Migrare Active Directory da Windows Server 2012 R2 a Windows Server 2019

Con le moderne tecniche di virtualizzazione sono tantissimi gli utenti che hanno un proprio dominio anche a fini di test. Di solito si effettua il download dell’ultima versione di Windows Server e si crea in pochi minuti un laboratorio perfettamente funzionante, utilissimo per testare le nuove funzioni rilasciate. Spesso, però, ci si imbatte in problemi legati alle differenze tra versioni e livelli funzionali di un dominio o foresta. Che cos’è il livello funzionale e a cosa serve?

Il livello funzionale determina la disponibilità di un dominio o foresta e dei relativi servizi Active Directory Domain Services (ADDS), in relazione alla versione del sistema operativo server utilizzato.

In ogni versione di Windows Server sono state rilasciate delle funzionalità specifiche per ADDS.

Di seguito quelle rilevanti da Windows Server 2003 in poi:

Versioni di Windows

Funzioni rilevanti

Sistemi Operativi supportati

Windows Server 2003 Trust delle foreste

Ridenominazione del dominio

Possibilità di deployare un DC read-only

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2008 Distributed File System (DFS)

AES 128/256

Personal Virtual Desktop

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2008 R2 Cestino di AD

Supporto per Active Directory Federation Services (ADFS)

SPN automatico

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2012 Supporto KDC per i claims Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2012 R2 Autenticazione con NTLM

DES/RC4 cipher nelle Kerberos pre-auth

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2016 Privileged access management (PAM) usando Microsoft Identity Manager (MIM)

Possibilità di utilizzare una smart card per logon interattivi

Migliorata la Kerberos Authentication

Windows Server 2016

Windows Server 2019

Con Windows Server 2019 non ci sono ulteriori novità e di conseguenza il livello funzionale di dominio/foresta più aggiornato resta il 2016.

In questo articolo vedremo come migrare Active Directory da Windows Server 2012 R2 a Windows Server 2019 e come aumentare il livello funzionale del dominio e della foresta.

Questa può essere un’attività complessa a seconda dei servizi utilizzati e da migrare.

Prima di iniziare è bene effettuare qualche verifica, al fine di evitare imprevisti, che possiamo schematizzare in questo modo:

  • Effettuare un’analisi dell’attuale infrastruttura AD
  • Assicurarsi di avere le risorse necessarie alla creazione di un nuovo Domain Controller
  • Installare il sistema operativo ed installare tutti gli aggiornamenti più recenti
  • Assegnare un IP al nuovo Domain Controller
  • Installare il ruolo AD DS (Active Directory Domain Services)
  • Migrare applicazioni e ruoli dal Domain Controller primario
  • Migrare i ruoli FSMO (Flexible Single Master Operation) sul nuovo DC
  • Aggiornare il livello funzionale del dominio e della foresta.

Attività preliminari

Le VM che utilizzeremo in questo articolo sono tre:

  • Un Domain Controller Windows Server 2012 R2
  • Un Domain Controller Windows Server 2016
  • Una virtual machine Windows Server 2019

Il dominio TestDomain.local utilizzato in questo scenario è stato creato dalla vm Windows Server 2012 R2. Per verificare il livello funzionale possiamo utilizzare i comandi:

 

Il risultato è il seguente

Figura 1: PowerShell – Info dominio

Figura 2: PowerShell – Info foresta

Verifichiamo le regole FSMO (Flexible Single Master Operations) con il comando:

 

Figura 3: PowerShell – FSMO

L’infrastruttura è la seguente:

Figura 4: AD – Infrastruttura

L’obbiettivo è sostituire il domain controller Windows Server 2012 R2 con uno Windows Server 2019 ed estendere lo schema Active Directory incrementando il livello funzionale.

Configurazioni

Effettuiamo il login sulla macchina Windows Server 2019 e facciamo join al dominio. A seguito del riavvio, effettuiamo il login con un’utenza con privilegi di Domain Admin

Figura 5: AD – VM2019

A questo punto è necessario installare il ruolo ADDS. Possiamo utilizzare il seguente comando:

 

Figura 6: PowerShell – Installazione ruolo ADDS

Promuoviamo la nuova macchina Windows Server 2019 a Domain Controller del dominio:

Figura 7: AD – Promote

Seguiamo il wizard selezionando Add a domain controller to an existing domain

Figura 8: AD – Promote

Figura 9: AD – Promote

Figura 10: AD – Promote

Figura 11: AD – Promote

Figura 12: AD – Promote

Terminata la configurazione attendiamo il riavvio del server. Effettuiamo nuovamente il login e verifichiamo che la promote sia andata a buon fine

Figura 13: ADUC – Verifica DC

A questo punto è necessario migrare i ruoli FSMO sul nuovo Domain Controller. Eseguiamo il login sul Domain Controller Windows Server 2012 R2, apriamo il Server Manager ed eseguiamo il tool Active Directory Module for Windows PowerShell

Figura 14: AD – Server Manager

Eseguiamo il seguente comando (opportunamente personalizzato)

 

Figura 15: CMD – Migrazione Ruoli

Verifichiamo che la migrazione dei ruoli sia andata a buon fine eseguendo i comandi:

 

Figura 16: CMD – Riepilogo dominio


Figura 17: CMD – Riepilogo foresta

Possiamo verificare che la migrazione dei ruoli sia andata a buon fine poiché il server, in questo caso, TestDC3 è master dei ruoli FSMO.

Come ulteriore verifica eseguiamo il comando

 

Figura 18: CMD – Ruoli FSMO

Proseguiamo con l’azione di demote del Domain Controller 2012 R2.

Dopo aver effettuato il login sul DC 2012 R2, dal Server Manager, eseguiamo la disinstallazione del ruolo ADDS

Figura 19: Server Manager – Rimozione ruoli

Figura 20: Server Manager – Rimozione ruoli

Figura 21: Server Manager – Rimozione ruoli

Dopo aver cliccato su Remove Features, Windows ci avviserà di dover effettuare l’azione di demote prima di rimuovere questo ruolo

Figura 22: Server Manager – Rimozione ruoli

Clicchiamo su Demote this domain controller e proseguiamo con il wizard facendo attenzione alle opzioni da selezionare

Figura 23: Server Manager – Demote

Figura 24: Server Manager – Demote

Figura 25: Server Manager – Demote

Figura 26: Server Manager – Demote

Completiamo il wizard cliccando su Demote

Figura 27: Server Manager – Demote

Al termine dell’operazione la macchina Windows Server 2012 R2 verrà riavviata.

La successiva operazione sarà pulire i metadata del vecchio Domain Controller. Effettuiamo il login sul nuovo Domain Controller e, dal Server Manager, eseguiamo il tool Active Directory Sites and Services

Figura 28: ADSS – Pulizia metadata

Selezioniamo il nodo Server, successivamente il Domain Controller, rimuoviamo l’oggetto NTDS Settings

Figura 29: ADSS – Pulizia metadata

Nella dialog box che appare, spuntare la voce Delete this Domain Controller anyway. It is permanently offline…

Figura 30: ADSS – Pulizia metadata

Se il DC detiene ancora qualche ruolo come master saremo avvisati a seguito del click su Delete. Cliccando Ok potremo risolvere migrando i ruoli rimasti.

Come ultimo step, eliminiamo il server

Figura 31: ADSS – Pulizia metadata

Per aumentare il livello funzionale eseguiamo il tool Active Directory Domains and Trust. Selezioniamo il dominio e clicchiamo su Raise Domain Functional Level

Figura 32: ADDT – Gestione Dominio

Figura 33: ADDT – Gestione Dominio

Nel nostro caso, l’unico livello disponibile è Windows Server 2016. Clicchiamo su Raise e successivamente su OK per completare l’operazione.

Figura 34: ADDT – Gestione Dominio

Selezioniamo il nodo principale con il tasto destro e selezioniamo Raise Forest Functional Level

Figura 35: ADDT – Gestione Foresta

Eseguiamo la stessa azione effettuata per il dominio

Figura 36: ADDT – Gestione Foresta

Rieseguendo nuovamente i comandi

 

Possiamo effettuare una verifica finale

Figura 37: PowerShell – Test

Conclusioni

Active Directory è stata presentata al mondo con Windows Server 2000. Da allora Microsoft continua a rilasciare funzionalità indispensabili nella gestione di infrastrutture, sia piccole sia su scala mondiale. Indipendentemente da quanto possano essere complesse, è opportuno applicare sempre gli aggiornamenti necessari, anche su oggetti importanti come i Domain Controller. Questo discorso non vale solo per gli aspetti di sicurezza: implementare nuovi meccanismi di autenticazione, fornire agli utenti nuove funzionalità, sono tutti aspetti da non sottovalutare.

Stay tuned!