Comment augmenter les niveaux fonctionnels de domaine et de forêt Active Directory
Cet article explique comment augmenter les niveaux fonctionnels de forêt et de domaine Active Directory.
Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 322692
Résumé
Pour plus d’informations sur Windows Server 2016 et les nouvelles fonctionnalités dans services de domaine Active Directory (AD DS), consultez Nouveautés de services de domaine Active Directory pour Windows Server 2016.
Cet article décrit l’élévation des niveaux fonctionnels de domaine et de forêt pris en charge par les contrôleurs de domaine Microsoft Windows Server 2003 ou plus récents. Il existe quatre versions d’Active Directory, et seuls les niveaux qui ont changé à partir de Windows NT Server 4.0 nécessitent une attention particulière. Par conséquent, les autres modifications de niveau sont mentionnées à l’aide des versions plus récentes, actuelles ou antérieures du système d’exploitation du contrôleur de domaine, du domaine ou du niveau fonctionnel de la forêt.
Les niveaux fonctionnels sont une extension du mode mixte et des concepts du mode natif qui ont été introduits dans Microsoft Windows 2000 Server pour activer les nouvelles fonctionnalités Active Directory. Certaines fonctionnalités Active Directory supplémentaires sont disponibles lorsque tous les contrôleurs de domaine exécutent la version la plus récente de Windows Server dans un domaine ou dans une forêt, et lorsque l’administrateur active le niveau fonctionnel correspondant dans le domaine ou dans la forêt.
Pour activer les fonctionnalités de domaine les plus récentes, tous les contrôleurs de domaine doivent exécuter la version la plus récente du système d’exploitation Windows Server dans le domaine. Si cette exigence est remplie, l’administrateur peut augmenter le niveau fonctionnel du domaine.
Pour activer les fonctionnalités les plus récentes à l’échelle de la forêt, tous les contrôleurs de domaine de la forêt doivent exécuter la version du système d’exploitation Windows Server qui correspond au niveau fonctionnel de forêt souhaité. En outre, le niveau fonctionnel du domaine actuel doit déjà se trouver au niveau le plus récent. Si ces exigences sont remplies, l’administrateur peut augmenter le niveau fonctionnel de la forêt.
En règle générale, les modifications apportées aux niveaux fonctionnels de domaine et de forêt sont irréversibles. Si la modification peut être annulée, une récupération de forêt doit être utilisée. Avec le système d’exploitation Windows Server 2008 R2, les modifications apportées aux niveaux fonctionnels de domaine et aux niveaux fonctionnels de forêt peuvent être annulées. Toutefois, la restauration peut être effectuée uniquement dans les scénarios spécifiques décrits dans l’article Technet sur les niveaux fonctionnels Active Directory.
Remarque
Les niveaux fonctionnels de domaine les plus récents et les niveaux fonctionnels de forêt les plus récents affectent uniquement la façon dont les contrôleurs de domaine fonctionnent ensemble en tant que groupe. Les clients qui interagissent avec le domaine ou avec la forêt ne sont pas affectés. En outre, les applications ne sont pas affectées par les modifications apportées aux niveaux fonctionnels du domaine ou aux niveaux fonctionnels de la forêt. Toutefois, les applications peuvent tirer parti des fonctionnalités de domaine les plus récentes et des fonctionnalités de forêt les plus récentes.
Pour plus d’informations, consultez l’article TechNet sur les fonctionnalités associées aux différents niveaux fonctionnels.
Augmentation du niveau fonctionnel
Attention
N’augmentez pas le niveau fonctionnel si le domaine a ou aura un contrôleur de domaine qui est d’une version antérieure à la version qui est citée pour ce niveau. Par exemple, un niveau fonctionnel Windows Server 2008 nécessite que tous les contrôleurs de domaine disposent de Windows Server 2008 ou d’un système d’exploitation ultérieur installé dans le domaine ou dans la forêt. Une fois que le niveau fonctionnel du domaine est élevé à un niveau supérieur, il ne peut être modifié qu’à un niveau plus ancien à l’aide d’une récupération de forêt. Cette restriction existe parce que les fonctionnalités modifient souvent la communication entre les contrôleurs de domaine ou parce que les fonctionnalités modifient le stockage des données Active Directory dans la base de données.
