none
Renommer domaine et migration des comptes locaux RRS feed

  • Frage

  • Bonjour,

    Nous allons prochainement changer nos serveurs pour passer sur une infrastructure virtualisée. Nous allons également passer de Windows Server 2012 R2 à Windows Server 2019.

    Nous souhaiterions en profiter pour changer notre nom de domaine qui n'est plus bon. Se pose alors deux problèmes :

    - En rattachant les PC (tous sous Windows 10) au nouveau domaine, peut-on faire suivre les comptes locaux des utilisateurs afin de ne pas avoir tout à reconfigurer sur chaque machine ?

    - Nos utilisateurs ont des droits attribués sur les dossiers/fichiers partagés, est-il possible de faire suivre ces droits lors du transfert de l'AD et des fichiers/dossiers vers un nouveau stockage ?

    Nous serons accompagnés par un prestataire mais je dois envisager les différentes possibilités.

    Merci pour votre aide.

    Freitag, 14. Januar 2022 11:15

Antworten

  • Bonjour CLCL info

    Pour le renommage du domaine : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc794869(v=ws.10)?redirectedfrom=MSDN

    et en version courte FR : https://rdr-it.com/renommer-un-domaine-active-directory/

    Conseil : Faire successivement : Renommage, tests que tout est OK (réplication, cohérence, ....), puis seulement après, migration.

    Pour cette dernière Etape :

    • Install serveur (VM),
    • jonction au domaine (Renommé et parfaitement fonctionnel),
    • promotion en DC/DNS,
    • migration des roles FSMO,
    • vérification que tout est OK,
    • Vérification que dans les GPOs, il n'y a aucune GPO qui pointe sur \\ancienDC\share (il est toujours là pour l'instant). Si Share = netlogon ou Sysvol mettre \\domainName\Netlogon ou \\DomainName\sysvol (c'est répliqué sur tous les DCs)
    • Vérifier si on a bien un CentralStore (c:\windows\Sysvol\domainName\ysvol\policies\PolicyDefinitions)
    • Mettre à jour le CentralStore avec les .admx correspondant à l'infra (OS, et App).
    • Identification des autres roles joués par AncienDC (toujours là à cette étape). Ex. File, Print, WSUS, ...

    A cette étape, un choix sera à faire. Soit tu conserves AncienDC (en tant que serveur membre), soit tu le vires complètement.

    Cas conservation:

    • Depromotion du role DC/DNS et reboot.
    • Attention avant de faire la dépromotion, bien vérifier que dans la conf IP, onglet DNS, en DNS1 il y a bien un DNS "survivant".

    En effet, le mécanisme de dépromotion est le suivant : Plus DC ==> cela vire le domaine, mais cela va également mettre à jour le DNS (DNS en DNS1 dans la conf IP) afin que ce dernier supprime les entrées LDAP, Kerberos, ... et dans la foulée, la machine s'adresse au DNS local pour lui dire "tu ne peux plus porter la zone DNS concernant l'AD car tu n'est plus DC". La zone est mise à jour et supprimée avant d'avoir répliquée vers les autres DNS. Si DNS1 est un DNS survivant, tu n'as pas ce problème.

    • Check de la conf DNS : cela doit être OK, plus de trace d'AncienDC en LDAP, Kerberos, .... (c'est propre).
    • Les autres rôles restent fonctionnels et opérationnels.
    • FIles : HomeDir et autres shares Rien n'a bougé OK
    • Print OK opérationnel
    • Attention : Si serveur Web (ou WSUS qui utilise IIS), cela ne va plus fonctionner : en effet IIS créé dans l'annuaire local 2 compte IUSR... et IWAM... mais un DC n'a pas de compte local, juste l'AD. Plus DC, plus ça. Désinstaller WSUS et IIS (sans supprimer les packages), reboot, réinstaller et reconfigurer.
    • Attention : il peut  y avoir également des soucis à prendre en compte avec des DBs pour les mêmes raisons qur IIS (compte créé dans annuaire local - AD - qui n'existe plus).

    Cas suppression

    Ce sont les mêmes étapes, mais avant tout, il faut installer les rôles sur un nouveau serveur, déplacer les données, vérifier que de GPOs ne pointent pas sur AncienServeur, ....

    • File : Robocopy ancienserveur nouveauServeur Paramètres (conserver les permissions NTFS)
    • Print : je déconseille l'export/réimport depuis la console Gestionnaire d'impression (à moins que tu veuilles installer des pilotes très anciens sur un serveur tout propre). identification Marques/Modèle des queues d'impression téléchargement des pilotes chez Editeur, installation sur nouveau serveur, création des queues à l'identique de AncienServeur, mise à jour des GPo PrinterMap (si cela a été fait avec la bonne entrée dans les templates, la mise à jour sera automatique pour les postes/users).
    • WSUS : installation propre sur nouveauserveur, conf, ceck GPOs pour aller pointer su rnouveau
    • autres : à regarder de près.

    Le cas est choisi ?

    • Dépromotion propre + reboot ==> AncienDC passe serveur membre
    • Dernière sync des données partagées (si partages doivent aller sur nouveau serveur)
    • Sortie du domaine  et extinction

    Conserver l'ancienDC quelques temps (au cas ou, tu aurais oublié quelques temps), puis recyclage (si hardware peut encore faire l'affaire, réinstallation propre avec un OS frais, ou suppression totale de la machine)

    Voilà, tu as une liste de courses - en espérant que je n'ai rien oublié - à suivre. La clé pour la réussite, c'est préparation. Tu vas passer plus de temps à préparer qu'à faire.

    Olivier

    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:36
    Montag, 17. Januar 2022 12:21
  • ADMT permet de migrer les utilisateurs, les ordinateurs et les groupes vers un nouvel environnement.


    ADMT permet une migration progressive. Les serveurs de ressources sont migré en dernier. Le SID History permet à un utilisateur migré de continuer à accéder au ressources sur l'ancien domaine. 

    La migration avec ADMT du serveur de fichier gère le remplacements des permissions NTFS.

    http://pbarth.fr/node/106

    Il est déconseillé de renommer le domaine existant, le renommage du domaine entraine pas mal de conséquence qui ne sont pas toujours facile a identifier et gérer (pb DNS, Exchange , ...)

    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:32
    Sonntag, 16. Januar 2022 16:01
  • Salut,

    Vous pouvez mettre à jour les rôles et les fonctionnalités vers des versions ultérieures de Windows Server en migrant vers un nouveau serveur, ou beaucoup prennent également en charge les mises à niveau sur place où vous installez la nouvelle version de Windows Server par-dessus la version actuelle.

    Vous pouvez migrer de nombreux rôles et fonctionnalités à l'aide des outils de migration de Windows Server, une fonctionnalité intégrée à Windows Server pour la migration des rôles et des fonctionnalités, tandis que les serveurs de fichiers et le stockage peuvent être migrés à l'aide du service de migration de stockage.

    Voici un lien pour une description détaillée du processus que vous devez suivre.

    Mettre à niveau et migrer les rôles et fonctionnalités dans Windows Server
    https://docs.microsoft.com/fr-FR/windows-server/get-started/upgrade-migrate-roles-features

    Utiliser le service de migration de stockage pour migrer un serveur
    https://docs.microsoft.com/fr-FR/windows-server/storage/storage-migration-service/migrate-data

    J'espère que cela résout votre requête !!

    --Si la réponse est utile, merci de voter pour et de l'accepter comme réponse--
    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:36
    Montag, 17. Januar 2022 10:56
  • Ajoute des UPN sur ton domaine .local existant. Ca suffiras. Tu peux ajouter abc.com en UPN et faire l'ouverture avec ;-)
    • Als Antwort markiert CLCL-Info Freitag, 25. Februar 2022 09:42
    Mittwoch, 23. Februar 2022 09:53

Alle Antworten

  • ADMT permet de migrer les utilisateurs, les ordinateurs et les groupes vers un nouvel environnement.


    ADMT permet une migration progressive. Les serveurs de ressources sont migré en dernier. Le SID History permet à un utilisateur migré de continuer à accéder au ressources sur l'ancien domaine. 

    La migration avec ADMT du serveur de fichier gère le remplacements des permissions NTFS.

    http://pbarth.fr/node/106

    Il est déconseillé de renommer le domaine existant, le renommage du domaine entraine pas mal de conséquence qui ne sont pas toujours facile a identifier et gérer (pb DNS, Exchange , ...)

    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:32
    Sonntag, 16. Januar 2022 16:01
  • Salut,

    Vous pouvez mettre à jour les rôles et les fonctionnalités vers des versions ultérieures de Windows Server en migrant vers un nouveau serveur, ou beaucoup prennent également en charge les mises à niveau sur place où vous installez la nouvelle version de Windows Server par-dessus la version actuelle.

