Installation et configuration d'ADMT

L'outil Active Directory Migration Tool (ADMT) est disponible au téléchargement sur le site web Microsoft et nécessite une instance Microsoft SQL Server préconfigurée pour stocker ses données sous-jacentes.

• Pour les utilisateurs de SQL Server Express : ADMT doit être installé et fonctionner directement sur le serveur hébergeant l'instance de base de données SQL Server Express.
• Pour les utilisateurs de SQL Server complet : Vous avez la flexibilité d'installer et d'exécuter la console ADMT sur une machine distante, avec la possibilité d'exploiter plusieurs consoles ADMT sur différents ordinateurs distants.

Conditions préalables et recommandations pour ADMT

• Le compte utilisé pour la migration ADMT doit être un administrateur de domaine dans le domaine cible.
• Il doit également être membre du groupe Administrateurs dans le domaine source.
• De plus, le compte administrateur du domaine cible doit être ajouté au groupe Administrateurs dans le domaine source pour faciliter la confiance et les autorisations de migration.
• ADMT doit être installé sur la machine sur laquelle ADManager Plus est installé.
• Après l'installation d'ADMT, redémarrez ADManager Plus pour vous assurer que l'invite de commande reconnaît le programme nouvellement installé.
• Un groupe vide nommé <DomainDNS>$$$ doit être créé dans les domaines source et cible.
• Avant d'installer ADMT, assurez-vous que toutes les versions précédentes sont supprimées via Ajout ou suppression de programmes dans le Panneau de configuration.
• Bien qu'ADMT ne prenne pas en charge les mises à niveau directes, vous pouvez réutiliser une base de données SQL Server existante v3.0 et supérieures. Les bases de données SQL Server v1.0 et v2.0 ne sont pas compatibles.
• Évitez d'installer ADMT sur des serveurs exécutant Server Core ou un contrôleur de domaine en lecture seule (RODC) pour des performances optimales.
• Lors de la configuration de SQL Server, vous avez deux options :
• Installer SQL Server Express localement.
• Utiliser une instance SQL Server existante pour créer la base de données ADMT nécessaire.
• Pour de meilleurs résultats, il est recommandé d'installer ADMT sur le contrôleur de domaine cible.
• Connectez-vous à la machine sur laquelle ADMT est installé en utilisant le compte de service ADManager Plus ou exécutez les installations de SQL Server et ADMT avec ce compte. Cela aide à éviter les problèmes liés aux autorisations lors de l'installation et de l'exécution.

Configuration de SQL Server pour ADMT

ADMT v3.2 nécessite une instance SQL Server préconfigurée comme magasin de données. Si vous choisissez d'utiliser SQL Server Express, assurez-vous qu'il répond aux exigences suivantes :

• SQL Server 2005 Express doit être installé avec Service Pack 3 (SP3) et supérieures.
• SQL Server 2008 Express nécessite Service Pack 1 (SP1) et supérieures.

Remarque :

1. Assurez-vous que le compte de service utilisé pendant l'étape Server Configuration de l'installation de SQL Server est le même que celui utilisé tout au long du processus de migration, y compris dans la configuration Domain settings d'ADManager Plus.

2. Sur la page Database Engine Configuration , sélectionnez Windows authentication mode et ajoutez le compte de service de migration sous Specify SQL Server administrators pour assurer les autorisations correctes.

Installation d'ADMT

Pour installer ADMT, vous aurez besoin de privilèges administratifs ou d'autorisations équivalentes. Suivez ces étapes pour terminer l'installation :

1. Double-cliquez sur admtsetup32.exe à partir du package de téléchargement d'ADMT pour lancer le programme d'installation.
2. Sur la page Page d'accueil , confirmez que tous les prérequis et recommandations ont été respectés, puis cliquez sur Suivant.

3. Acceptez le contrat de licence et continuez en cliquant sur Suivant.

4. Sur la page Page de sélection de la base de données , entrez le Database (Server\Instance) nom. Pour les installations locales, vous pouvez utiliser un point (« . ») pour représenter le serveur local. Par défaut, l'instance SQL Server Express est nommée SQLEXPRESS.
   • Par exemple, pour utiliser une instance SQL Server Express par défaut sur le serveur local, entrez « .\SQLEXPRESS ».
   
5. Si SQL Express est sélectionné et que le ADMT.mdf fichier de base de données est introuvable à l'emplacement par défaut (%windir%\ADMT\Data), la page Database Import s'affichera. Si le fichier est présent, ADMT l'attachera automatiquement, et la page Summary s'affichera.
• Sur la page Database Import page, si vous ne souhaitez pas importer de données, sélectionnez No, do not import data from an existing database (par défaut). Si vous devez importer des données à partir d'une installation ADMT antérieure, sélectionnez Yes, import data from an existing ADMT v3.0 or ADMT v3.1 database, puis accédez à l'emplacement du fichier.
• Avant d'importer des données à partir d'une base de données existante, assurez-vous de détacher le fichier de base de données de SQL Server à l'aide des commandes SQL Server appropriées.
6. Enfin, vérifiez les détails sur la Summary page, et cliquez sur Finish pour terminer l'installation.

Exigences de migration sIDHistory

Pour migrer avec succès sIDHistory, assurez-vous que les dépendances suivantes sont en place :

1. Activer l'audit des réussites et des échecs

   Les domaines source et cible nécessitent un audit de la gestion des comptes. Pour activer cette option, accédez à Default Domain Controllers Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

   • Cliquez avec le bouton droit sur Audit account management et sélectionnez Properties.
   • Cochez la case Define these policy settings, et activez les options Success et Failure .
   • Cliquez sur OK pour appliquer.

   

   

2. Créer un groupe local vide

   Dans le domaine source, créez un groupe local vide nommé « {SourceNetBIOSDom}$$$ ».

3. Configuration du registre

   Sur le contrôleur de domaine principal du domaine source, définissez la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport à 1.

4. Redémarrer le contrôleur de domaine principal

   Après la configuration du registre, redémarrez le contrôleur de domaine principal du domaine source pour que les modifications prennent effet.

5. Droits d'administrateur

   Le compte utilisateur effectuant la migration doit disposer de droits d'administrateur dans les domaines source et cible.

Facultativement, ADMT peut réparer automatiquement toute dépendance qui n'est pas correctement configurée. Pour utiliser cette fonctionnalité, assurez-vous que le compte exécutant ADMT dispose des autorisations suffisantes dans chaque domaine pour apporter ces modifications.

Installation de la DLL de migration de mots de passe ADMT

Pour migrer avec succès les mots de passe des utilisateurs du domaine source vers le domaine cible, la DLL de migration de mots de passe ADMT doit être installée sur le contrôleur de domaine du domaine source.

Suivez les étapes ci-dessous pour installer la DLL de migration de mots de passe ADMT :

1. Avant d'installer la DLL de migration de mots de passe ADMT, vous devez créer une clé de chiffrement à partir du contrôleur de domaine exécutant ADMT dans le domaine cible. Exécutez ADMT Key /Option:Create /SourceDomain: <SourceDomainName> /KeyFile:C:\FMP\FileMigPass.pes /KeyPassword: <Password> dans l'invite de commandes avec des privilèges administrateur pour créer la clé de chiffrement.

   

2. Sur la page Bienvenue dans l'Assistant Installation de la DLL de migration de mots de passe ADMT page, cliquez sur Suivant.

   

3. Acceptez le contrat de licence et continuez en cliquant sur Next.

   

4. Sur la page Encryption File page, cliquez sur Browse et choisissez le fichier clé créé sur la machine où ADMT est installé. Cliquez sur Next.

   

   

   

5. Entrez le mot de passe utilisé lors de la création de la clé de chiffrement à l'étape 1, puis cliquez sur OK.

   

6. Sur la page Prêt à installer la DLL de migration de mots de passe ADMT page, cliquez sur Install pour commencer l'installation.

   

7. Maintenant, exécutez le service Password Export Server (PES) en tant que compte ADMT dans le domaine cible. Entrez le mot de passe et cliquez sur OK.

   

8. Cliquez sur OK dans la boîte de dialogue indiquant que le droit « Log On As A Service » a été accordé au compte spécifié.

   

9. Pour quitter l' Setup Wizard, cliquez sur Finish.

   

10. Cliquez sur Yes redémarrer le contrôleur de domaine et terminer l'installation de la DLL de migration de mot de passe ADMT.

    

Démarrage du service Password Export Server

Après le redémarrage du contrôleur de domaine, les services Password Export Server doivent être démarrés manuellement. Pour démarrer le service :

1. Accédez à Démarrer > Outils d'administration > Services.
2. Sélectionnez Password Export Server Service sur la page Services (local) , puis cliquez sur Démarrer.

Le service Password Export Server est maintenant en cours d'exécution comme indiqué dans la colonne État .

Meilleures pratiques de migration

• Sauvegardes régulières: Il est crucial de sauvegarder régulièrement les contrôleurs de domaine dans les domaines source et cible pendant le processus de migration. Si vous migrez des ordinateurs contenant des partages de fichiers, pour la translation de sécurité, assurez-vous que ces machines sont également sauvegardées tout au long de la migration.
• Tester d'abord la migration: Avant de commencer une migration complète, créez un utilisateur de test et ajoutez-le aux groupes globaux nécessaires. Vérifiez l'accès aux ressources avant et après la migration pour confirmer que tout fonctionne correctement.
• Tester dans un environnement contrôlé: Exécutez toujours vos scénarios de migration dans un environnement de test avant d'apporter des modifications à l'environnement de production actif. Cela permet d'identifier et de résoudre les problèmes potentiels dès le début.
• Disposer d'un plan de récupération: Un bon plan de récupération est essentiel. Testez-le minutieusement au cours de la phase de pré-migration pour assurer son efficacité en cas de besoin.
• Synchronisation de l'heure : Assurez-vous que l'heure du système est synchronisée sur tous les domaines impliqués dans la migration. Une heure désalignée peut entraîner l'échec de l'authentification Kerberos, donc cette étape est critique pour un processus de migration en douceur.

Limitations d'ADMT

1. Support du système d'exploitation obsolète

   ADMT a été initialement publié pour supporter les migrations vers Windows 2000 et Windows Server 2003. Il n'a pas été mis à jour pour supporter les systèmes d'exploitation plus récents, notamment :

   • Windows 11
   • Windows 10
   • Windows 8.1
   • Windows Server 2022
   • Windows Server 2019
   • Windows Server 2016
   • Windows Server 2012 R2
2. Problèmes avec un système d'exploitation non pris en charge

   Lors de l'exécution d'ADMT sur un système d'exploitation non pris en charge, vous pouvez rencontrer les problèmes connus suivants :

   • Les profils utilisateur ne peuvent pas être migrés vers ou depuis un système d'exploitation plus récent que Windows 7 ou Windows Server 2008 R2.
   • ADMT est incompatible avec les paramètres de sécurité utilisés par les systèmes d'exploitation modernes.
   • ADMT n'a pas été testé avec les versions plus récentes de Microsoft SQL Server, ce qui peut entraîner des incompatibilités ou des erreurs.
3. Échecs de migration avec caractères spéciaux

   Les tentatives de migration échoueront si les noms d'objet ou les noms d'unité d'organisation contiennent des caractères spéciaux tels que des guillemets doubles lors de l'utilisation des options de ligne de commande d'ADMT.

4. Incompatibilité avec Windows Defender Credential Guard

   ADMT ne fonctionnera pas sur les appareils ayant Windows Defender Credential Guard activé. Vous pouvez rencontrer des erreurs telles que :

   "Failed to move source object CN=User1. Verify that the caller's account is not marked sensitive and therefore cannot be delegated. hr=0x8009030e. No credentials are available in the security package."

   Solution: Désactivez temporairement Credential Guard sur le serveur ADMT.

   Remarque: Consultez toujours votre équipe de sécurité avant de modifier les paramètres de Credential Guard, et assurez-vous de sauvegarder le serveur ADMT avant d'apporter des modifications.

5. Exigence de délégation sans contrainte

   Au cours de la migration, ADMT exige que les contrôleurs de domaine utilisent la délégation sans contrainte, ce qui n'est plus recommandé.

   Solution: Installez et exécutez ADMT sur le contrôleur de domaine cible pour éliminer le besoin de délégation.

6. Attributs exclus lors de la migration

   Lorsque vous exécutez la migration utilisateur ADMT pour la première fois, l'outil génère une liste d'exclusion d'attributs système, qui est stockée dans sa base de données. Par défaut, cette liste d'exclusion contient deux attributs : mail et proxyAddresses. De plus, ADMT analyse le schéma du domaine cible et exclut automatiquement tous les attributs non présents dans le schéma de base.

   Solution: Les administrateurs ne peuvent modifier la liste d'exclusion d'attributs système qu'à l'aide d'un script.

   Par exemple, pour supprimer les mail et proxyAddresses attributs de la liste d'exclusion :

   • Copiez et collez le code suivant dans un document Notepad, puis enregistrez-le avec une extension .vbs (par exemple, DisplayExclusionList.vbs): Set o = CreateObject("ADMT.Migration") WScript.Echo o.SystemPropertiesToExclude
   • Ouvrez une invite de commande administrative, accédez à C:\Windows\SysWow64, et exécutez la commande suivante pour exécuter le script : cscript.exe <Emplacement où le script DisplayExclusionList.vbs est stocké>\DisplayExclusionList.vbs
   • Vérifiez la liste des attributs exclus, notamment mail et proxyAddresses, dans la sortie affichée.
   • Après avoir confirmé que seuls les attributs nécessaires sont exclus, modifiez la liste d'exclusion en exécutant les étapes suivantes :
     • Copiez le script suivant dans un document Notepad, puis enregistrez-le avec une extension .vbs , telle que ExclusionList.vbs : Set o = CreateObject("ADMT.Migration")o.SystemPropertiesToExclude = "<List of attributes from previous step after removing mail and proxyAddresses>"
     • Exécutez le script à l'aide de la commande suivante : cscript.exe <Emplacement où le script ExclusionList.vbs est stocké>\ExclusionList.vbs

Cela vous permet d'ajuster les attributs exclus lors de la migration selon vos besoins.