La méthode la plus courante pour activer les niveaux fonctionnels de domaine et de forêt consiste à utiliser les outils d’administration de l’interface utilisateur graphique (GUI) documentés dans l’article TechNet sur les niveaux fonctionnels Windows Server 2003 Active Directory. Cet article traite de Windows Server 2003. Toutefois, les étapes sont les mêmes dans les versions les plus récentes du système d’exploitation. En outre, le niveau fonctionnel peut être configuré manuellement ou peut être configuré à l’aide de scripts Windows PowerShell. Pour plus d’informations sur la configuration manuelle du niveau fonctionnel, consultez la section « Afficher et définir le niveau fonctionnel ».
Pour plus d’informations sur l’utilisation de Windows PowerShell script pour configurer le niveau fonctionnel, consultez Élever le niveau fonctionnel de la forêt.
Afficher et définir le niveau fonctionnel manuellement
Les outils LDAP (Lightweight Directory Access Protocol) tels que Ldp.exe et Adsiedit.msc peuvent être utilisés pour afficher et modifier les paramètres de niveau fonctionnel de domaine et de forêt actuels. Lorsque vous modifiez manuellement les attributs de niveau fonctionnel, la meilleure pratique consiste à apporter des modifications d’attribut sur le contrôleur de domaine FSMO (Flexible Single Master Operations) qui est normalement ciblé par les outils d’administration Microsoft.
Paramètres de niveau fonctionnel du domaine
L’attribut msDS-Behavior-Version se trouve sur l’en-tête de contexte de nommage (NC) du domaine, c’est-à-dire DC=corp, DC=contoso, DC=com.
Vous pouvez définir les valeurs suivantes pour cet attribut :
- Valeur 0 ou non set=mixed level domain
- Valeur 1=Niveau de domaine Windows Server 2003
- Valeur 2=Niveau de domaine Windows Server 2003
- Valeur 3=Niveau de domaine Windows Server 2008
- Valeur 4=Niveau de domaine Windows Server 2008 R2
Paramètres en mode mixte et en mode natif
L’attribut ntMixedDomain se trouve sur l’en-tête du contexte d’affectation de noms (NC) du domaine, c’est-à-dire DC=corp, DC=contoso, DC=com.
Vous pouvez définir les valeurs suivantes pour cet attribut :
- Valeur de 0=Domaine de niveau natif
- Valeur 1=Domaine de niveau mixte
Paramètre au niveau de la forêt
L’attribut msDS-Behavior-Version se trouve sur l’objet CN=Partitions dans le contexte d’affectation de noms de configuration (NC), c’est-à-dire CN=Partitions, CN=Configuration, DC= ForestRootDomain.
Vous pouvez définir les valeurs suivantes pour cet attribut :
Valeur 0 ou non set=forêt de niveau mixte
Valeur 1=Niveau de forêt intermédiaire Windows Server 2003
Valeur 2=Niveau de forêt Windows Server 2003
Remarque
Lorsque vous augmentez l’attribut msDS-Behavior-Version de la valeur 0 à la valeur 1 en usingAdsiedit.msc, le message d’erreur suivant s’affiche :
Opération de modification non conforme. Certains aspects de la modification ne sont pas autorisés.Valeur 3=Niveau de domaine Windows Server 2008
Valeur 4=Niveau de domaine Windows Server 2008 R2
Après avoir utilisé les outils LDAP (Lightweight Directory Access Protocol) pour modifier le niveau fonctionnel, cliquez sur OK pour continuer. Les attributs sur le conteneur de partitions et sur l’en-tête de domaine sont correctement augmentés. Si un message d’erreur est déclaré par le fichier Ldp.exe, vous pouvez ignorer le message d’erreur en toute sécurité. Pour vérifier que l’augmentation de niveau a réussi, actualisez la liste des attributs, puis case activée le paramètre actuel. Ce message d’erreur peut également se produire après avoir effectué l’augmentation de niveau sur le FSMO faisant autorité si la modification n’a pas encore été répliquée sur le contrôleur de domaine local.
Afficher rapidement les paramètres actuels à l’aide du fichier Ldp.exe
- Démarrez le fichier Ldp.exe.
- Dans le menu Connexion, cliquez sur Connecter.
