Управление функциональным уровнем

Функциональный уровень определяет набор функциональных возможностей, доступных в домене или лесу.

Общее правило соотношения функциональных уровней: функциональный уровень леса <= функциональный уровень любого домена в лесу <= функциональный уровень любого контроллера в домене.

По умолчанию лес и домен в службе каталогов создаются с функциональным уровнем 2008_R2.

Для создания леса и домена с более высоким «заявляемым» функциональным уровнем при инициализации домена с помощью подкоманды samba-tool domain provision помимо задания уровня с помощью параметра --function-level также необходимо указать дополнительный параметр ad dc functional level для добавления в файл smb.conf:

--option="ad dc functional level = <level>" \
--function-level=<level>

Для изменения функционального уровня существующего домена необходимо выполнить следующую последовательность шагов:

Добавить в конфигурационные файлы smb.conf на контроллерах домена параметр ad dc functional level с указанием необходимого уровня и перезапустить службу inno-samba.
На одном из контроллеров домена:
- обновить схему каталога:
  samba-tool domain schemaupgrade --schema=2019
- выполнить подготовку к изменению функционального уровня:
  samba-tool domain functionalprep --function-level=<level>
- изменить функциональный уровень:
  samba-tool domain level raise --domain-level=<level> --forest-level=<level>

Обновление схемы каталога

Схема каталога на всех контроллерах домена (леса) должна быть одинаковой (одной версии). При добавлении в домен (лес) с более старой версией схемы нового контроллера домена с более новой версии на всех контроллерах домена (леса) происходит обновление схемы до новой версии.

Для обновления схемы каталога вручную используется следующий формат вызова:

samba-tool domain schemaupgrade [options]

Подкоманда запускается на одном контроллере домена. После этого результаты обновления схема и требуемые для этого подготовительные изменения распространяются на остальные контроллеры в домене через механизм репликации.

Данная подкоманда может использоваться только для обновления схемы с версии 47 (Windows Server 2008 R2). Для обновления с более ранних версий схемы требуется вручную получить LDF-файлы с помощью утилиты Windows Adprep и выполнить команду с опцией --ldf=file.

Параметры

Параметры вызова:

--schema=SCHEMA — целевая версия схемы каталога; возможные значения: 2012 | 2012_R2 | 2016 | 2019; значение по умолчанию — 2019 (версия схемы каталога 88);
--ldf-file=LDC_FILE — обновление схемы в указанных LDF-файлах (adprep/.ldf);
--base-dir=BASE_DIR — расположение LDF-файлов; значение по умолчанию — &{SETUPDIR}/adprep;
-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
-v|--verbose — вывод детальной информации;
-q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Примеры

Пример повышения версии схемы каталога:

samba-tool domain schemaupgrade --schema=2019

Подготовка к изменению функционального уровня

Для корректной работы домена или леса с использованием новой версии схемы каталога может потребоваться создание некоторого количества новых объектов.

Для этого используется следующий формат вызова:

samba-tool domain functionalprep [options]

Подкоманда запускается на одном контроллере домена. После этого результаты подготовки и требуемые для этого изменения распространяются на остальные контроллеры в домене через механизм репликации.

Параметры

Параметры вызова:

--function-level — целевой функциональный уровень каталога; возможные значения: 2008_R2 | 2012 | 2012_R2 | 2016; значение по умолчанию — 2016;
--forest-prep — выполнить подготовку на уровне леса; по умолчанию подготовка выполняется и на уровне домена, и на уровне леса;
--domain-prep — выполнить подготовку на уровне домена; по умолчанию подготовка выполняется и на уровне домена, и на уровне леса;
-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
-v|--verbose — вывод детальной информации;
-q|--quiet — тихий режим (отключает вывод диагностических сообщений во время работы подкоманды).

Примеры

Пример подготовки домена к изменению функционального уровня:

samba-tool domain functionalprep --function-level=2016

Вывод/повышение функционального уровня

Для вывода/повышения функционального уровня (режима работы) домена и леса используется следующий формат вызова:

samba-tool domain level (show|raise <options>) [options]

При использовании show подкоманда выводит информацию о текущих функциональных уровнях домена и леса, а также о самом низком уровне контроллера домена.

Параметры

Параметры вызова (при использовании raise):

--forest-level=FOREST_LEVEL — функциональный уровень леса; возможные значения: 2003 | 2008 | 2008_R2 | 2012 | 2012_R2 | 2016;
--domain-level=DOMAIN_LEVEL — функциональный уровень домена; возможные значения: 2003 | 2008 | 2008_R2 | 2012 | 2012_R2 | 2016.

Примеры

Пример вывода информации о текущем функциональном уровне домена и леса:

samba-tool domain level show
Domain and forest function level for domain 'DC=samdom,DC=example,DC=com'

Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2

Пример повышения функционального уровня домена и леса:

samba-tool domain level raise --domain-level=2012_R2
samba-tool domain level raise --forest-level=2012_R2