Вот и настала пара обновить контроллеры домена до поледней версии 2012 R2. Но чтобы обновление было ещё интереснее, я решил его немного усложнить. Представим, что наша компания очень бурно развивается, и вот уже новый этаж здания готовится к эксплуатации. Пусть на каждом этаже здания раположено про 150 рабочих мест. Следовательно, одной сети на 253 адреса для 300 рабочих мест уже не достаточно. По этому было принято решение ввести ещё одну сеть и установить новый контроллер домена в этой сети. Между сетями установлен маршрутизатор, который и занимается маршрутизированием между сетями.

 Все сервера и клиенты, приведённые в этой статье, установлены на виртуальные машины Hyper-V 2012 R2. Конфигурация хоста и виртуальных машин приведены ниже.
- Хостовой сервер: Intel i7 2700, 16 GB RAM, ATI 4550, Windows Server 2012 R2 Eval, диск с файлами VHDX на RAID-0.
- Виртуальный контроллер домена 2008 R2: CPU x2, RAM 2 GB, Network Private 1
- Виртуальный клиент Windows 7: CPU x2, RAM 2 GB, Network Private 1
- Виртуальный маршрутизатор Windows Server 2008 R2: CPU x2, RAM 2 GB, Network Private 1 + Network Private 2 + External Network
- Виртуальный контроллер домена 2012 R2: CPU x2, RAM 2GB, Network Private 2
- Виртуальный клиент Windows 8.1: CPU x2, RAM 2 GB, Network Private 2

 Вот такая получилась сеточка:

 Настройка RRAS. Для интерфейса К включён NAT. Две сети натируются в его адрес. Хотя это не обязательное условие, просто решил сделать ради интереса.

 Настройки первого контроллера домена 2008 R2. Находится в сети 10.10.10.0

 Настройки установленного Windows Server 2012 R2. Находится в сети 10.10.20.0. Сервер должен быть членом домена.

 Все установки ролей начинаются с Server Manager.

Выбираем Active Directory Domain Services и все предложенные компонеты.

 Повышаем сервер до контроллера домена: Promote this server to a domain controller.

 Выбираем "Добавить контроллер домена в существующий домен". Пишем имя домена и учётные данные администратора домена.

 Т.к. в ДНС у меня был указан мой корпоративный ДНС сервер, а он ничего не знает от домене exonix.internal, то получаем ошибку.

 Исправляем настройки сетевой карты, указывая в ДНС IP адрес действующего контроллера домена.

 После изменения настроек, успешно находим наш домен.

 Выбираем роли контроллера домена, определяем сайт и указываем пароль для режима восстановления каталогов.

 Как и раньше - нет ДНС, значит делегировать ДНС-зону пока не кому.

 Выбираем источник репликации. Для филиала с медленным интернетом можно использовать подготовелнный оптический носитель.

 Служебные папки оставляем без изменения.

 Начиная с Windows Server 2012 обновление схемы и леса домена происходит в атоматическом режиме во время установки контроллера домена. Ручное обновление ещё поддерживается.

 Можно войти доменным администратором или своей учётной записью.

 В ДНС сервере появилась запись о новом узле.

 На новом ДНС сервере появилась реплика всей доменной зоны.

 В оснастке Active Directory Сайты и Службы появились коннекторы по умолчанию между контроллерами домена. Их достаточно для функционирования домена и не требуют дополнительной настройки. Там же в оснастке определяем новую сеть в наш сайт.

 Создаём новую обратную зону для новой сети 10.10.20.0

 На новом контроллере домена меняем настройки ДНС в сетевой карте: первый адрес сам на себя, второй адрес на партнёра, третий адрес - петля. Со времён Windows Server 2008 R2 (может и просто 2008) нет необходимости указывать первым адресом партнёра. Но если в сети есть 2003 сервер - там всё ещё следует указать адрес другого ДНС сервера.

 Так же меняем порядок ДНС серверов на первом контроллере домена.

 Включаю две виртуальные клиентские машины. К сожалению, пять виртуальных машин на SATA-II RAID-0 не очень производительная конфигурация. Но, что есть, то есть. На клиенте Windows 7 указываем настройки для сети 10.10.10.0 - DHCP сервера в стенде нет.

 Вводим в домен.

 Настраиваем на соответсвующую сеть 10.10.20.0 клиент Windows 8 и так же вводим в домен.

 После перезагрузки клиента Windows 7 проверям в каком сервере он прошёл авторизацию.

 После перезагрузки клиента Windows 8 проверям в каком сервере он прошёл авторизацию. Каждый клиент авторизуется на контроллере домена в соотвествии со своим сайтом и сетью определённой в сайте.

 Для полной миграции на сервер 2012 R2 необходимо (но не обязательно) выполнить передачу ролей FSMO. С помощью утилиты netdom можно посмотреть текущих владельцев ролей FSMO.

 Передача или захват ролей можно осуществить с помощью утилиты NTDSUTIL. Это проще, чем открывать несколько оснасток для передачи ролей FSMO.

 Передаём роль PDC.

 Передаём роль RID master и другие роли.

 После передачи всех ролей снова смотрим на список владельцев ролей FSMO.

 В качестве теста отключим Windows Server 2008 R2 и перезагрузим клиент Windows 7 и вновь в нём залогинимся, чтобы посмотреть сервер авторизации. Им окажется новый сервер 2012 R2. При этом не будет работать утилита nslookup с параметрами по умолчанию (по умолчанию утилита будет обращаться к отключенному ДНС серверу). Интернет работать будет.

 Hyper-V 2012 и 2012 R2 позволяют менять сетевую карту не выключая ВМ. Поменяем сетевую карту с Private 1 на Private 2. Затем поменяем настройки сетевой карты на сеть 10.10.20.0.

 После перезагрузки клиента Windows 7 и новой авторизации клиент будет работать в новой сети. Если контроллер домена 2008 R2 больше не нужен, его можно удалить.

28.10.2013