La première étape consiste à mettre en place une relation d’approbation entre les 2 domaines. La migration nécessite au minimum que le domaine source approuve le domaine cible afin que ce dernier puisse interroger l’AD et que les utilisateurs migrés puissent accéder aux données non migrées. Pour cela il faut désactiver le filtrage des SID.
Pour créer une approbation entre 2 domaines il faut déjà assurer la résolution de nom. Pour cela nous allons configurer des redirecteurs DNS dans les 2 domaines afin qu’il puisse résoudre les noms DNS de l’autre domaine.
Par exemple sur le serveur Windows 2003 du domaine source :
Un « nslookup » permet de vérifier le bon fonctionnement de la résolution de nom :
De même sur le serveur Windows 2008R2 du domaine cible nous configurons un redirecteur DNS :
Et toujours « nslookup » pour en vérifier le fonctionnement :
Maintenant que la résolution de nom DNS fonctionne nous pouvons créer l’approbation de forêt nécessaire. Nous configurons l’approbation de forêt bidirectionnelle depuis le domaine source sur le serveur Windows 2003 R2.
Une fois l’approbation créée nous allons désactiver le filtrage des « SID Histoy » à travers la relation d’approbation. Cette opération est nécessaire afin que les utilisateurs du domaine cible puissent accéder aux ressources du domaine source par l’intermédiaire de leur ancien SID. Il est à noter que cette opération n’est pas à faire en dehors d’une migration ADMT pour des raisons de sécurité.
La commande diffère entre une approbation externe de domaine et une approbation de forêt.
Approbation externe :
Netdom trust source /domain:cible /quarantine:Non /usero:domainadministratorAcct /passwordo:domainadminpwd
Approbation de forêt :
netdom trust source /domain:trustedDomain /enableSIDhistory:yes /usero:domainadministratorAcct /passwordo:domainadminpwd