Migration d’un domaine

Active Directory 2003 R2
vers 2008 R2 (v2.13)
Tutorial conçu et rédigé par Michel de CREVOISIER

SOURCES
Gestion des rôles d’opérations :
 http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx
Localisation et migration des rôles d’opérations :
 http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html
Liste des commandes Active Directory en PowerShell :
 http://technet.microsoft.com/en-us/library/ee617195.aspx

1

INDEX
SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
Préambule ............................................................................................................................................... 3
1.

2.

3.

Préparation du contrôleur à migrer ................................................................................................... 4
1.1

Augmentation du niveau fonctionnel .......................................................................................... 4

1.2

Mise à jour du schéma ............................................................................................................... 4

1.3

Mise à jour du domaine.............................................................................................................. 6

1.4

Mise à jour des stratégies ........................................................................................................... 6

1.5

Intégration de RODC .................................................................................................................. 7

Configuration du nouveau contrôleur................................................................................................ 8
2.1

Ajout d’un contrôleur de domaine .............................................................................................. 8

2.2

Vérifications ............................................................................................................................ 11

Transfert des rôles FSMO ................................................................................................................ 13
3.1

Via l’interface graphique .......................................................................................................... 13

3.2

En ligne de commande ............................................................................................................. 15

4.

Suppression de l’ancien contrôleur.................................................................................................. 16

5.

Augmentation du niveau fonctionnel .............................................................................................. 17

6.

7.

5.1

Via l’interface graphique .......................................................................................................... 17

5.2

En ligne de commande ............................................................................................................. 17

Erreurs ........................................................................................................................................... 18
6.1

Impossible de préparer le domaine ........................................................................................... 18

6.2

Impossible d’augmenter le niveau fonctionnel en 2008 .............................................................. 18

6.3

Impossible de configurer le service NETLOGON ......................................................................... 18

6.4

Erreur lors du transfert d’un rôle .............................................................................................. 19

6.5

Schéma non préparé ................................................................................................................ 19

Outils ............................................................................................................................................. 20
7.1

Transfert forcé (seize) .............................................................................................................. 20

Conclusion ............................................................................................................................................. 21

2

Préambule
Face au vieillissement de notre bon vieux « Server 2003 », la question du remplacement de ce dernier
est souvent évoquée. Cela dit, quand on se rappelle qu’il héberge l’ensemble des rôles Active
Directory, on se dit finalement que le jeu n’en vaut peut-être pas la chandelle et qu’il pourrait tenir
encore quelques années de plus…
Ce tuto a donc pour objectif de vous fournir la procédure afin de transférer les rôles d’un contrôleur
de domaine sous 2003 R2 vers un contrôleur sous 2008 R2. Avant de procéder à la migration, prenez
quand même le temps de sauvegarder votre serveur, on ne sait jamais …
Sachez par ailleurs qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un
domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. De
plus vous devez disposer d’une version de Windows Server 2008 R2 SP1 Standard/Entreprise
téléchargeable depuis le site de Microsoft. Attention, mes serveurs et logiciels seront installés en
anglais. Je vous recommande donc d’opter pour cette langue lors de votre téléchargement ou bien
de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil…
Pour ce tuto, j’utiliserai 2 serveurs :
 AD01: serveur Active Directory et DNS sous Windows Server 2003 R2 SP2 x86 (installation non
détaillée)
 AD02: serveur sous Windows Server 2008 R2 SP1 x64 (installation détaillée) ; non membre du
domaine

3

1. Préparation du contrôleur à migrer
1.1Augmentation du niveau fonctionnel
Avant de procéder à la migration, vous devez augmenter le niveau fonctionnel de votre domaine.
Pour cela :
 Ouvrez la console Active Directory
 Clic droit sur le nom de votre domaine > Raise domain functional level
 Choisissez le mode 2003

1.2Mise à jour du schéma
La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs (nécessaires au
fonctionnement d’Active Directory sous Windows Server 2008 R2) dans la partition schéma. Cette
action est à mener sur le serveur possédant le rôle FSMO « Maitre de schéma ».

1.2.1 Versions du schéma
A titre d’information, voici comment connaître la version actuelle du schéma :
 Ouvrez la console du registre
 Allez dans :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
 Recherchez la clef Schema version et comparez sa valeur avec tableau qui suit :

3 : Windows Server 2000
30 : Windows Server 2003
31 : Windows Server 2003 R2
44 : Windows Server 2008
47 : Windows Server 2008 R2
4

1.2.2 Désactivation de la réplication
Avant de mettre à jour le schéma, il est nécessaire de désactiver la réplication sortante du contrôleur
de domaine :
repadmin /options <nom DC> +DISABLE_INBOUND_REPL

1.2.3 Mise à jour du schéma
Copiez le dossier « adprep » situé sur le DVD de Windows Server 2008 R2 (dans D:\support) sur votre
serveur à migrer. Exécutez ensuite la commande suivante :
adprep32 /forestprep
Si elle n’est pas exécutée, vous obtiendrez l’erreur du point 6.5, vous empêchant alors de poursuivre
la migration du domaine.

Une fois l’opération terminée, vérifiez que la mise à jour a bien fonctionné en reproduisant la
procédure du point 1.2.1.

5

1.2.4 Réactivation de la réplication
N’oubliez pas de relancer la réplication :
repadmin /options <nom DC> -DISABLE_INBOUND_REPL

1.3Mise à jour du domaine
La mise à jour du domaine consiste à préparer ce dernier à recevoir des contrôleurs de domaines
sous Windows Server 2008 R2. Pour cela, exécutez la commande suivante :
adprep32 /domainprep

Attention, si vous n’avez pas augmentez le niveau fonctionnel comme indiqué au point 1.1, vous
vous heurterez au message du point 6.1.

1.4Mise à jour des stratégies
« Cette action a pour but d’ajouter les entrées de contrôle d'accès (ACE) pouvant être héritées sur
les objets Stratégie de groupe de la ressource partagée Sysvol. Des entrées de contrôle d'accès (ACE)
supplémentaires donnent aux contrôleurs de domaine de l'entreprise des autorisations d'accès en
lecture sur les objets Stratégie de groupe. Ces autorisations sont requises pour prendre en charge la
fonctionnalité Jeu de stratégie résultant pour la stratégie de site ». Pour hériter de ces éléments
exécutez la commande suivante :
adprep.exe /domainprep /gpprep

6

Note : si vous exécutez la commande « /domainprep /gpprep » avant « /domainprep », les deux
étapes seront réalisées : d’abord le « /domainprep » puis le « /gpprep »

1.5Intégration de RODC
Afin de préparer votre domaine à recevoir d’éventuels contrôleurs de domaine en lecture seule
(RODC), exécutez la commande suivante :
adprep /rodcprep

7

2. Configuration du nouveau contrôleur
2.1Ajout d’un contrôleur de domaine
Maintenant que votre domaine est prêt à accueillir un contrôleur sous Windows Server 2008 R2, nous
allons pouvoir en rajouter un. Pour cela :
 Exécutez la commande dcpromo
 Choisissez ensuite l’option ci-dessous :

Indiquez ensuite le nom et les identifiants d’administrateur associés au domaine à migrer :

Si tout est correct, l’écran suivant apparait :
8

Le message ci-dessous peut apparaître si vous n’avez pas préparé le domaine à recevoir des
contrôleurs en lecture seule (point 1.5). Cliquez sur YES

Sélectionnez ensuite les rôles à installer (DNS et Catalogue global) :

9

Le message ci-dessous peut apparaître si votre serveur n’a pas d’accès à internet. En effet, le
serveur DNS ne peut pas vérifier la délégation de nom concernant le « .com ». Cliquez sur YES

Indiquez que vous souhaitez répliquer les données de l’annuaire Active Directory via le
réseau :

10

Si vous possédez plusieurs contrôleurs de domaine, indiquez celui de votre choix. Sinon laissez
l’option par défaut :

Laissez l’assistant terminer et redémarrez le serveur

2.2Vérifications
Avant de poursuivre, vérifiez les points suivants :
 Présence des consoles Active Directory et DNS
 Présence des deux contrôleurs de domaine dans l’UO Domain Controllers
11


Présence des répertoires :
o C:\Windows\SYSVOL\sysvol\[domaine]\scripts
o C:\Windows\SYSVOL\sysvol\[domaine]\policies
Présence des partages NETLGON et SYSVOL via la commande net share

Attention ! Pour les deux points précédents, les éléments peuvent tarder à apparaître !

Exécutez la commande dcdiag et vérifiez qu’il n’y pas d’erreurs, notamment au niveau du RPC.
Par ailleurs, il peut s’avérer nécessaire de redémarrer l’ancien serveur.

12

3. Transfert des rôles FSMO
Nous allons maintenant procéder au transfert des différents rôles vers le nouveau serveur. Si vous
souhaitez avoir plus d’informations concernant ces rôles, rendez-vous au point XXX de mon tuto
intitulé « Tout sur Active Directory 2008 R2 ».
Attention ! Toutes les actions qui suivent devront être réalisées depuis le nouveau serveur.

3.1Via l’interface graphique
3.1.1 Transfert du Maitre de schéma
Pour ce rôle, il est nécessaire de passer par la console Schéma Active Directory, hors celle-ci n’est
pas disponible par défaut. Pour l’activer :
 Ouvrez une console CMD en tant qu’administrateur et tapez : regsvr32 schmmgmt.dll
 Ouvrez une MMC et ajoutez le composant Active Directory Schema
Maintenant que la console est accessible, vous pouvez transférer ce rôle :
 Clic droit sur Active Directory Schema > Operations Master
 Change
 Problème : le message ci-dessous apparaît. L’opération ne peut donc pas continuer en
mode graphique

3.1.2 Transfert du Maître d’attribution de noms de domaine


Ouvrez la console Active Directory Domains and Trusts
Clic droit sur Active Directory Domains and Trusts > Operations Master
Change

3.1.3 Transfert des rôles niveau domaine (RID, PDC, Infrastructure)


Ouvrez la console Active Directory
Clic droit sur [nom domaine] > Operations Masters
La fenêtre suivante apparaît :

13

Cliquez sur Change pour procéder au transfert. Répétez ensuite cette action pour les autres
rôles, sachant qu’à chaque transfert un message de confirmation apparaît :

14

3.2En ligne de commande
Ouvrez une console CMD et tapez les commandes suivantes :
Ntdsutil
Roles
Connection
connect to server localhost
quit
transfer schema master
transfer naming master
transfer infrastructure master
transfer pdc
transfer rid master
quit
quit

Vérifiez ensuite que tous les rôles ont été transférés :
netdom query fsmo

Attention ! Si une erreur apparaît lors du processus de transfert d’un rôle, dirigez-vous au point 6.4
pour plus d’informations.

15

4. Suppression de l’ancien contrôleur
Maintenant que le nouveau serveur est prêt, il est temps de supprimer l’ancien. Pour cela :
 Arrêtez le service NETLOGON (Ouverture de session en français). Autrement le message du
point 6.3 apparaîtra
 Exécutez la commande dcpromo
 L’assistant se lance. Surtout ne cochez pas la case ci-dessous car cela entrainerait la
disparition du domaine :

Confirmez la suppression du serveur et redémarrez ce dernier

16

5. Augmentation du niveau fonctionnel
Maintenant que votre contrôleur de domaine possède tous les rôles, nous allons augmenter son
niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2008 R2.

5.1Via l’interface graphique
Pour augmenter le niveau fonctionnel via l’interface graphique, suivez comme suit :
 Ouvrez la console Active Directory
 Clic droit sur le nom de votre domaine > Raise domain functional level
 Choisissez le mode 2008 R2

Attention ! Si vous n’avez pas supprimé l’ancien contrôleur de domaine (sous 2003), le message du
point 6.2 apparaîtra.

5.2En ligne de commande
Pour augmenter le niveau fonctionnel en ligne de commande, ouvrez une console PowerShell et
tapez les commandes suivantes :
Import-Module ActiveDirectory
Augmentation du niveau du domaine :
Set-ADDomainMode -Identity domaine.com -DomainMode Windows2008R2Domain

Augmentation du niveau de la forêt :
Set-ADForestMode -Identity domaine.com -ForestMode Windows2008R2Forest

17

6. Erreurs
6.1Impossible de préparer le domaine
Ce message apparait si vous n’avez pas augmenté le niveau fonctionnel du domaine comme indiqué
au point 1.1.

6.2Impossible d’augmenter le niveau fonctionnel en 2008
Si vous essayer d’augmenter le niveau fonctionnel depuis le nouveau contrôleur de domaine sans
avoir supprimé l’ancien, vous obtiendrez le message ci-dessous. Pour augmenter le niveau en 2008
R2, supprimez l’ancien contrôleur en suivant les indications du point 4.

6.3Impossible de configurer le service NETLOGON
Durant la suppression de l’ancien contrôleur de domaine (point
suivant :

4), je me suis heurté au message

18

Voici le détail de l’erreur dans le journal d’évènements :

Cette erreur est liée un l’impossibilité de modifier un enregistrement DNS sur ce même serveur, en
raison de l’exécution du service NETLOGON (Ouverture de session en français). Pour parer à ce
problème, il convient d’arrêter ce service avant d’exécuter la commande DCPROMO. Vous trouverez
le détail de l’erreur sur EventID ici et sur le Technet ici.

6.4Erreur lors du transfert d’un rôle
Comme indiqué à la fin du point 3.2, il se peut que vous soyez dans l’impossibilité de transférer un
rôle FSMO. Les causes du problème peuvent être nombreuses mais il existe une parade consistant à
forcer le transfert de rôle. Ci-dessous, l’erreur rencontrée en voulant migrer le Maitre de Schéma :

Pour cette erreur (et uniquement cette erreur), Microsoft fournit une procédure détaillée. Si vous
rencontrez le même problème mais pour d’autres rôles, rendez-vous au point 7.1 pour procéder à
un transfert « forcé » via la commande seize.

6.5Schéma non préparé
Si vous n’avez pas préparé votre schéma comme indiqué au point 1.2.3 , vous obtiendrez le message
suivant :

19

7. Outils
7.1Transfert forcé (seize)
Si pour une raison inconnue le transfert de rôle ne fonctionne pas, vous devrez alors forcer ce dernier
via la commande seize. Attention, après avoir réaffecté les rôles, il ne faudra surtout pas reconnecter
l’ancien contrôleur de domaine.
roles
connection
connect to server [MONSERVEUR]
quit
seize PDC
seize RID master
seize infrastructure master
seize naming master
seize schema master
Dans tous les cas et avant tout « seize », je vous recommande la lecture de l’article suivant (en
anglais).

20

Conclusion
Dorénavant, vous êtes en mesure de transférer un contrôleur de domaine 2003 vers 2008. Mais
attention, ce tuto est valable pour des versions standards de Windows Server. Pour les versions Small
Business, la situation est plus délicate et la procédure es t bien plus longue.

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante :
m . decrevoisier Â-R-Ô-B-Â-5 outlook . com

Soyez-en d’ores et déjà remercié

21

Sign up to vote on this title
UsefulNot useful