Migracion de Un Dominio Windows 2000 a Windows 2003

Migración de un Dominio de Windows 2000 a Windows 2003

Diciembre, 2004

Abstract

Este documento da a conocer los pasos necesarios a llevar a cabo para realizar una migración de

un Directorio Activo con Windows 2000 a Windows 2003

Programa MVPhttp://mvp.support.microsoft.com

Contenidos

INTRODUCCIÓN.............................................................................................................3

Abreviaturas.....................................................................................................................3

Referencias......................................................................................................................3

Mejoras introducidas en Windows 2003..........................................................................6

Consideraciones previas a la migración..........................................................................6

Escenario.........................................................................................................................9

Proceso de migración....................................................................................................11

Operaciones a realizar posteriormente.........................................................................27

Migración de un Dominio de Windows 2000 a Windows 2003 2

http://mvp.support.microsoft.com/


INTRODUCCIÓN

A continuación de presenta un escenario de pruebas montado con un Directorio Activo –a partir de ahora “AD”- sobre Windows 2000; éste se migrará a Windows 2003 realizando una actualización de los Controladores de Dominio –a partir de ahora “DC’s”- en Windows 2000 a Windows 2003.

El documento pretende abarcar sobre todo la parte práctica del proceso, dando a conocer también unos detalles de interés sobre mejoras del producto. Queda fuera de la temática de este documento todo lo relacionado con las mejoras específicas y detalladas del producto o análisis de casos concretos o situaciones especiales.

Antes de llevar a cabo cualquier migración de este tipo es imperiosamente necesario montar un laboratorio de pruebas adecuado lo más parecido posible al entorno de producción final donde se llevará a cabo la migración real; igualmente se hace necesario tener un plan de contingencia previsto y también testeado para que ante algún posible fallo o desastre durante la intervención poder volver a una situación “normal” de la forma más rápida y precisa posible y poder por tanto seguir ofreciendo servicio; siempre será necesario tener un plan de backup actualizado de nuestros DC’s y tecnología adicional y repasar los procedimientos adicionales que pueda haber si en nuestra infraestructura están involucrados más productos o software de terceros que puedan verse afectados (por ejemplo, Exchange 2000).

ABREVIATURAS

MMC: Microsoft Management ConsoleAD: Active DirectoryDC: Domain ControllerFQDN: Fully Qualified Domain NameDNS: Domain Name ServerCMD: Command PromptGC: Global CatalogFSMO: Flexible Single Master Operation (Maestro de Operaciones)GPO: Group Policy ObjectOU: Organizacional Unit KCC: Knowledge Consistency Check

REFERENCIAS

Support WebCast: Microsoft Windows Server 2003: Upgrading Windows 2000 Domains to Windows Server 2003http://support.microsoft.com/default.aspx?kbid=812954

Upgrading from Windows 2000 Server to Windows Server 2003http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx

Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domainhttp://support.microsoft.com/default.aspx?scid=kb;en-us;555040



http://support.microsoft.com/default.aspx?scid=kb;en-us;555040

http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx

http://support.microsoft.com/default.aspx?kbid=812954


Upgrading Windows 2000 Domains to Windows .NET Serverhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/evaluate/cpp/reskit/adsec/part1/rkpdsw2k.asp

How to Upgrade Windows 2000 Domain Controllers to Windows Server 2003http://support.microsoft.com/default.aspx?scid=kb;en-us;325379

Determine Domain Controller Upgrade Orderhttp://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dssbf_upwn_wgot.asp

Background Information for Upgrading Windows 2000 Domains to Windows Server 2003 Domainshttp://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_uglt.asp

HOW TO: Reconfigure an _msdcs Subdomain to a Forest-wide DNS Application Directory Partition When You Upgrade from Windows 2000 to Windows Server 2003http://support.microsoft.com/default.aspx?scid=kb;en-us;817470

Deploying WINS in an Enterprise Networkhttp://www.microsoft.com/windows2000/techinfo/reskit/deploymentscenarios/scenarios/wins_usingwinsinenterprisenetwork.asp

CÓMO: Instalar la extensión de cliente de Active Directoryhttp://support.microsoft.com/default.aspx?kbid=288358

Active Directory Client Extensions for Windows 95/98 and Windows NT 4.0http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp

How To: Install the Active Directory Client Extension (DSClient) For Windows 9xhttp://www.4help.vt.edu/lm/

Error Message When Windows 95 or Windows NT 4.0 Client Logs On to Windows Server 2003 Domainhttp://support.microsoft.com/default.aspx?scid=kb;en-us;811497

Uso de herramientas de diagnóstico para un Controlador de Dominiohttp://www.microsoft.com/spain/technet/comunidad/articulos_mvp.mspx

Windows Server 2003 adprep /forestprep Command Causes Mangled Attributes in Windows 2000 Forests That Contain Exchange 2000 Servershttp://support.microsoft.com/kb/314649

Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1http://www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Scripting DNS on Clientshttp://www.microsoft.com/technet/scriptcenter/topics/networking/05_atnc_dns.mspx

Completing Post-Upgrade Taskshttp://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_wwml.asp



http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_wwml.asp



http://www.microsoft.com/technet/scriptcenter/topics/networking/05_atnc_dns.mspx

http://www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en


http://support.microsoft.com/kb/314649

http://www.microsoft.com/spain/technet/comunidad/articulos_mvp.mspx


http://www.4help.vt.edu/lm/

http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp

http://support.microsoft.com/default.aspx?kbid=288358

http://www.microsoft.com/windows2000/techinfo/reskit/deploymentscenarios/scenarios/wins_usingwinsinenterprisenetwork.asp

http://www.microsoft.com/windows2000/techinfo/reskit/deploymentscenarios/scenarios/wins_usingwinsinenterprisenetwork.asp


http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_uglt.asp



http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dssbf_upwn_wgot.asp




http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/evaluate/cpp/reskit/adsec/part1/rkpdsw2k.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/evaluate/cpp/reskit/adsec/part1/rkpdsw2k.asp


How to raise domain and forest functional levels in Windows Server 2003http://support.microsoft.com/default.aspx?scid=kb;en-us;322692





Mejoras introducidas en Windows 2003

Evidentemente, antes de hacer un cambio o migración, se debe ver y estudiar qué mejoras o posibilidades de futuro nos ofrece el producto al cual queremos migrar y ver si efectivamente se van a explotar las nuevas capacidades.

Windows 2003 ofrece mejoras en varios aspectos: ofrece mayor tiempo de disponibilidad, mejor rendimiento y prestaciones, más seguridad, más sencillez a la hora de administrar e implementar soluciones, más robustez, etc, que conlleva siempre a un punto final que es básicamente: más productividad (o la típica frase, “hacer más con menos”).

Igualmente, y como se ha dicho antes, para aprovechar totalmente las oportunidades que ofrece Windows Server 2003, las estaciones de trabajo deben tener un sistema operativo que pueda integrarse y hacer un uso completo de todas ellas; Windows XP con SP2 es el mejor caso posible, pero igualmente Windows 2000 con SP4 y actualizado al día puede también aprovechar la mayor parte de las funcionalidades necesarias.

De este modo, se pueden aprovechar funcionalidades tales como: particiones de aplicaciones, cacheo de Grupos Universales, mejoras en las réplicas entre los DC’s, y sobre todo, los DC’s que sean Global Catalog’s, mejoras en las políticas de los bloqueos de cuentas, migración de SID’s y conservar un historial de ellos para cada objeto que lo requiera, etc.

