none
Migration 2003 vers 2012 RRS feed

  • Question

  • Bonjour a tous,

    Je vais prochainement migrer mon domaine de 2003 vers 2012R2.

    J'ai pour cette occasion monté un lab et réalisé cette manip sur des machines virtuelles afin de valider le procédé.

    Je suis donc prêt pour cette migration, je vais me faire assister par un intervenant extérieur et c'est la ou j ai besoin de vos conseils.

    En effet, je ne souhaite pas fournir mon mot de passe administrateur et je souhaiterais donc créer un nouvel user avec les droits nécessaires pour cette migration, est-ce possible, pouvez vous me donner le type de droits pour cet user?

    Merci de votre aide.

    lundi 23 mars 2015 09:25

Réponses

  • Perso dans ton cas je ferai une bonne sauvegarde de l'état du système, quoi que, dans tous les cas il faut le faire  : http://pbarth.fr/node/15

    Je mets comme DNS primaire du premier et 2ème DC le 2ème DC. Je déplace si nécessaire les rôles FSMO sur le 2. Si  les postes clients  ont bien les 2 DNS configurés il n'y a pas de gène, éventuellement quelques ralentissements ponctuelles dans la résolution de nom.

    Je rétrograde le premier. Je supprime l'objet ordinateurs dans site et services (paramètre NTDS doit être supprimé lors de la régression du DC il reste juste le nom du serveur). Je purge les entrées DNS (A, SOA, ....)

    Je réinstall un nouveau serveur 2012 avec la bonne IP définitive je fais la promotion du nouveau. J'attends quelques jours en vérifiant la réplication. Puis je fais la même opération pour le 2ème (ne pas oublier a ce moment de mettre le premier en DNS primaire et de déplacer les rôles FSMO).

    Maintenant le changement d'IP ça fonctionne faut juste être propre et réfléchir a chaque étape que les DC restants doivent répliquer et pour cela ils doivent trouver l'autre DC.

    Si tu changes au même moment les IP des 2 DC et que les DC utilisent leur propre DNS comme primaire, la mise à jour de l'enregistrement A se fera sur sa propre zone DNS mais aucun des 2 n'aura l'info de la modification de l'IP de l'autre serveur tant que AD n'aura pas répliqué les zones DNS, et l'AD ne pourra répliquer tant que les serveurs ne pourront résoudre l'adresse de l'autre serveur ....


    • Proposé comme réponse Boris Ivanov lundi 30 mars 2015 13:36
    • Marqué comme réponse Boris Ivanov mardi 31 mars 2015 13:50
    vendredi 27 mars 2015 20:03
    Modérateur

Toutes les réponses

  • Bonjour, 

    Vous pouvez créer un simple utilisateur et l'ajouter ultérieurement dans le groupe administrateurs

    lien utile: https://technet.microsoft.com/fr-fr/library/cc700835.aspx


    vote if you think useful




    • Modifié F.ABASSI lundi 23 mars 2015 12:46
    • Marqué comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
    • Non marqué comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
    • Proposé comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
    • Non proposé comme réponse Boris Ivanov vendredi 27 mars 2015 08:54
    lundi 23 mars 2015 12:45
  • Merci pour ce retour,

    Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?

    Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....

    Merci

    lundi 23 mars 2015 12:56
  • Merci pour ce retour,

    Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?

    Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....

    Merci

    Bonjour,

    Pour modifier le schéma, il faut être dans le groupe "Administrateur du schéma", pour modifier les niveaux fonctionnels, il faut être membre de "Administrateur de l'entreprise" et/ou "Admins du Domaine".

    Dans le doute, mets le compte dans les trois groupes avec un mot de passe fort, et enlève le des groupes à la fin des opérations.


    Blog
    Scripts

    • Proposé comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
    • Non proposé comme réponse Boris Ivanov vendredi 27 mars 2015 08:54
    lundi 23 mars 2015 13:51
  • Merci pour ce retour,

    Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?

    Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....

    Merci

    Oui sachant qu'il faut vérifier en plus les infos déjà mentionnées par Emmanuel 

    vote if you think useful

    lundi 23 mars 2015 14:18
  • Super,

    Merci beaucoup pour votre aide, je vais tester tout ça.

    Merci

    lundi 23 mars 2015 14:20
  • Vous aurez plus d'élément sur la migration AD ici . La migration se prépare et il faut réfléchir aux éléments utilisant l'AD (RADIUS, copieur multifonction, autre service ou application qui utilisent l'authentification AD). Ils sont souvent oubliés.

    Vous pouvez créer un autre compte du moment que vous lui donner les droits suffisant comm précisé par Emmanuel.

    https://technet.microsoft.com/fr-fr/library/cc756898%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Si vous avez un doute sur votre mot de passe administrateur changé le ...

    De toute façon il est préférable de ne pas l'utiliser et d'avoir au moins un  autre compte plus personnalisé pour la gestion par exemple "adm-moi" ...

    vendredi 27 mars 2015 05:28
    Modérateur
  • Bonjour,

    Merci beaucoup pour vos précisions,

    J'ai monte un lab virtuel avec des images de mes serveurs actuels sous 2003 et intégré les 2012 etc...

    Çà a l'air de plutôt bien se passer.

    Mon dernier point d’interrogation concerne la recuperation des IP des 2 contrôleurs de domaine actuels pour les attribuer aux nouveaux.

    En effet je possède sur mon parc de nombreuses machines liés par un adresse IP manuel et qui ont donc en dur ces adresses DNS. A savoir que cette migration va être faite en weekend, surement la semaine prochaine.

    Voyez vous un problème sur ce point? Puis je bien modifier les Ip des contrôleurs actuels puis les récupérer pour les nouveaux que je vais intégrer?

    Merci.

    vendredi 27 mars 2015 08:51
  • Bonjour,

    Merci beaucoup pour vos précisions,

    J'ai monte un lab virtuel avec des images de mes serveurs actuels sous 2003 et intégré les 2012 etc...

    Çà a l'air de plutôt bien se passer.

    Mon dernier point d’interrogation concerne la recuperation des IP des 2 contrôleurs de domaine actuels pour les attribuer aux nouveaux.

    En effet je possède sur mon parc de nombreuses machines liés par un adresse IP manuel et qui ont donc en dur ces adresses DNS. A savoir que cette migration va être faite en weekend, surement la semaine prochaine.

    Voyez vous un problème sur ce point? Puis je bien modifier les Ip des contrôleurs actuels puis les récupérer pour les nouveaux que je vais intégrer?

    Merci.


    Bien sur.

    Blog
    Scripts

    vendredi 27 mars 2015 08:57
  • Ok parfait.

    Ainsi en récupérant les IP j’évite de repasser sur la majorité des postes et périphériques de mon parc.

    cela devrait être transparent pour mes utilisateurs au retour du weekend.

    Peut être un batch au démarrage des postes afin de vider le cache DNS?

    Merci.

    vendredi 27 mars 2015 09:04
  • Ok parfait.

    Ainsi en récupérant les IP j’évite de repasser sur la majorité des postes et périphériques de mon parc.

    cela devrait être transparent pour mes utilisateurs au retour du weekend.

    Peut être un batch au démarrage des postes afin de vider le cache DNS?

    Merci.


    Il me semble que le cache DNS est purgé à chaque reboot de la machine, donc pas forcement nécessaire de faire un batch.

    Blog
    Scripts

    vendredi 27 mars 2015 09:48
  • Super!

    Je tiens vraiment a vous remercier pour ces compléments d informations.

    C'est grâce a des gens comme vous que l 'on avance.

    Merci.

    vendredi 27 mars 2015 09:54
  • Il est possible de modifier l'ip après avoir supprimé les anciens DC, mais attention a le faire proprement.

    On ne supprima pas immédiatement les anciens DC après la promotion des nouveaux.

    Il faut penser a bien reconfigurer les refdirecteurs DNS et autre avant de supprimer. Valider que dcdeiag et repadmin ne remonte pas d'erreur.

    Il est possible de modifier DNS primaire et DNS secondaire par powershell mais cela dépend de la version de powershell et donc de l'OS.

    Perso je suis plutôt pour la migration des paramètres clients que pour la modif d'ip du serveur, mais il faut voir au cas par cas ...

    vendredi 27 mars 2015 11:06
    Modérateur
  • Oups tu me refroidis!!!

    L idée générale : 

    Modification des IP des contrôleurs actuels, redémarrage etc..

    Vérification Générale du bon fonctionnement avec ces IP, ad, dns...

    Intégration nouveaux serveurs avec IP récupérées, 

    Basculement des rôles 

    Extinction des anciens serveurs pour vérifier le fonctionnement général

    Puis de promouvoir ces serveurs!!

    En lab ça a l'air de tourner.

    La majorité de mon parc est en IP fixe.


    vendredi 27 mars 2015 13:04
  • Perso dans ton cas je ferai une bonne sauvegarde de l'état du système, quoi que, dans tous les cas il faut le faire  : http://pbarth.fr/node/15

    Je mets comme DNS primaire du premier et 2ème DC le 2ème DC. Je déplace si nécessaire les rôles FSMO sur le 2. Si  les postes clients  ont bien les 2 DNS configurés il n'y a pas de gène, éventuellement quelques ralentissements ponctuelles dans la résolution de nom.

    Je rétrograde le premier. Je supprime l'objet ordinateurs dans site et services (paramètre NTDS doit être supprimé lors de la régression du DC il reste juste le nom du serveur). Je purge les entrées DNS (A, SOA, ....)

    Je réinstall un nouveau serveur 2012 avec la bonne IP définitive je fais la promotion du nouveau. J'attends quelques jours en vérifiant la réplication. Puis je fais la même opération pour le 2ème (ne pas oublier a ce moment de mettre le premier en DNS primaire et de déplacer les rôles FSMO).

    Maintenant le changement d'IP ça fonctionne faut juste être propre et réfléchir a chaque étape que les DC restants doivent répliquer et pour cela ils doivent trouver l'autre DC.

    Si tu changes au même moment les IP des 2 DC et que les DC utilisent leur propre DNS comme primaire, la mise à jour de l'enregistrement A se fera sur sa propre zone DNS mais aucun des 2 n'aura l'info de la modification de l'IP de l'autre serveur tant que AD n'aura pas répliqué les zones DNS, et l'AD ne pourra répliquer tant que les serveurs ne pourront résoudre l'adresse de l'autre serveur ....


    • Proposé comme réponse Boris Ivanov lundi 30 mars 2015 13:36
    • Marqué comme réponse Boris Ivanov mardi 31 mars 2015 13:50
    vendredi 27 mars 2015 20:03
    Modérateur
  • Merci a vous tous pour vos précieux conseils, Migration faite !!!

    Je me permet de vous solliciter sur 2 nouveaux points afin d avoir votre avis :

    - Je souhaite modifier désormais le mot de passe administrateur du domaine car connu par une personne parti de la société, puis je le faire sans dommage? Réplication des contrôleurs? Ordre de redémarrage?

    -Enfin je souhaite pour un nombre très limites d utilisateurs qu ils disposent de droits admin en local sur leur machine afin d'installer des programmes etc.....mais qu en aucun cas ces droits ne soient au niveau du domaine? créer un groupe admin local avec droits builtin\administrateur?

    Merci

    vendredi 10 avril 2015 08:23
  • modifier le mot de passe du compte administrateur n'a pas d'impact sur l'AD, néanmoins il peut y avoir un impact si vous utilisez ce compte sur des services ou des tâches planifiées.
    vendredi 10 avril 2015 16:46
    Modérateur