Utilisation d’AD Migration Tool

Récemment nous avons été confrontés à une problématique : comment transférer tous les comptes utilisateurs que nous avons sur un Active Directory vers un autre AD qui n’est pas dans la même organisation tout en conservant les mots de passe ? La réponse nous est apportée par l’utilisation de l’outil Microsoft « AD Migration Tool ».

Cet outil va nous permettre de choisir les comptes que l’on veut migrer ainsi que plusieurs options de migration permettant de restructurer la forêt Active Directory pour avoir une arborescence plus propre. Son utilisation est assez simple mais l’installation nécessite un peu de temps. De plus il ne permet pas de récupérer les mots de passe sans installer un autre produit qui s’appelle « Password Export Server ». Nous verrons donc dans ce billet comment installer les deux outils et comment les utiliser.

Environnement d’installation

Avant de vous expliquer comment installer et utiliser l’outil, nous allons parler de l’environnement d’installation. Nous avons deux forêts Active Directory indépendantes et gérées chacune par un contrôleur de domaine différent. Notre première forêt est alinto.net et elle est gérée par le serveur « WIN-XDE664KPBHB.alinto.net » alors que la seconde est la forêt alinto2010.net et elle est gérée par le contrôleur « WIN-75DFJJ7FHDG.alinto2010.net ». Nous nous assurons que les deux forêts peuvent communiquer entre elles en faisant un ping d’un serveur d’une forêt vers un serveur de l’autre forêt. Si la requête fonctionne dans les deux sens nous pouvons passer à la suite.

Nous allons ici déplacer des comptes du domaine alinto.net vers le domaine alinto2010.net. Il nous faudra donc un serveur dans le domaine alinto2010.net sur lequel nous installerons AD Migration Tool.

Préparer l’installation d’AD Migration Tool

Pré-requis

La relation d’approbation

Le principal pré-requis à l’installation d’AD Migration Tool est d’établir une relation d’approbation entre les deux domaines. Pour cela rendez-vous sur l’un des deux contrôleurs de domaine et lancez « Active Directory Domains and Trusts », faites un clic droit sur votre forêt puis allez dans « properties », onglet « Trusts ». Vous arrivez sur cette fenêtre.Cliquez alors sur « New Trust », il vous suffit alors de vous laissez guider en commençant par indiquer le nom du domaine distant.Puis choisir l’option « Forest Trust ». Si cette option n’apparaît pas c’est que la communication entre les deux contrôleurs de domaines ne passe pas correctement. Il vous faudra résoudre ce problème avant de pouvoir aller plus loin.Ensuite nous choisissons l’option Two-way pour que la relation d’approbation se fasse dans les deux sens.De même sur l’écran suivant nous choisissons que l’approbation se fasse sur les deux domaines.Enfin il nous reste à indiquer un compte administrateur du domaine distant. Pour les options qui suivront choisissez les options par défaut.

Une fois la relation d’approbation validée vous verrez ceci dans la fenêtre des propriétés de votre forêt.

Ajouter les Utilisateurs

Pour pouvoir faire fonctionner AD Migration Tool il faudra que l’utilisateur qui lancera la migration soit dans le groupe d’administrateurs des deux domaines. Nous avons choisis de lancer la migration en tant qu’administrateur et pour simplifier les choses nous allons ajouter l’administrateur de chacun des domaines dans le groupe administrateur de l’autre domaine.

Pour cela lancez « Active Directory Users And Computers », dans le dossier « Builtin » vous verrez un groupe « Administrators »; double cliquez dessus et rendez-vous dans l’onglet « Members ».

Cliquez sur « Add… ». Changez la « location » en choisissant la forêt distante.Puis cherchez l’administrateur du domaine distant.Une fois l’administrateur ajouté vous devriez avoir ceci.Renouvelez l’opération sur le contrôleur du second domaine.

Installer SQL server Express

Avant de vous lancer dans l’installation à proprement parler d’AD Migration Tool, il faut savoir certaines choses. L’installation d’AD Migration Tool est fortement déconseillée sur un contrôleur de domaine, il est préférable de l’installer sur un autre serveur qui se situe dans le domaine cible. Ceci s’explique par l’incompatibilité avec SQL Server Express 2008 sur un contrôleur de domaine. Il y a des solutions qui permettent tout de même l’installation d’AD Migration Tool sur un contrôleur de domaine mais nous préférons ici nous conformer aux bonnes pratiques.

Il faut donc installer, sur le serveur choisi pour orchestrer la migration, SQL Server Express disponible ici.

 Installer AD Migration Tool

Commencez par télécharger AD Migration Tool qui est disponible ici. Pour rappel nous installons AD Migration Tool sur une machine du domaine cible (alinto2010.net) qui n’est pas un contrôleur de domaine.

Lors de l’installation la seule chose qu’il faudra indiquer est l’instance SQL server sur laquelle se connecter. Dans notre cas (instance sqlexpress sur la machine locale) l’instance sql est « .\SQLEXPRESS ».

Une fois l’installation d’AD Migration Tool terminée nous pouvons commencer à transférer les comptes d’un AD vers l’autre. Mais il nous manquera les mots de passe. Pour pouvoir exporter les mots de passes il faut installer « Password Export Server », qui se trouve ici, sur un contrôleur de domaine du domaine cible (alinto.net).

Avant d’installer PES il faut créer une clé de cryptage sur le serveur AD Migration Tool. Cette clé sera partagée par le serveur AD Migration Tool et le serveur d’export de mots de passe pour crypter et décrypter les mots de passe.

Créer Une clé de cryptage

Pour créer la clé de cryptage, rendez-vous sur le serveur AD Migration Tool et ouvrez une console powershell et lancez la commande suivante :

admt key /option:create /sourcedomain:alinto.net /keyfile:c:\key.pes

en remplaçant le nom de domaine et le chemin à votre convenance. Vous pouvez sécuriser votre clé avec un mot de passe grâce à l’option « keypassword ».

Installer PES

Avant de procéder à l’installation de Password Export Server, copiez la clé de cryptage créée à l’étape précédente et collez-là sur le contrôleur de domaine du domaine source.

Ensuite il suffit de lancer l’exécutable téléchargé. Il devrait trouver tout seul la clé de cryptage. Il n’y a pas de paramètre à modifier lors de l’installation. Il faudra toutefois redémarrer le contrôleur de domaine pour finaliser l’installation. Une fois l’installation terminée, pour activer la fonctionnalité il faudra activer le service Password Export Server (toujours sur le contrôleur de domaine source); ce service n’est pas démarré automatiquement car il ne faut le laisser tourner que pendant la phase de migration et le couper une fois celle-ci terminée.

La phase fastidieuse est maintenant terminée, nous pouvons passer à l’utilisation de l’outil.

Utilisation d’AD Migration Tool

Pour utiliser AD Migration Tool, connectez vous sur le serveur sur lequel il est installé et lancez le programme « Active Directory Migration Tool ». Nous ne vous montrerons ici que la migration d’un utilisateur mais l’outil permet également de migrer les groupes ou les ordinateurs entre autres. Voici la fenêtre principale d’AD Migration Tool.Cliquez sur Action puis User Account Migration Wizard, vous arrivez ici après avoir cliquer sur next:Ici il faut indiquer le domaine source et le domaine destination. L’outil vous propose la liste des contrôleurs de domaine pour chacun des domaines choisis. Choisissez ensuite l’option « Select users from domain » puis « Add… ». vous aurez une fenêtre permettant de chercher l’utilisateur dans le domaine source.Une fois l’utilisateur sélectionné vous devrez spécifier l’OU destination. pour nous ce sera dans le dossier « Users » sur notre nouveau domaine.Pour migrer le mot de passe de l’utilisateur il faut cocher l’option « Migrate passwords » sur l’écran suivant et choisir le serveur source.Les dernière options que l’on choisira pour la migration sont « Target same as source » et « Fix users’ group memberships »; puis on laissera les options par défaut. Sachez toutefois qu’il est possible de désactiver le compte source ou le compte de destination, et même de désactiver le compte source au bout d’un certain délai. De même on peut importer les groupes dans lequel l’utilisateur se trouve automatiquement.

Il ne vous reste plus qu’à valider et la migration se déroule. Une fois terminée vous devez avoir la fenêtre suivante qui vous indique qu’il n’y a pas eu d’erreur.Votre compte est maintenant disponible sur votre nouveau domaine. Il faut cependant faire attention, l’outil force l’option « l’utilisateur doit changer son mot de passe », si vous voulez donc que l’utilisateur conserve son mot de passe il faut aller dans l’AD et désactiver cette option pour l’utilisateur.

La ligne de commande

AD Migration Tool est aussi utilisable en ligne de commande. Toutes les options sont disponibles comme dans l’interface graphique. La ligne de commande vous permettra de l’utiliser dans vos scripts powershell par exemple.

Voici un exemple de la ligne de commande:

admt user /SD:$SrcDomain /TD:$TgtDomain /TO:$TgtDomainOU /PO:COPY /PS:$PassExpServer /N:$userSam

les options sont les suivantes :

  • SD : domaine source
  • TD : domaine cible
  • TO : OU du domaine cible
  • PO:COPY : copier le mot de passe
  • PS : serveur d’export de mots de passe
  • N :  nom de l’utilisateur

La migration d’utilisateur d’un AD vers un autre n’a maintenant plus de secrets pour vous. La tâche fastidieuse qui consiste à créer vos utilisateurs à la main sur un domaine puis sur un autre n’est plus qu’un lointain souvenir.

5 réflexions sur “ Utilisation d’AD Migration Tool ”

  1. Quentin sur

    Il faut installer et activer le service PES sur le controlleur de domaine « Source » et non sur la « Cible ».

    Attention redémarrage requis.

  2. Quentin sur

    La clé doit être générée sur le serveur dans le domaine « Cible » et copier sur le controlleur de domaine « Source » pour que le service PES le trouve.

  3. Fred Hilbert sur

    Bonjour,

    Merci pour l’article.

    Pour info, le lien de téléchargement est mort 🙁

    • charles sur

      Mais de rien,
      Pour retrouver l’outil, faites une recherche du type « microsoft admt download »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *