Tags: System-Management, Active Directory
Wenn Microsoft neue Active-Directory-Funktionen vorstellt wie etwa den Papierkorb für das Active Directory, reißt das Administratoren nicht unbedingt von Hocker. Das liegt nicht daran, dass diese Funktionen schlecht oder unnötig wären. Neue AD-Funktionen bedeuten nämlich, dass man die Funktionsebene seiner Domain oder seiner Gesamtstruktur anheben muss.
Funktionsebenen: Mehr Funktionen, weniger Freiheit
Die Funktionsebene spezifiziert die Mindestversion für die Server-Betriebssysteme, die in der betreffenden Domain oder dem Gesamtstruktur Domaincontroller sein können. Ist die Funktionsebene etwa auf Windows Server 2003 gesetzt, können auf den DCs Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 verwendet werden.
AD-Funktionen, die erst mit einer späteren Server-Version eingeführt wurden, wie etwa in obigem Beispiel der AD-Papierkorb, stehen in einer solchen Struktur jedoch nicht zur Verfügung. Dazu muss man die Funktionsebene – im Falle des AD-Papierkorbs die der Gesamtstruktur – auf die Server-Version heben, deren Funktion man haben will, also Windows Server 2008 R2. Im Gegenzug jedoch müssen alle DCs auf Windows Server 2008 R2 aktualisiert, oder aber die DC-Aufgaben auf entsprechende Server verlagert werden.
Funktionsebene heraufstufen
Server mit einem älteren Betriebssystem sind lediglich noch für nicht-AD-bezogene Aufgaben tauglich. Zurück kann man meist nicht mehr oder nur sehr limitiert: Von der Funktionsebene Windows Server 2008 R2 auf Windows Server 2008 ja, auf Windows Server 2003 zurück aber nicht mehr.
Ausgeführt wird die Domain- oder Gesamtstruktur-Umstellung über das MMC-Snap-In Active Directory-Domänen und Vertrauensstellungen. Die Option zum Umstellen der Gesamtstruktur-Funktionsebene befindet sich im Kontextmenü der Wurzel des Baumes in der linken Spalte, die für das Umstellen einer Domain am jeweils entsprechenden Knoten.
ADprep: Domain auf neuen Windows-Version vorbereiten
Der umgekehrte Fall liegt vor, wenn man einen DC mit einer neuen Windows-Server-Version in ein bestehendes Schema einbringen möchte. Hier müssen Gesamtstruktur und Domain auf die neue Windows-Version vorbereitet werden, die sich bis dato noch nicht in der Struktur befand.
Dazu dient das Tool ADprep.exe, das sich auf dem jeweiligen Server-Installationsmedium befindet – unter Windows Server 2008 unter \sources\adprep, unter Windows Server 2008 R2 unter \support\adprep.
Zuerst muss adprep.exe – respektive adprep32.exe für 32-Bit-Systemen – mit dem Parameter /forestprep auf dem Schema-Master der Gesamtstruktur ausgeführt werden.
Nachdem die Informationen komplett repliziert sind, muss man auf dem Infrastruktur-Master jeder Domain das Tool mit dem Parameter /domainprep ausführen. Die jeweiligen Rolleninhaber stellt man am schnellsten mit dem Kommando
netdom query /domain:‹domain› fsmo
fest. Sollen RODCs in einer Domain installiert werden, die DCs unter Version Windows Server 2008 enthält, muss adprep.exe außerdem mit dem Parameter /rodcprep laufen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Benutzer im Active Directory mit Power Automate for Desktop erstellen
- SystemTools Hyena: Verwaltung des Active Directory vereinfachen
- Password Manager Pro: ManageEngine vereinfacht Privileged Account Management
- Alternative zu w32tm: Windows Time Service über kostenlose GUI verwalten
- Active Directory: Routine-Aufgaben automatisieren und delegieren
Weitere Links