Anasayfa
Neden Active Directory Domain ve Forest Functional Level Yükseltmeli? Upgrading the Domain or Forest Functional Level

Neden Active Directory Domain ve Forest Functional Level Yükseltmeli? Upgrading the Domain or Forest Functional Level

Active Directory 28 Eylül 2015 0

Sahip olduğunuz Active Directory ortamlarında kullandığınız FFL veya DFL, aslında sahip olduğunuz ürünlerin yeteneklerini doğrudan etkileyen bir ayardır. Verdiğim linkler üzerinden zaten daha detaylı bilgilere sahip olabilirsiniz. Benim bu kısa makalem ile sizler ile paylaşmak istediğim nokta malum Server 2003 veya siz bu yazıyı okurken belki Server 2008, 2012, 2016 hatta 2019′ un bile desteğinin bitmesi ile pek çok geçiş projesini yapıyor veya duyuyor olabilirsiniz. Bizde bunları yapan kişilerden birisiyiz aslında. Burada önemli nokta ise bu taşınma sonrasında DFL ve FFL 2003 veya benzer şekilde eski bir sürüm olarak bırakılıyor. Peki, 2003 olan bu iki seviyeyi 2012 R2, 2016, 2019, 2022 veya daha yüksek yapmak bize tam olarak ne katacak sorunu müşteri tarafında çok sık olarak duyuyoruz. Bende ITSTACK bünyesinde gerçekleştirmiş olduğum projelerde müşterilerim ile paylaştığım kısa özeti burada da sizler ile paylaşmak istiyorum.

Mevcut DFL ve FFL 2003 ise bunun 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 ve 2022 ye doğru çıkardığımız zaman hangi özelliklerin geldiğinin özeti aşağıdaki gibidir;

İlk olarak DFL yükseltildikçe neler geliyor ona bakalım;

DFL – 2008

Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL) – Malum SYSVOL replikasyonu önemli bir konu olup artık File Replication Service (FRS) 2012 ile beraber kullanılmıyor. 2008 geçişi ile ilk olarak sysvol replikasyonu için DFS desteği gelmektedir. Tabiki bu 2008 geçişi sonrası elle birkaç komut gereklidir geçiş için.

Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol – Network seviyesinde taşınan kerberos paketlerinin daha güvenli olmasını sağlar.

Last Interactive Logon Information – Kullanıcı tarafında son interaktif logon bilgisinde ek detaylar geliyor. Bu sayede daha fazla bilgi edinebiliyoruz.

Last Interactive Logon Information displays the following information:

  • The total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
  • The total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
  • The time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
  • The time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation

Fine-grained password policies – Bu konuda zaten çok kaynak olduğu için link veriyorum.

Personal Virtual Desktops – Personal Virtual Desktop tab in the User Account Properties dialog box in Active Directory Users and Computers – AD üzerinde Virtual Desktop için ek bir sekme geliyor

DFL – 2008 R2

Authentication mechanism assurance

Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes – MSA ile çalışan servis hesaplarının üzerinde koştuğu makine isimlerinin değişmesi durumunda SPN kayıtları da güncellenmesi desteği.

DFL – 2012

KDC support for claims, compound authentication, and Kerberos armoring

DFL – 2012 R2

DC-Side protections for Protected Users. Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:

  • Authenticate with NTLM authentication
  • Use DES or RC4 cipher suites in Kerberos pre-authentication
  • Be delegated with unconstrained or constrained delegation
  • Renew user tickets (TGTs) beyond the initial 4 hour lifetime

Authentication Policies

Authentication Policy Silos

Domain seviyesi bu kadar, peki Forest seviyesini yükseltirsek ne oluyor?

DFL 2016

  • DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. This configuration is also known as “Smart card required for interactive logon”
  • DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.
  • Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

DFL 2019

Herhangi bir yenilik içermemektedir.

DFL 2022

Herhangi bir yenilik içermemektedir.

FFL – 2008

Değişiklik Yok

FFL – 2008 R2

Active Directory Recycle Bin

FFL – 2012

Değişiklik Yok

FFL – 2012 R2

Değişiklik Yok

FFL – 2016

Privileged access management (PAM) using Microsoft Identity Manager (MIM)

FFL – 2019

Herhangi bir yenilik içermemektedir.

FFL – 2022

Herhangi bir yenilik içermemektedir.

Özetle 2016′ dan sonra aslında bir yenilik yok ancak Server 2025 ile yenilik yolda.

Umarım Faydalı bir doküman olmuştur.

Kaynak

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels

Önerilen

Yazar Hakkında

Hakan Uzuner Yazara E-posta