none
Dudas sobre elevar niveles funcionales de dominio RRS feed

  • Pregunta

  • Hola

    Tenemso en la empresa un dominio con bosque a nivel funcional 2000 y nivel funcional de dominio 2000 mixto.

    Estamos encontrando bastantes problemas como estes:

    - poder aplicar políticas en windows clientes como windows vista o 7 ya que algunas no son compatibles
    - No poder agregar grupos de dominios globales en otros dominios de confianza
    - No poder agregar controladores de dominio Windows 2008

    Esta última es la que más nos preocupa así que hemos decidido promocionar el nivel funcional al menos de dominio y luego hacer un adprep para hacer "compatible" el controlador de dominio Windows 2008 y que pueda ser agregado a la red como tal

    Mis preguntas son:

    - ¿Que requisitos tengo que tener en cuenta para poder realizar la elevación del nivel funcional a 2003 tanto de bosque como de dominio? Lo digo porque tenemos muchos servidores con Windows 2000 Server y no sabremos si afectará

    - ¿Solucionará el hecho de elevar el nivel funcional y posteriormente hacer un adprep la compatibilidad con políticas o el problema de los grupos? ¿Que beneficios tiene el nivel funcional 2003?
    domingo, 14 de marzo de 2010 17:57

Respuestas

  • Buen Dia.

    Ing. GoldFran.

    Le informo que los niveles funcionales me permiten manejar muchas caracteristicas en el manejo de Grupos en el Directorio Activo.

    Todo depende del Scope (Area) del Grupo. Ej: Global, Dominio Local y Universal.
    y el tipo de Grupo. como es Seguridad o Distribucion.

    Cuando creas un grupo este por defecto es: Scope (Area) : Global y Seguridad.

    Segun el Nivel funcional con el que estes trabajando Mixto, Windows 2003 Interim, Nativo y Windows 2003. se tienen caracteristicas.

    Adjunto link para ver mas informacion de los niveles funcionales: http://technet.microsoft.com/es-es/library/cc771132(WS.10).aspx

    Hay que tener en cuenta su Infraestructura de Windows con Controladores de Dominio y Sistemas Operacionales para poder tomar una decision.  

    No elevar el nivel funcional a niveles superiores si se tiene Controladores con Windows versiones anteriores.
    http://technet.microsoft.com/es-es/library/cc730985(WS.10).aspx

    Cualquier inquietud que tengas con gusto estare pendiente de tus comentarios.


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    domingo, 14 de marzo de 2010 18:16
  • GoldFran, lo que determina hasta dónde puedes elevar el nivel funcional de un dominio es el sistema operativo de los Controladores de Dominio, no influyen los de los servidores miembros.

    Una vez que se eleva el nivel funcional de todos los dominios de un bosque, recién se puede elevar el nivel funcional del Bosque

    Elevar los niveles funcionales hace que se puedan usar las nuevas características del sistema operativo

    Tienes una descripción de las características en:
    Niveles Funcionales de Dominio y de Bosque (Domain – Forest Functional Levels)
    http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!392.entry

    El comando ADPREP se usa como herramienta de preparación cuando quieres agregar un Controlador de Dominio, con sistema operativo más nuevo que los que ya tienes.
    Se utiliza para hacer las modificaciones necesarias a nivel de Schema (ADPREP /FORESTPREP), y de Dominio (ADPREP /DOMAINPREP)
    Esta preparación hace modificaciones para que puedas agregar el nuevo Controlador de Dominio con sistema operativo más nuevo.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 15 de marzo de 2010 12:11
    Moderador
  • Acceso a base de datos no es "sólo que se vean", y mejor no te cuento de "no sé qué historias"  :-) :-)

    Cuando se accede a un recurso de red, hay que ser *autenticado* y *autorizado*, por lo que hay que conectarse con una cuenta válida en el destino.
    Puede ser la propia cuenta, si usas relaciones de confianza, o que se pueda hacer la conexión proporcionando credenciales alternativas válidas en el recurso.

    Recuerda además que cualquier relación con NT implica seguir resolviendo nombres NetBIOS.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 16 de marzo de 2010 17:09
    Moderador
  • Sobre relaciones entre NT y 2003, tienes un buen artí____ en

    How to establish trusts with a Windows NT-based domain in Windows Server 2003
    http://support.microsoft.com/kb/325874

    Y algunos problemas

    Trust between a Windows NT domain and an Active Directory domain cannot be established or it does not work as expected
    http://support.microsoft.com/kb/889030


    Saludos, Marc
    martes, 16 de marzo de 2010 18:29
    Moderador

Todas las respuestas

  • Buen Dia.

    Ing. GoldFran.

    Le informo que los niveles funcionales me permiten manejar muchas caracteristicas en el manejo de Grupos en el Directorio Activo.

    Todo depende del Scope (Area) del Grupo. Ej: Global, Dominio Local y Universal.
    y el tipo de Grupo. como es Seguridad o Distribucion.

    Cuando creas un grupo este por defecto es: Scope (Area) : Global y Seguridad.

    Segun el Nivel funcional con el que estes trabajando Mixto, Windows 2003 Interim, Nativo y Windows 2003. se tienen caracteristicas.

    Adjunto link para ver mas informacion de los niveles funcionales: http://technet.microsoft.com/es-es/library/cc771132(WS.10).aspx

    Hay que tener en cuenta su Infraestructura de Windows con Controladores de Dominio y Sistemas Operacionales para poder tomar una decision.  

    No elevar el nivel funcional a niveles superiores si se tiene Controladores con Windows versiones anteriores.
    http://technet.microsoft.com/es-es/library/cc730985(WS.10).aspx

    Cualquier inquietud que tengas con gusto estare pendiente de tus comentarios.


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    domingo, 14 de marzo de 2010 18:16
  • Hola y gracias

    Después de leer esto, sigue quedandome la duda práctica ya qu aquí solo habla de Windows 2008 R2

    Si yo tengo un nivel funcional de bosque Windows 2000 y nivel funcional de dominio Windows 2000, y tengo la mayoría de servidores basados en Windows 2003 y alguno en 2000... ¿Si promociono el nivel de bosque y de dominio a nivel funcional 2003, me dejarían de "funcionar" los equipos con Windows 2000?

    Pero esto se aplica si fueran controladores, siendo solo servidores sin ser controladores no les afecta no?
    lunes, 15 de marzo de 2010 8:35
  • Hola GolFran,

    Los niveles funcionales estan directamente relacionados con las caracteristicas de cada uno de los sistemas, es decir, se mantienen niveles de fincionalidad inferiores por temas de compatibilidad pero para explotar al maximo las caracteristicas de cada versión el nivel funcional deberia ser el correspondiente a la versión. En tu caso antes de elevar el nivel debes actualizar todos los controladores, en un bosque y dominio 2003 todos los controladores deben ser 2003. Evidentemente tanto clientes como servidores miembro no ven afectadas sus funcionalidades.

    Un saludo

    Grego J.
    lunes, 15 de marzo de 2010 11:25
  • Hola

    Si, acabo de comprobar que tengo todos los controladores de dominio en Windows 2003... Lo que no me queda claro es la diferencia, es decir el nivel funcional de dominio si lo comprendo, se tienene que tener el nivel funcional del controlador con la versión más baja por temas de compatibilidad pero...

    ¿Que hay en cuanto al nivel funcional del bosque, en que afecta? ¿Afecta solamente a lso tipos de dominios que se pueden agrebar a él?

    También tengo la duda, para agregar controladores de dominio Windows 2008, ¿Necesito hacer un addprep tanto de bosque como de dominio? ¿En que afecta el addprep?

    Saludos
    lunes, 15 de marzo de 2010 11:51
  • GoldFran, lo que determina hasta dónde puedes elevar el nivel funcional de un dominio es el sistema operativo de los Controladores de Dominio, no influyen los de los servidores miembros.

    Una vez que se eleva el nivel funcional de todos los dominios de un bosque, recién se puede elevar el nivel funcional del Bosque

    Elevar los niveles funcionales hace que se puedan usar las nuevas características del sistema operativo

    Tienes una descripción de las características en:
    Niveles Funcionales de Dominio y de Bosque (Domain – Forest Functional Levels)
    http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!392.entry

    El comando ADPREP se usa como herramienta de preparación cuando quieres agregar un Controlador de Dominio, con sistema operativo más nuevo que los que ya tienes.
    Se utiliza para hacer las modificaciones necesarias a nivel de Schema (ADPREP /FORESTPREP), y de Dominio (ADPREP /DOMAINPREP)
    Esta preparación hace modificaciones para que puedas agregar el nuevo Controlador de Dominio con sistema operativo más nuevo.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 15 de marzo de 2010 12:11
    Moderador
  • Hola GoldFran,

    Evidentemente el nivel funciopnal de tu bosque marca el nivel funcional de tus dominios. Por otra parte como hemos comentado cada nuevo sistema incorpora nuevas caracteristicas y funcionalidades que se ven reflejadas en AD y por lo tanto en su "schema" el ADPREP prepara tu AD para soportar estas funcionalidades, por lo tanto si en un dominio Windows 2003 vas ha introducir DC's 2008 tendras que preparar tanto el bosque como el esquema ya que tus controladores AD necesitan estas modificaciones aun cuando el nivel de tu bosque o dominio permanezca por debajo.

    Un saludo

    Grego J.
    lunes, 15 de marzo de 2010 15:05
  • ok todo claro

    Me daba un poco de palo realizar las elevaciones de niveles funcionales sin el beneplázito de este foro jaja

    La última duda que me surge es que nosotros tenemos relaciones de confianza con otros dominios, en diferentes bosques con equipos con Windows NT y 2000... ¿Si cambiamos el nivel funcional afecta en algo que "hablen" entre ellos?
    lunes, 15 de marzo de 2010 16:18
  • Ing. GoldFran.

    Veo que con los compañeros ya a aclarado varias dudas sobre los niveles funcionales.

    Pero si tienes Controladores de Dominio en versiones NT o Windows 2000 es mejor que sigas trabajando con modo Mixto. 

    Pero si decides actualizar los otros controladores de dominio a versiones actualizadas de Windows Server como es 2003 o 2008, alli si puedes subir el nivel funcional a Windows Server 2003 para tener todas las funciones que entrega los nuevos Sistemas Operacional con el Directorio Activo.

    Saludos.
    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    lunes, 15 de marzo de 2010 18:33
  • Hola

    Si, la duda entre controladores y bosque está clara, ahora tengo la duda que expongo más arriba es decir:

    Tengo el dominio de la empresa que voy a elevar de nivel funcional, en la empresa tenemos solo controladorews de dominio de Windows 2003 y uno que quiero agregar de 2008 pero tenemos relaciones de confianza con otros dominios y estos dominios si que tienen controladores NT y Windows 2000

    ¿Afecta elevar el nivel funcional en las relaciones de confianza?
    lunes, 15 de marzo de 2010 23:45
  • W2008 cortó la compatibilidad con NT y W2000.
    Esto no quiere decir que no funcione, pero tampoco lo garantiza

    Realmente no sé si van a funcionar las relaciones de confianza, ya que cada nueva versión de sistema operativo, eleva los niveles de seguridad de autenticación desechando los más antiguos e inseguros.

    Salvo que algún compañero lo tenga probado, me parece que te toca hacer un ambiente de laboratorio y probarlo tú mismo si funciona o no con dominios NT y 2000


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 16 de marzo de 2010 10:48
    Moderador
  • Hola

    Bueno también he de decir que el uso de relaciones de confianza entre el dominio de la empresa (Windows 2003) y el otro dominio de relación de confianza (Windows NT) es básicamente "que se vean" con esto solo nos valdría, ya que son accesos de bases de datos y no se que historias...

    Por otra parte ya les he contado que el proceso de elevación de dominio y el uso de adprep para agregar W2008 a ese dominio es inocuo y transparante para el usuario y no se tarda nada pero no me creen mucho
    martes, 16 de marzo de 2010 16:01
  • Acceso a base de datos no es "sólo que se vean", y mejor no te cuento de "no sé qué historias"  :-) :-)

    Cuando se accede a un recurso de red, hay que ser *autenticado* y *autorizado*, por lo que hay que conectarse con una cuenta válida en el destino.
    Puede ser la propia cuenta, si usas relaciones de confianza, o que se pueda hacer la conexión proporcionando credenciales alternativas válidas en el recurso.

    Recuerda además que cualquier relación con NT implica seguir resolviendo nombres NetBIOS.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 16 de marzo de 2010 17:09
    Moderador
  • Ya, por eso ponía entre comillas

    Supongo que si hago mi dominio bosque/dominio a funcional nivel 2003 no tendré problema el problema será a nivel 2008 pero de momento eso no pasará
    martes, 16 de marzo de 2010 17:51
  • Sobre relaciones entre NT y 2003, tienes un buen artí____ en

    How to establish trusts with a Windows NT-based domain in Windows Server 2003
    http://support.microsoft.com/kb/325874

    Y algunos problemas

    Trust between a Windows NT domain and an Active Directory domain cannot be established or it does not work as expected
    http://support.microsoft.com/kb/889030


    Saludos, Marc
    martes, 16 de marzo de 2010 18:29
    Moderador
  • Hola

    Bueno por último ante sde hacer esta noche esta intervención las dos últimas dudas que me surgen:

    - Por precaución y para no hacerlo todo a la vez vamos a elevar solo el nivel funcional del dominio a 2003. He comprobado que no tenemos controlador de dominio de 2000. Hay varios controladres en una sede, mi pregunra es ¿Después de elevar el nivel funcional a 2003, hay que reiniciar todos lod controladores de dominio o solo el principal?

    - Tenemos varias sedes y para que los cambios se vean afectados, ¿tendré que forzar la réplica?

    Tengo pensado primer elevar el nivel funcional y luego hacer un adprep /domainpre para poder meter equipos 2008 en el dominio... ¿tengo que hacer un forespre y domainpre o con un domainpre es suficiente?

    jueves, 25 de marzo de 2010 8:34
  • No es necesario reiniciar los DCs después de elevar el nivel funcional del dominio. Los controladores de la sede, son del mismo dominio y son Windows 2000. Si lo son, no podrás elevar el nivel.

    No, la réplica es automática (y autoritativa, esto es, de máxima prioridad y preferencia sobre otras réplicas pendientes y encoladas)


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    jueves, 25 de marzo de 2010 11:25
    Moderador
  • Luego de elevar nivel funcional no hace falta reiniciar. Lo que sí hay que esperar es que se replique este cambio.

    Si tienes sistios remotos esto puede demorar un poco. Pero bastaría que te conectes remotamente con Usuarios y Equipos de AD sobre ese servidor y ver si el cambio se replicó (con botón derecho sobre el servidor).

    No hace falta forzar la réplica tampoco, ya que si todo está funcionando adecuadamente se replicará sólo.

    No creo que sea conveniente tratar de acelerar nada sobre un proceso que es delicado. Deja mejor los ADPREP para el día siguiente :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 11:31
    Moderador
  • Hola

    Si, también he pensado en hacer primero la elevación de dominio a nivel 2003, dejar que se replque solo en todas sedes de forma "natural", comprobar la mañana siguiente que todo está Ok y el siguiente día hacer adeprep

    ¿Que cambios o mejoras existe entre 200 y 2003 a nivel funcional de dominio?

    Yo pensaba que al menos el DC principal si era necesario reiniciar

     

    jueves, 25 de marzo de 2010 11:45
  • Niveles Funcionales de Dominio y de Bosque (Domain – Forest Functional Levels)
    http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!392.entry

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 12:30
    Moderador
  • Hola

    Nada, comentar que hice la elevación de dominio a 2003 y todo quedó perfecto, las relaciones de confianza con otro bosque NT funcionan Ok, replicó bien, y las nuevas funciones están funcionando

    Hoy haré el adprep para "preparar" el dominio y poder meter controladores 2008 R2, según me he documentado el proceso sigue siendo "inocuo" para el usuario ¿hará falta reiniciar algo? ¿es necesario elevar el nivel de bosque que es nivel funcional 2000?

    lunes, 29 de marzo de 2010 7:49
  • Si todos los dominios del Bosque tienen nivel funcional Nativo 2003, es muy conveniente elevar también el nivel del Bosque, ya que eso permite aprovechar nuevas características, algunas "poco visibles" pero muy importantes como son los cambios en la replicación (a nivel de valor, en lugar de propiedad).

    Siempre la duda queda en referencia a las relaciones con los NT4 que tienes. Si pudieras probarlo sería lo mejor.

    Los ADPREP no necesitan reinicio. Solo hay que tener en cuenta que luego de la preparación del Bosque/Esquema hay que esperar que el cambio se replique, y luego la preparación del dominio.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 29 de marzo de 2010 10:00
    Moderador
  • Ajá, pues en ello estoy, hice los adpreps y todo sin problema, he podido añadir un controlador W2008R2

    Me queda la duda de: ¿Para que sirve el read-only domain? usado con el adprep /rodcprep? Lo he ejecutado más bien a "lo loco" perohe estado documentandome y no le encuentro mucho sentido. Se puede deshabilitar los permisos read-only si se los he dado con adprpe?

    He visto que requería el bosque nivel funcional mínimo 2003 y tenemos 2000 pero al lanzar el /rodcprep en el DC principal, este no me ha dado errores creo...

     

    lunes, 29 de marzo de 2010 23:31
  • AD DS: Read-Only Domain Controllers

    http://technet.microsoft.com/en-us/library/cc732801(WS.10).aspx


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    martes, 30 de marzo de 2010 9:04
    Moderador
  • Una vez hecho el /RODCPREP no hay vuelta atrás.

    La utilidad de un RODC es muy buena en muchos escenarios. Por ejemplo si tienes que poner un DC en un sitio geográfico donde no puedes garantizar la seguridad física.

    Además que si se consiguiera hacer un cambio en RODC no se replicaría a otro, lo más importante es que puedes seleccionar las contraseña de qué usuarios se replican a él.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 30 de marzo de 2010 11:42
    Moderador
  • Es que el problema, he patinado y lo he aplicado sobre un servidor que no debía... ¿no hay vuelta atrás para ponerlo como antes?

    Es que no puedo por ejemplo replicar entre distintos sites y antes si podía y da errores de authtenticación

     

    martes, 30 de marzo de 2010 12:56
  • Una cosilla, si has ejecutado en adprep /rodcprep no es que lo hayas ejecutado en un servidor, lo que has hecho es preparar el "Schema" del dominio para soportar RODC, nada más.

    No debería infliur en las réplicas ni en que fallen.


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    martes, 30 de marzo de 2010 13:47
    Moderador