Bundesamt für Sicherheit in der Informationstechnik

G 2.156 Kompatibilitätsprobleme beim Anheben der Active Directory-Funktionsebene

Das Active Directory, beziehungsweise seit Windows Server 2008 die Active Directory Domänenservices (AD DS), unterstützen verschiedene Funktionsebenen ("AD functional level") für Domäne und Gesamtstruktur ("Forest").

Die Funktionsebenen entsprechen dem Funktionsumfang der jeweiligen Betriebssystemversionen und ermöglichen "gemischte" Domänen, beispielsweise mit Windows Server 2003- und 2008-Domänencontroller.

Der Wechsel auf eine höhere Funktionsebene wird für Windows Server 2008 in zwei Schritten durchgeführt:

  • Erweiterung des AD-Schemas vor der Aufnahme eines Windows Server 2008 als Domänencontroller (mit Hilfe von adprep)
  • Heraufstufen der Domänenfunktionsebene beziehungsweise der Gesamtstrukturfunktionsebene ("forest functional level") nach Umstellung aller Domänencontroller (mit Hilfe von domprep).

Kompatibilitätsprobleme können bei beiden Schritten auftreten, vor allem aber beim zweiten Schritt. Beide Schritte können nicht rückgängig gemacht werden, es ist kein Rollback möglich. Das Wiedereinspielen einer Datensicherung ist ebenfalls nicht zu empfehlen, da alle Domänencontroller betroffen sind (siehe auch M 6.108 Datensicherung für Domänen-Controller ).

Oft tauchen Probleme erst im Produktivbetrieb auf, da Testumgebungen meist nicht die volle Komplexität einer gewachsenen AD-Struktur abbilden können.

Kompatibilitätsprobleme betreffen häufig auch Nicht-Windows-Systeme und Anwendungen, die an den AD-Service angebunden sind. Das können LDAP -Schnittstellen mit eigenen Schema-Erweiterungen sein, z. B.

  • Telefonanlagen, CTI- oder UM-Dienste,
  • Samba-Server und eingebettete Samba-Server in NAS oder SAN-Systemen und
  • Schnittstellen auf Unix/Linux-basierten Web-Services.

Als Folge können bei der AD-Integration Fehlfunktionen auftreten, die diese Services dauerhaft stören können.

Stand: 13. EL Stand 2013