Aggiornare i controller di dominio a una versione più recente di Windows Server

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo articolo fornisce informazioni di base su Servizi di dominio Active Directory in Windows Server e illustra il processo di aggiornamento dei controller di dominio da una versione precedente di Windows Server.

Prerequisiti

Il modo consigliato per aggiornare un dominio consiste nel promuovere nuovi server ai controller di dominio che eseguono una versione più recente di Windows Server e abbassare di livello i controller di dominio meno recenti in base alle esigenze. Questo metodo è preferibile per aggiornare il sistema operativo di un controller di dominio esistente, noto anche come aggiornamento sul posto.

Seguire questi passaggi generali prima di alzare di livello un server a un controller di dominio che esegue una versione più recente di Windows Server:

  1. Verificare che il server di destinazione soddisfi i requisiti di sistema.

  2. Verificare la compatibilità delle applicazioni.

  3. Esaminare le raccomandazioni per il passaggio a una versione più recente di Windows Server.

  4. Verificare le impostazioni di sicurezza

  5. Controllare la connettività al server di destinazione dal computer in cui si prevede di eseguire l'installazione.

  6. Verificare la disponibilità dei ruoli Flexible Single Master Operation (FSMO) necessari in Active Directory. Questo passaggio è necessario per gli scenari seguenti:

    • Per installare il primo controller di dominio che esegue la versione più recente di Windows Server in un dominio e una foresta esistente, il computer in cui si esegue l'installazione richiede la connettività a:
      • Master schema per eseguire adprep /forestprep.
      • Master dell'infrastruttura per eseguire adprep /domainprep.
    • Per installare il primo controller di dominio in un dominio in cui lo schema della foresta è già esteso è necessaria solo la connettività al master infrastrutture.
    • Per installare o rimuovere un dominio in una foresta esistente è necessaria la connettività al master per la denominazione dei domini.
    • Qualsiasi installazione del controller di dominio richiede anche la connettività al master RID.
    • Se si sta installando il primo controller di dominio di sola lettura in una foresta esistente è necessaria la connettività al master infrastrutture per ogni partizione di directory applicativa, anche conosciuta come contesto dei nomi non di dominio.

    Per individuare il server o i server che contengono il ruolo FSMO, eseguire i comandi seguenti in una sessione di PowerShell con privilegi elevati usando un account membro del gruppo Domain Admins:

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster

Azioni di installazione e livelli amministrativi necessari

Nella tabella seguente viene fornito un riepilogo delle azioni di installazione e dei requisiti delle autorizzazioni per eseguire questi passaggi.

Operazione di installazione Requisiti relativi alle credenziali
Installare una nuova foresta Amministratore locale nel server di destinazione
Installare un nuovo dominio in una foresta esistente Enterprise Admins
Installare un altro controller di dominio in un dominio esistente. Domain Admins
Eseguire adprep /forestprep. Schema Admins, Enterprise Admins e Domain Admins
Eseguire adprep /domainprep. Domain Admins
Eseguire adprep /domainprep /gpprep. Domain Admins
Eseguire adprep /rodcprep. Enterprise Admins

Percorsi di aggiornamento sul posto supportati

Sono supportati solo gli aggiornamenti della versione a 64 bit. Per altre informazioni sui percorsi di aggiornamento supportati, vedere Percorsi di aggiornamento supportati.

Adprep - forestprep e domainprep

Per un aggiornamento sul posto di un controller di dominio esistente, è necessario eseguire adprep /forestprep e adprep /domainprep manualmente. È necessario eseguire Adprep /forestprep una sola volta nella foresta per ogni versione più recente di Windows Server. Eseguire Adprep /domainprep una sola volta in ogni dominio in cui sono presenti controller di dominio da aggiornare per ogni versione più recente di Windows Server.

Se si promuove un nuovo server a un controller di dominio, non è necessario eseguire manualmente questi strumenti della riga di comando. Sono integrati nelle esperienze di PowerShell e Server Manager.

Per altre informazioni sull'esecuzione di adprep, vedi Adprep in esecuzione.

Caratteristiche e requisiti dei livelli di funzionalità

Windows Server 2019 o versione successiva richiede almeno un livello di funzionalità della foresta Windows Server 2008. Windows Server 2016 richiede almeno un livello di funzionalità della foresta Windows Server 2003. Se la foresta contiene controller di dominio che eseguono un livello di funzionalità della foresta precedente rispetto al supporto del sistema operativo, l'installazione viene bloccata. Tali controller di dominio devono essere rimossi e il livello di funzionalità della foresta viene elevato a una versione supportata prima di aggiungere controller di dominio Windows Server più recenti alla foresta. Per altre informazioni sui livelli funzionali supportati, vedere Livelli di funzionalità della foresta e del dominio.

Nota

Non sono stati aggiunti nuovi livelli di funzionalità di foresta o dominio a partire da Windows Server 2016. Le versioni successive del sistema operativo possono e devono essere usate per i controller di dominio. Usano Windows Server 2016 come livelli funzionali più recenti.

Livelli di funzionalità di rollback

Dopo l'impostazione del livello di funzionalità della foresta su un particolare valore, non è possibile ripristinare il valore precedente o diminuire il livello di funzionalità con le seguenti eccezioni:

  • Se si esegue l'aggiornamento dal livello di funzionalità della foresta Windows Server 2012 R2, è possibile eseguire il rollback a Windows Server 2012 R2.
  • Se si esegue l'aggiornamento dal livello di funzionalità della foresta Windows Server 2008 R2, è possibile eseguire il rollback a Windows Server 2008 R2.

Dopo l'impostazione del livello di funzionalità della foresta su un particolare valore, non è possibile ripristinare il valore precedente o diminuire il livello di funzionalità con una sola eccezione:

  • Quando si aumenta il livello di funzionalità del dominio a Windows Server 2016 e se il livello di funzionalità della foresta è Windows Server 2012 o inferiore, è possibile eseguire di nuovo il rollback del livello di funzionalità del dominio a Windows Server 2012 o Windows Server 2012 R2.

Per altre informazioni sulle funzionalità disponibili a ogni livello funzionale, vedere Livelli funzionali di foresta e dominio.

Interoperabilità di Active Directory Domain Services

Active Directory Domain Services non è supportato nei sistemi operativi Windows seguenti:

  • Windows MultiPoint Server
  • Windows Server Essentials

Active Directory Domain Services non può essere installato in un server che esegue anche i ruoli del server o i servizi ruolo seguenti:

  • Microsoft Hyper-V Server
  • Gestore connessione Desktop remoto

Amministrazione di Windows Server

Usare Strumenti di amministrazione remota del server per Windows 10 o versioni successive per gestire i controller di dominio e altri server che eseguono Windows Server. È possibile eseguire gli Strumenti di amministrazione remota del server di Windows Server in un computer che esegue Windows 10 o versione successiva.

Aggiungere un nuovo controller di dominio con una versione più recente di Windows Server

L'esempio seguente illustra come aggiornare la foresta Contoso da una versione precedente di Windows Server a una versione successiva.

  1. Aggiungere il nuovo Windows Server alla foresta. Riavviare quando viene richiesto.

    Screenshot of the Server Manager showing the Systems Properties and Computer Name/Domain Changes dialog boxes.

  2. Accedere al nuovo Windows Server con un account amministratore di dominio.

  3. In Server Manager, in Aggiungi ruoli e funzionalità, installare Active Directory Domain Services nel nuovo Windows Server. Questa azione esegue automaticamente adprep nella foresta e nel dominio della versione precedente.

    Screenshot of the Select server roles page of the Add Roles and Features Wizard showing the Active Directory Domain Services option highlighted.

  4. In Server Manager, selezionare il triangolo giallo. Nell'elenco a discesa selezionare Alza di livello il server a un controller di dominio.

    Screenshot of the Post-deployment Configuration progress dialog box with the Promote the server to a domain controller option called out.

  5. Nella schermata Configurazione distribuzione selezionare Aggiungi un nuovo dominio a una foresta esistente e selezionare Avanti.

    Screenshot of the Deployment Configuration page of the Active Directory Domain Services Configuration Wizard showing the Add a new domain to an existing forest option selected.

  6. Nella schermata Opzioni controller di dominio immettere la password Directory Services Restore Mode (DSRM) e selezionare Avanti.

  7. Per le altre schermate, selezionare Avanti.

  8. Nella schermata Controllo prerequisiti selezionare Installa. Al termine del riavvio, eseguire di nuovo l'accesso.

  9. Nella versione precedente di Windows Server, in Server Manager, in Strumenti, selezionare Modulo di Active Directory per Windows PowerShell.

    Screenshot of the Tools drop-down list in the Server Manager with the Active Directory Module for Windows PowerShell option called out.

  10. Nella finestra di PowerShell usare il cmdlet Move-ADDirectoryServerOperationMasterRole per spostare i ruoli FSMO. È possibile immettere il nome di ogni ruolo master operazione o usare i numeri per specificare i ruoli. Per altre informazioni, vedere Move-ADDirectoryServerOperationMasterRole.

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Move-ADDirectoryServerOperationMasterRole cmdlet.

  11. Per verificare che i ruoli siano stati spostati, passare al nuovo Windows Server. In Server Manager, in Strumenti selezionare Modulo di Active Directory per Windows PowerShell. Usare i cmdlet Get-ADDomain e Get-ADForest per visualizzare i titolari di ruolo FSMO.

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADDomain cmdlet with the Infrastructure Master, P D C Emulator, and R I D Master values called out.

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADForest cmdlet with the Domain Naming Master and Schema Master values called out.

  12. Abbassare e rimuovere il controller di dominio di Windows Server precedente. Per informazioni su come abbassare di livello un controller di dominio, vedere Abbassamento di livello dei controller di dominio e dei domini.

  13. Dopo che il server è stato abbassato di livello e rimosso, è possibile aumentare i livelli di funzionalità della foresta e di dominio alla versione più recente di Windows Server.

Passaggi successivi