angle-left

Обновление функционального уровня домена ActiveDirectory

В данной заметке я приведу наглядное how-to по обновлению функционального уровня домена в Active Directory.

Каждый следующий функциональный уровень домена включает в себя возможности и технологии предыдущего с некоторыми изменениями и новыми возможностями. Останавливатся на них не буду, так как это тема отдельной заметки, и лишь приведу ссылку с описанием того, что включают в себя функциональные уровни

Очевидно, что определенный функциональный уровень может обеспечить домен контроллер на соответствующей версии операционной системы или выше.

Первое, что необходимо сделать перед повышением это перевести домен контроллеры на соответствующие версии операционных систем.

Данный процесс следует выполнять следующим образом:

Установить новую систему и ввести ее в домен. Установить службу Active Directory Domain Service.

Далее пойдут иллюстрации на примере повышения функционального уровня домена Active Directory с Windows Server 2008 R2 на Windows Server 2012 R2.

После установки в Server Manager появится уведомление о необходимости конфигурации установленной роли

В следующем окне выбрать добавление домен контроллера к существующему домену "Add a domain controller to an existing domain"
Необходимо выбрать домен и пользователя с правами администратора домена

После появится окно с выбором необходимых служб(dns,dc). Так же здесь можно выбрать опцию домен контроллер только для чтения RODC
После идет выбор обновления DNS delegation
Далее необходимо выбрать с какого домен контроллера будем реплицировать данные на новый домен контроллер( по сути копию какого домен контроллера мы будем создавать). Так же, как и на более ранних версиях есть возможность импорта данных из фалов IFM

Выбор и подтверждение физического хранилища файлов

Далее проверяем корректность конфигурации, 

просматриваем powershell комманды по выполнению выбранных действий и нажимаем установить

После установки мы имеем два реплицируемых домен контроллера.


Вторым является удаление старых домен контроллеров из инфраструктуры AD.

Удаление можно произвести вручную внеся соответствующие изменения в AD, DNS, либо выполнив выведение старого домен контроллера из домена путем выполнения dcpromo:

После того, как все домен контроллеры будут на соответствующей версии операционной системы можно сделать обновление функционального уровня(в ADUC или ADDT правой кнопкой мыши и нажать Raise domain funcional level)  

 

Про ручное выведение из домена я заикнулся не просто так : в ходе экспериментирования я обнаруживал проблемы отработки dcpromo при удалении старого домен контроллера, неконсистентное состояние нового домен контроллера после репликации и многое другое. Возможно, подробнее я смогу описать отдельно возможные проблемы при выполнении обновления функционального уровня домена в новой статье.