Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
CAHIER DE CHARGE ...................................................................................................................................... 2
INTRODUCTION.................................................................................................................................................. 2
DESCRIPTION DE LA DEMANDE...................................................................................................................... 2
CONTRAINTES .................................................................................................................................................. 2
PROCESSUS DE LA MIGRATION...................................................................................................................... 2
PLANIFICATION DE LA MIGRATION............................................................................................................ 11
MIGRATION ................................................................................................................................................... 41
CAHIER DE CHARGE
Projet : Migration Vers Active Directory 2012
INTRODUCTION
Suite à la fin du support étendu de Windows Server 2003 au mois de juillet 2015, La DSI
de la société GLB lance le projet de migration de ses contrôleurs de domaine Active
Directory afin de répondre aux exigences de sécurité, d’une meilleure performance et de
répondre aux objectifs fixés par la direction générale. Ces objectifs sont consignés dans
le document décrivant le contexte général de l’entreprise.
DESCRIPTION DE LA DEMANDE
LES OBJECTIFS
Migrer tous les contrôleurs de domaine de l’entreprise afin de répondre aux exigences
de sécurité et de performance.
CONTRAINTES
PROCESSUS DE LA MIGRATION
o Evaluer
o Planifier
o Tester
o Déployer
Tous les contrôleurs de domaine active directory de l’entreprise sont sous Windows
server 2003 R2.
Afin d’assurer une migration réussite nous allons effectuer certaines tâche de
vérification pour éviter les risque qui pourront contraindre notre migration.
Nous allons donc analyser les bloqueurs potentiels et le bon fonctionnement d’Active
directory.
o ALGORITHME D’ENCRYPTION
L’algorithme d’encryption DES (Data Encryption Standard) est par défaut désactivé dans
Windows Server 2012, ce qui peut provoquer une incompatibilité des certaines
applications exécutés dans l’environnement Windows Server 2003.
Pour remédier à cela, Microsoft propose de désactiver cette compression sur le compte
de la ressource uniquement ou sur tous le KDC (Key Distribution Center) Windows
server 2012.
o Réplication AD
Sur nos contrôleurs de domaines, nous allons exécuter les commandes : Repadmin
/replsum et repadmin /showrepl pour voir l’Etat de réplication de nos contrôleurs de
domaines.
La commande Repadmin n’est pas reconnu en tant que commande interne, pour
résoudre ce problème nous allons télécharger et installer les outils : suptools.msi et
support.cab sur nos DCs.
Nos outils installés, nous pouvons maintenant tester l’Etat de réplication de nos DCs
La réplication entre nos deux contrôleurs de domaine DC1 et DC2 est fonctionnel.
On constate qu’il n’y a pas de sauvegarde active sur nos DCs, nous allons donc effectuer
une sauvegarde de nos DCs afin d’avoir la possibilité de faire un retour arrière en cas de
défaillance lors du basculement des anciens serveurs vers les nouveaux serveurs.
Pour effectuer la sauvegarde, nous allons utiliser l’outil NTBACKUP. Dans le menu
démarrer, exécuter, puis tapez la commande NTBACKUP et cliquer sur OK
Dans la boite de dialogue suivante nous allons choisir l’option « Me laisser choisir les
fichiers à sauvegarder » puis cliquer sur suivant.
Dans la boite de dialogue suivante nous allons choisir les éléments à sauvegarder, dans
notre cas nous allons sauvegarder le disque local (C :) et l’état du système (ACTIVE
DIRECTORY, BOOT FILES, COM+ CLASS REGISTRE, REGISTRY, SYSVOL).
Dans la boite de dialogue suivante nous allons définir le nom et l’emplacement de notre
sauvegarde puis cliquer sur suivant et terminer pour lancer la sauvegarde.
La sauvegarde se lance.
Nous allons utiliser la commande DCDIAG pour analyser l’état de nos contrôleurs de
domaines et la commande NETDOM QUERY FSMO afin de vérifier la répartition des
rôles FSMO.
Le DC1 dispose de tous les rôles FSMO. Nous avons réussis à évaluer les risques
potentiels qui pourraient bloquer notre migration, nos tests (Réplication, DNS, rôles
FSMO …) sont concluants.
Nos DCs étant sauvegardés, nous allons procéder à la planification de notre migration.
PLANIFICATION De la MIGRATION
INVENTAIRE DES OUTILS ET ROLES INSTALLES SUR NOS DCS
Serveur DNS : Nos DCs dispose de rôles de serveur DNS, ils seront migrés avec Active
directory. Microsoft recommande d’utiliser des zones DNS intégrés à AD n’acceptant que
des mises à jour sécurisées. Il est aussi recommandé d’activer le nettoyage des zones
DNS, celui-ci n’étant pas activer par défaut.
Besoins Matériels
Nous avons besoins de 2 serveurs pour l’installation de nos serveurs 2012 qui vont
remplacer les serveurs contrôleurs de domaine Windows 2003 actuellement en
production, nous allons faire une étude sur trois model de constructeurs différentes.
Conçu pour les Datacenter qui ont besoin d’un serveur rack à 2 sockets abordable et prêt
pour la virtualisation, le modèle R530 est la plateforme idéale pour une large gamme
d’applications métiers les plus courantes. C’est un serveur rack avec les caractéristiques
technique ci – dessous pour un prix de 1670 Euros hors TVA dans sa version standard.
Réf : http://www.dell.com/fr/entreprise/p/poweredge-r530/pd?oc=per53003&model_id=poweredge-r530
C’est un serveur rack avec les caractéristiques technique ci – dessous pour un prix de
1800.00 Euros TTC dans sa version standard.
Réf : http://www8.hp.com/fr/fr/products/proliant-servers/product-detail.html?oid=7252820
http://fr.insight.com/fr/productinfo/serveurs/0004363640
http://www.compufirst.com/fujitsu-primergy-rx2530-m1-xeon-e52620v3-2-4-ghz-8-go-0-
go/fiche_prod.do?prodId=1263965
Nous avons opté pour le serveur Power Edge R530, Adapté à l’évolution des charges de
travail avec une plateforme extensible prête pour la virtualisation et une mise en cluster
de haute disponibilité. Le modèle R530 s’adapte aisément à la croissance des données
avec la prise en charge d’un maximum de huit disques durs de 3,5 pouces et une gamme
d’options permettant de protéger les données et d’optimiser les performances. En outre
la version standard est livrée avec un disque dur de 1To et de 16 Go de la RAM.
INSTALLATION
o Renseigner la clé du produit sur cette boite de dialogue, puis cliquer le bouton
suivant.
Dans la boite de dialogue suivante, nous allons sélectionner Windows Server 2012
Datacenter avec une interface graphique puis cliquer sur le bouton suivant.
Nous allons accepter le contrat de termes de License puis cliquer sur le bouton suivant.
Nous allons préparer et formater notre disque dur. Après avoir créés et formater les
partitions du disque dur nous allons cliquer sur le bouton suivant pour lancer
l’installation.
Nous allons définir le mot de passe du compte Administrateur puis cliquer sur le bouton
terminer
Nos serveurs 2012 sont bien installés, Il ne nous reste plus qu’à procède à la migration
de nos contrôleurs de domaine Active Directory. Mais avant cela nous allons restaurer
nos contrôleurs de domaines préalablement sauvegardés afin d’être sûr d’un retour
arrière possible en cas de problème lors de la migration. Cette restauration sera réalisée
dans un environnement de test.
Nous allons installer deux serveurs temporaires (Test-DC1 et Test-DC2) pour tester la
restauration de nos DCs, cela va nous permettre de vérifier que nos sauvegarde son
fonctionnel afin d’assurer un retour arrière en cas de problème lors de la migration.
TEST DE LA RESTAURATION
Sélectionner cette option à l’aide de touche de directions Haut et Bas puis cliquer sur la
touche Enter pour valider la sélection.
Dans l’écran suivant, nous allons sélectionner Windows Server 2003 Enterprise Puis
cliquer sur la touche Enter pour valider.
Notre serveur est démarré en mode sans échec, ce qui va nous permettre de restaurer
notre premier contrôleur de domaine.
Nous allons cliquer sur le Menu démarrer, Exécuter puis taper la commande NTBACKUP
pour lancer l’outil de sauvegarde et restauration. L’assistant sauvegarde ou restauration
se lance, nous allons cliquer sur le bouton suivant.
Dans la boite de dialogue suivante, nous allons choisir l’option « Restaurer des fichier et
des paramètres » puis cliquer sur le bouton suivant.
Dans cette nouvelle boite de dialogue, nous allons cliquer sur le bouton parcourir afin de
sélectionner notre sauvegarde (on peut utiliser un support amovible pour récupérer
cette sauvegarde), cliquer sur le bouton OK puis sur le bouton Suivant.
Dans la boite de dialogue suivante nous allons sélectionner les éléments à restaurer,
nous allons restaurer l’intégralité du disque C: et l’état du système.
Sur la boite de dialogue suivante nous allons sélectionner les options de restauration
dont nous voulons utilisés puis cliquer sur le bouton suivant pour passer à la suite.
Notre restauration est terminée, nous allons cliquer sur le bouton Fermer pour fermer
l’assistant de restauration puis sur le bouton OUI de l’utilitaire de sauvegarde pour
redémarrer l’ordinateur.
Notre premier serveur est bien restaurer, nous allons utiliser la même procédure pour la
restauration de notre deuxième contrôleur de domaine.
Nos deux contrôleurs de domaine sont ainsi restaurer, Nous allons effectuer une série
de test pour vérifier si notre environnement est stable.
Les tests du bon fonctionnement d’Active Directory dans l’environnement de test sont
concluants, Nous n’avons pas constaté d’erreurs dans les journaux d’événements. Les
sauvegardes de la production étant valide, nous allons passer à la migration.
o Installation de fonctionnalités
A partir du gestionnaire de serveur, cliquez sur Gérer puis Ajouter des rôles et
fonctionnalités comme ceci :
L’assistant s’exécute, cliquez sur le bouton Suivant. Ensuite cliquez sur Installation basée
sur un rôle ou une fonctionnalité puisque nous souhaitons installer des rôles et
fonctionnalités puis cliquez sur Suivant.
Nous allons sélectionner le serveur sur lequel nous souhaitons effectuer l’installation,
nous allons donc choisir « SRV-12-DCA ». Pourquoi peut-on choisir un serveur ? Tout
simplement parce que depuis Windows Server 2012 il est possible d’administrer à
distance un serveur et donc d’installer à distance des rôles et des fonctionnalités.
Ensuite, on nous propose d’installer des rôles, nous allons laissez les deux cases cochés
par défaut qui sont : « Gestion de Stratégie de Groupe » et « Outils d’Administration de
Serveur distant ». Nous allons cliquer sur le bouton Suivant pour passer à l’étape
suivant.
Nous allons cliquer sur le bouton « Installer » pour exécuter l’installation après avoir
vérifié le résumé.
Il est tout à fait possible de fermer l’assistant sans pour autant quitter l’installation, ceci
étant une nouveauté de Windows Server 2012.
Puisque ce contrôleur de domaine est censé remplacer le 2003, nous allons laisser les
cases « Serveur DNS » et « Catalogue global », et renseigner le mot de passe de
restauration des services d’annuaire puis cliquer sur le bouton Suivant.
Nous souhaitons que notre contrôleur de domaine réplique les informations d’annuaire
Active Directory, les scripts, les stratégies de groupes, etc… Nous allons donc spécifier
l’option de réplication : « Tout contrôleur de domaine ».
En ce qui concerne les chemins d’accès par défaut aux répertoires utilisés par les
services AD DS et ses dépendances, il est préférable de ne pas les modifier.
L’assistant à vérifier tous les paramètres de configuration requise, Nous allons cliquer
sur le bouton Installer pour promouvoir notre serveur en tant que contrôleur de
domaine au sein de notre domaine existant. A la fin de l’installation le serveur va
redémarrer automatiquement.
Notre Serveur 2012 est maintenant membre du domaine et est contrôleur de domaine,
Nous allons intégrer le deuxième serveur 2012 puis passer à la migration proprement
dite.
MIGRATION
MISE A JOUR DU CHEMA
La mise à jour du schéma est un des prérequis de la migration d’Active directory, cette
mise à jour consiste à ajouter les nouvelles classes et attributs nécessaires au bon
fonctionnement d’Active directory sur Windows Server 2012. Cette étape se réalise sur
le contrôleur de domaine possédant le rôle FSMO maitre du schéma.
Avant de faire tout cela, nous allons augmenter le niveau fonctionnel de nos contrôleurs
de domaine.
Faire un clic droit dans la racine du domaine et cliquer sur « Augmenter le Niveau
fonctionnel du domaine ».
Nous allons vérifier réellement si notre Schéma est à jour. Pour cela, nous allons lancer
le browser LDAP avec la commande « adsiedit.msc » puis vérifier la version du schéma
Active Directory.
La version de notre schéma est à 56, notre schéma est bien à jour.
Schéma Version
Windows Server 2000 13
Windows Server 2003 30
Windows Server 2003 R2 31
Windows Server 2008 44
Windows Server 2008 R2 47
Windows Server 2012 56
Dans la console « Utilisateurs et Ordinateur Active Directory », nous allons faire un clic
droit au niveau de la racine « glb.fr » puis cliquer sur maitre d’opération.
Dans l’onglet RID, nous allons cliquer sur le bouton Modifier pour transférer les rôles de
maitre d’opérations vers Notre Serveur 2012.
Nous allons faire pareil dans l’onglet CDP puis l’onglet Infrastructure pour transférer
les rôles de maitre d’infrastructure vers SRV-12-DCA.
Nous allons vérifier si les rôles FSMO que nous avons transféré vers notre nouveau
serveur ont bien été pris en compte. Nous allons donc exécuter la commande « netdom
query fsmo ».
Nous allons faire un clic droit dans « Domaine et Approbation Active Directory » puis
cliquer sur Maitre d’opération, dans l’onglet Maitre d’opération, nous allons cliquer
sur le bouton Modifier pour transférer le rôle.
Nous allons refaire la commande « netdom query fsmo » pour voir si les rôles FSMO
ont bien été transférés sur le serveur 2012.
Il nous reste plus qu’à transférer le rôle du contrôleur de schéma. Pour transférer ce
rôle, il nous faut le composant logiciel enfichable Schéma Active directory. Nous allons
l’installer avec la commande « regsvr32 schmmgmt.dll ».
Le composant logiciel enfichable Schéma Active directory étant installé, nous allons
lancer la console MMC pour l’ouvrir. Une fois que la console est lancée, nous allons
cliquer sur le Menu fichier puis sur « Ajouter/Supprimer un composant logiciel
enfichable ».
Nous allons faire un clic droit sur la racine « Schéma Active Directory » puis cliquer sur
changer de contrôleur de domaine Active directory.
Nous allons sélectionner le serveur « SRV-12-DCA » puis cliquer sur le bouton OK pour
valider la sélection.
Le serveur d’annuaire a été remplacé par le « SRV-12-DCA », Nous allons faire un clic
droit dans la racine « Schéma Active Directory » puis cliquer sur Maitres d’opération.
La boite de dialogue « Changer le contrôleur de schéma se lance, nous allons cliquer sur
le bouton modifier afin de transférer le rôle contrôleur de schéma vers le SRV-12-DCA.
Nous somme arrivé à la phase finale de notre migration, le DC 2012 dispose de tous les
rôles FSMO. Nous allons maintenant passer à la rétrogradation de nos DCs 2003 et les
sortir de la production.
Il est déconseillé de rétrograder les anciens DCs tous en même temps. Il vaut mieux en
laisser un ancien actif le temps de finaliser la phase de transition, notamment si
certaines applications continuent d’aller aléatoirement vers l’ancien DC et continue de
fonctionner grâce au fait que l’ancien DC soit toujours présent. Pour vérifier vers quel
contrôleur de domaine pointe une application pour l’authentification, utilisez un outil
d’analyse réseau.
Nous allons nous connecter sur l’un de contrôleur de domaine 2003, cliquer sur le
bouton « Exécuter » puis exécuter la commande DCPROMO.
Nous allons cliquer sur le bouton suivant dans cette boite de dialogue.
Nous allons assignés un mot de passe au compte Administrateur Local du Serveur puis
cliquer sur le bouton Suivant.
Fin de la suppression d’Active Directory, nous allons cliquer sur le bouton « Terminer »
puis redémarrer l’ordinateur.
Nous avons depromoter notre premier contrôleur de domaine 2003, nous allons faire
pareille sur le second contrôleur de domaine 2003.
Les deux contrôleurs de domaine 2003 sont dépromotés, nous allons les sortir de la
production puis upgrader les adresses IP de nos Contrôleurs de domaine 2012
(Récupérer Les IP de contrôleur de domaine 2003 et l’affectés au DCs 2012).
Nous allons nous connecter sur le contrôleur de domaine « SRV-DCA » puis éditer les
propriétés de la carte réseau et modifier l’adresse IP du serveur, faire pareil sur le « SRV-
DCB » puis redémarrer les Serveurs.
Par la suite, Nous allons vérifier sur la console DNS que toutes les entrées des anciens
DCs sont supprimées ou les effacer manuellement si ce n’est pas le cas.
Nous allons lancez « Active Directory Site and Services » et effacer les ancien serveurs
sous site car ceci ne se fait pas automatiquement.
Nous n’avons plus de Contrôleur de domaine antérieur à Windows 2012 Server nous
pouvons donc augmenter le niveau fonctionnel.
Nous avons réussi à migrer notre environnement Serveur 2003 R2 vers Windows
Serveur 2012.