Approbation domaine

Fermé
Nicolas3538 - 24 oct. 2021 à 19:28
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 3 nov. 2021 à 10:45
Bonsoir,

J'ai des relations entre trois domaines.

Je ne sais pas pourquoi, mais ces relations sautent régulièrement et il est impossible d'accéder aux fichiers des domaines.

Avez vous déjà rencontré ce souci?
Serveurs 2012r2 et 2008.
Je précise que je travaille sous vm sous workstation pour comprendre au mieux les comportements des serveurs, et anticiper les soucis. Et là j'en ai constaté un fatigant^^

Merci !
A voir également:

4 réponses

choubaka Messages postés 39407 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 9 décembre 2024 2 104
27 oct. 2021 à 14:38
Bonjour

Tes 3 domaines sont bien au même niveau fonctionnel (Functionnal Level) ?
0
Nicolas3538
27 oct. 2021 à 15:25
Bonjour et merci pour votre retour. Non, j'ai deux serveurs 2008 et un 2012r2
0
choubaka Messages postés 39407 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 9 décembre 2024 2 104
28 oct. 2021 à 19:51
et bien , les niveaux fonctionnels doivent être cohérents..
donc, choisir le niveau intéprétable par la version la plus ancienne.
0
Nicolas3538
28 oct. 2021 à 20:00
Bonsoir. Pourquoi cela? Entre deux niveaux fonctionnels cela pose quels genres de problèmes ?il n'y a pas de manip pour rendre l'approbation durable ?
0
choubaka Messages postés 39407 Date d'inscription jeudi 4 avril 2002 Statut Modérateur Dernière intervention 9 décembre 2024 2 104
Modifié le 28 oct. 2021 à 20:18
les niveaux fonctionnels détermine la structure du schéma AD, donc s'ils ne sont pas cohérents forcément les anciennes versions ne peuvent pas s'accorder avec les versions plus récentes. C'est la base.
il y a une hérarchie

0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié le 3 nov. 2021 à 10:49
Hello,

J'interviens rapidement pour remettre à plat ce qu'il est possible de faire avec les trusts.

les niveaux fonctionnels détermine la structure du schéma AD, donc s'ils ne sont pas cohérents forcément les anciennes versions ne peuvent pas s'accorder avec les versions plus récentes. C'est la base.
il y a une hérarchie


Attention, c'est tout à fait possible d'avoir des trusts entre domaines/forets AD avec des versions de schémas différentes mais aussi des DFL/FFL différents.
(DFL : Domain Functionnal Level // FFL : Forest Functionnal Level)

Les DFL/FFL ne déterminent pas la structure du schéma. Le schéma intervient en premier, mais ce n'est pas une fonctionnalité.
C'est seulement après une extension de schéma, puis une migration de l'OS des domain controllers, qu'il est possible de monter les niveaux fonctionnels.
Les niveaux fonctionnels sont par définition "juste" des fonctionnalités supplémentaires et des comportements nouveaux. L'exemple le plus classique est la corbeille AD en 2008R2, ou le kerberos Armoring en 2012.

Par exemple, je peux avoir un schéma en version 2016, mais, mes niveaux fonctionnels sont en 2012R2, avec mes DCs en Windows 2012R2.
Et cette foret peut avoir des trusts avec des forets 2008R2 , ça ne pose pas de souci. (meme avec des 2003 et NT4 d'ailleurs).

Quand on fait des migrations inter forest - donc avec copie/migration d'objet, on part sur un montage de trusts avec des forets ayant souvent des versions de windows/schéma/DFL/FFL différents.

-

Ce qui va jouer sur le fait d'avoir des trusts, sont surtout les versions d'OS des DCs et les types d'encryption disponibles (RC4-HMAC/AES128/AES256+) sur ces OS.
Pour la partie authentification, la version de NTLM est souvent facteur de problème aussi.
Pour Kerberos, ce sont les flux et les types d'encryption.

-

Pour creuser le sujet, il faut plus d'infos :

1. Caractéristiques des trusts et des environnements AD.
Lister les forets AD + version OS des DCs.
Type de trust : externe / forest
Authentification : sélective ou wide
Sens des trusts


2. Flux
S'assurer que les flux AD sont bien ouverts entre les DCs des environnements trustés, dans les 2 sens.
S'assurer que les machines windows ont les flux AD vers tous les DCs des forets trustées.

3. Décrire un peu mieux le comportement de "mais ces relations sautent régulièrement et il est impossible d'accéder aux fichiers des domaines"
Quel type d'erreur ?
Est ce que c'est cyclique ? au bout de 30jours ?
Accéder à des fichiers ? Il y a d'autres type d'accès à tester, comme lancer une console AD et tenter de browser les annuaires.
Est ce qu'une action est faite pour réparer les accès ?




0