Migrer Microsoft Windows Active Directory 2003 vers Microsoft Windows 2008

Ce document vous montrera comment migrer avec succès un environnement Microsoft Windows 2000 o Microsoft Windows 2003 vers Microsoft Windows 2008. Être la migration d’Active Directory 2000 ou 2003 À 2008. Active Directory sera migré vers cette nouvelle version vers de nouveaux contrôleurs de domaine. Les anciens contrôleurs de domaine vont disparaître. Vous aurez donc besoin d’un nouveau serveur pour installer Windows 2008, Faites-en un contrôleur de domaine, lui passer les rôles, puis annuler la promotion des anciens contrôleurs de domaine. Enfin, le niveau fonctionnel du domaine et de la forêt sera porté à 'Windows 2008'. Les étapes correctes à suivre seront:

Vérifier l'état des contrôleurs de domaine – ICI, (recommandé mais pas obligatoire)
Préparer l'Active Directory – ICI,
Rejoindre un Active Directory existant – ICI,
Migrer les rôles – ICI,
Désignation des anciens contrôleurs de domaine – ICI,
Élever les niveaux fonctionnels – ICI,

Oeil, avant de commencer, nous devrons garder à l'esprit que nous devons avoir des sauvegardes, à la fois des contrôleurs de domaine et de l'Active Directory au cas où quelque chose tournerait mal. Nous devrons également prendre en compte toutes les exigences pour mettre à jour un Active Directory à 2008:

– Le domaine actuel ne doit pas être en 'Mode Mixte', mais en 'Mode Natif'’ ou 'Windows' 2003 Serveur’
– Vérifier la HCL (Liste de compatibilité matérielle) des nouveaux contrôleurs de domaine, afin qu'ils soient supportés par MS Windows 2008 – ICI.
– Les contrôleurs de domaine basés sur Windows 2000 doivent avoir SP4 installé. En el caso de Windows 2003 tener el SP1.

Vérifier l'état des contrôleurs de domaine,

Pas mal, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Par exemple, tenemos DCDIAG. Cette utilité nous servira à faire un diagnostic des contrôleurs de domaine. Cet outil en ligne de commande analyse l'état d'un ou de tous les contrôleurs de domaine dans une forêt et signale tout problème pour faciliter sa résolution. Pour en savoir plus, visiter le site web de Microsoft – ICI. Dans l'exemple de l'image, j'exécuterai la commande sur un contrôleur de domaine, dans mon cas sur le principal et je redirigerai la sortie texte vers un fichier TXT:
dcdiag.exe > FICHERO_DE_LOG

En ouvrant le fichier LOG généré, nous aurons un texte comme le suivant:

Diagnostic du contrôleur de domaine

Réalisation de la configuration initiale:
Collecte des informations initiales terminée.

Réalisation des tests initiaux requis

Test du serveur: HXXXXXXXIHXXXXXXX1
Démarrage du test: Connectivité
……………………. HXXXXXXX1 a réussi le test de connectivité

Réalisation des tests principaux

Test du serveur: HXXXXXXXIHXXXXXXX1
Démarrage du test: Répliques
[Vérification des réplications,HXXXXXXX1] Une tentative récente de réplication a échoué:
De AXXXXX1 à HXXXXXXX1
Contexte de nommage: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
La réplication a généré une erreur (1722):
Le serveur RPC n'est pas disponible.
L'échec est survenu à 2008-07-15 07:38.25.
Le dernier succès est survenu à 2008-07-01 18:51.20.
91 des échecs se sont produits depuis le dernier succès.
[AXXXX01] DsBind() a échoué avec l'erreur 1722,
Le serveur RPC n'est pas disponible..
La source reste hors service. Veuillez vérifier la machine.
[Vérification des réplications,HXXXXXXX1] Une tentative récente de réplication a échoué:
De MXXXX01 à HXXXXXXX1
Contexte de nommage: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
La réplication a généré une erreur (1722):
Le serveur RPC n'est pas disponible.
L'échec est survenu à 2008-07-15 07:38.48.
Le dernier succès est survenu à 2008-07-01 18:51.20.

Oeil, me donne des erreurs, il faudrait le voir, mais dans mon cas les erreurs sont dues au fait que je réalise un pilote et que j'ai ce contrôleur de domaine avec un autre isolé, dans le cas du domaine qui nous concerne il a 40 des contrôleurs de domaine et je ne les ai pas dans mon réseau car c'est pour faire ce document. Donc pas de problème. 😉

Plus, nous avons REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, Y compris, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Pour en savoir plus, visiter le site web de Microsoft – ICI.

El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:

repadmin.exe /showreps > FICHERO_DE_LOG

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:

HXXXXXXXIHXXXXXXX1
DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31
invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXIAXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0
Last attempt @ 2008-07-15 07:41.05 failed, résultat 1722:
Le serveur RPC n'est pas disponible.
Last success @ 2008-07-01 18:51.21.
91 consecutive failure(s).
CXXXXXNAXXXXX1 via RPC
objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab
Last attempt @ 2008-07-15 07:41.51 failed, résultat 1722:
Le serveur RPC n'est pas disponible.
Last success @ 2008-07-01 18:51.21.

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, nous pouvons avoir des échecs de réplication et avoir le même GPO dans différents sites avec des configurations différentes. Esta herramienta nos comprobará el estado de ellas.

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs…

Available DCs:
hXXXXXXX1.XXXXXXX.es
Searching for policies…
Fonder 167 policies
============================================================
Politique {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
Policy OK
============================================================
Politique {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
Policy OK
============================================================
Politique {05000318-0434-43CE-9C6A-60A07B1EEDE8}
Policy OK
============================================================
Politique {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
Policy OK
============================================================
Politique {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
Policy OK
============================================================
Politique {0959942F-21A2-4FF0-B84C-1A3748E24815}
Policy OK
============================================================
Politique {097AB751-C12A-4A42-B8BE-26B54190FB12}
Policy OK
============================================================
Politique {09BCAA04-49D8-4434-87ED-820DC2753E1F}
Policy OK
============================================================
…
============================================================
Politique {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK

Policies OK

Préparer l'Active Directory,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Tout d’abord, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, vers la version 44 que es un bosque 2008)…

D’accord, comprobamos que finaliza correctamente.

Maintenant, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Cette commande sera effectuée sur le Maître des Infrastructures avec des permissions d'Administrateur de domaine:

adprep /domainprep /gpprep

Nous attendrons que la commande soit complètement exécutée et que les résultats soient corrects.

Nous devrons prendre en compte que si notre Active Directory est grand et que nous avons différents sites avec différents temps de réplication, nous laisserons le temps à l'Active Directory de se répliquer entre chaque commande. Environ 15 minutes entre chaque commande.

Rejoindre un Active Directory existant,

Une fois que nous avons mis à jour l'Active Directory vers la version Windows 2008 nous pourrons créer des contrôleurs de domaine avec cette version de Windows. Donc maintenant nous installons Windows 2008 sur un serveur en suivant cette procédure – ICI. Et nous le promouvrons en tant que contrôleur de domaine dans notre domaine actuel.

Sur le serveur 2008 récemment installé, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Exécuter” del menú Inicio. Et nous acceptons.

