Documente Academic
Documente Profesional
Documente Cultură
INFO
Introduction
Cet article dcrit les tapes effectuer lors dune migration Interfort afin de rorganiser larchitecture Active directory dune socit suite un changement comme une fusion avec une autre socit. Microsoft met disposition diffrents outils afin de transfrer dun domaine un autre des groupes, des utilisateurs, des comptes dordinateurs et galement dautomatiser le changement de domaine des postes ou encore le transfert des profils itinrants par exemple.
I.
Prsentation
1. Migration Interfort
Une migration interfort consiste relocaliser les objets dun domaine source dans une fort vers un domaine cible dune fort diffrente. Cela peut intervenir dans plusieurs cas comme par exemple: Fusionner deux forts Active Directory de deux organisations afin de consolider les deux infrastructures informatiques. Lors dun changement dans une socit (fusion, acquisition, etc..) impliquant alors la combinaison ou la division des ressources.
2. Loutil ADMT
Loutil ADMT est un composant ncessaire tout processus de migration, il sinstalle sur un contrleur de domaine du domaine cible. Il permet de migrer les objets dans les forts Active Directory. Il inclut des assistants qui automatisent les tches de migration (migration dutilisateurs, de groupes, dordinateurs,...) http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=ae279d01-7dca413c-a9d2-b42dfb746059
3. Loutil PES
PES est le service serveur dexportation de mots de passes , qui permet une fois install sur un contrleur de domaine du domaine source de migrer les mots de passe lorsquune migration interfort est effectue. http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-4757-40FD-830668079BA9C773&displaylang=fr
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
4. Relation dapprobation
Les relations dapprobation permettent un utilisateur dun domaine daccder aux ressources dun autre domaine et un administrateur de pouvoir grer les utilisateurs de lautre domaine. Pour plus de dtail : http://www.labo-microsoft.com/articles/win/trust/0/
II.
Lexistant
1. Le domaine source
Nom de domaine MSLAB.LAN 2x Windows Server 2003 Enterprise Service Pack2 PDC : DC1-MSLAB (+DNS) 192.168.1.1 Serveur Fichier : DATA 192.168.1.2 Un poste Client Windows XP: CLIENT-MSLAB 192.168.1.3 Un poste Client Windows 7: CLIENT2-MSLAB 192.168.1.4 Le domaine est compos dune OU Sige contenant deux OU Achat et Comptabilit
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Achat contient 3 utilisateurs et un groupe Achat
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une GPO dsactivant lutilisation du Pare-feu de connexion internet
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une GPO li lOU ACHAT dfinis un Fond dcran par dfaut
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Les Utilisateurs jbourne et agripsou possdent tous les deux un profil itinrant :
Lfishburn :
Agripsou
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO 2. Le domaine cible Nom de domaine LSTM.LAN PDC :DC1-LSTM.LAN sous windows server 2008 Service Pack1 IP : 192.168.1.11 Le domaine est compos dune OU Sige contenant deux OU Achat et Comptabilit
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
III.
Prparation
Il est important que les deux domaines puissent communiquer entre eux via la rsolution DNS. Pour cela nous allons cr des zones secondaires dans les domaines.
Dployer Zones de recherche directes puis Faire clic droit sur mslab.lan ensuite proprits
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Aller sur longlet transferts de zone, Cocher Autoriser les transferts de zone puis slectionner Uniquement vers les servers suivants puis saisir lIP du PDC cible et ajout le. Cliquer sur notifier
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Sur le domaine Cible : Cliquer sur dmarrer Outil dadministrationDNS
Faite Suivant
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Zone secondaire
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Puis faite suivant
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire clic droit sur la zone lstm.lan puis proprits
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Saisir ladresse IP du PDC source puis OK,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Puis cochez notifier automatiquement et choisir les serveurs suivants, Saisir ladresse IP de DC1-MSLAB puis OK
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Sur le domaine source : Dans linterface de management des ZONES DNS, faire clic droit sur Zones de recherche directes et faire nouvelle zone,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Zone secondaire
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire Terminer
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
Faire clic droit sur le domaine et augmenter le niveau fonctionnel du domaine : Vrifi que le domaine et bien un niveau fonctionnel 2003
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Vrifier le niveau fonctionnel de la fort soit sous 2003 aussi Clic droit sur Domaines et approbations Active Directory Augmenter le niveau fonctionnel de la fort
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO b. Cration de lapprobation Bidirectionnelle Faire clic droit sur mslab.lan puis proprits
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faites suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Slectionner Bidirectionnel,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Authentification pour toutes les ressources du domaine puis suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faites suivant afin de lancer la cration de lapprobation,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisissez oui, confirmer lapprobation sortante ,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une fentre dinformation apparait faite OK,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Saisir comme prnom res_migrator et en nom douverture de sesseion aussi
Dfinissez le mot de passe, cochez lutilisateur ne peut pas changer de mot de passe et le mot de passe nexpire jamais puis faire suivant
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO b. Configuration des droits Ajouter le compte dans le groupe administrateur du domaines, Clic droit sur res_migrator puis ajouter un groupe :
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Dans le domaine cible Cette opration est rpter sur chaques units dorganisation qui vont recevoir les objets migrs. Cliquer sur dmarrer Outil dadministrationUtilisateurs et ordinateurs Active Directory
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Slectionner le domaine source,
Faire OK,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Crer une tache personalise dlguer puis suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire terminer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Aller dans lOU BuiltIN et ouvrer le groupe Administrateur,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir lstm.lan puis OK,
Faire Appliquer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Dans le domaine cible : Ajouter le groupe admins du domaine MSLAB.LAN dans le groupe Builtin/Administrateur du domaine LSTM.LAN. Cliquer sur dmarrer Outil dadministrationUtilisateurs et ordinateurs Active Directory
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Aller sur longlet MEMBRE puis faire ajouter,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Rentrer admins du domaine puis vrifier les noms,
Faire Appliquer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
Dplier lOU Domain Controllers puis faire clic droit sur Defaut domain controllers Policy puis modifier
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Double cliquer sur Autoriser les algorithmes de chiffrement compatibles , choisir activ.
6. Installation de loutil ADMT a. Installation Sur le domaine cible lancer lexcutable admtsetup31, faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Accepter le contrat de licence,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Patienter quelques instant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire terminer
b. Cration de la cl de chiffrement Toujours sur le controleur de domaine cible o a t install ADMT excuter la commande admt key /option:create /sourcedomain:mslab.lan /keyfile:c:\key /keypassword:toto
Rcupr la cl laide dun support amovible ou laide du npartage rseau afin de la stocker. Cette cl permet dinstaller loutil PES sur le controleur de domaine source.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
7. Installation PES
a. Installation Sur le Serveur source : Placer la cl de chiffrement sur le serveur et excuter pwdmig.msi. Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir la cl de chiffrement key.pes,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire suivant,
Faire OK
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire terminer,
b. Dmarrer le service Laiss Dmarrer le service dexportation de mots des passes seulement durant la procdure de migration, veilli le dsactiver une fois la migration terminer. Aprs que le serveur aye redmarr : Faire DmarrerExcuterservices.msc
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire clic droit Dmarrer ,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO a. Cration du groupe global TEST Sur le contrleur de domaine source, Faire DmarrerOutil dadministrationUtilisateur et ordinateur active directory
Lappeler TEST, choisir ltendue du groupe Globale et de type Scurit puis OK.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO b. test de migration Sur le controleur de domaine source : Faire DmarrerOutil dadministrationOutil de migration Active Directory
Clic droit sur outil de migration Active DirectoryAssistant Migration des comptes de groupes
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire Suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire ajouter afin de slectionner le groupe,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire parcourir afin de choisir lOU du domaine source qui recevra le groupe,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cochez Corriger lappartenance du groupe et effectuer la migration des identificateurs SID.. ,
Choisir OUI,
Choisir Oui,
Choisir oui,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Saisir les information du compte res_migrator,
Faire Suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire terminer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Il faut dsormais vrifier si les modifications fate par ADMT ont t faite Sur le contrleur de domaine source : TCPIPCLIENTSUPPORT
Dmarrer Excuterregedit
Ensuite all dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa La cl TcpipClientSupport nest pas cre nous allons donc la rajout manuellement en tant que valeur DWORD et la mettre 1. Clic droit sur LSA NouveauValeur Dword
Saisir TcpipClientSupport
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Groupe MSLAB$$$
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Aller dans configuration ordinateurParamtre windowsParamtre de scuritStratgie daudit Auditer la gestion des comptes. La valeur a t modifie,
La valeur a t modifie,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
IV.
Clic droit Outil de migration Active Directory puis Assistant Migration des comptes dutilisateurs
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire Suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Slectionner les utilisateurs dans le domaine
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire Suivant,
Slectionner lOU cible o les utilisateurs seront migr, ICI lOU Compta est choisie,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Slectionner Cible Identique la source
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cocher : Traduire les profils itinrants Mettre jour les droites des utilisateurs Effectuer la migration des groupes dutilisateurs associs ( ce qui aura pour effet de migrer le compte comptabilit dont ils font parti) Corriger les apparternances du groupe utilisateurs
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir ne pas migrer lobjet source si un conflit est dtect dans le domaine cible
Faire Terminer
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Suivre la progession de la migration, une fois terminer fermer la fenetre,
Vrifier que les comptes utilisateurs et le groupe dont il appartenait ont t migr.
