Migration Active Directory Vers Windows 2008

Xavier Mustin

Administrator
Staff member
#1
Introduction



Une nouvelle version de Windows etant sortie cette annee, nous allons voir à travers cet article comment migrer votre infrastructure Windows 200x vers 2008.

Presentation de Windows 2008


Pourquoi Migrer?





Windows 2008 apporte pas mal de nouveautes qui pourraient faciliter l’administration de vos parcs informatiques, voici une breve presentation des nouveautes de ce systeme d’exploitation,


Pour plus de renseignements sur ce systeme, visitez le site Windows 2008

Les nouveautes


Strategies de mot de passe





Les systemes precedents ne permettent de definir qu’une seule strategie de mot de passe pour toute l’infrastructure, avec Windows 2008 vous pouvez mettre en place plusieurs strategies de mot de passe pour differentes populations.


Elles peuvent s’appliquer sur des groupes globaux ou sur des utilisateurs.


Pour pouvoir utiliser cette nouvelle fonctionnalite, vous devez être en mode Windows 2008, ce qui implique que tous vos contrôleurs de domaines sont en Windows 2008.

Read Only DCs





Windows 2008 introduit une nouvelle fonctionnalite interessante en terme de gestion, les contrôleurs de domaine en lecture seule sont des contrôleurs de domaine sur lesquels aucune modification de la base Active Directory ne peut être faite.


Ceci peut presenter un interêt non negligeable si ces contrôleurs de domaine sont places dans une partie de votre infrastructure consideree comme sensible (DMZ / ou encore Branch Office)


Attention toutefois, certaines application comme Exchange Server ne peuvent pas se servir de contrôleurs de domaines en lecture seule et necessitent des contrôleurs de domaine traditionnels.


Pour plus d’informations: http://technet2.microsoft.com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx?mfr=true

Terminal Services 2008





La publication d’application est devenu tres simple à l’aide de Windows 2008, et notamment les nouveautes concernant les services TSE.


Aperà§u des nouveautes


http://technet2.microsoft.com/windowsserver2008/en/library/ddef2b89-73cf-4d74-b13b-47890fd1a6271033.mspx?mfr=true

Protection d’Active Directory





Une nouvelle fonctionnalite vous permet de proteger les objets Active Directory contre les modifications accidentelles, ci-dessous, une Unite Organisationnelle etant protegee.




Comment Migrer Active Directory





Les migrations Active Directory vers Windows 2008 ne sont pas tres complexes dans le sens ou les mêmes methodes de migration etant utilisees sont les même que pour les migrations precedentes, de Windows 2000 vers Windows 2003.

Depuis quels systemes




  • Windows NT4:


    • Il n’est pas possible de migrer directement de NT4 vers Windows 2008, vous devrez soit migrer dans un premier temps vers Windows 2003 puis vers Windows 2008, soit utiliser des outils de societes specialisees.


    Windows 2000:
    • Les serveurs doivent être en service pack 4
      Mise à jour du schema à l’aide de l’utilitaire ADPREP.exe

      Mise à jour des domaines à l’aide de l’utilitaire ADPREP.exe


    Windows 2003:
    • Migration depuis toutes les versions de Windows 2003

      Il est recommande d’utiliser des systemes à jour (SP2 lors de l’ecriture de cet article)




La migration




Mise à jour du Schema





Nous devons tout d’abord commencer par mettre à jour le schema de l’Active Directory de production,


Pour cela, inserez le CD de Windows 2008 sur votre contrôleur de domaine ayant le rôle Schema Master, naviguez dans les repertoires "Source\Adprep" et executez la commande suivante:


Adprep /forestprep





PS: il est recommande d’arrêter les replications active directory le temps de l’operation, ceci est faisable à l’aide de l’utilitaire repadmin


repadmin /options <DC NAME> +DISABLE_OUTBOUND_REPL


il est possible de retirer le cà¢ble reseau du contrôleur de domaine le temps de la mise à jour du schema, à§à marche tres bienJ


Verification de la mise à jour


Un container est cree, verifier sa presence


CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest_root_domain>


Une fois la mise à jour reussie, rebranchez le cà¢ble reseau pour autorisez de nouveau les replications sortantes à l’aide de repadmin puis verifiez que les modifications sont bien repliquees sur les autres contrôleurs de domaines à l’aide de l’outil replmon par exemple


Ref: Aide sur l’utilisation de Replmon


http://www.mcmcse.com/microsoft/guides/replmon.shtml


http://technet2.microsoft.com/windowsserver/en/library/691910f2-a6a7-4ced-984e-972aec2cbdd21033.mspx?mfr=true


Comment troubleshooter des problemes de replication


http://technet2.microsoft.com/windowsserver/en/library/22764cb5-9860-4f8f-95e7-337df24edf741033.mspx?mfr=true

Mise à jour du domaine





Une fois le schema à jour, nous allons preparer les domaines à l’aide de la commande


Adprep /domainprep


Cette commande doit être executee sur le contrôleur de domaine ayant le rôle "Infrastructure Master"





Verification de la mise à jour


CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<domain>


Mise à jour Group Policy


Adprep /domainprep /gpprep





Mise à jour pour les RODC (Read Only Domain Controllers)


Les domaines doivent être mis à jour pour pouvoir installer des contrôleurs de domaines en lecture seule.


Executez cette commande sur un contrôleur de domaine du domaine.


Adprep /rodcprep




Installation du premier contrôleur de domaine Windows 2008





Nous pouvons maintenant installer un nouveau contrôleur de domaine Windows 2008 dans le domaine,


Deux chemins de migration sont possibles:
  • Mettre à jour un contrôleur de domaine
    Mettre un serveur Windows 2008 dans le domaine puis executer DCPROMO pour le promouvoir en contrôleur de domaine.

Dans cet article, j’utiliserai le second scenario pour voir une installation d’un contrôleur de domaine Windows 2008 de bout en bout.


Une fois votre serveur membre du domaine Active Directory, cliquez sur Executer puis tapez "DCPROMO"





Cliquez sur "Suivant"





Cliquez sur "Suivant"





Choisissez de rejoindre une forêt existante et cliquez sur "Suivant"





Le nom du domaine doit apparaà®tre, Cliquez sur "Suivant"





Cliquez sur "Suivant"





Le site auquel appartiendra le DC apparaà®t, Cliquez sur "Suivant"





Choisissez les rôles de votre contrôleur de domaine et cliquez sur "Suivant"





Cliquez sur "Suivant"





Choisissez un mot de passe de restauration et cliquez sur "Suivant"





Verifier le resume de la configuration et Cliquez sur "Suivant"





Active Directory est en cours d’installation, patientez jusqu’à ce que l’ecran ci-dessous apparaisse





Cliquez sur "Terminer" puis "Redemarrer maintenant"




Deplacement des Rôles FSMO





Vous pouvez lire cet article correspondant aux operations ci-dessous


Afficher et transferer des rôles FSMO dans l’interface graphique utilisateur


http://support.microsoft.com/kb/255690

Rôle Schema Master





Une fois redemarre, cliquez sur executer puis tapez la commande suivante afin de rendre disponible le snap-in de gestion du Schema Active Directory


Regsvr32 schmmgmt.dll





Cliquez sur "Executer" puis tapez "MMC"


Ajouter ensuite le snap-in "Active Directory Schema"





Connectez-vous ensuite au nouveau contrôleur de domaine en faisant un clic droit sur "Active Directory Schema"cliquez sur "Changer de contrôleur de domaine" et selectionnez le nouveau contrôleur de domaine puis cliquez sur "OK"





Cliquez ensuite sur "Maà®tres d’operations"





Cliquez sur "Changer" afin de recuperer le rôle Schema Master sur ce nouveau contrôleur de domaine.





Cliquer sur "Oui" pour valider le deplacement du rôle




Rôle Maà®tre de Nommage





De la même faà§on mais à l’aide de la console "Domains and trusts" nous allons deplacer le rôle de maà®tre de Nommage.





Changer de contrôleur de domaine puis selectionnez "Operations Master"





Validez ensuite le changement




Rôles RID, Infrastructure Master et PDC





Les trois autres rôles peuvent être recuperes à l’aide la même console, "Utilisateurs et Ordinateurs Active Directory"





Faites un clic droit sur le nom de votre domaine, ici INTRA.NET et selectionnez "Operations Master"





Sur chaque Onglet (pour chaque rôle) cliquez sur "Changer" puis validez la modification.




















Une petite explication s’impose sur cet avertissement, lisez attentivement l’article Microsoft


Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Active Directory


http://support.microsoft.com/kb/223346

Recommandations generales relatives au placement FSMO


  • Placez les rôles d’emulateur PDC et de maà®tre RID sur le même contrôleur de domaine. Il est egalement plus facile d’assurer le suivi des rôles FSMO si vous les groupez sur un plus petit nombre d’ordinateurs.



    Si la charge sur le rôle FSMO principal justifie un deplacement, placez les rôles d’emulateur PDC et de maà®tre RID sur des contrôleurs de domaine distincts dans le même domaine et le même site Active Directory et qui sont des partenaires de replication directs.
  • En regle generale, le maà®tre d’infrastructure doit se trouver sur un serveur de catalogue non global qui a un objet de connexion directe vers un catalogue global dans la forêt, de preference dans le même site Active Directory. Le serveur de catalogue global contenant un replica partiel de chaque objet de la forêt, le maà®tre d’infrastructure, s’il est place sur un serveur de catalogue global, ne mettra jamais rien à jour car il ne contient aucune reference aux objets qu’il ne contient pas. Il existe deux exceptions à la regle "ne jamais placer le maà®tre d’infrastructure sur un serveur de catalogue global":

    Forêt à domaine unique:Dans une forêt qui contient un seul domaine Active Directory, il n’existe aucun fantôme; par consequent, le maà®tre d’infrastructure n’a aucun travail à faire. Il peut être place sur tout contrôleur de domaine du domaine, que celui-ci heberge ou non le catalogue global.


    Forêt multidomaine o๠chaque contrôleur de domaine d’un domaine contient le catalogue global:Si chaque contrôleur de domaine d’un domaine qui fait partie d’une forêt multidomaine heberge egalement le catalogue global, il n’y a pas de fantôme et aucun travail à faire pour le maà®tre d’infrastructure. Celui-ci peut être place sur tout contrôleur de domaine de ce domaine.




  • Au niveau de la forêt, les rôles de contrôleur de schema et de maà®tre d’operations des noms de domaine doivent être places sur le même contrôleur de domaine car ils sont rarement utilises et doivent être contrôles etroitement. En outre, le rôle FSMO de maà®tre d’operations des noms de domaine doit être egalement un serveur de catalogue global. Certaines operations qui utilisent le maà®tre d’operations des noms de domaine, telles que la creation de domaines grands-enfants, echoueront si ce n’est pas le cas.Dans une forêt, au niveau fonctionnel de la forêt Windows Server 2003, vous n’avez pas à placer le maà®tre d’attribution de noms de domaine sur un catalogue global.
Desinstallation d’Active Directory sur les anciens contrôleurs de domaine




A partir d’un contrôleur de domaine à supprimer, cliquez sur " Executer" puis tapez "DCPROMO"



Cliquez sur "Suivant"



Notre nouveau contrôleur de domaine est un catalogue global, nous pouvons donc ignorer cette erreur et cliquer sur "OK"



Cliquez sur "Suivant" SANS cocher "ce serveur est le dernier contrôleur de domaine de ce domaine"



Confirmez le mot de passe puis cliquez sur "Suivant"



Windows nous presente un resume des operations qui vont être executees, cliquez sur "Suivant"



Une fois les operations reussies, cliquez sir "Terminer" et redemarrez le serveur.
Niveaux Fonctionnels




Une fois les contrôleurs de domaine uniquement sous windows 2008, vous pouvez augmenter le niveau des domaines et forêts en Windows 2008.



Les niveaux fonctionnels des domaines



Niveau Fonctionnalites activees DC
2000 Installation depuis un support (IFM)
Mise en cache des groupes Universel
Partitions applicatives
Imbrication des groupes
Groupe de type Universel
SIDHistory 2000
2003
2008
2003 Ensemble des fonctionnalites du mode 2000, plus
Changement de nom des contrôleurs de domaine
Mise à jour attribut LastLogonTimestamp
Delegation contrainte Kerberos
Selective Authentication accross Forest Trusts
Mot de passe utilisateur pour inetOrgPerson
Redirection des containers Users & Computers
Stockage des information Authorization Manager 2003
2008
2008 Ensemble des fonctionnalites du mode 2003, plus
Replication DFS-R du contenu de SYSVOL
Last Interactive Logon information (time, station, failed logons)
Fine-Grained Password Policy (FGPP)
AES 128 et 256 pour Kerberos 2008Les niveaux fonctionnels des forêts


Niveau Fonctionnalites activees DC
2000 Toutes sauf celles qui necessite le mode 2003 2000
2003
2008
2003 Ensemble des fonctionnalites du mode 2000, plus
Changement de nom des domaines
Relations d’approbation inter forets
Replication LVR (Linked Value Replication)
Amelioration KCC-ISTG (Inter Site Topology Generator)
Classes auxiliaires dynamiques
Modification de la classe User en inetOrgPerson et vice-versa
De/reactivation au sein du schema
Integration des RODC (Read-Only Domain Controller) 2003
2008
2008 Ensemble des fonctionnalites du mode 2003, tout nouveau domaine est en mode 2008 2008Voilà pour les migrations Active Directory, n’hesitez pas bien entendu à tester ces operations en maquette, ce sera l’occasion de tester Hyper-V de Windows 2008, maintenant qu’il est RTM


J


Telechargement:


http://www.microsoft.com/downloads/details.aspx?FamilyId=F3AB3D4B-63C8-4424-A738-BADED34D24ED&displaylang=en


Documentation Step-By-Step Hyper-V


http://www.microsoft.com/downloads/details.aspx?familyid=BCAA9707-0228-4860-B088-DD261CA0C80D&displaylang=en


Ref: Services de domaine ActiveDirectory


http://technet2.microsoft.com/windowsserver2008/fr/servermanager/activedirectorydomainservices.mspx
 
Haut