Migrare un DC Windows2003 verso un nuovo server

Introduzione
Supponiamo di avere un server di dominio che non sia più sufficiente a soddisfare le nostre esigenze per le sue caratteristiche hardware ormai datate, o perché vogliamo una macchina più sicura e con maggiori prestazioni per la dimora del nostro dominio, o semplicemente perché il vecchio server ci ha stufato… Questa guida vi indicherà passo passo come trasferire l’intera struttura di dominio dal vecchio server al nuovo senza tempi di down-time, quindi è tranquillamente applicabile ad un sistema in produzione, ma vi consiglio prima di farvi qualche prova magari con un paio di macchine virtuali.
Partiamo da uno scenario in cui abbiamo il vecchio DC e la nuova macchina avviata e in rete come server membro, chiameremo d’ora in poi il DC s1 e il nuovo server s2 in modo tale da non fare confusione. Non dimenticate di fare un backup del system state su s1 come precauzione prima di procedere.

Primo step:
promuovere s2 a DC agganciadolo all’AD di s1 (s2 replica AD di s1)
Prima di procedere configurate le proprietà TCP/IP di s2 in modo che abbia un IP statico e che il primo DNS (non occorre inserire il secondo) sia l’IP di s1 quale server DNS del dominio.
Da s2 start -> esegui -> dcpromo

Fate click su avanti e alla finestra successiva ancora click su avanti, a questo punto siete nella seguente posizione

Flaggate come in figura in corrispondenza di “Controller aggiuntivo di dominio…” e fate click su avanti. Nella finestra che segue inserite le credenziali d’accesso dell’Administrator di s1 e il nome del relativo dominio:

Fate click su avanti e sarete nella posizione come in figura seguente, dove dovrete inserire il nome completo del dominio su s1. Potete anche fare click su sfoglia per una lista di domini contattabili, nel caso nella vostra rete vi sia solo quello residente su s1, nella lista comparirà solo la voce relativa al dominio su s1:

Cliccate su avanti e accettate le impostazioni di default delle successive due finestre fino ad arrivare alla scelta della password di “amministratore modalità ripristino servizi”, scegliete una password, cliccate avanti accettando le impostazioni di default delle schermate successive, poi fate click su “fine” iniziando così il processo di replica:

Al termine vi verrà chiesto di riavviare la macchina. Ricordatevi che ora vi loggherete su s2 con le credenziali dell’Administrator di dominio, quindi con la stessa password con cui accedete a s1. Una volta riavviata la macchina controllate che AD di s2 sia identica a AD di s1 e che non vi siano errori nel visualizzatore eventi, se non rilevate errori allora la replica è andata a buon fine.
Secondo step
: abilitazione trasferimento zona DNS su s1 e installazione DNS su s2
Su s1 aprite la console di gestione del DNS, start -> strumenti di amministrazione -> dns e fate click sul + in corrispondenza di “zone di ricerca diretta”. Come in figura sotto riportata tasto destro su “_msdcs.vostrodominio”

Click su proprietà dal menù contestuale appena aperto, scegliete poi la label “trasferimenti di zona” e abilitate il trasferimento come in figura sottoriportata:

E’ necessario abilitare il trasferimento di zona anche per la zona vostrodominio (in figura è home.local) , quindi ripetete gli stessi identici passaggi appena fatti per la zona “_msdcs.vostrodominio”.
A questo punto tornate su s2 per installare il DNS, click su start -> pannello di controllo -> installazione applicazioni, click su “installazione componenti di Windows”. Si apre la finestra sottoriportata, scorrete fino a “servizi di rete” evidenziandolo, ma non flaggando la voce:

Fate click su “dettagli” e flaggate “Domani Name System (DNS)” come nella figura sotto:

Click su ok e poi avanti, inizierà l’installazione del DNS (avrete bisogno del cd di Windows 2003), al termine dell’installazione fate click su fine. Il DNS su s2 non si replicherà da s1 immediatamente, saranno necessari alcuni minuti, quindi aprite la console del DNS, start -> strumenti di amministrazione -> dns, e controllate che la zona di ricerca diretta contenga gli stessi record del DNS di s1. Cambiate su s2 l’IP del DNS in 127.0.0.1.
Terzo step: trasferimento del GC (Global Catalog) da s1 a s2
Questo step è tanto semplice quanto fondamentale in quanto se su s2 non portiamo il GC, nessun client sarà più in grado poi di loggarsi al dominio sul nuovo server , o lo farà con la password in cache ammesso ce ne sia una, altrimenti potrà accedere solo in locale. Solo gli utenti appartenenti al gruppo domain admins possono loggarsi nel dominio senza contattare GC. Detto questo, procediamo partendo da s2 per assegnargli il ruolo di GC:
start -> strumenti di amministrazione -> siti e servizi di active directory, espandete “sito”, “nome sito” e “servers”, doppio click su s2, tasto destro -> proprietà su “NTDS settings” flaggate “catalogo globale”. La situazione sarà come in figura:

Date OK per confermare, sarà necessario un po’ di tempo per il completamento delle nuove impostazioni, tempo che varia secondo le impostazioni nel registro e la complessità della rete. Per avere un’idea più precisa su questa latenza, aprite il visualizzatore eventi, e sotto “servizio directory” cercate l’evento 1110 con origine “NTDS general”. Sempre sotto “servizio directory” a conferma che s2 ora è un GC, attendete l’evento 1119 con origine “NTDS general” che vi confermerà che “il controller di dominio è ora un catalogo globale”.
Ora dobbiamo rimuovere il ruolo di GC da s1, procediamo sempre su s2 (potete farlo farlo anche su s1) come in precedenza espandendo in siti e servizi di active directory “sito”, “nome sito” e “servers”, doppio click su s1, tasto destroproprietà, su “NTDS settings” levate il flag “catalogo globale” e confermate con OK. A conferma di operazione riuscita portatevi su s1 ed aprite il visualizzatore eventi, sotto “servizio directory” troverete un evento 1120 con origine “NTDS general” in cui sarete informati che “il controller di dominio non è più un catalogo globale”.
Quarto step: demote di s1, i 5 ruoli master (ruoli fsmo) saranno trasferiti su s2
In un dominio uno dei DC deve svolgere anche 5 ruoli detti “ruoli master” (fondamentali per il funzionamento del dominio intero): schema master, Domain Naming Master, PDC emulator, Relative Identifier Master (RID) e Infrastructure Master.
Tornando alla nostra situazione i ruoli master sono attualmente su s1 su cui ora andremo a togliere tali ruoli downgradandolo a semplice server membro (demote), per poi staccarlo definitivamente dalla rete.
Su s1 start -> esegui -> dcpromo, click su avanti:

NON mettete il flag “Questo server è l’ultimo controller…”, ma fate click su avanti e seguite i restanti pochi passi… Il processo di demote avrà inizio e i 5 ruoli master saranno trasferiti automaticamente su s2 che sarà ora a tutti gli effetti il nuovo DC del dominio. Potete spegnere e staccare dalla rete s1, date a s2 l’IP che aveva s1 (altrimenti i client puntano a un DNS che non c’è) e avete finito! Naturalmente prima di staccare s1 è bene controllare nel visualizzatore eventi la presenza di errori o meno e di assicurarsi che ogni client si logghi e lavori correttamente.
Ma se avreste voluto tenere in piedi s1 senza downgradarlo a server membro, magari per avere un DC al quale assegnare ruoli meno pesanti come si fa con ogni vecchietto che si rispetti? Leggete il successivo “quarto step bis”….
Quarto step bis: trasferimento dei 5 ruoli master (ruoli fsmo) da s1 a s2 (ntdsutil.exe)
Nel caso in cui volessimo mantenere s1 come DC aggiuntivo, per trasferire i ruoli master non avvalendoci di una procedura di demote, dobbiamo utilizzare l’utility ntdsutil.exe (su s1) che avrete a disposizione installando i support tools che trovare nella cartella support/tools del cd di Windows 2003 o che potete scaricare
(http://download.microsoft.com/download/3/e/4/3e438f5e-24ef-4637-abd1-981341d349c7/WindowsServer2003-KB892777-SupportTools-x86-ENU.exe).
Una volta installati i tools su s1, start -> programmi -> windows support tools -> command prompt,
digitate e date invio:
• ntdsutil
• roles
• connections
• connect to server s2
• quit

Ora siamo pronti a trasferire i ruoli, quindi digitate e date invio per ognuno dei seguenti comandi:
• transfer domain naming master
• transfer infrastructure master
• transfer pdc
• transfer rid master
• transfer schema master
• quit
• quit
Per avere conferma del corretto trasferimento dei ruoli sempre da prompt dei comandi digitate “netdom /query fsmo”, date invio e avrete per ogni ruolo il nome della macchina che lo detiene, nel nostro caso s2. A questo punto avrete i ruoli master su s2, mentre s1 rimane un DC al quale poter delegare le funzioni che più ritenete opportune,
Per la cronaca è possibile trasferire i ruoli anche attraverso l’interfaccia grafica, ma personalmente preferisco la riga di comando….