none
Migration AD 2003 vers AD 2012

    Question

  • Bonjour,

    Je fais ce poste pour avoir une assistance technique ou un retour d'expérience dans le cadre de la Migration AD windows 2003 vers AD windows 2012

    Mon Environnement de production ( Tous les serveurs sont de VM)
     - 2 Domaines (1 domaine racine et 1 domaine normal)
     - 5 Controleurs de domaines : 1 DC master ( Domaine racine) + 2 DC sécondaires et 1 DC Master +  1 DC sécondaire - windows 2003 R2.

    Mon Environnement de test ( Tous les serveurs sont de VM)

     - Clone du DC master ( Domaine racine) - windows 2003 R2
     - Suppression des autres controleurs de domaine ( par dsssite.msc) du DC master ( Domaine racine)
     - Préparation de la forêt et du domaine avec ADPREP sur le DC master ( Domaine racine)
     - Installation d'un server win2012 R2 avec promotion en DC - windows 2012 R2
    La promotion du server windows 2012 R2 s'est bien déroulée avec la présence de tous les objets AD . Ce server a la fonction Catalogue Global.

    Tests et points bloquants

    Dc master (Domaine) allumé + DC windows 2012 R2 allumé

     - Authentification se deroule bien.
    Dc master (Domaine) éteint + DC windows 2012 R2 allumé :                                                                                                    - Echec d'authentification sur DC windows 2012 R2.

    Quand je clique sur les objets du DC windows 2012 R2 : j'ai le message suivant "serveur de catalogue global est introuvable".

    Quand je vérifie sur le DC windows 2012 R2 avec la commande  "ldp" l’attribut isGlobalCatalogReady a la valeur FALSH comme si le catalogue n'est pas fonctionnel.

    Pourriez vous m'aider?

    Cordialement




    mardi 28 novembre 2017 09:33

Réponses

  • vous n'avez pas nettoyé les metadata de l'annuaire, votre DNS est probablement encore pollué des entrées des anciens DCs.

    La bonne approche serait : 

    - isoler le DC 2003 avec les roles FSMO (tous), le faire pointer sur lui-même au niveau client DNS

    - avec NTDSUTIL, faire un metadata cleanup de tous les objets DC autre que celui gardé

    - Nettoyé les traces résiduelles dans la zone DNS du domaine et sa zone _MSDCS 

    - Préparer le schéma pour 2012 R2

    - integrer le DC 2012 R2 au domaine en le faisant point sur le DC 2003 pour la confiugration DNS

    - Promouvoir le DC 2012 R2

    - transférer les rôles FSMO vers le 2012 R2

    - REPADMIN /SHOWREPL et /REPLSUM pour s'assurer que les synchros entre le 2003 et le 2012 ont bien fonctionnées

    - Modifier la configuration client DNS du 2012 pour qu'il pointe sur lui-même

    - Faire un DCDIAG 

    - Eteindre le 2003 et vérifier que lé 2012 authentifie correctement

    - Remettre le 2003 en service et le dépromouvoir de l'AD

    - refaire un metadata cleanup pour le 2003 cette fois-ci

    - vérifier les traces résiduelles dans le DNS et dans les sites AD (les 2003 ne se retirent pas correctement)

    - Migrer de NTFRS vers DFSR

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:10
    mardi 28 novembre 2017 10:15
  •  5 Controleurs de domaines : 1 DC master ( Domaine racine) + 2 DC sécondaires 

    Ca n'existe pas les DC Master et secondaires, seul DNS a une notion de primaires et secondaires. Les DC sont multi maîtres ...

     - Clone du DC master ( Domaine racine) - windows 2003 R2 

    Attention le clonage de DC n'est pas supporté et la mise en place d'un environnement multi domaine n'est pas évident. 

    Quand je clique sur les objets du DC windows 2012 R2 : j'ai le message suivant "serveur de catalogue global est introuvable".

    Dcdiag + repadmin sur le 2012 ? NEt share montre les partages netlogon et sysvol ?

    Voir http://pbarth.fr/node/237


    mardi 28 novembre 2017 16:16
    Modérateur
  • Bonsoir,

    dans le cadre de la réalisation d'une maquette, on peut cloner sous certaines conditions... parfois difficilement réalisables. Bien entendu, aucun cliché ni capture en temps réel n'est possible.

    La solution la plus simple est de dupliquer un DC complétement arrêté. Si l'on peut arrêter tous les DCs, l'image du DC portant tous les rôles sur le domaine maître, et l'image du DC portant les rôles du sous-domaine peuvent suffire à redémarrer très rapidement, le nettoyage étant ensuite très rapide.

    Si l'on ne peut pas faire cela, la duplication peut se faire à partir d'un autre DC de chaque domaine, mais il faut alors réparer et nettoyer le DC du domaine racine, reconfigurer les DNS, puis dans un 2ème temps faire de même avec le DC du sous-domaine. Ce type d'opération, selon les problèmes rencontrés, peut durer 1 à 2 jours...

    Un autre moyen d'arriver à réaliser cette maquette consiste à utiliser les sauvegardes des DCs de Prod pour les restaurer sur la maquette, ce qui constitue un très bon exercice.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 28 novembre 2017 21:15
  • Que tu fasses un lab pour te préparer ou que tu fasses de la prod, il n'y a pas de raison de faire moins proprement. Sinon ton lab ne permet pas d'apporter une conclusion, pour ta migration futur.

    Je voulais juste préciser que cloner des DC c'est pas toujours bien supporté . Dans le cas d'une forêt multi-domaines, il faut être encore plus attentif car il faut que les DC des domaines répliques et que l'ensemble des domaines de la forêt reste viable.

    Perso j'utilises également la sauvegarde et restauration de l'état du système et effectivement il s'agit d'un exercice très utile en général et encore plus dans un environnement multi-domaines.

    Comme préciser par Thierry il faut restaurer un DC par domaine et nettoyer les métadonnées avant de reconstruire les autres.  


    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    mercredi 29 novembre 2017 20:50
    Modérateur
  • La cohabitation des anciens contrôleurs (windows 2003 et windows 2012/2016) est elle sans inconvénients?

    Oui, cela fonctionne bien mais attention de bien surveiller les réplications.

    Combien de contrôleurs peut on installer dans une même forêt?

    Autant que l'on veut! Plus y en a, plus les réplications prendront du temps. La bonne approche est plutôt de définir où les placer et combien par site. Un minimum de deux est recommandé (de préférence un virtuel et un physique). Une ouverture de session c'est en moyenne 1 Mb de données échangées, donc 1 DC pour 1000 utilisateurs sur un lien 1 Gb est une bonne approche.

    Mes nouveaux contrôleurs seront installés avec du Windows 2016. Quelqu'un a t'il un retour d'expérience de la migration de AD 2003 vers AD 2016?

    Oui: il y a beaucoup de changements entre ces deux annuaires, mais les points clés que l'on doit prendre en compte sont la non-compatibilité avec les appliances utilisant une authentification NTLMv1, des modifications sur le protocole kerberos qui peuvent impacter certains client non-m$, l'arrêt de SMBv1 qui peut engendrer une perte d'accès sur des produits anciens ou non à jour (samba, NAS, SAN,...). Plus d'information ici : https://docs.microsoft.com/fr-fr/windows-server/identity/whats-new-active-directory-domain-services 

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:10
    vendredi 8 décembre 2017 11:32
  • Bonjour,

    Je vais bientôt demarrer la migration de mon projet. Je compte le faire de manière graduelle. C'est à dire installer les controleurs les uns après les autres. Je transferai les rôles FSMO à un des contrôleurs. Ensuite je retrograderai les anciens contrôleurs.

    C'est le bon démarche, il faut oublier avant chaque promotion ou rétrogradation d'un DC vérifier l'état de santé des DC et la réplication entre les différents DC.
    Voici quelqu'un lien qui peuvent vous aider :

    Déployer le premier contrôleur de domaine sous Windows 2016

    Gérer l'emplacement des rôles FSMO

    Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

    La cohabitation des anciens contrôleurs (windows 2003 et windows 2012/2016) est elle sans inconvenients?

    techniquement c'est supporté d'avoir un DC 2003 ,2012 et 2016 , dans le même domaine, mais faut penser à rétrograder rapidement le DC 2003 qui sur un OS non supporté qui représente un risque énorme pour votre annuaire, le DC 2003 vous empêche m'améliorer la réplication sysvol en migration le système de réplication de fichier FRS vers DFS-R, vue que DFS-R qui peut être activé qu'avec un niveau fonctionnel du domaine 2008 au minimum. Faut pas aussi oublier que si vous augmenter le niveau fonctionnel de la forêt vers 2008 R2 , vous serez capable d'activer la corbeille active directory qui vous permet de restaurer les objets supprimés.

    Combien de contrôleurs peut on installer dans une même forêt?

    Comme indiqué par Loic, il y a un nombre limite, le plus important que le nombre de DC soit adapté à votre budget et votre infrastructure réseau, afin d'assurer une authentification rapide des clients.
    Il faut également bien configurer la topologie des sites et subnet active directory depuis la console sites et services actice dirory, pour assurer que les clients contact toujours le DC le plus proche et une réplication AD entre les différents DC selon les liaisons entre différents sites

    Mes nouveaux contrôleurs seront installés avec du Windows 2016. Quelqu'un a t'il un retour d'expérience de la migration de AD 2003 vers AD 2016?

    J'ai réaliser pas de migration, monter de version de 2003 vers 2016, ce qui concerne le process de migration il y a aucun problème, il faut juste s'assurer que les application metiers sont bien compatible avec un DC 2016 par exemple Exchange 2010 ne supporte pas un DC 2016, et chez un client on était obliger de choisir Windows 2012 R2.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    vendredi 8 décembre 2017 12:06
    Modérateur
  • +1 pour Philippe et Thierry.

    Faut pas aussi oublier de vérifier les rôle fsmo de chaque domaine (après la restauration et metadacleanup) et les siezer si le DC restaurer n'a pas tous les rôles fsmo

    Gérer l'emplacement des rôles FSMO

     

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    mercredi 29 novembre 2017 21:44
    Modérateur

Toutes les réponses

  • vous n'avez pas nettoyé les metadata de l'annuaire, votre DNS est probablement encore pollué des entrées des anciens DCs.

    La bonne approche serait : 

    - isoler le DC 2003 avec les roles FSMO (tous), le faire pointer sur lui-même au niveau client DNS

    - avec NTDSUTIL, faire un metadata cleanup de tous les objets DC autre que celui gardé

    - Nettoyé les traces résiduelles dans la zone DNS du domaine et sa zone _MSDCS 

    - Préparer le schéma pour 2012 R2

    - integrer le DC 2012 R2 au domaine en le faisant point sur le DC 2003 pour la confiugration DNS

    - Promouvoir le DC 2012 R2

    - transférer les rôles FSMO vers le 2012 R2

    - REPADMIN /SHOWREPL et /REPLSUM pour s'assurer que les synchros entre le 2003 et le 2012 ont bien fonctionnées

    - Modifier la configuration client DNS du 2012 pour qu'il pointe sur lui-même

    - Faire un DCDIAG 

    - Eteindre le 2003 et vérifier que lé 2012 authentifie correctement

    - Remettre le 2003 en service et le dépromouvoir de l'AD

    - refaire un metadata cleanup pour le 2003 cette fois-ci

    - vérifier les traces résiduelles dans le DNS et dans les sites AD (les 2003 ne se retirent pas correctement)

    - Migrer de NTFRS vers DFSR

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:10
    mardi 28 novembre 2017 10:15
  •  5 Controleurs de domaines : 1 DC master ( Domaine racine) + 2 DC sécondaires 

    Ca n'existe pas les DC Master et secondaires, seul DNS a une notion de primaires et secondaires. Les DC sont multi maîtres ...

     - Clone du DC master ( Domaine racine) - windows 2003 R2 

    Attention le clonage de DC n'est pas supporté et la mise en place d'un environnement multi domaine n'est pas évident. 

    Quand je clique sur les objets du DC windows 2012 R2 : j'ai le message suivant "serveur de catalogue global est introuvable".

    Dcdiag + repadmin sur le 2012 ? NEt share montre les partages netlogon et sysvol ?

    Voir http://pbarth.fr/node/237


    mardi 28 novembre 2017 16:16
    Modérateur
  • Bonjour,

    Comme indiqué par Philippe, les opérations de clonage et les capture instantanées sur les DC 2003 ne sont pas supportées. Ce genre d'action peuvent générer le problème Rollup USN qui bloque la réplication active directory : Problème de réplication active directory suite à une restauration USN (Rollback USN).

    Avant de promouvoir ou rétrograder un DC , il faut toujours vérifier l'état de santé de vos DC.

    Essayer de nous fournir les informations demandées par Philippe concernant l'état de réplication , l'accès au partage sysvol et netlogon ainsi le resultat fournis par les commandes dcdiag et repadmin.

    Faut également s'il y a des messages d'erreur dans le journal d'événement sur chaque DC.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 28 novembre 2017 18:38
    Modérateur
  • C'est un lab les amis, pas la peine de Troubleshooter une mauvaise approche, apprenons-lui la bonne méthode :)
    mardi 28 novembre 2017 21:04
  • Bonsoir,

    dans le cadre de la réalisation d'une maquette, on peut cloner sous certaines conditions... parfois difficilement réalisables. Bien entendu, aucun cliché ni capture en temps réel n'est possible.

    La solution la plus simple est de dupliquer un DC complétement arrêté. Si l'on peut arrêter tous les DCs, l'image du DC portant tous les rôles sur le domaine maître, et l'image du DC portant les rôles du sous-domaine peuvent suffire à redémarrer très rapidement, le nettoyage étant ensuite très rapide.

    Si l'on ne peut pas faire cela, la duplication peut se faire à partir d'un autre DC de chaque domaine, mais il faut alors réparer et nettoyer le DC du domaine racine, reconfigurer les DNS, puis dans un 2ème temps faire de même avec le DC du sous-domaine. Ce type d'opération, selon les problèmes rencontrés, peut durer 1 à 2 jours...

    Un autre moyen d'arriver à réaliser cette maquette consiste à utiliser les sauvegardes des DCs de Prod pour les restaurer sur la maquette, ce qui constitue un très bon exercice.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 28 novembre 2017 21:15
  • +1 pour la sauvegarde WBADMIN, on utilise ça pour nos labs isolés afin de préparer nos scenarios de remédiations et sécurisation.
    mardi 28 novembre 2017 21:43
  • Que tu fasses un lab pour te préparer ou que tu fasses de la prod, il n'y a pas de raison de faire moins proprement. Sinon ton lab ne permet pas d'apporter une conclusion, pour ta migration futur.

    Je voulais juste préciser que cloner des DC c'est pas toujours bien supporté . Dans le cas d'une forêt multi-domaines, il faut être encore plus attentif car il faut que les DC des domaines répliques et que l'ensemble des domaines de la forêt reste viable.

    Perso j'utilises également la sauvegarde et restauration de l'état du système et effectivement il s'agit d'un exercice très utile en général et encore plus dans un environnement multi-domaines.

    Comme préciser par Thierry il faut restaurer un DC par domaine et nettoyer les métadonnées avant de reconstruire les autres.  


    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    mercredi 29 novembre 2017 20:50
    Modérateur
  • Que tu fasses un lab pour te préparer ou que tu fasses de la prod, il n'y a pas de raison de faire moins proprement.

    Exact!  Notre temps et précieux et le debug par technet prend pas mal de temps, je voulais juste dire "parons au plus pressé" :) 

    mercredi 29 novembre 2017 20:53
  • +1 pour Philippe et Thierry.

    Faut pas aussi oublier de vérifier les rôle fsmo de chaque domaine (après la restauration et metadacleanup) et les siezer si le DC restaurer n'a pas tous les rôles fsmo

    Gérer l'emplacement des rôles FSMO

     

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    mercredi 29 novembre 2017 21:44
    Modérateur
  • Bonjour Loïc,

    J'ai appliqué ta solution solution, mon environnement de test est fonctionnel. Merci à toi et aux personnes pour leurs reponse. Cela m'a permis d'avancer dans mon POC.

    Je vais bientôt demarrer la migration de mon projet. Je compte le faire de manière graduelle. C'est à dire installer les controleurs les uns après les autres. Je transferai les rôles FSMO à un des contrôleurs. Ensuite je retrograderai les anciens contrôleurs.

    La cohabitation des anciens contrôleurs (windows 2003 et windows 2012/2016) est elle sans inconvenients?

    Combien de contrôleurs peut on installer dans une même forêt?

    Mes nouveaux contrôleurs seront installés avec du Windows 2016. Quelqu'un a t'il un retour d'expérience de la migration de AD 2003 vers AD 2016?

    Merci de votre aide.

    vendredi 8 décembre 2017 11:15
  • La cohabitation des anciens contrôleurs (windows 2003 et windows 2012/2016) est elle sans inconvénients?

    Oui, cela fonctionne bien mais attention de bien surveiller les réplications.

    Combien de contrôleurs peut on installer dans une même forêt?

    Autant que l'on veut! Plus y en a, plus les réplications prendront du temps. La bonne approche est plutôt de définir où les placer et combien par site. Un minimum de deux est recommandé (de préférence un virtuel et un physique). Une ouverture de session c'est en moyenne 1 Mb de données échangées, donc 1 DC pour 1000 utilisateurs sur un lien 1 Gb est une bonne approche.

    Mes nouveaux contrôleurs seront installés avec du Windows 2016. Quelqu'un a t'il un retour d'expérience de la migration de AD 2003 vers AD 2016?

    Oui: il y a beaucoup de changements entre ces deux annuaires, mais les points clés que l'on doit prendre en compte sont la non-compatibilité avec les appliances utilisant une authentification NTLMv1, des modifications sur le protocole kerberos qui peuvent impacter certains client non-m$, l'arrêt de SMBv1 qui peut engendrer une perte d'accès sur des produits anciens ou non à jour (samba, NAS, SAN,...). Plus d'information ici : https://docs.microsoft.com/fr-fr/windows-server/identity/whats-new-active-directory-domain-services 

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:10
    vendredi 8 décembre 2017 11:32
  • Bonjour,

    Je vais bientôt demarrer la migration de mon projet. Je compte le faire de manière graduelle. C'est à dire installer les controleurs les uns après les autres. Je transferai les rôles FSMO à un des contrôleurs. Ensuite je retrograderai les anciens contrôleurs.

    C'est le bon démarche, il faut oublier avant chaque promotion ou rétrogradation d'un DC vérifier l'état de santé des DC et la réplication entre les différents DC.
    Voici quelqu'un lien qui peuvent vous aider :

    Déployer le premier contrôleur de domaine sous Windows 2016

    Gérer l'emplacement des rôles FSMO

    Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

    La cohabitation des anciens contrôleurs (windows 2003 et windows 2012/2016) est elle sans inconvenients?

    techniquement c'est supporté d'avoir un DC 2003 ,2012 et 2016 , dans le même domaine, mais faut penser à rétrograder rapidement le DC 2003 qui sur un OS non supporté qui représente un risque énorme pour votre annuaire, le DC 2003 vous empêche m'améliorer la réplication sysvol en migration le système de réplication de fichier FRS vers DFS-R, vue que DFS-R qui peut être activé qu'avec un niveau fonctionnel du domaine 2008 au minimum. Faut pas aussi oublier que si vous augmenter le niveau fonctionnel de la forêt vers 2008 R2 , vous serez capable d'activer la corbeille active directory qui vous permet de restaurer les objets supprimés.

    Combien de contrôleurs peut on installer dans une même forêt?

    Comme indiqué par Loic, il y a un nombre limite, le plus important que le nombre de DC soit adapté à votre budget et votre infrastructure réseau, afin d'assurer une authentification rapide des clients.
    Il faut également bien configurer la topologie des sites et subnet active directory depuis la console sites et services actice dirory, pour assurer que les clients contact toujours le DC le plus proche et une réplication AD entre les différents DC selon les liaisons entre différents sites

    Mes nouveaux contrôleurs seront installés avec du Windows 2016. Quelqu'un a t'il un retour d'expérience de la migration de AD 2003 vers AD 2016?

    J'ai réaliser pas de migration, monter de version de 2003 vers 2016, ce qui concerne le process de migration il y a aucun problème, il faut juste s'assurer que les application metiers sont bien compatible avec un DC 2016 par exemple Exchange 2010 ne supporte pas un DC 2016, et chez un client on était obliger de choisir Windows 2012 R2.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse Serge MFR lundi 11 décembre 2017 08:11
    vendredi 8 décembre 2017 12:06
    Modérateur
  • voici une petite matrice que je communique aux services IT quand il se pose les mêmes questions :

    ACTIVE DIRECTORY UPGRADE IMPACTS
     
    Issue Min. DC
    Communication with workstation, member servers and domains NT 4.0 are no more possible. 2008 R2
    No more trusts can be made with NT 4.0 domain. 2008 R2
    Windows 2000 clients will not communicate with domain controllers. 2008 R2
    Sambe clients, Network Storage Area, Storage Area Network and Applications lying on old authentication mecanism (equivalent to NT 4.0) will no more be able to communicate by default. 2008 R2
    DES Encryption is disabled by default: service using this functionnality will no more be able to get tickets from the KDC service.  This feature can be reenabled by GPO as a legacy algorithm, but will be permanently removed in futur OS version release. 2008 R2
    KDC service uses new algorythms : AES128, AES256 and RC4. Service using DES should be reconfigured to use one of those new algorythm. 2008 R2
    A new protection mecanism Channel Binding Token (CBT) arise. This mecanism could block connection against non-Windows Servers (Kerberos and NTLM). This mecanism can be downgraded to allow compliance with such systems. Upgrading non-windows client authentication mecanism to be compliant with default CBT settingsis the preferred solution. 2008 R2
    Lan Manager (LM) is disabled by default. 2008 R2
    The LDAP service now fullfile the RFC2696 requierement and answer to LDAP request differently. If a client is not compatible with RFC2696, this behavior could be leveraged by activating the policy setting "disable strict restart blob check". 2008 R2
    SMB signing is enable by default. If a client is not compatible with it, this setting could be deactivated by Group Policy. 2008 R2
    Once forest or domain Functional Level is set to 2008 R2 or above, it will no more be possible to add a new domain controller with an Operating System lower than 2008 R2. 2008 R2
    Application using .Net 3.5 with SP1 or a lower version can face issue when using the enumeration function "DomainMode". (see http://support.microsoft.com/kb/2260240) 2008 R2
    Outlook 2003 has to be patched to be compliant with Active Directory 2008 or greater (kb968614). 2008 R2
    Office Communication Server has to patched to be compliant with Active Directory 2008 or greater (kb958980). 2008 R2
    Secure Channel Signing can generate error message about issue with a secure channel establishment. This can be dealled by disabling the Secure Channel Signing parameter named domain member: Digitally encrypt or sign secure channel data (alaways). 2008 R2
    Some LDAP request may fail when the response contains more than one page. This issue could be addressed by adding a new registry key on each Domain controller to set the DS Heuristics to 1. 2008 R2
    The SID S-1-18-1 and S-1-18-2 could not be mapped to computers hosting Windows 7 or Windows Server 2008 R2 and joind to an Active Directory domain (kb2830145). 2012
    when setting-up a new DC, the next button may be missing during the Options phase. This occurs when no site's subnet plan could not be identified against the DC IP address, or existing site. This also occurs when the DSRM password is not fetching the password policy or is not confirmed (kb2737807). 2012
    When installing Active Directory on a server, the process stucks at step Creating NTDS Settings. This happens when the local administrator password is the same as the administrator of the domain or when a network issue is blocking the replication process. (kb2737935) 2012
    When instaling Active Directory Domain Services (ADDS) using the Servers Manager console, the message "the server is not operational" appears. This occurs when the target server is in a Workgroup as the NTLM authentication is disabled (kb2738697). 2012
    Adprep /domainprep /gpprep is not automatically run as part of installing the first DC that runs Windows Server 2012 in a domain. If it has never been run previously in the domain, it must be run manually (kb2737129). 2012
    Warnings can appear during prerequisite validation and then reappear during the installation (kb2737416). 2012
    "Format of the specified domain name is invalid" appears if you are removing the last DC in a domain where pre-created RODC accounts still exist. This affects Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008 (kb2737424). 2012
    Domain controller does not start, c00002e2 error occurs, or "Choose an option" is displayed because an administrator used Dism.exe, Pkgmgr.exe, or Ocsetup.exe to remove the DirectoryServices-DomainController role. 2012
