¿Cómo elevar el nivel funcional del bosque y el nivel de dominio en Active Directory? – TrucosInformaticos

General

Las características del bosque y el dominio de Active Directory corresponden a la “versión” de su entorno AD. Determinan las funciones ADDS disponibles que se pueden usar en el dominio y la versión de Windows Server que se puede usar en los controladores de dominio. Esta guía explica cómo verificar el dominio y actualizar el Nivel funcional del dominio (DFL) y Nivel funcional forestal (FFL) en el entorno de Active Directory.

Niveles funcionales de Active Directory

La siguiente tabla muestra los niveles de funciones de AD disponibles, las nuevas funciones y los sistemas operativos compatibles para los DC.

Nivel funcional Nuevas características Versión de Windows Server compatible para DC
Servidor Windows 2000 Servidor Windows 2000 – 2008 R2
Servidor Windows 2003 Servidor Windows 2003 – 2016
Servidor Windows 2008
  • Replicación DFS para SYSVOL en lugar de FRS
  • Políticas de contraseñas detalladas
Servidor Windows 2008 – 2022
Servidor Windows 2008 R2 Servidor Windows 2008 R2 – 2022
Servidor Windows 2012 Soporte de KDC para reclamaciones, autenticación compuesta Servidor Windows 2012 – 2022
Servidor Windows 2012 R2
  • Usuarios protegidos
  • Políticas de autenticación
Servidor Windows 2012 R2 – 2025
Servidor Windows 2016 Gestión de acceso privilegiado con MIM

Se requiere tarjeta inteligente para el inicio de sesión interactivo

Servidor Windows 2016 – 2025
Servidor Windows 2025 Tamaño de página de 32K de la base de datos AD Servidor Windows 2016 – 2025

Por ejemplo, planea elevar el nivel funcional de AD de Servidor Windows 2012 R2 a la última Servidor Windows 2025. El proceso de elevación de niveles funcionales de dominio y bosque es el siguiente:

  1. Instalar y promover nuevos DC que ejecuten Windows Server 2025
  2. Degradar cualquier DC que tenga una versión de sistema operativo inferior a al menos Windows Server 2016.
  3. Asegúrese de que todos los controladores de dominio en los dominios AD estén ejecutando una versión del sistema operativo que sea compatible con el DFL de destino.
  4. Aumente el nivel funcional del dominio para cada dominio en el bosque de AD a Windows Server 2025.
  5. Luego actualice el nivel funcional del bosque AD a Windows2025Bosque.

Notas.
Al implementar un nuevo dominio, se recomienda establecer el nivel máximo de funciones disponibles.
Primero levantar el dominio FL y posteriormente el bosque FL

Cómo verificar los niveles funcionales de dominio y bosque

El complemento MMC Dominios y confianzas de Active Directory se puede utilizar para comprobar los niveles funcionales actuales del dominio y del bosque.

  1. Abra el complemento dominio.msc.
  2. Haga clic derecho en el nombre de dominio y seleccione Propiedades. Las versiones actuales de nivel funcional de bosque y dominio se enumeran en la General pestaña. En nuestro caso, estos son los Servidor Windows 2016 tanto para DFL como para FFL.

O verifique los niveles funcionales del dominio y del bosque con PowerShell (se requiere el módulo Active Directory PowerShell):

Get-ADDomain | fl Name, DomainMode

Get-ADForest | fl Name, ForestMode

Estos comandos regresaron Windows2016Dominio y Windows2016Bosque valores.

no puede elevar el nivel funcional del dominio porque este dominio incluye el dominio del directorio activo

Elevación de los niveles funcionales de bosque y dominio a Windows Server 2025

Cumplir con los requisitos previos antes de actualizar un nivel funcional:

  1. Instale al menos un nuevo controlador de dominio que ejecute Windows Server 2025 en cada dominio del bosque antes de aumentar el nivel funcional.
  2. Luego actualice la versión del sistema operativo en los controladores de dominio restantes al menos a Windows Server 2016. Puede realizar una actualización local (no recomendada) o instalar un controlador de dominio adicional con Windows Server 2025/2022/2019/2016, mover las funciones de FSMO y degradar los DC que ejecutan sistemas operativos antiguos desde AD. Verifique las versiones de DC OS en su PowerShell:
    Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem

    elevar el nivel funcional del bosque powershell

  3. Verifique el estado de la replicación de AD en cada dominio:
    Repadmin /replsummary
    
    Repadmin /Showrepl
    
    Get-ADReplicationFailure -Target theitbros.com -Scope Domain
    
    Get-ADReplicationFailure -Target theitbros.com -Scope Forest
  4. Aumente el DFL para cada dominio en el bosque AD. Abra el complemento MMC Dominios y confianzas de Active Directory. Haga clic derecho en el nombre de dominio y seleccione Elevar el nivel funcional del dominio. elevar el nivel funcional del dominio
  5. Seleccione el Servidor Windows 2025 nivel funcional y haga clic en Aumentar. cambiar el nivel funcional del bosque
  6. Debería aparecer el siguiente mensaje:
    El nivel funcional se elevó con éxito. El nuevo nivel funcional ahora se replicará en cada controlador de dominio de Active Directory en el bosque. La cantidad de tiempo que esto llevará varía dependiendo de su topología de replicación.
  7. Después de un tiempo, verifique que la nueva información de DFL se haya replicado correctamente en todos los DC.
    repadmin.exe /showattr *.theitbros.com "dc=theitbros,dc=com" /atts:msDS-Behavior-Version

    El comando verifica el valor del atributo msDS-Behavior-Version en cada controlador de dominio en el dominio de Active Directory especificado. Debería regresar”Versión de comportamiento de msDS: 10 = (WIN2025)”para cada DC.
    elevar el nivel funcional del dominio y del bosque

De manera similar, actualice el nivel funcional de cada dominio dentro de su bosque de AD.

  1. Luego use el complemento Dominios y confianzas de Active Directory para elevar el nivel funcional del bosque.
  2. Haga clic derecho en la raíz del complemento y seleccione Elevar el nivel funcional del bosque;
  3. Seleccione el FFL objetivo y haga clic Aumentar;

Este bosque está funcionando al nivel funcional más alto posible.

elevar el nivel de dominio

Cuando se actualiza el nivel funcional del dominio, la contraseña para el krbtgt La cuenta del sistema se cambia automáticamente. Si tiene un servidor Exchange local en su dominio, esto puede provocar que se detenga debido a problemas de autenticación. Después de actualizar el DFL, debe reiniciar el servicio del Centro de distribución de claves (KDC) de Kerberos en todos los controladores de dominio:

$DC=Get-ADDomainController

Get-Service KDC –ComputerName $DC | Restart-Service

Aumente el nivel funcional de AD con PowerShell

También es posible aumentar DFL y FFL usando PowerShell.

Por ejemplo, ejecute este comando en cada dominio de su bosque de AD:

Set-ADDomainMode -identity theitbros.com -DomainMode Windows2025Domain

cómo elevar el nivel funcional del bosque

Espere a que se complete la replicación de AD y verifique que todos los DC informen que el DFL ahora es Windows2025Domain.

Ahora puedes subir el FFL:

Set-ADForestMode -Identity theitbros.com -ForestMode Windows2025Forest

El códigos de error más comunes encontrado al elevar el nivel funcional de AD:

  • ERROR_DS_DOMAIN_VERSION_TOO_LOW 8566 (0x2176) – hay controladores de dominio en un dominio que ejecutan versiones anteriores de Windows Server.
  • ERROR_DS_FOREST_VERSION_TOO_LOW 8565 (0x2175) – Hay controladores de dominio que ejecutan Windows Server antiguo en el bosque de AD.

cómo elevar el nivel funcional del dominio

Degradar los niveles funcionales de dominio y bosque en AD

A partir de Windows Server 2008 R2, puede revertir el bosque y el nivel funcional del dominio después de haberlos elevado.

  • El DFL de destino mínimo al que puede degradar es Windows Server 2008.
  • No puede volver al nivel funcional de Windows Server 2008 después de habilitar la Papelera de reciclaje de AD. Puede verificar si la Papelera de reciclaje de AD está habilitada en su dominio:
Get-ADOptionalFeature -Filter 'name -like "Recycle Bin Feature"'

Solo puedes degradar usando PowerShell (no puedes hacerlo usando la GUI).

Abra una consola de PowerShell con privilegios de administrador de dominio/administrador empresarial. Consulte la FFL actual:

(Get-ADForest).forestmode

Consulta el DFL de cada dominio del bosque:

$domains=(Get-ADForest).domains

foreach ($domain in $domains) {

Get-ADDomain -Identity $domain| select DNSRoot,DomainMode

}

Puede degradar el nivel funcional del bosque a Windows Server 2012 con el comando:

Set-ADForestMode –Identity contoso.com –ForestMode Windows2012Forest

Luego realice una degradación del nivel funcional para cada dominio. Puede degradar DFL en dominios secundarios en cualquier orden.

Set-ADDomainMode –Identity contoso.com –DomainMode Windows2012Domain

Intentar reducir el DFL antes que el FFL dará como resultado el error:

Set-ADDomainMode: el nivel funcional del dominio (o bosque) no se puede reducir al valor solicitado.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *