[Tuto] Migration Active Directory 2003 vers 2008

Sommaire :

——–

Références / Sources :

Voir d’abord : Les 5 rôles Active Directory et le catalogue global


Pré-requis :

  • Windows 2003 et 2008 avec les dernières mises a jours.
  • Avoir un AD Windows 2003 en mode natif.
  • CD de Windows Server 2008

Vérifier la version du schéma

La clé schéma Version se trouve dans :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Ou exécuter cette commande :

dsquery * cn=schema,cn=configuration,dc=nomdom,dc=local -scope base -attr objectVersion

Les valeurs du schéma sont :

  • 13=Microsoft Windows 2000
  • 30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • 31=Microsoft Windows Server 2003 R2
  • 44=Microsoft windows Server 2008
  • 47=Microsoft windows Server 2008 R2

Cette méthode fonctionne d’une version 31 (2003 R2) du schéma pour la mettre à jour en 44 (2008 Server)  ou 47 (2008 r2).

Mise à jour du Schéma

Il faut commencer par mettre à jour le schéma de l’Active Directory de production.

Il est recommandé d’arrêter les réplications active directory le temps de l’opération, ceci est faisable à l’aide de l’utilitaire repadmin.

  • Se connecter sur le serveur qui à le rôle Contrôleur de schéma (Schema master),
  • Insérez le CD de Windows 2008 sur ce serveur,
  • Arrêter les services réplications Active Directory pendant la mise a jour.
  • Commande pour arrêter ces services :
    repadmin /options <DC NAME> +DISABLE_OUTBOUND_REPL

    ( si repadmin n’est pas reconnu, installer suptools.msi » )

  • Il est aussi possible de retirer le câble réseau du contrôleur de domaine le temps de la mise à jour du schéma …
  • Naviguez dans les répertoires « Source\Adprep», ou « Support\Adprep» et exécuter la commande :
    Adprep /forestprep

Une fois la mise à jour effectuée redémarrer les réplications pour que la mise à jour du schéma se propage et vérifier que les modifications sont bien répliquées sur les autres contrôleurs (commande Replmon dans les support tools ).
Un container est créé, vérifier sa présence :

CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest_root_domain>

Mise à jour du domaine

  • Se connecter sur le serveur qui à le rôle Maître d’infrastructure (Infrastructure Master)
  • Naviguer dans les répertoires« Source\Adprep», ou « Support\Adprep»
  • Une fois le schéma à jour, nous allons préparer les domaines à l’aide de la commande :
    Adprep /domainprep
  • Vérification de la mise à jour, en vérifiant la présence de :CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<domain>

Mise à jour Group Policy

Mises à jour des stratégies de groupe pour profiter des nouvelles fonctionnalités.

  • Toujours sur le serveur qui à le rôle Maître d’infrastructure dans le dossier « Source\Adprep», ou « Support\Adprep»
  • Exécuter la commande :
    Adprep.exe /domainprep /gpprep

Mise à jour pour les RODC (Read Only Domain Controllers)

Les domaines doivent être mis à jour pour pouvoir installer des contrôleurs de domaines en lecture seule.

  • A faire sur un contrôleur de domaine dans dans le dossier « Source\Adprep», ou « Support\Adprep».
  • Exécuter la commande :
    Adprep /rodcprep

Voilà une version de schéma en 44 (Windows 2008 Server) donc maintenant il ne manque que des contrôleurs de domaine en Windows 2008 Server.

Transfert des rôles AD

Transfert des rôles uniques pour 1 AD (FSMO) :

Ce sont les rôles principaux : RID, PDC et maître d’infrastructure.

  • Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  • Cliquez avec le bouton droit sur l’icône en regard de Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
  • Dans la boîte de dialogue Modifier le maître d’opérations, cliquez sur l’onglet approprié (RID,PDC ou Infrastructure) pour choisir le rôle à transférer.

Transfert du rôle de maître d’attribution de noms de domaine :

  • Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory.
  • Cliquez avec le bouton droit sur l’icône Domaines et approbations Active Directory
  • Cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître d’opération, et transférez le rôle.

Transfert du rôle de contrôleur de schéma :

Inscription de l’outil de schéma

  • Cliquez sur Démarrer, puis sur Exécuter.
  • Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK.
  • Un message s’affiche indiquant que l’inscription a réussi.

Transfert du rôle de contrôleur de schéma

  • Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  • Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  • Cliquez sur Schéma Active Directory.
  • Cliquez sur Ajouter
  • Cliquez sur OK pour ajouter le composant logiciel enfichable à la console.
  • Cliquez avec le bouton droit sur l’icône Schéma Active Directory, puis cliquez sur Maitres d’opérations.
  • Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier

Installation du premier contrôleur de domaine Windows 2008

Voilà comment promouvoir un serveur 2008 en contrôleur de domaine Active Directory version 2008 Server pour pouvoir ensuite désinstaller tous vos serveurs en Windows 2003 Server.

Deux chemins de migration sont possibles :

  • Mettre à jour un contrôleur de domaine
  • Mettre un serveur Windows 2008 dans le domaine puis exécuter DCPROMO pour le promouvoir en contrôleur de domaine.

Dans cet article, j’utiliserai le second scénario pour voir une installation d’un contrôleur de domaine Windows 2008 de bout en bout.

Installation :

Il faut le promouvoir en tant que DC avec cette commande :

dcpromo

dcp1

On va utiliser le mode avancé et ensuite on clique sur suivant

dcp2

On clique sur suivant

dcp3

Donc là on veut ajouter un contrôleur de domaine à un domaine existant et on fait suivant.
Au passage on voit de nouvelle options qui apparaissent (Ceci est du au mode avancée du dcpromo).

dcp4

Donc la on tape le nom de domaine sur lequel on veut rajouter le DC et on

fait suivant

dcp5

Là on choisit le bon domaine et on clique sur suivant

dcp6

dcp7

On sélectionne son site et on clique sur suivant

dcp8

Donc là on coche Serveur DNS et Catalogue Global et ensuite on clique sur suivant.
Ici on voit que l’installation d’un RODC n’est pas possible tant qu’aucun Server 2008 n’est installé …

dcp9

dcp10

Donc n’ayant pas de problème de bande passante ou de problématique de sites éloignés je choisis de répliquer les données sur le réseau mais vous pouvez tout à fait répliquer à partir d’une sauvegarde comme ça il n’y aura qu’une réplication incrémentielle des données.

dcp11

Ensuite on a le choix de sélectionner le DC à partir duquel les donnés vont être répliqué et ensuite on clique sur suivant.

dcp12

On va laisser par défaut et on clique sur suivant

dcp13

Entrer le mode de passe de restauration des services d’annuaires et cliquer sur suivant.

dcp14

On remarque que l’on peut importer un fichier texte qui contient tous les paramètres de l’installation ce qui est pratique quand on veut faire par la suite des installations automatisées.

dc15

Et donc voilà maintenant il ne vous reste plus qu’à désinstaller les DC en 2003 Server pour tous les migrer vers 2008 …. Bien sur avant de désinstaller les DC 2003 penser à transférer les rôles FSMO sur les DC 2008.

Désinstallation d’Active Directory sur les anciens contrôleurs de domaine

A partir d’un contrôleur de domaine à supprimer, cliquez sur « Exécuter » puis tapez « DCPROMO »

Cliquez sur « Suivant »

Notre nouveau contrôleur de domaine est un catalogue global, nous pouvons donc ignorer cette erreur et cliquer sur « OK »

Cliquez sur « Suivant » SANS cocher « ce serveur est le dernier contrôleur de domaine de ce domaine »

Confirmez le mot de passe puis cliquez sur « Suivant »

Windows nous présente un résumé des opérations qui vont être exécutées, cliquez sur « Suivant »

Une fois les opérations réussies, cliquez sur « Terminer » et redémarrez le serveur.

Niveaux Fonctionnels

Une fois les contrôleurs de domaine uniquement sous windows 2008, vous pouvez augmenter le niveau des domaines et forêts en Windows 2008.

  • bob

    est-il possible de vous poser des questions concernant la mise à jour du schéma AD ?

  • Vince

    Bonjour,
    Oui vous pouvez utiliser le formulaire de contact si besoin.
    Merci

  • Nicolas

    Bonjour,
    Je me permet de vous contacter car j’ai un projet de migration AD au sein de l’entreprise.
    Actuellement nous avons 1 Serveur 2003 pour AD/DNS/ et un contrôleur de domaine secondaire sous 2003 également.
    J’envisage de remplacer le serveur principal par un AD 2008 R2. Est ce que je dois touché à mon contrôleur de domaine secondaire ou je peux le garder en secondaire après avoir migrer le contrôleur principal vers le nouveau serveur 2008 r2 qui lui sera supprimé ?
    Merci par avance,
    Cordialement,
    Nicolas

    • Vince

      Bonjour,
      Il faut tout d’abord transférer tous les rôles de l’ AD (contrôleur de schéma, maitre d’infrastructure,etc …) sur le contrôleur de domaine principal, ensuite suivre la mise à jour des différents éléments sur ce contrôleur de domaine principal, en arrêtant les réplications ou en débranchant le câble réseau le temps de cette mise a jour.
      Le contrôleur de domaine secondaire fonctionnera le temps de cette mise à jour.
      Une fois cela terminé, il suffit de rebrancher le câble réseau ou de redémarrer les réplications pour que les mises à jour s’appliquent sur le contrôleur de domaine secondaire.
      Cette mise a jour peut se faire en ayant uniquement des Windows 2003 R2, mais il faudra avoir des serveurs sous Windows 2008 R2 pour augmenter le niveau fonctionnel des domaines et forêts.

  • MARCO

    Bonjour,
    Dans le cadre de mon stage je dois faire une migration d’un WDS 2003 sp2 à WDS 2008 R2 je viens de suivre votre tuto. Mais Apres « options supplémentaire pour le contrôleur de domaine » la petite fenetre  » Analyse de la configuration DNS apparait apres plusieurs minutes toujours dans la fenetre  » « options supplémentaire pour le contrôleur de domaine » la je coche DNS et catalogue Global puis j’ai validé.
    Mais la j’ai un message qui dit:
    « impossible de créer une délégation de contrôle pour ce serveur DNS car la zone parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS windows. Pour activer une résolution de noms DNS fiable en dehors du domaine mondomain.com vous devez créer manuellement une délégation à ce serveur DNS dans la zone parente. »
    Je me demande si ça vient pas de des paramètres DNS dans le 2003?Je suis bloqué.

    Merci d’avance pour votre réponse

    • Vince

      Bonjour,
      Je pense qu’il faudrait tout d’abord créer un serveur DNS sur le serveur avant de lancer « dcpromo » sinon je ne vois pas.

    • Letoine

      Bonjour, je me permet une petite réponse façon déterrage de commentaire, mais ça peut probablement aider quelqu’un d’autre.

      Il me semble que le message : « impossible de créer une délégation de contrôle pour ce serveur DNS car la zone parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS windows. Pour activer une résolution de noms DNS fiable en dehors du domaine mondomain.com vous devez créer manuellement une délégation à ce serveur DNS dans la zone parente. » provient du fait de la migration d’un domaine en .local ou .lan.

      Je n’en suis pas certain mais :
      En effet ce genre de domaine il n’y a pas de domaine parent et donc la racine .local (chacun adaptera à son cas) n’existe pas et ne peut être contactée.

      Si j’ai raison : pas de problème, ne pas tenir compte de ce message. Sauf si vous gérez un domaine public (.com; .fr … etc.).

  • Stephane

    Bonjour,

    Après avoir effectué la command adprep /domainprep , il m’indique que mon domaine n’est pas en mode natif. Donc, je vais dans «Domaine et approbations Active directory» pour Augmenter le niveau fonctionnel du domaine en Windows server 2003 natif mais le bouton «Augmenter» reste inactif et il m’écris dans cette même boite de dialogue un message non complet :

    Le niveau fonctionnel du domain ne peut être augmenter car le contrôleur de domaine » et ça s’arrête là !

    Alors du coup, je me demande si je dois absolument arrêter les réplications AD avant de faire la MAJ mais même en le faisant ça me donne pas de résultat très positif…..

    Il me manque un élément….certe.

    • Vince

      Bonjour,
      Pour pouvoir augmenter le niveau fonctionnel du domaine, Il faut tout d’abord transférer tous les rôles de l’ AD (contrôleur de schéma, maitre d’infrastructure,etc …) sur un même contrôleur de domaine.

  • Rémi

    Merci pour ce Tuto bien fait!
    je l’est utilisé pour passer de 2003 sp2 à 2008 R2 (schéma 30 ->47)
    changement notable chez moi : sur le cd 2008R2 le dossier adprep est dans \support et pas \sources et il faut lancer le adprep32 pour faire les opérations de mise à jour.

