Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2) Tutorial conçu et rédigé par Michel de CREVOISIER SOURCES Gestion des rôles d opérations : http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx Localisation et migration des rôles d opérations : http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html Liste des commandes Active Directory en PowerShell : http://technet.microsoft.com/en-us/library/ee617195.aspx 1

INDEX SOURCES... 1 INDEX... 2 Préambule... 3 1. Préparation du contrôleur à migrer... 4 1.1 Augmentation du niveau fonctionnel... 4 1.2 Mise à jour du schéma... 4 1.3 Mise à jour du domaine... 6 1.4 Mise à jour des stratégies... 6 1.5 Intégration de RODC... 7 2. Configuration du nouveau contrôleur... 8 2.1 Ajout d un contrôleur de domaine... 8 2.2 Vérifications... 11 3. Transfert des rôles FSMO... 13 3.1 Via l interface graphique... 13 3.2 En ligne de commande... 15 4. Suppression de l ancien contrôleur... 16 5. Augmentation du niveau fonctionnel... 17 5.1 Via l interface graphique... 17 5.2 En ligne de commande... 17 6. Erreurs... 18 6.1 Impossible de préparer le domaine... 18 6.2 Impossible d augmenter le niveau fonctionnel en 2008... 18 6.3 Impossible de configurer le service NETLOGON... 18 6.4 Erreur lors du transfert d un rôle... 19 7. Outils... 20 7.1 Transfert forcé (seize)... 20 Conclusion... 21 2

Préambule Face au vieillissement de notre bon vieux «Server 2003», la question du remplacement de ce dernier est souvent évoquée. Cela dit, quand on se rappelle qu il héberge l ensemble des rôles Active Directory, on se dit finalement que le jeu n en vaut peut-être pas la chandelle et qu il pourrait tenir encore quelques années de plus Ce tuto a donc pour objectif de vous fournir la procédure afin de transférer les rôles d un contrôleur de domaine sous 2003 R2 vers un contrôleur sous 2008 R2. Avant de procéder à la migration, prenez quand même le temps de sauvegarder votre serveur, on ne sait jamais Sachez par ailleurs qu il est nécessaire de maîtriser un minimum les fonctionnalités de base d un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. De plus vous devez disposer d une version de Windows Server 2008 R2 SP1 Standard/Entreprise téléchargeable depuis le site de Microsoft. Attention, mes serveurs et logiciels seront installés en anglais. Je vous recommande donc d opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil Pour ce tuto, j utiliserai 2 serveurs : AD01: serveur Active Directory et DNS sous Windows Server 2003 R2 SP2 x86 (installation non détaillée) AD02: serveur sous Windows Server 2008 R2 SP1 x64 (installation détaillée) ; non membre du domaine 3

1. Préparation du contrôleur à migrer 1.1 Augmentation du niveau fonctionnel Avant de procéder à la migration, vous devez augmenter le niveau fonctionnel de votre domaine. Pour cela : Ouvrez la console Active Directory Clic droit sur le nom de votre domaine > Raise domain functional level Choisissez le mode 2003 1.2 Mise à jour du schéma La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs (nécessaires au fonctionnement d Active Directory sous Windows Server 2008 R2) dans la partition schéma. Cette action est à mener sur le serveur possédant le rôle FSMO «Maitre de schéma». 1.2.1 Versions du schéma A titre d information, voici comment connaître la version actuelle du schéma : Ouvrez la console du registre Allez dans : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters Recherchez la clef Schema version et comparez sa valeur avec tableau qui suit : 3 : Windows Server 2000 30 : Windows Server 2003 31 : Windows Server 2003 R2 44 : Windows Server 2008 47 : Windows Server 2008 R2 4

1.2.2 Désactivation de la réplication Avant de mettre à jour le schéma, il est nécessaire de désactiver la réplication sortante du contrôleur de domaine : repadmin /options <nom DC> +DISABLE_INBOUND_REPL 1.2.3 Mise à jour du schéma Copiez le dossier «adprep» situé sur le DVD de Windows Server 2008 R2 (dans D:\support) sur votre serveur à migrer. Exécutez ensuite la commande suivante : adprep32 /forestprep Une fois l opération terminée, vérifiez que la mise à jour a bien fonctionné en reproduisant la procédure du point 1.2.1. 1.2.4 Réactivation de la réplication N oubliez pas de relancer la réplication : repadmin /options <nom DC> -DISABLE_INBOUND_REPL 5

1.3 Mise à jour du domaine La mise à jour du domaine consiste à préparer ce dernier à recevoir des contrôleurs de domaines sous Windows Server 2008 R2. Pour cela, exécutez la commande suivante : adprep32 /domainprep Attention, si vous n avez pas augmentez le niveau fonctionnel comme indiqué au point 1.1, vous vous heurterez au message du point 6.1. 1.4 Mise à jour des stratégies «Cette action a pour but d ajouter les entrées de contrôle d'accès (ACE) pouvant être héritées sur les objets Stratégie de groupe de la ressource partagée Sysvol. Des entrées de contrôle d'accès (ACE) supplémentaires donnent aux contrôleurs de domaine de l'entreprise des autorisations d'accès en lecture sur les objets Stratégie de groupe. Ces autorisations sont requises pour prendre en charge la fonctionnalité Jeu de stratégie résultant pour la stratégie de site». Pour hériter de ces éléments exécutez la commande suivante : adprep.exe /domainprep /gpprep 6

Note : si vous exécutez la commande «/domainprep /gpprep» avant «/domainprep», les deux étapes seront réalisées : d abord le «/domainprep» puis le «/gpprep» 1.5 Intégration de RODC Afin de préparer votre domaine à recevoir d éventuels contrôleurs de domaine en lecture seule (RODC), exécutez la commande suivante : adprep /rodcprep 7

2. Configuration du nouveau contrôleur 2.1 Ajout d un contrôleur de domaine Maintenant que votre domaine est prêt à accueillir un contrôleur sous Windows Server 2008 R2, nous allons pouvoir en rajouter un. Pour cela : Exécutez la commande dcpromo Choisissez ensuite l option ci-dessous : Indiquez ensuite le nom et les identifiants d administrateur associés au domaine à migrer : Si tout est correct, l écran suivant apparait : 8

Le message ci-dessous peut apparaître si vous n avez pas préparé le domaine à recevoir des contrôleurs en lecture seule (point 1.5). Cliquez sur YES Sélectionnez ensuite les rôles à installer (DNS et Catalogue global) : 9

Le message ci-dessous peut apparaître si votre serveur n a pas d accès à internet. En effet, le serveur DNS ne peut pas vérifier la délégation de nom concernant le «.com». Cliquez sur YES Indiquez que vous souhaitez répliquer les données de l annuaire Active Directory via le réseau : 10

Si vous possédez plusieurs contrôleurs de domaine, indiquez celui de votre choix. Sinon laissez l option par défaut : Laissez l assistant terminer et redémarrez le serveur 2.2 Vérifications Avant de poursuivre, vérifiez les points suivants : Présence des consoles Active Directory et DNS Présence des deux contrôleurs de domaine dans l UO Domain Controllers 11

Présence des répertoires : o C:\Windows\SYSVOL\sysvol\[domaine]\scripts o C:\Windows\SYSVOL\sysvol\[domaine]\policies Présence des partages NETLGON et SYSVOL via la commande net share Attention! Pour les deux points précédents, les éléments peuvent tarder à apparaître! Exécutez la commande dcdiag et vérifiez qu il n y pas d erreurs, notamment au niveau du RPC. Par ailleurs, il peut s avérer nécessaire de redémarrer l ancien serveur. 12

3. Transfert des rôles FSMO Nous allons maintenant procéder au transfert des différents rôles vers le nouveau serveur. Si vous souhaitez avoir plus d informations concernant ces rôles, rendez-vous au point XXX de mon tuto intitulé «Tout sur Active Directory 2008 R2». Attention! Toutes les actions qui suivent devront être réalisées depuis le nouveau serveur. 3.1 Via l interface graphique 3.1.1 Transfert du Maitre de schéma Pour ce rôle, il est nécessaire de passer par la console Schéma Active Directory, hors celle-ci n est pas disponible par défaut. Pour l activer : Ouvrez une console CMD en tant qu administrateur et tapez : regsvr32 schmmgmt.dll Ouvrez une MMC et ajoutez le composant Active Directory Schema Maintenant que la console est accessible, vous pouvez transférer ce rôle : Clic droit sur Active Directory Schema > Operations Master Change Problème : le message ci-dessous apparaît. L opération ne peut donc pas continuer en mode graphique 3.1.2 Transfert du Maître d attribution de noms de domaine Ouvrez la console Active Directory Domains and Trusts Clic droit sur Active Directory Domains and Trusts > Operations Master Change 3.1.3 Transfert des rôles niveau domaine (RID, PDC, Infrastructure) Ouvrez la console Active Directory Clic droit sur [nom domaine] > Operations Masters La fenêtre suivante apparaît : 13

Cliquez sur Change pour procéder au transfert. Répétez ensuite cette action pour les autres rôles, sachant qu à chaque transfert un message de confirmation apparaît : 14

3.2 En ligne de commande Ouvrez une console CMD et tapez les commandes suivantes : Ntdsutil Roles Connection connect to server localhost quit transfer schema master transfer naming master transfer infrastructure master transfer pdc transfer rid master quit quit Vérifiez ensuite que tous les rôles ont été transférés : netdom query fsmo Attention! Si une erreur apparaît lors du processus de transfert d un rôle, dirigez-vous au point 6.4 pour plus d informations. 15

4. Suppression de l ancien contrôleur Maintenant que le nouveau serveur est prêt, il est temps de supprimer l ancien. Pour cela : Arrêtez le service NETLOGON (Ouverture de session en français). Autrement le message du point 6.3 apparaîtra Exécutez la commande dcpromo L assistant se lance. Surtout ne cochez pas la case ci-dessous car cela entrainerait la disparition du domaine : Confirmez la suppression du serveur et redémarrez ce dernier 16

5. Augmentation du niveau fonctionnel Maintenant que votre contrôleur de domaine possède tous les rôles, nous allons augmenter son niveau fonctionnel afin de disposer des dernières fonctionnalités offertes par Server 2008 R2. 5.1 Via l interface graphique Pour augmenter le niveau fonctionnel via l interface graphique, suivez comme suit : Ouvrez la console Active Directory Clic droit sur le nom de votre domaine > Raise domain functional level Choisissez le mode 2008 R2 Attention! Si vous n avez pas supprimé l ancien contrôleur de domaine (sous 2003), le message du point 6.2 apparaîtra. 5.2 En ligne de commande Pour augmenter le niveau fonctionnel en ligne de commande, ouvrez une console PowerShell et tapez les commandes suivantes : Import-Module ActiveDirectory Augmentation du niveau du domaine : Set-ADDomainMode -Identity domaine.com -DomainMode Windows2008R2Domain Augmentation du niveau de la forêt : Set-ADForestMode -Identity domaine.com -ForestMode Windows2008R2Forest 17

6. Erreurs 6.1 Impossible de préparer le domaine Ce message apparait si vous n avez pas augmenté le niveau fonctionnel du domaine comme indiqué au point 1.1. 6.2 Impossible d augmenter le niveau fonctionnel en 2008 Si vous essayer d augmenter le niveau fonctionnel depuis le nouveau contrôleur de domaine sans avoir supprimé l ancien, vous obtiendrez le message ci-dessous. Pour augmenter le niveau en 2008 R2, supprimez l ancien contrôleur en suivant les indications du point 4. 6.3 Impossible de configurer le service NETLOGON Durant la suppression de l ancien contrôleur de domaine (point 4), je me suis heurté au message suivant : 18

Voici le détail de l erreur dans le journal d évènements : Cette erreur est liée un l impossibilité de modifier un enregistrement DNS sur ce même serveur, en raison de l exécution du service NETLOGON (Ouverture de session en français). Pour parer à ce problème, il convient d arrêter ce service avant d exécuter la commande DCPROMO. Vous trouverez le détail de l erreur sur EventID ici et sur le Technet ici. 6.4 Erreur lors du transfert d un rôle Comme indiqué à la fin du point 3.2, il se peut que vous soyez dans l impossibilité de transférer un rôle FSMO. Les causes du problème peuvent être nombreuses mais il existe une parade consistant à forcer le transfert de rôle. Ci-dessous, l erreur rencontrée en voulant migrer le Maitre de Schéma : Pour cette erreur (et uniquement cette erreur), Microsoft fournit une procédure détaillée. Si vous rencontrez le même problème mais pour d autres rôles, rendez-vous au point 7.1 pour procéder à un transfert «forcé» via la commande seize. 19

7. Outils 7.1 Transfert forcé (seize) Si pour une raison inconnue le transfert de rôle ne fonctionne pas, vous devrez alors forcer ce dernier via la commande seize. Attention, après avoir réaffecté les rôles, il ne faudra surtout pas reconnecter l ancien contrôleur de domaine. roles connection connect to server [MONSERVEUR] quit seize PDC seize RID master seize infrastructure master seize naming master seize schema master Dans tous les cas et avant tout «seize», je vous recommande la lecture de l article suivant (en anglais). 20

Conclusion Dorénavant, vous êtes en mesure de transférer un contrôleur de domaine 2003 vers 2008. Mais attention, ce tuto est valable pour des versions standards de Windows Server. Pour les versions Small Business, la situation est plus délicate et la procédure est bien plus longue. N hésitez pas m envoyer vos commentaires ou retours à l adresse suivante : michel_de A-R-0-B-A-5 hotmail. com Soyez-en d ores et déjà remercié 21