Comment élever les niveaux fonctionnels de domaine et de forêt Active Directory

Cet article explique comment augmenter les niveaux fonctionnels du domaine et de la forêt Active Directory.

S’applique à : Windows Server 2003
Numéro de base de connaissances d’origine : 322692

Résumé

Pour plus d’informations sur Windows Server 2016 et les nouvelles fonctionnalités dans services de domaine Active Directory (AD DS), consultez Nouveautés de services de domaine Active Directory pour Windows Server 2016.

Cet article traite de l’élévation des niveaux fonctionnels de domaine et de forêt pris en charge par les contrôleurs de domaine microsoft Windows Server 2003 ou plus récents. Il existe quatre versions d’Active Directory, et seuls les niveaux qui ont changé à partir de Windows NT Server 4.0 nécessitent une considération particulière. Par conséquent, les autres modifications de niveau sont mentionnées à l’aide des versions plus récentes, actuelles ou antérieures du système d’exploitation du contrôleur de domaine, du domaine ou du niveau fonctionnel de la forêt.

Les niveaux fonctionnels sont une extension du mode mixte et des concepts en mode natif introduits dans Microsoft Windows 2000 Server pour activer de nouvelles fonctionnalités Active Directory. Certaines fonctionnalités d’Active Directory supplémentaires sont disponibles lorsque tous les contrôleurs de domaine exécutent la version la plus récente de Windows Server dans un domaine ou dans une forêt, et lorsque l’administrateur active le niveau fonctionnel correspondant dans le domaine ou dans la forêt.

Pour activer les fonctionnalités de domaine les plus récentes, tous les contrôleurs de domaine doivent exécuter la version la plus récente du système d’exploitation Windows Server dans le domaine. Si cette exigence est remplie, l’administrateur peut augmenter le niveau fonctionnel du domaine.

Pour activer les fonctionnalités les plus récentes à l’échelle de la forêt, tous les contrôleurs de domaine de la forêt doivent exécuter la version du système d’exploitation Windows Server qui correspond au niveau fonctionnel de forêt souhaité. En outre, le niveau fonctionnel actuel du domaine doit déjà être au niveau le plus récent. Si ces exigences sont remplies, l’administrateur peut augmenter le niveau fonctionnel de la forêt.

En règle générale, les modifications apportées aux niveaux fonctionnels du domaine et de la forêt sont irréversibles. Si la modification peut être annulée, une récupération de forêt doit être utilisée. Avec le système d’exploitation Windows Server 2008 R2, les modifications apportées aux niveaux fonctionnels de domaine et aux niveaux fonctionnels de forêt peuvent être restaurées. Toutefois, la restauration peut être effectuée uniquement dans les scénarios spécifiques décrits dans l’article Technet sur les niveaux fonctionnels Active Directory.

Note

Les niveaux fonctionnels de domaine les plus récents et les niveaux fonctionnels de forêt les plus récents affectent uniquement la façon dont les contrôleurs de domaine fonctionnent ensemble en tant que groupe. Les clients qui interagissent avec le domaine ou avec la forêt ne sont pas affectés. En outre, les applications ne sont pas affectées par les modifications apportées aux niveaux fonctionnels du domaine ou aux niveaux fonctionnels de forêt. Toutefois, les applications peuvent tirer parti des fonctionnalités de domaine les plus récentes et des fonctionnalités de forêt les plus récentes.

Pour plus d’informations, consultez l’article TechNet sur les fonctionnalités associées aux différents niveaux fonctionnels.

Élévation du niveau fonctionnel

Attention

Ne déclenchez pas le niveau fonctionnel si le domaine possède ou aura un contrôleur de domaine qui est d’une version antérieure à la version mentionnée pour ce niveau. Par exemple, un niveau fonctionnel Windows Server 2008 nécessite que tous les contrôleurs de domaine disposent de Windows Server 2008 ou d’un système d’exploitation ultérieur installé dans le domaine ou dans la forêt. Une fois que le niveau fonctionnel du domaine est élevé à un niveau supérieur, il ne peut être rebasculé qu’à un niveau plus ancien à l’aide d’une récupération de forêt. Cette restriction existe, car les fonctionnalités changent souvent la communication entre les contrôleurs de domaine ou parce que les fonctionnalités modifient le stockage des données Active Directory dans la base de données.

La méthode la plus courante pour activer les niveaux fonctionnels de domaine et de forêt consiste à utiliser les outils d’administration de l’interface utilisateur graphique (GUI) documentés dans l’article TechNet sur les niveaux fonctionnels Active Directory Windows Server 2003. Cet article traite de Windows Server 2003. Toutefois, les étapes sont les mêmes dans les versions plus récentes du système d’exploitation. En outre, le niveau fonctionnel peut être configuré manuellement ou peut être configuré à l’aide de scripts Windows PowerShell. Pour plus d’informations sur la configuration manuelle du niveau fonctionnel, consultez la section « Afficher et définir le niveau fonctionnel ».

Pour plus d’informations sur l’utilisation du script Windows PowerShell pour configurer le niveau fonctionnel, consultez Augmenter le niveau fonctionnel de la forêt.

Afficher et définir manuellement le niveau fonctionnel

Les outils LDAP (Lightweight Directory Access Protocol) tels que Ldp.exe et Adsiedit.msc peuvent être utilisés pour afficher et modifier les paramètres de niveau fonctionnel actuel du domaine et de la forêt. Lorsque vous modifiez manuellement les attributs de niveau fonctionnel, la meilleure pratique consiste à apporter des modifications d’attribut sur le contrôleur de domaine FSMO (Flexible Single Master Operations) qui est normalement ciblé par les outils d’administration Microsoft.

Paramètres de niveau fonctionnel du domaine

L’attribut msDS-Behavior-Version se trouve sur la tête du contexte d’affectation de noms (NC) pour le domaine, c’est-à-dire DC=corp, DC=contoso, DC=com.

Vous pouvez définir les valeurs suivantes pour cet attribut :

• Valeur de 0 ou non set=domaine de niveau mixte
• Valeur 1=Niveau de domaine Windows Server 2003
• Valeur 2=Niveau de domaine Windows Server 2003
• Valeur 3=Niveau de domaine Windows Server 2008
• Valeur 4=Niveau de domaine Windows Server 2008 R2

Paramètres en mode mixte et en mode natif

L’attribut ntMixedDomain se trouve sur la tête du contexte de nommage (NC) du domaine, c’est-à-dire DC=corp, DC=contoso, DC=com.

Vous pouvez définir les valeurs suivantes pour cet attribut :

• Valeur 0=Domaine de niveau natif
• Valeur 1=Domaine de niveau mixte

Paramètre au niveau de la forêt

L’attribut msDS-Behavior-Version se trouve sur l’objet CN=Partitions dans le contexte de nommage de configuration (NC), c’est-à-dire CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Vous pouvez définir les valeurs suivantes pour cet attribut :

• Valeur 0 ou non définie=forêt de niveau mixte

• Valeur 1=Niveau de forêt intermédiaire de Windows Server 2003

• Valeur 2=Niveau de forêt Windows Server 2003

  Note

  Lorsque vous augmentez l’attribut msDS-Behavior-Version de la valeur 0 à la valeur 1 à l’aide deAdsiedit.msc, vous recevez le message d’erreur suivant :
  Opération de modification non conforme. Certains aspects de la modification ne sont pas autorisés.

• Valeur 3=Niveau de domaine Windows Server 2008

• Valeur 4=Niveau de domaine Windows Server 2008 R2

Après avoir utilisé les outils LDAP (Lightweight Directory Access Protocol) pour modifier le niveau fonctionnel, cliquez sur OK pour continuer. Les attributs du conteneur de partitions et de la tête de domaine sont correctement augmentés. Si un message d’erreur est indiqué par le fichier Ldp.exe, vous pouvez ignorer le message d’erreur en toute sécurité. Pour vérifier que l’augmentation de niveau a réussi, actualisez la liste des attributs, puis vérifiez le paramètre actuel. Ce message d’erreur peut également se produire une fois que vous avez effectué l’augmentation de niveau sur le FSMO faisant autorité si la modification n’a pas encore été répliquée sur le contrôleur de domaine local.

Afficher rapidement les paramètres actuels à l’aide du fichier Ldp.exe

1. Démarrez le fichier Ldp.exe.
2. Dans le menu Connexion, cliquez sur Connecter.
3. Spécifiez le contrôleur de domaine que vous souhaitez interroger ou laissez l’espace vide pour vous connecter à n’importe quel contrôleur de domaine.

Une fois que vous vous êtes connecté à un contrôleur de domaine, les informations RootDSE pour le contrôleur de domaine s’affichent. Ces informations incluent des informations sur la forêt, le domaine et les contrôleurs de domaine. Voici un exemple de contrôleur de domaine Windows Server 2003. Dans l’exemple suivant, supposons que le mode domaine est Windows Server 2003 et que le mode forêt est Windows 2000 Server.

Note

La fonctionnalité du contrôleur de domaine représente le niveau fonctionnel le plus élevé possible pour ce contrôleur de domaine.

• 1> domainFunctionality : 2=(DS_BEHAVIOR_WIN2003)
• 1> forestFunctionality : 0=(DS_BEHAVIOR_WIN2000)
• 1> domainControllerFunctionality : 2=(DS_BEHAVIOR_WIN2003)

Configuration requise lorsque vous modifiez manuellement le niveau fonctionnel

• Vous devez remplacer le mode de domaine en mode natif avant d’augmenter le niveau de domaine si l’une des conditions suivantes est remplie :

  • Le niveau fonctionnel du domaine est déclenché par programmation au deuxième niveau fonctionnel en modifiant directement la valeur de l’attribut msdsBehaviorVersion sur l’objet domainDNS.
  • Le niveau fonctionnel du domaine est élevé au deuxième niveau fonctionnel à l’aide de l’utilitaire Ldp.exe ou de l’utilitaire Adsiedit.msc.

  Si vous ne modifiez pas le mode domaine en mode natif avant d’augmenter le niveau de domaine, l’opération n’est pas terminée correctement et vous recevez les messages d’erreur suivants :

  SV_PROBLEM_WILL_NOT_PERFORM

  ERROR_DS_ILLEGAL_MOD_OPERATION

  En outre, le message suivant est consigné dans le journal des services d’annuaire :

  Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
  

  Dans ce scénario, vous pouvez changer le mode de domaine en mode natif à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, à l’aide du composant logiciel enfichable MMC de l’interface utilisateur domaine Active Directory s & Approbations, ou en modifiant par programmation la valeur de l’attribut ntMixedDomain sur 0 sur l’objet domainDNS. Lorsque ce processus est utilisé pour élever le niveau fonctionnel du domaine à 2 (Windows Server 2003), le mode domaine est automatiquement remplacé par le mode natif.

• La transition du mode mixte au mode natif modifie l’étendue du groupe de sécurité Administrateurs de schémas et le groupe de sécurité Administrateurs d’entreprise en groupes universels. Lorsque ces groupes ont été modifiés en groupes universels, le message suivant est enregistré dans le journal système :

  Event Type: Information  
  Event Source: SAM  
  Event ID: 16408  
  Computer:Server Name  
  Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
  

• Lorsque les outils d’administration Windows Server 2003 sont utilisés pour appeler le niveau fonctionnel du domaine, l’attribut ntmixedmode et l’attribut msdsBehaviorVersion sont modifiés dans l’ordre correct. Toutefois, cela ne se produit pas toujours. Dans le scénario suivant, le mode natif est implicitement défini sur la valeur 0 sans modifier l’étendue du groupe de sécurité Administrateurs de schéma et du groupe de sécurité Administrateurs d’entreprise sur universel :

  • L’attribut msdsBehaviorVersion qui contrôle le mode fonctionnel de domaine est défini manuellement ou par programme sur la valeur 2.
  • Le niveau fonctionnel de la forêt est défini sur 2 à l’aide de n’importe quelle méthode. Dans ce scénario, les contrôleurs de domaine bloquent la transition vers le niveau fonctionnel de la forêt jusqu’à ce que tous les domaines qui se trouvent dans le réseau local soient configurés en mode natif et que la modification d’attribut requise soit apportée dans les étendues du groupe de sécurité.

Niveaux fonctionnels pertinents pour Windows 2000 Server

Windows 2000 Server prend uniquement en charge le mode mixte et le mode natif. En outre, il applique uniquement ces modes à la fonctionnalité de domaine. Les sections suivantes répertorient les modes de domaine Windows Server 2003, car ces modes affectent la mise à niveau des domaines Windows NT 4.0 et Windows 2000 Server.

Il existe de nombreux points à prendre en compte lors de l’élévation du niveau du système d’exploitation du contrôleur de domaine. Ces considérations sont dues aux limitations de stockage et de réplication des attributs liés dans les modes Windows 2000 Server.

Windows 2000 Server mixed (par défaut)

• Contrôleurs de domaine pris en charge : Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Fonctionnalités activées : groupes locaux et globaux, prise en charge du catalogue global

Windows 2000 Server natif

• Contrôleurs de domaine pris en charge : Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Fonctionnalités activées : imbrication de groupes, groupes universels, historique sid, conversion de groupes entre groupes de sécurité et groupes de distribution, vous pouvez augmenter les niveaux de domaine en augmentant les paramètres au niveau de la forêt

Intermédiaire de Windows Server 2003

• Contrôleurs de domaine pris en charge : Windows NT 4.0, Windows Server 2003
• Fonctionnalités prises en charge : aucune fonctionnalité à l’échelle du domaine n’est activée à ce niveau. Tous les domaines d’une forêt sont automatiquement élevés à ce niveau lorsque le niveau de forêt passe à l’étape intermédiaire. Ce mode est utilisé uniquement lorsque vous mettez à niveau des contrôleurs de domaine dans des domaines Windows NT 4.0 vers des contrôleurs de domaine Windows Server 2003.

Windows Server 2003

• Contrôleurs de domaine pris en charge : Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Fonctionnalités prises en charge : renommage du contrôleur de domaine, attribut d’horodatage de connexion mis à jour et répliqué. Prise en charge du mot de passe utilisateur sur l’objet InetOrgPersonClass. Délégation contrainte, vous pouvez rediriger les conteneurs Utilisateurs et Ordinateurs.

Les domaines mis à niveau à partir de Windows NT 4.0 ou créés par la promotion d’un ordinateur Windows Server 2003 fonctionnent au niveau fonctionnel mixte de Windows 2000. Les domaines Windows 2000 Server conservent leur niveau fonctionnel de domaine actuel lorsque les contrôleurs de domaine Windows 2000 Server sont mis à niveau vers le système d’exploitation Windows Server 2003. Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 Server natif ou Windows Server 2003.

Niveau intermédiaire : mise à niveau à partir d’un domaine Windows NT 4.0

Windows Server 2003 Active Directory autorise un niveau fonctionnel spécial de forêt et de domaine nommé Windows Server 2003 intermédiaire. Ce niveau fonctionnel est fourni pour les mises à niveau des domaines Windows NT 4.0 existants où un ou plusieurs contrôleurs de domaine de sauvegarde Windows NT 4.0 doivent fonctionner après la mise à niveau. Les contrôleurs de domaine Windows 2000 Server ne sont pas pris en charge dans ce mode. Windows Server 2003 intermédiaire s’applique aux scénarios suivants :

• Mises à niveau de domaine de Windows NT 4.0 vers Windows Server 2003.
• Les bdcs Windows NT 4.0 ne sont pas mis à niveau immédiatement.
• Domaines Windows NT 4.0 qui contiennent des groupes avec plus de 5 000 membres (à l’exclusion du groupe d’utilisateurs de domaine).
• Il n’existe aucun plan d’implémentation de contrôleurs de domaine Windows Server2000 dans la forêt à tout moment.

Windows Server 2003 intermédiaire fournit deux améliorations importantes tout en autorisant la réplication vers les contrôleurs de domaine Windows NT 4.0 :

1. Réplication efficace des groupes de sécurité et prise en charge de plus de 5 000 membres par groupe.
2. Amélioration des algorithmes de générateur de topologie intersite KCC.

En raison de l’efficacité de la réplication de groupe activée dans le niveau intermédiaire, le niveau intermédiaire est le niveau recommandé pour toutes les mises à niveau windows NT 4.0. Pour plus d’informations, consultez la section « Meilleures pratiques » de cet article.

Définition du niveau fonctionnel de forêt intermédiaire windows Server 2003

Windows Server 2003 intermédiaire peut être activé de trois façons différentes. Les deux premières méthodes sont fortement recommandées. Cela est dû au fait que les groupes de sécurité utilisent la réplication de valeurs liées (LVR) après la mise à niveau du contrôleur de domaine principal du domaine Windows NT 4.0 (PDC) vers un contrôleur de domaine Windows Server 2003. La troisième option est moins recommandée, car l’appartenance à des groupes de sécurité utilise un attribut à valeurs multiples unique, ce qui peut entraîner des problèmes de réplication. Les façons dont Windows Server 2003 intermédiaire peut être activé sont les suivantes :

1. Pendant la mise à niveau.

   L’option est présentée dans l’Assistant Installation dcpromo lorsque vous mettez à niveau le contrôleur de domaine Windows NT 4.0 qui sert de premier contrôleur de domaine dans le domaine racine d’une nouvelle forêt.

2. Avant de mettre à niveau le contrôleur de domaine Windows NT 4.0 d’un contrôleur de domaine Windows NT 4.0 en tant que premier contrôleur de domaine d’un nouveau domaine dans une forêt existante, configurez manuellement le niveau fonctionnel de la forêt à l’aide des outils LDAP (Lightweight Directory Access Protocol).

   Les domaines enfants héritent des paramètres de fonctionnalité à l’échelle de la forêt dans lequel ils sont promus. La mise à niveau du contrôleur de domaine Windows NT 4.0 en tant que domaine enfant dans une forêt Windows Server 2003 existante où des niveaux fonctionnels de forêt intermédiaires avaient été configurés à l’aide du fichier Ldp.exe ou du fichier Adsiedit.msc permet aux groupes de sécurité d’utiliser la réplication de valeurs liées après la mise à niveau de la version du système d’exploitation.

3. Après la mise à niveau à l’aide des outils LDAP.

   Utilisez les deux dernières options lorsque vous joignez une forêt Windows Server 2003 existante lors d’une mise à niveau. Il s’agit d’un scénario courant lorsqu’un domaine « racine vide » est en position. Le domaine mis à niveau est joint en tant qu’enfant de la racine vide et hérite du paramètre de domaine de la forêt.

Bonnes pratiques

La section suivante décrit les meilleures pratiques pour augmenter les niveaux fonctionnels. La section est divisée en deux parties. « Tâches de préparation » décrit le travail que vous devez faire avant l’augmentation et « Augmentation optimale des chemins » décrit les motivations et les méthodes pour différents scénarios d’augmentation de niveau.

Pour découvrir les contrôleurs de domaine Windows NT 4.0, procédez comme suit :

1. À partir de n’importe quel contrôleur de domaine windows Server 2003, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Si le contrôleur de domaine n’est pas déjà connecté au domaine approprié, procédez comme suit pour vous connecter au domaine approprié :

   1. Cliquez avec le bouton droit sur l’objet de domaine actuel, puis cliquez sur Se connecter au domaine.
   2. Dans la boîte de dialogue Domaine , tapez le nom DNS du domaine auquel vous souhaitez vous connecter, puis cliquez sur OK. Vous pouvez également cliquer sur Parcourir pour sélectionner le domaine dans l’arborescence du domaine, puis sur OK.

3. Cliquez avec le bouton droit sur l’objet de domaine, puis cliquez sur Rechercher.

4. Dans la boîte de dialogue Rechercher , cliquez sur Recherche personnalisée.

5. Cliquez sur le domaine pour lequel vous souhaitez modifier le niveau fonctionnel.

6. Cliquez sur l’onglet Avancé.

7. Dans la zone de requête Enter LDAP , tapez les éléments suivants et laissez aucun espace entre les caractères suivants : ((objectCategory=computer)(operatingSystem Version=4*)(userAccountControl :1.2.840.113556.1.4.803 :=8192))

   Note

   Cette requête n’est pas sensible à la casse.

8. Cliquez sur Rechercher.

   Liste des ordinateurs du domaine exécutant Windows NT 4.0 et fonctionnant en tant que contrôleurs de domaine.

Un contrôleur de domaine peut apparaître dans la liste pour l’une des raisons suivantes :

• Le contrôleur de domaine exécute Windows NT 4.0 et doit être mis à niveau.
• Le contrôleur de domaine est mis à niveau vers Windows Server 2003, mais la modification n’est pas répliquée vers le contrôleur de domaine cible.
• Le contrôleur de domaine n’est plus en service, mais l’objet ordinateur du contrôleur de domaine n’est pas supprimé du domaine.

Avant de pouvoir remplacer le niveau fonctionnel du domaine par Windows Server 2003, vous devez localiser physiquement n’importe quel contrôleur de domaine dans la liste, déterminer l’état actuel du contrôleur de domaine, puis mettre à niveau ou supprimer le contrôleur de domaine selon les besoins.

Note

Contrairement aux contrôleurs de domaine Windows Server 2000, les contrôleurs de domaine Windows NT 4.0 ne bloquent pas une augmentation de niveau. Lorsque vous modifiez le niveau fonctionnel du domaine, la réplication vers les contrôleurs de domaine Windows NT 4.0 s’arrête. Toutefois, lorsque vous essayez d’augmenter au niveau de la forêt Windows Server 2003 avec des domaines dans Windows Server 2000, le niveau mixte est bloqué. L’absence de contrôleurs de domaine Windows NT 4.0 est implicite en répondant à l’exigence de niveau forêt de tous les domaines au niveau natif de Windows Server 2000 ou version ultérieure.

Exemple : Tâches de préparation avant l’augmentation du niveau

Dans cet exemple, l’environnement est déclenché du mode mixte Windows Server 2000 au mode de forêt Windows Server 2003.

Stockez la forêt pour les versions antérieures des contrôleurs de domaine.

Si une liste de serveurs précise n’est pas disponible, procédez comme suit :

1. Pour découvrir des domaines de niveau mixte, des contrôleurs de domaine Windows Server 2000 ou des contrôleurs de domaine avec des objets endommagés ou manquants, utilisez des domaines Active Directory et le composant logiciel enfichable MMC Approbations.
2. Dans le composant logiciel enfichable, cliquez sur Déclencher la fonctionnalité de forêt, puis cliquez sur Enregistrer sous pour générer un rapport détaillé.
3. Si aucun problème n’a été détecté, l’option d’augmentation au niveau de la forêt Windows Server 2003 est disponible dans la liste déroulante « Niveaux fonctionnels de forêt disponibles ». Lorsque vous essayez d’augmenter le niveau de forêt, les objets du contrôleur de domaine dans les conteneurs de configuration sont recherchés pour tous les contrôleurs de domaine qui n’ont pas msds-behavior-version défini sur le niveau cible souhaité. Elles sont supposées être des contrôleurs de domaine Windows Server 2000 ou des objets de contrôleur de domaine Windows Server plus récents endommagés.
4. Si des contrôleurs de domaine de version antérieure ou des contrôleurs de domaine endommagés ou manquants ont été trouvés, ils sont inclus dans le rapport. L’état de ces contrôleurs de domaine doit être examiné, et la représentation du contrôleur de domaine dans Active Directory doit être réparée ou supprimée à l’aide du fichier Ntdsutil.

Pour plus d’informations à ce sujet, cliquez sur le numéro de l’article suivant pour l’afficher dans la Base de connaissances Microsoft :
216498 Comment supprimer des données dans Active Directory après une rétrogradation du contrôleur de domaine infructueuse

Vérifier que la réplication de bout en bout fonctionne dans la forêt

Pour vérifier que la réplication de bout en bout fonctionne dans la forêt, utilisez la version windows Server 2003 ou ultérieure de Repadmin sur Windows Server 2000 ou les contrôleurs de domaine Windows Server 2003 :

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] pour l’inventaire initial.

• Repadmin/Showrepl * /CSV>showrepl.csv. Importez dans Excel, puis utilisez le filtre automatique de données> pour identifier les fonctionnalités de réplication.

  Utilisez des outils de réplication tels que Repadmin pour vérifier que la réplication à l’échelle de la forêt fonctionne correctement.

Vérifiez la compatibilité de tous les programmes ou services avec les contrôleurs de domaine Windows Server plus récents et le mode de forêt windows server supérieur. Utilisez un environnement lab pour tester minutieusement les programmes et services de production pour les problèmes de compatibilité. Contactez les fournisseurs pour confirmer la fonctionnalité.

Préparez un plan d’arrière-plan incluant l’une des actions suivantes :

• Déconnectez au moins deux contrôleurs de domaine de chaque domaine de la forêt.
• Créez une sauvegarde d’état système d’au moins deux contrôleurs de domaine de chaque domaine de la forêt.

Avant que le plan de sauvegarde puisse être utilisé, tous les contrôleurs de domaine de la forêt doivent être désactivés avant le processus de récupération.

Note

Les augmentations de niveau ne peuvent pas être restaurées avec autorité. Cela signifie que tous les contrôleurs de domaine qui ont répliqué l’augmentation de niveau doivent être désactivés.

Une fois tous les contrôleurs de domaine précédents désactivés, affichez les contrôleurs de domaine déconnectés ou restaurez les contrôleurs de domaine à partir de la sauvegarde. Supprimez les métadonnées de tous les autres contrôleurs de domaine, puis repromènez-les. Il s’agit d’un processus difficile et doit être évité.

Exemple : Comment obtenir du niveau mixte Windows Server 2000 au niveau de la forêt Windows Server 2003

Augmentez tous les domaines au niveau natif de Windows Server 2000. Une fois cette opération terminée, augmentez le niveau fonctionnel du domaine racine de forêt au niveau de la forêt Windows Server 2003. Lorsque le niveau de forêt est répliqué sur les PDC pour chaque domaine de la forêt, le niveau de domaine est automatiquement augmenté au niveau du domaine Windows Server 2003. Cette méthode présente les avantages suivants :

• L’augmentation au niveau de la forêt n’est effectuée qu’une seule fois. Vous n’avez pas besoin d’augmenter manuellement chaque domaine de la forêt au niveau fonctionnel du domaine Windows Server 2003.
• Une vérification des contrôleurs de domaine Windows Server 2000 est effectuée avant l’augmentation du niveau (consultez les étapes de préparation). L’augmentation est bloquée jusqu’à ce que les contrôleurs de domaine problématiques soient supprimés ou mis à niveau. Un rapport détaillé peut être généré en répertoriant les contrôleurs de domaine bloquants et en fournissant des données exploitables.
• Une vérification des domaines dans Windows Server 2000 mixte ou Windows Server 2003 intermédiaire est effectuée. L’augmentation est bloquée jusqu’à ce que les niveaux de domaine soient augmentés à au moins Windows Server 2000 natif. Les domaines intermédiaires doivent être augmentés au niveau du domaine Windows Server 2003. Un rapport détaillé peut être généré en répertoriant les domaines bloquants.

Mises à niveau de Windows NT 4.0

Les mises à niveau de Windows NT 4.0 utilisent toujours un niveau intermédiaire pendant la mise à niveau du contrôleur de domaine, sauf si les contrôleurs de domaine Windows Server 2000 ont été introduits dans la forêt dans laquelle le contrôleur de domaine est mis à niveau. Lorsque le mode intermédiaire est utilisé lors de la mise à niveau du contrôleur de domaine principal, les grands groupes existants utilisent immédiatement la réplication LVR, ce qui évite les problèmes de réplication potentiels abordés précédemment dans cet article. Utilisez l’une des méthodes suivantes pour accéder au niveau intermédiaire pendant la mise à niveau :

• Sélectionnez le niveau intermédiaire pendant Dcpromo. Cette option est présentée uniquement lorsque le contrôleur de domaine principal est mis à niveau dans une nouvelle forêt.
• Définissez le niveau de forêt d’une forêt existante sur intermédiaire, puis joignez la forêt pendant la mise à niveau du contrôleur de domaine principal. Le domaine mis à niveau hérite du paramètre de forêt.
• Une fois que tous les BDC Windows NT 4.0 sont mis à niveau ou supprimés, chaque domaine doit être transféré au niveau de la forêt et peut être transféré vers le mode de forêt Windows Server 2003.

Une raison d’éviter d’utiliser le mode intermédiaire est qu’il existe des plans d’implémentation de contrôleurs de domaine Windows Server 2000 après la mise à niveau, ou à tout moment dans le futur.

Considérations spéciales pour les grands groupes dans Windows NT 4.0

Dans les domaines Windows NT 4.0 matures, les groupes de sécurité qui contiennent plus de 5 000 membres peuvent exister. Dans Windows NT 4.0, lorsqu’un membre d’un groupe de sécurité change, seule la seule modification d’appartenance est répliquée sur les contrôleurs de domaine de sauvegarde. Dans Windows Server 2000, les appartenances aux groupes sont des attributs liés stockés dans un attribut à valeurs multiples unique de l’objet de groupe. Lorsqu’une modification unique est apportée à l’appartenance à un groupe, l’ensemble du groupe est répliqué en tant qu’unité unique. Étant donné que l’appartenance au groupe est répliquée en tant qu’unité unique, il est possible que les mises à jour de l’appartenance au groupe soient « perdues » lorsque des membres différents sont ajoutés ou supprimés en même temps sur différents contrôleurs de domaine. En outre, la taille de cet objet unique peut être supérieure à la mémoire tampon utilisée pour valider une entrée dans la base de données. Pour plus d’informations, consultez la section « Problèmes liés au magasin de versions avec les grands groupes » de cet article. Pour ces raisons, la limite recommandée pour les membres du groupe est de 5 000.

L’exception à la règle de membre 5000 est le groupe principal (par défaut, il s’agit du groupe « Utilisateurs du domaine »). Le groupe principal utilise un mécanisme « calculé » basé sur le « primarygroupID » de l’utilisateur pour déterminer l’appartenance. Le groupe principal ne stocke pas les membres en tant qu’attributs liés à valeurs multiples. Si le groupe principal de l’utilisateur est remplacé par un groupe personnalisé, son appartenance au groupe Utilisateurs du domaine est écrite dans l’attribut lié du groupe et n’est plus calculée. Le nouveau groupe principal Rid est écrit dans « primarygroupID » et l’utilisateur est supprimé de l’attribut membre du groupe.

Si l’administrateur ne sélectionne pas le niveau intermédiaire pour le domaine de mise à niveau, vous devez suivre ces étapes avant la mise à niveau :

1. Stockez tous les grands groupes et identifiez les groupes de plus de 5 000, à l’exception du groupe d’utilisateurs de domaine.
2. Tous les groupes qui ont plus de 5 000 membres doivent être divisés en groupes plus petits de moins de 5 000 membres.
3. Recherchez toutes les listes de contrôle d’accès dans lesquelles les grands groupes ont été entrés et ajoutez les petits groupes que vous avez créés à l’étape 2.Windows Server 2003, le niveau de forêt intermédiaire permet aux administrateurs de devoir découvrir et réallouer des groupes de sécurité globaux avec plus de 5 000 membres.

Problèmes de magasin de versions avec les grands groupes

Pendant les opérations de longue durée, telles que les recherches approfondies ou les validations sur un attribut unique et volumineux, Active Directory doit s’assurer que l’état de la base de données est statique jusqu’à ce que l’opération soit terminée. Un exemple de recherches approfondies ou de validations sur des attributs volumineux est un grand groupe qui utilise le stockage hérité.

Comme les mises à jour de la base de données se produisent en permanence localement et à partir des partenaires de réplication, Active Directory fournit un état statique en mettant en file d’attente toutes les modifications entrantes jusqu’à ce que l’opération de longue durée soit terminée. Dès que l’opération est terminée, les modifications mises en file d’attente sont appliquées à la base de données.

L’emplacement de stockage de ces modifications mises en file d’attente est appelé « magasin de versions » et est d’environ 100 mégaoctets. La taille du magasin de versions varie et est basée sur la mémoire physique. Si une opération de longue durée ne se termine pas avant l’épuisement du magasin de versions, le contrôleur de domaine cesse d’accepter les mises à jour jusqu’à ce que l’opération de longue durée et les modifications mises en file d’attente soient validées. Les groupes qui atteignent de grands nombres (plus de 5 000 membres) mettent le contrôleur de domaine à risque d’épuiser le magasin de versions tant que le grand groupe est validé.

Windows Server 2003 introduit un nouveau mécanisme de réplication pour les attributs à valeurs multiples liées appelée réplication de valeur de liaison (LVR). Au lieu de répliquer l’ensemble du groupe dans une seule opération de réplication, LVR résout ce problème en répliquant chaque membre du groupe en tant qu’opération de réplication distincte. LVR devient disponible lorsque le niveau fonctionnel de la forêt est élevé au niveau intermédiaire de la forêt Windows Server 2003 ou au niveau de la forêt Windows Server 2003. Dans ce niveau fonctionnel, LVR est utilisé pour répliquer des groupes entre les contrôleurs de domaine Windows Server 2003.