Migration Active Directory Windows Server 2012 R2 vers 2022 : prérequis, étapes, scripts et meilleures pratiques

Oui, vous pouvez migrer un domaine/forêt Active Directory depuis Windows Server 2012 R2 vers Windows Server 2022. Voici un guide opérationnel, riche en check‑lists, commandes PowerShell et points de contrôle pour exécuter la transition en toute sécurité et sans interruption notable.

Vue d’ensemble de la question

Windows Server 2022 accepte d’être contrôleur de domaine au sein d’une forêt existante tant que les prérequis structurants sont réunis : niveau fonctionnel de forêt et de domaine d’au moins « Windows Server 2008 », réplication SYSVOL en DFS‑R (et non FRS), santé de la réplication et du DNS irréprochable, ainsi qu’une sauvegarde état du système de chaque DC 2012 R2. Windows Server 2022 n’introduit pas de nouveau niveau fonctionnel ; le niveau maximal reste « Windows Server 2016 ». En pratique, la stratégie la plus robuste consiste à ajouter un DC 2022, lui transférer progressivement les rôles et services, puis démonter les anciens DC 2012 R2.

Prérequis techniques incontournables

Élément	Condition minimale	Commentaire
Niveau fonctionnel forêt & domaine	Windows Server 2008 ou supérieur	Les DC 2022 refusent d’entrer dans une forêt plus ancienne. Aucun relèvement requis après migration si le niveau actuel convient.
Réplication SYSVOL	DFS‑R obligatoire (FRS non accepté)	Migrer FRS → DFS‑R avant d’introduire 2022 : dfsrmig /setglobalstate 3 puis dfsrmig /getmigrationstate « Eliminated » sur tous les DC.
Sauvegardes	État du système de chaque DC 2012 R2	Permet un retour arrière rapide ; conserver aussi des snapshots/points de contrôle si virtualisé.
Santé AD	Aucun critique dcdiag / repadmin	Résoudre avant la migration : réplication, DNS, horloge, latence inter‑sites, erreurs SYSVOL.
Hôte 2022	x64, RAM/stockage adaptés, derniers correctifs	IP statique ; DNS primaire pointant vers des DC internes valides ; désactiver IPv6 uniquement si justifié et maîtrisé.
Comptes & droits	Membre Schema Admins, Enterprise Admins, Domain Admins	Nécessaire pour adprep et la promotion.
Compatibilité applicative	PKI, ADFS, Azure AD Connect, applis LDAP/GPO	Valider en labo ; planifier mises à jour d’ADMX/ADML dans le Central Store.
Temps/NTP	PDC Emulator synchronisé sur une source fiable	Une dérive > 5 min casse Kerberos.

À retenir : il n’existe pas de niveau fonctionnel « Windows Server 2019/2022 ». Le plus élevé reste « Windows Server 2016 ». Inutile de relever après migration, sauf choix de standardiser.

Vérifications rapides à exécuter

# Niveau fonctionnel & état général
Get-ADForest | Select-Object ForestMode, SchemaMaster
Get-ADDomain | Select-Object DomainMode, PDCEmulator, RIDMaster, InfrastructureMaster
dcdiag /c /v
repadmin /replsummary
repadmin /showrepl * /csv > C:\temp\repl.csv

# SYSVOL (FRS ou DFS-R ?)

dfsrmig /getmigrationstate
dfsrdiag pollad

# NTP

w32tm /query /status
w32tm /query /peers

# DNS

dnscmd /enumzones
dcdiag /test:dns /v 

Scénario recommandé : mise à niveau du domaine existant par ajout de DC 2022

Il ne s’agit pas d’une « mise à niveau sur place » du système d’exploitation d’un DC existant, mais bien d’une migration latérale : on ajoute de nouveaux contrôleurs de domaine 2022, on les promeut, on bascule les rôles et services, puis on retire progressivement les DC 2012 R2.

Plan détaillé pas‑à‑pas

1. Assainir et sauvegarder
   Corriger toute alerte dcdiag/repadmin. Effectuer une sauvegarde État du système de chaque DC 2012 R2 (idéalement < 24 h). Exemple : wbadmin start systemstatebackup -backupTarget:E: -quiet
2. Basculer SYSVOL en DFS‑R (si FRS)
   États : 0 = Start, 1 = Prepared, 2 = Redirected, 3 = Eliminated. dfsrmig /setglobalstate 1 dfsrmig /getmigrationstate dfsrmig /setglobalstate 2 dfsrmig /getmigrationstate dfsrmig /setglobalstate 3 dfsrmig /getmigrationstate Attendre « Eliminated » sur tous les DC. Surveiller l’Observateur d’événements → DFS Replication : IDs 4114, 4614, 4604.
3. Étendre le schéma AD
   Depuis le maître de schéma : monter l’ISO 2022 et exécuter adprep (optionnel si vous promouvez depuis 2022, l’assistant peut l’orchestrer) : X:\support\adprep\adprep.exe /forestprep X:\support\adprep\adprep.exe /domainprep /gpprep X:\support\adprep\adprep.exe /rodcprep (si RODC présents)
4. Préparer le serveur 2022
   IP statique, jonction au domaine en simple membre, correctifs installés, fonctionnalités RSAT si besoin. Installer le rôle AD DS : Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
5. Promouvoir le serveur 2022 en contrôleur de domaine
   Via l’Assistant ou PowerShell : $cred = Get-Credential Install-ADDSDomainController ` -InstallDns ` -Credential $cred ` -DomainName "exemple.lan" ` -SiteName "PARIS" ` -NoRebootOnCompletion:$false ` -DatabasePath "C:\Windows\NTDS" ` -LogPath "C:\Windows\NTDS" ` -SYSVOLPath "C:\Windows\SYSVOL" Vérifier la réplication (répertoires SYSVOL/NETLOGON partagés, repadmin, dcdiag). Activer le Global Catalog si le site le requiert.
6. Basculer les rôles FSMO
   Après réplication stable, transférer les 5 rôles : Move-ADDirectoryServerOperationMasterRole -Identity "DC2022" ` -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster netdom query fsmo
7. Transférer les services d’infrastructure
   • DNS : valider la présence des zones AD‑intégrées sur le nouveau DC, configurer les redirecteurs, mettre à jour les options DHCP 006/015.
   • DHCP : exporter puis importer :
     Export-DhcpServer -ComputerName DC2012R2 -Leases -File C:\temp\dhcp.xml
Import-DhcpServer -ComputerName DC2022 -Leases -File C:\temp\dhcp.xml -BackupPath C:\temp
   • AD CS (si présent) : sauvegarder base & clés (certutil -backupDB, -backupKey) et réinstaller sur 2022 selon les bonnes pratiques.
   • Azure AD Connect : vérifier la connectivité aux nouveaux DC et mettre à jour la liste des serveurs préférés.
8. Démonter les anciens DC 2012 R2
   Une fois un ou plusieurs DC 2022 pleinement opérationnels dans chaque site : Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true ` -RemoveDNSDelegation:$true -LocalAdministratorPassword (Read-Host -AsSecureString) Supprimer les métadonnées résiduelles si nécessaire (Sites and Services → nettoyer NTDS Settings, supprimer anciens enregistrements DNS).
9. Nettoyage & standardisation
   Mettre à jour le GPO Central Store (copier C:\Windows\PolicyDefinitions du 2022 vers \\domaine\SYSVOL\domaine\Policies\PolicyDefinitions), évaluer l’opportunité d’un niveau fonctionnel 2016 pour homogénéiser.

Points de contrôle avant mise en production

Vérification	Commande / méthode	Résultat attendu
Réplique AD saine	repadmin /replsummary	0 échec, latence conforme au design inter‑sites
SYSVOL opé	Partages SYSVOL/NETLOGON	Accessibles sur chaque DC 2022
FSMO basculés	netdom query fsmo	Tous les rôles sur un DC 2022 (ou répartis selon votre modèle)
DNS OK	dcdiag /test:dns /v	Aucune erreur critique
NTP précis	w32tm /query /status	Offset stable (< 5000 ms)
GPO cohérentes	GPMC → Status, Event Logs	Traitements réussis sur clients & serveurs

Scénario alternatif : migration inter‑forêt vers une nouvelle forêt 2022

Opter pour une nouvelle forêt (avec éventuel rename du domaine) permet de repartir d’une base saine et de durcir l’architecture (séparation des rôles, design des sites, nouvelles conventions d’OU/Groupes). La méthode standard repose sur un forest trust temporaire et sur l’outil ADMT (ou équivalents) pour migrer objets et postes avec SIDHistory.

Étape	Détails clés
Créer la nouvelle forêt 2022	Définir schéma d’OU, GPO, nommage ; activer AD Recycle Bin si souhaité.
Établir un trust	Trust bidirectionnel ; désactiver le filtrage SID si vous utilisez SIDHistory.
Migrer avec ADMT	Utilisateurs, groupes, ordinateurs ; conserver les mots de passe ; remplir SIDHistory pour préserver les ACL.
Migrer applications & données	Installer de nouvelles instances si nécessaire ; basculer les backends et partages.
Tests & bascule	Valider authentification, GPO, accès fichiers/impression, applications critiques ; communiquer la date H.
Décommission	Retirer l’ancienne forêt, nettoyer DNS, trusts, comptes de service et GPO héritées.

Bonnes pratiques professionnelles

• Documenter chaque action (captures, journaux, scripts) ; activer Start‑Transcript dans vos sessions PowerShell pour conserver un audit technique.
• Contrôle de version des GPO : exporter via GPMC, archiver, réimporter proprement ; maintenir un Central Store à jour (ADMX Windows 10/11 & Server 2022).
• Surveiller DFS‑R plusieurs jours après la bascule ; alerter sur le backlog et les événements bloquants (2213, 4012, 5014, etc.).
• Durcir la sécurité : privilégier LDAP signing & channel binding, Kerberos AES‑256, désactiver SMBv1/TLS 1.0/1.1, auditer NTLM (puis réduire).
• Plan de retour arrière : pouvoir rebasculer les FSMO, isoler le(s) nouveau(x) DC 2022, restaurer un état du système si nécessaire.
• Design des sites & sous-réseaux : aligner les subnets IP, contrôler les bridgehead automatiques, valider les coûts de site.
• KRBTGT : programmer une double rotation du mot de passe du compte krbtgt (sécurité) après stabilisation de l’environnement.

Runbook condensé

1. Backups État du système de tous les DC.
2. Assainissement : dcdiag / repadmin / DNS / NTP.
3. Migration SYSVOL vers DFS‑R si FRS encore présent.
4. adprep (forest/domain/rodc si besoin).
5. Ajout d’un serveur 2022, promotion en DC, Global Catalog.
6. Vérifications de réplication + santé.
7. Transfert FSMO + services (DNS, DHCP, PKI…).
8. Démotion & retrait des DC 2012 R2, nettoyage métadonnées.
9. Mise à jour Central Store GPO + durcissement sécurité.

Sécurité : paramètres à revisiter après migration

Sujet	Recommandation	Exemple
LDAP	Activer la signature & channel binding, LDAPS pour applis	Publier un certificat DC (« Server Authentication »), tester port 636
NTLM	Auditer puis réduire	Stratégie : Network security: Restrict NTLM en mode audit, puis appliquer
SMB	Désactiver SMBv1	Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Time	Source NTP fiable sur PDC Emulator	w32tm /config /manualpeerlist:"ntp1, ntp2" /syncfromflags:manual /reliable:yes /update

Validation applicative

• Azure AD Connect : vérifier que le connecteur interroge bien des DC 2022 (latence, ports RPC/LDAP ouverts), forcer une sync (Start-ADSyncSyncCycle -PolicyType Delta).
• AD CS : si la CA dépend du domaine, confirmer CRL/AIA, modèles de certificats, publication automatique des certificats DC.
• ADFS/LDAP : ajuster les SPN/URL, certs de service, dépendances DNS.
• GPO : exécuter gpresult /r sur un panel de machines, surveiller les journaux « GroupPolicy » et « User Device Registration ».

