none
Besoin d'un conseil sur migration AD 2003 vers 2012 en multi sites RRS feed

  • Question

  • Bonjour à tous.

    Dans le cadre d'un stage, je prépare le projet de migration de l'AD dans l'entreprise dans laquelle je me trouve.

    J'en suis encore à l'étape préliminaire d'étude de l'architecture, et je n'ai pas encore accès à toutes les informations.

    Mais le principal est qu'il y a deux DC sur le site principal, et 1 serveur répliqué sur la dizaine de sites, reliés entre eux par des connexion...aléatoires et au débit relativement lent.

    Ils sont actuellement sur du 2003 R2, et on va passer à du 2012.

    Sauf que la particularité de 2012, c'est qu'il augmentera automatiquement le niveau du domaine et de la forêt au minimum vers 2008 avant de prendre le rôle d'un DC.

    Première question, toute bête, ou plutôt confirmation. Si je mets à jour l'AD sur un seul site (distant ou principal) je suppose que tous les sites vont se mettre à jour ?

    La question, derrière, est de savoir si je dois mettre à niveau le domaine avant, ou si on peut commencer directement par installer un DC en 2012 sur le site principal et d'attendre ?

    Merci de votre réponse

    jeudi 17 juillet 2014 09:28

Réponses

  • Bonjour,

    Dans Windows Server 2012, il existe quatre niveaux fonctionnels de forêt :

    • Windows Server 2003
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012

    Donc le niveau fonctionnel 2003 est présent, et vous pouvez  choisir parmi les 4 niveaux fonctionnels lors de la promotion de votre Windows 2012 en DC.

    Par contre dans Windows  2012r2, le niveau fonctionnel 2003 n’est plus pris en compte, Avant de pouvoir installer un contrôleur de domaine sous Windows Server 2012 R2, le niveau fonctionnel de la forêt devra être au moins en version Windows Server 2008. Et pour rappel, pour que le niveau fonctionnel de la forêt soit en Windows Server 2008, il faut impérativement que le niveau fonctionnel de tous les domaines de la forêt soit également au minimum en Windows Server 2008. Ce qui implique qu’il ne sera plus possible d’avoir un contrôleur de domaine sous Windows Server 2003 au sein d’une forêt possédant un DC sous Windows Server 2012 R2.

    Si ce n’est pas le cas, il vous faudra impérativement étendre le schéma à Windows Server 2012 puis mettre à jour le niveau fonctionnel du (ou des) domaine(s) et de la forêt impactés.

    Ci-dessous des liens qui pour vous aider à bien faire votre migration :

    http://technet.microsoft.com/fr-fr/library/dd379558%28v=ws.10%29.aspx

    http://blogs.technet.com/b/canitpro/archive/2014/04/02/step-by-step-active-directory-migration-from-windows-server-2003-to-windows-server-2012.aspx

    http://pbarth67.free.fr/?q=node/46

    http://www.labo-microsoft.org/articles/win/migration_AD_materiel/

     

     

     

     


    • Marqué comme réponse Florin Ciuca mardi 22 juillet 2014 10:21
    vendredi 18 juillet 2014 09:31
  • Bonjour,

    En fait, l'ordre des questions fait que la réponse est de l'ordre du oui et non ! Tout est une question d'interprétation.

    La base AD est répliquée à l'identique sur tous les contrôleurs de domaine dans le cas d'une forêt à un seul domaine. Toute modification sur l'un des DC est donc répliquée, et modifie donc les autres contrôleurs.

    Avant de promouvoir un serveur 2012 en tant que contrôleur de domaine, le schéma doit être "mis à jour", cette mise à jour sera donc répliquée partout. Ceci ne touche en rien aux niveaux de fonctionnalité (domaine ou Forêt).

    Ensuite, il est possible de promouvoir un serveur 2012 (ou moins bien de mettre à jour les DCs existants). Il n'est pas possible de modifier le niveau de fonctionnalité tant qu'il existe au moins un DC 2003. Ceux-ci doivent disparaître (dépromus) ou être mis à jour en Windows 2012.

