Bienvenue Sponsor Officiel

Qu’est ce que TechNet ? Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute l’année, partout en France http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des Webcasts accessibles à tout instant http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Migration de domaines Windows NT 4.0 vers Windows Server 2003 Animateur

Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Bénéfices de la migration Plus facile d’administrer un nombre plus réduit de domaines Relation entre plan de nommage et organisation Meilleure utilisation des ressources Granularité d’administration Utilisation plus efficace des contrôleurs de domaine (DCs) par les clients Fiabilité et montée en charge du système Support de la plate forme (fin de support de Windows NT4 Server 31/12/2004) L ’unité d ’administration pour NT4 est le domaine, si moins de domaines, il faut pouvoir disposer d ’une administration plus fine.

Moins de Domaines Raisons pour utiliser un domaine Tous les domaines de la forêt partagent le même schéma Le domaine assure une frontière d’administration Trafic de réplication vers les sites distants Limiter des informations critiques à quelques machines

Moins de contrôleurs de domaine Plus de serveurs membres - moins de contrôleurs de domaine (DCs) Les sites permettent un placement plus intelligent des DCs Moins de domaines veut dire moins de DCs Les domaines peuvent gérer jusqu’à plusieurs millions d’objets Dimensionnement des DCs Flexibilité promotion/de promotion d’une machine

Agenda Pourquoi migrer Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Migration vers Windows 2003 Domain OU Organizational Units Objets Active Directory Catalogue global Windows NT 4.0 Modèle Domaine Unique Maître Unique Maître Multiple Modèle domaine Approbation Totale Plusieurs approches différentes de la mise à niveau existent en fonction de votre modèle de domaine Windows NT. Indépendamment de l'approche que vous utiliserez, votre plan de mise à niveau devra inclure le chemin que vous allez utiliser pour effectuer la mise à niveau depuis votre modèle de domaine Windows NT actuel vers un modèle de domaine Active Directory de Windows 2000. Lors des étapes initiales du développement d'une stratégie de migration, vous avez identifié les objectifs de migration et de votre entreprise. Si vous êtes arrivé à la conclusion que la mise à niveau de votre modèle de domaine Windows NT 4.0 constituait la meilleure approche pour réaliser l'infrastructure de votre structure Active Directory, vous devez examiner la structure Active Directory proposée pour : n       déterminer si la structure propose un environnement à une ou plusieurs forêts, et si elle est capable de résoudre des problèmes d'administration ; n       examiner le modèle de site pour identifier et résoudre les problèmes susceptibles de constituer un obstacle à la mise à niveau de votre modèle de domaine, et vous assurer que le modèle n'affecte pas votre capacité à réaliser vos objectifs de migration ; n       examiner les plans d'administration et de sécurité pour déterminer le moment où les nouvelles fonctionnalités devront être disponibles dans l'environnement mis à niveau sans perturber la procédure de mise à niveau, l'ordre dans lequel ces fonctionnalités seront déployées et les éléments qui devront être validés dans l'environnement de test.

Comprendre son environnement Windows NT 4.0 Identifier : Le modèle actuel de domaines, Les relations de validation existantes, Le nombre et la localisation des contrôleurs de domaine sur le réseau, Les comptes utilisateurs, groupes et machines, Comment sont gérés les profils, L’administration des domaines, Les procédures et technologies de sécurité.

Définir un chemin de migration Mise à niveau Mise à niveau et restructuration Restructuration Evaluer les décisions de mise à niveau Chemins de migration possibles Evaluer les décisions de restructuration Evaluer les décisions de mise à niveau + restructuration

Quel chemin de migration ? Critères Structure de domaine, Structure de forêt cible, Indisponibilité acceptable, Risque acceptable, Contraintes de temps, Disponibilité de ressources, Compatibilité des applications, Contraintes budgétaires. ? Mise à niveau ? Restructuration ? Mise à niveau + restructuration

Pourquoi la mise à niveau ? Choisir la mise à niveau lorsque : La structure de domaine existante est identique à la structure de domaine Active Directory proposée, La structure de domaine existante correspond aux besoins techniques et business de l’organisation, Les noms de domaines doivent rester les mêmes, Le risque lié à la migration doit être minimum, Le temps pour la migration doit être le plus court possible, Peu de personnes travaillent sur la migration, Des contraintes budgétaires limitent la possibilité d’acheter de nouveaux matériels.

Pourquoi la Restructuration ? Choisir la restructuration lorsque : La structure de domaines existante ne correspond pas aux besoins de l’organisation ni aux buts de la migration, Aucun temps d’arrêt des services d’annuaire n’est possible, Pour obtenir une structure de domaines optimale, un certain risque est accepté, Le temps disponible est suffisant pour effectuer les tâches supplémentaires liées à la restructuration, Il y a suffisamment de personnes disponibles, Des nouveaux matériels peuvent être achetés.

Pourquoi la Mise à niveau + Restructuration ? Choisir la mise à niveau + restructuration lorsque : La structure de domaine existante est proche de la structure de domaine cible sous Active Directory, L’organisation veut utiliser rapidement certaines fonctions apportées par Active Directory, Les coûts matériels et administratifs doivent être limités dans un premier temps, Les risques sont difficilement tolérables, mais la structure de domaine existante ne peut être conservée sur le long terme.

Planifier son « projet » de migration Création d’un plan projet Création de documents de planification de projet Choix d’une stratégie d’installation et de migration Test et plan de migration Création d’un plan pilote pour la migration Planification de la stratégie sans heurts vers Windows 2003 Disposer d’un plan de retour arrière et le tester Créer un plan de communication

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Nettoyer la base SAM (Windows NT 4.0) Group1 Computer1 User1 Nettoyer la base SAM User1 Computer1 Computer2 Group1 User1 Group2

Considérations sur le nettoyage de la base SAM Comptes qui peuvent être supprimés : Comptes utilisateurs dupliqués, Comptes utilisateurs et groupes non utilisés, Groupes pour des ressources qui n’existent pas, Comptes machines non utilisés. Comptes utilisateurs qui peuvent être désactivés : ceux non utilisés pendant une longue période de temps, ceux ayant des droits, des permissions ou une appartenance à un groupe devant être conservés, ceux étant propriétaires de ressources réseau importantes. Les groupes qui remplissent les mêmes fonctions peuvent être consolidés.

Nettoyage des groupes Identifier les groupes à consolider Vérifier les permissions et membres d’un groupe Consolider les groupes Supprimer les groupes non utilisés Liste de tous les groupes globaux et locaux Redirection vers fichier texte Analyse des groupes à consolider Liste de tous les membres d’un groupe global Liste de tous les membres d’un groupe local Liste des DACLs qui contiennent des permissions pour le groupe Supprimer les membres d’un groupe pour les rajouter dans un autre Copier la liste des membres du groupe Consolider les permissions En utilisant “User Manager for Domains” En utilisant les commandes net group et net localgroup

Nettoyage des comptes machines Identifier les comptes machines non utilisés Supprimer les comptes machines non utilisés Visualiser tous les comptes machines Liste des comptes qui ne sont plus utilisés Vérifier que ces comptes peuvent être supprimés En utilisant “Server Manager” En utilisant la commande netdom

Clients et serveurs Windows 2003 La sécurité change le comportement des DCs Windows 2003 “SMB signing” et “Secure channel encryption” nécessaires Stratégies d’accès aux contrôleurs de domaine (DCs) Intégration des clients réputés de « bas niveau » Win95 et Windows pre-SP3 NT 4.0 nécessite que l’on change les Stratégies d’Accès Samba, Mac OS X + MS DOS network clients Désactiver le « SMB signing » Windows 2000, XP et WS 2003 clients s’intègrent par défaut Pleinement documenté dans le « Windows 2003 Server Deployment Kit » et les articles KB

Inventaire des clients Mise à jour des clients Windows 95 & NT 4.0 Sécurité par défaut sur les DCs 2003 “Enforce SMB Signing” est activée Abaisser temporairement la sécurité des DCs ou mettre à jour les clients Windows 95 Installer le DS client (q323466) ou un OS plus récent NT 4.0: SP3 ou plus, SP6A recommandé (DFS) Tous les autres Clients Microsoft Pas d’action requise La mise en place du dernier SP étant recommandée

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Séquence de mise à niveau des domaines de comptes Mettre à niveau les domaines pour lesquels vous avez un accès physique simple aux contrôleurs de domaines. Mettre à niveau les domaines qui contiendront des objets de domaines restructurés tôt dans le processus. Faire la balance entre le risque et le bénéfice de mettre à niveau le domaine. Domaine de compte

Séquence de mise à niveau des domaines de ressources Mettre à niveau d’abord les domaines qui contiennent des applications nécessitant des fonctions de Windows Server 2003. Mettre à niveau les domaines qui contiendront des objets de domaines restructurés tôt dans le processus. Mettre à niveau les domaines avec de nombreux comptes machines clients. Domaine de ressources

Séquence de mise à niveau des contrôleurs de domaines Mettre à niveau le PDC en premier. Mettre à niveau tous les BDCs après la MAJ du PDC (ou dé commissionner les BDCs et installer de nouveaux contrôleurs de domaine Windows Server 2003). Si le PDC ne satisfait pas aux contraintes matérielles de Windows Server 2003, promouvoir un BDC ad hoc.

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Domaines Mixtes & domaines Natifs Autorise les DCs NT 4.0 Limites imposées par les DCs NT 4.0 Pas de groupes universels Pas de groupes imbriqués Pas d’attributs SIDHistory Domaine mixe avec des DCs Windows 2003 Le PDC 2003 répliquera avec les BDCs NT 4.0 Même si il n’y a pas de DCs Windows 2000 Domaines Natifs Mode où il ne reste plus de DCs NT 4.0 Les DCs peuvent être Windows 2000 ou 2003

Niveaux Fonctionnels Requis afin d’apporter de nouvelles fonctionnalités L’administrateur change manuellement le niveau quand tous les DCs d’un Domaine/Forêt sont à jour Les niveaux ne peuvent qu’être augmentés Les DCs de versions « anciennes » ne pourront plus être joints Niveaux fonctionnels disponibles Windows 2003 Server domain functionality Windows 2003 Server forest functionality Windows 2003 Server interim forest functionality Cohabitation de DCs 2003 & BDC NT 4.0, mais pas de DCs Windows 2000 Mode Windows Server 2003 à considérer comme une version améliorée du mode natif Windows 2000

Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 mixte Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus Imbrication des groupes Groupe de type Universel SIDHistory Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Ensemble des fonctionnalités du mode Windows 2000 natif, plus Mise à jour de l’attribut logon timestamp Version de KDC Kerberos Mot de passe utilisateur ds INetOrgPerson Groupe universel Visibilité : toute la forêt, Membres : groupes globaux de tout domaine, groupes universels. Groupe global de domaine Membres : utilisateurs et groupes globaux du domaine. Groupe local de domaine Utilisation : permissions sur les ressources Visibilité : tout le domaine Membres : toute la forêt (groupes universels, groupes globaux, groupes locaux du domaine, utilisateurs…) Groupe local Visibilité : uniquement sur le serveur Membres : toute la forêt Imbrication de groupes : les groupes peuvent contenir d’autres groupes.

Windows 2003 & Active Directory Niveau de fonctionnalité pour les forêts Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus Réplication LVR (Linked Value Record) Amélioration ISTG (Inter Site Topology Generator) Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus Classes Auxiliaires dynamiques Modification de la classe User en INetOrgPerson Dé/réactivation au sein du schéma Changement des noms de domaines Relations d’approbation inter forêts

Comment vérifier le niveau fonctionnel ? Domaine mode Mixte / natif Attribut nTMixedDomain sur le domaine Pas de valeur ou “1”: domaine en mode mixte “0”: domaine en mode natif Niveau fonctionnel du domaine Attribut msDS-Behavior-Version sur le domaine Pas de valeur ou “0”: Windows 2000 “1”: Windows 2003 version préliminaire “2”: .Windows 2003 Forêt Attribut msDS-Behavior-Version sur le conteneur partitions “2”: Windows 2003

Les niveaux fonctionnels Démonstration

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Implications de la mise à niveau d’un PDC Windows NT 4.0 Que se passe t-il lors de la mise à niveau ? Le niveau de fonctionnalité du domaine est “Windows 2000 mixte”. Le niveau de fonctionnalité de la forêt est “Windows 2000”. Le PDC mis à niveau maintient le rôle d’émulateur PDC. Le rôle opérationnel d’émulateur PDC est important car il expose Active Directory comme une base SAM pour les BDC NT 4.0 lors de la réplication et pour la prise en charge des postes NT/9x.

Effets d’une mise à niveau de domaine sur les relations de validation Domaines NT 4.0 Domaines Windows Server 2003 Mise à niveau Racine ACCT1 ACCT2 Relation transitive Relation transitive ACCT1 ACCT2 Relation transitive RES1 RES1

Assurer la disponibilité du service DNS lors de la mise à niveau Comment mettre à jour les services DNS : Mettre à niveau le serveur existant sous Windows NT 4.0, Installer un nouveau serveur Windows Server 2003, Mettre à jour les serveurs DNS non Microsoft. Comment minimiser l’impact d’une migration du DNS Utiliser leurs propres outils d’administration pour gérer les DNS sous Windows Server 2003 et NT 4.0, Définir les serveurs maîtres pour les serveurs DNS sous WS2003 et sous NT 4.0. Serveur DNS

