Informations pour les administrateurs

Information pour les usagers [en]

La migration du domaine Active Directory STI (sti.intranet.epfl.ch -> intranet.epfl.ch) se déroule en 3 phases :
— préparation
— migration
— vérification

Travail d’analyse préalable

Il existe deux modes d’utilisation d’Active Directory :

uniquement l’authentification par les clients avec Active Directory

en plus, ordinateur dans Active Directory

Il faut vérifier le mode de fonctionnement dans votre unité dans le calendrier.
Merci de le corriger directement.

uniquement l’authentification par les clients avec Active Directory

1 préparation
Il faut définir avec votre responsable d’unité la date de la migration.

Pour simplifier le processus global, les migrations peuvent être regroupées par institut ou centre.
Pendant la migration, les mécanismes de synchronisation automatique des comptes sont suspendus (pour Active Directory et le NAS).

Vos utilisateurs doivent être informés durant le processus de migration :
— avant celle-ci, en indiquant ce site comme référence,
— au début de la migration,
— a la fin de la migration,

2 migrations

L’objectif essentiel de la migration est de conserver les données.
Il est essentiel de respecter l’ordre de migration pour éviter l’apparition d’un jeu ouvert de sécurité (ensemble de sécurité disjoint entre le domaine d’origine et le domaine de destination).
Les comptes d’utilisateur sont uniquement au niveau 4 (unité) dans le dossier <unité>-Users.

C’est le cas le plus simple, à la date convenue ensemble, les objets Active Directory sont déplacés de sti.intranet.epfl.ch -> intranet.epfl.ch :

Pour chaque unité, l’ordre de migration est le suivant :

1 Groupes
convertir tous les groupes en groupes universels
2 Compte de services
3 Compte d'utilisateurs

3 après la migration

Pour les utilisateurs, les conséquences sont décrites ici :
avant la migration
pendant la migration
après la migration

en plus, ordinateur dans Active Directory

En fonction de votre intégration, trois complexités sont présentes :
A authentification par les clients sur des ordinateurs dans Active Directory
B authentification par les clients + serveur dans Active Directory
C authentification par les étudiants sur des ordinateurs dans Active Directory

Compte de service pour Active Directory

Avant la migration:
Le compte admin<unité> est utilisé pour :
- gérer les ordinateurs et les données de l'unité
- gérer Active Directory
- entrer les ordinateurs dans Active Directory

Pendant et après la migration dans INTRANET
Le compte admin<unité> est utilisé pour :
- gérer les ordinateurs et les données de l'unité

Le compte AD<sciper> est lié au rôle de responsable informatique, il se trouve dans l'unité en ordre 1 dans l'accréditation. Il est unique pour toutes les unités.
Le compte AD<sciper> est utilisé pour toutes les unités pour :
- gérer Active Directory
- entrer les ordinateurs dans Active Directory dans INTRANET

1 préparation

Il faut définir avec votre responsable d’unité la date de la migration.
Pour simplifier le processus global, les migrations sont regroupées par institut ou centre.
Pendant la migration, les mécanismes de synchronisation automatique des comptes sont suspendus (pour Active Directory et le NAS).

Vos utilisateurs doivent être informés durant le processus de migration :
— avant celle-ci, en indiquant ce site comme référence
— au début de la migration
— a la fin de la migration

Sur le plan technique, il faut respecter plusieurs conditions :

Groupes universels
Il faut au préalable convertir tous les groupes (locaux et globaux) en groupes universels (avec le nom se terminant en U)

Ordinateurs déconnecter du réseau pendant plus de 90 jours:
Si un PC inclus dans Active Directory n'est plus connecté, après 90 jours il n'est plus utilisable (Tombstone lifetime).
De ce fait, ces ordinateurs doivent recommencer le proceesus d'entrer dans le domaine Active Directory avant la migration.

Les ordinateurs doivent être séparer en deux catégories :

Windows XP : Ces PC sont difficile à migrer automatiquement, il est préférable de migrer manuellement ces machines. Attention, à partir de d'avril 2014, Windows XP n'est plus maintenu par Microsoft. Il faut envisager l'installation en Windows 7.

Windows 7 :Ces PC doivent être migrer manuellement ou automatiquement.

Pour tout les ordinateurs, il faut suivre ces étapes pour la préparation :

  1. activer son compte ADsciper
  2. vérifier que tout les groupes sont universelles
  3. identifier les machines et leurs utilisateurs à migrer, établir une liste :
    - ordinateur(s), OS, utilisateur, bureau, téléphone, montage réseau de l'utilisateur
  4. vérifier les conditions de la migration
    1. vérifier l'accès par le réseau sur le partage admin$ et c$
      Avec PowerShell (start, powershell, run as administrator)
      Test-Path \\nompc\admin$
      Test-Path \\nompc\c$
    2. vérifier l'accès par le réseau avec Ping
      !!!! ATENTION, il faut avoir la GPO de migration appliquée, me contacter !!!!
      Toujours avec PowerShell (start, powershell, run as administrator)
      ping nompc
    3. vérifier le redémarrage à distance
      !!!! ATTENTION, avertir les utilisateurs des machines concernés !!!!
      Toujours avec PowerShell (start, powershell, run as administrator)
      Shutdown /f /r /t 15 /m \\nompc
    4. Ensuite, attendre 5 minutes, et revérifier le ping
      ping nompc

Le processus est obligatoire, si tout fonctionne, la machine est prête a être migrer
L’état de votre unité doit être rapporté dans le calendrier.
Merci de le corriger directement.

2 migration

L’objectif essentiel de la migration est de conserver les données.
Il est essentiel de respecter l’ordre de migration pour éviter l’apparition d’un jeu ouvert de sécurité (ensemble de sécurité disjoint entre le domaine d’origine et le domaine de destination).
Les comptes d’utilisateur sont uniquement au niveau 4 (unité) dans le dossier <unité>-Users.

Il existe deux méthodes pour faire cela:

  1. migrer tous les utilisateurs dans INTRANET, ensuive vérifier que chacun se connecte sur le domaine INTRANET, puis migrer un par un les ordinateurs
  2. migrer chaque couple utilisateur-ordinateur

L’ordre de migration est le suivant :
!!! pas de connections utilisateurs pendant les phase 2 - 3 !!!

  1. Groupes
    Vérifier que tous les groupes sont universels !
    Attention, les machines à migrer doivent être allumé.
    Ensuite tout les ordinateurs sont redémarrer à distance !
  2. Compte de services
  3. Compte d'utilisateurs
  4. Traduction des profiles d'utilisateur locaux 
    • se connecter avec l'utilisateur dans le domaine INTRANET !
    • vérifier l'accès aux ordinateur et la présence des partages par défaut 
    • vérifier si le bureau est OK 
  5. Migration des stations de travail
    • Se connecter avec le compte AD<sciper> sur l'ordinateur
    • Télécharger le script de WinAD
    • Exécuter en administrateur
      start
      cmd
      execute as administrator local
      cd C:\Users\adsciper.INTRANET\Downloads
      cscript migr.vbs
    • redémarrer de l'ordinateur
  6. Puis migration des serveurs membres

Vérification de la migration:

Pour tous:

Les mots de passe enregistrés dans les ordinateurs ne seront peut-être valables, cela peut générer des effets décrits ici :http://dit.epfl.ch/page-88821-fr.html

partage de fichiers et services:
Après la migration de l’ordinateur, il faut se connecter sur le domaine INTRANET.
Par exemple, pour l’utilisateur Jean Dupont avec l’identifiant «jdupont», se connecter avec INTRANET\jdupont

ATTENTION, ce changement est valable pour tous les ordinateurs où vous vous connecter.

smart phone:
Pour les iPhone, il faut changer le domaine en « intranet »
Pour les Windows Mobile, vous devez régénérer le compte en supprimant le profil et le recréer. 
Pour les Android, vous devez régénérer le compte en supprimant le profil et le recréer.

ATTENTION, avec Android 2.2, l'accès à la messagerie s'arrête avec la migration.

Gaspar:
Pendant la migration de l'institut, il n'est pas possible de modifier son mot de passe avec Gapar.
Merci de nous contacter dans ce cas.

et en plus, pour ceux utilisant une machine intégrée dans Active Directory :

Windows

La migration va déplacer votre compte ET votre ordinateur.
Vous devez retrouver exactement votre espace de bureau et vos préférences* comme avant la migration, par exemple tous les montages et lecteurs réseau doivent être fonctionnels.
Il faut purger les trousseaux de clés en cas de problème pour régénérer le mot de passe dans Intranet.epfl.ch
Après la migration de l’ordinateur, il faut se connecter sur le domaine INTRANET.

Macintosh
Nous contacter avant la migration.

Linux
Nous contacter avant la migration

Pour les utilisateurs, les conséquences sont décrites ici :
— avant la migration
— pendant la migration
— après la migration

En cas de difficultés

Nous sommes présents pour vous aider:
Laurent Kling 33511
David Desscan 34633