Renommer un contrôleur de domaine Windows 2000


Introduction
1) Installation d'un DC supplémentaire
2) Forcer la réplication
3) Définir un catalogue global
4) Transférer les rôles de maîtres d'opérations
5) Rétrograder l'ancien DC
6) Modification de l'identifiant réseau
7) Reconfiguration du serveur d'origine
8) Cas d'un domaine composé de plusieurs DC

Introduction

Lorsque Windows 2000 Server exécute les services Active Directory (donc héberge un contrôleur de domaine) il n'est plus possible de le renommer. En effet, si l'on essaye, on constate que le bouton permettant ce changement est grisé.

On pourrait pourtant rétrograder ce même serveur au rang de simple serveur membre, ce qui permettrait de modifier l'identificateur réseau. Malheureusement, cette opération ferait aussi perdre toutes les informations de configuration de l'Active Directory.

Afin de contourner ce problème il est nécessaire de suivre une procédure que nous allons décrire ci-après. Le contexte de cette étude est un domaine composé d'un unique contrôleur de domaine. Dans le cas d'un domaine composé de plusieurs DC, voir en fin d'article.

1) Installation d'un DC supplémentaire

Tout d'abord, il est indispensable d'installer un second Windows 2000 Server et de le promouvoir en tant que DC (Domain Controler) supplémentaire du domaine (Attention: n'oubliez pas d'indiquer l'adresse du DNS du DC actuel sur la machine que vous allez promouvoir).

Lors de la procédure de promotion, on peut observer la synchronisation des deux serveurs.

2) Forcer la réplication

Une fois le nouveau DC créé, il faut forcer la réplication des connexions Active Directory. Ceci va permettre de s'assurer que tous les objets de l'Active Directory du premier DC (labo1) ainsi que leurs paramètres soient bien synchronisés avec notre nouveau DC (labo2). 

 Pour forcer la réplication, ouvrez "Sites et services Active Directory" du dossier "Outils d'administration" (ou tapez "dssite.msc" dans "Démarrer/Exécuter..."), puis allez dans :

Une fois arrivé à ce niveau, cliquez avec le bouton droit sur la connexion et faites "Répliquer maintenant".

3) Définir un nouveau catalogue global

Afin de permettre à notre nouveau DC de recevoir des mises à jour régulières des objets d'AD (Active Directory) du domaine par le biais de la réplication, il est nécessaire d'activer l'option "Catalogue Global" dans les propriétés de "NTDS Settings" du nouveau serveur. Un catalogue global stocke l'intégralité des objets de l'annuaire de son domaine (il est créé lors de l'installation du premier DC de la forêt).

4) Transférer les rôles de maître d'opérations

Les rôles de maître d'opérations prennent en charge les requêtes qui ne peuvent être traitées par plusieurs machines simultanément. Ainsi, un certain nombre de fonctions liées à Active Directory doivent être spécifiques à un serveur unique.

On peut distinguer deux catégories de maîtres d'opérations selon leur portée.

1. Liés à la foret:

2. Liés au domaine:

 

Il faut donc transférer les rôles de maître d'opérations au nouveau DC. Afin d'effectuer cette opération il existe 2 possibilités.

a. Utilitaire en ligne de commande

L'utilitaire permettant le transfert est ntdsutil.exe (bien que ce soit un utilitaire en ligne de commande, il ne semble pas fonctionner via telnet).

La procédure à suivre est la suivante:

b. Utilitaires en mode graphique

Afin de transférer les rôles de maître d'opérations, il est nécessaire de passer par différents utilitaires, suivant les rôles à transferer.

Utilisateurs et ordinateurs Active Directory

Ouvrez "Utilisateurs et ordinateurs Active Directory" du dossier "Outils d'administration" (ou tapez "dsa.msc" à l'invite de "Exécuter...").

Cliquez sur votre domaine avec le bouton droit et sélectionnez "Maîtres d'opérations...".

Il suffit ensuite de transférer les différents rôles:

Schéma Active Directory

Ouvrez "Schéma Active Directory" du dossier "Outils d'administration" (ou tapez "schmmgmt.msc" à l'invite de "Exécuter..."). Il peut être nécessaire, pour utiliser ce composant, d'installer les outils d'administration de Windows 2000 en tapant "adminpak.msi".

Cliquez sur "Active Directory Schema" avec le bouton droit et sélectionnez "Maîtres d'opérations...".

Domaines et approbations Active Directory

Ouvrez "Domaines et approbations Active Directory" du dossier "Outils d'administration" (ou tapez "domain.msc" à l'invite de "Exécuter...").

Cliquez sur "Domaines et approbations Active Directory" avec le bouton droit et sélectionnez "Maître d'opérations...".

5) Rétrograder l'ancien DC

Ensuite il faut rétrograder le premier DC avec la commande "dcpromo" (Ne pas oublier de préciser que le serveur n'est pas le dernier DC du domaine).

Une fois l'opération effectuée, le serveur devient membre du domaine. On remarque dans la fenêtre d'ouverture de session qu'il est de nouveau possible d'ouvrir une session sur la base de comptes locale de l'ordinateur, preuve que l'ordinateur n'a plus le rôle de DC.

6) Modification de l'identifiant réseau

On procède alors à la modification de l'identifiant réseau de la machine (Panneau de configuration / Système / Identification réseau / Propriétés).

Une fois la modification effectuée, il est nécessaire de redémarrer le serveur.

7) Reconfiguration du serveur d'origine

Enfin, utilisez "dcpromo" pour promouvoir de nouveau le serveur en DC. Il suffit ensuite de faire l'opération inverse en reconfigurant tous les rôles de maître d'opérations ainsi que le catalogue global sur le DC renommé.

8) Cas d'un domaine composé de plusieurs DC

Dans ce cas précis il n'est évidemment pas nécessaire d'installer un second serveur. La procédure reste la même mais peut être réalisée à l'aide d'un DC existant.