- Обновление контроллеров домена до Windows Server 2016
- Добавить комментарий Отменить ответ
- Повышение режима работы леса
- Что также следует учитывать
- Как определить/повысить функциональный уровень домена/леса Active Directory?
- Как определить/повысить функциональный уровень домена/леса Active Directory?
- Определить текущий функциональный уровень через PowerShell
- Как повысить функциональный уровень домена через GUI
Обновление контроллеров домена до Windows Server 2016
1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
Repadmin /syncall /AeS
repadmin /replsum
8. Перераспределяем роли FSMO:
Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster
где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum
11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Источник
Повышение режима работы леса
При установке доменных служб Active Directory (AD DS) на сервер, работающий под управлением ОС Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. Базовые возможности Active Directory для отдельных контроллеров домена дополняются новыми возможностями Active Directory уровня домена и леса, доступными, когда все контроллеры домена в домене или лесу работают под управлением ОС Windows Server 2008 R2. Дополнительные сведения см. в разделе Основные сведения о функциональных возможностях домена и леса.
Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2. Для повышения режима работы леса с помощью оснастки «Центр администрирования Active Directory» можно использовать следующую процедуру.
Минимальное требование для выполнения этой процедуры — членство в группе Администраторы домена в корневом домене леса, или в группе Администраторы предприятия в доменных службах Active Directory, или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
- Чтобы открыть оснастку «Центр администрирования Active Directory», нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Центр администрирования Active Directory.
Примечание Чтобы открыть оснастку «Центр администрирования Active Directory» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить и введите dsac.exe. - В области навигации щелкните правой кнопкой мыши домен, относящийся к лесу, режим работы которого требуется повысить, и выберите пункт Повышение режима работы леса.
- В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:
- чтобы повысить режим работы леса до Windows Server 2008, выберите пункт Windows Server 2008 и нажмите кнопку ОК;
- После установки значения режима работы леса его нельзя отменить или понизить, за исключением следующего случая: режим работы леса повышается до Windows Server 2008 R2, а корзина Active Directory не включена. В этом случае можно откатить режим работы леса до Windows Server 2008 (дополнительные сведения о корзине Active Directory см. в разделе «Новые возможности доменных служб Active Directory: корзина Active Directory» (
- https://go.microsoft.com/fwlink/?LinkId=141392 ).
- Режим работы леса может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы леса Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.
Что также следует учитывать
- Для доменов с заданным режимом работы домена Windows Server 2008 режим работы будет автоматически повышен до Windows Server 2008 R2 одновременно с повышением режима работы леса до Windows Server 2008 R2.
Источник
Как определить/повысить функциональный уровень домена/леса Active Directory?
Как определить/повысить функциональный уровень домена/леса Active Directory?
Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны.
Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном уровне домена Windows Server 2008 R2 и выше.
Определить текущий функциональный уровень домена и леса через GUI
Чтобы определить текущий функциональный уровень домена и леса, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts и на вкладке General будет показан текущий уровень домена и леса.
Определить текущий функциональный уровень через PowerShell
Чтобы определить текущий функциональный уровень домена, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:
Get-ADDomain | fl Name, DomainMode
Чтобы определить текущий функциональный уровень леса, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:
Get-ADForest | fl Name, ForestMode
Результат выполнения команд показан на рисунке ниже:
Как повысить функциональный уровень домена через GUI
Перед повышением функционального уровня домена все контроллеры домена должны работать под управлением той же версии Windows Server или новее. Например, перед повышением функционального уровня домена до Windows Server 2012 R2 все контроллеры домена в домене должны работать под управлением Windows Server 2012 R2 или выше. При настройке нового домена AD, рекомендуется устанавливать функциональный уровень домена на максимально возможный уровень, при условии, что вы не планируете, использовать потом более старые версии серверов в качестве контроллеров домена. Повышение функционального уровня домена позволит получить доступ к функциям, которые являются исключительными для конкретного функционального уровня домена. Для повышения функционального уровня домена, необходимо быть членом группы Domain Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Выбрать домен, для которого требуется повысить функциональный уровень и нажать правой кнопкой мыши выбрать Raise Domain Functional level:
В открывшемся окне выбрать желаемый функциональный уровень домена и нажать кнопку Raise
Источник