Domänenfunktionsebene

[mheine 10]

Hi,

 

in meine Domaine sind nun 1 W2003 Server R2 als DC und ein W2003 Server als Backup-DC eingerichtet. Der W2003 R2 Server hat einen W2K-Server abgelöst. Die Domäne läuft noch in der Domänenfunktionsebene "Windows 2000 pur".

 

Muß ich die Domänenfunktionsebene umstellen und wenn ja, welche Gefahren sind damit verbunden ?

 

Danke !

[onewayticket 10]

Hallo,

 

die gefahr dabei ist dass Du das Heraufstufen nicht mehr Rückgängig machen kannst.

Es sollten also kein W2k DC´s mehr vorhanden sein.

 

MfG

onewayticket

[mheine 10]

Danke, aber ich bin mir immer noch nicht sicher ob ich das einfach so durchführen kann. Was kann passieren? Welche Sicherungen sollte ich vorher unbedingt durchführen usw.

 

Danke !

[Anakim 10]

Mit ntbackup den "Systemstate" Sicherung durchführen und ggf. kannst du im Wiederherstellungsmodus AD wieder herstellen ... (durchbooten F8 etc)... aber das ist ein "schwerer Eingriff" am System ...

 

aber eigentlich sollte das schon durchlaufen.. hatte bisher noch keine Probleme damit.

 

Änderungen am Betriebsmodus haben unterschiedliche Auswirkungen auf die Sicherheitsprinzipale wie Uninverselle Gruppen etc.

 

Grüße

Anakim

[Superstruppi 13]

Hallo!

 

Ich war die ganze Zeit in dem Glauben, dass nach einer Heraufstufung der Domänenfunktionsebene auf Windows 2000 oder 2003 alle NT4-Server u. Rechner keinen Zugriff mehr haben bzw. man auf diese keinen Zugriff mehr hat. Dabei geht es hier ja nur um die Domäncontroller.

 

Wir haben schon seit längerer Zeit nur mehr Windows Server 2003 DCs im Einsatz, jedoch noch zwei NT4 Memberserver in der Domäne.

 

Nochmal eine kurze, letzte Frage: Auf diese NT4-Rechner kann also nach der Umstellung auf 2003-only ohne Probleme nach wie vor zugegriffen werden? Kann diese Umstellung jederzeit im laufenden Betrieb erfolgen?

 

Besten Dank und viele Grüße,

Mario.

[Purecut 10]

Hallo!

 

Ich war die ganze Zeit in dem Glauben, dass nach einer Heraufstufung der Domänenfunktionsebene auf Windows 2000 oder 2003 alle NT4-Server u. Rechner keinen Zugriff mehr haben bzw. man auf diese keinen Zugriff mehr hat. Dabei geht es hier ja nur um die Domäncontroller.

 

Wir haben schon seit längerer Zeit nur mehr Windows Server 2003 DCs im Einsatz, jedoch noch zwei NT4 Memberserver in der Domäne.

 

Nochmal eine kurze, letzte Frage: Auf diese NT4-Rechner kann also nach der Umstellung auf 2003-only ohne Probleme nach wie vor zugegriffen werden? Kann diese Umstellung jederzeit im laufenden Betrieb erfolgen?

 

Besten Dank und viele Grüße,

Mario.

 

Schau mal hier:

 

http://technet2.microsoft.com/WindowsServer/de/Library/5084a49d-20bd-43f0-815d-88052c9e2d461031.mspx

 

und hier:

 

http://technet2.microsoft.com/WindowsServer/de/Library/83347346-54d4-4963-8a4a-370a127fb3751031.mspx

 

Da ist es gut erklärt was dann noch angebunden werden kann.

[Superstruppi 13]

ja, das hab ich schon gelesen. es beantwortet aber meine frage nicht konkretest. es sagt nur aus, dass es keine nt4-BDCs mehr geben kann (die wir eh nicht haben). ergo ist der zugriff auf die nt4 kistn, die keine BDCs sind, möglich. ok. ich wollte nur nochmal sicher gehen.

