Migrare Active Directory da Windows Server 2012 R2 a Windows Server 2022: guida completa passo‑passo

Migrare Active Directory da Windows Server 2012 R2 a Windows Server 2022 è pienamente supportato. In questa guida pratica trovi prerequisiti, scenari e passi operativi (same‑forest e cross‑forest con ADMT), più check di validazione, comandi PowerShell e consigli per evitare downtime e regressioni.

Indice

Panoramica della domanda

“È possibile migrare Active Directory (AD) da Windows Server 2012 R2 a Windows Server 2022? Quali prerequisiti e passaggi seguire?” — Sanjit Gupta.

Risposta breve: sì, è possibile e consigliabile. Puoi scegliere tra due approcci:

Same‑forest (in‑place): aggiungi uno o più DC Windows Server 2022 alla foresta esistente, trasferisci i ruoli FSMO, verifica la replica e demoti i DC 2012 R2.
Cross‑forest (nuova foresta): costruisci una nuova foresta 2022 e migri oggetti, identità e risorse con ADMT (inclusa sIDHistory), mantenendo un trust finché lo sw non è allineato.

Quale scenario scegliere

Esigenza	Approccio consigliato	Motivazione
Mantenere lo stesso nome di dominio, migrazione rapida	Same‑forest	Meno complessità, downtime ridotto, zero re‑join per i client se ben pianificato.
Riprogettare OU/GPO, cambiare naming, separare tenant	Cross‑forest	Massima flessibilità architetturale, pulizia tecnica e governance più chiara.
Remediation di problemi strutturali (schema “sporco”, GPO legacy)	Cross‑forest	Permette hard‑reset senza ereditare debito tecnico.
Tempi stretti e risorse limitate	Same‑forest	Più veloce e con meno moving‑parts.

Prerequisiti chiave

Area	Cosa occorre verificare / preparare	Note operative
Pianificazione	Definire obiettivi, ambito, timeline, piano di rollback.	Coinvolgere tutti gli owner di applicazioni critiche.
Hardware	Il nuovo server 2022 deve disporre di CPU, RAM, storage e ridondanza adeguati al carico AD.	Verificare compatibilità firmware/driver.
Compatibilità software	Controllare che applicazioni, agent e appliance che dipendono da AD supportino il livello di schema e le funzionalità di Windows Server 2022.	Aggiornare o sostituire sw non compatibile.
Strumenti di migrazione	Same‑forest: strumenti nativi (adprep, installazione ruolo AD DS, trasferimento FSMO). Cross‑forest: ADMT ≥ v3.2.1, Password Export Server per migrare le password.	Testare ADMT in lab; abilitare sIDHistory dove necessario.
Autorizzazioni	Enterprise/Schema Admin per forestprep, Domain Admin per promozione DC, Local Admin sul nuovo host; account di servizio per ADMT/PES.	Separare credenziali operative da personali.
Replica SYSVOL	Il dominio non deve usare FRS. Se FRS è ancora attivo, migrare a DFSR prima di introdurre DC 2019/2022.	Obbligatorio: vedere sezione “Migrazione SYSVOL”.
DNS e NTP	DNS integrato in AD e risoluzione forward/reverse funzionante; sincronizzazione oraria coerente (Kerberos è sensibile allo skew).	Definire source of truth NTP e firewall rules.
Sicurezza	Controllare antivirus/EDR compatibile con DC 2022; hardening baseline (STIG/CIS) pianificata.	Evitare esclusioni che impattano SYSVOL/NTDS.
Backup	Backup a caldo di System State e SYSVOL dei DC 2012 R2; test di ripristino.	Conservare almeno due catene di backup.
Rete e porte	Aprire le porte necessarie tra DC e membri (LDAP 389/636, Kerberos 88, DNS 53, RPC 135 + dinamiche, SMB 445, etc.).	Stabilire classi RPC dinamiche coerenti (registri/freenas).
Ruoli correlati	Valutare impatti su CA (AD CS), DHCP, WSUS, ADFS/SSO, File/Print, RDS.	Pianificare migrazioni coordinate.

Checklist pre‑migrazione (consigliata)

Inventario completo di utenti, gruppi, computer, server con attributi chiave (UPN, sAMAccountName, membership, deleghe).
Mappatura dipendenze applicative (LDAP bind, Kerberos/SPNEGO, LDAP over SSL/TLS, claim/ADFS, GMSA).
Stato salute AD: repadmin e dcdiag senza errori; assenza di lingering objects; tombstone lifetime standard.
Stato GPO: backup, reporting, identificazione di GPO orfane o conflittuali.
Valutazione Azure AD Connect se ambiente ibrido: regole di sincronizzazione, anchor, re‑targeting dopo migrazione.
Definizione piano di rollback con criteri di exit chiari (go/no‑go).

