Windows Server 2003 i poziom funkcjonalności AD

  • Article

Jak zapewne wiecie kończymy w lipcu wsparcie dla Windows Server 2003 (o tym jeszcze na koniec). Po 14 lipca nie będziemy już wydawać poprawek bezpieczeństwa dla tego systemu i generalnie jego używanie w firmach będzie ryzykowne oraz na pewno trudniejsze.

Ja natomiast dostałem dosyć ciekawe pytanie mailem i postanowiłem to sprawdzić, dopytać się, a teraz też podzielić się odpowiedzią szerzej, bo możliwe, że w Waszej infrastrukturze macie podobne rozważania i problemy.

Poziom funkcjonalności AD - 2003

Oto pytanie(a), które dostałem mailem od Czytelnika:

Pytanie od Czytelnika

Faktycznie dosyć ciekawa sprawa i początkowo nie znałem odpowiedzi, ale szybkie sprawdzenie naszych archiwów wewnętrznych pozwoliło mi znaleźć odpowiedź.

Poziom funkcjonalności domeny / lasu

Dwa słowa wstępu o tym, czym jest poziom funkcjonalności domeny / lasu. Przy wykorzystaniu Active Directory Domain Services (AD DS) każda domena / las mogą mieć ustawiony poziom funkcjonalności, który nazwany jest od wersji serwera np. Windows Server 2008, ale...

Z drugiej strony to, że korzystamy np. z Windows Server 2008 R2 nie oznacza, że koniecznie musimy mieć poziom funkcjonalności AD ustawiony na Windows Server 2008 R2. Z różnych względów może to być ustawione np. na Windows Server 2003 - tak jak w mailu od Czytelnika. I to są rzeczy niezależne od siebie.

Kolejne (wyższe) poziomy funkcjonalności ustawione dla naszej domeny / lasu pozwalają nam skorzystać z najnowszych rozwiązań i funkcjonalności, które wprowadzamy z kolejnymi wersjami serwera (do wykorzystania pewnych z nich konieczne jest podniesienie poziomu funkcjonalności AD). I oczywiście z różnych względów możemy być zmuszeni do utrzymywania niskiego poziomu lasu, ale wtedy nie wyciągniemy pełnej mocy z nowości serwerowych.

Jeśli wszystkie kontrolery AD w domenie lub w lesie mają uruchomioną najnowszą wersję systemu Windows Server, a poziom funkcjonalności domeny i lasu jest ustawiony na najwyższy poziom, wszystkie funkcje działające w całej domenie i w całym lesie są dostępne. Jeśli jednak w domenie lub lesie znajdują się kontrolery domeny z wcześniejszymi wersjami systemu Windows Server, funkcjonalności AD DS są ograniczone.

Jeśli chcielibyście sprawdzić jak zmieniały się możliwości infrastruktury w zależności od poziomu funkcjonalności domeny / lasu - to zachęcam do przeczytania artykułu na TechNet pt. Understanding Active Directory Domain Services (AD DS) Functional Levels. Wyjaśniono tam różnice w poszczególnych wersjach - z rozbiciem na domenę i las.

To co z tym wsparciem?

Generalna odpowiedź jest taka, że poziom funkcjonalności domeny lub lasu NIE jest związany z żadną konkretną wersją systemu operacyjnego serwerów działających w infrastrukturze (nawet jeśli nazwy są zbliżone).

W tym wypadku - poziom funkcjonalności domeny / lasu "Windows Server 2003" wprowadziliśmy wraz z pojawieniem się Windows Server 2003. Ale możliwość ustawienia tego poziomu funkcjonalności dostępna jest w każdym następnym serwerze również. Czyli przy instalacji serwera od 2008 do 2012 R2 macie zawsze możliwość ustawienia poziomu funkcjonalności "Windows Server 2003".

Co za tym idzie - spokojnie migrując się do Windows Server 2008 (i powyżej) możecie wybrać poziom funkcjonalności "Windows Server 2003" - i taka Wasza infrastruktura nadal będzie wspierana! O ile oczywiście wszystkie kontrolery domeny będą już używały jako systemu operacyjnego Windows Server 2008 lub wyższych (wspieranych).

I w tym zakresie nie musicie robić ani konfigurować nic specjalnego - wsparcie będzie świadczone.

My natomiast oczywiście poza samą migracją systemów operacyjnych do najnowszego Windows Server 2012 R2 - sugerujemy również jak najszybsze podniesienie poziomy funkcjonalności domeny / lasu do Windows Server 2012 R2. Pozwoli Wam to skorzystać z najnowszych możliwości jakie oferuje ten poziom (np. Fine Grained Password Policies i wielu innych).

A co z Windows Server v.Next?

No i tu jest ciekawe pytanie przy tej okazji. Bo o ile w Windows Server 2012 R2 nadal dostępny jest poziom funkcjonalności domeny / lasu Windows Server 2003, to w kolejnej wersji serwera taka możliwość zostanie usunięta! Nie będzie już wtedy możliwości tworzenia domen / lasów z tym poziomem funkcjonalności.

Koniec wsparcia dla Windows Server 2003

I na koniec przypomnę jeszcze, że do lipca macie jeszcze czas na zmigrowanie Waszych serwerów z Windows Server 2003. Przygotowaliśmy dla Was kurs MVA w tym temacie, do którego bardzo serdecznie Was zapraszam.

Poniżej krótka zajawka (2 minuty) w której opowiadam o czym jest cały kurs, a pod spodem link do właściwego kursu.

Kurs MVA: Koniec wsparcia Windows Server 2003

Kurs MVA: Koniec wsparcia dla Windows Server 2003

Zdradzę Wam jeszcze na koniec - że pracujemy nad polskim kursem, który poszerzy tą wiedzę - tym razem o praktyczne aspekty migracji najważniejszy ról serwera. Mam nadzieję, że kurs ten zostanie opublikowany w okolicach połowy marca :)