LATEST NEWS

Domain Controllers תכנון לפני שדרוג שרתי

israel-it.co.il > Microsoft On-Prem > Active Directory > SYSVOL > Domain Controllers תכנון לפני שדרוג שרתי

שלום לכולם,
במאמר הבא אעשה סדר בכל הנוגע לביצוג שדרוג של שרתי DC.
בכל פעם שאנחנו מבצעים שדרוג לשרתי DC אנו בוחנים את ההתנהגות של הסביבה תוך כדי התהליך נתקלים בתקלות ומאמצים לעצמנו שיטת עבודה בכדי שבפעם הבאה שנבצע שדרוג זה יתבצע בצורה חלקה יותר ולכן ישנן מספר שיטות לשדרוג שרתי DC ואנחנו נדון בשיטה שהכי נכונה מבחינתי ומבחינת Best Practices של מייקרוסופט.

שלב א’ – תכנון:

למעשה זהו השלב החשוב ביותר! מפני שלתכנון עבודה נכון ישנה השפעה רבה מאוד על איך פרוייקט השדרוג שלכם יעבור, ככל שתשאבו מידע ותערכו בהתאם לתקלות העתידיות לבוא עם השדרוג אתם גם תדעו לפתור אותן או שאפילו לא תתחילו את השדרוג עקב תוכנות שלא נתמכות בגרסת הSchema החדשה.

אז אלו דברים אנחנו צריכים לבדוק לפני התחלת השדרוג:

  • הדבר הראשון ואולי הכי חשוב זה לדאוג שיש לכם גיבוי עדכני של שרתי ה-DC!
  • האם קיימים שרת RODC בארגון.
  • בדיקת גרסת ה-Forest and Domain Functional Levels הנוכחית והאם שכאשר תבצעו את השדרוג ה-Functional Levels כל המוצרים בארגונם המשולבים Active Directory ימשיכו לעבוד כרגיל.
    ניתן לבדוק לגבי תמיכת המוצרים של גרסאות ה-Forest and Domain Functional Levels במאמר הבא:
    Understanding Active Directory Domain Services (AD DS) Functional Levels
  • מי הוא שרת ה-Doman Controller אשר מחזיק את כל חוקי ה-FSMO.
    ניתן לבדוק זאת ע”י הרצת הפקודה הבאה:
Netdom query fsmo
  • במידה ובארגונכם יש יותר משרת DC אחד, אתם נדרשים לבצע בדיקת תקינות של הרפליקציות בין שרתי ה-Domain Controllers בעזרת פקודות של Repadmin:
repadmin /syncall
repadmin /replsummary
repadmin /showrepl /errorsonly
repadmin /Queue
repadmin /KCC
  • בנוסף לבדיקת הרפליקציות נדרש לבצע בדיקה יזומה של שכפול תיקיית ה-SYSVOL בארגון.

     ניתן לבצע בדיקה יזומה באופן הבא:

– בשרת ה-DC הראשי גשו אל תיקיית ה-SYSVOL המקומית – C:\Windows\SYSVOL\domain
– צרו קובץ חדש בתוך בתיקיית Scripts.
– גשו אל אחד משרתי ה-DC האחרים וודאו שהקובץ שיצרתם קודם לכן אכן שוכפל אל תיקיית ה-SYSVOL המקומית של השרתי DC האחרים. (שימו לב! שאתם לא מחוברים אל תיקיית ה-SYSVOL דרך Share כי זאת לא בדיקה נכונה.)

  • בדיקת גרסאת תיקיית ה-SYSVOL הנוכחית ע”י הרצת הפקודה הבאה:
dfsrmig /getglobalstate

תוצאה המציגה כי יש לכם SYSVOL מסוג FRS:

DFSR migration has not yet initialized. To start migration please
set global state to desired value.PS C:\Users\administrator.ISRAEL-IT>

תוצאה המציגה כי יש לכם SYSVOL מסוג DFSR:

Current DFSR global state: 'Eliminated'
Succeeded.

במידה ונדרש לשדרג את תיקיית ה-Sysvol, תוכלו לבצע זאת בעזרת המדריך הבא:
Migrate From FRS to DFSR

  • מיפוי של כל התפקידים והתוספים אשר מותקנים על השרת:
    DHCP, Certificate Authority, .Net Framework, Network Policy Server (NPS), Network Load Balancer (NLB) וכו’.

    תוכלו לבדוק זאת ע”י הרצת הפקודה הבאה:

Get-WindowsFeature | where{$_.InstallState -eq "Installed"}
  • בצעו גיבוי לרשימת Dns Zone שמוגדרים על השרת מכיוון שה-Zones לא יעברו אל השרת החדש וככל הנראה שתצטרכו להגדיר את זה שוב באופן ידני.
    בכדי להציג את רשימת ה-Dns Zone הקיימת על שרת ה-DC הריצו את הפקודה הבאה:
Get-DnsServerZone
  • מיפוי של כל המוצרים (Netapp, Commvault, FireWall, Mail Relay וכו’) אשר פונים באופן ישיר אל שרת ה-DC ואת התוכנות אשר מותקנות על השרת .
    תוכלו לבדוק זאת דרך Control Panel תחת “Programs and Features
  • בדקו מול איזה שרת Network Time Protocol (NTP) שרת ה-DC מסתנכרן.
    תוכלו למצוא את שרת ה-NTP ע”י הרצת הפקודה הבאה:
w32tm /query /status

# Source = NTP Server

לאחר שביצעתם מיפוי של כל הסביבה שלכם ותכננתם כיצד לבצע מיגרציה נכונה לכל התפקידים והתוכנות אשר מותקנים כל שרתי ה-Domain Controllers, ניתן להמשיך אל השלב הבא.

שלב ב’ – הרחבת ה-Schema בעזרת Adprep:

Adprep – כלי אשר מבצע הרחבה ל-Schema ומכין את כל ה-Forest לגרסת ה-Windows Server החדשה.
ניתן להשתמש בכלי זה החל מגרסת Windows Server 2008.
גם אם לא תשתמשו בכלי זה ותגדירו Windows Server בגרסה חדשה כ-Domain Controller, בפעולה של הרחבת ה-Shema תתבצע באופן אוטומטית.

אז למה בכל זאת לבצע את הפעולת הרחבת ה-Schema באופן יזום?
– זה ה-Best Practice של מייקרוסופט
– זו הדרך הכי בטוחה שיש לביצוע הרחבה וכולנו יודעים כמה חשוב לפעול בזהירות כאשר מבצעים שינויים ב-Schema.
אני באופן אישי חוויתי כמה תקלות מפני שלא ביצעתי הרחבה עם Adprep.

 

 

ביצוע הרחבה ל-Schema ע”י שימוש ב-Adprep:

התחברו אל שרת ה-DC הראשי שלכם (זה שמחזיק את 5 תפקידי ה-FSMO)

טענו לשרת ה-DC את קובץ ההתקנה (ISO) של ה-Windows Server שאליו אתם רוצים לשדרג את הסביבה.

פתחו את CMD כ-Administrator והריצו את הפקודות הבאות:

 

X:\support\adprep\adprep.exe /forestprep
X:\support\adprep\adprep.exe /domainprep

 

בעת הרצת הפקודות תוצג לכם התראה האומרת שאתם עומדים לבצע שדרוג ל-Schema.
 אם ברצונכם להמשיך הקלידו את האות “C” לחצו ENTER  וכעת שדרוג ה-Schema יתחיל.

במידה ובסביבתכם קיים שרת RODC הריצו גם את הפקודה הבאה:

 

X:\support\adprep\adprep.exe /rodcprep

 

X = נתיב הכונן של ה-ISO שטענתי קודם לכן.

כך נראת תוצאה תקינה:

 


 

כעת תוכלו להוסיף שרת חדש של Windows Server ולהגדיר אותו כ-Domain Controller.

 

This Article Was Written By Matan Sigavker.

Tags:

1 comment on “Domain Controllers תכנון לפני שדרוג שרתי

  1. ממש כיף לקרוא את כל המידע ומידי פעם שוב לרענן את הידע
    אחלה מדריך ממש מעולה

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *