Migration Windows Server 2003 : ils essuient les plâtres et témoignent

Applications incompatibles, annuaire qui migre mal, prestataires toujours prêts à surfacturer, l’inéluctable migration des serveurs Windows 2003 est loin d’être une sinécure. Retour d’expérience.

Article mis à jour en bas de page

A partir du 14 juillet prochain, Microsoft cessera de livrer des correctifs de sécurité pour la famille Windows Server 2003. « Le problème est exactement le même que pour Windows XP l’année dernière. Tous ceux qui utiliseront encore le système après la date butoir exposeront leur informatique aux attaques et aux prochains virus », lance Louis Lépine, directeur associé de l’intégrateur 1fogénie.

Fin de vie Windows XP, Windows Server 2003, Office 2003

 
Au moins une entreprise sur six en France maintiendrait encore en opération des serveurs sous Windows 2003. « Ce n’est pas qu’une question de négligence. Windows Server 2003 est maintenu volontairement pour des raisons de compatibilité des applications », explique Yves Tapia, architecte Solutions chez Avanade, une SSII spécialisée dans les produits Microsoft. Et la situation dépasserait le cadre des applications serveurs. Selon Yves Tapia, plusieurs entreprises auraient contourné le problème de la compatibilité ascendante entre XP et Windows 7, en exécutant à distance les vieilles applications clientes sur des serveurs Windows 2003, dont le noyau NT5 est identique à celui de XP. « Certains de nos clients ont ainsi maintenu en vie jusqu’à 500 applications Windows XP grâce à Windows Server 2003 », souffle-t-il.

Contourner le problème des applications incompatibles

Avant d’abandonner Windows Server 2003, il faut au préalable s’assurer de la compatibilité des vieilles applications avec un Windows plus récent. Microsoft propose à cette fin de télécharger gratuitement un outil de validation des applications : l’Application Compatibility Toolkit (ACT). Celui-ci déploie des agents sur les « vieux » serveurs Windows 2003, puis notifie les incompatibilités rencontrées dans une base SQL à part. Les problèmes les plus fréquents viennent d’applications qui naviguent sur le réseau en se servant des protocoles désuets WINS, IAS, DFS ou SMB. En cause aussi celles qui stockent leurs données en dur dans la base des registres ou dans le répertoire Windows, alors que ce n’est plus possible. « C’est une spécialité des applications conçues à l’aide de WinDev par de petits éditeurs pour les services publics et les PME », accuse Louis Lépine ! Citons également les applications écrites pour Java 6, alors que les derniers Windows n’acceptent que du Java 7, voire uniquement du Java 8 à partir de 2016.

A partir de ce rapport, on peut tenter de contourner les problèmes de compatibilité en installant l’outil Compatibility Manager, livré avec ACT, sur un serveur Windows dernier cri. Compatibility Manager sert à simuler, application par application, paramètre par paramètre, un vieil environnement Windows Server 2003. « Mais entre les tests, les essais de configurations, voire les demandes à l’éditeur de réécrire son application pour les nouvelles versions de Windows Server, nous avons parfois mis plus d’un an à remplacer un Windows Server 2003 par un système plus moderne », se désole Christophe Decombe, directeur technique à la DSI d’Alten, entreprise pourtant spécialiste de l’ingénierie et du conseil en technologies. A date, il lui reste toujours deux serveurs Windows 2003 qu’il n’arrive pas à éradiquer de son datacenter.

En 2013, Gartner et IDC s’étaient accordés sur l’importance de ne pas attendre le dernier moment pour migrer les applications de ses serveurs Windows 2003. Plus facile à dire qu’à faire. Car parfois, la migration s’avère impossible. Micael Dos Santos, responsable de la cellule production à la DSI de l’organisme de formation Demos, en a fait l’amère expérience. « L’éditeur de l’application de CRM qui nous pose aujourd’hui un problème de compatibilité a disparu. Nous avons renoncé à la bidouiller pour qu’elle fonctionne sur autre chose que Windows Server 2003. Avant juillet prochain, nous la remplacerons par une autre, qui fait à peu près la même chose sur Windows Server 2012. Et, dorénavant, nous n’achèterons plus nos applications que chez les éditeurs qui ont pignon sur rue, » décrète-t-il, désabusé.

Une migration pas toujours simple pour Active Directory

Une fois l’inconvénient des applications incompatibles réglé, reste à migrer les services de Windows Server 2003 vers Windows Server 2012 R2. En général, la procédure est simple : on installe 2012 R2 sur une machine vierge (physique ou virtuelle), on indique à ses outils de migration de dupliquer la configuration et les données d’une machine Windows Server 2003 dont on précise le nom, puis on dé-commissionne ce dernier du réseau dès que le système 2012 R2 devient pleinement opérationnel. « Selon la quantité de données à transférer, l’opération prend entre dix minutes et deux heures, en dehors des heures ouvrées », se félicite Micael Dos Santos.

Serveurs datacenter

Sauf que, parfois, la migration du service Active Directory échoue. Le cas se présente généralement lorsqu’une entreprise a voulu personnaliser les attributs des schémas Active Directory, afin de créer des silos de serveurs (il s’agissait manifestement d’une pratique d’administration à la mode dans les années 2000, lorsque deux entreprises fusionnaient et qu’il fallait dès lors faire coexister deux systèmes d’information). Or, ces schémas personnalisés ne sont pas correctement pris en charge par l’outil de migration de Windows Server 2012, comme expliqué, par exemple, dans la fiche pratique de Windows Networking.

Pour éviter le problème, il faut nettoyer la base d’AD de toutes les références cassées qu’elle contient avant d’effectuer sa migration. « Mais seul Microsoft peut le faire ! Il faut avoir un contact privilégié chez eux, lui téléphoner. Alors, une armée de leurs consultants débarque pour faire remonter notre annuaire chez Microsoft, où leurs ingénieurs le nettoient et nous le rendent », témoigne Christophe Decombe d’Alten. Le coût de l’opération serait de 10 000 euros par site de l’entreprise.

Pour réduire la facture, l’intégrateur 1fogénie a cherché une moulinette dans le domaine public qui permette de faire le ménage dans les attributs personnalisés des schémas AD. En vain. « Parfois, le plus simple est encore de demander à quelqu’un de ressaisir à la main sur Windows 2012 R2 toutes les entrées du vieux serveur AD », lance Louis Lépine. Et d’ajouter que, dans le cas d’une fusion entre deux entreprises, il faut d’abord migrer les AD de chacune sur la même génération de Windows, puis les fusionner. Ce qui double le risque de défaillance.

Une prestation en quatre étapes

 

DSI Datacenter

Si les procédures précédentes découragent l’entreprise, il est toujours possible de confier la migration des machines Windows Server 2003 vers 2012 R2 à un prestataire. L’offre commerciale se décline en quatre étapes : inventaire de l’existant (quels serveurs avec quelles applications sont concernés), évaluation de la situation (ce qu’on peut migrer, ce qu’il faut remplacer), définition des systèmes cibles (devis pour des serveurs Windows 2012 R2 correctement configurés) et enfin, migration (installation des nouveaux systèmes avec récupération des anciens services et données).

Ces prestations étant habituellement facturées au coût horaire, la note grimpera très rapidement dès qu’il faudra résoudre un problème de compatibilité ascendante. « Le prix est un frein supplémentaire à la migration. Les comités exécutifs comprennent rarement pourquoi il faut investir dans le changement de quelque chose qui marche très bien en l’état. Cela explique pourquoi beaucoup d’entreprises ont attendu et attendront le dernier moment », appuie Christophe Decombe. Reste qu’une faille non corrigée dans l’un de ses systèmes Windows Server 2003 peut avoir des conséquences économiques encore plus lourdes.

Mise à jour :
Suite à plusieurs commentaires émettant des réserves sur les problèmes de migration Active Directory, nous avons apporté une précision. Le cas se présente généralement lorsqu’une entreprise a voulu personnaliser les attributs des schémas Active Directory, afin de créer des silos de serveurs. Une pratique d’administration à la mode dans les années 2000, lorsque deux entreprises fusionnaient et qu’il fallait faire coexister deux systèmes d’information. Or, ces schémas personnalisés ne sont pas correctement pris en charge par l’outil de migration de Windows Server 2012.