Meilleur auteur de réponses
Migration 2003 vers 2012

Question
-
Bonjour a tous,
Je vais prochainement migrer mon domaine de 2003 vers 2012R2.
J'ai pour cette occasion monté un lab et réalisé cette manip sur des machines virtuelles afin de valider le procédé.
Je suis donc prêt pour cette migration, je vais me faire assister par un intervenant extérieur et c'est la ou j ai besoin de vos conseils.
En effet, je ne souhaite pas fournir mon mot de passe administrateur et je souhaiterais donc créer un nouvel user avec les droits nécessaires pour cette migration, est-ce possible, pouvez vous me donner le type de droits pour cet user?
Merci de votre aide.
Réponses
-
Perso dans ton cas je ferai une bonne sauvegarde de l'état du système, quoi que, dans tous les cas il faut le faire : http://pbarth.fr/node/15
Je mets comme DNS primaire du premier et 2ème DC le 2ème DC. Je déplace si nécessaire les rôles FSMO sur le 2. Si les postes clients ont bien les 2 DNS configurés il n'y a pas de gène, éventuellement quelques ralentissements ponctuelles dans la résolution de nom.
Je rétrograde le premier. Je supprime l'objet ordinateurs dans site et services (paramètre NTDS doit être supprimé lors de la régression du DC il reste juste le nom du serveur). Je purge les entrées DNS (A, SOA, ....)
Je réinstall un nouveau serveur 2012 avec la bonne IP définitive je fais la promotion du nouveau. J'attends quelques jours en vérifiant la réplication. Puis je fais la même opération pour le 2ème (ne pas oublier a ce moment de mettre le premier en DNS primaire et de déplacer les rôles FSMO).
Maintenant le changement d'IP ça fonctionne faut juste être propre et réfléchir a chaque étape que les DC restants doivent répliquer et pour cela ils doivent trouver l'autre DC.
Si tu changes au même moment les IP des 2 DC et que les DC utilisent leur propre DNS comme primaire, la mise à jour de l'enregistrement A se fera sur sa propre zone DNS mais aucun des 2 n'aura l'info de la modification de l'IP de l'autre serveur tant que AD n'aura pas répliqué les zones DNS, et l'AD ne pourra répliquer tant que les serveurs ne pourront résoudre l'adresse de l'autre serveur ....
- Proposé comme réponse Boris Ivanov lundi 30 mars 2015 13:36
- Marqué comme réponse Boris Ivanov mardi 31 mars 2015 13:50
Toutes les réponses
-
Bonjour,
Vous pouvez créer un simple utilisateur et l'ajouter ultérieurement dans le groupe administrateurs
lien utile: https://technet.microsoft.com/fr-fr/library/cc700835.aspx
vote if you think useful
- Modifié F.ABASSI lundi 23 mars 2015 12:46
- Marqué comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
- Non marqué comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
- Proposé comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
- Non proposé comme réponse Boris Ivanov vendredi 27 mars 2015 08:54
-
Merci pour ce retour,
Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?
Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....
Merci
-
Merci pour ce retour,
Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?
Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....
Merci
Bonjour,
Pour modifier le schéma, il faut être dans le groupe "Administrateur du schéma", pour modifier les niveaux fonctionnels, il faut être membre de "Administrateur de l'entreprise" et/ou "Admins du Domaine".
Dans le doute, mets le compte dans les trois groupes avec un mot de passe fort, et enlève le des groupes à la fin des opérations.
- Proposé comme réponse Boris Ivanov jeudi 26 mars 2015 10:09
- Non proposé comme réponse Boris Ivanov vendredi 27 mars 2015 08:54
-
Merci pour ce retour,
Je créé donc un util du domaine puis je l ajoute dans Builtin\administrateurs, c'est bien ça?
Nous aurons bien tous les droits pour effectuer une migration de domaine? augmenter les niveaux fonctionnels?Migrer les rôles? depromouvoir? etc....
Merci
vote if you think useful
-
-
Vous aurez plus d'élément sur la migration AD ici . La migration se prépare et il faut réfléchir aux éléments utilisant l'AD (RADIUS, copieur multifonction, autre service ou application qui utilisent l'authentification AD). Ils sont souvent oubliés.
Vous pouvez créer un autre compte du moment que vous lui donner les droits suffisant comm précisé par Emmanuel.
https://technet.microsoft.com/fr-fr/library/cc756898%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
Si vous avez un doute sur votre mot de passe administrateur changé le ...
De toute façon il est préférable de ne pas l'utiliser et d'avoir au moins un autre compte plus personnalisé pour la gestion par exemple "adm-moi" ...
-
Bonjour,
Merci beaucoup pour vos précisions,
J'ai monte un lab virtuel avec des images de mes serveurs actuels sous 2003 et intégré les 2012 etc...
Çà a l'air de plutôt bien se passer.
Mon dernier point d’interrogation concerne la recuperation des IP des 2 contrôleurs de domaine actuels pour les attribuer aux nouveaux.
En effet je possède sur mon parc de nombreuses machines liés par un adresse IP manuel et qui ont donc en dur ces adresses DNS. A savoir que cette migration va être faite en weekend, surement la semaine prochaine.
Voyez vous un problème sur ce point? Puis je bien modifier les Ip des contrôleurs actuels puis les récupérer pour les nouveaux que je vais intégrer?
Merci.
-
Bonjour,
Merci beaucoup pour vos précisions,
J'ai monte un lab virtuel avec des images de mes serveurs actuels sous 2003 et intégré les 2012 etc...
Çà a l'air de plutôt bien se passer.
Mon dernier point d’interrogation concerne la recuperation des IP des 2 contrôleurs de domaine actuels pour les attribuer aux nouveaux.
En effet je possède sur mon parc de nombreuses machines liés par un adresse IP manuel et qui ont donc en dur ces adresses DNS. A savoir que cette migration va être faite en weekend, surement la semaine prochaine.
Voyez vous un problème sur ce point? Puis je bien modifier les Ip des contrôleurs actuels puis les récupérer pour les nouveaux que je vais intégrer?
Merci.
Bien sur. -
Ok parfait.
Ainsi en récupérant les IP j’évite de repasser sur la majorité des postes et périphériques de mon parc.
cela devrait être transparent pour mes utilisateurs au retour du weekend.
Peut être un batch au démarrage des postes afin de vider le cache DNS?
Merci.
-
Ok parfait.
Ainsi en récupérant les IP j’évite de repasser sur la majorité des postes et périphériques de mon parc.
cela devrait être transparent pour mes utilisateurs au retour du weekend.
Peut être un batch au démarrage des postes afin de vider le cache DNS?
Merci.
Il me semble que le cache DNS est purgé à chaque reboot de la machine, donc pas forcement nécessaire de faire un batch. -
-
Il est possible de modifier l'ip après avoir supprimé les anciens DC, mais attention a le faire proprement.
On ne supprima pas immédiatement les anciens DC après la promotion des nouveaux.
Il faut penser a bien reconfigurer les refdirecteurs DNS et autre avant de supprimer. Valider que dcdeiag et repadmin ne remonte pas d'erreur.
Il est possible de modifier DNS primaire et DNS secondaire par powershell mais cela dépend de la version de powershell et donc de l'OS.
Perso je suis plutôt pour la migration des paramètres clients que pour la modif d'ip du serveur, mais il faut voir au cas par cas ...
-
Oups tu me refroidis!!!
L idée générale :
Modification des IP des contrôleurs actuels, redémarrage etc..
Vérification Générale du bon fonctionnement avec ces IP, ad, dns...
Intégration nouveaux serveurs avec IP récupérées,
Basculement des rôles
Extinction des anciens serveurs pour vérifier le fonctionnement général
Puis de promouvoir ces serveurs!!
En lab ça a l'air de tourner.
La majorité de mon parc est en IP fixe.
-
Perso dans ton cas je ferai une bonne sauvegarde de l'état du système, quoi que, dans tous les cas il faut le faire : http://pbarth.fr/node/15
Je mets comme DNS primaire du premier et 2ème DC le 2ème DC. Je déplace si nécessaire les rôles FSMO sur le 2. Si les postes clients ont bien les 2 DNS configurés il n'y a pas de gène, éventuellement quelques ralentissements ponctuelles dans la résolution de nom.
Je rétrograde le premier. Je supprime l'objet ordinateurs dans site et services (paramètre NTDS doit être supprimé lors de la régression du DC il reste juste le nom du serveur). Je purge les entrées DNS (A, SOA, ....)
Je réinstall un nouveau serveur 2012 avec la bonne IP définitive je fais la promotion du nouveau. J'attends quelques jours en vérifiant la réplication. Puis je fais la même opération pour le 2ème (ne pas oublier a ce moment de mettre le premier en DNS primaire et de déplacer les rôles FSMO).
Maintenant le changement d'IP ça fonctionne faut juste être propre et réfléchir a chaque étape que les DC restants doivent répliquer et pour cela ils doivent trouver l'autre DC.
Si tu changes au même moment les IP des 2 DC et que les DC utilisent leur propre DNS comme primaire, la mise à jour de l'enregistrement A se fera sur sa propre zone DNS mais aucun des 2 n'aura l'info de la modification de l'IP de l'autre serveur tant que AD n'aura pas répliqué les zones DNS, et l'AD ne pourra répliquer tant que les serveurs ne pourront résoudre l'adresse de l'autre serveur ....
- Proposé comme réponse Boris Ivanov lundi 30 mars 2015 13:36
- Marqué comme réponse Boris Ivanov mardi 31 mars 2015 13:50
-
Merci a vous tous pour vos précieux conseils, Migration faite !!!
Je me permet de vous solliciter sur 2 nouveaux points afin d avoir votre avis :
- Je souhaite modifier désormais le mot de passe administrateur du domaine car connu par une personne parti de la société, puis je le faire sans dommage? Réplication des contrôleurs? Ordre de redémarrage?
-Enfin je souhaite pour un nombre très limites d utilisateurs qu ils disposent de droits admin en local sur leur machine afin d'installer des programmes etc.....mais qu en aucun cas ces droits ne soient au niveau du domaine? créer un groupe admin local avec droits builtin\administrateur?
Merci
-