1

Migration d’un domaine

Active Directory 2008 R2

vers 2012 R2 (v1.01)

Tutorial conçu et rédigé par Michel de CREVOISIER (octobre 2015)

SOURCES Gestion des rôles d’opérations :

http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx Localisation et migration des rôles d’opérations :

http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html Liste des commandes Active Directory en PowerShell :

http://technet.microsoft.com/en-us/library/ee617195.aspx

2

INDEX

SOURCES ................................................................................................................................................. 1

INDEX ...................................................................................................................................................... 2

1. Préparation du schéma et du domaine .............................................................................................. 3

1.1 Mise à jour du schéma ............................................................................................................... 3

1.2 Mise à jour du domaine.............................................................................................................. 4

1.3 Intégration de RODC .................................................................................................................. 5

2. Configuration du nouveau contrôleur ................................................................................................ 6

2.1 Ajout d’un contrôleur de domaine .............................................................................................. 6

3. Bilan de santé de votre domaine ....................................................................................................... 8

3.1 Vérifications .............................................................................................................................. 8

4. Transfert des rôles FSMO .................................................................................................................. 9

4.1 Placement des rôles actuels........................................................................................................ 9

4.2 Configuration du serveur de temps ............................................................................................. 9

4.3 Déplacement des rôles FSMO ..................................................................................................... 9

5. Suppression de l’ancien contrôleur.................................................................................................. 10

6. Augmentation du niveau fonctionnel .............................................................................................. 11

3

1. Préparation du schéma et du domaine

1.1 Mise à jour du schéma

La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs ( introduits dans Windows Server 2012 R2) dans la partition schéma. Il est recommandé d’effectuer cette action sur le

serveur possédant le rôle FSMO « Maitre de schéma ».

1.1.1 Versions du schéma A titre d’information, voici comment connaître la version actuelle du schéma :

Ouvrez la console du registre Allez dans :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters Recherchez la clef Schema Version et comparez sa valeur avec tableau qui suit :

3 : Windows Server 2000 30 : Windows Server 2003

31 : Windows Server 2003 R2 44 : Windows Server 2008

47 : Windows Server 2008 R2 69 : Windows Server 2012 R2

1.1.2 Désactivation de la réplication Avant de mettre à jour le schéma, il est nécessaire de désactiver la réplication du contrôleur de domaine : repadmin /options <nom DC> +DISABLE_INBOUND_REPL

1.1.3 Mise à jour du schéma

Copiez ensuite le dossier « adprep » situé sur le DVD de Windows Server 2012 R2 (dans D:\support) sur votre futur nouveau contrôleur de domaine et exécutez la commande suivante :

adprep.exe /forestprep

4

Une fois l’opération terminée, vérifiez que la mise à jour a bien fonctionné en reproduisant la

procédure du point 1.1.1.

1.1.4 Réactivation de la réplication

N’oubliez pas de relancer la réplication : repadmin /options <nom DC> -DISABLE_INBOUND_REPL

1.2 Mise à jour du domaine

Cette étape consiste à préparer le domaine afin de recevoir des contrôleurs de domaines sous

Windows Server 2012 R2. Pour cela, exécutez la commande suivante : adprep.exe /domainprep

5

1.3 Intégration de RODC

Afin de préparer votre domaine à recevoir de futurs contrôleurs de domaine en lecture seule (RODC), exécutez la commande suivante :

adprep /rodcprep

6

2. Configuration du nouveau contrôleur

2.1 Ajout d’un contrôleur de domaine Maintenant que votre domaine est prêt à accueillir un contrôleur sous Windows Server 2012 R2, nous allons pouvoir en intégrer un. Pour cela :

Choisissez ensuite l’option ci-dessous :

Indiquez ensuite le nom et les identifiants d’administrateur associés au domaine à migrer :

Si tout est correct, l’écran suivant apparait :

7

Le message ci-dessous peut apparaître si vous n’avez pas préparé le domaine à recevoir des

contrôleurs en lecture seule (point 1.5). Cliquez sur YES

Sélectionnez ensuite les rôles à installer (DNS et Catalogue global) :

8

3. Bilan de santé de votre domaine A COMPLETER

3.1 Vérifications

Avant de poursuivre, vérifiez les points suivants : Présence des consoles Active Directory et DNS

Présence des deux contrôleurs de domaine dans l’UO Domain Controllers

Présence des répertoires :

o C:\Windows\SYSVOL\sysvol\[domaine]\scripts o C:\Windows\SYSVOL\sysvol\[domaine]\policies

Présence des partages NETLGON et SYSVOL via la commande net share

Attention ! Pour les deux points précédents, les éléments peuvent tarder à apparaître !

Exécutez la commande dcdiag et vérifiez qu’il n’y pas d’erreurs, notamment au niveau du RPC. Par ailleurs, il peut s’avérer nécessaire de redémarrer l’ancien serveur.

9

4. Transfert des rôles FSMO Nous allons maintenant procéder au transfert des rôles FSMO. Si vous souhaitez avoir plus d’informations concernant ces rôles, vous pouvez consulter mon tuto intitulé « Les rôles de maître d’opération ».

4.1 Placement des rôles actuels

Pour connaître le placement actuel des rôles FSMO au sein de votre forêt/domaine : Get-ADForest | Select SchemaMaster, DomainNamingMaster | Format-List

Get-ADDomain | Select PDCEmulator, RIDMaster, InfrastructureMaster | Format-List

4.2 Configuration du serveur de temps Avant de procéder à la migration desdits rôles, il est nécessaire de déclarer votre nouveau contrôleur

de domaine en tant que serveur de temps principal.

4.2.1 Annonce d’un nouveau serveur de temps

Commencez par annoncer sur votre nouveau contrôleur de domaine un nouveau serveur « maître » de temps en indiquant un serveur NTP correspondant à votre localisation (liste) : w32tm.exe /config /manualpeerlist:<NTP server> /syncfromflags:manual /reliable:yes /update Redémarrez ensuite le service de temps du serveur en question :

net stop w32time net start w32time

4.2.2 Désactivation du temps sur l’ancien serveur Une fois le nouveau serveur de temps annoncé, il est nécessaire de dé-provisionner l’ancien : w32tm.exe /config /syncfromflags:domhier /reliable:no /update Redémarrez ensuite le service de temps du serveur en question : net stop w32time net start w32time

4.2.3 Vérification de la synchronisation horaire

Vous pouvez à tout moment vérifier l’état de la synchronisation horaire : w32tm /resync /rediscover w32tm /query /status

4.3 Déplacement des rôles FSMO Vous pouvez ensuite procéder à la migration des rôles FSMO (source) :

Move-ADDirectoryServerOperationMasterRole -Identity “Target-DC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

10

5. Suppression de l’ancien contrôleur Maintenant que le nouveau serveur est prêt, il est temps de supprimer l’ancien. Pour cela : A COMPLETER

11

6. Augmentation du niveau fonctionnel Maintenant que votre nouveau domaine est prêt, nous allons pouvoir augmenter son niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2012 R2. Import-Module ActiveDirectory Augmentation du niveau du domaine : Set-ADDomainMode -Identity <domaine> -DomainMode Windows2012R2Domain

Faites de même pour le niveau fonctionnel de la forêt : Set-ADForestMode -Identity <domaine > -ForestMode Windows2012R2Forest

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : m . decrevoisier Â-R-Ô-B-Â-5 outlook . com

Soyez-en d’ores et déjà remercié