İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 19.05.2022 1

Windows Server 2008 R2'den Windows Server 2022'ye Domain Controller Migration

Daha önce de benzer bir makale ile Windows Server 2012 R2’den Windows Server 2016’ya Domain Controller (DC) Migration konusuna değinmiştim. Bu makalemde ise Windows Server 2008 R2’den, Windows Server 2022’ye Domain Controller Migration, yani Domain Controller geçiş (taşıma) işleminin nasıl yapıldığından bahsediyor olacağım ancak Windows Server 2008 R2’den, Windows Server 2022’ye Active Directory Migration işlemine geçmeden önce ilk etapta bu makaleyi yazdığım tarih itibari ile en yeni Windows Server versiyonu olan Windows Server 2022 özelliklerinden ve yeniliklerinden bahsetmek istiyorum.

Windows Server 2022 yenilikleri

Windows Server 2022 Yenilikleri

Teknoloji dünyasına artık iyiden iyiye yerleşen bulut teknolojileri, özellikle işletim sistemlerinin gelişen bu teknolojiye ayak uydurması ve entegre çalışabilmesi açısından çok önemlidir. Gelişen bu teknolojiye bu denli ayak uydurma ihtiyacı, aslında temelde güvenlik kaygıları ile doğru ortantılı bir şekilde gelişiyor. Eski nesil işletim sistemlerine verilen desteğin zamanla yitirilmesi, güvenlik açıklarını beraberinde getirdiği için sistemleri daha savunmasız hale getiriyor. Bir diğer önemli husus, bulut teknolojileri ile tam uyumlu ve Hybrid yapıda sorunsuz bir şekilde çalışabilecek, güvenlik seviyeleri artırılmış bir işletim sistemi ihtiyacının olmasıdır.

Windows Server 2022 yeniliklerini temel olarak üç ana başlıkta toplayabiliriz.

Windows Server 2022 yenilikleri

Advanced multi-layered Security
Bu sürümde Microsoft, çok katmanlı güvenlik mimarisi sunmaktadır. Secure-Core Server özelliği ile Microsoft’un donanım ortaklarının desteği sayesinde kritik sistemlerin güvenliği güçlendirilmiştir. Bu güçlendirme için özellikle donanım sağlayıcılar, donanımsal koruma çipleri (TPM), Firmware ve güvenli sürücüler temin etmektedir.

Bir diğer koruma katmanı ise bağlantı noktasındadır. En yeni nesil TLS 1.3 ile daha güvenli bir HTTPS trafiği, DNS-over-HTTPS (DoH) ile daha güvenli DNS trafiği ve AES-256 şifreleme desteği sunan en yeni nesil SMB ile artık bağlantı noktasında da son derece güvenli bir sunucu alt yapısı sunar.

Secured-Core Server
Secure-Core Server konsepti, temel olarak donanım ve sanallaştırma tabanlı güvenlik teknolojilerinin harmanlanarak kullanılması sonucunda bilinen ve bilinmeyen pek çok atak tipi için üst düzey bir koruma sağlar. Donanımların ön yükleme sırasındaki hak yükseltme, Firmware için zararlı kod enjekte edilmesinden tutunda kimlik hırsızlığının önüne geçilmesine kadar OS katmanında ve tabi ki donanım üreticilerinin sağladığı uygun ve sertifikalı donanımlar ile çok katmanlı bir koruma sağlar.

Windows Server 2022 yenilikleri

Secure connectivity
Sunucu koruması her ne kadar önemli ise sunucu ile iletişim halindeki istemcilerin, diğer sunucuların da güvenliğinin sağlanması için iletişim protokollerinin de güvenliği son derece önemlidir. Yani donanım ve sanallaştırma temelli olarak sıkı korunan bir sunucuya sızmak yerine bu sunucunun trafiğinin izlenmesi kimi zaman daha kolay olabilir. Böyle durumlara karşı çok katmanlı mimarinin gereği tüm iletişim içinde protokol güvenliği üst seviyededir.

En güncel TLS 1.3 sürümü sayesinde güvenli HTTPS trafiği sunar ki DoH gibi yeni nesil DNS sorgularının artık HTTPS protokolü ile yapılacağını düşündüğümüz zaman bunun önemi bir kez daha ön plana çıkıyor. DNS malum bir Windows sunucu için en kritik servislerden birisi ve yine SMB gibi en çok atak alan servis, protokollerin başında geliyor. Durum böyle olunca, DNS atakları için iletişim protokolü olarak HTTPS devreye girdi. Son olarak bir diğer en yaygın sunucu iletişim protokolü olan SMB için artık AES-256 bit şifreleme desteği sayesinde çok daha güvenli bir veri iletişimi söz konusu olacaktır. Burada özellikle Windows Server 2022 ile Cluster sistemler için bu veri şifreleme desteği sayesinde S2D gibi veri replikasyonu yapan sistemlerinde Cluster içerisindeki tüm haberleşmesi artık şifreli olabilmektedir. Yine RDMA sayesinde storage sanallaştırma ile daha çok hayatımıza giren S2D ile, başta Windows Server 2022 platformları için, performanstan ödün vermeden şifreleme yapabileceğiz. (RDMA ile SMB şifrelemesini kullanarak performanstan ödün vermeden endüstri standardı şifreleme elde edin.)

Windows Server 2022 yenilikleri

Hybrid capabilities with Azure
Malum günümüzde bulut bilişim, artık yoğun kullanılan bir alt yapı ancak hala her iş ihtiyacı için tek adres değil. Bu nedenle pek çok şirketin Hybrid bulut model yapısı kullandığını görebiliyoruz. Durum böyle olunca, Hybrid alt yapıların daha kolay yönetilmesi için pek çok üreticinin yatırım yaptığı da ortada. Eğer aktif bir Hybrid ortam yöneticisi iseniz, aslında bu ortamların ideal ürünler olmadan yönetiminin ne kadar zor olduğunu bilirsiniz. Microsoft da bu noktada Windows Server 2022 ile Hybrid bir alt yapı için gerekli olan tüm araçlar sunmaktadır.

Örneğin, Windows Admin Center ile hem yerleşik hem bulut sistemlerimizi tek bir ekran üzerinden yönetebildiğimiz gibi, Azure-Arc sayesinde de bulut hizmetlerimizi On-prem. kaynaklara genişletebiliyoruz. mesela; izleme, değişiklik yönetimi, loglama, yedekleme, replikasyon başta olmak üzere pek çok bulut temelli hizmeti, sadece bir Agent yardımı ile On-prem. sistemlere genişletebiliyoruz. Üstelik bunu tek bir ekrandan yönetebiliyoruz.

Windows Server 2022 yenilikleri

Flexible application platform
Belki de buraya kadar anlattıklarımızın arasındaki en önemli başlık, özellikle uygulama geliştiriciler için daha esnek ve modern bir platform sunmasıdır. Çünkü artık yeni nesil servis modelinde çok daha hızlı, esnek, çevik, kendi kendine büyüyen ve küçülen sistemler tercih ediliyor. İzlemesi, yedeklenmesi, yedekten dönmesi, sorun çözmesi veya gelen taleplere karşı en iyi cevapları vermesi nedeni ile artık yazılımcılar, mikro servis mimarisine uygun yeni nesil uygulamalar geliştiriyorlar. Durum böyle olunca, yazılım ekipleri bu yeni nesil uygulamaların çalışması için yeni nesil platformlar bekliyor. Windows Server 2022 de tam bu noktada onlara cevap veriyor. Öncelikle SQL Server Performansından bahsedelim. Verilerin büyümesi ile veri tabanlarının ve onların ihtiyaç duyduğu donanımların büyümesi son derece normal. Durum böyle olunca Windows Server 2022 de toplam 48 TB RAM ve 2048 Core CPU desteği sunuyor.

AKS, çok yaygın kullanılmaya başlandı ancak özellikle Hybrid mimarilerde AKS üzerindeki bazı hizmetlerin yerleşik sistemlerde de olması gerekiyordu. Bu noktada Azure üzerindeki Kubernetes servisindeki Network Policy'leri artık On-prem. sistemler içinde desteklemeye başladı. Yani, iç ve dış yöne Network trafiğini IP adresi ve Port bazında sınırlayabiliyoruz. Aynı zamanda içerideki uygulamaların da kendi aralarındaki pod2pod trafiğini veya Namespace ile kısıtlama desteği sunuyor. Yine bu destek sayesinde Hybrid Cluster yapmak mümkün. Yani bir bacağı bulut, bir bacağı On-prem.'deki Kubernetes Cluster'ları kurabiliyoruz. Container (pod) sayısının otomatik artırarak yatay ölçekleme sunabiliyor. Otomatik ölçekleme de CPU ve RAM sayısına göre sistem, kendisi ayarlama yapabiliyor. Malum, bazı özellikler Kubernestes ortamına daha sonradan geliyor, örneğin Multiple Subnet desteği ve Dual Stack (hem IPv4 hem IPv6) desteği Kubernetes ortamlarına geldiği için Windows Server 2022 de bu özellikleri desteklemeye başladı. Bir diğer yenlik, yine üretici temelli. Kubernetes Container açma, kapatma işlemleri için artık sadece Docker değil, Container desteği de geldi. Bu sayede artık Container sistemlerinide Windows Server 2022 ile yönetebiliyoruz.

Windows Server 2022 yenilikleri

Dikkat!: Bu kısıma kadar olan bilgi ve görseller, Sayın Hakan Uzuner'in fikri mülkiyetine ait olup, devamında yazmış olduğum içeriğini desteklemesi amacı ile kendisinin izni doğrultusunda alıntı yapılmıştır. 

Migration Nedir?

Kelime anlamı taşıma olan Migration, çok geniş bir yelpazede ele alınmaktadır. Taşıma işlemini fiziksel ya da sanal sistemlerin fonksiyonellik, işlevsellik ve performans bağlamında eski sürümden yeni sürüme geçiş işlemleridir şeklinde özetleyebiliriz. Bu geçiş ihtiyaçları, çeşitli sebeplerden ve ihtiyaçlardan dolayı yapılabilmektedir. Makale konumuz olan Windows Server 2008 R2’den, Windows Server 2022’ye Domain Controller (DC) Migration'ı baz alacak olursak bu ihityaç, tamanen bulut teknolojileri ile tam uyumlu ve Hybrid yapıda sorunsuz bir şekilde çalışabilecek, güvenlik seviyeleri artırılmış yeni nesil bir Windows Server gereksiniminden hasıl olmaktadır.

Domain Controller Migration Öncesi Mevcut Ortam Bilgisi Edinme

Senaryomdaki ortamımda Domain yapısını oluşturan Windows Server işletim sistemi Windows Server 2008 R2 olup, Primary Domain Controller görevindedir. Migration (taşıma) işlemi için kullanacağım Windows Server 2022 işletim sistemli makinam ise Additional Domain Controller görevindedir. Özetle, mevcut Domain ortamımda toplamda 2 adet Domain Controller bulunuyor ki sayı çok daha fazla da olabilir. Buradaki amaç, sadece taşıma süreçlerini anlatmak olduğu için bu sayı benim için yeterlidir.

Burada amacım özetle, işletim sistemi Windows Server 2008 R2 olan Domain Controller bir makinayı & makinaları, Windows Server 2022 işletim sistemi üzerinde Domain Controller yapmak ve eski nesil Windows Server üzerinde çalışan Domain Controller bir makinayı & makinaları ortamdan kaldırarak Domain ortamının Windows Server versiyonu bazında tamamen yenilenmesini sağlamak olacaktır. Bu bilgiler ışığında Windows Server 2008 R2’den, Windows Server 2022’ye Domain Controller Migration işlemine başlıyorum.

Migration işlemi öncesi bir takım kontroller yapacağım. Bu kontroller, eğer ortama yabancı iseniz, mutlaka ortam bilgisini detaylı bir şekilde öğrenme ve Domain Controller'ların sağlıklı bir şekilde çalışabilirliğinin kontrolünün yapılması olacaktır.

1- Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerinde bir takım bilgiler çekerek mevcut ortam hakkında bilgi edineceğim.

Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem | FT -AutoSize -Wrap

PowerShell komutuyla ortamımdaki Domain Controller'ları ve işletim sistemi versiyon bilgilerini çekiyorum.

netdom query fsmo

PowerShell komutuyla FSMO (Flexible Single Master Operation) rollerini barındıran Domain Controller bilgisini çekiyorum.

Bilgi!: 5 adet FSMO rolü içinde PDC rolünü hangi Domain Controller barındırırsa, diğer rollere sahip olmasa bile direkt olarak Primary Domain Controller görevini üstlenecektir. Bu nedenle FSMO rol bilgisini çektiğinizde hangi makinanın Primary Domain Controller olduğunu bu bilgi ile öğrenebilirsiniz. Her ne kadar konumuz dışında olsa da bu 5 adet FSMO rolünün her birinin hangi görevleri icra ettiği bilgisini makalemin ilerleyen kısımlarında vereceğim.

Get-ADDomainController -Discover -Service PrimaryDC

PowerShell komutuyla, yukarıdaki bilgilere ek olarak, direkt olarak hangi makinanın Primary Domain Controller olduğu bilgisini edinebilirsiniz.

Domain Controller Migration

2- Aynı komutları Windows Server 2022 işletim sistemli Domain Controller makinam üzerinde de çalıştırdığımda aynı bilgileri elde ediyorum.

Domain Controller Migration

3- Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerinde

repadmin /replsummary repadmin /failcache

PowerShell komutlarıyla Domain Controller'lar arası Active Directory replikasyon trafiği ve KCC (Knowledge Consistency Checker) üzerinde herhangi bir sorun olup olmadığı bilgilerini çekiyorum. KCC (Knowledge Consistency Checker), her 5 dakikada bir çalışarak, Site içinde hangi Domain Controller'ın hangi Domain Controller ile replikasyon yapacağını belirleyen bir Intrasite (site içi) Replication Topology (replikasyon topolojisi) oluşturup, bağlantı nesnelerinin otomatik olarak oluşmasını sağlamaktadır. Topolojiyi oluştururken de Domain Controller'lar arasındaki en iyi bağlantıyı hesaplar ve en iyi yolun kullanılmasını sağlar ve bağlantı nesnelerinin otomatik olarak oluşmasını sağlar.

Domain Controller Migration

4- Aynı komutları Windows Server 2022 işletim sistemli Domain Controller makinam üzerinde de çalıştırdığımda aynı bilgileri elde ediyorum.

Domain Controller Migration

5- Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerinde

Get-ADRootDSE | fl domainFunctionality, forestFunctionality

PowerShell komutunu çalıştırarak Domain Functional Level (DFL) ve Forest Functional Level (FFL) bilgilerini çekiyorum. Mevcut Domain ortamımı ilk oluşturduğum sırada DFL ve FFL seviyelerini Windows Server 2008 R2 olarak ayarlamıştım.

Domain Controller Migration

6- Aynı komutu Windows Server 2022 işletim sistemli Domain Controller makinam üzerinde de çalıştırdığımda aynı bilgileri elde ediyorum.

Domain Controller Migration

7- DFL ve FFL seviyelerini kontrol ederken bu seviyelerin Windows Server 2003 olduğunu da görebilirsiniz. Bu, daha önceden Windows Server 2003'ten Windows Server 2008 R2'ye bir Migration yapıldığı ancak DFL ve FFL seviyelerinin Windows Server 2008 R2'ye yükseltilmediği anlamına gelmektedir. Böyle bir durumla karşılaşırsanız, Windows Server 2008 R2 işletim sistemli Primary Domain Controller'ınıza ek olarak Windows Server 2019 ya da Windows Server 2022 gibi yeni nesil işletim sistemli Additional Domain Controller(lar) kurarken, SYSVOL paylaşım klasörü içerik replikasyonu Windows Server 2003'te Files System Replication (FSR) ile gerçekleştiği ve Windows Server 2019 ya da Windows Server 2022 gibi yeni nesil Windows Server işletim sistemli Domain Controller(ların) SYSVOL paylaşım klasörü içerik replikasyonu Distributed Files System Replication (DFSR) üzerinden gerçekleştirdiği için

Verification of replica failed. The specified domain {Domain-Name} is still using the File Replication Service (FRS) to replicate the SYSVOL share. FRS is depreciated. The server being promoted does not support FRS and cannot be promoted as a replica into the specified domain. You MUST migrate the specified domain to use DFS Replication using the DFSRMIG command before continuing.

hatası ile karşılaşırsınız. Bu noktada öncelikle mevcut ortamda Windows Server 2008 R2 işletim sistemli Domain Controller(lar)'dan daha eski versiyonlu Domain Controller(lar) olmadığından emin olup, DFL ve FFL seviyelerini Windows Server 2008 R2'ye yükselttikten sonra FSR yapınızı DFSR'a dönüştürmeniz gerekecektir. Bu işleme de DFSR Migration dersek, yanlış bir tabir kullanmış olmayız.

Domain Controller Migration


DFSR, RDC yani Remote Differential Compression (uzak diferansiyel sıkıştırma) olarak bilinen yeni bir sıkıştırma algoritması kullanır. RDC, sınırlı bant genişliğine sahip bir Network üzerinden dosyaları verimli bir şekilde güncellemek için kullanılabilen bir "diff-over-the wire" istemci-sunucu protokolüdür. RDC, dosyalardaki verilerin eklenmesini, kaldırılmasını ve yeniden düzenlenmesini algılayarak DFS çoğaltma'nın dosyalar güncellenmesi ile yalnızca değiştirilen dosya bloklarının çoğaltmasını sağlar.

8- Mevcut ortamınızdaki SYSVOL paylaşım klasörü içerik replikasyonunun hangi yordamla gerçekleştiğini öğrenmek isterseniz, DFSRCheck.ps1 PowerShell Script'ini kullanabilirsiniz.

Domain Controller Migration
Domain Controller Migration

9- Sıra, Domain Controller'lar üzerinde DCDIAG komutu ile bir sağlık taraması yani Health Check yapmak olacak. DCDIAG komutunun çok farklı yöntemleri mevcut, burada makale dışına çıkmak istemediğim için bu komutu sadece, eğer varsa, sorunları listelemesi için

dcdiag /s:SRV001 /q
dcdiag /s:SRV002 /q

komutlarını yazarak, ortamımdaki tüm Domain Controller'lar için tek bir PowerShell konsolundan çalıştırarak kullanacağım. Komutu, hem Windows Server 2008 R2 işletim sistemli Domain Controller hem de Windows Server 2022 işletim sistemli Domain Controller üzerinde ayrı ayrı çalıştırıyorum. Aslında böyle bir gereksinim yok ancak sonucu size tam olarak göstermek için bu şekilde uyguluyorum.

Domain Controller Migration
Domain Controller Migration

Active Directory FSMO (Flexible Single Master Operation) Rollerinin İncelenmesi

Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bir Domain Controller'ın Domain ortamının yönetimi için sahip olduğu bir takım görevler vardır ve FSMO (Flexible Single Master Operation) adı verilen, toplamda 5 rolden oluşan bu görevleri özetle Active Directory'nin bel kemiğini oluşturan Schema (şema) yapısı içindeki Active Directory nesnelerinin yönetimi, Dizin yapısının kayıt işlemlerinin yönetimi, Group Policy nesnelerinin ortamdaki diğer Domain Controller'lar ile senkronizasyon sağlaması için gerekli olan SYSVOL paylaşım erişiminin yöneti, Active Directory'de oluşturulan Active Directory nesnelerinin kimlik bilgilerinin yönetimi olarak sıralayabiliriz.

10- Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerinde FSMO rollerinin bu DC üzerinde olduğunu kontrol etmiştik. Sıra, Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerindeki FSMO rolleri taşıma işlemine geldi ancak FSMO rolleri taşıma işlemi öncesi, taşıma işlemini yapacağımız rolleri detaylıca incelemekte fayda olduğunu düşünüyorum.

● Schema Master
10.1- Active Directory Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir Class içinde, o Class'a ait Attribute'lar (öznitelikler) bulunur. Bir objeye ait hangi bilgilerinin saklanacağı, Attribute'lar ile tanımlanır. Forest içindeki Active Directory nesne sınıfları (Object Classes) ve bunlara ait öz nitelikler (Attributes), Active Directory Shema yapısını oluşturur. Bu nedenle de Active Directory'i oluşturan ana omurga, Active Directory Schema'dır. Tüm Active Directory nesne (object) ve öz niteliklerin (Attributes) güncellemeleri ve bunlara ait bilgiler Schema Master üzerinde tutulur. Schema Master rolü, Active Directory Schema'nın yönetimi yapmakla birlikte; Class ve Attribute değerlerinde meydana gelen tüm değişiklikler ise Domain Controller'lar arasında replike edilmek suretiyle güncel tutulur.
Bu rol, Forest içerisinde tektir.

● Domain Naming Master
10.2- Bu rol, tıpkı mahallemizin muhtarı gibi görev yapararak, Domain içerisine giren ve çıkan objelerin bilgilerini tutar ve yönetir. Örneğin; Forest içine yeni bir Domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir Domain'in adı değiştirildiğinde ya da Domain isimlerinde çakışma olduğunda,tüm bütün bunların kontrolünü yapan roldür. Bu rolün, Global Catalog rolüne sahip bir Domain Controller Server'da olması tavsiye edilir. Normal şartlarda Domain ortamını ilk kuran Domain Controller üzerinde bulunan bu iki Forest bazlı rol, Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller (DC) üzerinde FSMO rol Transfer işlemi ile taşıma yapmak suretiyle bulunabilir.
Bu rol, Forest içerisinde tektir.

● PDC Emulator
10.3- Bu rol aslında FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, DFS yapısının güncel tutulmasını ve tutarlılığını da sağlar. Tek başına bu rolün taşınması, Primary Domain Controller görevinin başka bir DC'ye aktarılması anlamına gelir ki mevcut DC bu durumda Primary Domain Controller görevinden ayrılacaktır. Ayrıca bu işlem, sadace yeni yesil bir Windows Server versiyonu çıktığında Migration amaçlı değil, mevcut Primary Domain Controller görevi gören Server'ınızın yeni nesil bir Server'a Windows Server işletim sistemi kurularak, Member Server yapılıp, Additional DC haline getirdikten sonra, Primary Domain Controller görevinin bu yeni nesil Windows Server üzerinde devam etmesini de isteyebilirsiniz. Bu nedenle de bu rolün aktarımı çok önemlidir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● RID Master
10.4- Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. RID-Relative Identifier atanırken, Active Directory nesnesinin oluşutuğu Domain altında ilgili Domain'in kimlik numarasıyla beraber atanır ki buna da SID-Security Identifier denir. Her Domain'in kendine ait sabit değerde bir SID-Security Identifier numarası vardır ve atanan her RID-Relative Identifier numarası, bu SID-Security Identifier numarası altında atanır. İşte bu noktada, Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.

RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir. Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar üzerlerinde 500 adet RID numarası bulunurlar (Windows Server 2016 ile birlikte bu sayı 500'e çıkartılmıştı) ve bu RID Master FSMO rolünü tutmayan Domain Controller'lar, bu sayının %50'si tükendiğinde RID master FSMO rolünü üzerinde tutan Domain Controller ile iletişime geçerek, tekrar bir 500'lük RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.

Rid Master Block Size

RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● Infrastructure Master
10.5- Active Directory'de bir kullanıcı nesnesinin Organization Unit (OU) konumu, dolayısı ile de LDAP dizin yolu değiştirildiğinde, Group Policy ayarları da değişmektedir. OU'dan OU'ya taşıma yapılırken Update değişikliklerinden Infrastructure master sorumludur. Domain'ler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgi her daim günceldir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

Yukarıda bahsettiğim "Forest ortamındaki tüm Domain'lerde bulunur." ile "Forest bazında tektir." ifadlerimin altını doldurmam gerkirse;
Örneğin; Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.

Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman  her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, Schema Master ve Domain Naming Master haricindeki 3 FSMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.

FSMO Rolleri
 

FSMO (Flexible Single Master Operation) Rollerinin Transferi

FSMO (Flexible Single Master Operation) rollerinin transferi işlemine başlamadan önce bilmenizde fayda olduğunu düşündüğüm nokta; FSMO rollerinin transferi, başka bir ifade ile başka bir Domain Controller'a ya da birden çok Domain Controller'a taşıma işlemi, sadece bu makalenin konusu olan Migration işlemi için değil, aynı zamanda Load Balancing (yük dengeleme) amacı ile de kullanılabilmektedir. Yukarıda belirttiğimiz 5 rolün, tek bir Domain Controller'de barındırılması gibi zorunluluğun olmadığıdır.

Ben, bu makalemde tüm FSMO (Flexible Single Master Operation) rollerini, rollerin barındırıldığı Windows Server 2008 R2 işletim sistemli Domain Controller'dan, Domain ortamına sonradan eklediğim Windows Server 2022 işletim sistemli Additional Domain Controller'a taşıyarak hem PDC Emulator'ın taşınması ile bu Additional Domain Controller'ı Primary Domain Controller'a dönüştürmüş olacağım ki bu durumda Windows Server 2008 işletim sistemli eski Primary Domain Controller artık Additional Domain Controller olmuş olacak hem de PDC Emulator'dan kalan tüm rollerin taşınması ile tüm Forest ortamından Windows Server 2008 işletim sistemli Domain Controller'ları Demote edebilir, yani ortamdan kaldırabilir duruma gelebileceğim. Bu makalemde FSMO (Flexible Single Master Operation) Rollerinin Transferi işlemlerini GUI (Graphical User Interface) üzeinden yapacağım. Aynı işlemleri alternatif olarak CMD (Command Promt) ya da tek seferde PowerShell ile de gerçekleştirebilirsiniz.

RID Master, PDC Emulator ve Infrastructure Master rollerinin Transferi

11- RID Master, PDC Emulator ve Infrastructure Master rollerin Transfer işlemi, Active Directory Users and Computers üzerinden yapılmaktadır. Herhangi bir öncelik sırası yoktur ancak ben ilk olarak RID Master FSMO rol aktarım işlemini gerçekleştireceğim.

11.1- Tüm Roller, Windows Server 2008 R2 işletim sistemli Domain Controller'da olduğu için, bu DC üzerinde Active Directory Users and Computers'ı açıyor, Domain üzerinde sağ tıklayarak Operations Masters... seçeneğini seçiyorum.

Domain Controller Migration

11.2- Karşıma pencerede RID, PDC ve Infrastructure sekmeleri yer alıyor.
RID sekmesi altında işaretli alan, FSMO rollerinin taşınacağı hedef Domain Controller'ı göstermelidir ancak varsayılan olarak, daha önce herhangi bir değişiklik yapılmadıysa, rollerinin taşınacağı hedef Domain Controller yerine, rollerin tutulduğu Domain Controller'ı gösterecektir. Bu yüzden ilk olarak rollerinin taşınacağı hedef Domain Controller seçimi yapmak zorundayız.

Domain Controller Migration

11.3- Hedef Domain Controller seçim için yine Domain üzerinde sağ tıklayıp, bu sefer Change Domain Controller... seçeneğini seçiyorum.

Domain Controller Migration

11.4- Change Directory Server penceresinde This Domain Controller or AD LDS instance seçeğini seçerek, FSMO rollerinin taşınacağı hedef Domain Controller'ı seçerek OK butonuna basıyorum.

Domain Controller Migration

11.5- Tekrar Domain üzerinde sağ tıklayarak Operations Masters... seçeneğini seçtiğimde, işaretli alanın bu sefer rollerinin taşınacağı hedef Domain Controller olarak değiştiğini görebiliyorum. RID Master FSMO rol Transfer işlemi için Change... butonuna basıyorum.

Domain Controller Migration

11.6- Karşıma çıkan diyalog kutusunda Yes butonuna basarak işlemi onaylıyorum.

Domain Controller Migration

11.7- RID Master FSMO rol Transfer işlemi başarılı bir şekilde gerçekleştirildi.

Domain Controller Migration
Domain Controller Migration

11.8- RID sekmesi altında RID Master FSMO rol Transfer işlemi için yaptığım işlemlerin aynısını PDC Emulator FSMO rolü için PDC sekmesi altında, Infrastructure Master FSMO rolü için ise Infrastructure sekmeleri altında gerçekleştiriyorum.

Domain Controller Migration
Domain Controller Migration
Domain Controller Migration
Domain Controller Migration
Domain Controller Migration
Domain Controller Migration
Domain Controller Migration
Domain Controller Migration

12- Buraya kadarki adımlarda gerçekleştirdiğim işlemlerde; RID Master, PDC Emulator ve Infrastructure Master rollerinin Windows Server 2022 işletim sistemli Domain Controller'a aktardım. Tekrar

netdom query fsmo

PowerShell komutuyla FSMO (Flexible Single Master Operation) rollerini barındıran Domain Controller bilgisini çektiğimde RID Master, PDC Emulator ve Infrastructure Master rollerinin Windows Server 2022 işletim sistemli Domain Controller'a aktarılmıştır. Ek olarak, tek başına PDC Emulator rolünün taşınmasının, bu rolün taşındığı hedef DC'yi Primary Domain Controller görevine getirdiğinden bahsetmiştim. Tekrar

Get-ADDomainController -Discover -Service PrimaryDC

PowerShell komutuyla Primary Domain Controller görevini Windows Server 2022 işletim sistemli Domain Controller'ın üstlendiğini görebiliyorum.

Domain Controller Migration
Domain Controller Migration

Domain Naming Master rol Transferi

13- Domain Naming Master FSMO rol taşıma işlemi, Active Directory Domains and Trusts üzerinden gerçekleştirilmektedir. Bu sefer Active Directory Users and Computers üzerinde Domain üzerinde sağ tıklayıp bu sefer Change Domain Controller... seçeneğini seçtiğimiz gibi, burada bu seçimi yapmıyoruz çünkü Active Directory Users and Computers üzerinde yaptığımız seçim, burada da geçerli olmaktadır.

Active Directory Domains and Trusts üzerinde sağ tıklayarak Operations Masters... seçeneğini seçiyorum.

Domain Controller Migration

13.1- Rollerinin taşınacağı hedef Domain Controller'ın, rolü taşımak istediğim Domain Controller olduğunu görebiliyorum. Domain Naming Master rol Transfer işlemi için Change... butonuna basıyorum.

Domain Controller Migration

13.2- Karşıma çıkan diyalog kutusunda Yes butonuna basarak işlemi onaylıyorum.

Domain Controller Migration

13.3- FSMO rol Transfer işlemi başarılı bir şekilde gerçekleştirildi.

Domain Controller Migration
Domain Controller Migration

Schema Master rol Transferi

14- Schema Master rol Transfer işlemi, Active Directory Schema Management Tool üzerinden yapılmaktadır ancak bu Management Tool, varsayılan olarak Active Directory Users and Computers ve Active Directory Domains and Trusts gibi Administrative Tools içinden erişilebilir durumda değildir.

