Windows Server 2019'da Active Directory Domain Kurulumu

Bu makalemde sizlere Microsoft'un yeni nesil Server işletim sistemi olan Windows Server 2019'da Primary Domain Controller (PDC) kurulumundan bahsedeceğim.
Makaleme başlamdan önce, Domain Controller Nedir? buna kısaca değinmekte fayda görüyorum.

Domain Controller (DC), başka bir ifade ile Etkli Alanı Yöneticisi, şirket yapınızdaki bilgisayar ağlarınızın, bilgisayar sistemlerinizin çatısını oluşturmaktadır. Bu çatıyı kurabilmek için; Server (sunucu) bilgisayar dediğimiz bir makinaya (fiziksel ya da sanal) Windows Server ailesinden bir işletim sistemi kurup, bu Server (sunucu) bilgisayarı, Domain Controller (DC) olarak yapılandırtan sonra, bilgisayar sistemlerinizin çatısını oluşturur, tüm bilgisayar sistemlerinizi (diğer Server (sunucu) bilgisayarlar da dahil olmak üzere) bu Domain Controller (DC) üzerinden tek noktada yönetebilir duruma gelirsiniz.

Domain Contoller ile tüm sistemin tek noktadan yönetiminin getirdiği fayda ve avantajlardan bazılarını aşağıdaki gibi sıralayabiliriz.

● Domain içerisindeki her Object’nin (nesne) bilgileri Active Directory Database’de depolanır.
● Global Catalog sayesinde tüm Domain yapısının bilgisi kendi bünyesinde barındırılır.
● Active Directory Users and Computers ile tüm kullanıcı ve bilgisayar hesapları tek merkezden yönetilir ve Domain ortamındaki her Domain Controller, birbirleri ile replikasyon yaparak yedeklilik sağlanır.
● Client (istemci) bilgisayarlardan gelen tüm isteklere cevap vererek, gerekli yönlendirmeleri yapar, Logon trafiğini yönetir.
● Her bir Site’a kurulacak Additional Domain Controller (Ek Etki Alanı Yöneticisi) sayesinde, Active Directory Sites and Services ile Logon işlemleri, sadece ilgili Site üzerinden yapılarak, performans sağlanır.
● Group Policy (grup ilkesi) sayesinde Domain (ektki alanı) içerisinde güvenlik ilkeleri oluşturularak, güvenlik sağlanır.
● DNS Server sayesinde Domain ortamındaki Host Name-IP, IP-Hostname çözümlemeleri yapılarak, daha performanslı bir iletişim sağlanır.
● DHCP Server sayesinde Network ortamındaki tüm bilgisayarların IP Adres yönetimleri merkezi konumdan yapılır.
● Active Directory Domains and Trusts yardımı ile, diğer Domain’ler ile Trust Relationship (güven ilişkisi) kurarak, Forest ortamınızı genişletebilirsiniz.

NOT 1: Tüm bunları bir Work Group ortamında sağlamamız mümkün olmayacaktır. Bu nedenle, Domain Controller kurulumu ile tüm yönetim işlemlerinizi tek Domain çatısı altında toplayarak, yönetiminizi merkezileştirmiş olursunuz.

Uyarı!: Windows Server 2019'da Primary Domain Controller (PDC) kurulum işlemine başlamadan önce mutlaka Network Interface Card'ınızın Statik IP ile yapılandırıldığından, zorunlu olmamakla birlikte, Host Name'inzin değiştirildiğinden emin olun.

Windows Server 2019'da Active Directory Domain Kurulumu işlemine geçmeden önce yapılması gereken Host Name, ve statik IP adresi yapılandırması gibi işlemlerin PowerShell üzerinden nasıl yapılacağını göstermek istiyorum.

PowerShell Üzerinden Host Name ve Statik IP adresi Yapılandırması

1- Get-WmiObject Win32_ComputerSystem komutu ile öncelikle, Server makinamın Host Name'ini kontrol ediyorum.



2- Rename-Computer -ComputerName "WIN-BEN4V208IA3" -NewName "SRV001" komutu ile mevcut Host Name'i SRV001 olarak değiştiriyorum. Host Name değişikliği, zorunlu bir işlem olmamakla birlikte, akılda kalıcı daha basit bir Host Name ile değiştirmek, yönetimsel açıdan daha kolay olacaktır. Değişim işlemini gerçekleştirdikten sonra, sunucumuzu bir kez Restart ederek, değişikliklerin uygulanmasını sağlıyoruz.



3- Restart işleminden sonra sunucu Host Name'inin SRV001 olarak değiştiğini görebiliyoruz.



4- Bir sonraki adım, sunucumuza sabit bir IP adresi tanımlaması yapmak olacak. Ama öncelikle, sunucumda yüklü olan Network Interface Card'ları, netsh interface ipv4 show address komutu yardımıyla görüntülüyorum. Sunucumda yüklü olan NIC, Ethernet0 isminde görünüyor.



5- Dilğerseniz, yüklü olan Network Interface Card'ın ismini de

komutu yardımıyla değiştirebilirsiniz.



6- Sunucumuza sabit IP adresi tanımlaması için;

komutunu kullanmamız yeterlidir.
Bu komut yardımıyla;
● Sabit IP Adresi
● Subnet Mask
● Default Gateway

tanımlamaları yapmış oldum.



6.1- Tanımlamaları, ipconfig komutu yardımıyla da görüntüleyebilirsiniz.



7- Sabit IP adresi tanımlaması yaptıktan sonra sıra, yine sabit DNS IP adresi tanımlama işlemine geldi. Bu işlem için;

komutunu kullanmamız yeterlidir.



7.1- Tanımlamaları, ipconfig /all komutu yardımıyla da görüntüleyebilirsiniz.



8- Host Name değişikliği, statik IP adresi tanımla gibi tüm ön yapılandırma ayarlarımızı tamamladıktan sonra sıra, Active Directory Domain Services rolünü kurmaya geldi.

8.1- Active Directory Domain Services rolünü kurmadan önce, sunucumdaki yüklü olan tüm rol ve servislerin listesini

komutu yardımıyla alıyorum. Görüldüğü gibi, Active Directory Domain Services rolü kurulu değil.



Tüm bu ön yapılandırma hazırlıklarının tamamlanmasının ardından sıra, Windows Server 2019'da Active Directory Domain kurulum işlemine geldi.

Domain Controller Kurulum işlemi iki aşamadan oluşmaktadır.
1. Active Directory Domain Services Kurulumu.
2. Active Directory Domain Controller'a Promote Etme.

1. Active Directory Domain Services Kurulumu

1.1- Server Manager'a giriyoruz. Manage menüsünden Add roles and features seçeneğini seçerek Add Roles and Features Wizard seçeneğine basıyorum.




1.2- Installation Type alanında Role-based or fature-based installation seçeneğini seçiyor, Windows Server 2019'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.



1.3- Server Selection alanında Active Directory'nin hangi Server'a kurulacağını seçtikten sonra, Server Roles alanında Active Directory Domain Services'i işaretliyorum.




1.3.1- Active Directory Domain Services'i işaretledikten sonra, servis ile ilişkili zorunlu Feature'ların yükleneceği bilgisi veriliyor. Add Features seçeneğini seçiyor, Windows Server 2019'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.





NOT 2: Active Directory Primary Domain Controller kurulumu ile birlikte DNS Server kurulumu da yapılmaktadır. Server Roles alanında bu servisi seçmesek bile, Promote etme işlemi sırasında da DNS Server'ı kurup kurmayacağımızı seçebiliyoruz.

1.4- Active Directory Domain Services ve DNS Server rollerinin seçiminden sonra, Features alanında herhangi ek Feature (özellik) yüklemeyeceğim için, Windows Server 2019'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.



1.5- Confirmation alanında Kurulum yapacağım rol (servis) ve Feature (özellik) bilgileri yer alıyor. Bu alanda Install botonuna basarak Active Directory Domain Services ve DNS Server rol (servis) ve Feature (özellik) yükleme işlemine başlıyorum.



1.6- Windows Server 2019'da Primary Domain Controller (PDC) kurulumu ilk aşamasında Active Directory Domain Services Kurulumu işlemi başladı.





1.7- Windows Server 2019'da Primary Domain Controller (PDC) kurulumu ilk aşamasında Active Directory Domain Services Kurulumu işlemi tamamlandı. Close butonuna basarak Wizard'ı sonlandırıyorum.

2. Active Directory Domain Controller'a Promote Etme

1.8- Active Directory Domain Services Kurulumu işlemi tamamlandıktan sonra Server Manager sağ üst köşedeki bayrak simgesi altında sarı renkte ünlem işareti çıkmaktadır. Bunun anlamı, genelde, yüklediğiniz bir servis sonrası sizden yapılandırma ayarlarını tamlamanızı bekliyor olmasıdır. Üzerine tıkladığınızda, Configuration required for Active Directory Domain Services yazılı uyarı mesajının altında Promote this server to a domain controller seçeneğine tıklıyor, Active Directory Domain Controller kurulum işlemini başlatıyorum.



3. Promote this server to a domain controller seçeneğine tıkladıktan sonra karşımıza Active Directory Domain Services Configuration Wizard penceresi çıkıyor. Bu Wizard üzerinde;

3.1- Deployment Configuration adımında;
3.1.1- Select the deployment operation altında;
• Add a domain controller to an existing domain: Bu seçenek ile, mevcut Domain yapısı üzerine bir Additional DC kurulumu gerçekleştirilir.



• Add a new domain to an existing forest: Bu seçenek ile, mevcut Domain yapısı üzerine bir Child Domain kurulumu gerçekleştirilir.



• Add a new forest: Bu seçenek ile, yeni bir Domain yapısı kurulumu gerçekleştirilir.



Bilgi!: Burada Domain adı belirlerken, Domain adından sonra . (Nokta) koyularak bir Suffix (son ek) belirleniz ki bu Suffix, LAN ortamında genellikle .local şekilde olabiliyor. Bu bir tercih meselesidir. . (Nokta) koyulmadan devam edilmesi halinde ise hata verecektir.



3.1.2- Yeni bir Domain ortamı kuruyor olduğum için ben, Add a new forest seçeneğini seçerek, Root domain name alanına .com Suffix'i ile firatboyan.com Domain adını giriyor, Next butonuna basarak ilerliyorum.



4. Domain Controller Options adımında;

4.1- Select functional level of the new forest and root domain altında Windows Server 2019'da Functional Level'ların Windows Server 2016 olarak kaldığını, yani Windows Server 2019'a özel yeni bir foknsiyonellik özelliğinin gelmediğini anlıyoruz. Burada Functional Level seviyelerinizi ihtiyacınıza göre belirleyebilirsiniz. Functional Level ile iligli detaylı bilgiyi de Domain ve Forest Functional Level Raise Etme isimli makalemi okuyarak edinebilirsiniz ancak burada bazı teknik bilgileri vermeden geçmek istemiyorum.

Active Directory Domain kurulumu işlemini hangi Windows Server işletim sistemi versiyonu ile gerçekleştiriyorsanız, Domain Functional Level (DFL) da o işletim sistemi seviyesinde olacaktır ve Domain ortamına, Domain kurulum işlemi yaptığınız Server işletim sistemi versiyonundan daha alt sürümde bir Windows Server işletim sistemi sürümüne sahip Domain Controller Kurulumu gerçekleştiremezsiniz

Ayrıca, eğer Forest ortamınızda (Ör. Child Domain) daha sonradan Windows Server işletim sistemlerinden olan Windows Server 2012 R2 ya da Windows Server 2008 R2 gibi işletim sistemi versiyonları ile Domain Controller kurulumları yapacaksanız, Forest Functional Level'ınız, ortamındaki en düşük seviyeli Server işletim sistemine göre ayarlamanız gerekmektedir. Child Domain'lerinizdeki Domain Controller'ların da Domain Functional Level (DFL) seviyeleri de Forest Functional Level (FFL) seviyenize göre olacaktır. Ek olarak, burada en son sürüm olan Windows Server 2016 ile gelen özelliklerden faydalanamama gibi bir durum meydana çıkıyor. Bu nedenle de bu adımdaki planlama iyi yapılmalıdır.

4.2- Specify domain controller capabilities altında;

4.2.1- Domain Name System (DNS) server: Active Directory Promote etme işlemi sırasında DNS Server kurulumu için varsayılan haliyle bırakıyorum.

4.2.2- Global Catalog (GC): Global Catalog, Domain Controller(lar) üzerinde bulunan bir hizmettir. Bu hizmeti yürüten Domain Controller'a aynı zamanda Global Catalog Server da denmektedir. Global Catalog, Forest içinde (Child Domain barındırsın ya da barındırmasın) Active Directory nesnelerinin bir index bilgisini tutar. Bu Index bilgisi; Active Directory nesnelerinin Domain Naming (DN) bilgileri ile birlikte, yaklaşık 1400 tane içinde, sınırlı Attribute (öz nitelik) bilgileridir. Bu sınırlı sayı içinde ise en çok başvurulan Attribute (öz nitelik) bilgileri bulunmaktadır.

Daha başka bir ifade ile, elinize aldığınız bir kitabın içindekiler bölümünde hangi sayfada hangi konular yazıyor ise, benzer şekilde Domain Naming (DN) bilgileri ile, Active Directory nesnelerinin dizin bilgileri ve sahip olduğu Attribute (öz nitelik) bilgileri ile aranan nesnelerin sorgulanıp, bulunmasını sağlar.

İlk kurulan Domain ortamında, yani Primary Domain Controller kurulumu ile, Global Catalog kurulması zorunludur ki seçeneği kaldırma şansınız da yoktur. Additional Domain Controller kurulumlarında Server'ın Global Catalog olarak kurulup kuruplmayacağı sizin tercihinizdir ancak yedeklilik amacıyla her Domain Controller'ın Global Catalog olarak yapılandırılması tavsiye edilir.

Universal grupların üyelik bilgileri de Global Catalog Server'larde tutulur. Kullanıcınız bir Universal Group üyesi ise ve Network'te aktif hiçbir Global Catalog yok ise, Logon olamazsınız. Bunun tek istisnası, Domain Admins grubu üyeleridir. Bu grubun üyeleri, ortamda aktif bir Global Catalog (GC) olmasa bile, her zaman Logon olabilirler.

4.2.3- Read only domain controller (RODC): NTDS.DIT Database'i salt okunur olan Domain Controller'dır. Genellikle Network ortamlarındaki güvenliğin tam olarak oturmadığı ortamlarda güvenlik sebebiyle kurulan bir Domain Dontroller türüdür ancak Pimary Domain Controller kurulum sırsında bu seçenek aktif gelmez. Ancak Additional Domain Controller kurulumu sırasında kurulumu tercihe bağlıdır.

5- Type the Directory Services Restore Mode (DSRM) password: Active Directory Recovery işlemi için kullanılacak olan Local Administrator hesabına atanan bir Password'dür. Bu Password, Windows Server'a Domain Administrator hesabı ile erişilebildiği yani Logon olunabildiği sürece NTDSUTIL komutu ile istendiği zaman değiştirilebilir ancak yine de unutmamanızda fayda var. Tüm gerekli ayarlar yapılandırıldıktan sonra Next butonuna basarak ilerliyorum.



6- DNS Options adımında karşımıza, A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found.. uyarısı çıkıyor.  Bu uyarı, henüz ortamda bir DNS Server olmadığı ve bu DNS Server üzerinde firatboyan.com Zone'una dış ortamdan (Internet) erişim için bir yetkilendirme yapılmadığı için çıkmaktadır ve Domain Controller kurulumu için herhangi bir problem teşkil etmemektedir. Next butonuna basarak ilerliyorum.

7- Additional Options adımındaki The NetBIOS domain name alanında, Deployment Configuration adımında belirledimiz Domain adı ile aynı olacak şekilde Domain NetBIOS (Network Basic Input/Output System) isim bilgisi oluşmaktadır.
Domain NetBIOS Name'in kullanıldığı alanları açıklamak gerekirse,

7.1- Firewall, Mail Gateway vb kutu çözümler ve 3rd Party yazılımlar, Active Directory entegrasyonu sırasında Domain'lerin NetBios isimleri ile kimlik doğrulama yaparlar.

7.2- Domain ortamınızı kurduğumuzda, diğer Member Server'ları ya da Client PC'leri Domain'e Join etmek istediğimizde alan adı için firatboyan.com yazarsanız bu istek, DNS Server üzerinde yorumlanır ve size cevap döner. Eğer FIRATBOYAN yazarsanız, bu durumda WINS varsa, WINS üzerinde yorumlanır ve size cevap döner. WINS yoksa, Broadcast mesaj ile Domain bulunur.

7.3- Windows 7 ya da Windows 10 bir işletim sisteminde firat@firatboyan.com veya FIRATBOYAN\firat şeklinde Logon olabilirsiniz. Ancak Microsoft'a ait olmayan ürünler için UPN (Universal Principle Name) dediğimiz firat@firatboyan.com şeklindeki yazım desteklenmez ve SamAccountName dediğimiz FIRATBOYAN\firat şeklinde NetBios name kullanmanız gerekir.

UYARI!: Domain NetBIOS Name bilgisini dilediğiniz gibi değiştirebilirsiniz ancak asla Domain Controller kurulumu yaptığınız Server'ın Host Name bilgisini bu Domain NetBIOS Name olarak eklemeyin!



8- Paths alanında;
8.1- Database Folder: Active Directory Database'i (veri tabanı) NTDS.DIT'in konumlandırılacağı Path bilgisi yer alıyor. Varsayılan olarak C:\Windows dizini altında NTDS klasörü altında konumlandırılır.

8.2- Log files folder: Active Directory Database'i (veri tabanı) NTDS.DIT'in LOG dosyalarının konumlandırılacağı Path bilgisi yer alıyor. Varsayılan olarak NTDS.DIT Database'inin (veri tabanı) bulunduğu C:\Windows dizini altında NTDS klasörü altında konumlandırılır.

8.3- Active Directory Domain Controller Kurulumu ile varsayılan olarak 2 klasör paylaşıma açılmış şekilde gelir. Bunlar, NETLOGON ve SYSVOL (System Volume) klasörleridir.

• NETLOGON: Bu paylaşılmış klasör, Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak kullanıcı Logon ya da Logout operasyonları sırasında çalıştırılacak herhangi bir Script dosyasının çalıştırılması için kullanılmaktadır. Windows NT ile birlikte bu klasör, içerik erişimini tamamen SYSVOL (System Volume) paylaşılmış klasörüne bırakmıştır. NETLOGON paylaşılmış klasörü içindeki herhangi bir Script dosyası, direkt olarak SYSVOL (System Volume) içindeki Scripts klasöründe tutulmaktadır ve diğer Domain Controller'lara buradan replike olmaktadır. Bu noktada NETLOGON klasörünü SYSVOL (System Volume) paylaşılmış klasörü içindeki Scripts klasörünün bir kısayolu gibi düşünebilirsiniz.

• SYSVOL (System Volume): Bu paylaşılmış klasör, Group Policy'deki GPO'ları (Group Policy Object) ve Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak çalıştırılacak Script dosyalarını barındırdırmakta olup, bu bilgilerin diğer diğer Domain Controller'lara da buradan replike olmaktadır. Yukarıda da bahsettiğim gibi, NETLOGON klasöründe barındırılan Script dosyaları, Windows NT'den beri, aslında SYSVOL (System Volume) içindeki Scripts klasöründe tutulmakdatır.

Bilgi!: Bu Path alanlarını kurulum aşamasında ilgili alanlardan dilediğiniz gibi değiştirebilirsiniz. Kurulum sonrası da komut satırları üzerinden de değiştirilebilmektedir.

Path alanını dilediğimiz gibi yapılandırdıktan sonra, Next butonuna basarak ilerliyorum.



9- Review Options adımında yaptığım ayarların bir özeti yer alıyor. Ek olarak View script butonuna tıkladığımzda, Active Directory kurulumu için bir de PowerShell Script'i oluşmaktadır. Bu Script ile de PowerShell üzerinden Domain Controller kurulumu yapılabilmektedir. Next butonuna basarak ilerliyorum.





10- Prerequisites Check adımında, Active Directory kurulumu için gerekli olan ön gereksinimler kontrol edilmektedir. Eğer tüm ön gereksinimler sağlanırsa, Install butonuna basarak Active Directory kurulum işlemi başlatılabilir.



10.1- Windows Server 2019'da Active Directory Domain kurulum işlemi başladı.




11- Active Directory kurulumu tamamlandıktan sonra Server, Restart edilecektir.



12- Active Directory kurulumu tamamlandıktan sonra aşağıdaki PowerShell komutu ile Domain Controller bilgisini alıyorum.

13- Aşağıdaki PowerShell komutu ile de Primary Domain Controller bilgisi alınabilir.

Faydalı olması dileğiyle...

Etiketler: Windows Server 2019, Active Directory Kurulumu, Domain Controller Kurulumu, Primary DC Kurulumu.