Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows Serveur Active Directory Recréer un domaine suite à coupure VPN entre Site

Recréer un domaine suite à coupure VPN entre Site

9 réponses
Avatar
Yves
Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose trop de
problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur tous les
postes pour les reconnecter au nouveau domaine ou existe-t-il une technique
pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+
Signaler un problème avec ce contenu

9 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Y.E.
bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+




Avatar
David Arambois
Si j’ai bien compris, le client va se séparer du reste de l’organisation et
va se retrouver avec un certain nombre de postes et un contrôleur de domaine
/ catalogue global ?

Il s’agit donc d’une ré-organisation de fond de la structure de l’entreprise
plus qu’une simple coupure de VPN ?

Je crois que l’idéal serait de créer un nouveau domaine avec un serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les machines
en question du domaine en place vers le nouveau domaine. Il y a un outil pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins d’une
semaine.

La solution que vous envisagez suppose que les deux entités se communiquent
jamais plus. En effet, deux domaines en relation l’un avec l’autre (dans une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d’autre, les CD qui
ne font plus partie des organisations respectives. En revanche, il suffira de
le faire une fois pour l’organisation à plusieurs sites : la réplication
entre sites s’occupera de la mise à jour des données Active Directory entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+









Avatar
Yves
Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL et
installer un CD temporaire avec le nouveau domaine AD, créer une relation
d'aprobation entre les deux domaines ce qui me laisserait le temps de passer
tranquillement les postes XP sur le nouveau domaine.Une fois les postes
migrés, je désinstalle AD sur l'ancien serveur, le joint au nouveau domaine,
transfert les roles FSMO et catalogue global et supprime le serveur
temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas besoin de
passer sur tous les postes pour les joindre au nouveau domaine ?
Merci

"David Arambois" a écrit dans le
message de news:
Si j'ai bien compris, le client va se séparer du reste de l'organisation
et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un outil
pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre (dans
une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les CD
qui
ne font plus partie des organisations respectives. En revanche, il suffira
de
le faire une fois pour l'organisation à plusieurs sites : la réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais sans
les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose
trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur
tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+











Avatar
Jonathan BISMUTH
Bonjour Yves,

pour ma part, je préfère aussi faire une séparation propre en migrant les
ressources de ton "client" vers son propre domaine, afin de ne pas avoir de
soucis plus tard et repartir sur des bases propres.

Tu trouvera pas mal de docs sur ADMT à peu prêt partout, dont un guide de
migration sur mon blog
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).
Il est basé sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y
trouvera d'ailleurs surtout pas mal d'outils pour justement éviter de passer
sur les postes pour la phase de prérequis à la migration.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Yves" a écrit dans le message de news:

Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL et
installer un CD temporaire avec le nouveau domaine AD, créer une relation
d'aprobation entre les deux domaines ce qui me laisserait le temps de
passer tranquillement les postes XP sur le nouveau domaine.Une fois les
postes migrés, je désinstalle AD sur l'ancien serveur, le joint au nouveau
domaine, transfert les roles FSMO et catalogue global et supprime le
serveur temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas besoin
de passer sur tous les postes pour les joindre au nouveau domaine ?
Merci

"David Arambois" a écrit dans le
message de news:
Si j'ai bien compris, le client va se séparer du reste de l'organisation
et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de
l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un outil
pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre (dans
une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les
mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les CD
qui
ne font plus partie des organisations respectives. En revanche, il
suffira de
le faire une fois pour l'organisation à plusieurs sites : la réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une
fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles
FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être
coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais sans
les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose
trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur
tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+















Avatar
Y.E.
propre, propre...

la migration via admt va rajouter des entrées dans l'AD comme le SID
history.

si tu veux vraiment du propre faut tout refaire...


"Jonathan BISMUTH" a écrit dans le message de news:

Bonjour Yves,

pour ma part, je préfère aussi faire une séparation propre en migrant les
ressources de ton "client" vers son propre domaine, afin de ne pas avoir
de soucis plus tard et repartir sur des bases propres.

Tu trouvera pas mal de docs sur ADMT à peu prêt partout, dont un guide de
migration sur mon blog
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).
Il est basé sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y
trouvera d'ailleurs surtout pas mal d'outils pour justement éviter de
passer sur les postes pour la phase de prérequis à la migration.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Yves" a écrit dans le message de news:

Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL et
installer un CD temporaire avec le nouveau domaine AD, créer une relation
d'aprobation entre les deux domaines ce qui me laisserait le temps de
passer tranquillement les postes XP sur le nouveau domaine.Une fois les
postes migrés, je désinstalle AD sur l'ancien serveur, le joint au
nouveau domaine, transfert les roles FSMO et catalogue global et supprime
le serveur temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas besoin
de passer sur tous les postes pour les joindre au nouveau domaine ?
Merci

"David Arambois" a écrit dans
le message de news:
Si j'ai bien compris, le client va se séparer du reste de l'organisation
et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de
l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un outil
pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins
d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre
(dans une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les
mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les CD
qui
ne font plus partie des organisations respectives. En revanche, il
suffira de
le faire une fois pour l'organisation à plusieurs sites : la réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une
fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles
FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être
coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais
sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose
trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur
tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+



















Avatar
Jonathan BISMUTH
Bonjour,

Je maintiens le propre et te rappelle au cas où que le SidHistory est dans
tous les cas temporaire.

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Y.E." a écrit dans le message de news:
%
propre, propre...

la migration via admt va rajouter des entrées dans l'AD comme le SID
history.

si tu veux vraiment du propre faut tout refaire...


"Jonathan BISMUTH" a écrit dans le message de news:

Bonjour Yves,

pour ma part, je préfère aussi faire une séparation propre en migrant les
ressources de ton "client" vers son propre domaine, afin de ne pas avoir
de soucis plus tard et repartir sur des bases propres.

Tu trouvera pas mal de docs sur ADMT à peu prêt partout, dont un guide de
migration sur mon blog
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).
Il est basé sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y
trouvera d'ailleurs surtout pas mal d'outils pour justement éviter de
passer sur les postes pour la phase de prérequis à la migration.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Yves" a écrit dans le message de news:

Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL
et installer un CD temporaire avec le nouveau domaine AD, créer une
relation d'aprobation entre les deux domaines ce qui me laisserait le
temps de passer tranquillement les postes XP sur le nouveau domaine.Une
fois les postes migrés, je désinstalle AD sur l'ancien serveur, le joint
au nouveau domaine, transfert les roles FSMO et catalogue global et
supprime le serveur temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas
besoin de passer sur tous les postes pour les joindre au nouveau domaine
?
Merci

"David Arambois" a écrit dans
le message de news:

Si j'ai bien compris, le client va se séparer du reste de
l'organisation et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de
l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un
outil pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins
d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre
(dans une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les
mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les
CD qui
ne font plus partie des organisations respectives. En revanche, il
suffira de
le faire une fois pour l'organisation à plusieurs sites : la
réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une
fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles
FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être
coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais
sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose
trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur
tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il
une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+























Avatar
Lognoul, Marc \(Private\)
Les deux méthodes, ADMT ou reconstruction totale à partir de rien, sont
"propres". Mais elles offrent chacune des avantages/désavantages. Je pense
que ce serait plutôt au business de décider, en fonction de ces
avantages/désavantages et du cout total.

Note: il n'y pas d'obligation d'utilisation du SID History, c'est juste une
aide, parfois précieuse.
Note 2: Jonathan, je pense l'avoir déjà dis il y a qq semaines, mais le post
de ton blog décrivant le procédure est très bien fait avec une bonne
structure.

Marc

"Jonathan BISMUTH" wrote in message
news:
Bonjour,

Je maintiens le propre et te rappelle au cas où que le SidHistory est dans
tous les cas temporaire.

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Y.E." a écrit dans le message de news:
%
propre, propre...

la migration via admt va rajouter des entrées dans l'AD comme le SID
history.

si tu veux vraiment du propre faut tout refaire...


