检查当前域控服务器系统版本
域控服务器操作系统
查询域环境中所有域控服务器操作系统版本
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem
Name OperatingSystem
---- ---------------
DC1 Windows Server 2019 Standard
DC2 Windows Server 2016 Datacenter
DC3 Windows Server 2008 R2 Enterprise查询域环境中当前连接的域控服务器操作系统版本
Get-ADDomainController | Select-Object Name, OperatingSystem
Name OperatingSystem
---- ---------------
DC1 Windows Server 2019 Standard当前会话连接的域控
以下是 PowerShell 的会话连接信息。
值得一提的是,在多域控环境中每个模块可能连接的域控服务器各不相同,如 Active Directory 用户和计算机 、 Active Directory 域和信任 、 Active Directory 站点和服务 可以通过左侧顶部名称尾部的 [...] 标识来查看,或通过顶部菜单栏中点击 "操作" -> "更改域控制器" 弹出的窗口查看当前连接的域控服务器。
Get-ADDomainController -Discover
Domain : hxx.tt
Forest : hxx.tt
HostName : {dc1.hxx.tt}
IPv4Address : 10.0.10.100
IPv6Address :
Name : DC1
Site : Default-First-Site-Name检查当前林和域功能级别
林功能级别
Get-ADForest | Select-Object ForestMode
ForestMode
----------
Windows2008R2Forest域功能级别
Get-ADDomain | Select-Object DomainMode
DomainMode
----------
Windows2008R2DomainGet-ADDomainController:查询域控制器的服务器操作系统版本。
Get-ADForest 和 Get-ADDomain:分别用于查询林功能级别和域功能级别。
检查当前 FSMO 角色持有者
同时,在升级前建议检查一遍 Active Directory 环境中 Flexible Single Master Operations (FSMO) 角色的持有者,以保证操作过程中避免该服务器受影响导致域环境故障。FSMO 角色是由 Active Directory 分配给域控制器的五个独特角色,它们负责特定的任务以确保整个 AD 环境的稳定和高效运行。
架构主机
Schema Master,负责整个林的架构更改。
- 功能:架构主机负责整个 Active Directory 林的架构修改。架构是定义目录中所有对象和属性的规则和结构,所有 Active Directory 对象(如用户、计算机等)的属性都是由架构定义的。
- 影响:只有拥有 Schema Master 角色的域控制器可以修改架构。通常,这一角色不会经常变动,只有在扩展或修改 AD 架构时才会使用(例如安装 Exchange 或其他需要扩展 AD 架构的应用时)。
- 林范围:该角色在整个 AD 林中唯一。
域命名主机
Domain Naming Master,负责域中的命名空间管理。
- 功能:域命名主机控制整个 Active Directory 林中的域添加和删除操作。当你创建、删除或重命名域时,必须通过拥有此角色的域控制器进行。
- 影响:如果域命名主机不可用,无法在林中添加或删除域,但现有的域和子域不会受到影响。
- 林范围:该角色在整个 AD 林中唯一。
相对标识符主机
RID Master,负责分配相对 ID(RID)池,用于生成对象的唯一标识符。
- 功能:RID 主机负责为域中的每个域控制器分配唯一的 RID 池。每个域控制器使用其 RID 池来为新对象(如用户和组)分配唯一的安全标识符 (SID)。SID 是用户和计算机的唯一标识,RID 是 SID 的一部分。
- 影响:如果 RID 主机不可用,现有的对象不会受到影响,但创建新对象时可能会失败,因为域控制器无法获取新的 RID。
- 域范围:每个域有一个 RID 主机。
PDC 模拟器
PDC Emulator,负责密码更改、时间同步等任务。
-
功能:PDC 模拟器是负责处理以下任务的角色:
- 时间同步:域内所有域控制器与 PDC 模拟器同步时间,确保所有设备的时间一致。
- 密码更改和锁定管理:如果用户修改密码,PDC 模拟器立即记录修改,并确保其他域控制器在用户登录时获取最新的密码。
- 向后兼容:在 NT4.0 域中,PDC 是主域控制器。在现代 AD 环境中,PDC 模拟器用于处理 NT4 兼容的请求(如来自旧版应用程序)。
- 影响:如果 PDC 模拟器不可用,可能会导致密码更改延迟或时间同步问题,用户可能会因密码问题而无法登录。
- 域范围:每个域有一个 PDC 模拟器。
基础结构主机
Infrastructure Master,负责跨域对象引用的更新。
- 功能:基础结构主机负责跨域处理对象引用的更新。它维护域中对象在其他域的引用,如果引用的对象在其他域中被修改或移动,它确保这些更改在其域内得到更新。对于单域环境,这一角色的作用不明显。
- 影响:如果基础结构主机不可用,跨域的对象引用可能不会被及时更新,但在单一域中几乎没有影响。
- 域范围:每个域有一个基础结构主机。
运行 netdom query fsmo 后,你会得到类似以下输出:
netdom query fsmo
Schema master DC1.hxx.tt
Domain naming master DC1.hxx.tt
PDC DC1.hxx.tt
RID pool manager DC1.hxx.tt
Infrastructure master DC1.hxx.tt
其中:
架构主机(Schema master)位于 DC1.hxx.tt,这台服务器负责 林功能级别。
域命名主机(Domain naming master)位于 DC1.hxx.tt
升级所有域控服务器系统版本
概览
若当前域环境中任意一台域控服务器的系统版本低于用于提升林和域功能级别的要求,则需要先将系统的版本升级至配置要求后方可进行提升林、域功能级别操作,如果已经全部达到要求版本则可以跳过本节。
引述
根据微软官网文档公示:
自 Windows Server 2016 以来,没有添加新的林或域功能级别。 更高版本的操作系统可以且应该用于域控制器。 它们使用 Windows Server 2016 作为最新的功能级别。
https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers
Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 作为最新的功能级别。
https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels
结论
从 Windows Server 2016 开始,没有引入新的林或域功能级别。无论是最新的 Windows Server 2019 还是 Windows Server 2022,它们都使用 Windows Server 2016 作为最新的功能级别。
将所有域控服务器升级至要求版本后,即将可以通过以下操作来完成提升林和域的功能级别。
提升域功能级别
PowerShell
Set-ADDomainMode -Identity hxx.tt -DomainMode Windows2016Domain以上命令将为 hxx.tt 提升域功能级别为 Windows2016,请将域名和级别版本替换为你实际参数。
图形用户界面
- 打开 Active Directory 用户和计算机。
- 右键点击你的域,选择 "提升域功能级别"。
- 选择 Windows Server 2016 作为新的功能级别,然后点击 "确定"。
提升林功能级别
PowerShell
Set-ADForestMode -Identity hxx.tt -ForestMode Windows2016Forest以上命令将为 hxx.tt 提升林功能级别为 Windows2016,请将域名和级别版本替换为你实际参数。
图形用户界面
- 打开 Active Directory 域和信任。
- 右键点击你的林名,选择 "提升林功能级别"。
- 选择 Windows Server 2016 作为新的功能级别,然后点击 "确定"。
更多拓展技术说明
提升功能级别管理控制台
在 Active Directory 中,提升林功能级别和提升域功能级别是在不同的管理控制台中进行的,这是因为林和域是 Active Directory 中的两个不同层次,并且它们管理的范围和对象也有所不同。
林功能级别
Forest Functional Level,FFL
- 提升位置:在 Active Directory 域和信任(Active Directory Domains and Trusts)中进行。
- 原因:林功能级别适用于整个 Active Directory 林。Active Directory 林包括所有域的集合,因此其提升必须在管理整个林结构的工具中完成。Active Directory 域和信任控制台专门用于管理跨域(例如信任关系)和整个林范围的设置,因此在这个控制台提升林功能级别是符合逻辑的。
- 影响范围:提升林功能级别后,它会影响林中的所有域。要将林功能级别提升到一个新的版本,所有域的域功能级别必须先提升到至少与目标林功能级别兼容的版本。
域功能级别
Domain Functional Level,DFL
- 提升位置:在 Active Directory 用户和计算机(Active Directory Users and Computers)中进行。
- 原因:域功能级别只影响当前域中的设置,而不影响其他域。Active Directory 用户和计算机控制台是管理单个域对象(如用户、组、计算机、组织单位等)的主要工具,所以提升域功能级别的任务在这个控制台中进行。
- 影响范围:域功能级别的提升只影响该域中的所有域控制器,并且与域中用户、组和计算机的操作相关。
两者的区别与联系
-
提升顺序:
- 提升林功能级别的前提是该林中所有域的域功能级别已经达到要求。换句话说,提升域功能级别是提升林功能级别的先决条件。
- 如果一个林包含多个域,则必须先在各个域中提升域功能级别,然后才能在 Active Directory 域和信任中提升林功能级别。
-
操作影响:
- 林功能级别决定了整个林中可用的特性和功能。它是全局性的更改,因此在提升林功能级别之前,必须确保林中的所有域控制器和域都符合新功能级别的要求。
- 域功能级别只影响当前域中的域控制器和域对象的行为,通常是与该域中特定的 Active Directory 功能或限制相关联。
为什么使用不同的工具
- Active Directory 域和信任主要管理的是与整个林相关的配置(例如域之间的信任关系)。林功能级别会影响整个林的设置,因此这个操作必须在该控制台中进行。
- Active Directory 用户和计算机则主要管理单个域的用户、组和计算机对象等。域功能级别只影响当前域的配置,因此提升域功能级别的操作放在这个控制台中更合适。
总结
- 林功能级别:适用于整个林,影响林中的所有域。通过 Active Directory 域和信任工具来提升。
- 域功能级别:适用于单个域,影响域中的所有域控制器和对象。通过 Active Directory 用户和计算机工具来提升。
这种分工确保了在管理 Active Directory 不同层次时,可以使用最合适的工具完成相应的任务,并且提供了更加清晰和结构化的管理方式。
0 条评论