samedi 26 août 2017

Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

Préparer une forêt pour l'installation du premier contrôleur de domaine sous Windows 2016


La version du schéma d'une forêt active directory définit la version maximale du système d'exploitation d'un contrôleur de domaine supportée sur tous les domaines de la forêt.

Dans le tableau ci-dessous, toutes les valeurs possibles de la version schémas avec la version maximale du système d'exploitation:


La version du schéma
Système d’exploitation
13
Windows 2000
30
Windows 2003
31
Windows 2003 R2
44
Windows 2008
47
Windows 2008 R2
56
Windows 2012
69
Windows 2012 R2
87
Windows 2016

Les différentes méthodes possibles pour la préparation de la forêt:


L'augmentation de la version du schéma est irréversible, pour le retour en arrière, il faut restaurer toute la forêt.
Dans les grandes structures, pendant la préparation de la forêt ,il est recommandé de mettre le contrôleur de domaine maître du schéma (ou on doit lancer la préparation de la forêt) en mode déconnecté , afin de s'assurer que l'opération s'est bien déroulée localement avant de laisser la nouvelle version se propager via le mécanisme de la réplication active directory.

Via l'assistant :

A partir de la version Windows 2012, la préparation de la forêt peut s'effectuer automatiquement lors de la promotion du premier contrôleur via l'assistant d'installation en utilisant un compte membre du groupe administrateurs du schéma et de l'entreprise.
Cette méthode est utile surtout quand tous les contrôleurs du domaine root sont installés sur un système d'exploitation 32 bit.

Via la commande adprep:

Pour augmenter la version du schéma manuellement via la commande adprep , il faut préparer les prérequis suivants:

  1. Utiliser un compte membre du groupe administrateurs du schéma et administrateurs de l'entreprise
  2. Utiliser un CD d'installation Windows 2016 avec la même langue que le contrôleur de domaine maître du schéma pour lancer commande adprep.
  3. Le système d'exploitation du maître du schéma soit 64 bit, les CD d'installation Windows 2016 ne propose pas une version adprep 32 bit.
Une fois que tous les prérequis sont présents, on peut lancer la préparation de la forêt via la commande ci-dessous depuis le CD d'installation du Windows 2016 :

d:\support\adprep\adprep /forestprep


Un message d'avertissement s'affiche pour demande la confirmation de la mise à jour du schéma :




Comment vérifier la préparation de la forêt:

Via l'invite de commande:

Pour vérifier la version du schéma et si on est capable d'ajouter un contrôleur de domaine sous Windows 2016, on peut lancer les deux commandes ci-dessous afin d'afficher la version du schéma actuelle:

dsquery * cn=schema,cn=configuration,dc=lab,dc=lan -scope base -attr Objectversion

schupgr

Il existe un autre attribut revision qui nous permet aussi de vérifier la préparation de la forêt qui doit être égale à 16 pour Windows 2016: 

dsquery * CN=ActiveDirectoryUpdate,CN=ForestUpdates,cn=configuration,dc=lab,dc=lan -scope base -attr revision


Via l'outil Adsiedit.msc:

Il est aussi possible d'utiliser l'outil Adsiedit.msc installé avec le module d'administration active directory pour connaitre la valeur de l'attribut ObjectVersion :




La même chose pour l'attribut Revision:



Préparer un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

Via l'assistant:


Lors de la promotion du premier contrôleur de domaine sous Windows 2016, la préparation du domaine sera lancé automatiquement via l'assistant de l’installation vue que le compte utilisé pour la promotion d'un contrôleur de domaine est déjà membre du groupe Domain Admins.

Via la commande adprep:

Dans le cas d'une mise à niveau sur place d'un contrôleur de domaine vers Windows 2016, il faut lancer en avance la préparation du domaine manuellement via la commande adprep depuis un CD d'installation Windows 2016.

Pour lancer la préparation du domaine manuellement via la commande adprep , il faut préparer les prérequis suivants:

  1. Utiliser un compte membre du groupe Admins du domaine du domaine en question
  2. Utiliser un CD d'installation Windows 2016 avec la même langue que le contrôleur de domaine maître du schéma pour lancer commande adprep.
  3. Le système d'exploitation du maître d'infrastructure soit 64 bit, le CD d'installation Windows 2016 ne propose pas une version adprep 32 bit.
Une fois que tous les prérequis sont présents, on peut lancer la préparation du domaine à travers la commande ci-dessous depuis leCD d'installation du Windows 2016 :

d:\support\adprep\adprep /domainprep


Comment vérifier la préparation du domaine:

Via l'invite de commande:

On peut vérifier la préparation du domaine via la commande ci-dessous:

dsquery * CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,dc=lab,dc=lan -scope base -attr revision

Il faut avoir la valeur 15 pour Windows 2016.

Via l'outil adsiedit.msc:

Il est possible aussi de vérifier la valeur de l'attribut revision via l'outils adsiedit.msc:












  
Publié par à Aucun commentaire:

vendredi 25 août 2017

Mise à niveau sur place d'un contrôleur de domaine

     Avec l'arrivé du Windows 2012, il est possible de lancer la mise à niveau sur place pour augmenter la version du système de l'exploitation du contrôleur de domaine.

Prérequis pour une mise à niveau sur place d'un contrôleur de domaine


  • Choisir une version cible supportée:


le choix de la version cible dépend de celle du système d'exploitation du contrôleur de domaine.
Le tableau ci-dessous , présente tous les chemins de mise à niveau supportés.

Version de Windows
Version Windows cible supportée 

Windows 2008 SP2 ou Windows 2008 R2 Standard et entreprise
Windows 2012 ou Windows 2012 R2 Standard ou Datacenter

Windows 2008 SP2 ou Windows 2008 R2 Datacenter
Windows 2012 ou Windows 2012 R2 Datacenter

Windows 2012 Standard
Windows 2012 R2 ou Windows 2016 Standard ou Datacenter

Windows 2012 Datacenter
Windows 2012 R2 ou Windows 2016 Datacenter

Windows 2012 Standard
Windows 2016 Standard ou Datacenter

Windows 2012 Datacenter
Windows 2016  Datacenter


Les versions d'évaluation ne peuvent être utilisées qu'avec les versions d’évaluation. Si non vous aurez ce message:




  • La langue de la version du système d'exploitation cible:

Le système d'exploitation cible doit avoir la même langue utilisée par la version actuelle du contrôleur de domaine.

  • Préparer la forêt et le domaine:
Quand on ajoute un nouveau contrôleur de domaine sous Windows 2012 ou plus pour la première fois, la préparation de la forêt et du domaine se lancent automatiquement lors de la promotion du contrôleur du domaine si on utilise un compte qui a les permissions nécessaires.
Par contre , la mise à niveau sur place nécessite une préparation de la forêt et du domaine  manuellement via la commande adprep depuis le CD d'installation du système d'exploitation cible.

 Pour avoir plus de détails concernant la préparation de la forêt et du domaine active directory, je vous invite à consulter l'article suivant:

 Préparer une forêt et un domaine pour l'installation du premier contrôleur de domaine sous Windows 2016

  • Désinstaller les composants non-compatible:

Si vous avez des agents ou applications installés sur le contrôleur de domaine qui sont incompatible avec la version cible , il faut les désinstaller avant.

Publié par à Aucun commentaire:

samedi 12 août 2017

L'appartenance à un groupe et les tickets Kerberos

Les tickets Kerberos déjà délivrés avant le changement de l'appartenance à un groupe d'un compte utilisateur ou ordinateur ne prennent pas en compte ces modifications.
Pour la prise en compte les mises à jour de l'appartenance à un groupe, il faut attendre le prochain renouvellement du ticket kerberos après:
  • La réouverture de session utilisateur s'il s'agit d'un compte utilisateur
  • Le redémarrage de la machine s'il s'agit d'un compte ordinateur
  • L'expiration des tickets Kerberos mis en cache
  • La suppression des tickets Kerberos via la commande klist
Pour forcer le renouvellement immédiat du ticket kerberos , il faut juste purger tous les tickets kerberos en cache. Cela vous permettra d'éviter d'attendre la date de l'expiration la fermeture du session utilisateur ou le redémarrage du l'ordinateur.

On va expliquer comment  purger les tickets kerberos en cache liés au compte utilisateur ou ordinateur dans la suite de cet aricle.

Pour afficher tous les tickets kerberos d'un utilisateur, il suffit de lancer la commande suivante:
klist


Pour purger les tickets kerberos liés au compte utilisateur, il faut lancer la commande suivante:
klist purge


Pour afficher les tickets kerberos liés au compte ordinateur, il faut exécuter la commande suivante:
klist -li 0x3e7


Pour purger les tickets kerberos liés au compte ordinateur , il faut lancer la commande suivante:
klist -li 0x3e7 purge
Publié par à Aucun commentaire:
Inscription à : Articles (Atom)