Active Directory Domain ve Forest Functional Levels Bölüm 1
Active Directory mimarisinde pek çok kez kullandığımız bu kavramları makalemde detaylandırmak istiyorum.
Malum sektörde yaygın olarak kullanılan bir ürün olan Active Directory için Domain Functional Level DFL ve Forest Functional Level FFL kavramları aslında kullandığınız directory yapısına ve yine şirket organizasyonunun büyüklüğü ile alakalıdır. Bu kavramları bilmeden hatta duymadan domain yöneten pek çok sistem yöneticisi gördüm. Bunun temel nedeni ilk kurulum ve geçişlerin dışında pek kullanılan ve değiştirilen kavramlar değildir. Durum böyle olunca da bilinen kavramlar olmaktan çıkıyor.
Peki, nedir FL kavramı?
Domain veya Forest seviyesindeki özelliklerin kullanılabilmesini sağlayan fonksiyon seviyeleridir. Microsoft her çıkardığı yeni server işletim sistemi için bir önceki sürüm ile uyumlu çalışması noktasında bir takım çalışmalar yapmaktadır. Bu bazen bir önceki sürümden öte en yaygın sürümde olabilmektedir.
Örneğin 2008, kendinden önceki sürüm olan 2003 ile çalışabilmekte iken, 2012 sürümü de benzer şekilde 2003 ile çalışabilmektedir. Aslında burada 2008 uyumu yeterli iken 2003 işletim sistemi hala çok yaygın kullanıldığı için desteklenmektedir.
Exchange Server içinde benzer bir durum vardır. En güncel sürüm olan 2013 sürümü 2010 ve 2007 yani kendinden önceki iki sürümü desteklerken 2003 ü desteklememektedir.
Özetle yeni çıkan bir sunucu işletim sistemi bir önceki sistem ile beraber çalışacak şekilde tasarlanır. Peki bu durumda yeni gelen teknolojiler nasıl kullanılır?
Örneğin 2008 R2 ile beraber Recycle Bin denilen çöp kutusu özelliği geldi. Bu özellik sayesinde directory den silinen bir objeyi yedekten geri dönmeden tüm öz nitelikleri ile kurtarabiliyoruz. Bu güzel ve yeni bir özellik. Ancak aynı 2008 R2, 2003 sistemleri ile çalışması gerekiyor.
Bu özellik için AD veri tabanında msDS-EnabledFeature öz niteliğinde değer olarak Recycle Bin Feature görmeliyiz.
Şimdi bu yukarıdaki değerlerden 2003 sistemi anlamaz, çünkü 2003 sistemi zamanında böyle özellikler yoktu.
Fonksiyon seviyeleri işte tam bu noktada devreye giriyor. Bu özelliğin çalışması için Microsoft der ki sizin FFL değerini 2008 R2 olmalı. Yani forest içerisindeki tüm domainlere hizmet veren en düşük Domain Controller işletim sistemi seviyesi 2008 R2 olmalıdır. Bunun da nedeni tahmin edebileceğiniz gibi 2008 R2 öncesi işletim sistemlerinde bu değerlerin desteklenmiyor olmasıdır. Bu nedenle tüm geçiş işlemlerinde hem DFL hem de FFL seviyeleri hep düşük gelir.
Örneğin 2003 kurulu bir ortamda DFL ve FFL 2003 olsun. Siz 2008 kurunca bu varsayılan olarak 2003 ortamına girer, ardından tüm 2003 DC leri kaldırdıktan sonra ise 2008 ile beraber gelen tüm yeni özellikleri kullanmak için DFL ve FFL seviyelerini 2008 e çıkarmanız gerekli.
Bu kavramları ilk defa duyuyorsanız bu aşamaya kadar temel bilgilendirmeleri yapmış oldum. Bu aşamadan sonra ise biraz şekil ile anlatıma devam edeceğim.
İlk olarak birkaç tablo ile mevcut DFL ve FFL için desteklenen Domain Controller OS sürümleri ve varsayılan kurulum ile gelen seviyeleri paylaşacağım.
Yukarıdaki tablo 2014 Yılı Ocak ayı itibari ile en güncel OS Server sürümü Windows Server 2012 R2 iken desteklenen DC OS listesidir.
Yani sizin DFL seviyeniz Server 2003 iken bu ortama bir Server 2012 R2 DC ekleyebilirsiniz. Ancak Server 2012 R2 DC de 2003 DFL seviyesinde çalışmaktadır. Yani Yeni özelliklerin çalışmasını beklemeyin J
Benzer şekilde DFL 2008 ise, Server 2008, 2008 R2, 2012 ve 2012 R2 DC olarak bu ortama eklenir. Burada önemli bir konu var. Genellikle Member makineler ile DC makineler birbirine karıştırılabiliyor.
