo):

Actualizar todos los DC

Si te has dejado algo sin actualizar, este es el momento.

Backup de todo

Por si hay problemas y queremos volver atrás, con opción a hacer un recovery completo.

Tercer DC

No vaya a ser que nos dé problemas el que dejamos encendido, vamos a montar un nuevo DC de manera transitoria. Es para un día o dos: no hará falta ni activar Windows.

Despromocionar DC viejo

Con el comando dcpromo le decimos que queremos quitar el DC del dominio.

En nuestro caso no ha sido posible, y ha habido que hacer un dcpromo /forceremoval

Como siempre, la documentación de Petri es muy buena:

  • https://www.petri.com/forcibly_removing_active_directoy_from_dc
  • https://www.petri.com/delete_failed_dcs_from_ad

Raise Forest y Domain Level a Windows 2008R2

Elevar los niveles funcionales de dominio y bosque a Windows 2008 R2.

https://technet.microsoft.com/es-es/library/cc771294(v=ws.11).aspx

Instalar Server 2016 en ServidorB y promocionar a DC

  • Instalar Windows Server 2016 en una nueva VM.
  • Para promocionar a DC, instalar el rol de AD-DS.

Portar SYSVOL de FRS a DFS-R con DFSmgr

Desde Windows Server 2008, los recursos SYSVOL y NETLOGON pueden funcionar con DFSR en lugar de FRS. Es una tecnología más nueva. Ahora es mandatory.

El proceso de convertirlo se hace con DFSRmig y consta de varios pasos:

  1. Start (inicial)
  2. Prepared
  3. Redirected
  4. Eliminated (hecho)

Para el paso primero este es el comando:

C:\Users\administrator>dfsrmig /SetGlobalState 1

Current DFSR global state: 'Start'
New DFSR global state: 'Prepared'
Migration will proceed to 'Prepared' state. DFSR service will
copy the contents of SYSVOL to SYSVOL_DFSR
folder.
If any DC is unable to start migration then try manual polling.
OR Run with option /CreateGlobalObjects.
Migration can start anytime between 15 min to 1 hour.
Succeeded.

Para chequear tenemos el siguiente comando, y hace lo de abajo:

C:\Users\administrator>dfsrmig /GetMigrationState

The following Domain Controllers are not in sync with Global state ('Prepared'):
Domain Controller (Local Migration State) - DC Type
===================================================
SERVER01 ('Start') - Primary DC
SERVER02 ('Start') - Writable DC
SERVER03 ('Start') - Writable DC
Migration has not yet reached a consistent state on all Domain Controllers.
State information might be stale due to AD latency.

Hay que esperar unos minutos. Cuando haya acabado dirá que ya está en un estado consistente. Entonces, continuar.

Y así todos los pasos:

  • dfsrmig /SetGlobalState 2
  • dfsrmig /SetGlobalState 3

Revisar que todo funciona bien

Actualizar los DC y eevisar el Visor de Eventos de cada DC. Reiniciar los equipos uno a uno y revisar que no hay ningún error. Y si los hay, controlarlos.

Monitorizar

Monitorizar cada DC con CACTI, Naemon y/o similar.