 

kann das im laufenden betrieb ohne einschränkungen umgestellt werden?

besten dank und viele grüße,

mario.

[IThome 10]

Ja, das kann man ...

[Daim 12]

Den Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können.

 

In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist.

 

Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein.

 

Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin.

 

Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive Gesamtstruktur "zügig" vollzogen werden. Denn wenn man sich dabei Zeit lässt, können Replikationsprobleme auftauchen.

 

Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN),

wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ herauf gestuft werden kann.

Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen.

 

Siehe auch:

How to raise domain and forest functional levels in Windows Server 2003

How to raise domain and forest functional levels in Windows Server 2003

[blub 115]

hallo mheine,

du solltest dir unbedingt ein Fallbackszenario überlegen und möglichst auch ausprobieren. Sei es mit Sicherungen, oder mit einem extra DC den du erstmal nicht replizieren lässt. Wie angeklungen, lassen sich die FunctionalLevels nicht einfach rückgängig machen und wenn irgendeine wichtige Anwendung in deinem Applicationsportfolio mit dem neuen Modus nicht zurechtkommt, stehst du ohne Fallback im Regen. (Du kennst sicher Murphy? Was schief gehen kann, geht auch schief).

Idealerweise hast du eine Testumgebung, wo du das meiste testen kannst. Hört sich aber nciht so an

Ich würd lieber alles im jetzigen Modus belassen, als einen solchen Schritt ohne Fallbackmöglichkeit zu wagen.

Letztlich ist es auch nicht deine Entscheidung, sondern vom FirmenChef, ob er das Risiko trägt

 

cu

blub

[Daim 12]

und wenn irgendeine wichtige Anwendung in deinem Applicationsportfolio mit dem neuen Modus nicht zurechtkommt, stehst du ohne Fallback im Regen.

 

Kennst Du eine Applikation, die Probleme bei dem umstellen des Domänenfunktionsmodus bereitet?

[blub 115]

lt. dem Microsoft-Premiersupport ist das ungenügende Austesten eines höheren Functionallevels eine der häufigeren Ursachen bei Kunden für ein AD-Desasterrecoveryszenario bei denen.

Anwendungen die in einer NT40/ win2000-Domäne tadellos laufen, unter win2003 dann nicht mehr, gibts jedenfalls reichlich.

[Daim 12]

Ich meine nur, man sollte die Kirche im Dorf lassen.

Solche Empfehlungen alles zu testen hört man ab und zu, Murphys Gesetz hin oder her.

 

Ich weiß nicht wieviele Umstellungen Du bereits gemacht hast, aber ich habe etliche mit den kuriosesten Applikationen und ich hatte noch nie ein Problem.

Deiner Aussage zufolge, entnehmen ich, dass Du auch noch kein Problem damit hattest.

 

Wen ich alles gefragt habe, konnte mir bisher noch keiner eine Applikation nennen, die bei der Umstellung des Domänen-Modi Probleme bereitet hat, geschweige denn, nicht gelaufen wäre.

 

Daher kann man Deine vorherige Empfehlung, ruhig etwas entschärfen.

[Daim 12]

Anwendungen die in einer NT40/ win2000-Domäne tadellos laufen, unter win2003 dann nicht mehr, gibts jedenfalls reichlich.

 

Jetzt vergleichst Du Äpfel mit Birnen...

NT und 2000 sind andere Betriebssystem-Versionen.

[blub 115]

was sinnvoll ist, hängt davon ab, was und wer in der Domäne von mheine arbeitet. Wenn vom sauberen Funktionieren des ADs Geld und Arbeitsplätze abhängen, halte ich meine Empfehlung für mehr als gerechtfertigt. (Abgesehen davon ist eine erprobte Backupstrategie nie verkehrt.)

Jemand der auch nur darüber nachdenkt, an meiner produktiven Domäne ohne erprobtes Rollbackverfahren am besten mal eben so um 9:00 Morgens zur Hauptanmeldezeit einen solchen Schritt durchzuführen, ...neverever.

 

cu

blub