P. 1
87812939 Migration d Un Domaine Active Directory 2003 R2 Vers 2008 R2 Tuto de a a Z

87812939 Migration d Un Domaine Active Directory 2003 R2 Vers 2008 R2 Tuto de a a Z

|Views: 34|Likes:
Published by Joseph Edwards

More info:

Published by: Joseph Edwards on May 06, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

01/27/2014

pdf

text

original

Migration d’un domaine Active Directory 2003 R2 vers 2008 R2 (v2

)
Tutorial conçu et rédigé par Michel de CREVOISIER

SOURCES
Gestion des rôles d’opérations :  http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx Localisation et migration des rôles d’opérations :  http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html Liste des commandes Active Directory en PowerShell :  http://technet.microsoft.com/en-us/library/ee617195.aspx

1

INDEX
SOURCES.............................................................................................................................................................. 1 INDEX................................................................................................................................................................... 2 Préambule ........................................................................................................................................................... 3 1. Préparation du contrôleur à migrer ........................................................................................................... 4 1.1 1.2 1.3 1.4 1.5 2. Augmentation du niveau fonctionnel.................................................................................................. 4 Mise à jour du schéma ........................................................................................................................ 4 Mise à jour du domaine....................................................................................................................... 6 Mise à jour des stratégies.................................................................................................................... 6 Intégration de RODC ............................................................................................................................ 7

Configuration du nouveau contrôleur ....................................................................................................... 8 2.1 2.2 Ajout d’un contrôleur de domaine ...................................................................................................... 8 Vérifications ....................................................................................................................................... 11

3.

Transfert des rôles FSMO ......................................................................................................................... 13 3.1 3.2 Via l’interface graphique ................................................................................................................... 13 En ligne de commande ...................................................................................................................... 15

4. 5.

Suppression de l’ancien contrôleur .......................................................................................................... 16 Augmentation du niveau fonctionnel ...................................................................................................... 17 5.1 5.2 Via l’interface graphique ................................................................................................................... 17 En ligne de commande ...................................................................................................................... 17

6.

Erreurs ....................................................................................................................................................... 18 6.1 6.2 6.3 6.4 Impossible de préparer le domaine................................................................................................... 18 Impossible d’augmenter le niveau fonctionnel en 2008 ................................................................... 18 Impossible de configurer le service NETLOGON................................................................................ 18 Erreur lors du transfert d’un rôle ...................................................................................................... 19

7.

Outils ......................................................................................................................................................... 20 7.1 Transfert forcé (seize) ........................................................................................................................ 20

Conclusion ......................................................................................................................................................... 21

2

prenez quand même le temps de sauvegarder votre serveur. non membre du domaine 3 . quand on se rappelle qu’il héberge l’ensemble des rôles Active Directory. j’utiliserai 2 serveurs :  AD01: serveur Active Directory et DNS sous Windows Server 2003 R2 SP2 x86 (installation non détaillée)  AD02: serveur sous Windows Server 2008 R2 SP1 x64 (installation détaillée) . Attention. De plus vous devez disposer d’une version de Windows Server 2008 R2 SP1 Standard/Entreprise téléchargeable depuis le site de Microsoft. la question du remplacement de ce dernier est souvent évoquée. Je vous recommande donc d’opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil… Pour ce tuto. on ne sait jamais … Sachez par ailleurs qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. on se dit finalement que le jeu n’en vaut peut-être pas la chandelle et qu’il pourrait tenir encore quelques années de plus… Ce tuto a donc pour objectif de vous fournir la procédure afin de transférer les rôles d’un contrôleur de domaine sous 2003 R2 vers un contrôleur sous 2008 R2. mes serveurs et logiciels seront installés en anglais. Cela dit. Avant de procéder à la migration.Préambule Face au vieillissement de notre bon vieux « Server 2003 ».

1 Augmentation du niveau fonctionnel Avant de procéder à la migration. Cette action est à mener sur le serveur possédant le rôle FSMO « Maitre de schéma ».2.1 Versions du schéma A titre d’information. voici comment connaître la version actuelle du schéma :  Ouvrez la console du registre  Allez dans : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters  Recherchez la clef Schema version et comparez sa valeur avec tableau qui suit : 3 : Windows Server 2000 30 : Windows Server 2003 31 : Windows Server 2003 R2 44 : Windows Server 2008 47 : Windows Server 2008 R2 4 . Préparation du contrôleur à migrer 1.1.2 Mise à jour du schéma La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs (nécessaires au fonctionnement d’Active Directory sous Windows Server 2008 R2) dans la partition schéma. Pour cela :  Ouvrez la console Active Directory  Clic droit sur le nom de votre domaine > Raise domain functional level  Choisissez le mode 2003 1. 1. vous devez augmenter le niveau fonctionnel de votre domaine.

3 Mise à jour du schéma Copiez le dossier « adprep » situé sur le DVD de Windows Server 2008 R2 (dans D:\support) sur votre serveur à migrer.2.1. Exécutez ensuite la commande suivante : adprep32 /forestprep Une fois l’opération terminée.1. 1.2. vérifiez que la mise à jour a bien fonctionné en reproduisant la procédure du point 1.2.2. il est nécessaire de désactiver la réplication sortante du contrôleur de domaine : repadmin /options <nom DC> +DISABLE_INBOUND_REPL 1.2 Désactivation de la réplication Avant de mettre à jour le schéma.4 Réactivation de la réplication N’oubliez pas de relancer la réplication : repadmin /options <nom DC> -DISABLE_INBOUND_REPL 5 .

Ces autorisations sont requises pour prendre en charge la fonctionnalité Jeu de stratégie résultant pour la stratégie de site ».4 Mise à jour des stratégies « Cette action a pour but d’ajouter les entrées de contrôle d'accès (ACE) pouvant être héritées sur les objets Stratégie de groupe de la ressource partagée Sysvol.1.3 Mise à jour du domaine La mise à jour du domaine consiste à préparer ce dernier à recevoir des contrôleurs de domaines sous Windows Server 2008 R2. vous vous heurterez au message du point 6. Des entrées de contrôle d'accès (ACE) supplémentaires donnent aux contrôleurs de domaine de l'entreprise des autorisations d'accès en lecture sur les objets Stratégie de groupe. Pour hériter de ces éléments exécutez la commande suivante : adprep.1. Pour cela. si vous n’avez pas augmentez le niveau fonctionnel comme indiqué au point 1. 1.exe /domainprep /gpprep 6 . exécutez la commande suivante : adprep32 /domainprep Attention.1.

exécutez la commande suivante : adprep /rodcprep 7 .Note : si vous exécutez la commande « /domainprep /gpprep » avant « /domainprep ».5 Intégration de RODC Afin de préparer votre domaine à recevoir d’éventuels contrôleurs de domaine en lect ure seule (RODC). les deux étapes seront réalisées : d’abord le « /domainprep » puis le « /gpprep » 1.

l’écran suivant apparait : 8 . Pour cela :  Exécutez la commande dcpromo  Choisissez ensuite l’option ci-dessous :  Indiquez ensuite le nom et les identifiants d’administrateur associés au domaine à migrer :  Si tout est correct.2. Configuration du nouveau contrôleur 2.1 Ajout d’un contrôleur de domaine Maintenant que votre domaine est prêt à accueillir un contrôleur sous Windows Server 2008 R2. nous allons pouvoir en rajouter un.

Cliquez sur YES  Sélectionnez ensuite les rôles à installer (DNS et Catalogue global) : 9 . Le message ci-dessous peut apparaître si vous n’avez pas préparé le domaine à recevoir des contrôleurs en lecture seule (point 1.5).

com ». En effet. Cliquez sur YES  Indiquez que vous souhaitez répliquer les données de l’annuaire Active Directory via le réseau : 10 . Le message ci-dessous peut apparaître si votre serveur n’a pas d’accès à internet. le serveur DNS ne peut pas vérifier la délégation de nom concernant le « .

indiquez celui de votre choix. Sinon laissez l’option par défaut :  Laissez l’assistant terminer et redémarrez le serveur 2. Si vous possédez plusieurs contrôleurs de domaine.2 Vérifications Avant de poursuivre. vérifiez les points suivants :  Présence des consoles Active Directory et DNS  Présence des deux contrôleurs de domaine dans l’UO Domain Controllers 11 .

12 . notamment au niveau du RPC. il peut s’avérer nécessaire de redémarrer l’ancien serveur. Par ailleurs. les éléments peuvent tarder à apparaître !  Exécutez la commande dcdiag et vérifiez qu’il n’y pas d’erreurs.  Présence des répertoires : o C:\Windows\SYSVOL\sysvol\[domaine]\scripts o C:\Windows\SYSVOL\sysvol\[domaine]\policies Présence des partages NETLGON et SYSVOL via la commande net share Attention ! Pour les deux points précédents.

2 Transfert du Maître d’attribution de noms de domaine    Ouvrez la console Active Directory Domains and Trusts Clic droit sur Active Directory Domains and Trusts > Operations Master Change 3.3.1.1 Via l’interface graphique 3. vous pouvez transférer ce rôle :  Clic droit sur Active Directory Schema > Operations Master  Change  Problème : le message ci-dessous apparaît. L’opération ne peut donc pas continuer en mode graphique 3. 3. il est nécessaire de passer par la console Schéma Active Directory. Attention ! Toutes les actions qui suivent devront être réalisées depuis le nouveau serveur. Transfert des rôles FSMO Nous allons maintenant procéder au transfert des différents rôles vers le nouveau serveur.1 Transfert du Maitre de schéma Pour ce rôle.1. rendez -vous au point XXX de mon tuto intitulé « Tout sur Active Directory 2008 R2 ». PDC. Pour l’activer :  Ouvrez une console CMD en tant qu’administrateur et tapez : regsvr32 schmmgmt.dll  Ouvrez une MMC et ajoutez le composant Active Directory Schema Maintenant que la console est accessible.3 Transfert des rôles niveau domaine (RID. Si vous souhaitez avoir plus d’informations concernant ces rôles. hors celle-ci n’est pas disponible par défaut.1. Infrastructure)    Ouvrez la console Active Directory Clic droit sur [nom domaine] > Operations Masters La fenêtre suivante apparaît : 13 .

 Cliquez sur Change pour procéder au transfert. sachant qu’à chaque transfert un message de confirmation appara ît : 14 . Répétez ensuite cette action pour les autres rôles.

3.4 pour plus d’informations. dirigez-vous au point 6.2 En ligne de commande Ouvrez une console CMD et tapez les commandes suivantes : Ntdsutil Roles Connection connect to server localhost quit transfer schema master transfer naming master transfer infrastructure master transfer pdc transfer rid master quit quit Vérifiez ensuite que tous les rôles ont été transférés : netdom query fsmo Attention ! Si une erreur apparaît lors du processus de transfert d’un rôle. 15 .

4. Autrement le message du point 6.3 apparaîtra  Exécutez la commande dcpromo  L’assistant se lance. il est temps de supprimer l’ancien. Surtout ne cochez pas la case ci-dessous car cela entrainerait la disparition du domaine :  Confirmez la suppression du serveur et redémarrez ce dernier 16 . Pour cela :  Arrêtez le service NETLOGON (Ouverture de session en français). Suppression de l’ancien contrôleur Maintenant que le nouveau serveur est prêt.

Augmentation du niveau fonctionnel Maintenant que votre contrôleur de domaine possède tous les rôles. le message du point 6.com -DomainMode Windows2008R2Domain Augmentation du niveau de la forêt : Set-ADForestMode -Identity domaine.2 En ligne de commande Pour augmenter le niveau fonctionnel en ligne de commande. ouvrez une console PowerShell et tapez les commandes suivantes : Import-Module ActiveDirectory Augmentation du niveau du domaine : Set-ADDomainMode -Identity domaine.2 apparaîtra.1 Via l’interface graphique Pour augmenter le niveau fonctionnel via l’interface graphique.com -ForestMode Windows2008R2Forest 17 . 5. 5. suivez comme suit :  Ouvrez la console Active Directory  Clic droit sur le nom de votre domaine > Raise domain functional level  Choisissez le mode 2008 R2 Attention ! Si vous n’avez pas supprimé l’ancien contrôleur de domaine (sous 2003). nous allons augmenter son niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2008 R2.5.

6.1. 6.3 Impossible de configurer le service NETLOGON Durant la suppression de l’ancien contrôleur de domaine (point 4). Erreurs 6. supprimez l’ancien contrôleur en suivant les indications du point 4. je me suis heurté au message suivant : 18 . vous obtiendrez le message ci-dessous.1 Impossible de préparer le domaine Ce message apparait si vous n’avez pas augmenté le niveau fonctionnel du domaine comme indiqué au point 1.2 Impossible d’augmenter le niveau fonctionnel en 2008 Si vous essayer d’augmenter le niveau fonctionnel depuis le nouveau contrôleur de domaine sans avoir supprimé l’ancien.6. Pour augmenter le niveau en 2008 R2.

Vous trouverez le détail de l’erreur sur EventID ici et sur le Technet ici. rendez-vous au point 7. Microsoft fournit une procédure détaillée. Pour parer à ce problème.2. Si vous rencontrez le même problème mais pour d’autres rôles.4 Erreur lors du transfert d’un rôle Comme indiqué à la fin du point 3. 6. Les causes du problème peuvent être nombreuses mais il existe une parade consistant à forcer le transfert de rôle. 19 . Ci-dessous. Voici le détail de l’erreur dans le journal d’évènements : Cette erreur est liée un l’impossibilité de modifier un enregistrement DNS sur ce même serveur. il convient d’arrêter ce service avant d’exécuter la commande DCPROMO. il se peut que vous soyez dans l’impossibilité de transférer un rôle FSMO. l’erreur rencontrée en voulant migrer le Maitre de Schéma : Pour cette erreur (et uniquement cette erreur).1 pour procéder à un transfert « forcé » via la commande seize. en raison de l’exécution du service NETLOGON (Ouverture de session en français).

Outils 7. 20 .7. Attention.1 Transfert forcé (seize) Si pour une raison inconnue le transfert de rôle ne fonctionne pas. je vous recommande la lecture de l’article suivant (en anglais). roles connection connect to server [MONSERVEUR] quit seize PDC seize RID master seize infrastructure master seize naming master seize schema master Dans tous les cas et avant tout « seize ». il ne faudra surtout pas reconnecter l’ancien contrôleur de domaine. vous devrez alors forcer ce dernier via la commande seize. après avoir réaffecté les rôles.

com Soyez-en d’ores et déjà remercié 21 . N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : michel_de A-R-0-B-A-5 hotmail . vous êtes en mesure de transférer un contrôleur de domaine 2003 vers 2008.Conclusion Dorénavant. ce tuto est valable pour des versions standards de Windows Server. Pour les versions Small Business. la situation est plus délicate et la procédure est bien plus longue. Mais attention.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->