Requête SQL

Aborder une migration Active Directory 2003 vers 2012

L’année 2015 est l’année charnière pour une migration d’un Active Directory 2003 ou 2008 vers le nouvel environnement Windows Server 2012. En effet, la fin du support de Windows 2003 incite à basculer vers WS 2012 R2.

Les utilisateurs accédant depuis leur poste de travail aux ressources informatiques de l’entreprise, l’authentification, ainsi que la gestion des droits sont au cœur de la définition même de la notion d’accès sécurisé.

L’Active Directory est l’épine dorsale d’un système d’information sécurisée tant qu’il est maintenu et mis à jour. Généralement constitué d’une seule forêt et d’un ou plusieurs domaines, son organisation trop souvent calquée sur l’organisation générale de l’entreprise pourrait s’avérer être jusqu’à présent un frein voire un cauchemar à la perspective même d’une migration.

Cependant, la migration Active Directory reste plus que jamais le projet à mener en cette année 2015 et s’avère désormais bien moins complexe qu’il n’y paraitrait. D’autant qu’une migration Active Directory est un évènement sur le plan technique et fonctionnelle pour les administrateurs et exploitants, car, c’est l’opportunité de réorganiser et de simplifier la gestion de l’administration et l’exploitation du système d’information.

w8f-windows-server-2012

Donc, avant de migrer, il faut commencer par définir une cible en accord avec la trajectoire de l’entreprise. Les questions de réorganisation se poseront alors, soit la conservation d’une même arborescence, soit une refonte, et quel design pour la meilleure optimisation. Pour obtenir les réponses à ces questions, il convient de respecter a minima les 3 étapes clés suivantes :

D’abord établir un état de santé de votre annuaire à un instant T, de constater et d’acter les corrections à apporter.  Des outils Microsoft (AD topology, DCDiag,…) permettent, à moindre coût de réaliser un audit complet ; cependant, il est plutôt préconisé de le faire réaliser par un expertise extérieure afin de bénéficier d’une certaine objectivité technique.

La seconde étape est de prendre en compte l’infrastructure globale, celle de chaque site et chaque serveur ; connaître les rôles et services installés sur les serveurs est primordial afin de définir ce qui est à conserver ou à modifier, en parallèle, il faut vérifier les capacités d’accueil des nouveaux matériels (baie de stockage, rack, ressources virtuelles, salle serveur…) et d’anticiper les ajustements d’aménagement.

La troisième et dernière étape est de mesurer la compatibilité applicative pour déterminer les impacts sur les logiciels de l’entreprise et anticiper les actions à mener pour avoir à modifier les applications et/ou contacter les éditeurs. Cette partie est la plus conséquente à traiter car souvent techniquement dans une application métier, les éléments comme le connecteur LDAP, les noms de domaine ou compte de services sont relativement simples à identifier et à changer, il sera souvent difficile d’obtenir les interruptions de services ou de planifier la migration d’une application dans le planning projet. Au-delà de cette contrainte de délai, les applications le plus souvent gérées par les éditeurs engendreront l’obtention d’un budget complémentaire, souvent à la charge des métiers. Un inventaire des applications avec leur compte de service et les groupes d’appartenance des utilisateurs est un véritable avantage dans une phase préparatoire pour entreprendre sereinement une migration des environnements applicatifs.

Une fois la cible définie, il faut définir une trajectoire pour faire aboutir le projet car les délais peuvent être longs pour sa réalisation ; il faut compter en moyenne un an de réalisation, entre la phase d’étude et la stabilisation du nouvel AD  (Cette durée est une moyenne pour environ 25 DC, 140 serveurs applicatifs, 3000 comptes, 2800 postes). Pour accélérer la mise en place de la nouvelle infrastructure, il faut inclure une phase d’études et de mesure d’impacts qui permettront de définir à l’avance les scénarios de migration propres aux applications. Automatiser et industrialiser les configurations des serveurs permettront également de réduire considérablement la durée de mise en place et déploiement ;  il faut opter pour des outils comme WDS, SCCM, ou encore utiliser la fonctionnalité de clonage de Windows Server 2012 R2.

Le scénario de mise en place des nouveaux contrôleurs de domaine doit quant à lui être orienté vers la nouvelle architecture cible. L’objectif premier est de construire un nouvel environnement d’accueil de l’infrastructure Active Directory puis d’y greffer peu à peu le nouvel environnement de production. Se dessine alors un scénario de coexistence (domaine actuel et nouveau domaine côte à côte). Cela permet de mutualiser les actions techniques sur les deux domaines simultanément et de réaliser une migration par palier ou par site. Certains outils comme Quest Migration Manager for AD  (Dell Software) permet de gérer ce plan de coexistence. Les serveurs de fichiers, la gestion des données et des sécurités associées doivent perdurer durant le processus de migration.

Techniquement une migration AD se découpe en 5 phases principales :

– Audit et les corrections
– Mise en place de la nouvelle infrastructure par industrialisation
– Migration des comptes utilisateurs et des ordinateurs
– Migration des serveurs de ressources (impression, fichiers,…)
– Migration des applications sans oublier les bascules DHCP, DNS…

Pour chacune de ces phases, 4 recommandations sont indispensables à la continuité de service. Il faut avoir :

– Réalisé les scénarios de migration
– Réalisé les mesures d’impacts
– Sauvegardé les environnements
– Prévu un scénario de retour arrière.

La technicité nécessaire à une migration Active Directory ne représente au final que 30% du projet. Les 70% restants concernent la capacité à disposer d’une bonne connaissance de son infrastructure et surtout l’utilisation d’une méthodologie précise de gestion de projet.

AD1

Article écrit par Rudy Bourada-Pesant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *