Active Directory auf Windows Server 2008 R2 aktualisieren

Wenn Microsoft neue Active-Directory-Funktionen vorstellt wie etwa den Papierkorb für das Active Directory, reißt das Administratoren nicht unbedingt von Hocker. Das liegt nicht daran, dass diese Funktionen schlecht oder unnötig wären, nur kann man im Regelfall außerhalb von Testumgebungen zunächst nur wenig mit ihnen anfangen. Neue AD-Funktionen bedeuten, dass man die Funktionsebene seiner Domain oder

seiner Ge­samt­struk­tur anheben muss.

Funktionsebenen: Mehr Funktionen, weniger Freiheit

Die Funktions­ebene spezifiziert die Mindestversion für die Server-Be­triebs­sys­teme, die in der betreffenden Domain oder dem Ge­samt­struk­tur Domaincontroller sein können. Ist die Funktions­ebene etwa auf Windows Server 2003 gesetzt, können auf den DCs Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 verwendet werden.

AD-Funktionen, die erst mit einer späteren Server-Version eingeführt wurden, wie etwa in obigem Beispiel der AD-Papierkorb, stehen in einer solchen Struktur jedoch nicht zur Verfügung. Dazu muss man die Funktions­ebene – im Falle des AD-Papierkorbs die der Ge­samt­struk­tur – auf die Server-Version heben, deren Funktion man haben will, also Windows Server 2008 R2. Im Gegenzug jedoch müssen alle DCs auf Windows Server 2008 R2 aktualisiert, oder aber die DC-Aufgaben auf entsprechende Server verlagert werden.

Server mit einem älteren Be­triebs­sys­tem sind lediglich noch für nicht-AD-bezogene Aufgaben tauglich. Zurück kann man meist nicht mehr oder nur sehr limitiert: Von der Funktions­ebene „Windows Server 2008 R2“ auf „Windows Server 2008“ ja, auf „Windows Server 2003“ zurück aber nicht mehr.

Ausgeführt wird die Domain- oder Ge­samt­struk­tur-Umstellung über das MMC-Snap-In „Active Directory-Domänen und Vertrauensstellungen“. Die Option zum Umstellen der Ge­samt­struk­tur-Funktions­ebene befindet sich im Kontextmenü der Wurzel des Baumes in der linken Spalte, die für das Umstellen einer Domain am jeweils entsprechenden Knoten.

ADprep: Domain auf neuen Windows-Version vorbereiten

Der umgekehrte Fall liegt vor, wenn man einen DC mit einer neuen Windows-Server-Version in ein bestehendes Schema einbringen möchte. Hier müssen Ge­samt­struk­tur und Domain auf die neue Windows-Version vorbereitet werden, die sich bis dato noch nicht in der Struktur befand. Dazu dient das Tool ADprep.exe, das sich auf dem jeweiligen Server-Installations­medium befindet – unter Windows Server 2008 unter \sources\adprep, unter Windows Server 2008 R2 unter \support\adprep. Zuerst muss adprep.exe – respektive adprep32.exe für 32-Bit-Systemen –mit dem Parameter /forestprep auf dem Schema-Master der Ge­samt­struk­tur ausgeführt werden.

Nachdem die Informationen komplett repliziert sind, muss man auf dem Infrastruktur-Master jeder Domain das Tool mit dem Parameter /domainprep ausführen. Die jeweiligen Rolleninhaber stellt man am schnellsten mit dem Kommando
netdom query /domain:‹domain› fsmo
fest. Sollen RODCs in einer Domain installiert werden, die DCs unter Version Windows Server 2008 enthält, muss adprep.exe außerdem mit dem Parameter /rodcprep laufen.