PowerShell Komutlarıyla Primary Domain Controller Kurulumu Bu makalemde sizlere Microsoft'un yeni nesil Server işletim sistemi olan Windows Server 2019'da Primary Domain Controller (PDC) kurulumundan bahsedeceğim. Makaleme başlamdan önce, Domain Controller Nedir? buna kısaca değinmekte fayda görüyorum. Domain Controller (DC), başka bir ifade ile Etkli Alanı Yöneticisi, şirket yapınızdaki bilgisayar ağlarınızın, bilgisayar sistemlerinizin çatısını oluşturmaktadır. Bu çatıyı kurabilmek için; Server (sunucu) bilgisayar dediğimiz bir makinaya (fiziksel ya da sanal) Windows Server ailesinden bir işletim sistemi kurup, bu Server (sunucu) bilgisayarı, Domain Controller (DC) olarak yapılandırtan sonra, bilgisayar sistemlerinizin çatısını oluşturur, tüm bilgisayar sistemlerinizi (diğer Server (sunucu) bilgisayarlar da dahil olmak üzere) bu Domain Controller (DC) üzerinden tek noktada yönetebilir duruma gelirsiniz. Domain Contoller ile tüm sistemin tek noktadan yönetiminin getirdiği fayda ve avantajlardan bazılarını aşağıdaki gibi sıralayabiliriz.
● Domain içerisindeki her Object’nin (nesne) bilgileri Active Directory Database’de depolanır.
● Global Catalog sayesinde tüm Domain yapısının bilgisi kendi bünyesinde barındırılır.
● Active Directory Users and Computers ile tüm kullanıcı ve bilgisayar hesapları tek merkezden yönetilir ve Domain ortamındaki her Domain Controller, birbirleri ile replikasyon yaparak yedeklilik sağlanır.
● Client (istemci) bilgisayarlardan gelen tüm isteklere cevap vererek, gerekli yönlendirmeleri yapar, Logon trafiğini yönetir.
● Her bir Site’a kurulacak Additional Domain Controller (Ek Etki Alanı Yöneticisi) sayesinde, Active Directory Sites and Services ile Logon işlemleri, sadece ilgili Site üzerinden yapılarak, performans sağlanır.
● Group Policy (grup ilkesi) sayesinde Domain (ektki alanı) içerisinde güvenlik ilkeleri oluşturularak, güvenlik sağlanır.
● DNS Server sayesinde Domain ortamındaki Host Name-IP, IP-Host Name çözümlemeleri yapılarak, daha performanslı bir iletişim sağlanır.
● DHCP Server sayesinde Network ortamındaki tüm bilgisayarların IP Adres yönetimleri merkezi konumdan yapılır.
● Active Directory Domains and Trusts yardımı ile, diğer Domain’ler ile Trust Relationship (güven ilişkisi) kurarak, Forest ortamınızı genişletebilirsiniz.
NOT 1: Tüm bunları bir Work Group ortamında sağlamamız mümkün olmayacaktır. Bu nedenle, Domain Controller kurulumu ile tüm yönetim işlemlerinizi tek Domain çatısı altında toplayarak, yönetiminizi merkezileştirmiş olursunuz.
Active Directory Kurulum Öncesi Ön Yapılandırma Ayarları
Windows Server 2019'da Active Directory Domain Kurulumu işlemine geçmeden önce yapmamız gereken bir takım ön yapılandırma ayarları bulunuyor.
1- netsh interface Powerhsell komutu ile öncelikle Server'ımızda yüklü olan Nerwork Interface Card (NIC) listesini alıyorum.
|
netsh interface ipv4 show address |
Görüldüğü gibi, Server'ımda 4 adet Nerwork Interface Card (NIC) bulunuyor.
2- Rename-NetAdapter PowerShell komutu ile Server'ımızda bulunan Network Interface Card'ların (NIC) varsayılan isimlerini isteğe bağlı olarak değiştirebilirsiniz. Ben yönetim kolaylığı açısından değiştiriyorum.
Rename-NetAdapter -Name "Ethernet0" -NewName "NIC1"
Rename-NetAdapter -Name "Ethernet1" -NewName "NIC2"
Rename-NetAdapter -Name "Ethernet2" -NewName "NIC3"
Rename-NetAdapter -Name "Ethernet3" -NewName "NIC4" |
2.1- Disable-NetAdapter PowerShell komutu ile, isteğe bağlı olarak, kullanmadığınız ya da kullanmayacağınız Nerwork Interface Card'ları (NIC) Disable duruma getirip kapabilirsiniz.
Disable-NetAdapter -Name "NIC2" -Confirm:$False
Disable-NetAdapter -Name "NIC3" -Confirm:$False
Disable-NetAdapter -Name "NIC4" -Confirm:$False |
2.2- Get-NetAdapter PowerShell komutu ile Disable duruma getirilen Nerwork Interface Card'ları (NIC) görüntüleyebilirsiniz.
Get-NetAdapter -Name "NIC2" | Format-List -Property "Status"
Get-NetAdapter -Name "NIC3" | Format-List -Property "Status"
Get-NetAdapter -Name "NIC4" | Format-List -Property "Status" |
3- New-NetIPAddress PowerShell komutu ile Server'ımızda bulunan Nerwork Interface Card'ların (NIC) IP Adresi, Subnet Mask ve Default Gateway ayarları yapılmaktadır.
|
New-NetIPAddress –InterfaceAlias “NIC1” –IPAddress “10.10.10.100” –PrefixLength 24 -DefaultGateway 10.10.10.1 |
NOT 2: Server'ımızda kaç tane Nerwork Interface Card (NIC) varsa, hepsi için komutu ayrı ayrı çalıştırmamız gerekmektedir.
4- Set-DnsClientServerAddress PowerShell komutu ile Server'ımızda bulunan Nerwork Interface Card'ların (NIC) DNS IP adresi ayarları yapılmaktadır.
|
Set-DnsClientServerAddress -InterfaceAlias “NIC1” -ServerAddresses 10.10.10.100 |
NOT 3: -ServerAddresses parametresinde , (virgül) ile ayırarak birden fazla DNS IP adresi ekleyebiliriz.
5- Get-WmiObject PowerShell komutu ile Server'ımın Host Name bilgisi öğreniyor, Rename-Computer PowerShell komutu ile de Server'ımın Host Name'ini değiştiriyorum.
|
Get-WmiObject Win32_ComputerSystem |
|
Rename-Computer -ComputerName "WIN-BEN4V208IA3" -NewName "SRV001" |
NOT 4: Host Name değişikliğinden sonra Restart-Computer PowerShell komutu ile Server'ımızı Restart etmemiz gerekmektedir.
6- Server'ımızı Restart ettikten sonra Get-WmiObject Win32_ComputerSystem PowerShell komutu ile Host Name bilgisinin değiştiğini görebiliyorum.
7- Get-WindowsFeature PowerShell komutu ile Server'da yüklü olan Role ve Feature'ları görüntülüyorum.
|
Get-WindowsFeature | Where-Object {$_.InstallState -eq “Installed”} |
8- Install-windowsfeature PowerShell komutu ile Active Directory Domain Service rol bileşenini yüklüyorum.
|
Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools |
8.1- Install-windowsfeature PowerShell komutu ile başarılı bir şekilde Active Directory Domain Service rol bileşeni yüklendi.
9- Active Directory Domain Service rol bileşenini yükledikten sonra Install-windowsfeature PowerShell komutu ile rol bileşeninin yüklendiğini görüyoruz.
Active Directory Domain Kurulumu
10- Active Directory Domain kurulumu öncesi ön yapılandırma ayarları tamamlandıktan sonra sıra, Domain Controller'a Promote etme işlemine geldi. Promote etme işlemi için Primary Domain Controller kurulumu yaptığımız için Install-ADDSForest PowerShell komutunu kullanmamız gerekiyor. Komut parametreleri aşağıdaki gibidir.
-DomainName "firatboyan.com"
-CreateDnsDelegation:$false
-DatabasePath "C:\Windows\NTDS"
-LogPath "C:\Windows\NTDS"
-SysvolPath "C:\Wind\SYSVOL"
-DomainMode "7"
-ForestMode "7"
-DomainNetBIOSName "FIRATBOYAN"
-SafeModeAdministratorPassword (Convertto-SecureString -AsPlainText "P@ssWord1" -Force)
-InstallDns:$true
-NoRebootOnCompletion:$True
-Force:$true |
10.1- Primary Domain Controller kurulumu için gerekli PowerShell komutu aşağıdaki gibidir.
|
Install-ADDSForest -DomainName "firatboyan.com" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Wind\SYSVOL" -DomainMode "7" -ForestMode "7" -DomainNetBIOSName "FIRATBOYAN" -SafeModeAdministratorPassword (Convertto-SecureString -AsPlainText "Pa$$W0rd" -Force) -InstallDns:$true -NoRebootOnCompletion:$True -Force:$true |
Bilgi!: -DomainMode ve -ForestMode parametreleri için belirlenen değer, Windows Server versiyonuna göre değişmekte olup, Domain ve Forest seviyelerinde Functional Level'lerin ne olacağının belirlenmesinde kullanılmaktadır. Windows Server versiyonlarına rakam ya da belli kodlar kullanılabilmmektedir. Alaşağıdaki tabloyu referans alabilirsiniz.
|
Windows Server 2016 |
Windows Server 2019 |
|
7 veya WinThreshold |
7 veya WinThreshold |
|
Windows Server 2012 |
Windows Server 2012 R2 |
|
5 veya Windows2012Domain |
6 veya Windows2012R2Domain |
|
Windows Server 2008 |
Windows Server 2008 R2 |
|
3 veya Windows2008Domain |
4 veya Windows2008R2Domain |
11- Active Directory Domain kurulumu (Primary Domain Controller kurulumu) başladı.
12- Active Directory Domain kurulumu (Primary Domain Controller kurulumu) işlemi başarılı bir şekilde tamamlandı. Restart-Computer PowerShell komutu ile Server'ımızı Restart etmemiz gerekmektedir.
NOT 5: -NoRebootOnCompletion parametresinde $True değeri yerine $False değeri belirtmiş olsaydım, Promotion işlemi bittikten sonra Server otomatil olarak yeniden başlayacaktı.
Active Directory Kurulum Sonrası Kontroller
13- Domain Kurulumu (Domain Controller'a Promote Etme) işlemi başarılı bir şekilde tamamlandıktan sonra sıra, kurulum sonrası bir takım kontroller yapmaya geldi.
NOT 6: Aşağıdaki PowerShell komutları, sadece omain Kurulumu (Domain Controller'a Promote Etme) işlemi sonrası kontrol amaçlı değil, her zaman kullanılabilecek en sık kullanılan PowerShell komutlarındandır.
14- Get-ADDomainController PowerShell komutu ile Primary Domain Controller'ın görüntülenmesini sağlıyorum.
|
Get-ADDomainController -Discover -Service PrimaryDC |
15- Get-ADGroupMember PowerShell komutu ile ortamdaki tüm Domain Controller'ların listesini alıyorum.
|
Get-ADGroupMember 'Domain Controllers' |
16- Get-ADDomain PowerShell komutu ile Domain ortamımla ilgili tüm bilgileri edinebiliyorum.
|
Get-ADDomain –identit firatboyan.com |
Bu çıktıda dikkat edilecek noktalar;
● DomainMode: Burada Domain Functional Level (DFL) bilgisi verilmektedir. Windows Server 2019'da DFL seviyesi Windows Server 2016 seviyesinde kaldığı ve herhangibir deği Windows Server 2019 DFL seviyesinin bulunmadığını görebiliyoruz.
Bilgi!: Functional Level ile ilgili detaylı bilgiyi Domain Functional Level (DFL) ve Forest Functional Level Nedir? konulu makalemde okuyabilirsiniz.
● DomainSID: Burada Domain SID (Security Identifier) bilgisi verilmektedir. SID (Security Identifier); tüm Windows işletim sistemlerinde, ister Work Group olsun, ister Domain olsun, işletim sistemlerinin kimlik numaralarıdır. Work Group ortamlarında her bilgisayarda bu SID numarası farklı iken, Domain ortamındaki, Domain'e Join olmuş, tüm bilgisayarlarda tektir. Zaten merkezi yönetim de bu kimlik numarası altında yapılmaktadır. Server bilgisayarımız üzerinde Active Directory Domain Services rol bileşenini yükleyecek Primary Domain Controller'a yükselttiten sonra, yükselme işleminden önce Work Group yapısında olan Server bilgisayarın Work Group SID numarası değişmeden aynen Domain SID olarak kullanılmaya devam etmektedir.
Bilgi!: SID (Security Identifier) ile ilgili detaylı bilgiyi Relative Identifier ve Security Identifider Kavramları konulu makalemde okuyabilirsiniz.
● NetBIOS Name: Burada Domain NetBIOS Name bilgisi verilmektedir. Promote etme aşamasında PowerShell komutu içinde -DomainNetBIOSName parametresinde kullanmıştık. Domain NetBIOS Name;
• Firewall, Mail Gateway vb kutu çözümler ve 3rd Party yazılımlar, Active Directory entegrasyonu sırasında Domain'lerin NetBIOS isimleri ile kimlik doğrulama yaparlar.
• Domain ortamınızı kurduğumuzda, diğer Member Server'ları ya da Client PC'leri Domain'e Join etmek istediğimizde alan adı için firatboyan.com yazarsanız bu istek, DNS Server üzerinde yorumlanır ve size cevap döner. Eğer FIRATBOYAN yazarsanız, bu durumda WINS varsa, WINS üzerinde yorumlanır ve size cevap döner. WINS yoksa, Broadcast mesaj ile Domain bulunur.
• Windows 7 ya da Windows 10 bir işletim sisteminde firat@firatboyan.com veya FIRATBOYAN\firat şeklinde Logon olabilirsiniz. Ancak Microsoft'a ait olmayan ürünler için UPN (Universal Principle Name) dediğimiz firat@firatboyan.com şeklindeki yazım desteklenmez ve SamAccountName dediğimiz FIRATBOYAN\firat şeklinde NetBIOS Name kullanmanız gerekir.
UYARI!: Domain NetBIOS Name bilgisini dilediğiniz gibi değiştirebilirsiniz ancak asla Domain Controller kurulumu yaptığınız Server'ın Host Name bilgisini bu Domain NetBIOS Name olarak eklemeyin!
● Infrastructure Master
10.5- Active Directory'de bir kullanıcı nesnesinin Organization Unit (OU) konumu, dolayısı ile de LDAP dizin yolu değiştirildiğinde, Group Policy ayarları da değişmektedir. OU'dan OU'ya taşıma yapılırken Update değişikliklerinden Infrastructure master sorumludur. Domain'ler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgi her daim günceldir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
● PDC Emulator
10.3- Bu rol aslında FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, DFS yapısının güncel tutulmasını ve tutarlılığını da sağlar. Tek başına bu rolün taşınması, Primary Domain Controller görevinin başka bir DC'ye aktarılması anlamına gelir ki mevcut DC bu durumda Primary Domain Controller görevinden ayrılacaktır. Ayrıca bu işlem, sadace yeni yesil bir Windows Server versiyonu çıktığında Migration amaçlı değil, mevcut Primary Domain Controller görevi gören Server'ınızın yeni nesil bir Server'a Windows Server işletim sistemi kurularak, Member Server yapılıp, Additional DC haline getirdikten sonra, Primary Domain Controller görevinin bu yeni nesil Windows Server üzerinde devam etmesini de isteyebilirsiniz. Bu nedenle de bu rolün aktarımı çok önemlidir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
● RID Master
10.4- Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. RID-Relative Identifier atanırken, Active Directory nesnesinin oluşutuğu Domain altında ilgili Domain'in kimlik numarasıyla beraber atanır ki buna da SID-Security Identifier denir. Her Domain'in kendine ait sabit değerde bir SID-Security Identifier numarası vardır ve atanan her RID-Relative Identifier numarası, bu SID-Security Identifier numarası altında atanır. İşte bu noktada, Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.
RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir. Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar üzerlerinde 500 adet RID numarası bulunurlar (Windows Server 2016 ile birlikte bu sayı 500'e çıkartılmıştı) ve bu RID Master FSMO rolünü tutmayan Domain Controller'lar, bu sayının %50'si tükendiğinde RID master FSMO rolünü üzerinde tutan Domain Controller ile iletişime geçerek, tekrar bir 500'lük RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.
RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
17- Get-ADForest PowerShell komutu ile Forest ortamımla ilgili tüm bilgileri edinebiliyorum.
|
Get-ADDomain –identit firatboyan.com |
Bu çıktıda dikkat edilecek noktalar;
● Schema Master
10.1- Active Directory Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir Class içinde, o Class'a ait Attribute'lar (öznitelikler) bulunur. Bir objeye ait hangi bilgilerinin saklanacağı, Attribute'lar ile tanımlanır. Forest içindeki Active Directory nesne sınıfları (Object Classes) ve bunlara ait öz nitelikler (Attributes), Active Directory Shema yapısını oluşturur. Bu nedenle de Active Directory'i oluşturan ana omurga, Active Directory Schema'dır. Tüm Active Directory nesne (object) ve öz niteliklerin (Attributes) güncellemeleri ve bunlara ait bilgiler Schema Master üzerinde tutulur. Schema Master rolü, Active Directory Schema'nın yönetimi yapmakla birlikte; Class ve Attribute değerlerinde meydana gelen tüm değişiklikler ise Domain Controller'lar arasında replike edilmek suretiyle güncel tutulur.
Bu rol, Forest içerisinde tektir.
● Domain Naming Master
10.2- Bu rol, tıpkı mahallemizin muhtarı gibi görev yapararak, Domain içerisine giren ve çıkan objelerin bilgilerini tutar ve yönetir. Örneğin; Forest içine yeni bir Domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir Domain'in adı değiştirildiğinde ya da Domain isimlerinde çakışma olduğunda,tüm bütün bunların kontrolünü yapan roldür. Bu rolün, Global Catalog rolüne sahip bir Domain Controller Server'da olması tavsiye edilir. Normal şartlarda Domain ortamını ilk kuran Domain Controller üzerinde bulunan bu iki Forest bazlı rol, Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller (DC) üzerinde FSMO rol Transfer işlemi ile taşıma yapmak suretiyle bulunabilir.
Bu rol, Forest içerisinde tektir.
Yukarıda bahsettiğim "Forest'ta her Domain'de bir tane bulunur" ile "Forest bazında tektir" ifadlerimin altını doldurmam gerkirse;
Örneğin; Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.
Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Bir nevi özer statüdeki bir devlet gibi :) Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, hem Parent hem de Child Domain Controller'lardaki kalan üç FMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.