Monday, November 27, 2017

Office 365 : préparer sa migration avec IdFix (FR)

English summary: I take a look at the IdFix tool that detects potential synchronization problems between Azure Active Directory (Office 365) and our "local" Active Directory. I can safely assume that there were no signficant problems in my test domain, since I have already synchronized it with Azure AD and even migrated some mailboxes. However, I may have a need for IdFix in another context and wanted to become more familiar with it.

***

A première vue, il est bizarre que je présente cet outil après avoir déjà synchronisé mon Active Directory avec Azure Active Directory, et même migré plusieurs boîtes aux lettres vers Exchange Online.

En effet, IdFix sert à détecter des erreurs dans Active Directory susceptibles d'entraver la synchronisation des répertoires. De plus, nous pourrions nous en servir pour corriger les erreurs trouvées (ou bien recourir à d'autres méthodes pour y parvenir).

Mais voilà : j'envisage une migration à Office 365 dans un autre cadre et je voudrais voir à quel point IdFix pourrait m'y être utile.

***

D'abord, IdFix est disponible par ce lien :

IdFix Directory Synchronization Error Remediation Tool

Selon les apparences, l'outil n'existe qu'en version anglaise. En tout cas, je n'ai pas réussi à le trouver en français.

En revanche, Microsoft fournit un mode d'emploi dans cette langue :


Et voici la version anglaise originale :



Ces articles expliquent assez bien la mise en oeuvre de l'outil et je ne reproduirai pas ici ce que vous pouvez fort bien lire là. Son "installation" se fait comme c'est décrit dans l'article. Je télécharge le fichier zip que je décompresse à l'emplacement de mon choix :





Ensuite, j'exécute le fichier et vois apparaître ce message :



A vrai dire, l'application ne s'installe pas au sens strict. Elle ne s'affiche pas dans "Programmes" par exemple :


Remarque : IdFix nécessite .NET Framework 4.0 ou plus, ce qui est le cas ici.


Pour cette expérience, j'exécute l'outil à un contrôleur de domaine mais il serait possible de l'exécuter ailleurs, à condition d'avoir un accès suffisant à Active Directory, en lecture et en écriture. Je suppose qu'un accès en lecture seule suffirait si on voulait seulement voir les erreurs sans les corriger. Mais je n'ai pas mis cette supposition  à l'épreuve.

Quoi qu'il en soit, lorsque IdFix s'ouvre, nous cliquons sur le mot "Query" et l'outil cherche des éléments qui pourraient bloquer la bonne synchronisation des objets. S'il en trouve, il les affiche et suggère des actions à prendre :



Le seul problème repéré chez moi concerne les "domaines de niveau supérieur" (topleveldomain). De quoi s'agit-il ? Le nom de mon domaine d'essai est "mynet.lan" et par défaut, l'UPN (user principal name) comprend ce suffixe, par exemple : alan.reid@mynet.lan. Cependant, la synchronisation avec Azure Active Directory exige un nom de domaine routable sur l'Internet. Ce n'est pas le cas de .local ou de . lan, selon une révision de RFC2606 :

https://tools.ietf.org/html/draft-chapin-rfc2606bis-00

Je dois donc changer l'UPN. Je pourrais utiliser IdFix mais pour un changement si simple, il suffit de sélectionner tous les utilisateurs, de choisir "Propriétés" et d'ajuster alors le suffixe :



Et nous y sommes !

Pour la synchronisation  en tout cas. Si nous souhaitons migrer des boîtes aux lettres vers Exchange Online, nous devons aussi supprimer toute adresse courriel avec le suffixe @mynet.lan. 

No comments:

Post a Comment