Introduction

Windows Server 2008 apporte de nombreuses fonctionnalités au rôle Active Directory par rapport aux versions précédentes de Windows Server notamment au niveau de la sécurité avec les contrôleurs de domaine en lecture seule dit RODC et les stratégies de mots de passe granulaires.

Active Directory depuis Windows Server 2008 fonctionne en tant que service et permet ainsi de ne plus avoir à redémarrer le serveur en mode restauration des services d’annuaire pour pouvoir effectuer les opérations de maintenance.

Active Directory 2008 permet aussi d’utiliser DFS-R pour répliquer SYSVOL qui permet d’optimiser la réplication entre les contrôleurs de domaine grâce à l’écriture différentielle. (RDC)

On retrouve ces améliorations dans Windows Server 2008 R2 ainsi que de nouvelles fonctionnalités notamment en termes d’outils d’administration. Ces nouveautés sont :

– Cmdlets Powershell pour Active Directory

– Console d’administration basée sur ces Cmdlets Powershell : Active Directory Administrative Center

– Best Practices Analyzer pour Active Directory et DNS

– La corbeille Active Directory

– Les comptes de services managés

– Jonction de domaine hors ligne

Cependant la migration d’Active Directory vers Windows Server 2008 R2 ne se fait pas sans contrainte. En effet, Windows Server 2008 R2 n’existe qu’en version 64 Bits. Il n’est donc pas possible d’effectuer de migration « sur place » des contrôleurs de domaine 32 Bits.

Mise à jour du schéma

La première étape à réaliser avant de pouvoir commencer à déployer des contrôleurs de domaine sous Windows Server 2008 R2 est la mise à jour du schéma.

Versions du schéma

Les différentes versions du schéma sont les suivantes :

Version du Schéma

Contrôleurs Active Directory

13

Windows 2000 Server

30

Windows Server 2003

31

Windows Server 2003 R2

44

Windows Server 2008

47

Windows Server 2008 R2

Il est possible de voir la version actuelle du schéma de deux façons différentes. La première est de regarder dans la base de registre d’un contrôleur de domaine la valeur de la clé Schema Version à l’emplacement HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters.

La deuxième est d’utiliser l’utilitaire ADSI Edit et de regarder la valeur de l’attribut objectVersion dans les propriétés de la partition de schéma.

Mise à jour du schéma

Pour mettre à jour le schéma, il faut utiliser l’utilitaire adprep situé dans le répertoire support\adprep du DVD de Windows Server 2008 R2.

L’utilitaire existe en deux versions :

– Adprep.exe pour les systèmes 64 bits

– Adprep32.exe pour les systèmes 32 bits

La mise à jour du schéma consiste à ajouter les nouvelles classes et attributs nécessaires au fonctionnement d’Active Directory sur Windows Server 2008 R2 dans la partition de schéma. Cette étape se réalise sur le contrôleur de domaine possédant le rôle FMSO Maitre de schéma.

Avant de mettre à jour le schéma, on va désactiver la réplication sortante du contrôleur à l’aide de la commande suivante :

repadmin /options +DISABLE_INBOUND_REPL

On met ensuite à jour le schéma à l’aide de la commande suivante :

Adrep32 /forestprep

Une fois la mise à jour terminé, on peut réactiver la réplication sortante du contrôleur afin de répliquer les modifications du schéma sur tous les contrôleurs de la forêt Active Directory.

repadmin /options -DISABLE_INBOUND_REPL

Vous pouvez vérifier le succès de la mise à jour du schéma en vérifiant la version du schéma à l’aide des techniques précédemment énoncées.

Aperçu du début de la préparation du schéma

Préparation du domaine

Une fois la mise à jour du schéma réalisée, il faut préparer le domaine à recevoir des contrôleurs de domaine sous Windows Server 2008 R2. Cette étape se réalise sur le contrôleur de domaine possédant le rôle FMSO Maitre d’infrastructure.

Il faut utiliser la commande suivante :

Adrep32 /domainprep

Aperçu de la préparation du domaine

Installation d’un contrôleur de domaine sous Windows Server 2008 R2

Nous allons aborder la suite de cet article par l’exemple avec la migration d’une forêt Active Directory monodomaine fonctionnant avec un contrôleur sous Windows Server 2003 R2 que nous allons migrer vers Windows Server 2008 R2.

Le contrôleur de domaine sous Windows Server 2003 sera nommé NPR-SRV-AD01 et celui sous Windows Server 2008 R2 NPR-SRV-AD02. Le domaine quant à lui s’appellera npr.local.

