He recibido algunas consultas sobre los functional levels en Windows Server 2008 entonces decidí escribir esta nota, en donde brevemente los explicare.
Las características disponibles en un servidor Windows 2008 de dominio dependerá de el functional level que tenga. Windows Server 2008 admite tres diferentes niveles de dominio funcional. Los tres niveles funcionales de dominio son los siguientes:
- Windows 2000 Native
- Windows Server 2003
- Windows Server 2008
El Nivel Funcional Windows 2000:
Cuando configuras un dominio en Windows Server 2003, el nivel funcional de ese dominio es Windows 2000. Este nivel soporta domains controllers Windows 2000, 2003 y 2008. Incluye los features de universal groups, nesting groups, group conversions y security identifier history (SID History, muy utilizado en migraciones).
El nivel funcional Windows Server 2003:
Pasamos a este nivel haciendo un Upgrade, hay que aclarar que ya no soporta equipos domain controllers con Windows Server 2000, solo acepta Windows Server 2003 y 2008. En este nivel tenemos todas las prestaciones del nivel funcional anterior (Windows Server 2000) y algunos adicionales:
- La herramienta de management netdom.exe, para prepararse para cambiar el nombre de controlador de dominio.
- Actualización del logon time stamp. El atributo lastLogonTimestamp será actualizado con la última hora de inicio de sesión del usuario o de la máquina. Este atributo se replica en el dominio.
- La capacidad para establecer el atributo userPassword como la contraseña efectiva del usuario inetOrgPerson y de los objetos de usuario.
- La capacidad para redirigir containers de usuarios y equipos. Por default, existen dos containers para almacenar las cuentas de computadoras, usuarios y grupos; cn=Computers,<domain root> y cn=Users,<domain root>. Esta característica hace posible tener containers que sean realmente representativos para conocer la ubicación de estas cuentas.
- Tenemos la posibilidad de que el Authorization Manager almacene todas las authorization policies en Active Directory Services (AD DS).
- Incluye la delegación limitada, de modo que las aplicaciones pueden tomar ventaja de garantizar la delegación de credenciales de usuario por medio del protocolo de autentificación Kerberos. La delegación puede ser configurada para permitir sólo a determinados servicios de destino.
- Soporta autenticación selectiva, a través de la cual es posible especificar los usuarios y grupos de un bosque de confianza que se les permite autenticar a los servidores de recursos en un bosque de confianza.
El nivel funcional Windows Server 2008
Este nivel esta soportado solamente para correr con Domain Controllers Window Server 2008. Con este nivel, tenemos todos los nuevos features de Windows Server 2008; además de los contemplados en Windows Server 2003 Functional Level.
Las siguientes características están disponibles:
- Distributed File System (DFS) replication support for the Windows Server 2003 SYSVOL
- Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol
- Fine-grained password policies
- Last Interactive Logon Information nos muestra la siguiente información:
-
- El tiempo del último inicio de sesión para un usuario
- El nombre de la estación de trabajo ha utilizado un usuario
- El número de intentos fallidos de logeos desde el último logon aceptado
-
Para ver el nivel funcional de nuestro dominio podemos abrir la consola Active Directory Users and Computers, hacemos un clic con el botón derecho sobre el nombre de nuestro dominio y seleccionamos Raise domain functional level. Se abre una ventana en donde vemos un combo con los distintos niveles funcionales (en el caso de poder hacer un upgrade) y vemos tambien el nivel funcional actual. En el caso de este screenshoot no vemos el combo porque ya tiene seleccionado el maximo nivel funcional disponible.
Espero que les sirva como breve referencia, igualmente les recomiendo leer la información adicional.
Saludos, Roberto Di Lello.
Hola Roberto, muy completa la informacion! muchas gracias!!
Te hago una consulta, se puede cambiar despues de tenerlo instalado el nivel? Siempre para arriba, por ejemplo, si lo instalo como Windows 2000 despues lo puedo pasar a 2008??
Muchas gracias!!
Saludos
Rodrigo, si no hay problema. Siempre podes subir el nivel mientras cumplas con los requisitos de cada nivel. Lo que no podes es hacer un downgrade.
Osea si lo subis a nivel funcional 2008, no debes tener ningun DC 2003, y una vez que lo elevaste no podras volverlo atras. Se entiende?
Saludos.
Hola a todos.
Por favor, necesitaría resolver la siguiente inquietud que tengo. Actualmente tenemos en la empresa un servidor de Windows Server 2000. Hemos adquirido un nuevo con Windows Server 2008R2. Mi pregunta es, ¿es posible actualizar (con ADPREP) Active Directory Windows Server 2000 a Windows Server 2008R2 sin pasar por Windows Server 2003?
Muchas gracias,
Un saludo,
Juan Antonio.
Juan Antonio, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.
Si podes hacerlo sin problemas; lo que debes hacer si o si es actualizar tu Windows 2000 a SP4. Obviamente, te recomiendo planificarla y realizar un diseño de tu arquitectura, ver que servicios dependen de tu AD y todas esas cosas que debemos tener en cuenta antes de afrontar una migracion. Te paso un link donde tenes informacion adicional, que te recomiendo ver: Upgrading from Windows 2000 Server http://www.microsoft.com/windowsserver2008/es/xl/why-upgrade-2000.aspx
Ahi podras encontrar links con info como:
Upgrading Resources:
* Installing and Upgrading to Windows Server 2008
* Guide to Upgrading to Windows Server 2008
* Application Considerations When Upgrading to Windows Server 2008
* Microsoft Application Support for the Windows Server 2008 Family
* Third-Party Application Support
* Windows Server 2008 Assessment and Planning Solution Accelerator
* Windows Server 2008 Infrastructure Planning & Design
y tambien, ¿Por qué actualizar a Windows Server 2008 R2? http://www.microsoft.com/windowsserver2008/es/xl/why-upgrade.aspx
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.
Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Espero te sean de utilidad. Saludos!
Gracias por todo Roberto.
He realizado la actualización de Active Directory este fin de semana, y ha ido todo perfecto. E incluso he utilizado la herramiento ROBOCOPY y ha sido fantástico.
Muchas gracias por lo HOW-TO y los VIDEOCAST ya que han sido de GRANDISIMA ayuda.
De nuevo, muchas gracias por todo y por compartir esta información. Seguramente que sin tu información no me hubiese atravido tan a la ligera…
Un saludo,
Juan Antonio.
Hola Roberto.
Gracias por toda la información. Ya he realizado la migración de Windows 2000 Server a Windows server 2008R2 y parece que ha sido todo un éxito.
Dejaré unos días el servidor de Windows 2000 para ver que todo marche bien y luego lo apagaré durante unos días para comprobar que todo funciona.
De verdad, muchas gracias por todo.
Un saludo,
Juan Antonio
Buenisimo Juan Antonio! ha sido un placer haber podido ayudar!
Saludos, cualquier cosa que necesites avisame.