Migration von WS2003 auf WS2012 R2, Teil 1
Active Directory auf Wanderschaft
Im Juli 2015 stellt Microsoft den Support für Windows Server 2003 ein - höchste Zeit also, noch vorhandene 2003-Server durch aktuellere Systeme zu ersetzen. Der erste Teil der LANline Best-Practice-Reihe zum Thema Windows-Server-Aktualisierung zeigt auf, welche Wege es für die Migration des Active Directorys (AD) von Windows Server 2003 auf Windows Server 2012 R2 gibt.
Das Support-Ende für Windows Server 2003 naht: Am 14. Juli 2015 stellt Microsoft den Extended Support für Windows Server 2003 und 2003 R2 ein. Danach wird Microsoft für dieses Betriebssystem keine Security-Hotfixes mehr veröffentlichen. Unternehmen sollten deshalb ihre Altsysteme möglichst bald aktualisieren. LANline stellt deshalb in einer Best-Practice-Reihe die verschiedenen Migrationswege und -verfahren vor und beschreibt, wie sich der Umstieg am besten bewerkstelligen lässt. Der erste Teil befasst sich mit der Active-Directory-Migration, Teil 2 mit Failover-Clustering, Teil 3 mit der Umstellung von File- und Application-Servern auf Windows Server 2012 R2.
Neue AD-Funktionen
Microsoft hat die Active-Directory-Funktionen im Laufe der Jahre stetig ausgebaut: Mit Windows 2008, 2008 R2, 2012 und 2012 R2 sind jeweils zahlreiche neue Features hinzugekommen. Nach einer Migration des Active Directorys auf Windows 2012 R2 steht zum Beispiel der AD-Papierkorb zur Verfügung, mit dem sich versehentlich gelöschte AD-Objekte sehr einfach wiederherstellen lassen. Der Papierkorb wurde bereits mit Windows 2008 R2 eingeführt, die Bedienung erfolgte dabei allerdings noch über das wenig komfortable ADSI-Edit-Tool.
In Windows 2012 hat Microsoft mit dem Active Directory Administrative Center (ADAC) eine neue grafische Oberfläche für die Verwaltung der Domänendienste hinzugefügt. ADAC vereint viele Aufgaben in einer zentralen Konsole. Neben den Papierkorbfunktionen kann der Administrator hier auch die neuen Passwortrichtlinien (Fine-grained Password Policies) konfigurieren. Seit Windows 2012 ist es möglich, innerhalb einer Domäne unterschiedliche Passwortrichtlinien einzusetzen, um zum Beispiel für besonders sensible Bereiche wie Forschung und Entwicklung schärfere Passwortregeln vorzugeben. Früher galt die Passwortrichtlinie immer für die gesamte Domäne.
Die mit Windows 2012 neu eingeführte Dynamic Access Control (DAC) lässt sich ebenfalls über ADAC bedienen. DAC stellt einen Berechtigungsmechanismus bereit, der den Zugriff auf Daten anhand von AD-Attributen wie Identität, benutztem Endgerät oder Art der Daten steuert.
Seit 2012 enthält ADAC einen Windows Powershell History Viewer. Das Tool zeigt an, welche Powershell-Kommandos von einem Cmdlet ausgeführt werden. Der Administrator kann die Befehle in ein Skript kopieren, um sie später wiederzuverwenden. Die Unterstützung von Powershell und die Anzahl der Cmdlets hat Microsoft seit Windows 2008 ebenfalls kontinuierlich ausgebaut. Gleiches gilt für die Steuerungsmöglichkeiten mithilfe der AD-Gruppenrichtlinien.
Weitere neu hinzugekommene AD-Funktionen sind Offline Domain Join, Read-Only DC (RODC), Federation-Services, Rights-Management-Services und erweiterte Zertifikatsdienste. Windows 2012 unterstützt zudem erstmals das Clonen von Domänen-Controllern (DCs). Damit lassen sich zum Beispiel in Cloud-Umgebungen zusätzliche DCs schnell bereitstellen oder Testumgebungen mit Abzügen der produktiven Controller bestücken. Auch für Disaster Recovery eignet sich der Cloning-Mechanismus, um ausgefallene DCs schnell wieder online zu bringen.
Domänen-Upgrade oder Neuaufbau
Damit sich die neuen AD-Funktionen nutzen lassen, ist das Active Directory auf Windows 2012 R2 zu aktualisieren. Für ein Upgrade von Domänen-Controllern stehen prinzipiell zwei Migrationspfade zur Verfügung. Zum einen kann der Administrator die Controller mit dem neuen Betriebssystem zur vorhandenen Domäne hinzufügen und dann die Domänendienste von den alten auf die neuen DCs übertragen. Sobald dies geschehen ist, kann er die alten DCs aus der Domäne entfernen und stilllegen. Zum Abschluss hebt der Administrator das Forest und Domain Functional Level auf das gewünschte Niveau. Damit alle neuen AD-Funktionen zur Verfügung stehen, muss er das Level Windows 2012 R2 wählen. Dieser Migrationsweg ist mit relativ wenig Aufwand verbunden, die Mehrzahl der Unternehmen dürfte ihn wählen.
Zum anderen können Unternehmen ein AD auf Basis von Windows 2012 R2 mit neuem Domänennamen parallel aufbauen. Sobald die AD-Infrastruktur fertig gestellt ist, lassen sich die Benutzer, Gruppen, Computer, Gruppenrichtlinien etc. von der alten in die neue Domäne migrieren. Microsoft bietet hierfür das kostenfrei Tool ADMT 3.2 (Active Directory Migration Tool) an. Es unterstützt die Migration von Windows-2003- zu Windows-2012-R2-Domänen. Als ADMT-Migrations-Server kommt ein 2008-R2-System zum Einsatz. In der Zieldomäne benötigt ADMT zudem einen 2008-R2-DC. Wenn das Domain Level bereits auf 2012 angehoben wurde, kann der Administrator mithilfe des Powershell-Moduls Activedirectory das Level auf 2008 zurückstufen. Voraussetzung hierfür ist, dass die erst ab dem 2012-Level verfügbaren AD-Funktionen wie DAC noch nicht aktiviert sind. Die Passwörter der Benutzer lassen sich mit dem Werkzeug Password Export Server in das neue AD überführen.
Der Aufwand für dieses Migrationsszenario ist deutlich höher, weshalb es nur dann zum Einsatz kommen dürfte, wenn die Migration mit einer größeren Unternehmensreorganisation verbunden ist, die auch eine Änderung der Domänenstruktur umfasst. Ein Neuaufbau hat den Vorteil, dass man im Laufe der Jahre angehäufte Altlasten wie nicht mehr benutzte Konten, Gruppen oder Policies bei der Migration bereinigen kann. Bei beiden Migrationspfaden laufen die alten und die neuen Server parallel. Falls es bei der Umstellung zu Problemen kommen sollte, kann ein schneller Fallback erfolgen.
Ein Inplace-Upgrade eines DCs von 2003 auf 2012 R2 ist technisch nicht möglich. Diese Variante, bei der das Betriebssystem im laufenden Betrieb auf 2012 R2 aktualisiert wird, ließe sich nur mit einem 2008 R2 DC durchführen. Generell ist von Inplace-Upgrades abzuraten, weil ein in die Jahre gekommenes Betriebssystem häufig einige zum Teil versteckte Macken hat, die sich nur durch eine vollständige Neuinstallation sicher beseitigen lassen. Will man die alte Server-Hardware weiter nutzen, muss sichergestellt sein, dass die CPU 64-Bit-fähig ist. Seit 2008 R2 bietet Microsoft den Windows Server nur noch in der 64-Bit-Variante an.
Den Small Business Server (SBS), der neben den Active-Directory-Diensten auch einen Exchange-Server bereitstellte, gibt es seit Windows 2012 nicht mehr. Microsoft offeriert stattdessen eine Essentials-Version für maximal 25 Benutzer und 50 Geräte sowie die Variante Essentials Experience für maximal 100 Benutzer und 200 Geräte. Für ganz kleine Firmen gibt es zudem die Foundation-Edition, die maximal 15 Benutzer erlaubt. Für die Exchange-Dienste verweist Microsoft kleinere Unternehmen auf das Office-365-Angebot, bei dem der Outlook-Service in der von Microsoft bereitgestellten Azure-Cloud läuft.
Vorbereitung der AD-Migration
Dieser Beitrag beschreibt die Vorgehensweise für die Aktualisierung einer vorhandenen Windows-2003-Domäne auf Windows 2012 R2, denn dies dürfte in der Praxis die am häufigsten vorkommende Variante sein. Für die Durchführung der Migration kamen zwei virtuelle Windows-2003-DCs zum Einsatz, die das Active Directory migtest.local bereitstellten. Als Domänenmitglieder fügten wir je einen Windows-2003-, 2008-R2- und 2012-R2-Server sowie je einen Client mit Windows 7 und 8.1 hinzu. Die Zielplattform für die neuen DCs bestand aus zwei virtuellen Windows-2012-R2-Servern. Bevor wir mit der Migration starteten, versicherten wir uns mithilfe von Microsoft-Tools wie dcdiag, repadmin oder ntdsutil, dass alle Domänendienste fehlerfrei arbeiten.
Um eine Domäne von Windows 2003 auf Windows 2012 R2 migrieren zu können, muss das Domain Functional Level mindestens Windows 2003 sein. In der Domäne darf kein Windows-2000-DC mehr vorhanden sein. Standardmäßig installiert Windows 2003 die Domänendienste mit dem Functional Level 2000. Wir hoben deshalb im ersten Schritt sowohl das Domain Functional Level als auch das Forest Functional Level auf Windows 2003 an. Das Domain Level wird in der Konsole AD Users and Computers konfiguriert, der Forest Level in AD Domains and Trusts. Hierfür sind Enterprise-Admin-Rechte erforderlich.
Anschließend trugen wir auf den zwei für die DC-Rolle vorgesehenen 2012-R2-Systemen die 2003-DCs als DNS-Server ein und fügten die neuen Maschinen dann als Member-Server zu unserer 2003-Domäne hinzu. Nach dem erforderlichen Reboot installierten wir auf den beiden 2012-R2-Servern die AD-Dienste.
Server-Manager mit AD-Assistent
Microsoft hat den Assistenten für die Installation des Active Directorys bei Windows 2012 in den Server-Manager integriert. Unter dem Menüpunkt Roles and Features finden sich zahlreiche Zusatzfunktionen, die der Administrator nachträglich aktivieren kann.
Im ersten Schritt installiert der AD-Assistent die Domänendienste. Sobald das Setup abgeschlossen ist, erscheint ein Popup-Fenster, dass der Server nun zum DC erhoben werden kann. Hier gaben wir die vorhandene 2003-Domäne an, damit der 2012-R2 Server als neuer DC hinzugefügt wird. Die Haken bei DNS-Server und Global Catalog (GC) ließen wir aktiviert, sodass der neue DC automatisch für diese beiden Rollen konfiguriert wurde.
Der Administrator kann im Assistenten den Speicherort für die NTDS-Datenbank und das Sysvol-Verzeichnis ändern. Auch um die für die Aufnahme eines Windows-2012-R2-DCs erforderliche Vorbereitung von Forest und Schema sowie Domäne kümmert sich der Assistent automatisch. Bei Windows 2008 mussten wir die Forestprep- und Domainprep-Befehle vor dem Dcpromo noch manuell ausführen. Bevor der Assistent die Dcpromo-Installation startet, überprüft er, ob alle Voraussetzungen erfüllt sind. Zum Abschluss erfolgt ein Reboot.
Zentrale AD-Dienste migrieren
Nachdem wir beide 2012-R2-Server als DCs zur 2003-Domäne hinzugefügt hatten, ging es daran, die zentralen Domänenfunktionen auf die neuen DCs zu übertragen. Die fünf sogenannten FSMO-Rollen (Flexible Single Master Operations) steuern grundlegende Funktionen des AD. Zu ihnen zählen Schema Master, Domain Naming Master, Infrastructure Master, Relative-ID-Master (RID) und der PDC-Emulator (Primary Domain Controller).
Mit der Konsole AD Users and Computers zogen wir die Rollen RID-Master, PDC-Emulator und Infrastructure-Master auf einen neuen 2012-R2-DC um. Anschließend öffneten wird die Konsole AD Domains and Trusts und verschoben die Rolle Domain Naming Master auf den neuen DC.
Um die Schema-Master-Rolle auf einen anderen DC zu übertragen, muss der Administrator zunächst auf einer Kommandozeile die Datei schmmgmt.dll mit dem Befehl regsvr32 registrieren. Dann fügt er in der Microsoft Management Console (MMC) das AD-Schema-Snap-in hinzu. Damit kann er den Schema-Master auf einen anderen DC transferieren.
Nachdem wir die fünf FSMO-Rollen auf die 2012-R2-DCs migriert hatten, starteten wir die beiden Rechner nacheinander neu. Anschließend verifizierten wir mit dem Cmd-Befehl netdom query fsmo, dass alle Rollen von den neuen 2012-R2-DCs bereitgestellt wurden. Dann starteten wir unsere Member-Server und Client-Rechner durch, um zu überprüfen, ob die Kommunikation mit den neuen DCs fehlerfrei funktioniert. Die Anmeldung nach dem Reboot funktionierte bei allen Systemen fehlerfrei, und in den Event-Logs waren keine Auffälligkeiten festzustellen.
2003-DCs entfernen und Domain Level anheben
Damit stand einer Entfernung der 2003-DCs nichts mehr im Wege. Zunächst starteten wir beide Server nacheinander durch, um sicherzugehen, dass sie alle Aktualisierungen übernommen hatten. Dann führten wir auf beiden Rechnern das Dcpromo-Tool aus, das die AD-Dienste entfernte und die Systeme zu normalen Member-Servern machte. Es empfiehlt sich, vor dem Start von Dcpromo die Global-Catalog-Rolle mithilfe der Konsole AD Sites and Services zu entfernen, da es sonst bei der Entfernung der AD-Dienste zu einem Timeout kommen kann.
Um die neuen AD-Funktionen nutzen zu können, stuften wir zum Abschluss der Migration das Domain und Forest Functional Level auf Windows 2012 R2 hoch. Damit standen nun alle Features des aktualisierten Active Directorys zu Verfügung. Falls ein Unternehmen noch 2008-DCs im Einsatz hat, lässt sich das Level auch nur auf dieses Niveau anheben.
DNS- und DHCP-Migration
Domänen-Controller kommen häufig auch als DNS- und DHCP-Server zum Einsatz. Bei der Installation der neuen 2012-R2-DCs hatten wir die DNS-Funktion vom AD-Assistenten gleich mit installieren lassen. Dadurch wurden die DCs automatisch in das Active-Directory-integrierte DNS aufgenommen, das bislang die 2003-DCs bereitgestellt hatten. Wenn es sich um eine Standalone-DNS-Konfiguration handelt, muss der Administrator die Zonenkonfiguration und die Zonendateien auf dem alten DNS-Server exportieren, dann auf den neuen Server kopieren und dort ins DNS importieren. Findet ein DHCP-Server Verwendung, sollte man einen neuen DNS-Server in der DHCP-Management-Konsole unter den Server- und Scope-Optionen bei Option 6 hinzufügen, damit DHCP-Clients die Namensauflösung nutzen können.
Läuft ein DHCP-Server auf einem DC, lässt sich die DHCP-Konfiguration auf den neuen DC übertragen. Hierfür hält der Administrator den bisherigen DHCP-Server an, deautorisiert ihn und exportiert dann die DHCP-Settings. Anschließend installiert er auf dem neuem Server den DCHP-Dienst, autorisiert den Server und importiert die DHCP-Konfiguration.
Die Member-Server und Client-Rechner in unserer Testumgebung hatten wir alle mit statischen IP-Adressen konfiguriert. Deshalb mussten wir nach dem Entfernen der 2003-DCs aus der Domäne bei allen Systemen die IP-Adresse der neuen 2012-R2-DNS-Server manuell anpassen, damit die Namensauflösung wieder funktionierte.
Fazit
Eine Migration der Active-Directory-Dienste von Windows 2003 auf Windows 2012 R2 sollte sich in kleineren Unternehmen mit relativ wenig Aufwand durchführen lassen. Da ein direkter Umstieg von 2003-Domänen auf das aktuellste Microsoft-Betriebssystem möglich ist, können Unternehmen ihre Windows-Domäne auf einen Stand bringen, der einige Jahre überdauern wird. Größere Unternehmen mit komplexen, gewachsenen AD-Strukturen sollten vor der Umstellung ihrer produktiven DCs die einzelnen Migrationsschritte in einer Testumgebung genau unter die Lupe nehmen.
Der Autor auf LANline.de: chjlange
Info: MicrosoftTel.: 01806/672255Web: www.microsoft.com
Lesen Sie mehr zum Thema
