Blog of Khlebalin Dmitriy
Вчера при установке Exchange 2010 при подготове схемы и домена получил следующее сообщение: Что функциональный уровень леса и домена не соответствует требованиям, ну и соответственно отлуп.
Дело в том что до сего момента виртуальная среда у меня была развернута только на серверах с Win 2008, а нынешняя среда развернута на Win2003+Win2008, соответственно по умолчанию режим Win 2000.
Пришлось быстренько изменить уровни, ну и за одно вспомнить про них:
Для Windows 2003 имеются 4 уровня функционирования (в Windows 2000 — 2 уровня):
Windows 2000 смешанный (Windows 2000 mixed)
В данном режиме в домене могут существовать резервные контроллеры домена под управлением системы Windows NT Server. Этот режим рассматривается как переходный в процессе модернизации служб каталогов с Windows NT на Windows 2000/2003. В этом режиме отсутствует ряд возможностей Active Directory — универсальные группы, вложенность групп. Кроме того, наличие контроллеров домена под управлением Windows NT накладывает ограничение на размер БД Active Directory (40 мегабайт).
После установки системы и создания первого контроллера домена домен всегда работает именно в смешанном режиме.
Windows 2000 основной (Windows 2000 native)
В данном режиме контроллерами домена могут быть серверы под управлением Windows 2000 и Windows 2003. В данном режиме появляется возможность использования универсальных групп, вложенность групп, и ликвидируется ограничение на размер БД Active Directory.
Windows 2003 промежуточный (Windows 2003 interim)
Данный уровень возможен только в том случае, когда контроллеры домена работают под управлением Windows NT и Windows 2003 (не может быть контроллеров с системой Windows 2000). Этот уровень доступен только тогда, когда производится установка Windows 2003 поверх контроллеров домена с Windows NT. Ограничения этого режима аналогичны смешанному режиму.
Это наивысший уровень функционирования домена, в котором есть контроллеры с Windows 2003, причем все контроллеры обязаны быть с системой Windows 2003.
Изменять уровень функционирования домена можно только в сторону его повышения. Сделать это можно с помощью административных консолей «Active Directory – домены и доверие» или «Active Directory – пользователи и компьютеры». Если в какой-либо из этих консолей щелкнуть правой кнопкой мыши на имени домена и выбрать в контекстном меню пункт «Изменение режима работы домена», то появится панель:
Для повышения уровня надо выбрать необходимый уровень и нажать кнопку «Изменить». После репликации данного изменения на все контроллеры в данном домене станут доступны специфичные для данного уровня возможности. Заметим, что произведенные изменения необратимы.
Для всего леса в целом также можно определять функциональные уровни. Это делается с помощью консоли «Active Directory – домены и доверие». Только правой кнопкой мыши надо щелкнуть не на имени домена, а на надписи «Active Directory – домены и доверие».
Существуют 3 уровня функционирования леса:
- Windows 2000 (с контроллерами под управлением Windows NT, 2000 и 2003);
- Windows 2003 interim (с контроллерами под управлением только Windows NT и 2003);
- Windows 2003 (все домены всего леса — с контроллерами под управлением только Windows 2003).
Самый высокий уровень функционирования леса позволяет выполнять две очень важные задачи:
- переименование доменов;
- установление доверительных отношений между двумя не связанными друг с другом лесами с использованием Kerberos в качестве протокола аутентификации (без такого режима доверительные отношения могут устанавливаться только между отдельными доменами, а не целыми лесами, при этом будет использоваться менее защищенный протокол аутентификации NTLM).
Сменить режим работы леса можно вот так:
Соответственно говоря выбираем необходимый режим . Ну и соответственно после перезагрузки контроллера Exchange 2010 больше ни на что не ругался и был успешно установлен.
Источник
Миграция группы серверов windows 2003 на 2019?
Привет всем.
Есть три офиса и соответственно три сервера windows 2003. 192.168.0.1 — 1.1 и 2.1 сетями
Купили три сервера windows 2019. Перевел PDC в 2012 сервер (промежуточный). При попытке передать роль на 2019, ругается так как режим работы домена по прежнему 2003 (на остальных двух). Не могу понять они резервные получаются?
Если 0.1 основной кд, как правильно мигрировать, передать роли на остальных двух КД с 2003 на 2012 ?
Не все роли получается мне нужно передавать? Делаю на виртуальной машине миграцию КД 192.168.2.2 ,но делаю это на своей рабочей машине в сети 192.168.0.1 (т.е. адрес сейчас у резервного КД 2012 для второго фоиса 192.168.0.150).
Вроде все ок не ругается. dcdiag чистый.
Как правильно сейчас передать роль КД второго офиса 2003 на 2012, ну и потом третьего офиса соответвенно.
Спасибо
Сложный 2 комментария
в этом и проблема не дает повышать уровень работы кд пока есть в сети кд 2003.
Итог, имеем PDC windows 2012
Затем не виртуалках делаю два резервных КД 2012 офисов 2 и 3
Потом понижаю роли КД 2003 офисов два и три до обычных серверов
Теперь у меня 3 КД на 2012 сервере , один из них PDC
Имею три физических сервера 2019, Поочередно захожу и мигрирую на них с 2012. так?
Ёлы-палы, вам всё по пунктам расписали уже. Вы уже выполнили пункты 3, 4, 5? Вы говорите только о выполнении пунктов 1 и 2 Когда все пять пунктов выполните, тогда опять начиная с первого пункта все пять для перехода на 2019.
Нет такой возможности физически — «передать роль КД» — есть возможность поднять сервер до Domain Controller и опустить DC до обычного сервера.
Процесс обновления ОС на контроллерах следующий:
1. Изучить список поддерживаемых уровней леса домена для разных версий ОС Windows Server.
2. Создать план обновления — с промежуточными версиями ОС и уровнями леса и доменов, если необходимо.
3. Не использовать inplace upgrade ОС на контроллерах домена, поднимать новые DC и выводить из эксплуатации старые.
4. Не трогать инфраструктуру AD, если нет четкого понимания, как она работает.
Поддержу Alexey Dmitriev
В целом, порядок действий вроде простой:
1. В каждом офисе поднимаете новый КД на 2019. Схема и уровень леса = 2003, их пока не трогаете и ничего с ними не делаете. Ждете репликацию, проверяете ошибки.
2. По очереди понижаете КД на 2003 до рядовых серверов и выводите их из домена. Ждете репликацию, проверяете ошибки.
3. После вывода последнего КД на 2003 или в процессе вывода выполняете передачу (захват) FSMO-ролей. Ждете репликацию, проверяете ошибки.
4. Меняете версию схемы AD. Ждете репликацию, проверяете ошибки.
5. Поднимаете уровень леса/домена до максимально возможного (Windows Server 2016). Ждете репликацию, проверяете ошибки.
Источник
Русские Блоги
Настройка сети и управление Windows Server 2003 Повышение функционального уровня леса
Функциональные уровни леса — Windows 2000, Windows Server 2003 Interim и Windows Server 2003. Уровень функции леса по умолчанию в системе — «Windows 2000», как показано на Рисунке 3-21. Настройка функционального уровня леса влияет на тип контроллера домена в домене. Если в сети есть контроллер домена Windows 2000, сначала обновите его контроллер домена до Windows Server 2003, а затем обновите функциональный уровень леса, иначе функциональный уровень леса не может быть обновлен.
ШАГ1 Выберите команду меню «Пуск → Все программы → Администрирование → Домены Active Directory и доверительные отношения», появится консоль «Домены Active Directory и доверительные отношения», показанная на Рисунке 3-22.
 |
| Рисунок 3-22. Выберите команду «Поднять функциональный уровень леса». |
ШАГ 2 Выберите элемент «Домен Active Directory и доверительные отношения», щелкните правой кнопкой мыши и выберите команду «Повышение функционального уровня леса» во всплывающем контекстном меню, появится диалоговое окно «Повышение функционального уровня леса», показанное на рисунке 3-23. . Чтобы поднять функциональный уровень леса, выберите опцию «Windows Server 2003» в раскрывающемся списке и нажмите кнопку «Повысить». Появится диалоговое окно с запросом «Повысить функциональный уровень леса», показанное на рисунке 3-24.
 |
| Рисунок 3-23 Выбор уровня функции леса |
 |
| Рисунок 3-24 Подтвердите обновление функционального уровня леса |
 Описание |
| Повышение функционального уровня леса повлияет на весь лес, а после подъема функции леса его невозможно будет восстановить.Просто удалите Active Directory и переустановите его. Если в лесу несколько доменов, вам нужно поднять функциональный уровень леса только для одного контроллера домена, чтобы он реплицировался на каждый контроллер домена во всем лесу. |
ШАГ3 Нажмите кнопку «ОК», чтобы обновить функциональный уровень леса.
ШАГ 4 После успешного обновления уровня функции леса появляется всплывающее окно сообщения об успешном обновлении, как показано на рис. 3-25, указывающее, что уровень функции леса обновлен успешно.
 |
| Рисунок 3-25. Успешное обновление функционального уровня леса. |
ШАГ5 Снова выберите «Active Directory Domains and Trust Relationships», щелкните правой кнопкой мыши и выберите команду «Raise Forest Functional Level» во всплывающем контекстном меню. Появится диалоговое окно «Raise Forest Functional Level», показанное на Рисунке 3-26. .
 |
| Рисунок 3-26 Просмотр уровня функции леса |
Сообщение в диалоговом окне указывает, что текущий функциональный уровень леса был обновлен до Windows Server 2003.
Источник