14.1- Active Directory Schema (Management Tool) erişimi için RUN (çalıştır) üzerinde MMC yazarak Consol açıp, File menüsünden Add/Remove Snap-in... seçeneğini seçiyorum.

Domain Controller Migration

14.2- Açılan pencerede sol taraftaki listede Active Directory Schema'nın görülmediğini göreceksiniz.

Domain Controller Migration

14.3- Bunu görünür hale getirebilmek için RUN (çalıştır) üzerinde regsvr32 schmmgmt.dll komutunu kullanarak schmmgmt.dll'ini tetikletiyorum.

Domain Controller Migration
Domain Controller Migration

14.4- schmmgmt.dll'ini tetiklettikten sonra Active Directory Schema görünür hale geldi. Tool'u seçerek ortadaki Add > butonuna basarak listenin sağ tarafına aldıktan sonra OK butonuna basarak pencereyi kapatıyorum.

Domain Controller Migration

14.5- Active Directory Schema üzerinde sağ tıklayıp, açılan menüden Operations Master... seçeneğini seçiyorum.

Domain Controller Migration

14.6- Active Directory Users and Computers üzerinde RID, PDC ve Infrastructure sekmeleri altında olduğu gibi Schema Master rolünün taşınacağı hedef Domain Controller yerine, rollerin tutulduğu Domain Controller'ı göstermektedir.

Domain Controller Migration

14.7- Hedef Domain Controller seçim için yine Active Directory Schema üzerinde sağ tıklayıp bu sefer Change Active Directory Domain Controller... seçeneğini seçiyorum.

Domain Controller Migration

14.8- Change Directory Server penceresinde This Domain Controller or AD LDS instance seçeğini seçerek, FSMO rollerinin taşınacağı hedef Domain Controller'ı seçerek OK butonuna basıyorum.

Domain Controller Migration

14.9- Tekrar Active Directory Schema üzerinde sağ tıklayarak Operations Masters... seçeneğini seçtiğimde işaretli alanın bu sefer rollerinin taşınacağı hedef Domain Controller olarak değiştiğini görebiliyorum. RID Master FSMO rol Transfer işlemi için Change... butonuna basıyorum.

Domain Controller Migration
Domain Controller Migration

14.10- Karşıma çıkan diyalog kutusunda Yes butonuna basarak işlemi onaylıyorum.

Domain Controller Migration

14.11- Schema Master FSMO rol Transfer işlemi başarılı bir şekilde gerçekleştirildi.

Domain Controller Migration
Domain Controller Migration

15- 5 adet FSMO rolünün Windows Server 2022 işletim sistemli Domain Controller'a aktarım işlemini tamamlamış oldum. Tekrar

netdom query fsmo

PowerShell komutuyla FSMO (Flexible Single Master Operation) rollerini barındıran Domain Controller bilgisini çektiğimde RID Master, PDC Emulator ve Infrastructure Master rollerinin Windows Server 2022 işletim sistemli Domain Controller'a aktarılmıştır.

Domain Controller Migration
Domain Controller Migration

Migration sonrası Domain Functional Level (DFL) ve Forest Functional Level (FFL) Durumu

Microsoft, piyasaya sürüldüğü her yeni nesil Windows Server işletim sistemine ek fonksiyonellik ve daha güçlü, daha kullanışlı özellikler eklemektedir ve bu yeni nesil işletim sistemlerinin geriye dönük uyumlu çalışmasını da istemektedir. Bu fonksiyonellik seviyeleri, ortamdaki Domain Controller'larda hangi gelişmiş özelliklerin yer alıcağını belirlemektedir. Burada seviyeyi belirleyen etken, en eski işletim sistemidir. Functional Level’ların yükseltilmesi; piyasaya sürülen yeni versiyon Windows Server'ların ek özelliklerini kullanabileceğiniz anlamına gelmektedir.

Migration için tüm işlemlerimizi tamamladıktan sonra Windows Server 2022 işletim sistemli sunucumuzu Primary Domain Controller olarak tanımladık. Forest'ımızdaki en güncel Windows Server işletim sistemi artık Windows Server 2022'dir ancak Domain Controller Migration işlemi gerçekleştirmeden önce Windows Server 2008 R2 işletim sistemi üzerinde çalışan Primary Domain Controller'ımızın Forest Functional Level'ı (FFL)'ı, kendisinin alabileceği en yünsek FFL değeri olarak Windows Server 2008 R2, Domain Functional Level'ı (DFL) ise, yine kendisinin alabileceği en yüksek değer olan Windows Server 2008 R2 seviyesindeydi.

Windows Server 2022 işletim sistemli sunucuyu mevcut Domain ortamında Additional Domain Controller olarak yapılandırdığımda Domain Controller olarak yapılandırdığım sunucu işletim sistemi, versiyon olarak mevcut Domain Controller'ın üstünde olsa bile Domain ortamı, Windows Server 2008 R2 işletim sistemli sunucu ile kurulduğu ve Promote etme adımında bu Functional Level seviyeleri bu şekilde seçildiği için mevcut Domain ortamında Additional Domain Controller olarak yapılandırılan üst versiyon sunucu, bu mevcut Funtional Level seviyelerine aynen olduğu gibi sahip olacaktır. Yani, Domain Controller Migration işlemi sonrasında Windows Server 2022 işletim sistemli Domain Controller'ın Primary Domain Controller olması, Functional Level değişliği yapmayacaktır.

16- Windows Server 2022 işletim sistemli Primary Domain Controller üzerinde

Get-ADRootDSE | fl domainFunctionality, forestFunctionality

PowerShell komutuyla Domain Functional Level ve Forest Functional Level seviyelerinin Windows Server 2008 R2 olduğunu görüyorum.

Domain Controller Migration

17- Windows Server 2022 işletim sistemli Primary Domain Controller üzerinde

Get-ADGroupMember 'Domain Controllers'

PowerShell komutunu çalıştırarak mevcut ortamımdaki tüm Domain Controller'ların bir listesini alıyorum.

18- Aynı şekilde yine Windows Server 2022 işletim sistemli Primary Domain Controller üzerinde

Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem | FT -AutoSize -Wrap

PowerShell komutunu çalıştırarak benzer şekilde mevcut ortamımdaki tüm Domain Controller'ların Host Name ve işletim sistemi versiyon bilgilerini alıyorum.

Domain Controller Migration

Domain Functional Level (DFL) ve Forest Functional Level (FFL) Raise Etme (yükseltme)

Domain Controller Migration işleminden sonra mevcut Forest ortamınızda, ör. herhangi bir uygulama bağımlılığı sebebi ile, eski versiyon Domain Controller barındırma zorunluluğunuz yoksa, eski versiyon Domain Controller(lar)ın Forest ortamında bulunmasının da bir anlamı olmaycaktır. Çünkü Forest ortamınızda Domain Controller olarak en yüksek işletim sistemli Windows Server versiyonu artık Windows Server 2022 olduğu için, bu versiyonun getirdiği fonksiyonellik seviyeleri ile daha üst seviyedeki Windows Server fonksiyonellik nimetlerinden yararlanmanız faydanıza olacaktır.

Functinal Level'lar, piyasaya sürülen yeni versiyon Windows Server'ların ek özelliklerini kullanabileceğiniz anlamına geldiği gibi, aynı zamanda da ortamınızda barındırabileceğiniz Domain Controller'ların hangi versiyonda olabileğini de belirleyen unsurlardır. Functional Level kavramı ile daha derin ve detaylı bilgiye, Forest Functional Level (FFL) ve Domain Functional Level (DFL) Kavramı makalemden ulaşabilirsiniz.

19- Bu bilgiler ışığında mevcut Forest ortamınızdaki eski versiyon Domain Controller'ları Demote işlemine tabi tutmadan, yani Forest ortamından tamamen kaldırmadan, Functional Level Raise Etme, yani yükseltme işlemi yapamazsınız. Functional Level Raise Etme işlemi yapmaya kalktığınızda ise aşağıdaki hata ile karşılaşırsınız.

Domain Controller Migration

20- Mevcut Forest ortamımdaki eski versiyon Windows Server 2008 R2 Domain Controller'ımı Demote etmek suretiyle tamamen kaldrım. Windows Server 2022 işletim sistemli Primary Domain Controller üzerinde

Get-ADGroupMember 'Domain Controllers'

PowerShell komutunu çalıştırarak mevcut ortamımdaki Domain Controller'ların bir listesini alıyorum. Görüldüğü gibi artık Forest ortamımda hiç bir eski versiyon Domain Controller bulunmuyor.

NOT: Makalemin bu kısmında, arka planda, Windows Server 2008 R2 işletim sistemli Domain Controller'ı Demote ettim.

21- Aynı şekilde yine Windows Server 2022 işletim sistemli Primary Domain Controller üzerinde

Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem | FT -AutoSize -Wrap

PowerShell komutunu çalıştırarak benzer şekilde mevcut ortamımdaki tüm Domain Controller'ların Host Name ve işletim sistemi versiyon bilgilerini alıyorum.

Domain Controller Migration

22- Artık Forest ortamımda hiç bir eski versiyon Domain Controller bulmadığına göre, Domain Functional Level (DFL) ve Forest Functional Level Raise etme işlemini gerçekleştirebilirim. Bunun için,

Set-ADDomainMode -identity firatboyan.local -DomainMode Windows2016Domain -confirm:$false
Set-ADForestMode -Identity firatboyan.local -ForestMode Windows2016Forest -confirm:$false

PowerShell komutlarını çalıştırak, Domain Functional Level (DFL) ve Forest Functional Level seviyelerimi Windows Server 2016 seviyesine yükseltiyorum.

NOT: Microsoft, Windows Server 2022'de de yeni bir Functional Level yükselemesi gerçekleştirmedi. Bu nedenle Windows Server 2022'de Raise edilebilecek en yüksek seviyeli Functional Level, Windows Server 2016'dır.

Domain Controller Migration

Faydalı olması dileğiyle...

TAGs: Windows Server 2022 yenilikleri, AD Migration nasıl yapılır?, DC geçişi, Adım adım Domain Controller Migration, 2008'den 2022'ye DC geçişi


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 1 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


21.11.2023 Mesut Çevik
Emeğinize sağlık, gayet güzel bir çalışma, başarılarınızın devamını dilerim.