Académique Documents
Professionnel Documents
Culture Documents
Cet
article
décrit
les
étapes
à
effectuer
lors
d’une
migration
Interforêt
afin
de
réorganiser
l’architecture
Active
directory
d’une
société
suite
à
un
changement
comme
une
fusion
avec
une
autre
société.
Microsoft
met
à
disposition
différents
outils
afin
de
transférer
d’un
domaine
à
un
autre
des
groupes,
des
utilisateurs,
des
comptes
d’ordinateurs
et
également
d’automatiser
le
changement
de
domaine
des
postes
ou
encore
le
transfert
des
profils
itinérants
par
exemple.
I. Présentation
1. Migration
Interforêt
Une
migration
interforêt
consiste
à
relocaliser
les
objets
d’un
domaine
source
dans
une
forêt
vers
un
domaine
cible
d’une
forêt
différente.
Cela
peut
intervenir
dans
plusieurs
cas
comme
par
exemple:
• Fusionner
deux
forêts
Active
Directory
de
deux
organisations
afin
de
consolider
les
deux
infrastructures
informatiques.
• Lors
d’un
changement
dans
une
société
(fusion,
acquisition,
etc..)
impliquant
alors
la
combinaison
ou
la
division
des
ressources.
2. L’outil ADMT
L’outil
ADMT
est
un
composant
nécessaire
à
tout
processus
de
migration,
il
s’installe
sur
un
contrôleur
de
domaine
du
domaine
cible.
Il
permet
de
migrer
les
objets
dans
les
forêts
Active
Directory.
Il
inclut
des
assistants
qui
automatisent
les
tâches
de
migration
(migration
d’utilisateurs,
de
groupes,
d’ordinateurs,...)
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=ae279d01-‐7dca-‐
413c-‐a9d2-‐b42dfb746059
3. L’outil PES
PES
est
le
service
«
serveur
d’exportation
de
mots
de
passes
»,
qui
permet
une
fois
installé
sur
un
contrôleur
de
domaine
du
domaine
source
de
migrer
les
mots
de
passe
lorsqu’une
migration
interforêt
est
effectuée.
http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-‐4757-‐40FD-‐8306-‐
68079BA9C773&displaylang=fr
4. Relation
d’approbation
Les
relations
d’approbation
permettent
à
un
utilisateur
d’un
domaine
d’accéder
aux
ressources
d’un
autre
domaine
et
à
un
administrateur
de
pouvoir
gérer
les
utilisateurs
de
l’autre
domaine.
II. L’existant
1. Le domaine source
-‐ Achat
contient
3
utilisateurs
et
un
groupe
Achat
-‐ Comptabilité
contient
3
utilisateurs
et
un
groupe
comptabilité
-‐ Une
GPO
désactivant
l’utilisation
du
Pare-‐feu
de
connexion
internet
-‐ Une
GPO
lié
à
l’OU
ACHAT
définis
un
Fond
d’écran
par
défaut
-‐ Une GPO lié à l’OU Comptabilité définis un Fond d’écran par défaut
-‐ Les
Utilisateurs
jbourne
et
agripsou
possèdent
tous
les
deux
un
profil
itinérant
:
-‐ Lfishburn :
-‐ Agripsou
2. Le
domaine
cible
-‐ PDC :DC1-‐LSTM.LAN sous windows server 2008 Service Pack1 IP : 192.168.1.11
-‐ Le domaine est composé d’une OU Siège contenant deux OU Achat et Comptabilité
III. Préparation
Il
est
important
que
les
deux
domaines
puissent
communiquer
entre
eux
via
la
résolution
DNS.
Pour
cela
nous
allons
créé
des
zones
secondaires
dans
les
domaines.
Déployer
«
Zones
de
recherche
directes
»
puis
Faire
clic
droit
sur
mslab.lan
ensuite
propriétés
Aller
sur
l’onglet
transferts
de
zone,
Cocher
Autoriser
les
transferts
de
zone
puis
sélectionner
Uniquement
vers
les
servers
suivants
puis
saisir
l’IP
du
PDC
cible
et
ajouté
le.
Cliquer
sur
«
notifier
»
Cocher « Notifier automatiquement », saisir et ajouter le PDC cible
Sur
le
domaine
Cible
:
Faire clic droit sur Zones de recherche directes Nouvelle Zone
Faite Suivant
Choisir
Zone
secondaire
Puis
faite
suivant
Puis faites suivant afin de valider la création de la nouvelle ZONE
Faire
clic
droit
sur
la
zone
lstm.lan
puis
propriétés
Aller sur l’onglet Transferts de zone puis cliquer sur modifier,
Saisir
l’adresse
IP
du
PDC
source
puis
OK,
Puis
cochez
notifier
automatiquement
et
choisir
les
serveurs
suivants,
Sur
le
domaine
source
:
Dans
l’interface
de
management
des
ZONES
DNS,
faire
clic
droit
sur
Zones
de
recherche
directes
et
faire
nouvelle
zone,
Faire suivant,
Choisir
Zone
secondaire
Faire
Terminer
2. Création
Relation
d’approbation
Bidirectionnelle
entre
les
deux
domaines
Cliquer sur Démarrer Outil d’administration Domaines et approbations Active Directory
Faire clic droit sur le domaine et augmenter le niveau fonctionnel du domaine :
Vérifié que le domaine et bien à un niveau fonctionnel 2003
Vérifier
le
niveau
fonctionnel
de
la
forêt
soit
sous
2003
aussi
Clic
droit
sur
Domaines
et
approbations
Active
Directory
Augmenter
le
niveau
fonctionnel
de
la
forêt
b. Création
de
l’approbation
Bidirectionnelle
Faites
suivant,
Sélectionner
Bidirectionnel,
Choisir
Authentification
pour
toutes
les
ressources
du
domaine
puis
suivant,
Choisir « Authentification pour toutes les ressources du domaine » puis suivant,
Faites
suivant
afin
de
lancer
la
création
de
l’approbation,
Choisissez
«
oui,
confirmer
l’approbation
sortante
»,
Une
fenêtre
d’information
apparait
faite
OK,
3. Création
du
compte
de
migration
a. Création
Saisir
comme
prénom
res_migrator
et
en
nom
d’ouverture
de
sesseion
aussi
Définissez
le
mot
de
passe,
cochez
«
l’utilisateur
ne
peut
pas
changer
de
mot
de
passe
»
et
le
mot
de
passe
n’expire
jamais
»
puis
faire
suivant
b. Configuration
des
droits
Dans
le
domaine
cible
Cette
opération
est
à
répéter
sur
chaques
unités
d’organisation
qui
vont
recevoir
les
objets
migrés.
Faire clic droit sur l’OU Achat puis délégation de contrôle
Faire
suivant,
Sélectionner
le
domaine
source,
Faire OK,
Faire suivant,
Choisir
«
Créer
une
tache
personalisée
à
déléguer
»
puis
suivant,
Faire
terminer,
Ajouter
le
groupe
admins
du
domaine
LSTM
dans
le
groupe
«
Builtin/Administrateur
»
du
domaine
MSLAB.
Aller
dans
l’OU
BuiltIN
et
ouvrer
le
groupe
Administrateur,
Choisir
lstm.lan
puis
OK,
Faire Appliquer,
Dans
le
domaine
cible
:
Ajouter
le
groupe
admins
du
domaine
MSLAB.LAN
dans
le
groupe
«
Builtin/Administrateur
»
du
domaine
LSTM.LAN.
Aller
sur
l’onglet
MEMBRE
puis
faire
ajouter,
Rentrer
«
admins
du
domaine
»
puis
vérifier
les
noms,
Faire Appliquer,
5. Activation
de
l’algorithme
de
chiffrement
compatible
Windows
NT
4.0
Pour
migrer
des
ordinateurs
exécutant
Windows
2000,
Windows
XP
et
Windows
Server
2003
vers
un
domaine
cible
avec
des
contrôleurs
de
domaine
exécutant
Windows
Server
2008,
il
faut
activer
l’algorithmes
de
chiffrement
compatible
avec
Windows
NT
4.0.
Déplier
l’OU
Domain
Controllers
puis
faire
clic
droit
sur
Defaut
domain
controllers
Policy
puis
modifier
Double
cliquer
sur
«
Autoriser
les
algorithmes
de
chiffrement
compatibles…
»,
choisir
activé.
a. Installation
Accepter
le
contrat
de
licence,
Choisir de participer ou non au programme d’amélioration du produit,
Patienter
quelques
instant,
Choisir ne pas importer les données d’une base de données existant
Faire
terminer
Toujours
sur
le
controleur
de
domaine
cible
où
a
été
installé
ADMT
exécuter
la
commande
Récupéré
la
clé
à
l’aide
d’un
support
amovible
ou
à
l’aide
d’u
npartage
réseau
afin
de
la
stocker.
Cette
clé
permet
d’installer
l’outil
PES
sur
le
controleur
de
domaine
source.
7. Installation
PES
a. Installation
Placer la clé de chiffrement sur le serveur et exécuter pwdmig.msi.
Faire suivant,
Choisir
la
clé
de
chiffrement
key.pes,
Faire suivant,
Rentrer le mot de passe définit lors de la création de la clé,
Faire
suivant,
Faire OK
Faire
terminer,
Laissé
Démarrer
le
service
d’exportation
de
mots
des
passes
seulement
durant
la
procédure
de
migration,
veillié
à
le
désactiver
une
fois
la
migration
terminer.
Faire DémarrerExécuterservices.msc
Faire
clic
droit
«
Démarrer
»,
Nous allons exécuter ADMT une première fois, ce qui aura pour but de :
• De
créér
un
groupe
local
(domaine_source$$$)
dans
le
domaine
source
qui
sert
à
auditter
les
opérations
constituant
l’historique
SID.
• L’activation
de
la
prise
en
charge
du
client
TCP/IP
sur
le
contrôleur
de
domaine
principal
du
domaine
source,
ce
qui
définira
la
clé
registre
TcpipClientSupport
sur
1.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
• L’activation
des
stratégies
d’audit
dans
les
domaines
source
et
cible.
a. Création
du
groupe
global
TEST
L’appeler TEST, choisir l’étendue du groupe Globale et de type Sécurité puis OK.
b. test
de
migration
Clic droit sur outil de migration Active DirectoryAssistant Migration des comptes de groupes
Faire
Suivant,
Faire
ajouter
afin
de
sélectionner
le
groupe,
Faire suivant,
Faire
parcourir
afin
de
choisir
l’OU
du
domaine
source
qui
recevra
le
groupe,
Faire suivant,
Cochez
«
Corriger
l’appartenance
du
groupe
»
et
«
effectuer
la
migration
des
identificateurs
SID..
»,
Choisir OUI,
Choisir Oui,
Choisir oui,
Saisir
les
information
du
compte
res_migrator,
Faire Suivant,
Faire
terminer,
Suivre la progression de la migration puis fermer la fenêtre une fois terminer,
Il
faut
désormais
vérifier
si
les
modifications
faîte
par
ADMT
ont
été
faite
-‐ TCPIPCLIENTSUPPORT
Démarrer Exécuterregedit
La
clé
TcpipClientSupport
n’est
pas
créée
nous
allons
donc
la
rajouté
manuellement
en
tant
que
valeur
DWORD
et
la
mettre
à
1.
Saisir TcpipClientSupport
-‐ Groupe
MSLAB$$$
DémarrerExécutergpedit.msc
Aller
dans
configuration
ordinateurParamètre
windowsParamètre
de
sécuritéStratégie
d’audit
Auditer
la
gestion
des
comptes.
DémarrerExécutergpedit.msc
IV. Migration
des
ressources
Clic
droit
«
Outil
de
migration
Active
Directory
»
puis
Assistant
Migration
des
comptes
d’utilisateurs
Faire
Suivant,
Saisir le nom des domaines correspondant et sélectionner les contrôleurs de domaine.
Choisir
«
Sélectionner
les
utilisateurs
dans
le
domaine
»
Faire
Suivant,
Sélectionner l’OU cible où les utilisateurs seront migré, ICI l’OU Compta est choisie,
Sélectionner
«
Cible
Identique
à
la
source
»
Cocher
:
-‐ Effectuer
la
migration
des
groupes
d’utilisateurs
associés
(
ce
qui
aura
pour
effet
de
migrer
le
compte
comptabilité
dont
ils
font
parti)
Choisir
«
ne
pas
migrer
l’objet
source
si
un
conflit
est
détecté
dans
le
domaine
cible
»
Faire « Terminer »
Suivre
la
progession
de
la
migration,
une
fois
terminer
fermer
la
fenetre,
Vérifier que les comptes utilisateurs et le groupe dont il appartenait ont été migré.
Effectuer
la
même
manipulation
pour
les
utilisateurs
du
domaine
source
de
l’OU
Achat
qui
seront
alors
migré
vers
l’OU
Achat
du
domaine
cible.
2. Migration
des
postes
clients
et
des
serveurs
membres
a. Migration
Il
faut
exécuter
l’outil
ADMT
avec
un
compte
utilisateur
qui
possède
des
droits
administrateurs
sur
les
clients
afin
de
pouvoir
ces
derniers.
Saisir le mot de passe du compte administrateur du domaine mslab.lan
Saisir
C:\Windows\ADMT\migrator.msc
afin
de
lancer
l’outil
de
migration
ADMT
Faire
clic
droit
sur
«
Outil
de
migration
Active
Directory
et
choisir
«
Assistant
Migration
des
ordinateurs
»
Faire suivant
Saisir
les
domaines
et
serveurs
correspondant,
Cliquer
sur
ajouter,
Faire suivant,
Choisir
l’OU
qui
recevra
les
comptes
ordinateurs,
-‐ Registre
Choisir
Remplacer,
Faire OK,
Définir à 1 le temps en minutes pour le redémarrage des ordinateurs,
Faire
suivant,
Cliquer
sur
Terminer,
Une
fois
la
migration
finie
une
boite
de
dialogue
apparaît,
elle
permet
d’automatiser
le
changement
de
domaine
des
ordinateurs.
Le
processus
terminé,
il
est
possible
de
voir
si
des
erreurs
sont
apparu,
ici
le
client-‐mslab
et
client2-‐mslab
se
son
terminer
avec
des
erreurs,
il
est
donc
nécessaire
de
vérifier
les
logs.
b. Vérification
des
Logs
Fichier
journal
de
migration,
on
constate
que
le
changement
a
bien
été
fait,
sauf
que
la
post-‐
vérification
n’a
pas
pu
aboutir
pour
le
client-‐mslab.lan.
Pour
voir
plus
en
détail
les
logs
selon
les
comptes
ordinateurs
cliquer
sur
détail
agent
dans
la
fenêtre
précédente.
La
migration
s’est
correctement
dérouler
et
a
abouti,
-‐ Client-‐MSLAB
On
voit
dans
le
log
que
l’affiliation
du
domaine
a
été
modifier
en
lstm.lan,
la
migration
s’est
correctement
dérouler
et
a
abouti,
-‐ Client2-‐MSLAB
La
migration
s’est
correctement
dérouler
et
a
abouti,
On
constate
qu’au
niveau
de
l’active
directory
du
domaine
lstm.lan,
les
postes
clients
et
le
serveur
DATA
ont
bien
migré.
Client-‐mslab
Ouvrir la session de l’utilisateur lfishburn sur le domaine LSTM
Dans
les
propriétés
système,
on
constate
bien
que
le
poste
a
intégré
le
domaine
lstm.lan,
Le
client
récupère
bien
son
profil
initérant
car
le
fichier
nommé
perso
sur
le
bureau
est
présent.
Le
fond
d’écran
est
toujours
présent
car
il
se
trouve
en
mémoire
sur
le
poste.
Client2-‐mslab
L’utilisateur
a
bien
récupéré
son
profil
itinérant
car
le
fichier
PERSO
créé
précédement
est
affiché,
DATA
Se connecter avec la session administrateur du domaine lstm sur lstm,
Le
serveur
a
bien
intégé
le
domaine
lstm.lan,
Pour exporter des GPO sous windows Server 2003, nous avons besoin de l’outil gpmc.msc
-‐ Une GPO désactivant l’utilisation du Pare-‐feu de connexion internet (Default domain policy)
(Nous ne récupérerons pas la GPO lié car elle nous était utile que pour la migration)
-‐ Une GPO lié à l’OU Comptabilité définis un Fond d’écran par défaut
-‐ Une GPO lié à l’OU Achat définis un Fond d’écran par défaut
a. Installation
GPMC
Une
fois
l’installation
terminer
faire
terminer,
Sur la GPO lié à l’OU Achat, faire clic droit « sauvegarder »
Définir
le
nom
de
la
sauvegarde
et
la
destination,
Une
fois
la
sauvegarde
terminer
faire
OK,
Récupérer la sauvegarde afin de pouvoir l’importer dans le domaine lstm.lan
Faire
clic
droit
sur
«
Objets
de
stratégie
de
groupe
»
et
faire
nouveau
Sur la GPO Wallpaper Achat créer précédement, faire clic droit et importer des paramètres,
Faire
suivant,
Faire suivant,
Cliquer
sur
Parcourir
afin
de
choisir
l’emplacement
de
la
sauvegarde,
Faire suivant,
Choisir
la
sauvegarde
puis
suivant,
A
la
fin
de
l’assistant,
faire
terminer,
Vérifier
la
GPO
afin
de
voir
si
les
paramètres
ont
été
importé,
Lier
la
GPO
sur
l’OU
Achat,
faire
clic
droit
puis
«
lier
un
objet
de
stratégie
de
groupe
existant…
»,
La
GPO
lié
fermer
la
console
gestion
de
stratégie
de
groupe,
Faire la même chose pour le Gpo gérant le fond d’écran Compta
Une
fois
les
GPO
migrer,
exécuter
la
commande
gpupdate
/force
sur
les
postes
clients
et
fermer
la
session
active
ou
redémarrer
sinon
les
changements
de
la
GPO
ne
sont
pas
pris
en
compte.
d. Vérification
de
l’application
des
GPO
5. Mise
hors
service
du
domaine
source
Sur dc1.mslab.lan
Cliquer sur Démarrer Outil d’administration Domaines et approbations Active Directory
Cliquer
sur
l’onglet
Approbations
puis
sur
nouvelle
approbation
et
Supprimer
toutes
les
relations
d’approbation
entre
les
deux
domaines.
Selectionner
«
Oui,
supprimer
l’approbation
du
domaine
local
et
de
l’autre
domaine
…
»
puis
saisir
les
information
du
compte
administrateur.
Sur dc1.mslab.lan
Aller dans l’OU User et faire clic droit sur res_migrator puis « désactiver le compte »
c. Arrêt
du
service
d’exportation
de
mot
de
passe
Faire DémarrerExécuterservices.msc
Faire clic droit sur « Service Serveur d’exportation de mots de passes… » puis faire Arrêter
Conclusion
La
migration
interforet
n’est
pas
vraiment
une
«
migration
»
comme
on
pourrait
le
comprendre
mais
plus
un
processus
de
copie
d’objet
d’un
domaine
source
vers
un
domaine
cible.
En
cas
de
problème,
il
est
facile
de
revenir
en
arrière
étant
donné
que
toute
les
données
sources
se
trouve
toujours
dans
le
domaine
source.
Cet
article
a
donc
pour
but
de
montrer
le
fonctionnement
d’une
migration
interforêt.
En
entreprise
le
nombre
d’objets
sera
forcément
beaucoup
plus
élevés
et
la
mgiration
touchera
alors
beaucoup
plus
d’utilisateurs.
Il
est
donc
nécessaire
de
préparer
une
bonne
planification
et
d’attribuer
si
besoin
est,
une
phase
de
migration
à
plusieurs
techniciens
ou
administrateurs
afin
de
rendre
le
processus
migration
optimale.