Migration d'un domaine Windows 2000 vers un domaine Windows 2003
Utilisation de l'utilitaire ADPREP
En insérant le CD Windows 2003 sur un serveur Windows 2000, le programme de setup vous affichera cet écran.
le programme vous invite à récupérer les mise a jour automatiquement.
Le programme de configuration vous fait un rapport sur l'état du système et vous signale ce qui peut être corriger avant de faire cette nouvelle installation. Les points marqués d'une croix en rouge sont des points bloquants, tant que ces points seront signalés vous ne pourrez pas installer Windows 2003 sur un contrôleur de domaine Windows 2000.
Avant toute chose il faut utiliser l'utilitaire ADPREP, voici l'aide affichable dans un interpréteur de commande.
F:\\I386>adprep /?
La commande possède la syntaxe suivante :
adprep <cmd> [option]
Pris en charge <cmd>:
/forestPrep La mise à jour des informations au niveau de la forêt
Doit être exécutée sur le contrôleur de rôle de schéma
/domainPrep La mise à jour des informations au niveau du domaine
Doit être exécutée sur le contrôleur de rôle d'infrastructure
Doit être exécutée lorsque /forestPrep est terminé
Pris en charge [option] :
/noFileCopy adprep ne copie aucun fichier de la source
sur l'ordinateur local
/noSPWarning adprep supprimera l'avertissement demandant Windows 2000
Service Pack 2 lors de l'opération /forestprep
Voici ce que donne le passage de ADPREP
F:\I386>adprep /forestprep
AVERTISSEMENT ADPREP :
Avant d'exécuter adprep, tous les contrôleurs de domaine Windows 2000 dans la fo
rêt devraient être mis à jour à Windows 2000 Service Pack 1 (SP1) avec le correc
tif logiciel QFE 265089, ou à Windows 2000 SP2 (ou ultérieure).
QFE 265089 (inclus dans Windows 2000 SP2 et ultérieure) est requis pour éviter
la
corruption potentielle des contrôleurs de domaine.
Pour obtenir plus d'informations concernant la préparation de votre forêt et de
votre domaine, consultez l'article Q331161 à http://support.microsoft.com.
[Action Utilisateur]
Si TOUS vos contrôleurs de domaine Windows 2000 existants correspondent à cette
configuration, appuyez sur C puis appuyez sur la touche ENTREE pour continuer.
Sinon
appuyez sur n'importe quelle autre touche puis appuyez sur ENTREE pour quitter.
Connexion a ASSYSMSRV ouverte
Liaison SSPI reussie
La version actuelle du schema est 13
Mise a jour du schema a la version 30
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch14.ldf"
Chargement des entrées..........................................................
......................................................
111 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch15.ldf"
Chargement des entrées..........................................................
...........
68 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch16.ldf"
Chargement des entrées..................................
33 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch17.ldf"
Chargement des entrées......................
21 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch18.ldf"
Chargement des entrées.................................
32 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch19.ldf"
Chargement des entrées............................
27 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch20.ldf"
Chargement des entrées....................
19 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch21.ldf"
Chargement des entrées..............
13 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch22.ldf"
Chargement des entrées........................................
39 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch23.ldf"
Chargement des entrées...........
10 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch24.ldf"
Chargement des entrées................
15 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch25.ldf"
Chargement des entrées..............................................
45 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch26.ldf"
Chargement des entrées.............................
28 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch27.ldf"
Chargement des entrées..........................................................
...........
68 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch28.ldf"
Chargement des entrées......
5 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch29.ldf"
Chargement des entrées.......
6 entrées modifiées.
La commande s'est terminée correctement
Connexion à "ASSYSMSRV" en cours
Connexion en tant qu'utilisateur actuel en utilisant SSPI
Importation de l'annuaire à partir du fichier "C:\WINNT\system32\sch30.ldf"
Chargement des entrées................
15 entrées modifiées.
La commande s'est terminée correctement
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
............................................................................
...........................................
Adprep a correctement mis à jour les informations au niveau de la forêt.
F:\I386>adprep /domainPrep
Adprep a correctement mis à jour les informations au niveau du domaine.
Si vous aviez installé un gestionnaire de Fax il vous prévient qu'il en installe un aussi. Vous pourrez le désinstaller par la suite.
Il vous previent aussi si vous avez installer un logiciel de gravage de CDRom.
Après avoir passé ADPREP le message doit avoir disparu.
Toutes ces explications ont été trouvées dans les fichiers install-X.txt sur le CD d'installation.
Le programme d'installation a détecté que le
domaine et la forêt Active Directory doivent être préparés pour Windows Server
2003.
Description
La forêt et les domaines sont préparés via l'exécution de la commande adprep,
respectivement dans le maître d'opérations de schéma et le maître d'opérations
d'infrastructure.
Ce contrôleur de domaine est le maître d'opérations de schéma.
Pour préparer la forêt et les domaines Active Directory, effectuez les
procédures ci-après dans l'ordre indiqué.
Pour préparer un domaine Active Directory pour Windows Server 2003
Pour quitter le programme d'installation, cliquez sur Suivant, sur Terminer,
puis sur Quitter.
À l'invite de commandes, accédez au répertoire \I386 et tapez :
adprep /forestprep
Lorsque vous y êtes invité, tapez C, puis appuyez sur ENTRÉE pour commencer la
préparation de la forêt, ou appuyez sur n'importe quelle autre touche avant
d'appuyer sur ENTRÉE pour annuler.
Une fois que les données de préparation de la forêt ont été répliquées sur
l'ensemble de la forêt, préparez les domaines pour Windows Server 2003 selon la
procédure décrite ci-dessous. L'opération de préparation du domaine doit être
effectuée dans le maître d'opérations d'infrastructure de chaque domaine de la
forêt.
Pour préparer un domaine Active Directory pour Windows Server 2003
Sur le contrôleur de domaine jouant le rôle de maître d'opérations
d'infrastructure, insérez le support d'installation ou connectez-vous à ce
support.
Si l'image de démarrage s'affiche, cliquez sur Quitter.
À l'invite de commandes, accédez au répertoire \I386 du support d'installation
et tapez :
adprep /domainprep
Si la commande est exécutée sur un contrôleur de domaine autre que le maître
d'opérations actuel, le nom de ce dernier s'affiche. Dans ce cas, répétez les
étapes 1 à 3 sur le maître d'opérations actuel.
Une fois que les données de préparation du domaine ont été répliquées sur
l'ensemble du domaine, mettez à niveau le contrôleur de domaine en exécutant le
programme d'installation de Windows Server 2003 (I386\winnt32.exe sur le support
d'installation).
Remarques
Vous ne pouvez pas mettre à niveau les contrôleurs de domaine dans une forêt
sans préparer au préalable la forêt et les domaines à l'aide de la commande
adprep, respectivement sur les maîtres d'opérations d'infrastructure et de
schéma.
En fonction de la planification de réplication de votre organisation, le temps
nécessaire à la propagation des données de préparation peut varier.
Les outils d'administration Windows 2000 ont
été détectés sur votre ordinateur. Les outils d'administration Windows 2000 sont
incompatibles avec les systèmes d'exploitation de la famille Windows Server
2003. Effectuez l'une des opérations suivantes :
Annulez la mise à niveau, désinstallez les outils d'administration Windows 2000
et redémarrez la mise à niveau.
Terminez cette mise à niveau, puis installez le jeu des Outils d'administration
Windows Server 2003 en exécutant le fichier de package Windows Installer
adminpak.msi. Adminpak.msi se trouve dans le répertoire \i386 de votre CD
Windows Server 2003.
Pour plus d'informations sur la configuration requise pour l'installation du jeu
des outils d'administration Windows Server 2003, consultez l'article 304718 de
la Base de connaissances Microsoft ou visitez le site http://www.microsoft.com
Pour administrer à distance les services et les applications serveur à partir
d'un ordinateur exécutant Windows XP Professionnel ou Windows Server 2003,
utilisez Bureau à distance.
Pour la liste des logiciels pris en charge par cette version de Windows,
consultez la liste des logiciels compatibles sur le site Web de Microsoft.
Problèmes d'interopérabilité concernant
Windows 95 et Windows NT 4.0
RÉSUMÉ
Les contrôleurs de domaine Windows Server 2003 implémentent des paramètres de
sécurité par défaut qui protègent les communications des contrôleurs de domaine
contre le détournement ou autre forme de falsification. Certains ordinateurs
anciens ne peuvent pas satisfaire à ces exigences de sécurité et ne peuvent donc
pas communiquer avec des contrôleurs de domaine Windows Server 2003 sans une
intervention administrative.
Les machines concernées comprennent les ordinateurs Windows for Workgroups et
Windows 95 où le Pack Client DS n'a pas été installé, les ordinateurs exécutant
une version de Windows NT 4.0 antérieure au Service Pack 4 ainsi que les
périphériques, notamment Pocket PC 2002 et les versions précédentes, basés sur
Windows CE version 4.1 ou antérieure.
SIGNATURE SMB
Par défaut, les contrôleurs de domaine Windows Server 2003 nécessitent que tous
les clients signent numériquement les communications SMB. Le protocole SMB est
utilisé pour assurer le partage des fichiers et de l'impression, diverses
fonctions d'administration à distance, ainsi que l'authentification de connexion
pour certains clients de niveau inférieur. Les ordinateurs Windows for
Workgroups et Windows 95 dépourvus du Pack Client DS, les ordinateurs exécutant
une version de Windows NT 4.0 antérieure au Service Pack 3 et les périphériques,
notamment Pocket PC 2002 et les versions précédentes, basés sur Windows CE
version 4.1 ou antérieure, ne sont pas en mesure d'effectuer la signature SMB et
ne peuvent donc pas, par défaut, se connecter à des contrôleurs de domaine
Windows Server 2003. Si de tels clients ne peuvent pas être mis à niveau vers un
système d'exploitation actuel ou de façon à satisfaire aux exigences minimales
décrites plus haut, l'obligation de signature SMB peut être supprimée en
désactivant la stratégie de sécurité suivante dans l'objet Stratégie de groupe
du contrôleur de domaine par défaut de l'unité d'organisation des contrôleurs de
domaine :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies
locales\Options de sécurité\Serveur réseau Microsoft : Signer numériquement les
communications (toujours)
Des instructions détaillées sur la façon de modifier ce paramètre sont fournies
plus bas.
Avertissement : La désactivation de ce paramètre de sécurité expose toutes les
communications de vos contrôleurs de domaine à des attaques de type intrusion.
Il est donc vivement recommandé de mettre à niveau vos clients plutôt que de
désactiver ce paramètre de sécurité. Le Pack Client DS, requis pour que les
clients Windows 95 puissent effectuer la signature SMB, est disponible dans le
sous-répertoire \clients\win9x du CD-ROM Windows 2000 Server.
SIGNATURE DES CANAUX SÉCURISÉS
Par défaut, les contrôleurs de domaine Windows Server 2003 nécessitent que
toutes les communications par canaux sécurisés soient signées ou cryptées. Les
canaux sécurisés sont utilisés par les ordinateurs Windows NT pour les
communications entre membres de domaine et contrôleurs de domaine, ainsi
qu'entre des contrôleurs de domaine ayant une relation d'approbation. Les
ordinateurs exécutant une version de Windows NT 4.0 antérieure au Service Pack 4
ne sont pas en mesure de signer ou de crypter les communications par canaux
sécurisés. Si des ordinateurs Windows NT 4.0 de version antérieure à SP4 doivent
joindre ce domaine, ou si ce domaine doit approuver d'autres domaines contenant
des contrôleurs de domaine pré-SP4, l'obligation de signature des canaux
sécurisés peut être supprimée en désactivant la stratégie de sécurité suivante
dans l'objet Stratégie de groupe du contrôleur de domaine par défaut :
Configuration de l'ordinateur\Paramètres Windows\Paramètres de
sécurité\Stratégies locales\Options de sécurité\Membre de domaine : Crypter ou
signer numériquement les données des canaux sécurisés (toujours)
Des instructions détaillées sur la façon de modifier ce paramètre sont fournies
plus bas.
Avertissement : La désactivation de ce paramètre de sécurité expose les
communications des canaux sécurisés à des attaques de type intrusion. Il est
donc vivement recommandé de mettre à niveau vos ordinateurs Windows NT 4.0
plutôt que de désactiver ce paramètre de sécurité.
MODIFICATION DE L'OBJET STRATÉGIE DE GROUPE DU CONTRÔLEUR DE DOMAINE PAR DÉFAUT
Pour vous assurer que tous les contrôleurs de domaine appliquent les mêmes
exigences de signature SMB et de canaux sécurisés, définissez les paramètres de
sécurité correspondants dans l'objet Stratégie de groupe du contrôleur de
domaine par défaut, en procédant comme suit :
Ouvrez une session sur un ordinateur où le composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory est installé.
Démarrer --> Exécuter --> DSA.MSC
Développez le domaine qui contient vos contrôleurs de domaine Windows Server
2003.
Cliquez avec le bouton droit sur l'unité d'organisation des contrôleurs de
domaine, puis cliquez sur Propriétés.
Cliquez sur l'onglet Stratégie de groupe, sélectionnez la stratégie par défaut
des contrôleurs de domaine, puis cliquez sur Modifier.
Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité,
Stratégies locales et Options de sécurité.
Dans le volet de résultats, double-cliquez sur l'option de sécurité que vous
souhaitez modifier. Par exemple, Serveur réseau Microsoft : communications
signées numériquement (toujours) ou Membre de domaine : Crypter ou signer
numériquement les données des canaux sécurisés (toujours).
Activez la case à cocher Définir ce paramètre de stratégie.
Activez ou désactivez ce paramètre de sécurité, selon vos besoins, puis cliquez
sur OK.
Voici la suite, c'est bien sûr une mis à niveau et non pas une nouvelle installation.
Il faut accepter les termes du contrat.
Vous n'avez plus qu'a saisir la clé et continuer l'installation.
