Partager via


Mettre à niveau les contrôleurs de domaine vers une version plus récente de Windows Server

Cet article fournit des informations générales sur Active Directory Domain Services dans Windows Server et explique le processus de mise à niveau des contrôleurs de domaine à partir d’une version antérieure de Windows Server.

Prérequis

La méthode recommandée pour mettre à niveau un domaine consiste à promouvoir de nouveaux serveurs sur les contrôleurs de domaine qui exécutent une version plus récente de Windows Server et rétrograder les contrôleurs de domaine plus anciens en fonction des besoins. Cette méthode est préférable à la mise à niveau du système d’exploitation d’un contrôleur de domaine existant, également appelée mise à niveau sur place.

Suivez ces étapes générales avant de promouvoir un serveur sur un contrôleur de domaine qui exécute une version plus récente de Windows Server :

  1. Vérifiez que le serveur cible répond à la configuration système requise.

  2. Vérifiez la compatibilité des applications.

  3. Passez en revue les recommandations relatives à la migration vers une version plus récente de Windows Server.

  4. Vérifiez les paramètres de sécurité

  5. Vérifiez la connectivité au serveur cible à partir de l’ordinateur sur lequel vous envisagez d’exécuter l’installation.

  6. Vérifiez la disponibilité des rôles FSMO (Flexible Single Master Operation) nécessaires dans Active Directory. Cette étape est requise pour les scénarios suivants :

    • Pour installer le premier contrôleur de domaine qui exécute la dernière version de Windows Server dans un domaine et une forêt existants, la machine sur laquelle vous exécutez l’installation doit être connectée aux éléments suivants :
      • Le contrôleur de schéma pour exécuter adprep /forestprep.
      • Le maître d’infrastructure pour exécuter adprep /domainprep.
    • Pour installer le premier contrôleur de domaine dans un domaine où le schéma de la forêt est déjà étendu, seule une connectivité au maître d’infrastructure est requise.
    • Pour installer ou supprimer un domaine dans une forêt existante, vous avez besoin d’une connectivité au maître d’opérations des noms de domaine.
    • Toute installation d’un contrôleur de domaine requiert également une connectivité au maître RID.
    • Si vous installez le premier contrôleur de domaine en lecture seule dans une forêt existante, vous avez besoin d’une connectivité au maître d’infrastructure pour chaque partition d’annuaire d’applications, également désignée sous le nom de contexte de nommage (autre que celui d’un domaine).

    Pour déterminer le ou les serveurs qui détiennent le rôle FSMO, exécutez les commandes suivantes dans une session PowerShell avec élévation de privilèges à l’aide d’un compte membre du groupe Administrateurs de domaine :

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
    Get-ADForest | FL DomainNamingMaster, SchemaMaster
    

Actions d’installation et niveaux d’administration requis

Le tableau suivant fournit un résumé des actions d’installation et des autorisations requises pour effectuer ces étapes.

Action d’installation Informations d’identification requises
Installer une nouvelle forêt. Administrateur local sur le serveur cible
Installer un nouveau domaine dans une forêt existante. Administrateurs d’entreprise
Installer un autre contrôleur de domaine dans un domaine existant. Administrateurs de domaine
Exécutez adprep /forestprep. Administrateurs de schéma, Administrateurs d’entreprise et Administrateurs de domaine
Exécutez adprep /domainprep. Administrateurs de domaine
Exécutez adprep /domainprep /gpprep. Administrateurs de domaine
Exécutez adprep /rodcprep. Administrateurs d’entreprise

Chemins de mise à niveau sur place pris en charge

Seules les mises à niveau de la version 64 bits sont prises en charge. Pour plus d’informations sur les chemins de mise à niveau pris en charge, consultez Chemins de mise à niveau pris en charge.

Adprep - forestprep et domainprep

Pour une mise à niveau sur place d’un contrôleur de domaine existant, vous devez exécuter adprep /forestprep et adprep /domainprep manuellement. Vous ne devez exécuter Adprep /forestprep qu’une seule fois dans la forêt pour chaque version plus récente de Windows Server. Exécutez Adprep /domainprep une fois dans chaque domaine où vous avez des contrôleurs de domaine que vous mettez à niveau pour chaque version plus récente de Windows Server.

Si vous faites passer un nouveau serveur sur un contrôleur de domaine, vous n’avez pas besoin d’exécuter ces outils en ligne de commande manuellement. Ils sont intégrés aux expériences PowerShell et Gestionnaire de serveur.

Pour plus d’informations sur l’exécution d’adprep, consultez Exécution d’Adprep.

Fonctionnalités et exigences de niveau fonctionnel

Windows Server 2019 ou version ultérieure nécessite, au minimum, un niveau fonctionnel de forêt Windows Server 2008. Windows Server 2016 nécessite, au minimum, un niveau fonctionnel de forêt Windows Server 2003. Si la forêt contient des contrôleurs de domaine exécutant un niveau fonctionnel de forêt plus ancien que celui pris en charge par le système d’exploitation, l’installation est bloquée. Ces contrôleurs de domaine doivent être supprimés et le niveau fonctionnel de la forêt doit être élevé à une version prise en charge avant d’ajouter des contrôleurs de domaine Windows Server plus récents à votre forêt. Pour plus d’informations sur les niveaux fonctionnels pris en charge, consultez Niveaux fonctionnels de forêt et de domaine.

Remarque

Aucun nouveau niveau fonctionnel de forêt ou de domaine n’a été ajouté depuis Windows Server 2016. Les versions de système d’exploitation ultérieures peuvent et doivent être utilisées pour les contrôleurs de domaine. Elles utilisent Windows Server 2016 comme niveaux fonctionnels les plus récents.

Restaurer les niveaux fonctionnels

Une fois que vous avez défini le niveau fonctionnel de la forêt sur une certaine valeur, vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques exceptions près :

  • Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt Windows Server 2012 R2, vous pouvez revenir à Windows Server 2012 R2.
  • Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt Windows Server 2008 R2, vous pouvez revenir à Windows Server 2008 R2.

Une fois que vous avez défini le niveau fonctionnel du domaine sur une certaine valeur, vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques exceptions près :

  • Lorsque vous augmentez le niveau fonctionnel du domaine sur Windows Server 2016 et que le niveau fonctionnel de la forêt est Windows Server 2012 ou inférieur, vous avez la possibilité de restaurer le niveau fonctionnel du domaine sur Windows Server 2012 ou Windows Server 2012 R2.

Pour plus d’informations sur les fonctionnalités disponibles pour chacun des niveaux fonctionnels, consultez Niveaux fonctionnels de forêt et de domaine.

Interopérabilité d’Active Directory Domain Services

Active Directory Domain Services n’est pas pris en charge sur les systèmes d’exploitation Windows suivants :

  • Windows MultiPoint Server
  • Windows Server Essentials

Active Directory Domain Services ne peut pas être installé sur un serveur qui exécute également les rôles de serveur ou les services de rôle suivants :

  • Microsoft Hyper-V Server
  • Service Broker pour les connexions Bureau à distance

Administration de Windows Server

Utilisez les Outils d’administration de serveur distant pour Windows 10 ou version ultérieure pour gérer les contrôleurs de domaine et d’autres serveurs qui exécutent Windows Server. Vous pouvez exécuter les Outils d’administration de serveur distant Windows Server sur un ordinateur Windows 10 ou version ultérieure.

Ajouter un nouveau contrôleur de domaine avec une version plus récente de Windows Server

L’exemple suivant montre comment mettre à niveau la forêt Contoso à partir d’une version antérieure de Windows Server vers une version ultérieure.

  1. Joignez le nouveau Windows Server à votre forêt. Redémarrez quand vous y êtes invité.

    Capture d’écran du Gestionnaire de serveur montrant les boîtes de dialogue Propriétés système et Modifications du nom/domaine de l’ordinateur.

  2. Connectez-vous au nouveau Windows Server avec un compte d’administrateur de domaine.

  3. Dans Gestionnaire de serveur, sous Ajouter des rôles et des fonctionnalités, installez Active Directory Domain Services sur le nouveau serveur Windows Server. Cette action exécute automatiquement adprep sur la version antérieure de la forêt et du domaine.

    Capture d’écran de la page Sélectionner des rôles serveur de l’Assistant Ajout de rôles et de fonctionnalités montrant l’option Active Directory Domain Services mise en évidence.

  4. Dans Gestionnaire de serveur, sélectionnez le triangle jaune. Dans la liste déroulante, sélectionnez Promouvoir le serveur en contrôleur de domaine.

    Capture d’écran de la boîte de dialogue de la progression de la configuration post-déploiement avec l’option Promouvoir le serveur en contrôleur de domaine mise en évidence.

  5. Dans l’écran Configuration du déploiement, sélectionnez Ajouter un contrôleur de domaine à un domaine existant, puis cliquez sur suivant.

    Capture d’écran de la page Configuration du déploiement de l’Assistant Configuration des services de domaine Active Directory montrant l’option Ajouter un contrôleur de domaine à une option de domaine existante sélectionnée.

  6. Dans l’écran Options du contrôleur de domaine, entrez le mot de passe du Mode de restauration Directory Services (DSRM), puis sélectionnez Suivant.

  7. Pour les autres écrans, sélectionnez Suivant.

  8. Dans l’écran Vérification des prérequis, sélectionnez Installer. Une fois le redémarrage terminé, reconnectez-vous.

  9. Dans la version antérieure de Windows Server, dans Gestionnaire de serveur, sous Outils, sélectionnez Module Active Directory pour Windows PowerShell.

    Capture d’écran de la liste déroulante Outils dans Gestionnaire de serveur avec l’option Module Active Directory pour Windows PowerShell mise en évidence.

  10. Dans la fenêtre PowerShell, utilisez l’applet de commande Move-ADDirectoryServerOperationMasterRole pour déplacer les rôles FSMO. Vous pouvez entrer le nom de chaque Rôle de maître des opérations ou utiliser des nombres pour spécifier les rôles. Pour plus d’informations, consultez Move-ADDirectoryServerOperationMasterRole.

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
    

    Capture d’écran de la fenêtre Module Active Directory pour Windows PowerShell montrant les résultats de l’applet de commande Move-ADDirectoryServerOperationMasterRole.

  11. Pour vérifier que les rôles ont été déplacés, accédez au nouveau serveur Windows Server. Dans Gestionnaire de serveur, sous Outils, sélectionnez Module Active Directory pour Windows PowerShell. Utilisez les applets de commande Get-ADDomain et Get-ADForest pour afficher les titulaires des rôles FSMO.

    Capture d’écran de la fenêtre Module Active Directory pour Windows PowerShell montrant les résultats de l’applet de commande Get-ADDomain avec les valeurs Maître d’infrastructure, Émulateur PDC et Maître RID mises en évidence.

    Capture d’écran de la fenêtre Module Active Directory pour Windows PowerShell montrant les résultats de l’applet de commande Get-ADForest avec les valeurs Maître d’attribution des noms de domaines et Contrôleur de schéma mises en évidence.

  12. Rétrogradez et supprimez le contrôleur de domaine Windows Server antérieur. Pour plus d’informations sur la rétrogradation d’un contrôleur de domaine, consultez Rétrogradation de contrôleurs de domaine et de domaines.

  13. Une fois le serveur rétrogradé et supprimé, vous pouvez élever les niveaux fonctionnels de la forêt et du domaine sur la dernière version de Windows Server.

Étapes suivantes