Approbation domaine
Fermé
Nicolas3538
-
24 oct. 2021 à 19:28
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 3 nov. 2021 à 10:45
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 3 nov. 2021 à 10:45
A voir également:
- Le sous-domaine utilise déjà un enregistrement dns. vous ne pouvez pas enregistrer de champ cname en raison d'une incompatibilité. supprimez les enregistrements existants pour ce sous-domaine, afin de pouvoir en ajouter un, de type cname.
- Changer dns - Guide
- Audacity enregistrer son pc - Guide
- Enregistrer en pdf - Guide
- Comment enregistrer une video youtube - Guide
- Enregistrer son ecran - Guide
4 réponses
choubaka
Messages postés
39399
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
3 août 2024
2 101
27 oct. 2021 à 14:38
27 oct. 2021 à 14:38
Bonjour
Tes 3 domaines sont bien au même niveau fonctionnel (Functionnal Level) ?
Tes 3 domaines sont bien au même niveau fonctionnel (Functionnal Level) ?
choubaka
Messages postés
39399
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
3 août 2024
2 101
28 oct. 2021 à 19:51
28 oct. 2021 à 19:51
et bien , les niveaux fonctionnels doivent être cohérents..
donc, choisir le niveau intéprétable par la version la plus ancienne.
donc, choisir le niveau intéprétable par la version la plus ancienne.
choubaka
Messages postés
39399
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
3 août 2024
2 101
Modifié le 28 oct. 2021 à 20:18
Modifié le 28 oct. 2021 à 20:18
les niveaux fonctionnels détermine la structure du schéma AD, donc s'ils ne sont pas cohérents forcément les anciennes versions ne peuvent pas s'accorder avec les versions plus récentes. C'est la base.
il y a une hérarchie
il y a une hérarchie
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 3 nov. 2021 à 10:49
Modifié le 3 nov. 2021 à 10:49
Hello,
J'interviens rapidement pour remettre à plat ce qu'il est possible de faire avec les trusts.
les niveaux fonctionnels détermine la structure du schéma AD, donc s'ils ne sont pas cohérents forcément les anciennes versions ne peuvent pas s'accorder avec les versions plus récentes. C'est la base.
il y a une hérarchie
Attention, c'est tout à fait possible d'avoir des trusts entre domaines/forets AD avec des versions de schémas différentes mais aussi des DFL/FFL différents.
(DFL : Domain Functionnal Level // FFL : Forest Functionnal Level)
Les DFL/FFL ne déterminent pas la structure du schéma. Le schéma intervient en premier, mais ce n'est pas une fonctionnalité.
C'est seulement après une extension de schéma, puis une migration de l'OS des domain controllers, qu'il est possible de monter les niveaux fonctionnels.
Les niveaux fonctionnels sont par définition "juste" des fonctionnalités supplémentaires et des comportements nouveaux. L'exemple le plus classique est la corbeille AD en 2008R2, ou le kerberos Armoring en 2012.
Par exemple, je peux avoir un schéma en version 2016, mais, mes niveaux fonctionnels sont en 2012R2, avec mes DCs en Windows 2012R2.
Et cette foret peut avoir des trusts avec des forets 2008R2 , ça ne pose pas de souci. (meme avec des 2003 et NT4 d'ailleurs).
Quand on fait des migrations inter forest - donc avec copie/migration d'objet, on part sur un montage de trusts avec des forets ayant souvent des versions de windows/schéma/DFL/FFL différents.
-
Ce qui va jouer sur le fait d'avoir des trusts, sont surtout les versions d'OS des DCs et les types d'encryption disponibles (RC4-HMAC/AES128/AES256+) sur ces OS.
Pour la partie authentification, la version de NTLM est souvent facteur de problème aussi.
Pour Kerberos, ce sont les flux et les types d'encryption.
-
Pour creuser le sujet, il faut plus d'infos :
1. Caractéristiques des trusts et des environnements AD.
Lister les forets AD + version OS des DCs.
Type de trust : externe / forest
Authentification : sélective ou wide
Sens des trusts
2. Flux
S'assurer que les flux AD sont bien ouverts entre les DCs des environnements trustés, dans les 2 sens.
S'assurer que les machines windows ont les flux AD vers tous les DCs des forets trustées.
3. Décrire un peu mieux le comportement de "mais ces relations sautent régulièrement et il est impossible d'accéder aux fichiers des domaines"
Quel type d'erreur ?
Est ce que c'est cyclique ? au bout de 30jours ?
Accéder à des fichiers ? Il y a d'autres type d'accès à tester, comme lancer une console AD et tenter de browser les annuaires.
Est ce qu'une action est faite pour réparer les accès ?
J'interviens rapidement pour remettre à plat ce qu'il est possible de faire avec les trusts.
les niveaux fonctionnels détermine la structure du schéma AD, donc s'ils ne sont pas cohérents forcément les anciennes versions ne peuvent pas s'accorder avec les versions plus récentes. C'est la base.
il y a une hérarchie
Attention, c'est tout à fait possible d'avoir des trusts entre domaines/forets AD avec des versions de schémas différentes mais aussi des DFL/FFL différents.
(DFL : Domain Functionnal Level // FFL : Forest Functionnal Level)
Les DFL/FFL ne déterminent pas la structure du schéma. Le schéma intervient en premier, mais ce n'est pas une fonctionnalité.
C'est seulement après une extension de schéma, puis une migration de l'OS des domain controllers, qu'il est possible de monter les niveaux fonctionnels.
Les niveaux fonctionnels sont par définition "juste" des fonctionnalités supplémentaires et des comportements nouveaux. L'exemple le plus classique est la corbeille AD en 2008R2, ou le kerberos Armoring en 2012.
Par exemple, je peux avoir un schéma en version 2016, mais, mes niveaux fonctionnels sont en 2012R2, avec mes DCs en Windows 2012R2.
Et cette foret peut avoir des trusts avec des forets 2008R2 , ça ne pose pas de souci. (meme avec des 2003 et NT4 d'ailleurs).
Quand on fait des migrations inter forest - donc avec copie/migration d'objet, on part sur un montage de trusts avec des forets ayant souvent des versions de windows/schéma/DFL/FFL différents.
-
Ce qui va jouer sur le fait d'avoir des trusts, sont surtout les versions d'OS des DCs et les types d'encryption disponibles (RC4-HMAC/AES128/AES256+) sur ces OS.
Pour la partie authentification, la version de NTLM est souvent facteur de problème aussi.
Pour Kerberos, ce sont les flux et les types d'encryption.
-
Pour creuser le sujet, il faut plus d'infos :
1. Caractéristiques des trusts et des environnements AD.
Lister les forets AD + version OS des DCs.
Type de trust : externe / forest
Authentification : sélective ou wide
Sens des trusts
2. Flux
S'assurer que les flux AD sont bien ouverts entre les DCs des environnements trustés, dans les 2 sens.
S'assurer que les machines windows ont les flux AD vers tous les DCs des forets trustées.
3. Décrire un peu mieux le comportement de "mais ces relations sautent régulièrement et il est impossible d'accéder aux fichiers des domaines"
Quel type d'erreur ?
Est ce que c'est cyclique ? au bout de 30jours ?
Accéder à des fichiers ? Il y a d'autres type d'accès à tester, comme lancer une console AD et tenter de browser les annuaires.
Est ce qu'une action est faite pour réparer les accès ?
27 oct. 2021 à 15:25