La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx.

Présentations similaires


Présentation au sujet: "Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx."— Transcription de la présentation:

1 Bienvenue Sponsor Officiel

2 Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable –http://www.microsoft.com/france/technet/presentation/flash/defau lt.mspxhttp://www.microsoft.com/france/technet/presentation/flash/defau lt.mspx Des séminaires techniques toute lannée, partout en France –http://www.microsoft.com/france/technet/seminaires/seminaires. mspxhttp://www.microsoft.com/france/technet/seminaires/seminaires. mspx Des Webcasts accessibles à tout instant –http://www.microsoft.com/france/technet/seminaires/webcasts.m spxhttp://www.microsoft.com/france/technet/seminaires/webcasts.m spx Un abonnement –http://www.microsoft.com/france/technet/presentation/cd/default. mspxhttp://www.microsoft.com/france/technet/presentation/cd/default. mspx

3 Migration de domaines Windows NT 4.0 vers Windows Server 2003 Animateur

4 Logistique Pause en milieu de session Vos questions sont les bienvenues. Nhésitez pas ! Feuille dévaluation à remettre remplie en fin de session Cédérom Commodités Merci déteindre vos téléphones

5 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

6 Bénéfices de la migration Plus facile dadministrer un nombre plus réduit de domaines Relation entre plan de nommage et organisation Meilleure utilisation des ressources Granularité dadministration Utilisation plus efficace des contrôleurs de domaine (DCs) par les clients Fiabilité et montée en charge du système Support de la plate forme (fin de support de Windows NT4 Server 31/12/2004)

7 Moins de Domaines Raisons pour utiliser un domaine –Tous les domaines de la forêt partagent le même schéma –Le domaine assure une frontière dadministration –Trafic de réplication vers les sites distants –Limiter des informations critiques à quelques machines

8 Moins de contrôleurs de domaine Plus de serveurs membres - moins de contrôleurs de domaine (DCs) Les sites permettent un placement plus intelligent des DCs Moins de domaines veut dire moins de DCs Les domaines peuvent gérer jusquà plusieurs millions dobjets Dimensionnement des DCs Flexibilité promotion/de promotion dune machine

9 Agenda Pourquoi migrer Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

10 Windows 2003 Domain OU OrganizationalUnitsOrganizationalUnits ObjetsObjets Active Directory Catalogue global Windows NT 4.0 Modèle Domaine Unique Modèle Domaine Unique Modèle Domaine Maître Unique Modèle Domaine Maître Unique Modèle Domaine Maître Multiple Modèle Domaine Maître Multiple Modèle domaine Approbation Totale Modèle domaine Approbation Totale Migration vers Windows 2003

11 Comprendre son environnement Windows NT 4.0 Identifier : –Le modèle actuel de domaines, –Les relations de validation existantes, –Le nombre et la localisation des contrôleurs de domaine sur le réseau, –Les comptes utilisateurs, groupes et machines, –Comment sont gérés les profils, –Ladministration des domaines, –Les procédures et technologies de sécurité.

12 Définir un chemin de migration Mise à niveau Mise à niveau et restructuration Restructuration Evaluer les décisions de mise à niveau Chemins de migration possibles Evaluer les décisions de restructuration Evaluer les décisions de mise à niveau + restructuration

13 Quel chemin de migration ? Critères –Structure de domaine, –Structure de forêt cible, –Indisponibilité acceptable, –Risque acceptable, –Contraintes de temps, –Disponibilité de ressources, –Compatibilité des applications, –Contraintes budgétaires. Mise à niveau Restructuration Mise à niveau + restructuration ? ? ?

14 Pourquoi la mise à niveau ? Choisir la mise à niveau lorsque : –La structure de domaine existante est identique à la structure de domaine Active Directory proposée, –La structure de domaine existante correspond aux besoins techniques et business de lorganisation, –Les noms de domaines doivent rester les mêmes, –Le risque lié à la migration doit être minimum, –Le temps pour la migration doit être le plus court possible, –Peu de personnes travaillent sur la migration, –Des contraintes budgétaires limitent la possibilité dacheter de nouveaux matériels. Mise à niveau

15 Pourquoi la Restructuration ? Choisir la restructuration lorsque : –La structure de domaines existante ne correspond pas aux besoins de lorganisation ni aux buts de la migration, –Aucun temps darrêt des services dannuaire nest possible, –Pour obtenir une structure de domaines optimale, un certain risque est accepté, –Le temps disponible est suffisant pour effectuer les tâches supplémentaires liées à la restructuration, –Il y a suffisamment de personnes disponibles, –Des nouveaux matériels peuvent être achetés. Restructuration

16 Pourquoi la Mise à niveau + Restructuration ? Choisir la mise à niveau + restructuration lorsque : –La structure de domaine existante est proche de la structure de domaine cible sous Active Directory, –Lorganisation veut utiliser rapidement certaines fonctions apportées par Active Directory, –Les coûts matériels et administratifs doivent être limités dans un premier temps, –Les risques sont difficilement tolérables, mais la structure de domaine existante ne peut être conservée sur le long terme. Mise à niveau + restructuration

17 Planifier son « projet » de migration Création dun plan projet Création de documents de planification de projet Choix dune stratégie dinstallation et de migration Test et plan de migration Création dun plan pilote pour la migration Planification de la stratégie sans heurts vers Windows 2003 Disposer dun plan de retour arrière et le tester Créer un plan de communication

18 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

19 Nettoyer la base SAM (Windows NT 4.0) Nettoyer la base SAM Nettoyer la base SAM User1 Computer1 Group1 User1 Group2 Computer2 Group1 Computer1 User1

20 Considérations sur le nettoyage de la base SAM Comptes qui peuvent être supprimés : –Comptes utilisateurs dupliqués, –Comptes utilisateurs et groupes non utilisés, –Groupes pour des ressources qui nexistent pas, –Comptes machines non utilisés. Comptes utilisateurs qui peuvent être désactivés : –ceux non utilisés pendant une longue période de temps, –ceux ayant des droits, des permissions ou une appartenance à un groupe devant être conservés, –ceux étant propriétaires de ressources réseau importantes. Les groupes qui remplissent les mêmes fonctions peuvent être consolidés.

21 Nettoyage des groupes Identifier les groupes à consolider Liste de tous les groupes globaux et locaux Liste de tous les groupes globaux et locaux Redirection vers fichier texte Redirection vers fichier texte Analyse des groupes à consolider Analyse des groupes à consolider Vérifier les permissions et membres dun groupe Liste de tous les membres dun groupe global Liste de tous les membres dun groupe global Liste de tous les membres dun groupe local Liste de tous les membres dun groupe local Liste des DACLs qui contiennent des permissions pour le groupe Liste des DACLs qui contiennent des permissions pour le groupe Consolider les groupes Supprimer les membres dun groupe pour les rajouter dans un autre Supprimer les membres dun groupe pour les rajouter dans un autre Copier la liste des membres du groupe Copier la liste des membres du groupe Consolider les permissions Consolider les permissions Supprimer les groupes non utilisés Supprimer les groupes non utilisés En utilisant User Manager for Domains En utilisant User Manager for Domains En utilisant les commandes net group et net localgroup En utilisant les commandes net group et net localgroup

22 Supprimer les comptes machines non utilisés En utilisant Server Manager En utilisant Server Manager En utilisant la commande netdom En utilisant la commande netdom Nettoyage des comptes machines Identifier les comptes machines non utilisés Visualiser tous les comptes machines Visualiser tous les comptes machines Liste des comptes qui ne sont plus utilisés Liste des comptes qui ne sont plus utilisés Vérifier que ces comptes peuvent être supprimés Vérifier que ces comptes peuvent être supprimés

23 Clients et serveurs Windows 2003 La sécurité change le comportement des DCs Windows 2003 –SMB signing et Secure channel encryption nécessaires –Stratégies daccès aux contrôleurs de domaine (DCs) Intégration des clients réputés de « bas niveau » –Win95 et Windows pre-SP3 NT 4.0 nécessite que lon change les Stratégies dAccès –Samba, Mac OS X + MS DOS network clients Désactiver le « SMB signing » –Windows 2000, XP et WS 2003 clients sintègrent par défaut Pleinement documenté dans le « Windows 2003 Server Deployment Kit » et les articles KB

24 Inventaire des clients Sécurité par défaut sur les DCs 2003 –Enforce SMB Signing est activée Abaisser temporairement la sécurité des DCs ou mettre à jour les clients –Windows 95 Installer le DS client (q323466) ou un OS plus récent –NT 4.0: SP3 ou plus, SP6A recommandé (DFS) –Tous les autres Clients Microsoft Pas daction requise –La mise en place du dernier SP étant recommandée Mise à jour des clients Windows 95 & NT 4.0

25 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

26 Séquence de mise à niveau des domaines de comptes Mettre à niveau les domaines pour lesquels vous avez un accès physique simple aux contrôleurs de domaines. Mettre à niveau les domaines qui contiendront des objets de domaines restructurés tôt dans le processus. Faire la balance entre le risque et le bénéfice de mettre à niveau le domaine. Domaine de compte

27 Séquence de mise à niveau des domaines de ressources Mettre à niveau dabord les domaines qui contiennent des applications nécessitant des fonctions de Windows Server Mettre à niveau les domaines qui contiendront des objets de domaines restructurés tôt dans le processus. Mettre à niveau les domaines avec de nombreux comptes machines clients. Domaine de ressources

28 Séquence de mise à niveau des contrôleurs de domaines Mettre à niveau le PDC en premier. Mettre à niveau tous les BDCs après la MAJ du PDC (ou dé commissionner les BDCs et installer de nouveaux contrôleurs de domaine Windows Server 2003). Si le PDC ne satisfait pas aux contraintes matérielles de Windows Server 2003, promouvoir un BDC ad hoc.

29 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

30 Domaines Mixtes & domaines Natifs Domaines Mixtes Autorise les DCs NT 4.0 Limites imposées par les DCs NT 4.0 –Pas de groupes universels –Pas de groupes imbriqués –Pas dattributs SIDHistory Domaine mixe avec des DCs Windows 2003 –Le PDC 2003 répliquera avec les BDCs NT 4.0 –Même si il ny a pas de DCs Windows 2000 Domaines Natifs Mode où il ne reste plus de DCs NT 4.0 Les DCs peuvent être Windows 2000 ou 2003

31 Niveaux Fonctionnels Requis afin dapporter de nouvelles fonctionnalités –Ladministrateur change manuellement le niveau quand tous les DCs dun Domaine/Forêt sont à jour –Les niveaux ne peuvent quêtre augmentés –Les DCs de versions « anciennes » ne pourront plus être joints Niveaux fonctionnels disponibles –Windows 2003 Server domain functionality –Windows 2003 Server forest functionality –Windows 2003 Server interim forest functionality Cohabitation de DCs 2003 & BDC NT 4.0, mais pas de DCs Windows 2000 Mode Windows Server 2003 à considérer comme une version améliorée du mode natif Windows 2000

32 Niveau de fonctionnalité Fonctionnalités activéesTypes de DC supportés Windows 2000 mixte Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natifEnsemble des fonctionnalités du mode Windows 2000 mixte, plus Imbrication des groupes Groupe de type Universel SIDHistory Windows 2000 Windows 2003 Windows 2003 Intérimaire Identiques au mode natif de Windows 2000Windows NT4 Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus Mise à jour de lattribut logon timestamp Version de KDC Kerberos Mot de passe utilisateur ds INetOrgPerson Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines

33 Niveau de fonctionnalité Fonctionnalités activéesTypes de DC supportés Windows 2000 Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus Réplication LVR (Linked Value Record) Amélioration ISTG (Inter Site Topology Generator) Windows NT4 Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus Classes Auxiliaires dynamiques Modification de la classe User en INetOrgPerson Dé/réactivation au sein du schéma Changement des noms de domaines Relations dapprobation inter forêts Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les forêts

34 Comment vérifier le niveau fonctionnel ? Domaine –mode Mixte / natif Attribut nTMixedDomain sur le domaine –Pas de valeur ou 1: domaine en mode mixte –0: domaine en mode natif –Niveau fonctionnel du domaine Attribut msDS-Behavior-Version sur le domaine –Pas de valeur ou 0: Windows 2000 –1: Windows 2003 version préliminaire –2:.Windows 2003 Forêt Attribut msDS-Behavior-Version sur le conteneur partitions –Pas de valeur ou 0: Windows 2000 –1: Windows 2003 version préliminaire –2: Windows 2003

35 Les niveaux fonctionnels Démonstration

36 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

37 Implications de la mise à niveau dun PDC Windows NT 4.0 Que se passe t-il lors de la mise à niveau ? –Le niveau de fonctionnalité du domaine est Windows 2000 mixte. –Le niveau de fonctionnalité de la forêt est Windows –Le PDC mis à niveau maintient le rôle démulateur PDC. –Le rôle opérationnel démulateur PDC est important car il expose Active Directory comme une base SAM pour les BDC NT 4.0 lors de la réplication et pour la prise en charge des postes NT/9x.

38 Effets dune mise à niveau de domaine sur les relations de validation Domaines Windows Server 2003 Domaines NT 4.0 ACCT1ACCT2 RES1 Racine ACCT1ACCT2 RES1 Mise à niveau Relationtransitive Relationtransitive Relationtransitive

39 Assurer la disponibilité du service DNS lors de la mise à niveau Comment mettre à jour les services DNS : –Mettre à niveau le serveur existant sous Windows NT 4.0, –Installer un nouveau serveur Windows Server 2003, –Mettre à jour les serveurs DNS non Microsoft. Comment minimiser limpact dune migration du DNS –Utiliser leurs propres outils dadministration pour gérer les DNS sous Windows Server 2003 et NT 4.0, –Définir les serveurs maîtres pour les serveurs DNS sous WS2003 et sous NT 4.0. ServeurDNS

40 Mode Intérim & Groupes de sécurité NT 4.0: –Pas de limite sur les membres dun groupe de sécurité W2K: limite de 5000 membre par groupe –Réplication Last writer wins = possible perte des Δs –Δ sur les groupes entraînent du trafic (full sync) –Réplication non optimisée DS is busy + out of version store erreurs Niveau fonctionnel Intérim 2003 Domaine + forêt –Pas de limite sur les groupes de sécurité –Réplication optimisée par LVR (gestion des larges groupes & des effacements) Utilisation du mode Intérim directement

41 Mise à jour depuis NT 4.0 Pas à pas 1. Inventaire client pour la compatibilité avec les paramétrages de sécurité –Installation Software (DS client, SP, OS) ou relâche de la sécurité 2. Inventaire des DCs du domaine –Service pack 6a recommandé (min sp5) –Configuration matérielle (espace disque, mémoire, cpu) –État du serveur (réplication SAM & LMRepl) 3. Inventaire des services utilisant le compte « Local System » sur les membres du domaine –Reconfiguration du service pour utiliser un compte du domaine –Mise à niveau vers Windows 2000/2003/XP –Utilisation « enable downlevel access » lors du DCPromo –Service RAS…

42 4. Configuration du serveur dexport LMRepl –Celui-ci doit être le dernier DC à être mise à jour –Si LMRepl tourne sur le PDC, alors Configurer un BDC pour remplir ce rôle Transférer le rôle de PDC sur un autre serveur 5. Sauvegarde de la SAM & gestion du retour arrière –Synchroniser avec le PDC –Prendre un backup sur bande et le tester –Mettre le BDC hors réseau Mise à jour depuis NT 4.0 Pas à pas

43 6. Mise à jour du PDC –Le PDC ne pourra pas jouer son rôle pendant la mise à jour Pas de changement possible (création dutilisateurs, groupes…) Pas de changement de mot de passe Les relations dapprobation peuvent être indispensable –Planifier lindisponibilité de service 7. Configuration des paramétrages de sécurité 8. Vérification de la mise à jour –Réplication AD/SAM vers les BDC –Vérification que les mots de passe puissent être changés Mise à jour depuis NT 4.0 Pas à pas

44 9. Installation et configuration de LMBridge –Le service LMRepl est remplacé par FRS sous Windows 2003 –Copier les scripts de logon et les fichiers du serveur dexport LMRepl vers les PDC –Configurer LMBridge pour copier les fichiers du PDC vers le serveur dexport LMRepl –Modifier les fichiers sur le PDC 10. Continuer à mettre à jour les BDCs 11. Une fois tous les DCs sous Windows 2003 –Modifier les niveaux fonctionnels

45 Étape finale Le DC est-il opérationnel ? –Existence des partages NETLOGON + SYSVOL –Le DC réponds à LDAP, RPC et aux demandes dauthentification –Les enregistrements SRV, CNAME et A sont-ils bien dans le DNS –FRS: le SYSVOL est-il bien répliqué ? –Active Directory: la réplication fonctionne t-elle ? –Les stratégies sont-elles bien appliquées (événement 1704) Un outil : DCdiag des « support tools » Vérification du nouveau DC

46 Délégation après la migration des domaines de ressource Les domaines de ressource sont migrés dans des OUs –Les administrateurs de domaine de ressource ne sont plus des comptes de services sous AD Utilisation de groupe restreints en mode AD –Permet détablir une délégation hiérarchique –Les anciens comptes dadministration des domaines de ressources peuvent maintenant être délégués sous forme de droits locaux sur les serveurs membres dune OU –Les comptes de services ont des droits acquis à un niveau supérieur

47 Mise à niveau Démonstration

48 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

49 Migrer le domaine de ressources Regroupement de domaines Domaine de compte OUOU OUOU OUOUOUOU Domaine de ressources ResourceDomain Source OU cible Migrer le domaine de comptes Migrer le domaine de comptes 1 OU Cible OUOU OUOUOUOU 2

50 Les étapes de la restructuration 1.Création du domaine source 2.Installation des outils de migration 3.Migration des comptes, groupes 4.Migration des machines 5.ReACLs des ressources 6.Suppression des SID History 7.Suppression du domaine dorigine

51 Sécurité Windows Authentification –IDs de sécurité (SIDs) - Relatifs au domaine –Les SIDs identifient les « security principals » (comptes et groupes) –Jeton daccès - Liste des SIDs et des droits additionnels Autorisation –Access control lists (ACLs) –Compare les SIDs du jeton et lACL Autorisation et Migration –Restructurer implique déplacer –Déplacer entre domaines implique un nouvel SID Lattribut sIDHistory maintient laccès aux ressources

52 Fonctionnement de sIDHistory DomNT1 DomNT2 DocServ1 \\DocServ1\Docs: TechEditors: FA DocServ1\TechEditors Membres: DomNT1\Bob Dom1\Bob Jeton daccès sur DocServ1: User: DOMNT1\Bob SID Groups: DocServ1\TechEditors SID BobWS sIDHistory: DomNT1\Bob Jeton daccès de Bob sur DocServ1: User: DOMAD\Bob SID Groupes: DOMNT1\Bob SID DocServ1\TechEditors DomAD DomAD\Bob

53 SID History Lutilisation du SID History est à considérer comme une étape intermédiaire dans le processus de la migration –Permet dassurer laccès aux ressources Ne nécessite pas que les compte dans le domaine dorigine et cible soient activés La migration est complète seulement lorsque toutes les références SID History ont été supprimées

54 Déplacement des utilisateurs et machines dans des OUs Migrer les comptes utilisateurs et groupes Migrer les comptes des machines clientes Migrer les contrôleurs (sauf sils sont dé commissionnés) Migrer les serveurs membres Migrer les serveurs membres

55 Restructuration - terminologie Migration de domaine Domaine de ressources Niveaux de fonctionnalité Domaine cible Consolidation de domaines cloner SID-History SID-History Domaine source Domaine de comptes Déplacer les comptes utilisateurs, groupes, machines dun domaine NT4.0 vers un domaine Windows Server 2003 Domaine NT 4.0 hébergeant des partages de fichiers / imprimantes et dautres services. Contient principalement des comptes machines Permettent de fournir une compatibilité ascendante pour les différentes versions de Windows utilisant Active Directory Domaine vers lequel les identités de sécurité sont migrées Restructuration des domaines pour en diminuer le nombre Créer de nouveaux objets dans le domaine cible qui reproduisent des comptes dans le domaine source Attribut des identités de sécurité dActive Directory utilisé pour stocker les SIDs précédents des objets déplacés Domaine à partir duquel les identités de sécurité sont migrées Domaine NT 4.0 contenant des comptes utilisateurs et groupes

56 Utilitaire de Migration ADMT Utilitaire de migration/consolidation –Domaines NT 4 vers Windows 2000/2003 –Domaines Windows 2000 vers 2003 Migration des mots de passe Scriptable via Interface COM Utilisable en ligne de commande Reconfiguration des ACLs des ressources –Fichiers, registre, groupes locaux, partages… Options dexclusion dattributs Performances

57 Bénéfices liés à lutilisation dActive Directory Migration Tool Pourquoi utiliser ADMT ? Pourquoi utiliser ADMT ? Analyser limpact dune migration avant et après le processus Analyser limpact dune migration avant et après le processus Tester les scénarios de migration Tester les scénarios de migration Supporte la migration intra et inter forêt Supporte la migration intra et inter forêt Fournit des assistants pour les tâches de migration courantes Fournit des assistants pour les tâches de migration courantes Opérations de migration supportées par ADMT Opérations de migration supportées par ADMT Migrer des comptes utilisateurs, groupes, machines entre domaines Migrer des comptes utilisateurs, groupes, machines entre domaines Effectuer les modifications de sécurité sur les groupes locaux, profils utilisateurs, ressources fichiers et imprimantes Effectuer les modifications de sécurité sur les groupes locaux, profils utilisateurs, ressources fichiers et imprimantes Renseigner lattribut SID-history lorsque les identités de sécurité sont migrées Renseigner lattribut SID-history lorsque les identités de sécurité sont migrées Effectuer les modifications de sécurité sur les machines Effectuer les modifications de sécurité sur les machines Résolutions des problèmes de sécurité (SID dupliqués par ex.) pour les fichiers, répertoires et partages réseaux Résolutions des problèmes de sécurité (SID dupliqués par ex.) pour les fichiers, répertoires et partages réseaux

58 Fonctionnalités dADMT FonctionnalitéDescription Interface mode commande et script Les opérations ADMT peuvent être effectuées en utilisant une interface scriptable ou un outil en mode commande Migration sécurisée des mots de passe utilisateur Les mots de passe peuvent être migrés lors des opérations de migration utilisateurs entre forêts Mappage des SID pour les modifications de sécurité Le mappage de sécurité est basé sur un fichier texte et plus uniquement sur lobjet précédemment migré Exclusion dattributs pour Windows 2000 La plupart des attributs du schéma pour les utilisateurs, groupes et machines peut être exclue de la migration si le domaine source est Windows 2000 et plus Identités de sécurité Il nest plus nécessaire de se connecter avec des privilèges élevés pour exécuter lagent ADMT Performances Possibilité de ne pas effectuer la reconstruction des groupes lorsquelle nest pas nécessaire

59 Assistants ADMT Utiliser les paramétrages tester la migration et migrer plus tard pour exécuter un assistant sans faire les modifications. Mappage et fusion de groupes Migration des relations de validation Migration des machines Ré essai de la tâche Migration des comptes de service Migration des comptes utilisateurs Migration de lannuaire Exchange Traduction de sécurité Migration des groupes Retour arrière sur la dernière migration (undo) Rapports

60 Nouveautés de ADMT V3 Prise en charge d'opérations de migration simultanées Modification du nom des objets à l'aide de l'interface utilisateur Service Serveur d'exportation de mots de passe (PES) Option « Ne pas mettre à jour les mots de passe des utilisateurs existants » Migration des mots de passe uniquement Améliorations de l'agent Sélection des contrôleurs de domaine source et cible Capacités d'enregistrement accrues Enregistrement des commentaires Disponible sur le Web

61 Autres outils pour la restructuration Utiliser ClonePrincipal pour cloner les comptes utilisateurs et groupes vers le nouvel environnement Windows Server Utiliser MoveTree pour déplacer des objets Active Directory entre domaines dune même forêt Windows Server Utiliser Netdom pour : –Ajouter, déplacer, et faire des requêtes sur les comptes machines dans un domaine NT 4.0, –Obtenir des informations sur les relations de validation existantes, –Créer de nouvelles relations de validation. Utiliser Ldp pour visualiser les attributs dun objet dans Active Directory.

62 Mise en oeuvre dActive Directory Migration Tool Démonstration

63 Assurer la disponibilité du service DNS lors de la restructuration de domaines Pour faire correspondre les domaines AD et DNS : –Etablir un serveur DNS dans le domaine cible Windows Server 2003, –Configurer le serveur DNS Windows server 2003 de la forêt cible comme serveur primaire pour tous les domaines Active Directory, –Promouvoir le serveur DNS Windows Server 2003 en contrôleur du domaine cible, –Modifier les zones DNS primaires en zones intégrées dans Active Directory pour la forêt cible. Pour créer un nouveau domaine DNS contenant les enregistrements SRV du domaine Active Directory : –Installer un serveur DNS dans le domaine cible Windows Server 2003, –Intégrer le nouveau serveur DNS avec les serveurs existants, –Déplacer la zone reverse lookup sur un serveur DNS sous Windows Server 2003.

64 Restructurer un domaine de compte après une mise à niveau Mise à niveau Domain1 Domain3 Domain2 Windows NT 4.0 Restructuration Windows Server 2003

65 Restructurer après une mise à niveau … Différences SID-History lors dune restructuration après mise à niveau Les SID-History peuvent encore être utilisés pour préserver laccès aux ressources de lutilisateur. Les SID-History peuvent encore être utilisés pour préserver laccès aux ressources de lutilisateur. Pour que les SID-History fonctionnent, vous devez déplacer un objet du domaine source vers le domaine cible. Pour que les SID-History fonctionnent, vous devez déplacer un objet du domaine source vers le domaine cible. Opération destructive Restructurer les identités de sécurité au sein dune même forêt Windows Server 2003 aboutit au déplacement (non à la copie) des objets. Restructurer les identités de sécurité au sein dune même forêt Windows Server 2003 aboutit au déplacement (non à la copie) des objets. Le domaine source cesse dexister. Le domaine source cesse dexister. Groupes et utilisateurs Les comptes utilisateurs et les groupes auxquels ils appartiennent doivent être déplacés en même temps pour préserver les règles dappartenance. Les comptes utilisateurs et les groupes auxquels ils appartiennent doivent être déplacés en même temps pour préserver les règles dappartenance. ADMT ne calcule pas les règles complètes. ADMT ne calcule pas les règles complètes.

66 Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

67 SID Filtering Risque –Les DC du domaine approuvé retourne les SIDs durant lauthentification –Le domaine approuvant accepte tous les SIDs Ne peut pas vérifier sils sont légitimes Cf Pour le mettre en oeuvre –Service avec des droits admin dans la foret/domaine approuvé, ou –Accès physique au domaine contrôleur du domaine approuvé Solution –SID filtering Le système établit la liste des SIDs valides –Authentification Échecs si lutilisateur ne dispose pas dun SID valide Supprime les SIDs non valides –Configurable au niveau de chaque relation dapprobation

68 Le SID filtering est automatiquement activé pour les relations dapprobation externes –DCs doivent être en Windows Server 2003 ou Windows 2000 SP4 jupiter.com pluto.com Le filtrage bloque tous les SIDs qui ne sont pas du domaine jupiter.com SID Filtering

69 Voir les SIDs Whoami –Windows Server 2003, XP/2000 Resource Kit Process Explorer –www.sysinternals.com Sid2User & User2Sid –Via Internet

70 SID Filtering Démonstration

71 Effets dune migration sur les stratégies de groupe Effets dune mise à niveau Effets dune mise à niveau Les stratégies de groupe sont appliquées si un contrôleur Windows Server 2003 authentifie le client Windows 2000 (et plus). Les stratégies de groupe sont appliquées si un contrôleur Windows Server 2003 authentifie le client Windows 2000 (et plus). Les stratégies système sont appliquées si cest un contrôleur Windows NT 4.0 qui authentifie le client. Les stratégies système sont appliquées si cest un contrôleur Windows NT 4.0 qui authentifie le client. Les stratégies systèmes sont appliquées si un compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies systèmes sont appliquées si un compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server Effets dune restructuration Effets dune restructuration Les stratégies systèmes du domaine source ne sont pas forcément appliquées par le poste client migré. Les stratégies systèmes du domaine source ne sont pas forcément appliquées par le poste client migré. Les stratégies systèmes sont appliquées si le compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies systèmes sont appliquées si le compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server 2003.

72 Effets dune migration sur les scripts de logon Effets dune mise à niveau Effets dune mise à niveau Les scripts de logon utilisateurs stockés dans le dossier partagé NETLOGON ne sont pas affectés. Les scripts de logon utilisateurs stockés dans le dossier partagé NETLOGON ne sont pas affectés. Les postes clients Windows 2000 et plus exécutent tout script utilisateurs situé dans NETLOGON et tout script assigné à lutilisateur ou à lordinateur par les stratégies de groupe. Les postes clients Windows 2000 et plus exécutent tout script utilisateurs situé dans NETLOGON et tout script assigné à lutilisateur ou à lordinateur par les stratégies de groupe. Effets dune restructuration Effets dune restructuration Les scripts de logon continuent dêtre exécutés pour les machines clonées et déplacées si les scripts de logon sont migrés vers le domaine cible. Les scripts de logon continuent dêtre exécutés pour les machines clonées et déplacées si les scripts de logon sont migrés vers le domaine cible. Les scripts de logon non migrés ne seront pas exécutés par les comptes clonés ou déplacés vers un nouveau domaine. Les scripts de logon non migrés ne seront pas exécutés par les comptes clonés ou déplacés vers un nouveau domaine.

73 Migrer les stratégies systèmes Stratégie Système Stratégie de groupe

74 Migrer les scripts de connexion Identifier tous les scripts de logon dans le dossier partagé NETLOGON. Déterminer si les scripts utilisateurs peuvent être supprimés. Déterminer ou appliquer les stratégies de groupe dans la hiérarchie Active Directory Logon Scripts Group Policy vers les stratégies de groupe dans un environnement Windows Server 2003

75 Résumé Planifier et préparer la migration en analysant lorganisation de la structure actuelle, Différentes configurations / contraintes / attentes aboutissent à des choix de mise à niveau, restructuration ou lenchaînement des deux, Nettoyer son environnement NT 4.0 avant la migration simplifiera le processus, Des doutils pour la migration des domaines –ADMT… Mais également pour la migration des –imprimantes (PrintMig), –fichiers (File Server Migration Toolkit) –applications (Virtual Server 2005 et Virtual Server Migration Toolkit)

76 Se former… Tous les cours sur Windows 2000 Server / Windows Server 2003, et les Centres de formation dans votre région sont sur : Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : Newsgroups : t.mspx?dg=microsoft.public.fr.windowsnt&lang=fr&cr=FR&a mp;r=129536bd-cd13-4b84-b4ee f1707

77 Questions / Réponses

78 Votre potentiel, notre passion… A bientôt et merci dêtre venus... © 2005 Microsoft France Marketing Technique


Télécharger ppt "Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx."

Présentations similaires


Annonces Google