Bonjour,

Je récupère une infrastructure composé d'un domaine societe.ad avec 1x DC 2003 + 1x DC2008r2+ 1x DC 2012 avec une relation d'approbation avec le domaine societe2.ad sur 1x serveur 2016

Le serveur 2003 héberge l'AD + PKI ,DC 2012r2 les rôles FSMO, il y'a une relation d'approbation entre le 2016 et le DC 2003.

Je souhaitera augmenter le niveau fonctionnel de mon domain et supprimer la pki qui ne sert plus (semble ne plus me servir      ).

Quels sont les bonnes pratiques, je supprime le role pki puis je demote le DC 2003 puis j'up le niveau fonctionnel vers 2008 ?  Quid de ma relation d'approbation, puis-je supprimer la liaison entre le 2016 et 2003 sans impact, de ce que j'ai compris le jour de la mise en place, la liaison ne pouvait ce faire que vers le 2003, le 2012 n'autorisait pas à faire d'approbation.

Je fais un DCDiag /a /i  = j'ai quelque erreurs

Je fais un Repadmin /showrepl = tout est ok

Merci

Une relation d'approbation c'est pas entre des DC, c'est entre des domaines ou des forêts.
Par contre il faut que la communication se fasse entre les DC oui...
 
Faut enlever le rôle PKI mais il faut surtout nettoyer l'AD des objets créé (j'imagine que c'est une PKI Enterprise et pas une standalone) : https://docs.microsoft.com/en-us/tr [...] ve-objects entre autre

Il y a un firewall entre societe1.ad et societe2.ad ? Si oui vérifie la matrice de flux suivante de DC à DC
 
https://docs.microsoft.com/fr-fr/tr [...] and-trusts
 
Surtout ne pas négliger UDP/389 qui est indispensable (DC Locator) pour initier une communication vers un DC. Tu peux tester cela avec ldp.exe normalement fourni par défaut dans Windows en utilisant le mode connectionless.
 
Par contre avant de te soucier de ton niveau fonctionnel je me préoccuperais d'abord de virer les OS obsolètes et de tout mettre en 2016 ASAP (au moins, l'OS commence à vieillir et n'est plus en phase de support principal)