Funkcje domeny i lasu Active Directory odpowiadają „wersji” środowiska AD. Określają one dostępne funkcje ADDS, które mogą być używane w domenie i wersję systemu Windows Server, która może być używana na kontrolerach domeny. W tym wpisie wyjaśniam, jak sprawdzić domenę i uaktualnić poziom funkcjonalny domeny (DFL) i poziom funkcjonalny lasu (FFL) w środowisku Active Directory.
Poziomy funkcjonalne usługi Active Directory
Poniższa tabela przedstawia dostępne poziomy funkcji AD, nowe funkcje i obsługiwane systemy operacyjne dla kontrolerów domeny.
| Poziom funkcjonalny | Nowe funkcje | Obsługiwana wersja systemu Windows Server dla kontrolera domeny |
| Windows Server 2000 | Brak | Windows Server 2000 – 2008 R2 |
| Windows Server 2003 | Forest trust, Domain rename, Read Only Domain Controller (RODC), Domain-based DFS with access-based enumeration support | Windows Server 2003 – 2016 |
| Windows Server 2008 | DFS replication for SYSVOL instead FRS, Fine-grained password policies | Windows Server 2008 – 2022 |
| Windows Server 2008 R2 | Active Directory Recycle Bin, Managed Service Accounts | Windows Server 2008 R2 – 2022 |
| Windows Server 2012 | KDC support for claims, compound authentication | Windows Server 2012 – 2022 |
| Windows Server 2012 R2 | Protected UsersAuthentication Policies | Windows Server 2012 R2 – 2025 |
| Windows Server 2016 | Privileged access management with MIMSmart card required for interactive logon | Windows Server 2016 – 2025 |
| Windows Server 2025 | AD database 32K page size | Windows Server 2016 – 2025 |
Na przykład planujesz podnieść poziom funkcjonalności usługi AD z systemu Windows Server 2012 R2 do najnowszego systemu Windows Server 2025. Proces podnoszenia poziomów funkcjonalności domeny i lasu przebiega następująco:
- Zainstaluj i promuj nowe kontrolery domeny z systemem Windows Server 2025.
- Obniż poziom każdego kontrolera domeny, który ma wersję systemu operacyjnego niższą niż co najmniej Windows Server 2016.
- Upewnij się, że wszystkie kontrolery domeny w domenach usługi AD działają w wersji systemu operacyjnego zgodnej z docelowym DFL.
- Podnieś poziom funkcjonalności domeny dla każdej domeny w lesie usługi AD do systemu Windows Server 2025.
- Następnie zaktualizuj poziom funkcjonalności lasu usługi AD do Windows2025.
Podczas wdrażania nowej domeny zaleca się ustawienie maksymalnego dostępnego poziomu funkcji.
Najpierw podnieś poziom funkcjonalny domeny, a następnie poziom funkcjonalny lasu.
Jak sprawdzić poziomy funkcjonalności domeny i lasu
Przystawkę MMC Domeny i relacje zaufania usługi (Active Directory Domains and Trusts) Active Directory można wykorzystać do sprawdzenia bieżących poziomów funkcjonalności domeny i lasu.
Otwórz przystawkę domain.msc.
Kliknij prawym przyciskiem myszy nazwę domeny i wybierz Właściwości (Properties). Bieżące wersje poziomu funkcjonalnego lasu i domeny są wymienione na karcie Ogólne (General). W naszym przypadku są to Windows Server 2016 zarówno dla DFL, jak i FFL.
Możesz też sprawdzić poziomy funkcjonalności domeny i lasu za pomocą programu PowerShell (wymagany jest moduł Active Directory PowerShell):
|
1 |
Get-ADDomain | fl Name, DomainMode<br>Get-ADForest | fl Name, ForestMode |
Podnoszenie poziomów funkcjonalności lasu i domeny do systemu Windows Server 2025
Przed uaktualnieniem poziomu funkcjonalnego należy spełnić następujące wymagania wstępne:
- Zainstaluj co najmniej jeden nowy kontroler domeny z systemem Windows Server 2025 w każdej domenie w lesie przed podniesieniem poziomu funkcjonalności.
- Następnie uaktualnij wersję systemu operacyjnego na pozostałych kontrolerach domeny do co najmniej systemu Windows Server 2016. Możesz wykonać uaktualnienie w miejscu (niezalecane) lub zainstalować dodatkowy kontroler domeny z systemem Windows Server 2025/2022/2019/2016, przenieść role FSMO i obniżyć poziom kontrolerów domeny z systemem Windows Server 2025/2022/2019/2016 z usługi AD. Sprawdź wersje systemu operacyjnego kontrolera domeny w programie PowerShell:
|
1 |
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem |
- Sprawdź stan replikacji usługi AD w każdej domenie:
|
1 |
repadmin /replsummary<br>repadmin /showrepl<br>Get-ADReplicationFailure -Target beitadminpl.local -Scope Domain<br>Get-ADReplicationFailure -Target beitadminpl.local -Scope Forest |
- Podnieś DFL dla każdej domeny w lesie AD. Otwórz przystawkę Active Directory Domains and Trusts MMC. Kliknij prawym przyciskiem myszy nazwę domeny i wybierz Raise Domain Functional Level.
- Wybierz poziom funkcjonalności systemu Windows Server 2025 i kliknij opcję Podnieś (Raise).
- Powinien pojawić się następujący komunikat:
- Poziom funkcjonalny został pomyślnie podniesiony (The functional level was raised successfully). Nowy poziom funkcjonalny zostanie teraz zreplikowany do każdego kontrolera domeny Active Directory w lesie. Czas trwania tej operacji jest różny w zależności od topologii replikacji.
- Po pewnym czasie sprawdź, czy nowe informacje DFL zostały pomyślnie zreplikowane na wszystkich kontrolerach domeny (uruchom cmd jako Administrator).
|
1 |
repadmin.exe /showattr *.beitadminpl.local "dc=beitadminpl,dc=local" /atts:msDS-Behavior-Version |
Polecenie sprawdza wartość atrybutu msDS-Behavior-Version na każdym kontrolerze domeny w określonej domenie Active Directory. Powinno zwrócić „msDS-Behavior-Version: 10 = ( WIN2025 )” dla każdego kontrolera domeny.
Podobnie należy zaktualizować poziom funkcjonalności dla każdej domeny w lesie usługi AD.
- Następnie użyj przystawki Domeny i relacje zaufania usługi Active Directory, aby podnieść poziom funkcjonalności lasu.
- Kliknij prawym przyciskiem myszy na katalogu głównym przystawki i wybierz Podnieś poziom funkcjonalności lasu (Raise Forest Functional Level).
- Wybierz docelowy FFL i kliknij Podnieś (Raise).
Gdy poziom funkcjonalności domeny zostanie uaktualniony, hasło do konta systemowego krbtgt zostanie automatycznie zmienione. Jeśli w swojej domenie masz lokalny serwer Exchange, może to spowodować jego zatrzymanie z powodu problemów z uwierzytelnianiem. Po zaktualizowaniu DFL musisz ponownie uruchomić usługę Kerberos Key Distribution Centre (KDC) na wszystkich kontrolerach domeny:
|
1 |
$DC=Get-ADDomainController<br>Get-Service KDC -ComputerName $DC | Restart-Service |
Podnieś poziom funkcjonalności AD za pomocą programu PowerShell
Można również podnieść DFL i FFL za pomocą PowerShell.
Na przykład uruchom to polecenie dla każdej domeny w lesie AD:
|
1 |
Set-ADDomainMode -Identity beitadminpl.local -DomainMode Windows2025Domain |
Poczekaj na zakończenie replikacji usługi AD i sprawdź, czy wszystkie kontrolery domeny zgłaszają, że domeną DFL jest teraz Windows2025Domain.
Teraz możesz podnieść FFL:
|
1 |
Set-ADForestMode -Itentity beitadminpl.local -ForestMode Windows2025Forest |
Najczęstsze kody błędów występujące podczas podnoszenia poziomu funkcjonalności AD:
ERROR_DS_DOMAIN_VERSION_TOO_LOW 8566 (0x2176) – w domenie znajdują się kontrolery domeny, na których działają starsze wersje systemu Windows Server.
ERROR_DS_FOREST_VERSION_TOO_LOW 8565 (0x2175) – w lesie usługi AD istnieją kontrolery domeny, które obsługują stary system Windows Server.
Obniżanie poziomów funkcjonalności domeny i lasu w usłudze AD
Począwszy od systemu Windows Server 2008 R2 można przywrócić poziom funkcjonalności lasu i domeny po ich podniesieniu.
- Minimalny docelowy DFL, do którego możesz przejść na niższą wersję, to Windows Server 2008.
- Nie możesz powrócić do poziomu funkcjonalnego Windows Server 2008 po włączeniu Kosza AD. Możesz sprawdzić, czy Kosz AD jest włączony w Twojej domenie:
|
1 |
Get-ADOptionalFeatures -Filter 'name -like "Recycle Bin Feature"' |
Możesz obniżyć wersję tylko za pomocą PowerShell (nie możesz tego zrobić za pomocą GUI).
Otwórz konsolę PowerShell z uprawnieniami Domain Admin/Enterprise Admin. Sprawdź aktualny FFL:
|
1 |
(Get-ADForest).forestmode |
Sprawdź DFL dla każdej domeny w lesie:
|
1 |
$domains=(Get-ADForest).domains<br>foreach ($domain in $domains)<br>{<br> Get-ADDomain -Identity $domain | select DNSRoot,DomainMode<br>} |
Poziom funkcjonalności lasu można obniżyć do wersji Windows Server 2012 za pomocą polecenia:
|
1 |
Set-ADForestMode -Identity beitadminpl.local -ForestMode Windows2012Forest |
Poziom funkcjonalności lasu można obniżyć do wersji Windows Server 2012 za pomocą polecenia:
|
1 |
Set-ADDomainMode -Identity beitadminpl.local -DomainMode Windows2012Domain |
Próba zmniejszenia DFL przed FFL spowoduje wystąpienie błędu:
Set-ADDomainMode: Poziomu funkcjonalnego domeny (lub lasu) nie można obniżyć do żądanej wartości (Set-ADDomainMode : The functional level of the domain (or forest) cannot be lowered to the requested value.)
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
