Jump to content

Domänenfunktionsebene


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mit ntbackup den "Systemstate" Sicherung durchführen und ggf. kannst du im Wiederherstellungsmodus AD wieder herstellen ... (durchbooten F8 etc)... aber das ist ein "schwerer Eingriff" am System ...

 

aber eigentlich sollte das schon durchlaufen.. hatte bisher noch keine Probleme damit.

 

Änderungen am Betriebsmodus haben unterschiedliche Auswirkungen auf die Sicherheitsprinzipale wie Uninverselle Gruppen etc.

 

Grüße

Anakim

Link zu diesem Kommentar
  • 4 Wochen später...

Hallo!

 

Ich war die ganze Zeit in dem Glauben, dass nach einer Heraufstufung der Domänenfunktionsebene auf Windows 2000 oder 2003 alle NT4-Server u. Rechner keinen Zugriff mehr haben bzw. man auf diese keinen Zugriff mehr hat. Dabei geht es hier ja nur um die Domäncontroller.

 

Wir haben schon seit längerer Zeit nur mehr Windows Server 2003 DCs im Einsatz, jedoch noch zwei NT4 Memberserver in der Domäne.

 

Nochmal eine kurze, letzte Frage: Auf diese NT4-Rechner kann also nach der Umstellung auf 2003-only ohne Probleme nach wie vor zugegriffen werden? Kann diese Umstellung jederzeit im laufenden Betrieb erfolgen?

 

Besten Dank und viele Grüße,

Mario.

Link zu diesem Kommentar
Hallo!

 

Ich war die ganze Zeit in dem Glauben, dass nach einer Heraufstufung der Domänenfunktionsebene auf Windows 2000 oder 2003 alle NT4-Server u. Rechner keinen Zugriff mehr haben bzw. man auf diese keinen Zugriff mehr hat. Dabei geht es hier ja nur um die Domäncontroller.

 

Wir haben schon seit längerer Zeit nur mehr Windows Server 2003 DCs im Einsatz, jedoch noch zwei NT4 Memberserver in der Domäne.

 

Nochmal eine kurze, letzte Frage: Auf diese NT4-Rechner kann also nach der Umstellung auf 2003-only ohne Probleme nach wie vor zugegriffen werden? Kann diese Umstellung jederzeit im laufenden Betrieb erfolgen?

 

Besten Dank und viele Grüße,

Mario.

 

Schau mal hier:

 

http://technet2.microsoft.com/WindowsServer/de/Library/5084a49d-20bd-43f0-815d-88052c9e2d461031.mspx

 

und hier:

 

http://technet2.microsoft.com/WindowsServer/de/Library/83347346-54d4-4963-8a4a-370a127fb3751031.mspx

 

Da ist es gut erklärt was dann noch angebunden werden kann.

Link zu diesem Kommentar

ja, das hab ich schon gelesen. es beantwortet aber meine frage nicht konkretest. es sagt nur aus, dass es keine nt4-BDCs mehr geben kann (die wir eh nicht haben). ergo ist der zugriff auf die nt4 kistn, die keine BDCs sind, möglich. ok. ich wollte nur nochmal sicher gehen.

 

kann das im laufenden betrieb ohne einschränkungen umgestellt werden?

besten dank und viele grüße,

mario.

Link zu diesem Kommentar

Den Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können.

 

In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist.

 

Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein.

 

Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin.

 

Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive Gesamtstruktur "zügig" vollzogen werden. Denn wenn man sich dabei Zeit lässt, können Replikationsprobleme auftauchen.

 

Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN),

wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ herauf gestuft werden kann.

Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen.

 

Siehe auch:

How to raise domain and forest functional levels in Windows Server 2003

How to raise domain and forest functional levels in Windows Server 2003

Link zu diesem Kommentar

hallo mheine,

du solltest dir unbedingt ein Fallbackszenario überlegen und möglichst auch ausprobieren. Sei es mit Sicherungen, oder mit einem extra DC den du erstmal nicht replizieren lässt. Wie angeklungen, lassen sich die FunctionalLevels nicht einfach rückgängig machen und wenn irgendeine wichtige Anwendung in deinem Applicationsportfolio mit dem neuen Modus nicht zurechtkommt, stehst du ohne Fallback im Regen. (Du kennst sicher Murphy? Was schief gehen kann, geht auch schief).

Idealerweise hast du eine Testumgebung, wo du das meiste testen kannst. Hört sich aber nciht so an

Ich würd lieber alles im jetzigen Modus belassen, als einen solchen Schritt ohne Fallbackmöglichkeit zu wagen.

Letztlich ist es auch nicht deine Entscheidung, sondern vom FirmenChef, ob er das Risiko trägt

 

cu

blub

Link zu diesem Kommentar

Ich meine nur, man sollte die Kirche im Dorf lassen.

Solche Empfehlungen alles zu testen hört man ab und zu, Murphys Gesetz hin oder her.

 

Ich weiß nicht wieviele Umstellungen Du bereits gemacht hast, aber ich habe etliche mit den kuriosesten Applikationen und ich hatte noch nie ein Problem.

Deiner Aussage zufolge, entnehmen ich, dass Du auch noch kein Problem damit hattest.

 

Wen ich alles gefragt habe, konnte mir bisher noch keiner eine Applikation nennen, die bei der Umstellung des Domänen-Modi Probleme bereitet hat, geschweige denn, nicht gelaufen wäre.

 

Daher kann man Deine vorherige Empfehlung, ruhig etwas entschärfen.

Link zu diesem Kommentar

was sinnvoll ist, hängt davon ab, was und wer in der Domäne von mheine arbeitet. Wenn vom sauberen Funktionieren des ADs Geld und Arbeitsplätze abhängen, halte ich meine Empfehlung für mehr als gerechtfertigt. (Abgesehen davon ist eine erprobte Backupstrategie nie verkehrt.)

Jemand der auch nur darüber nachdenkt, an meiner produktiven Domäne ohne erprobtes Rollbackverfahren am besten mal eben so um 9:00 Morgens zur Hauptanmeldezeit einen solchen Schritt durchzuführen, ...neverever.

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...