Ajouter un DC Windows Server 2019 dans un domaine 2012 R2 : adprep nécessaire ? rôle de regsvr32 schmmgmt.dll

Vous souhaitez ajouter un contrôleur de domaine Windows Server 2019 dans un domaine existant en 2012 R2 et vous vous interrogez sur adprep et sur regsvr32 schmmgmt.dll ? Voici une réponse claire, actionnable et complète, avec procédures, commandes et points d’attention.

Sommaire

Vue d’ensemble de la question

Objectif : introduire un nouveau DC Windows Server 2019 dans un domaine Active Directory fonctionnant en 2012 R2, tout en planifiant la migration de SYSVOL de FRS vers DFSR.

Faut‑il exécuter adprep /forestprep et adprep /domainprep ? — Ça dépend du scénario. Pour l’ajout d’un nouveau DC 2019, l’assistant exécute automatiquement les préparations nécessaires. Pour une mise à niveau sur place d’un DC existant, lancez adprep manuellement avant la mise à niveau.
À quoi sert regsvr32 schmmgmt.dll ? — À enregistrer le composant logiciel enfichable MMC « Schéma Active Directory ». Ce n’est pas requis pour promouvoir un DC ni pour adprep; c’est uniquement utile si vous voulez afficher/modifier le schéma depuis cette machine.

Réponse courte

FRS → DFSR obligatoire : Windows Server 2019 ne supporte pas FRS. Si le domaine utilise encore FRS pour SYSVOL, la promotion sera bloquée. Migrez vers DFSR et atteignez l’état 3 – Eliminated avant tout.
adprep : pour l’ajout d’un nouveau DC 2019, l’assistant AD DS exécute un « transparent adprep ». Pour une mise à niveau sur place, exécutez /forestprep puis /domainprep à la main (en laissant répliquer entre chaque étape). /rodcprep si vous comptez déployer des RODC.
regsvr32 schmmgmt.dll : optionnel, uniquement pour activer le snap‑in « Schéma AD » dans la MMC. Aucun impact sur la promotion.
Niveaux fonctionnels : minimum Windows Server 2008 pour forêt et domaine afin d’introduire un DC 2019.

Pré‑requis critiques avant la promotion

Vérifier et migrer SYSVOL de FRS vers DFSR

Si votre domaine 2012 R2 utilise encore File Replication Service (FRS) pour SYSVOL, vous devez migrer vers Distributed File System Replication (DFSR). Windows Server 2019 refuse de rejoindre un domaine qui n’a pas finalisé cette migration.

Comment savoir si vous êtes en FRS ou DFSR ?

Sur un DC, vérifiez les services : présence de NtFrs (FRS) et/ou DFSR.
Vérifiez l’état de migration :

dfsrmig /getglobalstate
dfsrmig /getmigrationstate

Si le résultat n’est pas 3 – Eliminated, la migration n’est pas terminée.

Étapes de migration FRS → DFSR (résumé)

État 0 – Start : situation initiale, SYSVOL répliqué par FRS.
État 1 – Prepared : DFSR est configuré mais FRS reste actif.
État 2 – Redirected : SYSVOL bascule sur DFSR, FRS encore présent.
État 3 – Eliminated : FRS retiré, seule la réplication DFSR reste.

dfsrmig /setglobalstate 1
dfsrmig /getmigrationstate    rem attendre la convergence
dfsrmig /setglobalstate 2
dfsrmig /getmigrationstate    rem attendre la convergence
dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate    rem vérifier &gt; tous les DC à "Eliminated"

Sur chaque DC, surveillez l’Observateur d’événements (Journaux DFS Replication / FRS) et forcez une interrogation si besoin :

dfsrdiag pollad

État DFSRMIG	Signification	Action attendue	Commande de contrôle
0 – Start	SYSVOL via FRS	Lancer la migration	`dfsrmig /setglobalstate 1`
1 – Prepared	DFSR prêt, FRS actif	Attendre réplication puis passer à 2	`dfsrmig /getmigrationstate`
2 – Redirected	SYSVOL sur DFSR	Vérifier cohérence, passer à 3	`dfsrmig /getmigrationstate`
3 – Eliminated	FRS retiré	OK pour DC 2019	`dfsrmig /getmigrationstate`

Niveaux fonctionnels (FFL/DFL)

Pour introduire un DC Windows Server 2019, le niveau fonctionnel de forêt et le niveau fonctionnel de domaine doivent être au minimum Windows Server 2008. Vous pouvez rester en 2008/2008 R2/2012/2012 R2; il n’est pas obligatoire d’élever immédiatement.

Import-Module ActiveDirectory
(Get-ADForest).ForestMode
(Get-ADDomain).DomainMode

Évitez d’élever les niveaux tant que des DC plus anciens existent (par exemple 2008 R2). Une fois tous les DC obsolètes démotés, vous pourrez envisager d’élever DFL/FFL si des fonctionnalités vous intéressent.

Autres prérequis d’hygiène AD

Point	Pourquoi	Comment vérifier/agir
Réplication saine	Éviter les divergences de schéma/objets	`repadmin /replsummary`, `repadmin /showrepl *`, `dcdiag /e /v`
DNS	Inscription des enregistrements SRV/Kerberos	Le futur DC pointe sur des DNS AD; `ipconfig /registerdns` après promo
Heure/Time	Kerberos exige une dérive <= 5 min	Vérifier NTP : le PDC Emulator synchronise une source fiable
FSMO disponibles	`adprep` contacte les rôles Schéma/Infrastructure	`netdom query fsmo`, accessibilité réseau
Sauvegarde	Point de retour en cas d’échec	`wbadmin start systemstatebackup -backupTarget:E:`

Faut‑il exécuter `adprep` ?

adprep met à jour le schéma, les descripteurs de sécurité et certains contenus du répertoire afin de permettre à des DC plus récents de coexister. Le besoin d’exécuter manuellement l’outil dépend de votre mode opératoire :

Scénario	Action recommandée	Remarques
Ajout d’un nouveau DC 2019 à un domaine existant	Pas d’`adprep` manuel	L’assistant AD DS effectue un « transparent adprep ». Utilisez des identifiants suffisants (Schema/Enterprise Admin si un forestprep est requis).
Mise à niveau sur place d’un DC 2012 R2 → 2019	Exécuter `adprep` manuellement avant	Sur la forêt : `/forestprep` (une fois), puis par domaine : `/domainprep` (une fois). Laisser répliquer entre les étapes.
Déploiement futur de RODC	`adprep /rodcprep`	Exécuter une fois dans la forêt.

Où trouver et comment exécuter adprep ? Sur le média/ISO de Windows Server 2019 → répertoire Support\Adprep. Exemples :

X:\Support\Adprep\adprep.exe /forestprep
X:\Support\Adprep\adprep.exe /domainprep
X:\Support\Adprep\adprep.exe /rodcprep

Comptes & rôles requis : /forestprep exige l’appartenance à Schema Admins et Enterprise Admins (en contactant le Schema Master). /domainprep requiert Domain Admins (en contactant l’Infrastructure Master). Surveillez les journaux générés dans C:\Windows\debug\adprep\.

`regsvr32 schmmgmt.dll` : à quoi ça sert ?

La commande :

regsvr32 schmmgmt.dll

enregistre le snap‑in MMC « Schéma Active Directory ». Elle permet simplement d’ouvrir et de parcourir le schéma via mmc.exe → « Ajouter/Supprimer un composant logiciel enfichable » → « Schéma Active Directory ». Elle n’est pas nécessaire pour :

exécuter adprep ;
ajouter/promouvoir un DC Windows Server 2019 ;
migrer SYSVOL vers DFSR.

Si vous n’avez pas besoin de visualiser le schéma depuis cette machine, vous pouvez ignorer cette commande. Pour désenregistrer :

regsvr32 /u schmmgmt.dll

Procédure détaillée recommandée (pas à pas)

Préparer et assainir l’AD
- Effectuez une sauvegarde de l’état du système sur au moins un DC : wbadmin start systemstatebackup -backupTarget:E:.
- Vérifiez la réplication : repadmin /replsummary, repadmin /showrepl *.
- Contrôlez les erreurs : dcdiag /e /v /c /fix.
- Vérifiez la santé DNS et l’heure (PDC Emulator synchronisé).
Assurer SYSVOL en DFSR
- Si nécessaire, exécutez la migration FRS → DFSR (voir plus haut) et attendez l’état 3 – Eliminated sur tous les DC (dfsrmig /getmigrationstate).
Vérifier les niveaux fonctionnels
- Confirmez que FFL/DFL ≥ Windows Server 2008 : (Get-ADForest).ForestMode, (Get-ADDomain).DomainMode.
Préparer le nouveau serveur Windows Server 2019
- Nom final et IP statiques, DNS pointant vers les serveurs DNS AD du domaine.
- Appliquez les mises à jour et installez les fonctionnalités RSAT si besoin.
- Rejoignez d’abord le domaine (membre standard).
Installer le rôle AD DS Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Promouvoir le serveur en DC Via l’Assistant (Server Manager) ou PowerShell : Install-ADDSDomainController ` -DomainName "contoso.local" ` -InstallDns ` -Credential (Get-Credential) ` -NoGlobalCatalog:$false ` -SiteName "Default-First-Site-Name" ` -DatabasePath "C:\Windows\NTDS" ` -LogPath "C:\Windows\NTDS" ` -SysvolPath "C:\Windows\SYSVOL" ` -Force Si le schéma ou le domaine nécessitent une mise à niveau, l’assistant déclenche automatiquement les étapes d’adprep (question d’autorisations : utilisez un compte possédant les groupes requis si besoin).
Vérifications post‑promotion
- Get-ADDomainController -Filter * : le nouveau DC apparaît et est Global Catalog si demandé.
- Contrôlez la réplication : repadmin /replsummary, repadmin /showrepl.
- Vérifiez DNS (enregistrements SRV) et Netlogon : nltest /dsregdns, ipconfig /registerdns.
- Observateur d’événements : erreurs critiques AD DS/DNS/DFSR.
Transférer les rôles FSMO (si souhaité) Move-ADDirectoryServerOperationMasterRole ` -Identity "DC2019" ` -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster Vérifiez ensuite : netdom query fsmo.
Démotion propre des anciens DC 2012 R2 Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force Nettoyez les métadonnées si un DC a disparu sans démotion (cas de panne) avec les outils AD et DNS.

Checklist opérationnelle « prête à l’emploi »

[ ] Sauvegarde état du système OK.
[ ] Réplication sans erreurs (repadmin /replsummary propre).
[ ] SYSVOL en DFSR, état 3 – Eliminated.
[ ] FFL/DFL ≥ 2008.
[ ] DNS/NTP valides (PDC Emulator synchronisé).
[ ] Accès FSMO (Schema/Infrastructure) vérifié.
[ ] Nouveau serveur 2019 joint au domaine, rôle AD DS installé.
[ ] Promotion effectuée, événements sans erreurs.
[ ] FSMO transférés si nécessaire.
[ ] Démotion des anciens DC planifiée et réalisée proprement.

Problèmes fréquents et leurs résolutions

Blocage « FRS détecté » pendant la promotion

Cause : SYSVOL répliqué via FRS. Fix : migrez vers DFSR et atteignez l’état 3 – Eliminated sur tous les DC (dfsrmig /setglobalstate 3 + /getmigrationstate jusqu’à convergence).

`adprep` refuse de s’exécuter (droits insuffisants)

Cause : compte sans les groupes requis. Fix : utilisez un membre de Schema Admins + Enterprise Admins pour /forestprep, et un Domain Admin pour /domainprep. Assurez la connectivité au DC tenant le rôle correspondant.

Le Schema Master ou l’Infrastructure Master est injoignable

Cause : DC éteint, réseau, DNS. Fix : restaurez l’accessibilité, ou transférez le rôle si le DC ne reviendra pas. Commande : Move-ADDirectoryServerOperationMasterRole (ou Seize si nécessaire avec NTDSUtil en dernier recours).

RODC prévu ultérieurement

N’oubliez pas adprep /rodcprep une fois par forêt si vous n’avez jamais déployé de RODC auparavant.

Enregistrements DNS manquants après promotion

Exécutez ipconfig /registerdns, redémarrez le service Netlogon (net stop netlogon && net start netlogon), vérifiez la zone _msdcs et la réplication DNS (zones AD‑intégrées).

Réplication DFSR lente après migration

Forcer l’interrogation AD : dfsrdiag pollad. Vérifier le « backlog » : dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:DC1 /rmem:DC2.

FAQ ciblée

Dois‑je élever le niveau fonctionnel pour accueillir un DC 2019 ? Non, tant que FFL/DFL ≥ 2008. Vous pourrez élever plus tard lorsque tous les anciens DC auront été retirés.
Combien de fois exécuter adprep ? /forestprep : une fois par forêt. /domainprep : une fois par domaine. /rodcprep : une fois par forêt si RODC prévus.
Le fait d’enregistrer schmmgmt.dll modifie‑t‑il le schéma ? Non. Cela ne fait qu’activer le snap‑in MMC permettant de l’afficher ou de l’éditer (l’édition, elle, requiert des droits spécifiques).
Puis‑je ajouter un DC 2019 si SYSVOL est encore en FRS ? Non. Il faut d’abord migrer vers DFSR.
Que fait adprep exactement ? Il met à jour le schéma et certaines ACL pour permettre aux nouvelles versions de DC d’opérer correctement dans la forêt et les domaines.

Blocs de commandes « copier‑coller »

Contrôles de santé

repadmin /replsummary
repadmin /showrepl *
dcdiag /e /v /c /fix
Get-ADForest | fl Name,ForestMode
Get-ADDomain | fl DNSRoot,DomainMode
netdom query fsmo

Migration SYSVOL FRS → DFSR (résumé)

dfsrmig /setglobalstate 1
dfsrmig /getmigrationstate
dfsrmig /setglobalstate 2
dfsrmig /getmigrationstate
dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate
dfsrdiag pollad

Promotion DC 2019 (PowerShell)

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -DomainName "contoso.local" -InstallDns `
  -Credential (Get-Credential) -NoGlobalCatalog:$false `
  -SiteName "Default-First-Site-Name" -Force

Transfert FSMO

Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" `
  -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster
netdom query fsmo

Enregistrement du snap‑in Schéma (optionnel)

regsvr32 schmmgmt.dll
mmc.exe

Bonnes pratiques et conseils terrain

Procédez par incréments : un seul changement majeur à la fois (migration SYSVOL, puis ajout DC, puis transfert FSMO, etc.).
Surveillez les journaux : AD DS, DNS Server, DFSR, Directory‑Service, File‑Replication‑Service (si présent), et System.
Sites et Services AD : placez le nouveau DC dans le bon site, avec des sous-réseaux correctement déclarés, pour une réplication optimisée.
Global Catalog : conservez au moins deux GC par site critique pour la résilience.
Antivirus/EDR : excluez les dossiers AD (NTDS, SYSVOL) selon les recommandations pour éviter les verrouillages intempestifs.
Monitoring : alertez sur les événements réplication (échecs répétés, retards), l’espace disque des partitions AD/DNS/SYSVOL, et la dérive NTP.

Cas d’école : déroulé type en environnement 2012 R2

État des lieux : réplication OK, sauvegarde AD faite, PDC Emulator synchronisé.
SYSVOL : migration FRS → DFSR, état 3 – Eliminated atteint et confirmé.
Préparation : nouveau serveur 2019 joint au domaine, IP/DNS stables.
Installation AD DS puis promotion ; l’assistant exécute automatiquement les préparatifs si requis.
Vérifications : SRV DNS, repadmin, dcdiag, rôles FSMO.
Transfert FSMO vers 2019 (si cible de modernisation) et test de fonctionnement applicatif (authent, GPO, ouverture de session, résolution DNS).
Démotion progressive des DC 2012 R2, nettoyage final (sites, DNS, métadonnées).

Conclusion

À retenir : pour ajouter un DC Windows Server 2019 dans un domaine 2012 R2, vous n’avez en général pas à exécuter adprep manuellement : l’assistant AD DS s’en charge s’il en a besoin, à condition d’utiliser un compte ayant les droits adéquats et de disposer d’une forêt/d’un domaine en bonne santé. En revanche, pour une mise à niveau sur place d’un DC existant, exécutez adprep vous‑même avant la montée de version. Et n’oubliez pas le point bloquant : SYSVOL doit impérativement être en DFSR, sinon la promotion d’un DC 2019 ne passera pas. Enfin, regsvr32 schmmgmt.dll n’est qu’un facilitateur d’interface pour consulter le schéma ; il n’a aucune incidence sur la réussite de la promotion.

En une phrase : migrez d’abord SYSVOL vers DFSR, vérifiez les niveaux fonctionnels, laissez l’assistant exécuter adprep (ou faites‑le à la main pour une mise à niveau sur place), et n’utilisez regsvr32 schmmgmt.dll que si vous devez ouvrir le snap‑in Schéma dans la MMC.