Содержание
- 1 Обновление схемы Active Directory
- 2 Как узнать режим работы леса и режим работы домена Active Directory
- 3 Как узнать режим работы леса и режим работы домена Active Directory
- 4 Как узнать режим работы домена Active Directory через оснастку ADUC
- 5 Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие
- 6 Как узнать режим работы леса и режим работы домена Active Directory через powershell
Технический блог специалистов ООО"Интерфейс"
- Главная
- Обновление схемы Active Directory
Обновление схемы Active Directory
- Автор: Уваров А.С.
- 14.05.2013
Как известно – ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.
Казалось бы – в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.
Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.
Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.
Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.
- Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
- Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.
Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.
При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется – это обновить схему.
Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) – самый низкий уровень AD – в котором имеется контроллер под управлением Windows 2003, а наша цель – создать новый контроллер взамен вышедшего из строя.
Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.
Однако при попытке добавить новый контроллер домена мы получим ошибку:
Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.
Для обновления схемы используется утилита Adprep которая находится в папке supportadprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.
Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:
В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории support ools
Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:
В нашем случае все роли находятся на одном контроллере, поэтому копируем папку supportadprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:
- Администраторы схемы
- Администраторы предприятия
- Администраторы домена, в котором находится хозяин схемы
Чтобы обновить схему леса выполните команду:
Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.
Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).
После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.
Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:
И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:
В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.
Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.
На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.
Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.
Как узнать режим работы леса и режим работы домена Active Directory
Как узнать режим работы леса и режим работы домена Active Directory
Как узнать режим работы леса и режим работы домена Active Directory-01
Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.
Для того чтобы нам посмотреть нужную нам информацию есть два способа графический и через powershell, мы рассмотрим оба.
Как узнать режим работы домена Active Directory через оснастку ADUC
Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac
Как узнать режим работы леса и режим работы домена Active Directory-02
Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена
Как узнать режим работы леса и режим работы домена Active Directory-03
И видим что текущий режим Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-04
Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие
Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.
Как узнать режим работы леса и режим работы домена Active Directory-05
Щелкаем правым кликом по Active Directory – домены и доверие и из контекстного меню выбираем Изменить режим работы леса
Как узнать режим работы леса и режим работы домена Active Directory-06
и видим что лес работает в режиме Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-07
Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.
Как узнать режим работы леса и режим работы домена Active Directory-08
Как узнать режим работы леса и режим работы домена Active Directory через powershell
Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды
Если среди них нет модуля Active Directory то он устанавливается командой
И загружаем модуль Active Directory с помощью команды
Как узнать режим работы леса и режим работы домена Active Directory-09
Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-10
Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-11
Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.
При установке доменных служб Active Directory (AD DS) на сервер, работающий под управлением ОС Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. Базовые возможности Active Directory для отдельных контроллеров домена дополняются новыми возможностями Active Directory уровня домена и леса, доступными, когда все контроллеры домена в домене или лесу работают под управлением ОС Windows Server 2008 R2. Дополнительные сведения см. в разделе Основные сведения о функциональных возможностях домена и леса.
Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2. Для повышения режима работы леса с помощью оснастки «Центр администрирования Active Directory» можно использовать следующую процедуру.
Минимальное требование для выполнения этой процедуры – членство в группе Администраторы домена в корневом домене леса, или в группе Администраторы предприятия в доменных службах Active Directory, или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?Link >.
 |
Повышение режима работы леса с помощью оснастки «Центр администрирования Active Directory» |
Чтобы открыть оснастку «Центр администрирования Active Directory», нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Центр администрирования Active Directory.
 |
Примечание |
Чтобы открыть оснастку «Центр администрирования Active Directory» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить и введите dsac.exe.
В области навигации щелкните правой кнопкой мыши домен, относящийся к лесу, режим работы которого требуется повысить, и выберите пункт Повышение режима работы леса.
В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:
-
чтобы повысить режим работы леса до Windows Server 2008, выберите пункт Windows Server 2008 и нажмите кнопку ОК;
чтобы повысить режим работы леса до Windows Server 2008 R2, выберите пункт Windows Server 2008 R2 и нажмите кнопку ОК.
 |
Внимание! |
|
Что также следует учитывать
- Для доменов с заданным режимом работы домена Windows Server 2008 режим работы будет автоматически повышен до Windows Server 2008 R2 одновременно с повышением режима работы леса до Windows Server 2008 R2.
