Percorsi per aggiornare un controller a Windows 2000 o 2003
Mi scuso per sicuri
errori grammaticali, spero che i pochi che lo leggeranno non ne rimangano
infastiditi.
Il tempo e gli impegni
non mi permettono altro che questi umili articoli.
Non si tratta di una guida base, quindi è necessario conoscere di cosa si sta parlando e avere esperienza di upgrade di sistemi e istallazione di controller di dominio.
Questa è solo una panoramica delle varie vie da seguire, non una e vera e propria guida.
Quindi, proprio perché l’argomento è complesso, non scenderò nei dettagli.
Innanzitutto è necessario notare l’importanza di un PDC in una rete NT4.
Infatti se il nostro percorso è proprio quello di aggiornare una rete composta solo da controller NT4 a sistemi Windows 2000 o 2003 è obbligatorio procedere per primi con il PDC.
Questo non significa che si dovrà subito operare sul PDC, esistono alternative più sicure. Ma è fondamentale capire che non è possibile aggiungere come controller un 2000 o un 2003 senza che egli sia un PDC.
Quindi il PDC in una rete con controller 2000 o 2003 deve essere un 2000 o un 2003.
Altra cosa fondamentale da capire è che un controller 2000 o 2003 agisce da PDC emulator e non da vero e proprio PDC. Ovvero sarà un PDC per tutti i controller NT4, ma non ha senso per i controller più aggiornati.
Infatti tutti i controller in una rete 2000/3 sono paritetici e nessuno di essi è primario. Il vantaggio è evidente, quanti problemi in una rete NT quando il PDC cade?
Eccezione a questa affermazione sono i ruoli Single Master (FSMO roles) ovvero quei ruoli che necessitano un controller unico, ma questo va oltre lo scopo del testo.
Quindi smettete di riferirvi al PDC dopo che avrete aggiornato tutte le macchine.
Inoltre non parlerò di trasferimenti di ruoli FSMO perché se ne occupa automaticamente il wizard DCPROMO, ma voi verificate sempre e tenete d’occhio gli eventi prima di procedere ad ogni passo.
Questo testo non si occupa di coprire tutte le problematiche dell’aggiornamento, ma solo di illustrarvi le strade.
Quindi ricordatevi di interrompere tutti i servizi non necessari (tra cui WINS, DHCP e SQL Server), gli antivirus e ogni altro programma che potrebbe creare problemi.
Ricordate sempre quando ve lo viene detto di eseguire un demote, altrimenti vi troverete controller fantasma nella vostra Active Directory che possiedono ruoli ai quali non possono più sopperire.
E prima di iniziare… mi raccomando, un backup del system state delle macchine!
Il DNS server è il perno centrale dell’intera Active Directory.
Senza di esso ogni operazione (tra cui in particolare le repliche) non possono funzionare. Quindi quando dovrete disattivate il server che possiede il ruolo di DNS, ricordate prima di trasferire il compito ad un altro, verificarne la replica dei record e modificare su ogni scheda di rete l’indirizzo.
Senza un DNS visibile e funzionante il DCPROMO non può funzionare.
Esaminiamo questo concetto prima di passare ai casi specifici.
A cosa serve un server di appoggio?
Innanzitutto è chiaro che se noi eseguiamo le operazioni preliminari su di una macchina che non è quella di produzione avremo meno problemi.
Specialmente nel caso di NT4 che il primo sul quale operare è proprio il PDC.
In alcuni percorsi vi consiglierò di utilizzare un appoggio proprio per fare in modo che il database di dominio (o Active Directory) e i ruoli siano delegati al server di appoggio per tutto il tempo che ne avremmo bisogno.
Questo ci permette inoltre di fare ciò che vogliamo dei controller di produzione avendo comunque questo appoggio che manterrà esistente e funzionante il dominio.
Vedremo anche che in alcuni casi non è necessario.
Il server di appoggio deve essere una macchina reale o virtuale (tramite Virtual PC o VMWare) nuova e pulita. Ovviamente se virtuale non deve essere istallata sul controller che deve essere aggiornato.
Deve solo agire da controller e per questo motivo quando viene creata è necessario verificare che abbia acquisito tutti i suoi ruoli e replicato tutto il database di dominio.
Essa potrà mantenere tutti quei servizi critici per il funzionamento della rete fino a che sarà necessario. Ad esempio uno di questi è il DNS, infatti è vitale per il funzionamento del dominio.
Appoggiata a (o ai) controller principali diventerà uno di essi e si potrà procedere all’aggiornamento per primo del controller di appoggio.
Se si dovrà fare un upgrade di questa macchina è scarsamente probabile che non vada a buon fine, essendo una macchina nuova e pulita.
A questo punto avendo in dominio una macchina nuova ed aggiornata il nostro dominio è pronto per essere interamente aggiornato.
Ricordate sempre dopo ogni aggiornamento di macchina di verificare che non ci siano problemi di replica e di servizi.
Una volta che uno o più controller stabili sono stati aggiornati è possibile rimuovere il server di appoggio.
Ricordate sempre di farne un demote ogni volta che vi
viene chiesto!
Esiste una strada veloce, ve la illustro.
Innanzitutto come detto all’inizio è necessario cominciare dal PDC, quindi la prima operazione da fare è un upgrade del sistema operativo sul PDC.
Quando sarà una 2000/3 emulerà il PDC e potrete procedere all’aggiornamento dei BDC.
Ovviamente questa è una strada pericolosa perché potrebbe mettere in ginocchio il vostro PDC ed inoltre gli upgrade sono sì possibili, ma sconsigliabili.
Allora qual è la strada migliore?
Esaminate le differenze e scegliete se implementarla completamente o in parte, miscelate come volete le due soluzioni.
Bisogna anche in questo caso operare per prima cosa sul PDC, ma preferendo non toccarlo è necessario allora utilizzare un PDC di appoggio.
Quindi create un server NT4 semplice, trasformatelo in BDC del dominio e promuovetelo a PDC. Ora aggiornatelo tramite upgrade (come vedete non si opera sul PDC originale e ripristinare il ruolo sull’ex-PDC in caso di problemi è questione di poco).
Ora che avete un PDC aggiornato potete muovervi con libertà e quindi backuppate i dati dall’ex PDC, rimuovetelo come controller dal dominio (demote) e procedete alla ricreazione (riformattazione se preferite) della macchina con un sistema 2000/3.
Aggiungetelo al dominio come controller aggiuntivo e ripristinate i servizi dei quali si occupava.
Demote del controller di appoggio dopo aver controllato che tutto funziona correttamente nel nuovo dominio e procedete con i restanti server.
Ovviamente anche per loro la ricreazione è consigliata, ma non avete più bisogno di un server di appoggio.
Nel capitolo 6 saranno illustrati i passi specifici per eseguire un aggiornamento tramite server di appoggio.
Ricordate innanzitutto che per passare ad un dominio con un controller 2003 è necessario aggiornare lo schema, vi verrà in ogni caso chiesto se non l’avete fatto.
Anche in questo caso la strada veloce è quella dell’aggiornamento, ma a noi non interessa.
La questione sull’appoggio è molto più semplice nel caso di una Windows 2000. Infatti essendo tutti i server pari (sistema multi master) in una rete 2000/3 non è necessario prestare attenzione al PDC (non c’è infatti!).
Quindi se nel nostro dominio (non foresta) abbiamo più controller stiamo sicuri che essi continueranno a funzionare durante l’aggiornamento della macchina e si manterrà una copia del database di Active Directory. (In ogni caso un backup del system state non fa mai male!)
In questo caso il procedimento è semplice, basta rimuovere la macchina che si vuole aggiornare tramite demote, ricrearla da 0 e ripromuoverla.
Anche in questo caso un semplice upgrade è sconsigliato (se possibile).
Alla fine del processo i ruoli FSMO saranno stati trasferiti dal DCPROMO durante ogni demote, quindi dovrete riconfigurarli come meglio preferite.
Se invece non avete controller aggiuntivi non potete di certo formattare la macchina, perdereste tutto il database dell’Active Directory. Ricreare il dominio con lo stesso nome non è certo una soluzione, i SID saranno differenti e quindi anche i 2 domini.
Quindi esistono due strade, la prima è quella che consiglio caldamente… ovvero un controller di appoggio.
