Administration simplifiée AD DSAD DS Simplified Administration

S'applique à : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit les fonctionnalités et les avantages du déploiement et de l’administration d’un contrôleur de domaine Windows Server 2012, ainsi que les différences entre le déploiement de contrôleur de domaine du système d’exploitation précédent et la nouvelle implémentation de Windows Server 2012.This topic explains the capabilities and benefits of Windows Server 2012 domain controller deployment and administration, and the differences between previous operating system DC deployment and the new Windows Server 2012 implementation.

Windows Server 2012 a introduit la nouvelle génération d’Active Directory Domain Services Administration simplifiée, et était la réapprovisionnement du domaine le plus radical depuis le serveur Windows 2000.Windows Server 2012 introduced the next generation of Active Directory Domain Services Simplified Administration, and was the most radical domain re-envisioning since Windows 2000 Server. L'administration simplifiée AD DS tire ses enseignements de douze années d'Active Directory pour créer une expérience d'administration mieux prise en charge, plus souple et plus intuitive pour les architectes et administrateurs.AD DS Simplified Administration takes lessons learned from twelve years of Active Directory and makes a more supportable, more flexible, more intuitive administrative experience for architects and administrators. Cela revient à créer des versions de technologies existantes ainsi qu'à étendre les fonctions des composants fournis dans Windows Server 2008 R2.This meant creating new versions of existing technologies as well as extending the capabilities of components released in Windows Server 2008 R2.

L'administration simplifiée AD DS réinvente le déploiement de domaine.AD DS Simplified Administration is a reimagining of domain deployment.

  • Le déploiement de rôle AD DS fait maintenant partie de la nouvelle architecture de Gestionnaire de serveur et permet une installation à distance.AD DS role deployment is now part of the new Server Manager architecture and allows remote installation
  • Le moteur de configuration et de déploiement des services AD DS est maintenant Windows PowerShell, même pendant l'utilisation du nouvel Assistant Configuration des services de domaine Active Directory.The AD DS deployment and configuration engine is now Windows PowerShell, even when using the new AD DS Configuration Wizard
  • L'extension de schéma, la préparation de la forêt et la préparation du domaine font automatiquement partie de la promotion du contrôleur de domaine et ne nécessitent plus des tâches séparées sur des serveurs spéciaux tels que le contrôleur de schéma.Schema extension, forest preparation, and domain preparation are automatically part of domain controller promotion and no longer require separate tasks on special servers such as the Schema Master
  • La promotion inclut maintenant la vérification de la configuration requise qui valide la disponibilité de la forêt et du domaine pour le nouveau contrôleur de domaine, ce qui réduit le risque d'échec des promotions.Promotion now includes prerequisite checking that validates forest and domain readiness for the new domain controller, lowering the chance of failed promotions
  • Le module Active Directory pour Windows PowerShell comprend maintenant des applets de commande pour la gestion de la topologie et de la réplication, un contrôle d'accès dynamique et d'autres opérations.Active Directory module for Windows PowerShell now includes cmdlets for replication topology management, Dynamic Access Control, and other operations
  • Le niveau fonctionnel de forêt Windows Server 2012 n'implémente pas de nouvelles fonctionnalités et le niveau fonctionnel de domaine est requis uniquement pour un sous-ensemble de nouvelles fonctionnalités Kerberos, ce qui décharge les administrateurs du besoin fréquent d'un environnement de contrôleur de domaine homogène.The Windows Server 2012 forest functional level does not implement new features and domain functional level is required only for a subset of new Kerberos features, relieving administrators of the frequent need for a homogenous domain controller environment
  • Ajout de la prise en charge complète des contrôleurs de domaine virtualisés pour inclure le déploiement automatisé et la protection des restaurations.Full support added for Virtualized Domain Controllers, to include automated deployment and rollback protection

En outre, de nombreuses améliorations ont été apportées au niveau de l'administration et de la maintenance :In addition, there are many administrative and maintenance improvements:

  • Le Centre d'administration Active Directory inclut une Corbeille Active Directory graphique, la gestion de la stratégie de mot de passe affinée et la Visionneuse de l'historique Windows PowerShell.The Active Directory Administrative Center includes a graphical Active Directory Recycle Bin, Fine-Grained Password Policy management, and Windows PowerShell history viewer
  • Le nouveau Gestionnaire de serveur dispose d'interfaces spécifiques aux services de domaine Active Directory pour l'analyse des performances, l'analyse des meilleures pratiques, les services critiques et les journaux des événements.The new Server Manager has AD DS-specific interfaces into performance monitoring, best practice analysis, critical services, and the event logs
  • Les comptes de service administrés de groupe prennent en charge plusieurs ordinateurs avec les mêmes principaux de sécurité.Group Managed Service Accounts support multiple computers using the same security principals
  • Améliorations apportées à l'émission d'identificateurs relatifs (RID, Relative Identifier) et à l'analyse pour une plus grande facilité de gestion dans les domaines Active Directory développés.Improvements in Relative Identifier (RID) issuance and monitoring for better manageability in mature Active Directory domains

AD DS bénéfices des autres nouvelles fonctionnalités incluses dans Windows Server 2012, telles que :AD DS profits from other new features included in Windows Server 2012, such as:

  • Association de cartes réseau et DCB (Data Center Bridging)NIC teaming and Datacenter Bridging
  • Sécurité DNS et disponibilité de zone intégrée à Active Directory plus rapide après le démarrageDNS Security and faster AD-integrated zone availability after boot
  • Améliorations de la fiabilité et de l'extensibilité Hyper-VHyper-V reliability and scalability improvements
  • Déverrouillage réseau BitLockerBitLocker Network Unlock
  • Autres modules d'administration de composants Windows PowerShellAdditional Windows PowerShell component administration modules

Intégration d'ADPREPADPREP Integration

La préparation du domaine et l'extension de schéma de la forêt Active Directory sont maintenant intégrées au processus de configuration de contrôleur de domaine.Active Directory forest schema extension and domain preparation now integrate into the domain controller configuration process. Si vous promouvez un nouveau contrôleur de domaine dans une forêt existante, le processus détecte l'état de la mise à niveau et les phases de préparation du domaine et d'extension de schéma se produisent automatiquement.If you promote a new domain controller into an existing forest, the process detects upgrade status and the schema extension and domain preparation phases occur automatically. L'utilisateur qui installe le premier contrôleur de domaine Windows Server 2012 doit cependant être un Administrateur de l'entreprise et Administrateur du schéma ou fournir d'autres informations d'identification valides.The user installing the first Windows Server 2012 domain controller must still be an Enterprise Admin and Schema Admin or provide valid alternate credentials.

Adprep.exe demeure sur le DVD pour une préparation distincte du domaine et de la forêt.Adprep.exe remains on the DVD for separate forest and domain preparation. La version de l'outil qui figure dans Windows Server 2012 est à compatibilité descendante avec Windows Server 2008 x64 et Windows Server 2008 R2.The version of the tool included with Windows Server 2012 is backwards compatible to Windows Server 2008 x64 and Windows Server 2008 R2. Adprep.exe prend également en charge les commandes forestprep et domainprep à distance, tout comme les outils de configuration du contrôleur de domaine basé sur ADDSDeployment.Adprep.exe also supports remote forestprep and domainprep, just like the ADDSDeployment-based domain controller configuration tools.

Pour plus d’informations sur Adprep et la préparation de la forêt sur des systèmes d’exploitation précédents, voir Exécution d’Adprep.exe (Windows Server 2008 R2).For information about Adprep and previous operating system forest preparation, see Running Adprep (Windows Server 2008 R2).

Intégration des services de domaine Active Directory au Gestionnaire de serveurServer Manager AD DS Integration

administration simplifiée

Le Gestionnaire de serveur joue le rôle de Hub pour les tâches de gestion de serveur.Server Manager acts as a hub for server management tasks. Son aspect de style tableau de bord actualise régulièrement les vues des groupes de serveurs distants et rôles installés.Its dashboard-style appearance periodically refreshes views of installed roles and remote server groups. Le Gestionnaire de serveur offre une gestion centralisée des serveurs locaux et distants, sans besoin d'accéder à la console.Server Manager provides centralized management of local and remote servers, without the need for console access.

Active Directory Domain Services est l’un de ces rôles de Hub ; en exécutant Gestionnaire de serveur sur un contrôleur de domaine ou sur le Outils d’administration de serveur distant sur un Windows 8, vous constatez des problèmes récents importants sur les contrôleurs de domaine de votre forêt.Active Directory Domain Services is one of those hub roles; by running Server Manager on a domain controller or the Remote Server Administration Tools on a Windows 8, you see important recent issues on domain controllers in your forest.

