|
Introduction
1) Installation d'un DC supplémentaire
2) Forcer la réplication
3) Définir un catalogue global
4) Transférer les rôles de maîtres d'opérations
5) Rétrograder l'ancien DC
6)
Modification
de l'identifiant réseau
7)
Reconfiguration
du serveur d'origine
8)
Cas d'un domaine composé de plusieurs DC
Introduction
Lorsque
Windows 2000 Server exécute les services Active Directory
(donc héberge un contrôleur de domaine) il n'est plus possible
de le renommer. En effet, si l'on essaye, on constate que le
bouton permettant ce changement est grisé.
On
pourrait pourtant rétrograder ce même serveur au rang de simple serveur
membre, ce qui permettrait de modifier l'identificateur réseau. Malheureusement, cette opération
ferait aussi perdre toutes les informations de configuration de l'Active
Directory.
Afin
de contourner ce problème il est nécessaire de suivre une procédure
que nous allons décrire ci-après. Le contexte de cette étude
est un domaine composé d'un unique contrôleur de domaine.
Dans le cas d'un domaine composé de plusieurs DC, voir en fin
d'article.
1) Installation d'un
DC supplémentaire
Tout
d'abord, il est indispensable d'installer un second Windows 2000
Server et de le promouvoir en tant que DC (Domain Controler)
supplémentaire du domaine (Attention: n'oubliez pas
d'indiquer l'adresse du DNS du DC actuel sur la machine que vous
allez promouvoir).
Lors
de la procédure de promotion, on peut observer la synchronisation des deux serveurs.
2) Forcer la réplication
Une
fois le nouveau DC créé, il faut forcer la réplication des
connexions Active Directory. Ceci va permettre de s'assurer
que tous les objets de l'Active Directory du premier DC
(labo1) ainsi que leurs paramètres soient bien synchronisés
avec notre nouveau DC (labo2).
Pour forcer la réplication,
ouvrez "Sites et services Active Directory" du
dossier "Outils d'administration" (ou tapez
"dssite.msc" dans "Démarrer/Exécuter..."),
puis allez dans :
Une
fois arrivé à ce niveau, cliquez avec le bouton droit
sur la connexion et faites "Répliquer maintenant".
3) Définir un nouveau
catalogue global
Afin
de permettre à notre nouveau DC de recevoir des mises à jour
régulières des objets d'AD (Active Directory) du domaine par
le biais de la réplication, il est nécessaire d'activer
l'option "Catalogue Global" dans les propriétés de
"NTDS Settings" du nouveau serveur. Un catalogue global stocke
l'intégralité des objets de l'annuaire de son domaine (il est
créé lors de l'installation du premier DC de la forêt).
4) Transférer les
rôles de maître d'opérations
Les rôles de maître d'opérations prennent en charge les requêtes
qui ne peuvent être traitées par plusieurs machines
simultanément. Ainsi, un certain nombre de fonctions liées à
Active Directory doivent être spécifiques à un serveur
unique.
On peut distinguer deux catégories de maîtres
d'opérations selon leur portée.
|
1. Liés à la foret:
- Contrôleur de schéma (schema master):
Il est le seul habilité à intervenir sur la
description du schéma global de la foret.
- Maître d'attribution de noms de domaine (domain
naming master):
Il contrôle l'ajout et la suppression des
domaines de la forêt.
|
2. Liés au domaine:
- Maître RID (RID master):
Il contrôle l'unicité des identifiants (ID) des
objets du domaine. Ces identifiants sont créés à
partir de l'ID du domaine et d'un ID unique à
l'objet.
- Émulateur PDC (PDC):
Permet d'assurer une rétro-compatibilité avec
les machines fonctionnant sous Windows NT 4. Il
émule sur le domaine le rôle de PDC et permet de
maintenir, pendant une phase de migration, le
fonctionnement de Contrôleur Secondaire de domaine
sous NT 4.
L'émulateur PDC permet aussi, sous un environnement
Windows 2000 natif, de maintenir de façon
prioritaire toutes les modifications liées aux mots
de passe. En effet, si un utilisateurs modifie
celui-ci, le changement n'est pas répercuté de façon
instantané su_r l'ensemble des DC. Donc si
l'authentification échoue, une requête sera
envoyée à l'émulateur PDC pour demander un éventuel
changement de mot de passe de l'utilisateur.
- Maître d'infrastructure (infrastructure master):
Il permet de maintenir l'intégrité des liens entre objets de
domaines différents.
|
Il faut donc transférer
les rôles de maître d'opérations au nouveau DC. Afin
d'effectuer cette opération il existe 2 possibilités.
a. Utilitaire en
ligne de commande
L'utilitaire permettant
le transfert est ntdsutil.exe (bien que ce soit
un utilitaire en ligne de commande, il ne semble
pas fonctionner via telnet).
La procédure à
suivre est la suivante:
- Cliquez sur le
menu "Démarrer", ensuite sur "Exécuter..."
(ou faite Win-R)
- Tapez "cmd"
- A l'invite de commande tapez "ntdsutil"
- Ensuite tapez "roles", puis
"connections".
- Il est maintenant nécessaire de vous connecter sur le
nouveau DC à l'aide de la commande "connect to server
labo2" (où labo2 est le nom du nouveau DC).
- Une fois la connection effectuée, tapez "quit"
et lancez toutes les fonctions de transfert une à une (attention
n'utilisez pas les fonctions de remplacement de type
"seize").
- Transfer
domain naming master
- Transfer
infrastructure master
- Transfer PDC
- Transfer RID master
- Transfer schema master
- Une fois les transferts effectués, tapez "quit"
et encore une fois "quit".
b. Utilitaires en mode
graphique
Afin de transférer les rôles de maître d'opérations,
il est nécessaire de passer par différents utilitaires,
suivant les rôles à transferer.
Utilisateurs et ordinateurs Active
Directory
Ouvrez "Utilisateurs et ordinateurs Active
Directory" du
dossier "Outils d'administration" (ou tapez
"dsa.msc" à l'invite de "Exécuter...").
Cliquez sur votre domaine avec le bouton droit et sélectionnez
"Maîtres d'opérations...".
Il suffit ensuite de
transférer les différents rôles:
Schéma
Active Directory
Ouvrez "Schéma
Active Directory" du
dossier "Outils d'administration" (ou tapez
"schmmgmt.msc" à l'invite de "Exécuter...").
Il peut être nécessaire,
pour utiliser ce
composant, d'installer les outils d'administration de Windows 2000 en tapant
"adminpak.msi".
Cliquez sur
"Active Directory Schema" avec le bouton droit et sélectionnez
"Maîtres d'opérations...".
Domaines
et approbations Active Directory
Ouvrez "Domaines
et approbations Active Directory" du
dossier "Outils d'administration" (ou tapez
"domain.msc" à l'invite de "Exécuter...").
Cliquez sur
"Domaines et approbations Active Directory" avec le bouton droit et sélectionnez
"Maître d'opérations...".
5) Rétrograder l'ancien
DC
Ensuite
il faut rétrograder le premier DC avec la commande "dcpromo"
(Ne pas
oublier de préciser que le serveur n'est pas le dernier DC du
domaine).
Une fois
l'opération effectuée, le serveur devient membre du
domaine. On remarque dans la fenêtre d'ouverture de session
qu'il est de nouveau possible d'ouvrir une session sur la base
de comptes locale de l'ordinateur, preuve que l'ordinateur n'a
plus le rôle de DC.
6) Modification de
l'identifiant réseau
On
procède alors à la modification de l'identifiant
réseau de la machine (Panneau de configuration / Système /
Identification réseau / Propriétés).
Une fois
la modification effectuée, il est nécessaire de redémarrer
le serveur.
7) Reconfiguration
du serveur d'origine
Enfin,
utilisez "dcpromo" pour promouvoir de
nouveau le serveur en DC. Il suffit ensuite de faire
l'opération inverse en reconfigurant tous les rôles de
maître d'opérations ainsi que le catalogue global sur le DC
renommé.
8)
Cas d'un domaine composé de plusieurs DC
Dans
ce cas précis il n'est évidemment pas nécessaire
d'installer un second serveur. La procédure reste la même
mais peut être réalisée à l'aide d'un DC existant.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Renommer un controleur de domaine Windows 2000