- Spécifiez le contrôleur de domaine que vous souhaitez interroger, ou laissez l’espace vide pour vous connecter à n’importe quel contrôleur de domaine.
Une fois que vous vous êtes connecté à un contrôleur de domaine, les informations RootDSE pour le contrôleur de domaine s’affichent. Ces informations incluent des informations sur la forêt, le domaine et les contrôleurs de domaine. Voici un exemple de contrôleur de domaine Windows Server 2003. Dans l’exemple suivant, supposons que le mode domaine est Windows Server 2003 et que le mode forêt est Windows 2000 Server.
Remarque
La fonctionnalité de contrôleur de domaine représente le niveau fonctionnel le plus élevé possible pour ce contrôleur de domaine.
- 1> domainFunctionality : 2=(DS_BEHAVIOR_WIN2003)
- 1> forestFunctionality : 0=(DS_BEHAVIOR_WIN2000)
- 1> domainControllerFunctionality : 2=(DS_BEHAVIOR_WIN2003)
Conditions requises lorsque vous modifiez manuellement le niveau fonctionnel
Vous devez modifier le mode de domaine en mode natif avant d’augmenter le niveau du domaine si l’une des conditions suivantes est remplie :
- Le niveau fonctionnel du domaine est élevé par programmation au deuxième niveau fonctionnel en modifiant directement la valeur de l’attribut msdsBehaviorVersion sur l’objet domainDNS.
- Le niveau fonctionnel du domaine est élevé au deuxième niveau fonctionnel à l’aide de l’utilitaire Ldp.exe ou de l’utilitaire Adsiedit.msc.
Si vous ne modifiez pas le mode de domaine en mode natif avant d’augmenter le niveau du domaine, l’opération n’est pas terminée correctement et vous recevez les messages d’erreur suivants :
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
En outre, le message suivant est enregistré dans le journal des services d’annuaire :
Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
Dans ce scénario, vous pouvez changer le mode de domaine en mode natif à l’aide du composant logiciel enfichable Utilisateurs & Ordinateurs Active Directory, en utilisant le composant logiciel enfichable MMC d’interface utilisateur Active Directory Domains & Trusts, ou en modifiant par programmation la valeur de l’attribut ntMixedDomain sur 0 sur l’objet domainDNS. Lorsque ce processus est utilisé pour élever le niveau fonctionnel du domaine à 2 (Windows Server 2003), le mode de domaine est automatiquement remplacé par le mode natif.
La transition du mode mixte au mode natif modifie l’étendue du groupe de sécurité Administrateurs de schéma et du groupe de sécurité Administrateurs d’entreprise en groupes universels. Lorsque ces groupes ont été modifiés en groupes universels, le message suivant est enregistré dans le journal système :
Event Type: Information Event Source: SAM Event ID: 16408 Computer:Server Name Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Lorsque les outils d’administration Windows Server 2003 sont utilisés pour appeler le niveau fonctionnel du domaine, l’attribut ntmixedmode et l’attribut msdsBehaviorVersion sont modifiés dans l’ordre correct. Toutefois, cela ne se produit pas toujours. Dans le scénario suivant, le mode natif est implicitement défini sur une valeur de 0 sans que l’étendue du groupe de sécurité Administrateurs de schéma et du groupe de sécurité Administrateurs d’entreprise soit universelle :
- L’attribut msdsBehaviorVersion qui contrôle le mode fonctionnel du domaine est défini manuellement ou par programme sur la valeur 2.
- Le niveau fonctionnel de la forêt est défini sur 2 à l’aide de n’importe quelle méthode. Dans ce scénario, les contrôleurs de domaine bloquent la transition vers le niveau fonctionnel de la forêt jusqu’à ce que tous les domaines qui se trouvent dans le réseau local soient configurés en mode natif et que la modification d’attribut requise soit effectuée dans les étendues du groupe de sécurité.
Niveaux fonctionnels pertinents pour Windows 2000 Server
Windows 2000 Server prend uniquement en charge le mode mixte et le mode natif. En outre, il applique uniquement ces modes à la fonctionnalité de domaine. Les sections suivantes répertorient les modes de domaine Windows Server 2003, car ces modes affectent la façon dont les domaines Windows NT 4.0 et Windows 2000 Server sont mis à niveau.
