mardi 1 mai 2018

How to migrate the SYSVOL replication system from FRS to DFS-R

Since Windows Server 2008,  DFS-R can be used for SYSVOL replication instead of FRS.
A domain controller on Windows Server 2019 is no longer compatible  with FRS for SYSVOL replication.
If you still use FRS for SYSVOL replication, you have to migrate to DFS-R to be able to add an additional domain controller on Windows Server 2019.
If the first domain controller is promoted on Windows 2008 or higher and the Domain functional level is Windows 2008 or higher  , DFS-R will be automatically used for SYSVOL replication.
In this article, I will show you how to migrate SYSVOL replication system from FRS to DFS.

Prepare prerequisites:

  • All domain controller running on Windows Server 2003 must be demoted 
  • The Domain Functional Level must be 2008 or higher :



  • Check the replication status and domain controllers health:

        

  • Check the DFSR migration status, you can use the following command:
    dfsrmig /getglobalstate

Before starting the migration, you can check the current sysvol path by running the  command net share on each domain controller:


You can also check the SYSVOL path from registry key:


How to migrate SYSVOL replication system to DFS-R:

  • Run the following command to start the migration:
dfsrmig /setglobalstate 0
  • Run the following command to change the migration state from "Started" to "Prepared" on all domain controller:

dfsrmig /setglobalstate 1


During in this step a new folder named SYSVOL_DFSR will be created on all domain controllers:


Run the following command to check if all domain controllers are migrated to "Prepared" state before performing the next step:

dfsrmig /getglobalstate
  • Run the following command to change the migration state from "Prepared" to "Redirected":

dfsrmig /setglobalstate 2

During in this step, it is recommended to avoid any modification on sysvol share ( GPO,script..ect) because the SYSVOL folder will be moved to  SYSVOL_DFSR.We can check it from the registry key value once the domain controller status become "Redirected":

We can also use net share to check the new path of sysvol share:

Run the following command to check if all domain controllers are migrated to "Redirected" state before performing the next step:

dfsrmig /getglobalstate
  • Run the followings command to change migration state from "Redirected" to "Eliminated":
dfsrmig /setglobalstate 3
 

In this step , the old folder sysvol will be deleted:

The Ntfrs service will be also disabled  on all domain controllers:


Run the following command to check if all domain controller are migrated to "Eliminated" state:

dfsrmig /Getglobalstate


lundi 9 avril 2018

What's new to promote the first domain controller on Windows Server 2019

Windows 2019 will come soon. Now, it is available in preview ,you can download and install it in your test environment to discover the new features provided by this new version:

Introducing Windows Server 2019 – now available in preview

In this article I would like to share with you ,what we have to prepare in a existing forest to install the first domain controller on Windows 2019 :

  •  The Forest Functional Level must be 2008 or higher. So,if you still have a domain controller in Windows 2003 you have to demote it before:
  • If you still using FRS for SYSVOL replication , you must migrate to DFS before:
  • The new schema version for Windows 2019 is 88:


mardi 20 février 2018

How to backup and restore GPO settings

 Before GPO setting modification, the backup is recommended practice to simplify the rollback in case of problem.

In this article, we will explain how to back up, restore, and import GPO settings using GPMC and PowerShell.
We have created new GPO named test1 with the following settings:



How to backup a GPO:

Backup GPO using GPMC ( Group Policy Management console):

Below the different steps of GPO backup via GPMC
  • Go under Group Policy Objects, find your GPO and choose the backup option as shown  below:

  • Add the path where you backup GPO and click Backup:
  • Click OK to finish:

Backup GPO using PowerShell commands:

You can also perform GPO backup using  PowerShell using the following commands :

import-module grouppolicy
Backup-Gpo -Name GPO_Name -Path Backup_location

How to restore a GPO:

Restore GPO using GPMC ( Group Policy Management consol):

I have reset GPO settings of test1, to test the restoration:



Below the different steps of GPO restoration via GPMC : 
  • Go under Group Policy Objects, find your GPO and click on Restore from Backup  as shown  below: 
  • Click Next:
  • Add the backup path and click Next:
  • Select the backed up GPO and click Next:
  • Click Finish:
  • Click OK:

Restore GPO using Powershell :

You can also use PowerShell to restore a GPO :

import-module grouppolicy
Restore-GPO -Name "Test1" -Path "E:\BacckupFolder"

How to import a GPO settings from a backup:

We are able import GPO settings from backup into another GPO, before perform this task, it's recommended to backup the target GPO before the import.

Import GPO using GPMC (Group Policy Management Console):

Below the different steps of GPO importation via GPMC : 
  • Go under Group Policy Objects, find the target GPO and click on Import Settings as shown  below: 
  • Click Next:
  • In this step you can backup the target GPO then click Next:
  • Add backup folder and click Next:
  • Select the backed up GPO and click on Next:
  • Click  Next:
  • Click Finish:
  • Click OK:

Now, all the settings of backed up GPO  has been imported on target GPO TEST2 as shown below:

Import GPO using PowerShell:

The followings commands can be used to import GPO settings from backup to another GPO:

import-module grouppolicy
Import-Gpo -BackupGpoName "Backup_GPO_Name" -TargetName "Targer_GPO_Name" -Path "Backup_Location"

How to reset the settings of defaults GPO:

When you promote new domain, there are two GPO created automatically named Default Domain Policy linked to domain and Default Domain Controller Policy linked to Domain controller OU.

To reset only the GPO settings of Default Domain Policy , run the following command:
bypass the compatibility issue between the schema version and the operating system

dcgpofix /ignoreschema /target:Domain
To reset only the GPO settings of Default Domain Controller  Policy , run the following command:

dcgpofix /ignoreschema /target:DC
To reset the GPO settings of the both Default GPO , run the following command:

dcgpofix /ignoreschema /target:both

mardi 23 janvier 2018

Clonage d'un contrôleur de domaine virtuel

A partir du Windows 2012, le clonage d'un contrôleur de domaine virtuel est possible et supporté par Microsoft.

Dans cet article, nous allons expliquer comment cloner un contrôleur de domaine virtuel.

Prérequis:

Pour cloner un contrôleur de domaine, voici les prérequis à préparer:
  • Un hyperviseur qui supporte VM-GenerationID.
  • Un PDC sur un contrôleur de domaine sous Windows 2012 ou plus.
  • Un contrôleur de domaine virtuel sous Windows 2012 ou plus pour être utilisé comme un contrôleur de domaine source
  • Un compte membre du groupe Admin du domaine, pour l'utiliser pendant l'opération du clonage.

Le groupe "Cloneable Domain Controllers":  

Ce groupe est créé automatiquement avec les bonnes permissions lors du déplacement du PDC vers un contrôleur de domaine sous Windows 2012 ou plus.
En cas de suppression, il est possible de le créer avec les permissions requises.
Pour plus de détails je vous invite à consulter ce lien:
 Comment restaurer les permissions du groupe "Cloneable Domain Controllers"
Il est également possible d'autoriser au contrôleur de domaine source d'être cloné même sans l'ajouter dans ce groupe.
Si vous utilisez cette méthode ,il ne faut pas oublier d'enlever le droit "Allow a DC to create a clone of itself" après la fin de l'opération:


Vérifier la configuration du PDC:

Le PDC a un rôle important dans le processus du clonage. Il faut le placer sur un DC sous Windows 2012 ou sous une version plus récente et s'assurer qu'il est toujours joignable pendant l'opération de clonage.

Pour déplacer le PDC vers un contrôleur de domaine sous Windows 2012 ou plus, je vous invite à consulter ce lien : Gérer l'emplacement des rôles FSMO

Vérifier la version de l'hyperviseur:

Pour valider si un hyperviseur supporte VM-GenerationID, depuis une machine virtuelle ,il faut vérifier dans le gestionnaire de périphériques la présence du pilote Compteur de génération Microsoft Hyper-v si l'OS est anglais il a le nom suivant: Microsoft Hyper-V Generation Counter:

Préparer le contrôleur de domaine source:

  • Le contrôleur de domaine source doit être installé sur Windows 2012 ou plus
  • Ajouter le compte ordinateur du contrôleur source dans le groupe "Cloneable Domain Controllers". Cela est possible à travers la console utilisateurs et ordinateurs active directory:


Et aussi via Powershell via la commande suivante :


Add-ADGroupMember "Cloneable domain controllers " "DC-source-Name"

  • Afficher la liste des programmes et les rôles incompatibles via la commande : 

Get-ADDCCloningExcludeApplicationList

Désinstaller les services et les rôles qui ne supportent pas le clonage ,ensuite ,valider le reste à travers la commande suivante:

Get-ADDCCloningExcludeApplicationList -GenerateXml

La commande ci-dessous permet de créer un fichier xml pour inclure les services autorisés.

Maintenant, aucune application n'est exclue, valider via la commande suivante :

Get-ADDCCloningExcludeApplicationList


  • Créer le fichier DCCloneConfig.xml qui contient les paramètres du nouveau contrôleur de domaine via la commande suivante:
New-ADDCCloneConfigFile -Static -CloneComputerName "Cloned_DC_Name" 
-SiteName "Target-AD-SiteNAme" -IPv4Address "New-IP" -IPvDNSResolver "DNS-IP"
-IPv4SubnetMask "255.255.255.0"
  • Arrêter le contrôleur de domaine source.

Créer la machine virtuelle du nouveau contrôleur de domaine cloné:

Pour créer la nouvelle machine virtuelle qui va héberger le nouveau contrôleur de domaine cloné,  nous avons deux possibilités:

  1. Copier les disques de la machine source
  2. Utiliser l'option export et import de l'hyper-v (méthode recommandée)
Dans notre LAB, nous allons utiliser l'option EXPORT qui permet de copier tous les fichiers de la machine virtuelle source dans un autre emplacement.

Ci-dessous les différentes étapes à suivre:
  • Depuis la console hyper-v, cliquer avec le bouton droit de la souris sur la machine virtuelle du contrôleur de domaine source et appuyer sur Export:



  • Spécifier l'emplacement de la nouvelle machine virtuelle du nouveau contrôleur de domaine cloné:

  • Il est possible aussi de lancer l'exportaion via Powershell:
Export-VM "Source-DC-2016" -path "C:\VM-TEST\VM\ClonedDC\"
  • Importer la nouvelle machine en cliquant sur l'option Import Virtual Machine dans la console Hyper-v:
  • La fenêtre ci-dessous s'affiche, cliquer sur Next:

  • Spécifier l'emplacement de la machine à importer et cliquer sur Next:

  • Sélectionner la machine virtuelle à importer et cliquer sur Next:

  • Spécifier le type de l'import, pour éviter le conflit avec la machine source il est recommandé de créer un nouveau unique ID:
  • Spécifier l'emplacement des fichiers de la nouvelle machine virtuelle et cliquer sur Next:

  • Spécifier l'emplacement des fichiers VHD de la nouvelle machine et cliquer sur Next:

  • Cliquer sur Finish:

  • Maintenant,pour lancer l'opération du clonage, vérifier que le PDC est bien en ligne ,ensuite ,démarrer la nouvelle machine virtuelle du contrôleur de domaine cloné en gardant la machine source arrêtée: le clonage va se lancer automatiquement:

Une fois que l'opération du clonage est terminée, vérifier l'état de santé du nouveau contrôleur du domaine et la réplication entre ses partenaires de réplication.
En cas de problème, il faut examiner le contenu du fichier dcpromo.log qui existe sous le répertoire  C:\Windows\Debug