Migration Active Directory – AD-CS & NTFRS vers DFS Sysvol 2008R2 vers 2016

active-directory

1.1 Introduction

1.2 Architecture

2 – NTFRS vers DFS

2.1 Vérification si NTFRS est utilisé

2.2 Augmentation du niveau fonctionnel

2.3 Sauvegarde de l’Active Directory

2.4 Migration dossier

2.5 Eliminate state

2.6 Vérification DFRS

3 – Migration AD 2008R2 vers 2016

3.1 Adprep /forestprep

3.2 Adprep /domainprep + /gpprep

3.3 Verification

3.4 Transfert des roles FSMO

3.5 Dcpromo reverse srv-dc1

3.6 Dcpromo 2016

4 – Migration autorité de certification

4.1 Backup de l’actuel

4.2 Désinstallation de AD-CS 2008R2

4.3 Installation AD-CS 2016

4.4 Import de la base

4.5 Activation console Web

Introduction

Mise en place d’un lab pour

  • Migration Active directory 2008R2 vers 2016
  • Migration NFRS vers DFS 2008R2
  • Migration AD-CS 2008R2 vers 2016

Architecture

  • Srv-DC1 => 2008R2
  • Srv-DC2 => 2008R2
  • Futur srv-DC1 => 2016

NTFRS vers DFS

Vérification si NTFRS est utilisé

Là on voit que l’on est bien en mode NTFRS

Augmentation du niveau fonctionnel

Le niveau fonctionnel doit être au minimum de 2008.

Faire un net share pour vérifier les dossiers partagés

Faire un repadmin /ReplSum

Utilisez l’Éditeur du Registre sur chaque contrôleur de domaine dans le domaine pour accéder à HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters et vérifier que la valeur de l’entrée de Registre SysVol est [lecteur: \] Windows_folder \ SYSVOL \ sysvol, et que la valeur de l’entrée de registre SysvolReady est 1.

Démarrer le services DFS replication

Sauvegarde de l’Active Directory

Wbadmin start systemstatebackup

A partir d’une fenêtre d’invite de commande sur un contrôleur de domaine inscriptible (pas en lecture seule), tapez dfsrmig /setglobalstate 1 pour définir l’état de la migration globale préparée.

puis dfsrmig /getglobalstate pour vérifier que l’état de la migration est préparé.

Faire de même sur tous les DC

dfsrmig /getmigrationstate

Les dc ne sont pas prêt leur laisser du temps

dfsrmig /getmigrationstate

Normalement un dossier dans c:\windows\sysvol_DFSR doit apparaitre

Migration dossier

Faire les commandes sur le DC avec les rôles FSMO (le principal)

A partir d’une fenêtre d’invite de commande sur un contrôleur de domaine inscriptible (pas en lecture seule toujours) dans le domaine que vous souhaitez migrer, tapez dfsrmig /setglobalstate 2 pour définir l’état de la migration à redirigée.

dfsrmig /getglobalstate pour vérifier que l’état de la migration est redirigée.

Tapez dfsrmig /getmigrationstate pour confirmer que tous les contrôleurs de domaine ont atteint l’état redirigée. La sortie suivante doit apparaître lorsque tous les contrôleurs de domaine atteignent l’état redirigée

Attendre que la réplication soit effective

Eliminate state

repadmin /ReplSum

C OK

Sur contrôleur de domaine inscriptible (pas un contrôleur de domaine en lecture seule), ouvrez une fenêtre d’invite de commande et puis tapez dfsrmig /setglobalstate 3 pour définir l’état de la migration globale Eliminé.

ImportantImportant
Vous ne pouvez pas revenir à la réplication FRS après cette étape. Vous devez effectuer cette étape que lorsque vous êtes pleinement engagé à l’aide de la réplication DFS.

Tapez dfsrmig /getglobalstate pour vérifier que l’état de la migration mondiale est éliminée. La sortie suivante apparaît si l’état de la migration mondiale est éliminée.

Tapez dfsrmig /getmigrationstate pour confirmer que tous les contrôleurs de domaine ont atteint l’état Eliminé. La sortie suivante doit apparaître lorsque tous les contrôleurs de domaine atteignent l’état Eliminé.

Il faut attendre

Vérification DFRS

Utilisez le DFS Management snap-in pour créer un rapport de diagnostic pour le dossier SYSVOL_DFSR en effectuant les étapes suivantes:

Installation de l’outil d’administration DFS manager

noteNote
Vous devez être membre du groupe Administrateurs local sur chaque serveur pour lequel vous souhaitez préparer un rapport de diagnostic.
  1. Open DFS Management from the Administrative Tools folder.
  2. In the console tree, under the Replication node, click Domain System Volume.
  3. Click the Membership tab, click Membership Status, and then for each domain controller in the domain, verify that the Enabled check box is selected for a Local Path of [drive:\]Windows_folder\SYSVOL_DFSR\domain.
  4. Right-click Domain System Volume, and then click Create Diagnostic Report to create a diagnostic report for the DFS Replication of the SYSVOL_DFSR folder. Follow the instructions in the Diagnostic Report Wizard and view the report that the wizard produces to verify the health of the DFS Replication of the SYSVOL_DFSR folder.DFS Management in Windows Server 2008 provides the ability to run a propagation test and generate two types of diagnostic reports—a propagation report and a general health report. To verify that SYSVOL replication is working properly, perform the propagation test and examine both reports for problems.

Sur chaque contrôleur de domaine que le [lecteur: \] dossier Windows_folder \ SYSVOL a été retiré. Si le dossier était ouvert à la ligne de commande ou dans l’Explorateur Windows lors de la migration à l’état Eliminé, le [lecteur: \] dossier SYSVOL Windows_folder \ et certains de ses sous-dossiers peuvent rester présents après la migration à l’état Eliminé, mais aucun de ceux-ci dossiers contiennent tous les fichiers dans l’état Eliminé.

On voit que le dossier SYSVOL a été supprimé et qu’il ne reste que le dossier SYSvol_DFSR

Migration AD 2008R2 vers 2016

Copier tous les *.ldf de 2016 sous c:\windows\system32 sur le 2008R2

Et le dossier adprep2016 sous C:\ présent sur le DVD source de 2016 serveur

Adprep /forestprep

Adprep /domainprep + /gpprep

Verification

Import-module activedirectory

Get-ADObject (get-adrootdse).schemaNamingContext -Property objectVersion

On est bien en version 87 version 2016

Numero de version de l’Active Directory.

Windows 2000 Server 13
Windows 2003 RTM, SP1, SP2 30
Windows 2003 R2 31
Windows 2008 44
Windows 2008 R2 47
Windows Server 2012 Beta 52
Windows Server 2012 56
 Windows Server 2012 R2

Windows server 2016

69

87

Transfert des rôles FSMO

Dcpromo reverse srv-dc1

Avant de faire cela penser à l’autorité de certification et aux roles fsmo

Dcpromo

Dcpromo 2016

Renommage et IP srv-dc1 sur le 2016

Migration autorité de certification

Backup de l’actuel

Désinstallation de AD-CS 2008R2

Il ne peut y avoir q’une seul AD-CS par domaine. On doit donc désinstaller AD-CS pour pouvoir la réinstaller.

Redemarrer le serveur après

Installation AD-CS 2016

Import de la base

Activation console Web

il ne reste plus qu’a importer la sauvegarde de l’AD-CS du 2008