Actualización de Dominio Windows 2008 R2 a Windows 2016 Domain Controller

1.  CONCEPTO DE ACTIVE DIRECTORY

Las siguientes nuevas características de los Servicios de dominio de Active Directory (AD DS) mejoran la capacidad de las organizaciones para proteger los entornos de Active Directory y ayudarles a migrar a despliegues e implementaciones híbridas en nube, donde algunas aplicaciones y servicios están alojados en la nube y otros están alojados En los locales. Las mejoras incluyen:

  • Gestión de acceso privilegiado
  • Extender las capacidades de la nube a dispositivos Windows 10 a través de Azure Active Directory Join
  • Conectando dispositivos unidos por dominio a Azure AD for Windows 10 experiencias
  • Habilitar Microsoft Passport for Work en su organización
  • Descompresión del servicio de replicación de archivos (FRS) y niveles funcionales de Windows Server 2003

Gestión de acceso privilegiado

La gestión de acceso privilegiado (PAM) ayuda a mitigar los problemas de seguridad de los entornos de Active Directory causados ​​por técnicas de robo de credenciales y otros tipos de ataques. Proporciona una nueva solución de acceso administrativo que se configura mediante Microsoft Identity Manager (MIM). PAM presenta:

  • Un nuevo Bosque Active Directory bastión, que es provisto por MIM. El bosque del bastión tiene una confianza especial de PAM con un bosque existente. Proporciona un nuevo entorno de Active Directory que se sabe que está libre de cualquier actividad maliciosa y aislamiento de un bosque existente para el uso de cuentas privilegiadas.
  • Nuevos procesos en MIM para solicitar privilegios administrativos, junto con nuevos flujos de trabajo basados ​​en la aprobación de solicitudes.
  • Nuevos principios de seguridad de SHADOW (grupos) que se proveen en el bosque de bastidores por parte de MIM en respuesta a solicitudes de privilegios administrativos. Los elementos de seguridad de sombra tienen un atributo que hace referencia al SID de un grupo administrativo en un bosque existente. Esto permite que el grupo de sombra tenga acceso a recursos en un bosque existente sin cambiar ninguna lista de control de acceso (ACL).
  • Una función de vínculos que expira, que permite la pertenencia temporizada en un grupo de sombras. Se puede agregar un usuario al grupo por el tiempo necesario para realizar una tarea administrativa. La pertenencia temporizada se expresa mediante un valor de tiempo de vida (TTL) que se propaga a una vida de boleto Kerberos.
  • Las mejoras de KDC se incorporan en los controladores de dominio de Active Directory para restringir la duración de la entrada de Kerberos al valor de TTL (time-to-live) más bajo posible en los casos en que un usuario tenga varias asociaciones temporales en grupos administrativos. Por ejemplo, si se agrega a un grupo vinculado a un tiempo A, entonces al iniciar sesión, la duración del ticket de concesión de tickets (TGT) de Kerberos es igual al tiempo que queda en el grupo A. Si también es miembro de Otro grupo enlazado al tiempo B, que tiene un TTL inferior al grupo A, entonces el tiempo de vida del TGT es igual al tiempo que queda en el grupo B.
  • Nuevas capacidades de monitoreo para ayudarle a identificar fácilmente quién solicitó el acceso, qué acceso se concedió y qué actividades se realizaron.

 

Requisitos

  • Microsoft Identity Manager
  • Nivel funcional del bosque de Active Directory de Windows Server 2012 R2 o superior.

 

Azure AD Join

Azure Active Directory Join mejora las experiencias de identidad de los clientes empresariales, empresariales y de EDU, con capacidades mejoradas para dispositivos corporativos y personales.

Beneficios:

  • Disponibilidad de opciones modernasen dispositivos Windows de propiedad de la empresa. Los Oxigen Services ya no requieren una cuenta personal de Microsoft: ahora escurren las cuentas de trabajo existentes de los usuarios para garantizar el cumplimiento. Los Oxigen Services funcionarán en PCs que se unan a un dominio de Windows local, y PCs y dispositivos que están “unidos” a su inquilino de Azure AD (“dominio de nube”). Estos ajustes incluyen:
    • Roaming o personalización, configuración de accesibilidad y credenciales
    • Copia de seguridad y restaurar
    • Acceso a la tienda de Windows con cuenta de trabajo
    • Live Azure y notificaciones
  • Acceder a los recursos de la organizaciónen dispositivos móviles (teléfonos, phablets) que no se pueden unir a un dominio de Windows, ya sean propiedad de la empresa o BYOD
  • Inicio de sesión únicoen Office 365 y otras aplicaciones, sitios web y recursos organizativos.
  • En los dispositivos BYOD, agregue una cuenta de trabajo (desde un dominio local o Azure AD) a un dispositivo de propiedad personal y disfrute de SSO para trabajar recursos, aplicaciones y en la Web, de tal forma que garantice el cumplimiento de nuevas capacidades como Como atestado Condicional de Control de Cuenta y de Salud del Dispositivo.
  • La integración de MDMle permite auto- registrar dispositivos a su MDM (Intune o de terceros)
  • Configuración del modo “quiosco” ydispositivos compartidos para varios usuarios de su organización
  • La experiencia de desarrolladorle permite crear aplicaciones que satisfagan los contextos empresariales y personales con una pila de programación compartida.
  • Laopción de creación de imágenes le permite elegir entre la creación de imágenes y permitir a los usuarios configurar directamente los dispositivos propiedad de la entidad durante la primera experiencia.

 

Microsoft Passport

Microsoft Passport es un nuevo enfoque de autenticación basado en claves organizaciones y consumidores, que va más allá de las contraseñas. Esta forma de autenticación se basa en la violación, robo, y las credenciales de phish-resistente.

 

El usuario inicia sesión en el dispositivo con un registro biométrico o de PIN en la información que está vinculada a un certificado o un par de claves asimétricas. Los Identity Providers (IDPs) validan al usuario asignando la clave pública del usuario a IDLocker y proporciona información de inicio de sesión a través de One Time Password (OTP), Phonefactor o un mecanismo de notificación diferente.

 

Descompresión del servicio de replicación de archivos (FRS) y     niveles funcionales de Windows Server 2003

Aunque el Servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003 estaban obsoletos en versiones anteriores de Windows Server, se repite que el sistema operativo Windows Server 2003 ya no es compatible. Como resultado, cualquier controlador de dominio que ejecuta Windows Server 2003 debe quitarse del dominio. El nivel funcional de dominio y forestal debe aumentar al menos a Windows Server 2008 para evitar que un controlador de dominio que ejecute una versión anterior de Windows Server se agregue al entorno.

En los niveles funcionales de Windows Server 2008 y de dominio superior, la Replicación de DFS (Distributed File Service) se utiliza para replicar el contenido de la carpeta SYSVOL entre controladores de dominio. Si crea un nuevo dominio en el nivel funcional de dominio de Windows Server 2008 o superior, la Replicación DFS se utilizará automáticamente para replicar SYSVOL. Si creó el dominio en un nivel funcional inferior, deberá migrar desde el uso de FRS a la replicación DFS para SYSVOL.

 

2.  VALIDACIÓN DE WINDOWS 2016 SERVER

Revisar los requisitos del sistema

Los siguientes son los requisitos estimados del OS Windows Server 2016. Si su computadora tiene menos que los requisitos “mínimos”, no podrá instalar este producto correctamente. Los requisitos reales variarán en función de la configuración del sistema y de las aplicaciones y características que instale.

A menos que se especifique lo contrario, estos requisitos mínimos del sistema se aplican a todas las opciones de instalación (Server Core, Server with Desktop Experience y Nano Server) y las ediciones Standard y Datacenter.

