Partenaires

CNRS

Rechercher

Sur ce site

Sur le Web du CNRS


Accueil du site > Expériences > Windows > Serveurs Windows et services associés > Migration de domaine sous Win2003 vers Win2008

Migration de domaine sous Win2003 vers Win2008

par Sandrine Maillet - 30 juillet 2009

Contexte

- Laboratoire CRPP
- Domaine Windows Active Directory avec :

  • 150 PC de bureautique
  • 90 PC dédiés aux expérimentations

Configuration matérielle

Serveur Dell Poweredge 2950

  • 2 disques SAS de 450 GO en miroir
  • 8GO de RAM

Objectif

Effectuer une migration d’un domaine Windows Active Directory sous Windows 2003 vers Windows 2008, en conservant toutes les données liées au domaine, notamment la base Active Directory et les stratégies de groupes (Group Policy) définies.


La migration d’un domaine Active Directory 2003 vers 2008 se fait assez bien.

Tout d’abord, il faut préparer le domaine Windows 2003 à la migration.
Ensuite, on installe un serveur Windows 2008, configuré pour recevoir les données du domaine 2003.
On termine par la migration !

Avant d’effectuer la migration, il nous faut vérifier un certain nombre de points :

1 - Qui est le contrôleur de schéma du domaine Windows 2003 ? (utile si vous avez plusieurs serveurs dans le domaine)

  • Ouvrir le gestionnaire "Utilisateurs et ordinateurs AD"
  • Se positionner sur le domaine win.demo.fr
  • Click droit dessus -> "Maitre d’operation"
    NOTER le nom du serveur qui joue le rôle de RID, CDP et Infrastructure : SRV1-2K3

2 - Vérifier sur le serveur Controleur de domaine que le niveau fonctionnel est en mode natif et surtout pas mixte.

  • Ouvrir le gestionnaire "Utilisateurs et ordinateurs AD"
  • Se positionner sur win.demo.fr
  • Click droit dessus et choisir "Augmenter le niveau fonctionnel du domaine"
    Par exemple :
  • Si on constate que le niveau fonctionnel est "Windows 2000 natif"
  • On peut augmenter en niveau fonctionnel "Windows 2003" : ce n’est pas une obligation car n’etant pas en mode mixte, on peut laisser comme ça.
  • On peut choisir d’augmenter le niveau fonctionnel vers "Windows 2003".
  • La réplication se fait sur tout le domaine (concrètement sur tous les contrôleurs de domaine)

3 - Vérifier sur le serveur "Maitre de schema" que le niveau fonctionnel en mode natif et surtout pas mixte

  • Dans "domaines et approbations AD", vérifier que la forêt est dans le même mode natif que celui des domaines
  • Click droit sur win.demo.fr -> Propriétés :
    Par exemple :
    - niveau des domaines "Windows Serveur 2003"
    - niveau de la forêt "Windows 2000"
  • Dans ce cas il faut augmenter le niveau fonctionnel de la forêt vers Windows 2003 :
    - Click droit sur "Domaines et Approbations AD" -> Augmenter le niveau fonctionnel de la forêt
    => le niveau fonctionnel augmente en Win 2003 et la réplication se fait sur tous les controleurs de domaines

4 - Remarque : pour pouvoir ajouter dans une MMC le schéma AD, il faut dans une fenêtre de commande :

  • lancer la commande regsvr32.exe schmmgmt.dll

Une fois ces points vérifiés, on peut préparer le domaine à la migration.

1 - Comment preparer le domaine 2003 à la migration vers 2008

  • mettre le DVD de win serveur 2008 dans le lecteur du maitre de schema
  • Remarque : comme je ne pouvais pas lire les DVD sur les lecteurs (trop ancien), j’ai mis le DVD sur un autre poste et ai monté un lecteur réseau sur le serveur SRV1-2K3
  • Dans une fenêtre de commande DOS, exécuter la commande adprep /forestprep
    Si la commande adprep /forestprep ne s’exécute pas c’est que les replications n’ont pas été effectuées
    Dans Sites et domaines AD sur SERV1-2K3, on relance la replication sur les serveurs
  • La commande adprep /foresprep doit s’exécuter normalement.
  • Ensuite on exécute une suite de commande :
Extrait de l'exécution des commandes, depuis le DVD
****************************************************

Z:\sources\adprep>adprep /domainprep

Exécution de domainprep...

Adprep a correctement mis à jour les informations au niveau du domaine.

La nouvelle fonctionnalité de planification interdomaine pour la stratégie de
groupe, le mode Planification RSOP, nécessite les autorisations du système
de fichiers et des services de domaine Active Directory pour pouvoir être
mise à jour pour les objets de stratégie de groupe existants. Vous pouvez
activer cette fonctionnalité à tout moment en exécutant adprep.exe
/domainprep /gpprep sur le contrôleur de domaine Active Directory qui
tient le rôle de maître d'opérations d'infrastructure.
Cette opération provoquera une seule réplication de tous les objets de
stratégie de groupe se trouvant dans le dossier de stratégies du
volume système entre les contrôleurs de domaine Active Directory de ce
domaine.
Microsoft recommande la lecture de l'article de la Base de connaissances
Q324392, notamment si vous avez un grand nombre d'objets de stratégie de groupe.
************************************

Z :\sources\adprep>adprep /domainprep /gpprep

Exécution de domainprep...
Les informations au niveau du domaine ont déjà été mises à jour.
[Etat/Conséquence]
Adprep n'a pas tenté de réexécuter cette opération.
.......
Adprep a correctement mis à jour les informations relatives aux objets de stratégie de groupe.

************************************

Z :\sources\adprep>adprep /rodcprep

Adprep s'est connecté au serveur FSMO du domaine: SRV1-2K3.win.demo.fr.

==================================================

Adprep a trouvé la partition DC=ForestDnsZones,DC=win,DC=demo,DC=fr
et va mettre à jour les autorisations. Adprep s'est connecté un controleur de domaine réplica SRV1-2K3.win.demo.fr qui détient la partition
DC=ForestDnsZones,DC=win,DC=demo,DC=fr. L'opération effectuée sur la partition
DC=ForestDnsZones,DC=win,DC=demo,DC=fr a réussi. =================================================== ===================================================
Adprep a trouvé la partition DC=DomainDnsZones,DC=win,DC=demo,DC=fr
et va mettre à jour les autorisations. Adprep s'est connecté un controleur de domaine réplica SRV1-2K3.win.demo.fr qui détient la partition
DC=DomainDnsZones,DC=win,DC=demo,DC=fr. L'opération effectuée sur la partition
DC=DomainDnsZones,DC=win,DC=demo,DC=fr a réussi. =================================================== ===================================================
Adprep a trouvé la partition DC=win,DC=demo,DC=fr
et va mettre à jour les autorisations. Adprep connecté au FSMO de l'infrastructure: SRV1-2K3.win.demo.fr. L'opération effectuée sur la partition DC=win,DC=demo,DC=fr a réussi.
===================================================
Adprep s'est terminé sans erreurs. Toutes les partitions sont à jour. Pour plus d'informations, consultez ADPrep.log dans le répertoire
C:\WINDOWS\debug\adprep\logs\20090326101632. ************************************************

Sur le serveur Windows 2008, voici les actions à effectuer :

- Avant de transférer les rôles d’AD et DNS sur le serveur Windows 2008, j’ai préféré effectuer les mises à jour système.

  • les mises à jour système se font depuis Windows Update
  • redémarrage du serveur

- Ajouter le rôle Active Directory
Ceci revient à installer le serveur en Contrôleur de domaine

  • Exécuter la commande dcpromo
  • Dans la rubrique configuration de déploiement des services de domaine AD, choisir :
    • "Foret existante" et "ajouter un contrôleur de domaine à un domaine existant"
  • Indiquer le nom du domaine de la forêt dans lequel sera ajouté le nouveau contrôleur de domaine win.demo.fr
    Remarque : Comme la session ouverte était locale au serveur, j’ai dû dans la rubrique "Autres informations d’identification"
    indiquer un compte admin du domaine DEMO
  • Sélectionner le domaine pour ce contrôleur de domaine (win.demo.fr)
  • Sélectionner un site pour ce Contrôleur de domaine (Premier-Site-par-defaut)
  • Sélectionner les options supplémentaires pour ce DC : Serveur DNS et Cataloque global
  • Attribuer des adresses IP statiques à toutes les cartes réseau physiques du serveur, pour finir l’installation.
  • Mettre à jour la délégation DNS automatiquement
  • Répliquer les données sur le réseau à partir du DC existant
    Par exemple : SRV1-2K3
  • Stockages des bases de données
    Base de données de l'AD : C:\BD-ADirectory\NTDS
    Fichiers journaux de l'AD : E:\BD-ADirectory-jnl\NTDS : 
    choisir un volume separé pour de meilleures performances et récupérations
    
    SYSVOL : C:\BD-ADirectory\SYSVOL
  • Mettre un mot de passe pour le compte d’administration de restauration des services d’annuaire

Ensuite, il faut configurer ce serveur en tant que contrôleur de domaine Active Directory supplémentaire pour le domaine win.demo.fr.

**********

Site : Premier-Site-par-defaut

Options supplémentaires :
  Contrôleur de domaine en lecture seule : Non
  Catalogue global : Oui
  Serveur DNS : Oui

Mettre à jour la délégation DNS : Oui

Contrôleur de domaine source : SRV1-2K3.win.demo.fr

Dossier de la base de données : C:\BD-ADirectory\NTDS
Dossier des fichiers journaux : E:\BD-ADirectory-jnl\NTDS
Dossier Sysvol : C:\BD-ADirectory\SYSVOL

Le service Serveur DNS sera installé sur cet ordinateur.
Le service Serveur DNS sera configuré sur cet ordinateur.
Cet ordinateur sera configuré pour utiliser ce serveur DNS en tant que serveur DNS préféré.
*************

Pour finir l’installation de contrôleur de domaine, il faut le redémarrer.

Si tout s’est bien passé : l’AD doit être transféré et ainsi que le DNS.

Il nous reste à transférer les rôles su serveur 2003 vers le serveur 2008.

- Sur le serveur 2008 : transfert des rôles Maitre d’opération DC et Maitre de schema

  • Dans le Gestionnaire de serveur -> Rôles -> Services de domaines AD
    - Click droit sur win.demo.fr -> Maitre d’opérations
    changer de SRV1-2K3 à SRV-2K8 et ce, pour les 3 rôles : RID, CDP et infrastructure
    Remarque : Je n’arrivais pas à transférer le rôle d’infrastructure au serveur 2008 car il était Contrôleur de domaine avec catalogue global
    Pour enlever cette option : dans AD -> Domain Controllers -> sélectionner SRV-2K8 -> propriétés
    - Décocher dans onglet général -> bouton paramètres
    NTDS "catalogue global"
    - Ensuite dans Domaines et approbations AD -> click droit -> Maitre d’opération changer de SRV1-2K3 à SRV-2K8
  • Pour le Schéma de l’AD
    Click droit -> changer de controleur de domaine : choisir SRV-2K8
    Ensuite, click droit -> maitre d’operation -> transferer le role de maitre de schema de SRV1-2K3 à SRV-2K8

Et voilà ! La migration du domaine est terminée !