So erhöhen Sie die Funktionsebene der Active Directory-Gesamtstruktur
Was sind Funktionsebenen?
Eine Active Directory-Funktionsebene bestimmt, welche Funktionen von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) für eine bestimmte Gesamtstruktur oder Domäne verfügbar sind. Die Funktionsebenen werden in Bezug auf Windows Server-Versionen angegeben, da jedes Versionsupdate eine Vielzahl neuer AD DS-Funktionen mit sich bringt. Funktionsebenen müssen angegeben werden, da ihre Funktionalitäten nicht abwärtskompatibel zu früheren Funktionsebenen sind.
Funktionsebenen werden in zwei Typen eingeteilt:
-
Waldfunktionsebene (FFL)
-
Domänenfunktionsebene (DFL)
Gesamtstrukturfunktionsebene (FFL)
Eine Gesamtstrukturfunktionsebene bestimmt die Funktionalitäten von AD DS, die in einer Gesamtstruktur aktiviert sind. Das Erhöhen einer FFL erhöht die Fähigkeiten aller Domänencontroller (DC) in der Gesamtstruktur. Zum Beispiel brachte Windows Server 2016 PAM-Funktionen (Privileged Access Management) zusammen mit allen Funktionen der vorherigen Version.
Wie überprüfe ich die Funktionsebene des Waldes?
Sie können die Funktionsebene Ihrer Gesamtstruktur anzeigen, indem Sie die folgenden Schritte ausführen:
-
Gehen Sie zu Start und öffnen Sie Verwaltung
-
Wechseln zu Active Directory-Domänen und -Vertrauensstellungen
-
Klicken Sie mit der rechten Maustaste auf die Stammdomäne und gehen Sie zu Eigenschaften
-
Auf der Registerkarte Allgemein können Sie Ihre Gesamtstruktur- und Domänenfunktionsebenen anzeigen
Verwenden von PowerShell zum Ermitteln der Gesamtstrukturfunktionsebene
You can find the Forest Functional Level of your domain using the following PowerShell command:
Auswählen der Gesamtstrukturfunktionsebene
Bei der Bereitstellung von AD DS haben Sie die Möglichkeit, die Gesamtstrukturfunktionsebene auszuwählen. Beachten Sie bei der Auswahl der Gesamtstrukturfunktionsebene, dass die Domänenfunktionsebene dieselbe wie die Gesamtstrukturfunktionsebene oder höher sein sollte. Jede neue Domäne, die dieser Gesamtstruktur hinzugefügt wird, nimmt standardmäßig die Gesamtstrukturfunktionsebene an.
So erhöhen Sie die Funktionsebene der Gesamtstruktur
Wenn Sie zu irgendeinem Zeitpunkt die Funktionsebene Ihrer Gesamtstruktur ändern müssen, können Sie dies tun, indem Sie die unten angegebenen Schritte ausführen. Wenn Sie beispielsweise die Funktionsebene von 2012R2 auf 2016 erhöhen möchten, können Sie Folgendes tun:
-
Gehen Sie zu Start und öffnen Sie Verwaltung
-
Wechseln zu Active Directory-Domänen und -Vertrauensstellungen
-
Klicken Sie im linken Bereich mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und wählen Sie Gesamtstrukturfunktionsebene erhöhen aus.
-
Sie sehen eine Liste der verfügbaren Gesamtstrukturfunktionsebenen. Wählen Sie die gewünschte Funktionsebene aus. Wählen Sie in diesem Fall Windows Server 2016 aus.
-
Klicken Sie auf Erhöhen.
-
Sie erhalten eine Warnmeldung. Lesen Sie die Nachricht, und klicken Sie auf OK.
-
Klicken Sie im Bestätigungsdialogfeld auf OK.
Vor dem Erhöhen der Gesamtstrukturfunktionsebene zu beachtende Punkte
Durch das Erhöhen der Gesamtstrukturfunktionsebene erhält die Gesamtstruktur Zugriff auf neue und verbesserte AD DS-Funktionen. Es gibt jedoch auch bestimmte Dinge zu beachten, bevor die Funktionsebene angehoben wird, damit alle Systeme funktionsfähig bleiben.
Zunächst müssen Sie sicherstellen, dass alle DCs in der Gesamtstruktur dieselbe Windows Server-Version wie die beabsichtigte Gesamtstrukturfunktionsebene oder höher ausführen. Wenn nicht, identifizieren Sie diese DCs und aktualisieren Sie entweder ihre Windows Server-Versionen oder degradieren Sie sie nach Bedarf. Sie müssen auch sicherstellen, dass die Domänenfunktionsebene dieselbe oder höher ist als die von Ihnen beabsichtigte Gesamtstrukturfunktionsebene.
Überprüfen Sie zweitens, ob die Replikation in Ihrer Gesamtstruktur ordnungsgemäß funktioniert, da dies eine wichtige Funktionalität ist, die nicht beeinträchtigt werden soll.
Um einen nahtlosen Übergang zu einer höheren Gesamtstrukturfunktionsebene zu gewährleisten, überprüfen Sie, ob alle Unternehmensanwendungen und -dienste Ihrer Organisation mit der beabsichtigten Gesamtstrukturfunktionsebene kompatibel sind.
Diese Schritte sorgen für ein reibungsloses Upgrade auf die höhere Funktionsebene Ihrer Wahl, und Sie werden nach dem Upgrade-Vorgang keine bösen Überraschungen erleben.
Abhängigkeiten von Active Directory-Funktionsebenen
Active Directory-Gesamtstrukturfunktionsebenen weisen die folgenden Abhängigkeiten auf:
- Wenn auf allen Domänencontrollern (DCs) in einem Netzwerk eine Windows Server-Version ausgeführt wird, muss die Active Directory-Gesamtstrukturfunktionsebene so konfiguriert werden, dass sie dieselbe Gesamtstrukturfunktionsebene unterstützt. Um erweiterte Active Directory-Funktionen in einer Gesamtstruktur bereitzustellen, muss ein Administrator die Gesamtstrukturfunktionsebene erhöhen, was nur möglich ist, wenn auf den Domänencontrollern jeweils dieselbe Version von Windows Server ausgeführt wird.
- Nachdem die Gesamtstrukturfunktionsebene erhöht wurde, können Domänencontroller (DCs), auf denen frühere Versionen von Windows Server ausgeführt werden, der Gesamtstruktur nicht hinzugefügt werden.
Domänen- oder Gesamtstrukturfunktionsebene zuerst erhöhen?
Die Gesamtstrukturfunktionsebene legt auch die Mindestfunktionsebene fest, auf der alle DCs in der Gesamtstruktur arbeiten sollen. Jeder DC, der auf einer niedrigeren Version des Windows Servers ausgeführt wird, wird von der DC-Position herabgestuft. Diese Einschränkung gilt jedoch nur für DCs. Mitgliedsserver und Arbeitsstationen in der Gesamtstruktur bleiben davon unberührt. Daher empfiehlt es sich, zuerst die Domänenfunktionsebene und dann die Gesamtstrukturfunktionsebene zu erhöhen. Wenn Sie jedoch die Gesamtstrukturfunktionsebene erhöhen, wird automatisch auch die Domänenfunktionsebene erhöht.
Lesen Sie, wie Sie die Domänenfunktionsebene erhöhen können.
Zugängliche Funktionalitäten nach Funktionsebenen
Eine gute Praxis vor dem Anheben der Forest-Funktionsebene besteht darin, die Funktionalitäten zu verstehen, die jede Funktionsebene mit sich bringt, damit Sie eine fundierte Entscheidung treffen können. Jede Funktionsebene übernimmt die Funktionalitäten der vorherigen und fügt zusätzliche Funktionalitäten hinzu. Einige Ebenen führen keine wesentlichen Funktionen ein, während andere massive Verbesserungen bringen. Die Verfügbarkeit jeder Funktion bestimmt die Funktionsebene einer Active Directory-Gesamtstruktur. Zum besseren Verständnis finden Sie hier eine Aufschlüsselung aller Funktionen, die mit jeder Windows Server-Version eingeführt wurden.
WALDFUNKTIONSEBENE | VERFÜGBARE FUNKTIONEN |
---|---|
Windows Server 2016 | Privilegierte Zugriffsverwaltung (PAM) mit Microsoft Identity Manager (MIM) |
Windows Server 2012R2 | Alle verfügbaren Funktionen von Windows Server 2012 FFL |
Windows Server 2012 | Alle verfügbaren Funktionen von Windows Server 2008R2 FFL |
Windows Server 2008R2 | Active Directory-Papierkorballe verfügbaren Funktionen von Windows Server 2003 FFL |
Windows Server 2008 | Alle verfügbaren Funktionen von Windows Server 2003 FFL |
Windows Server 2003 | Forest trustDomain renameLinked-value Replicationfähigkeit zur Bereitstellung eines schreibgeschützten DC (RODC)Verbesserte Algorithmen und Skalierbarkeitserstellung von Instanzen der dynamischen Hilfsklasse DynamicObject in einer Domänenverzeichnispartitionkonvertierung einer inetOrgPerson-Objektinstanz in eine Benutzerobjektinstanz und Konversationerstellung von Instanzen neuer Gruppentypen für die rollenbasierte Autorisierungdeaktivierung und Neudefinition von Attributen und Klassen im schemaDomain-basierten DFS-namespacsaLle Standard-AD DS-Features |
Windows 2000 native | Alle standardmäßigen AD DS-Funktionen |