Örneğin bir sistem Windows Server 2003 seviyesinde çalışıyor ( DFL ve FFL 2003 ). Siz 2008 R2 DC kurup, sonra 2003 DC leri kaldırıp DFL ve FFL yükseltme yaparsanız bu ortamdaki member olan 2003 sistemleri etkileyeceği anlamına gelmiyor. Özetle bu birlikte çalışma şartı sadece domain controller makineleri için geçeri olup member makineler için böyle bir uyum zorunluluğu yoktur ( Zorunluluk olmamasına rağmen eski işletim sistemleri için her daim bir takım kimlik doğrulama ve şifreleme tekniklerinde sorunlar olabilir )
Standart kurulumlara göre DFL ve FFL aşağıdaki gibidir;
Windows Server 2000
Windows 2000 native DFL – Windows 2000 FFL
Windows Server 2003
Windows 2000 native DFL – Windows 2000 FFL
Windows Server 2008
Windows 2000 native DFL – Windows 2000 FFL
Windows Server 2008 R2
Windows Server 2003 DFL – Windows Server 2003 FFL
Windows Server 2012
Windows Server 2012 DFL – Windows Server 2012 FFL
Windows Server 2012 R2
Windows Server 2012 R2 DFL – Windows Server 2012 R2 FFL
Peki, DFL ve FFL için yükseltme kavramları nedir?
Peki, her yeni fonksiyon seviyesi yeni bir yenilik mi demek? Hayır, her seviye bir yenilik demek değildir.
Bu konuda aşağıdaki adresi kullanarak gelen yenilikleri detaylı olarak inceleyebilirsiniz.
Understanding Active Directory Functional Levels | Microsoft Docs
Özetlemek gerekir ise, DFL ile mutlaka yeni bir takım özellikler geliyor, ancak FFL için aynısını söylemek mümkün değil.
2008, 2012 ve 2012 R2 FFL ile gelen herhangi bir yenili yok.
DFL ve FFL için yükseltme senaryolarından da bahsetmek istiyorum.
Örneğin siz 2003 olan bir sisteme 2008 yüklediniz, bu yüklemeler sonunda hala DFL ve FFL 2003 dur. Bunun temel sebebi, bir domain ve bir forest için FL belirleyen etken, en eski işletim sistemi sürümüdür.
Yukarıdaki gibi bir örnek düşünün. Bu bir forest içerisindeki bir domain yapısıdır. Bu domain’ i oluşturan iki domain controller makineden bir tanesi 2003, diğeri 2008 dir.
Bu domain için FL 2003, Forest için keza başka domain olmadığı için 2003 dür.
Siz eğer DFL ve FFL yapısını 2008 e yükseltmek ve bu sayede directory tarafında gelen yenilikleri kullanmak istiyorsanız öncelikle 2008 DFL ve FFL OS gereksinimlerini yerine getirmeliyiz.
Yukarıdaki tablodan gördüğümüz gibi 2008 DFL veya FFL için desteklenen domain controller OS sürümü minimum 2008 dir. 2008, 2008 R2, 2012 ve 2012 R2 olabilir.
Bu durumda eski 2003 ü kaldırmamız gerekiyor. Bu kaldırma sürecinden sonra artık DFL ve FFL yükseltebiliriz.
Bu yükseltme sonrasında ise artık 2008 sürümünün getirdiği yenilikleri kullanabiliriz.
Peki, yükseltme işlemi yapılabildiği gibi, düşürme işlemi de yapılabilir mi?
Evet ama bazı durumlarda. Öncelikle hemen şu bilgiyi vermek isterim. Windows Server 2008 öncesi sistemler için böyle bir özellik yoktur. Yani DFL veya FFL bir kere üst seviyeye çıkarıldı mı geri dönüşü yoktur. Hemen aklınıza neden geri dönüşü olsun ki sorusu gelebilir. Zaten amacımız yeni sistemleri kullanmak değil mi? Tabiki, sadece bazı istisna durumlar için eski sürüm OS DC lazım olması durumunda gerekebilir.
Çünkü yukarıdaki örnekte olduğu gibi 2003 DC kaldır, sonra ortamı komple 2008 yap, bunun ardından tekrar 2003 ekle, bu olmaz işte. Yani böyle bir durum için FL düşürme ihtiyacı olabilir.
Domain için yukarıda örnek vermiştim. Forest için ise aşağıdaki örneği verebiliriz.
Yukarıda gördüğünüz gibi bir forest içerisinde 3 tane domain yer almaktadır.
Bu domainler için cozumpark.loca DFL 2003, makale.cozumpark.local child domain için DFL 2008 ve tree olan hakanuzuner.local için ise 2012 dir.
Bu durumda forest Functional level nedir? 2003 dür, çünkü forest tüm domainleri kapsadığı için en düşük seviye otomatik olarak FFL seviyesidir. Eğer forest seviyesini yükseltmek istiyorsanız bu durumda 2003 olan domain i 2012, 2008 olan domain i de 2012 yapmanız gerekmektedir.
Peki, buraya kadar hep kavramsal konulara değindik, gelelim bu işlemleri nasıl yapacağımıza?
Bunu da makalemin teknik ağırlıklı demo yapacağım ikinci bölümüne sakladım.
Makalemin ikinci bölümü için aşağıdaki linki kullanabilirsiniz
Active Directory Domain ve Forest Functional Levels Bölüm 2 – ÇözümPark (cozumpark.com)