Migrace doménového řadiče z 2008 R2 na 2012 R2

Vzhledem k licenční politice Microsoftu jsem byl nucen provést migraci serveru, který běžel na Windows Serveru 2008 R2 a který byl primární doménový řadič s Active Directory, DNS a DHCP, na Windows Server 2012 R2.

Postup byl následující (lovím z paměti):

  1. Připravit AD schéma na Server 2012 R2
    1. Na DC08 připojit disk z Windows Serveru 2012 R2
    2. Spustit cmd.exe jako správce
    3. Přesunout se do D:\support\adprep
    4. Spustit adprep /forestprep
    5. Na dotaz, zda všechny servery v AD jsou 2003+ odpovědět C+Enter
    6. Spustit adprep /domainprep
  2. Ověřit, že se schéma AD opravdu změnilo
    1. Spustit regedit
    2. Najít Computer\HKLM\System\CurrentControlSet\services\NTDS\Parameters
    3. Zkontrolovat, že Schema Version je 69
  3. Nainstalovat čerstvý server 2012 R2 jako DC12 s updaty a připojit ho do domény
  4. Přidat doménový řadič DC12 do domény
    1. Spustit Server Manager
    2. Vybrat přidat role a funce
    3. Zvolit instalaci na základě rolí a funkcí
    4. Vybrat roli Služba Active Directory Domain Services
    5. Potvrdit okno instalace služeb, které se následně objeví
    6. Po ukončení instalace kliknout na žlutý trojúhelník s vykřičníkem v Server Manageru a zvolit převedení serveru na řadič domény
    7. Zvolit přidání řadiče k existující doméně
    8. Nechat zaškrtnuté DNS a GC a vyplnit nějaké vhodné silné heslo pro obnovení DS
    9. Nechat zaškrtnutou delegaci DNS
    10. Případně přesunout adresáře pro AD DS databáze
    11. Při přípravě instalace vyběhnou pravděpodobně warningy ohledně NT40 přihlašování, to lze ignorovat a spustit instalaci a nechat restartovat
  5. Ověřit, že instalace proběhla dobře
    1. Otevřít Uživatelé a počítače AD
    2. Otevřít složku Domain Controllers a zkontrolovat, že tam je jak DC08, tak i DC12 a oba jako GC
    3. Otevřít DNS
    4. Zkontrolovat vlastnosti domény v Zónách dopředného vyhledávání, jestli je server vedený jako Názvový server
  6. FSMO
    1. Na DC12 otevřít cmd.exe jako správce
    2. Spustit nedom query fsmo
    3. Jako všechny masteři by měl být uveden DC08
    4. Spustit ntdsutil
    5. Vložit postupně roles, Enter, connections, Enter, connect to server DC12, Enter, quit, Enter
    6. Vložit transfer schema master, potvrdit dialog
    7. Vložit transfer naming master, potvrdit dialog
    8. Vložit transfer PDC, potvrdit dialog
    9. Vložit transfer RID master, potvrdit dialog
    10. Vložit transfer infrastructure master, potvrdit dialog
    11. Ukončit pomocí quit, Enter, quit, Enter
    12. Znovu spustit netdom query fsmo
    13. Zkontrolovat, že teď je jako všichni masteři uveden DC12
  7. Přesunout DHCP
    1. Na DC12 otevřít powershell jako správce
    2. Spustit Export-DhcpServer -ComputerName DC08 -Leases -File C:\export.xml
    3. Spustit Import-DhcpServer -ComputerName DC12 -Leases -File C:\export.xml -BackupPath C:\backup
  8. Zrušení doménového řadiče z DC08
    1. Na DC08 spustit dcpromo
    2. Nezaškrtávat Smazat doménu, protože toto je poslední server v doméně
    3. Vložit nové heslo pro lokálního administrátora
    4. Zaškrtnout volbu, aby byl po dokončení server restartován
    5. Po restartu otevřít Server manager
    6. Odebrat role
    7. Zahodit AD DS, DHCP a DNS
    8. Po restartu odebrat DS08 z domény
Pokračovat ve čteníMigrace doménového řadiče z 2008 R2 na 2012 R2

Squid v AD

Nejdřív NTP

nastavíme do samba.conf

#GLOBAL PARAMETERS
[global]
  workgroup = DINTERNAL
  realm = DOMAIN.INTERNAL
  preferred master = no
  server string = squid proxy server
  security = ADS
  encrypt passwords = yes
  log level = 3
  log file = /var/log/samba/%m
  max log size = 50
  printcap name = cups
  printing = cups
  winbind enum users = Yes
  winbind enum groups = Yes
  winbind use default domain = Yes
  winbind nested groups = Yes
  winbind trusted domains only = Yes
  winbind cache time = 3600
  winbind separator = +
  template shell = /bin/bash

do hosts přidat řádek s adresou serveru s plným i zkráceným jménem

spustit připojení k doméně a konfiguraci přihlašování do ad

authconfig \
--update \
--kickstart \
--enablewinbind \
--enablewinbindauth \
--smbsecurity=ads \
--smbworkgroup=$ADSWorkgroup \
--smbrealm=$ADSDomain \
--smbservers=$ADSServer \
--winbindjoin=$AdminUser \
--winbindtemplatehomedir=/home/%U \
--winbindtemplateshell=/bin/bash \
--enablewinbindusedefaultdomain \
--enablelocauthorize

konfigurace squidu

### NTLM
auth_param ntlm \
   program /usr/bin/ntlm_auth \
   --diagnostics \
   --helper-protocol=squid-2.5-ntlmssp \
   --domain=DINTERNAL
auth_param ntlm children 10
auth_param ntlm keep_alive off

### LDAP
auth_param basic \
   program /usr/lib/squid/squid_ldap_auth \
   -R -b "dc=DOMAIN,dc=INTERNAL" \
   -D user@domain.internal \
   -W /etc/squid/ldappass.txt \
   -f sAMAccountName=%s \
   -h dc.domain.internal
auth_param basic children 10
auth_param basic realm Internet Proxy
auth_param basic credentialsttl 1 minute

### access list
acl auth proxy_auth REQUIRED

### vynutime overeni klientu
http_access deny !auth
http_access allow auth

spusteni sluzeb

/sbin/chkconfig winbind on
/sbin/service winbind start
/sbin/chkconfig smb on
/sbin/service smb start
Pokračovat ve čteníSquid v AD