|
Wszystkie
komputery korzystające z systemów Windows NT i Windows 2000 muszą
posiadać konta komputera przed uzyskaniem dostępu do domeny. Dla
zapewnienia obsługi starszych systemów, Active Directory dysponuje
czterema poziomami funkcjonalności domen.
• Windows 2000 mieszany
Praca w tym trybie pozwala na równoczesną obsługę domen
Windows Server 2003, Windows 2000 i Windows NT. Jakkolwiek możliwość
współpracy z istniejącymi domenami można uznać za zaletę, domeny
działające w tym trybie nie mogą korzystać z wielu nowych funkcji
Active Directory, w tym z grup uniwersalnych, zagnieżdżania grup,
konwersji typów grup, prostego przemianowywania kontrolerów domen,
aktualizacji czasu logowania oraz centrum dystrybucji kluczy Kerberos (KDC)
do kontroli numerów wersji kluczy.
• Windows 2000
macierzysty W tym trybie katalog obsługuje jedynie
domeny Windows Server 2003 i Windows 2000, zaś domeny Windows NT nie są
już obsługiwane. Tryb ten udostępnia większość funkcji Active
Directory, z wyjątkiem prostego przemianowywania kontrolerów domen,
aktualizacji czasu logowania oraz centrum dystrybucji kluczy Kerberos (KDC)
do kontroli numerów wersji kluczy.
• Windows Server 2003 tymczasowy Tryb ten pozwala na równoczesną obsługę
domen Windows Server 2003 i Windows NT, zaś domeny Windows 2000 nie są
obsługiwane. Tryb ten pozwala na bezpośrednie uaktualnienie domen
Windows NT do Windows Server 2003, bez konieczności korzystania z pośredniego
szczebla Windows 2000. Ograniczenia na tym poziomie są analogiczne do
poziomu Windows 2000 mieszany.
• Windows Server 2003
Obsługuje tylko kontrolery domen korzystające z Windows
Server 2003. Domeny Windows NT i Windows 2000 nie są obsługiwane na
tym poziomie. W zamian poziom ten daje pełny dostęp do najnowszych
funkcji Active Directory, niedostępnych na innych poziomach.
Praca
w trybie Windows 2000 mieszanym
Poziom
funkcjonalności domeny ustalany jest przy instalacji pierwszego
kontrolera domeny pracującego pod kontrolą systemu Windows 2003- Jeśli
w dotychczasowej domenie występują
obok siebie systemy Windows NT 4. 0 Server i Windows 2000 Server, należy
wybrać ten tryb pracy (co najmniej w okresie początkowym).
W
mieszanym trybie pracy systemy skonfigurowane do korzystania z domen
Windows NT uzyskują dostęp do sieci tak, jakby nadal były częścią
domeny Windows NT. Systemy takie mogą obejmować komputery korzystające
z Windows 95 lub Windows 98, Windows NT Workstation oraz Windows NT
Server. Jakkolwiek rola pełniona przez stacje robocze Windows NT nie
ulegnie zmianie, funkcje serwerów Windows NT ulegną nieznacznej
modyfikacji. Serwery te mogą obecnie pełnić funkcję zapasowych
kontrolerów domeny (BDC) lub serwerów członkowskich — domena
Windows NT nie posiada już głównego kontrolera domeny (PDC). W
zamian, funkcję kontrolera domeny Windows NT pełni Windows Server 2003
działający jako PDC, udostępniający do replikcji kopie katalogu
Active Directory i synchronizujący zabezpieczenia na zapasowych
kontrolerach domeny.
Kontroler
domeny Windows Server 2003 działający jako PDC skonfigurowany jest
jako wzorzec operacji emulatora PDC. Rolę tę można przypisać
dowolnemu kontrolerowi domeny pracującemu pod kontrolą Windows Server
2003 w dowolnym momencie. Kontroler pracujący jako emulator PDC obsługuje
dwa protokoły uwierzytelniające:
• Kerberos
Kerberos jest standardowym internetowym protokołem
uwierzytelniającym systemy i użytkowników i stanowi podstawowy
mechanizm uwierzytelniania w Windows Server 2003-
• NTLM
NT Local Area Network (LAN) Manager (NTLM jest podstawowym
protokołem uwierzytelniającym systemu Windows NT. Wykorzystywany
jest do uwierzytelniania komputerów w domenach Windows NT.
Praca w trybie
macierzystym Windows 2000
Po
wykonaniu aktualizacji PDC, BDC i innych systemów Windows NT, gdy nadal
istnieją zasoby oparte na domenie Windows 2000, przy instalacji
kolejnego kontrolera domeny należy wybrać poziom Windows 2000
macierzysty. Należy przy tym pamiętać, że nie jest możliwe obniżenie
poziomu funkcjonalności do poziomu mieszanego, tryb ten należy zatem
wybrać, jeśli żadne zasoby sieci nie korzystają już z domen Windows
NT.
Po
zmianie poziomu funkcjonalności można zauważyć następujące zmiany:
•
Mechanizm replikacji NTLM nie jest już obsługiwany.
•
Emulator PDC nie jest już w stanie synchronizować danych z żadnym
istniejącym BDC Windows NT.
• Nie można przyłączyć żadnego kontrolera
domeny Windows NT do domeny.
Praca
w trybie tymczasowym Windows Sewer 2003
W
przypadku dokonywania uaktualnienia struktury domenowej Windows NT bezpośrednio
do Windows Server 2003, nie ma potrzeby korzystania z trybu mieszanego.
Zamiast tego należy posłużyć się tymczasowym trybem Windows Server
2003. Jest to jedyna opcja dostępna dla pierwszego kontrolera domeny
Windows NT uaktualnianego do Windows Server 2003. Operację
uaktualniania należy rozpocząć od głównego kontrolera domeny,
wybierając poziom funkcjonalności tymczasowy Windows Server 2003.
Poziom ten bardzo nieznacznie różni się od trybu mieszanego Windows
2000 - jedyną różnicą jest brak obsługi domen Windows 2000.
Po
uaktualnieniu PDC można wykonać uaktualnienie zapasowych kontrolerów
domeny. Microsoft zaleca zachowania jednego z kontrolerów zapasowych w
trybie offline na wypadek konieczności odtworzenia poprzedniej
konfiguracji. Po upewnieniu się, że proces aktualizacji przebiegł
poprawnie i wszystko działa zgodnie z oczekiwaniem, można podnieść
poziom funkcjonalności domeny i lasu do zgodnego z najnowszymi
ulepszeniami Active Directory.
Praca
w trybie naturalnym Windows Sewer 2003
Po
wykonaniu aktualizacji istniejących struktur Windows NT do poziomu
Windows Server 2003 można wykonać uaktualnienie kontrolerów domen
Windows 2000. Przed wykonaniem aktualizacji kontrolerów domeny
korzystających z Windows 2000 konieczne będzie przygotowanie domeny
dla systemu Windows Server 2003. W tym celu konieczne jest uaktualnienie
lasu domen oraz schematów domen do poziomu zgodnego z domenami Windows
Server 2003. Zadanie to może automatycznie wykonać narzędzie Adprep.
exe. Należy uruchomić je na kontrolerze domeny pełniącym rolę
wzorca schematu, a następnie na wszystkich wzorcach infrastruktury w
poszczególnych domenach. Jak zawsze, należy dokładnie przetestować
procedurę przed jej zaaplikowaniem w środowisku produkcyjnym.
| 