En el apartado de seguridad, por ejemplo, todos los clientes a partir de Windows 2000 SP4 pueden firmar las conexiones de tráfico LDAP, al igual que pueden firmar también las conexiones SMB. El grupo de usuarios “Todos” pasa a ser considerado un grupo de usuarios autenticados y no anónimos. Se ofrecen plantillas de seguridad para las GPO con mayores posibilidades y opciones, etc

Igualmente hay muchas otras series de ventajas que se pueden mirar en:

http://www.microsoft.com/spain/technet/productos/windowsserver2003/ws2003_ppts.asp

Consideraciones previas a la migración

Como se ha explicado antes, es muy recomendable montar un laboratorio de pruebas para realizar los pasos que se van a dar a conocer. De este modo no sólo conseguiremos poder ver posibles problemas que nos podemos encontrar, si no que además nos servirá de práctica previa e instructiva para poder acometer el paso final en producción llegado el momento con más conocimientos y confianza.

NOTA: tan importante es tener un plan de pruebas como el tenerlo de contingencia y backup, para que ante un caso de desastre, poder hacer una marcha atrás hasta un punto en que el sistema estuviera estable y poder seguir ofreciendo servicio a los clientes.






Los pasos que se describen se han llevado a cabo en un laboratorio de pruebas en el que había 3 DC’s y un árbol de dominios (se explica más adelante y detallado el esquema del laboratorio empleado).

Antes de la migración deberemos hacer un backup de nuestros DC’s y datos que pueda haber de importancia.

Debemos tomar nota también de toda la información relativa a la configuración que tengan, especialmente en el apartado de red, y tener un esquema bien definido de nuestro bosque de AD, topología y replicación entre Sites, roles de los DC’s, Global Catalog’s, servidores DNS y de demás servicios que puedan verse afectados.

Hay que tener un inventario de los DC’s a actualizar y repasar que tanto el software, como el hardware y drivers de componentes vayan a ser compatibles con el nuevo sistema operativo. Podemos consultar la página del Catálogo y HCL de Microsoft (http://www.microsoft.com/whdc/hcl/default.mspx) para ver este aspecto, al igual que la página web del fabricante.

Igualmente, antes de hacer la actualización de Windows 2000 a Windows 2003, en la misma pantalla de instalación nada más poner el CD nos presenta una opción para verificar que nuestro equipo cumple con los requerimientos necesarios para la actualización o por el contrario posibles problemas que podemos encontrar después de ésta (ya sea por causa de algún driver, aplicación, etc); a continuación un ejemplo de ello:



http://www.microsoft.com/whdc/hcl/default.mspx


Es muy importante que la replicación entre nuestros DC’s esté funcionando correctamente, al igual que la resolución DNS, tanto directa como inversa –a ser posible- entre los DC’s del bosque.

Debemos tener especial cuidado si tenemos en la red clientes Pre-Windows 2000, para los cuales debería existir un servicio de WINS para poder resolver adecuadamente los nombres y servicios NetBIOS de los equipos y servidores del dominio, ya que los sistemas operativos previos a Windows 2000 se basaban enteramente en la resolución de nombres y servicios por NetBIOS y no por DNS y




TCP/IP; es muy recomendable que se tenga instalado el “dsclient” en las máquinas, ya que Windows 2003 introduce un método para forzar que las conexiones SMB vayan firmadas y encriptadas para no permitir que usuarios malintencionados puedan sacar información a través de la red; a parte, equipos con Windows NT 4 deben tener al menos el SP4 instalado, siendo lo más aconsejable siempre poner el último (SP6a). Además, de este modo los clientes podrán hacer consultas al LDAP, y por tanto, al servicio de directorios que ayudarán a la hora de ciertas tareas relacionadas con el AD. No obstante, el marco ideal sería actualizar los equipos con sistemas pre-Windows2000 a Windows XP SP2, para que de esta forma, poder aprovecharse e integrarse totalmente con la infraestructura nativa de un dominio bajo Windows Server 2003.

