Active Directory-Migration von Windows Server 2003 auf Windows Server 2012R2

Am 15. Juli 2015 endet der Support für Windows Server 2003. Dies Betrifft alle Editionen von Windows Server 2003 und Windows Server 2003R2. Viele Unternehmen haben allerdings noch Domänencontroller (DCs) unter Windows Server 2003 laufen. Hier erfahren Sie, wie Sie Active Directory (AD) von 2003 auf 2012R2 migrieren.

Vor Windows Server 2012 war es notwendig, wenn man einen DC mit einer neueren Betriebssystemversion hinzufügen wollte, das AD darauf vorzubereitet. Hierfür stellt Microsoft das Kommandozeilen-Tool adprep.exe zur Verfügung, dass sich auf jeder Installations-DVD von Windows Server befindet (man musste dann immer das adprep von der neuen Windows Server-Version verwenden). Das ist jetzt ab Windows Server 2012 nicht mehr notwendig – das erledigt jetzt der neue Konfigurations-Assistent, der einen Server zu einem DC herauf stuft, automatisch.

Unter Windows Server 2012R2 kann zwar keine Domäne oder Gesamtstruktur mit einer Funktionsebene 2003 mehr eingerichtet werden (nur noch ab Funktionsebene 2008), man kann ihn jedoch als zusätzlichen Domänencontroller einer 2003-Domäne hinzufügen. Dies müssen wir auch als ersten Schritt erledigen:

Im Server-Manager des Windows Server 2012R2-Servers die Serverrolle “Active Directory-Domänendienste” hinzufügen (“Verwalten” –> “Rollen und Features hinzufügen”).

ad_migration1

Wenn die Rolle erfolgreich installiert wurde, muss der “Konfigurations-Assistent für Active Directoy-Domänendienste” gestartet werden, in dem man auf den Link “Server zu einem Domänencontroller heraufstufen” klickt (dieser Assistent löst quasi DCPROMO, das bei früheren Windows Server Versionen noch explizit aufgerufen werden musste, ab).

ad_migration2

Hier wählt man den Bereitstellungsvorgang “Domänencontroller zu einer vorhandenen Domäne hinzufügen” aus, trägt die Domäne ein und hinterlegt noch entsprechende Anmeldeinformationen eines Domänen-Admins.

ad_migration3

Als nächstes müssen die Domänencontrollerfunktionen “DNS-Server” (nur wenn der DNS-Server bisher auch auf einem DC lief) und “Globaler Katalog” ausgewählt werden. Dann noch ein DSRM-Kennwort angeben.

ad_migration4

Die nächsten Punkte “DNS-Optionen”, “IFM-Optionen”und “Pfade” können in der Regel mit “Weiter” übersprungen oder (falls notwendig) angepasst werden. Es folgt ein Hinweis, dass die Gesamtstruktur, das Schema und die Domäne während dem Hochstufen zum DC vorbereitet werden müssen – dieser Automatismus löst die manuelle Vorbereitung via ADPREP ab.

Nachdem Sie die Optionen geprüft haben, wird eine Voraussetzungsüberprüfung vorgenommen. Erscheint links oben ein grüner Haken, dann kann mit der Installation begonnen werden.

Nach dem automatischen Neustart läuft der 2012R2-Server als weiterer DC in der Domäne. Damit jedoch der 2003-Server in “Rente” geschickt werden kann, müssen die FSMO-Rollen (Betriebsmasterrollen) auf den 2012R2-Server verschoben werden. Es gibt insgesamt 5 FSMO-Rollen: PDC-Emulator, RID-Master, Infrastruktur-Master, Domänennamen-Master und Schema-Master. Der Verschiebung der Rollen muss immer an dem DC angestoßen werden, der die Rollen erhalten soll.

Auf dem 2012R2-Server muss das Verwaltungs-Snap-In “Active Directory-Benutzer und –Computer” gestartet werden. In diesem Snap-In lassen sich 3 von den 5 Rollen verschieben. Hierzu macht man einen Rechtsklick auf den Domänennamen und geht im Kontextmenü auf “Betriebsmaster…”.

ad_migration5

Hier stehen die 3 Betriebsmasterrollen “RID-Master”, “PDC-Emulator” und “Infrastruktur-Master” – erreichbar über Registrierkarten – zur Verfügung. Im ersten Eingabefeld wird angezeigt auf welchem DC die Rolle aktuell beheimatet ist. Im zweiten Eingabefeld erhält man die Information mit welchem DC man gerade verbunden ist – hier sollte der Name des 2012R2-Servers aufgeführt sein. Falls das nicht der Fall ist: Im Snap-In Rechtsklick auf “Active Directory-Benutzer und –Computer” (oberster Eintrag in der Ordnerstruktur) –> “Domänencontroller ändern” und dort den 2012R2-Server auswählen.

ad_migration6

Um die FSMO-Rolle zu verschieben, genügt ein Klick von den Button “Ändern…”. Danach steht im ersten Eingabefeld auch der neue Server drin. Diese Aktion führt man bei allen 3 Rollen durch.

Die Betriebsmasterrolle “Domänennamen-Master” kann man im Snap-In “Active Directory-Domänen und -Vertrauensstellungen” verschieben. Statt einen Rechtsklick auf den Domänennamen muss man hier allerdings einen Rechtsklick auf den Namen des Snap-Ins (oberster Eintrag in der Ordnerstruktur) vornehmen, um zum Betriebsmaster zu gelangen.

ad_migration7

Die letzte Betriebsmasterrolle muss über das Snap-In “Active Directory-Schema” verschoben werden. Problem: Dieses Snap-In ist (aus Sicherheitsgründen) standardmäßig nicht installiert. Über die Eingabeaufforderung (cmd) geben wir “regsvr32 schmmgmt.dll” ein. Danach bekommen wir die erfolgreiche Durchführung bestätigt.

ad_migration8

Über die mmc haben wir nun Zugriff auf das Snap-In (in der mmc “Datei” –> “Snap-In hinzufügen” –> “Active Directory-Schema” hinzufügen).

Da man standardmäßig in diesem Snap-In mit dem Schema-Master verbunden wird, müssen wir über einen Rechtsklick auf “Active Directory-Schema” über “Active Directory-Domänencontroller ändern…” den 2012R2-Server als aktuellen DC auswählen. Danach mit einem weiteren Rechtsklick auf den Snap-In-Namen über “Betriebsmaster…” die letzte Rolle verschieben.

Damit wurden alle 5 FSMO-Rollen auf den neuen 2012R2-Server verschoben. Dies kann man sich auch schnell in der Eingabeaufforderung mit “netdom query fsmo” bestätigen lassen.

ad_migration9

Jetzt können wir den 2003-Server als DC in Rente schicke. Als erstes trägt man in der IP-Konfiguration auf dem 2003-Server als bevorzugten DNS-Server den neuen 2012R2-Server ein und startet danach über “Start” –> “Ausführen” DCPROMO.

ad_migration10

Nach dem ersten “Weiter” wird man gefragt, ob dieser Server der letzte DC in der Domäne ist. Die Checkbox darf hier NICHT aktiviert werden! Als nächstes vergibt man noch ein Kennwort für das neue lokale Administrator-Konto, dass während dem Herabstufen angelegt wird. Nach einem Neustart ist der Server zwar noch Mitglied in der Domäne, jedoch kein Domänencontroller mehr.

Falls es noch weitere ältere DCs gibt, diese ebenfalls wie beschrieben als DC herabstufen.

Abschließend muss noch die Domänen- wie auch Gesamtstrukturfunktionsebenen heraufgestuft werden, damit auch alle neuen AD-Funktionen, die nach Windows Server 2003 implementiert wurden, auch zur Verfügung stehen. Dies kann man komfortabel auf dem 2012R2-Server über das neue Verwaltungstool “Active Directoy-Verwaltungscenter” erledigen. Nach dem Start des Tools (im Server-Manager unter “Tools”) einfach in der linken Spalte auf den Domänennamen klicken, dann in der rechten Spalte (“Aufgaben”) auf “Gesamtstrukturfunktionsebene heraufstufen…”.

ad_migration11

Dort als Funktionsebene “Windows Server 2012R2” auswählen. Damit stehen alle neuen Funktionen zur Verfügung. Es lässt sich dann aber auch kein DC mit einer niedrigeren Betriebssystemversion mehr hinzufügen.

ad_migration12

Die Domänenfunktionsebene wird automatisch mit hochgesetzt – dies muss nicht manuell gemacht werden.

Damit ist die Migration abgeschlossen.

Kommentare sind geschlossen