DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 322692 - Dernière mise à jour: lundi 17 mai 2010 - Version: 16.0

Sommaire

Résumé

Cet article traite de l'augmentation des niveaux fonctionnels du domaine et de la forêt qui ne sont pas pris en charge par les contrôleurs de domaine Microsoft Windows Server 2003 ou plus récent. Il existe quatre versions d'Active Directory et seuls les niveaux qui ont été modifiés par rapport à Windows NT Server 4.0 nécessitent une attention particulière. Les autres modifications de niveaux sont donc mentionnées en utilisant les nouvelles versions, les versions actuelles et les versions anciennes du système d'exploitation du contrôleur de domaine, du domaine ou du niveau fonctionnel de la forêt.

Les niveaux fonctionnels sont une extension des concepts de mode mixte et de mode natif qui ont été introduits dans Microsoft Windows 2000 Server pour activer les nouvelles fonctionnalités Active Directory. Certaines fonctionnalités Active Directory supplémentaires sont disponibles lorsque tous les contrôleurs de domaines exécutent la dernière version de Windows Server dans un domaine ou une forêt et lorsque l'administrateur active le niveau fonctionnel correspondant dans le domaine ou la forêt.

Pour activer les dernières fonctionnalités de domaine, tous les contrôleurs de domaine doivent exécuter la dernière version du système d'exploitation Windows Server dans le domaine. Si cette condition est remplie, l'administrateur peut augmenter le niveau fonctionnel du domaine.
Pour activer les dernières fonctionnalités dans la forêt, tous les contrôleurs de domaine de la forêt doivent exécuter la version du système d'exploitation Windows Server qui correspond au niveau fonctionnel de la forêt désirée. En outre, le niveau fonctionnel actuel du domaine doit déjà être au niveau le plus récent. Si ces conditions sont remplies, l'administrateur peut augmenter le niveau fonctionnel de la forêt.

En général, les modifications apportées aux niveaux fonctionnels de domaine et de forêt sont irréversibles. Si la modification peut être annulée, une récupération de la forêt doit être utilisée. Avec le système d'exploitation Windows Server 2008 R2, les modifications apportées aux niveaux fonctionnels de domaines et aux niveaux fonctionnels de forêts sont réversibles. Toutefois, l'annulation peut uniquement être réalisée dans certains cas spécifiques qui sont décrits dans l'article Technet sur les niveaux fonctionnels Active Directory (http://technet.microsoft.com/fr-fr/library/cc787290(WS.10).aspx) .

Remarque Les derniers niveaux fonctionnels de domaines et les derniers niveaux fonctionnels de forêts affectent uniquement la façon dont les contrôleurs de domaine agissent ensemble en tant que groupe. Les clients qui interagissent avec le domaine ou avec la forêt ne sont pas affectés. En outre, les applications ne sont pas affectées par les modifications apportées aux niveaux fonctionnels de domaine ou aux niveaux fonctionnels de forêt. Toutefois, les applications peuvent tirer parti des nouvelles fonctionnalités de domaine et des nouvelles fonctionnalités de forêt.

Pour plus d'informations, consultez l'article TechNet sur les fonctionnalités associées aux différents niveaux fonctionnels (http://technet.microsoft.com/fr-fr/library/cc771294.aspx) .

Augmentation du niveau fonctionnel

Attention N'augmentez pas le niveau fonctionnel si le domaine a ou va avoir un contrôleur de domaine qui est antérieur à la version citée pour ce niveau. Par exemple, un niveau fonctionnel Windows Server 2008 nécessite que tous les contrôleurs de domaine aient un système d'exploitation Windows Server 2008 ou version ultérieure installé dans le domaine ou la forêt. Après l'augmentation du niveau fonctionnel de domaine, celui-ci peut être ramené à un niveau antérieur uniquement à l'aide d'une récupération de forêt. Cette restriction existe car les fonctionnalités modifient souvent la communication entre les contrôleurs de domaine ou parce que les fonctionnalités modifient le stockage des données Active Directory dans la base de données.

La méthode la plus courante pour activer les niveaux fonctionnels de domaine et de forêt est d'utiliser les outils d'administration de l'interface utilisateur graphique (GUI) qui sont répertoriés dans l'article TechNet sur les niveaux fonctionnels Active Directory de Windows Server 2003 (http://technet.microsoft.com/fr-fr/library/cc759280(WS.10).aspx) . Cet article traite de Windows Server 2003. Toutefois, les étapes sont identiques dans les versions plus récentes du système d'exploitation. En outre, le niveau fonctionnel peut être configuré manuellement ou peut être configuré à l'aide de scripts Windows PowerShell. Pour plus d'informations sur la configuration manuelle du niveau fonctionnel, consultez la section « Afficher et définir le niveau fonctionnel ».

Pour plus d'informations sur l'utilisation du script Windows PowerShell pour configurer le niveau fonctionnel, affichez l'article TechNet qui traite de cette méthode (http://technet.microsoft.com/fr-fr/library/cc730985.aspx) .

Afficher et définir le niveau fonctionnel manuellement

Les outils LDAP (Lightweight Directory Access Protocol) tels que Ldp.exe et Adsiedit.msc permettent d'afficher et de modifier les paramètres du niveau fonctionnel actuel du domaine et de la forêt. Lorsque vous modifiez les attributs du niveau fonctionnel manuellement, il est conseillé de modifier les attributs sur le contrôleur de domaine FSMO (Flexible Single Master Operations) qui est normalement ciblé par les outils d'administration Microsoft.

Paramètres du niveau fonctionnel de domaine

L'attribut msDS-Behavior-Version se trouve sur la tête des contextes d'affectation de noms racines (NC) dans chacun des domaines suivants :
  • DC = MonDomaine
  • DC = ForestRootDom
  • DC = tld objet
Voici les valeurs qui peuvent être définies pour cet attribut :
  • Valeur 0 ou non défini = domaine de niveau mixte
  • La valeur 1 = niveau de domaine Windows Server 2003
  • La valeur 2 = niveau de domaine Windows Server 2003
  • La valeur 3 = niveau de domaine Windows Server 2008
  • Valeur 4 = niveau de domaine Windows Server 2008 R2

Paramètres du mode mixte et du mode natif

L'attribut ntMixedDomain se trouve sur la tête des contextes d'affectation de noms racines (NC) dans chacun des domaines suivants :
  • DC = MonDomaine
  • DC = ForestRootDom
  • DC = tld objet
Voici les valeurs qui peuvent être définies pour cet attribut :
  • La valeur 0 = domaine de niveau natif
  • La valeur 1 = domaine de niveau mixte

Paramètre du niveau de la forêt

L'attribut msDS-Behavior-version se trouve sur la tête des contextes d'affectation de noms racines (CN) dans chacun des domaines suivants :
  • CN = Partitions
  • CN = Configuration
  • DC = ForestRootDom
  • DC = tld objet
Voici les valeurs qui peuvent être définies pour cet attribut :
  • Valeur 0 ou non défini = forêt niveau mixte
  • La valeur 1 = niveau intermédiaire de forêt de Windows Server 2003
  • La valeur 2 = niveau de forêt Windows Server 2003

    Remarque Lorsque vous augmentez l'attribut msDS-Behavior-Version de la valeur 0 à la valeur 1 en utilisant Adsiedit.msc, le message d'erreur suivant s'affiche :
    Opération de modification non conforme. Certains aspects de la modification ne sont pas autorisés.
  • La valeur 3 = niveau de domaine Windows Server 2008
  • Valeur 4 = niveau de domaine Windows Server 2008 R2
Après avoir utilisé les outils LDAP (Lightweight Directory Access Protocol ) pour modifier le niveau fonctionnel, cliquez sur OK pour continuer. Les attributs sur le conteneur de partitions et sur la tête de domaine sont augmentées correctement. Si un message d'erreur s'affiche en raison du fichier Ldp.exe, vous pouvez l'ignorer. Pour vérifier si l'augmentation du niveau a réussi, actualisez la liste des attributs, puis vérifiez le paramètre concerné. Ce message d'erreur peut également s'afficher après que vous avez effectué l'augmentation du niveau sur la FSMO faisant autorité si la modification n'a pas encore été répliquée sur le contrôleur de domaine local.

Affichez rapidement les paramètres actuels à l'aide du fichier Ldp.exe

  1. Lancez le fichier Ldp.exe.
  2. Dans le menu Connection, cliquez sur Connect.
  3. Spécifiez le contrôleur de domaine que vous souhaitez interroger ou laisser la zone vierge pour vous connecter à n'importe quel contrôleur de domaine.
Après que vous vous êtes connecté à un contrôleur de domaine, les informations RootDSE du contrôleur de domaine s'affichent. Ces informations comprennent des informations sur la forêt, le domaine et les contrôleurs de domaine. Voici un exemple d'un contrôleur de domaine Windows Server 2003. Dans l'exemple suivant, supposez que la mode du domaine est Windows Server 2003 et que le mode de la forêt est Windows 2000 Server.

Remarque La fonctionnalité contrôleur de domaine représente le niveau fonctionnel le plus élevé possible pour ce contrôleur de domaine.
  • 1> domainFunctionality : 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality : 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality : 2=(DS_BEHAVIOR_WIN2003)

Configuration requise la modification manuelle du niveau fonctionnel

  • Vous devez modifier le mode du domaine en mode natif avant d'augmenter le niveau de domaine si une des conditions suivantes est remplie :
    • Le niveau fonctionnel du domaine est augmenté par programmation jusqu'au deuxième niveau fonctionnel en modifiant directement la valeur de l'attribut msdsBehaviorVersion sur l'objet domainDNS.
    • Le niveau fonctionnel du domaine est augmenté jusqu'au deuxième niveau fonctionnel à l'aide de l'utilitaire Ldp.exe ou de l'utilitaire Adsiedit.msc.
    Si vous ne changez pas le mode domaine en mode natif avant d'augmenter le niveau de domaine, l'opération échoue et les messages d'erreur suivants s'affichent :
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    En outre, le message suivant est enregistré dans le journal Services d'annuaire :
    Active Directory n'a pas pu mettre à jour le niveau fonctionnel du domaine suivant car le domaine est en mode mixte.

    Dans ce cas, vous pouvez changer le mode domaine en mode natif en utilisant le composant logiciel enfichable Utilisateurs & ordinateurs Active Directory, en utilisant le composant logiciel enfichable interface utilisateur MMC Domaines & approbations Active Directory ou en programmant la modification de la valeur de l'attribut ntMixedDomain sur 0 sur l'objet domainDNS. Lorsque vous suivez cette procédure pour augmenter le niveau fonctionnel à 2 (Windows Server 2003), le mode du domaine est automatiquement changé en mode natif.
  • La transition du mode mixte au mode natif modifie l'étendue du groupe de sécurité Administrateurs de schéma et du groupe de sécurité Administrateurs de l'entreprise en groupes universels. Lorsque ces groupes ont été changés en groupes universels, le message suivant est enregistré dans le journal système :

    Type de l'événement : Informations
    Source de l'événement : ‎SAM
    ID évén. : 16408
    Ordinateur : nom_serveur
    Description : « Le mode d'opération du domaine a été changé en mode natif. Cette opération est irréversible ».

  • Lorsque les outils d'administration Windows Server 2003 sont utilisés pour invoquer le niveau fonctionnel du domaine, les attributs ntmixedmode et msdsBehaviorVersion sont modifiés dans l'ordre correct. Toutefois, ce n'est pas toujours le cas. Dans la cas suivant, le mode natif est implicitement défini sur la valeur 0 sans que l'étendue du groupe de sécurité Administrateurs de schéma et du groupe de sécurité Administrateurs de l'entreprise soit changée en groupes universels :
    • L'attribut msdsBehaviorVersion qui contrôle le mode fonctionnel du domaine est défini sur la valeur 2 manuellement ou par programmation.
    • Le niveau fonctionnel de la forêt est défini sur 2 à l'aide de n'importe quelle méthode.
    Dans ce cas, les contrôleurs de domaine bloquent la transition vers le niveau fonctionnel de la forêt jusqu'à ce que tous les domaines qui se trouvent sur le réseau local soient configurés en mode natif et que la modification d'attribut requise soit faite dans les étendues des groupes de sécurité.

Niveaux fonctionnels relatifs à Windows 2000 Server

Windows 2000 Server ne prend en charge que le mode mixte et mode natif. En outre, il applique uniquement ces modes à la fonctionnalité de domaine. Les sections suivantes répertorient les modes de domaine Windows Server 2003 car ces modes affectent la façon dont les domaines Windows NT 4.0 et Windows 2000 Server sont mis à niveau.

Il existe un certain nombre de considérations relatives à l'augmentation du niveau du système d'exploitation du contrôleur de domaine. Ces considérations sont dues aux limitations de stockage et de réplication des attributs associés dans les modes Windows 2000 Server.

Windows 2000 Server mixte (par défaut)

  • Contrôleurs de domaine pris en charge : Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Fonctions activées : groupes locaux et globaux, prise en charge de catalogue global

Windows 2000 Server natif

  • Contrôleurs de domaine pris en charge : Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Fonctions activées : imbrication des groupes, groupes universels, historique des SID, conversion des groupes entre les groupes de sécurité et les groupes de distribution, vous pouvez augmenter les niveaux de domaines en augmentant les paramètres de niveau de la forêt

Windows Server 2003 intermédiaire

  • Contrôleurs de domaine pris en charge : Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Fonctionnalités prises en charge : Il n'existe pas de fonctionnalités à l'échelle du domaine activées à ce niveau. Tous les domaines d'une forêt sont augmentés automatiquement à ce niveau lorsque le niveau de la forêt passe au niveau intermédiaire. Ce mode est utilisé uniquement lorsque vous mettez à niveau les contrôleurs de domaines dans les domaines Windows NT 4.0 vers les contrôleurs de domaine Windows Server 2003.

Windows Server 2003

  • Contrôleurs de domaine pris en charge : Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Fonctionnalités prises en charge : renommer le contrôleur de domaine, attribut de l'horodatage de l'ouverture de session mis à jour et répliqué. Prise en charge des mots de passe utilisateur sur l'objectClass InetOrgPerson. Délégation contrainte, vous pouvez rediriger les conteneurs Utilisateurs et Ordinateurs.
Les domaines qui sont mis à niveau à partir de Windows NT 4.0 ou créé par le biais de la promotion d'un ordinateur Windows Server 2003 fonctionnent au niveau fonctionnel mixte Windows 2000. Les domaines Windows 2000 Server conservent leur niveau fonctionnel de domaine actuel lorsque les contrôleurs de domaine Windows 2000 Server sont mis à niveau vers le système d'exploitation Windows Server 2003. Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 Server natif ou Windows Server 2003.

Niveau intermédiaire - mise à niveau à partir d'un domaine Windows NT 4.0

Windows Server 2003 Active Directory autorise un niveau fonctionnel spécial de forêt ou de domaine appelé Windows Server 2003 intermédiaire. Ce niveau fonctionnel est proposé pour les mises à niveau des domaines Windows NT 4.0 existants lorsqu'un ou plusieurs contrôleurs secondaires de domaine Windows NT 4.0 doivent fonctionner après la mise à jour. Les contrôleurs de domaine Windows 2000 Server ne sont pas pris en charge dans ce mode. Windows Server 2003 intermédiaire s'applique aux scénarios suivants :
  • Mises à niveau des domaines Windows NT 4.0 vers Windows Server 2003.
  • Les contrôleurs de domaine secondaires Windows NT 4.0 ne sont pas mis à niveau immédiatement.
  • Les domaines Windows NT 4.0 qui contiennent des groupes avec plus de 5 000 membres (à l'exception du groupe des utilisateurs du domaine).
  • Il n'est pas prévu d'implémenter des contrôleurs de domaine Windows Server 2000 dans la forêt à tout moment.
Windows Server 2003 intermédiaire propose deux améliorations importantes tout en autorisant toujours la réplication pour les contrôleurs de domaine secondaires Windows NT 4.0 :
  1. Réplication efficace de groupes de sécurité et prise en charge de plus de 5 000 membres par groupe.
  2. Algorithmes de Générateur de topologie inter-site KCC améliorés.
En raison de l'inefficacité de la réplication de groupes qui est activée au niveau intermédiaire, le niveau intermédiaire est le niveau recommandé pour toutes les mises à niveau Windows NT 4.0. Consultez la section « Pratiques recommandées » de cet article pour plus de détails.

Définition du niveau fonctionnel de la forêt Windows Server 2003 intermédiaire

Windows Server 2003 intermédiaire peut être activé de trois manières différentes. Les deux premières méthodes sont fortement recommandées. Cela est dû au fait que les groupes de sécurité utilisent la réplication de valeurs liées après que le contrôleur principal de domaine du domaine Windows NT 4.0 a été mis à niveau vers un contrôleur de domaine Windows Server 2003. La troisième option est moins recommandée car l'appartenance à des groupes de sécurité utilise un attribut unique à valeurs multiples qui peut engendrer des problèmes de réplication. Les méthodes d'activation de Windows Server 2003 intermédiaire sont les suivantes :
  1. Au cours de la mise à niveau.

    L'option est présentée par l'assistant d'installation de Dcpromo lorsque vous effectuez une mise à niveau du contrôleur de domaine principal vers un domaine Windows NT 4.0 qui sert de premier contrôleur de domaine principal dans le domaine racine d'une nouvelle forêt.
  2. Avant cela, vous devez effectuer une mise à niveau du contrôleur de domaine principal Windows NT 4.0 de Windows NT 4.0 en tant que premier contrôleur de domaine d'un nouveau domaine dans une forêt existante en configurant manuellement le niveau fonctionnel de la forêt à l'aide des outils LDAP (Lightweight Directory Access Protocol).

    Les domaines enfants héritent des paramètres de fonctionnalité de la forêt dans laquelle ils sont promus. La mise à niveau du contrôleur de domaine principal d'un domaine Windows NT 4.0 en tant que domaine enfant dans une forêt Windows Server 2003 existante dans laquelle les niveaux fonctionnels intermédiaire de forêt ont été configurés à l'aide du fichier Ldp.exe ou du fichier Adsiedit.msc permet aux groupes de sécurité d'utiliser la réplication de valeurs liées après la mise à niveau de la version du système d'exploitation.
  3. Après la mise à niveau à l'aide des outils LDAP.

    Utilisez les deux dernières options lorsque vous participez à une forêt Windows Server 2003 existante lors d'une mise à niveau. Il s'agit d'un scénario courant lorsqu'un domaine « racine vide » est en position. Le domaine mis à niveau est ajouté en tant qu'enfant de la racine vide et hérite du paramètre de domaine de la forêt.

Pratiques recommandées

La section suivante décrit les pratiques recommandées permettant d'augmenter les niveaux fonctionnels. La section est divisée en deux parties. « Tâches de préparation » traite du travail à réaliser avant l'augmentation et « Augmentation des chemins optimaux » traite des motivations et des méthodes pour les différents scénarios d'augmentation de niveau.

Pour découvrir des contrôleurs de domaine Windows NT 4.0, procédez comme suit :
  1. À partir de n'importe quel contrôleur de domaine Windows Server 2003, ouvrez Utilisateurs et ordinateurs Active Directory.
  2. Si le contrôleurs de domaine n'est pas déjà connecté au domaine approprié, procédez comme suit pour le connecter au domaine approprié :
    1. Cliquez avec le bouton droit sur l'objet de domaine en cours, puis cliquez sur Se connecter au domaine.
    2. Dans la boîte de dialogue Domaine, entrez le nom DNS du domaine auquel vous souhaitez vous connecter puis cliquer sur OK. Ou, cliquez sur Parcourir pour sélectionner le domaine dans l'arborescence de domaine, puis cliquez sur OK.
  3. Cliquez avec le bouton droit sur l'objet de domaine, puis cliquez sur Rechercher.
  4. Dans la boîte de dialogue Rechercher, cliquez sur Recherche personnalisée.
  5. Cliquez sur le domaine dont vous souhaitez modifier le niveau fonctionnel.
  6. Cliquez sur l'onglet Avancé.
  7. Dans la zone de requête Entrer la requête LDAP , tapez ce qui suit et ne laissez aucun espace entre tous les caractères :
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Remarque Cette requête est sensible à la casse.
  8. Cliquez sur Rechercher maintenant.

    Une liste des ordinateurs du domaine qui exécutent Windows NT 4.0 et fonctionnant comme des contrôleurs de domaine s'affiche.
Un contrôleur de domaine peut s'afficher dans la liste pour une des raisons suivantes :
  • Le contrôleur de domaine exécute Windows NT 4.0 et doit être mis à niveau.
  • Le contrôleur de domaine est mise à niveau vers Windows Server 2003 mais la mise à niveau n'est pas répliquée sur le contrôleur de domaine cible.
  • Le contrôleur de domaine n'est plus en service mais l'objet ordinateur du contrôleur de domaine n'a pas été supprimé du domaine.
Avant de modifier le niveau fonctionnel du domaine vers Windows Server 2003, vous devez trouver l'emplacement physique de tous les contrôleurs de domaine de la liste, déterminer l'état actuel du contrôleur de domaine, puis mettre à niveau ou supprimer le contrôleur de domaine, selon la situation.

Remarque Contrairement aux contrôleurs de domaine Windows Server 2000, les contrôleurs de domaine Windows NT 4.0 ne bloquent pas les augmentations de niveau. Lorsque vous modifiez le niveau fonctionnel du domaine, la réplication sur les contrôleurs de domaine Windows NT 4.0 s'arrête. Toutefois, lorsque vous essayez de passer au niveau de forêt Windows Server 2003 avec des domaines dans Windows Server 2000, le niveau mixte est bloqué. Le manque de contrôleurs de domaine secondaires Windows NT 4.0 est implicite si la configuration requise en matière de niveau de forêt de tous les domaines est respectée dans Windows Server 2000 natif ou version ultérieure.

Exemple : Tâches de préparation avant l'augmentation de niveau

Dans cet exemple, l'environnement passe de Windows Server 2000 mode mixte à Windows Server 2003 mode forêt.

Inventoriez la forêt pour les versions antérieures des contrôleurs de domaine.
Si une liste précises des serveurs n'est pas disponible, procédez comme suit :
  1. To discover mixed level domains, Windows Server 2000 domain controllers, or domain controllers with damaged or missing objects, use Active Directory domains and the Trusts MMC snap-in.
  2. Dans le composant logiciel enfichable, cliquez sur Augmenter la fonctionnalité de la forêt, puis cliquez sur Enregistrer sous pour générer un rapport détaillé.
  3. Si aucun problème n'est découvert, la possibilité de passer au niveau forêt de Windows Server 2003 est disponible dans la liste déroulant « Niveaux fonctionnels de forêt disponibles ». Lorsque vous essayez d'augmenter le niveau de la forêt, les contrôleurs de domaine dont msds-behavior-version n'est pas défini au niveau cible désiré sont recherché dans les objets contrôleur de domaine des conteneurs de configuration. On suppose qu'il s'agit soit de contrôleurs de domaine Windows Server 2000, soit d'objets contrôleur de domaine d'une version plus récente de Windows Server qui ont été endommagés.
  4. Si des contrôleurs de domaine de versions plus récentes ou des contrôleurs de domaine comportant des objets ordinateurs endommagés ou manquants sont découverts, ils sont inclus dans le rapport. L'état de ces contrôleurs de domaine doit être analysé et la représentation du contrôleur de domaine dans Active Directory doit être réparée ou supprimée à l'aide du fichier Ntdsutil.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
216498  (http://support.microsoft.com/kb/216498/ ) Comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine
Vérifier que la réplication de bout en bout fonctionne dans la forêt
Pour vérifier que la réplication de bout en bout fonctionne dans la forêt, utilisez Windows Server 2003 ou une version de Repadmin plus récente que Windows Server 2000 ou que les contrôleurs de domaine Windows Server 2003 :
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] pour l'inventaire initial.
  • Repadmin/Showrepl * /CSV > showrepl.csv.Importez dans Excel, puis utilisez le filtre automatique de> données pour identifier les fonctionnalités de réplication.

    Les outils de réplication tels que Repadmin permettent de vérifier que la réplication à l'échelle de la forêt fonctionne correctement.
Vérifiez la compatibilité de tous les programmes ou services avec les derniers contrôleurs de domaine Windows Server et avec le mode domaine et forêt le plus élevé de Windows Server. Utilisez un environnement de laboratoire pour tester rigoureusement les programmes de production et les services pour les problèmes de compatibilité. Contactez le revendeur pour obtenir une confirmation de la capacité.

Préparez un plan de sortie incluant une des actions suivantes :
  • Déconnectez au moins deux contrôleurs de domaine de chaque domaine de la forêt.
  • Effectuez une sauvegarde de l'état système d'au moins deux contrôleurs de domaine de chaque domaine de la forêt.
Avant de pouvoir utiliser le plan de sortie, tous les contrôleurs de domaine doivent être désaffectés avant le processus de récupération.

Remarque Les augmentations de niveau ne peuvent pas faire l'objet d'une restauration faisant autorité. Cela signifie que tous les contrôleurs de domaine qui ont répliqué l'augmentation du niveau doivent être désaffectés.

Après que tous les contrôleurs de domaine susmentionnés ont été désaffectés, affichez les contrôleurs de domaine déconnectés ou restaurez les contrôleurs de domaine à partir de la sauvegarde. Supprimez les métadonnées de tous les contrôleurs de domaine, puis promouvez-les à nouveau. C'est une procédure compliquée qui doit être évitée.

Exemple : Comment passer du niveau mixte de Windows Server 2000 au niveau forêt de Windows Server 2003

Augmenter tous les domaines au niveau natif de Windows Server 2000. Une fois que c'est fait, augmentez le niveau fonctionnel pour le domaine racine de la forêt au niveau forêt de Windows Server 2003. Lorsque le niveau de la forêt réplique sur les contrôleurs de domaine principaux de la forêt, le niveau du domaine passe automatiquement au niveau du domaine Windows Server 2003. Cette commande a les avantages suivantes :
  • L'augmentation du niveau à l'échelle de la forêt est réalisée une seule fois. Vous ne devez pas augmenter manuellement chaque domaine de la forêt au niveau fonctionnel du domaine de Windows Server 2003.
  • Une recherche des contrôleurs de domaine Windows Server 2000 est réalisée avant l'augmentation du niveau (voir étapes de préparation). L'augmentation est bloquée jusqu'à ce que les contrôleurs de domaine qui posent problème soient supprimés ou mis à niveau. Un rapport détaillé peut être généré en répertoriant les contrôleurs de domaine bloqués et en fournissant les données actionnable.
  • Une recherche des domaines dans Windows Server 2000 mixte ou Windows Server 2003 niveau intermédiaire est effectuée. L'augmentation est bloquée jusqu'à ce que les niveaux de domaine soient augmentés au moins à Windows Server 2000 natif. Les domaines de niveau intermédiaire doivent être augmentés au niveau du domaine Windows Server 2003. Un rapport détaillé peut être généré en répertoriant les contrôleurs de domaine bloqués.

Mises à niveau Windows NT 4.0

Les mises à niveau Windows NT 4.0 utilisent toujours le niveau intermédiaire au cours de la mise à niveau du contrôleur de domaine principal à moins que les contrôleurs de domaine Windows Server 2000 n'aient été introduits dans la forêt vers laquelle le contrôleur de domaine principal a été mis à niveau. Lorsque le mode intermédiaire est utilisé au cours de la mise à niveau du contrôleur de domaine principal, les grands groupes existants utilisent la réplication LVR immédiatement, en évitant les problèmes de réplication potentiels mentionnés plus haut dans cet article. Utilisez une des méthodes suivantes pour obtenir le niveau intermédiaire au cours de la mise à jour :
  • Sélectionnez le niveau intermédiaire au cours de Dcpromo. Cette option est proposée uniquement lorsque le contrôleur de domaine principal est mis à niveau dans une nouvelle forêt.
  • Définir le niveau de la forêt d'une forêt existante sur intermédiaire, puis rejoignez la forêt au cours de la mise à niveau du contrôleur de domaine principal. Le domaine mis à niveau hérite du paramètre de la forêt.
  • Après que tous les contrôleurs secondaires de domaine Windows NT 4.0 sont mis à niveau ou supprimés, chaque domaine doit être transféré vers le niveau de la forêt et peut être transféré vers le mode forêt Windows Server 2003.
Il faut éviter d'utiliser le mode intermédiaire s'il existe des plans pour mettre en œuvre les contrôleurs de domaine après la mise à niveau, ou n'importe quand à l'avenir.

