1. Préparer la forêt et le domaine

Préparer un schéma de forêt Windows 2000 ou Windows Server 2003 pour un contrôleur de domaine exécutant Windows Server 2008

Avant de pouvoir ajouter un contrôleur de domaine exécutant Windows Server 2008 dans un environnement Active Directory exécutant Windows 2000 Server ou Windows Server 2003, vous devez mettre à jour le schéma Active Directory. Le schéma doit être mis à jour à partir du contrôleur de domaine qui héberge le rôle de maître d’opérations du schéma (également appelé rôle d’opérations à maître unique flottant ou FSMO). Si vous procédez à une installation sans assistance des services de domaine Active Directory (AD DS) avec Windows Server 2008, vous devez mettre à jour le schéma avant d’installer le système d’exploitation. Dans le cadre d’une installation normale, vous devez mettre à jour le schéma après exécution du programme d’installation et avant installation des services de domaine Active Directory.

Suivez la procédure ci-dessous pour mettre à jour le schéma Active Directory Windows Server 2003 ou Windows 2000 Server pour Windows Server 2008.

Pour mener à bien cette procédure, il est nécessaire d’appartenir aux groupes Administrateurs de l’entreprise, Administrateurs du schéma et Administrateurs du domaine, ou à des groupes équivalents, dans le domaine contenant le contrôleur de schéma. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant : http://go.microsoft.com/fwlink/?LinkId=83477.

Pour préparer le schéma de la forêt pour Windows Server 2008

1. Connectez-vous au contrôleur de schéma en tant que membre des groupes Administrateurs de l’entreprise, Administrateurs du schéma et Administrateurs du domaine.

2. Insérez le DVD de Windows Server 2008 dans le lecteur CD ou DVD. Copiez le contenu du dossier \sources\adprep dans un dossier Adprep sur le contrôleur de schéma.

3. Ouvrez une invite de commandes, puis modifiez le répertoire pour accéder au dossier Adprep.

4. À l’invite de commandes, tapez ce qui suit et appuyez sur Entrée :

   adprep /forestprep (pour préparer la fôret)
   Puis
   adprep /domainprep (pour préparer le domaine)
   

5. Si vous prévoyez d’installer un contrôleur de domaine en lecture seule dans un domaine de la forêt, tapez ce qui suit et appuyez sur Entrée :

   adprep /rodcprep

Documentation originale : http://technet.microsoft.com/fr-fr/library/cc753437%28WS.10%29.aspx

2. Intégrer le serveur 2008 dans le domaine en tant que nouveau contrôleur de domaine

1. Nommer le nouveau contrôleur de domaine de façon définitive
2. Installer les services DNS et DHCP (si le serveur actuel est aussi serveur DHCP)
3. Intégrer le nouveau contrôleur sous Windows Server 2008 avec la commande "DCPROMO" et l'intégrer en tant que contrôleur de domaine supplémentaire.
   

Il est possible de tester l'intégration du contrôleur de domaine grâce à la commande « dcdiag /test:dcpromo /dnsdomain:domaine.local /replicadc » (domaine.local est le domaine DNS géré par notre annuaire Active Directory) de puis l’invite de commande, cela afin de vérifier qu’il n’y a pas d’obstacle à la promotion de ce serveur.

Il aura fallu au préalable installer le rôle « services de domaine Active Directory » ce qui nous permettra de disposer de l’outil DCDIAG. Ouvrez « Gestionnaire de serveur » et choisissez « Ajouter des rôles ». Nous sélectionnons « Services de domaine Active Directory », l’assistant signale qu’il faudra installer des fonctionnalités requises (en l’occurrence le .NET Framework 3.5). Nous faisons « Suivant » et ensuite « Installer ».

Documentation originale : http://www.alexwinner.com/index.php?option=com_content&view=article&id=24:dcreplica&catid=1:win2008&Itemid=3#4

3. Modifier les rôles FMSO depuis le contrôleur Windows Server 2003

Cet article explique comment transférer les rôles FSMO (Flexible Single Master Operations), également appelés rôles de maîtres d'opérations ) à l'aide des outils des composants logiciels enfichables Active Directory de la console MMC (Microsoft Management Console) dans Windows Server 2003.

Rôles FSMO

Dans une forêt, au moins cinq rôles FSMO sont attribués à un ou plusieurs contrôleurs de domaine. Les cinq rôles FSMO sont les suivants :

• Contrôleur de schéma : Le contrôleur de domaine du contrôleur de schéma contrôle toutes les mises à jour et les modifications apportées au schéma. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma. Il peut y avoir un seul contrôleur de schéma dans la forêt entière.
• Maître d'attribution de noms de domaine : Le contrôleur maître d'attribution de noms de domaine contrôle l'addition ou la suppression de domaines dans la forêt. Il peut y avoir un seul maître d'attribution de noms de domaine dans la forêt entière.
• Maître d'infrastructure : L'infrastructure est chargée de mettre à jour des références à partir d'objets dans son domaine aux objets dans d'autres domaines. Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître d'infrastructure dans chaque domaine.
• Maître des ID relatifs (RID) : Le maître RID est responsable pour un domaine particulier du traitement des requêtes de pool RID provenant de tous les contrôleurs de domaine. Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître RID dans le domaine.
• Émulateur PDC : L'émulateur PDC est un contrôleur de domaine qui se proclame contrôleur principal de domaine (PDC) auprès des stations de travail, des serveurs membres et des contrôleurs de domaine fonctionnant avec des versions antérieures de Windows. Par exemple, si le domaine contient des ordinateurs qui n'exécutent pas le logiciel client de Microsoft Windows XP Professionnel ou Microsoft Windows 2000, ou s'il contient des contrôleurs de domaine de sauvegarde Microsoft Windows NT, le maître Émulateur PDC agit comme un contrôleur principal de domaine Windows NT. Il est également le maître explorateur de domaine et gère les différences entre mots de passe. Il peut à tout moment y avoir qu'un seul contrôleur de domaine qui agit comme maître d'émulateur de contrôleur de domaine principal dans chaque domaine dans la forêt.

Vous pouvez transférer des rôles FSMO à l'aide de l'utilitaire de ligne de commande Ntdsutil.exe ou de l'outil de composant logiciel enfichable MMC. Selon le rôle FSMO que vous souhaitez transférer, vous pouvez utiliser l'un des trois outils de composant logiciel enfichable MMC suivants :

Si un ordinateur n'existe plus, le rôle doit être attribué. Pour attribuer un rôle, faites appel à l'utilitaire Ntdsutil.exe.

Transfert du rôle de contrôleur de schéma

Le composant logiciel enfichable Schéma Active Directory permet de transférer le rôle de contrôleur de schéma. Avant de pouvoir utiliser ce composant logiciel enfichable, vous devez inscrire le fichier Schmmgmt.dll.

Inscription de Schmmgmt.dll

1. Cliquez sur Démarrer, puis sur Exécuter.
2. Tapez regsvr32 schmmgmt.dll, dans la zone Ouvrir, puis cliquez sur OK.
3. Cliquez sur OK lorsque le message indiquant le succès de l'opération s'affiche.

Transfert du rôle de contrôleur de schéma

1. Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
3. Cliquez sur Ajouter.
4. Cliquez sur Schéma Active Directory, sur Ajouter, sur Fermer, puis sur OK.
5. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis sur Changer le contrôleur de domaine.
6. Cliquez sur Spécifiez un nom, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
7. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis sur Maître d'opérations.
8. Cliquez sur Modifier.
9. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.

Transfert du rôle principal d'attribution de noms de domaine

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
   
   REMARQUE : Vous devez exécuter cette étape si vous n'êtes pas sur le contrôleur de domaine auquel vous souhaitez transférer le rôle. Vous ne devez pas exécuter cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous souhaitez transférer le rôle.
3. Effectuez l'une des opérations suivantes :
   • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
     
     - ou -
   • Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis sur Maître d'opérations.
5. Cliquez sur Modifier.
6. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.

Transfert des rôles de maître RID, émulateur PDC et maître d'infrastructure

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
   
   REMARQUE : Vous devez exécuter cette étape si vous n'êtes pas sur le contrôleur de domaine auquel vous souhaitez transférer le rôle. Vous ne devez pas exécuter cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous souhaitez transférer le rôle.
3. Effectuez l'une des opérations suivantes :
   • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
     
     - ou -
   • Dans la liste Ou sélectionner une liste de contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tâches, puis sur Maître d'opérations.
5. Cliquez sur l'onglet correspondant au rôle à transférer (RID, PDC ou infrastructure), puis cliquez sur Modifier.
6. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.

Article originale : http://support.microsoft.com/kb/324801/fr

4. Finalement

1. Créer un alias de l'ancien serveur vers le nouveau (le nom du nouveau serveur étant différent) afin de ne pas avoir à changé les scripts faisant appels à une résolution de nom DNS
2. Si besoin, recréer les zones d'attribution IP DHCP qui étaient sur l'ancien serveur sur le nouveau
3. Débrancher l'ancien serveur du réseau
4. Redémarrer un poste de votre réseau
5. Ouvrir une session en administrateur local
6. Réattribuer une adresse IP avec les commande "ipconfig /release" et "ipconfig /flushdns"
7. Redémarrer le poste et se connecter depuis un compte AD.
8. Toutes les GPO devraient s'executer, les lecteurs réseaux se montés.

Cet article explique comment transférer les rôles FSMO (Flexible Single Master Operations), également appelés rôles de maîtres d'opérations ) à l'aide des outils des composants logiciels enfichables Active Directory de la console MMC (Microsoft Management Console) dans Windows Server 2003.

Retour au début

 Rôles FSMO

Dans une forêt, au moins cinq rôles FSMO sont attribués à un ou plusieurs contrôleurs de domaine. Les cinq rôles FSMO sont les suivants :

• Contrôleur de schéma : Le contrôleur de domaine du contrôleur de schéma contrôle toutes les mises à jour et les modifications apportées au schéma. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma. Il peut y avoir un seul contrôleur de schéma dans la forêt entière.
• Maître d'attribution de noms de domaine : Le contrôleur maître d'attribution de noms de domaine contrôle l'addition ou la suppression de domaines dans la forêt. Il peut y avoir un seul maître d'attribution de noms de domaine dans la forêt entière.
• Maître d'infrastructure : L'infrastructure est chargée de mettre à jour des références à partir d'objets dans son domaine aux objets dans d'autres domaines. Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître d'infrastructure dans chaque domaine.
• Maître des ID relatifs (RID) : Le maître RID est responsable pour un domaine particulier du traitement des requêtes de pool RID provenant de tous les contrôleurs de domaine. Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître RID dans le domaine.
• Émulateur PDC : L'émulateur PDC est un contrôleur de domaine qui se proclame contrôleur principal de domaine (PDC) auprès des stations de travail, des serveurs membres et des contrôleurs de domaine fonctionnant avec des versions antérieures de Windows. Par exemple, si le domaine contient des ordinateurs qui n'exécutent pas le logiciel client de Microsoft Windows XP Professionnel ou Microsoft Windows 2000, ou s'il contient des contrôleurs de domaine de sauvegarde Microsoft Windows NT, le maître Émulateur PDC agit comme un contrôleur principal de domaine Windows NT. Il est également le maître explorateur de domaine et gère les différences entre mots de passe. Il peut à tout moment y avoir qu'un seul contrôleur de domaine qui agit comme maître d'émulateur de contrôleur de domaine principal dans chaque domaine dans la forêt.

Vous pouvez transférer des rôles FSMO à l'aide de l'utilitaire de ligne de commande Ntdsutil.exe ou de l'outil de composant logiciel enfichable MMC. Selon le rôle FSMO que vous souhaitez transférer, vous pouvez utiliser l'un des trois outils de composant logiciel enfichable MMC suivants :

Schéma Active Directory
Domaines et approbations Active Directory
Utilisateurs et ordinateurs Active Directory

Si un ordinateur n'existe plus, le rôle doit être attribué. Pour attribuer un rôle, faites appel à l'utilitaire Ntdsutil.exe.

Retour au début

Transfert du rôle de contrôleur de schéma

Le composant logiciel enfichable Schéma Active Directory permet de transférer le rôle de contrôleur de schéma. Avant de pouvoir utiliser ce composant logiciel enfichable, vous devez inscrire le fichier Schmmgmt.dll.

Inscription de Schmmgmt.dll

1. Cliquez sur Démarrer, puis sur Exécuter.
2. Tapez regsvr32 schmmgmt.dll, dans la zone Ouvrir, puis cliquez sur OK.
3. Cliquez sur OK lorsque le message indiquant le succès de l'opération s'affiche.

Transfert du rôle de contrôleur de schéma

1. Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
3. Cliquez sur Ajouter.
4. Cliquez sur Schéma Active Directory, sur Ajouter, sur Fermer, puis sur OK.
5. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis sur Changer le contrôleur de domaine.
6. Cliquez sur Spécifiez un nom, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
7. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis sur Maître d'opérations.
8. Cliquez sur Modifier.
9. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.

Retour au début

Transfert du rôle principal d'attribution de noms de domaine

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
   
   REMARQUE : Vous devez exécuter cette étape si vous n'êtes pas sur le contrôleur de domaine auquel vous souhaitez transférer le rôle. Vous ne devez pas exécuter cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous souhaitez transférer le rôle.
3. Effectuez l'une des opérations suivantes :
   • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
     
     - ou -
   • Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis sur Maître d'opérations.
5. Cliquez sur Modifier.
6. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.

Retour au début

Transfert des rôles de maître RID, émulateur PDC et maître d'infrastructure

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
   
   REMARQUE : Vous devez exécuter cette étape si vous n'êtes pas sur le contrôleur de domaine auquel vous souhaitez transférer le rôle. Vous ne devez pas exécuter cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous souhaitez transférer le rôle.
3. Effectuez l'une des opérations suivantes :
   • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
     
     - ou -
   • Dans la liste Ou sélectionner une liste de contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui doit détenir le nouveau rôle, puis cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tâches, puis sur Maître d'opérations.
5. Cliquez sur l'onglet correspondant au rôle à transférer (RID, PDC ou infrastructure), puis cliquez sur Modifier.
6. Cliquez sur OK pour confirmer que vous souhaitez transférer le rôle, puis sur Fermer.