Как определить/повысить функциональный уровень домена/леса Active Directory?

26 март 2019, Вторник
32 468
6
1 0
Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны.
Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном уровне домена Windows Server 2008 R2 и выше.

Определить текущий функциональный уровень домена и леса через GUI
Чтобы определить текущий функциональный уровень домена и леса, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts и на вкладке General будет показан текущий уровень домена и леса.


Определить текущий функциональный уровень через PowerShell

Чтобы определить текущий функциональный уровень домена, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:
Get-ADDomain | fl Name, DomainMode
Чтобы определить текущий функциональный уровень леса, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:
Get-ADForest | fl Name, ForestMode
Результат выполнения команд показан на рисунке ниже:

Как повысить функциональный уровень домена через GUI

Перед повышением функционального уровня домена все контроллеры домена должны работать под управлением той же версии Windows Server или новее. Например, перед повышением функционального уровня домена до Windows Server 2012 R2 все контроллеры домена в домене должны работать под управлением Windows Server 2012 R2 или выше. При настройке нового домена AD, рекомендуется устанавливать функциональный уровень домена на максимально возможный уровень, при условии, что вы не планируете, использовать потом более старые версии серверов в качестве контроллеров домена. Повышение функционального уровня домена позволит получить доступ к функциям, которые являются исключительными для конкретного функционального уровня домена. Для повышения функционального уровня домена, необходимо быть членом группы Domain Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Выбрать домен, для которого требуется повысить функциональный уровень, нажать правой кнопкой мыши и выбрать Raise Domain Functional level:


В открывшемся окне выбрать желаемый функциональный уровень домена и нажать кнопку Raise


Как повысить функциональный уровень леса через GUI

Перед повышением функционального уровня леса все домены в лесу должны быть настроены на тот же функциональный уровень или на более высокий функциональны уровень домена. Для повышения функционального уровня леса, необходимо быть членом группы Enterprise Admins. 
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Нажать правой кнопкой мыши на корневом пункте дерева в оснастке Active Directory Domains and Trusts и выбрать Raise Forest Functional level:

В открывшемся окне выбрать желаемый функциональный уровень леса и нажать кнопку Raise
Важно: Повышение функционального уровня работы домена и леса нельзя отменить или понизить. Исключение: Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008, во всех остальных случаях эту операцию невозможно отменить.

Как повысить функциональный уровень домена через PowerShell

Для повышение функционального уровня домена используя PowerShell, необходимо выполнить команду:
Set-ADDomainMode -identity lab.lan -DomainMode  Windows2012R2Domain
где, 
identity - DNS имя домена (в примере имя домена lab.lan)
DomainMode - целевое значение функционального уровня домена. Этот параметр может принимать следующие значения:
  • Windows Server 2000: 0 или Windows2000Domain 
  • Windows Server 2003 Interim Domain: 1 или Windows2003InterimDomain 
  • Windows Server 2003: 2 или Windows2003Domain 
  • Windows Server 2008: 3 или Windows2008Domain 
  • Windows Server 2008 R2: 4 или Windows2008R2Domain 
  • Windows Server 2012: 5 или Windows2012Domain 
  • Windows Server 2012 R2: 6 или Windows2012R2Domain
  • Windows Server 2016: 7 или Windows2016Domain
Как повысить функциональный уровень леса через PowerShell
Для повышение функционального уровня леса используя PowerShell, необходимо выполнить команду:
Set-ADForestMode -Identity lab.lan -ForestMode Windows2012Forest
где,
identity - DNS имя леса (в примере имя леса lab.lan)
ForestMode - целевое значение функционального уровня леса. этот параметр может принимать следующие значения:
  • Windows Server 2000: Windows2000Forest или 0
  • Windows Server 2003: Windows2003InterimForest или 1
  • Windows Server 2003: Windows2003Forest или 2
  • Windows Server 2008: Windows2008Forest или 3
  • Windows Server 2008 R2: Windows2008R2Forest или 4
  • Windows Server 2012: Windows2012Forest или 5
  • Windows Server 2012 R2: Windows2012R2Forest или 6
  • Windows Server 2016: Windows2016Forest или 7
Functional level ActiveDirectory PowerShell Domain Forest
Похожие статьи:
29 октябрь 2023, Воскресенье
Как зарегистрировать оснастку Active Directory Schema
18 май 2022, Среда
Что такое FSMO роли, их назначение и можно ли без них жить
01 сентябрь 2021, Среда
Как включить корзину Active Directory и восстановить из нее?
01 июль 2020, Среда
Управление службой времени Windows (W32tm)
09 август 2018, Четверг
Восстановление кластера Hyper-V, на котором были запущены все контроллеры домена
Комментарии:
Прокомментировать
  1. Андрей 13 апреля 2020 12:55
    интересно другое как повысить схему леса и домена например до 2012 r2 при следующем энвайронменте
    pdc - 2016 server есть 2012 r2 сервер секондари дц и DAg exchange 2013 c двумя серверами на windows 2012 r2 не отломав почтовик

    1. ivanpub 21 апреля 2020 17:21
      А как связан почтовик и уровень домена/леса? Да, у Exchange есть требования к минимальному уровню домена/леса, но почему он должен ломаться при изменении уровня?
      Ни разу не слышал, чтобы с этим были проблемы.
      1. Денис 10 февраля 2024 22:23
        Если с уровня 2003 повышать аккаунт krbtgt сбросит свой пароль при обновлении функционального уровня домена . И это может повлиять на доступность Exchange.
  2. Fast_deer 31 октября 2024 10:51
    А как повысить режим работы леса с Windows2003Forest принудительно если повышение стандартными средствами (GUI / Powershell) дает неизвестную ошибку? Уровень работы домена дал повысить
    1. ivanpub 5 ноября 2024 00:44
      1. проверить "не завалялось" ли в лесу других доменов (в том числе неживых), например при помощи: Get-ADForest, а также все ли контроллеры домена в лесу живые и находятся в Native режиме
      2. Надо разобраться, что такое "неизвестная ошибка", где-то в логах наверняка должна быть информация о том, что что-то пошло не так.
      1. Fast_Deer 6 ноября 2024 16:37
        1) Других доменов точно нет - этой локалке примерно 18 лет и начиналась она строиться на windows server 2003. Затем криво-косо перенесена на windows server 2012R2 с выпиливанием "ушедших в закат" КД. Во всяком случае на данный момент есть всего один КД и он же PDC, по всем логам.
        2) вот это вопрос в каких (где) логах это искать?!
При использовании материалов ссылка на сайт UserMan.ru обязательна.
Политика конфиденциальности
Пользовательское соглашение
UserMan.ru © 2017-2024
Соцсети: VK