Remove From My Forums

Suppression AD DS qui heberge AD CS

Question
1

Connectez-vous pour voter

Bonjour a tous ,

Je suis actuellement entrain de migrer mes serveur Windows serveur 2012 R2 en Windows serveur 2016.

Pour pouvoir migrer mon AD j'ai ajouté un nouveau serveur 2016 dans mon domaine puis j'ai pris les rôles fsmo jusque la tt va bien ;-)

J'ai voulu supprimer le role AD DS sur le serveur en 2012 pas de soucis jusqu au moment de la désinstallation il me dis impossible de supprimer le rôle AD DS car le serveur héberge le rôle de certificat AD CS.

Bon ok oui c'est vrai !!!

1ere question :

Le rôle de certificat ne me sert que a généré un certificat pour Exchange pour la connexion de mes Outlook.

Je pensais ajouter le rôle AD CS sur le nouvelle AD 2016 et refaire un certificat pour Exchange puis de supprimer le rôle AD CS sur l'ancien serveur puis supprimer le rôle AD DS ?

Des suggestions?

2eme question:

Depuis cette erreur de suppression mon serveur AD 2012 me met le message promouvoir ce serveur en contrôleur de domaine depuis le gestionnaire de serveur.

Normal ?

Merci a tous pour vos idées.

Cédric

vendredi 27 juillet 2018 12:26

Réponse

|

Citation

Réponses

0

Connectez-vous pour voter
Bonjour ,

Voici les nouvelles :

J'ai installé mon nouveau serveur 2016 puis j'ai installé la PKI dessus sans installé AD DS dessus.

J'ai recréé mon certificat pour Exchange.

Sur l'ancien serveur j'ai supprimé AD CS .J'ai d'abord dû supprimer le rôle certificat par le Web puis j'ai pu complétement supprimer la PKI.

Une fois la PKI désinstaller j'ai pu rétrograder le contrôleur de domaine en simple membre du domaine puis j'ai pu supprimer AD DS complétement.

Puis j'ai arrêté complétement le serveur ;-)

J'ai eu 2 users qui ont eu le message certificat invalide.Connexion a leur Outlook avant que le GP update se face dommage.

Il restait quelques enregistrement NS avec le nom de l'ancien serveur dans mon DNS je les ai supprimé manuellement.

Merci a tous.
- Marqué comme réponse Cédric EXCHANGE samedi 1 septembre 2018 09:27
samedi 1 septembre 2018 09:12

Réponse

|

Citation

Toutes les réponses

1

Connectez-vous pour voter

Bonjour,

Personne ?

Cordialement

dimanche 29 juillet 2018 17:37

Réponse

|

Citation
1

Connectez-vous pour voter
Fais un dcdiag sur tes contrôleurs de domaine

Regarde également si les partages netlogon et sysvol sont dispo sur l'ancien DC

L'ancien serveur utilise quel DNS primaire ?IPV4 ? IPV6 ?

Quel version Standard ,essentiel ... ?
- Modifié Philippe BarthMVP dimanche 29 juillet 2018 21:19
dimanche 29 juillet 2018 21:02

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour

Le DCDIAG ne remonte aucune erreur il dis serveur associé : lui meme

Et tt les test qui sont lancé sont correct.

Les DNS de l’ancien serveur sont les IP des nouveaux serveur AD DNS (IPV 4).

Les partages sont présent et dispo.

Je peux me connecter a users and computer sur l'ancien AD connecté sur l'ancien serveur.

Merci
- Modifié Cédric EXCHANGE lundi 30 juillet 2018 14:00
lundi 30 juillet 2018 13:46

Réponse

|

Citation
0

Connectez-vous pour voter

Tu as fais le DCdiag sur quel serveur ? Si tu veux vérifier tout les DCs utilisent DCDiag /a /i

lundi 30 juillet 2018 15:38

Réponse

|

Citation
0

Connectez-vous pour voter
Merci de ton retour

J'ai fais le DC diag sur mes 3 serveurs AD.

Mes 2 AD 2016 et l'ancien 2012.

Lancer depuis AD16

Démarrage du test : KccEvent
         Impossible d'interroger le journal des événements Directory Service sur le serveur SRV-AD16-2.Toyotomi.loc. Erreur 0x6ba « Le serveur RPC n'est pas disponible. »

Démarrage du test : SystemLog
         Impossible d'interroger le journal des événements System sur le serveur SRV-AD16-2.Toyotomi.loc. Erreur 0x6ba « Le serveur RPC n'est pas disponible. »

Lancer depuis AD16-2

Démarrage du test : FrsEvent
        Impossible d'interroger le journal des événements File Replication Service sur le serveur
         SRV-AD16.Toyotomi.loc. Erreur 0x6ba « Le serveur RPC n'est pas disponible. »

Démarrage du test : KccEvent
         Impossible d'interroger le journal des événements Directory Service sur le serveur SRV-AD16.Toyotomi.loc.
         Erreur 0x6ba « Le serveur RPC n'est pas disponible. »

Démarrage du test : SystemLog
        Impossible d'interroger le journal des événements System sur le serveur SRV-AD16.Toyotomi.loc. Erreur 0x6ba
         « Le serveur RPC n'est pas disponible. »

Lancer depuis AD12

      Démarrage du test : FrsEvent
         Impossible d'interroger le journal des événements
         File Replication Service sur le serveur SRV-AD16.Toyotomi.loc. Erreur
         0x6ba « Le serveur RPC n'est pas disponible. »

      Démarrage du test : KccEvent
         Impossible d'interroger le journal des événements Directory Service
         sur le serveur SRV-AD16.Toyotomi.loc. Erreur 0x6ba
         « Le serveur RPC n'est pas disponible. »

      Démarrage du test : SystemLog
         Impossible d'interroger le journal des événements System sur le
         serveur SRV-AD16.Toyotomi.loc. Erreur 0x6ba
         « Le serveur RPC n'est pas disponible. »

      Démarrage du test : FrsEvent
         Impossible d'interroger le journal des événements
         File Replication Service sur le serveur SRV-AD16-2.Toyotomi.loc.
         Erreur 0x6ba « Le serveur RPC n'est pas disponible. »

      Démarrage du test : KccEvent
         Impossible d'interroger le journal des événements Directory Service
         sur le serveur SRV-AD16-2.Toyotomi.loc. Erreur 0x6ba
         « Le serveur RPC n'est pas disponible. »

      Démarrage du test : SystemLog
         Impossible d'interroger le journal des événements System sur le
         serveur SRV-AD16-2.Toyotomi.loc. Erreur 0x6ba
         « Le serveur RPC n'est pas disponible. »
- Modifié Cédric EXCHANGE lundi 30 juillet 2018 16:31
lundi 30 juillet 2018 16:21

Réponse

|

Citation
0

Connectez-vous pour voter

Si tu fais un repadmin /showrepl ou plus efficace si tu utiliises AD Replication Status Tool la réplication est OK entre tous les DCs ?

https://www.microsoft.com/en-us/download/details.aspx?id=30005

lundi 30 juillet 2018 16:24

Réponse

|

Citation
0

Connectez-vous pour voter

J'ai lancé un repadmin /showreps sur les 3 serveurs et aucun problème.

MErci

lundi 30 juillet 2018 16:40

Réponse

|

Citation
0

Connectez-vous pour voter

Par contre je viens de m'apercevoir que j'ai encore un enregistrement NS de l'ancien AD dans mon DNS.

J'ai supprimé le serveur DNS sur l’ancien AD en 2012 je ne devrais plus le voir dans mon DNS?

Merci

lundi 30 juillet 2018 17:22

Réponse

|

Citation
0

Connectez-vous pour voter
J'ai supprimé le serveur DNS sur l’ancien AD en 2012 je ne devrais plus le voir dans mon DNS?

Dans quel but , par défaut je conserve le rôle sur l'ensemble des DC, plus rapide pour basculer en cas d'urgence. Si tu veux vraiment supprimer il y a effectivement des enregistrements à nettoyer.

Le dcdiag tu l'as bien executé en tant qu'admin ?

Dans le pare feu la gestion à distance est autorisé ?

Si tu fais un dfsrmig /getglobalstate tu as quoi comme réponse ?

Voir :

http://pbarth.fr/node/75
- Modifié Philippe BarthMVP lundi 30 juillet 2018 17:58
lundi 30 juillet 2018 17:32

Réponse

|

Citation
0

Connectez-vous pour voter

En effet j'ai supprime le DNS et AD en meme temps echec sur AD car autorité de certification mais pas de probléme sur le DNS.

J'ai déjà 2 autres AD qui sont DNS .

dcdiag en tant qu'admin oui.

Gestion a distance activé sur tout les serveurs.

Résultat de :fsrmig /getglobalstate

C:\Users\Administrator>dfsrmig /getglobalstate

État global actuel de DFSR : « Démarrer »
Réussi.

C:\Users\Administrator>

Je vais supprimé l'enregistrement erroné dans le DNS mais je ne pense pas que cela va changer grand chose.