"Jonathan BISMUTH" a écrit dans le message de news:

Bonjour Yves,

pour ma part, je préfère aussi faire une séparation propre en migrant
les ressources de ton "client" vers son propre domaine, afin de ne pas
avoir de soucis plus tard et repartir sur des bases propres.

Tu trouvera pas mal de docs sur ADMT à peu prêt partout, dont un guide
de migration sur mon blog
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).
Il est basé sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y
trouvera d'ailleurs surtout pas mal d'outils pour justement éviter de
passer sur les postes pour la phase de prérequis à la migration.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Yves" a écrit dans le message de news:

Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL
et installer un CD temporaire avec le nouveau domaine AD, créer une
relation d'aprobation entre les deux domaines ce qui me laisserait le
temps de passer tranquillement les postes XP sur le nouveau domaine.Une
fois les postes migrés, je désinstalle AD sur l'ancien serveur, le
joint au nouveau domaine, transfert les roles FSMO et catalogue global
et supprime le serveur temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas
besoin de passer sur tous les postes pour les joindre au nouveau
domaine ?
Merci

"David Arambois" a écrit dans
le message de news:

Si j'ai bien compris, le client va se séparer du reste de
l'organisation et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de
l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un
serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un
outil pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins
d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre
(dans une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les
mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les
CD qui
ne font plus partie des organisations respectives. En revanche, il
suffira de
le faire une fois pour l'organisation à plusieurs sites : la
réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une
fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles
FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant
plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être
coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais
sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne pose
trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser sur
tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il
une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+



























Avatar
Jonathan BISMUTH
Bonjour Marc,

je te rejoins entièrement sur ce fait, il est probable que le business serve
d'arbitre quand au choix restructuration ou reconstruction.
Merci pour cette remarque.


PS : merci pour les encouragements. Il est vrai que la structure de ce post
a pris un certain temps...
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Lognoul, Marc (Private)" a écrit dans le message de
news:
Les deux méthodes, ADMT ou reconstruction totale à partir de rien, sont
"propres". Mais elles offrent chacune des avantages/désavantages. Je pense
que ce serait plutôt au business de décider, en fonction de ces
avantages/désavantages et du cout total.

Note: il n'y pas d'obligation d'utilisation du SID History, c'est juste
une aide, parfois précieuse.
Note 2: Jonathan, je pense l'avoir déjà dis il y a qq semaines, mais le
post de ton blog décrivant le procédure est très bien fait avec une bonne
structure.

Marc

"Jonathan BISMUTH" wrote in message
news:
Bonjour,

Je maintiens le propre et te rappelle au cas où que le SidHistory est
dans tous les cas temporaire.

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Y.E." a écrit dans le message de news:
%
propre, propre...

la migration via admt va rajouter des entrées dans l'AD comme le SID
history.

si tu veux vraiment du propre faut tout refaire...


"Jonathan BISMUTH" a écrit dans le message de news:

Bonjour Yves,

pour ma part, je préfère aussi faire une séparation propre en migrant
les ressources de ton "client" vers son propre domaine, afin de ne pas
avoir de soucis plus tard et repartir sur des bases propres.

Tu trouvera pas mal de docs sur ADMT à peu prêt partout, dont un guide
de migration sur mon blog
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).
Il est basé sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y
trouvera d'ailleurs surtout pas mal d'outils pour justement éviter de
passer sur les postes pour la phase de prérequis à la migration.

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Yves" a écrit dans le message de news:

Merci pour vos réponses.
Effectivement les deux sites ne communiqueront plus.
Je pense promouvoir le CD actuel qui est catalogue global via NTDSUTIL
et installer un CD temporaire avec le nouveau domaine AD, créer une
relation d'aprobation entre les deux domaines ce qui me laisserait le
temps de passer tranquillement les postes XP sur le nouveau
domaine.Une fois les postes migrés, je désinstalle AD sur l'ancien
serveur, le joint au nouveau domaine, transfert les roles FSMO et
catalogue global et supprime le serveur temporaire.
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas
besoin de passer sur tous les postes pour les joindre au nouveau
domaine ?
Merci

"David Arambois" a écrit
dans le message de news:

Si j'ai bien compris, le client va se séparer du reste de
l'organisation et
va se retrouver avec un certain nombre de postes et un contrôleur de
domaine
/ catalogue global ?

Il s'agit donc d'une ré-organisation de fond de la structure de
l'entreprise
plus qu'une simple coupure de VPN ?

Je crois que l'idéal serait de créer un nouveau domaine avec un
serveur
capable de jouer le rôle de contrôleur de domaine et de migrer les
machines
en question du domaine en place vers le nouveau domaine. Il y a un
outil pour
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous
connaissiez assez bien cet outil pour réussir la migration en moins
d'une
semaine.

La solution que vous envisagez suppose que les deux entités se
communiquent
jamais plus. En effet, deux domaines en relation l'un avec l'autre
(dans une
même forêt, par exemple) ne peuvent pas posséder le même nom (ni les
mêmes
SID).

Comme il a été déjà dit, il faudra supprimer, de part et d'autre, les
CD qui
ne font plus partie des organisations respectives. En revanche, il
suffira de
le faire une fois pour l'organisation à plusieurs sites : la
réplication
entre sites s'occupera de la mise à jour des données Active Directory
entre
sites.



bonjour

si tes deux sites n'auront jamais a se reconnecter, il te suffit une
fois
avoir coupé la liaison de promouvoir ton serveur avec tous les roles
FSMO
Il faudra aussi supprimer sur chaque site les serveurs n'existant
plus

pour se faire utilise les commandes de NTDSUTIL

size pour forcer les roles vu que les autres serveurs ne seront plus
joignables

de ce fait tu auras deux domaines identiques (SID) mais avec des
controleurs
différents et des postes différents.

Par contre il ne pourront plus etre raccordés (ou pas simplement)

a+




"Yves" a écrit dans le message de news:

Bonjour.
J'ai un nouveau client qui va quitter le groupe auquel il était
rattaché.
Il y avait un seul domaine sur plusieurs sites. Le tunnel va être
coupé
d'ici une semaine.
Et le client se retrouve avec un serveur AD catalogue global mais
sans les
roles FSMO et 80 postes connectés au domaine.
Le fait que le lien au serveur dit "principal" soit coupé, va-t-il
poser
problème à l'ouverture de session des postes ?
Peuvent-il continuer à fonctionner comme cela sans que cela ne
pose trop
de problème ? (le temps de recréer un domaine AD)
Lors de la création du nouveau domaine, il faudra donc repasser
sur tous
les postes pour les reconnecter au nouveau domaine ou existe-t-il
une
technique pour éviter cela ? (je sais, je rêve).
Merci pour vos réflexions et autres pistes qui peuvent m'aider.
A+





























Avatar
Yves
Merci pour toutes vos r&eacute;ponses<br />
<br />
<br />
&quot;Jonathan BISMUTH&quot; &lt;&gt; a &eacute;crit dans le message de news:<br />
<br />
<blockquote class="block0"><br />
Bonjour Marc,<br />
<br />
je te rejoins enti&egrave;rement sur ce fait, il est probable que le business<br />
serve d'arbitre quand au choix restructuration ou reconstruction.<br />
Merci pour cette remarque.<br />
<br />
<br />
PS : merci pour les encouragements. Il est vrai que la structure de ce<br />
post a pris un certain temps...<br />
--<br />
Jonathan BISMUTH<br />
MVP Windows Server - Directory Services<br />
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)<br />
http://blog.portail-mcse.net<br />
--<br />
&quot;Lognoul, Marc (Private)&quot; &lt;&gt; a &eacute;crit dans le message<br />
de news: <br />
<blockquote class="block1"><br />
Les deux m&eacute;thodes, ADMT ou reconstruction totale &agrave; partir de rien, sont<br />
&quot;propres&quot;. Mais elles offrent chacune des avantages/d&eacute;savantages. Je<br />
pense que ce serait plut&ocirc;t au business de d&eacute;cider, en fonction de ces<br />
avantages/d&eacute;savantages et du cout total.<br />
<br />
Note: il n'y pas d'obligation d'utilisation du SID History, c'est juste<br />
une aide, parfois pr&eacute;cieuse.<br />
Note 2: Jonathan, je pense l'avoir d&eacute;j&agrave; dis il y a qq semaines, mais le<br />
post de ton blog d&eacute;crivant le proc&eacute;dure est tr&egrave;s bien fait avec une bonne<br />
structure.<br />
<br />
Marc<br />
<br />
&quot;Jonathan BISMUTH&quot; &lt;&gt; wrote in message<br />
news:<br />
<blockquote class="block0"><br />
Bonjour,<br />
<br />
Je maintiens le propre et te rappelle au cas o&ugrave; que le SidHistory est<br />
dans tous les cas temporaire.<br />
<br />
--<br />
Jonathan BISMUTH<br />
MVP Windows Server - Directory Services<br />
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)<br />
http://blog.portail-mcse.net<br />
--<br />
&quot;Y.E.&quot; &lt;&gt; a &eacute;crit dans le message de news:<br />
%<br />
<blockquote class="block1"><br />
propre, propre...<br />
<br />
la migration via admt va rajouter des entr&eacute;es dans l'AD comme le SID<br />
history.<br />
<br />
si tu veux vraiment du propre faut tout refaire...<br />
<br />
<br />
&quot;Jonathan BISMUTH&quot; &lt;&gt; a &eacute;crit dans le message de news:<br />
<br />
<blockquote class="block0"><br />
Bonjour Yves,<br />
<br />
pour ma part, je pr&eacute;f&egrave;re aussi faire une s&eacute;paration propre en migrant<br />
les ressources de ton &quot;client&quot; vers son propre domaine, afin de ne pas<br />
avoir de soucis plus tard et repartir sur des bases propres.<br />
<br />
Tu trouvera pas mal de docs sur ADMT &agrave; peu pr&ecirc;t partout, dont un guide<br />
de migration sur mon blog<br />
(http://blog.portail-mcse.net/post/2008/02/27/guide-de-migration-de-NT-40-vers-2003).<br />
Il est bas&eacute; sur ADMT v2 mais ne change quasiment pas pour la v3. Tu y<br />
trouvera d'ailleurs surtout pas mal d'outils pour justement &eacute;viter de<br />
passer sur les postes pour la phase de pr&eacute;requis &agrave; la migration.<br />
<br />
Cordialement,<br />
--<br />
Jonathan BISMUTH<br />
MVP Windows Server - Directory Services<br />
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)<br />
http://blog.portail-mcse.net<br />
--<br />
&quot;Yves&quot; &lt;&gt; a &eacute;crit dans le message de news:<br />
<br />
<blockquote class="block1"><br />
Merci pour vos r&eacute;ponses.<br />
Effectivement les deux sites ne communiqueront plus.<br />
Je pense promouvoir le CD actuel qui est catalogue global via<br />
NTDSUTIL et installer un CD temporaire avec le nouveau domaine AD,<br />
cr&eacute;er une relation d'aprobation entre les deux domaines ce qui me<br />
laisserait le temps de passer tranquillement les postes XP sur le<br />
nouveau domaine.Une fois les postes migr&eacute;s, je d&eacute;sinstalle AD sur<br />
l'ancien serveur, le joint au nouveau domaine, transfert les roles<br />
FSMO et catalogue global et supprime le serveur temporaire.<br />
Je ne connais pas trop ADMT. Si je l'utilise, je n'aurais donc pas<br />
besoin de passer sur tous les postes pour les joindre au nouveau<br />
domaine ?<br />
Merci<br />
<br />
&quot;David Arambois&quot; &lt;&gt; a &eacute;crit<br />
dans le message de news:<br />
<br />
<blockquote class="block0"><br />
Si j'ai bien compris, le client va se s&eacute;parer du reste de<br />
l'organisation et<br />
va se retrouver avec un certain nombre de postes et un contr&ocirc;leur de<br />
domaine<br />
/ catalogue global ?<br />
<br />
Il s'agit donc d'une r&eacute;-organisation de fond de la structure de<br />
l'entreprise<br />
plus qu'une simple coupure de VPN ?<br />
<br />
Je crois que l'id&eacute;al serait de cr&eacute;er un nouveau domaine avec un<br />
serveur<br />
capable de jouer le r&ocirc;le de contr&ocirc;leur de domaine et de migrer les<br />
machines<br />
en question du domaine en place vers le nouveau domaine. Il y a un<br />
outil pour<br />
cela : ADMT (Active Directory Migration Tool). Cela suppose que vous<br />
connaissiez assez bien cet outil pour r&eacute;ussir la migration en moins<br />
d'une<br />
semaine.<br />
<br />
La solution que vous envisagez suppose que les deux entit&eacute;s se<br />
communiquent<br />
jamais plus. En effet, deux domaines en relation l'un avec l'autre<br />
(dans une<br />
m&ecirc;me for&ecirc;t, par exemple) ne peuvent pas poss&eacute;der le m&ecirc;me nom (ni les<br />
m&ecirc;mes<br />
SID).<br />
<br />
Comme il a &eacute;t&eacute; d&eacute;j&agrave; dit, il faudra supprimer, de part et d'autre,<br />
les CD qui<br />
ne font plus partie des organisations respectives. En revanche, il<br />
suffira de<br />
le faire une fois pour l'organisation &agrave; plusieurs sites : la<br />
r&eacute;plication<br />
entre sites s'occupera de la mise &agrave; jour des donn&eacute;es Active<br />
Directory entre<br />
sites.<br />
<br />
<br />
<br />
<blockquote class="block1"><br />
bonjour<br />
<br />
si tes deux sites n'auront jamais a se reconnecter, il te suffit<br />
une fois<br />
avoir coup&eacute; la liaison de promouvoir ton serveur avec tous les<br />
roles FSMO<br />
Il faudra aussi supprimer sur chaque site les serveurs n'existant<br />
plus<br />
<br />
pour se faire utilise les commandes de NTDSUTIL<br />
<br />
size pour forcer les roles vu que les autres serveurs ne seront<br />
plus<br />
joignables<br />
<br />
de ce fait tu auras deux domaines identiques (SID) mais avec des<br />
controleurs<br />
diff&eacute;rents et des postes diff&eacute;rents.<br />
<br />
Par contre il ne pourront plus etre raccord&eacute;s (ou pas simplement)<br />
<br />
a+<br />
<br />
<br />
<br />
<br />
&quot;Yves&quot; &lt;&gt; a &eacute;crit dans le message de news:<br />
<br />
<blockquote class="block0"><br />
Bonjour.<br />
J'ai un nouveau client qui va quitter le groupe auquel il &eacute;tait<br />
rattach&eacute;.<br />
Il y avait un seul domaine sur plusieurs sites. Le tunnel va &ecirc;tre<br />
coup&eacute;<br />
d'ici une semaine.<br />
Et le client se retrouve avec un serveur AD catalogue global mais<br />
sans les<br />
roles FSMO et 80 postes connect&eacute;s au domaine.<br />
Le fait que le lien au serveur dit &quot;principal&quot; soit coup&eacute;,<br />
va-t-il poser<br />
probl&egrave;me &agrave; l'ouverture de session des postes ?<br />
Peuvent-il continuer &agrave; fonctionner comme cela sans que cela ne<br />
pose trop<br />
de probl&egrave;me ? (le temps de recr&eacute;er un domaine AD)<br />
Lors de la cr&eacute;ation du nouveau domaine, il faudra donc repasser<br />
sur tous<br />
les postes pour les reconnecter au nouveau domaine ou existe-t-il<br />
une<br />
technique pour &eacute;viter cela ? (je sais, je r&ecirc;ve).<br />
Merci pour vos r&eacute;flexions et autres pistes qui peuvent m'aider.<br />
A+<br />
<br />
<br />
<br />
</blockquote><br />
<br />
<br />
<br />
</blockquote><br />
</blockquote><br />
<br />
<br />
</blockquote><br />
<br />
<br />
</blockquote><br />
<br />
<br />
</blockquote><br />
<br />
<br />
</blockquote><br />
</blockquote><br />
<br />
<br />
</blockquote><br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />