Планируя предстоящее обновление AD (с 2008 R2 до 2019), я сталкиваюсь с другой проблемой: у нас есть лес AD, состоящий из нескольких сайтов, каждый из которых находится в версии AD 2008 R2. Поскольку мы обновляем одну версию AD сайта с 2008R2 до 2019, другие сайты будут оставаться на 2008R2 в течение некоторого времени, пока мы не увидим, что схема 2019 года работает хорошо и никаких проблем не возникает. И теперь я сомневаюсь, что весь лес будет работать, и проблем не возникнет, когда один сайт будет на 2019, а другие - на версиях схемы AD 2008R2.
Итак, вопрос: на практике (то есть в реальной жизни) будет ли лес все еще быть функциональным и можно ли использовать как один сайт (и, в конечном итоге, один за другим, все остальные сайты) быть обновленным, в то время как остальные сайты по-прежнему будут использовать более низкую версию AD? В общем, у леса должна быть межсайтовая авторизация, поэтому никаких сложных функций не требуется, но все равно лучше спросить, прежде чем прыгать в воду :)
Когда вы говорите сайты, я предполагаю, что вы имеете в виду местоположения, а не домены ... это означает, что у вас есть разные местоположения в одном домене, где контроллеры домена работают с разными версиями Windows Server, а не то, что у вас есть разные домены в одном лесу.
Если у вас есть разные сайты в одном домене с контроллерами домена, работающими под разными версиями Windows Server, вы можете добавлять новые контроллеры домена, если они поддерживаются на вашем текущем функциональном уровне домена и функциональном уровне леса. Все контроллеры домена будут работать с одним DFL и FFL независимо от их версии Windows Server.
Короче говоря, можете ли вы иметь контроллеры домена Windows Server 2019, работающие с контроллерами домена более старой версии Windows Server? Да, если вы соответствуете требованиям ..
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels