Migration 2003 vers 2008R2

Migration 2003 vers 2008R2 désactiver le «contrôle de compte d'utilisateur» Désactiver le pare-feu ou le réger si vous êtes courageux Désactiver IpV6 dans les paramètres de la carte puis appliquer la KB : La désactivation de certaine Internet Protocol version 6 (IPv6) composants de Windows Vista, Windows 7 et Windows Server 2008 ATTENTION : Cet article est issu du système de traduction automatique Cet article décrit les instructions pas à pas désactiver certaine Microsoft Internet Protocol version 6 (IPv6) composants dans Windows Vista. Pour désactiver les composants de IPv6, vous devez être connecté l'ordinateur Windows Vista tant que membre du groupe Administrateurs, ou votre compte d'utilisateur doit disposer des autorisations pour modifier le Registre Windows. important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft : 322756 (http://support.microsoft.com/kb/322756/ ) Comment faire pour sauvegarder et restaurer le Registre de Windows Pour désactiver certains composants IPv6 dans Windows Vista, procédez comme suit : Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis cliquez sur regedit.exe dans la liste programmes.dans la boîte de dialogue Contrôle de compte d'utilisateur, cliquez sur Continuer. Dans l'éditeur du Registre, recherchez et cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Double-cliquez sur DisabledComponents pour modifier l'entrée DisabledComponents. Remarque Si l'entrée DisabledComponents est indisponible, vous devez la créer. Pour ce faire, procédez comme suit : Dans le menu Edition, pointez sur Nouveau, puis cliquez sur valeur DWORD (32-bit). Tapez DisabledComponents et appuyez sur ENTRÉE. Double-cliquez sur DisabledComponents. Tapez n'importe quelle une des valeurs suivantes pour configurer le protocole IPv6 et puis cliquez sur OK : Tapez 0 pour activer tous les composants de IPv6. Remarque La valeur «0» est le paramètre par défaut. Tapez 0xffffffff pour désactiver tous les composants de IPv6, sauf l'interface de bouclage IPv6. Cette valeur configure également Windows Vista pour utiliser Internet Protocol version 4 (IPv4) au lieu du protocole IPv6 dans stratégies de préfixe. Tapez 0 x 20 à utiliser IPv4 au lieu de IPv6 dans stratégies de préfixe. Tapez 0 x 10 pour désactiver les interfaces IPv6 natifs. Tapez 0 x 01 pour désactiver toutes les interfaces de IPv6 tunnel. Tapez 0 x 11 pour désactiver toutes les interfaces IPv6 à l'exception de l'interface de bouclage IPv6. Remarque Vous devez redémarrer votre ordinateur pour que ces modifications prennent effet. Remarque Les administrateurs doivent créer un fichier ADMX pour exposer les paramètres de l'étape 5 dans une configuration Group Policy.

2008 R2 installé Déclarez le SERVEUR_NEUF dans le serveur DNS de SERVEUR_ANC (également dans la zone reverse) Pour cela, ouvrez la console DNS (outils d administration) et développez les zones directes et la zone de votre domaine local (avec le + situé devant). Faites un clic droit / Nouveau pointeur sur votre domaine. Tapez le nom court de votre SERVEUR_NEUF (par exemple serveur2) et donnez son adresse IP au-dessous. Cochez la case «Créer un pointeur d enregistrement PTR..» et validez. Fermez la boîte de saisie et allez voir dans la zone directe ET dans la zone de recherche inversée, vous devez trouver les bonnes lignes permettant les traductions dans les deux sens. - Vérifier la connectivité IP des deux machines, la résolution correcte des noms de l intranet et d Internet. Pour cela, dans une boîte «Ligne de commande», tapez NSLOOKUP puis entrez le nom du 2 serveur, validez, son IP doit apparaître, inversement tapez l IP le nom arrive. Même chose avec la commande ping sur le nouveau serveur qui doit répondre. En cas de pb de DNS, on peut vider le cache DNS avec la commande ipconfig /flushdns Donnez au compte Administrateur du SERVEUR_NEUF le même mot de passe que sur SERVEUR_ANC Sauver Active Directory sur l ancien serveur Lancer (par exemple) NTBACKUP (Démarrer / Exécuter), cliquer sur l onglet sauvegarde. Pour Windows 2003S, on arrive sur «Assistant Sauvegarde» : choisir le lien «Mode avancé», puis onglet «Sauvegarde» pour arriver à l écran ci-dessous Cocher «État du système» ou «System State» suivant la version : Active Directory est pris par défaut dans la sauvegarde de l'état du système. ATTENTION, avec W2003 Serveur, c est un assistant qui se lance et propose la sauvegarde de tout le disque, voir si on peut arriver au même écran? Placez cette sauvegarde en lieu sûr, sur un autre ordinateur du réseau par exemple, en notant bien le nom de l ordinateur sauvegardé (les sauvegardes de AD ne sont pas utilisables sur une autre machine). Préparation de l ancien annuaire PROBLEME des versions de ACTIVE DIRECTORY : Le schéma Active Directory change au fil des versions des OS et des Service Packs. Lorsqu on change de version d OS serveur, il est probable que le schéma ait changé également. Voici les cas de figure les plus courants : De Windows 2000S à Windows 2003S SP1 - Sur le serveur 2000S, placez le CD de 2003S - Ouvrez une ligne de commande, placez-vous en ligne sur ce CDROM, dans le dossier i386 - Tapez adprep /forestprep et validez, la forêt se met à jour - Tapez adprep /domainprep et validez, le domaine se met à jour - Tapez adprep /domainprep /gpprep et validez, pour mettre à jour les ACE aux objets stratégies de groupe pour un domaine 2003S SP1 De Windows 2000S ou 2003S SP1 à Windows 2003S R2 - Insérer le CD de 2003S R2 (CD numéro2) sur l ancien serveur - Ouvrez une ligne de commande sur le CDROM - Aller dans \CMPNENTS\R2\ADPREP - Tapez adprep /forestprep - Tapez adprep /domainprep et validez, le domaine se met à jour. Si un message vous annonce que cette commande est inutile, passez directement à la suivante : Si le serveur cible est un 2003S R2, c est la ligne suivante qui sera demandée : - Tapez adprep /domainprep /gpprep et validez, pour mettre à jour les ACE aux objets stratégies de groupe pour un domaine Consultez pour plus d'infos : http://support.microsoft.com/kb/917385 Installer AD sur le 2 contrôleur de domaine Cette étape consiste à configurer le serveur cible nécessaire pour le transfert d Active Directory : Accrocher (si vous ne l avez pas encore fait!) SERVEUR_NEUF à un serveur de temps valide, par exemple dans une invite de commande, en tapant la commande suivante : Configurer le service de temps Windows : http://technet.microsoft.com/fr-fr/library/cc731191%28ws.10%29.aspx

Lorsque vous déployez un domaine racine d une forêt, il est important de configurer correctement le service de temps Windows (W32time) en fonction des besoins de votre organisation. Le service de temps Windows assure la synchronisation de l heure avec les homologues et les clients, ce qui garantit la cohérence des informations d heure dans toute l entreprise. Par défaut, le premier contrôleur de domaine que vous déployez détient le rôle de maître d opérations de l émulateur du contrôleur de domaine principal. Définissez l émulateur du contrôleur de domaine principal de sorte qu il se synchronise avec une source NTP (Network Time Protocol) valide. Si vous n avez configuré aucune source, le service de temps Windows consigne un message dans le journal des événements, puis il utilise l horloge locale lorsqu il communique l heure aux clients. Lorsque vous configurez la source de temps sur l émulateur du contrôleur de domaine principal racine de la forêt, effectuez les opérations recommandées ci-dessous, dans l ordre dans lequel elles sont présentées : 1. Installez une horloge matérielle, telle qu un périphérique radio ou un périphérique GPS (Global Positioning Service), comme source du contrôleur de domaine principal. Vous pouvez installer tout périphérique utilisant le protocole NTP sur votre réseau interne afin de l utiliser avec le contrôleur de domaine principal. 2. Configurez le service de temps Windows pour qu il se synchronise avec une source de temps externe. Les sources de temps externes permettent aux utilisateurs de synchroniser l horloge de leur ordinateur en utilisant des connexions réseau ou d accès à distance, ou des liaisons radio. Le serveur de temps Microsoft (time.windows.com) utilise NIST (National Institute of Standards and Technology), situé à Boulder au Colorado, comme fournisseur de temps externe. NIST fournit le service ACTS (Automated Computer Time Service), qui peut définir l heure d une horloge avec une précision supérieure à 10 ms pour un ordinateur. Le service de l Observatoire astronomique de la marine américaine (USNO ou U.S. Naval Observatory), situé à Washington D.C., est une autre source pour la synchronisation précise de l heure aux États-Unis. Il existe de nombreux autres sites dans le monde susceptibles d être utilisés pour la synchronisation de l heure. Remarques Étant donné que la synchronisation avec une source de temps externe n est pas authentifiée, elle est moins sécurisée. Répétez cette opération si vous transférez le rôle de maître d opérations de l émulateur du contrôleur de domaine principal à un autre contrôleur de domaine dans le domaine racine de la forêt. Pour configurer le service de temps Windows sur le premier contrôleur dans le domaine racine de la forêt 1. Connectez-vous au premier contrôleur de domaine que vous avez déployé. 2. À l invite de commandes, tapez la commande suivante, puis appuyez sur Entrée : w32tm /stripchart /computer:<cible> /samples:<nombre> /dataonly 3. Ouvrez le port UDP (User Datagram Protocol) 123 au trafic sortant, si besoin est. 4. Ouvrez le port UDP 123 au trafic NTP entrant. Vous pouvez utiliser un autre port si vous le souhaitez. 5. Tapez la commande suivante pour configurer l émulateur du contrôleur de domaine principal, puis appuyez sur Entrée : w32tm /config /manualpeerlist:<homologues> /syncfromflags:manual /reliable:yes /update Paramètre Description W32tm /stripchart Affiche un tableau à bandes du décalage entre les ordinateurs qui se synchronisent. W32tm /config Configure l émulateur du contrôleur de domaine principal.

/update /computer:<cible> Spécifie le nom DNS (Domain Name System) ou l adresse IP du serveur NTP dont vous voulez comparer l heure à celle de l ordinateur local. Un serveur NTP peut être, par exemple, time.windows.com. / samples:<nombre > /dataonly Spécifie le nombre d échantillons de temps que l ordinateur cible renvoie. Spécifie que les résultats ne sont pas des graphiques, mais uniquement des données. / manualpeerlist:<h omologues> / syncfromflags:ma nual Spécifie la liste des noms DNS ou des adresses IP de la source de temps NTP avec laquelle l émulateur du contrôleur de domaine principal se synchronise. (Cette liste est appelée «liste des homologues manuelle».) Par exemple, vous pouvez spécifier time.windows.com comme serveur de temps NTP. Lorsque vous spécifiez plusieurs homologues, utilisez un espace comme délimiteur et insérez les noms des homologues entre guillemets. Spécifie que l heure doit être synchronisée avec les homologues de la liste des homologues manuelle. /reliable:yes Spécifie que l ordinateur est un service de temps fiable. Lorsque vous indiquez un homologue figurant dans la liste des homologues manuelle, n employez pas le nom DNS ou l adresse IP d un ordinateur qui utilise le contrôleur de domaine racine de la forêt comme source de temps, tel qu un autre contrôleur de domaine de la forêt. Le service de temps ne fonctionne pas correctement s il existe des cycles dans la configuration de la source de temps. Avant de lancer l installation, vérifiez que les deux machines ont exactement les mêmes date et heure. Pour installer Active Directory sur SERVEUR_NEUF, exécutez l'assistant "Gérez votre serveur" puis exécuter la commande "dcpromo". Attention, il s agit bien d installer un deuxième contrôleur de domaine pour un domaine existant! Il vous sera demandé un compte d administrateur sur ce domaine (Administrateur) et le nom du domaine existant. Acceptez les dossiers de destination par défaut pour les fichiers d annuaire, donnez un mot de passe pour la restauration éventuelle de l annuaire et ne le perdez pas. Si un problème survient pour contacter le domaine existant, c est certainement dû à une mauvaise configuration du DNS, seul moyen de contact entre les deux machines. Vérifiez les deux configurations DNS. Points de contrôle : vérifiez que le SERVEUR_NEUF a bien le serveur ancien comme 1 serveur DNS vérifiez que l'ancien reconnaît bien le nouveau (commande ping) vérifiez que dans la zone directe de l'ancien, vous avez bien une zone _msdcs (console DNS) vérifiez que les deux serveurs ont la même heure (mettez un serveur de temps internet) Si vous avez le moindre doute, supprimez les zones de votre serveur DNS ancien et refaites-les (avec le nom de votre domaine), intégrées à Active Directory, elles se reconstruiront correctement (paramétrez le WINS également si vous avez des postes 98). Voir documentation solstice sur le serveur DNS! Attention aussi au nom de domaine, vous avez le domaine NETBIOS (celui visible dans les favoris réseau de votre ancien serveur) et le nom TCP-IP (voir le nom complet de votre ancien serveur dans les prop. Système). De façon standard, le nom NETBIOS est le début du nom TCP-IP mais il peut arriver que le choix ait été fait autrement. Exemple classique : domaine TCP-IP papillon.clg et domaine NETBIOS : PAPILLON Quand tout est correct, le nouveau serveur reconnaît bien l'ancien et n'a aucune difficulté pour dialoguer..

A la fin, un redémarrage est requis, accepter puis ouvrir une session avec le compte Administrateur. Si vous avez un pb de réplication entre les deux AD, il peut être utile de redémarrer les deux serveurs l un après l autre. Commencer par l ancien, SERVEUR_ANC, attendre qu il soit de nouveau fonctionnel et redémarrer le second SERVEUR_NEUF. Installer un serveur DNS sur SERVEUR_NEUF Un serveur DNS doit tourner sur SERVEUR_NEUF, il est temps de l installer : Avec Windows 2000S, on trouve un lien dont c est le rôle dans l écran de «Gérez votre serveur». Avec Windows 2003S, il suffit d ajouter le rôle «Serveur DNS». Comme souvent, c est un assistant qui se lance et vous propose non seulement l installation, mais aussi la création d une zone, bien que normalement elle existe déjà, intégrée à Active Directory.. Mais l assistant enchaîne les deux actions, donc on continue! Choisir une zone directe principale intégrée à Active Directory, la réplication sera donc automatique entre les deux serveurs. Ajouter aussi une zone inverse intégrée à AD et les pointeurs vers les serveurs.. Si la zone intégrée à AD existe déjà, la création n aboutira pas, mais aucun problème, fermer l assistant, le service DNS est fonctionnel. Installer également le serveur WINS dans le cas où le réseau contient de clients d ancienne génération (Windows 95 ou Windows 98) ou bien si vous voulez communiquer avec un sous-réseau distant Avec Windows 2000S, il faut passer par le Panneau de configuration / Ajout-Suppression de programmes / Composant Windows / Services réseau / Serveur de noms Windows (WINS). Avec 2003S, comme pour le serveur DNS, c est un rôle à ajouter dans «Gérez votre serveur». Acceptez les choix par défaut dans les écrans de l assistant qui vous fait fabriquer une nouvelle zone, en donnant comme nom, le nom de votre domaine TCP/IP. L assistant se termine par une erreur (zone déjà créée!) mais c est normal, la zone existait déjà dans Active Directory et donc ne doit pas être recréée.. Ah, ces assistants! Mettre en place l administration à distance pour travailler depuis le «Bureau à distance» Avec Windows 2000S il faut aussi passer par le Panneau de configuration / Ajout-Suppression de programmes / Composant Windows / Services réseau /services Terminal Serveur (une des dernières lignes) pour pouvoir profiter de l administration distante (Attention, cocher «Administration distante» et non pas «Assistance à distance». Sur 2003S, les services Terminal Serveur sont pré installés, il suffit d ajouter la coche dans les propriétés système onglet «Utilisation à distance» / «Bureau à distance». ATTENTION : si un Service Pack a été installé sur le serveur d origine et que vous ne changez pas d OS, il faut installer le même sur le serveur cible, après l installation des services. Après le redémarrage de SERVEUR_NEUF, on peut vérifier que la synchronisation a eu lieu, et même la forcer : Cliquer sur Sites et services Active Directory (par exemple lancé sur SERVEUR_NEUF) dans les outils d administration sur les deux serveurs. Développez «Sites», «Premier-Site-par-defaut», «Servers», puis les deux serveurs l un après l autre : «NTDS Settings» apparaît. Cliquez droit sur «<généré automatiquement>» puis «répliquer maintenant», c est quasiinstantané. Migration des rôles FSMO Dans un domaine, les contrôleurs de domaine ne sont pas égaux, 5 rôles sont supportés par le premier contrôleur installé dans le domaine (Maître de schéma, PDC Emulator, Maître RID, Maître d infrastructure et Maître des noms de domaine). Vérification : Vous pouvez vérifier quel serveur les possède, avec un outil complémentaire à installer, le Moniteur de réplication, que l on trouve sur le CD d installation de 2000S ou de 2003S dans le dossier \Support\Tools. Lancer pour ça le setup.exe (Windows 2000S) ou le fichier SUPTOOLS.MSI (pour 2003S). Installez-le sur le nouveau serveur, on peut contrôler tout serveur du domaine. Pour le lancer, Démarrer, exécuter replmon.exe ou allez le chercher dans Program Files\Support tools\replmon.exe. Mieux, faire un raccourci dans les outils d administration. Pour monitorer un serveur, clic droit sur «Monitored Server/Add..» et Suivant, donner son nom, et hop : Changements de rôles : Cette étape consiste à donner les rôles de l ancien contrôleur de domaine SERVEUR-ANC au SERVEUR_NEUF. Il existe 5 rôles avec Windows 2000S et 2003S. Ces changements seront faits en ligne de commande : REMARQUE : dans le cas d un serveur qui doit récupérer ces rôles, alors qu ils sont sur une machine en panne, la procédure est identique, en remplaçant partout le mot-clé «transfer» par «seize» (voir annexes) L utilitaire NTDSUTIL peut être lancé indifféremment depuis SERVEUR_NEUF ou SERVEUR-ANC. Nous le faisons ici sur le nouveau SERVEUR_NEUF.

Lancer NTDSUTIL, en cliquant sur Résultat démarrer, exécuter, «NTDSUTIL» puis validez : Commande NTDSUTIL ntdsutil : roles fsmo maintenance : connection server connections : connect to server SERVEUR_NEUF Liaison à SERVEUR_NEUF bla-bla. server connections : quit fsmo maintenance : Transfer domain naming master affichage schéma + fsmo maintenance : Transfer infrastructure master idem Transfer PDC idem Transfer RID master idem Transfer schema master idem Quit ntdsutil : Quit Ou Transfert des roles FSMO en mode graphique : Petit rappel sur les rôles serveurs au sein d une infrastructure AD et explication pour le transfert des rôles Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory. Mais que se passerait-il si deux personnes changent la même donnée au même moment à des endroits différents? Bien sûr, Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects interne à Active Directory. Dans un domaine Windows 2000 server et Windows Server 2003 et 2008, il existe 5 rôles FSMO. Ces rôles n existaient pas sous Windows NT4 car les domaines NT4 disposaient d une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles: Maître d attribution de noms de domaines : Unique au sein de la forêt Controleur de schéma : Unique au sein de la forêt Maitre RID : Unique au sein d un domaine Maitre d infrastructure : Unique au sein d un domaine Emulateur CPD : Unique au sein d un domaine Maître d attribution de noms de domaines Le détenteur du rôle FSMO Maître d attribution de noms de domaine est le contrôleur de domaine chargé d apporter des modifications à l espace de noms des domaines de niveau forêt de l annuaire (c est-à-dire le contexte de nommage PartitionsConfiguration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes. Controleur de schéma Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d effectuer les mises à jour vers le schéma d annuaire (c est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l annuaire. Il existe un seul contrôleur de schéma par annuaire. Maître RID Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d un déplacement d objet. Lorsqu un contrôleur de domaine crée un objet entité de sécurité tel qu un utilisateur ou un groupe, il joint à l objet un ID de sécurité (SID) unique. Ce SID est constitué d un SID de domaine (le même pour tous les SID créés dans un domaine) et d un ID

relatif (RID), unique pour chaque SID d entité de sécurité créé dans un domaine. Chaque contrôleur de domaine Windows 2000 d un domaine se voit allouer un pool de RID qu il peut attribuer aux entités de sécurité qu il crée. Lorsque le pool de RID d un contrôleur de domaine tombe en deçà d un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d un annuaire. Maître d infrastructure Lorsqu un objet d un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d un objet dans une référence d objet interdomaine. Emulateur PDC L émulateur PDC est nécessaire pour synchroniser l heure dans une entreprise. Windows inclut l outil de service de temps W32Time (Windows Time) requis par le protocole d authentification Kerberos. Tous les ordinateurs Windows d une entreprise utilisent une heure commune. L objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun. L émulateur PDC d un domaine fait autorité pour le domaine. L émulateur PDC situé à la racine de la forêt acquiert l autorité pour l entreprise et doit être configuré de façon à percevoir l heure d une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant. Dans un domaine Windows, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes : Les modifications de mot de passe exécutées par d autres contrôleurs de domaine du domaine sont répliquées de préférence sur l émulateur PDC. Les échecs d authentification qui se produisent en raison d un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l émulateur PDC avant que l échec ne soit signalé à l utilisateur dans un message. Le verrouillage de compte est traité sur l émulateur PDC. L émulateur PDC exécute toutes les fonctionnalités qu un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs. Cette partie du rôle d émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L émulateur PDC continue d exécuter les autres fonctions décrites dans un environnement Windows 2000. Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau : Les clients Windows (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n effectuent pas les écritures d annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s est autoproclamé contrôleur principal de domaine ; ils utilisent n importe quel contrôleur du domaine. Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200x, l émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur. Les clients Windows 200x (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l annuaire Active Directory pour localiser des ressources réseau. Ils n ont pas besoin du service Explorateur d ordinateur de Windows NT Transfert des rôles Transfert de rôles spécifiques à des domaines : RID, PDC et maître d infrastructure Cliquez sur Démarrer, pointez sur Programmes, sur Outils d administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur l icône en regard de Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine. Dans la boîte de dialogue Modifier le maître d opérations, cliquez sur l onglet approprié (RID, PDC ou Infrastructure) pour choisir le rôle à transférer. Transfert du rôle de maître d attribution de noms de domaine Cliquez sur Démarrer, pointez sur Programmes, sur Outils d administration, puis cliquez sur Domaines et approbations Active Directory. Cliquez avec le bouton droit sur l icône Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître d opération. Transfert du rôle de contrôleur de schéma Inscription de l outil de schéma Cliquez sur Démarrer, puis sur Exécuter. Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK. Un message s affiche indiquant que l inscription a réussi. Transfert du rôle de contrôleur de schéma Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez sur Ajouter. Cliquez sur Schéma Active Directory.

Cliquez sur Schéma Active Directory. Cliquez sur Ajouter Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d un composant logiciel enfichable autonome. Cliquez sur OK pour ajouter le composant logiciel enfichable à la console. Cliquez avec le bouton droit sur l icône Schéma Active Directory, puis cliquez sur Maitres d opérations. Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier