Etape 2 : Choisir ses outils de migration

Il existe en fait trois possibilités, plus ou moins complexes pour migrer des données de boîtes aux lettres entre deux organisations. Le choix de l’une d’entre elles se fera en fonction de la complexité des infrastructures déjà existantes mais également en fonction de la durée de la

cohabitation estimée.

Gardez à l’esprit que le plus contraignant sera de maintenir de part et d’autre une cohérence d’annuaire lors des déplacements de boîtes aux lettres.

Une des premières choses à faire avant de se lancer dans le déplacement des boiîes aux lettres est de provisionner dans la forêt cible les utilisateurs qui vont être utilisés pour « recevoir » les boîtes aux lettres déplacées. On parle dans le jargon Exchange de Target Mail Enable user (MEU). Dans la plupart des cas ces utilisateurs seront ceux possédant les boîtes aux lettres de la forêt source. Il faut donc les migrer. Pour ce faire, donc 3 possibilités.

Méthode 1 : (ILM 2007)

La première méthode nécessitant de bonnes connaissances techniques consiste à utiliser une version personnalisée du produit ILM , Microsoft Identity Lifecycle Manager 2007 FP1 (http://www.microsoft.com/windowsserver/ilm2007/default.mspx). Personnalisée, car cette version ne prend pas en charge la gestion de plusieurs attributs requis pour Exchange 2010 et notamment l’attribut msExchMailboxGUID. La synchronisation sera alors réalisée par l’agent Galsync.

Par défaut le processus Galsync ne créé pas un destinataire de type un Mail Enable User. Il faudra donc modifier son comportement.

Pour modifier le comportement de la version ILM SP1, il faut récupérer un code d’exemple (Microsoft.Exchange.Sample.OneWayGALSync.sln) disponible à l’adresse suivante. Vous trouverez des informations quant à son implémentation à l’adresse suivante.

Méthode 2 (ILM & PS1)

La seconde consiste à utiliser malgré tout, le produit Microsoft Identity Lifecycle Manager 2007 FP1 et l’agent Galsync mais en conjonction avec un script PowerShell qui va convertir le contact créé dans l’environnement cible en Mail Enable User. Le script en question s’appelle Prepare-MoveRequest.ps1. Ceci évite par conséquent de modifier le comportement par défaut de l’ILM.

Méthode 3 (PS1 & ADMT)

La troisième méthode consiste à utiliser un produit que l’on ne présente plus : Active Directory Migration Tool (ADMT) et le script Prepare-MoveRequest.ps1. Dans ce cas de figure, le script Prepare-MoveRequest.ps1 va créer directement le compte de destination dans la forêt cible et ADMT sera utilisé pour déplacer certain attribut comme le SID History.

On notera que l’exécution en premier lieu du script permet d’une part de s’assurer de la correcte création des attributs Exchange sur le compte de destination et va permettre d’autre part la conservation des autorisations lors du déplacement. Cet ordre d’exécution est à conserver si vous utiliser une Exchange 2010 antérieure au SP1. Si vous désirez utiliser le Script Prepare-MoveRequest.ps1, il sera nécessaire de l’exécuter depuis le serveur de destination dans l’environnement Exchange PowerShell.

Pour l’exécuter à des fins de création de l’utilisateur distant (MEU) exécuter la commande suivante :
1. $Local = Get-Credential puis indiquer le nom de l’administrateur de la forêt cible en respectant le format domaine\utilisateur, ainsi que son mot de passe
2. $Remote=get-Credential , indiquer le nom de l’administrateur de la forêt source en respectant le format domaine\utilisateur, ainsi que son mot de passe.

Exécuter ensuite la commande suivante :

• Prepare-MoveRequest.Ps1 -Identity "DN d’un utilisateur de la forêt source"
-RemoteForestDomainController "FQDN du Contrôlleur de domaine source" -RemoteForestCredential
$Remote -LocalForestDomainController "FQDN du Contrôlleur de domaine cible"
-LocalForestCredential $Local -TargetMailUserOU "DN de l’UO cible" –UseLocalObject -Verbose

Une fois exécutée, vous devez obtenir un compte utilisateur de messagerie (MEU) désactivé avec les attributs suivants :

legacyExchangeDN, mail, mailnickname, msExchmailboxGuid, proxyAddresses, X500, targetAddress, userAccountControl, userprincipalName

Une fois votre utilisateur généré, il est temps d’exécuter la commande de déplacement depuis le domaine de la forêt cible. Pour cela, exécutez la commande suivante :

• New-MoveRequest -Identity "DN de l’utilisateur dans la forêt cible” -RemoteLegacy -TargetDatabase
"Nom de la base de données 2010 " -RemoteGlobalCatalog " FQDN du Contrôlleur de domaine source "
-RemoteCredential $Remote -TargetDeliveryDomain "nom du domaine cible"

Le commutateur –WhatIf (non indiqué ci-dessus) vous permet de tester avant déplacement si le compte cible est prêt pour la migration.

Pour suivre la progression du processus de migration vous pouvez utiliser la commande suivante :

• Get-MoveRequestStatistics -Identity boiteauxlettres

Une fois la migration effectuée votre utilisateur source sera modifié en « Mail Enable User » puis désactivé. Quant à l’utilisateur cible, son statut passera de « Mail Enable User » en « Mailbox User ».
Il est à noter que le processus de déplacement de boîtes aux lettres ne supprimera pas le compte source.

Comme vous pouvez l’entrevoir le processus est complètement supporté par Microsoft et complètement scriptable. Comme à l’accoutumée, je ne saurais que trop vous inviter à vous familiariser avec ces opérations en utilisant une plateforme de test. La fiabilisation de ces processus de migration va certes apporter la possibilité de pouvoir réorganiser les environnements Exchange, même si les processus décrits ci-dessus ne constituent qu’une partie de la solution.

D’autres points majeurs seront effectivement à régler comme la répartition des flux SMTP entrants/sortants, le mode de prise en compte de ses déplacements par les divers clients de messagerie (Client Pop/Imap/Outlook), la migration des dossiers publics et les problématiques de partage de ressources durant la phase de cohabitation. Autant d’aspects que vous devez impérativement investiguer pour permettre une migration en douceur des services Exchange.

Nous tâcherons dans notre prochaine parution d’une part d’expliciter ces problématiques et de vous donner d’autre part, les outils et méthodes recommandés pour leurs résolutions. En attendant permettez-moi de vous souhaiter une excellente rentrée 2011.