Pré requis de l'ADMT Version 2.0

Sur les deux domaines :

Configurer les DNS pour que leurs « forwarders » pointent vers les domaines inverses. Ainsi, le « forwarder » du domaine source pointe sur le domaine cible et réciproque.
Vérifier que la stratégie de mot de passe des comptes utilisateurs du domaine source

corresponde avec la
stratégie des mots de passe du domaine
cible.

Activer l’audit (succès et échec) pour
la gestion des comptes sur les deux
domaines.

Activer l’Audit en succès et échec
sur l’objet « Utilisateur et groupe
Management » sur le domaine
source (figure 3).
Activer l’audit en échec et succès
sur l’objet « Audit account management
» sur le domaine cible dans la
« Default Domain Controllers policy
» (figure 4).

Créer une relation d’approbation bidirectionnelle
entre les domaines (figure
5a & 5b).

Sur le domaine cible :

Pour que le SID history puisse fonctionner
lors de la migration, passer le
domaine cible au minimum en mode
natif (Figure 6).
S’assurer que le pack 128-bit highencryption
est installé sur le contrôleur
de domaine (celui-ci est installé
par défaut sur Windows 2000 et
2003).
Si le domaine cible est Windows
2003, changer la GPO par défaut des
contrôleurs de domaine. Pour cela,
ouvrir la MMC Users and computers,
cliquer sur « Domain Controller » et
éditer la GPO « Default Domain
Controllers Policy ». Activer l’option :
Network access: Let Everyone permissions
apply to anonymous users
comme l’indique la figure 7.
Sur l’un des contrôleurs de domaine
du domaine cible, le groupe Tout le
monde doit être ajouté dans le
groupe Pre-Windows 2000 Compatibility
Access du domaine cible
afin que la migration des mots de
passe se réalise correctement. Si
cette opération n’est pas faite, ADMT
affichera un message d’erreur d’accès
refusé dans le fichier journal.
Cette commande n’étant pas possible
de la console « Users and
Computers Active Directory », il faut
taper la commande Ms-Dos suivante
et rebooter ensuite.

net localgroup «
Pre-Windows 2000 Compatible Access » Everyone
/Add
Installer et configurer l’ADMT sur le
domaine cible (l’outil se trouve sur le
CD d’installation de Windows 2003
ou sur le site web de Microsoft).
L’installation se fait très simplement
via un assistant.
Se déplacer dans le répertoire d’installation
d’ADMT (par défaut : c:Program Files\Active Directory
Migration Tool) et créer le « password
key » sur le domaine cible. Pour
cela, taper : ADMT key
Cette opération vous créera le fichier
PES dont nous avons parlé précédemment
sur votre disquette. Il faudra
alors installer ce fichier sur le
domaine source dans l’une des
étapes détaillées ci-dessous.

Sur le domaine source :

Ajouter le groupe « Domain admins »
du domaine cible dans le groupe
« Administrators » du domaine source
(figure 8).
Créer un nouveau groupe local
appelé Domaine_Source$$$ (Domaine_
Source étant à remplacer par
le nom netbios du domaine source)
(figure 9).
Installer l’application « ADMT
Password Migration DLL » sur un
contrôleur secondaire de domaine
du domaine source dédié à cet effet
en tant que « Password Export
Server » si vous êtes en environnement
NT sinon utilisez un contrôleur
de domaine pour des domaines
Windows 2000 ou 2003. Assurezvous
qu’il réponde aux pré-requis
minima logiciels à savoir Windows
NT4 SP5 ou Windows 2000 avec le
pack d’encryption 128-bit high encryption
(si votre domaine source
est un domaine Windows 2000).
Cette application se trouve sur
Cd_Drive:\I386\ADMT\PWDMIG et
s’appelle PWDMIG.MSI. Il est possible
qu’il soit nécessaire d’exécuter
l’installeur de Windows Installer s’il
n’est pas déjà installé en lançant le fichier Instmsiw.exe qui se trouve
dans le même répertoire. Lors de
l’installation se lance, elle vous demande
le chemin de votre fichier
.PES (figure 10).
A la fin de l’installation, l’application
vous invite à redémarrer l’ordinateur.
Avant de redémarrer, passez la
valeur de l’entrée AllowPassword-
Export REG_DWORD de 0 à 1 sur la
clé HKEY_LOCAL_MACHINE\System
\CurrentControlSet\Control\LSA.
Toujours sur le contrôleur de domaine
du domaine source, créer la
valeur de l’entrée TcpipClientSupport
REG_DWORD à 1 sur la clé de
registre HKEY_LOCAL_MACHINESystem\CurrentControlSet\Contr
ol\LSA.
Rebooter le serveur.

La préparation de la migration
étant “enfin” achevée, la migration des
comptes de groupes, d’utilisateurs, de
services, d’ordinateurs peut se faire
comme indiqué sur la figure 11 qui indique
un exemple de migration des
comptes utilisateurs et d’ordinateurs.
Il ne faudra pas oublier, une fois la
migration terminée et le domaine
source supprimé, tant en terme de
comptes que d’applications migrés, de
supprimer le SID History. En effet, ces
SID peuvent, lorsqu’il y a beaucoup
d’utilisateurs, représenter une augmentation
conséquente de la base
Active Directory et de plus poser des
problèmes d’authentification dû notamment
au fait qu’un paquet
Kerberos va supporter un nombre limité
d’enregistrements dans le jeton
de sécurité d’un utilisateur. Cela dit,
ceci n’est réellement problématique
que sur de très gros environnements
de plusieurs dizaines de milliers de
comptes.