You are on page 1of 8

Restructuration Active Directory 2000/2003 vers 2008

Sommaire 1 Restructuration du domaine mad.mir et company.lan vers le domaine nelite.fr 1.1 Prsentation et objectifs de la migration 1.2 Pr-requis 1.3 Prparation la migration point par point 1.3.1 Cration des comptes de migration 1.3.2 Mise en place de la rsolution DNS entre la fort cible et les forts sources 1.3.3 Mise en place des relations dapprobations 1.3.4 Mise en place de la Dlgation 1.3.5 Installer loutil ADMT (Active Directory Migration Tool) 1.3.6 Activer laudit sur les contrleurs de domaine 1.3.7 Installer le serveur dexportation des mots de passe 1.4 Migration pas pas 1.4.1 Migration des groupes locaux et globaux 1.4.2 Migration des utilisateurs et des mots de passe 1.5 Point sur la migration 1.6 Erreurs frquentes 1.6.1 DNS 1.6.2 Migration des mots de passe 1.6.3 Migration du SID de lutilisateur 1.6.4 Importation de la cl de chiffrement 2 Conclusion

1 Migration/Restructuration du domaine mad.mir et company.lan vers le domaine nelite.fr


1.1 Prsentation et objectifs de la migration Les domaines mad.mir et company.lan vont disparaitre pour laisser place au nouveau domaine nelite.fr . Nous aurons une architecture cible mono-fort/mono-domaine. Une migration inter-forts des objets sera donc effectuer. Ici, les ressources seront migres aprs les utilisateurs (non dtaill dans ce document), il faudra donc quils conservent leurs droits sur le domaine source. Nous donnerons une attention particulire pour quil soit possible, en cas derreur lors de la migration, de revenir en arrire. Voici une prsentation du contexte ainsi quun schma permettant de visualiser la situation initiale et la situation vise :

Aprs une tude des besoins et diverses propositions dinfrastructure, une entreprise valider la mutualisation de lensemble de son infrastructure sur un site. Les principales raisons ont t la rduction du cot dadministration du systme dinformation mais galement permettre lvolution de linfrastructure tout en proposant une solution prenne (car il sera possible de basculer en multi-domaine si les besoins venaient voluer) et capable daccueillir les nouvelles technologies Microsoft dans les meilleurs conditions. De ce fait, une restructuration puis une migration Active Directory a t valide afin dlever le niveau fonctionnel de base sous 2000 pour le site 2 et 2003 pour le site 3 vers 2008 sur le site 1.

La migration compte diffrentes tapes prsentes dans ce document, une phase daudit, de propositions dinfrastructure prcde ce document. Cette exemple peut tre adapt votre entreprise en fonction de vos besoins, merci de me contacter sur : guillaume.arsicaud@nelite.com. En termes de logiciels et doutils, le processus de migration est gratuit. Pour une meilleure comprhension, le domaine source est mad.mir et/ou company.lan . Le domaine cible est nelite.fr . 1.2 Pr-requis Cette procdure part du principe que les lments suivant sont en productions et configurs. Installation du nouveau domaine cible sous Windows server 2008 x64, avec une configuration rseau permettant la communication avec les domaines sources. Installation dune machine Windows server 2008 x64 pour linstallation du serveur PES (Password Export Server) et configuration rseau permettant la communication avec lensemble des serveurs. Installation et configuration des serveurs DNS pour quils puissent rsoudre les noms de domaine internes. Le niveau fonctionne du domaine mad.mir doit tre lev en mode natif Les pr-requis tant fixs, tous les lments sont runis pour dbuter la prparation la migration. 1.3 Prparation la migration point par point
1.3.1 Cration des comptes de migration

Lors de la migration, nous devons utiliser les droits du groupe Administrateurs du domaine (ou tout autre compte ayant les possibilits de cration/modification des units dorganisations dans le domaine source et dans le domaine cible). Il nest pas conseill dutiliser le compte Administrateur car ses droits ne sont pas limits, il fait partie du groupe ayant les droits sur

lentreprise. Il est donc recommand de crer un utilisateur qui fera partie du groupe Administrateurs du domaine . Cette opration permet, en plus de rpondre aux bonnes pratiques Microsoft, davoir un utilisateur ddi la migration et qui sera distingu clairement dans les journaux dvnements par exemple. Le nom du compte cr sera adminmig , qui fera donc partie du groupe Administrateurs du domaine (un compte sera cr dans le domaine cible mais galement un par domaine source.) Les comptes de migrations sont termins, nous allons continuer en abordant la mise en place de la rsolution DNS inter fort.

1.3.2 Mise en place de la rsolution DNS entre la fort cible et les forts sources.

Vous avez trois contrleurs de domaine avec le service DNS (Domain Name System) dinstall et de configur. Le but de la manipulation qui suit, est de rsoudre les noms DNS de la fort mad.mir et company.lan depuis la fort nelite.fr et inversement. Sur la fort nelite.fr , il vous faut crer une zone stub de la zone mad.mir . Dans notre cas, la zone stub permet de ne pas configurer de redirecteur et de limiter les enregistrements transfrs dune fort une autre. Remarque : La manipulation est identique pour crer la zone stub de company.lan . Avant de configurer la zone DNS du domaine mad.mir , nous allons ajouter la zone stub nelite.fr au domaine company.lan . Pour cela, refaites la mme manipulation dcrite ci-dessus, mais en renseignant le nom de la zone stub nelite.fr et le nom du serveur DNS qui hberge la zone. A prsent, nous allons renouveler lopration sur le domaine mad.mir , mais cette fois en utilisant une zone DNS secondaire (car il est hberg sur un Windows 2000, hors la notion de zone stub apparait avec Windows 2003.) Sur la fort mad.mir , il vous faut crer une zone DNS secondaire de la zone nelite.fr . Voici un schma permettant davoir une vue densemble des oprations effectues :

Vous pouvez dsormais rsoudre des noms de domaines entre les diffrents domaines. Un simple test permet de le confirmer. Effectuer un ping en utilisant le FQDN du serveur DNS cible depuis lun de vos deux serveurs sources. Passons ltape suivante qui est la configuration des relations dapprobations.

1.3.3 Mise en place des relations dapprobations

Notre migration englobe trois domaines, par consquent nous devons crer des rgles de scurits permettant le dialogue de ces trois entits sans liens. La solution, est la mise en place de relations dapprobations bidirectionnelles (cette relation est justifie par les besoins du client, car pendant la phase de cohabitation les deux forts devront pouvoir communiquer entre elles pour fournir laccs aux ressources des utilisateurs migrs). Pour mettre en place une relation dapprobation entre deux domaines (nelite.fr et mad.mir ) il faudra utiliser la console domaines et approbations active directory . Il faudra effectuer la mme manipulation depuis le domaine nelite.fr pour le domaine company.lan . Les comptes de migrations seront utiliss durant cette tape. Pour vrifier le bon fonctionnement de la relation dapprobation, il faudra la valider cette dernire. Il est maintenant possible aux domaines sources de communiquer avec le domaine cible et inversement. Mais aucun droit nest configur, cest donc la prochaine tape.
1.3.4 Mise en place de la Dlgation

Sur le domaine mad.mir , il faut dlguer ladministration de lunit dorganisation ou sont positionnes vos utilisateurs au compte adminmig du domaine nelite.fr , pour que ce dernier ai les droits ncessaires lors de la migration. Il faut rpter lopration pour le domaine company.lan . Pour cela, se placer sur le domaine mad.mir . Lancer la console dadministration Utilisateurs et Ordinateurs dactive directory . Se positionner sur lunit dorganisation et cliquer sur Dlgation de contrle . De l, vous pouvez choisir un utilisateur (effectu une recherche de adminmig sur le domaine nelite.fr ). Ensuite, vous donnez le maximum de droits cet utilisateur sur lunit dorganisation. Faire de mme pour le domaine company.lan . Lutilisateur adminmig du domaine cible a dsormais laccs aux objets de lannuaire des domaines sources. Cependant, il faut installer un logiciel permettant de raliser la migration.
1.3.5 Installer loutil ADMT (Active Directory Migration Tool)

Microsoft fournit un outil de migration gratuit du nom dADMT, actuellement dans sa version 3.1 compatible avec Windows server 2008. Nous allons lutiliser pour effectuer des migrations dutilisateurs, de comptes ordinateurs, de groupes, des mots de passe etc. ATTENTION : Cet outil doit tre install sur un serveur tiers Windows server 2008 (qui na pas les rles dannuaire). Ce serveur doit galement faire partie du domaine cible (qui pour rappel est nelite.fr ). La migration est actuellement possible, toutefois le compte ne conservera pas laccs aux ressources de son ancien domaine. Ce qui nest pas tolrable au vu des demandes du client. Nous allons donc activer un paramtre pour rgler ce problme.
1.3.6 Activer laudit sur les contrleurs de domaine

Cette tape est indispensable la russite du projet de migration. Une erreur apparait si vous nactivez pas laudit sur les contrleurs de domaine. Voir le chapitre Erreurs frquentes Lactivation de laudit diffre entre Windows serveur 2008 et 2000. Cependant, dans les deux cas vous devrez activer la stratgie Auditer la gestion des comptes . Il vous reste crer un groupe local dans le domaine source (mad.mir) portant le nom Netbios du

domaine suivi de $$$, soit MAD$$$ dans notre cas. Ce groupe permet la prise en charge de laudit (ce qui est un pr-requis pour la migration de lhistorique SID. Ce paramtre est important car il permet de conserver les droits et donc laccs aux ressources du domaine source, demande formul par le client). Il faut rpter cette opration pour le domaine company.lan . La migration des comptes objets est disponible (avec pour les utilisateurs leurs SID), mais il reste un dernier dtail. La migration des mots de passe. Cest un lment important, car le client souhaite que la migration soit la plus transparente possible pour lutilisateur. Pour rsoudre ce problme nous allons installer un serveur dexportation des mots de passe.
1.3.7 Installer le serveur dexportation des mots de passe

Une transparence totale est assure pour lutilisateur lors de la migration de son compte. En effet, mme si lutilisateur sera bascul vers un nouveau domaine nous conserverons son mot de passe (il sera nanmoins possible de migrer lutilisateur et de demander un changement de mot passe lorsquil se connectera sur le nouveau domaine). Nous allons utiliser un logiciel fournis gratuitement par Microsoft Password Export Server dans sa version 3.1. De plus, nous ajoutons de la scurit (lors de la migration des mots de passe des utilisateurs dune fort lautre) grce une cl de chiffrement.
1.3.7.1 Cration de la cl de chiffrement

Sur le serveur membre du domaine cible, sur lequel ADMT est install, excuter la ligne de commande suivante : admt key /option:create /sourcedomain:mad.mir /keyfile:C :\Key.pes Cette ligne cre la cl de chiffrement dans le rpertoire C : qui est copier sur le serveur dexportation de mots de passe. A noter que pour effectuer cette opration, le serveur require la prise en charge du chiffrement 128bits, composant install de base dans les systmes dexploitation partir de Windows Server 2000 ( condition davoir install Internet Explorer 4.1 ou ultrieur).
1.3.7.2 Installation du service dexportation

Lexcutable est tlcharger sur le site de Microsoft via le lien suivant : _http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-4757-40FD-830668079BA9C773&displaylang=fr Lancer lexcutable tlcharg et renseigner le chemin de la cl de chiffrement. Renseigner le compte adminmig . Une fois le service install, le serveur doit redmarrer. Le serveur redmarr, il faut dmarrer le service dexportation des mots de passe dans les services Windows. La manipulation doit tre rpte pour le domaine company.lan . Tous les lments sont runis pour dbuter la migration. Nous prendrons en compte ds lors une phase de retour en arrire sur chaque partie. Le client a clairement formul cette demande dans le cahier des charges.

1.4 Migration pas pas


1.4.1 Migration des groupes locaux et globaux

Il est maintenant possible de commencer la migration. Mais vous devez respecter un ordre bien prcis. En effet, Microsoft recommande de migrer les groupes globaux et de domaine locaux avant dentreprendre la migration dutilisateurs. Cette recommandation permet aux utilisateurs de conserver leurs dpendances vis--vis des groupes, mais galement aux diffrentes ressources de leur ancien domaine. Lors de la migration, lutilisateur aura deux SID, lancien (pour avoir accs ses anciennes ressources et un nouveau pour le nouveau domaine). Pour effectuer une migration des groupes, se placer sur le serveur tiers, o loutil ADMT est install et slectionner loutil de migration active directory . Vous devez prciser lassistant que vous allez utiliser (dans notre cas, migration des comptes de groupes ). Vous devrez ensuite slectionner le domaine source ainsi que le domaine cible. Ensuite, vous devez choisir le mode de saisi des groupes. Pour des raisons videntes il est prfrable de slectionner un fichier regroupant lensemble des groupes, au format .cvs . Vous avez diffrentes options ltape suivante que vous devez slectionner en fonction de vos besoins. Ltape suivante permet en cas derreur de ne pas migrer le groupe, ce qui permet de revenir en arrire. Slectionner Ne pas migrer lobjet source si un conflit est dtect dans le domaine cible . Cette tche est rpte pour lensemble des groupes du domaine company.lan
1.4.2 Migration des utilisateurs et des mots de passe

Pour effectuer une migration des utilisateurs avec leurs mots de passe, se placer sur le serveur tiers, o loutil ADMT est install et lancer ADMT. Une fois la console Outil de migration Active Directory lanc, slectionner lAssistant de migration des utilisateurs . Vous devez renseigner le domaine source mad.mir et le domaine cible nelite.fr . Choisissez le mme mode de saisi des utilisateurs que celui des groupes. Et indiquer la migration du mot de passe de lutilisateur. A prsent, vous saisissez les options de transition de compte (attention, conserver le SID pour que les utilisateurs une fois migr sur le nouveau domaine puissent toujours accder leurs ressources de lancien domaine). Ltape suivante permet en cas derreur de ne pas migrer le groupe, ce qui permet de revenir en arrire (rpondant au besoin du client). Slectionner Ne pas migrer lobjet source si un conflit est dtect dans le domaine cible . Cette tche est rpter pour lensemble des utilisateurs et des mots de passe du domaine company.lan . 1.5 Point sur la migration La migration des groupes, des utilisateurs, des mots de passe et des SID sont termins. Pour complter la migration, il faut migrer les dossiers des comptes itinrants des utilisateurs des anciens domaines mad.mir et company.lan vers nelite.fr . De plus, il faut lancer le script (fournis par Microsoft) qui permet de remplacer votre ancien SID uniquement par les nouveaux. Ces deux tapes permettent de clturer la migration, car vous pouvez maintenant couper les domaines sources.

Le serveur dexportation des mots de passe nest plus utile, par consquent vous pouvez supprimer cette machine. 1.6 Erreurs frquentes :
1.6.1 DNS

Objet : Problme de chargement de la zone stub ou de la zone DNS secondaire. Cause : Vous navez pas autoris le serveur DNS primaire faisant autorit sur la zone transfrer sa zone vers un autre DNS. Exemple :

Solution : Activer le transfert de zone, pour cela il faut faire un proprit sur la zone primaire et dans longlet transfert de zone, spcifier les zones qui sont autorises recevoir un transfert de zone.
1.6.2 Migration des mots de passe

Objet : Problme de migration de mot de passe dutilisateur Cause : Le service dexportation de mot de passe nest pas disponible Exemple :

Solution : Revoir la partie 1.2.7 Installer le serveur de dexportation des mots de passe .
1.6.3 Migration du SID de lutilisateur

Objet : Impossible de migrer le SID de lutilisateur Cause : Laudit na pas t activ sur lun des serveurs sources ou cible Exemple : Un message d'erreur apparait "Impossible de vrifier l'audit et TcpipClientSupport sur les domaines. La migration de l'identificateur SID sera impossible. Accs refus."

Solution : Revoir la partie 1.2.6 Activer laudit sur les contrleurs de domaine
1.6.4 Importation de la cl de chiffrement

Objet : Impossible dimporter la cl de chiffrement lors de ltape 1.2.7 Installer le serveur de dexportation des mots de passe . Cause : Vous utilisez ADMT depuis un DC. Exemple : Un message derreur vous interdit deffectuer cette opration car vous ntes pas administrateur local de votre machine. Solution : Installer ADMT sur un serveur membre du domaine mais qui nest pas DC. En effet, pour importer la cl il faut tre administrateur local, hors il est impossible dobtenir ce status sur un DC.

2 Conclusion
Le client a maintenant atteint ses objectifs de migration. Toutes les tapes de prparations proposes ont permis de raliser une migration intgrant les demandes du client moindre couts. La mise en uvre dune infrastructure mono-domaine/mono-fort est optimise pour les besoins du client. Cependant, il faudra organiser et mettre en uvre de la dlgation pour optimiser au maximum le processus dadministration en production et donner une relle valeur ajout cette infrastructure. Lensemble des sources ont t rcupr sur le site de Microsoft. Le document ADMT v3.1 Guide: Migrating and Restructuring Active Directory Domains a t la rfrence sur la plupart des points techniques. Lien : _ http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA541CA-B2F3-C11BCB4857AF&displaylang=en.