Migration d'un domaine Active Directory 2008 R2 vers 2012 R2 (tuto de A à Z)

Migration d’un domaine Active Directory 2008 R2 vers 2012 R2 (v1.20) Tutorial conçu et rédigé par Michel de CREVOISIER (janvier 2016)

Source :



https://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels%28v=ws.10%29.aspx



https://technet.microsoft.com/en-us/library/dn268294.aspx

1

INDEX INDEX................................................................................................................................................................... 2 1.

Préparation du schéma et du domaine ...................................................................................................... 3 1.1

Mise à jour du schéma ........................................................................................................................ 3

1.2

Mise à jour du domaine....................................................................................................................... 4

1.3

Intégration de RODC ............................................................................................................................ 4

2.

Promotion du nouveau contrôleur ............................................................................................................ 5

3.

Transfert des rôles FSMO ........................................................................................................................... 7 3.1

Configuration du serveur de temps..................................................................................................... 7

3.2

Déplacement des rôles FSMO ............................................................................................................. 7

4.

Suppression de l’ancien contrôleur ............................................................................................................ 8

5.

Augmentation du niveau fonctionnel ........................................................................................................ 8

2

1. Préparation du schéma et du domaine 1.1 Mise à jour du schéma La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs (introduits dans Windows Server 2012 R2) dans la partition schéma. Il est recommandé d’effectuer cette action sur le serveur possédant le rôle FSMO « Maitre de schéma ».

1.1.1 Versions du schéma A titre d’information, voici comment connaître la version actuelle du schéma :  Ouvrez la console du registre  Allez dans : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters  Recherchez la clef Schema Version et comparez sa valeur avec tableau qui suit :

3 : Windows Server 2000 30 : Windows Server 2003 31 : Windows Server 2003 R2 44 : Windows Server 2008 47 : Windows Server 2008 R2 69 : Windows Server 2012 R2

1.1.2 Désactivation de la réplication Avant de mettre à jour le schéma, il est nécessaire de désactiver la réplication du contrôleur de domaine : repadmin /options +DISABLE_INBOUND_REPL

1.1.3 Mise à jour du schéma Copiez ensuite le dossier « adprep » situé sur le DVD de Windows Server 2012 R2 (dans D:\support) sur votre futur nouveau contrôleur de domaine et exécutez la commande suivante : adprep.exe /forestprep Une fois l’opération terminée, vérifiez que la mise à jour a bien fonctionné en reproduisant la procédure du point 1.1.1.

3

1.1.4 Réactivation de la réplication N’oubliez pas de relancer la réplication : repadmin /options -DISABLE_INBOUND_REPL

1.2 Mise à jour du domaine Cette étape consiste à préparer le domaine afin de recevoir des contrôleurs de domaines sous Windows Server 2012 R2. Pour cela, exécutez la commande suivante : adprep.exe /domainprep

1.3 Intégration de RODC Afin de préparer votre domaine à recevoir de futurs contrôleurs de domaine en lecture seule (RODC), exécutez la commande suivante : adprep /rodcprep

4

2. Promotion du nouveau contrôleur A ce stade, votre domaine est prêt à accueillir un contrôleur sous Windows Server 2012 R2. Il ne reste donc qu’on à promouvoir ce dernier en tant que contrôleur de domaine. Pour cela :  Installez le rôle « Active Directory Domain Services » :



Une fois l’installation du rôle terminée, lancez l’assistant de configuration :



Choisissez l’option « Add a domain controller » :



Indiquez les rôles à déployer ainsi que mot de passe DSRM :

5



Après quoi, sélectionnez à partir de quel contrôleur de domaine vous souhaitez initier la réplication :



Spécifiez l’emplacement de la base de données et du SYSVOL :



Pour terminer, validez l’assistant pour initier la réplication :

6

3. Transfert des rôles FSMO Nous allons maintenant procéder au transfert des rôles FSMO. Si vous souhaitez avoir plus d’informations concernant ces rôles, vous pouvez consulter mon tuto intitulé « Les rôles de maître d’opération ».

3.1 Configuration du serveur de temps Avant de procéder à la migration desdits rôles, il est nécessaire de déclarer votre nouveau contrôleur de domaine en tant que serveur de temps principal.

3.1.1 Annonce d’un nouveau serveur de temps Commencez par annoncer sur votre nouveau contrôleur de domaine un nouveau serveur « maître de temps » en indiquant un serveur NTP correspondant à votre localisation (liste) : w32tm.exe /config /manualpeerlist: /syncfromflags:manual /reliable:yes /update Redémarrez ensuite le service de temps du serveur en question : net stop w32time net start w32time

3.1.2 Désactivation du temps sur l’ancien serveur Une fois le nouveau serveur de temps annoncé, il est nécessaire de dé-provisionner l’ancien en exécutant cette commande depuis ce dernier : w32tm.exe /config /syncfromflags:domhier /reliable:no /update Redémarrez ensuite le service de temps du serveur en question : net stop w32time net start w32time

3.1.3 Vérification de la synchronisation horaire Vous pouvez à tout moment vérifier l’état de la synchronisation horaire : w32tm /resync /rediscover w32tm /query /status

3.2 Déplacement des rôles FSMO Pour connaître le placement actuel des rôles FSMO au sein de votre forêt/domaine : Get-ADForest | Select SchemaMaster, DomainNamingMaster | Format-List Get-ADDomain | Select PDCEmulator, RIDMaster, InfrastructureMaster | Format-List Vous pouvez ensuite procéder à la migration des rôles FSMO (source) : Move-ADDirectoryServerOperationMasterRole -Identity “Target-DC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

7

4. Suppression de l’ancien contrôleur Maintenant que le nouveau serveur contrôleur de domaine est prêt, il est temps de dé-promouvoir l’ancien. S’agissant d’un Windows 2008 R2, exécutez simplement la commande « dcpromo » et suivez l’assistant.

5. Augmentation du niveau fonctionnel Maintenant que votre nouveau forêt et domaine sont prêts, nous allons pouvoir augmenter leur niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2012 R2. Pour cela connectez-vous sur un des nouveaux contrôleurs de domaine et exécutez les commandes suivantes : Import-Module ActiveDirectory Augmentation du niveau fonctionnel du domaine : $pdc = Get-ADDomainController -Discover -Service PrimaryDC Set-ADDomainMode -Identity $pdc.Domain -Server $pdc.HostName[0] -DomainMode Windows2012R2Domain Faites de même pour le niveau fonctionnel de la forêt : $Forest = Get-ADForest Set-ADForestMode -Identity $Forest -Server $Forest.SchemaMaster -ForestMode Windows2012R2Forest

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : m . decrevoisier Â-R-Ô-B-Â-5 outlook . com

Soyez-en d’ores et déjà remercié

8