Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уровень леса домена

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Обновление схемы Active Directory

Обновление схемы Active Directory

  • Автор: Уваров А.С.
  • 14.05.2013

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

Однако при попытке добавить новый контроллер домена мы получим ошибку:

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке supportadprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории supporttools

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку supportadprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Функциональные уровни домена и леса.

Вчера при установке Exchange 2010 при подготове схемы и домена получил следующее сообщение: Что функциональный уровень леса и домена не соответствует требованиям, ну и соответственно отлуп.

Дело в том что до сего момента виртуальная среда у меня была развернута только на серверах с Win 2008, а нынешняя среда развернута на Win2003+Win2008, соответственно по умолчанию режим Win 2000.

Читать еще:  Контроллер домена для чтения

Пришлось быстренько изменить уровни, ну и за одно вспомнить про них:

Для Windows 2003 имеются 4 уровня функционирования (в Windows 2000 — 2 уровня):

Windows 2000 смешанный (Windows 2000 mixed)

В данном режиме в домене могут существовать резервные контроллеры домена под управлением системы Windows NT Server. Этот режим рассматривается как переходный в процессе модернизации служб каталогов с Windows NT на Windows 2000/2003. В этом режиме отсутствует ряд возможностей Active Directory — универсальные группы, вложенность групп. Кроме того, наличие контроллеров домена под управлением Windows NT накладывает ограничение на размер БД Active Directory (40 мегабайт).

После установки системы и создания первого контроллера домена домен всегда работает именно в смешанном режиме.

Windows 2000 основной (Windows 2000 native)

В данном режиме контроллерами домена могут быть серверы под управлением Windows 2000 и Windows 2003. В данном режиме появляется возможность использования универсальных групп, вложенность групп, и ликвидируется ограничение на размер БД Active Directory.

Windows 2003 промежуточный (Windows 2003 interim)

Данный уровень возможен только в том случае, когда контроллеры домена работают под управлением Windows NT и Windows 2003 (не может быть контроллеров с системой Windows 2000). Этот уровень доступен только тогда, когда производится установка Windows 2003 поверх контроллеров домена с Windows NT. Ограничения этого режима аналогичны смешанному режиму.

Это наивысший уровень функционирования домена, в котором есть контроллеры с Windows 2003, причем все контроллеры обязаны быть с системой Windows 2003.

Изменять уровень функционирования домена можно только в сторону его повышения. Сделать это можно с помощью административных консолей «Active Directory – домены и доверие» или «Active Directory – пользователи и компьютеры». Если в какой-либо из этих консолей щелкнуть правой кнопкой мыши на имени домена и выбрать в контекстном меню пункт «Изменение режима работы домена», то появится панель:

Для повышения уровня надо выбрать необходимый уровень и нажать кнопку «Изменить». После репликации данного изменения на все контроллеры в данном домене станут доступны специфичные для данного уровня возможности. Заметим, что произведенные изменения необратимы.

Для всего леса в целом также можно определять функциональные уровни. Это делается с помощью консоли «Active Directory – домены и доверие». Только правой кнопкой мыши надо щелкнуть не на имени домена, а на надписи «Active Directory – домены и доверие».

Существуют 3 уровня функционирования леса:

  • Windows 2000 (с контроллерами под управлением Windows NT, 2000 и 2003);
  • Windows 2003 interim (с контроллерами под управлением только Windows NT и 2003);
  • Windows 2003 (все домены всего леса — с контроллерами под управлением только Windows 2003).

Самый высокий уровень функционирования леса позволяет выполнять две очень важные задачи:

  • переименование доменов;
  • установление доверительных отношений между двумя не связанными друг с другом лесами с использованием Kerberos в качестве протокола аутентификации (без такого режима доверительные отношения могут устанавливаться только между отдельными доменами, а не целыми лесами, при этом будет использоваться менее защищенный протокол аутентификации NTLM).

Сменить режим работы леса можно вот так:

Соответственно говоря выбираем необходимый режим . Ну и соответственно после перезагрузки контроллера Exchange 2010 больше ни на что не ругался и был успешно установлен.

Контроллеры доменов

Модернизация доменов Windows 2000

Если вы модернизируете контроллеры домена (DC) Windows 2000 до Windows Server 2003 или добавляете контроллеры домена Windows Server 2003 в домен Windows 2000, то должны сначала подготовить домен (и лес , в котором он находится) из-за отличий в схеме между Active Directory Windows 2000 и Windows Server 2003. После этого установка и конфигурирование Active Directory Windows Server 2003 выполняется достаточно просто.

Подготовка леса и домена

Чтобы подготовиться к модернизации Windows 2000 в Windows Server 2003, вы должны сначала подготовить Active Directory с помощью утилиты командной строки adprep.exe , которая находится в папке i386 CD Windows Server 2003. Для выполнения этой задачи вы должны установить CD Windows Server 2003 на контроллерах домена Windows Server 2003 или скопировать папку i386 в какую-либо разделяемую точку сети. Сначала нужно модернизировать лес, затем — домен(ы).

  • Модернизация леса выполняется на контроллере, который является хозяином схемы (schema master).
  • Модернизация домена выполняется на контроллере, который является хозяином инфраструктуры (infrastructure master).

В большинстве систем хозяин схемы и хозяин инфраструктуры — это один и тот же компьютер. (См. ниже раздел «Описание ролей контроллера домена (DC)».)

Поскольку модернизация Active Directory — это нисходящий процесс, начните с леса. Для этого выполните следующие шаги на компьютере, который является хозяином схемы .

  1. Выполните резервное копирование компьютера, который является хозяином схемы , включая состояние системы.
  2. Отсоедините этот компьютер от сети.
  3. Откройте окно командной строки и перейдите в то место, где находится папка i386 Windows Server 2003 (это CD или разделяемая точка сети).
  4. Введите adprep /forestprep .

По окончании adprep.exe выполните следующую проверку на ошибки.

Запишите ошибки, которые выводились во время выполнения adprep.exe . Это конкретные ошибки, и по ним легко определить, что нужно исправить. Часто в сообщении об ошибке указываются шаги, которые требуются для устранения данной проблемы. Выполните все необходимые шаги, прежде чем перейти к модернизации домена.

Проверьте журнал System в Event Viewer, чтобы увидеть, не появились ли ошибки, связанные с модернизацией, или запустите диагностическое средство такое, как Dcdiag. (Если вы увидите сообщения об ошибках репликации, когда этот DC отсоединен от сети, это нормальная ситуация, которая не связана с adprep.exe .) Если сообщения об ошибках указывают на существенную проблему, восстановите этот компьютер ( хозяин схемы ) из резервной копии и исправьте конфигурацию этого DC, чтобы можно было успешно выполнить adprep /forestprep .

Если не возникло никаких ошибок, снова подсоедините этот компьютер ( хозяин схемы ) к сети. Если компьютер с хозяином схемы отличается от компьютера с хозяином инфраструктуры , то вам нужно подождать, пока изменения, внесенные программой adprep.exe , реплицируются с хозяина схемы на другой компьютер. Если эти два компьютера находятся в одной локальной сети, подождите примерно полчаса. Вам придется подождать больше (полдня или день), если эти компьютеры находятся в разных сайтах.

После репликации изменений хозяина схемы на другие контроллеры домена вы можете модернизировать этот домен: откройте окно командной строки на компьютере, который является хозяином инфраструктуры , и введите adprep /domainprep . Проведите проверку на ошибки, как это описано в предыдущем разделе по модернизации леса, и выполните все необходимые шаги для их устранения.

Подождите, пока будет выполнена репликация этого DC на данном предприятии, что может занять несколько часов или даже целый день в зависимости от географической конфигурации вашей инфраструктуры.

Читать еще:  Репликация между доменами

Модернизация контроллеров домена (DC) Windows 2000

После подготовки домена и леса вам нужно выполнить две простые задачи для модернизации каждого DC Windows 2000 к Windows Server 2003.

  1. Запустите Setup.exe с CD Windows Server 2003 или из сетевой разделяемой точки, чтобы модернизировать эту операционную систему в Windows Server 2003.
  2. После установки операционной системы выполните вход на этот компьютер и запустите мастер Active Directory Installation Wizard (который появляется автоматически).

Если вам требуются другие DC после установки первого DC в данном домене, то вы можете использовать альтернативный метод — восстановление состояния системы существующего DC на другом компьютере Windows Server 2003. См. выше раздел «Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии».

Модернизация доменов Windows NT 4

Прежде чем приступить к преобразованию ваших DC Windows NT 4 в DC Windows Server 2003, вы должны запомнить некоторые базовые правила.

  • Требуется DNS (см. следующий раздел «Решения по установке DNS»).
  • Функциональный уровень вашего Active Directory (как для леса, так и для домена) можно изменять до тех пор, пока не будет выполнена полная модернизация всего предприятия. (См. ниже раздел «Функциональные уровни домена и леса».)

Кроме того, вы должны, конечно, продумать и спланировать свою иерархию Active Directory , которая принципиально отличается от того, с чем вы работали в сети Windows NT

Решения по установке DNS

DNS является обязательным компонентом для Active Directory, и если в ваших сетях Windows NT 4 не было DNS, то у вас есть два способа установки этого недостающего компонента.

  • Сконфигурировать серверы DNS и установить службы DNS для вашей сети Windows NT 4 до модернизации.
  • Установить DNS на первом контроллере домена Windows Server 2003, который вы устанавливаете во время модернизации, и затем перераспределить службы DNS, как это описано выше в этой лекции.

Функциональные уровни домена и леса

Функциональные уровни домена и леса соответствуют уровням охвата средств Active Directory, доступных на вашем предприятии. Они зависят от версий Windows, используемых вашими DC. В случае крупных предприятий нереально думать, что за одну ночь (или даже за выходные дни) можно выполнить модернизацию сразу всех DC в систему Windows Server 2003, что эквивалентно новому предприятию для ваших администраторов и пользователей, когда они вернутся к работе.

Профессионалы ИТ называют также функциональные уровни «режимами», поскольку этот термин часто использовался, когда была выпущена версия Windows 2000. В то время использовали термин «смешанный режим» (mixed mode) для сетей с контроллерами домена, работающими под управлением Windows 2000, и резервными контроллерами домена ( BDC ) Windows NT 4, продолжающими работать в сети. Для сети, где все DC работают под управлением Windows 2000, использовался термин «собственный режим» (native mode). Предприятия, работающие в смешанном режиме, не могли использовать некоторые средства Active Directory, доступные только в собственном режиме. Например, использование универсальных групп, вложение групп и возможность перемещения субъектов безопасности (идентификаторов безопасности — SID) между доменами были только в собственном режиме.

Функциональные уровни, доступные при использовании Windows Server 2003, имеют более сложный характер, причем имеется разделение между функциональными уровнями домена и функциональными уровнями леса (что не имело смысла для режимов Windows 2000).

Функциональные уровни домена позволяют использовать определенные средства в конкретном домене. В зависимости от версий Windows ваших DC в домене могут использоваться четыре функциональных уровня домена.

Как узнать режим работы леса и режим работы домена Active Directory

Как узнать режим работы леса и режим работы домена Active Directory

Как узнать режим работы леса и режим работы домена Active Directory-01

Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.

Для того чтобы нам посмотреть нужную нам информацию есть два способа графический и через powershell, мы рассмотрим оба.

Как узнать режим работы домена Active Directory через оснастку ADUC

Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac

Как узнать режим работы леса и режим работы домена Active Directory-02

Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена

Как узнать режим работы леса и режим работы домена Active Directory-03

И видим что текущий режим Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-04

Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие

Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.

Как узнать режим работы леса и режим работы домена Active Directory-05

Щелкаем правым кликом по Active Directory — домены и доверие и из контекстного меню выбираем Изменить режим работы леса

Как узнать режим работы леса и режим работы домена Active Directory-06

и видим что лес работает в режиме Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-07

Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.

Как узнать режим работы леса и режим работы домена Active Directory-08

Как узнать режим работы леса и режим работы домена Active Directory через powershell

Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды

Если среди них нет модуля Active Directory то он устанавливается командой

И загружаем модуль Active Directory с помощью команды

Как узнать режим работы леса и режим работы домена Active Directory-09

Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.

Читать еще:  Имя учетной записи в домене

Как узнать режим работы леса и режим работы домена Active Directory-10

Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-11

Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Обновление схемы Active Directory

Обновление схемы Active Directory

  • Автор: Уваров А.С.
  • 14.05.2013

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

Однако при попытке добавить новый контроллер домена мы получим ошибку:

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке supportadprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории supporttools

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку supportadprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×