Главная » Прочее

Повышение_уровня_леса_домена

Содержание
  1. Повышение режима работы домена
  2. Дополнительная информация
  3. Записки IT специалиста
  4. Дополнительные материалы:

Повышение режима работы домена

При установке доменных служб Active Directory (AD DS) на сервере, который работает под управлением Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. В дополнение к базовым возможностям Active Directory на отдельных контроллерах домена имеются и новые возможности Active Directory уровня домена и леса; они доступны, когда все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2.

Для включения новых возможностей на уровне домена необходимо, чтобы все контроллеры домена в домене работали под управлением Windows Server 2008 R2, а режим работы домена должен быть повышен до Windows Server 2008 R2.

Минимальное требование для выполнения этой процедуры — членство в группе Администраторы домена или Администраторы предприятия или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

  1. Откройте оснастку «Active Directory — домены и доверие». Для открытия оснастки «Active Directory — домены и доверие» нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Active Directory — домены и доверие.
  2. В дереве консоли щелкните правой кнопкой домен, режим работы которого требуется повысить, а затем выберите команду Изменение режима работы домена.
  3. В диалоговом окне Выберите режим работы домена выполните одно из следующих действий:
  4. чтобы повысить режим работы домена до Windows Server 2008, выберите Windows Server 2008, а затем — Изменить;

Не повышайте режим работы домена до более поздней версии (например, Windows Server 2008 или Windows Server 2008 R2), если используются или будут использоваться в дальнейшем контроллеры домена, работающие под управлением более ранних версий Windows Server.

Задав этому параметру определенное значение, выполнить откат или понизить режим работы леса будет невозможно за одним исключением: при повышении режима работы леса до Windows Server 2008 R2 и если режим работы леса — Windows Server 2008 или ниже, можно выполнить откат режима работы домена до Windows Server 2008. Понизить режим работы домена можно только с Windows Server 2008 R2 до Windows Server 2008. Если режим работы домена установлен как Windows Server 2008 R2, выполнить его откат, например до Windows Server 2003, нельзя.

Дополнительная информация

  • режим работы домена также можно повысить, щелкнув правой кнопкой домен в оснастке «Active Directory — пользователи и компьютеры» и выбрав команду Изменение режима работы домена;

Источник

Записки IT специалиста

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

AD-schema-update-001.jpg

Однако при попытке добавить новый контроллер домена мы получим ошибку:

AD-schema-update-002.jpg

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке \support\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы данная утилита должна быть запущена на Хозяине схемы. Чтобы узнать какие из контроллеров имеют необходимую нам роль FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \support\tools

AD-schema-update-003.jpg

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

AD-schema-update-004.jpg

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \support\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

AD-schema-update-005.jpg

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

AD-schema-update-006.jpg

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

С:\adprep\adprep /domainprep /gpprep

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований должен быть доступен.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

AD-schema-update-008.jpg

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Дополнительные материалы:

  1. Службы каталогов. Часть 1 — Общие понятия
  2. Службы каталогов. Часть 2 — Реализации служб каталогов
  3. Службы каталогов. Часть 3 — Структура Active Directory
  4. Active Directory — от теории к практике. Часть 1 — общие вопросы
  5. Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
  6. Active Directory — от теории к практике. Часть 3 — настройка DHCP
  7. Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
  8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
  9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
  10. Синхронизация времени Active Directory с внешним источником
  11. Обновление схемы Active Directory
  12. Управление ролями FSMO при помощи Ntdsutil
  13. Управление ролями FSMO с помощью PowerShell
  14. Восстанавливаем доверительные отношения в домене
  15. Очистка метаданных контроллера домена в Active Directory

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

Источник

Читайте также:  Бизнес_план_заготовка_леса
Оцените статью
© 2024 Про дачу