Effectuer la mme manipulation pour les utilisateurs du domaine source de lOU Achat qui seront alors migr vers lOU Achat du domaine cible.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Saisir C:\Windows\ADMT\migrator.msc afin de lancer loutil de migration ADMT
Faire clic droit sur Outil de migration Active Directory et choisir Assistant Migration des ordinateurs
Faire suivant
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Saisir les domaines et serveurs correspondant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cliquer sur ajouter,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir lOU qui recevra les comptes ordinateurs,
Cochez les options dont vous avez besoin, ici : Fichiers et dossiers Groupes locaux Registre Les ressources partages Profil des utilisateurs Droits des utilisateurs
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir Remplacer,
Faire OK,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cliquer sur Terminer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une fois la migration finie une boite de dialogue apparat, elle permet dautomatiser le changement de domaine des ordinateurs. Cliquer sur Dmarrer afin de lancer lopration
Le processus termin, il est possible de voir si des erreurs sont apparu, ici le client-mslab et client2-mslab se son terminer avec des erreurs, il est donc ncessaire de vrifier les logs. Pour cela cliquer sur Afficher le journal de migration.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO b. Vrification des Logs Fichier journal de migration, on constate que le changement a bien t fait, sauf que la postvrification na pas pu aboutir pour le client-mslab.lan. Pour voir plus en dtail les logs selon les comptes ordinateurs cliquer sur dtail agent dans la fentre prcdente.
Serveur DATA
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO La migration sest correctement drouler et a abouti,
Client-MSLAB
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO On voit dans le log que laffiliation du domaine a t modifier en lstm.lan, la migration sest correctement drouler et a abouti,
Client2-MSLAB
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO La migration sest correctement drouler et a abouti,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Client-mslab Ouvrir la session de lutilisateur lfishburn sur le domaine LSTM
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Dans les proprits systme, on constate bien que le poste a intgr le domaine lstm.lan,
Le client rcupre bien son profil initrant car le fichier nomm perso sur le bureau est prsent. Le fond dcran est toujours prsent car il se trouve en mmoire sur le poste.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Client2-mslab Ouvrir la session de lutilisateur agripsou
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Lutilisateur a bien rcupr son profil itinrant car le fichier PERSO cr prcdement est affich,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Le serveur a bien intg le domaine lstm.lan,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO a. Installation GPMC Excuter linstalleur gmpc.msi
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une fois linstallation terminer faire terminer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Dfinir le nom de la sauvegarde et la destination,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Une fois la sauvegarde terminer faire OK,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire clic droit sur Objets de stratgie de groupe et faire nouveau
Sur la GPO Wallpaper Achat crer prcdement, faire clic droit et importer des paramtres,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Faire suivant,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cliquer sur Parcourir afin de choisir lemplacement de la sauvegarde,
Faire suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Choisir la sauvegarde puis suivant,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO A la fin de lassistant, faire terminer,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Vrifier la GPO afin de voir si les paramtres ont t import,
Lier la GPO sur lOU Achat, faire clic droit puis lier un objet de stratgie de groupe existant ,
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO La GPO li fermer la console gestion de stratgie de groupe,
Faire la mme chose pour le Gpo grant le fond dcran Compta Une fois les GPO migrer, excuter la commande gpupdate /force sur les postes clients et fermer la session active ou redmarrer sinon les changements de la GPO ne sont pas pris en compte.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO d. Vrification de lapplication des GPO CLIENT-MSLAB avec la session lfishburn
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO Cliquer sur longlet Approbations puis sur nouvelle approbation et Supprimer toutes les relations dapprobation entre les deux domaines.
Selectionner Oui, supprimer lapprobation du domaine local et de lautre domaine puis saisir les information du compte administrateur.
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO b. Dsactivation des comptes de migration Sur dc1.mslab.lan Cliquer sur dmarrer Outil dadministrationUtilisateurs et ordinateurs Active Directory
Aller dans lOU User et faire clic droit sur res_migrator puis dsactiver le compte
Migration inter-foret windows 2003 vers 2008 avec ADMT 3.1 JCARBEL.INFO c. Arrt du service dexportation de mot de passe Sur controleur de domaine du domaine source Faire DmarrerExcuterservices.msc
Faire clic droit sur Service Serveur dexportation de mots de passes puis faire Arrter
Conclusion
La migration interforet nest pas vraiment une migration comme on pourrait le comprendre mais plus un processus de copie dobjet dun domaine source vers un domaine cible. En cas de problme, il est facile de revenir en arrire tant donn que toute les donnes sources se trouve toujours dans le domaine source. Cet article a donc pour but de montrer le fonctionnement dune migration interfort. En entreprise le nombre dobjets sera forcment beaucoup plus levs et la mgiration touchera alors beaucoup plus dutilisateurs. Il est donc ncessaire de prparer une bonne planification et dattribuer si besoin est, une phase de migration plusieurs techniciens ou administrateurs afin de rendre le processus migration optimale.