jak zvýšit funkční úroveň lesa služby Active Directory
jaké jsou funkční úrovně?
funkční úroveň služby Active Directory určuje, jaké možnosti služeb domény služby Active Directory (AD DS) jsou k dispozici pro konkrétní doménu nebo doménu. Funkční úrovně jsou specifikovány z hlediska verzí systému Windows Server, protože každá aktualizace verze s sebou přináší řadu nových funkcí AD DS. Funkční úrovně musí být specifikovány, protože jejich funkce nejsou zpětně kompatibilní s předchozími funkčními úrovněmi.
funkční úrovně jsou rozděleny do dvou typů:
-
funkční úroveň lesa (FFL)
-
funkční úroveň domény (DFL)
funkční úroveň lesa (FFL)
funkční úroveň lesa určuje funkce AD DS, které jsou povoleny v lese. Zvýšení FFL zvyšuje schopnosti všech řadičů domény (DC) v lese. Například Windows Server 2016 přinesl funkce správy privilegovaného přístupu (Pam) spolu se všemi funkcemi předchozí verze.
jak zkontrolovat funkční úroveň lesa?
funkční úroveň lesa si můžete prohlédnout podle těchto kroků:
-
přejděte na Start a otevřete Nástroje pro správu
-
přejít na domény a trusty služby Active Directory
-
klepněte pravým tlačítkem myši na kořenovou doménu a přejděte na Vlastnosti
-
na kartě Obecné uvidíte funkční úrovně lesa a domény
použití PowerShell k nalezení funkční úrovně lesa
You can find the Forest Functional Level of your domain using the following PowerShell command:
výběr funkční úrovně lesa
při nasazení AD DS budete mít možnost zvolit funkční úroveň lesa. Při výběru funkční úrovně lesa nezapomeňte, že funkční úroveň domény by měla být stejná jako funkční úroveň lesa nebo vyšší. Každá nová doména, která je přidána do tohoto lesa, bude mít ve výchozím nastavení funkční úroveň lesa.
jak zvýšit funkční úroveň lesa
pokud kdykoli potřebujete změnit funkční úroveň lesa | můžete tak učinit podle níže uvedených kroků. Pokud například chcete zvýšit funkční úroveň lesa od roku 2012R2 do roku 2016, můžete to udělat takto:
-
přejděte na Start a otevřete Nástroje pro správu
-
přejít na domény a trusty služby Active Directory
-
v levém podokně klepněte pravým tlačítkem myši na domény a trusty služby Active Directory a vyberte možnost zvýšit funkční úroveň lesa.
-
zobrazí se seznam funkčních úrovní lesa, které jsou k dispozici. Vyberte požadovanou funkční úroveň. V takovém případě vyberte Windows Server 2016.
-
Klikněte Na Zvýšit.
-
dostanete varovnou zprávu. Přečtěte si zprávu a klikněte na OK.
-
v dialogovém okně potvrzení klikněte na OK.
co je třeba si uvědomit před zvýšením funkční úrovně lesa
zvýšení funkční úrovně lesa poskytuje vašemu lese přístup k novým a vylepšeným funkcím AD DS. Existují však také určité věci, o které je třeba se postarat před zvýšením funkční úrovně, aby všechny systémy zůstaly funkční.
nejprve musíte zajistit, aby všechny DC v lese používaly stejnou verzi systému Windows server jako funkční úroveň lesa, kterou chcete mít, nebo vyšší. Pokud tomu tak není, identifikujte tyto DC a buď upgradujte jejich verze systému Windows Server, nebo je podle potřeby degradujte. Budete také muset zajistit, aby funkční úroveň domény byla stejná nebo vyšší než funkční úroveň lesa, kterou chcete mít.
za druhé, zkontrolujte a ujistěte se, zda replikace ve vašem lese funguje správně, protože je to zásadní funkce, kterou nechcete rozbít.
Chcete-li zajistit bezproblémový přechod na vyšší funkční úroveň lesa, ověřte, zda jsou všechny podnikové aplikace a služby vaší organizace kompatibilní s funkční úrovní lesa, kterou chcete mít.
tyto kroky zajistí hladký upgrade na vyšší funkční úroveň volby a po procesu upgradu nebudete mít žádná nepříjemná překvapení.
závislosti funkčních úrovní služby Active Directory
funkční úrovně lesa služby Active Directory mají následující závislosti:
- pokud všechny řadiče domény (DCs) v síti používají jednu verzi systému Windows Server, musí být funkční úroveň lesa Active Directory nakonfigurována tak, aby podporovala stejnou funkční úroveň lesa. Za účelem poskytování pokročilých funkcí služby Active Directory v lese musí správce zvýšit funkční úroveň lesa, což lze provést pouze v případě, že řadiče domény používají stejnou verzi systému Windows Server.
- po zvýšení funkční úrovně lesa nelze řadiče domény (DCs) se staršími verzemi systému Windows Server přidat do lesa.
nejprve zvýšit doménu nebo funkční úroveň lesa?
funkční úroveň lesa také určuje minimální funkční úroveň, na které by měly fungovat všechny DC v lese. Jakýkoli DC, který běží na nižší verzi serveru Windows, bude degradován z pozice DC. Toto omezení se však vztahuje pouze na DCs. Členské servery a pracovní stanice v lese zůstanou nedotčeny. Nejlepší praxí je tedy nejprve zvýšit funkční úroveň domény a poté zvýšit funkční úroveň lesa. Ačkoli zvýšení funkční úrovně lesa automaticky zvýší také funkční úroveň domény.
Přečtěte si, jak můžete zvýšit funkční úroveň domény.
dostupné funkce podle funkčních úrovní
dobrým postupem před zvýšením funkční úrovně lesa je porozumět funkcím, které každá funkční úroveň přináší ke stolu, abyste mohli učinit informované rozhodnutí. Každá funkční úroveň přenáší funkce předchozí a přidává další funkce nahoře. Některé úrovně nezavádějí žádné hlavní funkce, zatímco jiné přinášejí masivní vylepšení. Dostupnost každé funkce je to, co určuje funkční úroveň lesa služby active directory. Abychom vám pomohli lépe porozumět, zde je rozdělení všech funkcí, které byly zavedeny s každou verzí systému Windows Server.
funkční úroveň lesa | dostupné funkce |
---|---|
Windows Server 2016 | Správa privilegovaného přístupu (PAM) pomocí Microsoft Identity Manager (MIM) |
Windows Server 2012R2 | všechny dostupné funkce systému Windows Server 2012 FFL |
Windows Server 2012 | všechny dostupné funkce systému Windows Server 2008R2 FFL |
Windows Server 2008R2 | Active Directory Koševšechny dostupné funkce Windows Server 2003 FFL |
Windows Server 2008 | všechny dostupné funkce systému Windows Server 2003 FFL |
Windows Server 2003 | Forest trustDomain renameLinked-value replicationAbility to deploy a read-only DC (RODC)Improved Knowledge consistence Checker (KCC) algorithms and scalabilityCreation of instances of the dynamic auxiliary class named dynamicObject in a domain directory partitionConversion of an inetorgperson object instance inetorgperson object instance into a User object instance and the converseCreation of instance of new group type for role-based authorizationDeactivation and the converseCreation of instance of new group type for role-based authorizationDeactivation and redefinice atributů a tříd v názvech jmenných prostorů DFS založených na doménáchvšechny výchozí funkce AD DS |
Windows 2000 nativní | všechny výchozí funkce AD DS |