Merci

lundi 30 juillet 2018 17:42

Réponse

|

Citation
0

Connectez-vous pour voter
État global actuel de DFSR : « Démarrer »

Pour dfsrmig tu utilises encore l'ancien service de réplication pour sysvol et il faudra migrer vers DFS-R voir le lien que je t'ai mis :

http://pbarth.fr/node/75

Il y a des trucs qui n'ont pas l'air d'être propre, Tu peux regarder dans sites et services pour chaque DC les partenaires qu'ils ont et cela sur au moins deux DC différents.

Sinon AD replication status tool donne une réponse complète.

Pour les services de domaines tu ne pourras pas rétrograder le DC avant de supprimer les services de certificats. Tu ne peux pas de mémoire promouvoir un serveur un DC si le service de certificats est installé
- Proposé comme réponse Philippe BarthMVP jeudi 2 août 2018 12:41
lundi 30 juillet 2018 18:42

Réponse

|

Citation
0

Connectez-vous pour voter

Merci

Je vais regarder ça demain matin.

Le réplication semble fonctionner correctement j'ai modifier un script dans logon et il s'est repliqué immediatement sur les 2 autres.

Mon but est de supprimer le 2012.

Si j'ajoute le rôle AD CS sur mon 2016 et que je refais mon certificat pour exchange tu penses que je peux supprimer AD CS sur lancien 2012 sans risque ?

Du coup je pourrais supprimer AD CS sur l'ancien et supprimer AD DS en meme temps.

Merci de ton support

lundi 30 juillet 2018 18:48

Réponse

|

Citation
1

Connectez-vous pour voter

Il y a deux réplication : la réplication des object de l'annuaire et la réplication du partage sysvol (GPO + script)

repadmin test la réplication de l'AD

Pour sysvol, à l'origine la réplication se faisait avec le service de réplication de fichier (NTFRS) et à partir de 2008 il est possible d'utiliser la réplication DFS-R. Sur le futur 2019 NTFRS ne fonctionnera plus

Si tu supprime sans migrer l'ancienne autorité tous les certificats émis par cette autorité ne seront plus valide. Si l'autorité sert à créer des certificats pour des service IIS comme par exemple pour exchange, si tu remplace les certificats avec ceux du nouveau il n'y aura pas d'impact. Si tu as utilisé l'autorité pour faire de la signature automatique, tous les éléments signés ne seront plus reconnus car l'autorité n'est plus la. Si tu as utilisé des certificats pour faire de l'authentification utilisateur avec Active Sync sur les smartphone par exemple il faudra créer remplacer tous les certificats.

La partie IIS que ce soit de l'exchange, du Sharepoint ou autre le certificat et relativement simple à remplacer. Par contre si tu as 250 smartphone qui utilisent de l'authentification par certificat cela peut être lourd sans migration.

Quand tu install les rôles AD CS , le serveur a certain paramètre qui ne pourront plus être modifié car ils sont utilisés pour valider l'autorité. Tu ne peux donc plus faire de promotion ou rétrograder le serveur en tant que DC.

Il est toujours préférable d'installer ces rôles sur des serveurs séparés, ce qui est plus simple avec la virtualisation.

lundi 30 juillet 2018 20:03

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour ,

Merci pour ton implication.

Mon certificat ne me sert que pour Exchange.

Dans ce cas je vais opter pour créer un nouveau serveur qui ne fera que PKI et non l'installer sur un AD.

Je vais re créer un certificat pour mon exchange et ensuite supprimer la PKI du 2012 et supprimer le role AD DS.

Je ferais tout ça après mes congés et je vous ferais un retour fin aout .

Merci beaucoup a toi Philippe Barth

mardi 31 juillet 2018 06:30

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour ,

Voici les nouvelles :

J'ai installé mon nouveau serveur 2016 puis j'ai installé la PKI dessus sans installé AD DS dessus.

J'ai recréé mon certificat pour Exchange.

Sur l'ancien serveur j'ai supprimé AD CS .J'ai d'abord dû supprimer le rôle certificat par le Web puis j'ai pu complétement supprimer la PKI.

Une fois la PKI désinstaller j'ai pu rétrograder le contrôleur de domaine en simple membre du domaine puis j'ai pu supprimer AD DS complétement.

Puis j'ai arrêté complétement le serveur ;-)

J'ai eu 2 users qui ont eu le message certificat invalide.Connexion a leur Outlook avant que le GP update se face dommage.

Il restait quelques enregistrement NS avec le nom de l'ancien serveur dans mon DNS je les ai supprimé manuellement.

Merci a tous.
- Marqué comme réponse Cédric EXCHANGE samedi 1 septembre 2018 09:27
samedi 1 septembre 2018 09:12

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Suppression AD DS qui heberge AD CS

Question

Réponses

Toutes les réponses