Click here to load reader
Upload
michel-de-crevoisier
View
118
Download
4
Embed Size (px)
DESCRIPTION
Etapes de migration d'un domaine 2008R2 vers 2012 R2
Citation preview
1
Migration d’un domaine
Active Directory 2008 R2
vers 2012 R2 (v1.01)
Tutorial conçu et rédigé par Michel de CREVOISIER (octobre 2015)
SOURCES Gestion des rôles d’opérations :
http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx Localisation et migration des rôles d’opérations :
http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html Liste des commandes Active Directory en PowerShell :
http://technet.microsoft.com/en-us/library/ee617195.aspx
2
INDEX
SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
1. Préparation du schéma et du domaine .............................................................................................. 3
1.1 Mise à jour du schéma ............................................................................................................... 3
1.2 Mise à jour du domaine.............................................................................................................. 4
1.3 Intégration de RODC .................................................................................................................. 5
2. Configuration du nouveau contrôleur ................................................................................................ 6
2.1 Ajout d’un contrôleur de domaine .............................................................................................. 6
3. Bilan de santé de votre domaine ....................................................................................................... 8
3.1 Vérifications .............................................................................................................................. 8
4. Transfert des rôles FSMO .................................................................................................................. 9
4.1 Placement des rôles actuels........................................................................................................ 9
4.2 Configuration du serveur de temps ............................................................................................. 9
4.3 Déplacement des rôles FSMO ..................................................................................................... 9
5. Suppression de l’ancien contrôleur.................................................................................................. 10
6. Augmentation du niveau fonctionnel .............................................................................................. 11
3
1. Préparation du schéma et du domaine
1.1 Mise à jour du schéma
La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs ( introduits dans Windows Server 2012 R2) dans la partition schéma. Il est recommandé d’effectuer cette action sur le
serveur possédant le rôle FSMO « Maitre de schéma ».
1.1.1 Versions du schéma A titre d’information, voici comment connaître la version actuelle du schéma :
Ouvrez la console du registre Allez dans :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters Recherchez la clef Schema Version et comparez sa valeur avec tableau qui suit :
3 : Windows Server 2000 30 : Windows Server 2003
31 : Windows Server 2003 R2 44 : Windows Server 2008
47 : Windows Server 2008 R2 69 : Windows Server 2012 R2
1.1.2 Désactivation de la réplication Avant de mettre à jour le schéma, il est nécessaire de désactiver la réplication du contrôleur de domaine : repadmin /options <nom DC> +DISABLE_INBOUND_REPL
1.1.3 Mise à jour du schéma
Copiez ensuite le dossier « adprep » situé sur le DVD de Windows Server 2012 R2 (dans D:\support) sur votre futur nouveau contrôleur de domaine et exécutez la commande suivante :
adprep.exe /forestprep
4
Une fois l’opération terminée, vérifiez que la mise à jour a bien fonctionné en reproduisant la
procédure du point 1.1.1.
1.1.4 Réactivation de la réplication
N’oubliez pas de relancer la réplication : repadmin /options <nom DC> -DISABLE_INBOUND_REPL
1.2 Mise à jour du domaine
Cette étape consiste à préparer le domaine afin de recevoir des contrôleurs de domaines sous
Windows Server 2012 R2. Pour cela, exécutez la commande suivante : adprep.exe /domainprep
5
1.3 Intégration de RODC
Afin de préparer votre domaine à recevoir de futurs contrôleurs de domaine en lecture seule (RODC), exécutez la commande suivante :
adprep /rodcprep
6
2. Configuration du nouveau contrôleur
2.1 Ajout d’un contrôleur de domaine Maintenant que votre domaine est prêt à accueillir un contrôleur sous Windows Server 2012 R2, nous allons pouvoir en intégrer un. Pour cela :
Choisissez ensuite l’option ci-dessous :
Indiquez ensuite le nom et les identifiants d’administrateur associés au domaine à migrer :
Si tout est correct, l’écran suivant apparait :
7
Le message ci-dessous peut apparaître si vous n’avez pas préparé le domaine à recevoir des
contrôleurs en lecture seule (point 1.5). Cliquez sur YES
Sélectionnez ensuite les rôles à installer (DNS et Catalogue global) :
8
3. Bilan de santé de votre domaine A COMPLETER
3.1 Vérifications
Avant de poursuivre, vérifiez les points suivants : Présence des consoles Active Directory et DNS
Présence des deux contrôleurs de domaine dans l’UO Domain Controllers
Présence des répertoires :
o C:\Windows\SYSVOL\sysvol\[domaine]\scripts o C:\Windows\SYSVOL\sysvol\[domaine]\policies
Présence des partages NETLGON et SYSVOL via la commande net share
Attention ! Pour les deux points précédents, les éléments peuvent tarder à apparaître !
Exécutez la commande dcdiag et vérifiez qu’il n’y pas d’erreurs, notamment au niveau du RPC. Par ailleurs, il peut s’avérer nécessaire de redémarrer l’ancien serveur.
9
4. Transfert des rôles FSMO Nous allons maintenant procéder au transfert des rôles FSMO. Si vous souhaitez avoir plus d’informations concernant ces rôles, vous pouvez consulter mon tuto intitulé « Les rôles de maître d’opération ».
4.1 Placement des rôles actuels
Pour connaître le placement actuel des rôles FSMO au sein de votre forêt/domaine : Get-ADForest | Select SchemaMaster, DomainNamingMaster | Format-List
Get-ADDomain | Select PDCEmulator, RIDMaster, InfrastructureMaster | Format-List
4.2 Configuration du serveur de temps Avant de procéder à la migration desdits rôles, il est nécessaire de déclarer votre nouveau contrôleur
de domaine en tant que serveur de temps principal.
4.2.1 Annonce d’un nouveau serveur de temps
Commencez par annoncer sur votre nouveau contrôleur de domaine un nouveau serveur « maître » de temps en indiquant un serveur NTP correspondant à votre localisation (liste) : w32tm.exe /config /manualpeerlist:<NTP server> /syncfromflags:manual /reliable:yes /update Redémarrez ensuite le service de temps du serveur en question :
net stop w32time net start w32time
4.2.2 Désactivation du temps sur l’ancien serveur Une fois le nouveau serveur de temps annoncé, il est nécessaire de dé-provisionner l’ancien : w32tm.exe /config /syncfromflags:domhier /reliable:no /update Redémarrez ensuite le service de temps du serveur en question : net stop w32time net start w32time
4.2.3 Vérification de la synchronisation horaire
Vous pouvez à tout moment vérifier l’état de la synchronisation horaire : w32tm /resync /rediscover w32tm /query /status
4.3 Déplacement des rôles FSMO Vous pouvez ensuite procéder à la migration des rôles FSMO (source) :
Move-ADDirectoryServerOperationMasterRole -Identity “Target-DC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator
10
5. Suppression de l’ancien contrôleur Maintenant que le nouveau serveur est prêt, il est temps de supprimer l’ancien. Pour cela : A COMPLETER
11
6. Augmentation du niveau fonctionnel Maintenant que votre nouveau domaine est prêt, nous allons pouvoir augmenter son niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2012 R2. Import-Module ActiveDirectory Augmentation du niveau du domaine : Set-ADDomainMode -Identity <domaine> -DomainMode Windows2012R2Domain
Faites de même pour le niveau fonctionnel de la forêt : Set-ADForestMode -Identity <domaine > -ForestMode Windows2012R2Forest
N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : m . decrevoisier Â-R-Ô-B-Â-5 outlook . com
Soyez-en d’ores et déjà remercié