💡 آموزش کامل اپدیت اکتیو دایرکتوری (ارتقاء به سرور ۲۰۲۲)

خوش آمدید! اگر اینجا هستید، حتماً به فکر اپدیت اکتیو دایرکتوری (Upgrade) شبکه خود هستید. این کار شبیه به یک جراحی قلب باز برای شبکه است. اما نگران نباشید! این مقاله یک راهنمای آموزشی جامع برای اپدیت active directory از سرور قدیمی به ویندوز سرور ۲۰۲۲ است. ما از روش “نصب در کنار هم” (Side-by-Side) استفاده می‌کنیم؛ این بهترین و ایمن‌ترین روش است که تضمین می‌کند در طول عملیات، شبکه شما حتی برای یک دقیقه هم قطع نشود (Zero Downtime).

این آموزش روش اپدیت اکتیو دایرکتوری  برای مبتدیان تا مدیران سطح متوسط نوشته شده است. ما تمام اصطلاحات فنی را باز می‌کنیم و می‌گوییم “چرا” باید هر کاری را انجام دهید.

گام اول: آماده‌سازی قبل از اپدیت اکتیو دایرکتوری (چکاپ سلامت)

قبل از اینکه سرور جدید را روشن کنید، باید مطمئن شوید سرور فعلی شما کاملاً سالم است. هرگز این مرحله را نادیده نگیرید. اگر سرور قدیمی مشکلی داشته باشد (مثل یک تب خفیف)، سرور جدید با یک بیماری تمام‌عیار متولد می‌شود!

۱. Active Directory چیست؟ (به زبان ساده)

Active Directory (AD) مثل دفترچه تلفن مرکزی و هوشمند شبکه شماست. تمام کاربران، کامپیوترها، پرینترها و رمزهای عبور در آن ثبت شده‌اند. سروری که این دفترچه تلفن را مدیریت می‌کند، Domain Controller (DC) نام دارد. ما در این آموزش می‌خواهیم “مدیر دفترچه تلفن” (DC) را از یک سرور قدیمی به یک سرور جدید منتقل کنیم.

۲. بررسی سلامت دامین (DCDiag و Repadmin)

شما باید مطمئن شوید اطلاعات بین سرورهای قدیمی به درستی رد و بدل می‌شود. به این کار Replication (همسان‌سازی) می‌گویند. اگر همسان‌سازی مشکل داشته باشد، مثلاً رمز عبوری که کاربر عوض کرده به سرور دیگر نرسد، فاجعه رخ می‌دهد.

۳. گرفتن بکاپ کامل (بیمه نامه شما)

این مرحله اجباری است. اگر هر اتفاقی در طول اپدیت active directory  رخ دهد، این بکاپ تنها راه بازگشت شماست. شما باید یک بکاپ کامل از نوع System State از تمام دامین کنترلرهای خود بگیرید.

۴. بررسی FRS به DFSR (یک نکته فنی بسیار مهم)

اگر سرور شما خیلی قدیمی است (مثلاً ویندوز سرور ۲۰۰۸)، احتمالاً از یک سیستم همسان‌سازی قدیمی به نام FRS استفاده می‌کند. ویندوز سرور ۲۰۲۲ فقط با سیستم جدیدتر یعنی DFSR کار می‌کند. شما باید قبل از ارتقا، سیستم را از FRS به DFSR مهاجرت دهید.

گام دوم: نصب و معرفی سرور جدید (شروع اپدیت)

حالا که از سلامت سرور قدیمی مطمئن شدیم، در این  روش اپدیت اکتیو دایرکتوری  یک سرور (فیزیکی یا مجازی) با ویندوز سرور ۲۰۲۲ نصب می‌کنیم و آن را به عنوان “همکار” یا “دستیار” سرور قدیمی وارد شبکه می‌کنیم.

۱. تنظیمات اولیه شبکه سرور جدید

این مرحله بسیار برای مبتدیان گیج‌کننده است، پس دقت کنید:

1. IP ثابت: یک IP ثابت (Static) در رنج شبکه خود به سرور ۲۰۲۲ بدهید.
2. تنظیم DNS: این مهم‌ترین بخش است. در تنظیمات کارت شبکه سرور ۲۰22، در قسمت Preferred DNS Server، باید آدرس IP سرور قدیمی را وارد کنید.
3. چرا؟ چون سرور جدید باید بتواند “رئیس” (سرور قدیمی) را در شبکه پیدا کند تا از او اجازه ورود بگیرد.
4. حالا سرور جدید را به دامین Join کنید (درست مثل یک کامپیوتر معمولی).

۲. تبدیل سرور جدید به Domain Controller (عملیات Promote)

پس از Join شدن، از طریق Server Manager، گزینه Add Roles and Features را انتخاب کرده و نقش Active Directory Domain Services را نصب کنید. پس از نصب، یک پرچم زرد رنگ در Server Manager ظاهر می‌شود. روی آن کلیک کرده و گزینه Promote this server to a domain controller را انتخاب کنید.

در پنجره‌ای که باز می‌شود:

• گزینه “Add a domain controller to an existing domain” (اضافه کردن یک DC به دامین موجود) را انتخاب کنید.
• در مراحل بعد، تیک Global Catalog (GC) را بزنید.
• یک رمز عبور برای DSRM (حالت بازیابی) وارد کنید. این رمز را حتماً یادداشت کنید.

چه اتفاقی در حال رخ دادن است؟ در این مرحله، سرور جدید با سرور قدیمی تماس می‌گیرد، تمام “دفترچه تلفن” (AD) را کپی می‌کند و تنظیمات شبکه (Schema) را به‌روز می‌کند. این اولین مرحله جدی در **اپدیت active directory** شماست.

گام سوم: انتقال وظایف اصلی شبکه (FSMO Roles)

حالا شما دو سرور (مدیر) دارید که هر دو یک نسخه از “دفترچه تلفن” را دارند و با هم همسان‌سازی می‌شوند. اما در Active Directory، همیشه یک “رئیس” وجود دارد. در واقع ۵ وظیفه ویژه (به نام FSMO Roles) وجود دارد که فقط روی یک سرور در آن واحد می‌تواند باشد. ما باید این ۵ وظیفه را از سرور قدیمی به سرور جدید منتقل کنیم.

این ۵ وظیفه ویژه چه هستند؟ (به زبان ساده)

1. PDC Emulator: “رئیس” اصلی و “ساعت‌دار” شبکه است. مدیریت تغییرات فوری رمز عبور و تنظیم زمان کل شبکه با اوست.
2. RID Master: مثل “اداره صدور شناسنامه” است. وقتی کاربر جدیدی می‌سازید، او یک کد شناسایی (SID) یکتا به او می‌دهد.
3. Infrastructure Master: مسئول هماهنگی بین گروه‌ها و کاربران در بخش‌های مختلف دامین است.
4. Schema Master: “معمار” شبکه است. تنها او اجازه دارد ساختار اصلی AD را تغییر دهد.
5. Domain Naming Master: “شهردار” کل شبکه است. فقط او می‌تواند یک دامین جدید به مجموعه اضافه کند.

چگونه این وظایف را منتقل کنیم؟ (با PowerShell)

برای اپدیت active directory بعد از اینکه مطمئن شدید سرور جدید حداقل ۲۴ ساعت است که بدون خطا کار می‌کند، وارد سرور جدید (۲۰۲۲) شوید. محیط PowerShell را با دسترسی Administrator باز کنید و این دستور جادویی را وارد کنید (نام سرور جدید خود را جایگزین “DC-NEW-NAME” کنید):

# این دستور تمام 5 وظیفه را به سرور جدید منتقل می‌کند
Move-ADDirectoryServerOperationMasterRole -Identity "DC-NEW-NAME" -OperationMasterRole 0,1,2,3,4 -Force

# برای اطمینان از اینکه وظایF منتقل شده‌اند، این دستور را اجرا کنید:
netdom query fsmo

خروجی دستور دوم باید نشان دهد که نام سرور جدید شما، صاحب هر ۵ وظیفه است.

گام چهارم: نهایی‌سازی اپدیت و بازنشسته کردن سرور قدیمی

تبریک! بخش سخت کار تمام شد. سرور ۲۰۲۲ شما اکنون “رئیس” جدید شبکه است. اما هنوز کلاینت‌ها (کامپیوترهای کاربران) این را نمی‌دانند و هنوز دارند با سرور قدیمی صحبت می‌کنند!

۱. به‌روزرسانی GPS شبکه (DNS و DHCP)

این مهم‌ترین کاری است که برای در اپدیت active directory باعث می‌شود کلاینت‌ها سرور جدید را پیدا کنند:

• سرور DHCP: وارد سرور DHCP خود شوید (سروری که به کلاینت‌ها IP می‌دهد). در تنظیمات Scope Options، آدرس DNS Server را پیدا کنید.
• تغییر DNS: آدرس IP سرور قدیمی را از لیست DNS حذف کنید، و آدرس IP سرور جدید (۲۰۲۲) را به عنوان اولین DNS Server (Primary) تنظیم کنید.
• چرا؟ چون DNS مثل GPS شبکه است. شما باید GPS تمام کلاینت‌ها را اپدیت کنید تا به آدرس “رئیس” جدید بروند.

۲. حذف ایمن سرور قدیمی (عملیات Demotion)

بعد از اینکه چند روز گذشت و مطمئن شدید شبکه پایدار است، وقت بازنشسته کردن سرور قدیمی است. شما هرگز نباید سرور DC قدیمی را ناگهانی خاموش کنید!

باید وارد سرور قدیمی شوید، به Server Manager بروید، و نقش Active Directory Domain Services را Remove (حذف) کنید. ویندوز به صورت خودکار عملیات Demotion (تنزل رتبه) را آغاز می‌کند. این کار به سرور می‌گوید: “شما دیگر مدیر دفترچه تلفن نیستی.”

۳. ارتقاء سطح عملکرد (Functional Level)

به عنوان آخرین اقدام، از طریق کنسول Active Directory Domains and Trusts، “سطح عملکرد” (Functional Level) دامین و فارست را به ویندوز سرور ۲۰۲۲ ارتقاء دهید. این کار تمامی قابلیت‌های امنیتی جدید را فعال می‌کند و رسماً پایان پروژه اپدیت اکتیو دایرکتوری  شما را اعلام می‌کند.

بخش پنجم: چرا ما از روش “نصب در کنار هم” استفاده کردیم؟ (یک نکته آموزشی مهم)

شاید از خودتان پرسیده باشید که چرا ما این همه زحمت اپدیت active directory کشیدیم؟ چرا یک سرور جدید نصب کردیم، نقش‌ها را منتقل کردیم و سرور قدیمی را حذف کردیم؟ آیا نمی‌شد روی همان سرور قدیمی، ویندوز سرور ۲۰۲۲ را نصب کرد؟

پاسخ به این سوال، تفاوت بین دو روش اصلی برای آپدیت اکتیو دایرکتوری را مشخص می‌کند: ارتقاء درجا (In-Place Upgrade) در مقابل مهاجرت در کنار هم (Side-by-Side Migration).

۱. ارتقاء درجا (In-Place Upgrade) چیست؟ (روش خطرناک)

ارتقاء درجا یعنی شما DVD ویندوز سرور ۲۰۲۲ را روی همان سرور قدیمی (مثلاً سرور ۲۰۱۶) اجرا می‌کنید و گزینه “Upgrade” را می‌زنید. ویندوز تلاش می‌کند سیستم عامل را در حالی که تمام تنظیمات Active Directory فعال است، به‌روز کند.

چرا این روش به شدت خطرناک و غیر اصولی است؟

• ریسک بالای خرابی: دامین کنترلر یک سرویس بسیار حساس است. در طول ارتقاء سیستم عامل، کوچکترین خطایی می‌تواند کل پایگاه داده Active Directory را خراب (Corrupt) کند.
• عدم امکان بازگشت (Rollback): اگر ارتقاء درجا شکست بخورد یا در میانه کار متوقف شود، شما دیگر نمی‌توانید به ویندوز سرور قبلی برگردید. در این سناریو، شما **کل دامین کنترلر** و احتمالاً کل شبکه خود را از دست داده‌اید.
• قطعی کامل شبکه (Downtime): در تمام طول مدت ارتقاء درجا (که ممکن است ساعت‌ها طول بکشد)، سرور شما خاموش و غیرفعال است. این یعنی در آن ساعات، هیچ کاربری در شبکه نمی‌تواند لاگین کند یا به منابع دسترسی داشته باشد.
• انتقال مشکلات قدیمی: این روش تمام مشکلات، تنظیمات اشتباه و فایل‌های به هم ریخته‌ی ویندوز سرور قدیمی را به ویندوز سرور جدید منتقل می‌کند. شما با یک سیستم عامل جدید اما با مشکلات قدیمی مواجه خواهید شد.

۲. مهاجرت در کنار هم (Side-by-Side) چیست؟ (روش اصولی و آموزشی ما)

این دقیقاً همان روشی است که ما در این مقاله به شما آموزش دادیم. در این روش، ما اصلاً به سرور قدیمی دست نمی‌زنیم و اجازه می‌دهیم به کار خود ادامه دهد.

چرا این روش بهترین انتخاب برای آپدیت اکتیو دایرکتوری است؟

• بدون قطعی (Zero Downtime): در تمام طول عملیات، سرور قدیمی روشن است و به کاربران سرویس می‌دهد. همزمان، سرور جدید در حال آماده شدن است. شبکه حتی یک لحظه هم قطع نمی‌شود.
• امکان بازگشت فوری: فرض کنید سرور ۲۰۲۲ به هر دلیلی دچار مشکل شد. چه اتفاقی می‌افتد؟ **هیچ!** شما به سادگی سرور جدید را خاموش می‌کنید. سرور قدیمی همچنان “رئیس” شبکه است و کارها ادامه دارد. شما هیچ ریسکی نکرده‌اید.
• نصب تمیز (Clean Install): شما یک ویندوز سرور ۲۰۲۲ کاملاً تمیز، نو و بدون هیچ مشکل قدیمی نصب می‌کنید. این کار پایداری شبکه شما را در آینده تضمین می‌کند.
• زمان برای تست: شما می‌توانید یک هفته (یا حتی یک ماه!) هر دو سرور را در کنار هم روشن نگه دارید تا مطمئن شوید همه‌چیز به درستی همسان‌سازی می‌شود، و سپس با خیال راحت سرور قدیمی را بازنشسته (Demote) کنید.

نتیجه‌گیری این بخش: همیشه، همیشه و همیشه برای آپدیت active directory از روش “نصب در کنار هم” (Side-by-Side) استفاده کنید. روش ارتقاء درجا (In-Place) برای یک دامین کنترلر، یک ریسک غیرحرفه‌ای و بسیار خطرناک است که می‌تواند کل کسب و کار شما را مختل کند.

پرسش و پاسخ: خطاهای رایج هنگام اپدیت اکتیو دایرکتوری (FAQ)

در طول این فرآیند، ممکن است با خطاهایی مواجه شوید. در اینجا به چند مورد از رایج‌ترین خطاها و راه‌حل ساده آنها می‌پردازیم:

۱. سوال: دستور DCDiag خطای “Failed” می‌دهد. چه کار کنم؟

پاسخ: فوراً متوقف شوید! این مهم‌ترین هشدار است. به هیچ وجه اپدیت اکتیو دایرکتوری را ادامه ندهید. این خطا معمولاً به معنی مشکل در DNS یا Replication  است.
راه‌حل رایج: تنظیمات DNS سرورهای خود را چک کنید. یک قانون خوب این است که DNS اولیه هر سرور DC، باید IP یک DC دیگر باشد و DNS دوم، آدرس خودش (127.0.0.1) باشد.

۲. سوال: سرور جدید ۲۰۲۲ هنگام “Promote” شدن می‌گوید دامین را پیدا نمی‌کند.

پاسخ: این یک خطای بسیار شایع است و تقریباً ۱۰۰%  مشکل از تنظیمات DNS سرور جدید شماست.
راه‌حل: به یاد دارید در گام دوم گفتیم که DNS اولیه سرور جدید (۲۰۲۲) باید  آدرس IP سرور قدیمی باشد؟ این مشکل به خاطر همان است. سرور جدید برای Promote شدن باید بتواند سرور قدیمی را پیدا کند.

۳. سوال: در اپدیت active directory هنگام Promote خطای “Schema Master” دریافت می‌کنم.

پاسخ: “Schema Master” یکی از آن ۵ وظیفه اصلی است که در موردش صحبت کردیم. سرور جدید شما برای به‌روزرسانی ساختار AD (که بخشی از اپدیت active directory است)، نیاز دارد با این سرور صحبت کند.
راه‌حل: این خطا یعنی سروری که نقش Schema Master را دارد، یا خاموش است یا در شبکه در دسترس نیست. با دستور netdom query fsmo پیدا کنید کدام سرور Schema Master است و مطمئن شوید آن سرور روشن و سالم است.

۴. سوال: دستور PowerShell برای انتقال FSMO Roles با خطا مواجه شد.

پاسخ: اولاً، نگران نباشید. این اتفاق معمولاً زمانی رخ می‌دهد که سرور جدید و قدیمی هنوز همسان‌سازی (Replication) را کامل نکرده‌اند.
راه‌حل: یک ساعت صبر کنید و دوباره امتحان کنید. مطمئن شوید PowerShell را حتماً با دسترسی Administrator  باز کرده‌اید و نام سرور جدید را دقیقاً درست تایپ کرده‌اید.

۵. سوال: اپدیت تمام شد و سرور قدیمی را Demote کردم، اما حالا کاربران نمی‌توانند لاگین کنند!

پاسخ: این یک خطای کلاسیک بعد از پایان کار است! این یعنی شما مهم‌ترین بخش گام چهارم یعنی اپدیت DHCP  را فراموش کرده‌اید.
راه‌حل: کامپیوترهای کاربران هنوز دارند دنبال GPS (DNS) سرور قدیمی می‌گردند که دیگر وجود ندارد! فوراً  به سرور DHCP خود بروید، وارد تنظیمات Scope شوید و آدرس DNS Primary را به آدرس IP سرور جدید ۲۰۲۲ تغییر دهید.