Migration vers Active Directory 2008 R2 – 1e partie

Windows Server 2008 R2 a apporté son lot de nouveautés, dont un certain nombre concernent l’Active Directory et les GPOs.

Pour les irrésistibles Gaulois qui ne profitent pas encore de ces améliorations, cet article décrit simplement les étapes nécessaires à la migration d’une plateforme Active Directory vers la dernière version : 2008 R2.

L’architecture présentée est une infrastructure de test et ne peut donc pas permettre de reproduire les éventuels problèmes présents sur l’infrastructure finale. Cependant, cela permet de repérer les grandes étapes de cette migration sur une infrastructure basique.

Dans cette première partie, nous verrons comment préparer et installer les contrôleurs de domaine.

 

a)   Architecture source

L’architecture de départ comporte une infrastructure répartie sur 3 sites : 1 siège et 2 sites distants. Chaque site dispose d’un contrôle Active Directory avec une réplication inter-sites. Le siège héberge les différents services, symbolisés par le serveur Exchange.

Chaque contrôleur de domaine fonctionne sous Windows Server 2003 R2.

La configuration des sites Active Directory est la suivante :

Des utilisateurs, des groupes et différents éléments ont été créés pour simuler de l’activité et déceler d’éventuelles difficultés de migration.

 

b)   Architecture cible

La topologie cible reste la même :

 

c)   Procédure de migration

La migration sera faite en mode « face à face ». C’est-à-dire que la nouvelle architecture sera installée en parallèle à la première, puis les 2 seront mises en production simultanément. Les données seront ensuite répliquées de l’une à l’autre, et l’ancienne plate-forme sera dé-commissionnée.

C’est cette méthode qui permet de réduire au maximum le risque de downtime et de perte de données.

 

Voici sommairement le déroulement de la migration :

  • Audit de la plate-forme actuelle.
    Cette étape permet de vérifier que la plate-forme d’origine est conforme aux spécifications et que des problèmes n’empêcheront pas la migration de se produire correctement.
  • Installation d’un contrôleur de domaine Windows 2008 R2 sur chaque site.
  • Configuration de la réplication inter-sites.
    A ce stade, chaque contrôleur de domaine 2008 répondra aux requêtes de la même manière que les anciens contrôleurs 2003.
  • Migration des rôles FSMO.
    Cette étape indispensable permet de transférer les rôles uniques du domaine à un des nouveaux serveurs. Si cette étape n’est pas réalisée, le domaine ne fonctionnera plus quand les contrôleurs de domaine Windows 2003 seront retirés.
  • Migration des clients et services (facultatifs) :
    Cette étape est nécessaire si les clients possèdent certains éléments, tels qu’un serveur LDAP ou DNS à interroger, inscrits de manière statique dans leur configuration.
  • Retrait des contrôleurs de domaine Windows 2003 via dcpromo.
  • Augmentation des niveaux fonctionnels.
  • Audit de la plate-forme de fin de projet.

 

Installation des contrôleurs

a)   Audit de la plate-forme d’origine

Cette étape a pour but de déceler d’éventuels problèmes de configuration, un problème à priori bénin pouvant se révéler dramatique lors de la migration.

Pour cela, il faut installer les Windows Support Tools sur chaque serveur, téléchargeables sur le site de Microsoft. Ce pack contient de nombreux outils de diagnostics.

 

Il faut notamment être attentif (sur chaque serveur contrôleur de domaine) à :

  • La topologie générale, en vérifiant que le domaine et l’architecture correspondent bien à ce qui est connu. Vérifier notamment qu’il n’y a pas de relation d’approbations avec d’autres domaines (ce qui pourrait compromettre la capacité à passer la forêt à un niveau fonctionnel supérieur).
  • La réplication inter-sites – via l’outil replmon.exe :

    Il faut rechercher des problèmes de réplications sur l’ensemble des sites (cela pourrait conduire à des problèmes lors de l’ajout des nouveaux contrôleurs de domaine.)
    C’est également le bon moment de vérifier et éventuellement de repenser la topologie de réplication, peut être inadaptée aujourd’hui, et d’envisager des technologies telles que les RODC (Read Only Domain Controler) fournis par 2008 Server R2 pour les sites distants.
  • Les journaux d’événements – systèmes, services d’annuaire et DNS :
    Remonter à une journée minimum et consulter toutes les erreurs critiques et avertissement. Des problèmes peuvent apparaitre au niveau de la réplication, des ouvertures de sessions, ou encore de problèmes systèmes plus classiques (disque plein, temps de latences élevés…).
  • La configuration réseau et du domaine – via netdiag.exe et dcdiag.exe. Ces deux outils peuvent être très efficaces pour déceler des problèmes de configuration.
    Remarque : Dans le cas où tous les clients utilisent DNS, on peut ignorer les erreurs WINS.

 

Une fois que la configuration d’origine est validée et quelle ne présente plus aucun problème, la migration peut commencer, avec l’installation des nouveaux serveurs.

 

b)   Installation des contrôleurs de domaine Windows 2008 R2

Sur chaque site, nous allons maintenant préparer un nouveau serveur et installer Windows 2008 R2. Chaque contrôleur de domaine sera également membre du système DNS (avec les informations stockées dans l’annuaire et mises à jour sécurisées) et éventuellement serveur WINS si ce système est encore utilisé.

Remarque : Le contrôleur de domaine présent au siège sera sûrement plus sollicité que les autres de par la présence du serveur Exchange et du fait qu’il hébergera l’ensemble des rôles FSMO uniques. Il faut donc prévoir un sizing plus important que pour les contrôleurs présents sur les sites distants pour ce serveur, ou le doubler avec un deuxième contrôleur de domaine


Chaque serveur devra posséder une adresse IP statique. Le premier serveur DNS à interroger dans la configuration IP du nouveau serveur doit être l’ancien contrôleur de domaine Windows 2003 présent sur le même site. Avant de poursuivre l’installation, vérifier que chaque nouveau serveur arrive à résoudre le nom DNS du domaine.

 

Pour chaque serveur, créer une nouvelle partition de quelques Go (5 Go par exemple) afin de stocker les informations de l’annuaire (Sysvol et NTDS), de DNS (normalement stocké dans l’AD) et de WINS. Il faudra veiller à bien changer l’emplacement lors de l’installation de ces composants. Ce changement permet de faciliter la sauvegarde et les futures migrations et améliore les performances.

 

c)   Préparation du schéma

Avant d’installer Active Directory sur les nouveaux serveurs, il faut préparer la forêt et le domaine, en modifiant le schéma afin d’y inclure les objets nécessaire au niveau fonctionnel 2008. Cette modification va permettre de créer les nouveaux objets dans le schéma (on pourra voir que l’outil importe des fichiers LDIF)  et d’importer les fichiers de stratégies de groupe pour 2008 R2.

 

Pour cela, lancer la commande adprep, présente sur le CD de 2008 Server R2, dans support\adprep. Cette commande doit être lancée sur le contrôleur de domaine 2003 qui héberge le rôle Instrastructure Master.

Pour connaitre sur quel serveur fonctionne ce rôle FSMO, utiliser la console Active Directory Users and Computers et faire un clic-droit sur le domaine puis choisir l’option Infrastructure Master. Le serveur présent dans le champ du haut de l’onglet Infrastructure et le serveur sur lequel il faut lancer la commande.

 

Entrer la commande adprep /forestprep pour préparer la forêt (adprep32 sur un Windows 32 bits)

Préparation de la forêt :

Y:\support\adprep>adprep32.exe /forestprep

ADPREP WARNING:
Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.
[User Action]If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit. >C

Opened Connection to AD1
SSPI Bind succeeded
Current Schema Version   is 31
Upgrading schema to   version 47
Connecting to   « AD1 »
Logging in as current   user using SSPI
Importing directory from   file « C:\WINDOWS\system32\sch32.ldf »
Loading   entries……………….
18 entries modified   successfully.
The command has   completed successfully
Connecting to   « AD1 »
Logging in as current   user using SSPI
Importing directory from   file « C:\WINDOWS\system32\sch33.ldf »
Loading   entries………………
17 entries modified   successfully.
(…)

adprep successfully updated the forest-wide information.

Préparation du domaine et des permissions des GPOs :

Y:\support\adprep>adprep32.exe /domainprep /gpprep

Running domainprep …
Adprep successfully updated the domain-wide information.
Adprep successfully updated the Group Policy Object (GPO) information.

Remarque : Si un contrôleur en lecture seule (RODC) doit être installé, il faut également lancer la commande adprep /rodcprep.

 

 

d)   Installation des contrôleurs 2008 R2

Lancer ensuite la commande dcpromo sur chaque nouveau serveur 2008 R2:

Lors du lancement de la commande, les services Active Directory sont installés.

 

Choisissez le mode d’installation avancé et cliquez sur Next. Choisir ensuite Existing forest, Add a DC to an existing domain :

 

Choisir le domaine (utiliser le FQDN complet) puis les droits d’accès d’un compte Administrateur du domaine. Valider le domaine choisi.
L’assistant vérifie l’éligibilité de la forêt puis du domaine :

 

Passez éventuellement l’avertissement concernant les contrôleurs RODC.
Si des sites sont déjà présents dans l’AD, choisir le site correspondant, ou laisser l’assistant choisir en fonction du subnet :

 

Laissez cocher les options DNS server et Global Catalog :
Installer ces composants sur un site distant augmentera le trafic de réplication mais réduira la latence lors des interrogations de l’AD :

 

Passer l’avertissement concernant les délégations DNS en cliquant sur Yes :
Ces autorisations seront éventuellement définies manuellement par la suite. Si la zone DNS est intégrée dans l’AD, les autorisations seront adaptées lors de la première réplication.

 

Laisser l’option de réplication par défaut. Laissez également l’assistant choisir le contrôleur de domaine source de la première réplication, ou choisir le contrôleur de domaine présent sur le même site :

 

Changer les emplacements d’installation et spécifier le lecteur précédemment créé :

 

Valider la configuration et terminez l’assistant.

L’assistant de dcpromo va installer le contrôleur de domaine puis redémarrer.
Une fois que le serveur a redémarré, vérifier la configuration du serveur DNS qui vient d’être installé (en ouvrant la console DNS server en local).
Les zones intégrées dans l’AD doivent remonter sur ce serveur. Si ce n’est pas le cas, attendre ou forcer une réplication.

Une fois que la zone est présente, ajouter éventuellement le nouveau serveur à la liste des Name Servers de la zone (clic-droit properties sur la zone, puis onglet Name servers.). Procéder de même pour la(es) zone(s) reverse(s).

 

Une fois que la configuration DNS est terminée, il faut configurer le client DNS de chaque serveur pour qu’il s’interroge lui-même (127.0.0.1). Les autres serveurs à interroger doivent être ceux des autres sites – et temporairement les anciens serveurs du même site.

Vérifiez ensuite que le nouveau serveur apparait bien dans la liste des contrôleurs de domaines via la console Active Directory Users and Computers.

 

e)   Configuration de la réplication

Afin que la réplication puisse être effectuée de manière efficace, il faut représenter chaque serveur sur un site différent, chaque site pouvant disposer d’une configuration propre. Cela permet, par exemple, de configurer une réplication nocturne sur un site relié via une liaison très chargée le jour.
Pour cela, utiliser la console Active Directory Sites and Services. Répartir chaque serveur sur le bon site, et configurer les subnets correspondants. Dans l’idéal, chaque subnet doit correspondre à un site.

 

Avant de désinstaller les serveurs, il vaut mieux créer une règle de synchronisation entre les anciens serveurs et les nouveaux (par paire) de manière à minimiser l’impact lorsque les anciens serveurs seront supprimés.
Remarque : L’ajout de nombreux contrôleurs de domaine dans un espace de temps réduit peut conduire à des problèmes si la réplication est créée automatiquement. Le mieux est de créer des règles manuelles le temps de la migration.

 

Vérifier sur chaque serveur que la réplication est bien effective avec l’outil replmon.exe.
Une fois que chaque serveur rattaché au domaine et que la réplication est effective, vérifier que des utilisateurs ouvrent bien des sessions via celui-ci (via l’event log de sécurité, après quelques minutes).

 


Dans la 2e partie de cet article, nous verrons comment migrer les rôles Active Directory et retirer les anciens contrôleurs de domaine.

par .

7 Commentaires

  1. ITGuy dit :

    Bonjour,

    Votre article est complet et très bien détaillé.

    Merci infiniment d’avoir partagé cette procédure qui va sûrement beaucoup m’aider dans un futur projet de migration.

    En fait, j’aurais une question à vous poser. Je vais participer à un grand projet de migration : AD Monoforet, monodomaine : 20 sites disants et 3000 PC.

    Il s’agit d’une migration de Win2003/R2 vers 2008 R2. Nous aimerons migrer quelques succursales vers du RODC. D’après votre procédure, au moment de la première migration (supposons AD1A : donc premier serveur durant la migration), l’option RODC dans l’assistant DCPROMO, nous propose pas de cocher le RODC, est ce que c’est parce que nous avons pas lancé rodcprep ou c’est parcequ’il s’agissait du premier serveur sous WIN2008 ou encore qu’il fallait maître le niveau fonctionnel de la forêt sous 2008 ?

    Si vous avez des retours d’expériences, des conseils à me donner je suis preneur, je commence le projet le mois prochain et je suis en train d’établir une maquette et voir comment pourrons-nous aborder ce projet de migration.

    Merci encore une fois pour cet article et de vous aide.

    Cordialement.

    • David dit :

      Hello,
      Comme tu l’as deviné, dans la capture ci-dessus, DCPromo ne propose pas d’installer le serveur en mode RODC, car la commande rodcprep n’a pas été exécutée auparavant.

      Il y a d’autres pré-requis pour installer un RODC :
      – Il faut que ta forêt soit dans un niveau fonctionner 2003 ou supérieur. Si tu migre depuis un AD 2003 R2, cela ne devrait pas poser de problème. Pour rappel, le niveau fonctionnel maximum est déterminé par la version des OS de tes contrôleurs de domaine.
      -Il faut que tu ais au moins un contrôleur de domaine 2008 R2 accessible en écriture.

      En gros, ta procédure de migration pourrait être la suivante :
      – Audit de l’existant (vérification de la structure de l’AD, du fonctionnement du DNS, de la réplication, relecture des GPOs…). Une phase indispensable pour maitriser sa migration !
      – Préparation de l’AD et du schéma, avec les commandes ADPrep, exécutées sur ton contrôleur Infrastructure Master.
      – Installation de 2 contrôleurs de domaine 2008R2 au siège.
      – Migration des rôles FSMO et du DNS
      – Installation des contrôleurs de domaine secondaires et des RODC.

      N’hésite-pas à remettre en question la structure existante (structure DNS, réplication…) avant le début du projet.
      Fais attention à bien déclarer tous tes subnets et tes sites Active Directory pour que les clients interrogent le contrôleur le plus proche !
      Procède étape par étape, en validant le fonctionnement avant de passer à l’étape suivante.

      Pour finir, voici quelques liens utiles sur ce sujet :
      – Scénarios d’installation des services de domaine Active Directory (AD DS) : http://technet.microsoft.com/fr-fr/library/cc771433%28v=ws.10%29.aspx
      – Prerequisites for Deploying an RODC : http://technet.microsoft.com/en-us/library/cc731243%28v=ws.10%29.aspx
      – Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration : http://www.microsoft.com/fr-fr/showcase/details.aspx?uuid=b576a8b1-4b2d-49de-9b57-b8aacc86863f

      En espérant avoir répondu à tes questions,
      Bon courage !
      David.

  2. karim dit :

    Bonjour David,

    Merci infiniment pour votre retour rapide, vos conseils et recommandations.

    On est censé commencer le projet les semaines prochaines. Dès que je serai sur terrain j’essayerai d’étudier l’infra actuelle et collecter le maximum d’infos et je me permettrai de vous demander vos conseils et recommandations en re postant une question sur votre blog que je trouve très intéressant.

    Bonne continutation et merci encore une fois.

    Cordialement,

  3. ITGuy dit :

    Bonjour David,

    J’espère que tu vas bien.
    Je me permets de revenir vers vous parce que le projet plutôt que prévu.

    Je commencerai l’audit le l’infra avec l »équipe la semaine prochaine et j’aurais besoin de ton aide et tes recommandations ..Enfin si c’est pas trop.

    Quels outils /Softwares /Technique me conseilleras-tu pour bien audit l’infra AD actuelle ?

    Durant mes interventions d’habitude j’utilise les outils et soft suivants :

    Microsoft Active Directory Topology Diagrammer
    Microsoft IT Environment Health ScanWizar
    Risk and Health Assessment Program for Active Directory (ADRAP)
    et Aussi BPA for AD.

    Est-ce que cela est suffisant pour auditer une infra monoforet contituée de presque 20 sites distants ? auras-tu des bests practices, technique et recommandations à suivre pour bien étudier l’infrastructure actuelle et l’auditer ?

    Merci beaucoup par avance David.
    Bien à toi,
    Karim.

    • David dit :

      Hello !

      L’outil Microsoft ADTD est idéal pour faire le tour d’une infrastructure Active Directory rapidement. Il te permettra d’obtenir des informations sur la structure de l’AD, la réplication, le réseau…

      Je n’ai pas trop de conseils concernant les audits Active Directory (d’autant que ce n’est pas trop mon domaine d’origine…), mais essaye de raisonner en prenant en compte l’ensemble des couches (réseau, infrastructure, types de clients). Il faut par exemple également relever les bandes-passantes disponibles entre chaque site et le type de maillage pour pouvoir concevoir ta topologie de réplication.

      Chaque contexte client étant unique, il est difficile de pointer des recommandations particulières. Les migrations Active Directory peuvent être difficiles si les contrôleurs Active Directory hébergent d’autres rôles, ou que l’infrastructure DNS n’est pas claire (quels serveurs DNS sont interrogés par les serveurs ou les clients ? Comment les redirections sont effectuées ?…). Ce sont donc des points à anticiper.

      Pour concevoir ton architecture cible, je n’aurait qu’un seul conseil : KISS ! : Keep It Simple (Stupid) !. Plus ton infrastructure sera simple, plus elle sera facile à gérer et à faire évoluer. Cela est valable pour la réplication, mais également pour ton organisation DNS. Essaye donc d’uniformiser au maximum ton infrastructure AD, sans pour autant sacrifier l’aspect haute-disponibilité.

      Tout dépend également du type de refonte : S’il s’agit juste de mettre à jour des contrôleurs de domaine, tu risque de n’être confronté qu’à des contraintes techniques. Par contre, si vous envisagez une refonte de l’organisation de votre AD, il est important de prendre en compte les demandes business et politiques de la société, en se projetant sur du long terme (fusion / acquisitions / marque blanche…).

      Bon courage !
      David.

  4. Fulgence dit :

    Je trouve votre tutoriel très pertinent. Moi, j’ai réussi à manipuler Active Directory 2008 R2 grâce à des vidéos sur http://www.alphorm.com/tutoriel/formation-en-ligne-active-directory-2008-r2-70-640. C’était très facile à assimiler.

Laisser un commentaire

*