Bu makalemde sizelere danışmanlık verdiğim ortamlarda sıklıkla Domain Controller kurulum işlemlerinde planlamasının ve kurulumunun yanlış yapıldığını gördüğüm Functional Level kavramından, ne olduğundan ve nasıl kullanılması gerektiğinden bahsediyor olacağım. Makalem, konunun anlaşılması için birkaç değişik senaryodan oluşacak olup, bu içerikte bahsedilmemiş farklı senaryolar için de ışık tutması ve bir fikir vermesi amaçlanmaktadır. Bu makalenin asıl amacı; Domain ortamını ilk kez kurarken, Windows Server işletim sistemi seviyenize göre fonksiyonellik seviyelerinin ne olacağı ve nasıl planlanması gerektiği ve mevcut Domain ortamlarında fonksiyonellik seviyelerinin, ortama dahil edeceğiniz en yeni işletim sistemine sahip olan Domain Controller'lara göre, yönetimini nasıl yapacağınızdır.
Active Directory (AD) yönetiminde karşılaşılan önemli kavramlardan biri olan Forest Functional Level (FFL) ve Domain Functional Level (DFL), AD'nin çeşitli işlevlerini ve yeteneklerini belirleyen kritik seviyelerdir. Bu seviyeler, Active Directory ortamındaki sunucuların işletim sistemi sürümlerine ve sağladıkları özelliklere göre değişiklik gösterir. Microsoft, piyasaya sürüldüğü her yeni nesil Server işletim sistemine ek fonksiyonellik; yani daha güçlü, daha kullanışlı özellikler eklemektedir. Microsoft, aynı zamanda yeni nesil işletim sistemlerininin geriye dönük uyumlu çalışmasını da istemektedir. Bu fonksiyonellik seviyeleri, o yapı üzerinde hangi gelişmiş özelliklerin yer alıcağını belirlemektedir. Ör. Farklı kullanıcı ve gruplar için Password Policy ayarları yapabilmenize olanak sağlayan Fine Grained Password Policy, Windows Server 2008 ile birlikte kullanıma sunuldu. Eğer ortamınızda bu işletim sistemi versiyonundan daha eski bir Domain Controller bulunuyorsa, bu özelliği kullanmanız mümkün değildir.
Başka bir örnekte ise Active Directory'de silinen nesnelerin geri kurtarılması (Restore Deleted Objects) işlemine olanak sağlayan Recycle Bin, Windows Server 2008R2 ile birlikte kullanıma sunuldu. Eğer ortamınızda bu işletim sistemi versiyonundan daha eski bir Domain Contoller bulunuyorsa, bu özelliği kullanmanız mümkün değildir.
Functinal Level'lar, piyasaya sürülen yeni versiyon Windows Server'ların ek özelliklerini kullanabileceğiniz anlamına geldiği gibi, aynı zamanda da ortamınızda kullanabileceğiniz Domain Controller'ların hangi versiyonda olabileğini belirleyen unsurlardır. Burada seviyeyi belirleyen etken, en eski işletim sistemine sahip olan Domain Controller'dır. Örneğin, Domain ortamınızı Windows Server 2012 R2 Windows Server işletim sistemli bir Primary Domain Controller ile kurduğunuzu ve fonksiyonellik seviyelerinin de yine bu işletim sistemi seviyesinin en yüksek seviyesi olan Windows Server 2012 R2 olduğunu varsayarsak, Forest ortamınızda Windows Server 2012 R2'nin getirdiği fonksiyonellik özelliklerinden faydanlabilirsiniz. Ancak bunun üstü seviyelerde kurduğunuz Windows Server işletim sistemli Additional Domain Controller'lar da Domain ortamınızı kurduğunuz ilk Windows Server işletim sistemli Primary Domain Controller'ın Fonksiyonellik seviyelerine sahip olacaktır. Bu nedenle, Ör. Ortamınıza Windows Server 2016 işletim sistemi versiyounlu bir Additional Domain Controller kurduğunuzu ve Domain Controller Migration operasyonu gerçekleştirdiğinizi düşünürsek; geçişin tamamlanmasının ardından, Windows Server 2016'ın getirdiği fonksiyonellik özelliklerinden faydanlabilmek için Functional Level Raise etme işlemleri yapılandırılmalıdır.
Öncelikle, Forest Functional Level ve Domain Functional Level kavramlarının ne anlama geldiğine bakalım.
Forest Functional Level (FFL)
Forest Functional Level, bir Active Directory ormanındaki tüm etki alanlarının kullanabileceği en yüksek işlevsellik düzeyini belirler. Bu seviye, ormandaki tüm etki alanlarının en düşük Domain Functional Level seviyesine bağlıdır. Örneğin, bir ormanda Windows Server 2016 FFL kullanmak istiyorsanız, tüm etki alanlarının en az Windows Server 2016 DFL seviyesinde olması gerekir. Forest Functional Level, Active Directory replikasyonu, Global Catalog, ve Forest Trust gibi orman genelindeki özellikleri etkiler.
Domain Functional Level (DFL)
Domain Functional Level, bir Active Directory etki alanındaki işlevsellik düzeyini belirler. Bu seviye, etki alanında kullanılan en düşük işletim sistemi sürümüne bağlıdır. DFL, etki alanı içindeki kullanıcı ve grup hesaplarının, güvenlik politikalarının ve diğer etki alanı tabanlı özelliklerin nasıl yönetileceğini belirler. Örneğin, Windows Server 2012 DFL seviyesinde olan bir etki alanı, bu seviyeye özgü özellikleri destekler ve kullanabilir.
Bu seviyeler, Active Directory'nin çeşitli özelliklerinin etkinleştirilmesini veya devre dışı bırakılmasını sağlar. Örneğin, daha yüksek bir FFL veya DFL seçmek, daha yeni özelliklerin kullanılmasına olanak tanır, ancak bu, tüm Domain Controller'ların (DC) bu seviyeyi destekleyen işletim sistemi sürümlerine yükseltilmesini gerektirir.
Peki, Forest Functional Level ve Domain Functional Level'ların yükseltilmesinin getirdiği faydalar nelerdir?
1- Yeni Özellikler ve İyileştirmeler: Her yeni Functional Level, Active Directory'ye yeni özellikler ve iyileştirmeler getirir. Örneğin, Windows Server 2016 DFL, Windows Server 2008 DFL'ye göre daha gelişmiş güvenlik ve yönetim özelliklerine sahiptir.
2- Gelişmiş Güvenlik: Yeni Functional Level'lar, genellikle daha güçlü güvenlik protokolleri ve politikaları içerir. Bu, özellikle büyük ve karmaşık ağ yapılarında güvenlik risklerini azaltmaya yardımcı olur.
3- Performans Artışları: Yeni seviyeler, genellikle daha iyi performans ve verimlilik sağlar. Bu, özellikle büyük organizasyonlarda Active Directory'nin daha hızlı ve daha etkili çalışmasına olanak tanır.
4- Uyumluluk ve Destek: Yeni Functional Level'lar, genellikle en son yazılım ve donanım uyumluluğunu garanti eder. Bu, yeni teknolojilere geçişte sorunsuz bir entegrasyon sağlar.
Özetle, Forest Functional Level ve Domain Functional Level, Active Directory yönetiminde kritik öneme sahip seviyelerdir. Bu seviyelerin doğru bir şekilde belirlenmesi ve yönetilmesi, Active Directory'nin işlevselliğini, güvenliğini ve performansını doğrudan etkiler. Bu nedenle bu kavramların iyi anlaması ve uygun şekilde yönetmesi, büyük önem taşır.
Functional Level Yükseltme İşleminde Dikkat Edilecekler
Forest Functional Level ya da Domain Functional Level seviyelerinin yükseltilmesi, Forest ya da Domain ortamındaki en düşük seviyeli işletim sistemi versiyonlu Domain Controller'lar ortamdan kaldırılmadan mümkün olmamaktadır! Buna göre, Functional Level Raise etme işleminden önce mutlaka Windows Server 2012R2 işletim sistemli Domain Controller'lar ortamdan Demote edilerek kaldırılmalıdır. Demote işleminden önce de FSMO rolleri, Windows Server 2016 işletim sistemli Domain Controller'a transfer edilmelidir. Bu işleme de Domain Controller Migration denmektedir.
Buna göre yukarıda bahsettiğim işlemleri yapmadan Domain Functional Level'ı yükseltmeye kalktığınız takdirde;
"You cannot Raise the Domain Functional Level because this Domain includes Active Directory Domain Controllers that are not running the appropriate version of Windows. - Forest Functional Level'ı yükseltemezsiniz. Çünkü Forest, uygun olmayan bir Windows versiyonu üzerinde çalışan Active Directory Domain Controller'lar barındırıyor"
hatasını alırsınız.
Hatanın sebebi, Domain ortamında Windows Server 2016 işletim sistemi seviyesinden daha düşük seviyede olan Windows Server 2012 R2 işletim sistemi seviyeli bir Domain Controller olmasıdır. Windows Server 2012 R2 işletim sistemi seviyesine sahip bu Domain Controller'ı Demote işlemine tabi tutulup, Domain ortamından kaldırılmadan, Domain bazında Raise etme işlemi yapılamayacaktır.
Forest Functional Level'ı yükseltmeye kalktığınız takdirde;
You cannot Raise the Forest Functional Level. Either Forest includes Active Directory Domain Controllers that are not running the appropriate version of Windows, or one or more Domains are still at Windows 2000 mixed Functional Level.
Forest Functional Level'ı yükseltemezsiniz. Forest, ya uygun olmayan bir Windows versiyonu üzerinde çalışan Active Directory Domain Controller'lar barındırıyor ya da Domain'lerden biri ya da daha fazlası hala Windows 2000 mixed Functional Level seviyesinde.
hatasını alırsınız.
Hatanın sebebi, Forest ortamında Windows Server 2016 işletim sistemi seviyesinden daha düşük seviyede olan Windows Server 2012 R2 işletim sistemi seviyeli bir Domain Controller olmasıdır.
Raise etme işlemi, Windows Server 2012 R2 işletim sistemi seviyeli bu Domain Controller, Demote işlemine tabi tutulup, Forest ortamından kaldırılmadan, Forest bazında Raise etme işlemi yapılamayacaktır.
Domain Functional Level (DFL) ve Forest Functional Level (FFL) Seviyelerini Kontrol Etme
Domain Controller Migration işlemini yapmadan önce DFL ve FFL seviyelerim Windows Server 2012 R2 idi. DC Migration işlemi tamamlandıktan sonra Active Directory Demote etme işlemini uygulayarak, ortamımdaki Windows Server 2012 R2 işletim sistemli tüm DC'leri kaldırdım. Sonuç olarak; Forest ortamımda ve dolayısı ile de Domain ortamımda Windows Server 2012 R2 işletim sistemli DC olmadığı için, DFL ve FFL seviyelerini yükseltme işlemini gerçekleştirebilirim.
1- DFL ve FFL seviyelerini yükseltme işlemini, Active Directory Domains and Trusts bölümünden yapacağım. Active Directory Domains and Trusts'ı açıyorum. Burada öncelikle Domain'imin firaboyan.com olduğunu görüyorum. Aynı anda da CMD ekranında nltest /dsgetdc:firatboyan.com komutu ile Domain ortamımla ilgili özet bir bilgi çekiyorum. CMD ekranındaki bilgilere göre; DC: SRV001B.firaboyan.com Domain Controller, Migration işlemi yaptığım Windows Server 2016 işletim sistemli Domain Controller'dır.
2- Active Directory Domains and Trusts üzerinde, firatboyan.com Domain üzerinde sağ tıklayarak, Properties seçeneğini seçiyorum.
3- Domain (firatboyan.com) Properties penceresi açıldığında, karşımıza çıkan pencerede DFL ve FFL seviyelerinin migration öncesi durumda yani Windows Server 2012 R2 olduğunu görüyorum.
4- DFL ve FFL seviyelerinin kontrolü, Active Directory Domains and Trusts haricinde, Powershell komutları ile de yapılabilmektedir.
4.1- Aşağıdaki komut, Domain Functional Level sonucunu döndürür.
|
Get-ADDomain –identit firatboyan.com |
4.2- Aşağıdaki komut, Forest Functional Level sonucunu döndürür.
|
Get-ADForest –identit firatboyan.com |
5- DFL ve FFL seviyelerinin diğer Powershell komutları ile kontrolü
5.1- Aşağıdaki komut, Domain Functional Level bilgisi dahil olmak üzere Domain ile ilgili detaylı bilgi içeren sonuç döndürür.
|
Get-ADDomain | fl Name,DomainMode |
5.2- Aşağıdaki komut, Forest Functional Level bilgisi dahil olmak üzere Domain ile ilgili detaylı bilgi içeren sonuç döndürür.
|
Get-ADForest | fl Name,ForestMode |
Domain Functional Level(DFL) ve Forest Functional Level(FFL) Raise Etme - Yükseltme
DFL ve FFL Seviyelerini sontrol etme işlemini tamamladıktan sonra sıra, DFL ve FFL seviyelerini Raise etme yani yükseltme işlemini yapmaya geldi.
1- Öncelikle Domain Functional Level-DFL seviyesini yükselteceğim. Bunun için, Active Directory Domains and Trusts'ı açıyorum. firatboyan.com Domain'i üzerinde sağ tıklayarak Raise Domain Functional Level... seçeneğini seçiyorum.
2- Karşıma gelen Raise Domain Functional Level penceresinde Current Domain Functional Level seviyesinin Windows Server 2012 R2 olduğunu görüyorum. Alt kısımdaki select an available Domain functional level seçeneğinde, Windows Server 2016'yı seçip, Raise butonuna basıyorum.
2.1- Karşıma gelen pencerece "This change affects the entire domain. After you raise the domain functional level, it is possible that you might be able to reverse it. - Yapılacak değişik tüm domain'i etkileyecektir. Yükseltme işlemi yaptıktan sonra işlemin geri alamayabilirsiniz." uyarısında bulunuyor. OK butonuna tıklayıp, yükseltme (Raise etme) işlemini onaylıyorum.
2.2- Yükseltme işlemininin başarılı bir şekilde tamamlandığı bilgisini alıyorum. Karşıma çıkan pencerede ise, "The functional level was raised successfully. The new functional level will now replicate to each Active Directory Domain Controller in the domain. The amount of time this will take varies, depending on your replication topology. - functional level başarıyla yükseltildi. Yeni functional level, domain ortamındaki tüm Domain Controller'larla replike edilecektir. Bu işlem için gerekli olan süre, replikasyon topolojinize bağlı olarak değişecektir." bilgisi iletilmektedir. OK butonuna basarak bilgilendirme penceresini kapatıyorum.
3- firatboyan.com Properties penceresini tekrar açıyor, Domain Functional Level seviyesinin Windows Server 2016 olarak değiştiğini görüyorum.
4- İkinci aşamada da Forest Functional Level-FFL seviyesini yükselteceğim. Bunun için yine Active Directory Domains and Trusts'ı açıyorum. firatboyan.com Domain'i üzerindeki Active Directory Domains and Trusts üzerinde sağ tıklayarak Raise Forest Functional Level... seçeneğini seçiyorum.
5- Karşıma gelen Raise Forest Functional Level penceresinde Current Forest Functional Level seviyesinin Windows Server 2012 R2 olduğunu görüyorum. Alt kısımdaki select an available Domain Functional Level seçeneğinde, Windows Server 2016'yı seçip, Raise butonuna basıyorum.
6.1- Karşıma gelen pencerece "Yapılacak değişikliğin tüm Forest'ı etkileyeceğini, yükseltme işlemini yaptıktan sonra işlemin geri alınamayabileceği" uyarısında bulunuyor. OK butonuna tıklayıp, yükseltme (Raise etme) işlemini onaylıyorum.
6.2- Forest Functional Level yükseltme işlemininin başarılı bir şekilde tamamlandığı bilgisini alıyorum. Karşıma çıkan pencerede ise, "Functinal level yükseltme işleminin başarılı bir şekilde gerçekleştiği, yeni Functional Level seviyesinin, Forest içindeki Active Directory Domain Controller'da replike olacağının ve bu replikasyon işlem süresinin de toplojimizin yapısına göre değişiklik göstereceği" bilgisi iletilmektedir.
7- firatboyan.com Properties penceresini tekrar açıyor, Forest Functional Level seviyesinin Windows Server 2016 olarak değiştiğini görüyorum.
Yükseltme Sonrası DFL ve FFL Seviyelerini Kontrol Etme
7.1- Aşağıdaki komut ile Domain Functional Level seviyesini kontrol ediyor, DFL seviyesinin Windows Server 2016 olduğunu görüyorum.
|
Get-ADDomain –identit firatboyan.com |
7.2- Aşağıdaki komut ile Domain Functional Level seviyesini kontrol ediyor, DFL seviyesinin Windows Server 2016 olduğunu görüyorum.
|
Get-ADForest –identit firatboyan.com |
8- Aşağıdaki komut ile yeni Domain Functional Level bilgisi dahil olmak üzere Domain ile ilgili detaylı bilgi içeren sonucunu görüntülüyorum.
|
Get-ADDomain | fl Name,DomainMode |
9- Aşağıdaki komut ile yeni Domain Functional Level bilgisi dahil olmak üzere Domain ile ilgili detaylı bilgi içeren sonucunu görüntülüyorum.
|
Get-ADForest | fl Name,ForestMode |
Domain Functional Level ve Forest Functional Level seviyelerinin yükseltme işlemi başarılı bir şekilde tamamlanmıştır. Yapılan işlemler sonucunda FFL ve DFL seviyeleri artık Windows Server 2016 olmuştur.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.