Обновление лесов Active Directory до Windows Server 2016

Опубликовано: 17 Марта, 2023
Обновление лесов Active Directory до Windows Server 2016

Обновление лесов Active Directory до Windows Server 2016 — относительно простой процесс. На самом деле, существует множество способов выполнить обновление. Тем не менее, Microsoft разработала несколько рекомендаций по обновлению лесов Active Directory.

Основная идея рекомендаций Microsoft заключается в том, что лучше добавить контроллеры домена Windows Server 2016 и удалить устаревшие контроллеры домена Windows Server, чем пытаться выполнить обновление на месте на существующих контроллерах домена. Следует признать, что такой подход не всегда возможен, и Microsoft официально поддерживает определенные способы обновления на месте. Однако Microsoft рекомендует по возможности заменять, а не обновлять контроллеры домена.

Конечно, замена существующих контроллеров домена новыми — это большая работа, требующая тщательного планирования. Моя цель при написании этой статьи — показать вам некоторые задачи, которые могут потребоваться в рамках этого процесса.

Обновление лесов Active Directory: первый шаг

Первым шагом при переносе контроллера домена Windows Server 2016 в устаревший домен Windows Server является установка Windows Server 2016 на сервер, который в конечном итоге станет контроллером домена, а затем присоединение этого сервера к существующему домену.

Следующим шагом в этом процессе является определение текущего хозяина схемы для леса Active Directory. Вам также потребуется указать хозяина инфраструктуры для домена, к которому будет присоединен контроллер домена Windows Server 2016. Самый простой способ сделать это — открыть административное окно PowerShell на контроллере домена в целевом домене и ввести следующие команды:

Get-ADForest | Мастер схемы выбора объекта
Получить-ADDomain | Select-Object InfrastructureMaster

Вы можете увидеть, как это выглядит на рисунке ниже.

Изображение 4458
Причина, по которой вам необходимо знать имя мастера схемы и мастера инфраструктуры, заключается в том, что компьютеру с Windows Server 2016 потребуется подготовить схему Active Directory и домен Active Directory. Некоторым администраторам нравится делать это вручную с помощью команд ADPREP /FORESTPREP и ADPREP /DOMAINPREP, но вам не нужно вручную подготавливать Active Directory, если только вы этого не хотите. Преобразование сервера Windows Server 2016 в контроллер домена приведет к автоматической подготовке Active Directory. Однако для того, чтобы это работало, сервер Windows Server 2016 должен иметь возможность обмениваться данными с хозяином схемы и хозяином инфраструктуры. Вот почему важно определить сервер, который выполняет эти роли. Таким образом, вы сможете убедиться, что новый контроллер домена может взаимодействовать с хозяином инфраструктуры и хозяином схемы, прежде чем пытаться обновить Active Directory.

Еще одна вещь, которую вам нужно будет сделать, прежде чем переходить к обновлению домена, — это выяснить, что вы хотите сделать с DNS. Active Directory зависит от DNS. Если вы собираетесь деинициализировать свои устаревшие контроллеры домена, это может означать, что вы также деинициализируете свои DNS-серверы. В такой ситуации вы можете настроить один или несколько контроллеров домена Windows Server 2016 для работы в качестве DNS-сервера, а затем настроить DHCP-сервер для использования IP-адресов этих серверов в качестве DNS-серверов организации. Конечно, вам может потребоваться вручную обновить любые серверы, которые настроены на использование статических IP-адресов.

Добавить контроллер домена в домен

Чтобы добавить контроллер домена Windows Server 2016 в домен, войдите на компьютер с Windows Server 2016, откройте диспетчер серверов и запустите мастер добавления ролей и компонентов. Используйте экран выбора ролей мастера для установки доменных служб Active Directory и служб DNS-сервера (и любых необходимых функций), как показано на следующем рисунке.

Изображение 4459
Когда процесс установки завершится, откройте мастер настройки доменных служб Active Directory и используйте параметр для добавления контроллера домена в существующий домен, как показано на рисунке ниже.

Изображение 4460
Когда новый контроллер домена Windows Server 2016 запущен и работает, а сетевые конечные точки перенастроены для использования нового DNS-сервера, пришло время начать деинициализацию устаревших контроллеров домена. Однако перед этим рекомендуется перенести все роли FSMO на контроллер домена Windows Server 2016. Раньше это было очень утомительной задачей, но благодаря PowerShell она стала намного проще. Итак, из административного окна PowerShell введите следующую команду:

Move-ADDirectoryServerOperationMasterRole -Identity «<ваш контроллер домена>» -OperationMasterRole 0,1,2,3,4

Если вас интересуют числа в конце команды, то каждое число соответствует определенной роли. Вы можете увидеть, как это выглядит на рисунке ниже:

Изображение 4461
После передачи ролей вы можете приступить к понижению роли своих старых контроллеров домена. В более старых версиях Windows это означает выполнение команды DCPromo. В Windows Server 2012 вам придется использовать мастер удаления ролей и компонентов диспетчера серверов, чтобы удалить доменные службы Active Directory. При первой попытке вы получите сообщение об ошибке, подобное приведенному ниже. Однако обратите внимание, что в сообщении об ошибке содержится ссылка, которую можно использовать для понижения роли контроллера домена. После понижения роли контроллера домена можно удалить роль доменных служб Active Directory.

Изображение 4462
Когда все устаревшие контроллеры домена будут удалены и в организации будут работать только контроллеры домена Windows Server 2016, вы сможете повысить функциональные уровни леса и домена. Имейте в виду, что это означает, что вы не сможете добавить устаревшие контроллеры домена позже.

Чтобы повысить функциональный уровень, откройте консоль Active Directory Domains and Trusts, а затем щелкните правой кнопкой мыши свой домен и выберите команду «Повысить функциональный уровень домена», как показано ниже. Повысив функциональный уровень домена, щелкните правой кнопкой мыши контейнер Active Directory Domains and Trust и выберите команду «Повысить функциональный уровень леса», чтобы повысить функциональный уровень леса.

Помните, каждая реклама отличается

Обновление лесов Active Directory может оказаться сложной задачей. Хотя я провел вас через пример миграции, важно помнить, что каждая среда AD уникальна. Скорее всего, будут шаги, уникальные для вашей собственной среды, которые необходимо будет выполнить как часть процесса планирования и миграции.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023