Procesador

El rendimiento del procesador depende no sólo de la frecuencia de reloj del procesador, sino también del número de núcleos del procesador y del tamaño del caché del procesador. Los siguientes son los requisitos de procesador para este producto:

  • Procesador de 64 bits de 1,4 GHz
  • Compatible con x64
  • Soporta NX y DEP
  • Soporta CMPXCHG16b, LAHF / SAHF y PrefetchW
  • Soporta traducción de direcciones de segundo nivel (EPT o NPT)
  • Coreinfoes una herramienta que puede utilizar para confirmar cuál de estas capacidades tiene la CPU.

RAM

Los siguientes son los requisitos de RAM estimados para este producto:

  • 512 MB (opción de instalación de 2 GB para servidor con experiencia de escritorio)
  • Código ECC (Código de corrección de errores) o tecnología similar

Importante

Si crea una máquina virtual con los parámetros de hardware soportados mínimos (núcleo de procesador 1 y 512 MB de RAM) e intenta instalar esta versión en la máquina virtual, la instalación fallará.

Para evitar esto, realice una de las siguientes acciones:

  • Asigne más de 800 MB de RAM a la máquina virtual en la que desea instalar esta versión. Una vez que se haya completado el programa de instalación, puede cambiar la asignación a tan sólo 512 MB de RAM, dependiendo de la configuración real del servidor.
  • Interrumpir el proceso de arranque de esta versión en la máquina virtual con MAYÚS + F10. En el símbolo del sistema que se abre, utilice Diskpart.exe para crear y formatear una partición de instalación. Ejecute Wpeutil createpagefile /path=C:\pf.sys(suponiendo que la partición de instalación que creó fue C :). Cierre el símbolo del sistema y continúe con el programa de instalación.

 

Controlador de almacenamiento y requisitos de espacio en disco

Los equipos que ejecutan Windows Server 2016 deben incluir un adaptador de almacenamiento que cumpla con la especificación de arquitectura PCI Express. Los dispositivos de almacenamiento persistentes en servidores clasificados como unidades de disco duro no deben ser PATA. Windows Server 2016 no permite ATA / PATA / IDE / EIDE para arranque, página o unidades de datos.

Los requisitos de espacio de disco mínimos son 32 GB, estimado para la partición de sistema.

Nota: Hay que tener en cuenta que 32 GB debe considerarse un valor mínimo absoluto para una instalación correcta. Este mínimo debería permitirle instalar Windows Server 2016 en modo Server Core, con la función de servidor Servicios Web (IIS). Un servidor en modo Server Core es aproximadamente 4 GB más pequeño que el mismo servidor en Server con un modo GUI.  La partición del sistema necesitará espacio adicional para cualquiera de las siguientes circunstancias:

  • Si instala el sistema a través de una red.
  • Los equipos con más de 16 GB de RAM requerirán más espacio en disco para la paginación, la hibernación y los archivos de volcado.

 

Requisitos del adaptador de red

Los adaptadores de red utilizados con esta versión deben incluir estas características:

  • Un adaptador Ethernet capaz de al menos un rendimiento gigabit
  • Cumple con la especificación de arquitectura PCI Express.
  • Soporta el entorno de ejecución de pre-arranque (PXE).
  • Un adaptador de red que admite la depuración en red (KDNet) es útil, pero no es un requisito mínimo.

 

Otros requerimientos

Los equipos que ejecuten esta versión también deben tener lo siguiente:

  • DVD (si tiene la intención de instalar el sistema operativo desde un DVD)

Los siguientes elementos no son estrictamente necesarios, pero son necesarios para ciertas características:

  • Sistema basado en UEFI 2.3.1c y firmware que soporta arranque seguro
  • Módulo de plataforma confiable
  • Dispositivo gráfico y monitor capaz de Super VGA (1024 x 768) o de mayor resolución
  • Teclado y ratón de Microsoft® (u otro dispositivo apuntador compatible)
  • Acceso a Internet (de pago)

 

Nota: No es estrictamente necesario instalar un módulo TPM (Trusted Platform Module) para instalar esta versión, aunque es necesario para utilizar ciertas funciones como BitLocker Drive Encryption. Si su equipo utiliza TPM, debe cumplir estos requisitos:

 

  • Los TPM basados ​​en hardware deben implementar la versión 2.0 de la especificación TPM.
  • Los TPM que implementen la versión 2.0 deben tener un certificado EK que esté pre-aprovisionado al TPM por el proveedor de hardware o que sea recuperado por el dispositivo durante el primer arranque.
  • Los TPM que implementan la versión 2.0 deben enviarse con bancos de PCR SHA-256 y> implementar los PCR 0 a 23 para SHA-256. Es aceptable enviar TPMs> con un único banco de PCR conmutable que puede usarse tanto para las mediciones SHA-1 como> SHA-256.
  • Una opción UEFI para desactivar el TPM no es un requisito.

3. PROPUESTA DE LABORATORIO MVPLATAM

De acuerdo con esta solución, tenemos que unir al dominio de un servidor de Windows Server 2016 para el dominio de Active Directory 2008 R2 existente. A continuación, después de completar los requisitos previos y Domain Prep, este nuevo servidor se promocionará como un controlador de dominio adicional. Todos los objetos de directorio se replicarán en el nuevo servidor y funcionará como un controlador de dominio activo a los servicios de directorio activo existentes.

 

A continuación, puede transferir los roles FSMO al nuevo servidor de Windows 2016. Después de transferir las funciones, el nuevo servidor de ventanas 2016 DC funcionará como controlador de dominio principal y, a continuación, podrá desactivar los controladores de los dominios existentes. Antes de hacerlo, agregue otro servidor Windows 2016 DC como controlador de dominio adicional para manejar la carga y también como DR. Este método no necesita un tiempo de inactividad y si sigue los pasos correctamente, puede realizar una actualización sencilla a 2016 ADDS.

 

Pasos de Instalación y Configuración

  1. Complete los requisitos previos
  • El nivel funcional Forest y Domain debe ser Windows Server 2003 o superior
  • Si no se cumple esta condición, actualice el nivel funcional
  • Meta Data Clean UP (Opcional): elimine cualquier DC que no haya sido degradado correctamente
  • Meta Data Clean UP de DC en su ADDS, utilice el visor de sucesos para VALIDAR la instalación. O puede comprobarlo fácilmente navegando a los usuarios de Active Directory y los controladores de dominio de los equipos de dominio y compruebe si existe algún controlador de dominio que no estuviera operativo en este momento.

 

  1. Para Iniciar el proceso de Actualización de ADS 2008R2 a Windows 2016, debemos convertir la Maquina Windows 2016 (SERVER-DC02) en miembro del Dominio.

 

  1. En el servidor Windows 2016, corremos 2 comandos básicos para validar la conexión. En este Laboratorio el Server es SERVER-DC02
  • Ping server-dc01 (Controlador de Dominio Windows 2008 R2)-DC01
  • Nslookup

Si responde adecuado como este ejemplo procedemos a unirla al dominio (SERVER-DC02)

 

4. Vamos a System Properties y presionamos el botón Change y le indicamos el nombre del servidor.

5.  Colocamos las credenciales y le damos clic en Ok y nos pedirá reiniciar el Server,

6. Clic en Restart.

7.  Una vez que inicie validemos que nos estamos conectando con el administrador del Dominio. Para este ejemplo sugerimos colocar el Dominio y el user: BMSC\Administrator. Clic en la Parte Izquierda Other User.

8.  El próximo paso es agregar el role de Active Directory en 2016 para convertirlo en Controlador de Dominio.

9.  En esta Sección debemos seleccionar el objetivo del proyecto

  • Agregue un controlador de dominio para un dominio existente
  • Agregue un nuevo dominio a un bosque existente
  • Agregue un nuevo bosque.
  • Para este ejercicio, seleccionará la primera opción: Añadir un controlador de dominio para un dominio existente

Si sólo tiene un dominio y este nuevo servidor forma parte de ese dominio, el nombre de dominio predeterminado aparecerá en la columna Dominio.