Mode Intérim & Groupes de sécurité Pas de limite sur les membres d’un groupe de sécurité W2K: “limite” de 5000 membre par groupe Réplication “Last writer wins” = possible perte des Δ’s Δ sur les groupes entraînent du trafic (full sync) Réplication non optimisée “DS is busy” + “out of version store” erreurs Niveau fonctionnel Intérim 2003 Domaine + forêt Pas de limite sur les groupes de sécurité Réplication optimisée par LVR (gestion des larges groupes & des effacements) Utilisation du mode Intérim directement

Mise à jour depuis NT 4.0 Pas à pas Inventaire client pour la compatibilité avec les paramétrages de sécurité Installation Software (DS client, SP, OS) ou relâche de la sécurité Inventaire des DCs du domaine Service pack 6a recommandé (min sp5) Configuration matérielle (espace disque, mémoire, cpu) État du serveur (réplication SAM & LMRepl) Inventaire des services utilisant le compte « Local System » sur les membres du domaine Reconfiguration du service pour utiliser un compte du domaine Mise à niveau vers Windows 2000/2003/XP Utilisation « enable downlevel access » lors du DCPromo Service RAS…

Mise à jour depuis NT 4.0 Pas à pas Configuration du serveur d’export LMRepl Celui-ci doit être le dernier DC à être mise à jour Si LMRepl tourne sur le PDC, alors Configurer un BDC pour remplir ce rôle Transférer le rôle de PDC sur un autre serveur Sauvegarde de la SAM & gestion du retour arrière Synchroniser avec le PDC Prendre un backup sur bande et le tester Mettre le BDC hors réseau

Mise à jour depuis NT 4.0 Pas à pas Mise à jour du PDC Le PDC ne pourra pas jouer son rôle pendant la mise à jour Pas de changement possible (création d’utilisateurs, groupes…) Pas de changement de mot de passe Les relations d’approbation peuvent être indispensable Planifier l’indisponibilité de service Configuration des paramétrages de sécurité Vérification de la mise à jour Réplication AD/SAM vers les BDC Vérification que les mots de passe puissent être changés

Mise à jour depuis NT 4.0 Pas à pas Installation et configuration de LMBridge Le service LMRepl est remplacé par FRS sous Windows 2003 Copier les scripts de logon et les fichiers du serveur d’export LMRepl vers les PDC Configurer LMBridge pour copier les fichiers du PDC vers le serveur d’export LMRepl Modifier les fichiers sur le PDC Continuer à mettre à jour les BDCs Une fois tous les DCs sous Windows 2003 Modifier les niveaux fonctionnels

Étape finale Vérification du nouveau DC Le DC est-il opérationnel ? Existence des partages NETLOGON + SYSVOL Le DC réponds à LDAP, RPC et aux demandes d’authentification Les enregistrements SRV, CNAME et A sont-ils bien dans le DNS FRS: le SYSVOL est-il bien répliqué ? Active Directory: la réplication fonctionne t-elle ? Les stratégies sont-elles bien appliquées (événement 1704) Un outil : DCdiag des « support tools »

Délégation après la migration des domaines de ressource Les domaines de ressource sont migrés dans des OUs Les administrateurs de domaine de ressource ne sont plus des comptes de services sous AD Utilisation de groupe restreints en mode AD Permet d’établir une délégation hiérarchique Les anciens comptes d’administration des domaines de ressources peuvent maintenant être délégués sous forme de droits locaux sur les serveurs membres d’une OU Les comptes de services ont des droits acquis à un niveau supérieur

Mise à niveau Démonstration

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

Regroupement de domaines OU cible Domaine de compte 1 Migrer le domaine de comptes OU OU OU Source Resource Domain OU OU OU OU Domaine de ressources Restructuration Acquisition OU Cible 2 Migrer le domaine de ressources

Les étapes de la restructuration Création du domaine source Installation des outils de migration Migration des comptes, groupes Migration des machines ReACLs des ressources Suppression des SID History Suppression du domaine d’origine

Sécurité Windows Authentification Autorisation IDs de sécurité (SIDs) - Relatifs au domaine Les SIDs identifient les « security principals » (comptes et groupes) Jeton d’accès - Liste des SIDs et des droits additionnels Autorisation Access control lists (ACLs) Compare les SIDs du jeton et l’ACL Autorisation et Migration Restructurer implique déplacer Déplacer entre domaines implique un nouvel SID L’attribut sIDHistory maintient l’accès aux ressources

Fonctionnement de sIDHistory DomAD DomNT1 DomNT2 DocServ1 \\DocServ1\Docs: TechEditors: FA DocServ1\TechEditors Membres: DomNT1\Bob Dom1\Bob Jeton d’accès sur DocServ1: User: DOMNT1\Bob SID Groups: DocServ1\TechEditors SID BobWS DomAD\Bob sIDHistory: DomNT1\Bob Jeton d’accès de Bob sur DocServ1: User: DOMAD\Bob SID Groupes: DOMNT1\Bob SID DocServ1\TechEditors

SID History L’utilisation du SID History est à considérer comme une étape intermédiaire dans le processus de la migration Permet d’assurer l’accès aux ressources Ne nécessite pas que les compte dans le domaine d’origine et cible soient activés La migration est complète seulement lorsque toutes les références SID History ont été supprimées

Déplacement des utilisateurs et machines dans des OUs Migrer les comptes utilisateurs et groupes 1 Migrer les comptes des machines clientes 2 Migrer les serveurs membres 3 Migrer les contrôleurs (sauf s’ils sont dé commissionnés) 4

Restructuration - terminologie Migration de domaine Domaine de ressources Niveaux de fonctionnalité Domaine cible Consolidation de domaines cloner SID-History Domaine source Domaine de comptes Déplacer les comptes utilisateurs, groupes, machines d’un domaine NT4.0 vers un domaine Windows Server 2003 Domaine NT 4.0 hébergeant des partages de fichiers / imprimantes et d’autres services. Contient principalement des comptes machines Permettent de fournir une compatibilité ascendante pour les différentes versions de Windows utilisant Active Directory Domaine vers lequel les identités de sécurité sont migrées Restructuration des domaines pour en diminuer le nombre Créer de nouveaux objets dans le domaine cible qui reproduisent des comptes dans le domaine source Attribut des identités de sécurité d’Active Directory utilisé pour stocker les SIDs précédents des objets déplacés Domaine à partir duquel les identités de sécurité sont migrées Domaine NT 4.0 contenant des comptes utilisateurs et groupes

Utilitaire de Migration ADMT Utilitaire de migration/consolidation Domaines NT 4 vers Windows 2000/2003 Domaines Windows 2000 vers 2003 Migration des mots de passe Scriptable via Interface COM Utilisable en ligne de commande Reconfiguration des ACLs des ressources Fichiers, registre, groupes locaux, partages… Options d’exclusion d’attributs Performances

Bénéfices liés à l’utilisation d’Active Directory Migration Tool Pourquoi utiliser ADMT ? Analyser l’impact d’une migration avant et après le processus Tester les scénarios de migration Supporte la migration intra et inter forêt Fournit des assistants pour les tâches de migration courantes Opérations de migration supportées par ADMT Migrer des comptes utilisateurs, groupes, machines entre domaines Effectuer les modifications de sécurité sur les groupes locaux, profils utilisateurs, ressources fichiers et imprimantes Renseigner l’attribut SID-history lorsque les identités de sécurité sont migrées Effectuer les modifications de sécurité sur les machines Résolutions des problèmes de sécurité (SID dupliqués par ex.) pour les fichiers, répertoires et partages réseaux

Fonctionnalités d’ADMT Description Interface mode commande et script Les opérations ADMT peuvent être effectuées en utilisant une interface scriptable ou un outil en mode commande Migration sécurisée des mots de passe utilisateur Les mots de passe peuvent être migrés lors des opérations de migration utilisateurs entre forêts Mappage des SID pour les modifications de sécurité Le mappage de sécurité est basé sur un fichier texte et plus uniquement sur l’objet précédemment migré Exclusion d’attributs pour Windows 2000 La plupart des attributs du schéma pour les utilisateurs, groupes et machines peut être exclue de la migration si le domaine source est Windows 2000 et plus Identités de sécurité Il n’est plus nécessaire de se connecter avec des privilèges élevés pour exécuter l’agent ADMT Performances Possibilité de ne pas effectuer la reconstruction des groupes lorsqu’elle n’est pas nécessaire

Assistants ADMT Migration des comptes utilisateurs Migration des groupes Migration des machines Traduction de sécurité Rapports Migration des comptes de service Migration de l’annuaire Exchange Retour arrière sur la dernière migration (undo) Ré essai de la tâche Migration des relations de validation Mappage et fusion de groupes Utiliser les paramétrages “tester la migration” et “migrer plus tard” pour exécuter un assistant sans faire les modifications.

Nouveautés de ADMT V3 Prise en charge d'opérations de migration simultanées Modification du nom des objets à l'aide de l'interface utilisateur Service Serveur d'exportation de mots de passe (PES) Option « Ne pas mettre à jour les mots de passe des utilisateurs existants » Migration des mots de passe uniquement Améliorations de l'agent Sélection des contrôleurs de domaine source et cible Capacités d'enregistrement accrues Enregistrement des commentaires Disponible sur le Web L'outil de migration Active Directory Version 3 (ADMT v3) propose de nombreuses améliorations par rapport à ADMT Version 2 (ADMT v2). Les sections suivantes décrivent ces améliorations : Prise en charge d'opérations de migration simultanées Vous pouvez exécuter plusieurs opérations ADMT simultanées sur un ordinateur à l'aide de ADMT v3. Vous pouvez utiliser ADMT v3 avec Microsoft SQL Server™ Édition Standard ou SQL Server Édition Entreprise comme magasin de données sous-jacent à ADMT v3 pour effectuer plusieurs opérations ADMT simultanées à partir de différents ordinateurs à l'aide d'une seule base de données ADMT. Modification du nom des objets à l'aide de l'interface utilisateur Dans ADMT v2, le fichier Include servait à simplifier la migration par ligne de commande et script de nombreux comptes. Dans ADMT v2, vous pouviez accéder au fichier Include uniquement via la ligne de commande et ADMT permettait de ne modifier que le préfixe et le suffixe des comptes d'utilisateurs, de groupes et d'ordinateurs ainsi que des propriétés limitées de compte. ADMT v3 permet de modifier complètement les noms des comptes comme les noms uniques relatifs, les noms des comptes SAM et les noms principaux universels (UPN) des comptes. Pour modifier le nom des comptes d'utilisateurs, de groupes et d'ordinateurs pendant la migration, sélectionnez l'option Lire les objets dans un fichier Include dans la nouvelle page Option de sélection des objets de l'Assistant. La page Option de sélection des objets a été ajoutée à l'Assistant Migration des comptes d'utilisateurs, l'Assistant Migration des ordinateurs et l'Assistant Migration des comptes de groupes. Les options de sélection des objets de la page Option de sélection des objets sont les suivantes : Sélectionner les objets dans le domaine Lire les objets dans un fichier Include Si vous cliquez sur Lire les objets dans un fichier Include, vous êtes invité à spécifier l'emplacement du fichier Include. Pour plus d'informations sur la modification du nom des objets pendant la migration à l'aide d'un fichier Include, voir Modification du nom des objets pendant la migration. Service Serveur d'exportation de mots de passe (PES) Avec ADMT v3, le Serveur d'exportation de mots de passe (PES) s'exécute comme un service, offrant la possibilité d'exécuter le service PES à l'aide des informations d'identification d'un utilisateur authentifié dans le domaine cible. Pour plus d'informations sur la configuration de votre environnement en vue d'effectuer la migration de mots de passe, voir Configuration de la migration des mots de passe. Option « Ne pas mettre à jour les mots de passe des utilisateurs existants » Dans ADMT v3, l'option Identique au nom d'utilisateur a été supprimée de la page Options de mot de passe de l'Assistant Migration des comptes d'utilisateurs et de l'Assistant Migration des comptes de groupes. Les deux options de migration des mots de passe sont les suivantes : Générer des mots de passe complexes et Migrer les mots de passe. Ne pas mettre à jour les mots de passe des utilisateurs existants est une nouvelle option de ADMT v3 qui vous permet de choisir de ne pas mettre à jour les mots de passe des objets utilisateur qui existent déjà dans le domaine cible. En sélectionnant cette option, les mots de passe de tous les objets utilisateur migrent, sauf si il existe déjà dans le domaine cible. Si vous ne la sélectionnez pas, les mots de passe de tous les objets utilisateur sont mis à jour, sauf si le mot de passe de l'objet utilisateur source n'a pas été modifié depuis sa dernière migration. Migration des mots de passe uniquement ADMT v3 comprend un nouvel Assistant Migration des mots de passe, que vous pouvez utiliser pour n'effectuer la migration que des mots de passe d'utilisateurs précédemment migrés. La page Sélection de serveur d'exportation de mots de passe est une nouvelle page de l'Assistant Migration des mots de passe, qui vous permet de sélectionner le serveur d'exportation des mots de passe dans une liste déroulante. Il est important de remarquer que la page Sélection de l'utilisateur ne vous empêche pas de sélectionner les objets utilisateur qui n'ont pas encore fait l'objet d'une migration. Si vous sélectionnez un objet utilisateur qui n'a pas encore fait l'objet d'une migration, un message est généré dans le fichier journal de migration et aucune action ni aucun changement n'est appliqué à l'utilisateur sélectionné. Améliorations de l'agent La fonctionnalité de répartition de l'agent a été améliorée dans ADMT v3. Avant de répartir un agent, vous pouvez exécuter une pré-vérification, qui tente de déployer l'agent sur l'ordinateur distant sans devoir effectuer d'autres opérations basées sur des agents. Ceci permet de vérifier que l'ordinateur distant est en ligne et fonctionnel sans exécuter d'opération de l'agent. Vous pouvez également exécuter une pré-vérification avec une opération de l'agent, qui lance d'autres opérations basées sur des agents si le déploiement vers l'ordinateur distant réussit. La post-vérification est effectuée automatiquement après la tâche de migration de l'ordinateur et vérifie que l'ordinateur client a correctement rejoint le domaine cible. Paramètres de nouvelle tentative permet de spécifier le nombre de nouvelles tentatives de pré-vérification ou de post-vérification et l'intervalle entre ces nouvelles tentatives. Pour une description détaillée de la page Boîte de dialogue de l'agent, voir Page Boîte de dialogue de l'agent de l'Assistant Migration des comptes de services. Remarque : La page Boîte de dialogue de l'agent de l'Assistant apparaît également dans l'Assistant Migration des ordinateurs, l'Assistant Traduction de la sécurité et l'Assistant Création de rapports. Sélection des contrôleurs de domaine source et cible ADMT v3 offre la possibilité de sélectionner des contrôleurs de domaine source et cible à utiliser pour une migration, au lieu de se baser sur le localisateur de contrôleur de domaine pour sélectionner le contrôleur de domaine. Vous pouvez spécifier un contrôleur de domaine source et cible explicite ou configurer un contrôleur de domaine préféré à utiliser chaque fois que vous effectuez une tâche à l'aide d'un Assistant ADMT. Pour plus d'informations, voir Configuration d'un contrôleur de domaine préféré. Capacités d'enregistrement accrues Dans ADMT v2, les fichiers journaux des 20 dernières tâches de migration étaient disponibles sur l'ordinateur sur lequel les tâches étaient effectuées. Avec ADMT v3, en plus des fichiers journaux contenant les 20 dernières tâches de migration disponibles sur l'ordinateur sur lequel les tâches étaient effectuées, tous les fichiers journaux sont copiés et stockés dans la base de données ADMT v3 pour pouvoir les consulter ultérieurement. Il est possible d'accéder à ces fichiers journaux à l'aide de la commande admt task à l'invite de commande. Pour plus d'informations sur la gestion des journaux ADMT, voir Gérer les fichiers journaux ADMT. Enregistrement des commentaires Lorsque vous effectuez une migration interforêts dans ADMT v3, vous pouvez enregistrer les attributs migrés pour chaque objet utilisateur, groupe et ordinateur. Pour plus d'informations, voir Gérer les fichiers journaux ADMT.

Autres outils pour la restructuration Utiliser ClonePrincipal pour cloner les comptes utilisateurs et groupes vers le nouvel environnement Windows Server 2003. Utiliser MoveTree pour déplacer des objets Active Directory entre domaines d’une même forêt Windows Server 2003. Utiliser Netdom pour : Ajouter, déplacer, et faire des requêtes sur les comptes machines dans un domaine NT 4.0, Obtenir des informations sur les relations de validation existantes, Créer de nouvelles relations de validation. Utiliser Ldp pour visualiser les attributs d’un objet dans Active Directory.

Mise en oeuvre d’Active Directory Migration Tool Démonstration

Assurer la disponibilité du service DNS lors de la restructuration de domaines Pour faire correspondre les domaines AD et DNS : Etablir un serveur DNS dans le domaine cible Windows Server 2003, Configurer le serveur DNS Windows server 2003 de la forêt cible comme serveur primaire pour tous les domaines Active Directory, Promouvoir le serveur DNS Windows Server 2003 en contrôleur du domaine cible, Modifier les zones DNS primaires en zones intégrées dans Active Directory pour la forêt cible. Pour créer un nouveau domaine DNS contenant les enregistrements SRV du domaine Active Directory : Installer un serveur DNS dans le domaine cible Windows Server 2003, Intégrer le nouveau serveur DNS avec les serveurs existants, Déplacer la zone reverse lookup sur un serveur DNS sous Windows Server 2003.

Restructurer un domaine de compte après une mise à niveau Windows NT 4.0 Windows Server 2003 Restructuration Windows Server 2003

Restructurer après une mise à niveau … Différences SID-History lors d’une restructuration après mise à niveau Les SID-History peuvent encore être utilisés pour préserver l’accès aux ressources de l’utilisateur. Pour que les SID-History fonctionnent, vous devez déplacer un objet du domaine source vers le domaine cible. Opération destructive Restructurer les identités de sécurité au sein d’une même forêt Windows Server 2003 aboutit au déplacement (non à la copie) des objets. Le domaine source cesse d’exister. Groupes et utilisateurs Les comptes utilisateurs et les groupes auxquels ils appartiennent doivent être déplacés en même temps pour préserver les règles d’appartenance. ADMT ne calcule pas les règles complètes.

Agenda Pourquoi migrer ? Planifier la migration Préparer la migration Processus de migration Niveaux fonctionnels Mise à niveau Restructuration des domaines Résultats et effets de la migration

SID Filtering Risque Pour le mettre en oeuvre Solution Les DC du domaine approuvé retourne les SIDs durant l’authentification Le domaine approuvant accepte tous les SIDs Ne peut pas vérifier s’ils sont légitimes Cf http://support.microsoft.com/kb/305330 Pour le mettre en oeuvre Service avec des droits admin dans la foret/domaine approuvé, ou Accès physique au domaine contrôleur du domaine approuvé Solution SID filtering Le système établit la liste des SIDs valides Authentification Échecs si l’utilisateur ne dispose pas d’un SID valide Supprime les SIDs non valides Configurable au niveau de chaque relation d’approbation

SID Filtering pluto.com jupiter.com Le filtrage bloque tous les SIDs qui ne sont pas du domaine jupiter.com Le SID filtering est automatiquement activé pour les relations d’approbation externes DCs doivent être en Windows Server 2003 ou Windows 2000 SP4

Voir les SIDs Whoami Process Explorer Sid2User & User2Sid Windows Server 2003, XP/2000 Resource Kit Process Explorer www.sysinternals.com Sid2User & User2Sid Via Internet

SID Filtering Démonstration

Effets d’une migration sur les stratégies de groupe Effets d’une mise à niveau Les stratégies de groupe sont appliquées si un contrôleur Windows Server 2003 authentifie le client Windows 2000 (et plus). Les stratégies système sont appliquées si c’est un contrôleur Windows NT 4.0 qui authentifie le client. Les stratégies systèmes sont appliquées si un compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server 2003. Effets d’une restructuration Les stratégies systèmes du domaine source ne sont pas forcément appliquées par le poste client migré. Les stratégies systèmes sont appliquées si le compte utilisateur ou machine est dans un domaine NT 4.0. Les stratégies de groupe sont appliquées si un compte utilisateur ou machine est dans un domaine Windows Server 2003.

Effets d’une migration sur les scripts de logon Effets d’une mise à niveau Les scripts de logon utilisateurs stockés dans le dossier partagé NETLOGON ne sont pas affectés. Les postes clients Windows 2000 et plus exécutent tout script utilisateurs situé dans NETLOGON et tout script assigné à l’utilisateur ou à l’ordinateur par les stratégies de groupe. Effets d’une restructuration Les scripts de logon continuent d’être exécutés pour les machines clonées et déplacées si les scripts de logon sont migrés vers le domaine cible. Les scripts de logon non migrés ne seront pas exécutés par les comptes clonés ou déplacés vers un nouveau domaine.

Migrer les stratégies systèmes Stratégie de groupe Stratégie Système

Migrer les scripts de connexion vers les stratégies de groupe dans un environnement Windows Server 2003 1 Identifier tous les scripts de logon dans le dossier partagé NETLOGON. 2 Déterminer si les scripts utilisateurs peuvent être supprimés. Déterminer ou appliquer les stratégies de groupe dans la hiérarchie Active Directory. 3 Logon Scripts Group Policy

Résumé Planifier et préparer la migration en analysant l’organisation de la structure actuelle, Différentes configurations / contraintes / attentes aboutissent à des choix de mise à niveau, restructuration ou l’enchaînement des deux, Nettoyer son environnement NT 4.0 avant la migration simplifiera le processus, Des d’outils pour la migration des domaines ADMT… Mais également pour la migration des imprimantes (PrintMig), fichiers (File Server Migration Toolkit) applications (Virtual Server 2005 et Virtual Server Migration Toolkit)

Se former… Tous les cours sur Windows 2000 Server / Windows Server 2003, et les Centres de formation dans votre région sont sur : http://www.microsoft.com/france/formation Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : http://www.microsoft.com/france/mspress Newsgroups : http://www.microsoft.com/france/communautes/webnews/France/default.mspx?dg=microsoft.public.fr.windowsnt&lang=fr&cr=FR&r=129536bd-cd13-4b84-b4ee-7840079f1707

Questions / Réponses

Votre potentiel, notre passion… A bientôt et merci d’être venus... Votre potentiel, notre passion… © 2005 Microsoft France Marketing Technique