Поделиться через


Обновление контроллеров домена до более новой версии Windows Server

В этой статье содержатся общие сведения о службах домен Active Directory в Windows Server и описан процесс обновления контроллеров домена (DCS) из более ранней версии Windows Server.

Необходимые компоненты

Рекомендуемый способ обновления домена — повысить уровень новых серверов на контроллеры домена, которые выполняют более новую версию Windows Server и понизить старые контроллеры домена по мере необходимости. Этот метод предпочтительнее обновить операционную систему существующего контроллера домена, которая также называется обновлением на месте.

Выполните следующие общие действия, прежде чем повысить уровень сервера до контроллера домена, на котором выполняется более новая версия Windows Server:

  1. Убедитесь, что целевой сервер соответствует требованиям к системе.

  2. Проверка совместимости приложений.

  3. Ознакомьтесь с рекомендациями по переходу на более новую версию Windows Server.

  4. Проверьте параметры безопасности.

  5. Проверьте подключение к целевому серверу с компьютера, где планируется установка.

  6. Проверьте доступность необходимых ролей гибкой одно главной операции (FSMO) в Active Directory. Этот шаг необходим для следующих сценариев:

    • Чтобы установить первый контроллер домена, который запускает последнюю версию Windows Server в существующем домене и лесу, компьютер, на котором выполняется установка, требуется подключение:
      • Главный объект схемы для запуска adprep /forestprep.
      • Главный сервер инфраструктуры для запуска adprep /domainprep.
    • Чтобы установить первый контроллер домена в домене, где уже расширена схема леса, вам потребуется только подключение к главной инфраструктуре.
    • Чтобы установить или удалить домен в существующем лесу, необходимо подключиться к главному элементу именования домена.
    • Для любой установки контроллера домена также требуется подключение к главному элементу RID.
    • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, необходимо подключиться к главной инфраструктуре для каждой секции каталога приложений, которая также называется контекстом именования доменов.

    Чтобы узнать, какой сервер или серверы содержат роль FSMO, выполните следующие команды в сеансе PowerShell с повышенными привилегиями с помощью учетной записи, являющейся членом группы администраторов домена:

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
    Get-ADForest | FL DomainNamingMaster, SchemaMaster
    

Действия установки и необходимые административные уровни

В следующей таблице приведена сводка действий по установке и требований к разрешениям для выполнения этих действий.

Действие установки Требования к учетным данным
Установите новый лес. Локальный администратор на целевом сервере
Установите новый домен в существующем лесу. Администраторы предприятия
Установите другой контроллер домена в существующем домене. Администраторы домена
Запустите adprep /forestprep. Администраторы схемы, администраторы предприятия и администраторы домена
Запустите adprep /domainprep. Администраторы домена
Выполнить adprep /domainprep /gpprep. Администраторы домена
Запустите adprep /rodcprep. Администраторы предприятия

Поддерживаемые варианты обновления на месте

Поддерживаются только 64-разрядные обновления версий. Дополнительные сведения о поддерживаемых путях обновления см. в разделе "Поддерживаемые пути обновления".

Adprep — forestprep и domainprep

Для обновления на месте существующего контроллера домена необходимо запустить adprep /forestprep и adprep /domainprep вручную. Для каждой более новой версии Windows Server необходимо запустить Adprep /forestprep только один раз в лесу. Запустите Adprep /domainprep один раз в каждом домене, в котором есть контроллеры домена, которые обновляются для каждой новой версии Windows Server.

Если вы продвигаете новый сервер в контроллер домена, вам не нужно запускать эти средства командной строки вручную. Они интегрированы в PowerShell и диспетчер сервера интерфейсы.

Дополнительные сведения о запуске adprep см. в разделе "Запуск Adprep".

Функции и требования функционального уровня

Для Windows Server 2019 или более поздней версии требуется минимальный уровень работы леса Windows Server 2008. Для Windows Server 2016 требуется минимальный уровень работы леса Windows Server 2003. Если лес содержит контроллеры домена с более старым уровнем функциональности леса, чем операционная система поддерживает, установка блокируется. Эти контроллеры домена должны быть удалены, а уровень функциональности леса повышен до версии, поддерживаемой перед добавлением новых контроллеров домена Windows Server в лес. Дополнительные сведения о поддерживаемых функциональных уровнях см. в разделе "Леса" и "Доменные функциональные уровни".

Примечание.

С Windows Server 2016 новые уровни работы леса или домена не добавлены. Более поздние версии операционной системы могут использоваться для контроллеров домена. Они используют Windows Server 2016 в качестве последних функциональных уровней.

Откат функциональных уровней

После установки функционального уровня леса определенное значение нельзя откатить или снизить функциональный уровень леса, за исключением следующих исключений:

  • Если вы обновляете режим работы леса Windows Server 2012 R2, можно выполнить откат к Windows Server 2012 R2.
  • Если вы обновляете режим работы леса Windows Server 2008 R2, вы можете выполнить откат до Windows Server 2008 R2.

После установки уровня функциональности домена на определенное значение нельзя откатить или снизить функциональный уровень домена со следующими исключениями:

  • При повышении уровня работы домена до Windows Server 2016 и если уровень функциональности леса — Windows Server 2012 или ниже, у вас есть возможность переключения функционального уровня домена на Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения о функциях, доступных на каждом из функциональных уровней, см. в разделе "Леса" и "Функциональные уровни домена".

взаимодействие служб домен Active Directory

службы домен Active Directory не поддерживаются в следующих операционных системах Windows:

  • Windows MultiPoint Server
  • Windows Server Essentials

домен Active Directory службы не могут быть установлены на сервере, на котором также выполняются следующие роли сервера или службы ролей:

  • Microsoft Hyper-V Server
  • Посредник подключений к удаленному рабочему столу

Администрирование Windows Server

Используйте средства удаленного администрирования сервера для Windows 10 или более поздней версии для управления контроллерами домена и другими серверами под управлением Windows Server. Средства удаленного администрирования сервера Windows Server можно запустить на компьютере под управлением Windows 10 или более поздней версии.

Добавление нового контроллера домена с более новой версией Windows Server

В следующем примере показано, как обновить лес Contoso с предыдущей версии Windows Server до более поздней версии.

  1. Присоедините новый Сервер Windows Server к лесу. Перезапустите при появлении запроса.

    Снимок экрана: диспетчер сервера с диалоговым окном

  2. Войдите в новую учетную запись администратора домена Windows Server.

  3. В диспетчер сервера в разделе "Добавление ролей и компонентов" установите службы домен Active Directory на новом сервере Windows Server. Это действие автоматически запускает adprep в лесу и домене более ранней версии.

    Снимок экрана: страница

  4. В диспетчер сервера выберите желтый треугольник. В раскрывающемся списке выберите "Повысить уровень сервера до контроллера домена".

    Снимок экрана: диалоговое окно

  5. На экране "Конфигурация развертывания" выберите "Добавить новый домен" в существующий лес и нажмите кнопку "Далее".

    Снимок экрана: страница

  6. На экране параметров контроллера домена введите пароль режима восстановления служб каталогов (DSRM) и нажмите кнопку "Далее".

  7. Для остальных экранов нажмите кнопку "Далее".

  8. На экране проверки готовности нажмите кнопку "Установить". После завершения перезагрузки снова войдите.

  9. В более ранней версии Windows Server в диспетчер сервера в разделе "Инструменты" выберите модуль Active Directory для Windows PowerShell.

    Снимок экрана: раскрывающийся список инструментов в диспетчер сервера с параметром Active Directory для Windows PowerShell.

  10. В окне PowerShell используйте Move-ADDirectoryServerOperationMasterRole командлет для перемещения ролей FSMO. Можно ввести имя каждой роли мастера операций или использовать номера для указания ролей. Дополнительные сведения см. в разделе Move-ADDirectoryServerOperationMasterRole.

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
    

    Снимок экрана: окно модуля Active Directory для Windows PowerShell с результатами командлета Move-ADDirectoryServerOperationMasterRole.

  11. Чтобы убедиться, что роли были перемещены, перейдите на новый Сервер Windows Server. В диспетчер сервера в разделе "Сервис" выберите модуль Active Directory для Windows PowerShell. Get-ADDomain Используйте командлеты для Get-ADForest просмотра владельцев ролей FSMO.

    Снимок экрана: окно модуля Active Directory для Windows PowerShell с результатами командлета Get-ADDomain с помощью мастера инфраструктуры, эмулятора P D C и главных значений R I D Master.

    Снимок экрана: окно модуля Active Directory для Windows PowerShell, показывающее результаты командлета Get-ADForest со значениями master именования доменов и эталонных схем.

  12. Понижение и удаление предыдущего контроллера домена Windows Server. Сведения о том, как понизить контроллер домена, см. в разделе "Понижение контроллеров домена" и доменов.

  13. После понижения и удаления сервера можно повысить функциональный и доменный уровень леса до последней версии Windows Server.

Следующие шаги