Apartados especiales a considerar, como si tenemos por ejemplo Exchange 2000, hay que tener especial atención a lo siguiente:

Windows Server 2003 adprep /forestprep Command Causes Mangled Attributes in Windows 2000 Forests That Contain Exchange 2000 Servershttp://support.microsoft.com/kb/314649

NOTA IMPORTANTE : tal y como se indica en “Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1”, la versión de adprep que va en el SP1 de Windows Server 2003 tiene la mejora de poder detectar objetos del esquema que puedan tener problemas al llevar a cabo la actualización de éste y dejarlo preparado para la migración. Hasta que dichos problemas no se hayan solucionado, no será posible lanzar el comando exitosamente.

Es por ello tan importante el tener un laboratorio de pruebas tan parecido al entorno final de producción como sea posible para poder determinar posibles errores y saber tomar un plan de acción para resolverlo lo antes posible.

Igualmente hay que recalcar que antes de llevar a cabo el proceso de migración, los DC’s con Windows 2000 deben tener al menos instalado el SP2, ya que de lo contrario se pueden perder datos del esquema. También es necesario revisar que las réplicas entre los DC’s funcionan adecuadamente y que haya objetos de DC’s en el AD que ya no existan (debido, por ejemplo, ante una caída inesperada de uno de ellos sin posibilidad de despromocionarlo antes correctamente). Podemos mirar este artículo para realizar los diagnósticos necesarios a la hora de evaluar el estado de nuestra infraestructura lógica de AD:


Finalmente, es muy aconsejable la lectura de los documentos de referencia para tener más información al respecto.

Escenario






http://support.microsoft.com/kb/314649


A continuación se explica el escenario con el que se han llevado a cabo las pruebas así como la configuración a tener en cuenta en los DC’s.

Como podemos ver tenemos lo siguiente:

ForestRoot Domain: contoso.local

Compuesto de 2 DC’s en Windows 2000.

Nombre DC: dc1Roles: este DC tiene actualmente los 5 FSMO (PDCEmulator, RIDManager, Infraestructura Master, Naming Master, Schema Master). Es además un servidor de Global Catalog y tiene el servicio DNS instalado albergando la zona “contoso.com”Configuración IP

Dirección IP: 192.168.0.10Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>




DNS principal: 192.168.0.11DNS secundario: 192.168.0.10

Nombre DC: dc2Roles: este DC es un servidor de Global Catalog y tiene el servicio DNS instalado albergando la zona “contoso.com”Configuración IP

Dirección IP: 192.168.0.11Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>DNS principal: 192.168.0.10DNS secundario: 192.168.0.11

Child Domain: subdomain1.contoso.local

Compuesto de 1 DC en Windows 2000.

Nombre DC: dc3Roles: este DC tiene actualmente los 3 FSMO (PDCEmulator, RIDManager, Infraestructura Master). Es además un servidor de Global Catalog y tiene el servicio DNS instalado albergando la zona “subdomain1.contoso.com”Configuración IP

Dirección IP: 192.168.0.13Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>DNS principal: 192.168.0.13DNS secundario:

Este servidor tiene en su configuración del DNS Server como reenviadores (forwarders) las IP’s de DC1 y DC2

Referente a la configuración DNS, la zona “contoso.com”, albergada por los servidores DC1 y DC2, contiene una delegación de zona para “subdomain1”, la cual es albergada por el DC3.

Proceso de migración

La migración se puede acometer de 2 maneras diferentes. Muy resumidamente:

La primera, sería añadir un servidor con el sistema operativo Windows 2003 al ForestRootDomain como servidor miembro y promocionarlo a DC. Tras ello habría que pasarle el rol de Naming Master. Tras ello, hay que actualizar en primer lugar preferiblemente el DC que lleve el rol de PDCEmulator en el ForestRootDomain y en el resto de dominios del bosque (o bien transferirlo a un DC con Windows Server 2003 de ese dominio). Después hay que seguir actualizando el resto de DC’s hasta que todos tengan el sistema operativo Windows 2003.




La segunda, que es la que se llevará a cabo, es actualizar directamente los DC’s existentes.

La ventaja de la primera es primordialmente la posibilidad de no tener que parar de dar servicio a los ya que siempre habrá al menos un DC disponible en el dominio. La desventaja, hay que invertir en hardware.

La segunda, como ventaja efectivamente está el no tener que invertir nada, pero por el contrario podemos tener que dejar de dar servicio durante algún tiempo dependiendo de nuestra infraestructura existente.

Como hemos dicho, nuestro procedimiento será para el segundo caso (que difiere del primero tan sólo en tener que preparar un servidor nuevo con Windows 2003 y hacerle DC adicional del dominio).

Una vez realizadas las tareas previas antes citadas, lo primero que debemos hacer es preparar el bosque y los dominios que lo conforman para poder trabajar bajo Windows 2003. Para ello deberemos hacer uso de la herrmienta “adprep” del CD de Windows 2003.

Con dicha herramienta prepararemos el bosque entero para una funcionar con una nueva versión del esquema, se mejora la seguridad de las ACL’s para el acceso a objetos del AD o de la carpeta de SYSVOL, crea nuevos tipos de objetos, etc.

Por precaución, y debido a que vamos a actualizar el esquema del AD, vamos a quitar de la red a DC1 (que como hemos dicho es nuestro Schema Master) hasta que hayamos verificado que el proceso se ha llevado a cabo correctamente; de éste modo, si hubiera algún tipo de problema insalvable que dejara corrompido el esquema, podremos forzar el traspaso de dicho rol(es) a otro DC del dominio.

Por tanto, lo primero es preparar el bosque entero. Para ello ponemos el CD de Windows 2003 en el servidor DC1, y en un CMD vamos a la unidad del lector de CD’s y navegamos a la carpeta i386, y en ella escribimos adprep /forestprep

Nos aparecerá un mensaje de advertencia indicándonos los requerimientos previos que deben tener los DC’s del bosque. Como hemos verificado antes que así es, escritos la letra “C” como se nos pide y damos al intro, con lo que comienza el proceso:




Podemos repasar el log del proceso llevado a cabo en la ruta “%systemroot%\ system32\debug\adprep\logs”.

Igualmente podemos verificar que se ha llevado a cabo haciendo lo que se indica en el apartado titulado “To verify that the Active Directory Preparation tool has completed all operations successfully”.

Si está todo correcto podemos volver a poner en red a DC1 y que comience a replicar con el resto de DC’s del bosque. Hasta que no haya replicado los cambios con todos ellos no será posible seguir, por lo que si nuestra estructura es compleja y tenemos varias topologías de red subdivididas en sus correspondientes Sites el proceso puede tardar tiempo en completarse enteramente.

En el visor de eventos del Schema Master de nuestro ejemplo podremos ver 4 veces el “EventID 1137-NTDS Database”:



http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_npum.asp



En el visor de eventos de los otros DC’s de nuestro bosque aparece también el “EventID 1203-NTDS Replication” y 4 veces el evento 1137 anterior. También aparece 11 veces en error el evento 1153 (NTDS General); si hemos verificado como se ha explicado antes que el proceso se ha llevado correctamente no debemos darle importancia:




Una vez hayan replicado todos los DC’s, será hora de preparar cada dominio de nuestro bosque para el cambio; para ello, en el servidor que tenga el FSMO de Infraestructure Master deberemos realizar el mismo proceso que antes pero escribiendo adprep /domainprep:




Este proceso no genera eventos, pero podemos ver el log en el sitio antes indicado. Para verificar que se ha llevado a cabo adecuadamente vemos el apartado “To verify that the Active Directory Preparation tool has completed all operations successfully”.

Igualmente deberemos esperar a que los DC’s de dicho dominio hayan replicado los cambios entre sí antes de poder hacer la actualización final del sistema operativo.

Si lanzamos este comando pero el /foresprep anterior no se hubiera replicado aún o se hubieran hecho efectivos los cambios recibiremos un error indicándonos de ello, debiendo volver a lanzarlo nuevamente y repasando nuestros posibles problemas de réplica entre DC’s y/o Sites.

Una vez preparado el bosque y los dominios que lo conforman para la adición de DC’s en Windows 2003, podemos proceder ya a la actualización del propio sistema operativo. En nuestro ejemplo el orden a seguir y recomendado es actualizar primero los DC’s del ForesRootDomain y después paulatinamente seguir con los DC’s del resto de dominios que conformen el bosque de AD. Y en el ForestRootDomain el primer DC a actualizar a ser posible que sea el Naming Master.

Para ello, basta introducir el CD de Windows 2003 y seguir el asistente. En la primera ventana procederemos a indicar que vamos a actualizar:






Aceptamos el contrato de Licencia:




Ponemos si es preciso nuestro número de licencia:

Si tenemos conexión a Internet podemos en ese momento hacer la descarga que se nos propone, pero si no es así podemos continuar sin problemas sin necesidad de ello:




Nos informa de que al actualizar los diferentes componentes con los que nuestra instalación o infraestructura pudiera tener problemas. Es conveniente repasarlos bien y anotarlos para no tener sorpresas más adelante:




Finalmente comienza todo el proceso de actualización en sí:




Una vez migrados todos nuestros DC’s a Windows 2003, quedaría una paso a realizar, y es convertir el subdominio _msdsc de Windows 2000 a una zona de Windows 2003 almacenada en el Forest-Wide DNS Application Directory Partition. Para ello seguiremos los pasos del Caso 2 de este enlace.

Lo primero que debemos hacer es anotar, si no lo habíamos hecho antes, la configuración IP de nuestros DC’s del bosque.

Además, sería muy recomendable verificar que las réplicas entre DC’s se lleva a cabo correctamente, para lo cual podemos pasar un dcdiag y ver los resultados.

Tras esto, procederemos a cambiar la configuración IP de todos los DC’s del bosque para que apunten a un único servidor DNS del ForesRootDomain y así puedan registrar todos sus datos necesarios para el correcto y optimizado funcionamiento del AD. A continuación detallamos como quedan configurados nuestros DC’s del ejemplo:

ForestRoot Domain: contoso.local

Compuesto de 2 DC’s actualizados ya a Windows 2003.

Nombre DC: dc1Configuración IP

Dirección IP: 192.168.0.10Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>DNS principal: 192.168.0.10



http://support.microsoft.com/kb/817470/en-us


DNS secundario:


Dirección IP: 192.168.0.11Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>DNS principal: 192.168.0.10DNS secundario:

Child Domain: subdomain1.contoso.local

Compuesto de 1 DC actualizado a Windows 2003.


Dirección IP: 192.168.0.13Máscara de red: 255.255.255.0Gateway: <en nuestro caso no es necesario>DNS principal: 192.168.0.10DNS secundario: 192.168.0.13

Este servidor tiene en su configuración del DNS Server como reenviadores (forwarders) las IP’s de DC1 y DC2

Si tenemos una infraestructura de muchos servidores a los que haya que realizar el cambio, podemos emplear un script como el que aquí se muestra (tambiñen podemos mirar en la ayuda para ver cómo hacerlo mediante el comando netsh):

Scripting DNS on Clientshttp://www.microsoft.com/technet/scriptcenter/topics/networking/05_atnc_dns.mspx

Una vez hecho esto, procederemos a hacer el cambio (TODOS los servidores DNS que albergan el subdominio _msdcs deben ser Windows 2003), por lo que accedemos con un usuario perteneciente al grupo de Administradores de Empresa y abrimos la MMC de gestión del servicio de DNS. Podemos ver cómo está actualmente configurado tanto en el ForestRootdomain como en el ChildDomain:



http://www.microsoft.com/technet/scriptcenter/topics/networking/05_atnc_dns.mspx


En el DNS del ForestRootDomain en el que estamos, creamos una nueva zona de tipo Primaria e integrada al AD:




Cambiamos que el ámbito de replicación sea a todos los servidores DNS del bosque:




Escribimos el nombre de la zona (en nuestro caso que nos trae, sería _msdcs.contoso.local):

Y verificamos que sólo admita actualizaciones dinámicas seguras:




Una vez finalizado el proceso deberemos esperar un tiempo a que todos los DC’s de nuestro bosque sean capaces de registrarse correctamente en la nueva zona (podemos forzarlo haciendo un ipconfig /registerdns). Una vez que verifiquemos que se han registrado correctamente deberemos volver a dejar configurado el apartado de DNS de los DC’s que habíamos cambiado a su estado original. Deberemos esperar igualmente un tiempo hasta que la réplica se haga efectiva entre todos los DC’s.




Finalmente, hay que repasar lo que se comenta en el siguiente apartado para acabar de verificar y documentar que nuestra migración se ha llevado a cabo correctamente:

Operaciones a realizar posteriormente

La primera verificación del proceso podemos llevarla a cabo siguiente lo comentado en el siguiente enlace:

Completing Post-Upgrade Taskshttp://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbf_upwn_wwml.asp

Debemos verificar igualmente que los Shares de NETLOGON y de SYSVOL siguen compartidos correctamente; los clientes pueden validarse de forma adecuada, se aplican las GPO necesarias y se pueden llevar a cabo consultas LDAP; los registros SRV, CNAME y A están registrados en el DNS; realizar diagnósticos de los DC’s:


Es interesante mirar detenidamente también esta parte en:

Support WebCast: Microsoft Windows Server 2003: Upgrading Windows 2000 Domains to Windows Server 2003http://support.microsoft.com/default.aspx?kbid=812954

a partir de la diapositiva 24 concretamente, para ver con más detalle otras tareas que se pueden hacer.

En el momento que la migración se haya llevado a cabo correctamente y de forma exitosa, podremos entonces estudiar la posibilidad de actualizar el nivel de funcionalidad del dominio y/o del bosque para que funcione bajo el modo de Windows 2003; esto implica que todos los DC’s del dominio y/o bosque sean Windows Server



http://support.microsoft.com/default.aspx?kbid=812954%0D






2003, no puede haber ningún PDC de NT ni DC de Windows 2000 (las estaciones de trabajo y su sistema operativo no interfiere) y que no hay posibilidad de marcha atrás.

Algunas de las ventajas de tener un bosque bajo la funcionalidad de Windows 2003 son:

Todas las funcionalidades de un dominio en modo Windows 2000 nativo:o Grupos Universaleso Anidamiento de gruposo SIDHistoryo Conversiones de Grupos

Actualización del atributo de “punto de tiempo” de un logon, para poder encontrar mejor un equipo o usuario y mejorar las políticas de bloqueo de cuentas

Posibilidad de reconocer la versión de Kerberos KDC, de modo que a parte de mejorar las posibilidades del KDC, se permite tener password’s a objetos del tipo InetOrgPerson que puedan ser usados por algún tipo de aplicación LDAP.

Renombrar los DC’s mediante la herramienta netdom Posibilidad de renombrar dominios Redirección de usuarios y equipos Mejoras en las réplicas de los Global Catalog Mejoras en las réplicas entre DC’s Posibilidad de crear relaciones de confianza entre dominios en 2 sentidos de

forma transitiva

Para cambiar el modo o funcionalidad del dominio y/o bosque, podemos visitar el siguiente enlace:

How to raise domain and forest functional levels in Windows Server 2003http://support.microsoft.com/default.aspx?scid=kb;en-us;322692





http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx

http://groups.google.es/groups?q=C%C3%B3mo+cambiar+el+nombre+de+un+DC+en+Windows+2003&hl=es&lr=&rls=GGLD,GGLD:2004-35,GGLD:es&[email protected]&rnum=1

Migracion de Un Dominio Windows 2000 a Windows 2003

Documents

Transcript of Migracion de Un Dominio Windows 2000 a Windows 2003