Tipps

AD Domänenfunktionsebene und Forestfunktionsebene - Bedeutung und Best Practices

Die Active Directory Domänen-Funktionsebene (Domain Functional Level, DFL) und die Forest-Funktionsebene (Forest Functional Level) sind zwei Begriffe, die oft missverstanden werden. Ich werde hier versuchen, ein wenig Licht ins Dunkel zu bringen.
Die Funktionsebene einer Domäne bzw. eines Forest bestimmt, welche AD-Funktionen genutzt werden können. Mit jeder neuen Version von Windows wurden auch neue AD-Funktionalitäten implementiert, von denen einige durch eine Schemaerweiterung aktiviert werden können, während andere voraussetzen, dass alle Domänencontroller des AD sich auf dem gleichen oder einem höheren Betriebssystemstand befinden. Um sicherzustellen, dass alte und neue DCs miteinander kommunizieren können, muss das System sich auf den kleinsten gemeinsamen Nenner einigen. Daher werden neue Funktionen nicht automatisch freigeschaltet, sondern müssen nach dem Herunterstufen aller alten Domänencontroller manuell aktiviert werden. Dabei unterscheidet man zwischen der Funktionsebene einer einzelnen Domäne - um sie zu ändern, müssen alle Domänencontroller der Domäne auf dem gleichen minimalen Stand sein - und der Funktionsebene des Forest, für dessen Änderung alle Domänencontroller des Forest (also alle Domänen) den Versionsstand erreicht haben müssen, der aktiviert werden soll. Um die aktuellen Funktionsebenen abzufragen, öffnen Sie auf einem Computer, auf dem die AD-Verwaltungstools installiert sind, eine Powershell-Konsole und geben folgende Befehle ein:

(Get-ADDomain).DomainMode
(Get-ADForest).ForestMode

Um sich alle Domänencontroller Ihrer Domäne mit Betriebssystemversion ausgeben zu lassen, verwenden Sie

Get-ADDomainController -Filter * | Select-Object Hostname,Operatingsystem

Für alle Domänencontroller aller Domänen verwenden Sie

(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ } | Select-Object Domain,Hostname,Operatingsystem

Bei den Funktionsebenen handelt es sich um Funktionen, die den Betrieb des AD betreffen. Clients und Mitgliedsserver sind für die Funktionsebenen völlig unerheblich. Wenn Sie also eine Domäne von der 2008er Funktionsebene auf die 2016er-Funktionsebene heraufstufen wollen, müssen alle Domänencontroller unter Windows Server 2016 laufen. Eine Domäne kann vorher nicht heraufgestuft werden! Dabei ist es völlig unerheblich, welche Betriebssystemversion Ihre Clients oder Mitgliedsserver haben. Die können also auf allen übrigen Rechnern noch Windows XP und Windows Server 2003 R2 betreiben, auf Ihre Betriebsfähigkeit hat die Funktionsebene keinen Einfluss. Ich zitiere an dieser Stelle Microsoft:

The answer to the question about the impact of changing the Domain or Forest Functional Level is there should be no impact. If you still have concerns about any third party applications, then you should contact the vendor to find out if they tested the product at the proposed Level, and if so, with what result. The general expectation, however, should be that nothing will change.
https://blogs.technet.microsoft.com/askds/2011/06/14/what-is-the-impact-of-upgrading-the-domain-or-forest-functional-level/

Selten kann es zu Problemen mit Linux-Clients kommen, wenn man die Domäne immer noch im 2003er-Modus betreibt und auf 2008 oder höher wechselt - mit dem Wechsel wird der Kerberos Verschlüsselungsalgorithmus von 3DES auf AES umgestellt. Das Kerberos-Ticket muss dann eventuell neu erstellt werden, was durch einen Neustart des Dienstes (Demons) behoben werden kann. Auch hierzu ein Zitat von Microsoft:

I have not seen any issues with Windows systems, but I have seen issues with Unix/Linux systems that use 3rd party AD integration software. In that case simply recycling the daemon fixed the issue since this caused the application to retrieve new Kerberos tickets.
https://blogs.technet.microsoft.com/askpfeplat/2012/04/09/a-few-things-you-should-know-about-raising-the-dfl-andor-ffl-to-windows-server-2008-r2/

Mehr zur Kerberos-AES-Unterstützung finden Sie unter https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-vista/cc749438(v=ws.10)

Außerdem kann es beim Upgrade von der 2003er-Funktionsebene zu Problem mit .NET Applikationen kommen, die die DomainEnumeration-Funktion aus dem .NET-Frameworks 3.51 SP1 oder älter verwenden und die Fehlermeldung „The requested mode is invalid“ beim Verbinden mit der Domäne werfen. Hierfür gibt es einen Fix von Microsoft:
https://support.microsoft.com/en-us/help/2260240/fix-the-requested-mode-is-invalid-error-message-when-you-run-a-managed
Dieses Problem sollte inzwischen aber eigentlich nicht mehr auftreten, da selbst Server 2008 inzwischen 10 Jahre alt ist.

Wenn Sie sich fragen, warum Sie denn die Funktionsebene heraufstufen sollen, da bei Ihnen alles prima funktioniert – es gibt mindestens einen guten Grund, denn mit der 2008er-Funktionsebene hat Microsoft den Dateireplikationsmodus der Domänencontroller, über dessen Mechanismus die Gruppenrichtlinien und Anmeldeskripte repliziert werden, von FRS (File-Replication-Service) auf DFS-R (Distributed File Service Replication) umgestellt. Seit Windows Server 2012 R2 und Windows Server 2016 ist FRS jetzt abgekündigt, seit Windows Server 2016, Version 1709 wird es nicht mehr unterstützt. Wenn Sie also den ersten 2019er-Server in Ihre Umgebung aufnehmen wollen, werden Sie auf DFS-R (und damit den 2008er-Modus) umstellen müssen. Davon ab ist der DFS-R Replikationsmechanismus deutlich weniger fehleranfällig und performanter als der FRS-Modus. Eine Anleitung für die Umstellung finden Sie bei  Microsoft unter https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

Der ganze Prozess ist dabei relativ wenig aufwändig. Die notwendige Zeit hängt dabei primär von Ihren Replikationsintervallen ab. Kurz zusammengefasst aktivieren Sie die DFS-R Replikation zuerst parallel in einen zusätzlichen Ordner, prüfen die zuverlässige Replikation und schalten die FRS-Replikation dann endgültig ab.

Ab Windows Server 2008 R2 können sowohl Forest- als auch Domänenfunktionseben wieder heruntergestuft werden, solange der AD-Papierkorb nicht aktiviert wurde. Er ist ein Showstopper, da der Papierkorb nicht wieder deaktiviert werden kann. Außerdem achten Sie darauf, dass der Forestfunktionalitätsmodus immer die minimal mögliche Version des Domänenfunktionsmodus darstellt, oder anders herum gesagt müssen immer erst alle Domänen angehoben worden sein, bevor Sie den Forest hochstufen können – und das gilt natürlich beim Rollback genauso.

Eine Auflistung aller Funktionsebenen, der neuen Features und der Rollback-Möglichkeiten finden Sie unter https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc754918(v%3dws.10)

Zum Herauf- und Herunterstufen verwenden Sie die Cmdlets Set-ADDomainMode und Set-ADForestmode.

Set-ADDomainMode -Identity fabrikam.com -DomainMode Windows2008R2Domain
Set-ADForestMode -Identity fabrikam.com -ForestMode Windows2003Forest

Alternativ können Sie auch AD-Benutzer und Computer bzw. AD Domänen-und Vertrauensstellungen zum Heraufstufen benutzen.
Eine ausführliche Beschreibung zum Heraufstufen der Funktionsebene finden Sie auch unter
https://support.microsoft.com/en-us/help/322692/how-to-raise-active-directory-domain-and-forest-functional-levels


 50,    10  Jul  2018 ,   Tipp
Holger Voges

  E-Mail Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Holger Voges ist Inhaber der Firma Netz-Weise IT-Training und seit 1999 als Trainer und Consultant tätig. Als Allrounder in den Bereichen Windows Server, Active Directory, SQL Server, Hyper-V und Windows PowerShell, hat er in der Vergangenheit zahlreiche Einsätze als Consultant in namenhaften Firmen absolviert und so neben der Theorie auch umfangreiche praktische Erfahrungen gesammelt.

 

Netz-Weise

Das Haupt-Tätigkeitsfeld von Netz-Weise sind Schulungen für Profis. Bei uns bekommen Sie das Programm für den fortgeschrittenen Praktiker, der die Tiefen des Systems ausloten möchte genauso wie Standard-Schulungen.

So erreichen Sie uns:

Netz-Weise
IT-Training und Beratung
Freundallee 13a
30173 Hannover
 
Tel: (0511) 165 925-0
Fax: (0511) 165 925-99
email: info(at)netz-weise.de
 

Newsletter bestellen

Das Wichtigste kompakt ins E-Mailfach!