Degradar Niveles Funcionales en Active Directory

La actualización de Servicios de Dominio de Active Directory (AD DS) requiere una actualización del esquema y, en última instancia la elevación de los niveles funcionales, tanto de Dominio como de Bosque.

A los clientes les preocupa que las aplicaciones dejen de funcionar después de elevar los niveles funcionales, y tradicionalmente no había vuelta atrás una vez que se elevaban los niveles funcionales.

Ahora bien, desde la introducción de Windows Server 2008 R2, es posible degradar los niveles funcionales. Pero yendo a algo más básico, dejemos en claro algunas cosas:

• El nivel funcional de dominio (DFL) para todos los dominios de un bosque debe elevarse primero, antes de poder elevar el nivel funcional del bosque (FFL). Al intentar degradar (reducir) el DFL de un dominio, primero deberá degradar el FFL al mismo nivel que el DFL requerido para configurar. El FFL nunca puede ser más alto que el DFL de cualquier dominio en el bosque.
• Los niveles funcionales determinan las capacidades de dominio o bosque de AD DS disponibles. También determinan qué sistemas operativos Windows se pueden instalar en los controladores de dominio del dominio o bosque. No se puede introducir un controlador de dominio que ejecute un sistema operativo que sea inferior a DFL o FFL. Esto debe tenerse en cuenta al actualizar los niveles funcionales, pero no tendría ningún impacto al degradar los niveles funcionales.
• La compatibilidad con la replicación del servicio de archivos distribuido (DFSR) para el volumen del sistema (SYSVOL) se introdujo en Windows Server 2008. Tanto si utiliza la replicación de servicios de archivos distribuidos (DFSR) como el servicio de replicación de archivos (FRS), no afectará a la capacidad de completar una reversión a nivel funcional.
• La papelera de reciclaje de Active Directory se introdujo por primera vez con Windows Server 2008 R2. Teniendo en cuenta que la capacidad de reversión de nivel funcional también se introdujo con Windows Server 2008 R2, había instrucciones claras sobre las capacidades de reversión.
• No puede revertir al nivel funcional de Windows Server 2008 después de habilitar la papelera de reciclaje. La razón simple es que Windows Server 2008 no admite la papelera de reciclaje y la papelera de reciclaje no se puede deshabilitar. Pero, pueden degradar hasta el nivel funcional de Windows Server 2008 R2.

Para verificar si tienen la papelera de reciclaje habilitada, solo basta con que se dirijan a ADAC y verifiquen si tienen el container “Deleted Objects” y si la opción de Enable Recycle Bin les aparece en color gris (significaria que esta habilitada)

 

¡Empecemos!

En mi dominio cuento con dos DCs, ambos en Windows Server 2022, tanto el nivel Funcional del Dominio como del Bosque es Windows Server 2016, para esta prueba, degradaremos ambos niveles funcionales a Windows Server 2008 R2 (dado que tengo la Papelera de Reciclaje habilitada).

Para verificar nuestro FFL y DFL tenemos dos opciones, la primera por interfaz grafica y mas simple es abrir Active Directory Users and Computers->click derecho sobre nuestro dominio->Propiedades:

La otra opción es por Powershell:

bien, ¿ya pudieron relevar su FFL y DFL? continuemos entonces 🙂

Como aclaración importante recuerden que, para realizar estos cambios, debemos ser miembros de: Enterprise Admin y Schema Admin (para el cambio del FFL) y Domain Admins (para el cambio de DFL)

Empezamos con la degradacion para el FFL, para ello ejecutaremos:

Set-ADForestMode -Identity nuestrodominio -ForestMode Windows2008R2Forest -Confirm:$false

El próximo paso será la degradación para el DFL, para ello ejecutaremos:

Set-ADDomainMode -Identity nuestrodominio -DomainMode Windows2008R2Domain -Confirm:$false

Habiendo elevado FFL y DFL, pasaremos a corroborarlo, podemos ejecutar los mismos cmdlets que utilizamos anteriormente en PS o desde ADUC:

Como se puede observar, ambos Niveles Funcionales se pudieron degradar sin inconvenientes. Como buena práctica igualmente NO lo recomiendo, una vez que se eleva los niveles funcionales en lo posible dejarlos así y no volver a modificarlos 🙂

Hasta aquí con la nota.

¡Saludos!