Migration AD DS et AD FS vers Windows Server 2025 : Stratégies et bonnes pratiques

Le passage à Windows Server 2025 marque un tournant majeur dans la gestion de l'identité chez Microsoft. Les protocoles historiques (comme les anciennes versions de NTLM) sont mis au rebut par défaut, et les bases de données NTDS bénéficient de nouvelles architectures (pages de 32k).

Migrer le cœur de son système d'information à savoir l'Active Directory (AD DS) et les services de fédération (AD FS) depuis une infrastructure Windows Server 2016 requiert une méthodologie stricte. Si les contrôleurs de domaine peuvent parfois tolérer une mise à niveau sur place (in-place upgrade), les serveurs de fédération, eux, obéissent à des règles de saut de version implacables.

Voici le guide d'ingénierie complet pour réussir cette transition critique à chaud, sans interruption de production.

1. Deep Dive : Migration des Contrôleurs de Domaine (AD DS)

Historiquement, Microsoft a toujours martelé une règle d'or : Ne mettez jamais à jour l'OS d'un contrôleur de domaine, promouvez-en un nouveau. Cependant, dans les faits, l'In-Place Upgrade d'un DC fonctionne généralement très bien, à condition de respecter des prérequis stricts.

A. Les Prérequis Architecturaux

Avant même d'insérer l'ISO de Windows Server 2025, votre infrastructure doit être au niveau :

• Niveau Fonctionnel (FFL / DFL) : Le niveau fonctionnel de votre forêt et de votre domaine doit être au minimum Windows Server 2016. Windows Server 2025 ne supporte plus les niveaux 2012 R2. Augmenter ce niveau vers 2016 vous débloquera des fonctionnalités comme le Privileged Access Management (PAM) et le PKInit Freshness. En 2025, le niveau fonctionnel apportera notamment le support optionnel des pages de base de données de 32 Ko pour une scalabilité massive.

• Mises à jour : Appliquez IMPÉRATIVEMENT tous les correctifs et mises à jour de sécurité sur vos serveurs 2016 actuels.

• Sauvegarde absolue : Faites une sauvegarde System State et une sauvegarde applicative de la VM. Attention : Un simple Snapshot VMware ou Hyper-V n'est PAS une sauvegarde fiable pour un DC (risque fatal d'USN Rollback si l'hyperviseur gère mal le VM-GenerationID).

B. Audit de santé et Rôles co-hébergés

Un DC devrait idéalement ne faire que du DC et du DNS. Dans la réalité, ils hébergent souvent d'autres rôles (DHCP, AD CS, DFS, NPS).

• Le danger du DHCP sur un DC : Si le service DHCP est compromis, l'attaquant devient Administrateur du Domaine (car le service tourne avec des privilèges élevés sur un DC).

• Validation : Si votre DC 2016 héberge trop de rôles ou des agents de sécurité exotiques, abandonnez l'in-place upgrade. Montez un nouveau serveur 2025 propre, migrez les rôles un à un, puis décommissionnez l'ancien.

Lors de l'installation du premier DC 2025 (ou in-place upgrade), la mise à jour du schéma (adprep) se lance automatiquement. Il est conseillé de conserver une coexistence DC 2016 / DC 2025 pendant quelques jours pour assurer un rollback rapide en cas d'incompatibilité des politiques de sécurité durcies de 2025.

2. Deep Dive : Migration de la Ferme AD FS (Zéro Downtime)

Pour l'AD FS, les règles de Microsoft sont strictes : Le saut direct (In-Place) de 2016 à 2025 n'est pas supporté. Microsoft applique une logique de N-2 (on ne peut upgrader sur place que depuis 2019 ou 2022).

De plus, votre ferme AD FS actuelle s'appuie sur une base de données WID (Windows Internal Database), qui fonctionne sur un modèle asynchrone :

• 1 Serveur Primaire : Le seul à avoir la base de données en Lecture/Écriture.

• Des Serveurs Secondaires : Bases en Lecture Seule, qui se synchronisent depuis le Primaire.

La Méthode de Migration (Side-by-Side)

Pour migrer votre ferme de 2 nœuds 2016 vers 2025 sans coupure, suivez cette cinématique :

1. Déploiement : Installez 2 nouveaux serveurs sous Windows Server 2025.

2. Intégration (Join) : Ajoutez ces deux serveurs 2025 à la ferme AD FS existante. Ils deviendront automatiquement des nœuds Secondaires (Read-Only).

3. Bascule du Primaire : Promouvez l'un des serveurs 2025 en tant que nœud Primaire de la base WID. L'ancien primaire 2016 devient secondaire.

4. Validation du Trafic : Redirigez le flux de votre Load Balancer (F5, Kemp, etc.) vers les serveurs 2025. Testez vos endpoints SSO (SAML, OAuth).

5. Décommissionnement : Supprimez les serveurs 2016 de la ferme et du réseau.

6. Mise à jour du FBL : Étape finale et irréversible, montez le Farm Behavior Level (FBL) vers 2025 pour activer les nouvelles fonctionnalités de fédération.

3. Scripts de préparation

Script 1 : Validation de la santé AD DS avant upgrade

Ne lancez jamais une migration si l'AD n'est pas parfaitement sain. Ce script rapide lance les diagnostics vitaux :

Write-Host "Vérification de la santé Active Directory..." -ForegroundColor Cyan

# Rapport de réplication global
Write-Host "Rapport repadmin /replsummary :" -ForegroundColor Yellow
repadmin /replsummary

# Lancement de DCDiag sur le serveur local
Write-Host "`nLancement de DCDIAG (Recherche d'erreurs) :" -ForegroundColor Yellow
$dcdiag = dcdiag /q
if ($dcdiag) {
    Write-Warning "Des erreurs ont été détectées. Veuillez corriger avant l'upgrade."
    $dcdiag
} else {
    Write-Host "DCDIAG OK : Aucune erreur majeure détectée." -ForegroundColor Green
}

Script 2 : Gérer la bascule du nœud Primaire AD FS (WID)

Lorsque vous avez ajouté vos serveurs 2025, exécutez ce script sur le NOUVEAU serveur 2025 que vous souhaitez désigner comme chef d'orchestre (Primaire) de la base de données interne.

# Prérequis : À exécuter sur le nouveau serveur AD FS 2025
Write-Host "Vérification du statut actuel de la ferme WID..." -ForegroundColor Cyan
Get-AdfsSyncProperties | Select-Object Role, PrimaryComputerName

Write-Host "Promotion de ce serveur en tant que nœud Primaire WID..." -ForegroundColor Yellow
# On force le serveur local à devenir le Primaire
Set-AdfsSyncProperties -Role PrimaryComputer

# Sur l'ancien serveur 2016, il faudra ensuite exécuter :
# Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName FQDN_DU_NOUVEAU_SERVEUR

4. Références officielles Microsoft

Pour border votre projet, appuyez-vous sur les référentiels de l'éditeur :

• Mettre à niveau les contrôleurs de domaine vers une version plus récente

• Niveaux fonctionnels Active Directory

• Mise à niveau d'une ferme AD FS vers Windows Server 2019/2022/2025

Conclusion

Migrer de Windows Server 2016 à 2025 est un saut technologique conséquent. L'abandon progressif de NTLM et le renforcement des cyphers TLS imposent une rigueur absolue. Si la méthode d'in-place upgrade pour AD DS est tentante, l'audit de vos rôles co-hébergés (DHCP, AD CS) doit dicter votre choix. Quant à l'AD FS, la construction d'une nouvelle ferme parallèle (Side-by-Side) intégrée au cluster WID existant reste la seule approche professionnelle pour garantir un SSO ininterrompu à vos utilisateurs.