none
Remplacement d'un serveur nommé AD1 sous windows Server 2003 R2 par un serveur nommé AD1 sous windows server 2012 RRS feed

  • Question

  • Bonjour,

    Notre infrastructure est composé de 2 contrôleurs de domaine en windows Server 2003 R2 (AD1, AD2) que nous souhaitons remplacer par 2 contrôleurs de domaine Windows Server 2012. Nous souhaitons conserver les mêmes noms de machines.

    Voici notre procédure que nous avons suivi :

    1- intégration des deux machines 2012 en tant que serveurs membres (AD3, AD4). [OK]

    2- Promotion des 2012 en controleur de domaine [OK]

    3- migration des rôles FSMO sur un des contrôleurs 2012 (AD3) [OK]

    4- retrogradation des contrôleurs sous 2003 [OK]

    5- Suppression des serveurs membres 2003 du domaine [OK]

    6- Modification du nom de la machine 2012 qui ne possède pas les rôles FSMO (AD4 -> AD1) [ERREUR]

    7- Migration des rôles FSMO sur la machine 2012 renommé (AD3 -> AD1)

    8- Modification du nom de la seconde machine 2012 (AD3 -> AD2)

    Donc nos problèmes démarrent lorsqu'on renomme une première machine :

    1- la dépromotion des contrôleurs 2003 ne supprime pas tous les objets de l'AD. Il nous a donc été nécessaire de supprimer l'objet ordinateur nommé ainsi que l'objet serveur.

    2- L'ajout d'un nom secondaire par la commande "netdom computername AD4 /add:AD1.domain" a répondu positivement lors de la première tentative mais a répondu négativement sur la seconde avec un message d'erreur vide.

    3- le passage en nom principale par la commande "netdom computername AD4 /makeprimary:AD1.domain a répondu négativement lors des deux essais mais a chaque fois la machine a modifié son nom et a réclamé un redémarrage.

    4- Après redémarrage la machine a bien changé de nom mais comme les objets ne sont pas créés dans l'AD, elle n'est pas vu. l'UO "Domain Controllers" conserve un objet avec l'ancien nom AD4 qui n'existe normalement plus. Et malheureusement aucune trace du nouveau nom AD1. Pas même dans l'UO Ordinateurs.

    Notre présomption :

    1- la retrogradation des DC 2003 laisse des traces dans l'AD que nous devons purger qui sont plus importante que juste les objets ordinateur et server.

    2- en fait la procédure de renommage de DC de Microsoft même en 2012 n'est pas possible dans la vrai vie.

    Si vous avez des conseils ou des avis avisés, nous vous en serions très reconnaissant.

    Cordialement,


    Guillaume




    mercredi 4 décembre 2013 08:24

Réponses

  • Bonjour,

    Il faut noter qu'il n'est pas recommandé de renommer un contrôleur de domaine une fois le rôle est  installé

    J'ai passé de mette situation (avec 2 contrôleur de domaine), j'ai mis à niveau les contrôleur de domaine en gardant les mêmes nom et assurer la disponibilité du domaine.

    Je vous recommande de suivre le scénario suivant :

    1. choisir le contrôleur (dc01)qui va être supprimer le premier et migrer les rôle fsmo vers l'autre (dc02) et le définir comme DNS sur tous les ordinateur et serveur membre du domaine
    2. mettre à niveau le niveau fonctionnel du domaine vers 2003 pour que vous puissiez installer un contrôleur de domaine Windows 2012
    3. Supprimer le contrôleur de domaine via la commande dcpromo , si vous avez rencontrer des problèmes et les traces du contrôleur dans le domaine vous pouvez le faire directement via l'autre contrôleur disponible:Suppression Active directory
    4. installer le serveur Windows 2012 et le nommé dc01
    5. Ajouter le nouveau serveur Windows 2012 comme un contrôleur de domaine e migrer vers lui tous les rôle FSMO et le définir comme DNS principale sur tous les serveurs et ordinateurs membres du domaine.
    6. rétrograder l'active directory du serveur Windows 2003 (dc02) et le supprimer du domaine
    7. installer le deuxième serveur Windows 2012 et le nommer DC02 puis installer l'active directory 



    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    mercredi 4 décembre 2013 08:48
    Modérateur
  • 4. Attente de 5 minutes

    Vous n'utilisez jamais "site et service AD", dcdiag repadmin pour vérifier que tout est OK ?

    après avoir créer un DC on surveille aussi l'observateur d'événement ! riche en infojournal directory service événement 1128, 1394 ...

    Bref, nous allons re-tester en clonant nos machines.

    Ne cloner pas des contrôleurs de domaine n'importe comment.  Ce n'est supporter qu'à partir de 2012 avec certaines conditions

    http://blogs.technet.com/b/huuducle/archive/2012/11/28/quelques-recommandations-pour-cloner-les-dc-windows-2012-virtuels.aspx

    12. Procédure de changement de nom sur le DC DC3.

    Vous voulez changer le nom de DC1 ou de DC 3 ?

    Par quel méthode ?

    Les autres serveurs sont aussi des catalogues globaux ?

    Un article sur la méthodehttp://support.microsoft.com/kb/814589/fr#6

    -transferer rôles FSMO, vérifier l'état (dcdiag, repadmin)

    - rétrograder ancien DC- renommer ancien DC

    - promouvoir en tant que DC.

    15. Suppression du nom DC3 sur la nouvelle machine DC1.

    Vérifier  l'état avant de supprimer un DC. Il ne suffit pas de dire j'attends 5 minutes. Et contrairement à ce qu'on pense après le DCpromo, lorsque vous avez le message qui vous indique que le serveur a bien été promue l'opération n'est pas encore terminée. Il faut encore qu'il redémarre qu'il crée ses liens de réplications que la topologie de réplications soit répliqués partout .... 

    Sans vouloir vous vexer je trouve votre démarche complexe pour une opération qui devrait être assez simple ...

    • Marqué comme réponse Florin Ciuca lundi 9 décembre 2013 12:01
    jeudi 5 décembre 2013 06:28
    Modérateur
  • Nous pourrions effectivement force la réplication par repladmin

    => il ne s'agit pas de forcer mais de vérifier, repadmin /showrel , repadmin /replsummary ...

    Attendre 5 minutes n'est pas toujours suffisant cela dépend de la topologie

    contrôler les états de nos AD

    => dcdiag ? eventvwr ?

    procédure de renommageconseillé et documenté par MicrosoftJe n'ai rien contre netdom  pour renommer les DC ... je l'ai déjà utilisé

    Maintenant la méthode de réinstall me semble plus transparent et propre.

    • Marqué comme réponse Florin Ciuca lundi 9 décembre 2013 12:01
    jeudi 5 décembre 2013 10:57
    Modérateur

Toutes les réponses

  • Bonjour,

    Il faut noter qu'il n'est pas recommandé de renommer un contrôleur de domaine une fois le rôle est  installé

    J'ai passé de mette situation (avec 2 contrôleur de domaine), j'ai mis à niveau les contrôleur de domaine en gardant les mêmes nom et assurer la disponibilité du domaine.

    Je vous recommande de suivre le scénario suivant :

    1. choisir le contrôleur (dc01)qui va être supprimer le premier et migrer les rôle fsmo vers l'autre (dc02) et le définir comme DNS sur tous les ordinateur et serveur membre du domaine
    2. mettre à niveau le niveau fonctionnel du domaine vers 2003 pour que vous puissiez installer un contrôleur de domaine Windows 2012
    3. Supprimer le contrôleur de domaine via la commande dcpromo , si vous avez rencontrer des problèmes et les traces du contrôleur dans le domaine vous pouvez le faire directement via l'autre contrôleur disponible:Suppression Active directory
    4. installer le serveur Windows 2012 et le nommé dc01
    5. Ajouter le nouveau serveur Windows 2012 comme un contrôleur de domaine e migrer vers lui tous les rôle FSMO et le définir comme DNS principale sur tous les serveurs et ordinateurs membres du domaine.
    6. rétrograder l'active directory du serveur Windows 2003 (dc02) et le supprimer du domaine
    7. installer le deuxième serveur Windows 2012 et le nommer DC02 puis installer l'active directory 



    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    mercredi 4 décembre 2013 08:48
    Modérateur
  • La méthode Thameur est sans risque vous allez ponctuellement tourné sur 1 DC pendant le temps de mise à jour ( étape 3 à 5).

    Vous pouvez aussi créer un AD3 temporaiement le temps de réinstaller AD1 et AD2 en 2012 dans ce cas vous conserver les noms plutôt que de renommer AD3 ou AD4.


    mercredi 4 décembre 2013 11:32
    Modérateur
  • Merci pour votre support.

    J'ai créé une plateforme de test contenant 3 machines :
    - AD1, 192.168.1.1, Windows Server 2003 R2 SP2
    - AD2, 192.168.1.2, Windows Server 2003 R2 SP2

    - AD3, 192.168.1.3, Windows Server 2012

    J'ai initié le domaine avec la machine AD1. J'ai intégrer toutes les machines dans un domaine en contrôleur de domaine et DNS.

    Voici la procédure réalisée :
    1. Migration des rôles FSMO sur DC2
    2. Modification des DNS Primaire de chaque machine pour pointer vers DC2 (192.168.1.2). Le DNS Secondaire pour DC2 est placer en DC3 (192.168.1.3). Les autres ont la boucle locale (127.0.0.1)
    3. Retrogradation de la machine DC1
    4. Attente de 5 minutes
    5. Vérification de la retrogradation de la machine DC1
    6. Changement de nom de la Machine DC1 en OLDDC1 => Redémarrage
    7. Vérification du changement de nom dans l'AD et vérification des entrées DNS
    8. Changement de l'adresse IP de OLDDC1 en 192.168.1.4
    9. Suppression de l'objet Serveur dans Sites et Approbations.
    10. Suppression des entrées DNS associés au nom DC1
    11. Attente de 5 minutes
    12. Procédure de changement de nom sur le DC DC3. (Aucune erreur) => Redémarrage
    13. Attente de 5 minutes
    14. Vérification de la modification des entrées dans l'AD
    15. Suppression du nom DC3 sur la nouvelle machine DC1.

    16. Modification de l'adresse IP de la machine en 192.168.1.1

    Cette procédure a fonctionné sans problème sur une plateforme de test. Je comprends pas pourquoi elle ne s'applique pas aussi facilement sur notre environnement de production.

    Le fait que le serveur 2012 était déjà contrôleur de domaine n'a posé aucun soucis.

    Bref, nous allons re-tester en clonant nos machines.


    Guillaume

    mercredi 4 décembre 2013 15:35
  • 4. Attente de 5 minutes

    Vous n'utilisez jamais "site et service AD", dcdiag repadmin pour vérifier que tout est OK ?

    après avoir créer un DC on surveille aussi l'observateur d'événement ! riche en infojournal directory service événement 1128, 1394 ...

    Bref, nous allons re-tester en clonant nos machines.

    Ne cloner pas des contrôleurs de domaine n'importe comment.  Ce n'est supporter qu'à partir de 2012 avec certaines conditions

    http://blogs.technet.com/b/huuducle/archive/2012/11/28/quelques-recommandations-pour-cloner-les-dc-windows-2012-virtuels.aspx

    12. Procédure de changement de nom sur le DC DC3.

    Vous voulez changer le nom de DC1 ou de DC 3 ?

    Par quel méthode ?

    Les autres serveurs sont aussi des catalogues globaux ?

    Un article sur la méthodehttp://support.microsoft.com/kb/814589/fr#6

    -transferer rôles FSMO, vérifier l'état (dcdiag, repadmin)

    - rétrograder ancien DC- renommer ancien DC

    - promouvoir en tant que DC.

    15. Suppression du nom DC3 sur la nouvelle machine DC1.

    Vérifier  l'état avant de supprimer un DC. Il ne suffit pas de dire j'attends 5 minutes. Et contrairement à ce qu'on pense après le DCpromo, lorsque vous avez le message qui vous indique que le serveur a bien été promue l'opération n'est pas encore terminée. Il faut encore qu'il redémarre qu'il crée ses liens de réplications que la topologie de réplications soit répliqués partout .... 

    Sans vouloir vous vexer je trouve votre démarche complexe pour une opération qui devrait être assez simple ...

    • Marqué comme réponse Florin Ciuca lundi 9 décembre 2013 12:01
    jeudi 5 décembre 2013 06:28
    Modérateur
  • Pour répondre à vos questions :

    Le passage du DC nommé DC3 en DC1 est réalisé par la procédure Microsoft utilisant la commande netdom :

    1. netdom computername DC3 /add:DC1.domain.local

    2. netdom computername DC3 /makeprimary:DC1.domain.local

    3. Redémarrage

    4. netdom computername DC1 /remove:DC3.domain.local

    Nous pourrions effectivement force la réplication par repladmin mais nous avons opter pour la patience comme nous le suggère le proverbe "Qui trop se hâte reste en chemin".

    Après chaque attente, nous prenons bien évidement le temps de contrôler les états de nos AD sur les différentes machines.

    Notre infrastructure est dans l'état de départ mixte 2003/2012 à 4 contrôleurs (2/2). Notre objectif final est un infrastructure 2012 à 2 contrôleurs. C'est pour cette raison que nous avons opté pour cette procédure de renommage conseillé et documenté par Microsoft. Nous réalisons actuellement des tests sur notre environnement je fournirai les résultats pour conclure ce billet.


    Guillaume

    jeudi 5 décembre 2013 10:43
  • Nous pourrions effectivement force la réplication par repladmin

    => il ne s'agit pas de forcer mais de vérifier, repadmin /showrel , repadmin /replsummary ...

    Attendre 5 minutes n'est pas toujours suffisant cela dépend de la topologie

    contrôler les états de nos AD

    => dcdiag ? eventvwr ?

    procédure de renommageconseillé et documenté par MicrosoftJe n'ai rien contre netdom  pour renommer les DC ... je l'ai déjà utilisé

    Maintenant la méthode de réinstall me semble plus transparent et propre.

    • Marqué comme réponse Florin Ciuca lundi 9 décembre 2013 12:01
    jeudi 5 décembre 2013 10:57
    Modérateur