none
Migration Active Directory 2012 RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Je possède actuellement un Windows Server 2012 R2 Standard qui a pour rôle un Active Directory sur une VM sous Hyper-V.

    Je voudrais transférer le rôle sur un serveur physique 2012 R2 Standard.

    J'ai une idée sur comment faire mais je ne suis pas sûr du résultat. J'envisage de déclarer le serveur physique en tant que deuxième contrôleur de domaine puis de lui transférer les rôles FSMO, et enfin éteindre la VM de l'ancien AD.

    J'ai trouvé ce tuto : http://www.it-connect.fr/transfert-des-roles-fsmo-avec-ntdsutil/

    A noter que l'AD actuel est en WAN (pour quelques jours). De plus, sur le serveur, seul le rôle AD DS est installé, il n'y a pas de rôle DNS. La carte réseau à pour DNS 8.8.8.8 et 8.8.4.4 (dns de google).

    Est-ce bien la marche à suivre ?

    Merci.


    mardi 19 mai 2015 12:34
    |

Réponses

  • Question
    Connectez-vous pour voter
    3
    Connectez-vous pour voter

    Bonjour,

    Le début est correct, à savoir promouvoir le serveur physique comme contrôleur de domaine suppplémentaire. Ensuite vous transférez les rôles FSMO (soit via les Snapins ou via NTDSUtil.exe). Vérifiez bien que le réplication est fonctionnelle avant d'aller plus loin. la commande suivante sera utile car elle vous permettra d'afficher dans Excel le résultat des dernières réplications Active Directory : 

    repadmin /showrepl * /csv "C:\replications.csv"

    Assurez-vous aussi que les objets de stratégies de groupes sont bien répliqués (version du dossier Sysvol sur chacun des contrôleurs de domaine).

    vous pouvez ensuite retirer proprement l'ancien contrôleurs de domaine. Pour cela, ouvrez le Gestionnaire de serveur, puis en haut à droite sélectionnez "Gérer", puis "retirer des rôles". Sélectionnez le rôle ADDS puis laissez windows Faire le reste. a l'issue de l'opération l'ancien contrôleur de domaine devra être redémarré. N'oubliez pas de retirer également le rôle Serveur DNS.

    Assurez-vous enfin que l'ancien contrôleur domaine n'apparaisse plus dans "Sites et Services Active directory" et qu'il ne soit plus "serveur d'espace de noms" pour les zones DNS gérées par vos contrôleurs de domaine. Pour cela ouvrez la console de gestion DNS sur le nouveau contrôleur de domaine puis affichez les propriétés de chaque zone. Sélectionnez l'onglet "serveur d'espace de nom" puis vérifiez que ce serveur n'est plus listé.

    P.S : Assurez-vous que vos serveur membres et vos postes de travail n'utilisent plus l'ancien contrôleur de domaine comme serveur DNS ;-)

    Cordialement ,

    Régis Lainé | My Blog | My contributions
    Please mark as helpful/answer if this resolved your post

    mardi 19 mai 2015 14:40
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    AD n'existe pas sans DNS ... Si ce n'est pas lui qui fait office de serveur DNS il faut déterminer ou est stocké la zone du domaine et de la forêt ...

    ajouté à la procédure "dcdiag" , lors de l'ajout d'un DC ou la rétrogradation on fait au minimum un DCdiag et repadmin. un net share sur le nouveau DC pour vérifier que sysvol et netlogon existe.

    Le nouveau serveur ne peut pas avoir le même FQDN que l'ancien au moment de l'installation, il est possible de renommer un DC par après, si c'est fait proprement, mais bon c'est rarement utile et pas très beau ...

    Voir :  http://pbarth.fr/node/89

    Sinon il faut également faire des sauvegardes de l'état du système sur des contrôleurs de domaines, voir :

    http://pbarth.fr/node/46

    mardi 19 mai 2015 20:16
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Je vais donc sauvegarder seulement le rôle AD/DNS avec l'utilitaire Sauvegarde de Windows Server sur un disque amovible comme indiqué ci-dessous.

    https://technet.microsoft.com/fr-fr/library/dd851674.aspx

    Puis lancer la migration et revenir à l'état initial si cela plante.

    Merci encore pour votre aide.

    Bonne journée.

    jeudi 21 mai 2015 08:43
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    3
    Connectez-vous pour voter

    Bonjour,

    Le début est correct, à savoir promouvoir le serveur physique comme contrôleur de domaine suppplémentaire. Ensuite vous transférez les rôles FSMO (soit via les Snapins ou via NTDSUtil.exe). Vérifiez bien que le réplication est fonctionnelle avant d'aller plus loin. la commande suivante sera utile car elle vous permettra d'afficher dans Excel le résultat des dernières réplications Active Directory : 

    repadmin /showrepl * /csv "C:\replications.csv"

    Assurez-vous aussi que les objets de stratégies de groupes sont bien répliqués (version du dossier Sysvol sur chacun des contrôleurs de domaine).

    vous pouvez ensuite retirer proprement l'ancien contrôleurs de domaine. Pour cela, ouvrez le Gestionnaire de serveur, puis en haut à droite sélectionnez "Gérer", puis "retirer des rôles". Sélectionnez le rôle ADDS puis laissez windows Faire le reste. a l'issue de l'opération l'ancien contrôleur de domaine devra être redémarré. N'oubliez pas de retirer également le rôle Serveur DNS.

