Windows Server 2016’da Active Directory Domain Controller Kurulumu

Windows Server 2016 Active Directory kurulumu, mevcut Windows Server'lar ile aynıdır ancak kurulum aşamasında bazı değişiklikler bulunmaktadır. Örneğin Windows Server 2000'den başlayarak Windows Server 2008 Server'lara kadar devam eden Active Directory kurma ve kaldırma, sadece dcpromo komu ile yapılıyordu, ancak Windows Server 2012 ve Microsoft'un yeni nesil Server işletimi olan Windows Server 2016 ile birlikte artık dcpromo hayatımızdan çıkmış bulunmakladır. Windows Server 2016'da Active Directory Directory Kurulumu ile birlikte ortamda kuracağımız ilk Active Directory, dolayısı ile de ilk Domain Contoller olacağı için, aynı zamanda Primary Domain Controller kurulumu gerçekleştirmiş olacağız. Windows Server 2016 üzerinde Adım adım Active Directory kurulum aşamasına geçiyorum.

1- Active Directory Kurulumuna geçmeden önce Host Name tanımlanmalıdır. Zorunluluk olmamakla birlikte, size anlamlı gelecek bir Host Name belirlemek, faydanıza olacaktır. Ben makalemdeki server Host Name'ini winsrv2016-001 şeklinde kullanıyor olacağım. Server adı, kurulum yapıldıktan sonra da değiştirilebilir ama bu asla tavsiye edilen bir yöntem değildir.





2- Windows Server için TCP/IP ayarlarını statik yapılanmamız gerekmektedir. Domain Controller'ların IP adresleri statik olmak zorundadır. Eğer dinamik bir IP yapılandırması üzerinde kurulum yapmaya kalkıyorsanız, kurulum size IP yapılandırmanızı statik yapıya geçirmeniz gerektiği konusunda uyarı verecektir. Buradaki en önemli parametre, DNS ayarıdır. Active Directory DNS ile birlikte çalışmatadır. DNS çalışmazsa, Active Directory de çalışmayacaktır. DNS ayarı olarak Domain Controller(DC)'ın kendisini vermemiz gerekmemektedir. Ortamda çalışan başka bir DNS Server'ın IP'si de verilebilir. Ancak hem DNS kurulumu hem de yapılandırma kolaylığı açısından genellikle Primary Domain Controller ile birlikte DNS de aynı server üzerine kurulur. Bu yüzden ben de DNS adresini Primary Domain Controller olarak yapılandırdığım ve Active Directory Kurulumu yaptığım Server'ın kendi adresini verdim.



3- Domain kurulumu tamamlandığında, DNS üzerinde SRV kayıtlarının sorunsuz oluşturulabilmesi için TCP/IP üzerinde DNS sekmesinde Register this connection's addresses in DNS seçeneği işaretli olmalıdır. Active Directory Kurulumu için gerekli olan Host Name, IP Adresi ve DNS IP yapılandırmalarını tamamladıktan sonra, öncelikle Server Manager üzerinden Active Directory Domain Services rolünü yüklememiz gerekiyor.




4- Server Manager üzerinden Manage > Add Roles and Features seçeneğini seçerek bunun üzerinden üzerinden Active Directory Domain Services yükleyeceğim.



5- Installation Type alanında Role-based seçeneğini seçiyorum.



6- Server Selection alanında Active Directory'nin hangi Server'a kurulacağını seçiyorum.



7- Server Selection alanında Active Directory'nin hangi Server'a kurulacağını seçtikten sonra Server Roles alanında Active Directory Domain Services seçeneğini işaretliyorum.



8- Active Directory Domain Services seçeneğini işaredikten sonra, gerekli Feature'ların kurulacağını söylüyor, burada Add Features butonuna tıklıyor, gerekli Feature'ların kurulumlarını sağlıyorum.





9- Active Directory Kurulumu ile birlikte DNS Server kurulumunu da yapmak istediğim için, yine Server Roles alanında DNS Server seçeneğini seçiyorum.



10- DNS Server seçeneğini işaredikten sonra, gerekli Feature'ların kurulacağı bilgisi veriliyor, burada Add Features butonuna tıklıyor, gerekli Feature'ların kurulumlarını sağlıyorum.





11- Active Directory Domain Services ve DNS Server rollerini işaretledikten sonra Next butonuna basak devam ediyorum.



12- Active Directory Domain Services ve DNS Server rollerinin seçiminden sonra, Features alanında herhangi ek Feature yüklemeyeceğim için, herhangi bir değişiklik yapmadan Next butonuna basak devam ediyorum.



13- Confirmation alanında Kurulum yapacağım Role ve Feature bilgileri yer alıyor. Bu alanda Install botonuna basarak Active Directory Domain Services ve DNS Server servisleri ve ilgili özellikleri yükleme işlemine başlıyourm.



14- Results alanında Active Directory Domain Services ve DNS Server servis ve özellik yükleme işleminin tamamlandığı bilgisi veriliyor. Close butonuna basarak Add roles and features Wizard penceresini kapatıyorum.



15- Buraya kadar sadece Active Directory Domain Services ve DNS Server servisleri ve bunlara bağlı özelliklerin yüklenme işlemi yapıldı. Şimdi sıra, Active Directory kurulum işlemine yani Primary Domain Controller Kurulum işlemine geldi. Active Directory kurulumunu gerçekleştirebilmek için, Server Manager üzerindeki Notifications üzerinde tıklıyorum. Karşıma, Promote this server to a domain controller seçeneğine tıklıyorum.



16- Deployment Configuration alanında Add a new forest seçeneğini işaretledikten sonra Root domain name alanına kullanmak istediğim Domain adını yazıyorum. Ben, firatboyan.com Domain Name'i kulanmayı tercih ettim. Domain ismini verirken mutlaka DNS standartlarına uygun bir isim vermek zorundayız. Bunlardan en önemlisi, Domain ismi verirken uzantı olarak .local, .com, .net, .com.tr gibi uzantıları kullanmamızdır. Fakat genelde iç Network ortamlarında .local uzantısı tercih edilmektedir.



17- Domain Controller Options alanında Functinal Level belirleme işlemini yapacağız. Functional Level seviyesi çok önemlidir! Bu nedenle Domain Functional Level (DFL) ve Forest Functioanal Level (FFL) Nedir? konulu makalemi dikkatlice okumanızı tavsiye ederim ancak yine de kısaca belirtecek olursam; Active Directory Domain kurulumu işlemini hangi Windows Server işletim sistemi versiyonu ile gerçekleştiriyorsanız, Functional Level seviyeleri da o işletim sistemi seviyesinde olacaktır ve Domain ortamına, Domain kurulum işlemi yaptığınız Server işletim sistemi versiyonundan daha alt sürümde bir Windows Server işletim sistemi sürümüne sahip Domain Controller kurulumu gerçekleştiremezsiniz.

Ayrıca, eğer Forest ortamınızda (Ör. Child Domain) daha sonradan Windows Server işletim sistemlerinden olan Windows Server 2012 R2 ya da Windows Server 2008 R2 gibi işletim sistemi versiyonları ile Domain Controller kurulumları yapacaksanız, Forest Functional Level'ınız, ortamındaki en düşük seviyeli Server işletim sistemine göre ayarlamanız gerekmektedir. Child Domain'lerinizdeki Domain Controller'ların da Domain Functional Level (DFL) seviyeleri de Forest Functional Level (FFL) seviyenize göre olacaktır. Ek olarak, burada en son sürüm olan Windows Server 2016 ile gelen özelliklerden faydalanamama gibi bir durum meydana çıkıyor. Bu nedenle de bu adımdaki planlama iyi yapılmalıdır. Nitekim şöyle de bir durum var ki Ör. Forest Functional Level seviyenizi Windows Server 2012 R2 seviyesinde seçtiğinizde, Domain Functional Level seviyesnizi de yine Windows Server 2012 R2 işletim sistemi versiyonunu seçebilme imkanına sahip olursunuz ki bu durumda da yukarıda bahsettiğim durum geçerli olmayacaktır yani Domain ortamınızı Windows Server 2016 işetim sistemi versiyonu ile kursanız bile, bu örneğimize göre Windows Server 2012 R2 işletim sistemli bir Domain Controller kurulumu gerçekleştirebilirsiniz. Specify domain controller capabilities altında;

● Domain Name System (DNS) server: Active Directory Promote etme işlemi sırasında DNS Server kurulumu için varsayılan haliyle bırakıyorum.

● Global Catalog (GC): Global Catalog, Domain Controller(lar) üzerinde bulunan bir hizmettir. Bu hizmeti yürüten Domain Controller'a aynı zamanda Global Catalog Server da denmektedir. Global Catalog, Forest içinde (Child Domain barındırsın ya da barındırmasın) Active Directory nesnelerinin bir index bilgisini tutar. Bu Index bilgisi; Active Directory nesnelerinin Domain Naming (DN) bilgileri ile birlikte, yaklaşık 1400 tane içinde, sınırlı Attribute (öz nitelik) bilgileridir. Bu sınırlı sayı içinde ise en çok başvurulan Attribute (öz nitelik) bilgileri bulunmaktadır. Daha başka bir ifade ile, elinize aldığınız bir kitabın içindekiler bölümünde hangi sayfada hangi konular yazıyor ise, benzer şekilde Domain Naming (DN) bilgileri ile, Active Directory nesnelerinin dizin bilgileri ve sahip olduğu Attribute (öz nitelik) bilgileri ile aranan nesnelerin sorgulanıp, bulunmasını sağlar. İlk kurulan Domain ortamında, yani Primary Domain Controller kurulumu ile, Global Catalog kurulması zorunludur ki seçeneği kaldırma şansınız da yoktur. Additional Domain Controller kurulumlarında Server'ın Global Catalog olarak kurulup kuruplmayacağı sizin tercihinizdir ancak yedeklilik amacıyla her Domain Controller'ın Global Catalog olarak yapılandırılması tavsiye edilir. Universal grupların üyelik bilgileri de Global Catalog Server'larde tutulur. Kullanıcınız bir Universal Group üyesi ise ve Network'te aktif hiçbir Global Catalog yok ise, Logon olamazsınız. Bunun tek istisnası, Domain Admins grubu üyeleridir. Bu grubun üyeleri, ortamda aktif bir Global Catalog (GC) olmasa bile, her zaman Logon olabilirler.

● Read only domain controller (RODC): NTDS.DIT Database'i salt okunur olan Domain Controller'dır. Genellikle Network ortamlarındaki güvenliğin tam olarak oturmadığı ortamlarda güvenlik sebebiyle kurulan bir Domain Dontroller türüdür ancak Pimary Domain Controller kurulum sırsında bu seçenek aktif gelmez. Ancak Additional Domain Controller kurulumu sırasında kurulumu tercihe bağlıdır.





● Type the Directory Services Restore Mode (DSRM) password: Active Directory Recovery işlemi için kullanılacak olan Local Administrator hesabına atanan bir paroladır. Bu parola, Domain Controller makinasına Domain Administrator hesabı ile erişilebildiği yani oturum açma işlemi sağlanabildiği sürece NTDSUTIL komutu ile istendiği zaman değiştirilebilir ancak yine de unutmamanızda fayda var. Tüm gerekli ayarlar yapılandırıldıktan sonra Next butonuna basarak ilerliyorum.



18- Additional Options alanında Domain'imizin Domain NetBIOS isim bilgisi karşımıza çıkıyor. Domain NetBIOS isim bilgisi, Add new forest seçeneğini seçtikten sonra Root domain name alanına yazmış olduğum Domain adının Suffix bilgisi (.com) olmayan hali ile karşımıza çıkmaktadır. En önemli nokta, Domain ortamınızdaki hiçbir bilgisayarın Host Name bilgisini Domain NetBios isim bilgisi ile aynı olacak şekilde belirlememeniz gerektiğidir!



19- Paths alanında Active Directory'e ait Database ve Log dosyalarının kurulacağı klasör ile Sysvol paylaşım klasörünün kurulacağı dizin yolunu belirtiyoruz. Bu dizin yolu bilgisi Active Directory Database ve Log dosyaları için varsayılan olarak C:\Windows\NTDS dizin yolunu, Sysvol klasörü için varsayılan olarak C:\Windows\SYSVOL dizin yolunu gösterir.

Bu arada SYSVOL paylaşım klasörü çok önemlidir. Bu paylaşım klasörü, tüm Domain Controller'larda Active Directory kurulumu ile birlikte otomatik olarak oluşturulur ve paylaşıma açılır. Bu paylaşım klasörü içinde Group Policy Objects (GPO) dediğimiz Group Policy nesnelerine yapılandırma ayarlarının bilgileri ve Logon Script bilileri yer almaktadır. Bu klasör içindeki tüm bilgiler DFSR (Distributed File System Replication) servisi üzerinden Domain ortamındaki tüm Domain Controller'lara replike olur ve Domain üyesi bir Client PC, hangi Domain Controller üzerinden Authentication yani kimlik doğrulama işlemini gerçekleştirmişse, o Domain Controller üzerindeki SYSVOL paylaşım klasörüne erişim sağlayarak Group Policy bilgilerini ve varsa Logon Script bilgilerini öğrenir.



20- Review Options alanında Next butonu ile kuruluma devam ediyorum.



21- Prerequisites Check alanında gereksinimlerin sağlanıp sağlanmadığı kontrol edilir. Install butonuna basarak Active Directory Domain kurulum işlemine başlıyorum.





22- Results alanında Active Directory Domain Services ve DNS Server servis)ve özellik yükleme işlemi tamamlandıktan sonra Windows Server 2016 işletim sistemimiz otomatik olarak yeniden başlatılacaktır.

23- Windows Server 2016 Active Directory Domain Controller Kurulum işlemi başarışı bir şekilde tamamlanmıştır. Şimdi Domain Administrator yetkili kullanıcı hesabımla, kurulum sırasında Local Administrator için verdiğimiz parola bilgisini kullanarak Domain Controller makinamda oturum açıyor, Domain ortamıma ilk adımı atıyorum.





24- Active Directory Domain ortamının kurulumundan sonra, Active Directory ortamının sağlı bir şekilde kurulup, sağlıklı bir şekilde çalıştığından emin olmak için, Active Directory Users and Computers'ı açıyorum.



25- Active Directory ortamının sağlı bir şekilde kurulup, sağlıklı bir şekilde çalıştığından emin olmanın en önemli yötemlerinden biri de \\Host Name ya da \\IP Adresi şeklinde UNC (Universal Naming Convention) Path'i üzerinden erişim sağlayarak NETLOGON ve SYSVOL klasörlerini kontrol etmektir. NETLOGON ve SYSVOL klasörlerinin, Active Directory ortamının kurulumu ile birlikte varsayılan olarak kurulan ve paylaşıma açılan iki temel klasör olduğu bilgisini vermiştim.



26- Active Directory ortamının sağlı bir şekilde kurulup, sağlıklı bir şekilde çalıştığından emin olmak için son olarak DNS Manager'ı çalıştırarak, Domain zone altındaki _tcp ve _udp kayıtlarını kontrol etmektir. Bu noktada _tcp'de 4, _udp'de ise 2 kayıt görmemiz gerekmektedir.





Windows Server 2016 Active Directory Domain Controller Kurulumu işlemini başarılı bir şekilde tamamladık.

Faydalı olması dileğiyle...