Fasi operative – scenario cross‑forest con ADMT

Questo percorso è ideale quando vuoi riprogettare struttura, convenzioni di naming e policy, o quando la foresta esistente presenta problemi storici.

Preparazione architetturale

Progetta OU e GPO nel nuovo forest 2022. Prepara una struttura ordinata (Device/User/Server, Scope‑of‑Management, Deleghe di amministrazione) e import di GPO selezionati (evita lift‑and‑shift indiscriminato).
Crea la nuova foresta e il primo DC 2022 (Install‑ADDSForest o wizard). Se richiesto, esegui adprep direttamente dal media di 2022 sullo schema di destinazione (Schema Master) per abilitare nuove classi/attributi.
DNS integrato in AD nel forest di destinazione, zone create e repliche in salute; valuta stub/conditional forwarder verso la foresta di origine.

Trust e sIDHistory

Configura un trust bidirezionale forest‑to‑forest (autenticazione forest‑wide). Usa netdom o strumenti AD:

netdom trust &lt;ForestDest&gt; /domain:&lt;ForestOrig&gt; /twoway /add /forest
netdom trust &lt;ForestDest&gt; /domain:&lt;ForestOrig&gt; /quarantine:No /enablesidhistory:Yes

Il parametro /quarantine:No disabilita il SID filtering per consentire la copia di sIDHistory, utile a preservare l’accesso a risorse legacy durante la transizione.

Installazione ADMT e Password Export Server

ADMT sul lato destinazione (server membro 2022). Richiede SQL Express o istanza SQL esistente.
Password Export Server (PES) sul PDC Emulator del dominio di origine per migrare le password:
1. Genera la chiave di cifratura su ADMT.
2. Installa PES sul DC di origine, importa la chiave, avvia il servizio.
3. Concedi i diritti necessari all’account di servizio ADMT per leggere le password.

Sequenza di migrazione con ADMT

Pre‑test su un’OU pilota: migra 10–20 account utente/gruppo non critici, verifica login, accesso a file share e app.
Migrazione gruppi: prima i gruppi di sicurezza (globali, poi universali), quindi quelli distribuzione. Mantieni membership e sIDHistory.
Migrazione utenti: utilizza password migration via PES. Imposta UPN suffix coerenti; valuta rinominare UPN/campo displayName secondo nuovi standard.
Migrazione computer/server: esegui agent ADMT sui client/servers di origine per il rejoin trasparente al nuovo dominio (con profilo locale preservato).
Migrazione risorse:
- File server: sposta dati con robocopy preservando ACL (vedi esempio più sotto).
- Stampanti: usa Printbrm.exe per esportare/importare code e driver.
- App: re‑point connection string/LDAP bind verso il nuovo dominio.
Testing e validazione: login interattivi, accesso app, DFS Namespace, mapping unità, log GPO applicati, ticket Kerberos (klist).
Switch‑over graduale per ondate; mantieni il trust finché tutte le app e i file server non hanno migrato ACL e riferimenti.
Decommissioning: rimuovi trust, dismetti i DC di origine dopo periodo di stabilizzazione (≥ due cicli di patching).

Variante same‑forest (migrazione in‑place nella stessa foresta)

Approccio rapido quando non devi cambiare il nome del dominio o la struttura logica in modo radicale.

Backup completo di System State e SYSVOL dei DC 2012 R2.
Estensione schema con adprep /forestprep (Schema Master) e adprep /domainprep (su ciascun dominio) usando il media di Windows Server 2022.
Aggiunta DC 2022 al dominio esistente: Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSDomainController -DomainName "contoso.local" -InstallDns
Replica: attendi convergenza, verifica con repadmin e dcdiag.
Trasferimento FSMO al DC 2022: Move-ADDirectoryServerOperationMasterRole -Identity DC2022 ` -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster
Controlli post‑trasferimento (DNS, Kerberos, time‑sync, GC) e poi demozione dei DC 2012 R2.
Livelli funzionali: valuta l’aumento di Forest Functional Level e Domain Functional Level per abilitare funzionalità moderne.

Migrazione SYSVOL a DFSR (se necessario)

Se la tua storia include DC Windows Server 2003, potresti ancora avere FRS attivo. Windows Server 2022 non consente DC in domini che usano FRS: migra SYSVOL a DFSR prima di promuovere i nuovi DC.

Verifica stato: dfsrmig /getglobalstate dfsrmig /getmigrationstate
Esegui migrazione in tre step (attendi “consistenza” a ogni passaggio): dfsrmig /setglobalstate 1  dfsrmig /setglobalstate 2  dfsrmig /setglobalstate 3 
Monitora Event Viewer (DFS‑R) e verifica con net share che SYSVOL punti a \Domain System Volume\SYSVOL_DFSR.

Verifiche tecniche essenziali

Stato replica e salute AD

repadmin /replsummary
repadmin /showrepl * /csv
dcdiag /v /c /e

Ruoli FSMO e GC

netdom query fsmo
Get-ADForest | Select-Object SchemaMaster,DomainNamingMaster
Get-ADDomain | Select-Object RIDMaster,InfrastructureMaster,PDCEmulator
Get-ADDomainController -Filter * | Where-Object {$_.IsGlobalCatalog}

DNS e Kerberos

Resolve-DnsName ldap.tcp.dc._msdcs.contoso.local
klist get krbtgt/contoso.local
w32tm /query /status

ACL e file server (conservando permessi)

robocopy \\oldfs\share \\newfs\share /MIR /COPYALL /R:1 /W:1 /LOG:c:\logs\robocopy.txt

Tabella porte di rete minime per AD

Servizio	Porte	Uso
DNS	53 TCP/UDP	Risoluzione nomi e SRV records
Kerberos	88 TCP/UDP	Autenticazione
LDAP / LDAPS	389 TCP/UDP, 636 TCP	Directory e bind sicuri
Global Catalog	3268, 3269 TCP	Query GC
RPC Endpoint Mapper	135 TCP	Negoziazione RPC
RPC dinamiche	49152–65535 TCP	Replica AD, DFS‑R, etc.
SMB	445 TCP	SYSVOL, script di accesso
W32Time	123 UDP	NTP

Processo operativo consigliato (cross‑forest con ADMT)

Replica o redesign OU/GPO sul forest 2022 (import selettivo da backup GPMC; elimina GPO obsolete e centralizza i template ADM/ADMX).
Selezione oggetti da migrare (inclusi attributi da escludere: homeDirectory, scriptPath, etc.). Usare collezioni/pacchetti per ondate.
Creazione foresta e primo DC 2022 con eventuale adprep /forestprep.
Trust forest‑to‑forest + sIDHistory (disabilita SID filtering come mostrato).
Migrazione utenti e gruppi con ADMT (priorità ai gruppi di sicurezza). Trasferisci SID nella sIDHistory per garantire l’accesso a risorse legacy.
Migrazione applicazioni e dati: installa controparti sul nuovo dominio, poi sposta DB/file; aggiorna SPN e principal name di servizio dove necessario.
Testing e validazione (replica AD, accesso utenti, login applicazioni, DNS, GPO, DFS‑N, RADIUS/802.1X se presente).
Switch‑over graduale degli utenti e dei servizi; mantieni il trust fino a completa migrazione.
Pulizia e decommissioning del vecchio forest: disjoin server, rimuovi trust, demoti DC 2012 R2, aggiorna documentazione.

Focus: migrazione in‑place (same‑forest) in dettaglio

Passaggi chiave

Backup + ripristino provato prima di ogni modifica.
adprep eseguito dal media 2022 su Schema Master e Domain Naming Master.
Promozione DC 2022 con ruolo DNS/GC dove opportuno; attendi replica completa.
Trasferimento FSMO e verifica.
Validazioni: test ticket Kerberos, autenticazioni NTLM residue, risoluzione SRV, applicazione GPO (gpresult), DFSR e SYSVOL.
Demozione DC 2012 R2 con rimozione pulita di metadati (NTDS Settings, rimozione record DNS orfani).
Alzare livelli funzionali solo quando tutti i DC più vecchi sono fuori (irreversibile).

Considerazioni su ruoli e integrazioni

Ruolo/Componente	Azioni	Note
AD CS (Certificate Services)	Esegui backup chiavi CA, database e template; valuta nuova CA su 2022 e migrazione certificati/CRL.	Attenzione a CDP/AIA, autoenrollment e permessi su template.
DHCP	Esporta scope da 2012 R2 e importa in 2022; aggiorna autorizzazione in AD.	`Export-DhcpServer` / `Import-DhcpServer`.
WSUS	Nuova istanza o upgrade; ripunta GPO “Specify intranet Microsoft update service location”.	Ricontrolla filtri WMI delle GPO.
File/Print	Replica dati con robocopy; migra code di stampa con `Printbrm`.	Preserva ACL; re‑map degli UNC nelle GPP.
ADFS/SSO	Pianifica cutover dei relaying party; aggiorna certificati e endpoints.	Valuta passaggio a OpenID Connect/Entra ID dove possibile.
Azure AD Connect	Riallaccia la sincronizzazione al nuovo dominio/forest; rivedi anchor (objectGUID).	Pianifica finestra con blocco export verso cloud per evitare duplicati.

Governance, sicurezza e conformità

Hardening: applica baseline (es. CIS) per DC 2022; rivedi diritti SeDebugPrivilege, auditing avanzato, protezione LSASS, SMB signing.
Deleghe: adotta modello tiered (Tier 0/1/2), ruoli locali e PIM/Just‑In‑Time per amministratori.
Logging: inoltra eventi critici (Directory‑Service, DNS‑Server, DFS‑R, Security) a un SIEM; attiva Protected Users e Authentication Policies ove applicabile.

Test di validazione: checklist pratica

Convergenza replica AD e DFSR senza errori.
Record SRV corretti per ogni DC e sito AD; risoluzione ldap.tcp, kerberos.tcp.
Login utenti da sedi remote, latenza accettabile con Site‑Links corretti.
Applicazione GPO attese (gpresult /r), nessun access denied in Event Viewer.
Kerberos funzionale: klist mostra ticket krbtgt del nuovo dominio; SPN duplicati rimossi.
Accesso a file share e app legacy con sIDHistory (cross‑forest).
Backup/Restore AD testato su DC 2022 (almeno un ripristino bare‑metal in lab).

Piano di rollback

Conserva snapshot/config dei DC 2012 R2 fino a chiusura progetto + periodo di garanzia.
Se riscontri errori bloccanti dopo l’introduzione dei DC 2022, puoi:
- Ripristinare System State dei DC precedenti (solo se necessario e coordinato).
- Riportare i ruoli FSMO ai DC stabili.
- Nel cross‑forest, tornare all’autenticazione sul dominio di origine finché le correzioni non sono deployate.
Mantieni un change log dettagliato con timestamp di ogni step per tracing.

Troubleshooting: errori comuni e rimedi

Problema	Causa probabile	Risoluzione
Impossibile promuovere DC 2022	Schema non aggiornato o SYSVOL ancora FRS	Esegui `adprep` dagli strumenti 2022; completa migrazione DFSR.
Login lenti o GPO non applicate	DNS errato, replica DFSR in ritardo	Correggi forwarders/conditional; verifica `dfsrmig /getmigrationstate` e eventi DFS‑R.
Accesso negato a share dopo migrazione cross‑forest	ACL che puntano a SID del vecchio dominio	Assicurati che gli utenti migrati abbiano sIDHistory e che la risorsa non filtri SID.
Conflitti SPN e ticket Kerberos	SPN duplicati o non aggiornati su account servizio	Rimuovi duplicati (`setspn -X`), rigenera SPN corretti, pulisci cache ticket (`klist purge`).
Errori ADMT con computer account	Firewall locale, agent non installato, servizi disabilitati	Apri RPC/SMB, esegui come admin locale, verifica servizi Remote Registry e Server attivi.
Clock skew > 5 minuti	NTP non allineato	`w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.pool.org" /update` e `w32tm /resync`.

Esempi di comandi utili

Installare AD DS e promuovere un nuovo DC 2022

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -DomainName "contoso.local" -InstallDns -NoGlobalCatalog:$false

Verificare la replica e lo stato dei siti

repadmin /showrepl
Get-ADReplicationSiteLink -Filter * | ft Name,Cost,ReplicationFrequencyInMinutes

Esportare e importare DHCP

Export-DhcpServer -ComputerName OLD-DHCP -Leases -File C:\temp\dhcp.xml
Import-DhcpServer -ComputerName NEW-DHCP -Leases -File C:\temp\dhcp.xml -BackupPath C:\temp

Backup e restore GPO

Backup-GPO -All -Path \\fileserver\gpo_backup
Restore-GPO -Name "Baseline-Workstations" -Path \\fileserver\gpo_backup

FAQ rapide

Posso migrare direttamente da 2012 R2 a 2022?
Sì. Nel same‑forest aggiungi DC 2022 e rimuovi gradualmente i 2012 R2. Nel cross‑forest usi ADMT + trust forest‑to‑forest.

Serve ADMT anche nel same‑forest?
No. ADMT è per migrazioni cross‑forest (o cross‑domain) quando devi spostare SID/identità tra domini differenti.

Devo alzare i livelli funzionali subito?
No. Fallo solo quando non ci sono più DC legacy e hai convalidato compatibilità applicativa.

Quanto dura la coesistenza?
Dipende da numero di applicazioni e dati. Mantieni il trust (cross‑forest) finché ogni app è ripuntata e le ACL sono aggiornate.

Come gestire ambienti ibridi con Azure AD?
Pianifica il re‑targeting di Azure AD Connect verso il nuovo dominio/forest, rivedi regole di sync e filtri OU, e gestisci con cura la fase di export per evitare duplicati.

Conclusioni

La migrazione da Windows Server 2012 R2 a Windows Server 2022 è un’opportunità per modernizzare sicurezza, governance e automazione. Scegli l’approccio adeguato (same‑forest se vuoi velocità e continuità; cross‑forest se vuoi riprogettare), prepara i prerequisiti (schema, DNS, DFSR, porte, backup) e segui una sequenza rigorosa con test e rollback definiti. Con questa guida e i comandi forniti, potrai eseguire una migrazione sicura, verificabile e documentata.

Riepilogo operativo essenziale

Same‑forest: backup → adprep → aggiungi DC 2022 → trasferisci FSMO → valida → demoti 2012 R2 → (opz.) alza livelli funzionali.
Cross‑forest: progetta OU/GPO → crea foresta 2022 → trust e sIDHistory → ADMT (gruppi → utenti → computer) → migra dati/app → valida → switch‑over → decommissioning.
Sempre: monitora Event Viewer (Directory‑Service, DNS‑Server, DFS‑R), documenta e mantieni un piano di rollback.

Con questi prerequisiti e questa sequenza, la migrazione è pienamente supportata e realizzabile in sicurezza, bilanciando tempi, rischi e obiettivi di modernizzazione.

Appendice: comandi “one‑liners” rapidi

# Stato DC e servizi
Get-ADDomainController -Filter * | ft HostName,Site,OperatingSystem,IsGlobalCatalog,IPv4Address

DC in errore (semplificato)

repadmin /replsummary | findstr /i "fails"

Validare SRV records chiave

Resolve-DnsName kerberos.tcp.dc._msdcs.contoso.local

Ricerca SPN duplicati

setspn -X

Forzare polling DFSR (replica SYSVOL)

dfsrdiag pollad

Risposta e soluzione sintetica

Prerequisiti: pianificazione, hardware adeguato, compatibilità sw, strumenti (adprep/ADMT), permessi, DFSR per SYSVOL, DNS/NTP, sicurezza e backup.
Fasi cross‑forest: replica/ridesign OU+GPO → trust con sIDHistory → ADMT (utenti/gruppi/computer) → migrazione app/dati → validazione → switch‑over → decommissioning.
Variante same‑forest: backup → adprep → aggiungi DC 2022 → trasferisci FSMO → verifica Kerberos/DNS/replica → demoti 2012 R2 → alza livelli funzionali se richiesto.
Best practice: test di ripristino, finestre di manutenzione, monitoraggio log, aggiornamento ruoli dipendenti (CA, DHCP, WSUS), documentazione.

Tabella riassuntiva prerequisiti chiave (come da risposta)

Area	Cosa occorre verificare / preparare	Note operative
Pianificazione	Definire obiettivi, ambito, timeline, piano di rollback.	Coinvolgere tutti gli owner di applicazioni critiche.
Hardware	Il nuovo server 2022 deve disporre di CPU, RAM, storage e ridondanza adeguati al carico AD.	Verificare compatibilità firmware/driver.
Compatibilità software	Controllare che applicazioni, agent e appliance che dipendono da AD supportino livello di schema 2022.	Aggiornare o sostituire sw non compatibile.
Strumenti di migrazione	Same‑forest: strumenti nativi (adprep, promozione DC, trasferimento FSMO). Cross‑forest: ADMT ≥ v3.2.1.	Test in lab; abilitare sIDHistory dove serve.
Autorizzazioni	Enterprise/Schema Admin (forestprep), Domain Admin (promozione DC), Local Admin sul nuovo host.	Account di servizio dedicati per ADMT.

Nota operativa: nei sistemi moderni il vecchio comando dcpromo è stato sostituito dal wizard “Active Directory Domain Services Configuration” e dai cmdlet PowerShell (Install-ADDSForest, Install-ADDSDomainController).

Call‑to‑action: prepara un lab che replica gli elementi essenziali (DNS, un PDC, 2–3 GPO critiche, un file share tipico) e prova l’intero flusso di migrazione in piccolo. Se passa, industrializza gli stessi script in produzione.