Pièges fréquents et remèdes

Symptôme	Cause probable	Remède
Promotion DC 2022 échoue avec mention FRS	SYSVOL en FRS	Migrer vers DFS‑R (dfsrmig 1→2→3), attendre « Eliminated » partout
Kerberos « Clock skew »	NTP mal configuré	Resynchroniser PDC Emulator, vérifier w32tm, corriger Hyper‑V/VMware time sync
Résolution noms erratique	DNS incohérent	Zones AD‑intégrées répliquées, redirecteurs, options DHCP 006/015, nettoyage enregistrements obsolètes
Backlog DFS‑R important	Liaison WAN lente	Planifier la bascule hors charge, privilégier la pré‑seed (robocopy /MIR /COPYALL) avant DFS‑R
Accès fichier refusé après migration inter‑forêt	SIDHistory absent/filtré	Rejouer la migration avec SIDHistory, désactiver filtrage SID pendant la coexistence, puis durcir

Automatiser au maximum : extraits PowerShell utiles

# Vérifier rapidement tous les DC
Get-ADDomainController -Filter * | Select-Object Name,IPv4Address,Site,IsGlobalCatalog,OperatingSystem

# Déployer AD DS sur 2022

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -DomainName "exemple.lan" -InstallDNS -NoGlobalCatalog:$false

# Déplacer FSMO proprement (avec confirmation)

$roles = "SchemaMaster","DomainNamingMaster","PDCEmulator","RIDMaster","InfrastructureMaster"
Move-ADDirectoryServerOperationMasterRole -Identity "DC2022" -OperationMasterRole $roles

# Export DHCP (sur l’ancien) & Import (sur le nouveau)

Export-DhcpServer -ComputerName "DC2012R2" -Leases -File "C:\temp\dhcp.xml"
Import-DhcpServer -ComputerName "DC2022" -Leases -File "C:\temp\dhcp.xml" -BackupPath "C:\temp"

# Central Store GPO (copie des ADMX/ADML)

$src = "C:\Windows\PolicyDefinitions"
$dst = "\exemple.lan\SYSVOL\exemple.lan\Policies\PolicyDefinitions"
robocopy $src $dst *.admx *.adml /e /r:1 /w:1

Plan projet type

1. Préparation : cadrage (périmètre, risques, rôles), inventaire DC, audit réplication/DNS/NTP, LAB représentatif.
2. Exécution pilote : 1 site/OU pilote, supervision renforcée, validation applicative, retours d’expérience.
3. Déploiement généralisé : ajout DC 2022 par site, transfert services, décommission, durcissement sécurité.
4. Stabilisation : surveillance, documentation finale, passage en MCO, opérations d’optimisation (nettoyage UO/Groupes/GPO).

Checklist de go/no‑go

• Aucune erreur critique dcdiag, réplication OK, DNS/Time OK.
• SYSVOL en DFS‑R, Eliminated partout.
• Backups testées (restauration bare‑metal et authoritative sur LAB).
• Nouveaux DC 2022 promus, GC actifs, surveillance en place.
• FSMO transférés et validés.
• Services dépendants (DNS, DHCP, PKI, AAD Connect) opérationnels.
• Plan de retour arrière documenté et testé.
• Communication utilisateurs & équipes support diffusée.

FAQ rapide

Faut‑il relever le niveau fonctionnel après migration ?
Non, pas obligatoire. Le niveau fonctionnel maximal demeure « Windows Server 2016 ». Relevez‑le uniquement si vous ciblez des fonctionnalités spécifiques ou pour homogénéiser.

Peut‑on faire une mise à niveau sur place de 2012 R2 vers 2022 ?
Ce n’est pas recommandé pour un contrôleur de domaine. Préférez l’ajout/migration latérale : nouveaux DC 2022, transfert, puis décommission.

Que se passe‑t‑il si FRS est encore utilisé ?
La promotion d’un DC 2022 échouera. Il faut migrer SYSVOL vers DFS‑R (dfsrmig) avant tout ajout de DC 2022.

Combien de temps garder les anciens DC après bascule ?
Au moins un cycle complet de réplication + supervision applicative (souvent 1–2 semaines) pour s’assurer que rien ne dépend d’eux. Ensuite, démotion propre et nettoyage.

Les GPO existantes continueront‑elles de fonctionner ?
Oui. Mettez à jour le Central Store pour bénéficier des nouveaux paramètres Windows 10/11 & Server 2022.

Et si je veux renommer mon domaine ?
Privilégiez la migration inter‑forêt vers une nouvelle forêt 2022 : plus propre et moins risqué qu’un domain rename dans un environnement moderne.

Résumé exécutif

La migration d’Active Directory de Windows Server 2012 R2 vers 2022 est pleinement réalisable sans interruption majeure. Ce qui compte : (1) niveau fonctionnel ≥ 2008 et SYSVOL en DFS‑R, (2) nouveaux DC 2022 ajoutés puis promus avec validation des rôles/services, (3) démotion des anciens DC après vérifications exhaustives. Une migration inter‑forêt avec SIDHistory s’impose si vous souhaitez refondre l’architecture ou renommer le domaine.

---

Annexe : commandes de diagnostic & santé

# Santé globale
dcdiag /c /v /e /f:C:\temp\dcdiag.log
repadmin /replsummary > C:\temp\replsummary.txt
repadmin /showrepl * /csv > C:\temp\repl.csv

# Topologie & sites

ntdsutil "activate instance ntds" "metadata cleanup" quit
Get-ADReplicationSiteLink -Filter * | Select Name,Cost,ReplicationFrequencyInMinutes
Get-ADReplicationSubnet -Filter * | Select Name,Site

# Rôles FSMO

netdom query fsmo

# Inventaire DC

Get-ADDomainController -Filter * | ft Name,IPv4Address,Site,IsReadOnly,OperatingSystem -AutoSize

# DFS-R backlog

Get-DfsrBacklog -GroupName "Domain System Volume" -SourceComputerName "DC2022" -DestinationComputerName "DC2012R2"

# GPO

Get-GPO -All | Sort DisplayName | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime

# LDAPS (test rapide)

Test-NetConnection -ComputerName dc2022.exemple.lan -Port 636 

Annexe : modèle de communication utilisateur

[INFO] Maintenance Active Directory
Quand : <date/heure> (fenêtre <durée>)
Impact : authentification résiliente – aucune coupure attendue
Ce qui change : ajout de contrôleurs de domaine Windows Server 2022, retrait progressif des anciens serveurs
Support : <contact> | <numéro>

Annexe : plan de retour arrière simplifié

1. Arrêter/retirer temporairement les DC 2022 du trafic (retirer du DNS, désenregistrer les SRV si besoin).
2. Rebasculer les FSMO vers un DC 2012 R2 (Move-ADDirectoryServerOperationMasterRole).
3. Restaurer un DC stable depuis la sauvegarde État du système si une corruption est suspectée.
4. Réactiver progressivement les services, surveiller repadmin et l’Event Log.

---

Sources de référence employées pour établir ce guide : documentation officielle Microsoft, guides de compatibilité des niveaux fonctionnels, retours d’expérience terrain. Aucune URL externe n’est incluse conformément à votre demande.