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Comienza el asistente de instalación para crear o unirnos a un dominio, “Suivant”,

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, Continuer, “Suivant”,

Debemos seleccionar la opción “Bosque existente” et “Ajouter un contrôleur de domaine à un domaine existant”, “Suivant”,

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Suivant”,

Seleccionamos el dominio al que nos uniremos, “Suivant”,

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Suivant”,

Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Suivant”,

Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:WindowsNTDS y C:WindowsSYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, “Suivant”,

Pas mal, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), “Suivant”,

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Suivant”,

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Pas mal, una vez instalados los servicios del AD pulsamos en “Fin”,

Debemos reiniciar este servidor, Cliquez sur “Reiniciar ahora”,

Migrer les rôles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Cela peut se faire de deux manières, Interface graphique de médiation, ou par l’intermédiaire de Commandes. Et il y a une troisième méthode qui serait agressive dans le cas où l’Active Directory ne fonctionne pas correctement et qu’il faut forcer le transfert des fonctions – ICI. A continuación lo haremos mediante GUI:

Para modificar los roles, nous allons à la console de “Utilisateurs et ordinateurs Active Directory” del servidor al que queremos migrar los roles, si possible, autrement, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, Clic droit “Changer le contrôleur de domaine… “

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Pas mal, ahora comencemos a migrar los roles, pour cela, sobre el dominio con botón derecho > “Maître des opérations…”

Debemos cambiar las tres opciones, premier, depuis l'onglet RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Changement…”, Est.

Confirmer, “Oui”

“Accepter”.

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

Ahora con la siguiente pestaña, celle de “Contrôleur de domaine principal”, Cliquez sur “Changement…”

“Oui”,

“Accepter”,

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Y por último el servidor de “Infrastructures”, Cliquez sur “Changement…”,

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, Confirmer, “Oui”.

Accepter,

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

D’accord, otro rol, ahora el de maestro de operaciones, enveloppe “Domaines et approbations Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Domaines et approbations Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Pulsamos con el botón derecho en “Domaines et approbations Active Directory” et sélectionnez “Maître des opérations…”,

D’accord, nos dice que cambiaremos de de un servidor antiguo al 2008 le “Maître des opérations”, Nous donnons “Changement…”,

Confirmer, “Oui”,

Accepter,

Maintenant, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, nous écrivons “regsvr32 schmmgmt.dll” pour migrer le serveur de schéma, en cliquant sur “Entrer” nous obtiendrons la confirmation, nous l'acceptons.

Ce que j’ai dit, “Accepter”,

Ahora abrimos una consola MMC (Console de gestion Microsoft) desde el menú Inicio en “Exécuter” escribiendo ‘mmc’ y aceptando.

Cliquez sur “Lime” > “Ajouter ou supprimer un complément…”

Cliquez sur “Ajouter”,

En los complementos buscamos el “Schéma Active Directory” et cliquez sur “Ajouter” et ensuite sur “Fermer” et “Accepter”,

Primero me tengo que conectar al servidor donde quiero migrar este rol, comme avant, pour cela, clic droit sur “Schéma Active Directory” et nous choisissons “Changer le contrôleur de domaine…”

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Para cambiar el servidor que aloja el esquema, nous cliquons avec le bouton droit sur “Schéma Active Directory” et sélectionnez “Maître des opérations…”

Comme avant, cela nous montre le serveur actuel de “Maître de schéma”, para migrarlo de uno a otro pulsamos sobre “Changement…” et acceptez.

Confirmamos que lo queremos cambiar,

Accepter.

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, enveloppe “Sitios y servicios del AD” > “Sites” > sur n'importe quel contrôleur de domaine, y nos vamos al servidor nuevo a “Paramètres NTDS” > Bouton droit > “Propriétés”,

Et simplement cocher la case de “Catalogue global” et acceptez,

Oh, bien, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Autoriser les transferts de zone” para que traiga la zona a nuestro nuevo controlador de dominio.

Désignation des anciens contrôleurs de domaine,

Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, pour cela, los quitaremos de forma limpia, C’est, con una despromoción.

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Exécuter” del menú Inicio.

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Prochain”,

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Accepter.

“Suivant”,

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Suivant”,

Comprobamos todos los pasos y pulsamos en “Suivant” para despromocionar este controlador de dominio,

… Patientez quelques minutes…

“Fin”, se quitó bien,

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Cliquez sur “Reiniciar ahora”,

Elevar niveles de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Fenêtres 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio

Características habilitadas

Sistemas operativos de controlador de dominio admitidos

Windows 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

•	Les groupes universels sont activés pour les groupes de distribution et de sécurité.
•	Imbrication de groupes.
•	La conversion de groupes est activée, ce qui permet la conversion entre les groupes de sécurité et les groupes de distribution.
•	Historique des identificateurs de sécurité (SID).

Windows 2000
Serveur Windows 2003
Serveur Windows 2008

Serveur Windows 2003

Toutes les fonctionnalités par défaut d'Active Directory, toutes les fonctionnalités du niveau fonctionnel de domaine Windows 2000 natif et les fonctionnalités suivantes:

•	La disponibilité de l'outil de gestion des domaines, netdom.exe, pour préparer le changement de nom du contrôleur de domaine.
•	Mise à jour du timestamp de connexion. L'attribut lastLogonTimestamp sera mis à jour avec l'heure à laquelle l'utilisateur ou l'ordinateur s'est connecté pour la dernière fois. Cet attribut est répliqué au sein du domaine.
•	La capacité de définir l'attribut userPassword comme mot de passe effectif dans inetOrgPerson et les objets utilisateur.
•	La capacité de rediriger les conteneurs Utilisateurs et ordinateurs. Par défaut, deux conteneurs connus sont fournis pour héberger des comptes d'ordinateur et d'utilisateur ou de groupe: Je veux dire, cn=Computers,<racineDuDomaine> et cn=Users,<racineDuDomaine>. Cette fonctionnalité permet de définir un nouvel emplacement connu pour ces comptes.
•	Permet à l'Administrateur d'autorisation de stocker les stratégies d'autorisation dans les Services de domaine Active Directory (AD DS).
•	Comprend une délégation restreinte afin que les applications puissent exploiter la délégation sécurisée des informations d'identification utilisateur via le protocole d'authentification Kerberos. La délégation peut être configurée pour n'être autorisée que sur des services de destination spécifiques.
•	Prend en charge l'authentification sélective, qui permet de spécifier les utilisateurs et groupes d'une forêt de confiance autorisés à s'authentifier sur les serveurs de ressources d'une forêt faisant confiance.

Serveur Windows 2003
Serveur Windows 2008

Serveur Windows 2008

Toutes les fonctionnalités par défaut d'Active Directory, toutes les fonctionnalités du niveau fonctionnel de domaine de Windows Server 2003 et les fonctionnalités suivantes:

•	Compatibilité avec la réplication du Système de fichiers distribué (DFS) pour SYSVOL, qui fournit une réplication plus robuste et détaillée du contenu de SYSVOL.
•	Compatibilité des Services de chiffrement avancé (AES 128 et 256) avec le protocole Kerberos.
•	Informations sur la dernière ouverture de session interactive, qui affiche l'heure de la dernière connexion interactive réussie d'un utilisateur, la station de travail à partir de laquelle la connexion a été effectuée et le nombre de tentatives de connexion échouées depuis la dernière connexion.
•	Directives de mot de passe très spécifiques, qui permettent de définir des directives de mot de passe et des directives de verrouillage de compte pour les utilisateurs et les groupes de sécurité globaux dans un domaine.

Serveur Windows 2008

Puits, pour élever le niveau fonctionnel du domaine, Nous ouvrons la console “Domaines et approbations Active Directory” et sur le domaine avec le bouton droit > “Élever le niveau fonctionnel du domaine…”

Nous devons sélectionner le niveau fonctionnel du domaine “Windows Server 2008” et nous appuyons sur “Élever”,

Accepter, oeil! à noter que cela sera irréversible.

Parfait, Accepter,

Puits, pour élever le niveau fonctionnel de la forêt, Nous ouvrons la console “Domaines et approbations Active Directory” et à propos “Domaines et approbations Active Directory” Clic droit > “Élever le niveau fonctionnel de la forêt…”