Présentation de la migration d’un domaine sur un windows server 2008
Par admin le jeudi, mars 12 2009, 21:58 - PTI Projets de BTS-IG - Lien permanent
| Compte Rendu d'activité | Fiche n° 1 | |
Nom et prénom : Cyril QUEVEAU |
Nature de l'activité |
Présentation de la migration d'un domaine sur un windows server 2008
Contexte : j'ai effectué la migration d'un domaine dans le cadre de l'achat d'un nouveau serveur dont le rôle est de soulager l'unique serveur d'une maire, il servait de serveur de base de données, applications et il avait en plus le rôle du contrôleur de domaine. La migration des rôles FSMO du domaine sur le nouveau serveur tout en conservant l'ancien en contrôleur secondaire était donc nécessaire pour des raisons de sécurité, l'ancien serveur se faisant vieux. Par la suite d'autres services ont été migrer, mais ne seront pas présentés.
Objectifs : Migration des rôles FSMO du domaine existant avec pour contrôleur principal un Windows Serveur 2003 SP2, sur le nouveau serveur livré avec une licence Windows Serveur 2008. Le serveur 2003 devant rester en secondaire en cas de problème sur le nouveau serveur. |
Compétences mises en œuvre pour la réalisation de cette activité | |
C21 C22 C25 C31 C34 C36 | Installer et configurer un micro-ordinateur Installer et configurer un réseau Installer un applicatif Assurer les fonctions de base de l'administration d'un réseau Surveiller et optimiser le trafic sur le réseau Assurer la maintenance d'un poste de travail |
Sommaire
Description de l'activité réalisée 2
Rôle FSMO – Maître d'attribution de noms de domaine 3
Rôle FSMO – Contrôleur de schéma 3
Rôle FSMO – Maître d'infrastructure 4
Analyse des résultats obtenus 5
Conditions de réalisation | |
Matériel :
| Logiciel :
|
Durée : 30 minutes environ | |
Contraintes et difficultés : Installation préalable des systèmes d'exploitation sur le serveur et le client. Création au préalable du domaine sur le 2003, et configuration des IP | |
Description de l'activité réalisée |
Situation initiale :
Situation finale :
|
Outils utilisés :
|
Présentation des rôles FSMO
Active Directory permet d'apporter des modifications à partir de n'importe quel contrôleur de domaine et une réplication régulière de la copie de l'annuaire de chaque contrôleur de domaine permet de garder à jour l'ensemble des informations qui y sont contenues. Mais ces réplications successives peuvent générer des conflits responsables de dysfonctionnements dans l'Active Directory.
Pour parer à ce problème, Microsoft a mis en place un système visant à prévenir ces conflits en incorporant des méthodes afin d'empêcher le déroulement des mises à jour conflictuelles de l'Active Directory : les rôles FSMO.
Actuellement, il existe cinq rôles FSMO :
FSMO | Emplacement | Rôle |
Maître d'attribution des noms de domaine | Unique au sein d'une forêt | Inscription de domaines dans la forêt |
Contrôleur de schéma | Unique au sein d'une forêt | Gère la modification du schéma Active Directory |
Maître RID | Unique au sein d'un domaine | Distribue des plages RID pour les SIDs |
Maître d'infrastructure | Unique au sein d'un domaine | Gère le déplacement des objets |
Emulateur CPD | Unique au sein d'un domaine | Garantie une compatibilité avec les anciens systèmes |
Rôle FSMO – Maître d'attribution de noms de domaine
Le détenteur du rôle maître d'attribution de noms de domaine est le contrôleur de domaine chargé d'apporter des modifications à l'espace de noms des domaines de niveau forêt de l'annuaire.
Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l'annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.
Rôle FSMO – Contrôleur de schéma
Le détenteur du rôle contrôleur de schéma est le contrôleur de domaine chargé d'effectuer les mises à jour vers le schéma d'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il existe un seul contrôleur de schéma par annuaire.
Rôle FSMO – Maître RID
Le détenteur du rôle maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d'un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d'un déplacement d'objet.
Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, il joint à l'objet un ID de sécurité (SID) unique. Il est constitué d'un SID de domaine et d'un ID relatif (RID), unique pour chaque SID d'entité de sécurité créée dans un domaine.
Chaque contrôleur de domaine d'un domaine se voit allouer un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsque le pool de RID d'un contrôleur de domaine tombe en deçà d'un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine.
Rôle FSMO – Maître d'infrastructure
Lorsqu'un objet d'un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l'objet qui est référencé. Le détenteur du rôle maître d'infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d'un objet dans une référence d'objet interdomaine.
Rôle FSMO – Émulateur PDC
L'émulateur PDC est nécessaire pour synchroniser l'heure dans le réseau. Tous les ordinateurs Windows du réseau doivent utiliser une heure commune. L'objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.
L'émulateur PDC situé à la racine de la forêt acquiert l'autorité pour et doit être configuré de façon à percevoir l'heure d'une source externe.
Les modifications de mot de passe exécutées par d'autres contrôleurs de domaine du domaine sont répliquées de préférence sur l'émulateur PDC.
Les échecs d'authentification qui se produisent en raison d'un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l'émulateur PDC avant que l'échec ne soit signalé à l'utilisateur dans un message.
Le verrouillage de compte est traité sur l'émulateur PDC.
Déroulement de la migration
Avant toute opération, il est nécessaire de s'assurer que les deux serveurs communiquent entre eux (test ping), ce qui implique également la spécification de l'adresse DNS du serveur à migrer sur le serveur 2008.
Ensuite, il y a une série de commandes à taper dans l'invite de commande MS-DOS du serveur 2003 afin de préparer la migration de la forêt et du domaine. Lors de ces étapes, un certain nombre de vérifications sont effectuées sur le schéma actuel, ce qui nécessite une attention toute particulière quant au bon déroulement de ces opérations (messages d'erreurs).
Une fois ces préparations effectuées, il faut préparer le serveur 2008 afin que celui-ci puisse accueillir les rôles du serveur 2003. Le serveur 2008 devient donc lui aussi contrôleur de domaine.
La suite de la manipulation consiste au transfert progressif des rôles. On spécifie sur le serveur 2003 le serveur 2008 en tant que Contrôleur Principal de Domaine (CPD) puis on transfère le maître d'attribution des noms de domaine puis enfin le maître RID, l'émulateur PDC et le contrôleur d'infrastructure pour enfin terminer par le transfert du catalogue global.
Les rôles du serveur 2003 sont ainsi « déconnectés » au fur et à mesure ce qui permet ensuite la rétrogradation et l'extinction éventuelle de ce serveur puisque dorénavant, seul le serveur 2008 est contrôleur de domaine.
Analyse des résultats obtenus |
Objectif atteint : Les rôles ont été correctement transférés sur le nouveau serveur. Et l'ancien serveur conserve le catalogue global. Comme on peut le voir dans les logs du serveur 2008 |
Bilan de l'activité : l'importance Les maîtres d'opération au sein d'Active Directory sont très importants. En effet, ces maîtres d'opération ou FSMO sont vitaux pour effectuer certaines opérations sur différents domaines ou forêts. |