Come già evidenziato nell’articolo relativo alla data di fine supporto di Windows Server 2003 a breve saranno 5 gli anni trascorsi dal termine del supporto “extended” per la piattaforma Windows Server in oggetto. 5 anni nell’informatica equivalgono ad un’era, ma non sempre le aziende comprendono l’importanza degli aggiornamenti in termini di sicurezza e funzionalità: motivo per cui sono ancora molti ad oggi gli utilizzatori di Windows 2003 Server. In questo articolo vedremo come migrare da Windows Server 2003 a 2016 per la parte di funzionalità Active Directory e relativo ruolo di Domain Controller. Ecco la guida per come eseguire la migrazione, suddivisa in 5 step.

Step 1 – Preparare l’ambiente Windows Server 2003 di origine

Come prerequisito iniziale è necessario predisporre l’ambiente Windwos Server 2003 di origine ed elevare il livelo di funzionalità del dominio e della foresta e portarlo al massimo livello possibile: “Windows 2003 Server “. Per fare questo tramite lo snap-in Trust e Domini di Active Directory  sarà possibile elevare il functional level portandolo a quanto richiesto come prerequisito da Windows Server 2016.

Per aggiungere un Domain Controller Windows Server 2016 ad un dominio esitente sono infatti richiesti i seguenti prerequisiti:

  • Livello funzionale foresta Windows Server 2003 o superiore
  • Utilizzare un account che abbia i privilegi di Enterprise Admin, Schema Admin e Domain Admins

Se questi prerequisiti non verranno rispettati a seguito dell’analisi durante le fasi iniziali della promozione a Domain Controller, il wizard di promozione provvederà a fornire un messaggio di errore.

Qualora il livello della foresta sia già Windows Server 2003, sarà possibile passare al punto 2.

Step 2 – Installare il nuovo Domain Controller Windows 2016

Dopo aver joinato al dominio esistente il nuovo Server Windows 2016, sarà necessario aggiungere il ruolo tramite Server Manager di Active Directory Domain Services (AD DS). Terminata la procedua di setup dei componenti del ruolo, il sistema ci avverte della possibilità di procedere con il wizard di promozione a Domain Controller proponendo di default l’installazione del ruolo server DNS e dell’impostazione del nuovo Domain Controller come Global Catalog (in modo da garantire alta disponibilità alle query di ricerca degli oggett presenti in Active Directory).

La parte più importante della procedura sarà quella di confermare la selezione che prevede di “Aggiungere il Domain Controller ad un dominio esistente” e selezionare il nome del dominio attualmente esistente.

aggiungere-il-domain-controller-ad-un-dominio-esistente

Durante il setup Windows Server 2016 ci andrà a suggerire di inserire il nuovo Domain Controller nel sito adiacente, in base alla subnet più corretta e successivamente ci andrà a richiedere quella che diventerà la password da utilizzare in caso di ripristino di Active Directory (DSRM Directory Services Restore Mode).

Nella configurazione del servizio Server DNS accettando il default (scelta consigliata), verosimilmente ci verrà restituito un warning che segnala l’impossibilità di creare una delega per il server DNS in quanto non esiste la zona padre autorevole per il dominio: questo significa che host in altri domini o su Internet non riusciranno a risolvere le query del nome DNS per gli host nel dominio locale.

errore dns delegation

Dal momento che gli scenari classici non hanno la necessità di risoluzione DNS da parte di domini esterni, il messaggio di warning potrà tranquillamente essere ignorato.

Confermare poi tutto il resto ed attendere il riavvio in modo da avere 2 domain controller attivi per lo stesso dominio Active Directory. 

Step 3 – Configurare la replica di Active Directory

La replica di Active Directory tra i due Domain Controller dovrebbe già essere operativa; importante che i server stessi nei parametri del TCP/IP della propria scheda di rete puntino direttamente a se stessi (127.0.0.1). Per verificare che tutto sia funzionante in termini di replica AD è possibile eseguire il comando integrato in Windows Server 2016 Repadmin /replsummary e verificare che il risultato non evidenzi “Fails” oppure “Errors”.

repadmin - tool per il check della replica active directory

Lato DNS verificare che i contenuti della zona corrispondente al dominio siano replicati e gli stessi per entrambi i Domain Controller, in caso negativo provare a svuotare la cache del DNS Server, tramite il pulsante destro sull’oggetto Server nello snap-in e da lì lanciare il “Clear Cache”. 

Step 4 – Trasferire i ruoli FSMO da 2003 a 2016

Ci sono 5 ruoli FSMO che dovremo andare a rilocare da Windows 2003 a Windows 2016, in particolar modo:

– Schema Master

– Domain Naming Master

– RID Master

– PDC Emulator

– Infrastructure Master

Il modo più rapido per lo spostamento di questi ruoli Flexible Single Master Operations sarà quello di agire da Powershell di Windows Server 2016 e da lì eseguire come admin il comando: 

Move-ADDirectoryServerOperationMasterRole “SRV2016” –OperationMasterRole 0,1,2,3,4

Step 5 – Rimozione e demotion del vecchio Domain Controller Windows 2003

Ora che tutti i servizi principali sono stati “rilocati” su Windows Server 2016, sarà possibile completare la dismissione corretta del Domain Controller Windows 2003, in modo da “pulire” correttamente tutti i riferimenti in Active Directory. Dal server 2003 tramite comando DCPROMO partirà il wizard di rimozione del ruolo DC, confermando tutte le impostazioni di default, facendo attenzione al seguente settings:

demotion windows 2003 server

Successivamente il wizard ci chiederà di settare una password che diventerà quella associata all’account administrator locale del server 2003, in caso ci serva ancora accedere alla macchina.

Dopo aver riavviato il server 2003 avremo completato la procedura di migrazione da Windows 2003 Server a 2016 per qunto riguarda il servizio Active Directory. Nel contenitore di default “Domain Controller” ci troveremo quindi solamente l’account computer del server 2016.

Windows Server 2003

Sei interessato ad approfondire le tue conoscenze e le tue competenze su Windows Server 2016? Nexsys propone corsi di formazione dedicati tra cui il corso MOC 20740 Installation, Storage, and Compute with Windows Server 2016 ed il corso MOC 20742 Identity with Windows Server 2016 molto spesso presenti nel calendario corsi di formazione.

X