    IFM verification can have limitations. See https://support.microsoft.com/kb/2737516 2012
    Install-AddsDomainControllercmdlet returns parameter set error for RODC when you try to attach a server to an RODC account if you specify arguments that are already populated on the pre-created RODC account (2737535). 2012
    "Unable to perform Exchange schema conflict check" error, and prerequisites check fails when you configure the first Windows Server 2012 DC in an existing domain because DCs are missing the SeServiceLogonRight for Network Service or because WMI or DCOM protocols are blocked kb2737560). 2012
    AddsDeployment module with the -Whatif argument shows incorrect DNS results and shows that DNS server will not be installed but it will be (kb2737797). 2012
    You receive the error "Access is denied" when you create a child domain remotely by using Install-AddsDomain if the DNSDelegationCredential has a bad password (kb2738060). 2012
    You receive access denied errors after you log on to a local administrator domain account. When you log on using a local Administrator account rather than the built-in Administrator account and then create a new domain, the account is not added to the Domain Admins group (kb2738746). 2012
    "The system cannot find the file specified" Adprep /gpprep error, or tool crashes because the infrastructure master is implements a disjoint namespace (kb2743345). 2012
    Windows Server 2012 Adprep cannot be run on Windows Server 2003. Adprep will display "not a valid Win32 application" error on Windows Server 2003, 64-bit version (kb2743367) 2012
    ADMT 3.2 cannot be installed on Windows Server 2012 by design (kb2753560). 2012
    DFS Replication diagnostic report does not display correctly because of changes in Internet Explorer 10 (kb2750857). 2012
    Remote Group Policy updates are visible to users due to scheduled tasks run in the context of each user who is logged on. The Windows Task Scheduler design requires an interactive prompt in this scenario (kb2741537). 2012
    ADM files are not present in SYSVOL in the GPMC Infrastructure Status option and GP replication can report "replication in progress" because GPMC Infrastructure Status does not follow customized filtering rules (kb2741591). 2012
    "The service cannot be started" error during AD DS configuration ( installing or removing AD DS, or cloning) because the DS Role Server service is disabled (kb2737880). 2012
    Two DHCP leases are created for each domain controller when you use the VDC cloning feature. his happens because the cloned domain controller received a lease before cloning and again when cloning was complete (kb2742836). 2012
    Domain controller cloning fails and the server restarts in DSRM in Windows Server 2012 (kb2742844) 2012
    Domain controller cloning does not re-create all service principal names. Some three-part SPNs are not recreated on the cloned DC because of a limitation of the domain rename process (kb2742874). 2012
    "No logon servers are available" error after cloning domain controller: log on as .\administrator to troubleshoot the cloning failure (kb2742908). 2012
    Domain controller cloning fails with error 8610 in dcpromo.log. Cloning fails because the PDC emulator has not performed inbound replication of the domain partition, likely because the role was transferred (kb2742916). 2012
    You receive the error "Index was out of range" after you run New-ADDCCloneConfigFile cmdlet while cloning virtual DCs, either because the cmdlet was not run from an elevated command prompt or because your access token does not contain the Administrators group (kb2742927). 2012
    Domain controller cloning fails with error 8437: "invalid parameter was specified for this replication operation" because an invalid clone name or a duplicate NetBIOS name was specified. 2012
    DC Cloning fails with no DSRM, duplicate source and clone computer. The cloned virtual DC boots in Directory Services Repair Mode (DSRM), using a duplicate name as the source DC because the DCCloneConfig.xml file was not created in the correct location or because the source DC was rebooted before cloning (kb2742970). 2012
    Domain controller cloning error 0x80041005. The cloned DC boots into DSRM because only one WINS server was specified. If any WINS server is specified, both Preferred and Alternate WINS servers must be specified (kb2743278). 2012
    You receive error "Server is not operational" after you run the New-ADDCCloneConfigFile cmdlet because the server cannot contact a global catalog server (kb2745013). 2012
    Domain controller cloning event 2224 provides incorrect guidance. Event ID 2224 incorrectly states that managed service accounts must be removed before cloning. Standalone MSAs must be removed but Group MSAs do not block cloning (kb2747974). 2012
    You cannot unlock a BitLocker-encrypted drive after you upgrade to Windows 8 and you receive an "Application not found" error when you try to unlock a drive on a computer that was upgraded from Windows 7 (kb2748266). 2012

    vendredi 8 décembre 2017 12:13
  • Autant que l'on veut!

    Techniquement le nombre d'objets que l'on peut créer dans l'AD est limité ainsi que le nombre de modification. 

    Dans la pratique les compteurs  sont a des valeurs astronomiques.

    https://technet.microsoft.com/fr-fr/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_Objects

    Comme expliqué par Loïc, il faut plutôt essayer d'établir le nombre de DC requis pour travailler convenablement sur l'ensemble des sites. 

    Selon les applications et les processus d'authentification. NTLM peut être un peu plus exigeant que Kerberos. 

    Pour la sauvegarde il est recommandé de faire la sauvegarde de l'état du système sur au moins 2DCs de chaque domaine de la forêt. 1 seul sauvegarde viable pour chaque domaine est suffisant.

    vendredi 8 décembre 2017 14:21
    Modérateur
  • Bonjour,

    Je ne pourrai pas migré notre infra sur AD 2016, car le serveur de messagerie Exchange 2007 ne supporte pas cette version win 2016. Je migrerai sur du windows 2012 R2.
    Il existe une rélation d'approbation entre notre infrastructure AD avec une forêt de niveau de fonctionnalité win 2003 et une autre infrastructure AD indépendante avec une forêt de niveau de fonctionnalité win 2003.
    Cette rélation d'approbation existerait ou pas après migration de DC et le transfet des rôles FSMO?

    Merci de votre aide.

    lundi 11 décembre 2017 08:45
  • Les approbations continueront d'exister, mais il faut vérifier le bon fonctionnement.

    Si elle ne marche pas en général c'est qu'il faut remettre à jour les redirecteurs DNS afin que l'environnement distant retrouve les nouveaux serveurs.

    lundi 11 décembre 2017 08:48
    Modérateur
  • Bonjour Thameur,

    J'ai effectué ma migation AD2003R2 vers 2012R2 avec succès.

    J'ai un soucis avec mes serveurs exchange 2007 version 8.03.0083.006.

    La reception et l'envoi des mail fonctionne.

    La restauration avec Backup EXEC ne fonctionne pas et j'ai le message suivant:

    "Error merging mailbox (/O=nom du domain/OU=EXCHANGE ADMINISTRATIVE GROUP (FYDIBOHF23SPDLT)/CN=RECIPIENTS/CN=EDUMONT) into user (resto1). Error message is: Unable to find 'SERV1' computer information in domain controller 'SERV1.domain.local' to perform the suitability check.

    Le Verify the fully qualified domain name.."  Le SERV1 est un contrôleur 2003 qui est sur un autre doamine qui sera supprimé dans 2 semaine. Aviez un retout d'expérierence sur cette problèmatique?

    Merci de votre aide.

    Cordialement,






    Serge

    jeudi 12 avril 2018 15:38
  • Bonjour Thameur,

    J'ai effectué ma migation AD2003R2 vers 2012R2 avec succès.

    J'ai un soucis avec mes serveurs exchange 2007 version 8.03.0083.006.

    La reception et l'envoi des mail fonctionne.

    La restauration avec Backup EXEC ne fonctionne pas et j'ai le message suivant:

    "Error merging mailbox (/O=nom du domain/OU=EXCHANGE ADMINISTRATIVE GROUP (FYDIBOHF23SPDLT)/CN=RECIPIENTS/CN=EDUMONT) into user (resto1). Error message is: Unable to find 'SERV1' computer information in domain controller 'SERV1.domain.local' to perform the suitability check.

    Le Verify the fully qualified domain name.."  Le SERV1 est un contrôleur 2003 qui est sur un autre doamine qui sera supprimé dans 2 semaine. Aviez un retout d'expérierence sur cette problèmatique?

    Merci de votre aide.

    Cordialement,






    Serge

    Bonjour,

    Vérifiez la configuration du Backup EXEC si l'ancien DC est déclaré en dur. Il est recommandé de configurer l'application d'utiliser DNS pour trouver un DC disponible pour éviter ce genre de problème.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 12 avril 2018 16:05
    Modérateur