Comment faire pour utiliser la version 2 de l'outil de migration Active Directory pour migrer de Windows 2000 vers Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 326480 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Important Cet article contient des informations sur la modification du Registre. Sauvegardez le Registre avant de le modifier. Assurez-vous de savoir comment restaurer le Registre en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment configurer l'outil de migration Active Directory (ADMT) pour migrer d'un domaine Windows 2000 à un domaine Windows Server 2003.

Plus d'informations

Vous pouvez utiliser ADMT pour migrer des utilisateurs, des groupes et des ordinateurs d'un domaine vers un autre, et pour analyser les conséquences de la migration avant et après le processus de migration réel.

Remarque Cet article suppose que le domaine source est un domaine Windows 2000, et que le domaine cible est un domaine Windows Server 2003 en mode Windows 2000 natif ou ultérieur.

Comment faire pour configurer ADMT en vue d'une migration Windows 2000 vers Windows Server 2003

Vous pouvez installer la version 2 de l'outil de migration Active Directory sur tout ordinateur Windows 2000 ou version ultérieure, y compris :
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Professionnel
  • Microsoft Windows Server 2003
L'ordinateur sur lequel vous installez ADMT doit être membre du domaine source ou cible.

Migration de forêt de type Intraforest

La migration de forêt de type Intraforest ne requiert pas de configuration de domaine particulière. Le compte que vous utilisez pour exécuter ADMT doit avoir les autorisations nécessaires pour exécuter les actions requises. Par exemple, le compte doit permettre la suppression de comptes dans le domaine source et la création de comptes dans le domaine cible.

La migration de forêt de type Intraforest est une opération qui consiste à déplacer et non pas à copier. Ces migrations sont dites destructives car, après le déplacement, les objets migrés n'existent plus dans le domaine source. Comme l'objet est déplacé au lieu d'être copié, certaines actions qui sont facultatives dans les migrations de forêt de type Interforest se produisent automatiquement. Plus précisément, le sIDHistory et le mot de passe sont automatiquement migrés lors de toutes les migrations de forêt de type Intraforest.

Migration de forêt de type Interforest

ADMT requiert les autorisations suivantes pour s'exécuter correctement :
  • Droits d'administrateur dans le domaine source.
  • Droits d'administrateur sur chaque ordinateur que vous migrez.
  • Droits d'administrateur sur chaque ordinateur sur lequel vous traduisez la sécurité.
Avant de migrer un domaine Windows 2000 vers un domaine Windows Server 2003, vous devez procéder à la configuration du domaine et de la sécurité. La migration de l'ordinateur et la traduction de la sécurité ne requièrent aucune configuration de domaine spécifique. Toutefois, chaque ordinateur que vous voulez migrer doit avoir les partages administrateur C$ et ADMIN$.

Le compte que vous utilisez pour exécuter ADMT doit posséder les autorisations nécessaires à l'exécution des tâches requises. Le compte doit avoir l'autorisation nécessaire pour créer des comptes d'ordinateur dans le domaine cible et l'unité d'organisation, et doit être un membre du groupe des administrateurs locaux sur chaque ordinateur à migrer.

Utilisateur et migration de groupe

Vous devez configurer le domaine source pour approuver le domaine cible. Si vous le souhaitez, vous pouvez configurer la cible de manière à approuver le domaine source. Même si cette opération peut faciliter la configuration, elle n'est pas nécessaire pour achever la migration ADMT.

Configurations requises pour les tâches de migration facultatives

Vous pouvez exécuter automatiquement les tâches suivantes en exécutant l'Assistant Migration des utilisateurs en mode test et en sélectionnant l'option de migration sIDHistory. Pour que la configuration automatique fonctionne, vous devez utiliser un compte d'utilisateur administrateur dans les domaines source et cible.

Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou toute autre méthode. Ces problèmes peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.
  1. Créez un nouveau groupe local dans le domaine source nommé %sourcedomain%$$$. Ce groupe ne doit contenir aucun membre.
  2. Activez l'audit pour que la gestion des comptes d'audit réussisse ou échoue dans les deux domaines, dans la stratégie des contrôleurs de domaine par défaut.
  3. Configurez le domaine source pour autoriser l'accès RPC (Remote Procedure Call) au SAM en configurant l'entrée de Registre suivante sur l'émulateur PDC dans le domaine source avec une valeur DWORD égale à 1 :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
    Vous devez redémarrer l'émulateur PDC après avoir effectué cette modification.
Remarque Pour les domaines Windows 2000, le compte que vous utilisez pour exécuter ADMT doit posséder les autorisations de l'administrateur de domaine dans les domaines source et cible. Pour les domaines cible Windows Server 2003, la « migration sIDHistory » peut être déléguée. Pour plus d'informations, consultez Aide et Support de Windows Server 2003.

Vous pouvez activer la migration du mot de passe de forêt de type Interforest en installant une DLL qui s'exécute dans le contexte du LSA. En s'exécutant dans ce contexte protégé, les mots de passe ne peuvent pas être affichés en clair, même par le système d'exploitation. L'installation de la DLL est protégée par une clé secrète créée par ADMT et doit être installée par un administrateur.

Pour installer la DLL de migration du mot de passe :
  1. Ouvrez une session en tant qu'administrateur ou équivalent sur l'ordinateur sur lequel ADMT est installé.
  2. À l'invite de commandes, exécutez la commande ADMT KEY domaine_sourcechemin [* | mot_passe] pour créer le fichier de clé d'exportation de mot de passe (.pes). Dans cet exemple, domaine_source est le nom NetBIOS du domaine source et chemin est le chemin d'accès du fichier où la clé sera créée. Le chemin d'accès doit être local, mais peut pointer sur un support amovible, tel qu'une disquette, un lecteur zip ou un CD enregistrable. Si vous tapez le mot de passe facultatif à la fin de la commande, ADMT protège le fichier .pes avec le mot de passe. Si vous tapez l'astérisque (*), ADMT demande un mot de passe et le système ne l'affichera pas tel qu'il est tapé.
  3. Déplacez le fichier .pes créé à l'étape 2 vers le serveur d'export de mot de passe désigné dans le domaine source. Ce peut être n'importe quel contrôleur de domaine, mais assurez-vous qu'il possède une liaison rapide et fiable avec l'ordinateur qui exécute ADMT.
  4. Installez la DLL de migration de mot de passe sur le serveur d'export de mot de passe en exécutant l'outil Pwmig.exe. Pwmig.exe se trouve dans le dossier I386\ADMT sur les supports d'installation Windows Server 2003, ou dans le dossier dans lequel vous avez téléchargé ADMT à partir d'Internet.
  5. Lorsque vous y êtes invités, spécifiez le chemin d'accès au fichier .pes que vous avez créé à l'étape 2. Ce chemin d'accès doit être local.
  6. Lorsque l'installation est terminée, vous devez redémarrer le serveur.
  7. Si vous êtes prêt à migrer des mots de passe, modifiez la clé de Registre suivante pour avoir une valeur DWORD égale à 1. Pour assurer une sécurité maximale, ne terminez pas cette étape avant d'être prêt à migrer.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
Pour télécharger ADMT, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212
Pour plus d'informations sur la façon d'utiliser ADMT pour exécuter une migration, consultez l'aide d'ADMT. Démarrez l'outil de migration Active Directory, cliquez sur Rubriques d'aide dans le menu ?, cliquez ensuite sur l'onglet Sommaire, puis sur Outil de migration Active Directory.

Pour plus d'informations sur ADMT, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/prodtechnol/Windows2000Pro/reskit/part7/proch31.mspx
L'outil de migration Active Directory version 2 est inclus dans le dossier I386\Admt sur le CD-ROM Windows Server 2003.

Propriétés

Numéro d'article: 326480 - Dernière mise à jour: mardi 11 septembre 2007 - Version: 8.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowto kbactivedirectory kbmigrate KB326480
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com