mise à niveau fonctionnel AD 2003 - 2008R2

mise à niveau fonctionnel AD 2003 - 2008R2 - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 17-11-2014 à 14:40:41    

Bonjour à tous,
 
Avant de faire des bêtises, je viens consulter un peu par ici ! Mon domaine est actuellement en niveau fonctionnel 2003, étant donné qu'un de nos vieux serveur AD est en 2003 server. Ce serveur est presque totalement dépouillé, on a monté des 2008 sur les sites distants et au siège depuis quelques années, et viré petit à petit les anciens 2003, mais historiquement celui ci à trainé....c'était à une époque notre PDC, conservé "par sécurité", mais là, il m'encombre des ressources pour rien.
Les rôles FSMO ont bien été transférés au nouveau contrôleur lors de sa mise en place il y a lonnnngtemps  (netdom query fsmo me le confirme) il n'est plus DHCP depuis 1 an, ni serveur DNS (un redirecteur avait été mis en place vers le nouveau, au cas ou....mais là, on est certain que plus personne ne pointe dessus) En gros, il n'est plus qu'un catalogue global.
Le but est bien entendu de le dégager proprement, mais j'ai toujours une petite appréhension avant un dcpromo. Y a t'il d'autres choses à vérifier avant la suppression de l'AD de ce serveur ?  
 
La seconde question est plus sur le changement de niveau fonctionnel de l'AD (multi site, mais mono domaine, ça simplifie les choses). Certes, c'est quasiment qu'un clic droit de le passer de 2003 à 2008R2, mais quels sont les points à vérifier avant, et qu'est ce que ça peut risquer d'entrainer ? Est ce que ça vaut le coup de demander de l'aide externe, ou est ce une opération plutôt "soft" ? Je pense à des soucis d'authentification, ou un mic mac de l'AD, par exemple...on a encore une organisation basique des groupes de user, peu de GPO, quelques authentifications à distance (via VPN) mais globalement rien n'a évolué sur ce point depuis 2000....Un petit retour d'expérience de ceux qui ont déjà fait cette manip ?
 
Pour info, nos postes sont tous en win7 (environ 300 users), et mis à part quelques rares serveurs en 2000 - 2003 server (serveur applicatifs uniquement, pas de fonctions AD) tous nos serveurs sont en 2008R2 (une petite trentaine)
 
Merci !!

Reply

Marsh Posté le 17-11-2014 à 14:40:41   

Reply

Marsh Posté le 17-11-2014 à 15:37:52    

Pour le DCPromo inverse, vérifier la santé de ton AD, vérifier que les Best Practices sont respectées via l'outil intégré à 2008 R2. Vérifier que tous les autres DC sont déjà GC aussi. Le reste dépend de ton infra.
 
 
Changement de niveau fonctionnel, la conéquence est que tu ne peux plus monter de DC 2003 si besoin, ni les faire fonctionner avec les autres DC. A tester sur un lab, mais normalement c'est une opération indolore. Attention quand même aux 2000, à voir (mais ils ne vont peut-être pas aimer la sécurité renforcée des 2008 R2).
 
Ensuite n'oublie pas de monter le niveau de forêt et d'activer les fonctionnalités correspondantes, il y a des choses très intéressantes. Migrer aussi de FRS vers DFSR.
 
Edit : je pars du principe que les DC sont patchés complètement.


Message édité par nebulios le 17-11-2014 à 15:38:49
Reply

Marsh Posté le 17-11-2014 à 16:09:13    

Ouip, vais compléter un peu les vérifs avant avec les best practice de rôles. Pas de soucis avec les autres DC, ça avait été bien fait à l'époque, mais personne ne s'est senti le courage de dégager le dernier survivor. (et on avait encore à l'époque de vieux matériels comme faxs ou copieurs qui pointaient sur ce vieux serveur....plus le cas aujourd'hui)
C'est bien les 2000 server qui me font un peu peur sur la migration, je travaille à les faire disparaitre, je ne peux même plus mettre à jour les vmtools dessus (il m'en reste 1, mais il fait tourner l'appli de la pointeuse de l'entrepot qui n'est bien sur pas compatible au delà....j'ai déjà tout le projet pointeuse de ficelé, mais la RH traine un peu les pieds à valider ça, je pense que je vais volontairement planter ce serveur sous peu si ça continue !)
Je pense que nos linux ne devraient pas souffrir de soucis (sur les dernière versions de debian)
C'est certain que les fonctionnalités devraient nous faire gagner en perf sur les replic et autres, c'est un peu dommage de rester en 2003 si ce n'est plus une nécessité...

Reply

Marsh Posté le 17-11-2014 à 17:12:22    

Déjà tu peux éteindre le DC 2003 une semaie par exemple pour vérifier qu'il n'est plus utilisé

Reply

Marsh Posté le 18-11-2014 à 10:25:48    

mmmm tant qu'il est GC, je sens qu'il y aura un poil de latence sur certaines authentifications, non ?

Reply

Marsh Posté le 18-11-2014 à 10:45:06    

Il y a un autre GC sur le même site AD ?
Si oui ça changera rien.
Et si tu es en mono domaine, le GC il "sert à rien" vu que le DC a toutes les informations de la forêt

Reply

Marsh Posté le 18-11-2014 à 10:53:13    

Oui, j'ai 2 autres GC sur le site. La dernière fois qu'on l'a rebooté, on a eu quelques soucis avec des postes qui s'authentifiaient encore sur lui (3 minutes, le temps qu'ils comprennent qu'il était down et passent à un autre serveur)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed