Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Functionele niveaus bepalen de beschikbare AD DS-domein- of bosfunctionaliteiten (Active Directory Domain Services). Ze bepalen ook welke Windows Server-besturingssystemen u kunt installeren op domeincontrollers in het domein of bos. Functionele niveaus zijn echter niet van invloed op welke besturingssystemen u kunt uitvoeren op werkstations en lidservers die zijn gekoppeld aan het domein of forest. In dit artikel wordt beschreven welke werkingsniveaus compatibel zijn met welke versies van Windows Server.
Wanneer u AD DS implementeert, stelt u het functionele domein- en forestniveau in op de hoogste waarde die uw omgeving kan ondersteunen om zoveel mogelijk AD DS-functies te kunnen gebruiken. Wanneer u een nieuw forest implementeert, moet u zowel het forest- als domeinfunctionaliteitsniveau instellen. U kunt een domeinfunctioneel niveau instellen dat hoger is dan het forestfunctioneel niveau. U kunt het domeinfunctionele niveau niet lager instellen dan het forestfunctionele niveau.
Interoperabiliteit op windows Server-functionaliteitsniveau
De volgende interoperabiliteitsmatrix bevat een overzicht van de Windows Server-versies die u kunt uitvoeren als domeincontrollers voor elk momenteel ondersteund AD DS-forest en domeinfunctionaliteitsniveau.
| Windows Server-versie (DC) | Windows Server 2025 functioneel niveau | Windows Server 2016 functioneel niveau | Windows Server 2012 R2 functioneel niveau |
|---|---|---|---|
| Windows Server 2025 | ✅ Ondersteund | ✅ Ondersteund | ❌ Niet ondersteund |
| Windows Server 2022 | ❌ Niet ondersteund | ✅ Ondersteund | ✅ Ondersteund |
| Windows Server 2019 | ❌ Niet ondersteund | ✅ Ondersteund | ✅ Ondersteund |
| Windows Server 2016 | ❌ Niet ondersteund | ✅ Ondersteund | ✅ Ondersteund |
| Windows Server 2012 R2 | ❌ Niet ondersteund | ❌ Niet ondersteund | ✅ Ondersteund |
✅ Ondersteund betekent dat u een domeincontroller kunt uitvoeren met die Windows Server-release op het opgegeven forest- en domeinfunctionaliteitsniveau; ❌ Niet ondersteund betekent dat u dat niet kunt.
Note
Windows Server 2019 en Windows Server 2022 gebruiken Windows Server 2016 als het meest recente functionele niveau. Zie Functionele niveaus van Active Directory Domain Services (AD DS) voor eerdere functionele niveaus (bijvoorbeeld Windows Server 2008 R2).
Functionele niveaus van Windows Server 2025
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het windows Server 2025-forest en het functionele domeinniveau.
- Windows Server 2025
Functies op het functionaliteitsniveau van Windows Server 2025 forest en domein
Het functionele domeinniveau van Windows Server 2025 bevat alle functies die beschikbaar zijn in eerdere functionaliteitsniveaus van domeinen, maar heeft ook de volgende nieuwe functies:
- Optionele functie voor database 32k-pagina's. Zie Database 32k-pagina's voor Active Directory-voor meer informatie over het gebruik van de paginagrootte van de 32k-database.
Zie Wat is er nieuw in Windows Server 2025 voor meer informatie over nieuwe functies.
Note
Windows Server 2019 en Windows Server 2022 gebruiken Windows Server 2016 als de meest recente functionele niveaus.
Functionele niveaus van Windows Server 2016
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het forest- en domeinfunctionaliteitsniveau van Windows Server 2016.
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Note
Domeinen moeten DFSR gebruiken als de engine om SYSVOL te repliceren. Zie Gestroomlijnde migratie van FRS naar DFSR voor meer informatie over migreren naar DFSR SYSVOL. Windows Server 2016 is de laatste Windows Server-release die ondersteuning biedt voor de File Replication Service (FRS). Zie Windows Server versie 1709 biedt geen ondersteuning meer voor FRS voor informatie over het oplossen van dit probleem.
Functies op forest- en domeinniveau van Windows Server 2016
Alle standaard Active Directory-functies in eerdere forestfunctionaliteitsniveaus zijn beschikbaar, plus de volgende functies:
Alle standaard Active Directory-functies in eerdere functionaliteitsniveaus voor domeinen zijn beschikbaar, plus de volgende functies:
DC's kunnen de automatische vernieuwing van de New Technology LAN Manager (NTLM) en andere wachtwoordgebaseerde geheimen ondersteunen voor een gebruikersaccount dat is geconfigureerd om PKI-authenticatie (Public Key Infrastructure) te vereisen. Deze configuratie wordt ook wel smartcard genoemd die vereist is voor interactieve aanmelding.
DC's kunnen ondersteuning bieden voor netwerk-NTLM wanneer een gebruiker is beperkt tot specifieke apparaten die lid zijn van een domein.
Kerberos-clients die zich succesvol authenticeren met de PKInit Freshness-extensie verkrijgen de verse openbare sleutel-ID (SID).
Zie Wat is er nieuw in Kerberos-verificatie voor meer informatie.
Functionele niveaus van Windows Server 2012 R2
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het Windows Server 2012 R2-forest en het functionele domeinniveau.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Functies op functioneel niveau voor Windows Server 2012 R2-forest en domein
Alle standaard Active Directory-functies, alle functies van het functionele niveau van het Windows Server 2012-domein, plus de volgende functies:
DC-zijde beschermingen voor Beschermde Gebruikers. Wanneer beveiligde gebruikers worden geverifieerd bij een Windows Server 2012 R2-domein, kunnen ze het volgende niet meer:
Verifiëren met NTLM-verificatie.
Gebruik DES- of RC4-coderingssuites in Kerberos-verificatie vooraf.
Worden gedelegeerd met niet-gebonden of beperkte delegering.
Vernieuw gebruikerstickets (TGT's) na de eerste vier uur levensduur.
Verificatiebeleid
- Nieuw forest-gebaseerd verificatiebeleid kan worden toegepast op accounts. Het beleid kan bepalen vanaf welke hosts een account zich kan aanmelden en toegangsbeheervoorwaarden toepassen voor verificatie op services die als account worden uitgevoerd.
Verificatiebeleidssilo's
- Een nieuw Active Directory-object op basis van forests dat moet worden gebruikt voor het classificeren van accounts voor verificatiebeleid of voor verificatie-isolatie. Het nieuwe object kan een relatie maken tussen gebruikers-, beheerde service- en computeraccounts.
Functionele en domeinniveaus in eerdere versies van Windows Server
Als u functionele niveaus wilt identificeren voor een eerdere versie van Windows Server, zoals Windows Server 2008 R2, raadpleegt u Functionele niveaus van Active Directory Domain Services (AD DS).
Verwante inhoud
Gebruik de PowerShell-opdracht Set-ADForestMode om het functionele forestniveau te verhogen.
Gebruik de PowerShell-opdracht Set-ADDomainMode om het functionele domeinniveau te verhogen.
Zie Active Directory-domein- en forestfunctionaliteitsniveaus verhogenvoor meer informatie over het verhogen van het domein- en forestfunctionaliteitsniveau.