Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Обновление схемы Active Directory

Обновление схемы Active Directory

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

• Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.

• Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

Однако при попытке добавить новый контроллер домена мы получим ошибку:

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке \support\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \support\tools

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \support\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

• Администраторы схемы
• Администраторы предприятия
• Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Полезные ссылки:

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Обновление контроллеров домена до Windows Server 2016 Upgrade Domain Controllers to Windows Server 2016

Область применения. Windows Server Applies To: Windows Server

В этом разделе содержатся фундаментальные сведения о службах домен Active Directory в Windows Server 2016 и объясняется процесс обновления контроллеров домена с Windows Server 2012 или Windows Server 2012 R2. This topic provides background information about Active Directory Domain Services in Windows Server 2016 and explains the process for upgrading domain controllers from Windows Server 2012 or Windows Server 2012 R2.

Предварительные требования Pre-requisites

Рекомендуемый способ обновления домена — повысить уровень контроллеров домена, на которых работают более новые версии Windows Server, и при необходимости понизить прежние контроллеры домена. The recommended way to upgrade a domain is to promote domain controllers that run newer versions of Windows Server and demote the older domain controllers as needed. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена. That method is preferable to upgrading the operating system of an existing domain controller. В этом списке описаны общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена под управлением более новой версии Windows Server. This list covers general steps to follow before you promote a domain controller that runs a newer version of Windows Server:

1. Убедитесь, что целевой сервер отвечает требованиям к системе. Verify the target server meets system requirements.
2. Проверьте совместимость приложений. Verify Application compatibility.
3. Ознакомьтесь с рекомендациями по переходу на Windows Server 2016 Review Recommendations for moving to Windows Server 2016
4. Проверьте параметры безопасности. Verify security settings. Дополнительные сведения см. в разделе устаревшие функции и изменения в работе, связанные с AD DS в Windows Server 2016. For more information, see Deprecated features and behavior changes related to AD DS in Windows Server 2016.
5. Проверьте подключение к целевому серверу с компьютера, где планируется установка. Check connectivity to the target server from the computer where you plan to run the installation.
6. Проверьте доступность необходимых ролей хозяина операций. Check for availability of necessary operation master roles:
   • Чтобы установить первый контроллер домена под управлением Windows Server 2016 в существующем домене и лесу, на компьютере, где выполняется установка, необходимо подключиться к хозяину схемы , чтобы запустить adprep/forestprep и хозяин инфраструктуры для запуска Adprep/домаинпреп. To install the first DC that runs Windows Server 2016 in an existing domain and forest, the machine where you run the installation needs connectivity to the schema master in order to run adprep /forestprep and the infrastructure master in order to run adprep /domainprep.
   • Чтобы установить первый контроллер домена в домене, где схема леса уже расширена, требуется подключение только к хозяину инфраструктуры. To install the first DC in a domain where the forest schema is already extended, you only need connectivity to the infrastructure master.
   • Для установки или удаления домена в существующем лесу необходимо подключение к хозяину именования доменов. To install or remove a domain in an existing forest, you need connectivity to the domain naming master.
   • Для установки контроллера домена также требуется подключение к хозяину RID. Any domain controller installation also requires connectivity to the RID master.
   • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам потребуется подключение к хозяину инфраструктуры для каждого раздела каталога приложений, также известного как контекст именования не в ДОМЕНЕ или нднк. If you are installing the first read-only domain controller in an existing forest, you need connectivity to the infrastructure master for each application directory partition, also known as a non-domain naming context or NDNC.

Этапы установки и требуемые административные уровни Installation steps and required administrative levels

В следующей таблице приведена сводка этапов обновления и требования к разрешениям для выполнения этих действий. The following table provides a summary of the upgrade steps and the permission requirements to accomplish these steps

Действие установки Installation action	Требования к учетным данным Credential requirements
Установка нового леса Install a new forest	Локальный администратор на целевом сервере Local Administrator on the target server
Установка нового домена в существующем лесу Install a new domain in an existing forest	Администраторы предприятия Enterprise Admins
Установка дополнительного контроллера домена в существующем домене Install an additional DC in an existing domain	Администраторы домена Domain Admins
Выполнение команды adprep /forestprep Run adprep /forestprep	Администраторы схемы, администраторы предприятия и администраторы домена Schema Admins, Enterprise Admins, and Domain Admins
Выполнение команды adprep /domainprep Run adprep /domainprep	Администраторы домена Domain Admins
Выполнение команды adprep /domainprep /gpprep Run adprep /domainprep /gpprep	Администраторы домена Domain Admins
Выполнение команды adprep /rodcprep Run adprep /rodcprep	Администраторы предприятия Enterprise Admins

Дополнительные сведения о новых возможностях Windows Server 2016 см. в статье новые возможности Windows server 2016. For additional information on new features in Windows Server 2016, see What’s new in Windows Server 2016.

Поддерживаемые варианты обновления на месте Supported in-place upgrade paths

Контроллеры домена под управлением 64-разрядных версий Windows Server 2012 или Windows Server 2012 R2 можно обновить до Windows Server 2016. Domain controllers that run 64-bit versions of Windows Server 2012 or Windows Server 2012 R2 can be upgraded to Windows Server 2016. Поддерживаются только обновления 64-разрядных версий, так как Windows Server 2016 поставляется только в виде 64-разрядной версии. Only 64-bit version upgrades are supported because Windows Server 2016 only comes in a 64-bit version.

Используемый выпуск If you are running this edition:	Доступно обновление до следующих выпусков You can upgrade to these editions:
Windows Server 2012 Standard Windows Server 2012 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 Datacenter Windows Server 2012 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Windows Server 2012 R2 Standard Windows Server 2012 R2 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Windows Server 2012 R2 Essentials Windows Server 2012 R2 Essentials	Windows Server 2016 Essentials Windows Server 2016 Essentials
Windows Storage Server 2012 Standard Windows Storage Server 2012 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 Workgroup Windows Storage Server 2012 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup
Windows Storage Server 2012 R2 Standard Windows Storage Server 2012 R2 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 R2 Workgroup Windows Storage Server 2012 R2 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup

Дополнительные сведения о поддерживаемых путях обновления см. в разделе Поддерживаемые варианты обновления . For more information about supported upgrade paths, see Supported Upgrade Paths

Adprep и domainprep Adprep and Domainprep

При выполнении обновления на месте существующего контроллера домена до операционной системы Windows Server 2016 необходимо выполнить adprep/forestprep и adprep/domainprep вручную. If you are doing an in-place upgrade of an existing domain controller to the Windows Server 2016 operating system, you will need to run adprep /forestprep and adprep /domainprep manually. Adprep/forestprep необходимо запустить в лесу только один раз. Adprep /forestprep needs to be run only once in the forest. Программа adprep/domainprep должна запускаться один раз в каждом домене, в котором имеются контроллеры домена, обновляемые до Windows Server 2016. Adprep /domainprep needs to be run once in each domain in which you have domain controllers that you are upgrading to Windows Server 2016.

При повышении уровня нового сервера Windows Server 2016 вам не нужно запускать их вручную. If you are promoting a new Windows Server 2016 server you do not need to run these manually. Они встроены в PowerShell и диспетчер сервера возможности. These are integrated into the PowerShell and Server Manager experiences.

Дополнительные сведения о запуске Adprep см. в разделе Выполнение Adprep . For more information on running adprep see Running Adprep

Возможности режимов работы и требования Functional level features and requirements

Для Windows Server 2016 требуется функциональный уровень леса Windows Server 2003. Windows Server 2016 requires a Windows Server 2003 forest functional level. Это значит, что перед добавлением контроллера домена под управлением Windows Server 2016 в существующий лес Active Directory в качестве функционального уровня леса необходимо использовать Windows Server 2003 или более поздней версии. That is, before you can add a domain controller that runs Windows Server 2016 to an existing Active Directory forest, the forest functional level must be Windows Server 2003 or higher. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется. If the forest contains domain controllers running Windows Server 2003 or later but the forest functional level is still Windows 2000, the installation is also blocked.

Перед добавлением контроллеров домена Windows Server 2016 в лес необходимо удалить контроллеры домена Windows 2000. Windows 2000 domain controllers must be removed prior to adding Windows Server 2016 domain controllers to your forest. В этом случае порядок действий будет следующим. In this case, consider the following workflow:

1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Install domain controllers that run Windows Server 2003 or later. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. These domain controllers can be deployed on an evaluation version of Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы. This step also requires running adprep.exe for that operating system release as a prerequisite.
2. Удалите контроллеры домена под управлением Windows 2000. Remove the Windows 2000 domain controllers. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента «Пользователи и компьютеры Active Directory» удалите учетные записи для всех удаленных контроллеров домена. Specifically, gracefully demote or forcibly remove Windows Server 2000 domain controllers from the domain and used Active Directory Users and Computers to remove the domain controller accounts for all removed domain controllers.
3. Повысьте режим работы леса до Windows Server 2003 или выше. Raise the forest functional level to Windows Server 2003 or higher.
4. Установите контроллеры домена под управлением Windows Server 2016. Install domain controllers that run Windows Server 2016.
5. Удалите контроллеры домена под управлением более ранних версий Windows Server. Remove domain controllers that run earlier versions of Windows Server.

Откат функциональных уровней Rolling back functional levels

После настройки режима работы леса (FFL) на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих: After you set the forest functional level (FFL) to a certain value, you cannot roll back or lower the forest functional level, with the following exceptions:

• При обновлении с Windows Server 2012 R2 FFL можно уменьшить его до Windows Server 2012 R2. If you are upgrading from Windows Server 2012 R2 FFL, you can lower it back to Windows Server 2012 R2.
• При обновлении с Windows Server 2008 R2 FFL можно уменьшить его до Windows Server 2008 R2. If you are upgrading from Windows Server 2008 R2 FFL, you can lower it back to Windows Server 2008 R2.

После того как для режима работы домена задано определенное значение, откат или понижение режима работы домена невозможно, за исключением следующих: After you set the domain functional level to a certain value, you cannot roll back or lower the domain functional level, with the following exceptions:

• При повышении режима работы домена до Windows Server 2016, если режим работы леса — Windows Server 2012 или более ранняя, у вас есть возможность изменить режим работы домена на Windows Server 2012 или Windows Server 2012 R2. When you raise the domain functional level to Windows Server 2016 and if the forest functional level is Windows Server 2012 or lower, you have the option of rolling the domain functional level back to Windows Server 2012 or Windows Server 2012 R2.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS). For more information about features that are available at lower functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.

Взаимодействие доменных служб Active Directory с другими ролями сервера и операционными системами Windows AD DS interoperability with other server roles and Windows operating systems

Доменные службы Active Directory не поддерживаются в следующих операционных системах Windows: AD DS is not supported on the following Windows operating systems:

• Windows MultiPoint Server Windows MultiPoint Server
• Windows Server 2016 Essentials Windows Server 2016 Essentials

Доменные службы Active Directory нельзя установить на сервере, на котором выполняются следующие роли или службы ролей: AD DS cannot be installed on a server that also runs the following server roles or role services:

• Microsoft Hyper-V Server 2016 Microsoft Hyper-V Server 2016
• Посредник подключений к удаленному рабочему столу Remote Desktop Connection Broker

Администрирование серверов Windows Server 2016 Administration of Windows Server 2016 servers

Используйте средства удаленного администрирования сервера для Windows 10, чтобы управлять контроллерами домена и другими серверами под управлением Windows Server 2016. Use the Remote Server Administration Tools for Windows 10 to manage domain controllers and other servers that run Windows Server 2016. Средства удаленного администрирования сервера Windows Server 2016 можно запустить на компьютере под управлением Windows 10. You can run the Windows Server 2016 Remote Server Administration Tools on a computer that runs Windows 10.

Пошаговые инструкции по обновлению до Windows Server 2016 Step-by-Step for Upgrading to Windows Server 2016

Ниже приведен простой пример обновления леса contoso с Windows Server 2012 R2 до Windows Server 2016. The following is a simple example of upgrading the Contoso forest from Windows Server 2012 R2 to Windows Server 2016.

Присоедините новый сервер Windows Server 2016 к лесу. Join the new Windows Server 2016 to your forest. При появлении запроса перезагрузите компьютер. Restart when prompted.

Войдите на новый сервер Windows Server 2016 с учетной записью администратора домена. Sign in to the new Windows Server 2016 with a domain admin account.

В Диспетчер сервера в разделе Добавление ролей и компонентов установите службы домен Active Directory на новом сервере Windows Server 2016. In Server Manager, under Add Roles and Features, install Active Directory Domain Services on the new Windows Server 2016. Программа Adprep будет автоматически запущена в лесу и домене 2012 R2. This will automatically run adprep on the 2012 R2 forest and domain.

В Диспетчер сервера щелкните желтый треугольник и в раскрывающемся списке выберите повысить уровень сервера до контроллера домена. In Server Manager, click the yellow triangle, and from the drop-down click Promote the server to a domain controller.

На экране Конфигурация развертывания выберите Добавить контроллер домена в существующий лес и нажмите кнопку Далее. On the Deployment Configuration screen, select Add a domain controller to an existing forest and click next.

На экране параметры контроллера домена введите пароль в режиме восстановления служб каталогов (DSRM) и нажмите кнопку Далее. On the Domain Controller options screen, enter the Directory Services Restore Mode (DSRM) password and click next.

В оставшейся части экрана нажмите кнопку Далее. For the remainder of the screens click Next.

На экране Проверка готовности нажмите кнопку установить. On the Prerequisite Check screen, click install. После завершения перезагрузки можно снова войти в систему. Once the restart has completed you can sign back in.

На сервере Windows Server 2012 R2 в Диспетчер сервера в разделе средства выберите Active Directory модуль для Windows PowerShell. On the Windows Server 2012 R2 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell.

В Windows PowerShell используйте Move-ADDirectoryServerOperationMasterRole, чтобы переместить роли FSMO. In the PowerShell windows use the Move-ADDirectoryServerOperationMasterRole to move the FSMO roles. Можно ввести имя каждого параметра-Оператионмастерроле или использовать числа, чтобы указать роли. You can type the name of each -OperationMasterRole or use numbers to specify the roles. Дополнительные сведения см. в разделе Move-аддиректорисервероператионмастерроле . For more information see Move-ADDirectoryServerOperationMasterRole

Убедитесь, что роли перемещены, перейдя на сервер Windows Server 2016, в Диспетчер сервера в разделе средства выберите Active Directory модуль для Windows PowerShell. Verify the roles have been moved by going to the Windows Server 2016 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell. Используйте Get-ADDomain Get-ADForest командлеты и для просмотра владельцев ролей FSMO. Use the Get-ADDomain and Get-ADForest cmdlets to view the FSMO role holders.

Понизьте и удалите контроллер домена Windows Server 2012 R2. Demote and remove the Windows Server 2012 R2 domain controller. Сведения о понижении роли контроллера домена см. в статье понижение роли контроллеров доменов и доменов . For information on demoting a dc, see Demoting Domain Controllers and Domains

После понижения и удаления сервера можно повысить функциональные уровни леса и функциональных уровней домена до Windows Server 2016. Once the server is demoted and removed you can raise the forest functional and domain functional levels to Windows Server 2016.