Manuel Roccon

ICT & Cyber Security Specialist

Migrare da 2011 SBS a Windows Server 2022

ICT

Iniziamo nel dire che migrare da Windows 2011 SBS a Windows Server 2022 in uno step non è fattibile, ma è necessario eseguire una migrazione intermedia a Windows Server 2016 o 2019. Il motivo è che per elevare un server e renderlo parte del dominio, il server di destinazione deve avere una compatibilità di schema con Windows Server 2008 R2 compatibile solo fino alla versione Windows Server 2019. Quindi in seguito passare dal sistema intermedia a 2022, rialzando lo schema Active Directory a 2016,

Mi è capitato di vedere che molte organizzazioni devono ancora migrare il proprio dominio 2008 SBS a una versione più recente. Mantenere questa versione di sistema operativo è molto rischiosa in quanto il supporto agli aggiornamenti si è conclusa il 14 Gennaio 2020 implicando molti problemi di sicurezza.

Windows Server 2011 SBS è praticamente identico a Windows 2008 R2, con la particolarità che include nell’installazione iniziale anche Exchange 2010, Sharepoint e altri strumenti per distribuire servizi a livello aziendale. Era indicato per piccole e medie organizzazioni che in un solo server potevano avere tutto il necessario per il proprio business e con tempi di deploy molto bassi.

Sarebbe consigliato creare un nuovo dominio piuttosto che migrare un SBS, ma se l’infrastruttura è troppo complicata da spostare allora è necessario eseguire questi step che elenco brevemente prima di soffermarmi su ognuno:

  1. Verifica ed elevazione schema active directory Windows Server SBS
  2. Aggiunta di un nuovo controller di dominio (2016 o 2019) a SBS
  3. Aggiorniamo la replicazione SYSVOL da FRS a DFSR 
  4. Rimozione Exchange 2010
  5. Trasferimento del ruolo FSMO
  6. Rimozione del autorità di certificazione
  7. Rimuovere il catalogo globale
  8. Eseguiamo il demote di SBS tramite dcpromo
  9. Rimozione Metadati
  10. Verifica DNS dominio
  11. Migrazione servizio DHCP
  12. Rimozione servizi Active directory, DNS e DHCP e rimozione join dominio
  13. Elevazione schema Domain Controller a Windows Server 2016
  14. Aggiunta del controller Windows Server 2022 e demote 2019

Verifica ed elevazione schema active directory Windows Server SBS

Per prima cosa ci accertiamo che il livello dello schema è l’ultimo applicabile in SBS. Questa configurazione si verifica all’interno dalle proprietà (tasto destro sopra il dominio) del pannello Domini e trust di active directory.

In questo caso la versione è 2003, quindi procediamo con Aumento del livello delle funzionalità della foresta.

Aggiunta di un nuovo controller di dominio (2016 o 2019) a SBS

Installiamo una nuova macchina con Windows Server 2016 o 2019, facciamo il Join al dominio, installiamo i servizio Servizi e Active Directory e aggiungiamo un controller di dominio al dominio esistente nell’ultima fase di configurazione. Riporto brevemente i passaggi importanti.

Aggiorniamo la replicazione SYSVOL da FRS a DFSR 

SYSVOL è una cartella condivisa dal controller di dominio per contenere gli script di accesso, i criteri di gruppo e altri elementi relativi ad AD. Tutti i controller di dominio in rete replicheranno il contenuto della cartella SYSVOL. Il percorso predefinito per la cartella SYSVOL è %SystemRoot%\SYSVOL .

Windows Server 2003 e 2003 R2 utilizza il servizio di replica file (FRS) per replicare il contenuto della cartella SYSVOL in altri controller di dominio. Ma Windows Server 2008 e versioni successive utilizza il file system distribuito (DFS) per la replica. DFS è più efficiente di FRS.

Per verificare se la migrazione è già stata effettuata utilizziamo tramite CMD il comando dfsrmig /GetGlobalState.

Prima di passare alle configurazioni, è necessario esaminare le fasi della migrazione.

Ci sono quattro stati stabili che accompagnano le quattro fasi migratorie.

1) Stato 0 – Avvio
2) Stato 1 – Preparazione Completata
3) Stato 2 – Reindirizzamento Completato
4) Stato 3 – Eliminazione Completata

Stato 0 – Avvio

Con l’avvio di questo stato, FRS replicherà la cartella SYSVOL tra i controller di dominio. È importante disporre di una copia aggiornata di SYSVOL prima di iniziare il processo di migrazione per evitare conflitti.

Stato 1 – Preparazione Completata

In questo stato, mentre FRS continua a replicare la cartella SYSVOL, DFSR replicherà una copia della cartella SYSVOL. Si troverà in %SystemRoot%\SYSVOL_DFRS per impostazione predefinita. Ma questo SYSVOL non risponderà per altre richieste di servizio del controller di dominio.

Stato 2 – Reindirizzamento Completato

In questo stato la copia DFSR di SYSVOL inizia a rispondere alle richieste di servizio SYSVOL. FRS continuerà la replica della propria copia SYSVOL ma non coinvolgerà la replica SYSVOL di produzione.

Stato 3 – Eliminazione Completata

In questo stato, Replica DFS continuerà la replica e la gestione delle richieste SYSVOL. Windows eliminerà gli utenti della cartella SYSVOL originali dalla replica FRS e interromperà la replica FRS.

Per migrare da FRS a DFSR è necessario passare dallo Stato 1 allo Stato 3.

Passiamo ora alla migrazione effettiva, nel nostro CMD aperto avviamo il primo comando:

dfsrmig /set globalstate 1

Prima di procedere dobbiamo verificare che la procedura sia completata. Per cedere questo eseguiamo il comando dfsrmig /getmigrationstate. A operazione conclusa viene restituito questo messaggio:

Ora proseguiamo con le altre fasi:

dfsrmig /set globalstate 2

dfsrmig /set globalstate 3

A questo punto la migrazione di SYSVOL è completata, possiamo verificare che il servizio File Replication Service sia stato correttamente disabilitato e arrestato dalla procedura (services.msc).

Rimozione Exchange 2010

Ora è necessario rimuovere Exchange 2010, questo per ripulire gli attributi di Active Directory, sempre se non si intende passare ad un altra versione on prem prima.

Questa operazione è necessaria soprattutto se si intende migrare questo server ad Microsoft 365, prima di utilizzare Azure AD Sync per la sincronizzazione delle credenziali.

In caso di migrazione della posta, consiglio il software CodeTwo Office 365 Migrator.

https://www.codetwo.com/office-365-migration/

Ora apriamo la console PowerShell di Exchange ed eseguiamo i seguenti passaggi:

# Rimuoviamo le cartelle pubbliche di default
Get-PublicFolder "\" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Recurse -ErrorAction:SilentlyContinue

# Rimuoviamo le cartelle pubbliche di sistema
Get-PublicFolder "\Non_Ipm_Subtree" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Recurse -ErrorAction:SilentlyContinue

# Rimuoviammo tutti i Offline AddressBook
Get-OfflineAddressBook | Remove-OfflineAddressBook

# Rimuoviamo i connettori di invio
Get-SendConnector | Remove-SendConnector

# Rimuoviamo i database delle cartelle pubbliche
Get-PublicFolderDatabase | Remove-PublicFolderDatabase

# Rimuoviamo le cassette postali arbitrali
Get-Mailbox -Arbitration | Disable-Mailbox -Arbitration -DisableLastArbitrationMailboxAllowed

# Rimuoviamo tutte le mailbox
Get-Mailbox | Disable-Mailbox

Disinstalliamo Exchange

Per prima cosa assicuriamoci di aver chiuso la Shell di Exchange aperta prima.

Riapriamo una console powershell come amministratore e avviamo i seguenti comandi:

cd “C:\Program Files\Microsoft\Exchange Server\v14\Bin”
setup.com /mode:uninstall

Il risultato dovrebbe essere questo:

Ora Exchange è completamente disinstallato.

Proseguiamo con gli ultimi step per eseguire l’eliminazione del SBS

Trasferimento del ruolo FSMO

Innanzitutto, apri il prompt dei comandi con privilegi di amministratore nel nuovo server.

Digita ntdsutil e premi Invio.
Digita roles e premi Invio.
Digita connections e premi Invio.
Digitare connect to server DC01 e premere Invio, dove DC01 è il nome del computer del server in cui trasferiranno i ruoli FSMO.
Digita quit e premi Invio.

Successivamente, trasferiremo i ruoli FSMO uno per uno con il comando corrispondente, a seconda dei casi. In questo caso li eseguiamo tutti di seguito.

Dopo ogni Invio appare una finestra di conferma. Basta fare clic su Yes per continuare.

Per Schema Master , digita transfer schema master e premi Invio.
Per RID Master , digita transfer rid master e premi Invio.
Per Domain Naming Master , digita transfer naming master e premi Invio.
Per PDC Emulator , digita transfer pdc e premi Invio.
Per Infrastructure Master , digitare trasferimento Infrastructure Master e premere Invio.

Rimozione del autorità di certificazione

Servizi certificati è installato per impostazione predefinita in SBS 2008/2011 ed è improbabile che venga richiesto in futuro. Il 99% delle volte, puoi rimuovere in sicurezza questo ruolo senza effetti negativi. Se non ci sono certificati attivi o richieste in sospeso, dovresti essere pronto. Tuttavia, è buona norma seguire le procedure appropriate per eseguire il backup dell’autorità di certificazione nel caso in cui debba essere ripristinata in futuro su un nuovo server. Per eseguire il backup del database e della chiave del certificato, aprire un prompt dei comandi (come amministratore) ed eseguire quanto segue:

  1. Digitare Certutil.exe –backupdb C:\CABackup  e premere INVIO per eseguire il backup del database.
  2. Digitare Certutil.exe –backupkey  C:\CABackup  e premere INVIO per eseguire il backup delle chiavi del certificato.  Nota : ti verrà chiesto di inserire una password per proteggere le chiavi.
  3. Digitare net stop certsvc e premere INVIO per interrompere il servizio Servizi certificati di Active Directory.
  4. Digitare  reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration C:\CABackup\CAregistry.reg  e premere INVIO  per esportare la chiave di registro in un file.

A questo punto possiamo rimuovere il ruolo. Da Server Manager, vai su Ruoli > Rimuovi ruoli. Assicurati di deselezionare Servizi certificati Active Directory e completa la procedura guidata.

Rimuovere il catalogo globale

Nota : prima di procedere, Exchange deve essere già completamente disinstallato dal server di origine.

Questa operazione impedirà ad altri computer del dominio di fare riferimento a questo server come server di accesso. Di solito aspetto almeno 1 giorno lavorativo dopo aver eseguito questa operazione prima di procedere con dcpromo, nel caso in cui ci siano impatti negativi sulla rete che devono essere risolti prima di  rimuovere completamente i ruoli AD/DNS. Alcune persone preferiscono addirittura spegnere completamente il server di origine in questo momento, il che è anche un passaggio accettabile da compiere.

Da Siti e servizi di AD, individuare l’ oggetto Impostazioni NTDS per il server di origine, fare clic con il pulsante destro del mouse e selezionare Proprietà . Quindi deselezionare la casella di spunta per Catalogo globale e fare clic su OK .

Eseguiamo il demote di SBS tramite dcpromo

Passa attraverso la procedura guidata per retrocedere il server, tuttavia, assicurati di lasciare questa casella deselezionata (non eliminare il dominio).

Trami Esegui eseguiamo il comando dcpromo. Si aprirà una procedura guidata per rimuovere il controller di dominio. Molto importante non spuntare l’opzione qui sotto.

Al termine, riavvierai il server.

Rimozione Metadati

Nel nuovo server di dominio apriamo active directory siti e servizi e rimuoviamo il server che abbiamo appena fatto il demote.

Verifica DNS dominio

Assicurati che il tuo nuovo server e i dispositivi client non facciano più riferimento al vecchio server nelle impostazioni TCP/IP (Pannello di controllo -> Connessioni di rete).

Migrazione servizio DHCP

E’ molto probabile che il servizio DHCP sia gestito da questo server. Vi riporto la guida seguente che avevo fatto per la migrazione del servizio DHCP e le sue configurazioni.

Come migrare DHCP da Windows Server 2008 a 2012/2016

Rimozione servizi Active directory, DNS e DHCP e rimozione join dominio

A questo punto il server SBS è totalmente scollegato dai nuovi domain controller.

Per completare la configurazione e spegnerlo aprire Gestione Server, e rimuovere i servizi Active Directory, DNS e DHCP.

Alla fine in proprietà computer, dove andiamo ad assegnare il nome del server, portiamolo di nuovo sotto Workgroup e rimuoviamo definitivamente anche con computer dal dominio.

A questo punto dopo il riavvio necessario possiamo spegnere il server.

Elevazione schema Domain Controller a Windows Server 2016

Ora i passaggi sono molto semplici, occorre alzare lo schama al 2016 ed è esattamente la cosa che abbiamo fatto all’inizio in sbs. Quindi aprimo Domini e trust di active directory ed eleviamo la foresta a Windows Server 2016.

Aggiunta del controller Windows Server 2022 e demote 2019

A questo punto è necessario installare un nuovo server e promuoverlo come domain controller aggiuntivo.

Gli step sono identici ai passaggi visti prima per cui elenco i principali step da fare:

  • Installare nuova macchina virtuale
  • Joinare la macchina 2022 al dominio
  • Installare il ruolo Servizio Active Directory
  • Completare la configurazione aggiungendo il controller al dominio esistente.
  • Collegarsi al nuovo server e spostare i ruoli FSMO
  • Migrare il DHCP
  • Eseguire il demote del server 2019 tramite dcpromo
  • Rimuovere i servizi Active Directory, DNS e DHCP

A questo punto avete un nuovo domain controller con 2022 Server

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *