none
Migration AD windows server 2000 vers 2016 RRS feed

  • Question

  • Bonjour à tous,

    oui je sais j'ai 15 ans de retard... mais je voudrais migrer mon domaine AD qui est actuellement sur une machine windows 2000 ver mon nouveau serveur 2016 Essentials. :)
    J'ai suivi les tutos pour préparer la forêt et le domaine vers le niveau fonctionnel 2003.

    Pour cela j'ai utilisé un CD windows 2003 depuis lequel j'ai exécuté avec succès les commandes :
    - adprep /forestprep
    - adprep /domainprep
    - adprep /domainprep /gpprepSeulement mon serveur 2016 me dit que la forêt est toujours en niveau 2000.
    J'ai essayé de transférer le domaine vers un serveur 2003 et il me dit la même chose, j'ai tenté de réexécuter les commandes une deuxième fois mais impossible elles me disent qu'elles ont déjà été exécutées avec succès.

    J'aimerai savoir comment vérifier le niveau fonctionnel depuis mon server 2000 ?
    Dois-je obligatoirement mettre à jour la machine 2000 vers 2003 avant ? (ca me fait un peu peur au cas ou les programmes ne suivent pas), d'après certains tutoriels ce n'est pas indispensable.

    Merci pour votre aide,
    Cordialement,

    mercredi 21 février 2018 20:08

Réponses

  • Bonjour,

    Vous avez besoin d'un DC intermédiaire  2003 ou 2008 selon la version du schéma actuelle pour effectuer la migration.

    Vous pouvez créer une machine virtuelle pour faire l'affaire.

    Il existe un fichier adprep.log sous C:\WINDOWS\debug\adprep\logs\ généré automatiquement qui enregistrement toutes les modifications réalisées par la commande adprep.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 00:00
    Modérateur
  • 1. Oui ; transfert des rôles FSMO, vérif des syncro 

    2. Oui

    3. Oui, et celui du domaine ensuite

    4. Le bon me parait un peu énorme, certaines fonctions ne sont plus possibles avec 2016 alors qu'elles le sont toujours avec 2012 R2. 

    avant de vous jeter en avant, prenez le temps d'auditer ce qui tourne dans votre infra : les serveurs, les clients et les services seront directement impacté par le changement (modification des versions Kerberos, le SMBv1 qui disparaît, l'arrêt de NTLM, les clé de chiffrement qui sont durci, l'arrivé de DFSr en remplacement de NTFRS, ...).

    jeudi 22 février 2018 20:29
  • Bonjour,

    les commandes que vous avez lancés permet de préparer la forêt et le domaine pour la première  promotion d'un  contrôleur de domaine sous Windows 2003. Vous aurez besoin de les lancer à chaque monté de version du contrôleur de domaine depuis le CD d'installation de la nouvelle version du système d'exploitation.

    Pour installer un nouveau AD sous Windows , il faut que le niveau fonctionnel de la forêt soit 2003 ou plus.

    Pour information, le niveau fonctionnel de la forêt et du domaine définit la version minimale du système d'exploitation d'un contrôleur de domaine.

    Pour votre cas , pour pouvoir installer un DC sous Windows 2016 il faut suivre les étapes suivantes:

    1. Rétrograder le DC sous Windows 2000
    2. Augmenter le niveau fonctionnel du domaine et de la forêt vers 2003
    3. Promouvoir un DC sous Windows 2016 (la préparation de la foêt et du domaine sera lancé automatiquement pendant la promotion du DC)
    4. Rétrograder le DC sous WIndows 2003

    Avant chaque étapes vérifier toujours l'état de santé et de la réplication des contrôleurs de domaine.

    Je vous invite à consulter les liens ci-dessous pour avoir plus d'information:

    Le niveau fonctionnel FFL/DFL

    Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

    Déployer le premier contrôleur de domaine sous Windows 2016


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 21 février 2018 21:30
    Modérateur
  • la migration est possible via une étape intermédiaire (AD 2003 ou 2008), sans être obligé de migrer vers une autre forêt.  

    Avant de lancer chaque il faut vérifier l'état de santé , de la réplication et bien configurer les paramètres DNS.


    jeudi 22 février 2018 12:13
  • La migration est possible mais trouver un OS 2003 ou 2008 de nos jours... C'est pas gagné ! surtout qu'il faut s'assurer de la source (et éviter les véroles web).
    jeudi 22 février 2018 13:02
  • Même Windows 2008 R2 peut jouer le rôle d'un DC intermédiaire comme l'indique Loic, Dans ce cas vous serez obliger relancer la préparation du domaine et de la forêt depuis le CD 'installation de Windows 2008R2.

    Quand vous lancer la promotion d'un DC sous Windows 2016 dans une forêt de niveau fonctionnel inférieur à 2003 vous aurez ce message :


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 14:39
    Modérateur
  • Oh joie ! j'ai réessayé d'ajouter le serveur 2003 en contrôleur de domaine et cette fois ca a fonctionné ! :)

    J'ai donc accès à l'option augmenter le niveau fonctionnel de la forêt mais il ne me propose pas 2003 (je suppose que c'est parce que le 2000 est toujours contrôleur également).

    Donc si je comprend bien il faudrait maintenant :

    1. que je fasse de ce serveur 2003 le DC principal
    2. je retire le serveur 2000 des DC
    3. j'augmente le niveau de la forêt et du domaine à 2003
    4. j'ajoute mon server 2016 aux DC, je le met en principal, je retire le 2003 des DC

    est ce que la démarche vous parait bonne ?

    Question subsidiaire : mes fichiers utilisateurs sont stockés sur le serveur 2000, dois-je les déplacer sur le 2003 avant de les déplacer vers le 2016 ?

    merci


    • Modifié Vin-ceu jeudi 22 février 2018 20:27 ajout infos
    • Marqué comme réponse Vin-ceu dimanche 25 février 2018 23:23
    jeudi 22 février 2018 20:24
  • Merci, en fait je n'ai pas vraiment d'autre option, pas de serveur sous 2012 et je dois me débarrasser de ces machines 2000 et 2003.

    Tous les postes sont encore en XP, on pourra passer à w10 quand j'aurai remplacé plusieurs serveurs.

    Au niveau du AD c'est une structure archi simple, pas de GPO, une 40 aine d'utilisateurs mais seulement une 20aine d'actifs, en gros j'y fais une modif tous les 3 mois pour reset un mot de passe oublié...
    Je devrai transférer ensuite sur ce serveur 2016 : DHCP et DNS, WSUS, et le partage d'imprimantes.

    Si vous avez pu ajouter un DC sous WIndows 2003 vous pouvez continuer la migration maintenant.

    Essayer de migrer d'abord tous les services AD/DNS/DHCP/ imprimantes vers le serveur intermédiaire, une fois terminé vous les migrer vers la version cible.

    Vous dites pas GPO mais pour WSUS, mais la GPO gére la configuration des postes de travail pour utiliser WSUS pout télécharger les mises à jour.

    Vous pouvez utiliser WIndows XP avec un DC windows 2016, mais il faut les migrer en urgence ,cette version n'est pas supportée par l'éditeur.

     


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 21:34
    Modérateur
  • Oh joie ! j'ai réessayé d'ajouter le serveur 2003 en contrôleur de domaine et cette fois ca a fonctionné ! :)

    J'ai donc accès à l'option augmenter le niveau fonctionnel de la forêt mais il ne me propose pas 2003 (je suppose que c'est parce que le 2000 est toujours contrôleur également).

    Donc si je comprend bien il faudrait maintenant :

    1. que je fasse de ce serveur 2003 le DC principal
    2. je retire le serveur 2000 des DC
    3. j'augmente le niveau de la forêt et du domaine à 2003
    4. j'ajoute mon server 2016 aux DC, je le met en principal, je retire le 2003 des DC

    est ce que la démarche vous parait bonne ?

    Question subsidiaire : mes fichiers utilisateurs sont stockés sur le serveur 2000, dois-je les déplacer sur le 2003 avant de les déplacer vers le 2016 ?

    merci


    Une petite remarque pour l'étape 1: Pas de notion de DC principale , il faut juste déplacer les rôles FSMO et déclarer son IP comme DNS sur les paramètres IP des poste de travail (DHCP) et serveur comme DNS principale.

    Pour la question subsidiaire: il vaut mieux de déplacer les fichiers vers un autre serveur plus récent dès maintenant


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 21:41
    Modérateur
  • Si tu fais la mise à niveau de schéma et que tu n'as pas d'erreur, je ne vois pas l'intérêt de restaurer pour revenir à la version d'avant, et même si ce n'est pas la version définitive ... Surtout si t'es en prod. Tu rajoute un risque inutile. 

    Un résumé sur les étapes de la migration AD :

    http://pbarth.fr/node/89

    jeudi 22 février 2018 22:28
  • Je vais tenter de migrer AD, DHCP et DNS la semaine prochaine, je posterai mes retours.

    Pour DNS il se migrera automatiquement avec la migration AD si tu as des zones intégrés AD.

    Pour DHCP il suffit que t'installes le rôle sur le nouveau et tu fais un export import des étendus. Tu récupère, la conf et les baux en cours.

    La dernière migration DHCP que j'ai faites avec 5 VLAN et donc 5 étendus DHCP, à pris ... 30minutes, en journée avec plus de 300 personnes connectés.

    Voir :

    netsh dhcp server export ...

    netsh dhcp server import ...


    vendredi 23 février 2018 07:55

Toutes les réponses

  • Bonjour,

    les commandes que vous avez lancés permet de préparer la forêt et le domaine pour la première  promotion d'un  contrôleur de domaine sous Windows 2003. Vous aurez besoin de les lancer à chaque monté de version du contrôleur de domaine depuis le CD d'installation de la nouvelle version du système d'exploitation.

    Pour installer un nouveau AD sous Windows , il faut que le niveau fonctionnel de la forêt soit 2003 ou plus.

    Pour information, le niveau fonctionnel de la forêt et du domaine définit la version minimale du système d'exploitation d'un contrôleur de domaine.

    Pour votre cas , pour pouvoir installer un DC sous Windows 2016 il faut suivre les étapes suivantes:

    1. Rétrograder le DC sous Windows 2000
    2. Augmenter le niveau fonctionnel du domaine et de la forêt vers 2003
    3. Promouvoir un DC sous Windows 2016 (la préparation de la foêt et du domaine sera lancé automatiquement pendant la promotion du DC)
    4. Rétrograder le DC sous WIndows 2003

    Avant chaque étapes vérifier toujours l'état de santé et de la réplication des contrôleurs de domaine.

    Je vous invite à consulter les liens ci-dessous pour avoir plus d'information:

    Le niveau fonctionnel FFL/DFL

    Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

    Déployer le premier contrôleur de domaine sous Windows 2016


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 21 février 2018 21:30
    Modérateur
  • Bonjour et merci pour votre réponse,

    J'ai tenté de vérifier la préparation du domaine et de la forêt :

    dsquery ne fonctionne pas sous windows 2000 mais adsiedit oui.
    la commande schupgr a fait basculer mon schema en windows 2008 car j'ai la valeur 44 qui apparait désormais en ObjectVersion.
    Par contre je n'ai pas de champ CN=ActivedirectoryUpdate donc je n'ai aucun moyen de savoir quelle est la valeur pour révision.

    Sauriez vous me dire comment faire ?

    merci pour votre aide !

    Je précise que je n'ai qu'un seul DC sur mon réseau.

    mercredi 21 février 2018 23:08
  • Bonjour,

    Vous avez besoin d'un DC intermédiaire  2003 ou 2008 selon la version du schéma actuelle pour effectuer la migration.

    Vous pouvez créer une machine virtuelle pour faire l'affaire.

    Il existe un fichier adprep.log sous C:\WINDOWS\debug\adprep\logs\ généré automatiquement qui enregistrement toutes les modifications réalisées par la commande adprep.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 00:00
    Modérateur
  • Tu as installé les support tools et le kit de ressource sur le 200 afin d'avoir des commandes supplémentaires ?

    Sinon la migration depuis 2000 nécessite de passer par une étape intermédiaire comme expliqué par Thameur. Il y a également des particularité comme la gestion DNS, a partir de 2003 R2 des nouvelles partitions apparaissent dans l'AD pour stocker les zones DNS (ForestDNSZones et DomainDNSZones). 

    Pour moi ton scénario est un peu particulier car un peu hors du temps et je penses que tu devrais te faire aider par quelqu'un qui a de l'expérience. D'autant plus que par défaut il manque pas mal d'outil de contrôle sur le 2000.

    Je peux également te recommander mon livre : 

    https://becomeitexpert.com/produit/planifier-migrer-infrastructure-active-directory-vers-windows-server-2012-r2-1ere-edition/

    Mais il est applicable à partir de 2003. Il y a quelques petites particularité sur 2000 en plus.

    jeudi 22 février 2018 06:40
  • Même avis que Philippe : le delta est trop important pour envisager un scenario de migration seul. Il est également possible de transférer le domaine vers une nouvelle forêt : le scénario est alors plus simple mais cela peut couter plus cher et prendre plus de temps. La nouvelle forêt serait de toute façon limitée également (2008 R2 de mémoire est la dernière version qui accepterait un trust de foret avec 2000).

    jeudi 22 février 2018 07:16
  • la migration est possible via une étape intermédiaire (AD 2003 ou 2008), sans être obligé de migrer vers une autre forêt.  

    Avant de lancer chaque il faut vérifier l'état de santé , de la réplication et bien configurer les paramètres DNS.


    jeudi 22 février 2018 12:13
  • La migration est possible mais trouver un OS 2003 ou 2008 de nos jours... C'est pas gagné ! surtout qu'il faut s'assurer de la source (et éviter les véroles web).
    jeudi 22 février 2018 13:02
  • Même Windows 2008 R2 peut jouer le rôle d'un DC intermédiaire comme l'indique Loic, Dans ce cas vous serez obliger relancer la préparation du domaine et de la forêt depuis le CD 'installation de Windows 2008R2.

    Quand vous lancer la promotion d'un DC sous Windows 2016 dans une forêt de niveau fonctionnel inférieur à 2003 vous aurez ce message :


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 14:39
    Modérateur
  • Oui j'ai également essayé avec un CD 2008 mais la commande forestprep ne se lance pas, l'invite de commande reste en attente indéfiniment...

    C'est bien le message d'erreur que j'ai depuis le serveur en 2016 et egalement depuis un autre serveur sous 2003.

    jeudi 22 février 2018 18:12
  • Bonjour,

    j'ai un serveur wsus sous windows 2003 dans mon réseau. J'ai egalement essayé de lui donner le rôle DC mais il me met le même message d'erreur : la forêt du domaine est niveau 2000.

    jeudi 22 février 2018 18:15
  • La migration est possible mais trouver un OS 2003 ou 2008 de nos jours... C'est pas gagné ! surtout qu'il faut s'assurer de la source (et éviter les véroles web).

    Bonjour,

    de ce coté là ca va j'ai les versions 2003 et 2008...


    jeudi 22 février 2018 18:24
  • Tu as installé les support tools et le kit de ressource sur le 200 afin d'avoir des commandes supplémentaires ?

    Sinon la migration depuis 2000 nécessite de passer par une étape intermédiaire comme expliqué par Thameur. Il y a également des particularité comme la gestion DNS, a partir de 2003 R2 des nouvelles partitions apparaissent dans l'AD pour stocker les zones DNS (ForestDNSZones et DomainDNSZones). 

    Pour moi ton scénario est un peu particulier car un peu hors du temps et je penses que tu devrais te faire aider par quelqu'un qui a de l'expérience. D'autant plus que par défaut il manque pas mal d'outil de contrôle sur le 2000.

    Je peux également te recommander mon livre : 

    https://becomeitexpert.com/produit/planifier-migrer-infrastructure-active-directory-vers-windows-server-2012-r2-1ere-edition/

    Mais il est applicable à partir de 2003. Il y a quelques petites particularité sur 2000 en plus.

    Bonjour,

    merci c'est pas évident de trouver un spécialiste Microsoft, je suis en Polynésie et il n'y a même pas un revendeur officiel ici... d'ailleurs c'est pour ce qu'il y a un décalage horaire important sur mes réponses.

    Si j'arrive effectivement a ajouter mon 2003 comme DC et le promouvoir hôte je pourrai plus facilement passer a 2016.

    J'ai bien installé le ressource kit sur le serveur 2000.

    J'ai egalement installé le kit 2003 sur ma machine XP.

    • Modifié Vin-ceu jeudi 22 février 2018 18:28 ajout d'infos
    jeudi 22 février 2018 18:26
  • Bonjour,

    Vous avez besoin d'un DC intermédiaire  2003 ou 2008 selon la version du schéma actuelle pour effectuer la migration.

    Vous pouvez créer une machine virtuelle pour faire l'affaire.

    Il existe un fichier adprep.log sous C:\WINDOWS\debug\adprep\logs\ généré automatiquement qui enregistrement toutes les modifications réalisées par la commande adprep.



    merci je vais regarder ce fichier log de plus près !

    le serveur intermédiaire 2003 me dit que la forêt est toujours sous 2000 donc même souci..

    jeudi 22 février 2018 18:26
  • merci je vais regarder ce fichier log de plus près !

    le serveur intermédiaire 2003 me dit que la forêt est toujours sous 2000 donc même souci..

    Avez vous utilisé un compte membre du groupe administrateur de l'entreprise, du schéma  et du domain admin?

    si non c'est quoi le contenue du fichier adprep.log ?


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 18:28
    Modérateur
  • merci je vais regarder ce fichier log de plus près !

    le serveur intermédiaire 2003 me dit que la forêt est toujours sous 2000 donc même souci..

    Avez vous utilisé un compte membre du groupe administrateur de l'entreprise, du schéma  et du domain admin?

    si non c'est quoi le contenue du fichier adprep.log ?


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    Oui bien sur je fais toutes les manip sous la session admin du domaine.

    Je viens de regarder le fichier log il est vide... Je pense que la commande adprep que j'ai exécuté avec le cd 2008 et qui a tourné sans fin a vidé le fichier... la date de modif correspond.

    jeudi 22 février 2018 18:40
  • J'avais fait une sauvegarde sous NTbackup avant de preparer la foret si je le restaure tout devrait revenir sous le niveau 2000 originel ?
    jeudi 22 février 2018 18:42
  • J'avais fait une sauvegarde sous NTbackup avant de preparer la foret si je le restaure tout devrait revenir sous le niveau 2000 originel ?

    Avant de lancer la restauration êtes vous sur que c'est le fichier 32 bit que vous avez lancer pour adprep?



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 19:00
    Modérateur
  • admin du domaine

    Pas bon : il faut être membre du groupe Enterprise Admins et Schema Admins. La préparation requiert des droits particulier.

    Voir ici : https://support.microsoft.com/en-us/help/325379/how-to-upgrade-windows-2000-domain-controllers-to-windows-server-2003

    jeudi 22 février 2018 19:10
  • J'avais fait une sauvegarde sous NTbackup avant de preparer la foret si je le restaure tout devrait revenir sous le niveau 2000 originel ?

    Avant de lancer la restauration êtes vous sur que c'est le fichier 32 bit que vous avez lancer pour adprep?



