Глава 50. Функциональные уровни и схема каталога

⁠Глава 50. Функциональные уровни и схема каталога

Функциональные уровни домена и леса определяют набор доступных возможностей в среде каталога. Каждому функциональному уровню соответствует определённая версия схемы каталога (schema version), которая, в свою очередь, связана с версией Windows Server.

Схема каталога — это фундаментальная часть каталога, содержащая определения классов и атрибутов, на основе которых создаются объекты (пользователи, группы, компьютеры и т.д.):

каждое расширение схемы добавляет новые возможности каталога;
схема едина для всего леса и реплицируется на все контроллеры домена;
версия схемы определяется значением атрибута objectVersion объекта CN=Schema,CN=Configuration.

Версия схемы, как правило, соответствует минимальной версии Windows Server, начиная с которой поддерживаются новые функции. Альт Домен использует те же версии схемы для совместимости с инфраструктурой Windows.

⁠

Таблица 50.1. Соответствие версии схемы, функционального уровня и Windows Server

Windows Server	Schema Version	Domain Function Level (DFL)	Forest Function Level (FFL)
Windows 2000	13	2000	2000
Windows Server 2003	30	2003 / 2003 R2	2003 / 2003 R2
Windows Server 2008	44	2008	2008
Windows Server 2008 R2	47	2008 R2	2008 R2
Windows Server 2012	56	2012	2012
Windows Server 2012 R2	69	2012 R2	2012 R2
Windows Server 2016	87	2016	2016
Windows Server 2019	88	2016	2016
Windows Server 2022	88	2016	2016

Примечание

Начиная с Windows Server 2016, Microsoft прекратила ввод новых функциональных уровней домена и леса. Новые функции теперь зависят от версии схемы, а не от повышения DFL/FFL.

Альт Домен поставляется со схемой версии 88, соответствующей Windows Server 2019/2022. Текущая версия схемы фиксируется в атрибуте objectVersion объекта CN=Schema,CN=Configuration.

Получить текущую версию схемы можно, выполнив на контроллере домена команду:

# ldbsearch -H /var/lib/samba/private/sam.ldb \
    -b "CN=Schema,CN=Configuration,DC=test,DC=alt" \
    -s base objectVersion

Пример вывода:

# record 1
dn: CN=Schema,CN=Configuration,DC=test,DC=alt
objectVersion: 88

# returned 1 records
# 1 entries
# 0 referrals

Просмотр функциональных уровней домена и леса:

# samba-tool domain level show

Domain and forest function level for domain 'DC=test,DC=alt'

Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2

Команда показывает:

текущий функциональный уровень домена (DFL);
текущий функциональный уровень леса (FFL);
минимальный уровень, поддерживаемый всеми контроллерами домена.

Режимы работы домена и леса, а также версию схемы домена можно просмотреть в ADMC, выбрав корневой элемент в дереве консоли:

Для повышения уровня используется команда:

# samba-tool domain level raise --domain-level=<DOMAIN_LEVEL> --forest-level=<FOREST_LEVEL>

где:

FOREST_LEVEL — уровень работы леса (возможные значения: 2003, 2008, 2008_R2, 2012, 2012_R2, 2016);
DOMAIN_LEVEL — уровень работы домена (возможные значения: 2003, 2008, 2008_R2, 2012, 2012_R2, 2016).

Схема каталога должна быть одинаковой на всех контроллерах домена в лесу. При добавлении контроллера с более новой версией схемы — она автоматически обновляется на всех DC через репликацию.

Явное обновление схемы выполняется командой:

# samba-tool domain schemaupgrade --schema=<SCHEMA>

где SCHEMA — целевой уровень схемы (по умолчанию 2019).

Подробнее о повышении уровня см. Повышение уровня схемы и функционального уровня домена.