    Vous pouvez migrer de nombreux rôles et fonctionnalités à l'aide des outils de migration de Windows Server, une fonctionnalité intégrée à Windows Server pour la migration des rôles et des fonctionnalités, tandis que les serveurs de fichiers et le stockage peuvent être migrés à l'aide du service de migration de stockage.

    Voici un lien pour une description détaillée du processus que vous devez suivre.

    Mettre à niveau et migrer les rôles et fonctionnalités dans Windows Server
    https://docs.microsoft.com/fr-FR/windows-server/get-started/upgrade-migrate-roles-features

    Utiliser le service de migration de stockage pour migrer un serveur
    https://docs.microsoft.com/fr-FR/windows-server/storage/storage-migration-service/migrate-data

    J'espère que cela résout votre requête !!

    --Si la réponse est utile, merci de voter pour et de l'accepter comme réponse--
    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:36
    Montag, 17. Januar 2022 10:56
  • Bonjour CLCL info

    Pour le renommage du domaine : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc794869(v=ws.10)?redirectedfrom=MSDN

    et en version courte FR : https://rdr-it.com/renommer-un-domaine-active-directory/

    Conseil : Faire successivement : Renommage, tests que tout est OK (réplication, cohérence, ....), puis seulement après, migration.

    Pour cette dernière Etape :

    • Install serveur (VM),
    • jonction au domaine (Renommé et parfaitement fonctionnel),
    • promotion en DC/DNS,
    • migration des roles FSMO,
    • vérification que tout est OK,
    • Vérification que dans les GPOs, il n'y a aucune GPO qui pointe sur \\ancienDC\share (il est toujours là pour l'instant). Si Share = netlogon ou Sysvol mettre \\domainName\Netlogon ou \\DomainName\sysvol (c'est répliqué sur tous les DCs)
    • Vérifier si on a bien un CentralStore (c:\windows\Sysvol\domainName\ysvol\policies\PolicyDefinitions)
    • Mettre à jour le CentralStore avec les .admx correspondant à l'infra (OS, et App).
    • Identification des autres roles joués par AncienDC (toujours là à cette étape). Ex. File, Print, WSUS, ...

    A cette étape, un choix sera à faire. Soit tu conserves AncienDC (en tant que serveur membre), soit tu le vires complètement.

    Cas conservation:

    • Depromotion du role DC/DNS et reboot.
    • Attention avant de faire la dépromotion, bien vérifier que dans la conf IP, onglet DNS, en DNS1 il y a bien un DNS "survivant".

    En effet, le mécanisme de dépromotion est le suivant : Plus DC ==> cela vire le domaine, mais cela va également mettre à jour le DNS (DNS en DNS1 dans la conf IP) afin que ce dernier supprime les entrées LDAP, Kerberos, ... et dans la foulée, la machine s'adresse au DNS local pour lui dire "tu ne peux plus porter la zone DNS concernant l'AD car tu n'est plus DC". La zone est mise à jour et supprimée avant d'avoir répliquée vers les autres DNS. Si DNS1 est un DNS survivant, tu n'as pas ce problème.

    • Check de la conf DNS : cela doit être OK, plus de trace d'AncienDC en LDAP, Kerberos, .... (c'est propre).
    • Les autres rôles restent fonctionnels et opérationnels.
    • FIles : HomeDir et autres shares Rien n'a bougé OK
    • Print OK opérationnel
    • Attention : Si serveur Web (ou WSUS qui utilise IIS), cela ne va plus fonctionner : en effet IIS créé dans l'annuaire local 2 compte IUSR... et IWAM... mais un DC n'a pas de compte local, juste l'AD. Plus DC, plus ça. Désinstaller WSUS et IIS (sans supprimer les packages), reboot, réinstaller et reconfigurer.
    • Attention : il peut  y avoir également des soucis à prendre en compte avec des DBs pour les mêmes raisons qur IIS (compte créé dans annuaire local - AD - qui n'existe plus).

    Cas suppression

    Ce sont les mêmes étapes, mais avant tout, il faut installer les rôles sur un nouveau serveur, déplacer les données, vérifier que de GPOs ne pointent pas sur AncienServeur, ....

    • File : Robocopy ancienserveur nouveauServeur Paramètres (conserver les permissions NTFS)
    • Print : je déconseille l'export/réimport depuis la console Gestionnaire d'impression (à moins que tu veuilles installer des pilotes très anciens sur un serveur tout propre). identification Marques/Modèle des queues d'impression téléchargement des pilotes chez Editeur, installation sur nouveau serveur, création des queues à l'identique de AncienServeur, mise à jour des GPo PrinterMap (si cela a été fait avec la bonne entrée dans les templates, la mise à jour sera automatique pour les postes/users).
    • WSUS : installation propre sur nouveauserveur, conf, ceck GPOs pour aller pointer su rnouveau
    • autres : à regarder de près.

    Le cas est choisi ?

    • Dépromotion propre + reboot ==> AncienDC passe serveur membre
    • Dernière sync des données partagées (si partages doivent aller sur nouveau serveur)
    • Sortie du domaine  et extinction

    Conserver l'ancienDC quelques temps (au cas ou, tu aurais oublié quelques temps), puis recyclage (si hardware peut encore faire l'affaire, réinstallation propre avec un OS frais, ou suppression totale de la machine)

    Voilà, tu as une liste de courses - en espérant que je n'ai rien oublié - à suivre. La clé pour la réussite, c'est préparation. Tu vas passer plus de temps à préparer qu'à faire.

    Olivier

    • Als Antwort markiert CLCL-Info Mittwoch, 23. Februar 2022 09:36
    Montag, 17. Januar 2022 12:21
  • ATTENTION : le renommage de domaine d'un point de vue AD peut paraître assez simple. Par contre si on tient compte de tous se qui dépend de l'AD c'est plus complexe. L'authentification Kerberos sur une base SQL avec les SPN qui change, la messagerie Exchange et ses dépendances à l'AD. 

    Renommer un domaine nécessite une bonne expertise et connaissance de la totalité de l'environnement. Toute erreur se paie cache avec un risque d'arrêt de production, alors qu'ADMT est plus progressif et transparent.

    ou beaucoup prennent également en charge les mises à niveau sur place où vous installez la nouvelle version de Windows Server par-dessus la version actuelle.

    Je ne recommande pas non plus mes migrations In Place sur des contrôleurs de domaine. L'ajout de nouveau contrôleur de domaine est une solution transparente pour l'utilisateur et globalement moins risqué.

    Montag, 17. Januar 2022 13:06
  • Excellents conseils de Philippe.

    Je plussoie pour la "non recommandation" pour la migration In-place. Si DC actuelle a des casseroles (pas l'AD mais la machine), une fois upgradé, les casseroles seront toujours là. Il est beaucoup plus sur d'installer un nouveau DC puis de dépromouvoir l'ancien. Après on conserve ou pas ce nouveau serveur membre c'est selon.

    Olivier

    Dienstag, 18. Januar 2022 05:43
  • Bonjour,

    Je m'excuse pour le long moment d'absence et vous remercie tous pour vos différentes réponses.

    Je comprends que renommer un domaine est très risqué mais je n'ai pas précisé que notre Exchange était hébergé chez OV... et que nous n'avons aucun lien entre celui-ci et notre AD. Il est cependant prévu de migrer vers Microsoft 365 et d'utiliser l'AD connect. Pour les bases de données, une réinstallation complète est prévue.

    Si l'on tient compte de ces éléments, est-ce toujours aussi risqué de renommer le domaine ? 

    Malheureusement celui-ci a changé, nos adresses emails sont donc en abc.com alors que notre domaine local est def.local. C'est aussi pour cette raison que je souhaite renommer le domaine.

    Concernant la migration In-place, ce n'est pas prévu. Nous préférons ajouter un nouveau contrôleur et migrer pas à pas les éléments.

    Mittwoch, 23. Februar 2022 09:32
  • Ajoute des UPN sur ton domaine .local existant. Ca suffiras. Tu peux ajouter abc.com en UPN et faire l'ouverture avec ;-)
    • Als Antwort markiert CLCL-Info Freitag, 25. Februar 2022 09:42
    Mittwoch, 23. Februar 2022 09:53
  • Merci ! C'est effectivement une très bonne piste. Nous évitons ainsi les risques liés au renommage du domaine.

    Cela va aussi me permettre de migrer les comptes locaux petit à petit pour simplifier l'identification des utilisateurs (identifiant = adresse email) et les synchroniser avec M65.

    :)

    Freitag, 25. Februar 2022 12:50