Etape de la migration d'un domaine AD vers 2008

 

Etape clé de la migration :

- Vérifier l'état de son domaine

Un point important de la migration est de s'assurer du bon fonctionnement de l'AD avant la migration. Je lis des fois dans des forums des administrateurs qui veulent migrer leur domaine vers de nouveaux DC, car ils ont un souci dans l'Active Directory. Ce n'est pas un très bon choix. La migration des rôles DC ne résout que rarement des problèmes, en tout cas je n'en ai pas encore vu. Il est important de migrer un domaine en bonne santé. Pour cela : - des outils tels que Dcdiag, Repadmin, dnslint permettent de vérifier l'état de son domaine. - la console « Site et Service Active Directory » permet de vérifier rapidement l'état de la réplication (tout comme repadmin) - l'observateur d’évènement donne de bonnes indications en générale en cas d'anomalies (une surveillance régulière est utile).

- Planifier la migration de son domaine

Lien

- Mise à jour du schéma et des partitions Active Directory

http://technet.microsoft.com/en-us/library/cc731728(v=ws.10).aspx Exemple : http://pbarth.fr/node/38

 

- Préparation du serveur

Installation et mise à jour du système, configuration réseau (le dns primaire doit impérativement être celui de d’un DC valide) et ce même si ce nouveau serveur sera aussi DNS. http://technet.microsoft.com/fr-FR/library/cc753439.aspx

- Installation du rôle "Active Directory Domain Services" sur le nouveau serveur

Exemple : http://pbarth.fr/node/43 Sur les serveurs à partir de Windows 2008, il faut installer le rôle « Active Directory Domain Services », avant de faire le dcpromo.

- Installation des services AD (Dcpomo.exe)

Exemple : http://pbarth.fr/node/76

- Validation de la réplication

http://technet.microsoft.com/fr-fr/library/cc770963(v=ws.10).aspx Exemple d'élément à surveiller :

http://pbarth.fr/node/14

- Gestion des sites et de la topologie de réplications

http://technet.microsoft.com/fr-fr/library/cc731907.aspx

- Gestion des catalogues globaux et des maîtres d’opération

http://technet.microsoft.com/fr-fr/library/cc730749(v=ws.10).aspx Exemple de transfert des rôles de maître d'opérations par l'assistant graphique : http://pbarth.fr/node/79

- Gestion de la synchronisation des horloges

 

Dans une forêt AD il est nécessaire de synchroniser les horloges. Un problème de décalage des horloges peut entrainer des erreurs notamment avec l’authentification. Les recommandations sont de synchroniser le DC du domaine racine de la forêt qui détient le rôle FSMO « émulateur PDC » avec une source de confiance. Les PDC des domaines enfants se synchronisent sur celui-ci. Les autres DC se synchronisent automatiquement avec le DC du domaine qui a le rôle d’émulateur PDC. Les membres du domaine se synchronisent sur les DC.

 http://pbarth.fr/node/87

http://technet.microsoft.com/fr-fr/library/cc731191(v=ws.10).aspx

- Gestion des redirecteurs DNS

Afin d'assurer le fonctionnement des services vers Internet (navigation, messagerie ...), il est nécessaire de garantir que les résolutions de nom fonctionneront après la suppression des anciens serveurs. Il existe des cas ou ce point n'est pas critique comme par exemple avec un serveur Proxy. Par contre si vous utilisez une forêt multi-domaines, ou dans le cas de relations d'approbations avec d'autres domaines il vous faudra configurer les redirecteurs DNS . Une des nouveautés introduites avec Windows 2008 est l'utilisation de redirecteurs conditionnels qui peuvent être stocké dans l'AD. Vous n'êtes donc pas obligés de configurés les redirecteurs DNS sur chaque serveur.

- Basculement des serveurs DNS sur les clients et serveur membres (IP Fixe ou DHCP)

Il est recommandé avant le basculement des clients sur les nouveaux DC, d’observer une surveillance sur quelques jours des DC et de la réplication. Certaines erreurs ne sont pas visiblement directement après la fin de l’utilisation de l’assistant DCPromo.

- Basculement des applications utilisant Ldap

Par exemple : 

- des copieurs avec des options de scanneur o des bornes Wifi avec une authentification Radius

- des applications utilisant le SSO ou des requêtes LDAP

 

- Rétrogradation des anciens DC

De même que pour l’étape précédente, il est préférable d’attendre un peu avant de supprimer les anciens DC. Il est à noter qu’un contrôleur de domaine doit forcément être rétrogradé avant son extinction définitive. Dans le cas contraire il est nécessaire d’effectuer un nettoyage manuel des métadonnées AD ainsi que la purge des zones DNS.

Dans tout les cas il ne faut pas redémarrer un DC n’ayant pas répliqué ces données depuis un long moment (voir tombstoneLifetime) http://technet.microsoft.com/fr-fr/library/cc770963(v=ws.10).aspx ID d'événement 2042 : Trop de temps s'est écoulé depuis la dernière réplication de cet ordinateur

Il est également préférable de ne pas rétrograder tous les anciens DC en même temps, de vérifier la réplication et surtout la topologie de réplication. Rétrograder plusieurs DC en même temps pourrait casser la cohérence de la topologie de réplication. Afin que la rétrogradation se passe bien, il faut garantir que chaque ancien DC a un DNS valide dans sa configuration réseau. Hors si vous n’avez pas modifié la configuration réseau, il utilise peut être encore les anciens DC. Pour ne pas être gêné modifier la configuration DNS dans TCP/IP, pour mettre les nouveaux serveurs DNS. Utiliser l’assistant DCPromo pour rétrograder le serveur. Attention si vous cocher la case que le DC est le dernier du domaine, le domaine entier sera supprimé. Exemple de dcpromo pour rétrograder un DC sous windows 2003 R2 :

http://pbarth.fr/node/95

Selon les cas :

- Augmentation du niveau fonctionnel de la forêt et du domaine Exemple avec powershell : http://pbarth.fr/node/81

- Activation de la corbeille AD 2008R2 Technet : Corbeille Active Directory Exemple d'activation de la corbeille AD : http://pbarth.fr/node/12

- Migration Sysvol NTFRS vers DFS-R http://www.microsoft.com/en-us/download/details.aspx?id=4843 Le lien ci joint http://pbarth.fr/node/75 montre un exemple de migration SYSVOL de la réplication NTFRS vers DFS-R Note : Il ne faut pas négliger les étapes de la sauvegarde du domaine et de l’état du système des DC.

Un test de restauration dans un « lab » est une bonne méthode pour se préparer et valider ses sauvegardes. Autre point souvent oublié la gestion du nettoyage des zones DNS ...

Tags: 

Commentaires

Re : lien mort

Merci pour votre retour. J'ai modifié les liens.
Le site a l'origine était hébergé chez Free. Free a brutalement décidé de le supprimer. Lors de la mise en place de ce site il est possible que quelques liens ont été oubliés.