Il existe de nombreuses considérations lors de l’élévation du niveau du système d’exploitation du contrôleur de domaine. Ces considérations sont dues aux limitations de stockage et de réplication des attributs liés dans les modes Windows 2000 Server.
Windows 2000 Server mixte (par défaut)
- Contrôleurs de domaine pris en charge : Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
- Fonctionnalités activées : groupes locaux et globaux, prise en charge du catalogue global
Windows 2000 Server natif
- Contrôleurs de domaine pris en charge : Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Fonctionnalités activées : imbrication de groupes, groupes universels, historique des sids, conversion de groupes entre groupes de sécurité et groupes de distribution, vous pouvez augmenter les niveaux de domaine en augmentant les paramètres au niveau de la forêt
Windows Server 2003 interim
- Contrôleurs de domaine pris en charge : Windows NT 4.0, Windows Server 2003
- Fonctionnalités prises en charge : aucune fonctionnalité à l’échelle du domaine n’est activée à ce niveau. Tous les domaines d’une forêt sont automatiquement élevés à ce niveau lorsque le niveau de forêt passe à intermédiaire. Ce mode est utilisé uniquement lorsque vous mettez à niveau des contrôleurs de domaine dans des domaines Windows NT 4.0 vers des contrôleurs de domaine Windows Server 2003.
Windows Server 2003
- Contrôleurs de domaine pris en charge : Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Fonctionnalités prises en charge : renommage du contrôleur de domaine, attribut d’horodatage d’ouverture de session mis à jour et répliqué. Prise en charge des mots de passe utilisateur sur inetOrgPerson objectClass. Délégation contrainte, vous pouvez rediriger les conteneurs Utilisateurs et Ordinateurs.
Les domaines qui sont mis à niveau à partir de Windows NT 4.0 ou créés par la promotion d’un ordinateur Windows Server 2003 fonctionnent au niveau fonctionnel mixte Windows 2000. Les domaines Windows 2000 Server conservent leur niveau fonctionnel de domaine actuel lorsque les contrôleurs de domaine Windows 2000 Server sont mis à niveau vers le système d’exploitation Windows Server 2003. Vous pouvez élever le niveau fonctionnel du domaine vers Windows 2000 Server natif ou Windows Server 2003.
Niveau intermédiaire : mise à niveau à partir d’un domaine Windows NT 4.0
Windows Server 2003 Active Directory autorise un niveau fonctionnel spécial de forêt et de domaine nommé Windows Server 2003 interim. Ce niveau fonctionnel est fourni pour les mises à niveau de domaines Windows NT 4.0 existants où un ou plusieurs contrôleurs de domaine de sauvegarde Windows NT 4.0 doivent fonctionner après la mise à niveau. Les contrôleurs de domaine Windows 2000 Server ne sont pas pris en charge dans ce mode. Windows Server 2003 intermédiaire s’applique aux scénarios suivants :
- Mises à niveau de domaine de Windows NT 4.0 vers Windows Server 2003.
- Les BDC Windows NT 4.0 ne sont pas mis à niveau immédiatement.
- Domaines Windows NT 4.0 qui contiennent des groupes de plus de 5 000 membres (à l’exclusion du groupe d’utilisateurs de domaine).
- Il n’est pas prévu d’implémenter des contrôleurs de domaine Windows Server2000 dans la forêt à tout moment.
Windows Server 2003 intermédiaire fournit deux améliorations importantes tout en autorisant la réplication vers les BDC Windows NT 4.0 :
- Réplication efficace des groupes de sécurité et prise en charge de plus de 5 000 membres par groupe.
- Amélioration des algorithmes de générateur de topologie intersite KCC.
En raison de l’efficacité de la réplication de groupe activée dans le niveau intermédiaire, le niveau intermédiaire est le niveau recommandé pour toutes les mises à niveau de Windows NT 4.0. Pour plus d’informations, consultez la section « Bonnes pratiques » de cet article.
Définition du niveau fonctionnel de forêt intermédiaire Windows Server 2003
Windows Server 2003 interim peut être activé de trois manières différentes. Les deux premières méthodes sont fortement recommandées. Cela est dû au fait que les groupes de sécurité utilisent la réplication de valeur liée (LVR) après la mise à niveau du contrôleur de domaine principal (PDC) du domaine Windows NT 4.0 vers un contrôleur de domaine Windows Server 2003. La troisième option est moins fortement recommandée, car l’appartenance à des groupes de sécurité utilise un seul attribut à valeurs multiples, ce qui peut entraîner des problèmes de réplication. Les méthodes d’activation intermédiaire de Windows Server 2003 sont les suivantes :
Pendant la mise à niveau.
L’option est présentée dans l’Assistant Installation de Dcpromo lorsque vous mettez à niveau le contrôleur de domaine principal d’un domaine Windows NT 4.0 qui sert de premier contrôleur de domaine dans le domaine racine d’une nouvelle forêt.
Avant de mettre à niveau le contrôleur de domaine principal Windows NT 4.0 d’un Windows NT 4.0 en tant que premier contrôleur de domaine d’un nouveau domaine dans une forêt existante en configurant manuellement le niveau fonctionnel de la forêt à l’aide des outils LDAP (Lightweight Directory Access Protocol).
Les domaines enfants héritent des paramètres de fonctionnalités à l’échelle de la forêt dans laquelle ils sont promus. La mise à niveau du contrôleur de domaine d’un domaine Windows NT 4.0 en tant que domaine enfant dans une forêt Windows Server 2003 existante où les niveaux fonctionnels de forêt intermédiaires ont été configurés à l’aide du fichier Ldp.exe ou du fichier Adsiedit.msc permet aux groupes de sécurité d’utiliser la réplication de valeur liée après la mise à niveau de la version du système d’exploitation.
Après la mise à niveau à l’aide des outils LDAP.
Utilisez les deux dernières options lorsque vous joignez une forêt Windows Server 2003 existante pendant une mise à niveau. Il s’agit d’un scénario courant lorsqu’un domaine « racine vide » est en position. Le domaine mis à niveau est joint en tant qu’enfant de la racine vide et hérite du paramètre de domaine de la forêt.
Meilleures pratiques
La section suivante décrit les meilleures pratiques pour augmenter les niveaux fonctionnels. La section est divisée en deux parties. « Tâches de préparation » décrit le travail que vous devez effectuer avant l’augmentation et « Augmentation des chemins optimaux » décrit les motivations et les méthodes pour différents scénarios d’augmentation de niveau.
Pour découvrir les contrôleurs de domaine Windows NT 4.0, procédez comme suit :
À partir de n’importe quel contrôleur de domaine Windows Server 2003, ouvrez Utilisateurs et ordinateurs Active Directory.
Si le contrôleur de domaine n’est pas déjà connecté au domaine approprié, procédez comme suit pour vous connecter au domaine approprié :
- Cliquez avec le bouton droit sur l’objet de domaine actuel, puis cliquez sur Se connecter au domaine.
- Dans la boîte de dialogue Domaine , tapez le nom DNS du domaine auquel vous souhaitez vous connecter, puis cliquez sur OK. Vous pouvez également cliquer sur Parcourir pour sélectionner le domaine dans l’arborescence du domaine, puis cliquez sur OK.
Cliquez avec le bouton droit sur l’objet de domaine, puis cliquez sur Rechercher.
Dans la boîte de dialogue Rechercher , cliquez sur Recherche personnalisée.
Cliquez sur le domaine pour lequel vous souhaitez modifier le niveau fonctionnel.
Cliquez sur l’onglet Avancé.
Dans la zone Entrer la requête LDAP , tapez ce qui suit et ne laissez aucun espace entre les caractères : (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl :1.2.840.113556.1.4.803 :=8192))
Remarque
Cette requête ne respecte pas la casse.
Cliquez sur Rechercher maintenant.
Une liste des ordinateurs du domaine qui exécutent Windows NT 4.0 et qui fonctionnent en tant que contrôleurs de domaine s’affiche.
Un contrôleur de domaine peut apparaître dans la liste pour l’une des raisons suivantes :
- Le contrôleur de domaine exécute Windows NT 4.0 et doit être mis à niveau.
- Le contrôleur de domaine est mis à niveau vers Windows Server 2003, mais la modification n’est pas répliquée sur le contrôleur de domaine cible.
- Le contrôleur de domaine n’est plus en service, mais l’objet ordinateur du contrôleur de domaine n’est pas supprimé du domaine.
Avant de pouvoir remplacer le niveau fonctionnel du domaine par Windows Server 2003, vous devez localiser physiquement n’importe quel contrôleur de domaine dans la liste, déterminer le status actuel du contrôleur de domaine, puis mettre à niveau ou supprimer le contrôleur de domaine le cas échéant.
Remarque
Contrairement aux contrôleurs de domaine Windows Server 2000, les contrôleurs de domaine Windows NT 4.0 ne bloquent pas une augmentation de niveau. Lorsque vous modifiez le niveau fonctionnel du domaine, la réplication vers les contrôleurs de domaine Windows NT 4.0 s’arrête. Toutefois, lorsque vous essayez d’augmenter le niveau de forêt Windows Server 2003 avec des domaines dans Windows Server 2000, le niveau mixte est bloqué. L’absence de BDC Windows NT 4.0 est impliquée par le respect de l’exigence au niveau de la forêt de tous les domaines au niveau natif de Windows Server 2000 ou version ultérieure.
Exemple : Tâches de préparation avant l’augmentation du niveau
Dans cet exemple, l’environnement est déclenché du mode mixte Windows Server 2000 en mode forêt Windows Server 2003.
Inventoriez la forêt pour les versions antérieures des contrôleurs de domaine.
Si aucune liste de serveurs précise n’est disponible, procédez comme suit :
- Pour découvrir des domaines de niveau mixte, des contrôleurs de domaine Windows Server 2000 ou des contrôleurs de domaine avec des objets endommagés ou manquants, utilisez les domaines Active Directory et le composant logiciel enfichable MMC approuvé.
- Dans le composant logiciel enfichable, cliquez sur Augmenter la fonctionnalité de forêt, puis cliquez sur Enregistrer sous pour générer un rapport détaillé.
- Si aucun problème n’a été trouvé, l’option d’augmentation au niveau de forêt Windows Server 2003 est disponible dans la liste déroulante « Niveaux fonctionnels de forêt disponibles ». Lorsque vous essayez d’augmenter le niveau de forêt, les objets de contrôleur de domaine dans les conteneurs de configuration sont recherchés pour tous les contrôleurs de domaine pour lesquels msds-behavior-version est défini sur le niveau cible souhaité. Ils sont supposés être des contrôleurs de domaine Windows Server 2000 ou des objets de contrôleur de domaine Windows Server plus récents qui sont endommagés.
- Si des contrôleurs de domaine de version antérieure ou des contrôleurs de domaine qui ont des objets ordinateur endommagés ou manquants ont été trouvés, ils sont inclus dans le rapport. Les status de ces contrôleurs de domaine doivent être examinées et la représentation du contrôleur de domaine dans Active Directory doit être réparée ou supprimée à l’aide du fichier Ntdsutil.
Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
216498 Comment supprimer des données dans Active Directory après un échec de rétrogradation de contrôleur de domaine
Vérifier que la réplication de bout en bout fonctionne dans la forêt
Pour vérifier que la réplication de bout en bout fonctionne dans la forêt, utilisez windows Server 2003 ou version ultérieure de Repadmin sur les contrôleurs de domaine Windows Server 2000 ou Windows Server 2003 :
Repadmin/Replsum * /Sort:Delta[/Errorsonly]
pour l’inventaire initial.Repadmin/Showrepl * /CSV>showrepl.csv
. Importez dans Excel, puis utilisez le filtre automatique de données> pour identifier les fonctionnalités de réplication.Utilisez des outils de réplication tels que Repadmin pour vérifier que la réplication à l’échelle de la forêt fonctionne correctement.
Vérifiez la compatibilité de tous les programmes ou services avec les contrôleurs de domaine Windows Server les plus récents et avec le mode de domaine et de forêt Windows Server plus élevé. Utilisez un environnement de laboratoire pour tester minutieusement les programmes et services de production pour rechercher les problèmes de compatibilité. Contactez les fournisseurs pour obtenir une confirmation de la fonctionnalité.
Préparez un plan d’arrière-plan qui inclut l’une des actions suivantes :
- Déconnectez au moins deux contrôleurs de domaine de chaque domaine de la forêt.
- Créez une sauvegarde de l’état système d’au moins deux contrôleurs de domaine de chaque domaine dans la forêt.
Avant que le plan de sauvegarde puisse être utilisé, tous les contrôleurs de domaine de la forêt doivent être désactivés avant le processus de récupération.
Remarque
Les augmentations de niveau ne peuvent pas être restaurées avec autorité. Cela signifie que tous les contrôleurs de domaine qui ont répliqué l’augmentation de niveau doivent être désactivés.
Une fois tous les contrôleurs de domaine précédents désactivés, affichez les contrôleurs de domaine déconnectés ou restaurez les contrôleurs de domaine à partir de la sauvegarde. Supprimez les métadonnées de tous les autres contrôleurs de domaine, puis redéployez-les. Il s’agit d’un processus difficile qui doit être évité.
Exemple : Comment obtenir du niveau mixte Windows Server 2000 au niveau de la forêt Windows Server 2003
Augmentez tous les domaines au niveau natif de Windows Server 2000. Une fois cette opération terminée, augmentez le niveau fonctionnel du domaine racine de forêt au niveau de la forêt Windows Server 2003. Lorsque le niveau de forêt est répliqué sur les PDC pour chaque domaine de la forêt, le niveau de domaine est automatiquement augmenté au niveau du domaine Windows Server 2003. Cette méthode présente les avantages suivants :
- L’augmentation de niveau à l’échelle de la forêt n’est effectuée qu’une seule fois. Vous n’avez pas besoin d’augmenter manuellement chaque domaine de la forêt au niveau fonctionnel du domaine Windows Server 2003.
- Une case activée pour les contrôleurs de domaine Windows Server 2000 est effectuée avant l’augmentation du niveau (voir les étapes de préparation). L’augmentation est bloquée jusqu’à ce que les contrôleurs de domaine problématiques soient supprimés ou mis à niveau. Un rapport détaillé peut être généré en répertoriant les contrôleurs de domaine bloquants et en fournissant des données exploitables.
- Une case activée pour les domaines dans Windows Server 2000 mixte ou windows Server 2003 niveau intermédiaire est effectuée. L’augmentation est bloquée jusqu’à ce que les niveaux de domaine soient augmentés à au moins Windows Server 2000 natif. Les domaines de niveau intermédiaire doivent être augmentés au niveau du domaine Windows Server 2003. Un rapport détaillé peut être généré en répertoriant les domaines bloquants.
Mises à niveau de Windows NT 4.0
Les mises à niveau de Windows NT 4.0 utilisent toujours le niveau intermédiaire pendant la mise à niveau du contrôleur de domaine principal, sauf si des contrôleurs de domaine Windows Server 2000 ont été introduits dans la forêt dans laquelle le contrôleur de domaine principal est mis à niveau. Lorsque le mode intermédiaire est utilisé pendant la mise à niveau du contrôleur de domaine principal, les grands groupes existants utilisent immédiatement la réplication LVR, ce qui évite les problèmes de réplication potentiels décrits plus haut dans cet article. Utilisez l’une des méthodes suivantes pour accéder au niveau intermédiaire pendant la mise à niveau :
- Sélectionnez le niveau intermédiaire pendant Dcpromo. Cette option est présentée uniquement lorsque le contrôleur de domaine principal est mis à niveau vers une nouvelle forêt.
- Définissez le niveau de forêt d’une forêt existante sur intermédiaire, puis joignez-la lors de la mise à niveau du contrôleur de domaine principal. Le domaine mis à niveau hérite du paramètre de forêt.
- Une fois que tous les BDC Windows NT 4.0 ont été mis à niveau ou supprimés, chaque domaine doit être transféré au niveau de la forêt et peut être passé en mode forêt Windows Server 2003.
L’une des raisons d’éviter d’utiliser le mode intermédiaire est qu’il est prévu d’implémenter des contrôleurs de domaine Windows Server 2000 après la mise à niveau, ou à tout moment à l’avenir.
Considérations spéciales pour les grands groupes dans Windows NT 4.0
Dans les domaines Windows NT 4.0 matures, des groupes de sécurité qui contiennent beaucoup plus de 5 000 membres peuvent exister. Dans Windows NT 4.0, lorsqu’un membre d’un groupe de sécurité change, seule la modification d’appartenance unique est répliquée sur les contrôleurs de domaine de sauvegarde. Dans Windows Server 2000, les appartenances aux groupes sont des attributs liés stockés dans un seul attribut à valeurs multiples de l’objet groupe. Lorsqu’une seule modification est apportée à l’appartenance d’un groupe, l’ensemble du groupe est répliqué en tant qu’unité unique. Étant donné que l’appartenance au groupe est répliquée en tant qu’unité unique, il est possible que les mises à jour de l’appartenance au groupe soient « perdues » lorsque différents membres sont ajoutés ou supprimés en même temps sur différents contrôleurs de domaine. En outre, la taille de cet objet unique peut être supérieure à la mémoire tampon utilisée pour valider une entrée dans la base de données. Pour plus d’informations, consultez la section « Problèmes liés au magasin de versions avec les grands groupes » de cet article. Pour ces raisons, la limite recommandée pour les membres du groupe est de 5 000.
L’exception à la règle de 5 000 membres est le groupe principal (par défaut, il s’agit du groupe « Utilisateurs du domaine »). Le groupe principal utilise un mécanisme « calculé » basé sur le « primarygroupID » de l’utilisateur pour déterminer l’appartenance. Le groupe principal ne stocke pas les membres en tant qu’attributs liés à valeurs multiples. Si le groupe principal de l’utilisateur est remplacé par un groupe personnalisé, son appartenance au groupe Utilisateurs du domaine est écrite dans l’attribut lié pour le groupe et n’est plus calculée. Le nouveau groupe principal Rid est écrit dans « primarygroupID » et l’utilisateur est supprimé de l’attribut membre du groupe.
Si l’administrateur ne sélectionne pas le niveau intermédiaire pour le domaine de mise à niveau, vous devez suivre ces étapes avant la mise à niveau :
- Inventoriez tous les grands groupes et identifiez tous les groupes de plus de 5 000, à l’exception du groupe d’utilisateurs du domaine.
- Tous les groupes qui ont plus de 5 000 membres doivent être divisés en groupes plus petits de moins de 5 000 membres.
- Recherchez tous les Access Control Listes où les grands groupes ont été entrés et ajoutez les petits groupes que vous avez créés à l’étape 2.Windows Server 2003 niveau de forêt intermédiaire évite aux administrateurs de découvrir et de réallouer les groupes de sécurité globaux comptant plus de 5 000 membres.
Problèmes liés au magasin de versions avec les grands groupes
Lors d’opérations de longue durée telles que des recherches approfondies ou des validations sur un attribut unique et volumineux, Active Directory doit s’assurer que l’état de la base de données est statique jusqu’à ce que l’opération soit terminée. Un grand groupe qui utilise le stockage hérité est un exemple de recherches approfondies ou de validations sur des attributs volumineux.
Étant donné que les mises à jour de la base de données se produisent en permanence localement et à partir des partenaires de réplication, Active Directory fournit un état statique en mettant en file d’attente toutes les modifications entrantes jusqu’à la fin de l’opération de longue durée. Dès que l’opération est terminée, les modifications en file d’attente sont appliquées à la base de données.
L’emplacement de stockage de ces modifications en file d’attente est appelé « magasin de versions » et est d’environ 100 mégaoctets. La taille du magasin de versions varie et est basée sur la mémoire physique. Si une opération de longue durée ne se termine pas avant l’épuisement du magasin de versions, le contrôleur de domaine cesse d’accepter les mises à jour jusqu’à ce que l’opération de longue durée et les modifications en file d’attente soient validées. Les groupes qui atteignent un grand nombre (plus de 5 000 membres) exposent le contrôleur de domaine au risque d’épuiser le magasin de versions tant que le grand groupe est engagé.
Windows Server 2003 introduit un nouveau mécanisme de réplication pour les attributs à valeurs multiples liés, appelé réplication de valeur de liaison (LVR). Au lieu de répliquer l’ensemble du groupe en une seule opération de réplication, LVR résout ce problème en répliquant chaque membre du groupe en tant qu’opération de réplication distincte. LVR devient disponible lorsque le niveau fonctionnel de forêt est élevé au niveau de forêt intermédiaire Windows Server 2003 ou au niveau de forêt Windows Server 2003. Dans ce niveau fonctionnel, LVR est utilisé pour répliquer des groupes entre les contrôleurs de domaine Windows Server 2003.