vendredi 23 décembre 2016

Le niveau fonctionnel FFL/DFL

Le Niveau fonctionnel FFL:


Le niveau fonctionnel de la forêt sert à :
  •  Définir le niveau fonctionnel minimal de tous les domaines appartenant à cette forêt
  • Définir la version minimale du système d’exploitation de tous les contrôleurs de domaine de la forêt.
  • Autoriser l’activation des fonctionnalités comme la Corbeille active directory pour Windows 2008 R2 ou plus et la Gestion des accès privilégiés pour Windows 2016.

     Modifier le niveau fonctionnel de la forêt :

Avant chaque modification, il est recommandé de vérifier que toutes les applications sont bien supportées par la valeur cible du FFL.

Il faut également vérifier que le niveau fonctionnel du domaine DFL de tous les domaines est supérieur ou égale à la valeur FFL cible.

Augmenter le niveau fonctionnel de la forêt :

L’augmentation du niveau fonctionnel de la forêt est possible via PowerShell et l’interface graphique.
Dans notre exemple, le nom de la forêt est LAB.lan :


Pour augmenter le FFL via PowerShell, il faut lancer l’une des  commandes suivantes en fonction de la valeur cible du FFL:

Set-ADForestMode –ForestMode Windows2008Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2008R2Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2012Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2012R2Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2016Forest –identity "LAB.lan" 


Pour augmenter FFL via l’interface graphique :
Ouvrir la console Domain et approbation active directory ,puis avec le bouton droit de la souris cliquer sur Domaines et approbation active directory ,ensuite, cliquer sur Augmenter le niveau fonctionnel de la forêt:


Sélectionner le FFL cible et cliquer sur Augmenter : 


Baisser le niveau fonctionnel de la forêt :


Pour baisser le niveau fonctionnel, aucune possibilité via l’interface graphique, on ne peut utiliser que les commandes PowerShell.
Si la gestion des accès privilégiés est activée, on ne peut pas baisser le FFL.
Si la corbeille active directory est activée, il n’est pas possible de baisser le niveau fonctionnel FFL vers Windows2008Forest.
Si la gestion des accès privilégiés et la corbeille active directory sont désactivés, on peut baisser le FFL jusqu’à 2008.

Voici un exemple :

Set-ADForestMode –ForestMode Windows2008Forest –identity "LAB.lan"

Le Niveau fonctionnel DFL:


Le niveau fonctionnel du domaine sert à :    

  • Définir la version minimale du système d’exploitation de tous les contrôleurs de domaine du domaine.
  •  Autoriser l’activation des options active directory comme la réplication DFS-R pour le SYSVOL et PSO.

 Modifier le niveau fonctionnel du domaine :

Avant chaque modification, il est recommandé de vérifier que toutes les applications sont bien supportées par la valeur cible du DFL.
Il faut vérifier que la version du système d'exploitation de tous les contrôleurs de domaine est supérieur ou égale à la valeur cible du DFL et que le FFL est inférieure ou égale à la valeur cible du DFL.

Augmenter le niveau fonctionnel du domaine :

L’augmentation du niveau fonctionnel de la forêt est possible via PowerShell et l’interface graphique.
Dans notre exemple, le nom de la forêt est LAB.lan :


Pour augmenter le DFL via PowerShell, il faut lancer l’une des  commandes suivantes en fonction de la valeur cible du DFL:

Set-ADDomainMode –DomainMode Windows2008Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2008R2Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2012Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2012R2Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2016Domain –identity "LAB.lan" 


Pour augmenter DFL via l’interface graphique :
Ouvrir la console Domain et approbation active directory ,puis avec le bouton droit de la souris cliquer sur le nom du domaine cliquer sur Augmenter le niveau fonctionnel de la forêt:



Puis sélectionner la valeur du DFL cible et cliquer sur Augmenter :



Baisser le niveau fonctionnel du domaine :

 Pour baisser le niveau fonctionnel d'un domaine, il faut que la valeur cible soit supérieur ou égale à au FFL.
Aucune méthode disponible via l'interface graphique .Pour baisser DFL, on ne peut utiliser que les commandes PowerShel voici un exemple:

Set-ADDomainMode –DomainMode Windows2008Domain –identity "LAB.lan"

Publié par à Aucun commentaire:

jeudi 15 décembre 2016

Déployer le premier contrôleur de domaine sous Windows 2016

Installer le premier contrôleur de domaine sous Windows 2016 dans un nouveau domaine ou une nouvelle forêt:


Si le contrôleur de domaine sous Windows 2016 est le premier contrôleur installé dans une forêt ou dans un domaine ,le niveaux fonctionnel FFL ou DFL  proposé est 2008 ou plus, par conséquent le DFS-R sera automatiquement configuré pour la réplication SYSVOL.

Installer le premier contrôleur de domaine sous Windows 2016 dans un  domaine existant:


Pour ajouter un contrôleur de domaine dans un domaine existant il faut préparer les pré-requis ci-dessous :
  •       Tous les contrôleurs de domaines de la forêt doivent être installés sur Windows 2003 ou plus. 
  •         Le niveau fonctionnel de la forêt doit être 2003 ou plus ,sinon vous aurez le message d'erreur ci-dessous:
      


  • Toutes les applications utilisées dans l’environnement de la production sont bien compatible avec  un contrôleur de domaine sous Windows 2016.
Vue que le niveau fonctionnel minimal supporté par un contrôleur de domaine sous Windows 2016 est 2003 , tous les contrôleurs de domaine installés Windows 2003 ou plus peuvent cohabiter avec un DC 2016 dans une même forêt:

Windows 2000
NON
Windows 2003 et Windows 2003 R2
OUI
Windows 2008  et Windows 2008 R2
OUI
Windows 2012 et Windows 2012 R2
OUI


Un contrôleur de domaine sous Windows 2016 peut également utiliser FRS pour la réplication SYSVOL avec ses partenaires.
Quand vous installez un contrôleur de domaine 2016 dans un domaine de niveau fonctionnel 2003, un message d'alerte s'affiche après la vérification des pré-requis pour vous rappeler que Microsoft recommande d'augmenter le niveau fonctionnel du domaine vers 2008 ou plus ,et migrer aussi le système de réplication SYSVOL FRS vers DFS-R.

Installer le premier contrôleur de domaine dans un domaine existant:


Dans notre LAB, on a choisit de tester l'installation d'un nouveau contrôleur de domaine sous Windows 2016 dans une infrastructure active directory d'une forêt mono-domaine, le FFL et DFL est 2003:




Après la vérification du niveau fonctionnel FFL et DFL,  on configure les paramètres IP du nouveau serveur Windows 2016 en mettant l'adresse du DC2008 dans la liste des serveurs DNS pour qu'il puisse résoudre la zone do domaine lab.lan:


Maintenant , on va commencer l'installation du contrôleur de domaine via l'interface ghraphique:
  • On ouvre la console Server Manager et on clique sur Add roles and features:




  • Une fois que la fenêtre ci-dessous est affichée, cliquer sur Next:




  • Cliquer sur Next:






  • Cliquer sur Next:






  • Cocher la case Active Directory Domain Services :



  • Une fois que la case est cochée, une petite fenêtre s'affiche pour valider l'installation des outils d'administration active directory, cocher Include management tools et cliquer sur Add Features:







  • Cliquer sur Next:





  • Cliquer sur Next:




  • Cliquer sur Next:




  • Cocher la case Restart the destination server automatically if required et cliquer sur Yes:





  • Cliquer sur Install:





  • Une fois que l'installation est terminée, cliquer sur Promote this server to a domain controller:




  • Une nouvelle fenêtre qui s'affiche , taper le nom du domaine et cocher l'option Add a domain controller to an existing domain, puis cliquer sur Next:





  • Cocher les options mentionnées ci-dessous en fonction du type du futur contrôleur de domaine , pour notre cas on va choisir un DC R/W avec Global Catalog. ensuite taper le mot de passe DSRM et cliquer sur Next






  • Cliquer sur Next:





  • Dans cette étape , on peut spécifier un contrôleur de domaine pour la première réplication . Ensuite cliquer sur Next 





  • Spécifier l'emplacement de la base de donnée NTDS, les logs et le répertoire SYSVOL, puis cliquer sur Next:





  • La préparation du chémas , forêt et du domaine est indispensable , puisqu'il s'agit du première contrôleur de domaine installé sous Windows 2016, cliquer sur Next







  • Cliquer sur Next





  • Des alertes s'affichent, vue que le niveau fonctionnel FFL est encore 2003 et le système de réplication SYSVOL utilise encore FRS. Une fois les pré-requis validés , cliquer sur Install:




  • Ci-dessous , un script Powershell capable de faire le même travail via l'interface graphique:






Publié par à Aucun commentaire:
Inscription à : Articles (Atom)