Controle ADPREP

Voor het toevoegen van een Windows Server 2008R2 server binnen een Windows Server 2003 domein moet de tool ADPREP uitgevoerd worden. De tool ADPREP moet uitgevoerd worden vanaf de Windows installatie CD met de nieuwe versie van Windows Server. Het is van belang dat voor deze voorbereiding een 32-bit versie van ADPREP gebruikt wordt. Op de Windows 2008R2 installatie CD is zowel een 64-bit (adprep.exe) als een 32-bit (adprep32.exe) meegeleverd. De AD moet op twee verschillende punten voorbereid, het forest en het domein moet worden geinitialiseerd met ADPREP. Het  is bij een cluster van belang dat de actieve DC gebruikt wordt om deze commando’s uit te voeren.

De eerste stap binnen de voorbereiding van de migratie is het zorgen dat het forest is voorbereid voor de migratie naar Windows Server 2008R2. Het forest is verantwoordelijk voor het Active Directory schema. De update is vereist om nieuw typen objecten te ondersteunen. Deze update kan uitgevoerd worden door middel van het commando ADPREP32.exe /forestprep. Dit commando dient uitgevoerd te worden op de Domain Controller die over de Schema Operations Master rol beschikt.

Controle ADPREP/forestprep

Om de werking van ADPREP/forestprep te controleren moeten de volgende handelingen uitgevoerd worden.

  1. Log in op een werkstation waarop ADSIEdit staat geïnstalleerd. ADSIEdit staat standaard geinstalleerd op Domain Controllers met een versie van Server 2008 of nieuwer.
  2. Klik op Start, klik op Run, typ ADSIEdit.msc, en klik op OK.
  3. Klik Action, en klik op Connect to
  4. Klik Select a well known Naming Context, selecteer Configuration in de lijst van beschikbare naming contexts en klik vervolgens op OK
  5. Klik op Configuration  en klik vervolgens op CN=Configuration,DC=JVR,DC=local
  6. Klik op CN=ForestUpdates
  7. Klik met de rechtermuisknop op CN=ActiveDirectoryUpdate en klik vervolgens op Properties.
  8. Indien adprep/forestprep voor Server 2008R2 is uitgevoerd moet de Revision waarde 5 zijn. Voor de installatie van Server 2012 kan deze niet uitgevoerd worden. Dit zit geïntegreerd in de wizard voor het promoveren van de Domain Controller in Server 2012.

Controle ADPREP/domainprep

De tweede stap van het voorbereiden van de migratie is het zorgen dat het domein en de Group Policy’s zijn voorbereid voor de migratie naar Windows Server 2008R2. Dit kan gedaan worden met het commando ADPREP32.exe /domainprep /gpprep. Dit commando dient uitgevoerd te worden op de Domain Controller die over de Infrastructure Operations Master rol beschikt.

Ook na het uitvoeren van deze stap moet geverifieerd worden dat de acties correct zijn uitgevoerd. Zorg dat na het uitvoeren van de ADPREP de configuratie correct gerepliceerd wordt naar de andere Domain Controller voordat de volgende stap in het migratieproces wordt ondernomen.

Log in op een werkstation waarop ADSIEdit staat geïnstalleerd. ADSIEdit staat standaard geïnstalleerd op Domain Controllers met een versie van Server 2008 of nieuwer

  1. Klik op Start, klik op Run, typ ADSIEdit.msc, en klik op OK.
  2. Klik Action, en klik op Connect to
  3. Klik Select a well known Naming Context, selecteer Domain in de lijst van beschikbare naming contexts en klik vervolgens op OK
  4. Klik op Domain en klik vervolgens op DC=JVR,DC=local
  5. Klik vervolgens op CN=System
  6. Klik vervolgens op CN=DomainUpdates
  7. Klik vervolgens met de rechtermuisknop op CN=ActiveDirectoryUpdates en klik vervolgens op Properties
  8. Indien adprep/domainprep voor Server 2008R2 is uitgevoerd moet de Revision waarde 5 zijn. Voor de installatie van Server 2012 kan deze niet uitgevoerd worden. Dit zit geïntegreerd in de wizard voor het promoveren van de Domain Controller in Server 2012.

Overbrengen FSMO rollen

In deze how-to staat beschreven hoe de FSMO rollen overgedragen kunnen worden naar een andere server.

RID-, PDC- en Infrastructure Master

  1. Open  Active Directory Users and Computers.
  2. Voor het overbrengen van de RID-, PDC- en infrastructuremaster rollen moet er verbinding gemaakt worden met de Domain Controller waar de rol naartoe gebracht moet worden. Dit kan gedaan worden door binnen Active Directory Users and Computers rechtermuisknop te klikken op de bovenste regel van het linker venster. Hier kan geklikt worden op Change Domain Controller.
  3. Kies de Domain Controller waar de rol actief op is die overgebracht moet worden.
  4. Klik met de rechtermuisknop op [DOMEINNAAM] en klik op Operation Masters
  5. Klik op het tabblad RID op Change om de RID rol over te brengen
  6. Klik op het tabblad RDC op Change om de RDC rol over te brengen
  7. Klik op het tabblad Infrastructure op Change om de Infrastructure rol over te brengen
  8. Klik op Close om het venster te sluiten

Domain Naming Operations Master

  1. Open  Active Directory Domains and Trusts.
  2. Voor het overbrengen van de Operations Master rol moet er verbinding gemaakt worden met de Domain Controller waar de rol naartoe gebracht moet worden. Dit kan gedaan worden door binnen Active Directory Users and Computers rechtermuisknop te klikken op de bovenste regel van het linker venster. Hier kan geklikt worden op Change Active Directory Domain Controller
  3. Kies de Domain Controller waar de rol actief op is die overgebracht moet worden.
  4. Klik met de rechtermuisknop op de bovenste regel van het linker venster en klik op Operation Master
  5. Klik op Change om de rol over te brengen
  6. Klik op Close om het venster te sluiten

Schema Master

  1. Klik op Start en op Run. Typ regsvr32 schmmgmt.dll en klik op OK. Vervolgens wordt een bericht weergegeven waarin wordt gemeld dat de registratie is gelukt
  2. Klik op Start, klik op Run, typ mmc, en klik op OK
  3. Klik in het menu File op Add/Remove Snap-in
  4. Klik op Active Directory Schema en klik op Add >
  5. Klik op OK
  6. Klik met rechtermuisknop op het pictogram Active Directory Schema en klik op Change Active Directory Domain Controller. Maak verbinding met de Domain Controller waar de rol naartoe gebracht moet worden.
  7. Klik met rechtermuisknop op het pictogram Active Directory Schema en klik op Operations Master
  8. Klik op Change en op Close. De Schema Master rol is overgebracht naar de nieuwe server.

FSMO rollen

Binnen de Active Directory zijn meerdere rollen te definiëren. Deze rollen zijn de Forest-Wide Operations Master Roles en de Domain Wide Operations Master Roles. Deze rollen worden in de volgende deelhoofdstukken kort toegelicht.

Forest-Wide Operations Master Roles

Deze rollen zijn uniek binnen een forest en dienen aan één Domain Controller binnen het forest toegewezen te worden.

Domain Naming Master Role

De Domain Naming Master Role wordt gebruikt indien een domein aan het forest wordt toegevoegd of verwijderd. Indien een domein aan het forest wordt toegevoegd of er word een domein verwijderd moet de Domain Controller met de Domain Naming Master Role bereikbaar zijn anders mislukt de actie.

Schema Master Role

De Domain Controller die de Schema Master Role bezit is verantwoordelijk voor het doorvoeren van wijzigingen binnen het schema van het forest. Elke andere Domain Controller houd een alleen lezen kopie van het schema.

Domain Wide Operations Master Roles

Deze rollen zijn uniek binnen een domein en dienen aan één Domain Controller binnen het domein toegewezen te worden.

RID Master Role

De Domain Controller met de RID Master Role vervult een belangrijke Functie voor het genereren van Security Identifiers (SID) voor objecten als bijvoorbeeld gebruikers, groepen en computers. Elk object binnen een Active Directory moet een unieke SID toegewezen krijgen. Elke Domain Controller kan SID’s toewijzen. De RID Master zorgt voor toewijzing van een range SID’s aan iedere Domain Controller zodat iedere Domain Controller unieke SID’s uitdeelt.

Infrastructure Master Role

Binnen een omgeving met meerdere domeinen is het gebruikelijk dat een object aan groepen binnen meerdere domeinen toegevoegd wordt. Als een lid van een groep in een ander domein gewijzigd wordt, zorgt de Infrastructure Master Role dat dit gesynchroniseerd wordt tussen de verschillende domeinen.

PDC Emulator Role

De PDC Emulator Role vervult meerdere functies binnen een domein. Indien een wachtwoord van een gebruiker gereset of gewijzigd is repliceert de active directory dit onmiddellijk naar de Domain Controller met de PDC Emulator Role. Deze speciale replicatie zorgt dat gebruikers direct in kunnen loggen. Indien een gebruiker na het wijzigen van het wachtwoord direct probeert in te loggen kan het zijn dat de DC die reageert op het verzoek van de gebruiker nog niet weet dat het wachtwoord gewijzigd is. Voordat de loginpoging afgewezen wordt, wordt eerst een verzoek naar de PDC Emulator verstuurd of het wachtwoord op de betreffende DC nog correct is. De PDC geef bij weigeren van inloggen een second opinion.

Tevens beheert de PDC Emulator de Group Policy’s binnen een domein. Indien een Group Policy op meerdere DC’s tegelijk bewerkt wordt kan dit een synchronisatieconflict opleveren. Dit wordt voorkomen door de PDC Emulator. Indien een GPO binnen de Group Policy Management Editor wordt geopend, verbindt deze met de DC waarop de PDC Emulator actief is. Hierdoor worden alle GPO wijzigingen op de PDC Emulator uitgevoerd.

De PDC Emulator is verantwoordelijk voor de tijd binnen het domein. Iedere lid van het domein synchroniseert zijn huidige tijd met de PDC Emulator. Ook is de PDC Emulator de server waarop de lijsten van het domein worden opgehaald. Indien een gebruiker op netwerk klikt en het domein opent verschijnt een lijst van domeincomponenten. Deze lijst wordt gegenereerd door de PDC Emulator.

 

Uitschakelen van browsen over het netwerk GPO

Om het bladen over het netwerk te blokkeren kan de volgende policy aangepast worden:

  • User configuration -> Administrative templates -> Windows Components/Windows Explorer-> No Computers Near Me in Network Locations > Enabled
  • User configuration -> Administrative templates -> Windows Components/Windows Explorer-> No Entire Network in Network Locations > Enabled

Na instelling van deze twee policy’s is het niet meer mogelijk zonder adminrechten over het netwerk te bladeren.