jak podnieść poziom funkcjonalności Active Directory Forest
jakie są poziomy funkcjonalności?
poziom funkcjonalności Active Directory określa, jakie możliwości usług domenowych Active Directory (AD DS) są dostępne dla określonego lasu lub domeny. Poziomy funkcjonalności są określone w kategoriach wersji systemu Windows Server, ponieważ każda aktualizacja wersji niesie ze sobą wiele nowych funkcji AD DS. Należy określić poziomy funkcjonalne, ponieważ ich funkcjonalności nie są kompatybilne wstecz z poprzednimi poziomami funkcjonalnymi.
poziomy funkcjonalne dzielą się na dwa typy:
-
poziom funkcjonalności lasu (FFL)
-
Domain functional level (DFL)
Forest functional level (FFL)
forest functional level określa funkcjonalności AD DS, które są włączone w lesie. Podniesienie FFL zwiększa możliwości wszystkich kontrolerów domeny (DC) w lesie. Na przykład System Windows Server 2016 przyniósł funkcje zarządzania uprzywilejowanym dostępem (Pam) wraz ze wszystkimi funkcjami poprzedniej wersji.
Jak sprawdzić poziom funkcjonalności lasu?
możesz zobaczyć swój poziom funkcjonalności lasu, wykonując następujące kroki:
-
przejdź do Start i otwórz Narzędzia administracyjne
-
przejdź do domen i trustów usługi Active Directory
-
kliknij prawym przyciskiem myszy domenę główną i przejdź do Właściwości
-
w zakładce Ogólne zobaczysz poziomy funkcjonalne lasu i domeny
Korzystanie z PowerShell, aby znaleźć poziom funkcjonalności lasu
You can find the Forest Functional Level of your domain using the following PowerShell command:
wybór poziomu funkcjonalności lasu
podczas wdrażania AD DS, będziesz mieć możliwość wyboru poziomu funkcjonalności lasu. Wybierając forest functional level, należy pamiętać, że domain functional level powinien być taki sam jak forest functional level lub wyższy. Każda nowa domena dodana do tego lasu domyślnie przyjmuje poziom funkcjonalności lasu.
jak podnieść poziom funkcjonalności lasu
jeśli w dowolnym momencie musisz zmienić poziom funkcjonalności swojego lasu, możesz to zrobić, wykonując poniższe czynności. Na przykład, jeśli chcesz podnieść poziom funkcjonalności lasu z 2012R2 do 2016, oto jak możesz to zrobić:
-
przejdź do Start i otwórz Narzędzia administracyjne
-
przejdź do domen i trustów usługi Active Directory
-
w lewym okienku kliknij prawym przyciskiem myszy domeny Active Directory i trusty i wybierz podnieś poziom funkcjonalności lasu.
-
zobaczysz listę dostępnych poziomów funkcjonalności lasu. Wybierz wymagany poziom funkcjonalności. W takim przypadku wybierz Windows Server 2016.
-
Kliknij Podbij.
-
otrzymasz komunikat ostrzegawczy. Przeczytaj wiadomość i kliknij OK.
-
kliknij OK w oknie dialogowym potwierdzenia.
ważne informacje przed podniesieniem poziomu funkcjonalności w lesie
podniesienie poziomu funkcjonalności w lesie daje dostęp do nowych i ulepszonych funkcji AD DS. Istnieją jednak również pewne rzeczy, o które należy zadbać przed podniesieniem poziomu funkcjonalnego, aby wszystkie systemy pozostały funkcjonalne.
po pierwsze, musisz upewnić się, że wszystkie DCs w lesie działają w tej samej wersji Windows server co planowany poziom funkcjonalności forest lub wyższy. Jeśli nie, zidentyfikuj te DCs i zaktualizuj ich wersje Windows Server lub zdegraduj je w razie potrzeby. Musisz również upewnić się, że poziom funkcjonalny domeny jest taki sam lub wyższy niż poziom funkcjonalny lasu, który zamierzasz mieć.
po drugie, sprawdź i upewnij się, czy replikacja działa poprawnie w Twoim lesie, ponieważ jest to kluczowa funkcja, której nie chcesz zepsuć.
wreszcie, aby zapewnić bezproblemowe przejście na wyższy poziom funkcjonalności lasu, sprawdź, czy wszystkie aplikacje i usługi przedsiębiorstwa w Twojej organizacji są zgodne z poziomem funkcjonalności lasu, który zamierzasz mieć.
te kroki zapewnią płynną aktualizację do wyższego poziomu Funkcjonalnego i nie będziesz mieć żadnych nieprzyjemnych niespodzianek po procesie aktualizacji.
zależności poziomów funkcjonalnych Active Directory
poziomy funkcjonalne lasów Active Directory mają następujące zależności:
- gdy wszystkie kontrolery domen (DC) w sieci działają w jednej wersji systemu Windows Server, poziom funkcjonalności lasu w usłudze Active Directory musi być skonfigurowany tak, aby obsługiwał ten sam poziom funkcjonalności lasu. Aby zapewnić zaawansowane funkcje Active Directory w lesie, administrator musi podnieść poziom funkcjonalności forest, co można zrobić tylko wtedy, gdy kontrolery domeny działają w tej samej wersji systemu Windows Server.
- po podniesieniu poziomu funkcjonalności forest kontrolery domeny (DCS) działające we wcześniejszych wersjach systemu Windows Server nie mogą zostać dodane do lasu.
najpierw podnieść poziom funkcjonalności domeny czy lasu?
Forest functional level określa również minimalny poziom funkcjonalny, na którym powinny działać wszystkie DCs w lesie. Każdy DC, który działa na niższej wersji Windows server zostanie zdegradowany z pozycji DC. Ograniczenie to ma jednak zastosowanie wyłącznie do DCs. Serwery członkowskie i stacje robocze w lesie pozostaną nienaruszone. Tak więc najlepszą praktyką jest podniesienie najpierw poziomu funkcjonalności domeny, a następnie podniesienie poziomu funkcjonalności lasu. Chociaż podniesienie poziomu funkcjonalności lasu automatycznie podniesie również poziom funkcjonalności domeny.
przeczytaj jak podnieść poziom funkcjonalności domeny.
dostępne funkcjonalności zgodnie z poziomami funkcjonalnymi
dobrą praktyką przed podnoszeniem poziomu funkcjonalności lasu jest zrozumienie funkcjonalności, które każdy poziom funkcjonalny wnosi do stołu, dzięki czemu można podjąć świadomą decyzję. Każdy poziom funkcjonalny przenosi funkcjonalności poprzedniego i dodaje dodatkowe funkcjonalności na górze. Niektóre poziomy nie wprowadzają żadnych istotnych funkcjonalności, podczas gdy inne wprowadzają ogromne ulepszenia. Dostępność każdej funkcji decyduje o poziomie funkcjonalności lasu active directory. Aby pomóc ci lepiej zrozumieć, oto podział wszystkich funkcji, które zostały wprowadzone w każdej wersji systemu Windows Server.
poziom funkcjonalności lasu | dostępne funkcje |
---|---|
Windows Server 2016 | Zarządzanie dostępem uprzywilejowanym (Pam) przy użyciu Microsoft Identity Manager (mim) |
Windows Server 2012R2 | wszystkie dostępne funkcje systemu Windows Server 2012 FFL |
Windows Server 2012 | wszystkie dostępne funkcje systemu Windows Server 2008R2 FFL |
Windows Server 2008R2 | Kosz Active Directorywszystkie dostępne funkcje systemu Windows Server 2003 FFL |
Windows Server 2008 | wszystkie dostępne funkcje systemu Windows Server 2003 FFL |
Windows Server 2003 | Forest trustdomain renameLinked-value replicationAbility to deploy a read-only DC (RODC)Improved Knowledge consistence Checker (KCC) algorithms and scalabilityCreation of instances of the dynamic auxiliary class named dynamicObject in a domain directory partitionConversion of a inetOrgPerson object into a User object instance and the converseCreation of instances of new group types for role-based authorizationDeactivation and the conversation of redefinicja atrybutów i klas w przestrzeni nazw DFS opartej na schemadomeniewszystkie domyślne funkcje AD DS |
Windows 2000 natywny | wszystkie domyślne funkcje AD DS |