Migration Active Directory : retour d’expérience


Active Directory / mardi, avril 2nd, 2013

Voici un billet concernant mon retour d’expérience à propos de migration Active Directory et surtout l’utilisation de l’outil de Microsoft ADMT. Je vais me concentrer sur les principaux points d’attention, les pièges, etc…

Vous y trouverez également des recommandations pour migrer vos serveurs de fichiers, d’impressions, etc… Certains scripts seront utiles car ils concernant les migrations inter forêt et non intra domaine ou intra forêt, scénario plus simple.

Voici la liste des principales recommandations d’une migration Active Directory:

  • Assurez-vous que le DC cible sur le site qui va être utilisée pour les migrations a un service de serveur DNS installé
  • Créer un DNS Fowarder conditionnel intégré à L’AD « Cible.com » pour rediriger les requêtes DNS du domaine source vers le serveur DNS du domaine source
  • Créer un DNS Fowarder conditionnel intégré à L’AD « Source.com » pour rediriger les requêtes DNS de « Cible.com » domaine vers le serveur DNS du domaine cible
  • Vérifiez la résolution DNS entre les domaines à laide de NSLOOKUP
  • Créer une approbation externe bidirectionnelle entre les deux domaines en utilisant un utilisateur membre du groupe Administrateurs du Domaine cible et l’utilisateur Administrateur du domaine que vous avez créé sur le domaine source
  • Assurez-vous que si vous utilisez le même utilisateur « nom » sur les deux domaines, le mot de passe de l’utilisateur doit être identique sur les deux domaines, sinon vous recevrez une erreur sans RPC en essayant de créer la relation d’approbation (Trust Relationship)
  • Désactiver le filtrage des SID (SID Filetring) sur la relation d’approbation sortante sur les deux domaines
  • Modifier / Création de la clé de registre suivante « AllowPasswordExport » avec une valeur DWORD=1 sur HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA sur l’émulateur PDC de domaine source et/ou sur le contrôleur de domaine source qui serait utilisé pour la migration des mots de passe (PES Password Export Service – démarrage manuel – attention donc !)
  • Si le contrôleur de domaine source utilisé pour la migration fonctionne sous Windows 2000, vous devez ajouter sur le contrôleur de domaine la clé de Registre suivante: « HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA »  => Modifier / Créer l’entrée de Registre TcpipClientSupport, du type de données REG_DWORD, en définissant la valeur à 1
  • Installez ADMT sur un serveur membre – l’installation sur un DC n’est pas recommandé, à cause de l’instance SQL, mais j’y reviendrais plus tard
  • Déléguer des autorisations sur le domaine « Cible.com » le droit « migrer l’historique SID » pour le groupe/utilisateur qui va être en charge de la migration
  • L’audit Succès et Echec doit être activé sur les domaine , pour cela il convient de modifier la GPO =>  « Stratégie de contrôleur de domaine par défaut » – Configuration de l’ordinateur> -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales – Politique sur la vérification> -> «Gestion Compte d’audit »
  • Sur le domaine source, créer un groupe local de domaine « SourceDomaine$$$ » (Nom do domaine NetBios), exemple: mondomaine$$$

Désactiver le SID Filtering

Voici la syntaxe pour désactiver cette fonction

Netdom trust domainecible /domain:domainesource /quarantine:no /userD:domainesource\adminaccount /password:password

Pour tester:

nltest /server:nomduserveur /domain_trusts

l’attribut attr: QUARANTINED apparait si le SID Filtering est actif

Installation du service PES

Sur le domaine cible, il convient  de créer la clé permettant l’export des mot de passe avec la syntaxe suivante:

admt key /option:create /sourcedomain:domainesource /keyfile:c:\macle.pes /keypassword:motdepasse

Cette clé générée vous servira pour le setup de PES.

Changer la liste des domaines par défaut

Après la migration d’un poste de travail, l’ancien domaine apparait au moment de la connexion (CTRL ALT SUPPR), voici comment modifier le Defaut Logon List afin de faire apparaitre en priorité votre domaine cible

Méthode 1 – déploiement VBS

Dim sDomName
Set oWshShell = CreateObject("Wscript.Shell")
sDomName = "nouveaudomaine"
oWshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName",sDomName

Méthode 2 – déploiement GPO

Il convient donc de créer une GPO et d’activer le paramètre suivant en renseignant le nom du domaine cible (qu’à partir de Vista, d’où mon VBS ci-dessus 😉 )

Computer – Policies- Administrative Template – System – Logon => Assign a defaut domain for logon

Traitement d’une erreur récurrente

ADMT est un outil puissant mais les journaux/messages d’erreurs sont souvent assez peu explicites voir indiquent une mauvaise direction à investiguer. Voici la plus courante:

Voici ce qu’il faut vérifier pour résoudre l’erreur:

  • Les suffixes DNS du domain source doivent être présent/déployés sur le domaine cible – cela corrige les problème de résolution de noms
  • S’assurer que l’on a les droits sur le domaine AD source depuis le domaine cible
  • S’assurer que l’on fait partie du groupes BUILTIN\Administrators du domaine source
  • Attendre la réplication si vous disposez de plusieurs DC
  • Autre point: l’heure (w32time) doit être correcte entre les domaines ! Sinon l’ADMT renverra un message d’incompatibilité avec les domaines NT4.0…

Autre erreur

ERR3:7075 Failed to change domain affiliation, hr=800704f1. The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.

Cette erreur provient soit du fait d’algorithmes d’encryption avec des serveurs Windows NT 4.0 ou de la présence de contrôleur RODC (Read Only Domain Controller) mais cela abaisse la sécurité du domaine… (sans pour autant être dramatique) Il convient de se reporter à la KB Microsoft 942564 ou 944043.

Migration des spools

Je pense que vous connaissez PRINTBRM (Management des impressions) ou