    Au minimum, il faut rapidement disposer d'au moins 2 DCs dans le nouveau système pour stabiliser AD, et se permettre d'attendre. Mais l'idéal est de réaliser rapidement l'opération sur tous les contrôleurs!!!

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse Florin Ciuca mardi 22 juillet 2014 10:22
    vendredi 18 juillet 2014 09:48

Toutes les réponses

  • Bonjour,

    Dans Windows Server 2012, il existe quatre niveaux fonctionnels de forêt :

    • Windows Server 2003
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012

    Donc le niveau fonctionnel 2003 est présent, et vous pouvez  choisir parmi les 4 niveaux fonctionnels lors de la promotion de votre Windows 2012 en DC.

    Par contre dans Windows  2012r2, le niveau fonctionnel 2003 n’est plus pris en compte, Avant de pouvoir installer un contrôleur de domaine sous Windows Server 2012 R2, le niveau fonctionnel de la forêt devra être au moins en version Windows Server 2008. Et pour rappel, pour que le niveau fonctionnel de la forêt soit en Windows Server 2008, il faut impérativement que le niveau fonctionnel de tous les domaines de la forêt soit également au minimum en Windows Server 2008. Ce qui implique qu’il ne sera plus possible d’avoir un contrôleur de domaine sous Windows Server 2003 au sein d’une forêt possédant un DC sous Windows Server 2012 R2.

    Si ce n’est pas le cas, il vous faudra impérativement étendre le schéma à Windows Server 2012 puis mettre à jour le niveau fonctionnel du (ou des) domaine(s) et de la forêt impactés.

    Ci-dessous des liens qui pour vous aider à bien faire votre migration :

    http://technet.microsoft.com/fr-fr/library/dd379558%28v=ws.10%29.aspx

    http://blogs.technet.com/b/canitpro/archive/2014/04/02/step-by-step-active-directory-migration-from-windows-server-2003-to-windows-server-2012.aspx

    http://pbarth67.free.fr/?q=node/46

    http://www.labo-microsoft.org/articles/win/migration_AD_materiel/

     

     

     

     


    • Marqué comme réponse Florin Ciuca mardi 22 juillet 2014 10:21
    vendredi 18 juillet 2014 09:31
  • Bonjour,

    En fait, l'ordre des questions fait que la réponse est de l'ordre du oui et non ! Tout est une question d'interprétation.

    La base AD est répliquée à l'identique sur tous les contrôleurs de domaine dans le cas d'une forêt à un seul domaine. Toute modification sur l'un des DC est donc répliquée, et modifie donc les autres contrôleurs.

    Avant de promouvoir un serveur 2012 en tant que contrôleur de domaine, le schéma doit être "mis à jour", cette mise à jour sera donc répliquée partout. Ceci ne touche en rien aux niveaux de fonctionnalité (domaine ou Forêt).

    Ensuite, il est possible de promouvoir un serveur 2012 (ou moins bien de mettre à jour les DCs existants). Il n'est pas possible de modifier le niveau de fonctionnalité tant qu'il existe au moins un DC 2003. Ceux-ci doivent disparaître (dépromus) ou être mis à jour en Windows 2012.

    Au minimum, il faut rapidement disposer d'au moins 2 DCs dans le nouveau système pour stabiliser AD, et se permettre d'attendre. Mais l'idéal est de réaliser rapidement l'opération sur tous les contrôleurs!!!

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse Florin Ciuca mardi 22 juillet 2014 10:22
    vendredi 18 juillet 2014 09:48
  • Merci beaucoup Ahmed

    Donc pour migrer l'AD en 2012 R2, il faudra installer un DC principal en 2008/R2/2012 au minimum.

    Un seul DC pour tout le domaine ? Les sites distants ne seront pas impactés négativement au début de la migration ?

    vendredi 18 juillet 2014 09:57
  • Bonjour,

     

     

    Pour répondre à votre question Un seul DC pour tout le domaine ?, il faut commencer par rajouter un DC 2012 au domaine existant, bien sûr il faut garder les autres DC, ensuite quand vous aurez rajouté tous les DC 2012 que vous vouliez, il faudra supprimer les anciens dc 2003.

    En ce qui concerne les sites distants, la réplication se fera bien, sur tous les contrôleurs de domaines, en fonction de la politique de réplication qui a été mise en place, sachant que vous pouvez et même vous devez désactiver la réplication sortante  du contrôleur de domaine que vous vouliez migrer, lors de la mise à jour du schéma.

    Ci-dessous en gros les étapes de la migration :

    alors pour commencer, il faut faire toutes les vérifications sur le domaine actuel , si tout est ok, il faut passer à l'étape suivante c'est-à-dire, recueillir les informations nécessaires, notez les paramètres Active Directory ou DNS du serveur source. 

    Le guide de migration fournit une feuille de travail permettant de collecter ces données. Lien:

    Ensuite il faut préparer le nouveau serveur 2012, Cette étape consiste à installer Windows 2012 server, à configurer la partie réseau et à intégrer le serveur au domaine.

    Ensuite il faut installer le rôle "Active Directory Domain Services" sur le nouveau serveur, un point important à noter :

    Il  n’est plus nécessaire de mettre à jour le schéma Active Directory à l’aide d’Adprep avant de configurer le premier DC en Windows 2012. En effet si l’outil Adprep existe toujours celui-ci est automatiquement exécuté si le schéma n’est pas à jour, lors de la configuration du premier DC. L’opération est lancée depuis le nouveau serveur par l’assistant de configuration. Il faut donc autoriser WMI dans le Pare-feu de Windows de l’ancien DC qui dispose des rôles FSMO dont le maître de schéma, sinon l’opération peut finir avec une erreur : serveur RPC indisponible. Pour Windows Server 2008 ou version ultérieure : netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes Pour Windows Server 2003 : netsh firewall set service RemoteAdmin enable

    Ensuite entamer les autres étapes:

    Ci-dessous un lien vers un document qui détaille toutes les étapes de migration avec des screenshots :

    http://www.scribd.com/doc/87812939/Migration-d-un-domaine-Active-Directory-2003-R2-vers-2008-R2-tuto-de-A-a-Z


    vendredi 18 juillet 2014 10:59
  • Pour les étapes de la migration, c'est bon. Pour la préparation aussi, je suis en train de préparer un document d'une quinzaine de page retraçant toutes les étapes, dont les vérifications. Mais merci beaucoup pour les liens, je vais compléter avec ce que j'avais déjà écris.

    Par contre, je vais abuser de votre bonne volonté.

    quand vous dites: "ous pouvez et même vous devez désactiver la réplication sortante  du contrôleur de domaine que vous vouliez migrer, lors de la mise à jour du schéma."

    Donc dés que la mise à jour est terminée, je réactive les liens de réplication ? Petite question: que se passerait-il si on ne le fait pas ? Il faudra attendre que tous les DC répondent une sorte d’acquittement pour que la mise à jour soit considérée comme réussie ? Et que par conséquent ce serait beaucoup plus long ?

    Ou y a-t-il une autre raison ?

    vendredi 18 juillet 2014 11:31
  • Oui Absolument, il faut réactiver la réplication sortante dès que la mise à jour du schéma est terminée, afin justement de le répliquer.

    La désactivation à pour but "si je me trompe pas " de s'assurer que la mise à jour du schéma s'est bien passée avant qu'il soit répliquée sur les autres DC.




    vendredi 18 juillet 2014 11:54
  • Bonjour , la désactivation de la replication l'est pas conseillée par Microsoft.

    C'est souvent se rajouter des pbs et des risques inutiles.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 18 juillet 2014 13:08