Mettre à niveau les contrôleurs de domaine vers une version plus récente de Windows Server
Cet article fournit des informations générales sur Active Directory Domain Services dans Windows Server et explique le processus de mise à niveau des contrôleurs de domaine à partir d’une version antérieure de Windows Server.
Prérequis
La méthode recommandée pour mettre à niveau un domaine consiste à promouvoir de nouveaux serveurs sur les contrôleurs de domaine qui exécutent une version plus récente de Windows Server et rétrograder les contrôleurs de domaine plus anciens en fonction des besoins. Cette méthode est préférable à la mise à niveau du système d’exploitation d’un contrôleur de domaine existant, également appelée mise à niveau sur place.
Suivez ces étapes générales avant de promouvoir un serveur sur un contrôleur de domaine qui exécute une version plus récente de Windows Server :
Vérifiez que le serveur cible répond à la configuration système requise.
Vérifiez la compatibilité des applications.
Passez en revue les recommandations relatives à la migration vers une version plus récente de Windows Server.
Vérifiez les paramètres de sécurité
Vérifiez la connectivité au serveur cible à partir de l’ordinateur sur lequel vous envisagez d’exécuter l’installation.
Vérifiez la disponibilité des rôles FSMO (Flexible Single Master Operation) nécessaires dans Active Directory. Cette étape est requise pour les scénarios suivants :
- Pour installer le premier contrôleur de domaine qui exécute la dernière version de Windows Server dans un domaine et une forêt existants, la machine sur laquelle vous exécutez l’installation doit être connectée aux éléments suivants :
- Le contrôleur de schéma pour exécuter
adprep /forestprep
. - Le maître d’infrastructure pour exécuter
adprep /domainprep
.
- Le contrôleur de schéma pour exécuter
- Pour installer le premier contrôleur de domaine dans un domaine où le schéma de la forêt est déjà étendu, seule une connectivité au maître d’infrastructure est requise.
- Pour installer ou supprimer un domaine dans une forêt existante, vous avez besoin d’une connectivité au maître d’opérations des noms de domaine.
- Toute installation d’un contrôleur de domaine requiert également une connectivité au maître RID.
- Si vous installez le premier contrôleur de domaine en lecture seule dans une forêt existante, vous avez besoin d’une connectivité au maître d’infrastructure pour chaque partition d’annuaire d’applications, également désignée sous le nom de contexte de nommage (autre que celui d’un domaine).
Pour déterminer le ou les serveurs qui détiennent le rôle FSMO, exécutez les commandes suivantes dans une session PowerShell avec élévation de privilèges à l’aide d’un compte membre du groupe Administrateurs de domaine :
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator Get-ADForest | FL DomainNamingMaster, SchemaMaster
- Pour installer le premier contrôleur de domaine qui exécute la dernière version de Windows Server dans un domaine et une forêt existants, la machine sur laquelle vous exécutez l’installation doit être connectée aux éléments suivants :
Actions d’installation et niveaux d’administration requis
Le tableau suivant fournit un résumé des actions d’installation et des autorisations requises pour effectuer ces étapes.
Action d’installation | Informations d’identification requises |
---|---|
Installer une nouvelle forêt. | Administrateur local sur le serveur cible |
Installer un nouveau domaine dans une forêt existante. | Administrateurs d’entreprise |
Installer un autre contrôleur de domaine dans un domaine existant. | Administrateurs de domaine |
Exécutez adprep /forestprep . |
Administrateurs de schéma, Administrateurs d’entreprise et Administrateurs de domaine |
Exécutez adprep /domainprep . |
Administrateurs de domaine |
Exécutez adprep /domainprep /gpprep. |
Administrateurs de domaine |
Exécutez adprep /rodcprep . |
Administrateurs d’entreprise |
Chemins de mise à niveau sur place pris en charge
Seules les mises à niveau de la version 64 bits sont prises en charge. Pour plus d’informations sur les chemins de mise à niveau pris en charge, consultez Chemins de mise à niveau pris en charge.
Adprep - forestprep et domainprep
Pour une mise à niveau sur place d’un contrôleur de domaine existant, vous devez exécuter adprep /forestprep
et adprep /domainprep
manuellement. Vous ne devez exécuter Adprep /forestprep
qu’une seule fois dans la forêt pour chaque version plus récente de Windows Server. Exécutez Adprep /domainprep
une fois dans chaque domaine où vous avez des contrôleurs de domaine que vous mettez à niveau pour chaque version plus récente de Windows Server.
Si vous faites passer un nouveau serveur sur un contrôleur de domaine, vous n’avez pas besoin d’exécuter ces outils en ligne de commande manuellement. Ils sont intégrés aux expériences PowerShell et Gestionnaire de serveur.
Pour plus d’informations sur l’exécution d’adprep, consultez Exécution d’Adprep.
