Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.
Si l’apparence a pas mal évolué, le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.
Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :
La première nouveauté que nous allons rencontrer est la console « gestionnaire de serveurs » qui permet de gérer l’ensemble des serveurs.
Si l’on combine le gestionnaire de serveurs et la capacité de basculer d’une installation minimale (Server Core) vers une installation complète (outils graphiques) il n’est plus utile de laisser les consoles graphiques partout et d’avoir des sessions ouvertes oubliées un peu partout.
Il est également possible de contrôler certains éléments de serveur sous Windows 2003 et 2008 par l’intermédiaire du gestionnaire de serveur de Windows 2012.
Pour cela il faut installer Windows Remote Management (WinRM 3.0).
L’ajout de rôle reste limité aux serveurs Windows 2012. Pour plus de détail : http://technet.microsoft.com/fr-fr/library/hh831456.aspx#BKMK_1_1
Le deuxième élément à noter est qu’il n’est plus nécessaire de mettre à jour le schéma Active Directory à l’aide d’Adprep avant de configurer le premier DC en Windows 2012.
En effet si l’outil Adprep existe toujours celui-ci est automatiquement exécuté si le schéma n’est pas à jour, lors de la configuration du premier DC.
L’opération est lancée depuis le nouveau serveur par l’assistant de configuration. Il faut donc autoriser WMI dans le Pare-feu de Windows de l’ancien DC qui dispose des rôles FSMO dont le maître de schéma, sinon l’opération peut finir avec une erreur : serveur RPC indisponible.
Pour Windows Server 2008 ou version ultérieure :
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
Pour Windows Server 2003 :
netsh firewall set service RemoteAdmin enable
Pour informations les versions de schéma sont :
13=Microsoft Windows 2000
30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
31=Microsoft Windows Server 2003 R2
44=Microsoft windows Server 2008
47=Microsoft windows Server 2008 R2
56=Microsoft Windows Server 2012
69= Microsoft Windows Server 2012 R2
Il est possible de vérifier la version du schéma depuis une invite de commande par dsquery :
dsquery * cn=schema,cn=configuration,dc=mondomaine,dc=local -scope base -attr objectversion
Il est aussi possible de retrouver la valeur dans le registre Windows d’un DC dans la valeur « schema version » de la clé
« HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters ».
Comme pour les versions antérieures L’utilisateur doit être membre du groupe « admins du domaine » lors de l’ajout d’un DC dans un domaine existant, administrateurs de l’entreprise lors de l’ajout d’un domaine à une forêt existante et enfin administrateur local lors de la création d’une nouvelle forêt.
Puisque nous sommes aux paragraphes des nouveautés des DC en Windows 2012, un élément à ne pas oublier et le support en environnement virtuel. Jusque-là, la virtualisation des DC nécessité certaines précautions.
Non par ce que les DC ne supportent pas le virtuel en soi, mais car la virtualisation introduit certain outils comme les « snapshot » qui permet de revenir en arrière et peut poser pas mal de problème avec la réplication AD.
La nouveauté dans 2012 est la prise en charge de ces avantages de la virtualisation. Cette nouveauté en amène une autre qui est le clonage de DC pour faciliter le déploiement.
Vous trouverez dans le lien suivants des éléments supplémentaires :
http://technet.microsoft.com/library/hh831734.aspx
http://technet.microsoft.com/en-us/library/jj574214.aspx
Il est à noter que ce mécanisme est également pris en charge dans VMware à partir de la version 5.0 Update 2 :
http://blogs.vmware.com/apps/2013/01/windows-server-2012-vm-generation-i...
Prérequis
Au niveau de l’environnement server il n’y a pas de prérequis supplémentaire au prérequis déjà existant sur Windows server 2012. Le lien suivant vous donne la configuration matérielle minimale supportée :
http://technet.microsoft.com/library/jj134246.aspx .
Il faut juste préciser que pour les structures assez importantes il peut être avantageux d’augmenter la mémoire entre autre sur les DC qui ont la fonction de catalogue global. Sinon pour un contrôleur de domaine qui n'a pas d'autre rôle 2Go de mémoire et au moins 40Go de disques sont suffisant.
En cas de doute lisez en détail l’article
http://technet.microsoft.com/fr-fr/library/jj651019.aspx#BKMK_Planning.
Pour installer un contrôleur de domaine Windows 2012, le niveau fonctionnel de la forêt doit être au moins en Windows 2003.
Donc si vous avez encore des contrôleurs de domaines en Windows 2000, la migration en 2012 ne pourra être faite directement.
Etape clé
· Vérifier l’état de son domaine
Au minimum un dcdiag, repadmin , suivie d’un contrôle des éventuels erreurs dans l’observateur d’événement. Vérifiez également les sauvegardes de l'état du système de vos DC.
Préparez également les informations concernant les redirecteurs DNS à mettre en œuvre, les approbations à valider etc …
· Préparation du serveur
Cette étape consiste à installer Windows 2012 server, à configurer la partie réseau et à intégrer le serveur au domaine.
A vous de voir si vous souhaitez mettre des DC en mode « server core ».
Installation en mode graphique : http://pbarth.fr/node/83
Installation en mode minimale : http://pbarth.fr/node/85
Installation du rôle "Active Directory Domain Services" sur le nouveau serveur http://pbarth.fr/node/84
· configuration des services AD : http://pbarth.fr/node/90
Windows 2012 a signé la fin de Dcpromo qui nous a accompagnés depuis Windows 2000. Il est remplacé par l’assistant de configuration des services Active Directory. En cas de problème lors de la configuration vous pouvez rechercher des erreurs dans les fichiers log (devinez quel nom porte le fichier ? dcpromo.log ! ) :
• %systemroot%\debug\dcpromo.log
• %systemroot%\debug\dcpromoui.log
• %systemroot%\debug\adprep\logs
• %systemroot%\debug\netsetup.log (if server is in a workgroup)
· Validation de la réplication
· Vérification de l'état des DC avec DCdiag après 24h (un DC promu demande un redémarrage. Au redémarrage des erreurs de l'observateur d'événement apparaissent du fait que la réplication initial n'est pas encore exécuté, DCdiag analyse les erreurs sur 24h).
· Gestion des sites et de la topologie de réplications
· Gestion des catalogues globaux : http://pbarth.fr/node/6
· Gestion des maîtres d’opération : http://pbarth.fr/node/79
· Gestion de la synchronisation des horloges : http://pbarth.fr/node/87
· Gestion des redirecteurs DNS
· Basculement des serveurs DNS sur les clients et serveur membres (IP Fixe ou DHCP)
· Basculement des applications utilisant Ldap
· Rétrogradation des anciens DC
Commentaires
Merci
Probleme DCPROMO
RE : Probleme DCPROMO
charl******@laposte.net
L'IPV6 est désactivé sur les
L'IPV6 est désactivé sur les 2 serveurs.
Il n'est pas recommandé de désactiver l'IPV6.
L'ancien serveur (en attente de dcpromo) a comme DNS le serveur 2012 et 8.8.8.8
Il est préférable en attendant d'utiliser l'ancien serveur qui est opérationnel comme DNS primaire sur les 2 serveurs.
Il n'est pas recommandé d'utiliser les DNS de google comme DNS secondaire, il faut les configurer en tant que redirecteur DNS.
Pourtant il m'est déjà arrivé d'avoir des erreurs DCDIAG avec un serveur 2003 et de ne pouvoir le rétrogradé mais cela ne m'empêche pas de le désactiver du réseau (sans DCPROMO) et nettoyer les sites et serveurs sur mon nouveau Serveur 2012 sans pertes de l'AD
Si vous avez des erreurs dans Dcdiag il faut les coriger, sinon vous risquez de découvrir d'autres problème par après.
Pouvez-vous donner le détail des erreurs ?
Meme probleme
Bonjour,
je n'arrive pas a rétrograder mon ancien serveur.
J'ai des erreurs dans le DCDIAG...mais je ne sais pas comment les résoudre :(
Quelqu'un peut'il m'aider ?
Re : Meme probleme
Bonjour,
Le plus simple est d'ouvrir un post sur technet :https://social.technet.microsoft.com/Forums/fr-fr/home en indiquant vos erreurs.
Cela sera plus interactif et il y a aura plus de personnes pouvant vous aider.
Merci !
J'ai migré sans problème 3 WINDOWS 2008 R2 vers du 2016 (dont un avec 2000 utilisateurs / 900 postes) à l'aide de ta procédure très précise, merci !