1.3K
El nivel funcional del dominio y el bosque de Active Directory determina las características disponibles que se pueden usar en el dominio y la versión de Windows Server que se puede usar en los controladores de dominio.
Por ejemplo, si tiene controladores de dominio de Windows Server 2016 y el nivel funcional del dominio es solo Windows Server 2003, no podrá usar la papelera de reciclaje de AD (introducida en la versión de AD en Windows Server 2008 R2). En este artículo, le mostraremos cómo elevar el nivel funcional de su dominio y bosque de Active Directory de Windows Server 2012 R2 a Windows Server 2016.
¿Cómo verificar los niveles funcionales de dominio y bosque?
Puede verificar el dominio actual y el nivel funcional del bosque mediante el complemento mmc de Dominios y confianzas de Active Directory (domain.msc). Abra las propiedades de su dominio. Los niveles funcionales de dominio y bosque se enumeran en la General pestaña. En nuestro caso, se trata de Windows Server 2012 R2.
Puede mostrar el nivel funcional del dominio (DFL) actual mediante PowerShell:
Get-ADDomain | fl Name, DomainMode Windows2012R2Domain
Ahora vamos a comprobar el nivel funcional del bosque (FFL):
Get-ADForest | fl Name, ForestMode Windows2012R2Forest
¿Cómo elevar los niveles funcionales de dominio y bosque de Active Directory?
Nota. Este artículo muestra cómo actualizar un nivel de características de dominio a Windows Server 2016. ¿Por qué no usamos las versiones más recientes de Windows Server 2022 y Windows Server 2019? El hecho es que en WS 2022 y 2019, no se agregan nuevos niveles funcionales de dominio y bosque para estas versiones del sistema operativo. Incluso si actualiza todos sus controladores de dominio a Windows Server 2022, seguirá usando Windows Server 2016 como su nivel funcional de dominio y bosque más reciente.
Antes de elevar el nivel funcional del dominio y el bosque, debe actualizar la versión de Windows Server en todos los controladores de dominio a Windows Server 2016, 2019 o 2022. Puede usar una actualización local (no recomendada) o instalar controladores de dominio adicionales con Windows Server 2022/2019/2016 y elimine correctamente las versiones heredadas de DC de su entorno de Active Directory.
Agregar un nuevo controlador de dominio con cualquiera de estas versiones de Windows Server requiere al menos un nivel funcional de Windows Server 2008. Si está utilizando una versión anterior, obtendrá un error al promocionar un nuevo DC:
La verificación de la réplica falló. No se admite el nivel funcional del bosque. Para instalar un dominio o controlador de dominio de Windows Server 2022, el nivel funcional del bosque debe ser Windows Server 2008 o superior.
Compruebe y asegúrese de que la replicación de AD funcione correctamente en su dominio y bosque. Puede comprobar el estado de la replicación de Active Directory con la herramienta repadmin o con PowerShell:
Repadmin /replsummary Repadmin /Showrepl Get-ADReplicationFailure -Target theitbros.com -Scope Domain Get-ADReplicationFailure -Target theitbros.com -Scope Forest
Pista. Cuando actualice el nivel funcional del dominio de Windows Server 2003 a una versión más nueva, la contraseña de la cuenta krbtgt se restablecerá a la fuerza. Esto puede afectar la disponibilidad de los servicios de Exchange. Además, recuerde migrar la replicación de AD en el dominio de FRS a la replicación del Servicio de archivos distribuidos (DFS).
Para elevar el nivel funcional de un dominio, puede ejecutar el complemento Dominios y confianzas de Active Directory de MMC. Haga clic derecho en el nombre de dominio y seleccione Elevar el nivel funcional del dominio.
En la ventana que se abre, seleccione el nivel funcional Servidor Windows 2016y haga clic en el Aumentar botón.
Antes de poder elevar el nivel funcional del bosque, todos los dominios del bosque deben actualizarse al mismo nivel funcional de dominio oa uno superior. Para elevar el nivel funcional de un bosque, debe ser miembro del grupo Administradores de empresa. El complemento Dominios y confianzas de Active Directory también se usa para elevar el nivel funcional del bosque.
Haga clic derecho en la raíz del complemento y seleccione Elevar el nivel funcional del bosque.
En las siguientes ventanas, seleccione el nivel de bosque funcional requerido y haga clic en el Aumentar botón.
Ahora, cuando vuelva a abrir la ventana Elevar el nivel funcional del bosque, aparecerá un mensaje:
Este bosque está operando al más alto nivel funcional posible.
Eleve los niveles funcionales de dominio y bosque con PowerShell
También puede elevar el nivel funcional del dominio mediante PowerShell. Se utiliza el siguiente comando:
Set-ADDomainMode -identity theitbros.com -DomainMode Windows2016Domain
Si tiene varios dominios en su bosque, debe actualizar el DFL en cada dominio.
Espere a que se complete la replicación de AD y verifique que todos los controladores de dominio informen que el nivel funcional del dominio ahora es Windows2016Domain.
Para elevar el nivel funcional del bosque, se utiliza otro comando:
Set-ADForestMode -Identity theitbros.com -ForestMode Windows2016Forest
Nota. El comando Set-ADForestMode devuelve un error si no ha actualizado la versión del dominio en ninguno de los dominios del bosque:
El nivel funcional del dominio (o bosque) no se puede elevar al valor solicitado porque existen uno o más controladores de dominio en el dominio (o bosque) que se encuentran en un nivel funcional inferior incompatible.
No se puede elevar el nivel funcional del dominio o bosque
En esta sección, recopilaremos algunos de los errores que pueden ocurrir al subir el nivel funcional del bosque.
ERROR_DS_DOMAIN_VERSION_TOO_LOW 8566 (0x2176)
Al actualizar el nivel funcional del dominio, puede aparecer el siguiente error:
No puede elevar el nivel funcional del dominio porque este dominio incluye controladores de dominio de Active Directory que no ejecutan la versión adecuada de Windows Server.
El error significa que hay controladores de dominio en su dominio con una versión anterior de Windows Server. Puede obtener una lista completa de las versiones de los controladores de dominio en AD mediante el cmdlet de PowerShell Get-ADDomainController:
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem
Encuentre controladores de dominio con una versión anterior de Windows Server y actualícelos al menos a Windows Server 2016 o elimine (degrade) sus cuentas de AD y limpie los metadatos de Active Directory y la configuración del sitio de AD.
ERROR_DS_FOREST_VERSION_TOO_LOW 8565 (0x2175)
El siguiente error es similar al anterior, solo relacionado con la presencia de versiones anteriores de controladores de dominio en el bosque AD:
La versión del sistema operativo instalado en este servidor ya no es compatible con el nivel funcional actual del bosque de AD DS o el nivel funcional del conjunto de configuración de AD LDS. Debe elevar el nivel funcional del bosque de AD DS o el nivel funcional del conjunto de configuración de AD LDS antes de que este servidor pueda convertirse en un controlador de dominio de AD DS o una instancia de AD LDS en este bosque o conjunto de configuración.
ERROR_DS_NO_BEHAVIOR_VERSION_IN_MIXEDDOMAIN 8569 (0x2179)
Este error puede aparecer si su dominio se ejecuta en modo mixto:
El nivel funcional del bosque no se puede elevar al valor solicitado ya que uno o más dominios todavía están en modo de dominio mixto. Todos los dominios del bosque deben estar en modo nativo para que pueda elevar el nivel funcional del bosque.
El modo mixto permite que los controladores de dominio de respaldo de Windows NT y 2000 coexistan en un dominio. Para solucionar el problema, debe cambiar el dominio al modo nativo. Para hacer esto, abra la consola de dominios y confianzas de Active Directory (domain.msc), expanda su dominio y abra su Propiedades. Ve a la General pestaña y haga clic Modo de cambio.
Rebajar los niveles funcionales de dominio y bosque en AD
No se podía revertir el nivel funcional del dominio y del bosque después de una actualización anterior al lanzamiento de Windows Server 2008 R2. A partir de WS 2008 R2, puede revertir los cambios a DFL y FFL. La degradación de nivel funcional solo se puede realizar en escenarios específicos:
- El nivel funcional de dominio de destino mínimo al que puede cambiar a una versión anterior es Windows Server 2008.
- No podrá volver al nivel funcional de Windows Server 2008 después de habilitar la Papelera de reciclaje de AD. La razón de esto es que la Papelera de reciclaje no se puede deshabilitar y Windows Server 2008 no es compatible con la Papelera de reciclaje. Puede usar el comando PowerShell para verificar si la Papelera de reciclaje está habilitada o no en su dominio:
Get-ADOptionalFeature -Filter 'name -like "Recycle Bin Feature"'
Solo puede degradar usando PowerShell (no puede hacerlo usando la GUI).
Abra una consola de PowerShell con privilegios de administrador de dominio/administrador de empresa. Verifique el dominio actual y el nivel funcional del bosque:
(Get-ADForest).forestmode (Get-ADDomain).domainmode
Si tiene varios dominios en el bosque, use el siguiente script de PowerShell para comprobar el nivel funcional de todos los dominios:
$domains=(Get-ADForest).domains foreach ($domain in $domains) { Get-ADDomain -Identity $domain| select DNSRoot,DomainMode }
En nuestro caso, el nivel actual de todos los dominios y bosques es Windows2016Forest.
Puede degradar el nivel de función del bosque a Windows Server 2012 con el comando:
Set-ADForestMode –Identity contoso.com –ForestMode Windows2012Forest
Luego realice una degradación del nivel funcional para cada dominio. Puede degradar DFL en dominios secundarios en cualquier orden.
Set-ADDomainMode –Identity contoso.com –DomainMode Windows2012Domain
Si intenta bajar el DFL antes que el FFL, se producirá el error:
Set-ADDomainMode : The functional level of the domain (or forest) cannot be lowered to the requested value
Compruebe si los niveles funcionales de Bosque y Dominio se han revertido con éxito.