  • Gerard

    Bonjour,

    Mon infrastructure AD est en windows 2003 natif et ne comporte que des contrôleurs de domaine windows 2003.
    Dans un premier temps, on va migrer tous nos postes de travail XP vers Seven et plus dans un deuxième temps, on migrera les DC 2003 en 2008R2. Mais en attendant, pour profiter nouvelles stratégies d’AD 2008R2 sur les postes Seven,
    je souhaite faire une mise à jour du schéma de mon AD 2003 en AD 2008 (de V30 -> V47).

    Selon votre expérience, est-ce que je peux appliquer la mise à niveau du schéma que vous proposez dans votre tuto tout en conservant mes dc en windows 2003?
    Ne suis-je pas obligé de les upgrader au moins en 2003R2?

    Merci

    • Vince

      Normalement il n’y a pas de problème pour mettre a jour le schéma. La foret aussi peut être élevée mais si vous voulez la passer en 2008, il vous faudra alors avoir des DC en 2008 r2.
      Sinon pour les postes clients, il n’est pas forcement nécessaire de tout migrer sous 7, certaines fonctionnalités sont rétrocompatibles, tel que l’installation des imprimantes en local par GPO, gestion des profils l’alimentation, etc …

  • Mohamed

    Bonjour,

    Déjà merci pour ce guide !

    Ma question se porte sur l’augmentation du niveau de la forêt vers 2008. L’un des DC a été migrer depuis 2000->2003->2008 et le 2eme est un nouveau 2008 et quand j’essaie d’augmenter le niveau de la forêt j’ai le message suivant : « vous ne pouvez pas augmenter le niveau fonctionnel du domaine car ce domaine inclut des contrôleurs de domaine Active Directory qui n’exécutent pas la version Windows appropriée » Alors qu’ils sont tous les 2 sous 2008! et le fichier qu’il me génére comporte les 2 AD actuels qui comme je l’ai dit sont sous 2008.

    J’ai vérifié dans la base de registre dans la clé « NTDS\parameters » et le Schema version = 44 par contre le « System Schema Version = 30″

    Des idées ?
    ah oui, qu’est ce que ça ajoute que le niveau fonctionnel de la forêt soit élevé si ce n’est juste que pour garder la compatibilité avec des anciens AD ?

    • WikiVince

      Il faut bien vérifier le transfert de tous les rôles FSMO avant d’élever le niveau de la forêt il se peut qu’il y ai eu un oubli

  • Letoine

    (Re) Bonjour,
    Une chose qui manque cruellement à ce genre de tuto, je trouve, c’est qu’aucun outil ou commande n’est fournit pour vérifier la bonne réplication de l’AD et du DNS vers le nouveau serveur.

    Je m’explique : je suis souvent amené à remplacer des contrôleurs AD que je tente le plus souvent de migrer (lorsque la taille de l’entreprise le nécessite). Il m’est déjà arrivé de foirer la migration à cause d’une réplication qui ne s’est pas bien passée (j’ai « perdu » un DNS comme cela, et comme c’est la clef de voûte d’AD, je vous laisse imaginer la suite).

    La suite de ma recherche c’est : Comment je vérifie la bonne réplication avant de « démoter » mon ancien serveur.

    • Mohamed

      Letoine :
      (Re) Bonjour,
      Une chose qui manque cruellement à ce genre de tuto, je trouve, c’est qu’aucun outil ou commande n’est fournit pour vérifier la bonne réplication de l’AD et du DNS vers le nouveau serveur.
      Je m’explique : je suis souvent amené à remplacer des contrôleurs AD que je tente le plus souvent de migrer (lorsque la taille de l’entreprise le nécessite). Il m’est déjà arrivé de foirer la migration à cause d’une réplication qui ne s’est pas bien passée (j’ai « perdu » un DNS comme cela, et comme c’est la clef de voûte d’AD, je vous laisse imaginer la suite).
      La suite de ma recherche c’est : Comment je vérifie la bonne réplication avant de « démoter » mon ancien serveur.

      Regarde par ici :
      http://technet.microsoft.com/fr-fr/library/cc755349%28v=ws.10%29.aspx

  • Alf

    Bonjour,
    Avez vous le même type de tuto (excellent et pratique) pour m’aider dans ma future intervention de migration d’un serveur Windows 2003 SBS vers un serveur Windows 2011 SBS std en français ?
    Félicitation pour vôtre site qui ma déjà beaucoup aidé lors d’intervention périlleuse.
    Cordialement.

    • WikiVince

      Merci pour votre message, malheureusement je ne connais pas du tout Windows SBS