Dans cette documentation nous allons voir comment mettre à jour notre environnement Active Directory en effectuant une mise à jour des contrôleurs de domaine.
Il s'agit d'une mise à jour du rôle AD DS et non de celle de l'OS.
C'est à dire que nous allons voir comment passer des contrôleurs de domaines Windows Server 2012 R2 en version Windows Server 2019 par exemple.
Au moment de la rédaction de cette documentation, le niveau fonctionnel maximum d'un environnement Active Directory correspond à la version 2016 de Windows Server.
De ce fait si vous passez de 2012 à 2019 ou 2022, le niveau maximum possible sera 2016.
¶ Prérequis
- Soit avoir un domaine Active Directory avec un ou plusieurs contrôleurs de domaine
- Soit avoir un outil de virtualisation pour créer le lab et refaire les manipulations
- Avoir la possibilité d'ajouter un Serveur Windows en version supérieure aux contrôleur de domaine de la forêt existante (existant ou lab)
- Pouvoir monter l'ISO du second serveur dans le lecteur DVD du premier serveur
¶ Le lab
Je n'ai pas de Lab Active Directory sous la main donc pour les besoins de cette documentation je vais créer un lab dédié. Il couvrira la création d'un domaine Active Directory jusqu'à l'upgrade de contrôleur de domaine.
Le lab sera consitué de 3 machines virtuelles et configuré de la manière suivante :
• Un contrôleur de domaine en version Windows Server 2012 R2
• Un contrôleur de domaine en version Windows Server 2019
• Un PC qui sera dans le domaine
• Nom de domaine : lab.local
• Nom NetBIOS : LAB
• Adresse du réseau : 192.168.0.0/24
Si vous avez déjà des contrôleur de domaine à mettre à jour, vous pouvez passer directement passer à la partie "Mise à jour des contrôleurs de domaine".
¶ Création d'un domaine Active Directory
¶ Creation du domaine "Lab.Local"
La documentation complète sur la création d'un domaine Active Directory est disponible sur ce lien.
¶ Création du domaine
- Sur le Windows server 2012 R2, ouvrir le Gestionnaire de serveur, cliquer sur "Ajouter des rôles et des fonctionnalités"
- Cocher la case "Serveur DNS"
- Cocher la case "Inclure les outils de gestion" puis cliquer sur "Ajouter des fonctionnalités"
- Cocher la case "Services AD DS"
- Cocher la case "Inclure les outils de gestion" puis cliquer sur "Ajouter des fonctionnalités"
- Cocher la case "Redémarrer automatiquement [...] si nécessaire". Valider le pop-up en cliquant sur "Oui". Cliquer sur "Installer"
- Lorsque les rôles sont installés cliquer sur "Fermer"
¶ Promouvoir le serveur en contrôleur de domaine
- Lorsque l'installation est terminée, depuis le Gestionnaire de serveur cliquer sur l'icône de notification
- Cliquer sur "Promouvoir ce serveur en contrôleur de domaine"
- Cliquer sur "Ajouter une nouvelle forêt" puis entrer le nom de domaine de la forêt. Cliquer sur "Suivant"
- Entrer le mot de passe de restauration de l'Active Directory.
- Lorsque les différents tests sont terminés, cliquer sur "Installer"
- Lorsque l'installation est terminée, cliquer sur "Fermer". Le serveur va redémarrer
¶ Ajout d'un PC dans le domaine
La documentation complète d'ajout d'un PC dans un domaine Active Directory est disponible sur ce lien.
- Dans l'explorateur de fichiers Windows, faire un clic droit sur "Ce PC", cliquer sur "Propriétés" et cliquer sur "Modifier les paramètres" puis sur "Modifier"
- Sélectionner "Domaine" et entrer le nom de domaine dans lequel le poste doit être ajouter
- Saisir le login et le password du compte ayant les privillèges nécessaire à l'ajout
- Fermer les différentes fenêtre, cliquer sur "Redémarrer maintenant"
¶ Mise à jour de l'environnement Active Directory
Pour mettre à jour notre environnement Active Directory nous allons devoir effectuer les étapes suivantes :
- Ajout d'un nouveau contrôleur de domaine
- Migration des Rôles FSMO
- Préparation de l'AD
- Rétrograder les anciens contrôleurs de domaine
- Mettre à jour le niveau fonctionnel de la forêt
¶ Ajout d'un deuxième contrôleur de domaine
La documentation complète sur l'ajout d'un contrôleur de domaine dans une forêt existante est disponible sur ce lien.
Cette partie sera réalisée sur le Windows Server 2019.
