Migration de PDC, besoin de conseils probablement simples...

Le
llopht
Bonjour,

Y a vraiment peu de messages sur le forum mais si qqun pouvait me
répondre aux deux petites questions avant ce soir je serais vraiment
rassuré

Je dois faire une migration d'un PDC 2003 vers un nouveau serveur. J'ai
fait un DCPromo pour rendre le nouveau serveur primaire et lui attribuer
les 5 rôles FSMO via NTDSUtil. J'ai cependant deux choses qui me tracasse :

- Le serveur actuel à une infrastructure PKI. Comment est-ce que je fais
pour la migrer Si j'ajoute une autorité seconde d'entreprise est-ce
que j'aurai ensuite la possibilité de la rendre principale ? (ou le sera
t'elle automatiquement)

- Si jamais ça ce passe mal, est-ce que j'ai la possibilité de remettre
l'ancien serveur en PDC sans faire de migration via NTSDUtil (genre je
coupe le nouveau serveur histoire de revenir à la situation précédente)
ou est-ce que je suis obligé de restaurer l'ancien AD sur l'ancien
serveur ?

En fait dans le cas de la seconde question, c'est que je dois aussi
déplacer l'archi Exchange et qu'en cas de problème avec la
réinstallation de celui-ci je préfèrerai revenir à la situation
précédente

Merci pour vos conseils.

llopht.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Marc Lognoul [MVP]
Le #19767381
Bonjour,

Voici la procédure à suivre pour la partie PKI:
http://support.microsoft.com/kb/298138/fr

Pour les autres questions, Jonathan, Thierry et Emmanuel ne devraient pas
tarder à passer par ici ;)

---
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/

"llopht" news:
Bonjour,

Y a vraiment peu de messages sur le forum mais si qqun pouvait me répondre
aux deux petites questions avant ce soir je serais vraiment rassuré...

Je dois faire une migration d'un PDC 2003 vers un nouveau serveur. J'ai
fait un DCPromo pour rendre le nouveau serveur primaire et lui attribuer
les 5 rôles FSMO via NTDSUtil. J'ai cependant deux choses qui me tracasse
:

- Le serveur actuel à une infrastructure PKI. Comment est-ce que je fais
pour la migrer... Si j'ajoute une autorité seconde d'entreprise est-ce que
j'aurai ensuite la possibilité de la rendre principale ? (ou le sera
t'elle automatiquement...)

- Si jamais ça ce passe mal, est-ce que j'ai la possibilité de remettre
l'ancien serveur en PDC sans faire de migration via NTSDUtil (genre je
coupe le nouveau serveur histoire de revenir à la situation précédente) ou
est-ce que je suis obligé de restaurer l'ancien AD sur l'ancien serveur ?

En fait dans le cas de la seconde question, c'est que je dois aussi
déplacer l'archi Exchange et qu'en cas de problème avec la réinstallation
de celui-ci je préfèrerai revenir à la situation précédente...

Merci pour vos conseils.

llopht.


Jonathan BISMUTH \(Bis IT]
Le #19767731
Aussitôt dit ;)

Bonjour Llopht, salut Marc,

Séparons ta demande en quelques étapes, histoire de. Note qu'étant sur un
environnement 2003, il n'y a pas réellement de DC primaire ou non, tu aurais
même pu transférer graphiquement les 5 rôles FSMO :

1- tu utilise la KB de Marc, afin de déplacer ta PKI, et t'assure tout est
bien remonté.
2- tu passe ton nouveau DC en Catalogue Global ( Il me semble, mais Thierry
et Manu devraient confirmer que ton infra Exchange n'aimera pas non plus
trouver de GC sur ton domaine)
3- En admettant que ton 1er DC est aussi DNS intégré à AD, les zones sont
transférées sur le 2e, tu dois donc rediriger tes clients (postes + serveurs
etc...) sur le deuxième DNS, y compris le deuxième DC, l'Exchange etc...
Note que pour le moment, ton 1er DC est toujours actif et que rien n'a
réellement changé.
4- Tu déplace ton archi Exchange, je penses que Thierry te demandera plus
de détails, du type vers le 2e DC ou vers un autre serveur membre erc...
5- Une fois que tout est stabilisé, tu peux ensuite rétrograder
tranquilement ton DC1 (dcpromo donc) afin qu'il ne soit plus vu comme DC de
ton domaine.
Je sais que tu préfèrerais débrancher son cable ou l'éteindre ou le rallumer
si problème, mais les clients tenterons forcément de contacter celui-ci.. La
rétrogradation néttoiera le serveur mais aussi les méta données de l'AD de
l'autre. Bien entendu, assure toi que DC1 n'est plus vu comme contrôleur
dans dsa.msc, et qu'il n'apparaît pas dans dssite.msc. Je te rassure, il n'y
a aucune raison que qu'un problème survienne. Par contre - je l'ai rencontré
hier-, assure toi bien que qu'aucune application tierce pseudo compatible
LDAP ne "binde" en direct sur le nom ou l'IP de ton ancien DC1.

Bien cordialement,
--
Jonathan BISMUTH
Bis IT
MVP Windows Server - Directory Services
http://www.bis-it.fr
http://blog.portail-mcse.net

"Marc Lognoul [MVP]"
Bonjour,

Voici la procédure à suivre pour la partie PKI:
http://support.microsoft.com/kb/298138/fr

Pour les autres questions, Jonathan, Thierry et Emmanuel ne devraient pas
tarder à passer par ici ;)

---
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/

"llopht" news:
Bonjour,

Y a vraiment peu de messages sur le forum mais si qqun pouvait me
répondre aux deux petites questions avant ce soir je serais vraiment
rassuré...

Je dois faire une migration d'un PDC 2003 vers un nouveau serveur. J'ai
fait un DCPromo pour rendre le nouveau serveur primaire et lui attribuer
les 5 rôles FSMO via NTDSUtil. J'ai cependant deux choses qui me tracasse
:

- Le serveur actuel à une infrastructure PKI. Comment est-ce que je fais
pour la migrer... Si j'ajoute une autorité seconde d'entreprise est-ce
que j'aurai ensuite la possibilité de la rendre principale ? (ou le sera
t'elle automatiquement...)

- Si jamais ça ce passe mal, est-ce que j'ai la possibilité de remettre
l'ancien serveur en PDC sans faire de migration via NTSDUtil (genre je
coupe le nouveau serveur histoire de revenir à la situation précédente)
ou est-ce que je suis obligé de restaurer l'ancien AD sur l'ancien
serveur ?

En fait dans le cas de la seconde question, c'est que je dois aussi
déplacer l'archi Exchange et qu'en cas de problème avec la réinstallation
de celui-ci je préfèrerai revenir à la situation précédente...

Merci pour vos conseils.

llopht.





llopht
Le #19770061
> Bonjour Llopht, salut Marc,



Bonjour et merci pour vos éclaircissement

Séparons ta demande en quelques étapes, histoire de. Note qu'étant sur un
environnement 2003, il n'y a pas réellement de DC primaire ou non, tu aurais
même pu transférer graphiquement les 5 rôles FSMO :

1- tu utilise la KB de Marc, afin de déplacer ta PKI, et t'assure tout est
bien remonté.



Ok

2- tu passe ton nouveau DC en Catalogue Global ( Il me semble, mais Thierry
et Manu devraient confirmer que ton infra Exchange n'aimera pas non plus
trouver de GC sur ton domaine)



Ca c'est déjà fait. Mais je comprends pas ta remarque par rapport à
Exchange (2007 au passage).

3- En admettant que ton 1er DC est aussi DNS intégré à AD, les zones sont
transférées sur le 2e, tu dois donc rediriger tes clients (postes + serveurs
etc...) sur le deuxième DNS, y compris le deuxième DC, l'Exchange etc...
Note que pour le moment, ton 1er DC est toujours actif et que rien n'a
réellement changé.



La j'ai pas trop de problème à ce point puisque le serveur fonctionne
uniquement en rpc over http. DHCP n'est donc même pas utilisé...

4- Tu déplace ton archi Exchange, je penses que Thierry te demandera plus
de détails, du type vers le 2e DC ou vers un autre serveur membre erc..



C'est ce point là qui m'inquiète le plus... surtout au niveau de la PKI
et la conf même d'exchange. Je suppose que pour la PKI il me suffit
simplement de mettre le certificat créé pour le serveur exchange dans le
magasin correspondant (sur le précédent serveur pour une question de
coût le DC et l'exchange ne faisait qu'un) et de le réimporter dans
celui-ci via la commande powershell prévu à cet effet ?

Mais est-ce que la PKI du coup à toujours un réel intérêt pour le moment
(jusqu'à expiration du certificat) ?

Pour la configuration d'Exchange j'ai l'impression qu'il faut tout
refaire à la main bon il y a pas énormément de choses.. les comptes sont
dans AD.

5- Une fois que tout est stabilisé, tu peux ensuite rétrograder
tranquilement ton DC1 (dcpromo donc) afin qu'il ne soit plus vu comme DC de
ton domaine.
Je sais que tu préfèrerais débrancher son cable ou l'éteindre ou le rallumer
si problème, mais les clients tenterons forcément de contacter celui-ci.. La
rétrogradation néttoiera le serveur mais aussi les méta données de l'AD de
l'autre. Bien entendu, assure toi que DC1 n'est plus vu comme contrôleur
dans dsa.msc, et qu'il n'apparaît pas dans dssite.msc. Je te rassure, il n'y
a aucune raison que qu'un problème survienne. Par contre - je l'ai rencontré
hier-, assure toi bien que qu'aucune application tierce pseudo compatible
LDAP ne "binde" en direct sur le nom ou l'IP de ton ancien DC1.



Ok maintenant coupé ne m'embête pas... puise que l'opération se fait de
nuit... sans les usager et que encore une fois on est dans rpc over http.

Bien cordialement,



Merci
Thierry DEMAN [MVP]
Le #19789671
Bonsoir,

le point important à prendre en compte et que l'on ne peut pas dépromouvoir
(ou promouvoir) un serveur sur lequel Exchange 2007 est installé.

A+
--
Thierry DEMAN-BARCELÒ
http://www.faqexchange.info
Exchange MVP, MCITP Windows 2008, Exchange 2007, SQL 2008 (60 MCPs)
"llopht" news:
Bonjour Llopht, salut Marc,



Bonjour et merci pour vos éclaircissement

Séparons ta demande en quelques étapes, histoire de. Note qu'étant sur un
environnement 2003, il n'y a pas réellement de DC primaire ou non, tu
aurais même pu transférer graphiquement les 5 rôles FSMO :

1- tu utilise la KB de Marc, afin de déplacer ta PKI, et t'assure tout
est bien remonté.



Ok

2- tu passe ton nouveau DC en Catalogue Global ( Il me semble, mais
Thierry et Manu devraient confirmer que ton infra Exchange n'aimera pas
non plus trouver de GC sur ton domaine)



Ca c'est déjà fait. Mais je comprends pas ta remarque par rapport à
Exchange (2007 au passage).

3- En admettant que ton 1er DC est aussi DNS intégré à AD, les zones sont
transférées sur le 2e, tu dois donc rediriger tes clients (postes +
serveurs etc...) sur le deuxième DNS, y compris le deuxième DC,
l'Exchange etc...
Note que pour le moment, ton 1er DC est toujours actif et que rien n'a
réellement changé.



La j'ai pas trop de problème à ce point puisque le serveur fonctionne
uniquement en rpc over http. DHCP n'est donc même pas utilisé...

4- Tu déplace ton archi Exchange, je penses que Thierry te demandera
plus de détails, du type vers le 2e DC ou vers un autre serveur membre
erc..



C'est ce point là qui m'inquiète le plus... surtout au niveau de la PKI et
la conf même d'exchange. Je suppose que pour la PKI il me suffit
simplement de mettre le certificat créé pour le serveur exchange dans le
magasin correspondant (sur le précédent serveur pour une question de coût
le DC et l'exchange ne faisait qu'un) et de le réimporter dans celui-ci
via la commande powershell prévu à cet effet ?

Mais est-ce que la PKI du coup à toujours un réel intérêt pour le moment
(jusqu'à expiration du certificat) ?

Pour la configuration d'Exchange j'ai l'impression qu'il faut tout refaire
à la main bon il y a pas énormément de choses.. les comptes sont dans AD.

5- Une fois que tout est stabilisé, tu peux ensuite rétrograder
tranquilement ton DC1 (dcpromo donc) afin qu'il ne soit plus vu comme DC
de ton domaine.
Je sais que tu préfèrerais débrancher son cable ou l'éteindre ou le
rallumer si problème, mais les clients tenterons forcément de contacter
celui-ci.. La rétrogradation néttoiera le serveur mais aussi les méta
données de l'AD de l'autre. Bien entendu, assure toi que DC1 n'est plus
vu comme contrôleur dans dsa.msc, et qu'il n'apparaît pas dans
dssite.msc. Je te rassure, il n'y a aucune raison que qu'un problème
survienne. Par contre - je l'ai rencontré hier-, assure toi bien que
qu'aucune application tierce pseudo compatible LDAP ne "binde" en direct
sur le nom ou l'IP de ton ancien DC1.



Ok maintenant coupé ne m'embête pas... puise que l'opération se fait de
nuit... sans les usager et que encore une fois on est dans rpc over http.

Bien cordialement,



Merci


Publicité
Poster une réponse
Anonyme