none
Changement de serveur : AD DS et poste client RRS feed

  • Discussion générale

  • Bonjour,

    Nous allons procéder au renouvellement de serveur chez l'un de nos client et ayant en charge cette partie (seul à être adepte de la virtualisation) cela sera mon premier. Plusieurs questions se pose en revanche car cela va engendrer certaines contraintes comme le changement de domaine, les profils utilisateurs, etc...

    Actuellement ils tournent sous Windows Server 2008R2 Entreprise et nous allons le basculer sur du Windows Server 2016 Standard. En amont nous avons recréé un domaine identique "domaine.local" sur le serveur domaine.

    Architecture :
    - Serveur HOST (physique)
    - Serveur DOM (virtuel)
    - Serveur DATA (virtuel)

    Ma/mes question(s) et/sont : comment procéderiez-vous pour effectuer une telle opération ?

    Si après mon transfert de donnée sur le serveur DATA je décide de retirer l'ancien serveur pour y poser le nouveau, en ayant au préalable recréé les utilisateurs/groupes, lors de mes migrations côté poste client (sortie et remise dans le nouveau domaine) mes utilisateurs vont-ils garder leur profil intact sachant que le nom NetBios du domaine sera le même ? Cela va-t-il leur recrée un profil domaine vierge ?

    Veuillez m'excuser par avance si cela n'est pas très claire, mais je reste ouvert à tout conseil car cette partie manque dans mon expérience de technicien, manque sur lequel je voudrai pallier !

    En vous remerciant d'avance des réponses qui me seront apportés.

    Cordialement,
    TechDIGIT

    vendredi 1 décembre 2017 11:48

Toutes les réponses

  • Bonjour,

    Une migration de domaine implique que les profils seront vierge. Vous devrez donc transférer les données de l'ancien domaine vers le nouveau.

    si votre objectif est simplement de montée de version les OS, alors il y a plus simple : vous ajouter le nouveau DC au domaine existant, vous transférer les rôles FSMO dessus, vous vous assurez que les réplications ont bien fonctionnées puis vous décomissionnez l'ancien DC.


    Note : en général, on évite de recréer un domaine existant sauf si une bonne raison l'impose (corruption de l'annuaire, changement de nom de l'entreprise, ...)
    vendredi 1 décembre 2017 12:13
  • En amont nous avons recréé un domaine identique "domaine.local" sur le serveur domaine. 

    Pourquoi ne pas migrer le domaine actuel avec des méthodes classiques ?

    Si tu veux faire un nouveau domaine c'est plus simple de choisir un autre nom afin de pouvoir créer une approbation entre les deux, ceux qui pourra faciliter la migration de certain éléments, comme les partages par exemple. Cela permet aussi de faire une restructuration avec ADMT :

    http://pbarth.fr/node/106

    Je suppose que tu as mis domaine.local dans le post pour ne pas pas indiquer le vrai nom. Sinon c'est pas très bien choisit...

    Ma/mes question(s) et/sont : comment procéderiez-vous pour effectuer une telle opération ?

    Migration classique de l'AD en ajoutant des DC au domaine existant :

    http://pbarth.fr/node/89

    Si après mon transfert de donnée sur le serveur DATA je décide de retirer l'ancien serveur pour y poser le nouveau, en ayant au préalable recréé les utilisateurs/groupes, lors de mes migrations côté poste client (sortie et remise dans le nouveau domaine) mes utilisateurs vont-ils garder leur profil intact sachant que le nom NetBios du domaine sera le même ? Cela va-t-il leur recrée un profil domaine vierge ?Non ce n'est pas le même domaine, ce ne sont pas les mêmes utilisateurs, le profil ne sera pas le même . Le fait de conserver le nom du domaine ne permet pas de duper Windows qui utilise des identifiants unique.

    Sinon quels sont les autres rôles et/ou applications que tu dois reprendre ? Exchange ? ...

    vendredi 1 décembre 2017 12:19
  • C'est ce que je pensais, ai-je un moyen pour ne pas perdre les profils utilisateurs ?
    Concernant le nom du domaine effectivement c'est pour cacher le nom de la société pour laquelle je suis le technicien.

    Si tu veux faire un nouveau domaine c'est plus simple de choisir un autre nom afin de pouvoir créer une approbation entre les deux, ceux qui pourra faciliter la migration de certain éléments, comme les partages par exemple. Cela permet aussi de faire une restructuration avec ADMT :

    Dois-je transférer mes dossiers sur le serveur DATA avant ou une réplication le fait automatiquement pendant mon transfert ?

    Ils n'ont pas de serveur Echange (héberger sur ExChange Online côté OVH) et reste le seveur DNS après. Bien qu'initialement l'installation soit légèrement bancale car les postes sont en IP fixe sur les DNS du routeur...

    vendredi 1 décembre 2017 12:36
  • sur le DNS du routeur ? De la box du FAI ou d'un routeur interne configuré par l'equipe info ?
    vendredi 1 décembre 2017 12:53
  • Box FAI. L'ancien technicien n'était pas trés fut fut, je me demande même si tout les postes sur le domaine. J'ai vu une de ses installations sans inétgration de domaine, sur une simple authentification serveur avec partage de fichier pour les accès utilisateurs.

    Je dois tout reprendre pour avoir une infrastructure propre est structurée.

    vendredi 1 décembre 2017 12:59
  • Ouais, oubliez la notion de domaine alors... Impossible que la box du FAI sache résoudre le domaine local. Effectivement, votre première action sera de passer les postes clients sur le DNS du contrôleur de domaine. ensuite seulement on pourra regarder comment nettoyer tout le domaine et en faire quelque-chose de propre.
    vendredi 1 décembre 2017 13:24
  • Le plus simple est de désactiver le DHCP sur la box et de le mettre sur le serveur afin d'assurer une bonne gestion des paramètres. Certaines box permettent de gérer les DNS.

    Il est indispensable que les postes utilisentun DNS qui sache résoudre les noms d'Active Directory. Il n'y a pas d'AD opérationnel sans DNS correct.

    Dois-je transférer mes dossiers sur le serveur DATA avant ou une réplication le fait automatiquement pendant mon transfert ?

    Le plus simple est de faire une migration de l'AD, cela évite de tout refaire avec les comptes, l'adhésion des postes au domaine. Pour migrer les dossiers sur un autre serveurs, robocopy est un tools bien pratique car il permet de conserver les informations de sécurité (/MIR /SEC). Sinon DFS-R ou les outils de migration de rôle peuvent également aider.


    Pour les partages, les infos sont dans le registre, il est possible de les exporter en reg pour les réimportés (.reg).


    vendredi 1 décembre 2017 15:13
  • Donc je vais recommencer mon installe et faire comme suis :

    Poser le serveur physique sur place
    Monter ma VM domaine et mettre en place le rôle AD en domaine enfant de la fôret existance
    Transférer les rôles FSMO et vérifier la réplication
    Retirer la promotion AD de l'ancien serveur et arrêt du serveur

    Une question par contre pour les fichiers et le transfert des autorisations. Dois-je monter le serveur DATA et transférer les données avant ou après les manipulations AD ?

    vendredi 1 décembre 2017 15:16
  • Monter ma VM domaine et mettre en place le rôle AD en domaine enfant de la fôret existance

    C'est un contrôleur de domaine supplémentaire pour le domaine existant. Ce n'est pas un domaine enfant.

    http://pbarth.fr/node/89

    Une question par contre pour les fichiers et le transfert des autorisations. Dois-je monter le serveur DATA et transférer les données avant ou après les manipulations AD ?

    Ajoutes le nouveau DC, ne rétrograde pas l'ancien de suite, optimise ta conf réseau (DNS, DHCP). Déplace les rôles FSMO. 

    La migration des partages de fichier n'a pas de lien avec la migration de l'AD. Mais le plus simple est de finir sur la suppression de l'ancien DC une fois tout migré.

    Dcdiag et repadmin sont les outils de base de la migration AD, a consommer sans modération. Ne pas minimiser les erreurs dans DCdiag, il faut les comprendre et les résoudre.


    vendredi 1 décembre 2017 16:01
  • Et on sera ravi de t'aider en prime :) Pour résumé, tu commences par installer ton serveur physique et tu montes ton serveur virtuel futur DC. Ensuite, tu le joints au domaine (très important, sinon tu pourrais faire face à des bugs lié au compte administrateur local), après tu lances un DCDIAG sur le contrôleur existant à la recherche d'éventuelles erreurs. Enfin tu promeut le 2016 comme nouveau contrôleur de domaine (une étape de préparation du schéma sera faite automatiquement).

    Pour les postes clients, dessines-nous un schéma de l'existant on te dira quels étapes suivre pour la modification.

    vendredi 1 décembre 2017 16:19
  • Et on sera ravi de t'aider en prime :)

    Je vois ça ... A cause de toi, j'ai de moins en moins de truc intéressant à rajouter ... (blague). Non sérieux, plus il y a de gens qui participe et plus les réponses s'enrichissent. Tu as bien fais Loïc, de rester avec nous ;-)

    (désolé pour le message perso)

    vendredi 1 décembre 2017 16:42
  • Donc je vais recommencer mon installe et faire comme suis :

    Poser le serveur physique sur place
    Monter ma VM domaine et mettre en place le rôle AD en domaine enfant de la fôret existance
    Transférer les rôles FSMO et vérifier la réplication
    Retirer la promotion AD de l'ancien serveur et arrêt du serveur

    Une question par contre pour les fichiers et le transfert des autorisations. Dois-je monter le serveur DATA et transférer les données avant ou après les manipulations AD ?

    Bonjour,

    Si votre objectif est de remplacer le DC 2008 R2 par un nouveau DC sous Windows 2016, vous n'aurez pas besoin de créer un nouveau domaine enfant.En effet  un domaine peut avoir plusieurs contrôleurs de domaine, il est même recommandé pour avoir la redondance du service de l'annuaire.

    Voici les étapes à suivre pour ce genre de projet:

    1. Pour ajouter un contrôleur de domaine sous Windows 2016 , il faut vérifier que le niveau fonctionnel de la forêt est 2003 ou plus. Pour avoir plus de détails veuillez consulter les liens ci-dessous:
      Le niveau fonctionnel FFL/DFL
      Déployer le premier contrôleur de domaine sous Windows 2016
    2. Si vous allez utiliser un compte avec les droits administrateurs de schémas et entreprise , vous pouvez négliger cette étape parce que la préparation de la forêt va se lancer automatiquement lors du promouvoir du premier DC sous Windows 2016. SI non veuillez consulter ce lien :
      Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016
    3. Installer le nouveau serveur sous Windows 2016 et le promouvoir tant que qu'un DC supplémentaire:
      Déployer le premier contrôleur de domaine sous Windows 2016
    4. Mettre à jour les paramètres DNS des clients ( serveurs et poste de travail) pour pointer vers le nouveau DC 2016
    5. Déplacer les rôles FSMO vers le nouveau DC 2016:
      Gérer l'emplacement des rôles FSMO
    6. Rétrograder l'ancien contrôleur de domaine

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 1 décembre 2017 17:06
    Modérateur
  • Je vous remercie déjà de toutes vos réponses cela m'aide à y voir plus claire. Je vais monter un 2003 en atelier avec un 2016 sur le côté et effectuer la manipulation en test avant de le faire en PROD.Une fois maitrisé je ferai de même sur site.

    Comment s'effectue le transfert de rôle FSMO ?
    Je consommerai DCDIAG sans modération, je souhaite que mes installes soit les plus propre possible !

    Encore merci des réponses apportés :)

    Rectif: le domaine actuel est sous Windows Server 2003, une contrainte particulière ?

    lundi 4 décembre 2017 10:06
  • Le transfert peut se faire en ligne de commande avec NTDSUTIL (https://www.it-connect.fr/transfert-des-roles-fsmo-avec-ntdsutil/) ou bien avec les interfaces graphique (dsa.msc, dssites.msc).

    La bascule de 2003 vers 2016 implique l'utilisation d'outillage 64 bits pour la préparation du schéma, cela peut engendrer un problème si l'opération est exécutée sur un os 32 bits. Le niveau fonctionnel de foret et du domaine doit être 2003 minium (accessible dans domain.msc et dsa.msc). 

    Plus d'info ici : https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers

    lundi 4 décembre 2017 11:51
  • D'accord, j'ai vu qu'avec ADMT on pouvait migrer les postes utilisateurs d'un domaine à l'autre. Cela migre-t-il aussi ? Ce qui éviterai de repartir sur un profil vierge.
    lundi 4 décembre 2017 12:10
  • Non, les profils resteront vierge car directement lié au SID de l'utilisateur qui sera différent (celui-ci est composé pour parti de l'ID du domaine qui est unique).
    lundi 4 décembre 2017 12:19
  • Je faisais référence à ça http://pbarth.fr/node/116 sur le site de Philippe BARTH au dessus qui proposerai eventuellement de le faire via ADMT. Cela m'aurait évité les transferts de profil par backup dommage.
    lundi 4 décembre 2017 12:29
  • L'ordinateur sera dans le nouveau domaine, le compte utilisateur aussi. à la première ouverture de session, un nouveau profil local sera créé. Il sera alors nécessaire de transférer les données depuis l'ancien profil local. Il existe UMT (User Migration Tool) pour faire cela sur Windows 7.
    lundi 4 décembre 2017 12:59
  • ADMT va migrer les profils existant sur la machine. En réalité ADMT met à jour les informations en faisant correspondre SID de lancien domaine avec le SID du nouveau.

    Voir paragraphe sur les profils 

    https://technet.microsoft.com/en-us/library/cc974331(WS.10).aspx

    Si l'utilisateur change de poste par contre , il aura un profil vierge. 


    lundi 4 décembre 2017 17:11
  • Il existe UMT (User Migration Tool) pour faire cela sur Windows 7.

    USMT : User State Migration Tool.

    https://technet.microsoft.com/fr-fr/library/dd560801(v=ws.10).aspx

    Avant il y avait également sur les postes l'assistant de transfert :

    http://www.aidewindows.net/seven/transfert_fichiers.php


    lundi 4 décembre 2017 17:13
  • Comment s'effectue le transfert de rôle FSMO ?

    Console graphique : 

    http://pbarth.fr/node/79

    Ou NTDSUtil :

    Ntdsutil

    roles

    connections

    connect to server NomDeTonDC

    q

     

    Exécutez une ou plusieurs des commandes suivantes :

    transfer pdc

    transfer RID master

    transfer infrastructure master

    transfer schema master

    transfer naming master

    PowerShell :

    Move-ADDirectoryServerOperationMasterRole -Identity “NomDeTonDC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

    Le plus court c'est PowerShell.

    lundi 4 décembre 2017 17:27
  • ADMT va migrer les profils existant sur la machine. En réalité ADMT met à jour les informations en faisant correspondre SID de lancien domaine avec le SID du nouveau.

    Voir paragraphe sur les profils 

    https://technet.microsoft.com/en-us/library/cc974331(WS.10).aspx

    Si l'utilisateur change de poste par contre , il aura un profil vierge. 



    Ah oui! Je l'avais complétement oublié ce petit paramètre :) Merci Phil'!
    lundi 4 décembre 2017 20:27

  • Comment s'effectue le transfert de rôle FSMO ?

    C'est indiqué dans le lien de ma réponse ci-dessus. C'est ce lien : Gérer l'emplacement des rôles FSMO

    Rectif: le domaine actuel est sous Windows Server 2003, une contrainte particulière ?

    Il suffit de s'assurer que le niveau fonctionnel est 2003 pour pouvoir ajouter un DC sous Windows 2016, pour la préparation de la forêt vous n'êtes pas obligé le faire manuellement si vous aller utiliser un compte avec es droits administrateur du schéma et entreprise l'assistant va s'occuper de la préparation de la forêt automatiquement qualque soit le type de l'OS du DC 2003 32 bit ou 64. Pour plus de détails veuillez consulter ce lien : Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 4 décembre 2017 22:51
    Modérateur
  • [...] quelque soit le type de l'OS du DC 2003 32 bit ou 64. [...]


    Précision : Thameur indique que les DC 32 bits sont compatibles avec la montée de version, pas que l'upgrade peut être lancé depuis un OS 32 bits.
    mardi 5 décembre 2017 07:08
  • [...] quelque soit le type de l'OS du DC 2003 32 bit ou 64. [...]


    Précision : Thameur indique que les DC 32 bits sont compatibles avec la montée de version, pas que l'upgrade peut être lancé depuis un OS 32 bits.

    exactement Loic , depuis un DC 32,on ne peut pas lancer manuellement la préparation de la forêt avant la première promotion d'un DC 2012/ 2016, il faut avoir un OS 64 vue qu'à partir de Windows 2012 pour la préparation manuelle via adprep, parce que le support d'installation 2012 2016 ne contient que la version compatible avec les OS 64 bit.

    Dans ce cas on peut utiliser la préparation automatique de la forêt via l'assistant pour mettre à jour la version du schéma en utilisant un compte avec des privilèges requises ( admin du schéms et entreprise) lors de la première promotion d'un DC 2012 /2016 sans avoir besoin d'ajouter un DC 64 bit.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 5 décembre 2017 14:03
    Modérateur
  • Cela se déroule bien avec tout vos conseils.

    Si jamais j'ai une erreur ou autre je me permettrai de revenir poster ici. J'ai cru voir que certains d'entre vous avec des sites Web avec des tutoriels et explication sur se genre de chose. Je me permettrai d'aller y faire un tour !

    mercredi 20 décembre 2017 10:55
  • Peut-on effectuer une migration AD DS alors que les utilisateurs sont connectés ?
    vendredi 29 décembre 2017 14:20
  • Peut-on effectuer une migration AD DS alors que les utilisateurs sont connectés ?

    Pour le faire,  il faut bien maîtriser les paramètres DNS avant et après la rétrogradation de l'ancien DC, afin de laisser les machines membres de contacter un DC ou un serveur DNS capable de résoudre la zone DNS du domaine en question.

    Avant de se lancer dans la migration, il faut vérifier aussi que l'ancien DC n'est pas déclaré en dur dans une application ou un script en cours d'exécution dans la production. Si c'est le cas il faut les mettre à jour en ajoutant le nouveau DC.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 29 décembre 2017 15:21
    Modérateur
  • En synthèse : oui, l'impact n'ayant lieu que lorsque l'on rétrograde l'ancien DC.
    vendredi 29 décembre 2017 16:08
  • L'ancien arcitecture est en IP fixe côté poste client. Voici ce que je compte faire :

    - Transfert des rôles FSMO
    - Vérification des entrées DNS
    - Mise en place d'un DHCP sur le nouveau DC2016
    - Passage sur site pour retrait adressage IP et passage en DHCP

    Rétrogradation de l'ancien DC2003.Cela vous semble-t-il correct ?

    mardi 2 janvier 2018 09:29
  • a un détail près : rétrograder l'ancien DC veut dire changer les adresses des serveurs DNS. Pensez à mettre le 2003 en secondaire.
    mardi 2 janvier 2018 09:52
  • Pendant la bascule oui mais après avoir configurer mon DHCP et récupérer les adressage IP sur le poste client je peut retirer les DNS du DC2003 et retirer le serveur ?
    mardi 2 janvier 2018 10:06
  • Oui.
    mardi 2 janvier 2018 10:10
  • Mes postes client sont en DNS sur l'ancien DC2003 actuellement (IP fixe).
    Je peut faire les bascules aujourd'hui et mettre en place mon DHCP pour le réadressage demain ou cela pose soucis ?

    Il y a aussi une partie ou il faut ajouter le composant enfichable Active Directory Shema" pour modifier le maitre d'opération mais je ne l'ai pas dans mes ajouts possible...

    • Modifié TechDIGIT mardi 2 janvier 2018 10:38
    mardi 2 janvier 2018 10:27
  • Il faut enregistrer la DLL avant de pouvoir accéder au schéma : https://technet.microsoft.com/en-us/library/cc732110(v=ws.11).aspx

    Quelque soit la configuration DNS retenue coté DHCP, veillez à ce que :

    • les zones DNS soient bien déclarées sur le nouveau serveur
    • les redirecteurs existants soient bien reportés sur le nouveau serveur

    Je vous recommande de conserver le 2003 quelques temps, au cas où un enregistrement statique soit manquant ou que l'utilisation d'un record toujours présent dans le cache du 2003 soit nécessaire (cas fréquent lorsque le nettoyage automatique n'est pas activé).


    mardi 2 janvier 2018 10:47
  • Parfait de mon côté tout est bon.

    Mes rôles sont tous transféré sur le nouveau DC2016
    Mes réplication sont bonnes également.

    Le paramétrage DHCP du nouveau DC est en cours et demain je retirerai la promotion DC de l'ancien serveur et changement les paramètres DNS côté poste client. Pour le moment côté DHCP j'ai laissé le DNS de l'ancien serveur en secondaire.

    Comme tout a été repris, confirmez moi par contre, le profil utilisateur ne sera pas impacté car le SID n'aura pas bougé ?

    En revanche après un dcdiag tout est bon sauf NtpClient pour la synchro d'horloge. Une idée de ou cela pourrait venir ?

    • Modifié TechDIGIT mardi 2 janvier 2018 11:48
    mardi 2 janvier 2018 11:10
  • Le SID ne change pas si le domaine ne change pas :) 

    Le NTP doit être configuré comme ceci : PDC vers source externe, DC vers PDC, client vers DC assurant l'authentification. Les clients et les DC seront automatiquement configuré pour interroger qui de droit. Le PDC, qui maintenant est le 2016, doit être configuré pour se synchroniser avec une source externe : https://social.technet.microsoft.com/wiki/contents/articles/8863.time-service-configuration-on-dc-with-pdc-emulator-fsmo-role.aspx


    mardi 2 janvier 2018 12:19
  • Tout est bon du coup.

    Attente de demain pour modification côté poste client et normalement tout sera bon.encore merci pour votre aide qui m'aura été précieuse !

    mardi 2 janvier 2018 12:46
  • Migration terminée sans problème.
    Je vous remercie tous pour l'aide apportée !

    Cordialement,
    TechDIGIT

    jeudi 4 janvier 2018 07:59