none
Migration Contrôleur de domaine

    Discussion générale

  • Bonjour à vous,

    Je suis en ce moment sur un projet de migration de contrôleur de domaine, 2008 vers 2012.

    Initialement, il étais prévu de le faire sur 2016, mais pour diverse raison, je dois le faire sur 2012. Comme c'est une première pour moi, plusieurs questions sont venus s'ajouter que je n'ai pas réussie à trouver les réponse.

    Donc les questions concerne les relations entre 2016 et 2012:

    1-Est-il possible de mettre un DC 2012 sur une VM hébergé sur un Server 2016?

    2- Nous possédons un serveur distant en 2016 qui doit être promus en tant que contrôleur de domaine, mais comme énoncé plus haut, il doit être en 2012, sachant que l'AD et le DNS sont déjà installé, est-il possible d'effectuer un downgrade depuis 2016 vers 2012 et qu'aucuns risques de compatibilité ou autres surviennent?

    3- Dans le cas où cela risque de causer des problèmes de compatibilité, faut-il faire un downgrade du serveur physique en 2012?

    Merci à l'avance pour les renseignements et réponse donnée

    Cordialement

    Nad

    lundi 4 décembre 2017 12:30

Toutes les réponses

  • 1 - Oui

    2 - Non, il faut réinstaller. J'imagine que les "roles" sont installé mais pas encore utilisé (sinon, vous avez d'ores et déjà un DC 2016)

    3 - Il n'y a pas de risque de d'incompatibilité

    lundi 4 décembre 2017 13:05
  • Merci pour vos réponse.

    J'aurais une autre question pour le coup. Dans mon étude d'architecture, j'ai décidé de tout virtualiser, DC principal et secondaire.

    Je sais que Microsoft recommande d'avoir au moins 1 DC physique sur une solution virtuelle, mais comme mes VMs DC se trouverons séparé sur 2 machines physique, cela posera t'il un problème niveau sécurité ou non?

    2 serveur sur 2 onduleur différent branché sur des circuits électrique différents

    Merci

    Nad

    lundi 4 décembre 2017 13:12
  • vous minimisez le risque, ce qui est très bien. Reste que si ils sont dans le même DataCenter, ca peut encore poser problème :)

    Le DC physique est une recommandation, pas une nécessité. Ceci dit, si l'administration de vos hyperviseurs requiert Active Directory, un DC physique serait un gros plus pour un crash recovery de site.

    lundi 4 décembre 2017 13:26
  • Je vois.

    Donc supposons que je garde un DC sur VM et un 2nd en physique, comme je souhaite éviter à tout prix de surcharger mes DC avec des requêtes venant d'autre rôles, il faudrait que je trouve une autre solution pour avoir mes rôles et fonctionnalité en tant que backup, ou est-il possible de mettre cela dans une VM qui sera hébergé directement sur le serveur DC 2ndaire?

    en règle générale, si mon DC principal est hébergé sur Hyperviseur, l'administration devras se faire sans l'AD, non?

    lundi 4 décembre 2017 13:42
  • Je ne suis pas sur de comprendre le problème : tous les DC seront exploités pour traiter les demandes LDAP, en fonction du site d'appartenance du client ou de la configuration des applications. Le nombre de DC doit avant tout dépendre de votre infrastructure physique : la proximité d'un DC est nécessaire lorsque le nombre d'utilisateur le justifie ou lorsque le tuyau réseau n'est pas assez costaud pour centraliser vers un autre site. Par conséquent, qu'ils soient physique ou virtuel ne jouera pas vraiment sur l'utilisation. quand aux charges annexes, ce sont surtout les réplications et les traitement spécifiques aux rôles FSMO : mais cela ne prend pas grand chose en ressource, à moins de trainer un SysVol de malade :)
    lundi 4 décembre 2017 14:17
  • Il n'y a pas de possibilité de centraliser vers un autre site, tout sera à proximité.

    Si je comprend bien, dans le cas ou j'ai un DC physique, ça ne pose donc aucun problème d'ajouter sur la même machine des hyperviseurs qui serviront à l'utilisation de rôles etc?

    Notre sysvol est pas gros, 100taine de Mo donc ça doit pas poser de problème ^^

    lundi 4 décembre 2017 14:43
  • Je ne sais pas si j'ai bien compris le sens, mais on ne mélange pas certains rôle comme par exemple contrôleur de domaine, hyperviseur, RDS.

    Le DC physique ne doit pas être hyperviseur !


    lundi 4 décembre 2017 14:54
    Modérateur
  • Je vois, donc si je compte avoir un DC physique, le laisser tel quel et avoir un autres serveur pour les Hyperviseurs etc.

    en parlant de RDS, il peut être hébergé sur un Hyperviseur? ou pour ce rôle, il faut absolument qu'il soit sur un serveur physique?

    en bref voici comment je compte avoir mes rôles:

    VM 1: DC

    VM 2 : AD CS / RDS / IIS / Service fichier / Wins

    Pensez vous que cette solution soit correct ou il faudrait la revoir?

    lundi 4 décembre 2017 15:02
  • RDS peut être virtualisé dans une VM, mais le rôle ne doit pas être installé sur l'hyperviseur.

