Bonjour,
 
 
nous avons actuellement un réseau sous 2008R2, Exchange 2007. Dans les prochains mois, nous ferons la migration vers 2010.
 
Je me suis posé la question, est-ce que ça vaut le coup de repartir de zéro ? Recréer tout l'AD, etc. En effet, notre domaine a été configuré avec le nom de l'entreprise.fr (donc split DNS) et depuis les 10 ans que ça existe, il y a eu le passage d'office 2003, il y a eu Citrix 4 et 4.5, Exchange 2003 qui a été migré vers 2007, mais je trouve encore des traces du 2003 ...
 
Et bien entendu, des groupes d'utilisateurs à foison, c'est un vrai poulailler.
 
L'avantage de tout recommencer serait de pouvoir nettoyer par le vide et avoir quelque chose de propre, mais ça implique de réimporter toutes les boites mails (130 personnes) de reconfigurer les AD des filiales (dont une hors de france) de refaire le serveur de fichiers avec tous les droits NTFS, bref, ça se fait pas en 1h un verre de coca à la main.    
 
Sachant qu'en plus nous avons un cluster HyperV pour les serveurs...
 
Est-ce que quelqu'un l'a déjà fait ?
Merci de vos retours.

hello
 
2 AD sur le site principal, 1 AD par filiale (avtuellement 4 AD au total), 2 serveurs Exch 2007 en LAN qui passeront à 4 en LAN sous 2010 avec un DAG HA, on a ~130 comptes utilisateurs, ~200 comptes clients, et ~130 machines.
 
Je n'ai pas de temps particulier, mais évidemment le problème sera la bascule qu'il faudra faire sur un WE par exemple...
 
Mais si on recrée le domaine ça implique de sortir les 130 machines pour les re-rentrer ... Pas top.

Oui, effectivement, il y a une CA, et j'ai pas détaillé tous les serveurs mais on a les classiques, serveur d'impression (dédié), serveur de fichiers (dédié), serveur de déploiement (dédié) etc. Tout est virtualisé, sauf les Exchange et les AD. Au final une 15aine de serveurs.
 
Et en techniciens, stricto sensu aucun, mais en opérationnels le dsi et moi-même.

Justement, LDIFDE je connaissais, mais je ne suis pas sûr qu'il récupère les SID ... Sachant qu'on veut virer par la même occase 70% des groupes (car je découvre qu'il y a des groupes dans des groupes, eux-mêmes groupes de groupes dans des groupes.... Bref, je te raconte pas la pagaille...)
Mais j'ai 2 nouveaux serveurs, ouais, tout neufs, je compte bien garder ma convention de nommage (donc pas de pb pour la CA par exemple).

 
Tu veux faire quoi avec le SID d'un DC... le coller sur le nouveau DC d'un nouveau domaine ?
 
 
NewsletTux : tu dis 4 AD, ca veut dire 4 domaines ? ou 4 serveurs d'un même domaine ?
Je crois que tu ne vois pas la difficulté et le temps qu'il va falloir, surtout si vous n'êtes que 2 et le tout sur un seul week end

c'est un peu plus compliqué que cela

t'as oublié :
 
9) Tu passes à la compta récupérer ton solde de ton compte
 
Les bidouilles d'échange de contrôleur primaire / secondaire c'était du temps de nt4, on parle d'active directory là.
Au fait, bon courage pour renommer un DC.
 
Pour repartir sur un nouveau domaine, et forêt AD, en (très) gros il faut :
-recréer une infra cible AD avec les serveurs suffisants,
-faire un trust entre forets ou domaines
-repeupler le nouveau domaine avec les comptes utilisateurs et machines, tout en conservant le SIDhistory
-gérer la transition des machines clientes et des comptes utilisateurs vers le nouveau domaine (et reconfigurer chaque poste)
-monter un nouvel exchange
-gérer le transfert des boites vers le nouveau, les groupes de distri, tes bals de ressources, dossiers publics s'il y en a etc.
-démonter l'ancien exchange
-gérer le transferts des serveurs membres (pour certaines applis, nécessiter une réinstall complète)
-éteindre l'ancienne infra, et passé un certain temps, la démanteler.
-Nettoyer les traces faisant références aux trusts, ancien exchange, aux anciens SID, etc etc.
 
Et durant tout ça, il faut savoir gérer le retour arrière à chaque étape...
 
Bref, c'est le genre de chose que l'on fait en cas de grosse restructuration ou besoin bien particulier, et perso je migrerai pas les postes clients ni les serveurs membres en les faisant changer de domaine, je partirai sur une réinstall totale de ceux ci avec migration des données. Parce que des traces de l'ancienne infra, il ne va plus en rester sur les DC ok, mais par contre la migration en aura laissé partout sur les ex machines membres.
 
Au final, c'est beaucoup plus de boulot que de faire un audit de l'AD existant et régler des bricoles, surtout si l'AD fonctionne bien.
Pour info c'est pas citrix PS/Xenapp ou les versions office qui laissent des traces dans l'AD... des anciennes références à un vieux serveur exchange, des objets orphelins, ca se nettoie normalement quand on migre, mais si ca reste c'est pas ce qui empêchera de fonctionner si on a peur d'y toucher.
Quand aux montées de version de l'AD dans le schéma, tu les verras aussi sur une nouvelle forêt avec un schéma dernière version...

D'accord avec Latex, c'est faisable mais c'est un boulot phénoménale que tu ne pourras sans doute pas faire tout seul faute de temps.
 
Nettoyer l'AD et le réorganiser sera plus efficace. Il faudra bien scinder les étapes (nettoyer le schéma, mettre à niveau le domaine et la forêt, créer de nouvelles OU avec nouveaux groupes et utilisateurs sur nomenclature si besoin, etc...)
 
Pour Exchange 2010 pense à vérifier que ton logiciel de sauvegarde le prend bien en charge.

Hello,
 
désolé, qq urgences à régler, et des trucs à boucler ...
 
Le pb de l'AD, c'est que lorsqu'on met une GPO, ça ne s'applique pas toujours de manière homogène sur les machines, quand je ping mondomaine.ext c'est parfois ::1 qui répond,le vieillissement des entrées DNS ne peut pas être activé sinon  ça vire trop de trucs (j'ai déjà fait la boulette, et il m'a viré des entrées figées,du style serveur de fichiers ou de compta, ce qui est vachement utile à 9h quand tout le monde arrive ...) Bref, il n'y a pas "une grosse m***e" sur l'AD qui nous imposerait de repartir de zéro, mais des tas de petits trucs ...
Dans les sites et services AD, on a créé 1 site par filiale et curieusement, parfois certains AD ont leur nom netbios (config normale) parfois il y a en plus le SID qui s'affiche, on ne sait pas pourquoi ...
La compta remonte des erreurs de connexion via LDAP, enfin vous voyez le truc.
 
Moi ce qui me fait "peur" dans l'histoire n'est pas tant le temps, c'est d'abord l'espace car il va falloir stocker les MV afin de refaire les hyperviseurs, les profils des utilisateurs (qui ne sont pas itinérants - je parle des profils, pas des gens   ), toutes les permissions du serveur de fichier, c'est un beau poulailler.
 
J'avais bien pensé initialement à refaire un domaine dans la forêt puis approbation, voire une nouvelle forêt avec approbation de forêts, mais ça n'empêchera pas de récupérer des traces de la config existante, notamment en termes de droits NTFS ce que je voulais éviter.
Donc, non, c'est trop gros, mon collègue est en vacances j'en reparlerai avec lui en janvier ...
 
Citrix a laissé des traces chez nous, déjà dans l'AD car je trouve encore des traces des noms des serveurs, et surtout pour tous les groupes créés.
Exchange 2003 pareil, malgré un nettoyage de l'AD (schéma y compris) j'ose pas trop nettoyer de peur de faire tomber un connecteur SMTP de l'exchange actuel, par exemple.  
 
Je fournis de toute façon des détails comme je le peux, mais ça vient avec la réflexion ...
 
Merci de vos retours,arnaud, latex.

En gros ce que tu as c'est pas mal de débugage à faire, auditer certaines choses et à améliorer l'administration, la documentation...
 
Ton archi Citrix par exemple, si tu la refais entièrement sur un nouveau domaine, elle sera nickel, ok.
Sur de l'existant tu recrées tous les groupes / comptes de services avec des suffixes / description / etc. correspondant à la nouvelle ferme, et tu dégages les anciennes références une fois que tout est migré. Ce sera aussi propre !

 
Effectivement pour corriger tout çà il faudrait presque autant de boulot que de refaire une infra    
 
C'est difficile de te guider tant tu remontes des dysfonctionnements importants...

Re,
 
Globalement, ca marche... Mais depuis 11 ans qu'il existe, le domaine en a vu pas mal j'ai l'impression...
Je vais voir plus en details debut janvier, petite pause pour les fetes (que je vous souhaite excellentes a tous d'ailleurs )

Tu peux déjà commencer par faire un inventaire précis de l'existant, des dysfonctionnements divers (penser à regarder les logs), de tes besoins...histoire d'avoir une idée de l'ampleur des changements et leur priorisation. Ne pas oublier aussi de passer la partie physique/réseau qui conditionne en partie l'état de la partie système.