A betűs definíciókHálózatok és internetIT menedzsmentSzoftver fogalmak

Active Directory funkcionális szintek (Active Directory functional levels): Jelentése és a tartományi funkciók vezérlése

Az Active Directory funkcionális szintek határozzák meg, milyen szolgáltatások és funkciók érhetők el egy tartományban vagy erdőben. Ezek segítenek irányítani a tartományi működést, és biztosítják a kompatibilitást a különböző Windows verziók között.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
36 Min Read
Gyors betekintő

Mi az Active Directory funkcionális szint?

Az Active Directory (AD) egy alapvető, címtár alapú szolgáltatás, amely a Microsoft Windows Server operációs rendszerek szerves része. Kulcsfontosságú szerepet játszik a hálózati erőforrások, felhasználók, csoportok és egyéb objektumok központosított kezelésében. Az Active Directory funkcionális szintek (angolul: Active Directory functional levels) az AD környezetben elérhető funkciók és képességek egyedi halmazát határozzák meg. Ezek a szintek alapvetően attól függenek, hogy milyen operációs rendszer verziójú tartományvezérlők (DC-k) vannak jelen az adott tartományban vagy erdőben.

Két fő típusú funkcionális szintet különböztetünk meg:

  • Tartományi funkcionális szint (Domain Functional Level – DFL): Ez a szint a tartományon belül elérhető funkciókat szabályozza. Meghatározásakor a tartományban található összes tartományvezérlő operációs rendszerének verziója a mérvadó. A DFL csak akkor emelhető, ha az összes tartományvezérlő az adott szintet vagy annál újabbat támogató operációs rendszert futtat.
  • Erdő funkcionális szint (Forest Functional Level – FFL): Ez a szint az egész Active Directory erdőre vonatkozó funkciókat és képességeket szabályozza, beleértve az erdő összes tartományát. Az FFL emeléséhez az erdő összes tartományának tartományi funkcionális szintjét (DFL) az emelni kívánt FFL szinttel megegyezőre vagy magasabbra kell emelni, és minden tartományvezérlőnek támogatnia kell az adott szintet.

A funkcionális szintek bevezetése a Windows 2000 Serverrel kezdődött, és azóta minden új Windows Server verzióval együtt újabb szintek és képességek jelentek meg. Ezek a szintek biztosítják a visszamenőleges kompatibilitást, miközben lehetővé teszik az új funkciók bevezetését a környezetben. A lényeg, hogy az Active Directory funkcionális szintje mindig a legöregebb operációs rendszert futtató tartományvezérlőhöz igazodik, amely még aktív a környezetben.

Miért fontosak a funkcionális szintek?

Az Active Directory funkcionális szintek jelentősége abban rejlik, hogy ők vezérlik azokat az új funkciókat és fejlesztéseket, amelyek az újabb Windows Server verziókkal érkeznek. Amíg egy régebbi operációs rendszert futtató tartományvezérlő is jelen van a környezetben, addig az Active Directory nem tudja kihasználni az újabb verziók által kínált összes képességet. Ennek oka, hogy a replikáció és a címtárszolgáltatás integritásának megőrzése érdekében az AD-nek biztosítania kell, hogy minden tartományvezérlő képes legyen kezelni az összes adatot és műveletet.

A funkcionális szintek emelésével a rendszergazdák hozzáférhetnek olyan modern biztonsági funkciókhoz, hatékonyabb replikációs mechanizmusokhoz, fejlettebb menedzsment eszközökhöz és egyéb, a címtárszolgáltatás teljesítményét és megbízhatóságát javító fejlesztésekhez. Az emelés azonban egy egyirányú folyamat: a funkcionális szintet magasabbra lehet emelni, de visszafelé, alacsonyabb szintre már nem lehet visszaváltani (kivéve bizonyos, nagyon speciális és ritka eseteket, amelyek általában nem támogatottak, és adatvesztéssel járhatnak).

Az Active Directory funkcionális szintek emelése kulcsfontosságú lépés az AD környezet modernizálásában és biztonságának növelésében, mivel ez teszi lehetővé az újabb Windows Server verziók által kínált fejlett funkciók teljes körű kihasználását.

Történelmi áttekintés: A kezdetektől napjainkig

Az Active Directory a Windows 2000 Serverrel debütált, és azóta minden nagyobb Windows Server kiadás új funkcionális szinteket és ezzel együtt új képességeket hozott magával. Az alábbiakban egy rövid áttekintés az egyes szintekről és azok bevezetéséről:

  • Windows 2000 Native (DFL) / Windows 2000 (FFL): Ez volt az első funkcionális szint. A Windows 2000 Serverrel jelent meg.
  • Windows Server 2003: Jelentős újításokat hozott, például a tartományvezérlő átnevezésének képességét (Domain Rename), a Linked Value Replicationt, és a tartományi funkcionális szint visszaállításának lehetőségét (ez utóbbi később változott).
  • Windows Server 2008: Bevezette az Audit Policy Objecteket, a Distributed File System (DFS) optimalizációkat és a read-only tartományvezérlőket (RODC).
  • Windows Server 2008 R2: Ez a szint hozta el az Active Directory Recycle Bint, az Authentication Policy Silos-t és a Fine-Grained Password Policies továbbfejlesztését.
  • Windows Server 2012: Bővítette a címtárszolgáltatásokhoz kapcsolódó funkciókat, például a Dynamic Access Controlt.
  • Windows Server 2012 R2: További biztonsági fejlesztéseket és a Work Folders támogatását hozta.
  • Windows Server 2016: Bevezette a Privileged Access Management (PAM) és a Just Enough Administration (JEA) képességeket, valamint a PIM (Privileged Identity Management) előkészítését.
  • Windows Server 2019: Javított replikációt és biztonságot, valamint a hibrid környezetek jobb integrációját.
  • Windows Server 2022: A legújabb szint, amely továbbfejlesztett biztonsági funkciókat és felhőintegrációs képességeket kínál.

Minden egyes új szint emelése lehetővé tette a rendszergazdák számára, hogy kihasználják az operációs rendszer legújabb verzióinak előnyeit, miközben fenntartják a kompatibilitást a régebbi rendszerekkel, amíg azok el nem távolításra kerülnek a környezetből.

Tartományi funkcionális szintek (DFL): Részletes elemzés

A tartományi funkcionális szint (DFL) határozza meg egy adott Active Directory tartományban elérhető funkciók körét. Ez a szint kizárólag a tartományon belüli tartományvezérlők operációs rendszerének verziójától függ. Ahhoz, hogy egy tartomány DFL-jét emelni lehessen, az adott tartományban lévő összes tartományvezérlőnek legalább az emelni kívánt szintet támogató operációs rendszert kell futtatnia.

Milyen tényezők befolyásolják a DFL-t?

A DFL-t kizárólag a tartományban lévő tartományvezérlők operációs rendszerének verziója határozza meg. Például, ha egy tartományban van egy Windows Server 2008-at futtató DC és több Windows Server 2019-et futtató DC, akkor a tartományi funkcionális szint legfeljebb Windows Server 2008 lehet. Csak akkor emelhető a szint Windows Server 2019-re, ha a Windows Server 2008-as DC-t frissítették vagy eltávolították a tartományból.

Ez a korlátozás biztosítja az Active Directory adatbázisának integritását és a replikáció zökkenőmentességét. Az újabb funkciók gyakran új attribútumokat, objektumtípusokat vagy replikációs mechanizmusokat vezetnek be, amelyeket a régebbi tartományvezérlők nem értenek vagy nem tudnak kezelni. Ezért a legöregebb DC diktálja a DFL-t.

Az egyes DFL szintek képességei és jellemzői

Windows 2000 Native

Ez volt az első DFL szint, amely a Windows 2000 Serverrel érkezett. A „Native” jelző arra utal, hogy a tartomány már nem tartalmaz Windows NT 4.0 tartományvezérlőket. Főbb jellemzők:

  • Universal Group Caching: A globális katalógus szerverek képesek gyorsítótárazni az univerzális csoporttagságokat, csökkentve ezzel a hálózati forgalmat.
  • Group Nesting: Lehetővé teszi csoportok csoportokba ágyazását, ami rugalmasabb jogosultságkezelést biztosít.
  • SID History: Objektumok áthelyezésekor vagy migrálásakor megőrzi a régi biztonsági azonosítókat, fenntartva a hozzáférési jogokat.

Ez a szint a mai napig alapvetőnek számít, de már nagyon elavultnak minősül, és a legtöbb modern környezetben nem található meg.

Windows Server 2003

Ez a DFL szint a Windows Server 2003-mal jelent meg. Jelentős előrelépést hozott a Windows 2000-hez képest:

  • Linked Value Replication (LVR): Hatékonyabb replikációt biztosít a csoporttagságok és más multi-value attribútumok esetében, csökkentve a replikációs forgalmat és a hibalehetőségeket.
  • Domain Rename: Lehetővé teszi a tartományok átnevezését, ami korábban nem volt lehetséges. Ez egy komplex művelet, de nagy rugalmasságot ad.
  • Domain Controller Rename: A tartományvezérlők átnevezése egyszerűbbé vált.
  • Installation from Media (IFM): Lehetővé teszi az új tartományvezérlők gyorsabb telepítését meglévő mentésekből, csökkentve a kezdeti replikáció idejét.

A Windows Server 2003 DFL volt az első, amely valóban skálázhatóbb és könnyebben kezelhető Active Directory környezetet tett lehetővé.

Windows Server 2008

A Windows Server 2008 hozta magával ezt a DFL szintet. Főbb újítások:

  • Distributed File System (DFS) Replication: Támogatja a DFS-R használatát a SYSVOL mappa replikációjához, ami sokkal robusztusabb és hatékonyabb, mint a korábbi FRS (File Replication Service).
  • Advanced Encryption Standard (AES) support: Erősebb titkosítási algoritmusok támogatása a Kerberos autentikációhoz.
  • Last Interactive Logon Information: Lehetővé teszi az utolsó interaktív bejelentkezés idejének és a sikertelen bejelentkezések számának megjelenítését a felhasználók számára.

Ez a szint alapvető fontosságú volt a modernizáció szempontjából, különösen a SYSVOL replikáció terén.

Windows Server 2008 R2

Ez a DFL szint a Windows Server 2008 R2-vel érkezett, és jelentős biztonsági és menedzsment fejlesztéseket hozott:

  • Active Directory Recycle Bin: Ez az egyik legfontosabb funkció, amely lehetővé teszi a véletlenül törölt Active Directory objektumok visszaállítását adatvesztés nélkül. A korábbi verziókban a törölt objektumok helyreállítása sokkal bonyolultabb és időigényesebb volt.
  • Managed Service Accounts (MSAs): Lehetővé teszi a szolgáltatások számára, hogy saját, automatikusan kezelt jelszóval rendelkező fiókkal futhassanak, növelve a biztonságot.
  • Authentication Policy Silos: Az adminisztrátorok korlátozhatják a jogosult felhasználókat és számítógépeket, amelyek bejelentkezhetnek bizonyos erőforrásokra, növelve a biztonságot.
  • Fine-Grained Password Policies (FGPP) with PowerShell: Noha az FGPP már korábban is létezett, a 2008 R2 szinttel vált igazán jól kezelhetővé és kiterjeszthetővé PowerShell segítségével.

A Recycle Bin önmagában is hatalmas előrelépést jelentett a tartományi adminisztrációban.

Windows Server 2012

A Windows Server 2012 DFL szintje a felhőre való felkészülés jegyében született, és számos új képességet vezetett be:

  • Dynamic Access Control (DAC): Lehetővé teszi az adatokhoz való hozzáférés rugalmasabb és attribútum alapú szabályozását. Például egy fájlhoz való hozzáférés függhet a felhasználó osztályától, a fájl osztályozásától vagy a hálózati helyétől.
  • Offline Domain Join: Lehetővé teszi számítógépek csatlakoztatását egy tartományhoz anélkül, hogy fizikai kapcsolat lenne a tartományvezérlővel a csatlakozás pillanatában.
  • Virtual Domain Controller Cloning: Lehetővé teszi a tartományvezérlők virtualizált környezetben történő klónozását, felgyorsítva a telepítést és a helyreállítást.

A DAC különösen fontos volt a modern, adatvezérelt biztonsági modellek kiépítésében.

Windows Server 2012 R2

Ez a DFL szint a Windows Server 2012 R2-vel érkezett, és elsősorban a biztonságra és a hibrid környezetekre fókuszált:

  • Enhanced Authentication Policies: Továbbfejlesztett hitelesítési szabályzatok, beleértve a Kerberos protokoll biztonsági fejlesztéseit.
  • Work Folders: Lehetővé teszi a felhasználók számára, hogy szinkronizálják munkafájljaikat a vállalati hálózaton és személyes eszközeiken keresztül.
  • Device Registration Service: Eszközök regisztrációja az Active Directoryba, ami alapját képezi a feltételes hozzáférés szabályainak.

Ez a szint segített a mobilitás és a BYOD (Bring Your Own Device) stratégiák biztonságosabb támogatásában.

Windows Server 2016

A Windows Server 2016 DFL szintje a modern biztonsági fenyegetésekre és a felhőintegrációra válaszolt:

  • Privileged Access Management (PAM): Lehetővé teszi az adminisztratív jogosultságok „just-in-time” és „just-enough” biztosítását, csökkentve a jogosultságokkal való visszaélés kockázatát.
  • Just Enough Administration (JEA): Lehetővé teszi a delegált adminisztrátorok számára, hogy csak azokat a parancsokat futtassák, amelyekre szükségük van a feladatuk elvégzéséhez, minimalizálva a támadási felületet.
  • Credential Guard and Device Guard: Hardveralapú biztonsági funkciók, amelyek védik az operációs rendszer magját és a hitelesítő adatokat.

A 2016-os szint alapvető fontosságú volt a „zero trust” biztonsági modell felé vezető úton.

Windows Server 2019

A Windows Server 2019 DFL szintje a hibrid felhőre és a konténerekre fókuszált, miközben tovább javította a biztonságot és a teljesítményt:

  • Windows Admin Center integráció: Egyszerűbb, böngésző alapú menedzsment eszköz az AD és más szerver szerepkörök számára.
  • Improved Kerberos Armoring: Továbbfejlesztett Kerberos biztonság.
  • Shielded Virtual Machines improvements: Továbbfejlesztett védelem a virtuális gépek számára.

Ez a szint a hibrid infrastruktúrák és a modern IT menedzsment igényeinek felelt meg.

Windows Server 2022

A legújabb DFL szint, amely a Windows Server 2022-vel érkezett. Főbb fókuszpontok:

  • Advanced Multi-Layer Security: Továbbfejlesztett biztonsági funkciók, beleértve a Secured-core szervereket, amelyek hardveres védelmet nyújtanak a firmware szintjétől kezdve.
  • Hybrid Capabilities with Azure: Jobb integráció az Azure hibrid szolgáltatásokkal, például az Azure Arc és az Azure Stack HCI.
  • Improved Virtualization and Networking: Teljesítmény- és biztonsági fejlesztések a virtualizált környezetekben.

A Windows Server 2022 DFL a legmodernebb biztonsági és felhőintegrációs képességeket kínálja az Active Directory számára.

Erdő funkcionális szintek (FFL): Részletes elemzés

Az erdő funkcionális szint (FFL) az Active Directory erdőre vonatkozó képességeket és funkciókat határozza meg. Ez a szint az egész erdőre kiterjed, és a legmagasabb szintű funkciókat engedélyezi, amelyek az összes tartományra és tartományvezérlőre hatással vannak. Az FFL emelése előtt az erdő összes tartományának tartományi funkcionális szintjét (DFL) legalább az emelni kívánt FFL szinttel megegyezőre kell emelni.

Milyen tényezők befolyásolják az FFL-t?

Az FFL-t két fő tényező befolyásolja:

  1. Az erdőben található legöregebb tartományvezérlő: Az FFL nem lehet magasabb, mint a legöregebb operációs rendszert futtató tartományvezérlő verziója az egész erdőben. Ha az erdőben van egy Windows Server 2008 R2-es DC, az FFL nem lehet magasabb, mint Windows Server 2008 R2.
  2. Az összes tartomány DFL-je: Az FFL nem lehet magasabb, mint az erdőben található legmagasabb DFL. Ha az erdőben van egy tartomány, amelynek DFL-je Windows Server 2012, az FFL nem emelhető Windows Server 2016-ra, amíg az összes többi tartomány DFL-je is el nem éri legalább a Windows Server 2012-t.

Ez a kettős korlátozás biztosítja, hogy az egész erdő, beleértve az összes tartományt és DC-t, képes legyen együttműködni és replikálni az új funkciókat támogató módon. Az FFL emelése általában nagyobb horderejű döntés, mint a DFL emelése, mivel az egész infrastruktúrára kihat.

Az egyes FFL szintek képességei és jellemzői

Windows 2000

Ez az alapértelmezett FFL szint a Windows 2000 Server telepítésekor. Alapvető Active Directory funkciókat biztosít, de korlátozott képességekkel:

  • Alapvető Active Directory funkciók: Felhasználók, csoportok, számítógépek kezelése, Kerberos alapú hitelesítés.
  • Globális katalógus (Global Catalog): Kereshető tartományok közötti objektumok.

Ezen a szinten a tartományok közötti interakciók és a címtár adminisztrációja még viszonylag korlátozott.

Windows Server 2003

A Windows Server 2003 FFL jelentős fejlesztéseket hozott az erdő szintjén:

  • Domain Rename: Lehetővé teszi az Active Directory tartományok átnevezését az erdőn belül. Ez egy komplex művelet, de kritikus lehet bizonyos konszolidációs vagy átstrukturálási forgatókönyvekben.
  • Linked Value Replication (LVR): Bár DFL szinten is elérhető volt, az FFL emelésével válik teljessé a Linked Value Replication előnye az erdőn belül, csökkentve a replikációs forgalmat és a replikációs hibákat a csoporttagságok és más multi-value attribútumok esetében.
  • Forest Trust: Lehetővé teszi két erdő közötti bizalmi kapcsolat létrehozását, amely egyszerűsíti a felhasználók és erőforrások elérését a két erdő között.

A 2003-as FFL volt az első, amely valóban skálázhatóbb és rugalmasabb Active Directory erdőket tett lehetővé, különösen a Domain Rename és a Forest Trust bevezetésével.

Windows Server 2008

A Windows Server 2008 FFL a biztonságra és a replikációs hatékonyságra fókuszált:

  • DFS Replication for SYSVOL: Bár DFL szinten is megjelent, az FFL emelése biztosítja, hogy az összes tartományban a SYSVOL mappa replikációja DFS-R-en keresztül történjen, ami megbízhatóbb és hatékonyabb, mint a korábbi FRS.
  • Read-Only Domain Controllers (RODC): Lehetővé teszi RODC-k telepítését fiókirodákba, növelve a biztonságot és csökkentve a fizikai biztonsági kockázatokat.

Az RODC-k bevezetése különösen fontos volt a decentralizált hálózatok biztonságosabbá tételében.

Windows Server 2008 R2

A Windows Server 2008 R2 FFL az Active Directory Recycle Bin-t tette erdő szinten elérhetővé:

  • Active Directory Recycle Bin: Ez a funkció, miután az FFL-t 2008 R2-re emelték, lehetővé teszi a véletlenül törölt Active Directory objektumok visszaállítását az erdő bármely tartományában. Ez egy rendkívül fontos funkció, amely drámaian leegyszerűsíti a helyreállítási folyamatokat.
  • Authentication Policy Silos: Erdő szinten is konfigurálhatóvá válnak, lehetővé téve a jogosultságok pontosabb szabályozását az erdőn belül.

A Recycle Bin az egyik leginkább várt és hasznos funkció volt, amely jelentősen javította az AD adminisztráció biztonságát és egyszerűségét.

Windows Server 2012

A Windows Server 2012 FFL a Dynamic Access Control (DAC) funkciókat tette elérhetővé az egész erdőben:

  • Dynamic Access Control (DAC): Az erdő szintjén történő engedélyezése lehetővé teszi a központosított, attribútum alapú hozzáférési szabályok alkalmazását az erdő összes tartományában és erőforrásán. Ez jelentős előrelépést jelent a finomhangolt jogosultságkezelésben.
  • Virtual Domain Controller Cloning: Bár DFL szinten is elérhető volt, az FFL emelésével teljes mértékben kihasználható a DC klónozásának előnye az erdőben.

A DAC különösen fontos a komplex, heterogén környezetekben, ahol az adatokhoz való hozzáférést részletesebben kell szabályozni.

Windows Server 2012 R2

A Windows Server 2012 R2 FFL további biztonsági és hibrid felhő képességeket kínált:

  • Enhanced Authentication Policies: Az erdő szintjén bevezetett továbbfejlesztett hitelesítési szabályzatok növelik a Kerberos hitelesítés biztonságát az egész erdőben.
  • Workplace Join (Device Registration Service): Lehetővé teszi az eszközök regisztrálását az Active Directoryba, ami alapvető fontosságú a modern feltételes hozzáférés szabályainak megvalósításához és a BYOD stratégiák támogatásához az egész erdőben.

Ez a szint segítette a biztonságosabb, mobilcentrikus munkakörnyezetek kiépítését.

Windows Server 2016

A Windows Server 2016 FFL a fejlett biztonsági és identitáskezelési funkciókra koncentrált az erdő szintjén:

  • Privileged Access Management (PAM): Az erdő szintjén történő bevezetése lehetővé teszi a jogosultságok időszakos és korlátozott kiosztását az adminisztratív fiókok számára az egész erdőben, drámaian csökkentve a jogosultságokkal való visszaélés kockázatát.
  • Just Enough Administration (JEA): Erdő szinten történő alkalmazásával a delegált adminisztrátorok csak a szükséges PowerShell parancsokat futtathatják az erdőben található erőforrásokon.
  • Credential Guard and Device Guard: Hardveralapú védelem a hitelesítő adatok és az operációs rendszer magja számára az erdő összes tartományvezérlőjén.

Ezek a funkciók alapvető fontosságúak voltak a fejlett perzisztens fenyegetések (APT) elleni védekezésben.

Windows Server 2019

A Windows Server 2019 FFL a hibrid környezetek integrációját és a biztonság további fejlesztését célozta meg:

  • Windows Admin Center integráció: Egyszerűbb, központosított kezelés az erdő összes Active Directory objektumára és tartományvezérlőjére.
  • Improved Kerberos Armoring: Továbbfejlesztett Kerberos biztonság az erdőn belül, erősebb titkosítási algoritmusokkal.
  • Shielded Virtual Machines enhancements: Továbbfejlesztett védelem a virtuális tartományvezérlők számára.

Ez a szint a hibrid felhő stratégiák és az egyszerűsített menedzsment igényeit szolgálta ki.

Windows Server 2022

A legújabb FFL szint, amely a Windows Server 2022-vel érkezett. Főként a biztonságra és a felhőintegrációra összpontosít:

  • Secured-core Servers support: Erdő szinten lehetővé teszi a Secured-core szerverek teljes kihasználását, amelyek hardveres védelemmel rendelkeznek a firmware-től az operációs rendszerig.
  • Azure Arc integration: Jobb integráció az Azure Arc-kal, lehetővé téve a hibrid és multi-cloud környezetek egységes kezelését.
  • DNS over HTTPS (DoH): Támogatja a titkosított DNS-lekérdezéseket, növelve a hálózati kommunikáció biztonságát az erdőn belül.

A Windows Server 2022 FFL a legmagasabb szintű biztonságot és felhőintegrációt kínálja az Active Directory infrastruktúra számára.

Hogyan ellenőrizhetjük a jelenlegi funkcionális szinteket?

A funkcionális szintek az Active Directory adminisztráció alapját képezik.
A jelenlegi funkcionális szinteket az Active Directory felügyeleti konzolon vagy PowerShell parancsokkal is gyorsan ellenőrizhetjük.

Az Active Directory funkcionális szintjeinek ellenőrzése kulcsfontosságú az infrastruktúra tervezése és hibaelhárítása során. Több módszer is rendelkezésre áll, mind grafikus felhasználói felülettel (GUI), mind parancssorból.

GUI (Active Directory Domains and Trusts)

Ez a leggyakoribb és leginkább felhasználóbarát módszer a funkcionális szintek ellenőrzésére:

  1. Nyissa meg a Server Managert.
  2. Kattintson az Tools (Eszközök) menüre, majd válassza az Active Directory Domains and Trusts (Active Directory tartományok és megbízhatóságok) lehetőséget.
  3. A konzol bal oldali ablaktáblájában kattintson jobb gombbal az Active Directory Domains and Trusts gyökér elemre, majd válassza a Properties (Tulajdonságok) menüpontot. Itt láthatja az Erdő funkcionális szintjét (Forest Functional Level).
  4. A tartományi funkcionális szint megtekintéséhez kattintson jobb gombbal a tartomány nevére (pl. yourdomain.com), majd válassza a Properties (Tulajdonságok) menüpontot. A General (Általános) fülön láthatja a Tartomány funkcionális szintjét (Domain Functional Level).

Ez a módszer gyors áttekintést nyújt, és a legtöbb adminisztrátor számára elegendő.

PowerShell (Get-ADForest, Get-ADDomain)

A PowerShell a modern Active Directory adminisztráció alapja, és rendkívül hatékony a funkcionális szintek lekérdezésére:

Az erdő funkcionális szintjének lekérdezéséhez használja a következő parancsot:

Get-ADForest | Select-Object ForestMode

A tartomány funkcionális szintjének lekérdezéséhez használja a következő parancsot:

Get-ADDomain | Select-Object DomainMode

Ha az összes tartományvezérlő operációs rendszerének verzióját is látni szeretné egy tartományban, ami segíthet a DFL emelésének tervezésében, használhatja a következő parancsot:

Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem, OperatingSystemVersion

Ez a módszer különösen hasznos szkriptekben vagy automatizált ellenőrzések során.

Command Line (dsquery, netdom)

A régebbi, parancssori eszközök is használhatók, bár a PowerShell ma már preferált:

Az erdő funkcionális szintjének lekérdezéséhez:

dsquery forestroot -attr forestMode

A tartomány funkcionális szintjének lekérdezéséhez:

dsquery domain -attr domainMode

Vagy a netdom parancs is használható a tartományi funkcionális szinthez:

netdom query fsmo

Ez a parancs kilistázza a FSMO (Flexible Single Master Operations) szerepköröket, és a „Domain role owner” alatt látható a tartományi funkcionális szint, míg a „Schema role owner” alatt az erdő funkcionális szintje. Fontos megjegyezni, hogy ezek a parancsok csak számokat adnak vissza, amelyeket értelmezni kell (pl. 0 = Windows 2000, 2 = Windows Server 2003, 3 = Windows Server 2008, 4 = Windows Server 2008 R2, 5 = Windows Server 2012, 6 = Windows Server 2012 R2, 7 = Windows Server 2016, 8 = Windows Server 2019, 9 = Windows Server 2022).

A legpontosabb és legátfogóbb információkért mindig a PowerShellt vagy az Active Directory Domains and Trusts konzolt ajánlott használni.

A funkcionális szintek emelése: Előkészületek és folyamat

A funkcionális szintek emelése egy jelentős művelet az Active Directory környezetben, amely alapos tervezést és előkészítést igényel. Mivel a folyamat visszafordíthatatlan, elengedhetetlen a megfelelő elővigyázatosság.

Miért érdemes emelni?

A funkcionális szintek emelésének fő oka az újabb Windows Server verziók által kínált fejlett Active Directory funkciók kihasználása. Ezek a funkciók:

  • Biztonsági fejlesztések: Erősebb hitelesítési mechanizmusok, finomhangolt jelszóházirendek, privileged access management.
  • Replikációs hatékonyság: Gyorsabb és megbízhatóbb replikáció, különösen nagy környezetekben.
  • Menedzselhetőség: Egyszerűsített adminisztráció, például a Recycle Bin.
  • Kompatibilitás: Biztosítja, hogy az AD környezet kompatibilis legyen a legújabb Microsoft termékekkel és szolgáltatásokkal, beleértve a felhőintegrációt is.
  • Teljesítmény: Egyes újítások javíthatják az AD általános teljesítményét.

Egy elavult funkcionális szinten ragadni azt jelenti, hogy lemaradunk a legújabb biztonsági és menedzsment képességekről, ami sebezhetőbbé teheti az infrastruktúrát és korlátozhatja a jövőbeni bővítési lehetőségeket.

Előzetes ellenőrzések

Mielőtt bármilyen emelési műveletbe kezdene, hajtsa végre a következő ellenőrzéseket:

  1. Minden tartományvezérlő online és replikál? Ez a legfontosabb ellenőrzés. Használja a repadmin /replsummary és dcdiag /q parancsokat az összes DC állapotának ellenőrzésére. Győződjön meg arról, hogy nincsenek replikációs hibák, és minden DC elérhető. Egy offline vagy hibás DC megakadályozhatja az emelést vagy adatvesztést okozhat.
  2. Minden tartományvezérlő támogatja az új szintet? Győződjön meg arról, hogy az összes DC operációs rendszere legalább az emelni kívánt DFL vagy FFL szintet támogatja. Ha régebbi DC-k vannak, azokat frissíteni vagy eltávolítani kell.
  3. Készítsen teljes rendszermentést! Mielőtt bármilyen változtatást végrehajtana az Active Directoryn, készítsen teljes rendszerállapot-mentést az összes tartományvezérlőről. Ez a mentés az egyetlen módja a visszaállásnak, ha valami balul sül el.
  4. Kompatibilitás az alkalmazásokkal/szolgáltatásokkal. Ellenőrizze, hogy az Active Directoryt használó összes üzleti alkalmazás és szolgáltatás kompatibilis-e az új funkcionális szinttel. Habár a legtöbb alkalmazás visszamenőlegesen kompatibilis, kritikus rendszerek esetében ez elengedhetetlen.
  5. Rendelkezik a megfelelő jogosultságokkal? A DFL emeléséhez Domain Admins jogosultságra van szükség. Az FFL emeléséhez Enterprise Admins jogosultság szükséges.

Az emelés lépései

Az emelés sorrendje kulcsfontosságú: először a tartományi funkcionális szinteket (DFL) kell emelni, majd az erdő funkcionális szintjét (FFL).

DFL emelése (tartományi funkcionális szint)

GUI-val:

  1. Nyissa meg az Active Directory Domains and Trusts konzolt.
  2. Kattintson jobb gombbal a tartomány nevére (pl. yourdomain.com), majd válassza a Raise Domain Functional Level… (Tartomány funkcionális szintjének emelése…) menüpontot.
  3. Válassza ki a kívánt funkcionális szintet a legördülő menüből.
  4. Kattintson a Raise (Emelés) gombra. Erősítse meg a műveletet a figyelmeztető üzenet elolvasása után.

PowerShell-lel:

Használja a Set-ADDomainMode parancsmagot:

Set-ADDomainMode -Identity "yourdomain.com" -DomainMode Windows2016Domain

(Cserélje ki a „yourdomain.com” értéket a tartomány nevére, és a „Windows2016Domain” értéket a kívánt szintre, pl. Windows2008R2Domain, Windows2012Domain, Windows2012R2Domain, Windows2016Domain, Windows2019Domain, Windows2022Domain.)

FFL emelése (erdő funkcionális szint)

Miután az összes tartományi funkcionális szintet (DFL) a kívánt FFL szinttel megegyezőre vagy magasabbra emelte, folytathatja az FFL emelésével.

GUI-val:

  1. Nyissa meg az Active Directory Domains and Trusts konzolt.
  2. Kattintson jobb gombbal az Active Directory Domains and Trusts gyökér elemre, majd válassza a Raise Forest Functional Level… (Erdő funkcionális szintjének emelése…) menüpontot.
  3. Válassza ki a kívánt funkcionális szintet a legördülő menüből.
  4. Kattintson a Raise (Emelés) gombra. Erősítse meg a műveletet a figyelmeztető üzenet elolvasása után.

PowerShell-lel:

Használja a Set-ADForestMode parancsmagot:

Set-ADForestMode -Identity "yourdomain.com" -ForestMode Windows2016Forest

(Cserélje ki a „yourdomain.com” értéket a tartomány nevére, és a „Windows2016Forest” értéket a kívánt szintre, pl. Windows2008R2Forest, Windows2012Forest, Windows2012R2Forest, Windows2016Forest, Windows2019Forest, Windows2022Forest.)

A funkcionális szint emelésének visszafordíthatatlansága

Ahogy korábban is említettük, a funkcionális szint emelése egyirányú folyamat. Amint egy tartomány vagy erdő funkcionális szintjét megemelték, nem lehet visszaváltani egy alacsonyabb szintre. Ezért rendkívül fontos a gondos tervezés és az összes előzetes ellenőrzés elvégzése. Ha valamilyen oknál fogva vissza kellene állítani egy alacsonyabb szintre, az csak egy korábbi, a szint emelése előtti rendszerállapot-mentés visszaállításával lehetséges, ami komoly adatvesztéssel járhat, ha a visszaállítás óta jelentős változások történtek az AD-ben.

Gyakori hibák és problémák a funkcionális szintekkel kapcsolatban

A funkcionális szintek emelése, bár viszonylag egyszerű folyamatnak tűnik, számos buktatót rejthet magában, ha nem kellő gondossággal végzik. A leggyakoribb hibák és problémák megértése segíthet elkerülni a kellemetlenségeket.

Nem replikáló tartományvezérlők

Az egyik leggyakoribb és legkritikusabb probléma a replikációs hibák megléte a tartományvezérlők között. Ha egy vagy több DC nem replikál megfelelően, az Active Directory adatbázis inkonzisztens állapotba kerülhet. Ilyen esetben a funkcionális szint emelése sikertelen lesz, vagy ami még rosszabb, hibás állapotba hozhatja az AD-t. Az emelés megkísérlése előtt feltétlenül meg kell győződni arról, hogy az összes DC online van, és a replikáció hibátlanul működik. A repadmin /showrepl és dcdiag parancsok kulcsfontosságúak ebben a fázisban.

Elavult tartományvezérlők

Ha egy tartományban vagy erdőben olyan tartományvezérlő van, amelynek operációs rendszere régebbi, mint az emelni kívánt funkcionális szint, az emelés sikertelen lesz. Például, ha Windows Server 2008 R2 DFL-re szeretnénk emelni, de van még egy Windows Server 2003-as DC a tartományban, a művelet nem hajtható végre. Az ilyen régi DC-ket vagy frissíteni kell (ami nem mindig lehetséges vagy praktikus), vagy elegánsan el kell távolítani a tartományból (decommissioning) még az emelés előtt. Ez a lépés különösen fontos, és gyakran elfelejtik, ami késlelteti a folyamatot.

Alkalmazás kompatibilitási problémák

Bár az Active Directory általában visszamenőlegesen kompatibilis, és a funkcionális szint emelése ritkán okoz problémát a legtöbb alkalmazás számára, bizonyos régi vagy speciális alkalmazások esetében felmerülhetnek kompatibilitási gondok. Különösen igaz ez azokra az alkalmazásokra, amelyek közvetlenül az Active Directory adatbázisával kommunikálnak, vagy speciális LDAP lekérdezéseket használnak, amelyek érzékenyek lehetnek az AD séma változásaira. Mindig javasolt a kritikus alkalmazások tesztelése egy tesztkörnyezetben, mielőtt élesben emelnék a funkcionális szintet.

Tervezés hiánya

A funkcionális szintek emelését nem szabad hirtelen, tervezés nélkül elvégezni. A megfelelő tervezés magában foglalja az előzetes ellenőrzéseket, a kockázatok felmérését, a visszaállítási tervek kidolgozását és a kommunikációt az érintett csapatokkal. A mentések hiánya, a nem ellenőrzött replikáció vagy a kompatibilitási tesztek elmaradása mind súlyos problémákhoz vezethet.

FSMO szerepkörök elhelyezkedése

Noha nem közvetlen hibaok, a FSMO szerepkörök (különösen a Schema Master és a Domain Naming Master) elhelyezkedése befolyásolhatja az emelési folyamatot, különösen, ha azokat nem egészséges DC-k futtatják. Bár a modern Windows Server verziókban ez kevésbé szigorú, érdemes meggyőződni arról, hogy a FSMO szerepkörök egészséges, jól replikáló tartományvezérlőkön vannak.

A visszafordíthatatlanság figyelmen kívül hagyása

A legfontosabb probléma, amire gyakran nem fordítanak kellő figyelmet, az, hogy a funkcionális szint emelése visszafordíthatatlan. Ha az emelés után valamilyen váratlan probléma merül fel, és vissza kellene térni egy alacsonyabb szintre, az csak egy teljes AD visszaállítással lehetséges a mentésből. Ez pedig potenciálisan adatvesztést jelenthet az utolsó mentés óta történt változások tekintetében. Ezért a mentés elengedhetetlen, és a folyamatot csak akkor szabad elkezdeni, ha minden lehetséges kockázatot felmértek és minimalizáltak.

Ezen problémák elkerülésével a funkcionális szintek emelése zökkenőmentesen és biztonságosan hajtható végre, lehetővé téve az Active Directory környezet modernizálását és a legújabb funkciók kihasználását.

A funkcionális szintek és az Active Directory jövője

Az Active Directory funkcionális szintek koncepciója az Active Directory kezdetétől, a Windows 2000 Server óta létezik, és alapvető fontosságú volt a címtárszolgáltatás fejlődésében és a visszamenőleges kompatibilitás fenntartásában. Azonban a technológiai környezet folyamatosan változik, és a felhőalapú megoldások, mint az Azure Active Directory (Azure AD), egyre nagyobb szerepet kapnak.

Cloud (Azure AD, Hybrid AD)

Az Active Directory funkcionális szintek elsősorban az on-premises (helyszíni) Active Directory környezetekre vonatkoznak. Azonban a hibrid identitáskezelés, ahol az on-premises AD és az Azure AD együttműködik (például az Azure AD Connect segítségével), egyre elterjedtebb. Ebben a hibrid modellben az on-premises AD funkcionális szintje továbbra is fontos marad, mivel ez határozza meg, hogy milyen funkciók érhetők el a helyszíni címtárban, amelyek aztán szinkronizálásra kerülnek a felhőbe.

Az Azure AD önmagában nem rendelkezik „funkcionális szintekkel” abban az értelemben, ahogyan az on-premises AD-ben megszoktuk. A felhőalapú szolgáltatások folyamatosan frissülnek és új funkciók válnak elérhetővé anélkül, hogy a felhasználóknak manuálisan kellene szinteket emelniük. Ez a „folyamatos kézbesítés” (continuous delivery) modellje, ami a felhő egyik alapvető előnye.

Azonban az on-premises AD funkcionális szintje továbbra is befolyásolja a hibrid környezetet. Például bizonyos fejlett Azure AD funkciók, mint a jelszó-visszaírás (password writeback) vagy a jelszó-hash szinkronizálás (password hash synchronization), megkövetelhetik, hogy az on-premises AD egy bizonyos minimális funkcionális szinten legyen, hogy megfelelően működjenek. A legújabb biztonsági funkciók és protokollok támogatása az on-premises AD-ben biztosítja a legbiztonságosabb és legkompatibilisebb hibrid környezetet.

Modernizáció, biztonság, menedzselhetőség

A funkcionális szintek emelésének alapvető célja a modernizáció. Ahogy a Windows Server operációs rendszerek fejlődnek, úgy fejlődnek az Active Directory képességei is. A magasabb funkcionális szintek általában:

  • Növelik a biztonságot: Erősebb titkosítási algoritmusok, fejlettebb hitelesítési mechanizmusok és a jogosultságok finomabb szabályozása segít megvédeni a címtárat a modern fenyegetések ellen.
  • Javítják a menedzselhetőséget: A funkciók, mint a Recycle Bin, vagy a PowerShell alapú adminisztráció, egyszerűsítik az adminisztrátorok munkáját és csökkentik a hibalehetőségeket.
  • Fokozzák a teljesítményt: A jobb replikációs mechanizmusok és az optimalizált címtárkezelés javíthatja az AD általános teljesítményét.

Ezek a tényezők továbbra is relevánsak maradnak, még a hibrid vagy felhőalapú környezetekben is, mivel az on-premises AD még sokáig a vállalati infrastruktúra gerince marad.

A funkcionális szintek relevanciája a jövőben

Bár a felhő terjedésével az Active Directory szerepe változik, az on-premises AD még hosszú ideig velünk marad. Számos vállalat továbbra is támaszkodik a helyszíni AD-re a kritikus alkalmazások, örökölt rendszerek és a hálózati erőforrások kezelésében. Ezért a funkcionális szintek megértése és megfelelő kezelése továbbra is alapvető rendszergazdai feladat marad.

A jövőben valószínűleg egyre nagyobb hangsúlyt kap a hibrid identitáskezelés, és az on-premises AD-nek képesnek kell lennie a felhőalapú szolgáltatásokkal való zökkenőmentes együttműködésre. Ennek egyik előfeltétele a megfelelő funkcionális szint fenntartása. A Microsoft folyamatosan fejleszti a Windows Server és az Active Directory képességeit, és amíg vannak on-premises tartományvezérlők, addig a funkcionális szintek is relevánsak maradnak, mint a címtárszolgáltatás modernizációjának és a legújabb funkciók bevezetésének mechanizmusa.

A rendszergazdáknak továbbra is naprakésznek kell lenniük a legújabb funkcionális szintekkel és azok előnyeivel kapcsolatban, hogy a lehető legbiztonságosabb, leghatékonyabb és legmodernebb Active Directory környezetet biztosíthassák szervezetük számára.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük