1. Introduction▲
Ce tutoriel va vous expliquer comment migrer un serveur et un Active Directory de Windows 2003 à Windows 2012. Je vais détailler le processus utilisé à cette fin.
2. Rappel sur Active Directory▲
Active Directory est le service d'annuaire de Microsoft, qui permet la gestion centralisée des actifs d'un réseau informatique. Les actifs, désignés, par objet, sont tous les éléments informatiques présents dans le réseau :
- comptes utilisateur ;
- postes de travail ;
- serveurs ;
- imprimantes ;
- dossiers partagés ;
- etc.
Active Directory gère les relations entre ces différents objets avec des stratégies de domaine, et des règles de sécurité, pour définir qui a droit à quoi.
Cette gestion centralisée s'appuie sur les protocoles :
- LDAP (Lightweight Directory Access Protocol) : pour les services d'annuaires ;
- Kerberos pour l'authentification ;
- DNS pour la résolution des noms.
Un serveur aura alors un FQDN (nom pleinement qualifié) de type serveur.nom_domaine.local si celui-ci n'est pas connecté à Internet, ou un nom tel que serveur.developpez.com si celui-ci est visible sur Internet.
Un Active Directory est subdivisé en zones sur le même principe que le DNS. La zone de plus haut niveau (équivalente au TLD) est la forêt. Une forêt va alors contenir un ou plusieurs domaines Active Directory. Un Active Directory va contenir au minimum une forêt et un domaine :
Dans le cas d'un serveur Exchange par exemple, celui-ci viendra intégrer des informations complémentaires dans le schéma LDAP de l'Active Directory.
La migration d'un AD (Active Directory) hébergeant un serveur Exchange dépasse le cadre de ce tutoriel. Même si celui-ci reste valable théoriquement pour la partie 2003 vers 2012, je déconseille son utilisation dans ce cas de figure.
Le terme AD sera utilisé dans la suite de ce tutoriel pour faire référence à Active Directory.
2-1. Rôles FSMO▲
Les rôles FSMO gèrent l'Active Directory. Ils sont au nombre de cinq :
- le maître de schéma : contrôle les modifications effectuées sur le schéma AD ;
- le maître RID (Relative Identifier) : fournit les identifiants uniques aux contrôleurs de domaine ;
- le maître d'attribution de noms de domaine : contrôle l'ajout et la suppression des noms de domaine dans la forêt pour garantir qu'ils restent uniques ;
- le maître d'infrastructure :synchronise les changements entre domaines ;
- l'émulateur PDC : émule un contrôleur NT4 pour les postes clients anciens le nécessitant, il fournit également l'horloge de référence du domaine.
Il n'y a qu'un seul maître de schéma et d'attributions de domaine par forêt. Un seul maître RID, émulateur PDC, et un seul maître d'infrastructure par domaine.
Ces rôles peuvent être répartis sur plusieurs serveurs avec les règles énoncées ci-dessus.
3. Mon contexte de départ▲
Mon contexte de départ sera un serveur Windows 2003 (32 bits) avec les rôles Active Directory, partage de fichiers, et DHCP.
J'ai créé deux utilisateurs, deux partages et un login script (créant un lecteur réseau) pour remplir à minima l'Active Directory.
Je n'aurais qu'un seul contrôleur de domaine dans celui-ci.
Mon serveur s'appellera SERVEUR (FQDN : serveur.nom_domaine.local).
4. Opérations à effectuer▲
Les opérations à effectuer pour pouvoir migrer un Active Directory de Windows Server 2003 vers Windows Server 2012 sont les suivantes :
- intégration du nouveau serveur dans le domaine ;
- promotion du nouveau serveur en tant que contrôleur de domaine ;
- transfert des données et des services ;
- transfert des rôles FSMORôles FSMO ;
- rétrogradation de l'ancien serveur en serveur autonome ;
- sortie de l'ancien serveur du domaine ;
- renommage du nouveau serveur pour reprendre le nom du serveur d'origine (si vous le souhaitez).
5. Augmentation des niveaux fonctionnels du domaine et de la forêt▲
Pour que l'opération puisse être effectuée, les niveaux fonctionnels du domaine et de la forêt doivent être mis à Windows 2003.
Si votre niveau fonctionnel est déjà Windows 2003, vous pouvez passer directement à la partie suivante.
Pour cela, il faut utiliser Outils d'administration → Domaines et approbation Active Directory et sélectionner :
Augmenter le niveau fonctionnel du domaine :
Puis pour la forêt : bouton droit sur domaine : « Augmenter niveau fonctionnel de la forêt » :
6. Préparation du serveur Windows 2012▲
Une fois le serveur 2012 installé, je l'intègre au domaine en lui donnant le nom de srvnew et en lui fixant en DNS primaire, le serveur d'origine.
7. Ajout du rôle de contrôleur de domaine▲
Je configure ensuite le serveur Windows 2012 en tant que contrôleur de domaine en installant le rôle Active Directory Domain Services (AD-DS), et en renseignant les paramètres de domaine. Le serveur redémarrera après cette étape. Je me logue avec le compte administrateur du domaine. (DOMAINE\Administrateur.)
Il n'y a plus de commande dcpromo sur Windows 2012 ; l'installation des rôles se fera depuis le gestionnaire de serveurs ; ci-dessous les principales étapes :
Une fois le rôle installé, il reste à intégrer le serveur dans l'Active Directory, une notification dans le gestionnaire de serveurs indique que l'opération n'est pas terminée :
Une fois, le rôle installé, il faut le configurer en suivant le point d'exclamation :
Les questions posées seront les mêmes qu'avec dcpromo :
Le système redémarre une fois son opération effectuée :
8. Copie des données vers le nouveau serveur▲
Je copie les dossiers partagés vers le nouveau serveur via robocopy (ou autre solution équivalente si vous préférez) de façon à garder les droits intacts. Je pourrais ensuite tranquillement rétrograder le serveur Windows 2003. Une fois les données déplacées, je modifie les login scripts de façon à pointer sur le nouveau serveur. Le nouveau serveur hébergeant les données ne peut pas encore récupérer le nom d'origine (SERVEUR dans mon cas).
Une fois les copies effectuées, il faudra modifier les login scripts de façon à les faire pointer sur le nouveau serveur.
9. Opérations annexes▲
Ce sera aussi le moment de déplacer les autres services tels que les files d'impression, et surtout dans notre cas créer un service DHCP sur le nouveau serveur puis supprimer le DHCP de l'ancien serveur.
10. Migration des rôles FSMO▲
Les rôles FSMORôles FSMO seront transférés sur le nouveau serveur Windows 2012.
Pour lister les rôles FSMO et leur emplacement pour un Active Directory :
netdom query fsmo
Cette commande va afficher pour chaque rôle, le serveur sur lequel il se trouve (dans mon cas, le serveur 2003 pour tous les rôles).
Pour changer ceux-ci, on ouvre dans outils d'administration le gestionnaire des utilisateurs Active Directory, nous aurons accès aux rôles RID, PDC, et Infrastructures. Pour les déplacer sur le nouveau serveur, il suffira dans chaque onglet de cliquer « changer » :
Il nous restera à déplacer les rôles de maître d'attribution des noms de domaine, et le maître de schéma.
Pour changer le serveur gérant le rôle de maître d'attribution des noms de domaines , on applique la même méthode depuis le gestionnaire des relations d'approbation Active Directory en cliquant non pas ce coup-ci sur le nom de domaine, mais sur la ligne « Relations approbations Active Directory » :
Il me reste encore à déplacer le rôle de contrôleur de schéma.
Pour cela, je dois passer par la console mmc. Avant cela, il me faut passer par le composant enfichable mmc « Maître de schéma Active Directory ». Le composant n'est pas enregistré par défaut, je lance la commande suivante dans un terminal :
regsvr32
schmmgmt.dll
Je lance ensuite la console mmc :
mmc
J'ajoute le composant dans la console via le menu fichier->ajouter/retirer composant enfichable :
Une fois le module lancé, Il y a une autre étape pour pouvoir effectuer la modification, il faut se connecter sur le serveur ayant le schéma. Cela se fera en cliquant bouton droit sur « schéma Active Directory », puis « changer le contrôleur Active Directory » et je sélectionne mon serveur 2012 :
Je peux ensuite faire bouton droit->Maître d'opérations et changer le maître de schéma sur le même modèle que les autres rôles :
Il est également possible de transférer les rôles FSMO en ligne de commande avec ntdsutil ou avec PowerShell.
11. Rétrogradation du serveur Windows 2003 en serveur autonome▲
Je rétrograde ensuite l'AD Windows 2003 via dcpromo. après avoir mis en adresse DNS le nouveau serveur 2012 :
Il ne faut pas cocher la case « Ce serveur est le dernier du domaine ».
Le serveur va déplacer les derniers objets de l'AD sur le serveur 2012, le déréférencer, puis supprimer les objets en local avant de demander à redémarrer.
12. Sortie du serveur Windows 2003 du domaine▲
Si vous avez fini de déplacer les données, et qu'il n'y a plus de service sur l'ancien serveur, vous pouvez maintenant le sortir du domaine avant son arrêt définitif. Il suffit pour cela d'aller dans les propriétés du poste de travail, onglet nom d'ordinateur, et de le passer en Workgroup (j'en profite aussi pour le renommer OLDSRV).
13. Changement du nom du serveur (option)▲
Pour changer un nom de contrôleur de domaine, il faut d'abord lui ajouter son nouveau nom, le fixer comme nom principal, puis après reboot, retirer l'ancien nom.
Ajout d'un nouveau nom :
netdom
computername Nom_Actuel /add:Nouveau_nom
Il faut entrer le FQDN du serveur, dans mon cas : SERVEUR.[NOM DOMAINE].local.
Lors de l'appel de la commande, j'ai eu l'erreur suivante :
Unable to add SERVEUR.local … cannot create a file when that file exists
J'ai réglé le problème en supprimant l'entrée faisant référence à SERVEUR dans les DNS et en supprimant l'entrée dans utilisateurs Active Directory :
Passage en nom principal :
netdom
computername Nom_Actuel /makeprimary:Nouveau_nom
Après redémarrage, suppression de l'ancien nom :
netdom
computername Nouveau_nom /remove:ancien_nom
14. Conclusion▲
J'ai réussi cette migration avec configuration simple, dans le cas d'une configuration plus complexe, il sera essentiel de faire des tests avant bascule.
14-1. Remerciements▲
Je remercie Siguillaume pour sa relecture technique.
Je remercie ClaudeLELOUP pour sa relecture orthographique.