Active Directory: Bonnes pratiques - Migration AD 2012 vers 2016 (FR-FR)

Cet article vise à exposer les grands axes entamés lors de  mise à niveau d'active directory. L’étalage sera récit par ordre chronologique vous permettant ainsi de suivre la succession des actions.

Initialement, l’architecture suivante (4 Contrôleurs de Domaine -2 sur le site principal et 2 sur le site secours- avec le rôle DNS sur la totalité des DC) était comme point de départ vers ce qui suit :

La migration consistait à faire bénéficier le client d'un active directory version 2016 homogène et selon la mise en place précitée plus bas.

1.     Vérification des rôles FSMO & NTP.

2.     Vérification de la réplication Intra\Inter-DC.

• Vérifier l'intégrité de la réplication via la commande suivanteè Repadmin /replsummary.
• Vérifier l'état de réplicationè Repadmin /Showrepl
• Vérifiez l'état de SYSVOL et Netlogonè /en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816833(v%3dws.10)                  

3.     Vérification des états de sauvegarde.

4.     Déploiement de 4 VMs [2 site principal et 2 site secours].

5.     Standardisation des VMs (Patchs, Antivirus, Correctifs de sécurité…).

6.     Préparation de la forêt et du domaine, Vérifiez la disponibilité des rôles de maître d'opération nécessaires:
Pour plus d’infos je vous prie de consulter le lien suivantè /en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers

• • • Pour installer le premier contrôleur de domaine qui exécute Windows Server 2016 dans un domaine et une forêt existants, la machine sur laquelle vous exécutez l'installation doit être connectée au maître de schéma afin d'exécuter adprep / forestprep et le maître d'infrastructure afin d'exécuter adprep / domainprep.
    •  Pour installer le premier contrôleur de domaine dans un domaine où le schéma de forêt est déjà étendu, vous n'avez besoin que d'une  connectivité au maître d'infrastructure.
    • Pour installer ou supprimer un domaine dans une forêt existante, vous devez être connecté au maître d'attribution de noms de domaine.
    • Toute installation de contrôleur de domaine nécessite également une connectivité au maître RID.
    • Si vous installez le premier contrôleur de domaine en lecture seule dans une forêt existante, vous avez besoin d'une connectivité au maître d'infrastructure pour chaque partition d'annuaire d'applications, également appelée contexte de dénomination non-domaine.

7.     Installation des 4 DCs sur les VMs, ainsi que la vérification des réplications entre ces derniers.

8.     Transfert des rôles FSMO vers le nouveau parc des DCsè https://support.microsoft.com/en-us/help/255504/using-ntdsutil-exe-to-transfer-or-seize-fsmo-roles-to-a-domain-control

9.     Transfert du rôle NTPè https://support.microsoft.com/en-us/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server

10.  Conception et élaboration du plan d’adressage métissé entre les anciens et les nouveaux DC.

11.  Reprise du lead de fonctionnement depuis les anciens vers les nouveaux DCs.

12.  Arrêt partiel puis total des anciens DCs.

13.  Instauration d’une phase observatoire de 7 jours pour stresser le fonctionnement et les réplication inter DCs.

14.  Sauvegarde des nouveaux DCs.

15.  Radiation de l’ancienne plateforme des DCs.