Migration Active Directory : extension de schéma, augmentation du niveau fonctionnel (forest & domain)

Lorsque l’on parle de mettre à jour son Active Directory, il y a 3 choses auxquels vous devez penser.

• Le Forest Functional Level (ou FFL) c’est le niveau fonctionnel de version de votre Forêt Active Directory ;
• Le Domain Functional Level (ou DFL) c’est le niveau fonctionnel de version de votre Domaine Active Directory ;
• Et enfin, la version de schéma de votre Active Directory.

Alors comment mettre à jour tous ces éléments lorsque vous disposez d’une infrastructure Active Directory 2008 R2, 2012, 2012 R2 et que vous souhaitez passer à la version Active Directory inclue avec Windows Server 2016 ou Windows Server 2019 ? 😉

Etape 0 – Préparation des pré-requis

Avant toute chose, et bien que ces actions soient normalement indolores pour votre infrastructure, il convient de vous y préparer. 🙂

Au minimum, vous devez vous assurer d’avoir un backup de votre Active Directory qui soit fonctionnel pour pouvoir être restauré en cas de problème. Cela implique de connaître le mode opératoire de sauvegarde ET de restauration d’un DC (car oui cela n’a rien à voir avec une VM standard).

Vous devez connaître votre cartographique applicative afin de savoir si certaines de votre applications internes pourraient cesser de fonctionner lors de cette mise à jour : utilisation d’attributs particuliers, nécessité de conserver les protocoles obsolètes tels que SMB v1, NTLM v1, etc. C’est à vous de maintenir cette liste précise de vos applications ainsi que leurs dépendances avec les ports et protocoles qu’elles sont susceptibles d’utiliser et qui pourraient (ou non) être supprimés dans une nouvelle version de Windows Server. 🙂

Et bien sûr, vous ne devez avoir aucun souci de réplication. Pour vous en assurer, vérifiez le statut et l’état des réplications avec la commande repadmin. Plus d’infos en consultant le lien suivant.

Etape 1 – Réalisation de l’extension de schéma

Par défaut, vous ne pouvez pas intégrer un Domain Controller fonctionnant sous Windows Server 2016 ou Windows Server 2019 si vous n’avez pas réalisé d’extension de schéma vers la version associée. C’est donc la première étape pour votre migration Active Directory.

Cette extension de schéma (passage d’une version ancienne à une version plus récente) peut s’effectuer de plusieurs façons : en ligne de commandes (CLI) avec les fichiers présents au sein de l’ISO correspondant (Windows Server 2016 ou 2019) – voir : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers. Les plus anciens de vos collègues, vous diront peut-être également qu’il faut positionner un DC isolé dans un site AD ou bien suspendre les réplications durant le temps de l’extension de schéma… C’était vrai il y a quelques années mais aujourd’hui la mécanique d’extension de schéma embarque différents contrôles qui font que ce type d’actions ne sont plus nécessaires (dès lors que vos réplications sont fonctionnelles).

Le plus simple est de provisionner un nouveau serveur avec un nouvel OS plus récent. Lors de l’installation du rôle AD DS et de la promotion de ce dernier en tant que Domain Controller, l’extension de schéma sera effectuée automatiquement via le Server Manager. L’opération va prendre quelques secondes (et ne sera évidemment plus nécessaire pour les prochains DC).

Une fois que vous avez ajouté vos nouveaux DC au sein de votre infrastructure vous pouvez si vous le souhaitez dé-provisionner les anciens DC. Dans ce cas, déplacez les rôles FSMO depuis les anciens serveurs vers les nouveaux. Ensuite vous pourrez simplement de-promote les anciens DC et supprimer le rôle ADDS. A la suite de ça, les serveurs ne seront plus que des serveurs membres (que vous pourrez ré-utiliser, conserver, ou complètement supprimer/déconnecter).

Etape 2 – Augmentation du niveau de DFL (Domain Forest Level)

Une fois que tous vos DC sont dans la nouvelle version d’OS que vous souhaitez et que vous avez supprimé les anciens DC, nous allons pouvoir augmenter le niveau fonctionnel de chaque domain présent au sein de votre forêt.

Vous pouvez réaliser cette action graphiquement depuis la console Active Directory Users & Computers. Effectuez un clic droit sur le nom de votre domaine Active Directory, puis sélectionnez Raise domain functional level. Dans la nouvelle fenêtre qui apparaît, il ne reste plus qu’à choisir le niveau que vous souhaitez pour votre domaine AD.

Renouvelez l’opération pour tous les domaines au sein de votre forêt Active Directory.

Etape 4 – Augmentation du niveau de FFL (Forest Functional Level)

Une fois que vous avez géré tous les domaines de votre forêt Active Directory, il ne vous reste plus qu’à réaliser ce même changement au niveau de votre forêt.

Dans ce cas, le changement s’effectue depuis la console Active Directory Domains en Trusts. Vous devrez cette fois-ci cliquer du bouton droit non pas sur le nom de votre forêt mais bien sur les termes « Active Directory Domains and Trust« . Sélectionnez l’option Raise forest functional level.

Voilà, c’est terminé. 🙂

Etape 5 – Revue d’impact(s)

Finalement, prenez le temps de vérifier que vous ne voyez pas un quelconque effet de bord au niveau d’un applicatif métier.

Dans tous les cas, gardez en tête que la mise à jour du schéma, DFL, ou FFL ne sont pas des actions que vous pouvez rollback (sauf en restaurant votre Active Directory ou via le support de Microsoft). Donc si vous avez le moindre doute, testez ces changements en premier lieu sur votre environnement de Pré-Production (qui est bien entendu ISO à votre Production).

Comme vous le voyez, rien de compliqué et n’hésitez pas à utiliser les commentaires en cas de question(s). 🙂