Migration Windows Server 2012 Essentials vers 2019 Essentials : redirection de dossiers, AD DS, FSMO et retrait du DC

Remplacez sereinement votre Windows Server 2012 Essentials par un 2019 Essentials : désactivez la redirection de dossiers, migrez Active Directory et vos applications sans interrompre la production.

Sommaire

Contexte et objectifs

Une PME exécute deux serveurs Windows Server : un 2012 Essentials (contrôleur de domaine, serveur Web pour l’agent « Server Connect », AD CS, RAS VPN et redirection de dossiers via l’Assistant Essentials) et un 2019 Essentials membre du domaine, qui héberge déjà les nouvelles bases de données de logiciels comptables (Drake, AMI, etc.). Le 2012 arrive en fin de vie et s’éteint tous les quatre jours pour raisons de licence. L’objectif est de :

Désactiver/retirer la redirection de dossiers (Folder Redirection) sans perturber les applications.
Remplacer le DC 2012 par le 2019 en tant que seul serveur.
Comprendre l’impact sur les postes et les logiciels métier.

Architecture cible recommandée

Un seul serveur Windows Server 2019 Essentials (SKU Essentials, pas de rôle « Expérience Essentials »), contrôleur de domaine + DNS + fichiers + éventuels rôles migrés.
Redirection de dossiers soit supprimée (retour aux profils locaux), soit recréée par GPO classique vers des partages du 2019.
Applications (Drake, AMI, etc.) réinstallées sur 2019 puis restaurées via outils éditeur.
DHCP/DNS/RRAS/AD CS basculés vers 2019, avec 2019 en PDC Emulator source de temps NTP.

Avant de commencer : points clés à connaître

2019 Essentials ne fournit plus le “Tableau de bord” Essentials 2012. Les fonctionnalités cliente/backup/Remote Web Access ont disparu. La redirection de dossiers doit être gérée par GPO standard ou supprimée.
Un seul serveur Essentials par domaine. Après migration, le 2019 doit être l’unique serveur Essentials.
Promotion d’un DC 2019 interdite si SYSVOL utilise encore FRS. Il faut migrer SYSVOL vers DFS‑R avant d’ajouter un DC 2019.

Récapitulatif des étapes

Étape	Action recommandée	Détails essentiels
Pré‑migration	Image système + sauvegardes des données et des partages (Drake/AMI : export éditeur). Patcher 2019 et valider les limites Essentials (≈25 utilisateurs / 50 appareils).	Permet un retour arrière rapide.
Préparer AD	Vérifier la méthode de réplication SYSVOL (FRS vs DFS‑R) et la santé AD/DNS.	2019 ne rejoint pas un domaine en FRS.
Ajouter 2019 comme DC	Installer AD DS sur 2019, promouvoir comme DC supplémentaire.	Autorité DNS intégrée, GC activé.
Transférer FSMO	Basculer les 5 rôles (Schema, Domain Naming, RID, PDC, Infrastructure) vers 2019.	2019 devient maître du domaine.
Vérifier la réplication	`repadmin`, `dcdiag`, santé SYSVOL/NTDS, journaux Event Viewer.	Corriger avant de continuer.
Désactiver la redirection de dossiers	Dans le Tableau de bord Essentials 2012, désactiver la stratégie. Choisir « Conserver sur le serveur » ou « Rapatrier » selon la cible.	Forcer `gpupdate` sur les PC.
Recréer les GPO (option)	Si redirection maintenue : créer une GPO standard sur 2019 pointant vers de nouveaux partages.	Pas de Dashboard en 2019.
Migrer les applications	Réinstaller Drake/AMI sur 2019 puis restaurer bases et répertoires via outils éditeur. Mettre à jour les chemins UNC côté clients.	Éviter la simple copie brute.
Basculer services réseau	DHCP, RAS VPN, AD CS, enregistrements DNS (A/SRV). 2019 devient source NTP.	Fiabilise l’authentification et la résolution.
Rétrograder 2012	Remove‑ADDSDomainController, nettoyage Sites & Services AD et DNS. Retrait matériel.	Laisser 2019 tourner un cycle de sauvegarde.
Nettoyer les postes	Scripts de connexion, partages, suppression de l’agent « Server Connect ». Si sortie du domaine : migrer profils.	Conserver le domaine simplifie la gestion.

Checklist détaillée et commandes utiles

Inventaire, sauvegardes et audits

Inventorier : partages, GPO, imprimantes, DHCP, certificats (AD CS), RAS VPN, bases applicatives et chemins UNC utilisés par les postes.
Sauvegardes : image système 2012 + sauvegarde fichiers + export applicatif (Drake : DB Manager, AMI : outil éditeur).
Audits santé AD/DNS : dcdiag /c /v /e /f:%systemroot%\temp\dcdiag.txt repadmin /replsummary repadmin /showrepl *
Vérifier SYSVOL (FRS ou DFS‑R) : dfsrmig /getglobalstate dfsrmig /getmigrationstate Si FRS encore actif, migrer vers DFS‑R : dfsrmig /setglobalstate 1 <= Prepared dfsrmig /setglobalstate 2 <= Redirected dfsrmig /setglobalstate 3 <= Eliminated dfsrmig /getmigrationstate <= Attendre "Consistent" sur tous les DC

Promotion de Windows Server 2019 en DC

Sur 2019 : Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSDomainController -DomainName "votre-domaine.local" -InstallDns -Credential (Get-Credential)
Activer le Catalogue Global si non coché : Set-ADDomainController -Identity SERVER2019 -IsGlobalCatalog $true
Basculer les FSMO vers 2019 : netdom query fsmo Move-ADDirectoryServerOperationMasterRole -Identity SERVER2019 ` -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster netdom query fsmo
Configurer la source de temps (PDC Emulator sur 2019) : w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" /syncfromflags:manual /reliable:yes /update Restart-Service w32time w32tm /resync /force
Valider la réplication et l’état DNS (enregistrements _ldap._tcp, _kerberos). repadmin /replsummary Get-DnsServerResourceRecord -ZoneName "votre-domaine.local" -RRType SRV | Where-Object {$_.RecordData.DomainName -like "*_ldap*"}

Désactiver proprement la redirection de dossiers « Essentials »

Sur le 2012, ouvrez le Tableau de bord Essentials > Utilisateurs > Propriétés > Répertoires > Désactiver la redirection. L’assistant propose deux choix :

Conserver les données sur le serveur : les dossiers restent au même endroit, utile si vous allez réorienter vers un nouveau partage 2019.
Rapatrier vers les profils locaux : les données retournent sur le PC de l’utilisateur (profil). Pratique si vous supprimez la redirection définitivement.

Sur chaque poste :

gpupdate /force
logoff

Vérifiez que Documents/Bureau ne pointent plus vers \\SERVER2012\RedirectedFolders. Contrôlez l’espace disque local disponible si vous rapatriez les données.

Recréer (optionnel) la redirection par GPO « classique »

Sur 2019, créez des partages (ex. \\SERVER2019\Utilisateurs$) avec NTFS : Administrators : Full, Système : Full, Utilisateurs du domaine : List (au niveau racine), et délégations par sous-dossiers.
Créer une GPO “Redirection Dossiers – 2019” liée à l’OU des utilisateurs :
Configuration utilisateur > Stratégies > Paramètres Windows > Redirection de dossiers
Pour Documents et Bureau :
- Type : Basic – Redirect everyone’s folder to the same location
- Chemin racine : \\SERVER2019\Utilisateurs$\%USERNAME%
- Cocher “Déplacer le contenu des dossiers existants vers le nouvel emplacement”
- “Accorder l’exclusivité à l’utilisateur” : désactivé si votre solution de sauvegarde nécessite un accès administrateur.
Forcer l’application : gpupdate /force + reconnexion. Vérifier dans rsop.msc ou gpresult /h.
Nettoyer les anciennes GPO Essentials (ex. “WSE Folder Redirection Policy”).

Migrer les logiciels (Drake, AMI, etc.)

Installer proprement sur 2019 avec les installeurs officiels (services, ODBC, registres sont créés correctement).
Restaurer les bases/dossiers via l’outil éditeur (Drake : DB Manager). Éviter la copie brute des fichiers ouverts.
Mettre à jour les chemins UNC sur les postes : par exemple \\SERVER2019\DrakeYY au lieu de \\SERVER2012\DrakeYY. Utilisez Group Policy Preferences (Lecteurs mappés) pour éviter les scripts fragiles.

Basculer DHCP, DNS, RAS VPN et AD CS

DHCP :

# Sur 2012
Export-DhcpServer -ComputerName SERVER2012 -Leases -File C:\dhcp2012.xml -Verbose
# Sur 2019 (exécuter en administrateur DHCP)
Import-DhcpServer -ComputerName SERVER2019 -Leases -File C:\dhcp2012.xml -BackupPath C:\dhcpbackup -Verbose

Actualisez l’Option 006 (DNS Server) pour pointer vers l’adresse du 2019. Réserver les IP critiques (imprimantes, baies).

DNS : AD‑intégré ; assurez‑vous que 2019 possède _ldap._tcp.dc._msdcs. Sur les serveurs et postes, paramétrez le DNS primaire sur l’IP de 2019.

RAS VPN : l’“Anywhere Access” d’Essentials 2012 n’existe plus en 2019. Deux options :

RRAS manuel sur 2019 (PPTP déconseillé ; préférez IKEv2/L2TP/IPsec).
OpenVPN ou WireGuard sur 2019 ou une appliance dédiée ; plus simple et robuste pour PME.

AD CS (si utilisé) : migrer l’autorité de certification :

Sur 2012 : sauvegarder DB et clés : certutil -backupdb C:\CABackup certutil -backupkey C:\CABackup reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc C:\CABackup\ca.reg
Sur 2019 : installer le rôle AD CS (nom de CA identique), arrêter le service, restaurer DB/clé, importer le registre, redémarrer.
Reconfigurer les modèles et points de distribution (CDP/AIA) si nécessaire.

Choix de continuité des chemins UNC : alias, DFS ou renommage

Option	Avantages	Précautions
Alias DNS (CNAME) ex. `files` → `SERVER2019`	Transparence pour les utilisateurs, changeable à chaud.	Enregistrer SPN CIFS pour l’alias et désactiver Strict Name Checking si nécessaire : `setspn -S HOST/files votreDomaine\SERVER2019$ setspn -S CIFS/files votreDomaine\SERVER2019$ reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v DisableStrictNameChecking /t REG_DWORD /d 1 /f`
DFS Namespace ex. `\\domaine.local\DFS\Partages`	Abstraction pérenne, cible changeable sans toucher aux postes.	Mettre en place la racine DFS domain-based avant la bascule.
Renommer le serveur	Trajectoire simple si vous voulez reprendre le nom de l’ancien serveur.	Renommer un DC reste délicat ; préférer alias/DFS pour limiter les risques.

Rétrograder et retirer Windows Server 2012

Vérifier que 2019 détient les FSMO et que GC/DNS/W32Time sont OK.
Rétrograder 2012 : Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartitions -ForceRemoval:$false ou via l’assistant « Retirer les services AD DS ».
Nettoyage : supprimer l’ancien DC de Sites et Services AD, enlever les enregistrements DNS (A/SRV), supprimer l’objet ordinateur.
Surveiller les journaux : Directory‑Service, DNS Server, File Replication Service (si migration récente), DFS‑Replication.

Impacts sur les postes clients et conduites à tenir

Thème	Impact	Action côté poste
Appartenance au domaine	Aucun changement si le domaine est conservé.	Redémarrage + `gpupdate /force` suffisent.
GPO / Redirection	Fin des stratégies WSE, nouvelles GPO éventuelles.	Vérifier rsop.msc, chemins de Documents/Bureau.
Lecteurs mappés	Changement de chemins UNC si vous ne gardez pas les mêmes alias.	Déployer via Group Policy Preferences.
Logiciels métier	Drake/AMI reconfigurés pour pointer vers 2019.	Mettre à jour raccourcis/ODBC, tester l’ouverture des bases.
Agent “Server Connect”	Devenu obsolète (plus de Dashboard en 2019).	Désinstaller proprement sur les postes.
Sortie du domaine (option rare)	Si vous abandonnez AD.	Migrer profils avec USMT (`scanstate`/`loadstate`) ou un outil dédié.

Fenêtre de bascule conseillée

Avant : tout faire en heures ouvrées (promotion 2019, FSMO, réplication, GPO, alias, DFS, import DHCP).
Pendant : réinstallation/arrêt contrôlé des applications (Drake/AMI) – seule étape nécessitant une vraie maintenance.
Après : retrait du 2012, surveillance de 48–72 h, vérification des sauvegardes.

Plan de test et validation

AD/DNS : rejoindre un poste de test au domaine, s’authentifier avec un utilisateur standard, exécuter : nltest /dsgetdc:votre-domaine.local nslookup -type=SRV _ldap._tcp.dc._msdcs.votre-domaine.local
GPO : gpresult /h C:\gp.html puis ouvrir le rapport. Contrôler la redirection.
Fichiers : vérifier ACL NTFS héritées, quotas éventuels, volumes Shadow Copy.
Applications : tests lecture/écriture sur les bases, rapports, impressions.
DHCP : un poste en DHCP doit obtenir DNS = adresse du 2019.
VPN : scénario de connexion externe (client test).
NTP : w32tm /query /status sur un poste ; doit référencer le DC PDC Emulator (2019).

Plan de retour arrière

Conserver le 2012 encore membre du domaine tant que les tests ne sont pas concluants.
En cas d’anomalie AD : ne pas rétrograder 2012 ; résoudre la réplication (sites, latence, DNS).
En cas d’échec applicatif : remettre en ligne les partages 2012, restaurer les bases via sauvegardes natives, rebasculer les mappages.
Documenter précisément la marche arrière (checklist, contacts éditeurs).

FAQ express

Faut‑il supprimer le domaine ? Non, conserver le domaine évite la migration de profils, maintient les GPO et simplifie l’administration.

Pouvons‑nous “copier/coller” les dossiers d’une appli ? Non. Les services, registres et verrous de fichiers exigent une réinstallation puis une restauration par l’outil éditeur.

La redirection de dossiers est‑elle obligatoire ? Non. Pour de petites équipes, le profil local + OneDrive Entreprise/SharePoint (ou équivalent) est souvent suffisant. Si vous la maintenez, faites‑le via GPO standard.

Combien de DC dans un domaine Essentials ? La licence Essentials impose un seul serveur Essentials par domaine. Éviter tout second serveur Essentials.

Le 2019 doit‑il prendre le même nom que 2012 ? Non. Préférez un alias DNS ou DFS Namespace pour la continuité des chemins UNC.

Script de validation “tout‑en‑un” (à adapter)

# Exécuter sur SERVER2019 en PowerShell (administrateur)
"=== FSMO ==="
netdom query fsmo
"=== GC ==="
(Get-ADDomainController -Identity SERVER2019).IsGlobalCatalog
"=== DNS SRV ==="
Get-DnsServerResourceRecord -ZoneName "votre-domaine.local" -RRType SRV | Where {$_.RecordData.DomainName -like "*_ldap*"} | ft -AutoSize
"=== Réplication ==="
repadmin /replsummary
"=== NTP ==="
w32tm /query /status
"=== GPO Applied (poste test) ==="
# Sur un poste: gpresult /h C:\gp.html

Bonnes pratiques de sécurité et de sauvegarde

Sauvegardes : image système du 2019 + sauvegardes applicatives quotidiennes (pré/post‑scripts pour arrêter les services applicatifs).
Hors‑site : rétention externe (cloud ou autre site) avec tests réguliers de restauration bare‑metal.
AD CS : si la PKI n’est plus nécessaire, désinstaller le rôle et révoquer/archiver les certificats.
Moindre privilège : comptes de service dédiés, mots de passe robustes, MFA pour l’accès VPN.
Journalisation : alertes sur échecs de réplication, erreurs DNS, quotas, espace disque.

Modèle de plan de projet (prêt à copier)

Lot	Tâches	Livrables	Critères d’acceptation
Préparation	Inventaire, sauvegardes, audits AD/DNS, vérif SYSVOL	Rapport d’audit, image système, exports appli	Aucun Failed dans `dcdiag`, DFS‑R “Eliminated”
AD	Promotion 2019, FSMO, GC, NTP	2019 = DC unique opérationnel	`netdom query fsmo` OK, `repadmin` sain
GPO/Dossiers	Désactivation WSE, GPO standard (si besoin)	Chemins vérifiés, profils stables	RSOP conforme, aucun profil gonflé
Applications	Réinstallation + restauration	Applications fonctionnelles	Scénarios tests validés
Réseau	DHCP/DNS/VPN/PKI	Services basculés	Clients obtiennent DNS 2019, VPN OK
Retrait 2012	Rétrogradation, nettoyage, documentation	Serveur retiré	Aucun résidu AD/DNS

Conclusion

En suivant ce parcours, vous retirez un Windows Server 2012 Essentials instable, basculez proprement vos rôles et applications vers Windows Server 2019 Essentials, tout en maîtrisant l’étape sensible de la redirection de dossiers. La clé du succès : audits en amont, migration SYSVOL en DFS‑R, GPO maîtrisées, réinstallations applicatives natives, et une validation rigoureuse avant la rétrogradation finale.

Astuce : pour limiter les futurs changements, mettez en place un DFS Namespace ou un alias DNS stable (ex. \\files) et visez une documentation courte, testable, et reproductible (scripts PowerShell inclus ci‑dessus).