MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Réplication Active Directory : faire coexister un Windows Server 2012 R2 et un Windows Server 2019 Essentials entre deux sites

Réplication Active Directory : faire coexister un Windows Server 2012 R2 et un Windows Server 2019 Essentials entre deux sites

Windows Server

Un deuxième contrôleur de domaine sur un autre site offre redondance, continuité d’activité et administration locale ; encore faut‑il contourner les contraintes de Windows Server 2019 Essentials et garantir une réplication fiable même sur un lien WAN capricieux. Voici la méthode complète.

Sommaire

Pourquoi déployer un second DC inter‑sites ?

Dans une PME multisite, maintenir un annuaire Active Directory disponible localement évite :

  • les coupures d’authentification lorsqu’un lien WAN tombe ;
  • la latence élevée pour les ouvertures de session et l’accès aux partages ;
  • la dépendance d’un unique point de défaillance sur le site principal.

Un contrôleur de domaine additionnel permet également de réduire la fenêtre de restauration après sinistre : la sauvegarde d’un seul DC accélère la reconstruction du domaine.

Conditions préalables

  • Accès administrateur sur A (Windows Server 2012 R2) et B (Windows Server 2019 Essentials).
  • Canal chiffré entre sites (VPN IPSec, MPLS, SD‑WAN …) capable de transporter LDAP/Kerberos/SMB sur les ports 53/88/135/139/389/445/464/636/3268/3269/5722.
  • Horloge synchronisée (NTP) pour éviter les tickets Kerberos expirés.
  • Au moins 40 % de bande passante libre durant la première réplication, particulièrement si SYSVOL contient plusieurs Go de GPO ou scripts.

Attention à l’édition Essentials !

Par défaut, Windows Server 2019 Essentials exige d’être l’unique DC et de détenir les 5 rôles FSMO. Depuis la build 17763.737, Microsoft a toutefois supprimé ce verrou pour les installations GUI. Vérifiez votre média :

DISM /online /Get-CurrentEdition
  • Si la restriction persiste, passez B en édition Standard (clé de licence + Dism /online /Set-Edition:ServerStandard /AcceptEula /ProductKey:XXXXX‑XXXXX‑XXXXX‑XXXXX‑XXXXX).
  • Sinon, poursuivez la promotion comme simple DC.

Préparation du schéma Active Directory

  1. Connectez‑vous sur A.
  2. Depuis une invite cmd élevée :
    adprep /forestprep adprep /domainprep
  3. Contrôlez la version de schéma :
    Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

Installation du rôle AD DS sur B

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Redémarrez B si demandé, puis ouvrez une session locale ou via RDP.

Promotion de B en tant que DC supplémentaire

Utilisez l’Assistant ou PowerShell :

Import-Module ADDSDeployment
Install-ADDSDomainController `
 -DomainName "mondomaine.local" `
 -SiteName "Site-B" `
 -ReplicationSourceDC "A.mondomaine.local" `
 -InstallDns `
 -Credential (Get-Credential) `
 -SafeModeAdministratorPassword (ConvertTo-SecureString "PasswordDSRM!" -AsPlainText -Force)

Le redémarrage finalise l’inscription de B dans NTDS Settings.

Création d’une topologie de sites optimisée

Depuis Active Directory Sites & Services :

  1. Créez les deux sites « Site‑A » et « Site‑B ».
  2. Associez‑leur leurs plages CIDR (ex. 192.168.10.0/24 et 192.168.20.0/24).
  3. Déplacez chaque DC dans son site.
  4. Dans Inter‑Site Transports / IP, créez un site linkSITE-A-SITE-B :
    • Cost : plus élevé que les liaisons intra‑site (par ex. 100).
    • Interval (fréquence) : 180 min par défaut ; réduisez à 15 min si la bande passante le permet.
    • Schedule : privilégiez la nuit pour SYSVOL volumineux.

Validation de la première réplication

CommandeObjectif
repadmin /replsummaryVue globale des succès/échecs.
repadmin /showrepl *Détails par partition.
dcdiag /v /c /d /eDiagnostic complet du domaine.
Get-ADReplicationFailure -Scope Site-BÉchecs récents filtrés.

Créez ensuite un utilisateur test sur A ; vérifiez sa présence sur B :
Get-ADUser TestUser -Server B.mondomaine.local

Catalogue global et rôles FSMO : que déléguer ?

Pour garantir l’authentification locale quand le WAN tombe :

  • Activez le Catalogue global sur B (cocher l’option dans NTDS Settings).
  • Laissez en principe les FSMO critiques (Schema, Infrastructure, Domain Naming) sur A.
  • Le rôle PDCe peut rester sur A ; si vos GPO et scripts de logon sont nombreux sur B, migrez plutôt RID + PDCe sur B.

Sécuriser la réplication

La plupart des flux AD offrent déjà NTLM/Kerberos ou SMB‑Signature, mais un VPN IPSec chiffre l’intégralité des paquets. Paramétrez :

  • Suite IKEv2 / AES256-GCM + SHA256 + DH‑Group14.
  • Ré‑authentification : 8 h.
  • QoS DSCP = 16 pour LDAP et 48 pour réplication (RODC).

Sauvegarde, restauration et lutte contre la corruption

La réplication ne remplace pas la sauvegarde ; elle duplique aussi les erreurs logiques. Stratégie conseillée :

  • Backup Bare‑Metal hebdomadaire de B (couvre System State).
  • Snapshot quotidienne (VSS) si B est virtuel.
  • Test trimestriel de non‑authoritative restore : restaurez la sauvegarde, laissez converger.
  • Test semestriel d’authoritative restore : marquez une unité d’organisation comme authoritative pour vérifier la maîtrise de la procédure.

Optimiser la réplication SYSVOL

Sur Windows Server 2012 R2+, SYSVOL utilise DFS‑R. Vérifiez l’état :

dfsrdiag replicationstate /partner:B.mondomaine.local

Si vous observez Journal Wrap Error, exécutez :

wmic /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo `
 where replicatedfoldername='SYSVOL Share' call resume

Enfin, éliminez les GPO obsolètes, compressez vos scripts et limitez la réplication initiale aux heures creuses.

Troubleshooting rapide

SymptômeCause probableCorrectif express
Échec Install-ADDSDomainControllerEssentials encore verrouillé en DC uniquePasser à l’édition Standard
Erreur Access DeniedCompte utilisé non membre Enterprise AdminsÉlever le compte ou utiliser Administrator
ID 1311 dans le journal NTDSSite link absent ou coût trop élevéCréer/ajuster SITE-A-SITE-B
Ouverture de session lenteB non Catalogue globalActiver CG et redémarrer Netlogon
Objets manquants sur BBacklog de réplicationrepadmin /syncall /AdeP

Scénario de repli d’urgence : WAN indisponible

  1. Les stations du site B interrogeront B pour DNS, LDAP, Kerberos.
  2. Les modifications locales (mot de passe, nouveau compte) seront mise en file d’attente jusqu’au retour du lien.
  3. Sur rétablissement, la convergence se fait automatiquement ; surveillez USN rollback ou tombstone si l’indisponibilité dépasse la tombstone lifetime (par défaut 180 jours).

Évolutions futures possibles

  • Ajout d’un RODC dans un troisième site pour les zones sans IT local.
  • Synchronisation d’Azure AD via Azure AD Connect hébergé sur A ou B pour accéder à Microsoft 365.
  • Mise en cluster du rôle Hyper‑V sur B et bascule automatique via Failover Clustering.
  • Migration progressive vers Windows Server 2025 pour étendre la durée de support.

Résumé des points clés

  • Vérifiez d’abord la contrainte Essentials ; migrez si nécessaire.
  • Préparez le schéma sur A avant toute promotion.
  • Configurez les Sites AD, les site links et le calendrier de réplication.
  • Validez la réplication via repadmin/dcdiag avant mise en production.
  • Activez Catalogue global et planifiez sauvegardes régulières.
  • Protégez le trafic via VPN et surveillez DFS‑R/SYSVOL.
Windows Server
Active Directory Windows Server Contrôleur de domaine Windows Server 2019 Essentials Réplication
Sommaire