Professional Documents
Culture Documents
2
Article rdig par Jeremy Lemay (MVP 2009 Directory Services) et Kevin Phelippo.
Jrmy et Kvin sont consultants spcialiss dans les solutions de gestion daccs et didentit au sein dune socit Gold Partner Microsoft (www.nelite.com ). Ils animent le blog de lquipe Identity and Access Management (IAM) de Nelite (http://blogs.nelite.com/blogs/identitysolutions ). Spcialistes des solutions IAM de Microsoft, ils ralisent des projets darchitecture, de migrations, de scurisation des accs et de consolidations dannuaires au sein de moyens et grands comptes.
Lobjectif de cet article est de prsenter les tapes ncessaires la migration dobjets Active Directory avec ADMT 3.2 (Active Directory Migration Tool). Loutil ADMT peut tre utilis dans diffrents scnarios associs la restructuration dannuaires Active Directory notamment dans le cas de consolidation, fusion/acquisition ou dsinvestissement. La restructuration impliquant une migration de ressources (comptes utilisateurs, groupes, ) entre plusieurs annuaires Active Directory ou sein dune mme fort ou de fort diffrente Les tches de migration ralises avec ADMT peuvent tre dclenches par la console ADMT, en ligne de commande ou par script. Dans lexemple qui suit, 2 domaines ont t crs : un domaine, adatum.com, dont la fort et le domaine sont au niveau fonctionnel Windows Server 2003. un domaine, contoso.com, dont la fort et le domaine sont au niveau fonctionnel Windows Server 2008 R2.
Le but tant de migrer les objets (utilisateurs et groupes) du domaine adatum.com (2003) vers le domaine contoso.com (2008 R2). ADMT 3.2 a t install sur un serveur membre du domaine contoso.com, serveur fonctionnant sous Windows Server 2008 R2. Pour une vue densemble de larchitecture de dmonstration :
Domaine source
Relation dapprobation bidirectionnelle
Domaine cible
DCAdatum
Comptes Groupes
DCContoso
Comptes Groupes
Adatum.com
Migration des comptes et Groupes avec ADMT
Contoso.com
1. Bonnes pratiques
Voici quelques bonnes pratiques associes la migration de comptes : Raliser des sauvegardes rgulires des contrleurs de domaine source et cible durant le processus de migration Raliser un test de migration en crant un compte de test, et en lajoutant un groupe puis en vrifiant laccs aux ressources associes avant et aprs la migration Mettre en place un environnement de tests pour valider les diffrentes tapes et les scnarios de migration Implmenter un plan de restauration et sassurer de son bon fonctionnement Migrer les utilisateurs par lot pour maitriser la migration
2. Pr-requis
2.1 Mise en place
Afin de pourvoir effectuer la migration de comptes entre les 2 domaines, certains pr-requis sont ncessaires: Chaque domaine doit pouvoir rsoudre les noms DNS de lautre domaine. Pour cela, vous pouvez par exemple crer des redirecteurs conditionnels dans chaque domaine :
Crer un compte spcifique la migration. Ce compte doit pouvoir rcuprer les objets du domaine source (adatum.com) et crer des objets dans le domaine cible (contoso.com). Pour cela, utiliser lassistant de dlgation.
Password Export Server (PES) (Installer Password Export Server) doit tre install sur le contrleur de domaine source. Cet outil va permettre la migration des mots de passe pendant la phase de migration des comptes Active Directory. Une relation dapprobation entre les domaines doit avoir t mise en place (Bidirectionnelle de type Externe dans notre cas) :
Renseigner le nom du serveur ainsi que linstance SQL cre prcdemment puis terminer linstallation.
Ouvrir une session avec le compte cr pour la migration sur le serveur membre du domaine contoso.com sur lequel ADMT 3.2 a t install puis lancer ADMT. Dans la console, faire un clic droit sur Outil de migration Active Directory, et slectionner Assistant de Migration des comptes de groupes.
Choisir Slectionner les groupes dans le domaine puis Ajouter migrer et dfinir ensuite lUnit dOrganisation cible :
les
groupes
Cocher les diffrentes cases en fonction de votre stratgie de migration. La dernire case permet de migrer les SID et donc de raffecter les utilisateurs appartenant ces groupes. Ne pas choisir de migrer les membres des groupes. En effet, Si un utilisateur est migr alors que tous les groupes auxquels il appartient ne sont pas migrs, ladhrence aux groupes non migrs ne sera pas conserve. La migration des comptes utilisateur sera effectue aprs celle des groupes. Renseigner ensuite le compte associ la migration.
Slectionner ensuite laction effectuer en cas de conflit lors de la migration. Pour terminer lopration, lancer enfin la migration. Le rsultat du processus est visible dans la fentre de progression.
Vrification: Dans le domaine cible contoso.com, les groupes apparaissent bien dans lOU dfinie.
Effectuer les mmes oprations que celles effectues lors de la migration des groupes, Slectionner lutilisateur migrer.
Choisir, si vous le souhaitez, de migrer les mots de passe des comptes utilisateurs. Cette opration sera possible via le serveur PES.
Slectionner les actions effectuer sur les comptes sources et cibles. Les comptes migrs peuvent tre activs ou dsactivs la fois dans le domaine source et le domaine cible. Laisser la dernire case coche afin de migrer les SID des comptes utilisateurs.
Il est galement possible de traduire les profils itinrants. Une nouvelle fois, ne pas migrer les groupes et les comptes utilisateurs en mme temps. La migration se termine
En ligne de commande, il est galement possible dutiliser des fichiers qui contiennent la liste des utilisateurs migrer. Cela permet de maitriser les diffrentes populations dutilisateurs migrer. Afin de gnrer les fichiers contenant la liste des utilisateurs migrer (prsents sous lOU FR\Utilisateurs), nous pouvons utiliser la commande ldifde :
ldifde -f listusers_admt.csv -m -d "OU=Utilisateurs,OU=FR,dc=adatum,dc=com" -p subtree -r "(&(objectcategory=person)(objectclass=user))" -l "samaccountname"
Une fois le fichier gnr, nous pouvons utiliser la commande ADMT User ou lassistant de migration de compte utilisateur. La syntaxe de la commande ADMT User permettant de dclencher la migration des comptes issus de lexport (listusers_admt.csv ) prcdent est la suivante :
ADMT USER /F:listusers_admt.csv /SD:Adatum.com /TD:Contoso.com /TO:"<target_OU>" /IF:YES /MSS:YES /UUR:NO
Vrifier que lobjet utilisateur apparait bien dans lOU slectionne et a conserv son adhsion aux groupes dont il faisait partie. On peut galement voir que, aprs avoir cr un nouvel SID dans le domaine cible, la migration a conserv le SID de lutilisateur dans le domaine source (SID History).
4. Rapports
Il est possible de gnrer des rapports avant et aprs les diffrentes tapes de migration. Ouvrir la console ADMT, puis faire un clic droit sur Outil de migration Active Directory et slectionner Assistant Cration de rapports.
Renseigner le dossier de stockage des rapports puis slectionner le(s) type(s) de rapport(s) crer, puis terminer la cration :
5. Conclusion
A travers cet article, nous avons pu voir les diffrentes tapes et lments associs la migration de comptes et de groupes entre domaines Active Directory avec ADMT. Cette migration doit tre planifie attentivement afin didentifier les comptes et groupes qui feront lobjet de la migration. Pour finir, ADMT est relativement simple mettre en place et exploiter.