Un esquema de Active Directory es una descripción de todos los objetos y atributos del directorio en el dominio de Windows. El esquema contiene las definiciones de cada clase de objetos que se pueden crear en un bosque de Active Directory (Usuario, Impresora, Equipo, Grupo, Sitio, etc.). Además, el esquema contiene definiciones formales para cada atributo que puede o debe existir en un objeto de Active Directory. El esquema AD refleja la estructura básica del catálogo y es fundamental para su correcto funcionamiento. Normalmente, el esquema de AD se amplía/actualiza por varias razones. El más común es la implementación de una aplicación que requiere una extensión del esquema (para productos como Microsoft Exchange, Lync/Skype for Business, SCCM) o cuando agrega un nuevo controlador de dominio con una nueva versión de Windows Server.

Las nuevas versiones del sistema operativo de Microsoft contienen nuevos objetos y atributos, por lo que para su funcionamiento normal como controladores de dominio, el administrador del dominio debe actualizar el esquema de Active Directory. En este ejemplo, mostraremos cómo actualizar la versión del esquema AD de Windows Server 2012 a Windows Server 2019.

¿Cómo verificar la versión actual del esquema de AD?

Para averiguar la versión actual del esquema de Active Directory, puede utilizar la herramienta DSQuery:

dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion

O el siguiente comando de PowerShell:

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

El comando devuelve el Versión de objeto valor de atributo, que es el número de versión del esquema de Active Directory. En nuestro ejemplo, la versión del esquema es 69, que corresponde a Windows Server 2012 R2.

Además, puede averiguar la versión actual del esquema de AD mediante PowerShell:

Import-Module ActiveDirectory

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

La siguiente tabla enumera la correspondencia entre las versiones de Windows Server y las versiones del esquema de Active Directory.

Versión del servidor de Windows Versión de objeto de esquema AD
ventanas 2000 13
ventanas 2003 30
Windows 2003 R2 31
ventanas 2008 44
Windows 2008 R2 47
ventanas 2012 56
Windows 2012 R2 69
Servidor Windows 2016 87
Servidor Windows 2019 88

¿Cómo actualizar el esquema de AD DS a Windows Server 2019?

Active Directory permite usar múltiples controladores de dominio dentro de la misma organización con diferentes versiones de Windows Server (2008/R2, 2012/R2, 2016, 2019). Dado que estas versiones se lanzaron en diferentes años y cada nueva versión tiene más funciones que la anterior, cada sistema operativo tiene su propia versión de esquema. Por lo tanto, cuando agrega un nuevo controlador de dominio basado en Windows Server 2019 a una organización donde los controladores de dominio existentes ejecutan Windows Server 2012, deberá actualizar su esquema AD al nivel de Windows Server 2019.

Nota. La versión de Windows Server 2019 del esquema de Active Directory tiene solo un atributo nuevo msDS-preferredDataLocation.

En Windows 2008 R2 y versiones anteriores, para agregar correctamente el controlador que ejecuta una versión más reciente de Windows Server, debe actualizar manualmente el bosque y la versión del esquema del dominio. En Windows Server 2012 y versiones posteriores, cuando agrega un nuevo controlador de dominio, el esquema se actualiza automáticamente.

Por lo tanto, la forma más fácil de actualizar la versión del esquema de AD de Windows Server 2012 a Windows Server 2019 es instalar un nuevo servidor que ejecute Windows Server 2019 y promoverlo a un controlador de dominio mediante la instalación de la función Servicio de dominio de Active Directory (AD DS).

actualización del esquema de anuncios

Puede actualizar el esquema de AD de Windows Server 2012 a 2019 manualmente sin agregar un nuevo DC con WS2019. Para hacer esto, necesitará un adprep utilidad desde los medios de instalación con Windows Server 2016. Ejecute el símbolo del sistema con privilegios de administrador y vaya al directorio supportadprep en el disco de instalación de Windows Server.

cd f:supportadprep

Nota. Desde Windows Server 2008 R2, la utilidad adprep es solo de 64 bits.

Para realizar la actualización del esquema del bosque, la utilidad adprep debe ejecutarse en el controlador de dominio con el rol FSMO Maestro de esquema. Para actualizar la versión del esquema de dominio, inicie sesión en el DC con la función de maestro de infraestructura.

Para actualizar correctamente el esquema de AD, su cuenta debe ser miembro de los siguientes grupos de seguridad de dominio:

  • administradores de esquema;
  • administradores de empresas;
  • Administradores de dominio, en el que se encuentra el maestro de esquema.

Además, tenga en cuenta los niveles funcionales de bosque y dominio. Los dominios en el bosque AD pueden tener diferentes modos de operación (niveles funcionales). Por ejemplo, uno de los dominios puede funcionar en modo Windows 2016 y el resto en modo Windows 2008 R2. El esquema forestal no puede ser superior al del dominio más antiguo.

Puede encontrar el nivel funcional del dominio y del bosque mediante los cmdlets de PowerShell del módulo AD PowerShell. Para obtener el nivel funcional del dominio, use el comando:

Get-ADDomain | fl Name,DomainMode

Para verificar el nivel funcional del bosque AD, ejecute:

Get-ADForest | fl Name,ForestMode

actualización de esquema

Puede cambiar el nivel funcional del bosque mediante el complemento Dominios y confianzas de Active Directory (domain.msc). Haga clic derecho en la raíz de la consola y seleccione "Elevar el nivel funcional del bosque".

Para actualizar el nivel funcional del dominio, haga clic derecho en la raíz del dominio y seleccione el elemento "Elevar el nivel funcional del dominio".

actualizar el esquema del directorio activo

¡Atención! Los cambios y actualizaciones del esquema de AD son siempre irreversibles.

Para actualizar el esquema de todo el bosque, ejecute el comando:

adprep /forestprep

esquema de actualización

Después de actualizar el esquema del bosque, debe actualizar el esquema AD de todo el dominio:

adprep /domainprep

cómo actualizar la versión del esquema en el directorio activo

Espere hasta que se complete el comando y verifique la versión del esquema. La versión del objeto de esquema debería cambiar a 88.

Después de eso, puede desaprovisionar los DC antiguos y transferir roles de FSMO al nuevo DC.

Si intenta realizar una actualización local de un controlador de dominio basado en Windows Server 2016 a Windows Server 2019, es posible que reciba el siguiente mensaje de error:

Active Directory en este controlador de dominio no contiene actualizaciones de Windows Server 2019 ADPREP/FORESTPREP.

esquema de actualización

En este caso, debe actualizar manualmente su esquema de AD de la versión 87 a la 88 con el siguiente comando:

adprep.exe /forestprep

Luego, para actualizar las particiones del esquema de su dominio, use el comando:

Adprep.exe /domainprep

Ahora puede volver al Asistente de actualización de Windows Server 2019 y continuar actualizando la versión de su sistema operativo DC.

Preparación de Active Directory Shema para Exchange Server 2016

Si está implementando Microsoft Exchange en su organización, debe ampliar el esquema de AD y agregar clases personalizadas y el atributo de Exchange. Para hacer esto, necesita un medio de instalación de Exchange Server 2016.

Ejecute un símbolo del sistema elevado y vaya al directorio con los archivos de instalación de Exchange.

Para ampliar el esquema de Active Directory para Exchange, ejecute el comando:

Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

actualización de esquema

Si el instalador no pudo encontrar un controlador de dominio con la función de maestro de esquema, se puede especificar manualmente mediante el parámetro /DomainController:

SETUP.EXE /PrepareSchema /DomainController:dc01.theitbros.com /IAcceptExchangeServerLicenseTerms

Como resultado del procedimiento de extensión del esquema, los objetos de Active Directory tendrán nuevos atributos relacionados con Exchange Server.

Ahora necesitamos preparar Active Directory. Este procedimiento consiste en crear nuevos objetos y contenedores de Active Directory que se requieren para Exchange Server 2016. Por cierto, un conjunto de estos contenedores, objetos y sus propiedades se denomina organización de Exchange:

Setup.exe /PrepareAD /OrganizationName:"organization name " /IAcceptExchangeServerLicenseTerms

Queda por preparar todos los dominios en el bosque:

Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

Solo entonces puede iniciar la instalación de Exchange.

Recomendado para ti