Marco Protasi

mi capita alcune volta, principalmente eseguendo backup tramite script che questo venga interrotto anche nel bel mezzo della procedura. La causa è il raggiungimento del Time Out cioè del tempo massimo di esecuzione dello script.

Nulla di allarmante, è sufficiente modificare o la policy locale o distribuire una opportuna policy per aumentare il tempo di time out

 

La policy è
Computer Configuration \ Administrative Templates \ System \ Scripts  – Maximum wait time for Group Policy scripts

Il valore da inserire è in secondi, quindi 3600 = 1 ora

 

Può capitare di preferire o avere necessità del Bloc Num attivo in fase di logon e di non aver modo di attivare l’opzione dal bios della macchina. Per poter far ciò è sufficiente agire nel registry della macchina modificando la seguente chiave

HKEY_USERS\.Default\Control Panel\Keyboard\InitialKeyboardIndicators

I valori possono essere

0 Num Look OFF

2 Num Look ON

La chiave è di tipo REG_SZ ed il valore di default è 0

Questo per quanto riguarda la fase precedente al logon, va ricordato che Windows ne memorizza per ogni utente lo stato, la chiave relativita all’utente è invece

HKEY_CURRENT_USER\Control Panel\Keyboard\InitialKeyboardIndicators

I valori sono gli stessi della precedente

Ovviamente tutto si può anche impostare la chiave in modo che il Bloc Num sia/resti spento.

 

Ulteriori approfondimenti

https://support.microsoft.com/kb/824555/en-us

https://technet.microsoft.com/en-us/library/cc978657.aspx

Uno script da poter eseguire in fase di avvio tramite GPO e modificare lo stato Block Num

https://support.microsoft.com/kb/314879

Il  trasferimento di file e cartelle può avvenire attraverso il sempre presente xcopy.exe ricordandosi di usare tra gli altri swith /O /X che permettono di copiare anche i permessi di accesso, in alternativa possiamo usare robocopy.exe (tra gli altri vantaggi non è soggetto alle limitazioni di lunghezza percorso+nomefile di xcopy che causa errore di “memoria insufficiente”), tra l’altro al termine dell’operazione presenta un breve log dell’operazione che permette di vedere quanto e con quale esito sia stato copiato.

Robocopy.exe è presente nel resourcer kit di Windows Server ed è scaricabile  (nota informativa, il programma funziona anche su Windows 2000 e XP).

CondivisioniIl trasferimento delle condivisioni da un server ad un altro è spesso un’operazione complessa per fare ciò possiamo ricorrere sia tool di terzi parti, sia “aggirare” il problema esportando la necessaria chiave dal registo di Windows utilizzando regedt32.exe,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

Esportando prima tale chiave dall’attuale file server e importandola nel nuovo ricreeremo automaticamente tutte condivisioni con I relativi permesi, per rendere effettiva la modifica è consigliato riavviare il sistema, in alternativa (ma sconsigliato) al riavvio fermare e riavviare il servizio “server”

Microsoft mette a dispozione Microsoft File Server Migration Toolkit (FSMT) è possibile trovare info sul tool, mentre qui  è possibile eseguirne il download, il tool è valido per il trasferimento delle condivisioni da Server NT o Windows 2000 a Windows 2003

Meritevole di attenzione è anche scopy.exe si applica però solo ai sistemi Windows NT 4.0

Qualora si usasse un server Windows come server DHCP potrebbero verificarsi casi in cui sia necessaria o magari utile migrare la configurazione ed il database di tale funzione, magari a seguito di sostituzione di un domain controller, o più semplicemente perchè si vuole demandare tale compito ad altra macchina, dalle KB di Microsoft vediamo come possa essere possibile fare cioò senza dover riconfigurare tutti i parametri precedentemente immessi.

La KB in  questione è 325473 , vi rimandiamo al link per la consultazione, illustra come trasferire il DHCP da un’origine Windows Server NT/2000/2003 ad un server Windows 2003, qui invece una breve guida su come trasferire in pochi passaggi il database da un Server 2003 ad un’altro.

Inoltre vi segnaliamo  la documentazione Technet relativa al server DHCP di Windows 2003.

Come recuperare informazioni su autorizzazioni di condivisioni e permission NTFS

Si può ravvisare la necessità di recuperare in maniera veloce le autorizzazioni di condivisione concesse, per tale scopo è possibile usare srvcheck.exe dipsonibile nel resource kit di Windows 2003 Server con la sintassi:

 

srvcheck \\nomeserver

 

l’output è elenco delle condivisioni con i relative autorizzazioni

 

Per recuperare invece informazio sulle permission NTFS è possibile riccorre a Xcalcs.exe, scaricabile qui

Tramite lo NTSDUTIL.EXE è possibile modificare la password DSRM usata per il ripristno servizi di active directory

Come effettuare il reset della password DSRM in ambiente Win2K3

Per forzare il reset della password di DSRM è necessario utilizzare l’utility NTDSUTIL nel seguente modo:

Aprire una sessione Command Prompt:

Lanciare il comando NTDSUTIL.EXE:

Dal prompt di NTDSUTIL inserire il comando Set DSRM Password (o le iniziali Set d p).

Dal prompt “Reset DSRM Administrator Password” inserire il comando seguente per reinserire la password per il DC locale (null):

reset password on server null

oppure:

reset password on server <AltroDC>

per forzare il cambio della password DSRM per un DC remoto.

Inserire e confermare la nuova password e digitare QUIT per uscire dal contesto “Reset DSRM Administrator Password”.

Digitare QUIT per uscire da NTDSUTIL

Attenzione: non è possibile modificare la password di DSRM mediante l’utility NTDSUTIL nel mentre si opera in DSRM (Errore: “Setting password failed. Win32 Error Code: 0x32. Error Message: The request is not supported.”). Viceversa è possibile farlo da DSRM mediante la sequenza di tasti Control+Alt+Del e cliccando sul bottone “Change Password…” oppure inserendo il comando seguente: “net user Administrator *”.

Come effettuare il reset della password DSRM in ambiente Win2K

Dal SP4 in poi di Win2K è disponibile l’utility setpwd che permette di forzare il cambio password per la modalità DSRM.

KB322672 – Reimpostazione della password dell’account amministratore per la modalità ripristino servizi directory (DSRM) in Windows Server 2003

Troubleshooting, Disaster Protection & Recovery Active Directory

fonte, blog di Ermanno Golletto

Il Ripristino automatico di sistema (ASR Automated System Recovery) è suddiviso in due componenti: backup ASR e ripristino ASR. Il Ripristino automatico di sistema guidato appartiene al componente di backup e tramite una procedura guidata viene eseguito il backup dello stato del sistema, dei servizi di sistema e di tutti i dischi associati ai componenti del sistema operativo. Viene inoltre creato un file contenente informazioni sul backup, sulle configurazioni dei dischi, tra cui volumi dinamici e di base, e su come eseguire un ripristino. Il backup ASR esegue la copia dei volumi di boot e di sistema, ma non copia gli altri volumi di cui bisogna eseguire il backup separatamente tramite l’utility di backup.

Per accedere al componente di ripristino, premere F2 quando indicato nella parte dell’installazione in modalità testo. Verranno lette le configurazioni dei dischi dal file creato e verranno ripristinati gli identificatori dei dischi, i volumi e le partizioni almeno sui dischi necessari per l’avvio del computer. Verrà eseguito un tentativo di ripristinare le configurazioni di tutti i dischi (in alcuni casi questa operazione potrebbe non essere possibile) ed eseguita un’installazione di base di Windows (questa procedimento è noto come bare metal restore) al termine verrà avviato automaticamente un ripristino utilizzando il backup creato con il Ripristino automatico di sistema guidato. Per ulteriori informazioni in merito ad ASR si vedano i seguenti:

• Panoramica del Ripristino automatico di sistema in Windows XP
• How ASR Works
• The restore operation may fail when you use Automated System Recovery on a Windows Server 2003-based computer

Prima di eseguire il backup ASR assicurasi di avere un’unita floppy sul computer mappata con la lettera A:, nel caso non sia disponibile copiare i file asr.sif e asrpnp.sif disponibili nella cartella %systemroot%\repair in un altro computer dotato di unità disco floppy, quindi copiare questi file su un disco floppy. Non sarà invece possibile eseguire il ripristino automatico di sistema se non si dispone di un’unita floppy sul computer mappata con la lettera A:.

Quando si esegue un backup ASR, i file asr.sif e asrpnp.sif vengono copiati su un disco floppy e nel set di backup ASR (un nastro o un altro supporto di backup), si desidera eseguire un Ripristino automatico di sistema (ASR), ma non si dispone del disco floppy originale creato durante il backup ASR è possibile utilizzare l’utilità di backup per individuare e catalogare il corrispondente set di backup ASR, quindi ripristinare i file asr.sif e asrpnp.sif (disponibili nella cartella %systemroot%\repair del supporto di backup) su un disco floppy. Per ulteriori informazioni si veda How To Re-Create a Missing Automated System Recovery Floppy Disk in Windows XP.

Per eseguire un ripristino il ripristino automatico di sistema utilizzare supporto con la stessa versione del sistema operativo installato se non si dispone di un supporto che comprenda anche l’eventuale versione del service pack installato sul computer sorgente sarà possibile crearlo tramite Slipstreaming usando ad esempio nLite.

Il supporto su cui risiede il backup dovrà essere disponibile durante il ripristino quindi non è ad esempio possibile utilizzare share di rete e dischi usb, la soluzione più pratica è quella di avere il file di backup su un volume. Per ulteriori informazioni si veda You cannot specify a network drive for the location of the .bkf file when you use the Automated System Recovery feature in Windows Server 2003.

Dopo il ripristino di sistemi operativi Windows Server 2003 SP1 o Windows Server 2003 R2 il firewall risulta attivato anche se sul computer origine non lo era per ulteriori informazioni si veda The Windows Firewall setting may change to “On (recommended)” when you perform an Automated System Recovery restoration of the operating system on a computer that is running Windows Server 2003 SP1 or that is running Windows Server 2003 R2.

Dal momento che il restore ASR non consente il ripristino autoritativo della directory Sysvol per eseguire il ripristino del primo domain controller del dominio occorre seguire le indicazioni descritte nel seguente ASR cannot perform an authoritative primary restore on the first Windows Server 2003 domain controller in a domain.

Ripristino ASR su hardware diverso

Prima di fare il restore ASR occorre assicurarsi che il sistema target abbia lo stesso hardware (eccetto hard disk, schede video e schede di rete), che i dischi critici che conterranno volumi di boot e di sistema siano in numero sufficiente e che la loro capacità sia uguale o superiore a quella dei dischi originali. Microsoft non supporta il restore del backup del system state su un computer di modello diverso o con hardware diverso. Il computer origine e destinazione devono avere lo stesso tipo di HAL con alcune eccezioni:

• Si può passare da ACPI multiprocessor a ACPI uniprocessor e viceversa.
• Si può passare da MPS multiprocessor a MPS uniprocessor e viceversa.

E possibile determinare il tipo di HAL tramite il nodo Computer della console Gestione Periferiche (Device Manager), è possibile aprire la console eseguendo devmgmt.msc.

Nel caso in cui il computer sorgente abbia un HAL ACPI e quello destinazione un HAL MPS potrebbe essere possibile aggiornare il BIOS del computer destinazione per consentire il supporto ad ACPI, nel caso il fornitore della scheda madre abbia rilasciato l’aggiornamento.

Dopo il ripristino potrebbe essere necessario rimuovere le periferiche nascoste non installate sul computer destinazione che erano presenti sul computer sorgente, come ad esempio le schede di rete. Per eseguire questa operazione aprire il prompt dei comandi ed eseguire e digitare:

set DEVMGR_SHOW_NONPRESENT_DEVICES=1

devmgmt.msc

In questo modo verrà aperta la Gestione Periferiche, quindi selezionando Visualizza / Mostra periferiche nascoste verranno visualizzate anche le periferiche non presenti che potranno così essere disinstallate. Per ulteriori informazioni si veda In Gestione periferiche non vengono visualizzate le periferiche non connesse al computer basato su Windows XP.

Se necessario il floppy generato durante il backup ASR può essere modificato per contenere drive necessari sul computer destinazione per maggiori informazioni si veda How to install additional files during Automated System Recovery.

Nel caso in cui il computer origine sia configurato per avere un IP fisso e sul computer destinazione sia cambiata la scheda di rete dopo il ripristino configurare ml’indirizzo IP altrimenti i servizi che necessitano di questa impostazione non potranno avviarsi (DNS, Active Directory) e potrebbero causare malfunzionamenti ad altri componenti e/o rallentare il funzionamento.

Per ulteriori informazioni si vedano:

• How to move a Windows installation to different hardware
• Forzatura di un HAL (Hardware Abstraction Layer) durante un aggiornamento o una nuova installazione di Windows XP
• Opzioni HAL dopo l’installazione di Windows XP o Windows Server 2003
• How to troubleshoot startup problems in Windows Server 2003

I permessi di protezione NTFS (permission NTFS) permettono di definire le autorizzazioni di accesso a cartelle o file per singoli utenti o gruppi di utenti, quando vengono impostate, è però importante tenere presente alcuni concetti.

 

– Un permesso esplicitamente negato ha la priorità su uno escplicitamente concesso

– Le autorizzazioni sono cumulative

– ereditarietà dei permessi

– gestione dei permessi nelle operazioni di copia o spostamento file

– attraversamento delle cartelle

 

supponendo l’utente Mario Rossi in due gruppi utente, dove per uno è impostato esplictamente un diritto negato di modifica file (e cioè flaggata la relativa opzione) mentre per l’altro gruppo lo stesso diritto è esplicamente concesso, Mario Rossi si vedrà impossibiglitato a modificare i file sottoposto a tali permessi. Qualora invece non fosse esplicitamente impostata la negazione del permesso di lettura, per effetto dell’appartenenza all’altro gruppo, Mario Rossi sarà in grado di modificare i file in questione.

 

L’ereditarietà dei permessi permette: acquisire i diritti della cartella padre, cioè la cartella dove il nostro file o sotto cartella è inserita o di propagare i permessi della cartella corrente agli oggetti figlio (cartelle e file in questa contenute)

 

Gestione dei permessi nelle operazioni di copia o spostamento file, riguarda cosa accade ai permessi quando una cartella o un file viene spostato o copiato dalla sua posizione originale ad un’altra, va fatta subito una prima divisione, se l’oggetto viene spostato in una posizione sempre all’interno dello stesso volume o se l’oggetto viene spostato in un altro volume, comunque da ricordare che un nuovo oggetto creato eredita i permessi dell’oggetto padre.

 

Operazioni sullo stesso volume, in questo caso abbiamo due comportamenti, in caso di copia i dati duplicati erediteranno le autorizzazioni dell’oggetto padre, in caso di spostamento i dati manterrano le impostazioni di autorizzazioni orginali. Il mantenimento dei permessi originali potrebbe essere causa di accesso indesiderato a causa dell’attraversabilità delle cartelle, vedere di seguito attraversamento delle cartelle.

E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 (non modifica il comportantamento nei sistemi Windows 2000) come segue

 

avviare regedit.exe

portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

aggiungere un valore come segue

Nome valore: MoveSecurityAttributes
Tipo di dati: DWORD
Valore di dati: 0

 

kb microsoft di riferimento 310316

 

Operazioni su altro volume, quanto un oggetto viene spostato o copiato in un altro volume questo eredità i permessi del nuovo oggetto padre.

E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 come segue

 

avviare regedit

portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

aggiungere un valore come segue

Nome valore: ForceCopyAclwithFile
Tipo di dati: DWORD
Valore di dati: 1

 

kb microsoft di riferimento 310316

 

Attraversamento, consiste nella possibilità di attraversare una cartella a cui non sia hanno diritti di accesso per giungere ad una sottocartella e file a cui però si ha accesso, ad esempio supponendo il seguente percorso e:\primadirectory\secondadirectory\doc.txt e avendo diritto di accesso negati alla cartella primadirectory ma diritti di accesso e lettura/scrittura a secondadirectory ed al suo contenuto è possibile accedere a tale contenuto digitando il percorso di accesso completo, nel caso specifico, e:\primadirectory\secondadirectory\doc.txt

 

Cos’è?

 

ADMT Activer Directory migration tool è il tool Microsoft chepermette la migrazione di oggetti active directory da un dominio ad un altro, tra strutture o tra foreste, è particolarmente utile in quelle situazioni in cui per un un motivo o per l’altro si ha la necessità di trasferire ad esempio degli utenti e computer ad un altro dominio permettendo di mantere il proprio profilo e riducendo quindi al minimo l’attività dell’amministratore e velocizzare il passaggio.

Prosegui la lettura…

“La seguente voce nella sezione [strings] è troppo lunga ed è stata troncata” all’apertura di Criteri di Gruppo nel computer locale, il messaggio è causato dall’impossibilità di elaborare stringhe di lunghezza superiore a 255 da Criteri di Gruppo e può essere causata da semplici importazioni di modelli magari creati su altre macchine.

Per rimediare a ciò è sufficiente installare l’apposità hotfix disponibile sia per Windows 2000, Windows XP e Windows Server 2003 reperibile insieme alle necessarie informazioni sul problema alla KB842933

Per risolvere il problema dell’autodisconnessione automatica e immediatamente successiva al login (spesso causata da errori di sistema o come effetto di un infezione da software malevolo) è possibile intervenire come segue

al persorso HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon

modificare il valore di Userinit in “C:\WINDOWS\system32\userinit.exe,”

“C:\WINDOWS\system32\userinit.exe,” importante la , alla fine

La situazione però non consente un accesso diretto al registry della macchina, cionostante è possibile aprire il registro in remoto semplicemente via LAN selezionando Connetti a registro di sistema in rete dal menu File di regedit.exe avviato da un’altra postazione. In casi particolarmente complessi o qualora la procedura sopra descritta non abbia prodotto risutalti positivi è possibile tentare il ripristino del registry dall’hive dello stesso come indicato nella kb307545. In tale caso prendere visione anche delal kb836435

 

Per disabilitare l’autoplay è possibile agire in diversi modi anche a seconda del sistema opertivo in uso, sia modificando le opportune chiavi di registro che impostado policy che usando tool confunzionalità apposite quali i Tweak IU

Windows Server 2003, Windows XP e Windows 2000 tramite gpedit.msc

• premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
• Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Sistema.
• Trovare la voce Disattiva Autoplay (a seconda delle versioni del sistema operativo può essere indicata anche come Disabilita Autoplay o Disattiva Riproduzione Automatica) fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
• Fare clic su Attivato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
• Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
• Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Windows Server 2008 o Windows Vista

• premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
• Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Componenti di Windows e Criteri Autoplay.
• Trovare la voce Disattiva Autoplay fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
• Fare clic su Abilitato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
• Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
• Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Impostazione tramite chiave di regitro

• Da Start, Esegui, digitare regedit.exe e premere OK
• Posizionarsi alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
• Creare un nuovo valore di tipo DWORD chimandolo NoDriveTypeAutoRun, vedere tabella seguente per i valori

 

Valore	Descrizione
0x1	Consente di disattivare AutoPlay da unità di tipo sconosciuto
0x4	Consente di disattivare AutoPlay da unità rimovibili
0x8	Consente di disattivare la AutoPlay da unità fisse
0x10	Consente di disattivare AutoPlay da unità di rete
0x20	Consente di disattivare AutoPlay da unità CD-ROM
0x40	Consente di disattivare AutoPlay da dischi RAM
0x80	Consente di disattivare AutoPlay da unità di tipo sconosciuto
0xFF	Consente di disattivare AutoPlay da tutti i tipi di unità

I valori di default sono

Sistema operativo	Valore
Windows Server 2008 e Windows Vista	0x91
Windows Server 2003	0x95
Windows XP	0x91
Windows 2000	0x95

Tool

Alcuni tool per inervenire nella modifica dell’autorun, e anche in altre sono

 

Tweak iu della raccolta Microsoft PowerToys per Windows XP

 

Windows Vista Tweaker

Per maggiori informazioni è possibile fare riferimento alla kb953252

Può far comodo, soprattutto se ci si occupa di supporto o si è amministratori di sistema, poter attivare il desktop remoto da remoto appunto, ovviamente per fare ciò è necessario poter disporre di privileggi sufficienti sulla macchina remota.

avviare regedit , start -> esegui -> regedit.exe dal menù file selezionare Connetti a Registro di sistema in rete e indicare il nome computer o indirizzo ip della macchina remota, qualora richiesto inserire credenziali amministrative valide nella macchina remota (o in dominio qualodra ci trovassimo in un dominio Avtice Directory, anche se quest’ultima per ragioni si sicurezza sconsiglio di usarla per attività che non coinvolgono i domain controller). Verrà ahhiunto al’albero presente un nuovo computer con relativo registro, portiamoci quindi alla chiave

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server modificare fDenyTSConnections (o crearla se assente di tipo DWORD) impostando come valore 0

E’ necessario riavviare la macchina remota, operazione che può essere eseguita tramite shutodown.exe dal prompt dei comandi

shutdown -m \\nomecomputer -r -t 01 (-t 01 imposta il tempo ad un secondo, per evitare i classici 30 secondi)

I valori disponibile per fDenyTSConnections sono

0 desktop remoto abilitato

1 desktop remoto disabilitato

Qualora la connessione al registro remoto non sia possibile non a causa del firewall attivo sulla macchina remota o per errore nelle credenziali fornite, verificare che nel pc da cui si sta operando il servizio Registro di sistema remoto sia avviato

 

Articolo tratto da OpenSkills.info adatto a scenari d’integrazione Linux in domini Windows. L’articolo originale è disponibile qui

La procedura per l’aggiunta e/o la sostituzione del domain controller qui vista anche se effettuata su sistemi Windows 2000 Server è valida anche per l’ambiente Windows Server 2003.

 

Vediamo come sia possibile sosituire un Domain Controller, magari perché giunto alla fine della sua vita operativa, con un altro trasferendo a quest’ultimo il ruolo di master del dominio.

La procedura si articola in 4 fasi principali,

1. promozione a Domain Controller del nuovo server
2. installazione servizio DNS
3. replica del Global Catalog nel nuovo Domain Controller
4. trasferimento dei ruoli FSMO con “demotion” del vechio Domain Controller

Nel nostro esempio disponiamo di due server, entrambi con Windows 2000 Server SP4, li chiameremo DC01 e DC02. Il DC01 oltre ad essere domain controller nel dominio ha anche il ruolo di server DHCP nonché di file server, avremo quindi modo di vedere come trasferire i dati dai due DC mantenendo i permessi assegnati, inoltre abbiamo creato dei degli utenti e aggiunto un computer in modo da rendere più realistico l’esempio.

Fig. 1 DC01 ed elementi di active directory creati ad esempio

Fig. 2 il client aggiunto al domino mostra il server a cui l’utente ha fatto logon

 

Parametri

I parametri del nostro esempio sono:

Nome dominio: nxproject.local

Primo Domain Controller

Nome	dc01.nxproject.local
IP	192.168.1.1
Subnet	255.255.255.0
DNS	192.168.1.1

Secondo Domain Controller

Nome	dc02.nxproject.local
IP	192.168.1.2
Subnet	55.255.255.0
DNS	192.168.1.1 prima della promozione
DNS	192.168.1.2 dopo la promozione

Client

Nome	nxclient01.nxproject.local
IP	DHCP
Subnet	DHCP
DNS	DHCP

 

1 Promozione del Nuovo Domain Controller (DC02)

Avviamo la procedura di elevazione a controller di dominio, (Start –à Esegui digitare dcpromo.exe e premere invio) seguiamo il wizard per la promozione, quando richiesto scegliere la voce “Controller aggiuntivo di dominio in un dominio esistente” e proseguire (fig. 3)

Fig 3. opzione aggiunta controller

A questo punto ci viene richiesto di indicare un account per il dominio specifico, (fig. 4)

Fig 4 credenziali per il dominio specificato

Proseguendo ci viene chiesto di indicare il nome dns del nostro dominio, che in questo caso sarà nxprojec.local (fig. 5)

Fig 5. indicazione del nome dns del dominio

Proseguiamo con l’operazione confermando i dati che ci vengono indicati, come una normale operazione di promozione a Domain Controller.Terminata la procedura e riavviato il server DC02, portiamoci sul DC01 e apriamo “Utenti e computer di Active Directory” , selezioniamo “domain controller” e troveremo oltre al DC01 anche il DC02 (fig. 6), facendo la stessa operazione dal nuovo domain controller avremmo ovviamento lo stesso risultato.

Fig 6. il nuovo Domain Controller è presente in active directory

Ora il server è stato aggiunto ed è un controller di dominio ma ci sono ancora dei passi fondamentali prima spegnere il vecchio server.

2 Installazione server DNS

Prima di iniziare l’installazione del server DNS su DC02 è necessario attivare e/o verificare che sia attivo il trasferimento di zona

Fig 7. Verifica trasferimento di zona

Verificare che “Consenti trasferimenti di zona” si attiva, selezionando la voce “a qualsiasi server” il DNS verrà replicato a tutti i server DNS della rete, “solo a server elencati nella scheda dei server de nomi” replicae il DNS solo ai server elencati nella scheda, “solo ai seguenti server” replica solo hai server che vengono specificati di seguito, al termine selezionare “OK” e passiamo a DC02 da pannello di controllo, installazione applicazioni selezioniamo “installazione componenti di Windows” , “Servizi di rete” click su dettagli e selezioniamo “Domain Name System (DNS)”

Fig 8. Installazione servizio DNS su DC02

Confermiamo la selezione con “OK”, click su “Avanti” . Al termine dell’installazione il server dns su DC02 dovrebbe contenere già una replica del DNS

Fig 9. DNS installato e pronto su DC02

Ora impostiamo come server DNS preferito l’indirizzo IP di DC02 .

Fig 10. Impostazione server DNS preferito

3 Trasferire il Global Catalog

L’impostazione che consente la replica del Global Catalog è possibile configurarla da uno qualunque dei due domain Controller, apriamo “Siti e servizi di Active Directory” espandiamo “Sites”, espandiamo “Nome-predefinito-primo-sito”, espandiamo “server” e seleziona DC02, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, ora attiviamo la voce “Catalogo Globale” ie confermiamo la schermata.Importante la replica del Global Catalog non è immediata, il tempo varia sia in base alle impostazioni del server sia in base alla complessa della rete, ad ogni modo per avere un’idea del tempo necessario, accedendo al registro degli eventi in “directory service” e cercare l’evento 1110 con origine “NTDS General”

Fig 11.

Si potrà avere una stima del tempo necessario per completare l’operazione di elevazione del server a Global Catalog Una volta che DC02 è Global Catalog procediamo con la rimozione del Global Catalog da DC01, in maniera analoga all’operazione svolta per elvare DC02 a Global Catalog, accediamo quindi a “Siti e servizi di Active Directory” ,“Sites”, “Nome-predefinito-primo-sito”, “server” e seleziona DC01, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, togliere il flag alla voce “Catalogo Globale” e confermiamo la schermata, come prima l’operazione non è immediata. Per sapere quando è terminata accedere al registro degli eventi di DC01, “directory Service” e cerchiamo l’evento 1119 origine NTDS Service

Fig 12.

Inolte è possibile trovare un avviso sempre in “directory services” 1534 origine “NTDS General” indicando l’incompatibilità per il vecchio server di essere master del Dominio e non Global Catalog

4 Trasferimento dei ruoli FSMO

Passiamo all’ultima fase, il trasferimento dei ruoli FSMO al nuovo server, questa procedurà può essere eseguita in due modi, il primo attraverso lo wizard per il demotion che disinstallerà active directory trasferendo automaticamente i ruoli al nuovo server, il secondo metodo consiste nel trasferimento manuale attravesrso lo strumento ntdsutil.exe operazione che può essere utile per la promozione di un secondo domain controller qualora il primo debba improvvisamente cessare di essere operativo, o se si volesse mantenere l’attuale domain controller. Qual’ora il primo domain controller sia anche file server o server DHCP ritengo opporturno trasferire i dati se file server e le impostazioni sulla configurazione dell’eventuale DHCP server, per tali operazioni potete consultare la nostra documentazione ai seguenti link

4.1 Utilizzo FSMO

Analizziamo entrambi i metodi, iniziamo con il ntdsutil.exe.Portiamoci sul vecchio server dopo aver installato i suppot tools , scaricabili qui per windows 2000 e qui per windows 2003, andiamo su start -> programmi -> Windows support Tool -> tools -> command prompt ed inserire i seguenti comandi

ntdsutil
roles
connections
connect to server DC02
quit

Fig. 13 ntdsutil.exe

ora siamo connessi al server DC02, ovviamente al comando connect to server DC02 dovrete sostituire DC02 con il nome del vostro server, procediamo ora all trasferimento dei ruoli

transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master
quit
quit

ora abbiamo definitivamente trasferito tutti i ruoli al nuovo domain controller, se vogliamo effettuare una verifica al prompt dei comandi digitiamo netdom query fsmo

Fig. 14 query netdom

questa procedura è consigliata nel caso in cui si voglia mantenere ancora operativo il vecchio server, magari come secondo domain controller oppure nel caso un cui si vogliano trasferire i ruoli ad altro server nel caso in cui quello attuale non sia operativo, infatti anche se trasferice i ruoli resta poi un’operazione di “pulizia” da effettuare sul nuovo domain controller, operazione volta alla eliminazione dei record dns ancora presenti nonché le voci in “siti e servizi di active directory” .

4.2 Disinstallazione Active Directory

Ora vediamo come è possibile abbassare il vecchio server e trasferire automaticamente i ruoli FSMO al nuovo attraverso la procedura di disinstallazione di active directory Portiamoci sul vecchio server start -> esegui -> dcpromo e premiamo invio, procediamo con Avanti

Nella schermata “Rimozione di active directory” è importante NON attivare “Questo server è l’ultimo controller di dominio nel dominio” e andiamo su “Avanti” indichiamo la password che avrà l’utente administrator locale al termine dell’operazione e andiamo “avanti”.

Fig. 15 disinstallazione AD

Ora è iniziata la procedura di disinstallazione di active directory dal nostro DC, al termine riavvio la macchina.Al termine portiamoci sul nuovo DV, apriamo il prompt dei comandi dei support tools e digitiamo Netdom query fsmo , vedremo che il nuovo DC è divenuto automaticamente detentore dei ruoli.

Fine

Abbiamo terminato, una base alla procecedura scelta possiamo ora decidere di mettere a nanna il vecchio server o mantenerlo operativo per un DC di backup per active directory, qual’ora il server fosse un server DHCP (come nell’esempio) o magari sia anche un file server vi rimandiamo a i seguenti articoli su come migrare la configurazione del server DHCP e come trasferire condivisioni, file e cartelle tra i due server.

Alcune volte si rende necessaria l’insallazione di alcune hotfix che possono essere di difficle reperimento, questo caso possiamo usare i seguenti strumenti

https://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=HOTFIX

 

 

dove hotfix il numero della KB interessata.

 

Inoltre per la ricerca KB e altra documentazione è possibile usare

https://support.microsoft.com/search/?adv=1