vendredi 23 décembre 2016

Le niveau fonctionnel FFL/DFL

Le Niveau fonctionnel FFL:


Le niveau fonctionnel de la forêt sert à :
  •  Définir le niveau fonctionnel minimal de tous les domaines appartenant à cette forêt
  • Définir la version minimale du système d’exploitation de tous les contrôleurs de domaine de la forêt.
  • Autoriser l’activation des fonctionnalités comme la Corbeille active directory pour Windows 2008 R2 ou plus et la Gestion des accès privilégiés pour Windows 2016.

     Modifier le niveau fonctionnel de la forêt :

Avant chaque modification, il est recommandé de vérifier que toutes les applications sont bien supportées par la valeur cible du FFL.

Il faut également vérifier que le niveau fonctionnel du domaine DFL de tous les domaines est supérieur ou égale à la valeur FFL cible.

Augmenter le niveau fonctionnel de la forêt :

L’augmentation du niveau fonctionnel de la forêt est possible via PowerShell et l’interface graphique.
Dans notre exemple, le nom de la forêt est LAB.lan :


Pour augmenter le FFL via PowerShell, il faut lancer l’une des  commandes suivantes en fonction de la valeur cible du FFL:

Set-ADForestMode –ForestMode Windows2008Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2008R2Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2012Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2012R2Forest –identity "LAB.lan"
Set-ADForestMode –ForestMode Windows2016Forest –identity "LAB.lan" 


Pour augmenter FFL via l’interface graphique :
Ouvrir la console Domain et approbation active directory ,puis avec le bouton droit de la souris cliquer sur Domaines et approbation active directory ,ensuite, cliquer sur Augmenter le niveau fonctionnel de la forêt:


Sélectionner le FFL cible et cliquer sur Augmenter : 


Baisser le niveau fonctionnel de la forêt :


Pour baisser le niveau fonctionnel, aucune possibilité via l’interface graphique, on ne peut utiliser que les commandes PowerShell.
Si la gestion des accès privilégiés est activée, on ne peut pas baisser le FFL.
Si la corbeille active directory est activée, il n’est pas possible de baisser le niveau fonctionnel FFL vers Windows2008Forest.
Si la gestion des accès privilégiés et la corbeille active directory sont désactivés, on peut baisser le FFL jusqu’à 2008.

Voici un exemple :

Set-ADForestMode –ForestMode Windows2008Forest –identity "LAB.lan"

Le Niveau fonctionnel DFL:


Le niveau fonctionnel du domaine sert à :    

  • Définir la version minimale du système d’exploitation de tous les contrôleurs de domaine du domaine.
  •  Autoriser l’activation des options active directory comme la réplication DFS-R pour le SYSVOL et PSO.

 Modifier le niveau fonctionnel du domaine :

Avant chaque modification, il est recommandé de vérifier que toutes les applications sont bien supportées par la valeur cible du DFL.
Il faut vérifier que la version du système d'exploitation de tous les contrôleurs de domaine est supérieur ou égale à la valeur cible du DFL et que le FFL est inférieure ou égale à la valeur cible du DFL.

Augmenter le niveau fonctionnel du domaine :

L’augmentation du niveau fonctionnel de la forêt est possible via PowerShell et l’interface graphique.
Dans notre exemple, le nom de la forêt est LAB.lan :


Pour augmenter le DFL via PowerShell, il faut lancer l’une des  commandes suivantes en fonction de la valeur cible du DFL:

Set-ADDomainMode –DomainMode Windows2008Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2008R2Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2012Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2012R2Domain –identity "LAB.lan"
Set-ADDomainMode –DomainMode Windows2016Domain –identity "LAB.lan" 


Pour augmenter DFL via l’interface graphique :
Ouvrir la console Domain et approbation active directory ,puis avec le bouton droit de la souris cliquer sur le nom du domaine cliquer sur Augmenter le niveau fonctionnel de la forêt:



Puis sélectionner la valeur du DFL cible et cliquer sur Augmenter :



Baisser le niveau fonctionnel du domaine :

 Pour baisser le niveau fonctionnel d'un domaine, il faut que la valeur cible soit supérieur ou égale à au FFL.
Aucune méthode disponible via l'interface graphique .Pour baisser DFL, on ne peut utiliser que les commandes PowerShel voici un exemple:

Set-ADDomainMode –DomainMode Windows2008Domain –identity "LAB.lan"

jeudi 15 décembre 2016

Déployer le premier contrôleur de domaine sous Windows 2016

Installer le premier contrôleur de domaine sous Windows 2016 dans un nouveau domaine ou une nouvelle forêt:


Si le contrôleur de domaine sous Windows 2016 est le premier contrôleur installé dans une forêt ou dans un domaine ,le niveaux fonctionnel FFL ou DFL  proposé est 2008 ou plus, par conséquent le DFS-R sera automatiquement configuré pour la réplication SYSVOL.

Installer le premier contrôleur de domaine sous Windows 2016 dans un  domaine existant:


Pour ajouter un contrôleur de domaine dans un domaine existant il faut préparer les pré-requis ci-dessous :
  •       Tous les contrôleurs de domaines de la forêt doivent être installés sur Windows 2003 ou plus. 
  •         Le niveau fonctionnel de la forêt doit être 2003 ou plus ,sinon vous aurez le message d'erreur ci-dessous:
      



  • Toutes les applications utilisées dans l’environnement de la production sont bien compatible avec  un contrôleur de domaine sous Windows 2016.
Vue que le niveau fonctionnel minimal supporté par un contrôleur de domaine sous Windows 2016 est 2003 , tous les contrôleurs de domaine installés Windows 2003 ou plus peuvent cohabiter avec un DC 2016 dans une même forêt:

Windows 2000
NON
Windows 2003 et Windows 2003 R2
OUI
Windows 2008  et Windows 2008 R2
OUI
Windows 2012 et Windows 2012 R2
OUI


Un contrôleur de domaine sous Windows 2016 peut également utiliser FRS pour la réplication SYSVOL avec ses partenaires.
Quand vous installez un contrôleur de domaine 2016 dans un domaine de niveau fonctionnel 2003, un message d'alerte s'affiche après la vérification des pré-requis pour vous rappeler que Microsoft recommande d'augmenter le niveau fonctionnel du domaine vers 2008 ou plus ,et migrer aussi le système de réplication SYSVOL FRS vers DFS-R.

Installer le premier contrôleur de domaine dans un domaine existant:


Dans notre LAB, on a choisit de tester l'installation d'un nouveau contrôleur de domaine sous Windows 2016 dans une infrastructure active directory d'une forêt mono-domaine, le FFL et DFL est 2003:




Après la vérification du niveau fonctionnel FFL et DFL,  on configure les paramètres IP du nouveau serveur Windows 2016 en mettant l'adresse du DC2008 dans la liste des serveurs DNS pour qu'il puisse résoudre la zone do domaine lab.lan:


Maintenant , on va commencer l'installation du contrôleur de domaine via l'interface ghraphique:
  • On ouvre la console Server Manager et on clique sur Add roles and features:




  • Une fois que la fenêtre ci-dessous est affichée, cliquer sur Next:




  • Cliquer sur Next:






  • Cliquer sur Next:






  • Cocher la case Active Directory Domain Services :



  • Une fois que la case est cochée, une petite fenêtre s'affiche pour valider l'installation des outils d'administration active directory, cocher Include management tools et cliquer sur Add Features:







  • Cliquer sur Next:





  • Cliquer sur Next:




  • Cliquer sur Next:




  • Cocher la case Restart the destination server automatically if required et cliquer sur Yes:





  • Cliquer sur Install:





  • Une fois que l'installation est terminée, cliquer sur Promote this server to a domain controller:




  • Une nouvelle fenêtre qui s'affiche , taper le nom du domaine et cocher l'option Add a domain controller to an existing domain, puis cliquer sur Next:





  • Cocher les options mentionnées ci-dessous en fonction du type du futur contrôleur de domaine , pour notre cas on va choisir un DC R/W avec Global Catalog. ensuite taper le mot de passe DSRM et cliquer sur Next






  • Cliquer sur Next:





  • Dans cette étape , on peut spécifier un contrôleur de domaine pour la première réplication . Ensuite cliquer sur Next 





  • Spécifier l'emplacement de la base de donnée NTDS, les logs et le répertoire SYSVOL, puis cliquer sur Next:





  • La préparation du chémas , forêt et du domaine est indispensable , puisqu'il s'agit du première contrôleur de domaine installé sous Windows 2016, cliquer sur Next







  • Cliquer sur Next





  • Des alertes s'affichent, vue que le niveau fonctionnel FFL est encore 2003 et le système de réplication SYSVOL utilise encore FRS. Une fois les pré-requis validés , cliquer sur Install:




  • Ci-dessous , un script Powershell capable de faire le même travail via l'interface graphique:






dimanche 4 décembre 2016

Comment Windows arrive à localiser un contrôleur de domaine le plus proche

Dans une architecture AD multi-site, Il est recommandé de bien configurer les sites et le sous-réseau depuis la console  sites and services Active directory pour forcer les  serveurs et les ordinateurs  membres du domaine de contacter le contrôleur de domaine le plus proche afin d’éviter l’impact de la lenteur du réseau sur l’authentification.
Si un sous-réseau est ajouté dans la liste des sous-réseaux d’un site active directory, tous les serveurs et les ordinateurs Windows sont capables de localiser un contrôleur de domaine appartenant à ce site en utilisant le processus DCLocator.
Le DCLocator est capable grâce à des requêtes DNS de trouver un contrôleur de domaine quelconque pour lui demander le site le plus proche se basant sur l’adresse IP du serveur ou ordinateur et la configuration sites et sous réseaux active directory.
Une fois que le serveur ou l’ordinateur reçoit le nom de son site, cette information sera enregistrée dans la clé de registre  suivant :
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName

La figure ci-dessous résume  les échanges entre un ordinateur membre du domaine lab.lan, un serveur DNS et un contrôleur de domaine pour identifier le site AD :


Une fois que le site AD est bien identifié, le serveur ou ordinateur, vont toujours chercher contacter un des contrôleurs de domaine qui appartient à ce site.
La figure ci-dessous présente le reste de la communication entre un ordinateur membre d’un domaine lab.lan un serveur DNS pour trouver un contrôleur de domaine le plus proche:





Les sous-réseaux non déclarés dans la console Sites et servives active directory :


Si  le sous-réseau n'appartient pas à aucun site active directory, l'ordinateur ou le serveur membre du domaine va choisir dans ce cas un contrôleur de domaine de la liste fournie par le serveur DNS suite à sa  première requête SRV  _ldap._tcp.dc._msdcs.lab.lan.

Pour personnaliser cette liste afin de supprimer les contrôleurs de domaine qui rencontrent des problèmes de performance réseau ou/et système, sur le DC en question on ajoute la clé de registre suivant sous HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\:

Nom
DnsAvoidRegisterRecords
Type
REG_MULTI_SZ
Data
LdapIpAddress
Ldap
DcByGuid
kdc
Dc
Rfc1510kdc
Rfc1510Udpkdc
Rfc1510Kpwd
Rfc1510UdpKpwd
Gc
GcIpAddress
GenericGc

Le sous-réseau est bien ajouté à un site active directory mais aucun contrôleur de domaine de ce site disponible pour traiter les demandes des clients :


Dans ce cas il y a deux mécanisme qui peut aider le client pour trouver un active directory disponible en fonction de la configuration des liaisons de site:
  • ·Automatic Site Coverage : permet aux sites sans contrôleur de domaine d'être couvert par le contrôleur de domaine le plus proche ( en fonction du cout des liaison des sites). Veullez consulter ce lien pour avoir plus des détails : Automatic Site Coverage
  •      Si le site n'a aucune liaison de site ,le client va contacter l'un des contrôleure e domaine fournie par le DNS comme expliqué ci-dessous: _ldap._tcp.dc._msdcs.lab.lan