Comme dit précédemment, la migration vers Windows Server 2008 R2 ne peut se réaliser sur la même machine lorsque les contrôleurs de domaine sous Windows Server 2003 R2 sont en 32 Bits. Nous allons donc installer un deuxième contrôleur de domaine sur un nouveau serveur avec Windows Server 2008 R2, puis basculer tous les rôles AD et enfin supprimer le contrôleur de domaine Windows Server 2003 R2.

Avant de promouvoir le serveur Windows Server 2008 R2 en tant que contrôleur de domaine, il faut commencer par installer le rôle « Services de domaine Active Directory ».

Nous allons réaliser cette étape en powershell.

Pour cela, il faut lancer Windows Powershell et exécuter les commandes ci-dessous :

Import-Module ServerManager

Add-WindowsFeature -Name AD-Domain-Services

On remarque que le Framework .NET 3.5.1 a été automatiquement installé.

Nous allons ensuite exécuter l’utilitaire dcpromo afin de lancer « l’assistant Installation des services de domaine Active Directory » pour promouvoir le serveur en contrôleur de domaine.

=> Cliquer sur Suivant

=> Cliquer sur Suivant

=> On choisit ensuite Forêt existante, Ajouter un contrôleur de domaine à un domaine existant

=> Cliquer sur Suivant

=> Vérifier que le nom du domaine renseigné est le bon, dans notre cas npr.local

=> Cliquer sur Suivant

=> Cliquer sur Suivant pour confirmer le domaine

Comme la forêt Active Directory n’a pas été préparée pour installer des contrôleurs de domaine en lecture seule, ce message d’alerte s’affiche.

(Comme indiqué dans le popup, la commande pour préparer le domaine à recevoir des contrôleurs de domaine en lecture seule (RODC) est adrep /rodcprep)

=> Cliquer sur Oui

=> Il faut ensuite choisir le site Active Directory dans lequel placer le nouveau contrôleur de domaine

=> Puis cliquer sur Suivant

=> Vérifier que les rôles Serveur DNS et Catalogue global sont sélectionnés

=> Puis cliquer sur Suivant

=> Il faut ensuite spécifier les emplacements pour la base de données, les fichiers de logs de base de données et le répertoire SYSVOL

=> Puis cliquer sur Suivant

=> Saisir le mot de passe administrateur de restauration des services d’annuaire. Ce mot de passe est local au contrôleur de domaine pour la restauration et la maintenance d’Active Directory.

=> Vérifier le résumé de la configuration à installer

=> Puis cliquer sur Suivant pour lancer la promotion du serveur en tant que contrôleur de domaine

=> L’installation d’Active Directory est en cours…

=> Cliquer sur Terminer

=> L’installation est maintenant terminée. Cliquer sur Redémarrer maintenant pour finaliser la promotion du contrôleur de domaine.

Une fois le redémarrage effectué, on va ensuite s’assurer que le contrôleur de domaine fonctionne correctement.

– Vérifier qu’il n’y ait pas d’erreurs dans les journaux d’événements Serveur DNS, Service de réplication de fichier, Service d’annuaire et Services Web Active Directory de l’observateur d’évènements

– Vérifier l’existence des répertoires C:\Windows\SYSVOL\sysvol\npr.local\scriptset C:\Windows\SYSVOL\sysvol\npr.local\Policies (où npr.local correspond au nom de votre domaine Active Directory)

– Vérifier que les partages SYSVOL et NETLOGON ont été créés à l’aide de la commande net share

– Dans une invite de commandes exécutée en tant qu’Administrateur, exécuter la commande dcdiag et vérifier que le statut des différents tests est réussi.

Seul le test NCSecDescéchoue avec les erreurs suivantes :

L’erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n’a pas

Replicating Directory Changes In Filtered Set

de droits d’accès pour le contexte de nommage :

DC=DomainDnsZones,DC=npr,DC=local

L’erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n’a pas

Replicating Directory Changes In Filtered Set

de droits d’accès pour le contexte de nommage :

DC=ForestDnsZones,DC=npr,DC=local

Cette erreur peut être ignorée car elle vient du fait que la forêt n’a pas été préparée pour installer des contrôleurs de domaine en lecture seule.

– Dans une invite de commandes exécutée en tant qu’Administrateur, exécuter la commande repadmin /showreps pour vérifier la configuration des connecteurs de réplication.

=> Une fois le bon fonctionnement du nouveau contrôleur de domaine validé, on va ensuite modifier le serveur DNS préféré au niveau de la carte réseau de ce contrôleur de domaine avec sa propre adresse IP.

Aperçu de la configuration de la carte réseau

=> On va ensuite vérifier les redirecteurs configurés à l’aide de la console MMC DNS pour la résolution DNS externe.

– Ouvrir la console MMC DNS

– Faire un clic droit sur le serveur DNS, puis Propriétés, ongletRedirecteurs

– La configuration des redirecteurs doit être similaire à celle-ci-dessous :

=> Si les redirecteurs ne sont pas configurés tel que ci-dessus, cliquer sur Modifierpuis ajouter les adresses IP des serveurs DNS de votre fournisseur d’accès internet par exemple dans la liste des serveurs de redirection. Cela permet d’avoir une résolution DNS externe plus rapide puisque cela évite d’interroger directement les serveurs DNS racines.

– Le contrôleur de domaine doit également être autorisé au niveau des firewalls de l’entreprise pour effectuer des requêtes DNS externes.

– Dans une invite de commandes, exécuter l’outil nslookuppour vérifier la résolution DNS interne et externe en essayant de résoudre les noms NPR-SRV-AD01 et www.google.fr par exemple.

Une fois ces tests réalisés, nous allons ensuite transférer en ligne de commande les rôles de maitres d’opérations de schéma, d’attribution de noms, d’infrastructure, PDC et RID à l’aide de l’utilitaire ntdsutil.

=> Dans une invite de commandes exécutée en tant qu’Administrateur, exécuter l’outil ntdsutilpuis entrer les commandes qui suivent

roles

connections

connect to server NPR-SRV-AD02 (NPR-SRV-AD02 : le DC qui va recevoir les rôles FSMO)

quit

transfer schema master

– Confirmer le transfert du rôle de maitre d’opérations de schéma puis vérifier le succès de l’opération

transfer naming master

– Confirmer le transfert du rôle de maitre d’opérations d’attribution de noms puis vérifier le succès de l’opération

transfer infrastructure master

– Confirmer le transfert du rôle de maitre d’opérations d’infrastructure puis vérifier le succès de l’opération

transfer PDC

– Confirmer le transfert du rôle de maitre d’opérations PDC puis vérifier le succès de l’opération

transfer RID master

– Confirmer le transfert du rôle de maitre d’opérations RID puis vérifier le succès de l’opération

quit

quit

Exemple ci-dessus avec le transfert du rôle Maitre de schéma

Pour vérifier ensuite que tous les rôles FSMO ont bien été basculés sur le nouveau contrôleur de domaine, on peut utiliser la commande netdom query fsmo.

Les rôles FSMO ont bien tous été basculé sur le nouveau contrôleur de domaine. Il ne nous reste plus qu’à synchroniser celui-ci sur un serveur de temps externe puisqu’il possède maintenant le rôle FSMO Emulateur PDC et sera donc le serveur de temps référent pour toute la forêt.

=> Nous allons configurer notre contrôleur de domaine à l’aide de la commande w32tm pour qu’il se synchronise avec les serveurs NTP fr.pool.ntp.org par exemple.

w32tm /config /update

/manualpeerlist: »0.fr.pool.ntp.org,0x8 1.fr.pool.ntp.org,0x8 2.fr.pool.ntp.org,0x8 3.fr.pool.ntp.org,0x8″ /syncfromflags:manual

– Le contrôleur de domaine doit également être autorisé au niveau des firewalls de l’entreprise pour se synchroniser sur des serveurs NTP externes.

On resynchronise ensuite le service de temps Windows avec la nouvelle source à l’aide de la commande ci-dessous :

w32tm /resync

Aperçu de la configuration du service de Temps Windows

La liste des serveurs NTP disponibles sur pool.ntp.org pour la France est accessible à cette adresse :

https://www.pool.ntp.org/zone/fr

Suppression du contrôleur de domaine Windows Server 2003 R2

Dans les étapes précédentes, nous avons :

– Ajouter un contrôleur de domaine fonctionnant sous Windows Server 2008 R2 avec les rôles DNS et catalogue global

– Basculer les rôles FSMO

– Configurer les redirecteurs DNS

– Configurer la synchronisation NTP avec une source externe

Nous allons à présent dépromouvoir le contrôleur de domaine Windows Server 2003 R2. Pour cela, on utilise l’utilitaire dcpromo comme précédemment.

=>

– Comme le contrôleur de domaine Windows Server 2003 R2 était également catalogue global, un popup nous indique qu’un autre catalogue global doit être disponible dans la forêt ce qui est le cas.

=>

=>

=> Il faut ensuite entrer le mot de passe à assigner au compte Administrateur local puisque le contrôleur de domaine après rétrogradation sera un serveur classique dans le domaine.

=>

=>

=> La rétrogradation est en cours…

=>

=> Il est ensuite nécessaire de redémarrer le serveur pour finaliser la désinstallation d’Active Directory.

Découverte des fonctionnalités Active Directory Windows Server 2008 R2

Maintenant que notre forêt est constituée uniquement de contrôleurs de domaine Windows Server 2008 R2, nous allons pouvoir augmenter les niveaux fonctionnels de domaine et de forêt vers Windows 2008 R2 afin de bénéficier de la totalité des fonctionnalités apportés par Active Directory sur Windows Server 2008 R2.

Nous allons réaliser cette étape en powershell afin de nous familiariser avec les Cmdlets Active Directory.

Pour cela, il faut lancer Windows Powershell et exécuter la commande ci-dessous afin de charger le module Active Directory :

Import-Module ActiveDirectory

Pour récupérer les informations sur la forêt, il faut utiliser la Cmdlet Get-ADForest

Nous voyons ici que nous sommes au niveau fonctionnel de forêt Windows 2000 avec l’attribut ForestMode.

Pour récupérer les informations sur le domaine, il faut utiliser la Cmdlet Get-ADDomain

Nous voyons ici que nous sommes au niveau fonctionnel de domaine Windows 2000 natif avec l’attribut DomainMode.

Nous allons maintenant passer le niveau fonctionnel de domaine à Windows Server 2008 R2 à l’aide de la commande Set-ADDomainModeet du paramètre DomainMode.

Le paramètre DomainMode peut prendre les valeurs ci-dessous :

Windows2000Domain

Windows2003InterimDomain

Windows2003Domain

Windows2008Domain

Windows2008R2Domain

Même principe pour passer le niveau fonctionnel de forêt à Windows Server 2008 R2 mais avec l’aide de la commande Set-ADForestModeet du paramètre ForestMode.

Le paramètreForestMode peut prendre les valeurs ci-dessous :

Windows2000Forest

Windows2003InterimForest

Windows2003Forest

Windows2008Forest

Windows2008R2Forest

La liste des Cmdlets Active Directory et leur documentation est disponible à cette adresse.

https://technet.microsoft.com/en-us/library/ee617195.aspx

Il est également possible de lister les Cmdlets disponibles à l’aide de Get-Commandou d’obtenir de l’aide sur une Cmdlet à l’aide de Get-Help suivi du nom de la Cmdlet.

La nouvelle console nommé Centre d’administration Active Directory est basée sur ces Cmdlets Powershell. Les nouveaux outils d’administration Active Directory se basent sur le même principe que les outils d’administration Exchange 2007/2010.

Ci-dessous un aperçu de cette console d’administration avec la vue d’ensemble qui permet d’avoir un accès rapide à certaines tâches d’administration courantes comme la réinitialisation d’un mot de passe ou encore la recherche d’un objet dans l’AD.

Un autre outil intéressant de Windows Server 2008 R2 est Best Pratices Analyser pour Active Directory et le DNS puisqu’il permet d’analyser la configuration et de remonter les éventuels problèmes de configuration en se basant sur les « bonnes pratiques » de Microsoft.

Pour y accéder, il suffit d’aller dans le Gestionnaire de serveur, de déplier le menu Rôles à droite et de sélectionner le rôle Services de domaine Active Directory. Dans le panneau central il suffit ensuite de se rendre dans la section Best Practice Analyser et cliquer sur Analyser ce rôle dans le panneau de droite.

On peut remarquer ci-dessus dans notre analyse Best Pratices Analyser que nous n’avons pas de problème de configuration avec le niveau de gravité critique mais seulement quelques une avec le niveau Avertissement.

On peut voir par exemple que chaque domaine doit possèder au moins 2 contrôleurs de domaine afin d’assurer la redondance ce qui n’est pas notre cas ou encore que les différentes partitions Active Directory n’ont pas été sauvegardées depuis les 8 derniers jours.

Le même outil existe aussi pour le rôle DNS et est accessible de la même façon.

Conclusion

Nous avons vu dans la première moitié de l’article comment migrer une forêt Active Directory monodomaine avec un contrôleur de domaine Windows Server 2003 R2 vers Windows Server 2008 R2. Nous avons vu les différentes phases : comment préparer la forêt, installer le premier contrôleur Windows Server 2008 R2 et lui basculer tous les rôles afin qu’il devienne le contrôleur de domaine principal.

Dans la seconde moitié de l’article, nous sommes intéressés aux nouveautés spécifiques à Windows Server 2008 R2 en termes d’outils d’administration avec les Cmdlets Powershell Active Directory, le centre d’administration Active Directory et les outils Best Pratices Analyser.