Proporcione una credencial de dominio con el permiso adecuado para realizar estas tareas. Si el usuario actual / registrado no tiene permiso suficiente, puede seleccionar Cambiar opción para ingresar una nueva credencial.

10. Clic en Next

11. Seleccione que Site se va a Replicar, en este caso seleccionaremos el que está por Default.

12. Finalmente, ya tenemos el Domain Controller en Windows 2016

13. Abrimos Active Directory Users and Computer en el Servidor 2016 (SERVER-DC02)

Transfiriendo Roles del Dominio Principal SERVER-DC01 al Servidor SERVER-DC02 (Windows Server 2016)

Antes de mover los roles, debemos realizar una sincronización de los Domain Controller para tener la base de Datos de active Directory al día.   En cualesquiera de los DC, abrimos Active Directory Site and Services, seleccionamos Default-Site-Name, seleccionamos el Server Principal, en nuestro Lab es SERVER-DC01, luego NTDS Setting y le damos clic derecho en automatically generated y clic en Replicate Now.

En la consola de Windows 2016, abrimos Powershell en modo Administrator y ejecutamos la siguiente línea de comando para validar donde están los roles principales.

 

Active Directory Service posee 5 Roles:

 

InfrastructureMaster, RIDMaster, PDCEmulator  DomainNamingMaster, SchemaMaster

Los siguientes comandos ayudaran a Validar en que servidor se encuentra, el objetivo del Laboratorio es mover estos roles principales que están localizados en Windows 2008 R2 (SERVER-DC01) al nuevo Servidor de Windows 2016 llamado SERVER-DC02

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

El resultado es que el servidor de origen que posee los principales roles del Active directory es: SERVER-DC01.

Validemos los servicios comunes de Active Directory en el Servidor Windows 2016 en Powershell

Get-Service adws,kdc,netlogon,dns -ComputerName SERVER-DC02

Verificamos la hora de los Domain Controller: Get-Date

Validemos si el Domain Controller esta existente en la red:

Get-ADDomainController -Filter * | Format-Table Name, Site, IPv4Address -AutoSize

Validemos el Folder SYSVOL

Test-Path \\SERVER-DC02\SYSVOL

Get-ChildItem \\SERVER-DC02\SYSVOL

Una vez validado el Servidor 2016. Procedemos correr los comandos en Powershell en modo Administrativo para mover los roles.

  • Conectarnos con un usuario Administrador Enterprise.
  • Abrimos Powershell para correr el siguiente comando: netdom query fsmo , NOS DIRA EN QUE SERVIDOR y quien es su propietario. Lo identificamos en este Lab como SERVER-DC01

El siguiente comando va a mover los roles del Servidor Windows 2008 al 2016, es decir desde SERVER-DC01 al SERVER-DC02

Escribimos en la consola de Powershell la siguiente sintaxis:

Move-ADDirectoryServerOperationMasterRole -Identity SERVER-DC02 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Presionamos Enter y presionamos YES o la letra Y. Para cada Role que vamos a mover. Serian 5 YES

Hay muchas formas de visualizar los cambios, por ejemplo, podemos abrir el Active Directory Users and Computer y le damos clic derecho al dominio (BMSC-LAB.NET) y seleccionamos OPERATIONS MASTERS y podemos ver quien tiene los roles de:

    

Cambio de Forest y Domain Functional Level de Windows Server 2016

 

Validemos en Powershell en Windows 2016 el estatus del Bosque y el Dominio.

Get-ADDomain | fl Name,DomainMode

Get-ADForest | fl Name,ForestMode

Nota: No podemos subir el Funtional Level si tenemos Windows 2008 R2 Server y/o Windows 2012 Server. Tenemos que realizar el Upgrade a Windows 2008 a Windows 2016 o realizar un Seize FSMO Roles.

