Déplacement du contrôleur de domaine principal vers un nouveau serveur

15

Je viens d'acheter un nouveau serveur qui sera le nouveau contrôleur de domaine principal. Je me demandais si quelqu'un connaissait des articles ou des tutoriels sur la façon de procéder à ce changement? J'imagine qu'il s'agit simplement de configurer le rôle et d'importer une sauvegarde de l'Active Directory à partir de l'ancien contrôleur de domaine. Je veux juste m'assurer de ne manquer aucune tâche cruciale entre les deux.

active-directory domain-controller poconnor
la source
1
Je suis certain que cela est déjà couvert par les questions existantes, mais je n'en trouve pas une bonne à marquer comme doublon.
Zoredache
3
Il n'y a plus de «contrôleur de domaine principal». Cela a disparu avec NT4.
MDMarra
2
@SpacemanSpiff Je suis d'accord. Cela ne change rien au fait que les gens disent toujours que PDC et BDC sont de vraies choses. Un contrôleur de domaine détenant le rôle d'émulateur PDC est entièrement différent de ce qu'était un PDC NT4.
MDMarra
2
@MarkM: Cela ne change pas le fait que vous ne pouvez pas rétrograder un contrôleur de domaine avec le rôle d'émulateur PDC. Et si ça baisse, vous finirez par avoir à saisir le rôle.
surfasb
1
@surfasb, les nouvelles versions de dcpromo déplaceront automatiquement les rôles FSMO du serveur que vous rétrogradez. Les versions plus anciennes se contenteraient de se plaindre du fait.
Chris S

Réponses:

21
  • Ajouter un nouvel ordinateur au domaine
  • Promouvoir le système en contrôleur de domaine ( dcpromo )
  • Transférer les rôles FSMO
  • Vérifiez / faites du nouveau système un catalogue global .
  • Attendez un certain temps pour que la réplication ait lieu. Exécutez dcdiag / repadmin et ainsi de suite pour vous assurer que tout est transféré
  • Rétrograder l'ancien système (dcpromo)
  • Vérifiez les zones DNS et AD pour vous assurer que l'ancien système a été supprimé.

Migrez toutes les autres données ou services selon vos besoins.

Bien sûr, vous pouvez laisser l'ancien système en place afin d'avoir un autre DC de rechange.

Zoredache
la source
Qu'en est-il d'avoir plusieurs catalogues mondiaux?
Tim Brigham
@timbrigham, désolé, je ne suis pas sûr de comprendre ce que vous demandez.
Zoredache
1
@TheCompWiz: Je pense que ce n'est le cas que dans une forêt à plusieurs domaines mais n'est pas applicable dans une forêt à un seul domaine. Je crois que la meilleure pratique MS pour une forêt à domaine unique est que tous les DC soient également des GC.
joeqwerty
7
@TheCompWiz, technet.microsoft.com/en-us/library/cc732877(WS.10).aspx - In a single-domain forest, configure all domain controllers as global catalog servers. Because every domain controller stores the only domain directory partition in the forest, configuring each domain controller as a global catalog server does not require any additional disk space usage, CPU usage, or replication traffic.
Zoredache
1
@tout. Je suis 100% corrigé ... sévèrement ... et à plusieurs reprises. Honnêtement, je me souviens avoir lu un article technet il y a quelque temps (il y a 5+ ans peut-être?) Qui mettait en garde contre le fait d'avoir plusieurs GC dans le même sous-réseau / domaine ... mais merci pour la correction.
TheCompWiz
6

En plus de ce que Zoredache a déclaré dans sa réponse, assurez-vous de mettre à jour tous les clients de domaine pour utiliser le nouveau contrôleur de domaine pour DNS.

De plus, si le contrôleur de domaine d'origine que vous remplacez est le seul contrôleur de domaine du domaine, l'exécution de DCPROMO sur le contrôleur de domaine d'origine transférera les rôles FSMO vers le nouveau contrôleur de domaine sans avoir besoin de les transférer manuellement. Si ce n'est pas le seul contrôleur de domaine dans le domaine, alors DCPROMO transférera les rôles FSMO vers un autre contrôleur de domaine, je ne sais pas comment il sélectionne le contrôleur de domaine pour assumer les rôles.

joeqwerty
la source
1
pour être sûr ... Je suggère toujours de déplacer manuellement les rôles FSMO + GC et de vérifier qu'ils sont terminés plutôt que de compter sur dcpromo pour transférer les rôles. dcpromo échoue silencieusement assez souvent et fait un très mauvais travail de documentation de ces échecs.
TheCompWiz
2
@TheCompWiz Pourriez-vous expliquer un moment où l'échec de dcpromo était silencieux? Je ne l'ai jamais fait laisser AD dans un état obscur. J'ai eu beaucoup de fois où il refuse de faire quoi que ce soit parce que quelque chose que j'ai nourri c'était des ordures ...
Chris S
@ChrisS Je le ferais ... mais ce n'est ni le moment ni l'endroit pour le faire.
TheCompWiz
1

Quelque chose que je n'ai vu personne mentionner, c'est le temps. Votre PDC est probablement le principal chronométreur du domaine ... ce rôle / configuration doit être refait sur le nouveau PDC.

grep65535
la source