Migration des DC vers Windows 2012

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué,  le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

 La première nouveauté que nous allons rencontrer est la console « gestionnaire de serveurs » qui permet de gérer l’ensemble des serveurs.

 Si l’on combine le gestionnaire de serveurs et la capacité de basculer d’une installation minimale (Server Core) vers une installation complète (outils graphiques) il n’est plus utile de laisser les consoles graphiques partout et d’avoir des sessions ouvertes oubliées un peu partout.

 Il est également possible de contrôler certains éléments de serveur sous Windows 2003 et 2008 par l’intermédiaire du gestionnaire de serveur de Windows 2012.

 Pour cela il faut installer Windows Remote Management (WinRM 3.0).

  L’ajout de rôle reste limité aux serveurs Windows 2012. Pour plus de détail : http://technet.microsoft.com/fr-fr/library/hh831456.aspx#BKMK_1_1

  Le deuxième élément à noter est qu’il n’est plus nécessaire de mettre à jour le schéma Active Directory à l’aide d’Adprep avant de configurer le premier DC en Windows 2012.

 En effet si l’outil Adprep existe toujours celui-ci est automatiquement exécuté si le schéma n’est pas à jour, lors de la configuration du premier DC.

 L’opération est lancée depuis le nouveau serveur par l’assistant de configuration. Il faut donc autoriser WMI dans le Pare-feu de Windows de l’ancien DC qui dispose des rôles FSMO dont le maître de schéma, sinon l’opération peut finir avec une erreur : serveur RPC indisponible.

 Pour Windows Server 2008 ou version ultérieure :

 netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

Pour Windows Server 2003 :

netsh firewall set service RemoteAdmin enable

 

Pour informations les versions de schéma sont :

13=Microsoft Windows 2000

30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1

31=Microsoft Windows Server 2003 R2

44=Microsoft windows Server 2008

47=Microsoft windows Server 2008 R2

56=Microsoft Windows Server 2012

69= Microsoft Windows Server 2012 R2

 

Il est possible de vérifier la version du schéma depuis une invite de commande par dsquery :

dsquery * cn=schema,cn=configuration,dc=mondomaine,dc=local -scope base -attr objectversion

 

Il est aussi possible de retrouver la valeur dans le registre Windows d’un DC dans la valeur « schema version » de la clé

« HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters ».

Comme pour les versions antérieures L’utilisateur doit être membre du groupe « admins du domaine » lors de l’ajout d’un DC dans un domaine existant, administrateurs de l’entreprise lors de l’ajout d’un domaine à une forêt existante et enfin administrateur local lors de la création d’une nouvelle forêt.

Puisque nous sommes aux paragraphes des nouveautés des DC en Windows 2012, un élément à ne pas oublier et le support en environnement virtuel. Jusque-là, la virtualisation des DC nécessité certaines précautions.

Non par ce que les DC ne supportent pas le virtuel en soi, mais car la virtualisation introduit certain outils comme les « snapshot » qui permet de revenir en arrière et peut poser pas mal de problème avec la réplication AD.

La nouveauté dans 2012 est la prise en charge de ces avantages de la virtualisation. Cette nouveauté en amène une autre qui est le clonage de DC pour faciliter le déploiement.

Vous trouverez dans le lien suivants des éléments supplémentaires :

http://technet.microsoft.com/library/hh831734.aspx

 http://technet.microsoft.com/en-us/library/jj574214.aspx

 Il est à noter que ce mécanisme est également pris en charge dans VMware à partir de la version 5.0 Update 2 :

 http://blogs.vmware.com/apps/2013/01/windows-server-2012-vm-generation-i...

 

 Prérequis

 Au niveau de l’environnement server il n’y a pas de prérequis supplémentaire au prérequis déjà existant sur Windows server 2012. Le lien suivant vous donne la configuration matérielle minimale supportée :

 http://technet.microsoft.com/library/jj134246.aspx .

 Il faut juste préciser que pour les structures assez importantes il peut être avantageux d’augmenter la mémoire entre autre sur les DC qui ont la fonction de catalogue global. Sinon pour un contrôleur de domaine qui n'a pas d'autre rôle 2Go de mémoire et au moins 40Go de disques sont suffisant.

 En cas de doute lisez en détail l’article

 http://technet.microsoft.com/fr-fr/library/jj651019.aspx#BKMK_Planning.

Pour installer un contrôleur de domaine Windows 2012, le niveau fonctionnel de la forêt doit être au moins en Windows 2003.

Donc si vous avez encore des contrôleurs de domaines en Windows 2000, la migration en 2012 ne pourra être faite directement.

Etape clé

·         Vérifier l’état de son domaine

Au minimum un dcdiag, repadmin , suivie d’un contrôle des éventuels erreurs dans l’observateur d’événement. Vérifiez également les sauvegardes de l'état du système de vos DC.

 Préparez également les informations concernant les redirecteurs DNS à mettre en œuvre, les approbations à valider etc …

·         Préparation du serveur

Cette étape consiste à installer Windows 2012 server, à configurer la partie réseau et à intégrer le serveur au domaine.

A vous de voir si vous souhaitez mettre des DC en mode « server core ».

Installation en mode graphique : http://pbarth.fr/node/83

Installation en mode minimale : http://pbarth.fr/node/85

 

Installation du rôle "Active Directory Domain Services" sur le nouveau serveur http://pbarth.fr/node/84

·         configuration des services AD : http://pbarth.fr/node/90 

Windows 2012 a signé la fin de Dcpromo qui nous a accompagnés depuis Windows 2000. Il est remplacé par l’assistant de configuration des services Active Directory. En cas de problème lors de la configuration vous pouvez rechercher des erreurs dans les fichiers log (devinez quel nom porte le fichier ?   dcpromo.log ! ) :

• %systemroot%\debug\dcpromo.log

• %systemroot%\debug\dcpromoui.log

• %systemroot%\debug\adprep\logs

• %systemroot%\debug\netsetup.log (if server is in a workgroup)

 

·         Validation de la réplication

·         Vérification de l'état des DC avec DCdiag après 24h (un DC promu demande un redémarrage. Au redémarrage des erreurs de l'observateur d'événement apparaissent du fait que la réplication initial n'est pas encore exécuté, DCdiag analyse les erreurs sur 24h).

·         Gestion des sites et de la topologie de réplications

·         Gestion des catalogues globaux : http://pbarth.fr/node/6

·         Gestion des maîtres d’opération : http://pbarth.fr/node/79

·         Gestion de la synchronisation des horloges : http://pbarth.fr/node/87

·         Gestion des redirecteurs DNS

·         Basculement des serveurs DNS sur les clients et serveur membres (IP Fixe ou DHCP)

·         Basculement des applications utilisant Ldap

·         Rétrogradation des anciens DC

Theme: 

Systeme: 

Annee: 

Commentaires

Merci

Merci pour ton temps à écrire cet article.

Probleme DCPROMO

Bonjour, Je rencontre souvent un soucis lors de cette migration, je n'arrive pas à retirer mon serveur 2008 du domaine (avec DCPROMO) de type "aucun autre serveur de domaine est joignable" donc impossible à retirer et si je décide d'éteindre ou de coupé du réseau mon ancien serveur 2008 du domaine principal, mon nouveau serveur 2012 (censé être serveur primaire) ne répond plus de rien c'est à dire perte du domaine, impossibilité de gérer les utilisateurs et les dns étant donné qu'il ne joint plus le serveur 2008 principal. Alors que le nouveau serveur 2012 a bien récupéré les rôles FSMO et le reste... Une idée ? PS: je n'ai jamais eu de soucis avec la migration 2003 -> 2012 même si le DCPROMO ne fonctionnait pas et que je coupait mon serveur 2003, le serveur 2012 restait indépendant et fonctionnel en tant que serveur AD. Merci.

RE : Probleme DCPROMO

Vous avez 2 principaux problèmes qui peuvent perturber le retrait des anciens DC : - problème dans l'AD : en général cela se voit avec DCDiag, c'est un peu l'outil de base pour les contrôleurs de domaines et il n'y a pas beaucoup d'erreur qui lui échappe ... Souvent le DNS primaire de IPV6 configuré avec "::1" gêne la première réplication au redémarrage du DC promu. - pas de catalogue global en ligne : s'il n'y a pas de catalogue global tous les services de l'AD ne sont pas rendu. Il n'est pas obligatoire que tous les DCs soient des catalogues globaux, mais c'est très recommandé dans une forêt mono domaine .

charl******@laposte.net

Bonjour et merci pour la réponse rapide. J'exécute bien les DCDIAG, DCDIAG /fix, showrepl etc..., Quand à mon catalogue c'est bien le nouveau en 2012 qui est catalogue global. L'IPV6 est désactivé sur les 2 serveurs. L'ancien serveur (en attente de dcpromo) a comme DNS le serveur 2012 et 8.8.8.8 Pour DCDIAG effectivement dans certain cas j'ai des erreurs (souvent lié au SYSVOL) mais que je n'arrive jamais à réparer. Pourtant il m'est déjà arrivé d'avoir des erreurs DCDIAG avec un serveur 2003 et de ne pouvoir le rétrogradé mais cela ne m'empêche pas de le désactiver du réseau (sans DCPROMO) et nettoyer les sites et serveurs sur mon nouveau Serveur 2012 sans pertes de l'AD ce qui n'est pas le cas lors d'une migration 2008->2012. Une idée ? Si j'arrive à reproduire le problème pourrais-je poster les erreurs DCDIAG ici ? Merci.

L'IPV6 est désactivé sur les

L'IPV6 est désactivé sur les 2 serveurs.

Il n'est pas recommandé de désactiver l'IPV6.

 L'ancien serveur (en attente de dcpromo) a comme DNS le serveur 2012 et 8.8.8.8

Il est préférable en attendant d'utiliser l'ancien serveur qui est opérationnel comme DNS primaire sur les 2 serveurs.

Il n'est pas recommandé d'utiliser les DNS de google comme DNS secondaire, il faut les configurer en tant que redirecteur DNS.

Pourtant il m'est déjà arrivé d'avoir des erreurs DCDIAG avec un serveur 2003 et de ne pouvoir le rétrogradé mais cela ne m'empêche pas de le désactiver du réseau (sans DCPROMO) et nettoyer les sites et serveurs sur mon nouveau Serveur 2012 sans pertes de l'AD 

Si vous avez des erreurs dans Dcdiag il faut les coriger, sinon vous risquez de découvrir d'autres problème par après.

Pouvez-vous donner le détail des erreurs ?

 

Meme probleme

Bonjour,
je n'arrive pas a rétrograder mon ancien serveur.
J'ai des erreurs dans le DCDIAG...mais je ne sais pas comment les résoudre :(
Quelqu'un peut'il m'aider ?

Merci !

J'ai migré sans problème 3 WINDOWS 2008 R2 vers du 2016 (dont un avec 2000 utilisateurs / 900 postes) à l'aide de ta procédure très précise, merci !