Createlo e aggiungetelo al dominio come controller aggiuntivo. Demote del server principale, ricreazione e ripromozione a controller aggiuntivo.
Rimuovete infine il server di appoggio.
Strada brutta e difficoltosa, ma se proprio volete… per
completezza e se siete scarsi di risorse e avete voglia di rischiare!
Sapendo che un backup del system state contiene anche SYSVOL e Active Directory è normale pensare di poterne ripristinare solo queste informazioni anche se la macchina non potrebbe certo accettare il restante backup (trattandosi di file di sistema di una Windows 2000).
Ma si può fare…
Backup del system state per iniziare, poi ricreate la macchina con il nuovo sistema operativo.
Eseguite un restore del System State e spegnete. Avviando andrete sicuramente in schermata blu e allora l’unica cosa da fare è procedere con una riparazione da CD di Windows.
Verificate con rigore che tutto sia a posto negli eventi.
Questo articolo esprime nel dettaglio le operazioni da eseguire, benché non si applichi al nostro caso descrive come poter ricostruire il sistema danneggiato dopo un restore di un system state non appartenente alla macchina.
http://support.microsoft.com/default.aspx?scid=kb;en-us;263532
Esaminiamo passo passo uno scenario che dimostri l’utilizzo di un server di appoggio, tenendo particolarmente conto del servizio DNS.
Immaginiamo un piccolo dominio composto da un DC Windows 2000 da aggiornare a 2003. Le operazioni per un NT4 sono simili e vanno eseguite inizialmente sul PDC e si può ignorare la preparazione dello schema.
Esso svolge anche il ruolo di DNS server.
Una copia dello stato del sistema e dell’Active Directory mi permetteranno di ripristinare il sistema in caso di fallimento.
Tenere il backup in un luogo sicuro.
Ad esempio da un client Windows XP con Virtual PC 2004 creo una macchina virtuale Windows 2000 Server.
Configuro la rete in modo da mappare la scheda di rete su quella reale e configuro l’indirizzo IP in modo che sia nella stessa subnet del controller e il DNS sia il controller.
Prima della promozione è necessario eseguire ADPREP e FORESTPREP sul controller originale per aggiornare lo schema.
DCPROMO sul server di appoggio.
In modo che non ci siano stati problemi durante la creazione del nuovo controller.
Creando il servizio verrà automaticamente creata la zona del dominio se AD integrata.
Qualora non fosse così procedere manualmente alla creazione della zona e fate in modo che venga replicata.
Sposto eventualmente anche gli altri servizi se ho bisogno di dare continuità (DHCP, WINS…).
Nelle impostazioni di ogni scheda di rete imposto il nuovo DNS server.
DCPROMO per eseguire il demote del server originale.
Verrà eseguita la replica di AD qualora non fosse ancora avvenuta e verranno spostati i ruoli FSMO.
Qualora non fosse possibile il processo verrà interrotto.
Reistallo da 0 il sistema operativo del server originale con Windows 2003.
IP nella stessa subnet e DNS che punta sul controller di appoggio.
DCPROMO e ripristino il server con tutti i suoi servizi (tra cui il DNS).
Su entrambe le schede ripristino il DNS sul controller originale.
DCPROMO mi rimuove i ruoli e le impostazioni di replica per il controller di appoggio da AD.
Ora che non è più necessario lo rimuovo anche come server membro.
La macchina non è più necessaria, per motivi di sicurezza provvedere alla riformattazione.
C’è poco da aggiungere, l’argomento è già abbastanza vasto e complesso.
Voglio solo dare un consiglio che vale sempre e comunque: utilizzate sempre sistemi operativi in inglese (per i server)!
Le patch escono prima, i test sono più numerosi per i sistemi in lingua originale che le localizzazioni.
E’ molto più semplice se ci si riferisce a termini in inglese che alle rispettive traduzioni.
Qualora fosse necessario un sistema in italiano (ad esempio per un terminal server) aggiungete il language pack sul sistema in inglese.
Infine vi segnalo una risorsa per l’aggiornamento a 2003: http://www.microsoft.com/windowsserver2003/upgrading/
Buon lavoro!