> Tech > 2. Réaliser la mise à  jour

2. Réaliser la mise à  jour

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

2.1 Préparation de la forêt
Nous allons commencer par mettre à jour le schéma Active Directory afin d’intégrer un contrôleur de domaine Windows Server 2008. Le processus est le même que pour les versions précédentes d’Active Directory et de Windows Server comme l’ajout d’un contrôleur de

2. Réaliser la mise à  jour

domaine sous Windows Server 2003 dans un domaine 2000 natif. Il faut d’abord, se connecter sur le serveur qui possède le rôle FSMO « Maitre de schéma ».

Afin de mettre à jour le schéma, vous devez utiliser un compte ayant les droits nécessaires :

– Administrateur du schéma
– Administrateur de l’entreprise
– Administrateur du domaine
Une fois connecté sur votre serveur « Maître de schéma », copiez les sources de votre installation de Windows Server 2008 et plus précisément le répertoire ADPREP (présent sur le DVD d’installation de Windows Server 2008 dans sources\adprep). Lancement de la commande « adprep » pour préparer notre forêt. Adprep.exe /forestprep Nous constatons que le schéma actuel est en version 31.

La version 31 du schéma correspond à une version Microsoft Windows Server 2003 R2. La mise à jour va s’effectuer sur le contrôleur de domaine « DC1 » qui possède le rôle FSMO « Maître de schéma ». La commande s’est bien exécutée : Adprep a réussi la mise à jour dans toute la forêt. Si vous désirez installer des contrôleurs de domaine en lecture seule (RODC), vous devrez également exécuter, dans chacun des domaines cibles de la forêt, la commande suivante : Adprep.exe /rodcprep Pour vérifier la version de votre schéma, utiliser la base de registre. Vérifier la valeur de la clé nommée « Schema Version », localisée dans « HKey_Local_Machine\system\ CurrentControlSet\services\NTDS\Parameters ».

Voici les ajouts d’attributs depuis Windows Server 2003 et les différentes versions du schéma :
– Windows Server 2003 avec 208 attributs ajoutés par rapport 2000 et 49 classes ajoutées (schéma version 30)
– Windows Server 2003 R2 avec 81 attributs ajoutés par rapport 2003 et 29 classes ajoutées (schéma version 31)
– Windows Server 2008 avec 136 attributs ajoutés par rapport 2003 R2 et 10 classes ajoutées (schéma version 44)

2.2 Préparation du domaine
Après avoir préparé notre forêt, nous allons ensuite préparer le domaine qui va accueillir le nouveau contrôleur de domaine sous Windows Server 2008. Cette préparation du domaine doit se faire à la suite de la préparation de la forêt. Se connecter sur le serveur ayant les rôles FSMO « Maître d’infrastructure » avec un compte « Administrateur du domaine ».

Nous pouvons lancer la commande qui va préparer le domaine à accueillir un nouveau contrôleur de domaine en Windows Server 2008 : Adprep.exe /domainprep /gpprep La commande « Adprep.exe /do – mainprep /gpprep » va permettre de préparer le domaine et également mettre à jour certaines permissions sur les stratégies de groupes qui permettront notamment de lancer la fonction « Resultant Set of Policy (RSOP) Planning Mode ». Une fois cette préparation du domaine effectuée, attendre que la réplication soit bien réalisée pour permettre aux modifications de se propager. Après avoir préparé notre infras tructure Active Directory, nous allons pouvoir installer un serveur Windows Server 2008 puis le promouvoir en tant que contrôleur de domaine.

2.3 Installation du rôle Active Directory Domain Services
Après avoir préparé la forêt et le domaine à accueillir un contrôleur de domaine sous Windows Server 2008, nous allons pouvoir installer le rôle « Active Directory Domain Services (AD DS) » sur un serveur membre sous Windows Server 2008. Active Directory Domain Services (AD DS) peut s’installer de 2 manières différentes, via l’assistant d’ajout de rôles présent dans la console « Server Manager » mais également via l’assistant d’installation de AD DS via la commande « DCpromo.exe».

Sur notre futur contrôleur de domaine, nous allons ajouter le rôle « Active Directory Domain Services ». Pour cela, allez dans la console « Server Manager » puis choisir Ajouter des rôles. L’assistant d’ajout des rôles s’ouvre. Sélectionner le rôle « Services de domaine Active Directory ». Le rôle est installé. L’assistant nous propose de lancer la commande « DCpro – mo.exe » pour promouvoir notre contrôleur de domaine.

2.4 Installation du contrôleur de domaine sous Windows Server 2008
Pour promouvoir un contrôleur de domaine, la commande DCPROMO (toujours elle) doit être exécuté sur votre serveur Windows Server 2008. L’assistant se lance. Il faudra choisir d’ « ajouter un contrôleur de domaine à un domaine existant » dans une « Forêt existante », puis saisir le nom de votre domaine qui intégrera le contrôleur de domaine sous Windows Server 2008. Il faudra ensuite définir le site, les options supplémentaires (DNS, Catalogue globale, …), le mode de réplication et l’emplacement des fichiers de la base de données. En cliquant sur « Suivant », l’installation du contrôleur de domaine commence. A la fin de l’installation un redémarrage sera nécessaire.

2.5 Augmentation du niveau fonctionnel
Après avoir migré tous les contrôleurs de domaine dans votre domaine vers 2008, vous pourrez mettre à jour le niveau fonctionnel. Pour vérifier le niveau fonctionnel du domaine, ouvrez la console « Utilisateurs et ordinateurs Active Directory », puis faites un clic droit, « Propriétés » sur votre domaine.

Afin d’augmenter définitivement le niveau fonctionnel de votre domaine, faites un clic droit sur le domaine en question, puis choisir « Augmenter le niveau fonctionnel du domaine » . La migration vers Active Directory 2008 est terminée. Vous pouvez effectuer une défragmentation hors-ligne de la base Active Directory sur tous vos contrôleurs de domaine. Cela permettra de réduire la taille de la base.

Voici quelques vérifications à réaliser pour finaliser la migration :
– Vérifier que les partages NETLOGON et SYSVOL sont bien créés et que le service « File Replication Service » fonctionne sans erreurs.
– Vérifier l’application de vos GPOs en vérifiant la présence de l’événement d’application 1704 sur vos systèmes.
– Vérifier que les enregistrements DNS correspondant aux contrôleurs de domaine sont bien présents dans votre ou vos zones

DNS Cet article vous a présenté les étapes nécessaires à la mise à jour de votre infrastructure Active Directory vers Windows Server 2008.

A noter que la planification et une maquette vous permettront de maîtriser la totalité des opérations à réaliser et éventuellement anticiper les problèmes que vous pourriez rencontrer. La mise à jour d’une forêt Active Directory est une opération importante et doit être sciemment préparée. 

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010