Migration – Ajouter un controleur de domaine Windows Serveur 2012 R2, 2016 ou 2019 avec 2008 R2

L’assistant de configuration Active Directory de Windows Serveur 2012 R2, 2016 ou 2019, contrairement à l’ancien “Dcpromo“, exécute automatiquement la préparation de la forêt et du domaine “adprep” , mais il est possible de préparer manuellement la version du schéma de Windows Serveur 2008 R2 avant l’ajout du contrôleur de domaine.

Tout d’ abord, nous devons préparer la version du schéma Active Directory sur le serveur 2008 R2 pour accueillir un contrôleur de domaine en Serveur 2012 R2, 2016 ou 2019.

L’opération de mise à niveau est à effectuer directement sur le contrôleur de domaine « maître de schéma ». Pour l’identifier vous pouvez utiliser la commande CMD « netdom query fsmo »

Pour info : La version du schéma est 47 (2008R2) et après la mise à jour elle sera à 69 (2012R2), 87 (2016) ou 88 (2019). Voir : Vérifier la version du schéma Active Directory


Tuto réalisé pour une migration de Windows Serveur 2008R2 vers 2012R2 :

Mise a jour Schéma : Sur le Serveur 2008 R2, insérer le DVD de Windows Serveur 2012 R2 et copier le dossier “support” sur C:

Migrer Ajouter AD 2012R2 1

Puis aller à l’invite de commande CMD , exécuter (Dans : C:\support\adprep) :

adprep /forestprep

Migrer Ajouter AD 2012R2 2

Tapez “C” puis”ENTRÉE” pour valider

Migrer Ajouter AD 2012R2 3

A l’invite de commande CMD , exécuter (Dans : C:\support\adprep) :

adprep /domainprep

Migrer Ajouter AD 2012R2 4

Vérifier la version du schéma qui doit être égale a 69 pour Windows Serveur 2012R2 (saisir la commande « schupgr »)

Migrer Ajouter AD 2012R2 5

Augmenter le niveau fonctionnel de la forêt et du domaine

Les niveaux fonctionnels du domaine et de la forêt doivent être mis à Windows 2008 R2.

Outils d’administration, Domaines et approbation Active Directory

Augmenter le niveau fonctionnel du Domaine :

foret1

foret3

Augmenter le niveau fonctionnel de la Foret :

foret2

foret4

Sur le Serveur Windows 2012 R2 ou 2016 :

La configuration IP a été mise en place. Le serveur a été nommé puis joint au domaine en tant que serveur membre.

Migrer Ajouter AD 2012R2 6

A partir du Gestionnaire de serveur, cliquez sur « Gérer » puis « Ajouter des rôles et fonctionnalités »

Migrer Ajouter AD 2012R2 7

Cliquez sur « Installation basée sur un rôle ou une fonctionnalité »

Migrer Ajouter AD 2012R2 8

Sélectionner le serveur sur lequel vous souhaitez effectuer l’installation.

Pourquoi peut-on choisir un serveur ? Car depuis Windows Serveur 2012 il est possible d’administrer à distance un serveur et donc d’installer à distance des rôles et des fonctionnalités.

Migrer Ajouter AD 2012R2 9

Choisissez d’installer « Services AD DS » qui requiert également l’installation de plusieurs outils d’administration de ce rôle. Cliquez sur « Ajouter des fonctionnalités » puis sur « Suivant ».

Migrer Ajouter AD 2012R2 10

Ensuite, on vous propose d’installer des rôles, laissez les deux cochés par défaut qui sont « Gestion de stratégie de groupe » et « Outils d’administration de serveur distant ». Cliquez sur « Suivant »

Migrer Ajouter AD 2012R2 11

Cliquez encore suivant, puis cliquez sur le bouton « Installer » pour exécuter l’installation après avoir vérifié le résumé. Puis cliquez “Fermer” a la fin. Puis Redémarrer le Serveur.

Migrer Ajouter AD 2012R2 12

Le serveur vient de finir l’installation de l’AD et a redémarré.

Désormais, il n’est plus nécessaire de faire la commande « dcpromo » pour promouvoir un serveur membre en tant que contrôleur de domaine. Il faut cliquez sur l’icône du drapeau puis sur « Promouvoir ce serveur en contrôleur de domaine », ce qui revient à faire un « dcpromo » sans saisir de commande.

Migrer Ajouter AD 2012R2 14

Comme le serveur est déjà membre du domaine, l’assistant en déduit que nous voulons « Ajouter un contrôleur de domaine à un domaine existant ». Laissez ce choix. Changer la partie identification pour indiquer un compte Administrateur du domaine.

Migrer Ajouter AD 2012R2 15

Le DC sera aussi serveur DNS et catalogue global.

Migrer Ajouter AD 2012R2 16

L’erreur ci-dessous est normale, pour le domaine racine de la forêt. Le nom étant LABO.local il ne peut mettre de délégation de zone avec « .local » pour le sous domaine « LABO ».

Migrer Ajouter AD 2012R2 17

On conserve les paramètres par défaut, et on laisse le système choisir le DC source qui sera utilisé.

Attention dans le cas d’un AD sur plusieurs sites avec des liaisons lentes choisir le DC le moins contraignant au niveau de la bande passante par rapport à l’emplacement du DC que vous êtes en train d’installer.

Migrer Ajouter AD 2012R2 18

On conserve les dossiers par défaut :

Migrer Ajouter AD 2012R2 19

Examiner les options, cliquez suivant :

Migrer Ajouter AD 2012R2 20

Les vérifications avant configuration montrent que la configuration requise a donné satisfaction:

Migrer Ajouter AD 2012R2 21

Il suffit de lancer l’installer et d’attendre la fin de l’exécution. Sur l’image ci-dessous on constate que l’assistant effectue bien l’installation du Service DNS :

Migrer Ajouter AD 2012R2 22

Une fois l’installation terminée, le serveur doit redémarrer :

Migrer Ajouter AD 2012R2 23

Après redémarrage du serveur, nous constatons que le DC en Windows 2012 R2 ou 2016 est bien membre de l’OUDomain Controllers“.

Migrer Ajouter AD 2012R2 24

Et il réplique avec les autres DNS.

Migrer Ajouter AD 2012R2 25

Migrer Ajouter AD 2012R2 26

 

Pour la configuration du nouveau Serveur 2019 2016 ou 2012R2, voir ces tutos :

Préconisation Controleur de Domaine Windows Serveur 2019 2016 (ou 2012 R2)

Configuration d’un Controleur de domaine Windows Serveur

Dans le cadre d’une MIGRATION :

Les étapes ci-dessous sont a effectuées !!!!!

1 – Migration des ROLES FSMO :

Migrer les rôles FSMO vers le nouveau contrôleur de domaine Windows Serveur 2012 R2 ou 2016.

Transfert des rôles FSMO avec NTDSUTIL ou Transfert des rôles FSMO

2 – Installation et Configuration du Role DHCP sur le nouveau Serveur 2012 R2 ou 2016 :

Voir ce tuto : Installation du Role Serveur DHCP

3 – Rétrograder l’ancien controleur de domaine :

3.1. Eteindre l’ancien DC et faire quelques tests de connexion et de login avec un pc pour s’assurer que tout fonctionne correctement.

3.2. Ensuite faire un dcpromo pour rétrograder l’ancien DC, si tout se passe bien le système passera de l’OU “Domain Controllers” vers l’OU “Computers”, ou l’on peut à ce moment le supprimer. S’il y a des erreurs lors du dcpromo alors décocher Global Catalog sur le DC et essayez à nouveau.

Info : Sur un serveur Windows 2008 R2 il faudra après la rétrogradation du serveur supprimer le rôle AD DS « ajout / suppression de rôle ».

Sur un serveur Windows 2012 R2 l’assistant DCpromo n’existe plus. Pour supprimer un DC il faut directement supprimer le rôle AD DS, l’assistant de configuration se lancera automatiquement et permettra de rétrograder le DC.

3.2.1 Si la rétrogradation est impossible alors il faut éteindre l’ancien Serveur comme s’il était HS et suivre ce guide :

Supprimer un controleur de domaine AD hors service

3. Reconfigurer les entrées DNS sur la carte réseau du nouveau Serveur afin qu’ils ne pointent plus vers l’ancien DC/DNS.

4. Vérifier sur la console DNS que toutes les entrées de l’ancien DC sont supprimées ou les effacer manuellement si ce n’est pas le cas.

5. Lancez Sites et Services Active Directory et supprimer l’ancien serveur sous site car ceci ne se fait pas automatiquement.

Migrer Ajouter AD 2012R2 27

4 – Augmenter le niveau fonctionnel de la forêt et du domaine

Si vous n’avez plus (et surtout ne comptez plus) avoir de contrôleurs de domaine inférieurs à Windows 2012 R2 ou 2016, il faut augment le niveau fonctionnel de la forêt et du domaine.

Outils d’administration, Domaines et approbation Active Directory

Augmenter le niveau fonctionnel du Domaine :

foret5

Augmenter vers 2012 R2, 2016 ou 2019 en fonction des Serveurs restants !

niveau-fonctionnel1

Augmenter le niveau fonctionnel de la Foret :

foret6

Augmenter vers 2012 R2, 2016 ou 2019 en fonction des Serveurs restants !

foret7

Plus le niveau fonctionnel est haut, plus vous pourrez bénéficier des dernières nouveautés liées à l’Active Directory et à sa structure.