    WINS ? pour faire quoi ? Juste par nostalgie ? S'il faut tu peux le mettre sur le DC.

    http://pbarth.fr/node/37

    Le serveur de bureau à distance ne devrait pas détenir d'élément qui ne sont pas a destination de ces personnes.

    AD CS et serveur de fichier sur le RDS c'est très bizarre. Surtout si veut faire des droits sur des partages et au final les utilisateurs ont accès directement au fichiers en local ...

    IIS ? Dans quel but ?


    lundi 4 décembre 2017 15:29
    Modérateur
  • Pour cette histoire de RDS virtualisé, j'ai peur de pas bien avoir compris. techniquement, si RDS est sur une VM, il sera aussi sur un hyperviseur vue que ce dernier gère les VM.

    Ou bien tu veux dire qu'il doit pas être installé en physique sur une machine qui héberge un Hyperviseur? je suis un peux perdu ^^

    Wins: on a encore des anciens outils qui ont besoins de ce type d’authentification.

    il serait plus judicieux de mettre AD CS sur le DC directement donc? dans tout les cas, les utilisateurs n'ont pas d'accès au fichiers, le serveur de fichier est plus utilisé pour donnée un accès à un répertoire personnel réservé pour chaque utilisateur. donc à mon avis, on peux oublier le service de fichier comme on change d'infra.

    IIS sert de Serveur d'approbation pour les certificat de connexion, une application des demande de certificat s’appuie sur une couche web, ça concerne les utilisateurs Citrix principalement.

    lundi 4 décembre 2017 16:10
  • Ou bien tu veux dire qu'il doit pas être installé en physique sur une machine qui héberge un Hyperviseur? je suis un peux perdu ^^

    Oui.

    Tu peux installer le rôle RDS sur la VM qui est hébergé par le serveur physique.

    Il ne faut pas installer le rôle sur le serveur physique en lui même.

    Wins: on a encore des anciens outils qui ont besoins de ce type d’authentification.

    WINS c'est de la résolution de Nom court, et non de l'authentification. Tu peux faire la résolution de nom court en utilisant les suffixes DNS, si tes noms de machines ne dépasse pas 15 caractère. Quoi comme appli ? C'est une demande du fournisseur ?

    il serait plus judicieux de mettre AD CS sur le DC directement donc? 

    C'est plus judicieux de le mettre à part ... mais cela fait une VM en plus.

    lundi 4 décembre 2017 16:28
    Modérateur
  • +1 sur Phil :)
    lundi 4 décembre 2017 16:49
  • Il ne faut pas installer le rôle sur le serveur physique en lui même

    Ce qui est prévu de base :)

    Concernant WINS, il faudra que je vérifie s'il est vraiment indispensable auprès de l'admin ou pas.

    comme appli ? C'est une demande du fournisseur ? Citrix StoreFront, dans tout les cas, je suis obligé de l'avoir, il y a un certificat Kerberos hébergé dessus "c'est une infra qui étais déjà mise en place bien avant mon arrivé"

    Donc techniquement, on en reviens à ce que j'ai dit au début, nan? mettre sur une autre VM les rôles AD CS / RDS / IIS / Service fichier / Wins ou au pire séparer sur 2 VM pour la charge, du moment que c'est pas avec le DC

    mardi 5 décembre 2017 13:46
  • comme appli ? C'est une demande du fournisseur ? Citrix StoreFront, dans tout les cas, je suis obligé de l'avoir, il y a un certificat Kerberos hébergé dessus "c'est une infra qui étais déjà mise en place bien avant mon arrivé"

    StoreFront n'utilise pas de WINS: uniquement du Web, du DNS, du SAML et/ou du KERBEROS.

    mardi 5 décembre 2017 13:48
  • Désolé j'ai oublié de détaillé, Pour Citrix StoreFront, ça concerne IIS, je pensais que ça question concernait pour ça.

    Concernant WINS, j'ai personnellement pas vue des authentification qui en ont besoin, mais comme l'infra est lié avec d'autre DC externe dont je n'ai pas accès, ça peut être lié. ^^


    • Modifié nad_jib mardi 5 décembre 2017 14:26
    mardi 5 décembre 2017 14:23
  • Non, aucune chance :) Les DC externe feront appels au mieux à une relation d'approbation, au pire à un serveur DNS. ce sont plutôt les applications qui utilisent du WINS. I
    mardi 5 décembre 2017 16:10
  • Alors je me suis un peu plus intéressé à ce WINS, actuellement il n'est quasiment plus utilisé, mais ils nous arrivent parfois que lorsqu'on souhaite ajouter une machine sur le domaine, elle a beaucoup de mal à contacter le DC, du coup on ajoute sur la machine le WINS pour lui permettre de mieux communiquer.

    Donc malgré qu'il n'est plus vraiment indispensable, il reste tout de même utile dans des cas particuliers comme    celui-là

    mercredi 6 décembre 2017 09:41
  • Si tu as des soucis avec l’adhésion des postes au domaines, il faut résoudre tes problèmes DNS.

    Wins c'est l'ancienne résolution utilisé dans les domaines NT. Depuis Windows 2000 (c'était pas hier), Wins n'a pas de rôle a joué pour l'AD

    Il n'y a pas besoin de Wins pour l'AD si la partie DNS est correct. Le bon fonctionnement DNS est un prérequisindispensable à Active Directory.

    mercredi 6 décembre 2017 11:08
    Modérateur
  • J'imagine bien, et je rejoins ce que tu dit, mais les décisions concernant l'ajout ou retrait de rôle ne revient pas à moi malheureusement.

    Mon rôle ici est tout simplement d'effectuer la migration en suivant les bonnes pratiques et procédures, à moins que l'admin sys/res décide de le retirer, je ne pourrais rien faire ^^

    Je prendrais le temps de voir les problèmes DNS, mais dans tout les cas, je serais obligé de migrer l'infra telle qu'elle :)

    mercredi 6 décembre 2017 12:39
  • Je dis juste que si tu as un problème d'adhésion au domaine, il faudrait le corriger. WINS n'a pas de raison d'être pour l'AD qui s"appuie sur DNS. 

    Les migration AD avec des erreurs DNS ne donnent rien de bon.

    Avant de migrer on utilise Dcdiag et repadmin afin de vérifier l'état et il faut corriger les erreurs. Les erreurs ne disparaissent pas avec une migration.


    mercredi 6 décembre 2017 20:35
    Modérateur
  • Si tu peux reproduire l'erreur d'adhésion, on pourra peut-être orienté la recherche des erreurs DNS.
    mercredi 6 décembre 2017 21:28
  • J'ai eu pas mal de chose dernièrement pour continuer à me pencher sur le sujet ^^

    Philippe Barth, je compte bien faire une vérification complète avant de faire la migration, je tiens pas à faire plomber le DC ^^

    J'ai touché 2 mot à l'administrateur au sujet du WINS et il souhaite tout de même l'avoir, je suis main et pied lié pour le coup ^^

    Loïc Veirman, le problème ne s'est plus reproduis depuis longtemps, la dernière fois c’était sur une machine en Windows XP donc ça va être pratiquement impossible à reproduire :/

    Par contre j'ai une nouvelle question qui viens se poser: Initialement on doit mettre un DC 2008 sur Windows Server 2012, mais comme les licences 2012 direct ne se vendent plus chez notre fournisseur et on doit effectuer un downgrade, est-ce qu'il y a de disponible les DC 2008 sur Windows Server 2016 ou non?

    Si vous avez des liens ou docs qui pourrais me renseigner serais génial :)

    jeudi 28 décembre 2017 15:33
  • Tu peux avoir un DC virtuel en 2008 sur un hyperv V 2016. A noter que ce n'est pas pleinement supporté entre autre à cause des fonctions comme les snapshots (clichés), qui ne sont pas supporté avant 2012. Si tu n'utilises pas ces outils liés à la virtualisation il n'y a pas de soucis. 

    Pourquoi ne pas migrer vers un DC 2016 ?

    J'ai touché 2 mot à l'administrateur au sujet du WINS et il souhaite tout de même l'avoir, je suis main et pied lié pour le coup ^^

    Ce n'est pas un problème.

    jeudi 28 décembre 2017 15:43
    Modérateur
  • Bonjour,

    J'ai pas compris votre question: est-ce qu'il y a de disponible les DC 2008 sur Windows Server 2016 ou non?

    Si vous désirez installer votre future contrôleur de domaine sous une VM avec windows 2008R2, cela est possible, mais faut faire attention , les actions de clonages et de capture instantanées proposées par l'hyper(v ne sont sont pas supportés.

     


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 28 décembre 2017 15:57
    Modérateur
  • Bonjour,

    J'ai pas compris votre question: est-ce qu'il y a de disponible les DC 2008 sur Windows Server 2016 ou non?

    Si vous désirez installer votre future contrôleur de domaine sous une VM avec windows 2008R2, cela est possible, mais faut faire attention , les actions de clonages et de capture instantanées proposées par l'hyper(v ne sont sont pas supportés.

     


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    Il demande si l'on peut faire un downgrade de 2016 vers 2008. La réponse est non, désolé.
    jeudi 28 décembre 2017 16:57
  • Bonjour,

    J'ai pas compris votre question: est-ce qu'il y a de disponible les DC 2008 sur Windows Server 2016 ou non?

    Si vous désirez installer votre future contrôleur de domaine sous une VM avec windows 2008R2, cela est possible, mais faut faire attention , les actions de clonages et de capture instantanées proposées par l'hyper(v ne sont sont pas supportés.

     


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    Il demande si l'on peut faire un downgrade de 2016 vers 2008. La réponse est non, désolé.

    Dans ce cas il faut ajouter un autre DC 2008 et rétrograder celui du 2016. Avant d'ajouter le DC 2008 R2 il faut vérifier que le niveau fonctionnel de la forêt et du domaine ne dépasse Windows 2008 R2. en fait Le niveau fonctionnel détermine la version d'OS minimale du contrôleur de domaine. Si le niveau fonctionnel est supérieur à Windows 2008 R2, il faut commencer par le baisser le niveau fonctionnel voici un lien qui peut vous guider : Le niveau fonctionnel FFL/DFL


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 28 décembre 2017 17:20
    Modérateur
  • J'ai remarqué avoir très mal formé ma question et mélangé 2 question en même temps ^^

    1- en disant "DC 2008" je supposais niveau fonctionnel du domaine et forêt, j'ai su plus tard que l'os compatible est 2012, merci pour vos réponse à ce sujet.

    2- Concernant les licences, je souhaitais savoir si on pouvais utiliser des licences Server 2016 sur un OS Server 2012, pareil, j'ai pu avoir les réponses que je cherchais à ce sujet.

    Philippe Barth "Pourquoi ne pas migrer vers un DC 2016 ?" très longue histoire mais en bref, niveau fonctionnel maximum autorisé est 2008R2 ^^

    Thameur BOURBITA "Si vous désirez installer votre future contrôleur de domaine sous une VM avec windows 2008R2, cela est possible, mais faut faire attention , les actions de clonages et de capture instantanées proposées par l'hyper(v ne sont sont pas supportés."

    Je suis au courant, ces actions ne sont pas dans autre objectif, mais dans le pire des cas, on utiliseras des VM 2012R2 si besoin

    Par contre, si j'utilise une VM 2008R2 sur un Hyper-V 2012, concernant la licence qui est de base 2016, elle sera compatible pour la VM ou non?

    jeudi 26 avril 2018 09:21
  • Pourquoi ne pas migrer vers un DC 2016 ?" très longue histoire mais en bref, niveau fonctionnel maximum autorisé est 2008R2 ^^

    Vous pouvez avoir des contrôleurs de domaines en 2012,2012R2 et 2016 et avoir un niveau fonctionnel en 2008R2.

    Le niveau fonctionnel est au maximum égal au plus ancien des OS des DCs, mais il peut être inférieur.

    A ne pas confondre avec la version du schéma qui est au minimum la version de l'OS le plus récent ...

    Par contre, si j'utilise une VM 2008R2 sur un Hyper-V 2012, concernant la licence qui est de base 2016, elle sera compatible pour la VM ou non?

    JE ne sais pas si vous utilisez des licences OEM ou en volume, mais oui apparemment.

    https://blogs.technet.microsoft.com/oemfrance/2017/11/07/droits-de-downgrade-windows-server-oem/

    jeudi 26 avril 2018 18:34
    Modérateur
  • Non ce n'est pas des OEM, mais je pense que c'est identique pour les 2, merci pour le lien.

    Un autre problème se présente...

    on doit modifier notre nom de domaine pour correspondre au recommandation Microsoft, nom actuel étant "XX-XXXX"

    Je pense à effectué une migration vers un nouveau nom de domaine directement pour m'éviter les reboots et reconfiguration sur l'ancien DC, vous aurez des procédures complètes pour ce type de changement?

    Les rôles concerné sont "ADDS, DNS et AD CS"

    D'après ce que j'ai trouvé, ça risque d'être compliqué pour AD CS vue qu'on ne peut pas modifier le CA name mais je n'ai rien trouvé concernant le reste, surtout pour les SIDs..

    mercredi 2 mai 2018 14:34
  • Bonjour nad,

    Vous pourriez marque les réponses utiles et ouvrir un autre topic.

    C'est plus simple pour suivre vos demandes.


    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème

    mercredi 2 mai 2018 18:01
  • Pour AD DS tu peux utiliser ADMT :

    http://pbarth.fr/node/106

    DNS est intégré à AD en général.

    Pour AD CS, si tu n'utilises que des certificats pour de l'authentification et que tu as du auto enreollment, c'est simple de faire une nouvelle est de déployer les nouveaux certificats. Selon l'usage le plus simple est de refaire.

    mercredi 2 mai 2018 19:52
    Modérateur