Active_directory_повысить_уровень_леса

Обновление схемы Active Directory

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространненным ошибкам и заблуждениям.

Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно рабоать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.
Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешаный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

Однако при попытке добавить новый контроллер домена мы получим ошибку:

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке \support\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запушена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита устанвлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \support\tools

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \support\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

Администраторы схемы
Администраторы предприятия
Администраторы домена, в котором находится хозяин схемы
Чтобы обновить схему леса выполните команду:

C:\adprep\adprep /forestprep
Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

C:\adprep\adprep /domainprep
И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейщем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

С:\adprep\adprep /domainprep /gpprep
В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомедуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

C:\adprep\adprep /rodcprep
На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Источник

Обновление доменных служб Active Directory (AD DS) с 2008 2008 R2 до Windows Server 2016

Важно проверить совместимость версией схемы,домена с Microsoft Exchange
Окружение домен nh.local
Хост AD2.nh.local Windows Server 2008 sp2 std x86 RU
Хост DC01.nh.local Windows Server 2008 R2 std x64 RU
—
Хост AD01.nh.local Windows Server 2016 std x64 RU , with gui
Хост AD02.nh.local Windows Server 2016 std x64 RU CORE , no gui

План действий:

1)Повышение функциональных уровней домена и леса Active Directory. (Raising the domain functional level and forest)
2)Миграция репликации SYSVOL с File Replication Service (FRS) на Distributed File System (DFS) Replication migration.
3)Добавление контроллеров домена Active Directory Adding Domain Controllers.
4)Перемещение хозяев FSMO-ролей Moving Hosts.
5)Вывод из эксплуатации контроллеров домена Active Directory Decommissioning domain controllers.

Функциональные уровни домена/леса Domain / Forest Functional Levels

1)Используя adsi.msc edit проверим тип репликации между домен котроллерами File Replication Service (FRS) и Distributed File System (DFS)
adsi edit подключаемся к контексту именования по умолчанию,
Domain controlles

2)Если тип подписки CN=NTFRS Subcritions необходимо мигрировать тип подписки с FRS на DFS

3)Проверка репликацией между домен контроллерами ; проверяем fails 0
хост ad2 , dc01

4)Повышение функционального уровня домена Rise domain functional level до 2008

5)Повышение функционального уровня домена леса Raising the forest functional level of the domain 2008

6)Миграция FRS на DFS

6.1)проверка статус миграции

dfrsmig.exe /GetGlobalState

начало миграции FRS на DFS

dfrsmig.exe /SetGlobalState 1

Проверка перехода в состояние Start начало

dfrsmig.exe /GetMigrationState

Для ускорения запустим репликацию нахосте ad2 , dc01

Ещё раз проверяем состояние миграции должно быть Prepared

проверяем через adsi.msc что появилась запись DFRS

Создаем репликацию , статус ‘Redirected‘ перенаправлено

dfrsmig.exe /SetGlobalState 2

dfrsmig.exe /GetMigrationState

Для ускорения запустим репликацию на хосте ad2 , dc01

Миграция в исключенном состоянии является необратимой, и откат из этого состояния невозможен, поэтому используйте значение 3 SYSVOL. Migration to the Eliminated state is irreversible and rollback from that state is not possible, so use a value of 3 for state only when you are fully committed to using DFS Replication for SYSVOL replication.

dfrsmig.exe /SetGlobalState 3

7)Добавляем роли AD DS доменны служб на Windows Server 2016 add role

Минимальные требования:
7.1)Статический ip адрес
7.2)Имя сервера — хоста
7.3)Проверка разрежения имени в домене DNS ДНС
7.4)Сетевой доступ к контроллерам домена

Используя Диспетчер сервера Server Manager

Add roles and features Роли и компоненты :Доменные службы Active Directory Active Directory Domain Services

8)Повышение сервера до домен контроллера Promote this server to a domain controller

8.1)Добавить контроллер домена в существующий лес, Домен:nh.local
8.2)Параметры контроллера домена , Укажите возможности контроллера домена и сведения о сайте
DNS-сервер , Глобальный каталог (GC). пароль для режима восстановления служб каталогов (DSRM)
8.3)Параметры DNS
8.4)Дополнительные параметры источник репликации (Любой контроллер домена иил конкретный домен контроллер)
8.5)Укажите расположение баз данных AD DS, файлов журналов и папки SYSVOL

9)Обновим топологию репликации ps на сервере 2016

9.1)Выполним репликацию на сервере 2016

9.2)Повторяем на серверах 2008 2008r2

10)На ad02 Windows server 2016 core no gui ставим Windows Admin Center (ранее Project Honolulu): веб-интерфейс управления серверами Windows Server

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/understand/windows-admin-center
msiexec /i WindowsAdminCenter1809.msi /qn /L*v log.txt SME_PORT=6516 SSL_CERTIFICATE_OPTION=generate

11)Установка ролей и компонентов через WindowsAdminCenter

12)Установка ролей и компонентов через PowerShell

проверка состояние компонентов

Get-WindowsFeature -Name ad-domain-services,dns

добавляем компоненты и консоли управления

Add-WindowsFeature -Name ad-domain-services,dns -IncludeManagementTools

13)Добавление домен контроллера AD DS через PowerShell

Import-Module ServerManager
13.1)Ввод учетных данных для добавление сервера в домен , через переменную

13.2)Пароль для режима восстановления DSRM . добавим через переменную и конвертацию текстового пароля

$p = ConvertTo-SecureString 'Qwerty123' -AsPlainText - Force

13.3)Устанавливаем контроллер домена

Install-ADDSDomainController -DomainName 'nh.local' -SafeModeAdministratorPAssword $p -Credential $c -Confirm:$false

14)После перезагрузки ad02 Windows server 2016 core no gui делаем проверку репликации

ps repadmin /kcc repadmin /syncall

14.1)Replsum, позволяет получить информацию о статусе репликации всех контроллеров доменов

15)Вывод контроллеров домена AD 2008 2008 R ; dcpromo

15.1)Проверяем владельца хозяина ролей командой

netdom query fsmo  15.2)Перемещение FSMO ролей  regsvr32 schmmgmt.dll Move-ADDirectoryServerOperationMasterRole -Identity "AD02" -OperationMasterRole SchemaMaster,DomainNamingMaster Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole RIDMaster, PDCEmulator, InfrastructureMaster Захват ролей FSMO ntdsutil -- roles connections connect to server DC2 q -- seize naming master seize infrastructure master seize rid master seize schema master seize pdc q  на каждом домен контроллере ускоряем репликацию

Проверка расположение ролей
netdom query fsmo

16)Замена DNS в Свойствах tcp/ipv4 ,на серверах AD01 , AD02

между собой самих на себя

17)Для понижения роли серверов 2008 2008R AD2 DC01 запустим dcpromo.exe (2012 ps Uninstall-ADDSDomainController) до рядового сервера
не удаляем домен, вводим новый пароль для учетной записи администратора, далее , готово , перезагрузка

https://lebedevum.blogspot.com/2017/01/active-directory-ad-ds-windows-server.html
17.1)На dc серверах windows server 2016 выполняем

repadmin /kcc repadmin /syncall repadmin /replsum

18)Повышение режима работы домена

оснастка mmc Active Diretory — домены и доверие
на AD02 DC02
repadmin /replsum

18.1)Повышение режима работы леса
на AD02 DC02
repadmin /replsum

19)Создаем новую учетную запись пользователя
поправим через adsi edit длинну поля Отчество с 6 до 15 символо

20)Проверим dns адреса на клиентский рабочих станциях пк
установить ip AD02 DC02

Обновление доменных служб Active Directory (AD DS) с 2008 2008 R2 до Windows Server 2016 : 1 комментарий

Источник