Introduction

Cet article présente une méthode qui vous permettra de faire une migration d’Active Directory d’un serveur matériel vers un autre.

Objectifs : remplacer ou formater un ancien serveur où est installé Active Directory sans les données de l’annuaire. L’ancien serveur pourra être ainsi soit formaté et réinstallé, ou tout simplement remplacé par un nouveau serveur.

Cette méthode est destiné principalement aux infratructures possédant un seul contrôleur de domaine, mais il est possible d’utiliser cette méthode pour des infrastructures plus conséquentes.

Pourquoi ?

Le principal avantage de conserver Active Directory est de conserver toutes les machines clientes inscrites dans le domaine, tous les comptes et profils itinérants utilisateurs et autres paramètres. Cela évitera un lourd travail sur chaque machine clientes pour réinscrire les machines au domaine, et recréer les profils des utilisateurs.

Pré requis :

Vous devez posséder au moins un contrôleur de domaine et un PC fiable et puissant pour éxecuter Windows 2000 sever avec votre sauvegarde d’Active Directory. Votre DC doit être configuré comme serveur DNS pour le domaine.

Tout au long de cet article nous allons considérer que l’ancien DC à formater ou à remplacer s’appelle AD-ANCIEN.

Voici sa configuration IP pour cet article :

• IP : 192.168.1.100 • MASQUE : 255.255.255.0 • DNS : 192168.1.100

Voici un schéma qui vous aidera durant les différentes étapes de migration :

Sauvegarde Active Directory

1ère Etape

La première étape est de faire une sauvegarde d’Active Directory. Cette sauvegarde vous servira en cas de défaillance lors du basculement de l’ancien serveur vers le nouveau serveur.

Cela peut être effectué avec votre logiciel de sauvegarde préféré, ou avec Ntbackup. Nous allons utiliser Ntbackup dans cet exemple.

Dans le menu démarrer, exécuter, puis tapez « ntbackup ». Annulez l’assistant si il s’affiche, puis cliquez sur l’onglet sauvegarde.

Sauvegarder l’état du système

, Active Directory est pris en compte par défaut dans la sauvegarde de l’état du sytème.

Placez cette sauvegarde en lieu sûr, sur un autre ordinateur du réseau par exemple.

Installation du contrôleur de domaine temporaire

2ème Etape

Cette étape consiste à configurer le serveur temporaire nécessaire pour le transfert d’Active Directory.

Installer au préalable Windows 2000 Server sur le serveur temporaire. Le serveur temporaire se nomme AD-TEMP. Il est impératif d’installer le serveur DNS sur ce nouveau serveur, au quel cas vous ne pourrez pas continuer les étapes suivantes.

Après l’installation, vous devrez configurer le serveur AD-TEMP sur le même sous-réseau que AD-ANCIEN, et AD-TEMP utilisera AD-ANCIEN comme serveur DNS.

Nous prendrons la configuration IP suivante :

• IP : 192.168.1.101 • MASQUE : 255.255.255.0 • DNS : 192.168.1.100

N’utilisez pas l’assistant proposé au démarrage d’un nouveau serveur, cliquez sur « configurer ce serveur ultérieurement », et décochez « afficher cet écran à chaque démarrage ».

3ème Etape

Cette étape va vous permettre d’ajouter AD-TEMP, le serveur temporaire au domaine existant. Il s’agira d’ajouter un contrôleur de domaine supplémentaire pour un domaine existant.

Il est très important à cette étape de s’assurer que le serveur DNS de 2000 Serveur est installé sur le serveur temporaire.

Pour installer AD-TEMP, exécutez la commande « démarrer, exécuter, puis tapez « dcpromo » et validez ».

Cliquez sur suivant, puis choisissez « Contrôleur de domaine supplémentaire pour un domaine existant ».

Entrez le nom d’utilisateur, le mot de passe, et le domaine d’un compte avec les droits nécessaires pour effectuer cette opération. Habituellement, le compte Administrateur est préconisé.

Ici, rentrez : • Administrateur • password • LABO.LAN

Validez

Si le domaine LABO.LAN ne peut pas être contacté, il s’agit sûrement d’un problème de configuration des DNS, sur un serveur ou sur l’autre.

Dans la fenêtre suivante, tapez « labo.lan », ou cliquez sur parcourir pour sélectionner le domaine LABO.LAN. Validez.

Validez les chemins par défaut, puis rentrez le mot de passe de l’administrateur voulu. Validez.

Le transfert se lance.

A la fin, un redémarrage est requis.

Le serveur temporaire est maintenant configuré comme contrôleur de domaine secondaire du domaine LABO.LAN.

4ème Etape

Après l’étape précédente, il est préconisé de rebooter les deux serveurs l’un après l’autre en commençant par l’ancien, ici AD-ANCIEN.

Au quel cas la réplication entre les deux serveurs ne sera pas complète.

Il faut maintenant s’assurer que la synchronisation a eu lieu en forçant celle-ci.

Cliquez sur Sites et services Active Directory dans les outils d’administration sur les deux serveurs. Développez « Sites », « Premier-Sites-par-defaut », « Servers », puis les deux serveurs l’un après l’autre « NTDS Settings ». Cliquez droit sur « <généré automatiquement> » puis « répliquer maintenant »

Ce résultat doit être obtenu :

Si vous n’obtenez pas ce résultat, attentez que le KCC génère les liens de réplications, ou rebooter les serveurs l’un après l’autre.

Répliquez les deux liens sur les deux serveurs pour vous assurez que tout s’est bien passé.

Migration des rôles FSMO – Paramétrages du DNS et du Catalogue Global

5ème Etape

Cette étape consiste à donner les rôles de l’ancien contrôleur de domaine au serveur temporaire. Il existe 5 rôles avecWindows 2000 Server.

Il est nécessaire de migrer le serveur gérant les licences et d’élire le serveur temporaire en tant que catalogue global. Pour donner les 5 rôles FSMO à AD-TEMP, la méthode la plus simple consiste à utiliser l’outil en ligne de commande NDTSUTIL. Cet utilitaire peut être lancé depuis AD-TEMP ou AD-ANCIEN. Nous allons utiliser le serveur de destination AD-TEMP, dans cet exemple.

Lancer NTDSUTIL, en cliquant sur démarrer, exécuter, « NTDSUTIL » puis validez.

Tapez :

roles connection connect to server AD-TEMP quit

Vous étés maintenant connecté au serveur AD-TEMP, avec les informations de connexion de la session locale. Vous pouvez à présent transférer les 5 rôles FSMO vers le serveur AD-TEMP

Tapez :

Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master Quit Quit

A chaque demande de transfert, Windows vous demande confirmation, validez par oui. (Les caractères accentués sont mal représentés).

Les cinq rôles FSMO sont maintenant attribués au serveur temporaire AD-TEMP.

Il faut à présent élire en tant que catalogue global le serveur temporaire.

Cela est possible grâce à la console Sites et Services Active Directory dans les outils d’administration.

Cliquez droit sur NDTS Settings du serveur AD-TEMP, puis cliquez propriétés.

Cochez la case Catalogue Global, puis validez.

Répliquez à nouveau vos connexions manuellement, ou attentez quelques instants que la réplication s’effectue automatiquement.

Il reste le serveur de licence à modifier, ainsi le serveur AD-TEMP aura pris tous les rôles de l’ancien serveur, AD-ANCIEN.

A partir de la console Sites et Services Active Directory, développez « Sites », « Premier-Site-par-defaut », puis double cliquez sur « Licensing Site Settings », puis « Modifier… ».

Sélectionnez le serveur de destinationn, AD-TEMP, puis validez.

A cet instant, le serveur AD-TEMP a tous les rôles qu’avait l’ancien serveur AD-ANCIEN.

6ème Etape

Cette étape très courte va permettre d’utiliser le serveur DNS du serveur temporaire à la place de celui d’origine.

Configurez dans les propriétés de chaque serveur le champ DNS avec l’IP du serveur temporaire.

La configuration IP de l’ancien serveur devient :IP : 192.168.1.100 MASQUE : 255.255.255.0 DNS : 192.168.1.101

Et du temporaire :IP : 192.168.1.101 MASQUE : 255.255.255.0 DNS : 192.168.1.101

Etapes de vérification

7ème étape

Cette étape consiste à vérifier tout ce qui a été fait jusqu’à maintenant. L’utilitaire Replmon va être utilisé pour effectuer ces vérifications. Cet utilitaire est disponible dans le ressource kit livré sur le cd de Windows 2000 Server, dans le répertoire « D:\SUPPORT\TOOLS ».

Installez cet utilitaire. Après la fin de l’installation, vous devez fermer et rouvrir la session, afin que Windows mette à jour le PATH.

Ensuite, cliquer sur démarrer, exécuter, puis tapez Replmon et validez.

L’utilitaire Replmon s’éxecute. Cliquez droit sur « Monitored server », puis « add monitored server »

Sélectionnez le serveur que vous désirez monitorer.

Vous obtiendrez cet affichage :

Par le biais d’un clic droit, propriétés sur le nom du serveur, vous pourrez obtenir des informations sur le serveur sélectionné.

Les deux onglets les plus intéressants sont « FSMO Roles » et « Server Flags ».

Le premier, FSMO Roles, vous informe sur les possesseurs des rôles FSMO.

Quant au deuxième, Server Flags, permet d’afficher plusieurs points importants : Catalogue global, Serveur primaire…

Il est important de vérifier que les rôles 5 FSMO sont attribués au serveur AD-TEMP, et que le serveur AD-TEMP soit également catalogue global. Vérifiez également que l’attribut « Primary Domain controler for the Domain » soit validé par un signet dans l’onglet Server Flags.

Si tous ces points sont respectés, vous pouvez passez à l’étape suivante.

Supression de l’ancien contrôleur de domaine

8ème Etape

Cette étape consiste à supprimer l’ancien server du domaine. Un DCPROMO permettra de réaliser cette action.

Sur le serveur AD-ANCIEN, lance la commande DCPROMO. Cliquez sur suivant. Un message vous averti que ce serveur est un catalogue global, et qu’il est nécessaire d’avoir un autre contrôleur de domaine disponible pour authentifier les utilisateurs. Dans notre cas, c’est le serveur AD-TEMP , sur lequel nous avons attribué le rôle de catalogue global à l’étape 5.

Ne cochez surtout pas « Ce serveur est le dernier contrôleur de domaine du domaine », sinon, le domaine Active Directory sera perdu. Ensuite, rentrez le mot de passe voulu et validez.

Active directory va être désinstallé de l’ancien serveur.

On remarque qu’une fois cette opération terminée, cet ordinateur sera membre du domaine « labo.lan ».

Le serveur AD-ANCIEN sera un serveur membre du domaine « labo.lan »

Le serveur doit redémarrer à la fin de cette procédure.

9ème Etape

Cette étape va vous permettre de supprimer les traces laissées par un ancien DC.

Tout d’abord, il faut enlever l’ancien contrôleur de domaine en tant que membre du domaine. Pour cela, cliquez droit sur le poste de travail, propriétés. Dans l’onglet indentification réseau, cliquez sur propriété.

Cette boite de dialogue s’ouvre :

Sélectionnez « groupe de travail », et saisissez le nom du groupe de travail. Validez puis rebootez.

Sur le serveur temporaire, AD-TEMP, ouvrez la console d’administration DNS dans les outils d’administration ou exécuter DNSMGMT.MSC.

Développez ensuite la zone LABO.LAN. A partir de la racine de la zone DNS, supprimez toutes les occurrences contenant AD-ANCIEN dans tous les sous répertoires éxistants.

Deux occurrences sont à supprimer à la racine de la zone recherches directes

Pour supprimer le serveur de nom de la zone DNS, double cliquez sur « source de noms », puis l’onglet « Serveurs de noms » et supprimez AD-ANCIEN.

La dernière trace de l’ancien DC se trouve dans la console Utilisateurs et Ordinateurs Active Directory.

Supprimez AD-ANCIEN dans computers.

Active Directory ne contient plus aucune traces de l’ancien contrôleur de domaine.

L’ancien serveur DC-ANCIEN, peut maintenant être éteint et formater.

Installation du nouveau contrôleur de domaine

Pour procéder à l’installation du nouveau serveur, vous devez effectuer toutes les étapes précedentes sur le nouveau serveur, AD-NOUVEAU dans notre exemple.

NE JAMAIS REPRENDRE LE MEME NOM QUE VOTRE ANCIEN DC POUR RENOMMER LE NOUVEAU, UNE INSTABILITE DE VOTRE INFRASTRUCTURE POURRAI SE PRODUIRE, réplication instable, incohérence des SID …

En cas de défaillance, pensez à utiliser la sauvegarde effectuer au préalable.

Conclusion

Cet article permettra à toute personne administrant un contrôleur de domaine Windows 2000 d’effectuer le transfert des ressources d’un serveur matériel à un autre, sans avoir à installer et paramétrer de nouveau Active Directory sur le nouveau serveur matériel.

Cett méthode permet de gagner du temps en terme de productivité lors de la suppression, migration ou achat d’un nouveau serveur qui officiera en tant que nouveau contrôleur de domaine dans votre infrastucture.

Certe, de nombreuses méthodes existent, mais celle-ci a été choisie pour sa simplicité et son efficacité.

Vous connaissez à présent une méthode de migration d’Active Directory d’un serveur matériel à un autre.

Dernier conseil, sauvegardez votre Active Directory avant toutes opérations !