none
Sortir un domaine d'arborescence d'une foret RRS feed

  • Discussion générale

  • Bonjour,

    Je rencontre un probleme pour un de mes projet.

    Voici la situation actuelle :

    Un domaine root : toto.com ET un domaine d'arborescence : blabla.local ( tree domain)

    Je souhaiterai sortir le domaine blabla.local de la foret afin qu'il devient à son tour domaine root tout en gardant le meme nom.

    J'ai deja parcouru pas mal de forum, mais le souci est qu'il faut changer de nom de domaine en utilisant ADMT , hors ce n'est pas ce qu'il m'arrange le plus car je devrais repasser sur tous les ordinateurs.

    Si jamais vous avez des idées :)


    mardi 20 octobre 2020 07:05

Toutes les réponses

  • Bonjour Benoit Hnr

    Je pense qu'il te faut  :

    • Créer une nouvelle forêt (Mets y seulement 1 DC ça suffit).
    • Créer une relation d'approbation entre les 2 forêts.
    • Utiliser ADMT pour migrer utilisateurs et machines du domaine (sous-domaine dans ton cas) de la forêt source vers la forêt cible. ADMT déplacera les ordinateurs membres vers le second domaine/forêt et copiera les utilisateurs / groupes vers celui-ci avec leur SID History. Ca se fait de manière centralisée.
    • DCPromo sur les DCs du domaine source sauf 1 (ils passeront serveurs membres) puis ADMT pour ces derniers.
    • DCPromo sur le dernier DC (il n'y a plus que lui dans le domaine source). Il se retrouve en workgroup.  Le domaine cesse d'exister, il est donc impossible de le rétrograder en serveur membre.
    • Supprimer toute référence sur le domaine root (source) de ce qui concerne le domaine enfant (qui n'existe plus).
    • Supprimer la relation d'approbation entre les 2 forêts
    • Nettoyer les comptes utilisateurs du SIDHistory.

    De nos jours, tu peux maquetter cela avec des VMs.

    1 VM DC domaine Root forêt source - 2 VMs DC domaine enfant forêt source - 1 VM Poste dans domaine enfant forêt source + quelques comptes utilisateurs dans l'AD du domaine enfant.

    1 VM DC domaine/forêt (forêt monodomaine) cible.

    Nota sur le 1er DC du domaine source à migrer après dépromotion, ajoute lui quelques autres rôles (file, et Print par ex).

    Une fois les qq comptes migrés et LE poste migré. Essaie d'accéder à tes ressources (elles sont toujours sur le DC qui joue File/Print). Ca c'est grâce au SIDHistory que les comptes désormais dans leur nouvelle forêt peuvent accéder à des ressources de la 1ère forêt.

    Dépromotion d'un DC (celui qui joue également d'autres rôles ... et ne tient pas de rôle FSMO) + ADMT sur celui-ci. Check les accès utilisateurs aux ressources, cela doit être transparent pour eux.

    Il reste donc 1 seul DC dans le domaine source, depromotion et jonction à la nouvelle forêt. J'insiste, sur le fait que ce dernier DC ne doit jouer que les rôles DC/DNS (rien d'autre). 

    Documentes bien l'ensemble des tâches que tu fais sur ta maquette, cela te servira plus tard pour les rejouer (soit sur une nouvelle maquette, soit, finalement, sur la "vraie" infra sans erreur).

    Après, attends-toi à une grosse augmentation, des remerciements à foison pour ton excellent professionnalisme, etc ... quand tu seras mort :-)

    cordialement

    Olivier

    mardi 20 octobre 2020 09:04
  • Bonjour Olivier,

    Merci beaucoup pour votre retour, je suis en train de créer tout l'environnement de test :)

    J'avais une autre question :

    avec ADMT je peux déplacer un DC enfant foret source vers mon nouveau DC domaine/forêt (forêt monodomaine) cible. en gardant le meme nom de domaine ?

    Cordialement,

    Benoit
    mardi 20 octobre 2020 14:05
  • Je souhaiterai sortir le domaine blabla.local de la foret afin qu'il devient à son tour domaine root tout en gardant le meme nom.

    On ne peut pas détacher un domaine de la forêt. Si c'est le domaine parent on peut supprimer pour qu'il ne reste que lui, par contre un domaine enfant ne peut être séparer du parent. 

    J'ai deja parcouru pas mal de forum, mais le souci est qu'il faut changer de nom de domaine en utilisant ADMT , hors ce n'est pas ce qu'il m'arrange le plus car je devrais repasser sur tous les ordinateurs.

    La migration ADMT peut effectivement ce faire que entre deux domaines qui portent des noms différents.

    Un exemple avec ADMT

    http://pbarth.fr/node/106


    mardi 20 octobre 2020 15:33
    Modérateur
  • avec ADMT je peux déplacer un DC enfant foret source vers mon nouveau DC domaine/forêt (forêt monodomaine) cible. en gardant le meme nom de domaine ?

    LEs DCs ne peuvent être déplacer d'un domaine à un autre. Il doivent être rétrogradé.

    Le nom du domaine source et du domaine cible doivent être différent.

    mardi 20 octobre 2020 15:35
    Modérateur
  • Le but de cette opération consiste à sortir l'entité blabla.local de sa maison mere toto.com tout en minimisant les interventions.

    Existe-t-il un moyen de garder le meme nom de domaine ? meme si il faut passer par une foret temporaire ou autre ?

    Car si le nom de domaine change, cela implique de repasser sur + de 700 postes afin de les intégrer dans un nouveau domaine.

    Merci d'avance

    mardi 20 octobre 2020 15:52
  • Tu peux faire une double migration ADMT pour revenir au nom de départ, mais il te faudra faire entièrement la première étape avant de faire la deuxième, et donc tu auras tout de même un changement de nom temporairement. Pour ADMT il faut mettre une approbation, pour l'approbation il faut la résolution de nom entre les deux parties et les noms de domaines doivent être unique a chaque instant.

    C'est quoi qui te pose problème, des liens d'applications ? Pourquoi tu dois repasser sur les postes ?

    ADMT déplace les postes dans le nouveau domaine. Il migre des groupes, des utilisateurs et des postes.

    mardi 20 octobre 2020 16:56
    Modérateur
  • du coup si je récapitule :

    je fais :
    ADMT depuis le DC blabla.local vers un domaine temporaire ( domaine1.contoso )

    ADMT de domaine1.contoso vers un nouveau DC blabla.local

    Cela sera -t-il transparent pour les utilisateurs ?

    AUTRE SITUATION
    avec le scenario suivant :
    1 root domain ( toto.com)
    2 tree domain ( blabla.local + adatum.net )

    Autre question , etant donné que tous les DCs sont des VM, serait-il pas plus simple/possible de cloner toto.com et blabla.local et de les mettre sur un autre réseau et decomissionner blabla.local de la foret d'origine ?

    Merci d'avance




    • Modifié Benoit Hnr mercredi 21 octobre 2020 08:11
    mercredi 21 octobre 2020 07:12
  • Bonjour Benoit Hnr

    Si vous avez trouvé une solution à votre problème, merci de la partager avec la communauté TechNet ou "Marquer comme réponse" les réponses qui ont résolu votre problème.

    Je vous remercie par avance pour votre retour.

    Cordialement, 
    Nedeltcho

    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 6 novembre 2020 07:26
    Modérateur
  • Cela sera -t-il transparent pour les utilisateurs ?

    Ce n'est jamais totalement transparent, mais cela permet de migrer progressivement avec un impact limité pour les utilisateurs. 

    Pour le reste tout dépend comment tu migres les ressources et les services afin d'assurer l'accès aux applications.

    Autre question , etant donné que tous les DCs sont des VM, serait-il pas plus simple/possible de cloner toto.com et blabla.local et de les mettre sur un autre réseau et decomissionner blabla.local de la foret d'origine ?

    Non déjà par ce qu'on ne clone pas des DC comme cela. Ensuite il faut faire suivre les postes membres qui ont des comptes d'ordinateurs et des mots de passes qui change aussi. Je ne vois pas l'intérêt non plus vu que tu doit supprimer blabla, migre le ailleurs puis supprime le domaine dans la forêt source. Chaque entité à ses propres serveurs de ressources ?

    vendredi 6 novembre 2020 10:33
    Modérateur