Режимы работы леса и домена Forest and Domain Functional Levels

Область применения. Windows Server Applies To: Windows Server

Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу. However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. Так вы сможете использовать максимальное количество функций AD DS. This way, you can use as many AD DS features as possible. При развертывании нового леса будет предложено задать его режим работы, а затем задать режим работы домена. When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса. You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

После прекращения поддержки Windows Server 2003, 2008 и 2008 R2 эти контроллеры доменов необходимо будет обновить до Windows Server 2012, 2012 R2, 2016 или 2019. With the end of life of Windows Server 2003, 2008, and 2008 R2, these domain controllers (DCs) need to be updated to Windows Server 2012, 2012 R2, 2016, or 2019. В результате все контроллеры домена, работающие под управлением Windows Server 2008 R2 и более старых версий, необходимо удалить из домена. As a result, any domain controller that runs Windows Server 2008 R2 and older should be removed from the domain.

В режимах работы домена Windows Server 2008 и более новых версий для репликации содержимого папки SYSVOL между контроллерами домена используется репликация службы распределенных файловых систем (DFS). At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Если вы создаете домен в режиме работы домена Windows Server 2008 или более новых версий, для репликации SYSVOL автоматически используется репликация DFS. If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Если вы создаете домен в более низком режиме работы, необходимо перейти от репликации FRS к DFS для SYSVOL. If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Чтобы выполнить переход, можно следовать инструкциям в TechNet или ознакомиться с упрощенным набором шагов в блоге Microsoft File Cabinet группы разработчиков хранилища. For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog. Windows Server 2016 RS1 — это последний выпуск Windows Server с FRS. Windows Server 2016 RS1 is the last Windows Server release that includes FRS.

Windows Server 2019 Windows Server 2019

В этом выпуске нет новых режимов работы леса или домена. There are no new forest or domain functional levels added in this release.

Минимальным требованием для добавления контроллера домена Windows Server 2019 является режим работы Windows Server 2008. The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. В домене также должна использоваться репликация DFS в качестве подсистемы для репликации SYSVOL. The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016 Windows Server 2016

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016

Функции режима работы леса Windows Server 2016 Windows Server 2016 forest functional level features

• Доступны все функции, доступные в режиме работы леса Windows Server 2012 R2, а также: All of the features that are available at the Windows Server 2012R2 forest functional level, and the following features, are available:
  • Privileged Access Management (PAM) с использованием Microsoft Identity Manager (MIM) Privileged access management (PAM) using Microsoft Identity Manager (MIM)

Функции режима работы домена Windows Server 2016 Windows Server 2016 domain functional level features

Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012 R2, а также: All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:

Контроллеры домена могут поддерживать автоматический откат протокола NTLM и другие секреты на основе пароля для учетной записи пользователя, настроенной для требования проверки подлинности с использованием PKI. DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Эта конфигурация также называется «Запрашивать смарт-карту для интерактивного входа в систему». This configuration is also known as «Smart card required for interactive logon»

Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену. DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

После успешной проверки подлинности с помощью расширения PKInit Freshness клиенты Kerberos получат свежий идентификатор безопасности для удостоверения открытого ключа. Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

Дополнительные сведения см. в статьях What’s New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos) и What’s new in Credential Protection (Новые возможности защиты учетных данных). For more information see What’s New in Kerberos Authentication and What’s new in Credential Protection

Windows Server 2012 R2 Windows Server 2012R2

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2

Функции режима работы леса Windows Server 2012 R2 Windows Server 2012R2 forest functional level features

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2012, но не дополнительные функции. All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Функции режима работы домена Windows Server 2012 R2 Windows Server 2012R2 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012, а также: All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
  • Защита со стороны контроллера домена для защищенных пользователей. DC-side protections for Protected Users. Защищенные пользователи, которые выполняют проверку подлинности в домене Windows Server 2012 R2, больше не могут: Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
    • проходить проверку подлинности с помощью проверки подлинности NTLM; Authenticate with NTLM authentication
    • использовать наборы шифров DES и RC4 в предварительной проверке подлинности Kerberos; Use DES or RC4 cipher suites in Kerberos pre-authentication
    • делегироваться в рамках неограниченного или ограниченного делегирования; Be delegated with unconstrained or constrained delegation
    • выполнять продление пользовательских билетов (TGT) и использовать их более 4 часов. Renew user tickets (TGTs) beyond the initial 4 hour lifetime
  • Политики проверки подлинности Authentication Policies
    • Новые политики Active Directory на основе леса, которые могут применяться к учетным записям в доменах Windows Server 2012 R2 для определения узлов, из которых учетная запись может выполнять вход, и применения условий управления доступом для проверки подлинности служб, запущенных через учетную запись. New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
  • Приемники команд политик проверки подлинности Authentication Policy Silos
    • Новый объект Active Directory на основе леса, который может создать связь между пользователем, управляемой службой и компьютером, учетными записями, которые будут использоваться для классификации учетных записей для политик или изоляции проверки подлинности. New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012 Windows Server 2012

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012

Функции режима работы леса Windows Server 2012 Windows Server 2012 forest functional level features

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2008 R2, но не дополнительные функции. All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Функции режима работы домена Windows Server 2012 Windows Server 2012 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008 R2, а также: All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
  • Поддержка KDC-утверждений, комплексной проверки подлинности и политика административных шаблонов KDC защиты Kerberos имеет два параметра («Всегда предоставлять утверждения» и «Отклонять запросы проверки подлинности без защиты»), требующие режима работы домена Windows Server 2012. The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Дополнительную информацию см. в статье What’s New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos). For more information, see What’s New in Kerberos Authentication

Windows Server 2008 R2 Windows Server 2008R2

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2

Функции режима работы леса Windows Server 2008 R2 Windows Server 2008R2 forest functional level features

• Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности: All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
  • Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS. Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Функции режима работы домена Windows Server 2008 R2 Windows Server 2008R2 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008, а также: All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
  • Контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), который используется для проверки подлинности пользователей домена в маркере Kerberos каждого пользователя. Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user’s Kerberos token. Если эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями, например службы федерации Active Directory (AD FS), то данные маркера могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые были разработаны для определения авторизации на основе способа входа пользователя в систему. When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user’s logon method.
  • Автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера. Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Дополнительные сведения об управляемых учетных записях службы см. в статье Service Accounts Step-by-Step Guide (Пошаговое руководство по учетным записям служб). For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008 Windows Server 2008

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008

Функции режима работы леса Windows Server 2008 Windows Server 2008 forest functional level features

• Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций. All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Функции режима работы домена Windows Server 2008 Windows Server 2008 domain functional level features

Доступны все функции AD DS по умолчанию, все функции из режима работы домена Windows Server 2003, а также: All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:

Поддержка репликации распределенной файловой системы (DFS) для системного тома Windows Server 2003 (SYSVOL). Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

Поддержка репликации DFS обеспечивает более надежную и управляемую репликацию содержимого SYSVOL. DFS replication support provides more robust and detailed replication of SYSVOL contents.

Начиная с Windows Server 2012 R2, служба репликации файлов (FRS) не рекомендуется к использованию. Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Для нового домена, созданного на контроллере домена под управлением Windows Server 2012 R2 (не ниже), должен быть установлен режим работы домена Windows Server 2008 или выше. A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Для пространств имен на основе домена в режиме Windows Server 2008 также требуется, чтобы лес использовал режим работы леса Windows Server 2003. Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен). For more information, see Choose a Namespace Type.

Поддержка алгоритма AES (AES 128 и AES 256) для протокола Kerberos. Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Чтобы TGT выдавался с помощью AES, режим работы домена должен быть Windows Server 2008 или выше, а пароль домена необходимо изменить. In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

Дополнительные сведения см. в статье Kerberos Enhancements (Дополнительные возможности Kerberos). For more information, see Kerberos Enhancements.

При повышении режима работы домена до Windows Server 2008 или выше на контроллере домена могут возникать ошибки проверки подлинности, если он уже выполнил репликацию изменения DFL, но еще не обновил пароль KRBTGT. Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. В данном случае при перезапуске службы KDC на контроллере домена будет запущено обновление нового пароля KRBTGT в памяти и устранены связанные ошибки проверки подлинности. In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

В данных о последнем интерактивном входе в систему приведены следующие сведения: Last Interactive Logon Information displays the following information:

• Общее количество неудачных попыток входа на сервер Windows Server 2008, присоединенный к домену, или рабочую станцию Windows Vista. The total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
• Общее количество неудачных попыток входа после удачного входа на сервер Windows Server 2008 или рабочую станцию Windows Vista. The total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
• Время последней неудачной попытки входа на Windows Server 2008 или рабочую станцию Windows Vista. The time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
• Время последней удачной попытки входа на сервер Windows Server 2008 или рабочую станцию Windows Vista. The time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation

Детальные политики паролей позволяют задавать политики паролей и политики блокирования учетных записей для пользователей и глобальных групп безопасности в домене. Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Дополнительные сведения см. в статье AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Пошаговое руководство по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory). For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

Личные виртуальные рабочие столы Personal Virtual Desktops

• Чтобы использовать добавленные функции, предоставляемые на вкладке «Личный виртуальный рабочий стол» в диалоговом окне User Account Properties (Свойства учетной записи пользователя) в оснастке «Пользователи и компьютеры Active Directory», схема AD DS должна быть расширена для Windows Server 2008 R2 (версия объекта схемы = 47). To use the added functionality provided by the Personal Virtual Desktop tab in the User Account Properties dialog box in Active Directory Users and Computers, your AD DS schema must be extended for Windows Server 2008 R2 (schema object version = 47). Дополнительные сведения см. в статье Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide (Пошаговое руководство по развертыванию личных виртуальных рабочих столов с помощью подключения к удаленным рабочим столам и приложениям RemoteApp). For more information, see Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide.

Windows Server 2003 Windows Server 2003

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008
• Windows Server 2003 Windows Server 2003

Функции режима работы леса Windows Server 2003 Windows Server 2003 forest functional level features

• Доступны все функции AD DS по умолчанию, а также: All of the default AD DS features, and the following features, are available:
  • Доверие леса Forest trust
  • переименование домена. Domain rename
  • Репликация связанного значения. Linked-value replication
    • Репликация связанного значения позволяет изменить членство в группах для хранения и репликации значений отдельных участников вместо репликации всего членства как отдельного элемента. Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Хранение и репликация значений отдельных участников использует меньше пропускной способности сети и уменьшает количество циклов процессора во время репликации, а также предотвращает потерю обновлений при одновременном добавлении или удалении нескольких участников на разных контроллерах домена. Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
  • Возможность развертывания контроллера домена только для чтения (RODC). The ability to deploy a read-only domain controller (RODC)
  • Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Improved Knowledge Consistency Checker (KCC) algorithms and scalability
    • Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживать AD DS в режиме работы леса Windows 2000. The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. Улучшенный алгоритм выборов ISTG является механизмом выбора ISTG с меньшим уровнем вмешательства в режиме работы леса Windows 2000. The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
  • Возможность создания экземпляров динамического вспомогательного класса, называемых dynamicObject, в разделе каталога домена. The ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
  • Возможность преобразования экземпляра объекта inetOrgPerson в экземпляр объекта User, а также завершения преобразования в обратном направлении. The ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
  • Возможность создавать экземпляры новых типов групп для поддержки авторизации на основе ролей. The ability to create instances of new group types to support role-based authorization.
    • Эти типы называются основными группами приложений и группами запросов протокола LDAP. These types are called application basic groups and LDAP query groups.
  • деактивация и переопределение атрибутов и классов схемы. Deactivation and redefinition of attributes and classes in the schema. Следующие атрибуты можно использовать повторно: ldapDisplayName, schemaIdGuid, OID и mapiID. The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
  • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен). For more information, see Choose a Namespace Type.

Функции режима работы домена Windows Server 2003 Windows Server 2003 domain functional level features

• Доступны все функции AD DS по умолчанию, все функции основного режима Windows 2000 для режима работы домена, а также следующие функции. All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
  • Средство управления доменом Netdom.exe, позволяющее переименовывать контроллеры домена. The domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
  • Обновления метки времени входа. Logon time stamp updates
    • Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. (этот атрибут реплицируется внутри домена); This attribute is replicated within the domain.
  • Возможность задания атрибута userPassword в качестве эффективного пароля для объекта inetOrgPerson и объектов пользователей. The ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
  • Возможность перенаправления контейнеров пользователей и компьютеров. The ability to redirect Users and Computers containers
    • По умолчанию для размещения учетных записей компьютеров и пользователей или групп предоставляются два известных контейнера, а именно cn=Computers, и cn=Users,. By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Данная функция позволяет определять для этих учетных записей новое известное местоположение. This feature allows the definition of a new, well-known location for these accounts.
  • Возможность диспетчера авторизации хранить свои политики авторизации в службе AD DS. The ability for Authorization Manager to store its authorization policies in AD DS
  • Ограниченное делегирование Constrained delegation
    • Ограниченное делегирование позволяет приложениям использовать безопасное делегирование учетных данных пользователей с помощью проверки подлинности на основе Kerberos. Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
    • Делегирование можно включить только для конкретных служб назначения. You can restrict delegation to specific destination services only.
  • Выборочная проверка подлинности Selective authentication
    • Выборочная проверка подлинности позволяет задать пользователей и группы из доверенного леса, которым разрешена проверка подлинности на серверах ресурсов в доверяющем лесу. Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000 Windows 2000

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008
• Windows Server 2003 Windows Server 2003
• Windows 2000 Windows 2000