Fonctionnalités et exigences de niveau fonctionnel
Windows Server 2019 ou version ultérieure nécessite, au minimum, un niveau fonctionnel de forêt Windows Server 2008. Windows Server 2016 nécessite, au minimum, un niveau fonctionnel de forêt Windows Server 2003. Si la forêt contient des contrôleurs de domaine exécutant un niveau fonctionnel de forêt plus ancien que celui pris en charge par le système d’exploitation, l’installation est bloquée. Ces contrôleurs de domaine doivent être supprimés et le niveau fonctionnel de la forêt doit être élevé à une version prise en charge avant d’ajouter des contrôleurs de domaine Windows Server plus récents à votre forêt. Pour plus d’informations sur les niveaux fonctionnels pris en charge, consultez Niveaux fonctionnels de forêt et de domaine.
Remarque
Aucun nouveau niveau fonctionnel de forêt ou de domaine n’a été ajouté depuis Windows Server 2016. Les versions de système d’exploitation ultérieures peuvent et doivent être utilisées pour les contrôleurs de domaine. Elles utilisent Windows Server 2016 comme niveaux fonctionnels les plus récents.
Restaurer les niveaux fonctionnels
Une fois que vous avez défini le niveau fonctionnel de la forêt sur une certaine valeur, vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques exceptions près :
- Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt Windows Server 2012 R2, vous pouvez revenir à Windows Server 2012 R2.
- Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt Windows Server 2008 R2, vous pouvez revenir à Windows Server 2008 R2.
Une fois que vous avez défini le niveau fonctionnel du domaine sur une certaine valeur, vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques exceptions près :
- Lorsque vous augmentez le niveau fonctionnel du domaine sur Windows Server 2016 et que le niveau fonctionnel de la forêt est Windows Server 2012 ou inférieur, vous avez la possibilité de restaurer le niveau fonctionnel du domaine sur Windows Server 2012 ou Windows Server 2012 R2.
Pour plus d’informations sur les fonctionnalités disponibles pour chacun des niveaux fonctionnels, consultez Niveaux fonctionnels de forêt et de domaine.
Interopérabilité d’Active Directory Domain Services
Active Directory Domain Services n’est pas pris en charge sur les systèmes d’exploitation Windows suivants :
- Windows MultiPoint Server
- Windows Server Essentials
Active Directory Domain Services ne peut pas être installé sur un serveur qui exécute également les rôles de serveur ou les services de rôle suivants :
- Microsoft Hyper-V Server
- Service Broker pour les connexions Bureau à distance
Administration de Windows Server
Utilisez les Outils d’administration de serveur distant pour Windows 10 ou version ultérieure pour gérer les contrôleurs de domaine et d’autres serveurs qui exécutent Windows Server. Vous pouvez exécuter les Outils d’administration de serveur distant Windows Server sur un ordinateur Windows 10 ou version ultérieure.
Ajouter un nouveau contrôleur de domaine avec une version plus récente de Windows Server
L’exemple suivant montre comment mettre à niveau la forêt Contoso à partir d’une version antérieure de Windows Server vers une version ultérieure.
Joignez le nouveau Windows Server à votre forêt. Redémarrez quand vous y êtes invité.
Connectez-vous au nouveau Windows Server avec un compte d’administrateur de domaine.
Dans Gestionnaire de serveur, sous Ajouter des rôles et des fonctionnalités, installez Active Directory Domain Services sur le nouveau serveur Windows Server. Cette action exécute automatiquement adprep sur la version antérieure de la forêt et du domaine.
Dans Gestionnaire de serveur, sélectionnez le triangle jaune. Dans la liste déroulante, sélectionnez Promouvoir le serveur en contrôleur de domaine.
Dans l’écran Configuration du déploiement, sélectionnez Ajouter un contrôleur de domaine à un domaine existant, puis cliquez sur suivant.
Dans l’écran Options du contrôleur de domaine, entrez le mot de passe du Mode de restauration Directory Services (DSRM), puis sélectionnez Suivant.
Pour les autres écrans, sélectionnez Suivant.
Dans l’écran Vérification des prérequis, sélectionnez Installer. Une fois le redémarrage terminé, reconnectez-vous.
Dans la version antérieure de Windows Server, dans Gestionnaire de serveur, sous Outils, sélectionnez Module Active Directory pour Windows PowerShell.
Dans la fenêtre PowerShell, utilisez l’applet de commande
Move-ADDirectoryServerOperationMasterRole
pour déplacer les rôles FSMO. Vous pouvez entrer le nom de chaque Rôle de maître des opérations ou utiliser des nombres pour spécifier les rôles. Pour plus d’informations, consultez Move-ADDirectoryServerOperationMasterRole.Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
Pour vérifier que les rôles ont été déplacés, accédez au nouveau serveur Windows Server. Dans Gestionnaire de serveur, sous Outils, sélectionnez Module Active Directory pour Windows PowerShell. Utilisez les applets de commande
Get-ADDomain
etGet-ADForest
pour afficher les titulaires des rôles FSMO.Rétrogradez et supprimez le contrôleur de domaine Windows Server antérieur. Pour plus d’informations sur la rétrogradation d’un contrôleur de domaine, consultez Rétrogradation de contrôleurs de domaine et de domaines.
Une fois le serveur rétrogradé et supprimé, vous pouvez élever les niveaux fonctionnels de la forêt et du domaine sur la dernière version de Windows Server.