¿Está listo para la transición a Windows Server 2008? No lo estará sin la adecuada preparación de su infraestructura de Active Directory. En este artículo le daremos algunos consejos para asegurarse de que todo esté en su lugar para una transición sin problemas.
preparándose para un actualizar a Active Directory no es una tarea trivial. Sin embargo, si se prepara adecuadamente para la actualización, podrá aprovechar una nueva infraestructura de Active Directory que admitirá Windows Controladores de dominio de 2008.
Te proporcionará beneficios adicionales como mejoras de auditoría, políticas de contraseña detalladas, controladores de dominio de solo lectura, servicios de dominio de Active Directory reiniciables y una herramienta de montaje de base de datos de Active Directory. En Windows 2008el servicio de Active Directory ahora se denomina Servicios de dominio de Active Directory (AD DS), antes conocido como Servicios de directorio de Active Directory.
Hay un pocos pasos que debe tomar para preparar y actualizar su Active Directory Forest existente para admitir nuevos Windows Controladores de dominio de 2008. Antes de poder agregar AD DS a un servidor que se está ejecutando Windows servidor 2008 o Windows Server 2008 R2 en un entorno de Active Directory existente, usted hay que preparar el ambiente mediante la ejecución Adprep.exe. Adprep.exe es una herramienta de línea de comandos que se incluye en el disco de instalación de cada versión de Windows Servidor.
Adprep.exe realiza operaciones que deben completarse en un entorno de Active Directory existente antes de poder agregar un controlador de dominio que ejecute esa versión de Windows Servidor que es posterior a la última versión que se ejecuta en su entorno actual.
En Windows servidor 2008, Adprep.exe está disponible en el /sources/adprep carpeta del DVD de instalación. En Windows servidor 2008 r2, Adprep.exe se encuentra en el /support/adprep carpeta.
cuando corres Adprep.exese realizarán varias operaciones para preparar el dominio para la nueva versión de Windows Servidor que se ejecutará en sus controladores de dominio. Algunas de las operaciones incluyen:
- Actualizar el esquema de Active Directory
- Actualizar descriptores de seguridad
- Actualizar listas de control de acceso (ACL) en objetos de Active Directory y en archivos en la carpeta compartida SYSVOL
- Creación de nuevos objetos, según sea necesario
- Creación de nuevos contenedores, según sea necesario.
Proceso de actualización de Active Directory
El primer paso es preparar su bosque de Active Directory. Inicie sesión en el controlador de dominio en el dominio raíz que está actualmente sosteniendo el rol Flexible Single Master Operations (FSMO) de “Schema Master”. Si usted es no estoy seguro de qué computadora tiene los roles de FSMO, puede escribir el siguiente comando: netdom query FSMO en un símbolo del sistema en una computadora en la que tiene Netdom.exe instalado.
Asegúrese de que puede iniciar sesión en el maestro de esquema con un cuenta que tiene credenciales suficientes correr Adprep.exe. Tú debe ser un miembro del grupo de administradores de esquema, el grupo de administradores de empresa y el grupo de administradores de dominio del dominio que aloja el maestro de esquema, que es, de forma predeterminada, el dominio raíz del bosque.
Una vez que inicie sesión en el servidor que tiene este rolejecute el siguiente comando: Adprep.exe /forestPrep en un símbolo del sistema.
Este comando solo debe ejecutarse una vez en el bosque. Si se está ejecutando algún controlador de dominio en el bosque Windows 2000 Server, deben ejecutar Service Pack 4 (SP4). El software antivirus puede a veces interfieren con este comando. Es posible que desee temporalmente deshabilitado el servicio antivirus se ejecute en el maestro de esquema hasta que se haya completado el proceso.
Después de que los controladores de dominio en el bosque tengan sreplicación completada con éxito, puede continuar con el siguiente paso. El objectVersion el atributo se establecerá en 44 o 47 dependiendo de si ejecutó adprep /forestPrep para Windows 2008/2008 R2, respectivamente. Esto se puede verificar usando ADSIEditar bajo el esquema, objeto de configuración.
El siguiente paso es ejecutar Adprep.exe en cada dominio, mientras está conectado en el controlador de dominio que tiene la función FSMO de maestro de operaciones. Este comando es solo se ejecuta en ese servidor. No ejecuta este comando en cada controlador de dominio. Debe iniciar sesión en ese servidor como Administrador de dominio. Se debe ejecutar uno de estos dos comandos:
Adprep.exe /domainPrepAdprep.exe /domainPrep /gpPrep
Si usted ya corrió el /gpPrep parámetro para Windows Server 2003, no necesita volver a ejecutarlo para Windows servidor 2008 o Windows Servidor 2008 R2. Este comando agrega solo el heredable entradas de control de acceso (ACE) en objetos de directiva de grupo (GPO) en la carpeta compartida SYSVOL.
El ACE adicionales otorgue a los controladores de dominio empresarial permisos de acceso de lectura en los GPO. Estos se requieren permisos para admitir la funcionalidad del conjunto resultante de políticas (RSOP) para políticas basadas en el sitio. El el paso final es opcional pero debe ser considerado. Este se requiere un paso si planea instalar uno o más controladores de dominio de solo lectura (RODC) en el bosque. El comando es el siguiente: Adprep.exe /rodcPrep.
Este actualizaciones de comandos los descriptores de seguridad para las particiones del directorio de aplicaciones para otorgar a los RODC permiso para replicar actualizaciones en las particiones. Cada aplicación partición de directorio tiene un maestro de infraestructura. El adprep/rodcprep dominio debe actualizar el descriptor de seguridad para cada partición del directorio de aplicaciones en el maestro de infraestructura para esa partición.
Este comando se ejecuta una vez para todo el bosque. se puede ejecutar desde cualquier computadora. Este comando realiza operaciones de forma remota. Para las operaciones para completar con éxitoel maestro de operaciones de nombres de dominio para el bosque y el maestro de operaciones de infraestructura para cada partición de directorio de aplicaciones y cada partición de dominio deben ser accesibles.
Si ya ejecutó este comando para Windows Server 2008, no necesita volver a ejecutarlo para Windows Servidor 2008 R2. Debe iniciar sesión en la computadora como administrador de empresa.
