如何实现林和域的功能级别平稳安全升级?

本文引自于:http://social.technet.microsoft.com/Forums/zh-CN/UpgradeMigration/thread/23f734cb-184b-4cca-a691-146c99088d65


林功能级别以及域功能级别
    大家都知道存在林和域功能级别这个概念,当客户升级Active Directory时,他们不可避免的会有一些困惑和疑虑。功能级别为什么要提升?为什么有这个必要?提升会引起活动目录发生什么变化呢?
    在这些问题能够得到妥善解决之前,首先必须理解林和域功能级别在活动目录服务中到底有什么用。每一个新版本的Windows Server上的Active Directory服务中都有新的功能和特性的引进,但是只有当域或者林中的所有的域控制器都升级到同一版本的服务器系统时,这些新的特性才可以被启用。例如,Windows Server2008 R2介绍了AD回收站功能,允许管理员从Active Directory中恢复已删除的对象。为了支持这一新功能,只有让所有的域控制器都运行在Windows Server2008 R2系统中。在混合环境中,也就是在Windows Server2008 R2的域控制器与运行在早期版本的Windows系统中域控制器共存的时候,如果根据删除的动作是发生在什么样的域控制器上的, 来规定删除的对象是否可以存放在AD回收站,是否可以从回收站中被恢复。这很明显会造成活动目录数据库的不一致性,为了防止这种情况,需要一种机制,使得混合环境中这些新特性保持禁用状态,直到所有域或森林的DC已经升级到支持它们所需的操作系统最低水平。这个机制就是林和域的功能级别。
在活动目录环境中,林功能级别和域功能级别提供了一个启用林范围和域范围的新功能新特性的功能。通过提升林和域功能级别,我们可以启用那些暂时受到限制的新特性。根据活动目录的环境,我们可以获得不同的最高的功能级别。如果在林中或者域中, 所有的域控都是运行在最新的服务器版本上面,然后林功能级别和域功能级别都已经升到最高的可升级的级别,那么所有的林范围和域范围的新特性都是可用的。 相反的,如果存在运行在先前版本服务器系统的域控,那么这个AD DS 的特性的使用是受到限制的。
另外还有两个重要的关于域或目录林功能级别的限制。如果功能级别被提升了,运行在低级版本的Windows Server上的域控制器就不能被添加到域或目录林中。如果非要安装的话,就会产生一些问题,例如改变对象的复制方式(链接值复制)。为了防止这些问题的出现,一个新的DC必须是运行在同一水平,或者是比域或目录林功能级别更高的服务器系统上。
    第二个限制,当我们提升了功能级别之后,是不可以回滚的到原来的级别或者说是更低的级别的, 只有下面两个特例: 当我们升级域功能级别到Windows Server 2008 R2 或者 Windows Server 2012 时, 如果林功能级别是 Windows Server 2008或者更低, 域功能级别可以回滚到Windows Server 2008 或者 Windows Server 2008 R2。只有在这种情况下,才有回滚可以发生,只能将域功能级别从 Windows Server 2012 降到 Windows Server 2008 或者 Windows Server 2008 R2, 从Windows Server 2008 R2 降到Windows Server 2008;当我们升级林功能级别到Windows Server 2012 时, 林功能级别可以回滚到Windows Server 2008 R2。如果AD回收站没有被启用的话,林功能级别还可以从 Windows Server 2012 降到 Windows Server 2008 或者 Windows Server 2008 R2,或者是从Windows Server 2008 R2 降到Windows Server 2008。

   
更多IT应用场景和解决方案: http://social.technet.microsoft.com/Forums/zh-CN/category/productsinformation。

你可能感兴趣的:(如何实现林和域的功能级别平稳安全升级?)