Nous allons ici reproduire la procédure précédemment effectuée MAIS lors de la promotion du serveur en contrôleur de domaine, nous allons cocher la case "Ajouter un contrôleur de domaine à une forêt existante" et indiquer le domaine qui vient d'être créé (Penser à cliquer sur "Modifier" pour indiquer un compte du domaine ayant les droits nécessaire pour cette opération).
¶ Rôles FSMO
Pour commencer, nous allons vérifier quel est le contrôleur de domaine qui est « Maître des Opérations ». Pour cela, ouvrir « cmd » et taper cette commande :
netdom query fsmo
Sans surprise il s'agit de notre contrôleur de domaine en version Windows Server 2012 R2.
Afin de modifier le niveau fonctionnel de notre forêt, il va falloir tansférer les rôles FSMO au contrôleur de domaine en version Windows Serveur 2019.
En effet le Windows Server 2012 R2 ne pourra pas proposer un niveau fonctionnel en version 2016.
- Ouvrir une invite de commande en « Administrateur » sur le Windows Server 2019 et entrer la commande suivante :
ntdsutil
- Entrer en mode maintenance des rôles FSMO :
roles
- Entrer les commandes suivantes pour se connecter au serveur qui va recevoir le(s) rôle(s) :
connections
connect to server nom_du_controleur # celui qui recevra les rôles
q
- Les commandes pour faire le(s) transfert(s) :
# Maitre d'attribution
transfer naming master
# Contrôleur de schéma
transfer schema master
# Maitre RID
transfer RID master
# Emulateur PDC
transfer pdc
# Maitre infrastructure
transfer infrastructure master
Valider le pop-up
répéter l'opération pour chacun des rôles
¶ Préparation de l'AD
¶ Préparation de la forêt
Monter l'ISO du serveur Windows Server 2019 dans le lecteur DVD du "Windows Server 2012 R2"
Depuis le serveur Windows Server 2012 R2, ouvrir une invite de commande ou Powershell et taper la commande :
D:\support\adprep\adprep.exe /forestprep.
Un message d'avertissement est alors visible. Valider en appuyant sur la lettre C
Ne pas fermer la fenêtre pendant la modification
Lorsque l'opération est terminée, le message suivant sera visible.
¶ Préparation du domaine
Toujours avec l'ISO du serveur Windows Server 2019 monté dans le lecteur DVD du "Windows Server 2012 R2"
Depuis le serveur Windows Server 2012 R2, ouvrir une invite de commande ou Powershell et taper la commande :
D:\support\adprep\adprep.exe /domainprep.
¶ Rétrograder les anciens contrôleurs de domaine
Nous allons devoir maintenant rétrograder le contrôleur de domaine dont la version de Windows Server est la plus ancienne.
La documentation complète pour rétrograder un contrôleur de domaine Active Directory est disponible sur ce lien.
- Depuis le Gestionnaire de serveur, cliquer sur "Supprimer des rôles et des fonctionnalités"
- Décochez la case "Services AD DS"
- Cocher la case "Supprimer les outils de gestion" puis cliquer sur "Supprimer des fonctionnalités"
- Cliquer sur "Modifier" pour entrer le login et password d'un utilisateur ayant les droits nécessaire puis cliquer sur "Forcer la suppression de ce contrôleur de domaine". Cliquer sur "Suivant"
- Cocher la case "Procéder à la suppression" puis cliquer sur "Suivant"
- Entrer le mot de passe qui sera utilisé pour le compte Administrateur LOCAL. Cliquer sur "Suivant"
- Le processus va effectuer des test puis lorsqu'ils seront validés un message indiquant que le serveur va redémarrer apparaît. Cliquer sur "Fermer" pour redémarrer immédiatement sinon patienter que le serveur redémarre seul.
¶ Niveau fonctionnel de la forêt
Depuis le contrôleur de domaine Windows Server 2019, ouvrir la console de management "Domaines et approbations Active Directory".
- Cliquer sur "Action" puis sélectionner "Augmenter le niveau fonctionne de la forêt"
- Séletionner le niveau fonctionnel le plus élevé puis cliquer sur "Augmenter"
- Valider la modification en cliquant sur "OK"
La mise à jour s'est correctement passée, un nouveau contrôleur de domaine a été ajouté avec succès pour remplacer l'ancien puis le niveau fonctionnel de la forêt (et donc du domaine) est passé de 2012 à 2016.
On peut vérifier si les objest de l'Active Directory qui étaient présent avant la mise à jour de l'environnement le sont toujours.
Prenons l'exemple de notre PC qui a été ajouté dans le domaine :
