Migration Active Directory : mise à niveau de Windows Server 2012 R2 vers Windows Server 2019 (guide pas à pas, PowerShell, meilleures pratiques)

Remplacez vos contrôleurs de domaine Windows Server 2012 R2 par Windows Server 2019 sans recréer le domaine. Ce guide pas à pas couvre les prérequis, la promotion, le transfert des rôles FSMO, la migration DNS/DHCP, les validations, la démotion et les bonnes pratiques de sécurité.

Sommaire

Vue d’ensemble du problème

L’objectif est de renouveler l’infrastructure Active Directory (AD) en introduisant un ou plusieurs contrôleurs de domaine (DC) Windows Server 2019, tout en conservant le même domaine/forêt et en retirant proprement les DC Windows Server 2012 R2. Cette approche « side‑by‑side » permet d’exploiter les nouveautés de 2019 (améliorations de DFSR, durcissement SMB/TLS, fonctionnalités de sécurité, performances) tout en maîtrisant le risque grâce à un basculement contrôlé et réversible.

Architecture cible et principes de migration

Principe : ajouter un DC 2019 au domaine existant, répliquer AD/DNS/SYSVOL, transférer les rôles FSMO, migrer les services périphériques (DNS, DHCP, NPS si concerné), valider, puis démonter les DC 2012 R2.
Compatibilité : Windows Server 2019 exige la réplication SYSVOL par DFSR (pas FRS), et un niveau fonctionnel domaine/forêt ≥ 2008. Les clients (Windows 7/8.1/10/11) continuent de fonctionner.
Disponibilité : conserver au moins deux DC pendant toute la migration (idéalement un par site critique). Les rôles DNS doivent rester redondants.
Éviter l’in‑place upgrade : même si possible dans certains cas, l’ajout de nouveaux DC 2019 est plus propre (moins de dettes techniques, pas de rollback « opaque »).

Solution synthétique

Étape	Action	Détails et conseils pratiques
1. Pré‑requis et contrôles de santé	• Sauvegarde complète du/des DC 2012 R2 (État du système + bases applicatives). • Exécuter `dcdiag /v` et `repadmin /replsummary` pour valider la réplication. • Confirmer SYSVOL en DFSR (migrer si FRS). • Niveaux fonctionnels domaine/forêt ≥ 2008.	Vérifier les erreurs Directory Service, DNS Server, DFSR dans l’Observateur d’événements. Contrôler la santé DNS : zones AD‑intégrées, mise à jour dynamique, absence de doublons NS/SOA. Si RODC présent : planifier `adprep /rodcprep` avant d’ajouter un DC 2019 sur des sites RODC.
2. Préparation du nouvel hôte	• Matériel : x64, 4 Go RAM (≥16 Go recommandé), ≥32 Go libres (≥100 Go conseillé), microcodes à jour. • Installer Windows Server 2019 (Desktop Experience ou Core). • Appliquer les derniers correctifs Windows Update avant promotion.	Nommer le serveur selon votre convention (`DC-2019-01`…), partitionner (OS, `NTDS`, `SYSVOL`, `Logs`), activer la protection anti‑malware compatible DC. Ne désactivez pas IPv6 (mauvaise pratique en AD). Laissez IPv6 activé même si l’environnement est majoritairement IPv4. Synchroniser l’heure : durant la phase, le PDC Emulator 2012 R2 reste source NTP.
3. Joindre le serveur 2019 au domaine	• Renommer l’hôte avant adhésion. • Joindre via les paramètres système ou PowerShell (`Add-Computer`).	`Add-Computer -DomainName "mondomaine.local" -Restart` Placez le serveur dans l’OU Serveurs, appliquez vos GPO de durcissement, et raccordez-le au site AD correct (Sites and Services).
4. Promotion en contrôleur de domaine	• Installer le rôle AD DS. • Lancer l’assistant de promotion (Server Manager) ou PowerShell.	Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSDomainController -DomainName "mondomaine.local" -InstallDns ` -SiteName "PARIS" -NoGlobalCatalog:$false -SafeModeAdministratorPassword (Read-Host -AsSecureString) L’assistant exécute automatiquement adprep /forestprep et adprep /domainprep si requis. Vérifiez que la réplication SYSVOL est bien en DFSR avant la promotion.
5. Transfert des rôles FSMO	Sur le nouveau DC : `Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" -OperationMasterRole 0,1,2,3,4`	Rôles transférés : Schema Master, Domain Naming Master, PDC Emulator, RID Master, Infrastructure Master. Placer le Global Catalog sur au moins deux DC (dont le nouveau). Basculer le service temps sur le nouveau PDC (cf. section « Temps/NTP »).
6. Migration des services liés	• DNS : zone AD‑intégrée ⇒ réplication automatique. • DHCP : exporter 2012 R2 puis importer sur 2019. • Scripts de connexion, NPS, agents de sauvegarde, etc.	`# DHCP Export-DhcpServer -ComputerName "DC2012R2" -File "C:\Temp\dhcp.xml" -Leases -Verbose Import-DhcpServer -ComputerName "DC2019" -File "C:\Temp\dhcp.xml" -Leases -BackupPath "C:\DHCPBackup" -Verbose Add-DhcpServerInDC -DnsName "dc2019.mondomaine.local" -IPAddress 10.0.0.5 # DNS Forwarders Get-DnsServerForwarder Add-DnsServerForwarder -IPAddress 1.1.1.1 Set-DnsServerScavenging -ScavengingState $true -ScavengingInterval (New-TimeSpan -Days 7)` Si des applications référencent l’IP de l’ancien DC, envisagez de réattribuer cette IP au nouveau DC après validation pour éviter des modifications massives.
7. Validation post‑promotion	* Re‑exécuter `dcdiag`, `repadmin /syncall /AdeP`. * Vérifier les journaux AD DS/DFSR/DNS. * Tester authentification, GPO, scripts, accès partagés.	`dcdiag /v repadmin /replsummary repadmin /showrepl * /csv > C:\Temp\repl.csv Set-ADDomainController -Identity "DC2019" -IsGlobalCatalog $true nltest /dclist:mondomaine.local gpresult /r` Contrôlez que `NETLOGON` et `SYSVOL` sont partagés (`net share`) et que les enregistrements `_ldap._tcp.dc._msdcs` référencent le nouveau DC.
8. Démotion et retrait des anciens DC	* Sur chaque DC 2012 R2 : Uninstall‑ADDSDomainController (GUI ou PowerShell). * Nettoyer les métadonnées si nécessaire.	Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -ForceRemoval:$false # Si échec : nettoyage ntdsutil "metadata cleanup" "connections" "connect to server DC2019" "quit" ` "select operation target" "list domains" "select domain X" "list sites"` "select site Y" "list servers in site" "select server Z" "quit" "remove selected server" "quit" Supprimez l’hôte DNS, les enregistrements SRV restants et l’objet serveur sous Sites and Services.
9. Mise à jour des niveaux fonctionnels	* Une fois tous les DC 2012 R2 retirés : `Set-ADForestMode –ForestMode Windows2016Forest` `Set-ADDomainMode –DomainMode Windows2016Domain`	Il n’existe pas de mode « 2019 ». Les niveaux 2016 sont les plus récents pour AD DS LTSC et débloquent certaines fonctionnalités (Privileged Access Management, etc.).

Contrôles préalables détaillés

Vérifier la santé AD/DNS

dcdiag /v
dcdiag /test:DNS /v
repadmin /replsummary
repadmin /showrepl *

Corriger avant la promotion : erreurs de réplication, objets orphelins, tombstones, zones DNS manquantes, USN rollback.
Nettoyer les enregistrements obsolètes via la récupération d’anciens enregistrements (scavenging) et activer la mise à jour dynamique sécurisée.

Confirmer DFSR pour SYSVOL et migrer si besoin

dfsrmig /getglobalstate
dfsrmig /setglobalstate 1   # Prepared
dfsrmig /setglobalstate 2   # Redirected
dfsrmig /setglobalstate 3   # Eliminated
dfsrmig /getmigrationstate  # Attendre « réplication convergée » sur tous les DC

Contrôlez les journaux DFS Replication et l’existence des partages SYSVOL/NETLOGON. L’état « Eliminated » signifie que FRS est désactivé et que DFSR porte la réplication de SYSVOL.

Niveaux fonctionnels et schéma

(Get-ADForest).ForestMode
(Get-ADDomain).DomainMode
# Si plusieurs domaines&nbsp;: répéter dans chaque domaine

Si le schéma est ancien, la promotion d’un DC 2019 lancera automatiquement adprep. Prévoir un compte Enterprise Admins + Schema Admins.

Promotion d’un DC Windows Server 2019 – Guide pas à pas

Installer le rôle AD DS et les outils RSAT AD.
Depuis le Server Manager, cliquer « Promote this server to a domain controller » et choisir « Ajouter un contrôleur de domaine à un domaine existant ».
Cocher « Serveur DNS » et « Catalogue global ». Renseigner le site AD correct.
Spécifier les chemins : C:\Windows\NTDS, C:\Windows\SYSVOL (ou disques dédiés).
Valider le résumé et redémarrer automatiquement.

Après redémarrage, vérifier :

net share affiche SYSVOL et NETLOGON.
dcdiag sans erreur critique.
Dans DNS, les enregistrements SRV (_ldap._tcp, _kerberos._tcp) pour le nouveau DC.

Transférer les rôles FSMO en toute sécurité

Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" `
  -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

# Vérifier

netdom query fsmo

PDC Emulator : c’est le DC de référence pour l’heure, le verrouillage de compte, et d’autres opérations sensibles. Testez la charge après bascule (journal System : W32Time, NetLogon).

Reconfigurer le service de temps (W32Time)

Sur le nouveau PDC :

w32tm /config /manualpeerlist:"time1.google.com time.windows.com" /syncfromflags:manual /reliable:yes /update
net stop w32time &amp; net start w32time
w32tm /resync /force
w32tm /query /status

Sur les autres DC/serveurs/clients, laissez la source par défaut (NT5DS) pour suivre le domaine.

Migration DNS et DHCP : bonnes pratiques

DNS

Les zones AD‑intégrées se répliquent automatiquement. Vérifiez les NS et SOA.
Activez la purge (scavenging) et un TTL cohérent (ex. 1 heure) pour limiter les enregistrements obsolètes.
Sur chaque DC : configurez le DNS préféré vers un autre DC et en secondaire sur lui‑même (pour éviter un démarrage « en autarcie »).

DHCP

Exporter la configuration et les baux du serveur 2012 R2.
Importer sur 2019 et autoriser le serveur DHCP dans AD.
Basculer les options 003/006/015 vers le nouveau serveur (ou conserver la même IP que l’ancien).
Si deux serveurs DHCP : configurer un cluster de basculement (failover) load‑balance 50/50.

Validation post‑promotion approfondie

Contrôle	Commande/Emplacement	Résultat attendu
Santé AD	`dcdiag /v`, `repadmin /replsummary`	0 erreur critique, délais < latence inter‑sites autorisée
SYSVOL	Partages & journal DFSR	`SYSVOL`/`NETLOGON` présents, réplication convergée
DNS	Console DNS, `dcdiag /test:DNS`	SRV/NS corrects, pas de doublons
Authentification	`nltest /dsgetdc:mondomaine.local`	Le nouveau DC est détecté depuis plusieurs sous‑réseaux
GPO	`gpupdate /force`, `gpresult /h`	Application sans erreur, latence faible

Démotion et retrait des DC 2012 R2

Assurez‑vous qu’aucun rôle FSMO n’est encore détenu par les DC 2012 R2 (netdom query fsmo).
Vérifiez que le nouveau DC est Global Catalog et que les sites sont corrects.
Démotez chaque ancien DC proprement (assistant ou PowerShell). Ne cochez l’option « Force Removal » qu’en dernier recours.
Nettoyez Sites and Services > Servers > NTDS Settings si un objet persiste.
Supprimez les enregistrements DNS restants (A, PTR, SRV) et l’ordinateur du domaine si requis.

Mise à jour des niveaux fonctionnels

Après retrait de tous les DC < 2016 :

Set-ADForestMode -ForestMode Windows2016Forest
Set-ADDomainMode -DomainMode Windows2016Domain
(Get-ADForest).ForestMode
(Get-ADDomain).DomainMode

Cette opération est irréversible. Vérifiez la compatibilité d’éventuels contrôleurs de domaine en périphérie (RODC) et applications qui s’intègrent profondément à AD.

Durcissement sécurité recommandé pendant la migration

SMB : SMBv1 non installé par défaut en 2019 ; retirer tout reliquat. Forcer la signature SMB là où pertinent.
TLS : désactiver TLS 1.0/1.1, privilégier TLS 1.2+ selon le parc applicatif.
LDAPS : déployer un certificat Domain Controller Authentication valide (AD CS ou AC tierce) pour sécuriser les liaisons LDAP.
gMSA : migrer les services vers des comptes gérés de groupe pour rotation automatique des secrets.
Audit : activer les catégories d’audit avancées (DS Access, Account Logon/Management) et centraliser les journaux.

Plan de tests fonctionnels (avant bascule définitive)

Connexion interactive sur différents sites, ouverture de session rapide et sans erreurs.
Accès aux partages administratifs (\\domain\netlogon, \\domain\sysvol).
Création d’un utilisateur et d’une GPO de test ; réplication inter‑sites.
Résolution DNS (A, PTR, SRV), enregistrement dynamique depuis clients DHCP.
Applications « AD‑aware » (SSO, NPS/RADIUS, sauvegarde, antivirus, impression) : tests d’authentification et de schéma.

Dépannage : erreurs fréquentes et corrections

Symptôme	Cause probable	Résolution
Promotion échoue : « FRS détecté »	SYSVOL toujours répliqué par FRS	Migrer SYSVOL vers DFSR via `dfsrmig`, attendre l’état « Eliminated », relancer la promotion
Clients ne résolvent plus le DC	Enregistrements DNS SRV/NS incohérents	Forcer la régénération `ipconfig /registerdns`, nettoyer doublons, valider la réplication DNS
Basculement RID/PDC bloqué	Latence de réplication ou permissions	Vérifier `repadmin`, exécuter avec un compte Enterprise Admins, contrôler la connectivité RPC/Firewall
GPO non appliquées	SYSVOL non convergé ou GPT.ini absent	Vérifier `DFSR`, `net share`, journal « GroupPolicy » ; forcer `gpupdate /force`
Heure dérive après bascule	NTP mal reconfiguré	Reconfigurer W32Time sur le nouveau PDC (`w32tm`), valider `/query /status`

Scripts PowerShell prêts à l’emploi

Checklist automatique de santé (extrait)

# Santé AD/DNS
dcdiag /v
dcdiag /test:DNS /v
repadmin /replsummary
repadmin /showrepl * /csv | Out-File C:\Temp\repl.csv

# Niveaux fonctionnels

"{0} / {1}" -f (Get-ADDomain).DomainMode,(Get-ADForest).ForestMode

# DC list & rôles

nltest /dclist:mondomaine.local
netdom query fsmo

# DNS : recap forwarders

Get-DnsServerForwarder | Format-Table -Auto

Promotion rapide (Core friendly)

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
$pwd = Read-Host "Mot de passe DSRM" -AsSecureString
Install-ADDSDomainController -DomainName "mondomaine.local" -InstallDns -SiteName "PARIS" `
  -NoGlobalCatalog:$false -DatabasePath "D:\NTDS" -LogPath "E:\NTDSLogs" -SysvolPath "F:\SYSVOL" `
  -SafeModeAdministratorPassword $pwd -Force:$true

Bascule FSMO & Global Catalog

Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" -OperationMasterRole 0,1,2,3,4
Set-ADDomainController -Identity "DC2019" -IsGlobalCatalog $true
netdom query fsmo

Bonnes pratiques complémentaires

Compatibilité applicative : vérifiez que l’antivirus, la sauvegarde, l’audit, la supervision et NPS supportent 2019.
Adresse IP : conserver l’IP de l’ancien DC principal simplifie la transition (DHCP Option 006, imprimantes, appliances). Planifiez ce swap après validation.
Fenêtre de maintenance : concentrez FSMO, DHCP et toute bascule d’IP pendant une fenêtre approuvée.
Retour arrière : tant qu’aucun DC 2012 R2 n’est démonté, vous pouvez revenir en arrière. La sauvegarde État du système permet une restauration en dernier recours.
Documentation : journalisez chaque action (date, heure, commande, résultat) pour l’audit et les itérations futures.

Checklists opérationnelles

Avant la promotion

Sauvegardes testées (restore bare‑metal/État du système).
dcdiag/repadmin propres, DNS OK, SYSVOL en DFSR.
Comptes et groupes d’administration vérifiés (pas d’expiration imprévue).
Ports réseau ouverts : LDAP/LDAPS, Kerberos, RPC, DNS, SMB, WMI.
Serveur 2019 patché et rattaché au bon site AD.

Après la promotion

Le nouveau DC apparaît dans Active Directory Users and Computers & Sites and Services.
SRV/NS générés, _msdcs à jour.
Global Catalog activé sur au moins deux DC.
FSMO transférés et validés (netdom query fsmo).
NTP basculé vers le nouveau PDC.

Avant la démotion des 2012 R2

Tests de connexion/GPO/SSO réalisés côté utilisateurs.
DHCP migré et autorisé, baux en cours visibles.
Surveillance : pas d’erreurs récurrentes dans AD DS/DFSR/DNS.
Plan de rollback documenté (incluant restauration AD si nécessaire).

FAQ

Puis‑je faire une mise à niveau in‑place d’un DC 2012 R2 vers 2019 ?
C’est parfois supporté mais déconseillé : vous emportez la dette logicielle et vous complexifiez le retour arrière. Le scénario ajouter un DC 2019 → transférer → retirer est plus sûr.

Dois‑je élever les niveaux fonctionnels ?
Pas obligatoire. Faites‑le après retrait de tout DC < 2016 pour débloquer des fonctions spécifiques. Testez les applications sensibles (IAM, PKI, SSO) avant.

Combien de DC 2019 prévoir ?
Au minimum deux pour la redondance. Ajoutez un DC par site isolé ou critique (latence WAN, authentification locale, résilience DHCP/DNS).

IPv6 peut‑il être désactivé ?
Non recommandé. AD utilise des mécanismes qui supposent IPv6 présent. Laissez IPv6 activé, même si la majorité du trafic reste IPv4.

Exemple de déroulé projet (indicatif)

J‑30 à J‑15 : audit santé AD/DNS, inventaire applicatif AD‑aware, validation sauvegardes, approbations de changement.
J‑14 à J‑7 : migration SYSVOL vers DFSR si nécessaire, préparation des hôtes 2019.
J‑6 à J‑3 : promotion du premier DC 2019 (GC), validations, tests.
J‑2 : promotion d’un second DC 2019 (GC), bascule FSMO, configuration NTP.
J‑1 : migration DHCP, vérifs finales, plan de bascule IP (si retenu).
J : démotion contrôlée des DC 2012 R2, nettoyage métadonnées, surveillance renforcée.
J+7 : élévation des niveaux fonctionnels (optionnel), documentation finale.

Conclusion

En suivant ce parcours structuré, vous obtenez un domaine Active Directory pleinement fonctionnel sous Windows Server 2019, avec interruption minimale et un socle plus sûr : SYSVOL sous DFSR, DC 2019 durcis, rôles FSMO recentrés, DNS/DHCP migrés et supervision en place. La démarche « ajouter‑valider‑basculer‑retirer » réduit drastiquement le risque et simplifie les futures évolutions (virtualisation protégée, durcissement TLS, gMSA, PAM).

Astuce finale : conservez un journal de bord (commande, horodatage, résultat, capture d’écran) ; c’est votre meilleur allié pour l’audit et l’industrialisation des prochaines montées de version.