Migration d’un contrôleur de domaine

Migration d’un contrôleur de domaine

26 août 2025 0 Par Rached Chader

Bienvenue sur Chader.fr !

Thank you for reading this post, don't forget to subscribe!

Dans ce guide pas à pas, nous allons voir comment migrer un contrôleur de domaine Active Directory en toute sécurité, avec transfert des rôles FSMO, configuration via PowerShell et rétrogradation de l’ancien DC.

Contenus masquer
1 Ce qu’on prépare avant
2 Préparer le nouveau serveur (NEWDC.chader.fr)
2.1 Renommer le serveur
2.2 IP fixe et DNS primaire (avant promotion)
2.3 Joindre le domaine
2.4 Installer le rôle AD DS
2.5 DNS après promotion (à faire juste après)
2.6 Contrôles rapides
3 Promotion du nouveau DC (réplique + DNS + GC)
3.1 Lancer l’assistant de promotion (GUI)
3.2 Équivalent PowerShell (optionnel)
4 Transférer les FSMO vers NEWDC
4.1 En GUI (méthode “propre”, pas de seize)
4.2 En PowerShell (rapide)
5 SYSVOL : FRS → DFSR (si nécessaire)
6 Décommissionner l’ancien DC (OLDDC)
6.1 En GUI (recommandé)
6.2 En PowerShell (équivalent)
7 Validation finale & pièges classiques
8 Flux réseau indispensables

Ce qu’on prépare avant

  • Sauvegarde état du système de l’ancien DC (et du DNS s’il est dessus).
  • Si VM : snapshot (je l’efface une fois la migration validée).
  • J’ouvre les flux réseau de base entre le nouveau DC et le parc (table plus bas).
  • Je m’assure que DNS fonctionne bien et que l’heure AD est cohérente.

Contrôle santé (à lancer sur un DC existant) :

Capture 01 — repadmin propre : ‘Fails = 0’ sur toutes les lignes.

Préparer le nouveau serveur (NEWDC.chader.fr)

Renommer le serveur

  • Ouvrir Server Manager : Démarrer → Server Manager.

  • Local Server : dans le panneau de gauche, clique Local Server.

  • Nom du PC : dans Properties, clique sur Computer Name (valeur actuelle).

  • System Properties : la fenêtre System Properties s’ouvre.

  • Changer : onglet Computer Name → bouton Change….

  • Nouveau nom : saisis le nom souhaité (ex. NEWDC) dans Computer name.

  • Valider : OK (si on te demande le Primary DNS suffix, renseigne ex. chader.fr).

  • Redémarrer : accepte le redémarrage pour appliquer le changement.

IP fixe et DNS primaire (avant promotion)

  • Carte réseau : Panneau de configuration → Network and Sharing CenterChange adapter settings.

  • Clic droit sur l’interface → PropertiesInternet Protocol Version 4 (TCP/IPv4)Properties.

  • Adresse IP :

    • IP : 10.0.0.50 (exemple)

    • Mask : 255.255.255.0

    • Gateway : 10.0.0.1

  • DNS (très important AVANT promotion) :

    • Preferred DNS = IP d’un DC existant (ex. 10.0.0.10)

    • Alternate DNS = un autre DC si dispo (ex. 10.0.0.11)

  • Avancé… → Onglet DNS : laisse “Register this connection’s addresses in DNS” coché.

  • Ne mets pas de DNS publics (ex. 8.8.8.8) et pas 127.0.0.1 à ce stade.

  • Garde IPv6 activé (recommandé pour AD).

Joindre le domaine

  • Server ManagerLocal Server → clique WorkgroupChange….

  • Domain : saisis ex. chader.frOK.

  • Entre des identifiants d’admin domaine quand demandé.

  • Redémarre quand on te le propose.

Installer le rôle AD DS

  • Server ManagerManageAdd Roles and Features.

  • Role-based or feature-based installationNext.

  • Select server : laisse le serveur local → Next.

  • Server Roles : coche Active Directory Domain ServicesAdd Features si demandé → NextInstall.

  • À la fin, ouvre la notification en haut à droite : tu dois voir “Promote this server to a domain controller” (on l’utilisera pour la promo).

    Laisse DNS Server se cocher automatiquement pendant la promotion : c’est l’assistant qui gère au bon moment.

DNS après promotion (à faire juste après)

  • Reviens dans IPv4 (TCP/IPv4) Properties de la carte réseau.

  • Preferred DNS = IP du NEWDC lui-même (son IP fixe, pas 127.0.0.1).

  • Alternate DNS = un autre DC (ex. 10.0.0.10).

Variante acceptable : préféré = autre DC, secondaire = NEWDC. L’essentiel : jamais de DNS publics pour un DC.

Contrôles rapides

  • Server Manager → Local Server :

    • Computer name = NEWDC

    • Domain = chader.fr

    • IPv4 = Static

    • Windows Update = à jour

    • Events = pas d’erreurs réseau/DNS récurrentes

  • Heure/NTP : vérifie l’horloge (écart < 5 min pour Kerberos).

  • Si VM : prends un snapshot maintenant (tu le supprimera après validation).

Promotion du nouveau DC (réplique + DNS + GC)

Lancer l’assistant de promotion (GUI)

Server Manager → (notification drapeau) → Promote this server to a domain controller → Deployment Configuration : Add a domain controller to an existing domain → Domain : chader.fr | Site : Default-First-Site-Name → Domain Controller Options : [x] DNS [x] Global Catalog (GC) [ ] RODC → Supply the DSRM password → Next → Next … → Install (le serveur redémarre)

Astuce
Sur Windows Server récents, adprep s’exécute automatiquement si les niveaux fonctionnels l’exigent. On garde un œil sur les messages de l’assistant.

Attention
Avant la promo, DNS préféré de NEWDC doit pointer sur un DC existant. On ne basculera le DNS préféré sur NEWDC lui-même qu’après la promotion.

Équivalent PowerShell (optionnel)


Post-redémarrage : contrôles immédiats

Validation

  • repadmin /replsummaryFails = 0

  • dcdiag → tests Passed (Advertising, SysVolCheck, DFSREvent…)

  • nslookup → les SRV pointent bien vers NEWDC.chader.fr

Transférer les FSMO vers NEWDC

En GUI (méthode “propre”, pas de seize)

  • RID / PDC / Infrastructure : Utilisateurs et ordinateurs AD → clic droit sur le domaine chader.frMaîtres d’opérations…Changer vers NEWDC.

  • Domain Naming : Domaines et approbations AD → clic droit Maître d’attribution de noms…Changer.

  • Schema : mmc → Ajouter Schéma Active Directory (au besoin regsvr32 schmmgmt.dll) → Maître de schémaChanger.

  • Transfert des role FSMO : article

En PowerShell (rapide)


Basculer NTP sur le PDC (NEWDC)

Validation

  • netdom query fsmo → les 5 rôles sur NEWDC

  • w32tm /query /statusSource = pool.ntp.org, Référent (reliable) = True

SYSVOL : FRS → DFSR (si nécessaire)

Si le domaine est encore en FRS, on migre après l’ajout de NEWDC :

Attention

On n’enchaîne pas les états : on attend “State achieved across all DCs” à chaque étape.

Décommissionner l’ancien DC (OLDDC)

En GUI (recommandé)

Server Manager → Manage → Remove Roles and Features → Démouvoir ce contrôleur de domaine → Transférer automatiquement tout rôle restant (si proposé) → Définir le mot de passe de l’Administrateur local → Suivant → Désinstaller → Redémarrer

En PowerShell (équivalent)


Nettoyage après redémotion

  • Sites et services AD : supprimer OLDDC (serveur + connexions NTDS).

  • DNS : purger enregistrements A/SRV obsolètes.

  • DC mort ? → NTDSUtil : purge des métadonnées.

Validation finale & pièges classiques


Pièges fréquents

  • Retirer le dernier GC d’un site

  • DNS démonté trop tôt (SRV non répliqués)

  • DFSR non convergé (rester en State 2)

  • NTP oublié (skew > 5 min = Kerberos KO)

  • RPC dynamiques bloqués (49152–65535/TCP) entre DC

  • Fichiers hosts ou configuration LDAP référençant en dur l’ancien DC (Merci François-Xavier Perez pour le rappel )

Flux réseau indispensables

ContexteServicePorts/ProtoSensRôle
NEWDC ↔ OLDDCLDAP389 TCP/UDPNEWDC → OLDDCRéplication / binds
LDAPS636 TCPNEWDC → OLDDCLDAP chiffré (si déployé)
GC3268 / 3269 TCPNEWDC → OLDDCCatalogue global
Kerberos88 TCP/UDPAuthent inter-DC
DNS53 TCP/UDPSRV + résolution noms
RPC135 TCPNEWDC → OLDDCEndpoint Mapper
RPC dyn49152–65535 TCPNEWDC → OLDDCRéplication AD via RPC
SMB445 TCPNETLOGON / SYSVOL
DFSR5722 TCPRéplication SYSVOL (DFSR)
NEWDC ↔ source NTPNTP123 UDPNEWDC → Internet/DCHoraire PDC
Clients/Serveurs → NEWDCDNS/Kerb53 / 88→ NEWDCRésolution + Auth
LDAP/LDAPS389 / 636 TCP→ NEWDCAnnuaire (bind applis/GPO)
SMB445 TCP→ NEWDCScripts/GPO (SYSVOL)
NTP123 UDP→ NEWDC (si direct)Heure

Views: 41

Catégorie- Active Directory - Serveurs Windows - Windows 2012 - Windows 2019 -Windows 2016 Administration système
Mots-clés-Active Directory -FRS -Serveurs windows Administration système

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *