Обновление контроллеров домена до более новой версии сервера Windows

  • Статья
  • Чтение занимает 5 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье приводятся общие сведения о доменные службы Active Directory на сервере Windows и описан процесс обновления контроллеров домена (DCS) с более ранней версии Windows Server.

Предварительные требования

Рекомендуемый способ обновления домена — повысить уровень новых серверов до контроллеров домена, работающих под управлением более новой версии сервера Windows Server, и понизить старые контроллеры домена по мере необходимости. Этот метод предпочтителен для обновления операционной системы существующего контроллера домена, который также называется обновлением на месте.

Перед повышением уровня сервера до контроллера домена, на котором выполняется более новая версия сервера Windows Server, выполните следующие общие действия.

  1. Убедитесь, что целевой сервер соответствует требованиям к системе.

  2. Проверка совместимости приложений.

  3. Ознакомьтесь с рекомендациями по переходу на более новую версию Windows Server.

  4. Проверьте параметры безопасности.

  5. Проверьте подключение к целевому серверу с компьютера, где планируется установка.

  6. Проверьте доступность необходимых ролей гибкой отдельной главной операции (FSMO) в Active Directory. Этот шаг необходим для следующих сценариев:

    • Чтобы установить первый контроллер домена, на котором выполняется последняя версия сервера Windows в существующем домене и лесу, компьютер, на котором выполняется установка, требуется подключение:
      • Главный узел схемы для запуска adprep /forestprep.
      • Главный узел инфраструктуры для запускаadprep /domainprep.
    • Чтобы установить первый контроллер домена в домене, в котором уже расширена схема леса, требуется только подключение к главной инфраструктуре.
    • Чтобы установить или удалить домен в существующем лесу, необходимо подключиться к главному домену именования.
    • Для любой установки контроллера домена также требуется подключение к главному контроллеру RID.
    • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, необходимо подключиться к главной инфраструктуре для каждой секции каталога приложения, которая также называется контекстом именования без домена.

    Чтобы узнать, какой сервер или серверы содержат роль FSMO, выполните следующие команды в сеансе PowerShell с повышенными привилегиями с помощью учетной записи, которая входит в группу администраторов домена:

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster

Действия установки и необходимые административные уровни

В следующей таблице приведена сводка действий по установке и требований к разрешениям для выполнения этих действий.

Действие установки Требования к учетным данным
Установите новый лес. Локальный администратор на целевом сервере
Установите новый домен в существующем лесу. администраторы Enterprise
Установите другой контроллер домена в существующем домене. Администраторы домена
Выполните adprep /forestprep. Администраторы схемы, администраторы предприятия и администраторы домена
Выполните adprep /domainprep. Администраторы домена
Выполнить adprep /domainprep /gpprep. Администраторы домена
Выполните adprep /rodcprep. администраторы Enterprise

Поддерживаемые варианты обновления на месте

Поддерживаются только 64-разрядные обновления версий. См. дополнительные сведения о поддерживаемых вариантах обновления.

Adprep — forestprep и domainprep

Для обновления на месте существующего контроллера домена необходимо запустить adprep /forestprep и adprep /domainprep вручную. Для каждой новой версии Windows Server необходимо запустить Adprep /forestprep только один раз в лесу. Запустите Adprep /domainprep один раз в каждом домене, в котором есть контроллеры домена, которые обновляются для каждой более новой версии сервера Windows.

Если вы продвигаете новый сервер на контроллер домена, вам не нужно запускать эти программы командной строки вручную. Они интегрированы в PowerShell и диспетчер сервера интерфейсы.

Дополнительные сведения о запуске adprep см. в разделе "Запуск Adprep".

Функции и требования функционального уровня

Windows Server 2019 или более поздней версии требуется минимальный уровень работы леса Windows Server 2008. Windows Server 2016 требуется как минимум режим работы леса Windows Server 2003. Если лес содержит контроллеры домена с более старым уровнем работы леса, чем поддерживает операционная система, установка блокируется. Эти контроллеры домена должны быть удалены, а уровень работы леса повышен до поддерживаемой версии, прежде чем добавлять в лес новые контроллеры домена сервера Windows. Дополнительные сведения о поддерживаемых функциональных уровнях см. в разделе "Функциональные уровни леса и домена".

Примечание

С Windows Server 2016 новые уровни работы леса или домена не были добавлены. Более поздние версии операционной системы можно использовать для контроллеров домена. Они используют Windows Server 2016 в качестве последних функциональных уровней.

Откат функциональных уровней

После установки режима работы леса на определенное значение вы не сможете выполнить откат или уменьшить функциональный уровень леса со следующими исключениями:

  • Если вы обновляете режим работы леса Windows Server 2012 R2, можно выполнить откат до Windows Server 2012 R2.
  • Если вы обновляете режим работы леса Windows Server 2008 R2, можно выполнить откат до Windows Server 2008 R2.

После установки уровня работы домена на определенное значение вы не сможете выполнить откат или уменьшить уровень работы домена со следующими исключениями:

  • При повышении функционального уровня домена до Windows Server 2016 и если режим работы леса Windows Server 2012 или ниже, можно выполнить переключения функционального уровня домена обратно в Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения о функциях, доступных на каждом из функциональных уровней, см. в разделе "Функциональные уровни леса и домена".

взаимодействие доменные службы Active Directory

доменные службы Active Directory не поддерживается в следующих операционных системах Windows:

  • Windows MultiPoint Server
  • Windows Server Essentials

доменные службы Active Directory не удается установить на сервере, на котором также выполняются следующие роли сервера или службы ролей:

  • Microsoft Hyper-V Server
  • Посредник подключений к удаленному рабочему столу

Администрирование сервера Windows

Используйте средства удаленного администрирования сервера для Windows 10 или более поздней версии для управления контроллерами домена и другими серверами, работающими под управлением Windows Server. Средства удаленного администрирования сервера Windows можно запустить на компьютере, на котором выполняется Windows 10 или более поздней версии.

Добавление нового контроллера домена с более новой версией сервера Windows

В следующем примере показано, как обновить лес Contoso с предыдущей версии Windows Server до более поздней версии.

  1. Присоедините новый сервер Windows к лесу. Перезапустите при появлении запроса.

    Screenshot of the Server Manager showing the Systems Properties and Computer Name/Domain Changes dialog boxes.

  2. Войдите на новый сервер Windows с помощью учетной записи администратора домена.

  3. В диспетчер сервера в разделе "Добавление ролей и компонентов" установите доменные службы Active Directory на новом сервере Windows. Это действие автоматически запускает adprep в лесу и домене более ранней версии.

    Screenshot of the Select server roles page of the Add Roles and Features Wizard showing the Active Directory Domain Services option highlighted.

  4. В диспетчер сервера выберите желтый треугольник. В раскрывающемся списке выберите "Повысить уровень сервера до контроллера домена".

    Screenshot of the Post-deployment Configuration progress dialog box with the Promote the server to a domain controller option called out.

  5. На экране "Конфигурация развертывания " выберите " Добавить новый домен в существующий лес " и нажмите кнопку "Далее".

    Screenshot of the Deployment Configuration page of the Active Directory Domain Services Configuration Wizard showing the Add a new domain to an existing forest option selected.

  6. На экране параметров контроллера домена введите пароль режима восстановления служб каталогов (DSRM) и нажмите кнопку "Далее".

  7. Для остальных экранов нажмите кнопку "Далее".

  8. На экране проверки готовности нажмите кнопку "Установить". После завершения перезагрузки снова войдите в систему.

  9. В более ранней версии Windows Server в диспетчер сервера в разделе "Сервис" выберите модуль Active Directory для Windows PowerShell.

    Screenshot of the Tools drop-down list in the Server Manager with the Active Directory Module for Windows PowerShell option called out.

  10. В окне PowerShell используйте Move-ADDirectoryServerOperationMasterRole командлет для перемещения ролей FSMO. Можно ввести имя каждой роли мастера операций или использовать числа для указания ролей. Дополнительные сведения см. в разделе Move-ADDirectoryServerOperationMasterRole.

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Move-ADDirectoryServerOperationMasterRole cmdlet.

  11. Чтобы убедиться, что роли были перемещены, перейдите на новый сервер Windows. В диспетчер сервера в разделе "Сервис" выберите модуль Active Directory для Windows PowerShell. Get-ADDomain Используйте командлеты для Get-ADForest просмотра владельцев ролей FSMO.

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADDomain cmdlet with the Infrastructure Master, P D C Emulator, and R I D Master values called out.

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADForest cmdlet with the Domain Naming Master and Schema Master values called out.

  12. Понижение и удаление предыдущего контроллера домена сервера Windows. Сведения о том, как понизить контроллер домена, см. в разделе "Понижение уровня контроллеров домена" и доменов.

  13. После понижения и удаления сервера можно повысить функциональные и доменные уровни леса до последней версии сервера Windows Server.

Дальнейшие действия