 

Desinstalar Domain Controller Windows 2012

 

  1. Conectarse a Windows 2012 R2 DC Server como Administrador Enterprise
  2. Abrimos PowerShell como Administrator
  3. Corremos el comando Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition solicitara el password del Administrador Local del Servidor

4. Escribimos: Yes

5. Una vez completado el proceso, Reiniciar.

Desinstalar Domain Controller Windows 2008 r2

 

  1. Debemos validar quien es el Servidor Bridgeheads

“Un servidor de puente es un controlador de dominio que ha sido asignado administrativamente o elegido automáticamente para replicar los cambios recopilados de otros controladores de dominio en el sitio a los servidores de cabeza de puente en otros sitios”. Para asegurarse de que el servidor que está degradando no es un servidor Bridgehead. Para comprobar si este servidor es, ejecute el siguiente comando en la consola CMD del servidor que se está degradando (SERVER-DC01) :

 

repadmin /bridgeheads

  1. Para ubicar el Servidor Bridgeheads en nuestra red corremos el siguiente comando:

 

repadmin /bridgeheads site:Default-first-site-name (Nombre del Site en Active Directory)

Recomendaciones:

Comprobaciones generales del servidor

 

Hay algunas comprobaciones generales del servidor que debe ejecutar en los servidores / dominio para asegurarse de que es saludable antes de ejecutar un DCPromo. Hay un par de informes que le dan mucha información, y son bastante fáciles de leer. Busque el término ‘error’ o ‘falla’ en los informes dcdiag y netdiag para localizar las áreas problemáticas, pero sí recomiendo leer los registros completos para familiarizarse.

DCDiag Información de los Domain Controller

1 dcdiag.exe /V /C /D /E /s:#DomainControllerName# > c:\dcdiag.log

NetDiag Información especifica de la configuración de la red de la maquina local.

1 netdiag.exe /v > c:\netdiag.log

RepAdmin ayuda ver problemas de replicación

1 repadmin.exe /showrepl dc* /verbose /all /intersite > c:\repl.txt

DNSLint Diagnosticar problemas de DNSprint?

1 dnslint /ad /s #IPAddressOfServer#

 

Pasos para desinstalar Domain Controller Windows 2008 R2

 

  1. En el Domain Controller de Windows 2008 R2, CLIC EN Start y seleccionamos Run
  2. Ejecutemos el comando dcpromo y se abrirá el asistente de Active Directory.

3. Clic en Next. Y nos dará un mensaje que este Domain Controller es Global Catalog Server. Presionamos OK

4. Si este controlador de dominio es el último en el dominio marque la casilla correspondiente, de lo contrario haga clic en Next. En nuestro caso y LABORATORIO dejar en Blanco.

5. Colocamos el Password para acceder como Maquina Local.

6. Summary y Clic en Next

7. Paso Final y Reiniciar

8. Reiniciar

Remover Servidor (SERVER-DC01) en el Active Directory Sites and Services

Esta operación vamos a realizarla en el nuevo DC (Server-DC02) El servidor se eliminará del contenedor “Controladores de dominio” automáticamente, pero el servidor tendrá que ser eliminado manualmente del sitio.

  1. Abra el Active Directory Site and Services y expanda el sitio del que formó parte y elimine el servidor.

Actualizar los niveles funcionales del dominio y el bosque a Windows Server 2016

Ahora tenemos el servidor de Windows 2012 R2 y Windows 2008 R2 como controladores de dominio degradado, el siguiente paso es actualizar los niveles funcionales de dominio y bosques.

 

  1. Iniciar sesión en Windows Server 2016 DC como administrador Enterprise.
  1. Abrir PowerShell como administrador
  2. A continuación, escriba para actualizar el nivel funcional del dominio al servidor 2016 de Windows:

Set-ADDomainMode -identity BMSC-LAB.NET -DomainMode Windows2016Domain

  1. Presionamos Yes.
  2. A continuación, escriba para actualizar el nivel funcional del bosque.

Set-ADForestMode -Identity BMSC-LAB.NET -ForestMode Windows2016Forest

  1. Para confirmar el nuevo dominio y nivel funcional

Get-ADDomain | Fl name, DomainMode

Get-ADForest | Fl Name, ForestMode

Leave a Reply

Your email address will not be published. Required fields are marked *