none
Migration vers Win2K12 en faisant partant de zéro RRS feed

  • Question

  • Bonjour,

    Cela fait des années que nous avons réalisés des migrations AD en gardant toujours toutes les infos des versions précédentes.

    Nous sommes actuellement en 2008 R2 (1 DC principal et un secondaire). J'aimerais partir de zéro en récupérant uniquement les choses nécessaires (les groupes, users, contacts). Ceci afin de faire le grand ménage et de repartir sur une base saine (DNS, DHCP, GPO, etc).

    Est-ce totalement utopique?

    Dans l'idée, sans rentrer dans les détails, je compte :
    * Installation de l'AD 2012 R2
    * Configuration DNS et DHCP
    * Migration des groupes via ADMT
    * Migrations des users/contacts/computers via ADMT
    * Recréation manuel des GPOs ou export suivant le cas

    Il faut bien évidemment que je garde les GUIDs & co. Je ne sais pas si ADMT garde les mots de passes, sinon j'utiliserais peut-être Password Export Server dont j'ai entendu parler (à tester avant...).

    Il faut également que je fasse attentions à quelques petites nouveautés de Windows 2012 comme la compression des SIDs, etc.

    Cela vous semble jouable ou c'est complètement dénué de sens?

    Merci d'avance pour vos avis.

    jeudi 30 octobre 2014 16:01

Réponses

Toutes les réponses

  • Pour la migration des mots de passes avec ADMT il faut utiliser PES com.me vous l'avez précisé

    http://technet.microsoft.com/fr-fr/library/cc974435(v=ws.10).aspx

    Pouvez vous préciser les autres éléments à migrer ? Exchange etc ...

    ADMT fonctionne mais on ne peut difficilement vous dire s'il est préférable de nettoyer votre domaine ou de tout refaire.

    En ce qui concerne DHCP et DNS il n'y a pas besoin d'aller jusqu'à tout refaire ...

    Les GPo se réorganise et ne nécessite pas une telle opération.

    jeudi 30 octobre 2014 16:28
    Modérateur
  • Bonjour,

    Si vous voulez reconstruire votre domaine et garder les objets de l'ancien domaine, AMDT vous permettra de le faire et même il est recommandé pour ce genre de manipulation, je vous invite a consulter les deux liens ci-dessous qui explique les options fournis par cet Outil :

    Enabling Migration of Passwords

    ADMT Guide: Migrating and Restructuring Active Directory Domains

    jeudi 30 octobre 2014 16:51
    Modérateur
  • Bonjour,

    J'ai oublié de préciser... Pas de Exchange. Du HCP, DNS, IIS et la partie certificats.

    Concernant le DHCP, nous avons souvent, pour certaines machines des BAD_ADDRESS inexpliqués. Même en changeant l'adresse IP, en mettant une autre carte réseau, etc. Les machines touchées sont rares. Nous en avons deux avec lesquelles cela arrive souvent. Nous n'avons pas encore trouvé d'explication.

    Concernant GPO et tout le ménage à faire, l'autre problème, c'est que la personne qui avait géré l'AD pendant une 10zaine d'années n'est plus là... Et j'aimerais partir sur un base saine et maitrisée.

    EDIT : j'ai également des relations d'approbations avec deux autres AD

    • Modifié Kyo67 vendredi 31 octobre 2014 07:49
    vendredi 31 octobre 2014 07:27
  • Là où je suis actuellement embêté... Quelque m'échappe certainement...

    Mais étant donné que je veux recommencer de zéro tout en gardant le même nom de domaine, je ne sais pas trop comment procéder.

    Je ne peux pas installer AD DS comme nouveau domaine car il va me bloquer après saisi du nom NETBIOS en me disant que le nom de domaine existe déjà...

    Et si je rajoute le domaine au domaine existant, il me synchronise les AD et donc je me retrouve avec mes utilisateurs, ordinateurs, OU & co... Alors que je veux justement tout refaire et transférer ce qu'il faut avec ADMT.

    vendredi 31 octobre 2014 11:09
  • vous ne pourrez pas faire de migration ADMT en gardant le même nom de domaine. Car pour migrer il faut créer une approbation entre les domaines, et pour cela il faut de la résolution de nom ...

    vendredi 31 octobre 2014 11:53
    Modérateur
  • Pour les DHCP ce sont des pc fixes ou portables ? postes avec plusieurs carte réseau ?

    Rien ne dit que refaire tout le domaine réglera ce problème.

    vendredi 31 octobre 2014 11:54
    Modérateur
  • Y a t'il une autre solution?

    J'en vois bien une si on veut vraiment repartir de 0... Mais bon.. Je peux passer une migration temporaire (contoso.a => contoso.b => contoso.a). Cela n'implique pas le même temps de travail par contre...

    A moins que je loupe une autre solution...

    EDIT : il y a aussi la solution de renommage de nom de domaine... (contoso.a => contoso.b => renommage en contoso.a)

    • Modifié Kyo67 vendredi 31 octobre 2014 12:58
    vendredi 31 octobre 2014 12:40
  • C'est variable. Les deux récalcitrants sont des PC fixes mais il y a aussi eu des portables... Enfin des docks plus précisément.

    L'un des PC fixe a deux cartes réseaux mais une seule est utilisé. De plus chaque MAC a une autre réservation.

    Les pc portables ont le dock... Donc deux cartes réseaux.

    Nous avons passé l'une des machines en IP statique un temps... Pas de problème depuis.

    Les problèmes se passent dans des VLANs différents. On a changé l'IP de réservation à plusieurs reprises... Rien n'a changé.

    Nous ne souhaitons pas repartir de zéro à cause du DHCP. C'est un tout.

    vendredi 31 octobre 2014 12:46
  • Bon... Je me suis donc lancé là-dedans..

    Par contre j'ai un souci avec ADMT et la migration des SID History :

    "ERR2:7434 SID History cannot be updated for MOI. If the domain controllers in the target domain are running Windows 2000 you must be a domain administrator. If the domain controllers in the target domain are running Windows Server 2003 or later you must either be a domain administrator or have allow Migrate SID History permission on the domain. rc=8344.

    WRN1:7392 SIDHistory could not be updated due to a configuration or permissions problem.  The Active Directory Migration Tool will not attempt to migrate the remaining objects."

    Pourtant, j'ai suivi la procédure suivante (j'ai testé pour les méthodes) : Establishing Migration Accounts for Your Migration


    Ainsi que : Configuring the Source and Target Domains for SID History Migration

    J'ai également jeté un oeil sur http://blog.thesysadmins.co.uk/admt-series-1-preparing-active-directory.html

    Mais j'ai toujours la même erreur... Malgré le changement de stratégie d'audit, la création de groupe/user avec les bons droits (admin du domaine distant + admin local source, etc... Egalement testé avec tous les droits d'une délégation sur le domaine source, etc...), j'ai toujours la même erreur.

    Là, j'ai bien l'utilisateur (ou le groupe) qui migre mais en perdant le SID... Et donc les droits.

    Je n'ai pas encore testé Password Export Server.

    Je désespère...

    mardi 4 novembre 2014 15:53
  • Etant donné que j'ai eu réponse à ma première interrogation, je vais considérer le sujet clos et en créer un nouveau pour mon problème avec ADMT et les SID History.

    Merci à tous pour votre aide.

    mercredi 5 novembre 2014 07:40
  • Merci de noter les réponses qui vous ont aidé
    mercredi 5 novembre 2014 09:23
    Modérateur
  • Ceci a déjà été fait.
    mercredi 5 novembre 2014 15:52