Nous vous présenterons dans cet article une des méthodes de migration d’un domaine Active Directory 2003 R2 vers 2008 R2.
Dans notre cas, nous utiliserons 4 serveurs, tous virtualisé par Workstation 8.
Pour commencer, nous installons quatre serveurs suivant l’architecture présenté ci-dessous.
Création d’un domaine Active Directory 2003 R2 : ICI
Intégration d’un contrôleur de domaine 2003 R2 dans un domaine existant : ICI
Schéma de l’architecture:
– SRVDC01 : Contrôleur de domaine 2003 R2 + 5 Rôles FSMO
– SRVDC02 : Contrôleur de domaine 2003 R2
-SRVDC03 : Contrôleur de domaine 2008 R2
– SRVDC04 : Contrôleur de domaine 2008 R2
Nous pouvons commencer la migration.
MISE A JOUR DU SCHÉMA SUR LE CONTRÔLER DE DOMAINE SRVDC01
Pour votre information, voici les différentes versions du schéma Active Directory.
Version du schéma………Contrôleur Active Directory
13……………………Windows 2000 Server
30……………………Windows Server 2003
31……………………Windows Server 2003 R2
44……………………Windows Server 2008
47……………………Windows Server 2008 R2
Depuis SRVDC01: (pour rappel, SRVDC01 héberge tous les rôles FSMO)
Nous controlons dans un premier la version de notre schéma fonctionnel via l’éditeur du registre.
Schéma version = 30
ETAPE 1: Désactiver la réplication sortante du contrôleur (Depuis SRVDC01)
A réaliser sur le contrôleur de domaine possédant le rôle FSMO « Maître de schéma ». Vous trouverez l’outil « repadmin.exe » dans le cd d’installation de Windows Serveur 2003 R2.
Pour désactiver la réplication, saisissez la commande:
repadmin /options <nom dc> +DISABLE_INBOUND_REPL
Remplacer <nom dc> par le nom de votre contrôleur de domaine.
ETAPE 2: Mettre à jour le schéma (Depuis SRVDC01)
Vous trouverez l’outil « adprep.exe » dans le cd d’installation Windows Serveur 2008 R2.
Mettre à jour le schéma à l’aide de la commande.
adprep /forestprep
Tapez « O » puis « Enter » pour continuer.
ETAPE 3: Réactivation de la réplication (Depuis SRVDC01)
Toujours avec l’outil « repadmin », pour activer la réplication, saisir:
repadmin /options <nom dc> -DISABLE_INBOUND_REPL
Remplacer <nom dc> par le nom de votre contrôleur de domaine.
ETAPE 4: Préparation du domaine à recevoir les contrôleurs sous Windows 2008 R2. (Depuis SRVDC01)
Toujours avec l’outil « adprep.exe » de votre cd Windows Serveur 2008 R2, saisissez la commande:
adprep.exe /domainprep
INTEGRATION DES DEUX SERVEUR 2008 R2 DANS LE DOMAINE
Il faut maintenant intégrer les deux serveurs 2008 R2 dans le domaine.
Pour cela je vous laisse regarder cet article qui vous montrera comme intégrer un serveur 2008 R2 dans un domaine déjà existant.
Petit aperçu des quatre contrôleurs de domaine.
MIGRATION DES ROLES FSMO
Pour simplifier la tâche, nous migrerons tous les rôles sur le contrôleur de domaine 2008 R2 « SRVDC03 ».
ETAPE 1: Migration graphique des trois premiers rôles (RID, CDP, Infrastructure) (Depuis SRVDC03)
Depuis le contrôleur de domaine qui hébergera les rôles, donc SRVDC03.
Il vous suffit d’ouvrir la console mmc « Utilisateurs et ordinateurs Active Directory » que vous trouverez dans les outils d’administrations du serveur Windows.
Faites un clique droit sur le domaine, dans notre exemple « lab.local » puis cliquez sur « Maîtres d’opérations »
Pour transférer le rôle, il vous suffit de cliquer sur « Modifier »
Confirmez.
Pour finir, cliquez sur « OK ».
Afin de migrer les deux autres rôles (CDP et Infrastructure), je vous invite à réitérer la même manipulation sur les deux onglets restant.
ETAPE 2: Migration en ligne de commande des deux derniers rôles (Nom de domaine et contrôleur de schéma). (Depuis SRVDC01)
Vous devez utiliser l’outil « ntdsutil.exe » et cette fois ci, vous mettre sur le contrôleur de domaine qui possède le rôle, dans notre cas il s’agit du contrôleur de domains 2003 R2 (SRVDC01).
Voila les commandes à saisir:
ntdsutil roles connections connect to server <nom srv vers lequel envoyer le rôle> quit transfer schema master
Validez ensuite par « OUI ».
De même maintenant pour le « naming master »
ntdsutil roles connections connect to server <nom srv vers lequel envoyer le rôle> quit transfer domain naming master
Confirmer par « OUI ».
ETAPE 3 : Vérification et Contrôle (Depuis SRVDC03)
Commencer par charger le module Active Directory en saisissant la commande:
Import-Module ActiveDirectory
Pour récuperer les informations sur la forêt, saisir:
Get-ADForest
Nous voyons via les attributs:
ForestMode: Nous sommes toujours en niveau fonctionnel de forêt Windows 2000 GlobalCatalogs: Nos 4 serveurs contrôleurs de domaine sont bien catalogues globaux. DomainNamingMaster: Est bien le SRVDC03.lab.local SchemaMaster: Est bien le SRVDC03.lab.local
Pour récupérer des informations sur le domain, je vous invite à saisir la commande suivante:
Get-ADDomain
Nous voyons via les attributs:
InfrastructureMaster: Est bien le SRVDC03.lab.local PDCEmulator: Est bien le SRVDC03.lab.local RIDMaster: Est bien le SRVDC03.lab.local
ETAPE 4 : Augmentation du niveau fonctionnel du domaine en 2008 R2. (Depuis SRVDC03)
Depuis le nouveau contrôleur de domaine qui héberge tous les rôles FSMO.
Essayons d’augmenter le niveau fonctionnel du domaine en 2008 R2, pour cela toujours dans la console mmc « Utilisateurs et ordinateurs Active Directory », cliquez droit sur le domaine, puis sur « Augmenter le niveau fonctionnel du domaine… »
Un warning apparaît en nous disant qu’il est impossible d’augmenter le niveau fonctionnel du domaine car le domaine inclut encore des contrôleurs de domaine Active Directory d’ancienne version.
Il est donc nécessaire avant de pouvoir augmenter le niveau fonctionnel de dépromouvoir les deux contrôleur de domaine qui sont sous 2003 R2. Pour faire mettez vous en local sur le serveur et saisissez la commande:
DCPROMO
Cliquez sur « Suivant ».
Prenez en compte le message en vérifiant qu’un autre contrôleur est bien catalogue global.
Attention, ne surtout pas cocher la case « Ce serveur est le dernier contrôleur de domaine du domaine ». Puis faites « Suivant ».
Saisissez un mot de passe qui sera directement attribué au compte administrateur locale du serveur une fois que celui-ci aura redémarré.
Continuez en faisant « Suivant ».
Voila le contrôleur est maintenant dé promus, finissez par « Terminer ».
Je vous invite à reproduire ces actions sur tous les serveurs contrôleur de domaine qui tourne avec une ancienne version.
Une fois que tous les serveurs contrôleur de domaine ont été dépromus, vous pouvez les supprimer de l’AD. En effet lorsque vous allez dans la console mmc « Sites et services Active Directory », les objets de ces contrôleurs apparaissent encore. Il vous suffit de les supprimer par un clique droit suppression afin de bien nettoyer votre AD.
Retourner dans « Augmenter le niveau fonctionnel du domaine », il sera désormais possible de monter le niveau fonctionnel en 2008 R2.
Sélectionner « 2008 R2 » puis faites « Augmenter ».
Faites « OK »
Faites « OK ».
Confirmer la fin par « Fermer ».
Un petit contrôle dans la base de registre. Vous remarquez donc que votre attribue « Schéma version » est en 47, soit si l’on se réfère au tableau des versions des schémas à un schéma 2008 R2.
La migration du domaine est donc maintenant terminé.
vous ne parlez même pas de la gestion du serveur de temps. sauf erreur de ma part c est une partie importante.
bonjour, trés bel article, je vais devoir effectuer cette manip d’ici quelques jours et il y a 2 étapes que je ne comprends pas :
« Etape 3 Réactivation de la réplication (Depuis SRVDC01)
Toujours avec l’outil « repadmin », pour activer la réplication, saisir:
repadmin /options -DISABLE_INBOUND_REPL »
on parle de réactiver la réplication mais on utilise à nouveau la commande disable. cela est il normal?
derniere étape : dé promouvoir les controleur en 2003
« Saisissez le fameux Mot de passe Active Directory que vous avez bien
sure mis de côté lors de la première installation du contrôleur dans le
domaine. Puis faites « Suivant ». »
ce mot de passe est il celui que j’ai crée dans le 2008 lors de son intégration ou celui du 2003 existant? ci c’est celui du 2003 je ne le connais pas comment puis je le retrouver?
merci en tout cas j’espére m’en sortir.
Bonjour Laurent,
1) Pour l’étape 3 (Désactivation puis activation de la réplication), regarde bien car la commande varie très légèrement « + » et « -« .
Voici les sujets Technet si tu veux un peu plus d’infos :
– Turn off : http://technet.microsoft.com/fr-fr/library/cc794785(v=ws.10).aspx
– Turn on : http://technet.microsoft.com/en-us/library/cc783692(v=ws.10).aspx
2) Pour la suppression de l’AD, il s’agit d’une grosse erreur de ma part à l’époque (je vais éditer la procédure)… Le mot de passe demandé sera attribué au compte administrateur local du serveur lors du redémarrage du serveur.
En espérant avoir répondu à tes questions, bonne après-midi.
Jérémy