Windows Server 2019 Essentials vs 2012 R2 : peut‑on partager le même Active Directory ? (réplication, DFSR, RODC)

Cas concret : vous exploitez un contrôleur de domaine Windows Server 2012 R2 (site A) et disposez d’un Windows Server 2019 Essentials (site B, distant). L’objectif est d’administrer le même Active Directory depuis les deux sites, avec réplication fiable et reprise en cas de panne.

Sommaire

Deux serveurs (2012 R2 & 2019 Essentials) peuvent‑ils partager le même Active Directory on‑prem ?

Vue d’ensemble de la question

Serveur A : Windows Server 2012 R2, AD DS en production (DC/DNS/GC).
Serveur B : Windows Server 2019 Essentials, quelques services, situé à distance (≈ 2 h).
But : répliquer AD DS sur B pour administrer l’annuaire depuis A ou B.

Réponse & solution

En principe, oui : un même domaine peut comporter plusieurs contrôleurs de domaine (DC) qui se répliquent, y compris entre sites. Dans votre cas précis, non avec l’édition Essentials 2019 : dès qu’un Windows Server 2019 Essentials est configuré en contrôleur de domaine, il doit être l’unique DC du domaine, détenir tous les rôles FSMO, être racine de forêt et ne pas avoir de relations d’approbation. Le système vérifie cette conformité et, en cas de non‑respect persistant, peut déclencher des arrêts automatiques après avertissements. Il ne peut donc pas rejoindre, en tant que DC secondaire, un domaine déjà porté par votre 2012 R2.

Chemins recommandés

Convertir B en édition Standard, puis l’ajouter comme DC répliqué du domaine existant.
- Conversion d’édition (license conversion) : passage d’Essentials → Standard avec une clé valide, sans réinstallation. Ensuite, promotion de B en contrôleur de domaine supplémentaire.
- C’est la voie standard pour obtenir redondance, administration locale au site B et résilience WAN.
Alternative temporaire : laisser B hors rôle DC et administrer AD à distance (RSAT/PowerShell) depuis B. Cela n’apporte aucune redondance (si A tombe, plus d’authentification locale au site B). Attention : l’édition Essentials impose des contraintes de conformité. Un Essentials non conforme (par exemple, membre du domaine mais pas DC conforme) est susceptible de se mettre en défaut après période de grâce.

Mise en œuvre (si vous passez B en Standard / ou déployez un nouveau Standard au site B)

Pré‑requis clés

Niveau fonctionnel forêt/domaine ≥ Windows Server 2008 : exigé pour introduire un DC 2019+.
SYSVOL en DFSR : FRS n’est pas supporté par les DC 2019+ (la promotion échoue si le domaine réplique encore SYSVOL via FRS). Migrer FRS→DFSR avant d’ajouter le nouveau DC.
Réseau sécurisé inter‑sites : VPN site‑à‑site, chiffré. Ouvrir les ports requis AD (voir tableau ci‑dessous), dont RPC dynamique 49152‑65535/TCP.

Ports à autoriser entre sites (pare‑feux, SD‑WAN, VPN)

Service	Port(s)	Protocole	Remarques
DNS	53	TCP/UDP	Résolution entre DC & clients
Kerberos	88, 464	TCP/UDP	Auth et changement de mot de passe
LDAP / LDAPS	389, 636	TCP/UDP (389), TCP (636)	LDAP non chiffré / chiffré
Global Catalog	3268, 3269	TCP	Requêtes multi‑domaines
RPC Endpoint Mapper	135	TCP	Init des sessions RPC
RPC dynamiques	49152‑65535	TCP	Plage par défaut depuis 2008
SMB	445	TCP	Réplication SYSVOL/Netlogon
AD Web Services	9389	TCP	RSAT / PowerShell AD
Time (NTP)	123	UDP	Alignement horloge/Kerberos

Étapes — vue d’ensemble

Préparer B (Standard) : IP statique, Preferred DNS pointant d’abord sur A, horloge synchronisée (NTP).
Joindre B au domaine (membre).
Installer AD DS + DNS, puis promouvoir : « Ajouter un contrôleur de domaine à un domaine existant » (cocher Catalogue global si nécessaire au site B).
Sites et services AD : créer 2 sites, y affecter les sous‑réseaux, et créer un lien de site avec intervalle adapté. Par défaut, l’inter‑site répète toutes les 180 min (minimum 15 min).
DNS : installer DNS sur B, configurer les redirecteurs (vers DNS amont/ISP), puis faire que A et B se référencent mutuellement en DNS préféré/secondaire.
Valider : réplication (« dcdiag », « repadmin /replsummary »), présence des partages SYSVOL et NETLOGON sur B, enregistrements SRV dans DNS (_ldap._tcp, _kerberos._tcp, GC).

Commandes utiles (contrôles rapides)

# État réplication et diagnostics
repadmin /replsummary
repadmin /showrepl
dcdiag /v

# Vérifier la présence des partages SYSVOL / NETLOGON

net share

# Vérifier les enregistrements DNS SRV

nslookup -type=SRV \_ldap.\_tcp.dc.\_msdcs.\

# Vérifier niveaux fonctionnels (sur un DC)

powershell -command "Get-ADForest | fl ForestMode; Get-ADDomain | fl DomainMode"

# État migration SYSVOL (si FRS→DFSR à conduire)

dfsrmig /getglobalstate
dfsrmig /getmigrationstate

Migrer FRS → DFSR (si nécessaire, avant d’introduire le DC 2019)

Évaluer : si la promotion de B renvoie un message indiquant que le domaine utilise FRS, la migration est obligatoire.
Étapes standard : Prepared → Redirected → Eliminated via dfsrmig. Attendre l’achèvement à chaque phase (dfsrmig /getmigrationstate doit indiquer la réussite sur tous les DC).
Contrôler : événements DFSR 8013/8028/2213, partages actifs, réplication OK.

Conception inter‑sites : intervalle & bande passante

Par défaut, la réplication intra‑site est pilotée par notifications quasi immédiates, alors qu’en inter‑site l’intervalle par défaut est 180 minutes (plancher : 15 minutes). Adaptez cet intervalle en fonction de la latence et des volumétries (GPO, création d’objets, etc.). Un intervalle plus court réduit la latence mais consomme plus de WAN.

Option selon le risque du site B

Si le site B est exposé (sécurité physique/vol, opérateur tiers), envisagez un RODC (Read‑Only Domain Controller). Il ne stocke qu’un sous‑ensemble d’identifiants (mot de passe cacheable par filtrage), limite l’impact en cas de compromission et nécessite Standard/Datacenter. Essentials ne convient pas (contrainte d’unicité DC + FSMO).

FAQ : cas fréquents et décisions

Un Windows Server 2019 Essentials peut‑il devenir DC secondaire à côté d’un DC 2012 R2 ?

Non. Dès lors qu’Essentials est DC, il doit être l’unique DC du domaine, tenir tous les rôles FSMO, être racine de forêt et ne pas établir d’approbations. Le produit contrôle cette configuration ; en cas de non‑conformité prolongée, des arrêts automatiques peuvent survenir.

Peut‑on laisser Essentials comme simple « membre » du domaine ?

Ce n’est pas l’usage attendu par la licence Essentials. La conformité est contrôlée ; si Essentials n’est pas dans l’état requis, le système peut le signaler et, à terme, procéder à un arrêt planifié. En pratique, cette approche est à éviter.

Convertir Essentials → Standard sans réinstaller, c’est possible ?

Oui, via une conversion d’édition (license conversion) en fournissant une clé Standard valide. Exemple d’instruction (à adapter à votre clé) :

DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Un redémarrage est requis. Ensuite, joignez le serveur au domaine (si ce n’était pas le cas) et promouvez‑le en DC supplémentaire.

Mon domaine tourne encore en FRS : que faire ?

Avant toute promotion d’un DC 2019/2022/2025, migrer SYSVOL en DFSR :

dfsrmig /setglobalstate 1 (Prepared)
dfsrmig /setglobalstate 2 (Redirected)
dfsrmig /setglobalstate 3 (Eliminated)

Valider l’état après chaque phase : dfsrmig /getmigrationstate → « tous les DC ont atteint l’état… ».

Quels rôles FSMO placer où ?

Dans un petit domaine à deux DC (A et B), placer PDC Emulator+RID+Infrastructure sur A (primaire) et Domain Naming+Schema sur A également, puis planifier un plan de bascule FSMO vers B en cas d’indisponibilité prolongée de A.
Activer Catalogue global sur B si le site requiert des recherches globales rapides (beaucoup d’objets/applications).

Faut‑il ouvrir tout le range RPC (49152‑65535) ?

Oui, entre DC (et outils d’admin) au travers du VPN/pare‑feu, car de nombreux services AD utilisent des ports dynamiques négociés après le contact sur 135/TCP. Restreignez ces flux aux segments/sites nécessaires.

Quelle latence/débit supporte la réplication inter‑sites ?

Active Directory tolère une latence raisonnable. En pratique, avec un intervalle de 15–30 min et un lien stable (quelques Mbps), les déploiements PME fonctionnent bien. Évitez les liens instables : privilégiez un VPN IPsec permanent plutôt qu’un accès aléatoire.

Notre DC 2012 R2 est encore en production, est‑ce acceptable ?

Windows Server 2012/2012 R2 est en fin de support étendu ; un programme ESU existe mais reste transitoire. Profitez de ce projet pour moderniser (ajout d’un DC Standard récent, migration des rôles et décommissionnement progressif du 2012 R2).

Comparatif rapide : Essentials vs Standard dans votre scénario

Capacité / contrainte	2019 Essentials	2019/2022/2025 Standard
Peut être DC supplémentaire dans un domaine existant	Non (si DC : doit être l’unique DC + FSMO + racine de forêt)	Oui
Relations d’approbation inter‑forêts	Non (interdites si Essentials est DC)	Oui, selon la conception
RODC (DC en lecture seule)	Non	Oui
Limites d’utilisateurs/appareils	25 utilisateurs / 50 appareils	Selon CALs et licences
Comportement en cas de non‑conformité DC	Avertissements puis arrêts automatiques possibles	N/A

Procédure détaillée (cas recommandé : convertir B en Standard et l’ajouter comme DC)

1) Vérifications initiales

Sauvegardes : état système du DC A (ntds.dit, SYSVOL, DNS) + sauvegarde B.
Santé AD : dcdiag /v, repadmin /replsummary, absence d’erreurs DFSR/NTDS, GPO stables.
DNS : zones AD‑intégrées en bonne santé ; pas d’enregistrements SRV orphelins.
FRS : si encore présent → planifier la migration vers DFSR avant tout.

2) Conversion d’édition d’Essentials vers Standard

Sur B (Windows Server 2019 Essentials), exécuter la conversion avec une clé Standard valide :

DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Redémarrer. Vérifier l’édition : winver ou dism /online /Get-CurrentEdition.

3) Préparer l’intégration au domaine

Configurer DNS préféré sur B → IP du DC A ; DNS secondaire : à vide pour l’instant (on inversera plus tard).
Vérifier la résolution DNS : nslookup <nomDC-A>, _msdcs, etc.
Ouvrir/valider les ports inter‑sites (tableau ci‑dessus) à travers le VPN/pare‑feu.

4) Promotion de B en DC supplémentaire

Ajouter le rôle AD DS + DNS sur B.
Lancer l’assistant : « Ajouter un contrôleur de domaine à un domaine existant ». Utiliser un compte Enterprise Admins.
Cocher Catalogue global si souhaité pour le site B. Ne pas cocher RODC (writable DC dans ce cas).
Finaliser, redémarrer, puis vérifier les partages SYSVOL/NETLOGON et l’enregistrement SRV du DC B en DNS.

5) Créer la topologie inter‑sites

Dans Sites et services Active Directory, créer les sites Site-A et Site-B.
Associer chaque sous‑réseau à son site (ex. 10.10.0.0/24 → Site‑A, 10.20.0.0/24 → Site‑B).
Configurer un lien de site (DEFAULTIPSITELINK ou dédié) et ajuster l’intervalle (180 min par défaut, 15–30 min conseillé pour PME avec WAN correct).
Éventuellement, activer la notification de changement inter‑sites si la latence doit être réduite (mise en œuvre avancée).

6) DNS & test de bascule

Basculer le DNS secondaire : A pointe vers B, B pointe vers A. Configurer les redirecteurs (vers résolveurs externes).
Tester les logons et la résolution DNS depuis le site B en cas d’isolement du lien WAN (simulation courte).

7) Nettoyage et documentation

Éliminer les erreurs résiduelles (dcdiag propre, repadmin sans échec).
Documenter les mots de passe DSRM, rôles FSMO, IP, ports, et procédures de reprise.

Points d’attention (pièges fréquents)

Ne pas promouvoir un 2019 Essentials en DC secondaire : non conforme (unicité DC + FSMO + racine de forêt), risque d’arrêts automatiques après avertissements.
SYSVOL encore en FRS : la promotion d’un DC 2019+ échouera. Migrer en DFSR avant.
Ports RPC dynamiques non ouverts : réplication dégradée/échecs, promotions bloquées.
Time skew : Kerberos échoue si l’horloge dérive (NTP obligatoire).
DNS mal configuré (statique/loopback erroné) : résolutions SRV/GC foireuses, GPO non appliquées.
WAN instable : prévoir des sites AD correctement déclarés pour limiter le trafic, et des alertes sur la queue DFSR.

Architecture de référence (PME multi‑sites)

Deux DC écriture (A et B) avec DNS/GC sur chaque site, zones AD‑intégrées.
Sites AD déclarés, sous‑réseaux associés, lien inter‑site 15–30 min (selon WAN).
Surveillance : journaux DFSR/NTDS/DNS, repadmin, alertes latence réplique > x minutes.
SecOps : VPN IPsec, filtrage ports AD, accès d’admin restreints (Just‑Enough Admin), bastionnement.
Option sécurité site distant : RODC (si risque élevé), distribution limitée des secrets.

Checklist express

✅ Sauvegardes DC A et serveur B
✅ Santé AD/DNS OK (dcdiag, repadmin)
✅ FRS → DFSR migré
✅ Conversion Essentials → Standard réalisée (B)
✅ Ports inter‑sites ouverts (53, 88, 135, 389, 445, 464, 636, 3268/3269, 49152‑65535, 9389, 123)
✅ Promotion B en DC, SYSVOL/NETLOGON partagés
✅ Sites/sous‑réseaux/lien de site configurés
✅ DNS mutuel A↔B, redirecteurs, GC si nécessaire
✅ Tests de logon/GPO sur site B, isolation WAN simulée
✅ Documentation et supervision mises à jour

Conclusion

En bref : partager le même Active Directory entre vos sites A et B est non seulement possible, mais recommandé pour la continuité de service — à condition de laisser tomber l’édition Essentials en tant que DC. Convertissez le Windows Server 2019 Essentials en Standard (ou déployez un nouveau serveur Standard/Datacenter au site B), migrez FRS → DFSR si besoin, ouvrez les ports AD, définissez correctement vos Sites AD, installez DNS sur chaque DC et validez la réplication. Vous obtiendrez une administration depuis A et B, une authentification locale au site distant et une vraie résilience en cas d’incident réseau ou matériel.

Note modernisation : Windows Server 2012 R2 est en fin de support ; profitez de ce chantier pour planifier le retrait du 2012 R2 après ajout du nouveau DC, transfert progressif des rôles/services et décommissionnement propre.

Résumé exécutif : Essentials 2019 ne peut pas coexister comme DC répliqué dans un domaine existant. La solution sûre et pérenne est de convertir ou remplacer B par une édition Standard, puis de l’ajouter comme DC supplémentaire. Réussite conditionnée à : DFSR actif pour SYSVOL, ports ouverts, Sites AD bien définis, DNS cohérent et tests de réplication/connexion.