域和林功能级别是一种标志,该标志提示语管理员域和林中所有域控制器存在一定差异,不同级别对应不同操作系统。当功能级别被提升之后,一些依赖于操作系统的新功能将被启用。之前的功能仍然支持,以便使用那些功能的任何应用程序或服务奖继续像以前那样工作。因此建议,尽量使用高的功能级别。

功能级别概述

    功能级别确定了在域或林中启用的AD DS域服务的功能,该功能将闲置哪些Windows Server操作系统可以在域或林中的域控制器上运行。功能级别不会影响连接到域或林的工作站和成员服务器,影响目标是与控制器。


功能级别在域中的作用

    域环境中,林功能级别和域功能级别提供启用林范围和域范围的新功能、新特性和功能。通过提升林和域功能级别,可以启用那些暂时收到限制的新特性。根据域环境,可以获得不同的最高的功能级别。如果在林中或者域中,所有的域控制器都运行最新的服务器版本,然后林功能级别和域功能级别都已经升到最高级别,那么所有的林范围和域范围的新特性都是可用的。相反的,如果存在运行在先前版本服务器系统的域控制器,AD DS域服务的特性的使用将受到限制。

    每一个新版本的Windows服务器在操作系统上的AD DS域服务(Active Directory服务)中都有新的功能和特性的引进,但是只有当域或者林中的所有的域控制器都升级到同一版本的服务器系统时,这些新的特性才可以被启用。例如Windows Server 2012支持“Active Directory回收站”功能,允许管理员从Active Directory中恢复已删除的对象。为了支持者一新功能,只有让所有的域控制器都运行在Windows Server 2012域控制器域早起版本Windows系统域控制器共存时,如果根据删除动作判断删除的对象是否可以存放在Active Directory回收站,以及是否可以从回收站中被恢复,很明显会造成活动目录数据库的不一致性,为了防止这种情况,需要一种机制,使得混合环境中这些新特性保持禁用状态,知道所有域或森林的域控制器已经升级到支持它们所需的操作系统最低水平。这个机制就是林和域的功能级别。


选择合适的功能级别

    创建新域或新林时,管理员可以选择使用的功能级别,建立尽量设置为高级别的功能级别,尽可能充分利用AD DS域服务器功能。例如,如果肯定不会将运行Windows Server 2003(或任何较早的操作系统)的域控制器添加到域或林,建立选择“Windows Server 2008”功能级别。

    安装新林时,Active Directory部署向导将提示设置林功能级别,然后设置域功能级别。不能将域功能级别设置为低于林功能级别的值。


功能级别的限制

    1.第一个限制

    如果功能级别被提升,运行在低级版本的Windows Server上的域控制器就不能被添加到域或目录林中。如果非要安装的话,就会产生一些问题,例如改变对象的复制方式。为了防止这些问题的出现,一个新的域控制器必须运行在同一水平,或者是比域或目录林功能级别更高的服务器系统上。

    2.第二个限制

    提升功能级别后,不能回滚到原级别或者说更低级别,只有下面两个特例。

    ·当升级域功能级别到Windows Server 2008 R2或者Windows Server 2012时,如果林功能级别是Windows Server 2008或者更低,域功能级别可以回滚到Windows Server 2008或者Windows Server 2008 R2。只有在这种情况下,才有回滚可以发生,只能讲域功能级别从Windows Server 2012降到Windows Server 2008或者Windows Server 2008 R2,或者从Windows Server 2008 R2降到Windows Server 2008。

    ·当升级林功能级别到Windows Server 2012时,林功能级别可以回滚到WIndows Server 2008 R2.如果Active Directory回收站没有被启用的话,林功能级别还可以从Windows Server 2012降到Windows Server 2008或者Windows Server 2008 R2,或者是从WIndows Server 2008 R2降到Windows Server 2008。


注意事项

    功能级别操作时,需要注意以下事项。

    ·验证域内所有的域控制器,确保都运行在与将要提升到的功能级别一样或者更高的操作系统上。如果降级一个运行在低版本服务器上的域控制器,单没有执行元数据清除,这种情况下提升功能级别时可能出现问题。

    ·“Lost and Found”容器中,如果存在低版本系统NTDS设置对象,不能提升域功能级别。

    ·确保活动目录数据库可以复制到所有的域控制器。域和目录林功能级别本质上只是活动目录中的一个属性。功能级别的更改通过Acitve Directory复制传播给域中或者林中所有域控制器。提高林功能级别前,所有域的域功能级别必须已经正确复制。提升完所有林中域的域功能级别后,域控制器之间的复制依赖于域环境、站点规划、网络速度等。


域功能级别支持的域控制器

    表4-1列出Windows Server 2012 AD DS域服务环境中,域功能级别

表4-1 域功能级别对应的操作系统

域功能级别 域控制器运行的操作系统


Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012 Windows Server 2012


林功能级别支持的域控制器

    表4-2列出Windows Server 2012 AD DS域服务环境中,林功能级别支持的域控制器,即在相应林功能级别下可以存在的域控制器运行的服务器系统。

表4-2    林功能级别对应的操作系统

林功能级别 域控制器运行的操作系统
Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2(default)

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012 Windows Server 2012


功能级别的管理任务

    提升功能级别取决于网络中域控制器运行的操作系统版本,使用Windows Server 2012部署Active Directory域服务过程中,管理员将第一次决定采用何种类型的域和林功能级别,默认情况下采用的是Windows Server 2003模式,如果网络中运行的操作系统版本全部是Windows Server 2008,则可以直接设置为Windows Server 2008模式,在以后的管理中不需要提升林和域的功能级别。提升的过程只能由低向高,不能将高版本的功能级别降级(实质上部分允许,但是不建议降级操作)。


查看域功能级别

    1、Active Directory域和信任关系

    打开“Active Directory域和信任关系”控制台,右击域名,在弹出的快捷菜单中选择“属性”命令,命令执行后,打开域属性对话框。该对话框显示当前林和域的功能级别。

    2、PowerShell命令组

    Get-ADDomain

    3、Active Directory管理中心

    打开“Active Directory管理中心”,左侧面板中选择“域(本地)”,“任务”列表中选择“提升域功能级别”选项。

    命令执行后,显示“提升域功能级别”对话框。显示当前域的功能级别。


查看林功能级别

    1.Active Directory域和信任关系

    通过“Active Directory域和信任关系”查看林功能级别,操作方法和查看域的功能级别相同。

    2.PowerShell命令组

    Get-ADForst

    3.Active Directory管理中心

    打开“Active Directory管理中心”,左侧面板中选择“域(本地)”,“任务”列表中选择“提升林功能级别”选项。

    命令执行后,打开“提升林功能级别”对话框。显示当前林的功能级别


提升域功能级别

    Set-ADDomainMode

    键入以下命令,查询当前域功能级别

    Get-ADDomain |select Name,Forest,domainmode

    键入以下命令,提升域功能级别。

    Set-ADDomainMode-Identity book.local-DomainMode Windows2012Domain

    单击“全是”按钮,将域功能级别提升为Windows Server 2012模式。


提升林功能级别

    键入以下命令,查询当前林功能级别

    Get-ADForest | Select Name,Domains,ForestMode

    键入以下命令,提升林功能级别

    Set-ADForestMode-Identity book.local -ForestMode Windows2012Forest

    点击“全是”按钮,将域功能级别提升为Windows Server 2012模式。


功能级别降级

    Windows Server 2012 AD DS域服务支持功能级别降级操作,但是在实际应用环境中,强烈建议不要进行功能级别的降级操作,以免为网络以及功能性问题带来影响。降级操作只能通过PowerSheel命令完成。

    1.降级域功能级别

    使用“Set-ADDomainMode”命令提升域功能级别。

    键入以下命令,查询当前域功能级别。

    Get-ADDomainMode |select Name,Forest,domainmode

    键入以下命令,降级域功能级别。

    Set-ADDomainMode -Identity book.local -DomainMode Windows2008R2Domain

    单击“全是”按钮,将域功能级别降级为Windows Server 2008 R2模式。

    2.降级林功能级别

    键入以下命令,查询当前林功能级别。

    Get-ADForest | Select Name,Domains,ForestMode

    键入以下命令,降级林功能级别

    Set-ADForestMode -Identity book.local -ForestMode Windows2008R2Forest


注意事项

    使用“Set-ADDomainMode”和“Set-ADForestMode”命令过程中,功能级别可以使用的参数包括:

    ·    Windows2000Domain

    ·    Windows2003InterimDomain

    ·    Windows2003Domain

    ·    Windows2008Domain

    ·    Windows2008R2Domain

    ·    Windows2012Domain