Uppgradering/Migrering till Windows Server

2003 Active Directory

Jimmy Andersson

Principal Advisor

Q Advice AB

jimand@qadvice.com

Agenda=> Vad är Active DirectoryNyheter i Active DirectoryFunktionalitetsnivåerUppgradering från Windows NT4 till Windows Server 2003Uppgradering från Windows 2000 till Windows Server 2003ADMT V-2

Windows Users Account info Privileges Profiles Policy

Windows Clients Mgmt profile Network info Policy

Windows Servers Mgmt profile Network info Services Printers File shares Policy

A Focal Point for:ManageabilitySecurityInteroperability

ActiveDirectory

Applications Server config Single Sign-On App-specific

directory info Policy

Network Devices Configuration QoS policy Security policy

InternetInternet

Firewall Services Configuration Security Policy VPN policy

Other Directories White pages E-Commerce

Other NOS User registry Security Policy

E-Mail Servers Mailbox info Address book

Microsoft Windows 2003 Active Directory

• Forest

• Domain Tree

• Domain

• OU

• Site

• Global catalog

AD komponenter

LogicalDesign

PhysicalDesign

PhysicalNetwork

Logisk och fysisk design

Dallas: 500Stockholm: 2000

Los Angeles: 1200

Orlando:350

Johannesburg: 150

Singapore: 400

Zürich: 800

512 Kb

155 Mb

155 Mb

155 Mb 128 Kb

56 Kb

512 Kb

1.5Mb

London: 3000

Site topologi

DOMAIN 2

DOMAIN 1Dallas: 500

London: 3000

Stockholm: 2000

Los Angeles: 1200

Orlando: 350

Johannesburg: 150

Singapore: 400

Zürich: 800

DC1

DC2

DC2

DC4

DC5

DC9

DC7

DC6

DC3DCA

DCB

DCC

DCD

DCB

Site design

Logisk design

Ska designas efter hur ni vill administrera!• Inga begränsningar

AgendaVad är Active Directory=> Nyheter i Active DirectoryFunktionalitetsnivåerUppgradering från Windows NT4 till Windows Server 2003Uppgradering från Windows 2000 till Windows Server 2003ADMT V-2

Nyheter• No-GC Logon

• No-GC Full Sync

• Create Replica From Media

• Linked-Value Replication

• Improved ISTG

• “Domain Rename”

• Force demotion

• Schema redefine

• Enterprise Directories

• Cross-Forest Trust

• Manageability

• DC Rename

• DNS autoconfig + AppParts

• DS* commands

• Restore mode admins pwd

• Utökad LDAP stöd

• Applikations partitioner

• Quotas

NyhetApplikationspartitioner

NOS skogNOS skog

AppApp

AuthN/AuthZServ. pub.

Förändringsbenägenprofil och/eller

konfig dataApp partition

AppApp(Plats 2)(Plats 2)

Replication

Replication

NyhetApplikations Partitioner

• Skapa på/replikera till vald(a) DCs i skogen– Du bestämmer antalet– Följer site topologin och replikeringsschema– Kan innehålla alla typer av objekt utom Security Principals– Replikerar inte till GC– Registreras och söks via DNS

• Kan skapas direkt av applikationer

NyhetDNS i Applikations Partitioner

• Windows Server 2003 DNS kan lagra DNS data i app partitioner– Två automatiskt konfigurerade partitioner

• Domain-wide: DCs med DNS i domänen• Forest-wide: DCs med DNS i skogen

• Fördelar:– Data replikeras bara till DCs med DNS– Data replikeras inte till GCs

AgendaVad är Active DirectoryNyheter i Active Directory=> FunktionalitetsnivåerUppgradering från Windows NT4 till Windows Server 2003Uppgradering från Windows 2000 till Windows Server 2003ADMT V-2

Funktionalitetsnivåer

• Återblick: mixed mode – native mode• Funktionalitetsnivåer, överblick• Funktionalitetsnivåer för domän• Funktionalitetsnivåer för skog

Mixed Mode & Native Mode• Mixed mode domäner

– Tillåter Windows NT 4.0 DC– Begränsad till vad NT4 DCs förstår

• Inga Universella Grupper• Inga nästlade grupper• Ingen SID History

– Mixed mode domäner med W2K3 DCs• W2K3 PDC replikerar till NT4 BDCs• Även utan W2K DCs

• Native mode domains– “Inga NT4 DCs”– Alla egenskaper för grupp/användare– Kan använda W2K och W2K3 DCs

Funktionalitetsnivåer• Krävs för nya funktioner

– Ökar nivån manuellt– Ingen tillbakagång– Äldre domänkontrollanter kan inte användas– Tänk Windows 2000 Native Mode på steorider!!!

Domän nivåerDomän Funktionalitet

Funktioner DC stöd i domänen

Windows 2000 mixed

• Install from media• Universal Group caching

Windows NT 4.0Windows 2000Windows W2K3

Windows 2000 native

All mixed mode, plus • Group nesting• Universal groups (full)• SIDHistory

Windows 2000Windows W2K3

Windows Server 2003 Interim

Same as Windows 2000 mixed / native

Windows NT 4.0Windows W2K3

Windows Server 2003

All Windows 2000 native, plus• Update logon timestamp

attribute• Kerberos KDC version• User password on INetOrgPerson

Windows W2K3

DomänWindows NT 4 Windows 2000

Windows Server 2003

mixed

Windows 2000 - mixed

Windows 2000 -native

native

Windows Server 2003 Interim

Windows Server 2003

AB

C

Skog nivåerSkog Funktionalitet

Funktioner DC stöd i forest

Windows 2000 • Install from media• Universal Group caching

Windows NT 4.0Windows 2000Windows W2K3

Windows Server 2003 Interim

All Windows 2000, plus• LVR replication• Improved ISTG

Windows NT 4.0Windows W2K3

Windows Server 2003

All Windows .NET Interim, plus• Dynamic aux classes• User to INetOrgPerson change• Schema de-/reactivation• Domain rename• Cross-forest trust

Windows W2K3

Forest

Win2000

Windows Server 2003 Interim

Windows Server 2003

Win2000

AB

C

Windows NT 4 Windows 2000

Windows Server 2003

Verifiering av nivåer• Domän nivå

– Mixed/native mode• nTMixedDomain attribut på domän

– Inget värde eller “1”: Mixed mode domän– “0”: Native mode domän

– Funktionalitetsnivå på domän• msDS-Behavior-Version attribut på domän

– Inget värde eller “0”: Windows 2000– “1”: Windows Server 2003 Interim functional level– “2”: Windows Server 2003 functional level

• Skog nivå• msDS-Behavior-Version attribut på partitions kontainer

– Inget värde eller “0”: Windows 2000– “1”: Windows Server 2003 Interim functional level– “2”: Windows Server 2003 functional level

“Best Practices”• Windows NT 4.0 uppgradering

– Använd Windows Server 2003 Interim forest level– När alla NT 4 BDCs är uppgraderade, öka skog nivån till

Windows Server 2003 functional level• Domänerna kommer automatiskt att höjas till Windows

Server 2003 functional level

• Windows 2000 uppgradering– Gör inget förrän alla DCs kör Windows Server 2003– Kontrollera att inga domäner kör mixed-mode i skogen– Öka skog nivån till Windows Server 2003 functional level

• Domänerna kommer automatiskt att höjas till Windows Server 2003 functional level

AgendaVad är Active DirectoryNyheter i Active DirectoryFunktionalitetsnivåer=> Uppgradering från Windows NT4 till Windows Server 2003Uppgradering från Windows 2000 till Windows Server 2003ADMT V-2

Förbereda uppgradering• Om DNS redan finns installerad

– Skapa ett delegerings entry i “föräldrar” DNS domänen för första DC

– Konfigurera lmrepl service– LanManger File replication service, används i NT 4.0 för att

replikera logon skript– Lmrepl export service bör vara den sista DC att uppgraderas

UppgraderingSteg

För-migreringsnmiljö

Windows Server 2003Functional Level

Uppgradering

Uppgradering

MUD

PDC men inte BDCs uppgraderade, domän i mixed eller Windows Server 2003 Interim level

MUD

PDC och BDCs uppgraderade, ökning till Windows Server 2003 functional level ej gjord

MUD MUDMUD

Skog ökad till Windows Server 2003 functional level

Uppgradering från Windows NT 4.0 Domänträd med tom rot

Singel domän

Domain1 Domain2 Domain3

Uppgrada till en Singel Domän 1/2• Konfigurera Windows Server 2003 domain functional level när

dcpromo körs på PDC

• Dcpromo läser delegerings entry för PDC och föreslår att installera DNS server– Delegerings entry finns redan i DNS– Installera DNS server– DNS zoner för “forest wide DNS entries” och “domain wide DNS

entries” kommer att skapas automatiskt

Uppgrada till en Singel Domän 2/2• Fortsätt med att uppgradera BDCs

– Skapa delegerings entryn först– Installera DNS server– Kör OS uppgradering och dcpromo.exe

• Samtliga DCs uppgraderade– Öka till skog nivå till Windows Server 2003 functional level

• Börja omstrukturering av kvarvarande konto/resurs domäner– SID history kräver native mode/Windows Server 2003 target

domain

Uppgradera till Multi-Domän Forest 1/2• Tom rotdomän först

– Använd AD integrerad DNS– Höj domännivån till Windows Server 2003 domain functional

level

• Sätt Windows Server 2003 forest Interim functional level– Inget UI, använd ldp eller adsiedit

• Skapa delegeringsentry för PDC

Uppgradera till Multi-Domän Forest 2/2• Uppgradera PDC och skapa child domän till rot domänen

– DNS server skapar applikationspartition för DNS data• Måste tillhöra Enterprise admin

– Domänen sätts automatiskt till Windows Server 2003 Interim functional level

• Skapa delegerings entryn för BDCs och uppgradera dem

• När alla DCs kör W2K3, öka skognivån till Windows Server 2003

Klienter• Säkerhetsförändringar i W2K3 DCs

– SMB signing– DC access policies

• Förändringar krävs för äldre klienter– Windows NT 4.0 SP4 och nyare, Windows 2000 och XP klienter

behöver inga förändringar– Win9x och Windows NT4 före-SP4 kräver förändringar

• Disable SMB signing• Network access, allow anonymous SID look-up

• Windows W2003 Deployment Kit och KB dokumenterar inställningarna

AgendaVad är Active DirectoryNyheter i Active DirectoryFunktionalitetsnivåerUppgradering från Windows NT4 till Windows Server 2003=> Uppgradering från Windows 2000 till Windows Server 2003ADMT V-2

Uppgradera från Windows 2000 • Enkel uppgradering

– Inget behov av omstrukturering– Ingen planering av skog, domän, OU eller replikering behövs– Ingen user/workstation/profile migrering

• W2K3 DCs fullt kompatibla med Windows 2000 DCs– W2K3 DCs kan finnas i en Windows 2000 skog/domän

i samtliga roller• Ny DC (dcpromo) eller uppgradering av befintlig DC

• Förberedelse av skog och domän sker i separata steg

AD Uppgradering• Nya funktioner och fixar kräver förändringar

– Nya objekt måste skapas– ACLs måste förändras– Schema utökningar

• Nya entryn i katalogen visar att förändringarna lyckats– GUID-baserade entryn– Skog förändringar:

cn=Operations,cn=ForestUpdates,cn=configuration,dc=<forest_root_domain>

– Domän förändringar: cn=Operations,cn=DomainUpdates,cn=system,DC=<domain>

Skog/Domän Uppgradering

• Ny funktionalitet kräver djupa förändringar– Anonymous != Everyone– Säkerhets förbättringar (förändringar i default inställningar)– Display specifier uppdateringar– Schema utökning

• Ett verktyg (adprep) gör allt som behövs– 1 gång per skog (adprep /forestprep)– 1 gång per domän (adprep /domainprep)

ADPREP /FORESTPREP 1/2• Schema uppgradering

– Anropar schupgr– Schema master– Kräver inte GC full-sync

• PAS utökas när man väljer Windows Server 2003 forest mode– Litet antal ny indexerade attribut

• Index byggs på lokal DC vid replikering• Före-SP3 DCs: Prestanda förlust under indexering• SP3 DCs: Ingen prestanda förlust under indexering

– Schema utökning skapar minimal replikering

• Display specifiers– Nya funktioner i UI– Skapar ca 100KB replikerings trafik

ADPREP /FORESTPREP 2/2

• Anpassar ACLer för nya funktioner– RSOP, Everyone != Anonymous logon, PKI– Minimal replikering

• Adprep /forestprep har liten påverkan– Replikering– DC prestanda

• Ingen påverkan på Windows 2000 SP3 DCs• Liten påverkan på före-Windows 2000 SP3 DC

– AD databas storlek

• Skapar kontainer om det lyckats– CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest

_root_domain>

ADPREP /DOMAINPREP• Infrastructure Master i varje domän

• Skapar 3 nya objekt i domänen– Ett för WMI, två för COM+

• Utökar ett litet antal ACLer för nya funktioner– RSOP, säkerhetsförändringar

• DC impact– Knappt märkbart (nätverkstrafik, DC impact)

• Skapar kontainer om det lyckats– CN=Windows2003Update,CN=DomainUpdates,CN=System,

DC=<domain>

Första W2K3 DC i Första W2K3 DC i Forest 1/2Forest 1/2• Efter adprep, W2K3 DCs kan installeras i skogen

• Uppgradera Domain Naming Master först

• Två metoder– Uppgradera nuvarande DC (Windows 2000/Windows NT 4.0)– Installera W2K3 server som member server och kör dcpromo

Första W2K3 DC i Forest 2/2Välj vilken domän som ska ha den första W2K3 DC• Uppgradering av PDC gör särskilda operationer

– Skapar grupp för Terminal Service, interna grupper– Rollöverföring W2K3 DC triggar samma operationer

• “Best practice”– Installera W2K3 member server och dcpromo till DC– Uppgradera PDC till W2K3 tidigt

• Eller överför PDC rollen till W2K3 DC, även om det bara är temporärt

Domän Uppgradering- DNSFörsta DC i domänen• Första W2K3 DC I en domän skapar applikationspartitioner för domän DNS

data– Förutsättningar

• Domain Naming Master är on-line• Användaren som loggar på DC efter uppgradering måst tillhöra

Enterprise Admin– Alternativt ha rättighet att skapa partition

– Om skapande av applikationspartition misslyckas• Använd DNS Manager för att skapa partition

• Rot domän skapar sekundär applikationspartition för skog vida DNS entries

Domän Uppgradering- DNSAdding W2K3 Domain Controllers• Efterföljande W2K3 DCs frågar efter replika av

– Domän DNS applikationspartition– Skog DNS applikationspartition

• DNS data måste flyttas till applikationspartition manuellt– Motivering: Tar bort DNS data från GC– När alla DCs kör W2K3, data bör tas bort– Lätt at göra via DNS Manager

Hay-Buv Toys Domänstruktur

HB-ACCT HB-ACCT-ROW

HB-RES HB-RES-EU HB-RES-MEX HB-RES-EC HB-RES-HK

Hay-Buv Toys

Domän struktur efter Migrering

HB-RES-EU HB-RES-ECHB-RES-MEXHB-ACCT HB-ACCT-ROW HB-RES

hay-buv.tld

hb-acct.hay-buv.tld

HB-RES-HK

Migrerings steg

HB-ACCTHB-ACCTHB-ACCT-ROW

HB-RES

HB-ACCT-ROW

hay-buv.tld

hb-acct.hay-buv.tld

HB-RES-WC

1. Create root domain2. In-place upgrade account domain3. Create OU for accounts4. Create OU for other account domain5. Clone Global Groups and Users7. Create OUs for resource domains8. Migrate Resource Domain9. Decommission Resource Domain6. Decommission account domains10. Re-ACL resources

Migrering till Windows W2003• Flesta migreringar från Windows NT 4.0 till Active Directory är en mix av in-

place uppgraderingar och restructuring

• Läs “Best Practice Active Directory Design for Managing Windows Networks” för mer information– http://www.microsoft.com/windows2000/techinfo/planning/

activedirectory/bpaddsgn.asp

Sammanfattning• Windows NT 4.0 till Window Server 2003 väldigt lik uppgradering från Windows NT 4.0

till Windows 2000 Server

• Windows 2000 till Windows Server 2003 uppgradering är enklare och kräver mindre planering

• ADMT V-2 gör allting mycket lättare– W2K3 versionen är nu full supportad av PSS

Mer info• NG: msnews.microsoft.com

• www.microsoft.se/technet

• www.microsoft.com/ad

• Online support för IT Pros: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/support/Default.asp?fr=0&sd=tech

• www.microsoft.com/windowsserver2003

Q & A

jimand@qadvice.com