Migration Active Directory 2003 vers 2008

Source: roiheenok.fr

Pré-requis :

  • Windows 2003 et 2008 avec les dernières mises a jours.
  • Avoir un AD Windows 2003 en mode natif.
  • CD de Windows Server 2008

Vérifier la version du schéma

La clé schéma Version se trouve dans :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Ou exécuter cette commande :

dsquery * cn=schema,cn=configuration,dc=nomdom,dc=local -scope base -attr objectVersion

Les valeurs du schéma sont :

  • 13=Microsoft Windows 2000
  • 30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • 31=Microsoft Windows Server 2003 R2
  • 44=Microsoft windows Server 2008
  • 47=Microsoft windows Server 2008 R2

Cette méthode fonctionne d’une version 31 (2003 R2) du schéma pour la mettre à jour en 44 (2008 Server)  ou 47 (2008 r2).

Mise à jour du Schéma

Il faut commencer par mettre à jour le schéma de l’Active Directory de production.

Il est recommandé d’arrêter les réplications active directory le temps de l’opération, ceci est faisable à l’aide de l’utilitaire repadmin.

  • Se connecter sur le serveur qui à le rôle Contrôleur de schéma (Schema master),
  • Insérez le CD de Windows 2008 sur ce serveur,
  • Arrêter les services réplications Active Directory pendant la mise a jour.
  • Commande pour arrêter ces services :
    repadmin /options  +DISABLE_OUTBOUND_REPL

    ( si repadmin n’est pas reconnu, installer suptools.msi » )

  • Il est aussi possible de retirer le câble réseau du contrôleur de domaine le temps de la mise à jour du schéma …
  • Naviguez dans les répertoires « Source\Adprep», ou « Support\Adprep» et exécuter la commande :
    Adprep /forestprep

Une fois la mise à jour effectuée redémarrer les réplications pour que la mise à jour du schéma se propage et vérifier que les modifications sont bien répliquées sur les autres contrôleurs (commandeReplmon dans les support tools ).
Un container est créé, vérifier sa présence :

CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=

Mise à jour du domaine

  • Se connecter sur le serveur qui à le rôle Maître d’infrastructure (Infrastructure Master)
  • Naviguer dans les répertoires« Source\Adprep», ou « Support\Adprep»
  • Une fois le schéma à jour, nous allons préparer les domaines à l’aide de la commande :
    Adprep /domainprep
  • Vérification de la mise à jour, en vérifiant la présence de :CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=

Mise à jour Group Policy

Mises à jour des stratégies de groupe pour profiter des nouvelles fonctionnalités.

  • Toujours sur le serveur qui à le rôle Maître d’infrastructure dans le dossier « Source\Adprep», ou « Support\Adprep»
  • Exécuter la commande :
    Adprep.exe /domainprep /gpprep

Mise à jour pour les RODC (Read Only Domain Controllers)

Les domaines doivent être mis à jour pour pouvoir installer des contrôleurs de domaines en lecture seule.

  • A faire sur un contrôleur de domaine dans dans le dossier « Source\Adprep», ou « Support\Adprep».
  • Exécuter la commande :
    Adprep /rodcprep

Voilà une version de schéma en 44 (Windows 2008 Server) donc maintenant il ne manque que des contrôleurs de domaine en Windows 2008 Server.

Transfert des rôles AD

Transfert des rôles uniques pour 1 AD (FSMO) :

Ce sont les rôles principaux : RID, PDC et maître d’infrastructure.

  • Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  • Cliquez avec le bouton droit sur l’icône en regard de Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
  • Dans la boîte de dialogue Modifier le maître d’opérations, cliquez sur l’onglet approprié (RID,PDC ou Infrastructure) pour choisir le rôle à transférer.

Transfert du rôle de maître d’attribution de noms de domaine :

  • Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory.
  • Cliquez avec le bouton droit sur l’icône Domaines et approbations Active Directory
  • Cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître d’opération, et transférez le rôle.

Transfert du rôle de contrôleur de schéma :

Inscription de l’outil de schéma

  • Cliquez sur Démarrer, puis sur Exécuter.
  • Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK.
  • Un message s’affiche indiquant que l’inscription a réussi.

Transfert du rôle de contrôleur de schéma

  • Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  • Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  • Cliquez sur Schéma Active Directory.
  • Cliquez sur Ajouter
  • Cliquez sur OK pour ajouter le composant logiciel enfichable à la console.
  • Cliquez avec le bouton droit sur l’icône Schéma Active Directory, puis cliquez sur Maitres d’opérations.
  • Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier

Installation du premier contrôleur de domaine Windows 2008

Voilà comment promouvoir un serveur 2008 en contrôleur de domaine Active Directory version 2008 Server pour pouvoir ensuite désinstaller tous vos serveurs en Windows 2003 Server.

Deux chemins de migration sont possibles :

  • Mettre à jour un contrôleur de domaine
  • Mettre un serveur Windows 2008 dans le domaine puis exécuter DCPROMO pour le promouvoir en contrôleur de domaine.

Dans cet article, j’utiliserai le second scénario pour voir une installation d’un contrôleur de domaine Windows 2008 de bout en bout.

Installation :

Il faut le promouvoir en tant que DC avec cette commande :

dcpromo

dcp1

On va utiliser le mode avancé et ensuite on clique sur suivant

dcp2

On clique sur suivant

dcp3

Donc là on veut ajouter un contrôleur de domaine à un domaine existant et on fait suivant.
Au passage on voit de nouvelle options qui apparaissent (Ceci est du au mode avancée du dcpromo).

dcp4

Donc la on tape le nom de domaine sur lequel on veut rajouter le DC et on

fait suivant

dcp5

Là on choisit le bon domaine et on clique sur suivant

dcp6

dcp7

On sélectionne son site et on clique sur suivant

dcp8

Donc là on coche Serveur DNS et Catalogue Global et ensuite on clique sur suivant.
Ici on voit que l’installation d’un RODC n’est pas possible tant qu’aucun Server 2008 n’est installé …

dcp9

dcp10

Donc n’ayant pas de problème de bande passante ou de problématique de sites éloignés je choisis de répliquer les données sur le réseau mais vous pouvez tout à fait répliquer à partir d’une sauvegarde comme ça il n’y aura qu’une réplication incrémentielle des données.

dcp11

Ensuite on a le choix de sélectionner le DC à partir duquel les donnés vont être répliqué et ensuite on clique sur suivant.

dcp12

On va laisser par défaut et on clique sur suivant

dcp13

Entrer le mode de passe de restauration des services d’annuaires et cliquer sur suivant.

dcp14

On remarque que l’on peut importer un fichier texte qui contient tous les paramètres de l’installation ce qui est pratique quand on veut faire par la suite des installations automatisées.

dc15

Et donc voilà maintenant il ne vous reste plus qu’à désinstaller les DC en 2003 Server pour tous les migrer vers 2008 …. Bien sur avant de désinstaller les DC 2003 penser à transférer les rôles FSMO sur les DC 2008.

Désinstallation d’Active Directory sur les anciens contrôleurs de domaine

A partir d’un contrôleur de domaine à supprimer, cliquez sur « Exécuter » puis tapez « DCPROMO »

Cliquez sur « Suivant »

Notre nouveau contrôleur de domaine est un catalogue global, nous pouvons donc ignorer cette erreur et cliquer sur « OK »

Cliquez sur « Suivant » SANS cocher « ce serveur est le dernier contrôleur de domaine de ce domaine »

Confirmez le mot de passe puis cliquez sur « Suivant »

Windows nous présente un résumé des opérations qui vont être exécutées, cliquez sur « Suivant »

Une fois les opérations réussies, cliquez sur « Terminer » et redémarrez le serveur.

Niveaux Fonctionnels

Une fois les contrôleurs de domaine uniquement sous windows 2008, vous pouvez augmenter le niveau des domaines et forêts en Windows 2008.