Главная » Windows

Как удалить лицензию windows server 2012

На чтение 17 мин
Содержание
  1. www.SAMURAJ-cz.com
  2. Категория статьи
  3. Инструменты
  4. Поиск
  5. Статьи
  6. Перенос домена с Windows Server 2008 R2 на Windows Server 2012 R2
  7. Общая процедура переноса домена
  8. Документация
  9. Этапы миграции Active Directory
  10. Процедура с точки зрения отдельного контроллера домена
  11. Проверка предположений
  12. Проверить статус Active Directory
  13. Тестирование Active Directory, домена, репликации
  14. Установка нового контроллера домена
  15. Подготовка леса, доменов и схемы
  16. Обновить сервер до DC
  17. Проверки после установки контроллера домена
  18. Перенос служб и ролей
  19. Перенос DNS-сервера
  20. Конверсия NPS
  21. Преобразование DFS
  22. Преобразование DHCP
  23. Преобразование сервера печати
  24. Преобразование сервера WINS
  25. Безопасность SSL/TLS
  26. Мониторинг
  27. Изменение IP-адреса
  28. Нарушение работы служб на исходном контроллере домена
  29. DFS ( Распределенная файловая система )
  30. NPS (сервер политики сети)
  31. WINS (служба имен Интернета Windows)
  32. DNS (система доменных имен)
  33. DHCP (протокол динамической конфигурации хоста)
  34. Смена серверных плацдармов
  35. AD DS (доменные службы Active Directory)

www.SAMURAJ-cz.com

Категория статьи

Инструменты

Поиск

Статьи

Перенос домена с Windows Server 2008 R2 на Windows Server 2012 R2

Общая процедура переноса домена

Общим и рекомендуемым методом повышения роли контроллера домена является параллельная миграция , которая заключается в установке нового сервера, на котором мы создаем контроллер домена, а также перемещаем роли и функции к нему. Использование обновления на месте также возможно при определенных условиях, но может вызвать ряд проблем.

Документация

Некоторая информация из Интернета, начиная с официального описания Microsoft.

Этапы миграции Active Directory

  • подготовить документацию о текущем статусе (домен, используемые службы, кто обращается к AD и т. д.)
  • проверка предположений
  • тестирование состояния домена и функциональности репликаций (разумеется, мы должны делать это непрерывно или постоянно)
  • подготовка базы данных объявлений (ADPREP)
  • добавление нового сервера в качестве контроллера домена
    • установка (виртуального) сервера с ОС Windows Server 2012 R2, установка фиксированного IP-адреса и DNS-серверов, оставление IPv6 (отключение не рекомендуется)
    • (необязательно) включение в домен
    • повысить уровень сервера до контроллера домена
  • смена ролей и функций
  • удаление старого контроллера домена
  • повторить для оставшихся контроллеров
  • удаление последнего оригинального контроллера домена
  • повышение функционального уровня домена и леса

Процедура с точки зрения отдельного контроллера домена

По умолчанию у нас есть два или более контроллеров домена. Прежде всего, нам нужно иметь общее представление о том, где расположены роли FSMO (Flexible Single Master Operations), термин роль Operations Master правильно используется сегодня. Это эмулятор PDC , мастер RID , мастер инфраструктуры , мастер схемы и домен.Мастер именования . Краткое описание есть в статье Компоненты Active Directory — домен, дерево, лес, сайт.

Если у нас нет этой информации ни в какой документации, или если мы хотим проверить реальную ситуацию, мы можем использовать графические инструменты для управления AD или получить простой обзор с помощью линейных команд:

  • сервер dsquery — список серверов DC
  • netdom query fsmo — список всех ролей и их владельцев
  • dsquery server -hasfsmo schema — перечисляет, у кого есть роль мастера схемы

    • .

  • dsquery server -hasfsmo name — список лиц, имеющих роль Мастера именования доменов

    • .

  • dsquery server -hasfsmo infr — перечисляет, у кого есть роль хозяина инфраструктуры
  • dsquery server -hasfsmo pdc — список обладателей роли PDC Emulator
  • dsquery server -hasfsmo rid — перечисляет, у кого есть роль RID Master
  • dsquery server -isgc — список контроллеров домена, у которых есть GC

Роли можно разделить по-разному, для простоты я возьму ситуацию, когда все роли находятся на одном контроллере домена и я скажет (исторически) PDC (основной DC). Я буду называть другие контроллеры BDC (резервный контроллер домена). При переносе контроллеров проще всего начать с контроллера с наименьшим количеством ролей, т. е. с некоторым BDC.

Второе — это IP-адреса контроллеров домена. Если у нас будет новый ДЦ с новым IP-адресом , нам, вероятно, придется изменить большое количество различных конфигураций на станциях и серверах (как минимум DNS, если мы используем RADIUS, так далее.). Вот почему мне проще поменять местами IP-адреса, чтобы новый DC имел тот же адрес, что и заменяемый. Изменение IP-адреса контроллера домена официально поддерживается. Рекомендуется только проверить записи DNS, чтобы они были изменены правильно.

Для некоторых ситуаций также возникает вопрос DNS-имя контроллера, если у нас, например, подключены разныесистемы на LDAP (и они используют DNS-имя в конфигурации) или у нас есть центр сертификации, работающий на ДЦ (эту ситуацию мы обсудим в конце статьи) или сервер печати. Если у нас более одного контроллера домена, мы всегда можем удалить один, а затем создать новый с тем же именем. В качестве альтернативы мы можем переименовать контроллер домена на каком-то этапе.

Итак, такая общая процедура:

  • мы установим новый (резервный) BDC
  • будем работать на нем со всеми функциями как на замененном ДЦ
  • мы изменим IP-адреса
  • мы будем тестировать функциональность и постепенно удалять функции на исходном контроллере домена
  • удаляем оригинальный DC и весь сервер

Затем мы продолжим работу с другими BDC, пока не достигнем (основного) PDC, которому принадлежат роли Operations Masters . Туда же мы перемещаем все роли при удалении фич.

Проверка предположений

Вероятно, основным предварительным условием для добавления контроллера домена Windows Server 2012 R2 в наш домен AD является то, что функциональный уровень (Функциональный Уровень) домена должен быть не ниже Windows Server 2003 . Я предполагаю, что у нас Windows Server 2008 R2 .

Мы также должны сначала убедиться, что ничто другое не мешает нам добавить новый контроллер домена Windows Server 2012 R2 . Это различные приложения, тесно связанные с Active Directory . Примером может служить Exchange Server 2010 , который поддерживает такой контроллер только с установленным накопительным пакетом обновления (RU) 5 . Или SharePoint Server .

Проверить статус Active Directory

Мы должны постоянно выполнять проверки AD. Важно убедиться, что все в идеальном состоянии, прежде чем мы начнем вносить изменения в Active Directory. Мы выполняем те же проверки после добавления нового контроллера домена, удаления исходного и, наконец, после повышения функционального уровня.

Читайте также:  Переполнен буфер обмена как очистить windows 7

Тестирование Active Directory, домена, репликации

Существует ряд вещей и инструментов, которые мы можем использовать для проверки (например, в статье Проверка работоспособности Active Directory для контроллеров домена описана некоторая информация). Некоторые параметры перечислены ниже.

  • Обязательно следует просмотреть журналы событий (средство просмотра событий), чтобы убедиться в отсутствии критических событий типа Ошибка или Предупреждение .
  • Инструмент диагностики контроллера домена выполняет анализ состояния контроллера домена, мы можем вызвать его без параметров или использовать переключатели и сохранить результат в файл.
    • dcdiag
    • dcdiag /v /c /d /e /s:имя контроллера домена > c:\имя_DC.log
  • Для проверки репликации мы можем использовать Инструмент диагностики репликации , снова доступен ряд переключателей (в последней команде вводится имя контроллера домена, здесь *dc используется, включая все имена, оканчивающиеся на DC)
    • Repadmin /showreps
    • Repadmin /replsum /errorsonly
    • Repadmin /showrepl *dc /verbose /all /intersite > c:\repl.log
  • Еще один (графический) инструмент управления репликацией можно загрузить из инструмента состояния репликации MS Active Directory

    • .

  • Для диагностики DNS мы можем скачать (старый) инструмент Описание утилиты DNSLint, он вызывается из командной строки и создает файл dnslint.htm
    • Dnslint /ad /s IP.адрес.DNS.сервера

Ради интереса также информация о том, как мы можем получить информацию о версии схемы из AD (не о функциональном уровне домена). Первым шагом перед установкой контроллера домена новой версии является использование ADPREP для подготовки AD и продвижения схемы.

Выходное значение версии означает:

  • 13 = Windows 2000 Server
  • 30 = Windows Server 2003
  • 31 = Сервер Windows2003 Р2
  • 44 = Windows Server 2008
  • 47 = Windows Server 2008 R2
  • 56 = Windows Server 2012
  • 69 = Windows Server 2012 R2

Установка нового контроллера домена

Мы установим чистый (виртуальный) сервер с ОС Windows Server 2012 R2 . Мы установим фиксированный IP-адрес и DNS-сервер. IPv6 оставим (отключать не рекомендуется). Я также включаю сервер в домен.

Подготовка леса, доменов и схемы

Прежде чем мы добавим в домен первый DC с Windows Server 2012 R2 , мы должны подготовить лес (лес), домен (домен) и схема (схема). Для этого мы можем использовать команду Adprep, которая находится на установочном носителе Windows Server 2012 R2 в папке Support/adprep. Уже существует только 64-битная версия Adprep.exe, поэтому мы можем запустить его только на 64-битной ОС. Сегодня его больше не нужно запускать непосредственно на контроллере домена владельца роли Operations Master , а можно работать удаленно. Нам нужно запустить его под пользователем, который является членом групп Администраторы предприятия , Администраторы схемы и Администраторы домена . Используются следующие переключатели:

  • Adprep /forestPrep — подготовка леса
  • Adprep /domainPrep /gpPrep — подготовка домена и групповая политика одновременно
  • Adprep /rodcPrep — если мы хотим использовать DC только для чтения

В настоящее время нам больше не нужно использовать Adprep вручную, подготовка AD произойдет при установке первого нового контроллера домена. Это описано в следующем шаге. Но по информации в групповой политике подготовка не выполняется при автоматической подготовке существующего домена для Windows Server 2012, Adprep /domainPrep /gpPrep не запускается и нам приходится запускать его вручную!

Обновить сервер до DC

Мы можем выполнить весь процесс с помощью графического мастера. это около двухфаза

  • сначала мы добавляем роль Доменные службы Active Directory (мы можем напрямую добавить другие свойства DNS, определенные инструменты RSAT, службу SNMP и т.д.) — это описано в статье вместе с образами Windows Server 2012 Active Directory
  • после установки роли AD DS обновляем сервер до DC — об этом мы поговорим ниже

После завершения добавления роли мы увидим восклицательный знак рядом с флажком в Диспетчере серверов , нажав на иконку узнаем, что Конфигурация после развертывания Повысить уровень этого сервера до контроллера домена .

На первом шаге мастера мы выбираем добавить контроллер в существующий домен , мы также видим учетные данные вошедшего в систему пользователя и можем изменить их с помощью Изменить .

Будут выполнены некоторые проверки и обнаружение нашей среды, либо будет отображена ошибка, либо будет выполнен следующий шаг. Здесь мы указываем свойства (DNS и GC), мы можем создать DC как RODC, выбрать Сайт и установить пароль для Режим восстановления служб каталогов ( DSRM).

На шаге Параметры DNS мы можем игнорировать предупреждение о делегировании DNS.

Выбираем с какого ДК происходит репликация AD , также можем использовать файл ( Установить с носителя — IFM)

Будут предложены пути по умолчанию к базе данных, журналам и SYSVOL . В общем, для баз данных рекомендуется размещать файлы БД в другом месте, кроме журналов, но я думаю, что системную папку по умолчанию часто оставляют для AD.

Если у нас не подготовлен AD , то на следующем шаге сообщается, что лес, домен и схема будут подготовлены. Если мы не вошли с учетной записью с достаточными правами , мы проинформированы и можем изменить ее.

Читайте также:  Как установить git для windows

Далее только краткое описание и кнопка Установить начинаем установку. После нажатия кнопки Закрыть сервер будет перезапущен.

Проверки после установки контроллера домена

После того, как новый контроллер домена будет готов, важно убедиться, что все идет хорошо. В дополнение к проверкам журналов событий, репликациям и т. д. мы также можем использовать анализатор передового опыта (BPA) для Active Directory (а также DNS и другие роли). ). Мы находим его в Диспетчере серверов , где выбираем AD DS и прокручиваем вниз до раздела Анализатор соответствия рекомендациям .

Перенос служб и ролей

Ниже приводится описание переноса наиболее распространенных ролей, которые могут выполняться на контроллере домена, на новый сервер.

Перенос DNS-сервера

Мы установили роль DNS вместе с AD DS. Общие зоны являются частью AD, поэтому они будут переданы нам вместе с репликацией AD . Кроме того, новый DNS-сервер автоматически добавляется в качестве сервера имен для всех зон. Только в том случае, если мы использовали какие-либо зоны, которые не являются интегрированными с Active Directory , мы должны иметь дело с ними.

Конверсия NPS

Network Policy Server (NPS), который предлагает серверные службы RADIUS (служба удаленной аутентификации пользователя по телефонной линии), мы можем очень легко преобразовать. Официальное описание миграции сервера политики сети на Windows Server 2012 R2.

Графический интерфейс консоли mmc Network Policy Server одинаков как в Windows Server 2008 R2 , так и в Windows Server 2012 R2 . Если щелкнуть правой кнопкой мыши NPS (локальный) , появится опция Экспорт конфигурации , которая сохраняет всю конфигурацию (включая общие секреты) в файл XML. На новом сервере мы будем использовать параметр Импорт конфигурации . Если нам это нужно, мы также можем найти опцию Зарегистрировать сервер в Active Directory в контекстном меню.

Вопрос в том, что клиентыобращается к серверу RADIUS по определенному IP-адресу. Так что либо придется везде менять настройки, либо проще после активации всех ролей поменять IP адрес нового сервера на адрес замененного.

Преобразование DFS

Служба Распределенная файловая система является частью роли Файловые службы и службы хранения , поэтому мы установим необходимые части (пространства имен DFS и репликацию DFS). . Затем мы используем управление DFS , чтобы добавить новый сервер пространства имен для каждого используемого пространства имен .

Сначала щелкните правой кнопкой мыши Пространства имен и выберите Добавить пространства имен для отображения . Затем щелкните правой кнопкой мыши отображаемое пространство имен и выберите Добавить сервер пространства имен .

Преобразование DHCP

В официальном описании миграции DHCP-сервера на Windows Server 2012 R2 используются Инструменты миграции Windows Server (Export-SmigServerSetting, Import-SmigServerSetting), другие статьи, такие как Миграция существующего развертывания DHCP-сервера. в Windows Server 2012 Командлеты DHCP Failover и DHCP PowerShell Export Import в Windows Server 2012 используют новые командлеты в Windows Server 2012 Export-DhcpServer и Import-DhcpServer .

Миграция DHCP-сервера на новый контроллер очень проста с помощью экспорта и импорта<8 настройки (включая заимствованные адреса). Мы можем использовать команду строки netsh (преимущество ее в том, что она также поддерживается при миграции с Windows Server 2003, которую я описал в предыдущей статье), но теперь рекомендуется использовать PowerShell . .

Мы установим роль DHCP server на целевой сервер и выполним первоначальные настройки, а именно авторизацию (добавление) в AD. Запускаем PowerShell и экспортируем и импортируем с этого сервера. Экспорт настроек DHCP с сервера pdc.firma.local в файлмы сделаем это с помощью командлета:

Затем следует остановить службу DHCP-сервера на исходном сервере. Мы импортируем на новый сервер с помощью командлета:

Параметр BackupPath указывает папку, в которую будут сначала сохраняться резервные копии текущих настроек сервера, прежде чем будут импортированы новые значения.

В нашем случае DHCP-сервер вместе с DNS-сервером на DC, то рекомендуется использовать специальную учетную запись DNSCredentials для регистрации DNS-записей. Настройки этой учетной записи не были перенесены вместе с резервной копией. Он устанавливается, щелкнув правой кнопкой мыши IPv4 (или IPv6) в консоли DHCP, выбрав вкладку Свойства Дополнительно и ниже находится кнопка Учетные данные .

Преобразование сервера печати

Миграция сервера печати, включая драйверы, является простой задачей.

  • на новом сервере запустите консоль mmc Управление печатью
  • щелкните правой кнопкой мыши корневой элемент Управление печатью и выберите Перенос принтеров
  • сначала выберите Экспортировать очереди принтеров и драйверы принтеров в файл
  • в настройках подключаемся к исходному серверу и сохраняем данные в файл
  • затем снова запускаем мастер и выбираем Импортировать очереди принтеров и драйверы принтеров из файла
  • выбираем текущий (новый) сервер и наш сохраненный файл
  • мы выполним импорт и, наконец, проверим журнал событий и протестируем принтеры

В мастере мы за один шаг выбрали, должны ли принтеры опубликоваться в AD (список в каталоге). Если мы их опубликуем, а они были опубликованы раньше, то теперь мы увидим их дважды. Мы можем удалить публикацию с исходного сервера (Удалить из каталога).

Когда мы переносили принтеры из старой типографииserver на новый, поэтому вся серверная часть перенесена, но у клиентов принтер установлен через имя сервера печати . Поэтому он должен добавить их снова. Возможное решение — переименовать новый сервер в имя исходного (в этом случае мы не будем публиковать принтеры в AD при импорте, а проделаем эту операцию вручную после переименования).

Читайте также:  Как пользоваться акронисом с windows 10

Преобразование сервера WINS

Мы до сих пор не избавились от устаревших имен NetBIOS (хотя Microsoft давно обещает это), поэтому часто используем службу WINS. Как и в Windows Server 2008, а также в версии 2012, это свойство (Функция) сервера, которое нам нужно добавить.

Передача данных работает просто по принципу репликации. Открываем консоль WINS , где подключаем оба сервера. Для каждого сервера нажимаем Партнеры репликации , щелкаем правой кнопкой мыши и выбираем Новый партнер репликации , где всегда вводим второй WINS-сервер. Затем выберите Реплицировать сейчас .

в контекстном меню.

Репликация у меня не сработала с первого раза, даже ошибки не было, все решилось перезапуском сервера (перезапуск службы не помог).

Безопасность SSL/TLS

Мы можем повысить безопасность протоколов SSL/TLS, установив активные шифры, например, используя IISCrypto , см. статья Протокол SSL/TLS — отключение слабых шифров и защита сервера.

Мониторинг

Если мы используем какой-либо мониторинг, сервер syslog и т. д., то мы должны включить новый сервер в мониторинг и активировать SNMP и другие используемые инструменты.

Изменение IP-адреса

Мы устанавливаем исходный контроллер домена на какой-либо свободный IP-адрес. Мы установим исходный IP-адрес и правильные DNS-серверы для нового контроллера домена (рекомендуется установить Preferred DNS для партнерского DNS-сервера, Alternate DNS для частного IP-адреса и добавить третийадрес до 127.0.0.1). Затем мы можем переопределить функции исходного контроллера домена и проверить функциональность.

После изменения IP-адреса мы можем запустить следующие команды на контроллере домена (чтобы убедиться, что записи DNS установлены) или перезапустить его.

  • ipconfig /flushdns
  • ipconfig /registerdns
  • dcdiag/исправление

Нарушение работы служб на исходном контроллере домена

DFS ( Распределенная файловая система )

Используя Управление DFS , мы открываем заданное Пространство имен и переключаемся на Серверы пространства имен . , выберите исходный сервер и Удалить . Мы пока не можем удалить роль, за исключением случаев удаления AD DS.

NPS (сервер политики сети)

Мы удалим роль NPS.

WINS (служба имен Интернета Windows)

Официальное описание сервера Decommission и WINS. Во-первых, мы проверяем, что все наши данные были реплицированы. Щелкаем правой кнопкой мыши по Активные регистрации , выбираем Удалить владельца , выбираем IP-адрес удаляемого сервера и выбираем Реплицировать удаление на другие серверы WINS (захоронение) . Мы форсируем репликацию. Мы можем удалить партнеров по репликации (с отвязкой) и удалить свойство WINS.

DNS (система доменных имен)

Мы удалим роль DNS. При удалении роли DNS на сервере записи в зонах, где этот сервер был авторитетным (в большинстве случаев это AD-Integrated), не будут аннулированы. Таким образом, мы должны сделать некоторые ручные вмешательства. Официальное описание удаления DNS-сервера.

В каждой зоне (зоны прямого и обратного просмотра) мы редактируем (щелкнув правой кнопкой мыши зону и выбрав Свойства) серверы имен и удалить (удалить) удаляемый сервер. Если у нас много зон, мы можем попробовать сценарий, например, как обновить список серверов имен в зоне DNS с помощьюСкрипт.

Windows Server 2012 добавил параметры управления DNS в PowerShell, поэтому мы можем создать небольшой скрипт для удаления. Приведенный ниже скрипт является примером, и я не несу ответственности за его поведение ;-). Мы будем использовать командлеты Get-DnsServerZone, Get-DnsServerResourceRecord, Remove-DnsServerResourceRecord.

Во-первых, для тестирования мы можем перечислить все зоны и их серверы имен .

Тогда мы можем аналогичным образом удалить из всех зон мешающий DNS-сервер . В примере нужно изменить DNS-имя удаленного сервера вместо записи old-dns.firma.local .

DHCP (протокол динамической конфигурации хоста)

Когда мы отключаем сервер DHCP, мы должны удалить его запись с авторизованных серверов DHCP в Active Directory (AD). Мы можем сделать это в консоли DHCP , но в это время сервер должен быть запущен. Щелкните правой кнопкой мыши на указанном сервере и выберите Unauthorize . Или с помощью команды netsh или командлета Remove-DhcpServerInDC, в этом случае сервер может вообще не существовать.

Используя Network Shell , мы сначала распечатываем список авторизованных серверов из AD, а затем можем удалить старый сервер.

Примечание: Когда мы изменили IP-адрес исходного сервера, старый все еще зарегистрирован. Но благодаря сочетанию имени сервера и IP-адреса мы удалим правильную запись.

При использовании PowerShell процедура такая же (нам нужно использовать PowerShell на Windows Server 2012 с ролью DHCP).

Наконец, мы можем удалить роль DHCP.

Смена серверных плацдармов

Я не нашел ничего об этом в официальной документации, но на практике столкнулся с проблемой, поэтому рекомендую выполнить этот шаг (я ожидал, что AD DS автоматически обработает это изменение, когдаудаление контроллера).

Если у нас более одного сайта , перед удалением доменных служб убедитесь, что сервер не является предпочтительным сервером-плацдармом . И если это так, то изменить это. Мы можем перечислить эти серверы с помощью следующей команды строки или использовать графический инструмент для внесения изменений.

Если наш удаленный сервер Bridgehead , мы переместим это свойство на другой контроллер домена. Мы будем использовать сайты и службы Active Direcotry сайты — наш сайт — серверы . В таблице мы видим, какой сервер является плацдармом для какого транспорта (сегодня наверное только IP). Щелкните правой кнопкой мыши новый сервер и выберите Свойства . Внизу выбираем Транспорт и Добавить . Аналогичным образом удалим транспорт на нарушенном сервере.

AD DS (доменные службы Active Directory)

Официальное описание удаления контроллера домена из домена. Удаляя службы домена, мы отменяем функцию контроллера домена.

Советы
© 2023 Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.
Adblock
detector