Migration de domaine avec ADMT

Migration de domaine avec ADMT - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 18-05-2015 à 18:22:59    

Salutations les HFRziens

 

Je suis entrain d'effectuer une restructuration de domaine avec l'outil ADMT.

 

Je pose le décors:

 

Domaine source:
lvl fonctionnel de la foret: 2003
Schéma : 2012
Je migre seulement un sous domaine de source.lan qui est boite.source.lan

 

Domaine cible:
lvl fonctionnel de la foeret: 2008 R2
Schéma 2008
cible.lan

 

Les deux forets sont reliées par un trust

 

*noms non contractuels ;)*

 

Voilà mon problème:

 

La migration des users, groupes et UO s'est bien passée, j'ai su tout migrer.

 

Le problème se situe au niveau de la migration des machines: Je fais le security translation qui se passe en général sans trop de problème (si ce n'est une erreur de schéma erreur 7561).
Je passe ensuite à la migration de la machine et ca passe aussi avec quelques erreurs "bénignes".

 

Je me connecte à la machine qui a été migré vers le nouveau domaine, je vois bien qu'elle est dans le domaine cible.lan mais dès que je veux faire une action qui requiert une élévation de privilège (changer ip, firewall, etc.) J'ai beau mettre l'admin source ou cible, ca ne change rien, il me dit que je n'ai pas les privilèges suffisants.

 

En investiguant un peu par rapport à une VM vierge que j'ai intégrée au nouveau domaine, j'ai remarqué que le groupe cible.lan\Domain admins ne fait pas partie du groupe administrateur local sur les machines qui déconnent.
Je suppose donc qu'il y a un petit problème à ce niveau pour ADMT.

 

Solution bancale : sortir la machine du domaine pour l'y remettre ou ajouter domain admins au groupe administrateur local.

 

Ma question: comment régler ce problème dans ADMT ?

 

Sorry pour le pavé et merci pour votre attention :)


Message édité par YoupiDollarZ le 18-05-2015 à 19:01:42
Reply

Marsh Posté le 18-05-2015 à 18:22:59   

Reply

Marsh Posté le 18-05-2015 à 18:56:19    

En théorie, le groupe administrateur du domaine doit descendre tout seul quand on intégre un poste dans un domaine.
 
Ici c'est une migration, alors est ce que ca marche différement ?
Soit il y a peut etre une option avec ADMT
Soit tu peux faire une GPO avec groupes restreints pour les administrateur des machines
Soit tu peux tenter un gpupdate /force même si je doute un peu de son efficacite la vu que c'est pas une GPO qui fait ca.
Soit la réponse F


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 18-05-2015 à 19:01:09    

Même pas la réponse D ? :(  
 
Le coup de la GPO avec les groupes restreints peut s'envisager...  
 
Mais c'est encore une fois contourner le problème et non le solutionner :cry:

Reply

Marsh Posté le 18-05-2015 à 19:16:45    

je suis d'accord.
Je pense pas avoir le temps de me faire un labo test pour tester le soucis ce soir, donc si c'est pas resolu demain j'essayerai de voir ca !
(mais pour ma part ce sera 2012r2 -> 2012r2)


Message édité par Matteu le 18-05-2015 à 19:19:05

---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 18-05-2015 à 19:27:41    

Ouais d'ailleurs est ce que cette différence de schéma pourrait poser des soucis ?

 

Je vais tester de passer une vm dans le domaine source et la migrer dans le cible et voir si j'ai le même problème...

 

Merci pour ton implication en tout cas :)

 

D'ailleurs j'y pense, le serveur que je migre ne possède que 3 roles FSMO, il n'est pas maitre des noms de domaine ni maitre de schéma.

 

N'étant pas coupé complètement du domaine parent, j'ai pas osé rapatrier les rôles en question. Ca a une influence?


Message édité par YoupiDollarZ le 18-05-2015 à 19:30:48
Reply

Marsh Posté le 18-05-2015 à 20:14:24    

t'as pas mis a jour ton schema avant de faire la migration ?
Apres je dirai que oui ca peut y jouer, puisque le schema c'est le squelette de ton AD, donc tes utilisateurs sources avaient un certain nombre d'attribut sur leur domaine sources, alors que dans le domaine de destination, il n'y en a pas autant, donc peut etre ca peut poser des problemes de faire la migration si tu ne mets pas a jour le schema de la destination.
Maintenant de la a ne pas avoir le groupe domain admins j'ai des doutes.

 

Tu migres le contenu de ton domaine au final, pas ton nom de domaine etc, c'est jusque que tu te retrouves avec un truc vides au final mais de toute facon, tu vas dans une autre foret de ce que j'ai lu donc la migration des roles on s'en moque pas mal...

 

et disons que pour mon implication, c'est du systeme pur et c'est exactement ce que j'aime.


Message édité par Matteu le 18-05-2015 à 20:14:46

---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 18-05-2015 à 22:09:34    

non la version du shcéma n'a rien à voir.
 
Juste regarde les logs, comprendre pourquoi il a pas réussi à transformer source\domain admins en cible\domain admins (surement la table de translation qui n'a pas cette info vu que ce sont des groupes par défaut.
Après si c'est que ça j'ai envie de dire c'est pas grave, tu les rajoutes via script/gpp/gpo

Reply

Marsh Posté le 19-05-2015 à 09:53:55    

Merci pour vos conseils, je vais de nouveau regarder dans les logs mais à part quelques erreurs "bidon" je vois pas grand chose.

 

J'vais tenter la maj du schéma pour voir si c'est lié ou non.

 

Tant que j'ai du monde sur le topic, je vais en profiter pour poser d'autres questions:

 

lorsque j’exécute la commande whoami dans un terminal client du nouveau domaine, il ne prend pas cible.lan comme nom de domaine mais le nom netbios du dc.
J'ai vu que c'était pas trop grave et que c'était à cause du trust entre les deux forets.

 

Comment puis je régler ce "problème" histoire d'avoir le nom de domaine correct?

 

Les suffixes de connexion des users de l'ancien domaine étaient boite.be et le nouveau domaine est boite.lan. Ca doit être pour différencier les deux domaines qui ont des noms proches, je suppose.

 

Merci :)


Message édité par YoupiDollarZ le 19-05-2015 à 13:14:33
Reply

Marsh Posté le 19-05-2015 à 13:00:39    

J'ai un autre petit soucis, j'ai suivi votre conseil et j'ai ajouté une GPO pour les admins du domaine.
 
J'ai suivi ceci, le point 2.
 
http://blog.portail-mcse.net/index [...] -Directory
 
Et depuis que ma GPO est en place, le groupe domain admins s'est vidé de ses membres Oo.
 
J'aimerais comprendre pourquoi. La marche à suivre me semble correcte pourtant :??:

Reply

Marsh Posté le 19-05-2015 à 13:23:38    

groupe restreint tu as deux manieres, soit du donne le nom du groupe que tu veux modifier, soit tu donnes le nom du groupe que tu veux ajouter a un autre groupe.
 
En pratique, une des solution consiste a faire une GPO groupe restreint en mettant comme groupe Administrateur
et dedans tu lui dis les groupes que tu veux...
 
Le groupe restreint vide le groupe que tu vas mentionné en premier quand tu fonctionne comme ca, pour y mettre les membres que tu vas lui énoncé.


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 19-05-2015 à 13:23:38   

Reply

Marsh Posté le 19-05-2015 à 13:33:43    

Ah tu m'as grillé de peu, j'avais également trouvé la solution ^^
 
je cite "Quand une stratégie de groupes restreints est appliquée, tous les membres qui font partie d'un groupe restreint qui ne figure pas dans la liste Membres sont supprimés. Tous les utilisateurs de la liste Membres qui ne sont pas actuellement membres du groupe restreint sont ajoutés."
https://msdn.microsoft.com/fr-fr/li [...] 10%29.aspx
 
J'ai donc ajouté les membres qui doivent en faire partie dans la gpo du groupe restreint ce qui donne:
 
http://image.noelshack.com/minis/2015/21/1432035174-fail.png
 
C'est bien juste?  
 
Merci du coup de main :wahoo:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed