4

Migrar controlador de dominio con Windows Server 2019 a Windows Server 2022

Hola a tod@s.

En este post vamos a ver como migrar un controlador de dominio con Windows Server 2019 a Windows Server 2022.

En este laboratorio, sólo tenemos un controlador de dominio con Windows Server 2019, el cual lo vamos a migrar a Windows Server 2022.

  • Como podemos ver, tenemos un controlador de dominio en nuestra infraestructura con el sistema operativo MS Windows Server 2019 Standard:

  • Los roles o funciones que tiene este servidor son los siguientes, “Servicios de dominio de Active Directory, DNS y DHCP”:

  • Ahora debemos desplegar un nuevo server con el sistema operativo MS Windows Server 2022 Standard, lo actualizamos y lo configuramos como un controlador de dominio adicional:

  • Empezamos la configuración de nuestro controlador de dominio adicional asignándole un nombre y una dirección IP estática, como DNS primario le asignamos la dirección IP del controlador de dominio principal y como DNS secundario no configuramos nada, más tarde, le configuraremos su propia dirección IP:

  • Ahora agregamos este equipo como un miembro más del dominio:

  • Le proporcionamos las credenciales del Administrador del dominio y reiniciamos el equipo:

  • Como podemos ver se ha agregado correctamente, reiniciamos el servidor:

  • Ahora nos vamos a la consola de Usuarios y equipos de Active Directory en el controlador de dominio principal y cómo podemos ver, este equipo ya pertenece al dominio ragasys.net:

  • Iniciamos sesión en DC02 (Servidor que hemos terminado de unir al dominio) como Administrador del dominio:

  • En el Administrador del servidor agregamos roles y características:

  • Se nos abre el asistente típico para desplegar los roles y características, hacemos clic en siguiente:

  • Sobre Tipo de instalación, elegimos la opción, Instalación basada en características o roles:

  • Seleccionamos nuestro servidor dc02:

  • Sobre Roles de servidor, marcamos la opción Servicios de dominio de Active Directory:

  • Agregamos las características:

  • Clic en siguiente:

  • Todas las características que requiere nuestro controlador de dominio de Active Directory se seleccionan por defecto por lo que hacemos clic en siguiente:

  • Información sobre Active Directory :

  • Sobre Confirmación, iniciamos el despliegue del rol Servicios de dominio de Active Directory, marcamos que reinicie automáticamente en caso necesario y clic sobre Instalar:

  • Comienza el despliegue de los Servicios de dominio de Active Directory:

  • Una vez finalizada la instalación cerramos el asistente:

  • Sobre el Administrador del servidor y promovemos este servidor a controlador de dominio:

  • Sobre Configuración de implementación, marcamos la opción Agregar un controlador de dominio a un dominio existente, seleccionamos nuestro nombre de dominio y le proporcionamos las credenciales del Administrador del dominio, clic en Siguiente:

  • Sobre las Opciones del controlador de dominio, seleccionamos la función de DNS, ya que es un requisito imprescindible para Active Directory, también seleccionamos que sea Catálogo Global y luego introducimos una contraseña segura que será necesaria en caso de restauración de Active Directory:

  • Sobre Opciones de DNS, la dejamos por defecto, ya que el DNS lo tenemos configurado sobre el controlador de dominio principal, por lo que el controlador de dominio adicional se va a configurar automáticamente con la misma configuración que el principal:

  • En Opciones adicionales, le indicamos que replique desde el controlador de dominio principal:

  • Sobre Rutas de acceso las dejamos por defecto:

  • Sobre Revisar opciones, nos muestra un resumen de las configuraciones seleccionadas, clic en Siguiente:

  • Sobre Comprobación de requisitos previos, nos muestra que todas las comprobaciones se realizaron correctamente, clic a Instalar:

  • Sobre Instalación, podemos ver como comienza a instalar y configurar los Servicios de dominio de Active Directory, una vez instalados, el servidor se va a reiniciar automáticamente:

  • Tras el reinicio, nos abrimos la consola de Usuarios y equipos de Active Directory, y cómo podemos ver, este equipo ya está como un Domain Controller más de nuestra infraestructura:

  • También podemos comprobarlo con el comando netdom query dc:

  • Ahora accedemos a la configuración TCP/IPv4 de nuestro controlador de dominio recién desplegado y configuramos como DNS principal su propia dirección IP y como DNS secundario la dirección IP del controlador de dominio principal:

  • Con el comando repadmin /showrepl, verificamos que nuestro nuevo controlador de dominio está replicando con el controlador de domino principal:

  • Con el comando dcdiag /test:replications comprobamos la replicación y cualquier error de replicación entre los controladores de dominio:

  • Con el comando dcdiag /test:connectivity comprobamos la conectividad y cualquier error de conexión entre los controladores de dominio:

  • Con el comando dcdiag /test:DNS comprobamos que el DNS esté funcionando correctamente:

  • Estas mismas pruebas de diagnóstico, las debemos de realizar sobre el controlador de domino principal y así nos aseguramos que nuestros controladores de dominio estén en perfecto estado.
  • Una vez que tenemos agregado un controlador de dominio adicional con sistema operativo MS Windows Server 2022, y por tanto, superior a MS Windows Server 2019, vamos a proceder a transferir los roles FSMO del controlador de dominio principal al adicional, así el nuevo controlador de dominio con el Server 2022 quedará como principal.
  • Todos los dominios de Active Directory disponen de cinco roles FSMO (Flexible Single Master Operations), los roles FSMO son funciones específicas que realizan los controladores de dominio a nivel de bosque o de dominio:

  • Sobre cualquiera de nuestros controladores de dominio vamos a ejecutar el siguiente comando netdom query fsmo para ver quien tiene asignados estos roles FSMO, y como podemos ver todos los roles los tiene asignados nuestro primer controlador de dominio con Windows Server 2019 (dc01):

  • Ahora lo que vamos a realizar será transferir los cinco roles FSMO al controlador de dominio adicional (Windows Server 2022), convirtiéndolo así en el domain controller principal, para ello utilizaremos las siguientes herramientas.
  • Para transferir los roles de PDC Emulator, RID Master e Infraestructure Master vamos a utilizar la herramienta Usuarios y equipos de Active Directory, que nos la abrimos en nuestro controlador de dominio adicional con MS Windows Server 2022:

  • Primero vamos a transferir el RID Master:

  • Segundo vamos transferir el PDC Emulator:

  • En tercer lugar vamos a transferir el Infrastructure Master:

  • En cuarto lugar, vamos a transferir el Domain Naming Master, para ello vamos a utilizar la herramienta Dominios y Confianzas Active Directory, que nos la abrimos en nuestro controlador de dominio adicional con MS Windows Server 2022:

  • En quinto lugar, vamos a transferir el Schema Master, para ello vamos a utilizar la herramienta de consola Esquema de Active Directory, para poder utilizar esta herramienta tenemos que registrar la dll dll y personalizarnos una consola mmc, para ello, en nuestro controlador de dominio principal con MS Windows Server 2019 hacemos lo siguiente:

  • Al intentar cambiarlo nos da el siguiente error, ya que como destino se encuentra el mismo controlador de dominio:

  • Procedemos a cambiar el controlador de dominio de Active Directory:

  • Como podemos ver ya tenemos como destino el controlador de dominio adicional:

  • Como podemos ver, ya tenemos como Schema Master al controlador de dominio adicional (Windows server 2022):

  • Una vez que hemos realizado la transferencia de los cinco roles FSMO entre los controladores de dominio, sobre cualquiera de ellos vamos a ejecutar el siguiente comando netdom query fsmo para verificar que la transferencia se ha realizado correctamente, y como podemos ver, todos los roles los tiene asignados el que estaba como controlador de dominio adicional, lo hemos convertido por tanto en el controlador de dominio principal:

  • Si los cinco roles FSMO no los transferimos de forma manual, el proceso de despromoción los transferirá de forma automática a cualquier Controlador de dominio disponible, a mí personalmente prefiero hacerlo de forma manual.
  • Ahora ya podemos despromocionar como controlador de dominio el servidor con MS Windows Server 2019, para ello, vamos a realizar lo siguiente:
  • Nos abrimos el Administrador del servidor y pinchamos sobre la opción Administrar > Quitar roles y funciones:

  • Se nos abre este asistente, clic en siguiente para continuar:

  • Seleccionamos el servidor y clic sobre siguiente:

  • Sobre Roles de servidor, desmarcamos el check “Servicios de dominio de Active Directory” y sobre el asistente que se nos abre hacemos clic en “Quitar características”:

  • Se nos abre el siguiente asistente, que nos indica que tenemos que disminuir el nivel, por lo tanto, hacemos clic sobre “Disminuir el nivel de este controlador de dominio”:

  • Se nos vuelve a abrir otro asistente, dónde verificamos que las credenciales sean las correctas, esta es la opción más importante del asistente, ya que al ser un controlador de dominio adicional o secundario NO aparece la opción de marcar el check “Último controlador de dominio en el dominio”, clic sobre “siguiente”:

  • Marcamos el check “Continuar con la eliminación” y clic sobre siguiente:

  • En las opciones de eliminación marcamos el check para “Quitar delegación de DNS”, introducimos las credenciales y clic sobre “siguiente”:

  • Introducimos la nueva contraseña para el administrador local, al eliminar el rol de controlador de dominio, la cuenta de usuario de administrador pasará a formar parte de los usuarios locales de la máquina, clic sobre “siguiente”:

  • Revisamos y hacemos clic sobre “Disminuir nivel”, al finalizar la operación se reiniciará el servidor:

  • Como podemos ver comienza el proceso de degradación de nuestro controlador de dominio:

  • El sistema nos va a indicar que ha disminuido el nivel del controlador de dominio, y se va a reiniciar automáticamente.
  • Una vez que el equipo ha reiniciado verificamos que este servidor ya no es un controlador de dominio, en el Administrador del servidor nos vuelve a indicar con una advertencia “Promover este servidor a controlador de dominio”:

  • Sobre la consola de Usuarios y equipos de Active Directory del Controlador de dominio principal, podemos ver como el Controlador de dominio secundario ha pasado a formar parte del dominio como un equipo más de éste:

  • Para desinstalar los binarios de los Servicios de dominio de Active Directory, lo haremos a través del Administrador del Servidor > Administrar > Quitar roles y funciones:

  • Se nos abre este asistente, clic en siguiente para continuar:

  • Seleccionamos el servidor y clic sobre siguiente:

  • Desmarcamos los checks, Servicios de dominio de Active Directory y Servidor DNS:

  • Para los Servicios de dominio de Active Directory nos pide quitar las siguientes características:

  • Para el Servidor DNS nos pide quitar las siguientes características:

  • Una vez desmarcados estos dos checks, damos clic a “siguiente”:

  • Aquí no tocamos nada, clic sobre “siguiente”:

  • Nos muestra un resumen de las opciones configuradas para eliminar, le indicamos que reinicie en caso necesario y procedemos a quitar:

  • Comienza con la eliminación:

  • Tras el reinicio podemos ver que la eliminación ha sido correcta:

  • Todo se ha eliminado correctamente, en la bandera de las advertencias, ya NO nos avisa de la promoción de este servidor a Controlador de dominio, ya que todos los binarios han sido eliminados:

  • El único Controlador de dominio de nuestra infraestructura sería el servidor con MS Windows Server 2022:

  • Para terminar ya sólo nos quedaría elevar los Niveles Funcionales a nivel de dominio y de bosque.
  • Empezaremos elevando el Nivel Funcional del bosque, para ello, nos abrimos la herramienta Dominios y Confianzas de Active Directory:

  • Como podemos observar, el Nivel Funcional del bosque se encuentra en Windows Server 2016, ya que Microsoft no ha sacado niveles funcionales nuevos desde Windows Server 2016:

  • Ahora vamos a elevar el Nivel Funcional del dominio, para ello, nos abrimos la herramienta Usuarios y equipos de Active Directory:

  • Automáticamente al elevar el Nivel Funcional del bosque se eleva también el del dominio, pero como ya comentamos antes, Microsoft no ha sacado niveles funcionales nuevos desde Windows Server 2016:

  • Con la herramienta Centro de Administración de Active Directory tenemos opción a Elevar los Niveles Funcionales a nivel de bosque y de dominio:

 

Saludos y espero que os resulte de ayuda 😉

 

jramos

Técnico Superior STI

4 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.