Considérations spéciales pour les grands groupes dans Windows NT 4.0

Dans les domaines Windows NT 4.0 matures, il est possible que des groupes de sécurité qui contiennent bien plus de 5 000 membres existent. Dans Windows NT 4.0, lorsqu'un membre d'un groupe de sécurité est modifié, seule la modification unique de l'appartenance est répliquée sur les contrôleurs de domaine sauvegardés. Dans Windows Server 2000, les appartenances aux groupes sont des attributs associés stockés dans un attribut unique à plusieurs valeurs de l'objet groupe. Lorsqu'une modification unique est effectuée sur l'appartenance à un groupe, l'ensemble du groupe est répliqué comme une unité unique. Dans la mesure ou l'appartenance à un groupe est répliquée comme une unité unique, il est possible que les mises à jour de l'appartenance à un groupe soient « perdues » lorsque les différents membres sont ajoutés ou supprimés en même temps sur différents contrôleurs de domaine. En outre, la taille de cet objet unique peut être supérieure à celle de la mémoire tampon utilisée pour valider une entrée dans la base de données. Pour plus d'informations, consultez la section « Problèmes dans la banque des versions avec les grands groupes » de cet article. Pour ces raisons, la limite recommandée pour les membres des groupes est de 5 000.

L'exception à la règle des 5 000 membres est le groupe principal (par défaut, il s'agit du groupe « Utilisateurs du domaine »). Le groupe principal utilise un mécanisme « calculé » basé sur le « primarygroupID » de l'utilisateur pour déterminer l'appartenance. Le groupe principal ne stocke pas les membres comme des attributs associés à plusieurs valeurs. Si le groupe principal de l'utilisateur est changé en un groupe personnalisé, son appartenance au groupe Utilisateurs du domaine est écrite sur l'attribut associé pour le groupe et n'est plus calculée. Le nouveau groupe principal Rid est écrit sur le « primarygroupID » et l'utilisateur est supprimé de l'attribut membre du groupe.

Si l'administrateur ne sélectionne pas le niveau intermédiaire pour le domaine mis à niveau, vous devez procédez comme suit avant la mise à niveau :
  1. Inventoriez tous les grands groupes et identifiez les groupes de plus de 5 000 membres, à l'exception du groupe Utilisateurs du domaine.
  2. Tous les groupes de plus de 5 000 de membres doivent être éclatés en groupes plus petits de moins de 5 000 membres.
  3. Trouvez toutes les listes de contrôle d'accès dans lesquelles des grands groupes ont été entrés et ajoutez les petits groupes que vous avez créés à l'étapes 2.
Le niveau de la forêt Windows Server 2003 intermédiaire ne force pas les administrateurs à trouver et réaffecter les groupes de sécurité globaux de plus de 5 000 membres.

Problèmes dans la banque des versions avec les grands groupes

Au cours d'opérations longues telles que des recherches approfondies ou des validations sur des attributs uniques de grande taille, Active Directory doit s'assurer que l'état de la base de données est statique jusqu'à la fin de l'opération. Un grand groupe qui utilise le stockage classique est un exemple de recherche approfondie ou de validation sur des attributs de grande taille.

Dans la mesure où des mises à jour surviennent en permanence au niveau local et de la part des partenaires de réplication, Active Directory propose un état statique en plaçant toutes les modifications entrantes dans une file d'attente jusqu'à ce que l'opération longue soit terminée. Dès que l'opération est terminée, les modifications dans la file d'attente sont appliquées à la base de données.

L'emplacement de stockage de ces modifications en file d'attente correspond à la « banque des versions » et est approximativement de 100 mégaoctets. La taille de la banque des versions varie et dépend de la mémoire physique. Si une opération longue n'est pas terminée avant que la banque des versions ne soit épuisée, le contrôleur de domaine arrête d'accepter les mises à jour jusqu'à ce que l'opération longue et les modifications dans la file d'attente soient validées. Les groupes comptant de nombreux membres (plus de 5 000) risquent d'épuiser la banque des versions du contrôleur de domaine tant que le groupe de grande taille est validé.

Windows Server 2003 propose un nouveau mécanisme de réplication pour les attributs associés à valeurs multiples appelé réplication de valeurs liées (LVR). Au lieu de répliquer l'ensemble du groupe lors d'une seule opération de réplication, la LVR résout ce problème en répliquant chaque membre du groupe dans une opération de réplication séparée. La LVR devient disponible lorsque le niveau fonctionnel de la forêt est augmenté au niveau de la forêt Windows Server 2003 intermédiaire ou au niveau de la forêt Windows Server 2003. Dans ce niveau fonctionnel, la LVR est utilisée pour répliquer des groupes entre les contrôleurs de domaine Windows Server 2003.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbactivedirectory kbhowtomaster KB322692
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store