    Assurez-vous enfin que l'ancien contrôleur domaine n'apparaisse plus dans "Sites et Services Active directory" et qu'il ne soit plus "serveur d'espace de noms" pour les zones DNS gérées par vos contrôleurs de domaine. Pour cela ouvrez la console de gestion DNS sur le nouveau contrôleur de domaine puis affichez les propriétés de chaque zone. Sélectionnez l'onglet "serveur d'espace de nom" puis vérifiez que ce serveur n'est plus listé.

    P.S : Assurez-vous que vos serveur membres et vos postes de travail n'utilisent plus l'ancien contrôleur de domaine comme serveur DNS ;-)

    Cordialement ,

    Régis Lainé | My Blog | My contributions
    Please mark as helpful/answer if this resolved your post

    mardi 19 mai 2015 14:40
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Merci pour votre réponse.

    Le contrôleur de domaine est en WAN, il a été installé sans serveur DNS. Cela a-t-il une incidence sur la marche à suivre ?

    De plus, le nouveau serveur peut-il avoir le même nom FQDN que l'ancien CD ?



    mardi 19 mai 2015 15:01
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    AD n'existe pas sans DNS ... Si ce n'est pas lui qui fait office de serveur DNS il faut déterminer ou est stocké la zone du domaine et de la forêt ...

    ajouté à la procédure "dcdiag" , lors de l'ajout d'un DC ou la rétrogradation on fait au minimum un DCdiag et repadmin. un net share sur le nouveau DC pour vérifier que sysvol et netlogon existe.

    Le nouveau serveur ne peut pas avoir le même FQDN que l'ancien au moment de l'installation, il est possible de renommer un DC par après, si c'est fait proprement, mais bon c'est rarement utile et pas très beau ...

    Voir :  http://pbarth.fr/node/89

    Sinon il faut également faire des sauvegardes de l'état du système sur des contrôleurs de domaines, voir :

    http://pbarth.fr/node/46

    mardi 19 mai 2015 20:16
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Le fait que l'ancien DC soit en WAN n'a pas d'incidence.

    Concernant la partie DNS, assurez-vous tout de même qu'il ne soit pas installé. Il est possible en effet de ne pas installer ce service lors de la promotion d'un contrôleur de domaine, mais ce n'est pas l'option par défaut.

    Enfin, concernant le FQDN, vous pourrez le changer une fois que l'ancien contrôleur de domaine sera rétrogradé en serveur membre puis renommé. Sachez que vous devrez redémarrer le nouveau contrôleur de domaine renommé 2 fois afin de vous assurez que la zone DNC liée au domaine soit bien à jour.

    Cordialement,

    Régis Lainé | My Blog | My contributions
    Please mark as helpful/answer if this resolved your post

    mercredi 20 mai 2015 07:17
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Tout d'abord merci pour vos réponses.

    Le DNS qui gère ma zone est un DNS en WAN. Comme l'IP et le FQDN du nouveau CD changeront, je modifierai ses enregistrements pour qu'il corresponde à la bonne IP et au bon FQDN du nouveau serveur.

    Pour le FQDN, je ne le modifierai pas une fois la migration appliquée.

    Concernant la sauvegarde, puisque le contrôleur actuel est une VM sur Hyper-V, est-il possible de faire un snapshot de la VM juste avant la migration, et revenir au snap si quelque chose se passe mal ?

    Au niveau des commandes, si j'ai bien compris, une fois la migration effectuée, j'effectue sur le nouveau CD : 

    - dcdiag

    -repadmin

    - netshare.

    Est-ce bien ça ?


    mercredi 20 mai 2015 08:00
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Avant 2012 l'utilisation de snapshot sur des DC n'était pas supporté, à partir de 2012 c'est supporté, donc cela ne casse pas, mais ca ne veut pas dire qu'il est facile de revenir en arrière. Un Dc qui detecté le retour sur un snapshot va déterminer le retard qu'il a sur les autres et resynchronisé, alors qu'avant il y avait un USN Rollback.

    Dans tout les cas il est préférable de faire un backup du systemstate.

    oui c est le minimum : dcdiag + repadmin + netshare .

    En générale on vérifie aussi l'observateur d'événement.


    mercredi 20 mai 2015 08:30
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Je vais donc sauvegarder seulement le rôle AD/DNS avec l'utilitaire Sauvegarde de Windows Server sur un disque amovible comme indiqué ci-dessous.

    https://technet.microsoft.com/fr-fr/library/dd851674.aspx

    Puis lancer la migration et revenir à l'état initial si cela plante.

    Merci encore pour votre aide.

    Bonne journée.

    jeudi 21 mai 2015 08:43
    |