Mit dem neuen Update (voraussichtlich Anfang Dezember 2018) werden wir in unserem AD Sensor eine neue Prüfung einstellen, welche die Funktionsebenen (Functional Levels) überprüft. Warum diese Prüfung so wichtig ist, will ich in diesem kleinen Artikel kurz aufzeigen.

Der Level der Funktionsebenen in einer Gesamtstruktur (Forest) eines Active Directory bestimmt die Funktionen, die für einen Benutzer oder AD DS zur Verfügung stehen. Der Level einer Domäne (Domain) erweitert die Möglichkeiten und Sicherheit. 

Dieser Level sollte bestenfalls gleich des Betriebssystems sein auf den entsprechenden Domain-Controller (DCs).  Wer mehr darüber wissen will, findet dazu in der MSDN einige Artikel. Unabhängig von den eingeschränkten Funktionen,  für den AD DS , bedeutet eine Abweichung des Levels auch ein viel schwerwiegendes Problem. Eine Rücksicherung aus einer Backup Software (egal welche) ist nicht mehr möglich. Es kann durchaus sein, dass die Rücksicherung an sich funktioniert. Aber das Endergebnis ist mit hoher Wahrscheinlichkeit nicht funktional. Dies mussten wir leider selbst erfahren und haben uns dazu entschieden mit diesem neuen Feature, auch unsere Partner auf diese gefährliche Tatsache aufmerksam zu machen.

Active Directory - Funktionsebenen Ausgabe

In dem obigen Fall liegt eine sehr hohe Abweichung vor! Der AD-DS war also die ganze Zeit eingeschränkt auf die Funktionen, die Windows 2003 bietet, obwohl der DC bereits auf 2012 R2 setzt. Im Sensor haben wir uns dazu entschieden, Unterschiede größer einer OS Version zu alarmieren. Hier gilt es zu beachten, dass Windows 2012 R2 und Windows 2012 als zwei Level zählen. Ist also ein Betriebssystem von Windows 2016 installiert und das Level der Domäne/Gesamtstruktur entspricht Windows 2012, wird der Sensor in einen Alarmzustand wechseln.

Wollen Sie trotz aller möglichen Risiken den Alarm ignorieren, bieten wir dafür eine Einstellung im Sensor an. Wir können davon aber nur ausdrücklich aus den erwähnten Gründen abraten.

Active Directory - Ignorieren der Funktionsebenen

Anpassung der Ebene

Wie genau Sie die Level der Gesamtstruktur / Domäne erhöhen finden Sie in der MSDN beschrieben.

  • Starten sie das Programm „Active Directory-Domänen und -Vertrauensstellungen
  • Klicken Sie auf die entsprechende Domäne und wählen Sie „Domänenfunktionsebene heraufstufen
  • Klicken Sie auf die entsprechende Gesamtstruktur und wählen Sie „Gesamtstrukturfunktionsebene heraufstufen

Active Directory - Funktionsebene anpassen

Sie sollten sich aber unbedingt vorher im MSDN Artikel informieren, da es einige Punkte vor dem Anheben der Ebene zu beachten gibt.

Wir hoffen, dass Sie durch unseren Alarm in Server-Eye das Horrorszenario der nicht funktionalen Rücksicherung pro-aktiv vermeiden.

 

Active Directory – Funktionsebenen überprüft (Wichtig!!)
5 (100%) 1 vote[s]