Avant de pouvoir ajouter un contrôleur de domaine Windows 2008 R2 il faut préparer le schéma Active Directory.
Pour cela nous utilisons l''outil "adprep" présent sur le CD d''installation.
Les versions de schéma jusqu''à 2008 R2 :
13=Microsoft Windows 2000
30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
31=Microsoft Windows Server 2003 R2
44=Microsoft windows Server 2008
47=Microsoft windows Server 2008 R2
Nous allons d''abord vérifier l''état des différends dc à l''aide de dcdiag et repadmin :
Nous préparons maintenant la forêt AD avec adprep (pour information adprep est inclus sur le CD d''installation de Windows 2008 R2). Il faut prendre "adprep32.exe" si le DC est en 32bits et "adprep.exe" si l’ancien DC est 64 bits.
Cette étape est à réaliser 1 fois sur l''ensemble de la forêt. Il est à noter que la réplication sur l''ensemble des DC peut mettre du temps en fonction du nombre de domaine, du nombre de DC et des sites et liens de site.
Préparation de la partition du domaine et des GPO. Cette opération doit être répétée sur chaque domaine de la forêt.
Préparation du domaine pour accueillir un DC en lecture seule (nouveauté Windows 2008) :
Enfin nous utilisons la commande « dsquery » pour vérifier la version du schéma :
Il est également possible d''utiliser la console ADSI.
Enfin nous vérifions la réplication avec repadmin.
IMPORTANT : quelques recommandations supplémentaires :
- Vous devez posséder une sauvegarde de l’état du système sur au moins deux dc pour chaque domaine de votre forêt
- Si vous avez une forêt multi domaine et/ou multi sites, un peu plus complexe que dans cette présentation, il est recommandée d’isoler le rôle de maitre de schéma sur un DC particulier. Sur ce DC, stoppez la réplication avec les autres DC, puis procédez à la mise à jour du schéma. Vérifiez la version du schéma. Ensuite forcez la réplication avec un autre DC et si l’opération se déroule bien vous pouvez réactiver la réplication pour l’ensemble des autres DC. Ce principe vous permettra de protéger votre environnement en production en cas de problème lors de la mise à jour du schéma. Dans ce cas si l’opération de mise à jour du schéma devait mal se passer la corruption du schéma ne serait pas répliquer sur les autres DCs.
- On ne procède jamais à une installation d’un DC supplémentaires pour palier à une erreur ou un problème dans l’AD existant. S’il existe un problème il est important de le résoudre avant de démarrer l’opération.