Category: Active Directory


Hello,

La migration d’une boîte Exch2003 vers 2010 en intra organisation, à priori, c’est simple : soit un clic droit Nouvelle demande de déplacement local ou en powershell new-moverequest.

Petit point d’attention, par défaut les alias 2003 se basaient sur les noms affichés (DisplayName). L’attribut DisplayName contenait souvent un espace ( » « ), exemple : Martin Dupont. De fait, les alias aussi.

En Exchange 2010, les  »  » sont un caractère interdit, il est donc nécessaire de modifier ces alias à problème car les boîtes ne sont pas migrables en l’état.

Microsoft fournit un script sur le TechNet : http://technet.microsoft.com/en-us/library/bb851499(EXCHG.80).aspx.
Ce script est assez limité car il fait une recherche sur  » « . Donc les noms qui contiennent deux voire trois espaces ne sont pas traités.

C’est pourquoi je préfère utiliser le script fourni par l’équipe produit sur le script center http://gallery.technet.microsoft.com/scriptcenter/411aec4e-8c01-4594-b993-fbd968f15399.
En plus de traiter les espaces, le script traite tous les caractères interdits et corrige aussi les groupes et les contacts… Royal

En exemple, la dernière fois que je m’en suis servi, sur 1250MBX, une seule n’avait pas été traitée. Plutôt un bon ratio.

A+

Publicités

Hello,

Il y a beaucoup d’informations autour des boîtes d’arbitrage, blogs (http://makanzore.wordpress.com/2011/01/27/boite-aux-lettres-darbitrage-ou-arbitration-mailbox/) ou TechNet. Je passerai donc rapidement (commandes uniquement) sur les aspects classiques de move-request et de la suppression de la banque pour finalement faire un focus sur cas particulier d’un client récent.

Il est souvent question des boîtes d’arbitrage lorsque l’on veut supprimer la première mailbox database créée automatiquement par Exchange lors de l’installation du premier rôle mailbox 2010 installé dans l’organisation. Pour supprimer cette banque qui ne correspond pas aux conventions de nommage, il faut déplacer ces boîtes d’arbitrage.

Pour récupérer ces boîtes, deux commandes sont réalisables :

– dans le cas d’une infrastructure mono forêt mono domaine : get-mailbox -arbitration

– dans le cas d’une infrastructure mono forêt multi domaine : get-mailbox -arbitration -domaincontroller
Exemple d’une architecture domaine parent (DC1)/domaine enfant (DC2): exchange est installé dans le domaine enfant. Si on tape Get-mailbox -arbitration depuis les powershell Exchange disponibles depuis les serveurs Exchange, il est impossible de trouver les boîtes d’arbitrage. Il sera nécessaire de taper Get-mailbox -arbitration -domaincontroller DC1.domaine.parent.

Pour les déplacer, on pipe le résultat de la commande précédente dans un moverequest:

– mono forêt mono domaine : get-mailbox -arbitration | new-moverequest -targetdatabase DB1

– mono forêt multi domaine : get-mailbox -arbitration -domaincontroller DC1| new-moverequest -target database DB1 -domaincontroller DC1

C’est là que pour nous le drame s’est produit. Bien que nos comptes disposaient de tous les droits possibles et imaginables, que l’héritage était coché sur les comptes, nous avions une erreur de droit lors de la suppression :

Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Nous avons fouillé un peu partout sur le Net et mise à part la case de l’héritage, il n’y a pas grand chose…

Nous avons réussi à déplacer les boîtes en ajoutant directement sur les comptes AD des boîtes d’arbitrage le compte machine du serveur Exchange depuis lequel nous tapions les commandes. C’est en effet le web service de powershell qui n’avait le droit d’attaquer le domaine parent.

A noter deux choses. La première est qu’il faut ajouter directement le compte machine sur le compte AD, en effet, de faire appartenir la machine à un groupe et donnée le droit au groupe n’est pas suffisant. La seconde, il faut lancer le powershell depuis une machine (disons exch02) et vérifier que le powershell Exchange est bien connectée à Exch02. Si on ouvre une session sur Exch01 et connecte le powershell sur Exch02, même si les droits ont été mis à exch02, la commande échouera lamentablement.

On peut noter aussi que dans une infrastructure mono forêt multi domaines, le compte la boîte de découverte automatique est aussi hébergé dans le domaine parent. Il faut donc à lui aussi lui assigner le droit contrôle total au serveur Exchange qui fera le move-mailbox.

Une fois les boîtes déplacées, on supprime les move-request

get-moverequest -sourcedatabase « db par défaut » | remove-moverequest

On peut maintenant supprimer la banque : remove-mailboxdatabase -identity « db par défaut » et ne pas oublier de supprimer manuellement les fichiers.

A+

Hello,

Après pas mal de boulots et trop peu de vacances, voilà un petit billet AD

Une petite mésaventure chez un de mes clients. Dans un contexte de migration AD, la zone DNS n’était pas intégrée dans le domaine, le processus de migration a donc inclut la récupération des zones DNS pour les mettre dans AD. A priori, rien de compliqué : on récupére les zones en secondaire, on les passe en primaire, mises à jour dynamiques et hop dans AD. Oui mais voilà…

Suite à une erreur, on va dire inconnue, il était possible d’ajouter des zones dans AD mais le contexte de réplication était limité aux contrôleurs windows 2000 et il n’était pas possible de créer des redirecteurs conditionnels dans AD. Coup de chaud…

Nous avons donc fait une sauvegarde de la zone DNS (en sortant de l’AD finalement), une sauvegarde d’un contrôleur de domaine et on a mis les mains dedans :

On installe le support tools si ce n’est pas déjà fait

  1. démarrer / exécuter / cmd / ntdsutil / domain management / connections / co to se localhost, pour pouvoir utiliser ntdsutil
  2. list, pour lister et récupérer les DNs des partitions
  3. On prend son courage à demain : delete NC DC=ForestDnsZones,DC=toto,dc=loc et  delete NC DC=DomainDnsZones,DC=toto,dc=loc
  4. On attend la réplication et on vérifie avec adsiedit.msc que la partition est bien supprimée sur chaque serveur dans le container Configuration / CN=Partitions
  5. Quand tout est supprimé, dnscmd /createbuiltindirectorypartitions /forest et dnscmd /createbuiltindirectorypartitions /domain
  6. On vérifie dans adsiedit

Ca y est, on a récupéré nos deux zones toutes neuves

Comme l’a annoncé l’équipe support AD sur son blog (http://blogs.technet.com/b/askds/), la nouvelle version d’ADMT est disponible !
Elle sera la denrière version à supporter Windows Server 2003 et la première à supporter un domaine source en Windows Server 2008 R2 ;-).
Les limitations de cette nouvelle version sont :
– ne s’installe que sur une machine Windows Server 2008 R2
– le service PES v3.1 (service de migration de mots de passe) se télécharge à part
– les binaires d’installation ne comporte pas SQL Express (le .exe passe de 50 à 4 Mo au passage…). D’un autre coté, je rappelle que la dernière version de sql express en RTM ne supporte ni Windows 7 ni Windows 2008 R2 (http://www.microsoft.com/downloads/details.aspx?familyid=58CE885D-508B-45C8-9FD3-118EDD8E6FFF&displaylang=fr)….

La nouvelle version d’ADMT est disponible sur http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=20C0DB45-DB16-4D10-99F2-539B7277CCDB
Bonne migration