Ces vues sont notamment les suivantes :These views include:

  • Disponibilité du serveurServer availability
  • Alertes de l'Analyseur de performances pour l'utilisation élevée de la mémoire et du processeurPerformance monitor alerts for high CPU and memory usage
  • État des services Windows spécifiques aux services de domaine Active DirectoryThe status of Windows services specific to AD DS
  • Entrées d'erreur et d'avertissement récentes liées aux services d'annuaire dans le journal des événementsRecent Directory Services-related warning and error entries in the event log
  • Analyse des meilleures pratiques d'un contrôleur de domaine par rapport à un ensemble de règles recommandées par MicrosoftBest Practice analysis of a domain controller against a set of Microsoft-recommended rules

Corbeille du Centre d'administration Active DirectoryActive Directory Administrative Center Recycle Bin

administration simplifiée

Windows Server 2008 R2 a introduit la Corbeille Active Directory, qui récupère les objets Active Directory supprimés sans restauration à partir de la sauvegarde, redémarrage des services de domaine Active Directory ni redémarrage des contrôleurs de domaine.Windows Server 2008 R2 introduced the Active Directory Recycle Bin, which recovers deleted Active Directory objects without restoring from backup, restarting the AD DS service, or rebooting domain controllers.

Windows Server 2012 améliore les fonctions de restauration Windows PowerShell existantes avec une nouvelle interface graphique dans le Centre d'administration Active Directory.Windows Server 2012 enhances the existing Windows PowerShell-based restore capabilities with a new graphical interface in the Active Directory Administrative Center. Cela permet aux administrateurs d'activer la Corbeille et de localiser ou de restaurer les objets supprimés dans les contextes de domaine de la forêt, le tout sans exécuter directement les applets de commande Windows PowerShell.This allows administrators to enable the Recycle Bin and locate or restore deleted objects in the domain contexts of the forest, all without directly running Windows PowerShell cmdlets. Le Centre d'administration Active Directory et la Corbeille Active Directory utilisant toujours Windows PowerShell en coulisse, les procédures et scripts précédents sont encore utiles.The Active Directory Administrative Center and Active Directory Recycle Bin still use Windows PowerShell under the covers, so previous scripts and procedures are still valuable.

Pour plus d’informations sur la Corbeille Active Directory, voir Guide pas à pas de la corbeille Active Directory (Windows Server 2008 R2).For information about the Active Directory Recycle Bin, see Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).

Stratégie de mot de passe affinée du Centre d'administration Active DirectoryActive Directory Administrative Center Fine-Grained Password Policy

administration simplifiée

Windows Server 2008 a introduit la stratégie de mot de passe affinée, qui permet aux administrateurs de configurer plusieurs stratégies de verrouillage de compte et de mot de passe par domaine.Windows Server 2008 introduced the Fine-Grained Password policy, which allows administrators to configure multiple password and account lockout policies per domain. Les domaines disposent ainsi d'une solution flexible pour appliquer des règles de mot de passe plus ou moins restrictives, selon les utilisateurs et les groupes.This allows domains a flexible solution to enforce more or less restrictive password rules, based on users and groups. Elle ne présentait aucune interface de gestionnaire et les administrateurs devaient la configurer à l'aide de Ldp.exe ou d'Adsiedit.msc.It had no managerial interface and required administrators to configure it using Ldp.exe or Adsiedit.msc. Windows Server 2008 R2 a introduit le module Active Directory pour Windows PowerShell, qui accordait aux administrateurs une interface en ligne de commande pour la stratégie de mot de passe affinée.Windows Server 2008 R2 introduced the Active Directory module for Windows PowerShell, which granted administrators a command-line interface to FGPP.

Windows Server 2012 apporte une interface graphique à la stratégie de mot de passe affinée.Windows Server 2012 brings a graphical interface to Fine-Grained Password Policy. Le Centre d'administration Active Directory abrite cette nouvelle boîte de dialogue, qui offre une gestion simplifiée de la stratégie de mot de passe affinée à tous les administrateurs.The Active Directory Administrative Center is the home of this new dialog, which brings simplified FGPP management to all administrators.

Pour plus d’informations sur la stratégie de mot de passe affinée, voir Guide pas à pas relatif à la configuration des stratégies de verrouillage de compte et de mot de passe affinées (Windows Server 2008 R2).For information about the Fine-Grained Password Policy, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Windows Server 2008 R2).

Visionneuse de l'historique Windows PowerShell du Centre d'administration Active DirectoryActive Directory Administrative Center Windows PowerShell History Viewer

administration simplifiée

Windows Server 2008 R2 a introduit le Centre d'administration Active Directory, qui remplaçait l'ancien composant logiciel enfichable Utilisateurs et ordinateurs Active Directory créé dans Windows 2000.Windows Server 2008 R2 introduced the Active Directory Administrative Center, which superseded the older Active Directory Users and Computers snap-in created in Windows 2000. Le Centre d'administration Active Directory crée une interface d'administration graphique pour le module Active Directory pour Windows PowerShell alors tout nouveau.The Active Directory Administrative Center creates a graphical administrative interface to the then-new Active Directory module for Windows PowerShell.

Alors que le module Active Directory contient plus d'une centaine d'applets de commande, le processus d'apprentissage pour un administrateur peut être difficile.While the Active Directory module contains over a hundred cmdlets, the learning curve for an administrator can be steep. Comme Windows PowerShell est fortement intégré à la stratégie de l'administration Windows, le Centre d'administration Active Directory comprend maintenant une Visionneuse qui vous permet de voir l'exécution de l'applet de commande dans l'interface graphique.Since Windows PowerShell integrates heavily into the strategy of Windows administration, the Active Directory Administrative Center now includes a viewer that enables you to see the cmdlet execution in the graphical interface. Vous pouvez effectuer des recherches dans l'historique, le copier et l'effacer ainsi qu'ajouter des remarques avec une simple interface.You can search, copy, clear history, and add notes with a simple interface. Le but pour un administrateur est d'utiliser l'interface graphique pour créer et modifier des objets, puis de les passer en revue dans la Visionneuse de l'historique pour en savoir plus sur les scripts Windows PowerShell et modifier les exemples.The intent is for an administrator to use the graphical interface to create and modify objects, and then review them in the history viewer to learn more about Windows PowerShell scripting and modify the examples.

Réplication Active Directory avec Windows PowerShellAD Replication Windows PowerShell

administration simplifiée

Windows Server 2012 ajoute d'autres applets de commande de réplication Active Directory au module Active Directory pour Windows PowerShell.Windows Server 2012 adds additional Active Directory replication cmdlets to the Active Directory Windows PowerShell module. Elles permettent la configuration de sites, de sous-réseaux, de connexions, de liens de sites et de ponts nouveaux ou existants.These allow configuration of new or existing sites, subnets, connections, site links, and bridges. Elles retournent également des métadonnées de réplication Active Directory, l'état de la réplication, la mise en file d'attente et les informations de vecteur de version de mise à jour.They also return Active Directory replication metadata, replication status, queuing, and up-to-dateness version vector information. L'introduction des applets de commande de réplication, associée au déploiement et à d'autres applets de commande des services AD DS existantes, permet d'administrer une forêt à l'aide de Windows PowerShell uniquement.The introduction of the replication cmdlets - combined with the deployment and other existing AD DS cmdlets - makes it possible to administer a forest using Windows PowerShell alone. De nouvelles opportunités sont ainsi offertes aux administrateurs qui veulent configurer et gérer Windows Server 2012 sans interface graphique ; la surface d'attaque du système d'exploitation et les besoins en maintenance sont ainsi réduits.This creates new opportunities for administrators wishing to provision and manage Windows Server 2012 without a graphical interface, which then reduces the operating system's attack surface and servicing requirements. Cela est particulièrement important pendant le déploiement de serveurs sur des réseaux de haute sécurité, tels que SIPR (Secret Internet Protocol Router) et les réseaux DMZ d'entreprise.This is especially important when deploying servers into high security networks such as Secret Internet Protocol Router (SIPR) and corporate DMZs.

Pour plus d’informations sur la topologie et la réplication de site AD DS, voir Informations techniques de référence sur Windows Server.For more information about AD DS site topology and replication, see the Windows Server Technical Reference.

Améliorations apportées à l'émission et à la gestion RIDRID Management and Issuance Improvements

Active Directory Windows 2000 a introduit le maître RID, qui émet des pools d'identificateurs relatifs vers les contrôleurs de domaine pour créer des identificateurs de sécurité (SID, Security Identifier) de clients approuvés de sécurité, tels que les utilisateurs, groupes et ordinateurs.Windows 2000 Active Directory introduced the RID Master, which issues pools of relative identifiers to domain controllers, in order to create security identifiers (SIDs) of security trustees like users, groups, and computers. Par défaut, cet espace RID global est limité à 230 (ou 1 073 741 823) identificateurs SID au total créés dans un domaine.By default, this global RID space is limited to 230 (or 1,073,741,823) total SIDs created in a domain. Les identificateurs SID ne peuvent pas retourner au pool ni être émis à nouveau.SIDs cannot return to the pool or reissue. Au fil du temps, un domaine de grande taille peut commencer à manquer d'identificateurs RID, ou des accidents peuvent aboutir à une diminution et un épuisement final des identificateurs RID inutiles.Over time, a large domain may begin to run low on RIDs, or accidents may lead to unnecessary RID depletion and eventual exhaustion.

Windows Server 2012 traite un certain nombre des problèmes de gestion et d'émission RID non abordés par les clients ni par le support technique Microsoft, car les services de domaine Active Directory ont évolué depuis la création des premiers domaines Active Directory en 1999.Windows Server 2012 addresses a number of RID issuance and management issues uncovered by customers and Microsoft Customer Support as AD DS matured since the creation of the first Active Directory domains in 1999. Elles incluent notamment :These include:

  • Des avertissements liés à la consommation d'identificateurs RID périodiques sont écrits dans le journal des événements.Periodic RID consumption warnings are written to the event log
  • Des événements sont consignés quand un administrateur invalide un pool RID.Events log when an administrator invalidates a RID pool
  • Une limite maximale sur la taille de bloc RID de stratégie RID est maintenant appliquée.A maximum cap on the RID policy RID Block Size is now enforced
  • Des plafonds RID artificiels sont maintenant appliqués et consignés quand l'espace RID global est faible, ce qui permet à un administrateur d'agir avant que l'espace global ne soit épuisé.Artificial RID ceilings are now enforced and logged when the global RID space is low, allowing an administrator to take action before the global space is exhausted
  • L'espace RID global peut être augmenté d'un bit, ce qui double la taille à 231 (2 147 483 648 identificateurs SID)The global RID space can now be increased by one bit, doubling the size to 231 (2,147,483,648 SIDs)

Pour plus d’informations sur les identificateurs RID et le maître RID, voir Fonctionnement des identificateurs de sécurité.For more information about RIDs and the RID Master, review How Security Identifiers Work.

Architecture de gestion et de déploiement de rôle AD DSAD DS Role Deployment and Management Architecture

Le Gestionnaire de serveur et Windows PowerShell ADDSDeployment reposent sur les principaux assemblys suivants pour les fonctions pendant le déploiement ou la gestion du rôle AD DS :Server Manager and ADDSDeployment Windows PowerShell rely on the following core assemblies for functionality when deploying or managing the AD DS role:

  • Microsoft.ADroles.Aspects.dllMicrosoft.ADroles.Aspects.dll
  • Microsoft.ADroles.Instrumentation.dllMicrosoft.ADroles.Instrumentation.dll
  • Microsoft.ADRoles.ServerManager.Common.dllMicrosoft.ADRoles.ServerManager.Common.dll
  • Microsoft.ADRoles.UI.Common.dllMicrosoft.ADRoles.UI.Common.dll
  • Microsoft.DirectoryServices.Deployment.Types.dllMicrosoft.DirectoryServices.Deployment.Types.dll
  • Microsoft.DirectoryServices.ServerManager.dllMicrosoft.DirectoryServices.ServerManager.dll
  • Addsdeployment.psm1Addsdeployment.psm1
  • Addsdeployment.psd1Addsdeployment.psd1

Les deux s'appuient sur Windows PowerShell et sa commande invoke-command distante pour l'installation et la configuration de rôle à distance.Both rely on Windows PowerShell and its remote invoke-command for remote role installation and configuration.

administration simplifiée

Windows Server 2012 refactorise également certaines opérations de promotion précédentes hors de LSASS.EXE, dans le cadre :Windows Server 2012 also refactors a number of previous promotion operations out of LSASS.EXE, as part of:

  • du service de serveur de rôles du service d'annuaire (DsRoleSvc) ;DS Role Server Service (DsRoleSvc)
  • de DSRoleSvc.dll (chargé par le service DsRoleSvc).DSRoleSvc.dll (loaded by DsRoleSvc service)

Ce service doit être présent et en cours d'exécution pour promouvoir, rétrograder ou cloner des contrôleurs de domaine virtuels.This service must be present and running in order to promote, demote, or clone virtual domain controllers. L'installation de rôle AD DS ajoute ce service et définit le type de démarrage Manuel par défaut.AD DS role installation adds this service and sets a start type of Manual, by default. Ne désactivez pas ce service.Do not disable this service.

Architecture de vérification de la configuration requise et ADPrepADPrep and Prerequisite Checking Architecture

Il n'est plus nécessaire d'exécuter Adprep sur le contrôleur de schéma.Adprep no longer requires running on the schema master. Il peut être exécuté à distance à partir d'un ordinateur qui exécute Windows Server 2008 x64 ou version ultérieure.It can be run remotely from a computer that runs Windows Server 2008 x64 or later.

Notes

Adprep utilise LDAP pour importer des fichiers Schxx.ldf et ne se reconnecte pas automatiquement si la connexion au contrôleur de schéma est perdue pendant l'importation.Adprep uses LDAP to import Schxx.ldf files and does not automatically reconnect if the connection to the schema master is lost during import. Dans le cadre du processus d'importation, le contrôleur de schéma est défini dans un mode spécifique et la reconnexion automatique est désactivée, car elle n'est pas rétablie dans le mode spécifique si LDAP se reconnecte une fois la connexion perdue.As part of the import process, the schema master is set in a specific mode and automatic reconnection is disabled because if LDAP reconnects after the connection is lost, the re-established connection would not be in the specific mode. Dans ce cas, le schéma n'est pas correctement mis à jour.In that case, the schema would not be updated correctly.

La vérification de la configuration requise permet de garantir que certaines conditions sont remplies.Prerequisite checking ensures that certain conditions are true. Ces conditions sont requises pour la réussite de l'installation des services de domaine Active Directory.These conditions are required for successful AD DS installation. Si certaines conditions requises ne sont pas remplies, elles peuvent être résolues avant de poursuivre l'installation.If some required conditions are not true, they can be resolved before continuing the installation. Cette vérification détecte également si une forêt ou un domaine ne sont pas encore préparés pour que le code de déploiement Adprep soit automatiquement exécuté.It also detects that a forest or domain are not yet prepared, so that the Adprep deployment code runs automatically.

Exécutables ADPrep, DLL, LDF, fichiersADPrep Executables, DLLs, LDFs, files

  • ADprep.dllADprep.dll
  • Ldifde.dllLdifde.dll
  • Csvde.dllCsvde.dll
  • Sch14.ldf - Sch56.ldfSch14.ldf - Sch56.ldf
  • Schupgrade.catSchupgrade.cat
  • *dcpromo.csv*dcpromo.csv

Le code de préparation Active Directory auparavant hébergé dans ADprep.exe est refactorisé en adprep.dll.The AD Preparation code formerly housed in ADprep.exe is refactored into adprep.dll. Cela permet à la fois à ADPrep.exe et au module Windows PowerShell ADDSDeployment d'utiliser la bibliothèque pour les mêmes tâches et d'avoir les mêmes fonctions.This allows both ADPrep.exe and the ADDSDeployment Windows PowerShell module to use the library for the same tasks and have the same capabilities. Adprep.exe est inclus avec le support d'installation, mais les processus automatisés ne l'appellent pas directement ; seul un administrateur l'exécute manuellement.Adprep.exe is included with the installation media but automated processes do not call it directly - only an Administrator runs it manually. Il ne peut être exécuté que sur les systèmes d'exploitation Windows Server 2008 x64 et ultérieurs.It can only run on Windows Server 2008 x64 and later operating systems. Ldifde.exe et csvde.exe disposent également de versions refactorisées en tant que DLL chargées par le processus de préparation.Ldifde.exe and csvde.exe also have refactored versions as DLLs that are loaded by the preparation process. L'extension de schéma utilise toujours les fichiers LDF dont la signature est vérifiée, comme dans les versions précédentes du système d'exploitation.Schema extension still uses the signature-verified LDF files, like in previous operating system versions.

administration simplifiée

Important

Il n'existe pas d'outil Adprep32.exe 32 bits pour Windows Server 2012.There is no 32-bit Adprep32.exe tool for Windows Server 2012. Vous devez disposer d'au moins un ordinateur Windows Server 2008 x64, Windows Server 2008 R2 ou Windows Server 2012 qui fonctionne en tant que contrôleur de domaine, serveur membre ou dans un groupe de travail pour préparer la forêt et le domaine.You must have at least one Windows Server 2008 x64, Windows Server 2008 R2, or Windows Server 2012 computer, running as a domain controller, member server, or in a workgroup, to prepare the forest and domain. Adprep.exe ne s'exécute pas sur Windows Server 2003 x64.Adprep.exe does not run on Windows Server 2003 x64.

Vérification de la configuration requisePrerequisite Checking

Le système de vérification de la configuration requise intégré au code managé Windows PowerShell ADDSDeployment fonctionne dans différents modes, selon l'opération.The prerequisite checking system built into ADDSDeployment Windows PowerShell managed code works in different modes, based on the operation. Les tableaux ci-dessous décrivent chaque test et son utilisation, et fournissent une description du mode de validation et des éléments validés.The tables below describe each test, when it is used, and an explanation of how and what it validates. Ces tableaux peuvent être utiles si vous rencontrez des problèmes quand la validation échoue et que l'erreur ne suffit pas à résoudre le problème.These tables may be useful if there are issues where the validation fails and the error is not sufficient to troubleshoot the problem.

Ces tests sont consignés dans le canal du journal des événements opérationnel DirectoryServices-Deployment sous la catégorie de tâche Core, toujours en tant qu'ID d'événement 103.These tests log in the DirectoryServices-Deployment operational event log channel under the Task Category Core, always as Event ID 103.

Configuration requise Windows PowerShellPrerequisite Windows PowerShell

Il existe des applets de commande Windows PowerShell ADDSDeployment pour toutes les applets de commande de déploiement de contrôleur de domaine.There are ADDSDeployment Windows PowerShell cmdlets for all of the domain controller deployment cmdlets. Elles ont approximativement les mêmes arguments que leurs applets de commande associées.They have approximately the same arguments as their associated cmdlets.

  • Test-ADDSDomainControllerInstallationTest-ADDSDomainControllerInstallation
  • Test-ADDSDomainControllerUninstallationTest-ADDSDomainControllerUninstallation
  • Test-ADDSDomainInstallationTest-ADDSDomainInstallation
  • Test-ADDSForestInstallationTest-ADDSForestInstallation
  • Test-ADDSReadOnlyDomainControllerAccountCreationTest-ADDSReadOnlyDomainControllerAccountCreation

D'ordinaire, il n'est pas nécessaire d'exécuter ces applets de commande ; elles s'exécutent déjà automatiquement avec les applets de commande de déploiement par défaut.There is no need to run these cmdlets, ordinarily; they already automatically execute with the deployment cmdlets by default.

Tests requisPrerequisite Tests

Nom du testTest Name ProtocolesProtocols

utilisésused
Description et remarquesExplanation and notes
VerifyAdminTrustedVerifyAdminTrusted

ForDelegationProviderForDelegationProvider
LDAPLDAP Valide que vous disposez du privilège « Permettre à l'ordinateur et aux comptes d'utilisateurs d'être approuvés pour la délégation » (SeEnableDelegationPrivilege) sur le contrôleur de domaine partenaire existant.Validates that you have the "Enable computer and user accounts to be trusted for delegation" (SeEnableDelegationPrivilege) privilege on the existing partner domain controller. L'accès à votre attribut tokenGroups construit est requis.This requires access to your constructed tokenGroups attribute.

Ce test n'est pas utilisé pour les communications avec les contrôleurs de domaine Windows Server 2003.Not used when contacting Windows Server 2003 domain controllers. Vous devez manuellement confirmer ce privilège avant la promotionYou must manually confirm this privilege prior to promotion
VerifyADPrepVerifyADPrep

Conditions préalables (forêt)Prerequisites (forest)
LDAPLDAP Détecte et contacte le contrôleur de schéma à l'aide de l'attribut namingContexts rootDSE et de l'attribut fsmoRoleOwner du contexte de nommage de schéma.Discovers and contacts the Schema Master using the rootDSE namingContexts attribute and Schema naming context fsmoRoleOwner attribute. Identifie les opérations préparatoires (forestprep, domainprep ou rodcprep) requises pour l'installation des services AD DS.Determines which preparatory operations (forestprep, domainprep, or rodcprep) are required for AD DS installation. Valide que l'attribut objectVersion du schéma est prévu et vérifie si une extension supplémentaire est requise.Validates the schema objectVersion is expected and if it requires further extension.
VerifyADPrepVerifyADPrep

Conditions préalables (domaine et contrôleur de domaine en lecture seule)Prerequisites (domain and RODC)
LDAPLDAP Détecte et contacte le maître d'infrastructure à l'aide de l'attribut namingContexts rootDSE et de l'attribut fsmoRoleOwner du conteneur d'infrastructure.Discovers and contacts the Infrastructure Master using the rootDSE namingContexts attribute and the Infrastructure container fsmoRoleOwner attribute. Dans le cas de l'installation d'un contrôleur de domaine en lecture seule, ce test détecte le maître d'opérations des noms de domaine et s'assure qu'il est en ligne.In the case of an RODC installation, this test discovers the domain naming master and make sure it is online.
CheckGroupCheckGroup

MembershipMembership
LDAP,LDAP,

RPC sur SMB (LSARPC)RPC over SMB (LSARPC)
Valide que l'utilisateur est membre du groupe Admins du domaine ou Administrateurs de l'entreprise, en fonction de l'opération (Admins du domaine pour l'ajout ou la rétrogradation d'un contrôleur de domaine, Administrateurs de l'entreprise pour l'ajout ou la suppression d'un domaine)Validate the user is a member of Domain Admins or Enterprise Admins group, depending on the operation (DA for adding or demoting a domain controller, EA for adding or removing a domain)
CheckForestPrepCheckForestPrep

GroupMembershipGroupMembership
LDAP,LDAP,

RPC sur SMB (LSARPC)RPC over SMB (LSARPC)
Valide que l'utilisateur est membre des groupes Administrateurs de l'entreprise et Administrateurs du schéma, et qu'il dispose du privilège Gérer le journal d'audit et de la sécurité (SesScurityPrivilege) sur les contrôleurs de domaine existantsValidate the user is a member of Schema Admins and Enterprise Admins groups and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
CheckDomainPrepCheckDomainPrep

GroupMembershipGroupMembership
LDAP,LDAP,

RPC sur SMB (LSARPC)RPC over SMB (LSARPC)
Valide que l'utilisateur est membre du groupe Admins du domaine et qu'il dispose du privilège Gérer le journal d'audit et de la sécurité (SesScurityPrivilege) sur les contrôleurs de domaine existantsValidate the user is a member of Domain Admins group and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
CheckRODCPrepCheckRODCPrep

GroupMembershipGroupMembership
LDAP,LDAP,

RPC sur SMB (LSARPC)RPC over SMB (LSARPC)
Valide que l'utilisateur est membre du groupe Administrateurs de l'entreprise et qu'il dispose du privilège Gérer le journal d'audit et de la sécurité (SesScurityPrivilege) sur les contrôleurs de domaine existantsValidate the user is a member of Enterprise Admins group and has the Manage Audit and Security Event Logs (SesScurityPrivilege) privilege on the existing domain controllers
VerifyInitSyncVerifyInitSync

AfterRebootAfterReboot
LDAPLDAP Valide que le contrôleur de schéma a été répliqué au moins une fois depuis son redémarrage en définissant une valeur factice sur l'attribut rootDSE becomeSchemaMasterValidate that the Schema Master has replicated at least once since it restarted by setting a dummy value on rootDSE attribute becomeSchemaMaster
VerifySFUHotFixVerifySFUHotFix

AppliedApplied
LDAPLDAP Valide que le schéma de la forêt existant ne contient pas l'extension SFU2 de problème connu pour l'attribut UID avec l'OID 1.2.840.113556.1.4.7000.187.102Validate the existing forest schema does not contain known problem SFU2 extension for the UID attribute with OID 1.2.840.113556.1.4.7000.187.102

(https://support.microsoft.com/kb/821732)(https://support.microsoft.com/kb/821732)
VerifyExchangeVerifyExchange

SchemaFixedSchemaFixed
LDAP, WMI, DCOM, RPCLDAP, WMI, DCOM, RPC Valide que le schéma de la forêt existant ne contient pas encore les extensions Exchange 2000 extensions ms-Exch-Assistant-Name, ms-Exch-LabeledURI et ms-Exch-House-identifier (https://support.microsoft.com/kb/314649)Validate the existing forest schema does not still contain problem Exchange 2000 extensions ms-Exch-Assistant-Name, ms-Exch-LabeledURI, and ms-Exch-House-Identifier (https://support.microsoft.com/kb/314649)
VerifyWin2KSchemaVerifyWin2KSchema

ConsistencyConsistency
LDAPLDAP Valide que le schéma de la forêt existant a des attributs et classes de base cohérents (qui ne sont pas modifiés de façon incorrecte par un tiers).Validate the existing forest schema has consistent (not incorrectly modified by a third party) core attributes and classes.
DCPromoDCPromo DRSR sur RPC,DRSR over RPC,

LDAP,LDAP,

DNSDNS

RPC sur SMB (SAMR)RPC over SMB (SAMR)
Valide la syntaxe de ligne de commande passée au code de promotion et à la promotion de test.Validate the command-line syntax passed to the promotion code and test promotion. Valide que la forêt ou le domaine n'existe pas déjà si vous en créez un.Validate the forest or domain does not already exist if creating new.
VerifyOutboundVerifyOutbound

ReplicationEnabledReplicationEnabled
LDAP, DRSR sur SMB, RPC sur SMB (LSARPC)LDAP, DRSR over SMB, RPC over SMB (LSARPC) Valide que la réplication sortante du contrôleur de domaine existant spécifié comme partenaire de réplication est activée en vérifiant l'attribut des options de l'objet Paramètres NTDS pour NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004)Validate the existing domain controller specified as the replication partner has outbound replication enabled by checking the NTDS Settings object's options attribute for NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004)
VerifyMachineAdminVerifyMachineAdmin

Mot de passePassword
DRSR sur RPC,DRSR over RPC,

LDAP,LDAP,

DNSDNS

RPC sur SMB (SAMR)RPC over SMB (SAMR)
Valide que le mot de passe du mode sans échec défini pour DSRM répond aux exigences de complexité pour les domaines.Validate the safe mode password set for DSRM meets domain complexity requirements.
VerifySafeModePasswordVerifySafeModePassword N/AN/A Valide que le mot de passe d'administrateur local défini répond aux exigences de complexité de la stratégie de sécurité de l'ordinateur.Validate the local Administrator password set meets computer security policy complexity requirements.