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    Oui j'ai utilisé les CD 32bits de 2003 et 2008. Je pense que je vais restaurer AD ce weekend pour repartir sur une base propre et refaire adprep 2003, puis verifier le log étape par étape.
    jeudi 22 février 2018 19:12
  • admin du domaine

    Pas bon : il faut être membre du groupe Enterprise Admins et Schema Admins. La préparation requiert des droits particulier.

    Voir ici : https://support.microsoft.com/en-us/help/325379/how-to-upgrade-windows-2000-domain-controllers-to-windows-server-2003

    Apparemment c'est bien le cas, c'est cette procédure que j'ai suivi...
    jeudi 22 février 2018 19:18
  • Oui, la votre profile est bon.
    jeudi 22 février 2018 19:28
  • Oh joie ! j'ai réessayé d'ajouter le serveur 2003 en contrôleur de domaine et cette fois ca a fonctionné ! :)

    J'ai donc accès à l'option augmenter le niveau fonctionnel de la forêt mais il ne me propose pas 2003 (je suppose que c'est parce que le 2000 est toujours contrôleur également).

    Donc si je comprend bien il faudrait maintenant :

    1. que je fasse de ce serveur 2003 le DC principal
    2. je retire le serveur 2000 des DC
    3. j'augmente le niveau de la forêt et du domaine à 2003
    4. j'ajoute mon server 2016 aux DC, je le met en principal, je retire le 2003 des DC

    est ce que la démarche vous parait bonne ?

    Question subsidiaire : mes fichiers utilisateurs sont stockés sur le serveur 2000, dois-je les déplacer sur le 2003 avant de les déplacer vers le 2016 ?

    merci


    • Modifié Vin-ceu jeudi 22 février 2018 20:27 ajout infos
    • Marqué comme réponse Vin-ceu dimanche 25 février 2018 23:23
    jeudi 22 février 2018 20:24
  • 1. Oui ; transfert des rôles FSMO, vérif des syncro 

    2. Oui

    3. Oui, et celui du domaine ensuite

    4. Le bon me parait un peu énorme, certaines fonctions ne sont plus possibles avec 2016 alors qu'elles le sont toujours avec 2012 R2. 

    avant de vous jeter en avant, prenez le temps d'auditer ce qui tourne dans votre infra : les serveurs, les clients et les services seront directement impacté par le changement (modification des versions Kerberos, le SMBv1 qui disparaît, l'arrêt de NTLM, les clé de chiffrement qui sont durci, l'arrivé de DFSr en remplacement de NTFRS, ...).

    jeudi 22 février 2018 20:29
  • Merci, en fait je n'ai pas vraiment d'autre option, pas de serveur sous 2012 et je dois me débarrasser de ces machines 2000 et 2003.

    Tous les postes sont encore en XP, on pourra passer à w10 quand j'aurai remplacé plusieurs serveurs.

    Au niveau du AD c'est une structure archi simple, pas de GPO, une 40 aine d'utilisateurs mais seulement une 20aine d'actifs, en gros j'y fais une modif tous les 3 mois pour reset un mot de passe oublié...
    Je devrai transférer ensuite sur ce serveur 2016 : DHCP et DNS, WSUS, et le partage d'imprimantes.

    jeudi 22 février 2018 20:49
  • Si ce n'est qu'une 20aine de poste, vous vous embêtez pour rien. Montez un nouveau domaine, créez les users, groupes, gpo, etc... Ensuite, faites la migration poste par poste des utilisateurs en les basculant sur la nouvelle machine Windows 10.  Ajouter au besoin un trust entre les forêts si vous d'autres applis le requiert (serveur de fichiers par exemple).
    jeudi 22 février 2018 20:52
  • Merci, en fait je n'ai pas vraiment d'autre option, pas de serveur sous 2012 et je dois me débarrasser de ces machines 2000 et 2003.

    Tous les postes sont encore en XP, on pourra passer à w10 quand j'aurai remplacé plusieurs serveurs.

    Au niveau du AD c'est une structure archi simple, pas de GPO, une 40 aine d'utilisateurs mais seulement une 20aine d'actifs, en gros j'y fais une modif tous les 3 mois pour reset un mot de passe oublié...
    Je devrai transférer ensuite sur ce serveur 2016 : DHCP et DNS, WSUS, et le partage d'imprimantes.

    Si vous avez pu ajouter un DC sous WIndows 2003 vous pouvez continuer la migration maintenant.

    Essayer de migrer d'abord tous les services AD/DNS/DHCP/ imprimantes vers le serveur intermédiaire, une fois terminé vous les migrer vers la version cible.

    Vous dites pas GPO mais pour WSUS, mais la GPO gére la configuration des postes de travail pour utiliser WSUS pout télécharger les mises à jour.

    Vous pouvez utiliser WIndows XP avec un DC windows 2016, mais il faut les migrer en urgence ,cette version n'est pas supportée par l'éditeur.

     


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 21:34
    Modérateur
  • Oh joie ! j'ai réessayé d'ajouter le serveur 2003 en contrôleur de domaine et cette fois ca a fonctionné ! :)

    J'ai donc accès à l'option augmenter le niveau fonctionnel de la forêt mais il ne me propose pas 2003 (je suppose que c'est parce que le 2000 est toujours contrôleur également).

    Donc si je comprend bien il faudrait maintenant :

    1. que je fasse de ce serveur 2003 le DC principal
    2. je retire le serveur 2000 des DC
    3. j'augmente le niveau de la forêt et du domaine à 2003
    4. j'ajoute mon server 2016 aux DC, je le met en principal, je retire le 2003 des DC

    est ce que la démarche vous parait bonne ?

    Question subsidiaire : mes fichiers utilisateurs sont stockés sur le serveur 2000, dois-je les déplacer sur le 2003 avant de les déplacer vers le 2016 ?

    merci


    Une petite remarque pour l'étape 1: Pas de notion de DC principale , il faut juste déplacer les rôles FSMO et déclarer son IP comme DNS sur les paramètres IP des poste de travail (DHCP) et serveur comme DNS principale.

    Pour la question subsidiaire: il vaut mieux de déplacer les fichiers vers un autre serveur plus récent dès maintenant


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 21:41
    Modérateur
  • Si tu fais la mise à niveau de schéma et que tu n'as pas d'erreur, je ne vois pas l'intérêt de restaurer pour revenir à la version d'avant, et même si ce n'est pas la version définitive ... Surtout si t'es en prod. Tu rajoute un risque inutile. 

    Un résumé sur les étapes de la migration AD :

    http://pbarth.fr/node/89

    jeudi 22 février 2018 22:28
  • Si tu fais la mise à niveau de schéma et que tu n'as pas d'erreur, je ne vois pas l'intérêt de restaurer pour revenir à la version d'avant, et même si ce n'est pas la version définitive ... Surtout si t'es en prod. Tu rajoute un risque inutile. 

    Un résumé sur les étapes de la migration AD :

    http://pbarth.fr/node/89

    Merci pour le lien, effectivement maintenant que jai pu ajouter un DC 2003 je n'ai plus besoin de restaurer mon 2000.
    jeudi 22 février 2018 23:52
  • Une petite remarque pour l'étape 1: Pas de notion de DC principale , il faut juste déplacer les rôles FSMO et déclarer son IP comme DNS sur les paramètres IP des poste de travail (DHCP) et serveur comme DNS principale.

    Pour la question subsidiaire: il vaut mieux de déplacer les fichiers vers un autre serveur plus récent dès maintenant.

    Vous dites pas GPO mais pour WSUS, mais la GPO gére la configuration des postes de travail pour utiliser WSUS pout télécharger les mises à jour.

    Vous pouvez utiliser WIndows XP avec un DC windows 2016, mais il faut les migrer en urgence ,cette version n'est pas supportée par l'éditeur.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    D'accord merci !
    Effectivement j'avais oublié la seule GPO créée est celle de WSUS.
    Je sais qu'XP n'est plus supporté mais on ne peut pas passer à W7 ou plus récent à cause d'un autre serveur sous 2000 qui gère un système POS très vieux et dont le client ne tourne pas sous W7.
    Ca sera la dernière étape lorsque nous aurons changés ce 2e serveur 2000.

    Je vais tenter de migrer AD, DHCP et DNS la semaine prochaine, je posterai mes retours.

    Merci encore pour votre aide à tous !

    vendredi 23 février 2018 00:00
  • Attention, Windows 2000 n'est pas compatible avec Windows Server 2016 AD. 
    vendredi 23 février 2018 07:27
  • Je vais tenter de migrer AD, DHCP et DNS la semaine prochaine, je posterai mes retours.

    Pour DNS il se migrera automatiquement avec la migration AD si tu as des zones intégrés AD.

    Pour DHCP il suffit que t'installes le rôle sur le nouveau et tu fais un export import des étendus. Tu récupère, la conf et les baux en cours.

    La dernière migration DHCP que j'ai faites avec 5 VLAN et donc 5 étendus DHCP, à pris ... 30minutes, en journée avec plus de 300 personnes connectés.

    Voir :

    netsh dhcp server export ...

    netsh dhcp server import ...


    vendredi 23 février 2018 07:55
  • Attention, Windows 2000 n'est pas compatible avec Windows Server 2016 AD. 

    Aie OK concrètement ca pourrait empêcher quoi ? Ce windows 2000 ne recoit pas de GPO,  j'aimerais juste pouvoir ouvrir la session admin du domaine dessus (pas indispensable). Il y a quelques partages de fichiers dessus, mais surtout une connexion ODBC des postes XP, et 2 applications qui nécessitent un client installé sur les postes XP. Depuis le serveur 2016, aucune raison d'accéder à ce 2000.

    vendredi 23 février 2018 18:51
  • Je vous donne l'info que j'ai consolidé pour mes clients : voici une matrice des impacts d'upgrade d'un domaine. En résumé, les DC en version 2008 R2 ou supérieur ne pourront plus communiquer avec un serveur client Windows 2000.

    ACTIVE DIRECTORY UPGRADE IMPACTS
     
    Issue Min. DC
    Communication with workstation, member servers and domains NT 4.0 are no more possible. 2008 R2
    No more trusts can be made with NT 4.0 domain. 2008 R2
    Windows 2000 clients will not communicate with domain controllers. 2008 R2
    Sambe clients, Network Storage Area, Storage Area Network and Applications lying on old authentication mecanism (equivalent to NT 4.0) will no more be able to communicate by default. 2008 R2
    DES Encryption is disabled by default: service using this functionnality will no more be able to get tickets from the KDC service.  This feature can be reenabled by GPO as a legacy algorithm, but will be permanently removed in futur OS version release. 2008 R2
    KDC service uses new algorythms : AES128, AES256 and RC4. Service using DES should be reconfigured to use one of those new algorythm. 2008 R2
    A new protection mecanism Channel Binding Token (CBT) arise. This mecanism could block connection against non-Windows Servers (Kerberos and NTLM). This mecanism can be downgraded to allow compliance with such systems. Upgrading non-windows client authentication mecanism to be compliant with default CBT settingsis the preferred solution. 2008 R2
    Lan Manager (LM) is disabled by default. 2008 R2
    The LDAP service now fullfile the RFC2696 requierement and answer to LDAP request differently. If a client is not compatible with RFC2696, this behavior could be leveraged by activating the policy setting "disable strict restart blob check". 2008 R2
    SMB signing is enable by default. If a client is not compatible with it, this setting could be deactivated by Group Policy. 2008 R2
    Once forest or domain Functional Level is set to 2008 R2 or above, it will no more be possible to add a new domain controller with an Operating System lower than 2008 R2. 2008 R2
    Application using .Net 3.5 with SP1 or a lower version can face issue when using the enumeration function "DomainMode". (see http://support.microsoft.com/kb/2260240) 2008 R2
    Outlook 2003 has to be patched to be compliant with Active Directory 2008 or greater (kb968614). 2008 R2
    Office Communication Server has to patched to be compliant with Active Directory 2008 or greater (kb958980). 2008 R2
    Secure Channel Signing can generate error message about issue with a secure channel establishment. This can be dealled by disabling the Secure Channel Signing parameter named domain member: Digitally encrypt or sign secure channel data (alaways). 2008 R2
    Some LDAP request may fail when the response contains more than one page. This issue could be addressed by adding a new registry key on each Domain controller to set the DS Heuristics to 1. 2008 R2
    The SID S-1-18-1 and S-1-18-2 could not be mapped to computers hosting Windows 7 or Windows Server 2008 R2 and joind to an Active Directory domain (kb2830145). 2012
    when setting-up a new DC, the next button may be missing during the Options phase. This occurs when no site's subnet plan could not be identified against the DC IP address, or existing site. This also occurs when the DSRM password is not fetching the password policy or is not confirmed (kb2737807). 2012
    When installing Active Directory on a server, the process stucks at step Creating NTDS Settings. This happens when the local administrator password is the same as the administrator of the domain or when a network issue is blocking the replication process. (kb2737935) 2012
    When instaling Active Directory Domain Services (ADDS) using the Servers Manager console, the message "the server is not operational" appears. This occurs when the target server is in a Workgroup as the NTLM authentication is disabled (kb2738697). 2012
    Adprep /domainprep /gpprep is not automatically run as part of installing the first DC that runs Windows Server 2012 in a domain. If it has never been run previously in the domain, it must be run manually (kb2737129). 2012
    Warnings can appear during prerequisite validation and then reappear during the installation (kb2737416). 2012
    "Format of the specified domain name is invalid" appears if you are removing the last DC in a domain where pre-created RODC accounts still exist. This affects Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008 (kb2737424). 2012
    Domain controller does not start, c00002e2 error occurs, or "Choose an option" is displayed because an administrator used Dism.exe, Pkgmgr.exe, or Ocsetup.exe to remove the DirectoryServices-DomainController role. 2012
    IFM verification can have limitations. See https://support.microsoft.com/kb/2737516 2012
    Install-AddsDomainControllercmdlet returns parameter set error for RODC when you try to attach a server to an RODC account if you specify arguments that are already populated on the pre-created RODC account (2737535). 2012
    "Unable to perform Exchange schema conflict check" error, and prerequisites check fails when you configure the first Windows Server 2012 DC in an existing domain because DCs are missing the SeServiceLogonRight for Network Service or because WMI or DCOM protocols are blocked kb2737560). 2012
    AddsDeployment module with the -Whatif argument shows incorrect DNS results and shows that DNS server will not be installed but it will be (kb2737797). 2012
    You receive the error "Access is denied" when you create a child domain remotely by using Install-AddsDomain if the DNSDelegationCredential has a bad password (kb2738060). 2012
    You receive access denied errors after you log on to a local administrator domain account. When you log on using a local Administrator account rather than the built-in Administrator account and then create a new domain, the account is not added to the Domain Admins group (kb2738746). 2012
    "The system cannot find the file specified" Adprep /gpprep error, or tool crashes because the infrastructure master is implements a disjoint namespace (kb2743345). 2012
    Windows Server 2012 Adprep cannot be run on Windows Server 2003. Adprep will display "not a valid Win32 application" error on Windows Server 2003, 64-bit version (kb2743367) 2012
    ADMT 3.2 cannot be installed on Windows Server 2012 by design (kb2753560). 2012
    DFS Replication diagnostic report does not display correctly because of changes in Internet Explorer 10 (kb2750857). 2012
    Remote Group Policy updates are visible to users due to scheduled tasks run in the context of each user who is logged on. The Windows Task Scheduler design requires an interactive prompt in this scenario (kb2741537). 2012
    ADM files are not present in SYSVOL in the GPMC Infrastructure Status option and GP replication can report "replication in progress" because GPMC Infrastructure Status does not follow customized filtering rules (kb2741591). 2012
    "The service cannot be started" error during AD DS configuration ( installing or removing AD DS, or cloning) because the DS Role Server service is disabled (kb2737880). 2012
    Two DHCP leases are created for each domain controller when you use the VDC cloning feature. his happens because the cloned domain controller received a lease before cloning and again when cloning was complete (kb2742836). 2012
    Domain controller cloning fails and the server restarts in DSRM in Windows Server 2012 (kb2742844) 2012
    Domain controller cloning does not re-create all service principal names. Some three-part SPNs are not recreated on the cloned DC because of a limitation of the domain rename process (kb2742874). 2012
    "No logon servers are available" error after cloning domain controller: log on as .\administrator to troubleshoot the cloning failure (kb2742908). 2012
    Domain controller cloning fails with error 8610 in dcpromo.log. Cloning fails because the PDC emulator has not performed inbound replication of the domain partition, likely because the role was transferred (kb2742916). 2012
    You receive the error "Index was out of range" after you run New-ADDCCloneConfigFile cmdlet while cloning virtual DCs, either because the cmdlet was not run from an elevated command prompt or because your access token does not contain the Administrators group (kb2742927). 2012
    Domain controller cloning fails with error 8437: "invalid parameter was specified for this replication operation" because an invalid clone name or a duplicate NetBIOS name was specified. 2012
    DC Cloning fails with no DSRM, duplicate source and clone computer. The cloned virtual DC boots in Directory Services Repair Mode (DSRM), using a duplicate name as the source DC because the DCCloneConfig.xml file was not created in the correct location or because the source DC was rebooted before cloning (kb2742970). 2012
    Domain controller cloning error 0x80041005. The cloned DC boots into DSRM because only one WINS server was specified. If any WINS server is specified, both Preferred and Alternate WINS servers must be specified (kb2743278). 2012
    You receive error "Server is not operational" after you run the New-ADDCCloneConfigFile cmdlet because the server cannot contact a global catalog server (kb2745013). 2012
    Domain controller cloning event 2224 provides incorrect guidance. Event ID 2224 incorrectly states that managed service accounts must be removed before cloning. Standalone MSAs must be removed but Group MSAs do not block cloning (kb2747974). 2012
    You cannot unlock a BitLocker-encrypted drive after you upgrade to Windows 8 and you receive an "Application not found" error when you try to unlock a drive on a computer that was upgraded from Windows 7 (kb2748266). 2012


    samedi 24 février 2018 10:04
  • Merci pour ces informations, je pense que je vais donc attendre de migrer l'autre 2000 avant de basculer AD sur le 2016.

    dimanche 25 février 2018 22:45
  • Merci pour ces informations, je pense que je vais donc attendre de migrer l'autre 2000 avant de basculer AD sur le 2016.


    Merci de marquer les réponses qui vous semblent utiles si votre problème est résolu

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    dimanche 25 février 2018 23:09
    Modérateur
  • Merci pour ces informations, je pense que je vais donc attendre de migrer l'autre 2000 avant de basculer AD sur le 2016.


    vous pouvez migrer vers 2016, mais il faut garder au moins un DC en 2008 maximum (pas R2) pour que le serveur client 2000 puisse s'adresser à lui. Vous serez également bloqué à un niveau fonctionnel 2003 (DFL & FFL).
    lundi 26 février 2018 06:51
  • vous pouvez migrer vers 2016, mais il faut garder au moins un DC en 2008 maximum (pas R2) pour que le serveur client 2000 puisse s'adresser à lui. Vous serez également bloqué à un niveau fonctionnel 2003 (DFL & FFL).
    Merci je vais donc garder mon 2003 pendant la période de transition.
    lundi 26 février 2018 19:27