Поднять_уровень_леса_домена

Как определить/повысить функциональный уровень домена/леса Active Directory?

Как определить/повысить функциональный уровень домена/леса Active Directory?

Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны.
Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном уровне домена Windows Server 2008 R2 и выше.

Определить текущий функциональный уровень домена и леса через GUI
Чтобы определить текущий функциональный уровень домена и леса, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts и на вкладке General будет показан текущий уровень домена и леса.

Определить текущий функциональный уровень через PowerShell

Чтобы определить текущий функциональный уровень домена, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADDomain | fl Name, DomainMode

Чтобы определить текущий функциональный уровень леса, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADForest | fl Name, ForestMode

Результат выполнения команд показан на рисунке ниже:

Как повысить функциональный уровень домена через GUI

Перед повышением функционального уровня домена все контроллеры домена должны работать под управлением той же версии Windows Server или новее. Например, перед повышением функционального уровня домена до Windows Server 2012 R2 все контроллеры домена в домене должны работать под управлением Windows Server 2012 R2 или выше. При настройке нового домена AD, рекомендуется устанавливать функциональный уровень домена на максимально возможный уровень, при условии, что вы не планируете, использовать потом более старые версии серверов в качестве контроллеров домена. Повышение функционального уровня домена позволит получить доступ к функциям, которые являются исключительными для конкретного функционального уровня домена. Для повышения функционального уровня домена, необходимо быть членом группы Domain Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Выбрать домен, для которого требуется повысить функциональный уровень и нажать правой кнопкой мыши выбрать Raise Domain Functional level:

В открывшемся окне выбрать желаемый функциональный уровень домена и нажать кнопку Raise

Источник

Обновление доменных служб Active Directory (AD DS) с 2008 2008 R2 до Windows Server 2016

Важно проверить совместимость версией схемы,домена с Microsoft Exchange
Окружение домен nh.local
Хост AD2.nh.local Windows Server 2008 sp2 std x86 RU
Хост DC01.nh.local Windows Server 2008 R2 std x64 RU
—
Хост AD01.nh.local Windows Server 2016 std x64 RU , with gui
Хост AD02.nh.local Windows Server 2016 std x64 RU CORE , no gui

План действий:

1)Повышение функциональных уровней домена и леса Active Directory. (Raising the domain functional level and forest)
2)Миграция репликации SYSVOL с File Replication Service (FRS) на Distributed File System (DFS) Replication migration.
3)Добавление контроллеров домена Active Directory Adding Domain Controllers.
4)Перемещение хозяев FSMO-ролей Moving Hosts.
5)Вывод из эксплуатации контроллеров домена Active Directory Decommissioning domain controllers.

Функциональные уровни домена/леса Domain / Forest Functional Levels

1)Используя adsi.msc edit проверим тип репликации между домен котроллерами File Replication Service (FRS) и Distributed File System (DFS)
adsi edit подключаемся к контексту именования по умолчанию,
Domain controlles

2)Если тип подписки CN=NTFRS Subcritions необходимо мигрировать тип подписки с FRS на DFS

3)Проверка репликацией между домен контроллерами ; проверяем fails 0
хост ad2 , dc01

4)Повышение функционального уровня домена Rise domain functional level до 2008

5)Повышение функционального уровня домена леса Raising the forest functional level of the domain 2008

6)Миграция FRS на DFS

6.1)проверка статус миграции

dfrsmig.exe /GetGlobalState

начало миграции FRS на DFS

dfrsmig.exe /SetGlobalState 1

Проверка перехода в состояние Start начало

dfrsmig.exe /GetMigrationState

Для ускорения запустим репликацию нахосте ad2 , dc01

Ещё раз проверяем состояние миграции должно быть Prepared

проверяем через adsi.msc что появилась запись DFRS

Создаем репликацию , статус ‘Redirected‘ перенаправлено

dfrsmig.exe /SetGlobalState 2

dfrsmig.exe /GetMigrationState

Для ускорения запустим репликацию на хосте ad2 , dc01

Миграция в исключенном состоянии является необратимой, и откат из этого состояния невозможен, поэтому используйте значение 3 SYSVOL. Migration to the Eliminated state is irreversible and rollback from that state is not possible, so use a value of 3 for state only when you are fully committed to using DFS Replication for SYSVOL replication.

dfrsmig.exe /SetGlobalState 3

7)Добавляем роли AD DS доменны служб на Windows Server 2016 add role

Минимальные требования:
7.1)Статический ip адрес
7.2)Имя сервера — хоста
7.3)Проверка разрежения имени в домене DNS ДНС
7.4)Сетевой доступ к контроллерам домена

Используя Диспетчер сервера Server Manager

Add roles and features Роли и компоненты :Доменные службы Active Directory Active Directory Domain Services

8)Повышение сервера до домен контроллера Promote this server to a domain controller

8.1)Добавить контроллер домена в существующий лес, Домен:nh.local
8.2)Параметры контроллера домена , Укажите возможности контроллера домена и сведения о сайте
DNS-сервер , Глобальный каталог (GC). пароль для режима восстановления служб каталогов (DSRM)
8.3)Параметры DNS
8.4)Дополнительные параметры источник репликации (Любой контроллер домена иил конкретный домен контроллер)
8.5)Укажите расположение баз данных AD DS, файлов журналов и папки SYSVOL

9)Обновим топологию репликации ps на сервере 2016

9.1)Выполним репликацию на сервере 2016

9.2)Повторяем на серверах 2008 2008r2

10)На ad02 Windows server 2016 core no gui ставим Windows Admin Center (ранее Project Honolulu): веб-интерфейс управления серверами Windows Server

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/understand/windows-admin-center
msiexec /i WindowsAdminCenter1809.msi /qn /L*v log.txt SME_PORT=6516 SSL_CERTIFICATE_OPTION=generate

11)Установка ролей и компонентов через WindowsAdminCenter

12)Установка ролей и компонентов через PowerShell

проверка состояние компонентов

Get-WindowsFeature -Name ad-domain-services,dns

добавляем компоненты и консоли управления

Add-WindowsFeature -Name ad-domain-services,dns -IncludeManagementTools

13)Добавление домен контроллера AD DS через PowerShell

Import-Module ServerManager
13.1)Ввод учетных данных для добавление сервера в домен , через переменную

13.2)Пароль для режима восстановления DSRM . добавим через переменную и конвертацию текстового пароля

$p = ConvertTo-SecureString 'Qwerty123' -AsPlainText - Force

13.3)Устанавливаем контроллер домена

Install-ADDSDomainController -DomainName 'nh.local' -SafeModeAdministratorPAssword $p -Credential $c -Confirm:$false

14)После перезагрузки ad02 Windows server 2016 core no gui делаем проверку репликации

ps repadmin /kcc repadmin /syncall

14.1)Replsum, позволяет получить информацию о статусе репликации всех контроллеров доменов

15)Вывод контроллеров домена AD 2008 2008 R ; dcpromo

15.1)Проверяем владельца хозяина ролей командой

netdom query fsmo  15.2)Перемещение FSMO ролей  regsvr32 schmmgmt.dll Move-ADDirectoryServerOperationMasterRole -Identity "AD02" -OperationMasterRole SchemaMaster,DomainNamingMaster Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole RIDMaster, PDCEmulator, InfrastructureMaster Захват ролей FSMO ntdsutil -- roles connections connect to server DC2 q -- seize naming master seize infrastructure master seize rid master seize schema master seize pdc q  на каждом домен контроллере ускоряем репликацию

Проверка расположение ролей
netdom query fsmo

16)Замена DNS в Свойствах tcp/ipv4 ,на серверах AD01 , AD02

между собой самих на себя

17)Для понижения роли серверов 2008 2008R AD2 DC01 запустим dcpromo.exe (2012 ps Uninstall-ADDSDomainController) до рядового сервера
не удаляем домен, вводим новый пароль для учетной записи администратора, далее , готово , перезагрузка

https://lebedevum.blogspot.com/2017/01/active-directory-ad-ds-windows-server.html
17.1)На dc серверах windows server 2016 выполняем

repadmin /kcc repadmin /syncall repadmin /replsum

18)Повышение режима работы домена

оснастка mmc Active Diretory — домены и доверие
на AD02 DC02
repadmin /replsum

18.1)Повышение режима работы леса
на AD02 DC02
repadmin /replsum

19)Создаем новую учетную запись пользователя
поправим через adsi edit длинну поля Отчество с 6 до 15 символо

20)Проверим dns адреса на клиентский рабочих станциях пк
установить ip AD02 DC02

Обновление доменных служб Active Directory (AD DS) с 2008 2008 R2 до Windows Server 2016 : 1 комментарий

Источник