Udostępnij za pośrednictwem

Uaktualnianie kontrolerów domeny do nowszej wersji systemu Windows Server

Ten artykuł zawiera podstawowe informacje o usługach Active Directory Domain Services w systemie Windows Server i wyjaśnia proces uaktualniania kontrolerów domeny (DCs) z wcześniejszej wersji systemu Windows Server.

Warunki wstępne

Zalecanym sposobem uaktualnienia domeny jest promowanie nowych serwerów na kontrolery domeny, które działają na nowszej wersji systemu Windows Server, i degradowanie starszych kontrolerów domeny zgodnie z potrzebami. Ta metoda jest preferowana względem aktualizacji systemu operacyjnego istniejącego kontrolera domeny, która jest również znana jako aktualizacja na miejscu.

Zanim podniesiesz serwer do roli kontrolera domeny, który działa na nowszej wersji systemu Windows Server, wykonaj następujące ogólne kroki:

  1. Sprawdź, czy serwer docelowy spełnia wymagania systemowe .

  2. Zweryfikuj zgodność aplikacji.

  3. Przejrzyj zalecenia dotyczące przechodzenia do nowszej wersji systemu Windows Server.

  4. Sprawdź ustawienia zabezpieczeń.

  5. Sprawdź łączność z serwerem docelowym z komputera, na którym planujesz uruchomić instalację.

  6. Sprawdź dostępność niezbędnych ról Flexible Single Master Operation (FSMO) w usłudze Active Directory. Ten krok jest wymagany w następujących scenariuszach:

    • Aby zainstalować pierwszy kontroler domen z najnowszą wersją systemu Windows Server w istniejącej domenie i lesie domen, komputer, na którym wykonujesz instalację, wymaga łączności z:
      • Mistrz schematu , aby uruchomić adprep /forestprep.
      • Mistrz infrastruktury do uruchamiania adprep /domainprep.
    • Aby zainstalować pierwszy kontroler domeny w domenie, w której schemat lasu jest już rozszerzony, potrzebujesz tylko łączności z serwerem głównym infrastruktury .
    • Aby zainstalować lub usunąć domenę w istniejącym lesie, musisz mieć łączność z serwerem głównym nazewnictwa domeny .
    • Każda instalacja prądu stałego wymaga również łączności z jednostką główną identyfikatora RID .
    • Jeśli instalujesz pierwszy kontroler domeny w trybie tylko do odczytu w istniejącym lesie, musisz mieć łączność z serwerem głównym infrastruktury dla każdej partycji katalogu aplikacji, znanej również jako kontekst nazewniczy niebędący domeną.

    Aby dowiedzieć się, który serwer lub serwery posiadają rolę FSMO, uruchom następujące polecenia w sesji programu PowerShell z podwyższonym poziomem uprawnień przy użyciu konta, które jest członkiem grupy Administratorzy domeny:

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster

Akcje instalacji i wymagane poziomy administracyjne

Poniższa tabela zawiera podsumowanie akcji instalacji i wymagań dotyczących uprawnień do wykonania tych kroków.

Akcja instalacji Wymagania dotyczące poświadczeń
Zainstaluj nowy las. Administrator lokalny na serwerze docelowym
Zainstaluj nową domenę w istniejącym lesie. Administratorzy przedsiębiorstwa
Zainstaluj inny kontroler domeny w istniejącej domenie. Administratorzy domeny
Uruchom adprep /forestprep. Administratorzy schematu, administratorzy przedsiębiorstwa i administratorzy domeny
Uruchom adprep /domainprep. Administratorzy domeny
Uruchom adprep /domainprep /gpprep. Administratorzy domeny
Uruchom adprep /rodcprep. Administratorzy przedsiębiorstwa

Obsługiwane ścieżki uaktualnienia na miejscu

Obsługiwane są tylko uaktualnienia wersji 64-bitowej. Aby uzyskać więcej informacji na temat obsługiwanych ścieżek uaktualniania, zobacz Obsługiwane ścieżki uaktualniania.

Adprep — forestprep i domainprep

W przypadku uaktualnienia w miejscu istniejącego kontrolera domeny należy uruchomić adprep /forestprep i adprep /domainprep ręcznie. Należy uruchomić Adprep /forestprep tylko raz w lesie dla każdej nowszej wersji systemu Windows Server. Uruchom Adprep /domainprep jeden raz w każdej domenie, w której masz kontrolery domeny, które aktualizujesz do każdej nowszej wersji systemu Windows Server.

Jeśli promujesz nowy serwer do kontrolera domeny, nie musisz uruchamiać tych narzędzi wiersza polecenia ręcznie. Są one zintegrowane z środowiskami programu PowerShell i Menedżera serwera.

Aby uzyskać więcej informacji na temat uruchamiania narzędzia adprep, zobacz Running Adprep.

Funkcje i wymagania na poziomie funkcjonalnym

System Windows Server 2019 lub nowszy wymaga co najmniej poziomu funkcjonalności lasu systemu Windows Server 2008. System Windows Server 2016 wymaga co najmniej poziomu funkcjonalności lasu systemu Windows Server 2003. Jeśli las zawiera kontrolery domeny z poziomem funkcjonalności lasu starszym, niż obsługiwany przez system operacyjny, instalacja zostanie zablokowana. Te kontrolery domeny muszą zostać usunięte, a poziom funkcjonalności lasu podniesiony do wersji obsługiwanej przed dodaniem nowszych kontrolerów domeny systemu Windows Server do lasu. Aby uzyskać więcej informacji na temat obsługiwanych poziomów funkcjonalnych, zobacz poziomy funkcjonalne lasu i domeny.

Notatka

Od czasu wprowadzenia systemu Windows Server 2016 nie dodano żadnych nowych poziomów funkcjonalności lasu lub domeny. Nowsze wersje systemu operacyjnego mogą i powinny być używane dla kontrolerów domeny. Używają systemu Windows Server 2016 jako najnowszych poziomów funkcjonalności.

Przywracanie poziomów funkcjonalności

Po ustawieniu poziomu funkcjonalności lasu na określoną wartość nie można wycofać ani obniżyć poziomu funkcjonalności lasu z następującymi wyjątkami:

  • Jeśli uaktualniasz poziom funkcjonalności lasu z systemu Windows Server 2012 R2, możesz wrócić do systemu Windows Server 2012 R2.
  • Jeśli uaktualniasz poziom funkcjonalności lasu z systemu Windows Server 2008 R2, możesz przywrócić system Windows Server 2008 R2.

Po ustawieniu poziomu funkcjonalności domeny na określoną wartość nie można wycofać ani obniżyć poziomu funkcjonalności domeny z następującymi wyjątkami:

  • W przypadku podniesienia poziomu funkcjonalności domeny do systemu Windows Server 2016 i jeśli poziom funkcjonalności lasu to Windows Server 2012 lub niższy, możesz przełączyć poziom funkcjonalności domeny z powrotem do systemu Windows Server 2012 lub Windows Server 2012 R2.

Aby uzyskać więcej informacji na temat funkcji dostępnych na każdym z poziomów funkcjonalności, zobacz Las i poziomy funkcjonalności domeny.

Interoperacyjność usług Active Directory Domain Services

Usługi Active Directory Domain Services nie są obsługiwane w następujących systemach operacyjnych Windows:

  • Windows MultiPoint Server
  • Windows Server Essentials

Nie można zainstalować usług Active Directory Domain Services na serwerze, na którym są również uruchomione następujące role serwera lub usługi ról:

  • Microsoft Hyper-V Server
  • Broker połączeń usług pulpitu zdalnego

Administrowanie systemem Windows Server

Użyj narzędzi administracji zdalnej serwera dla systemu Windows 10 lub nowszego, aby zarządzać kontrolerami domeny i innymi serwerami z systemem Windows Server. Narzędzia administracji zdalnej serwera systemu Windows Server można uruchomić na komputerze z systemem Windows 10 lub nowszym.

Dodawanie nowego kontrolera domeny z nowszą wersją systemu Windows Server

W poniższym przykładzie pokazano, jak uaktualnić las Contoso z poprzedniej wersji systemu Windows Server do nowszej wersji.

  1. Dołącz nowy system Windows Server do lasu domen Windows. Uruchom ponownie po wyświetleniu powiadomienia.

    Zrzut ekranu Menedżera serwera przedstawiający okna dialogowe Właściwości systemów i Nazwa komputera/Zmiany domeny.

  2. Zaloguj się do nowego systemu Windows Server przy użyciu konta administratora domeny.

  3. W Menedżerze serweraw obszarze Dodaj role i funkcjezainstaluj usługi Active Directory Domain Services na nowym serwerze Windows Server. Ta akcja automatycznie uruchamia program adprep we wcześniejszej wersji lasu i domeny.

    Zrzut ekranu przedstawiający stronę Wybieranie ról serwera w Kreatorze dodawania ról i funkcji z wyróżnioną opcją Usługi domenowe Active Directory.

  4. W menedżerze serwera wybierz żółty trójkąt. Z listy rozwijanej wybierz pozycję Promuj serwer do roli kontrolera domeny.

    Zrzut ekranu przedstawiający okno dialogowe Postęp konfiguracji po wdrożeniu z wywołaną opcją Podwyższanie poziomu serwera do kontrolera domeny.

  5. Na ekranie konfiguracja wdrożenia wybierz pozycję Dodaj kontroler domeny do istniejącej domeny, a następnie kliknij przycisk Dalej.

    pl-PL: Zrzut ekranu strony Konfiguracja wdrożenia w Kreatorze konfiguracji usług domenowych Active Directory, z zaznaczoną opcją Dodaj kontroler domeny do istniejącej domeny.

  6. Na ekranie opcji kontrolera domeny wprowadź hasło Tryb przywracania usług katalogowych (DSRM), a następnie wybierz pozycję Dalej.

  7. Na pozostałych ekranach wybierz Dalej.

  8. Na ekranie sprawdzania wymagań wstępnych wybierz pozycję Zainstaluj. Po zakończeniu ponownego uruchamiania zaloguj się ponownie.

  9. We wcześniejszej wersji systemu Windows Server w Menedżerze serwera w obszarze narzędzia Toolswybierz pozycję Active Directory Module for Windows PowerShell.

    Zrzut ekranu przedstawiający listę rozwijaną Narzędzia w Menedżerze serwera z wywołaną opcją Moduł usługi Active Directory dla programu Windows PowerShell.

  10. W oknie programu PowerShell użyj polecenia cmdlet Move-ADDirectoryServerOperationMasterRole, aby przenieść role FSMO. Możesz wprowadzić nazwę każdej roli głównej operacji lub użyć liczb, aby określić role. Aby uzyskać więcej informacji, zobacz Move-ADDirectoryServerOperationMasterRole.

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4

    Zrzut ekranu przedstawiający okno modułu usługi Active Directory dla programu Windows PowerShell z wynikami polecenia cmdlet Move-ADDirectoryServerOperationMasterRole.

  11. Aby sprawdzić, czy role zostały przeniesione, przejdź do nowego systemu Windows Server. W Menedżerze serwera , w sekcji Narzędzia , wybierz pozycję Moduł usługi Active Directory dla programu Windows PowerShell. Użyj poleceń cmdlet Get-ADDomain i Get-ADForest, aby wyświetlić posiadaczy ról FSMO.

    Zrzut ekranu okna modułu Active Directory dla środowiska Windows PowerShell, pokazujący wyniki polecenia cmdlet Get-ADDomain z wywołanymi wartościami wzorca infrastruktury, emulatora P D C i wzorca R I D.

    Zrzut ekranu przedstawiający okno modułu usługi Active Directory dla środowiska Windows PowerShell z wyświetlonymi wynikami polecenia cmdlet Get-ADForest z nazwami głównymi domeny i wartościami wzorca schematu.

  12. Obniż i usuń wcześniejszy kontroler domeny systemu Windows Server. Aby uzyskać informacje na temat obniżania poziomu kontrolera domeny, zobacz obniżanie poziomu kontrolerów domeny i domen.

  13. Po obniżeniu i usunięciu serwera można podnieść poziom funkcjonalności lasu i funkcjonalności domeny do najnowszej wersji systemu Windows Server.

Następne kroki