infnet migração do_active_directory

Migrando de Windows 2000/2003 para Windows Server 2008

Paulo Roberto Sant'anna CardosoMVP - MCT - MCTS - MCSE - MCSA - MCP - CCA – CCSABlog: http://paulosantanna.wordpress.comMail: [email protected] – [email protected]: http://www.inventit.com.br

Agenda

• Por que Migrar?

› 3 Razões para você migrar

• Cenários de Migração

› Entenda seu ambiente e onde você quer chegar

• Processo de Migração

› Pré-migração, migração e pós-migração

• Demos

Por que Migrar?3 RAZÕES PARA MIGRAR

Suportabilidade

• Windows 2000 Server e Windows Server 2003

Maturidade do Produto

• Este é o momento

Windows Server 2008 R2 ROCKS!

• Dezenas de novos recursos

Por que Migrar?SUPORTABILIDADE

Por que Migrar?Maturidade

2008 RTM

2008

2008 R2

2008 R2SP1

Essential Business SeverEssential Business Sever

2008 R2Foundation

Por que Migrar?Windows Server 2008 R2 ROCKS!

Read-Only Domain

Controllers

Restartable Active

Directory Domain

Services

Auditing

Fine-Grained Password

Policies

Database Mounting Tool

User Interface

Improvements

Cenários de MigraçãoPrincipais cenários

Upgrade In-place(Atualização do SO)

Upgrade de Domínio (Single Domain)

IntraForest (Mesma Floresta)

InterForest (Florestas diferentes)

Cenários de MigraçãoO que saber antes de Migrar

Incompatibilidade com Domain Controller NT4.0

Relação de suportabilidade SO Cliente:

SO do Cliente SO do Domain Controller

Windows Server 2008 R2

Windows NT 4 Melhorias da segurança padrão impedem adicionar a estação no domínio e estabelecer um canal seguro, porém estas configurações podem ser alteradas.Contudo esta configuração não foi testada pelo grupo de produto Windows, e portanto não é suportada.

Windows 2000 Esta configuração não foi testada pelo grupo de produto Windows, e portanto não é suportada, mas deve funcionar.

Windows XP, Vista, 7, 2003, 2003 R2, 2008e 2008 R2

Totalmente testado e suportado

Cenários de MigraçãoO que saber antes de Migrar (Cont...)

Exchange 2007 (SP1 / SP2)* and Exchange 2003 SP2 não podem ser instalados no Windows Server 2008 R2

Microsoft Exchange Server convive mas não utiliza RODCs, portanto precisa de um RWDC no próprio site.

* Exchange 2007 SP3 é suportado somente em novas instalações no Windows Server 2008 R2

* ATENÇÃO – Exchange 2010 somente em plataforma x64!

Cenários de MigraçãoUpgrade In-place (Atualização do SO)

• Características:

› Instalação do Windows Server 2008 R2 no mesmo servidor rodando o Windows Server 2003 R2 X64

› Normalmente usado em ambientes pequenos, com recursos escassos

Cenários de MigraçãoUpgrade de domínio (Single Domain)


› Os Domain Controllers de origem e destino pertencem obrigatoriamente à mesma Floresta, e ao mesmo domínio

› As contas são automaticamente migradas para o AD 2008

› Não há a necessidade de migrar os perfis dos usuários

› O processo é mais simples

Cenários de MigraçãoIntraForest (Domínios diferentes)


› Os Domain Controllers de origem e destino pertencem obrigatoriamente à mesma Floresta, mas a domínios diferentes

› Normalmente utilizado em consolidação de domínios

› Os perfis de usuários são migrados automaticamente

› Objetos de usuário e grupo quando migrados são excluídos do domínio de origem

Cenários de MigraçãoInterForest (Florestas diferentes)

Características:Os Domain Controllers de origem e destino pertencem obrigatoriamente a Florestas distintas

Os Objetos são clonados, portanto permite co-existência dos ambientes, facilitando o roll-back caso necessário

Não afeta a replicação dos DC’s do domínio existente

Há a necessidade de migrar os perfis dos usuários

Processo de MigraçãoUpgrade In-place (Fase Pré-Migração)

• Verificar os cenários suportados

• Verificar os cenários não suportados

• Considerações

Processo de Migração Upgrade In-place – Cenários Suportados

Se você roda: Pode atualizar para: Do Windows Server 2003 (SP2, R2) *: Upgrade para o Windows Server 2008 R2:

DatacenterEnterpriseStandard

DatacenterEnterprise, DatacenterStandard, Enterprise

Do Windows Server 2008 (RTM-SP1, SP2) *: Upgrade para o Windows Server 2008 R2:

DatacenterDatacenter CoreEnterpriseEnterprise CoreFoundation (Apenas SP2)StandardStandard CoreWebWeb Core

DatacenterDatacenter CoreEnterprise, DatacenterEnterprise Core, Datacenter CoreStandardStandard, EnterpriseStandard Core, Enterprise CoreStandard, WebStandard, Web Core

* Plataforma X64

Processo de MigraçãoUpgrade In-place – Cenários não Suportados

• De Sistema Operacional Cliente para Servidor

• De Windows NT® Server 4.0, Windows 2000 Server, Windows Server 2003 RTM, Windows Server 2003 with SP1, Windows Server 2003 Web, Windows Server 2008 R2 M3(pré-beta), ou Windows Server 2008 R2 Beta

• De Windows Server 2003 para Sistemas com base em Itanium,

• Atualizações in-place de arquitetura cruzada (ex: x86 para x64)

• Atualizações in-loco entre idiomas (ex: en-us para pt-br)

Processo de MigraçãoUpgrade In-place – Considerações

*Recomendamos uma instalação limpa do Windows Server 2008 R2 sempre que possível.

• Monte um ambiente de laboratório para validar o Upgrade, antes de fazê-lo em produção

• Tenha pelo menos 2 DCs para ter redundância

• Crie um plano de testes para as aplicações

• Garanta que todos os drivers e software X64 de Kernel-Mode tenham assinatura digital

• Faça Backup dos seus servidores

• Saiba que não há “Ctrl+Z” após a atualização

• Tenha certeza de que todas as suas aplicações são compatíveis

• Familiarize-se com os problemas conhecidos:

http://go.microsoft.com/fwlink/?LinkId=110830

Processo de MigraçãoUpgrade In-place – Considerações (Cont.)

Requisitos de sistema para o Windows Server 2008 R2:Componente Requisitos

ProcessadorMínimo: 1.4 GHz (x64 processor)

Nota: O processador Intel Itanium 2 é exigido para o Windows Server 2008 para sistemas baseados em Itanium

MemóriaMínimo: 512MB RAMMáximo: 8 GB (Foundation) ou 32 GB (Standard) ou 2 TB (Enterprise, Datacenter, for Itanium)

Espaço em Disco

Mínimo: 32 GBFoundation: 10 GB ou mais Nota: Computadores com mais de 16GB de RAM podem exigir mais espaço em disco para paginação, hibernação e arquivos de despejo

Processo de MigraçãoUpgrade In-place (Fase Migração)

• Entender as fases do processo de atualização do Sistema Operacional

Processo de MigraçãoUpgrade In-place – Atualização do SO

Etapas da atualização

Fase Descrição

ColetaO mecanismo de atualização coleta informações do sistema operacional de origem, incluindo dados do usuário, chaves do Registro e dados de aplicativo.

Instalação

O mecanismo de atualização realiza uma instalação limpa a partir do ambiente de pré-instalação do Windows (Windows PE) da imagem do Windows Server 2008 no disco rígido.

AplicaçãoO mecanismo de atualização aplica as informações coletadas na fase de coleta ao novo sistema operacional.

Processo de MigraçãoUpgrade In-place (Fase Pós-Migração)

• Verificar os serviços do Active Directory

• Executar tarefas pós-upgrade


• Verificar os serviços do Active Directory

Verificar se o serviço “Active Directory Domain Services”

Abrir os MMCs do Active Directory (ADUC, ADSS, ADDT), verificar se está funcional e a conta do servidor encontra-se na OU “Domain Controllers”

Verificar logs de erro no Eventviewer

Verificar o compartilhamento da pasta Sysvol e Netlogon

Executar scripts de teste:

dcdiag /s:<destination domain controller name>netdom query /domain:<domain name> fsmogpresult /scope computer /r >GPO.txt

dcdiag /test:dnsdsquery * domainroot -filter "objectcategory=container"

-scope onelevel -s <destination server>


• Executar tarefas pós-upgrade

Executar uma desfragmentação offline da base do AD

Executar o backup do System State do servidor

Pare o serviço ADDS >>net stop ntdsEntre no Ntdsutil >>ntdsutil

Ative a instâncias >>activate instance ntdsModo manutenção >>files

Compacte o database >>compact to “C:\CompactDB”Saia do Ntdsutil >>quit (2x)

Apague os logs da pasta de logs do database do ADCopie o novo arquivo ntds.dit para a pasta original

Entre no Ntdsutil >>ntdsutilModo manutenção >>files

Ver integridade >>IntegrityInicie o ADDS >>net start ntds

Processo de MigraçãoUpgrade de Domínio (Fase Pré-Migração)

• Verificar requisitos de nível funcional

• Preparar a Floresta

• Preparar o Domínio

• Preparar para RODCs

Processo de MigraçãoUpgrade de Domínio

• Requisitos de nível funcional:

› Adprep /forestprep - nenhum

› Adprep /domainprep – Nível funcional do Domínio nativo do Windows 2000 ou maior em cada domínio alvo

› Adprep /rodcprep - nenhum

* A instalação de um RODC requer que o nível funcional da floresta seja Windows Server 2003 ou maior


• Preparar a Floresta/Domínios:

Comando Domain Controller Qtde de execuções

Adprep /forestprep Schema Master Uma vez na floresta

Adprep /rodcprep Qualquer DC Uma vez na floresta

Adprep /domainprep Infrastructure Master Uma vez em cada domínio

Adprep /domainprep/gpprep

Infrastructure MasterUma vez em cada domínio(Não é necessário se já tiver sido executado no W2003)


• Preparar a Floresta:

Adprep /forestprep

• Prepara a floresta para o RODC:

Adprep /rodcprep• O ambiente tem que ter um RWDC rodando o Windows Server 2008 ou o Windows Server 2008 R2

• O Windows XP and o Windows Server 2003 precisam do pacote de compatibilidade - KB944043

• Preparar o domínio:

Adprep /domainprep /gpprep

Operating System Schema Version

Windows 2000 Server 13Windows Server 2003 30Windows Server 2003 R2 31Windows Server 2008 44Windows Server 2008 R2 47

Processo de MigraçãoUpgrade de Domínio (Migração)

• Promover um Member Server 2008

Processo de MigraçãoUpgrade de Domínio (Pós-Migração)

• Modificar a politica de segurança padrão

• Atualizar as permissões das GPOs

• Transferir os FSMO

• Upgrade ou Demote dos DCs legados

• Executar outras tarefas


• Modificar a politica de segurança padrão

› Necessário quando há estações NT4.0 na rede

› Estas alterações diminuem a segurança da rede

• As políticas são:

› Default Domain Controllers Policy:

Chave: Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options.

Configurar para “disable” as seguintes políticas:Microsoft network server: Digitally sign communications (always) Domain member: Digitally encrypt or sign secure channel data (always)


• Atualizar as permissões das GPOs

› Necessário quando se estiver migrando de um domínio Windows 2000, para que o recurso de Group PolicyModeling possa ser 100% funcional.

• Para atualizar as permissões em todas as GPOs de um domínio execute os comandos:

cd /d %programfiles%\Microsoft Group Policy\GPMC Sample Scripts

Cscript GrantPermissionOnAllGPOs.wsf “Enterprise Domain Controllers”

/permission:read /domain:DNSDomainName /Replace )


• Transferir os FSMO

FSMOs da Floresta

› Schema Master

› Domain Naming Master

FSMOs do Domínio

› PDC emulator

› RID Master

› Infrastructure master


• Upgrade ou demote dos DCs Legados

› Se estes DCs forem W2003 x64, podem ser atualizados para o 2008 R2 (conforme visto anteriormente)

› Caso contrário, deverão ser rebaixados a memberservers, formatados e instalados com o Windows Server 2008 R2 (se o hardware suportar x64)


• Executar outras tarefas importantes:

Fazer um backup do System State dos novos DCs

Aumentar o nível funcional do Domínio e Floresta:

• Utilize virtualização, mas mantenha ao menos um DC físico!

• Antes de migrar faça o levantamento do ambiente

Hardware dos DCs

Serviços executados nos servidores (DNS, WINS, DHCP...)

Serviços com Autenticação no Domínio

Sites and Services

Estrutura de OUs

GPOs

Script de Logon

Windows Update

FinalizandoRecomendações

Links importantes

Informações sobre o suporte ao Windows 2000

http://support.microsoft.com/ph/1131#tab0

Informações sobre o suporte ao Windows 2003

http://support.microsoft.com/lifecycle/?p1=3198

Active Directory Migration Tool (ADMT)

http://go.microsoft.com/fwlink/?LinkId=191734

Upgrade Inplace

http://technet.microsoft.com/en-us/library/dd379558(WS.10).aspx

Migração de Domínio

http://technet.microsoft.com/en-us/library/cc731188(WS.10).aspx

Migração Interforest


Migração Intraforest


Dúvidas?

www.infnet.edu.br

[email protected]

2122-8800

Ministrada por

Paulo Roberto Sant´anna Cardoso

E-mail: [email protected]

http://www.infnet.edu.br/

infnet migração do_active_directory

Technology