Domain Controller (DC), Microsoft'un Active Directory teknolojisinin temel bir bileşeni olarak, kurumsal ağlar üzerinde kullanıcı hesaplarını ve ağ kaynaklarını yönetmek için tasarlanmış bir sunucudur. DC'ler, ağ üzerindeki güvenlik ve erişim politikalarını merkezi bir noktadan kontrol etme yeteneği sağlayarak, büyük ve karmaşık ağ yapılarında düzeni ve güvenliği sağlar. DC'nin ana görevi, kullanıcıların kimlik doğrulaması, yetkilendirme işlemleri ve politika uygulamaları gibi kritik işlevleri yerine getirmektir.
Domain Controller (DC), kimlik doğrulama ve yetkilendirme (Authentication and Authorisation) ile ağdaki her kullanıcı ve bilgisayar için kimlik doğrulaması sürecini yönetir. Bu süreç, kullanıcıların sistemlere ve kaynaklara erişim taleplerinde bulunduğunda başlar. Kullanıcı adı ve şifre gibi kimlik bilgileri, DC'ye iletilir ve burada, Active Directory'de saklanan bilgilerle karşılaştırılır. Eğer bilgiler eşleşirse, kullanıcı sisteme başarılı bir şekilde giriş yapar. DC, bu süreci sadece yerel ağ içinde değil, VPN üzerinden uzaktan bağlanan kullanıcılar için de gerçekleştirir, böylece güvenli bir kullanıcı doğrulaması sağlanmış olur.
Domain Controller (DC), güvenlik politikaları ve erişim kontrolü (Access Control) ile güvenlik politikalarının tanımlandığı ve uygulandığı merkezi bir noktadır. Erişim kontrolü, kullanıcıların veya grupların bilgi kaynaklarına, ağlara veya sistemlere erişimlerini yönetmek ve sınırlamak için kullanılan güvenlik tekniklerinin ve prosedürlerin bir bütünüdür. Bu kontrol mekanizmaları, yetkisiz erişimi önlemek, verilerin bütünlüğünü korumak ve bilgi güvenliğini sağlamak amacıyla tasarlanmıştır. Bu politikalar, hangi kullanıcının hangi kaynaklara erişebileceğini, hangi ağ hizmetlerini kullanabileceğini ve hangi verilere ulaşabileceğini tanımlar. Örneğin, bazı kullanıcılara belirli dosya dizinlerine erişim izni verilirken, başkalarının erişimi kısıtlanabilir. Bu erişim kontrolleri, Access Control Lists (ACL) kullanılarak yönetilir ve her nesne üzerinde kimin ne tür eylemler gerçekleştirebileceğini detaylı bir şekilde belirtir.
Domain Controller (DC), politika uygulama ve yönetim ile ağ politikalarını uygulamak için Group Policy nesneleri (GPO) kullanır. Bu politikalar, yazılım yüklemelerinden, güvenlik ayarlarına, kullanıcı arayüzü konfigürasyonlarına kadar geniş bir yelpazede düzenlemeler sağlar. GPO'lar yardımıyla tüm kullanıcı ve bilgisayarlar için merkezi bir noktadan politikaları uygulanabilir. Örneğin, bir güvenlik güncellemesinin tüm bilgisayarlara otomatik olarak yüklenmesini sağlayabilir veya belirli uygulamaların kullanımını kısıtlayabilirler.
Domain Controller (DC), ağ yapısının yönetimi ve optimizasyonu açısından da önemli roller üstlenir. Active Directory'nin yapılandırma ayarları, Network topolojisini ve trafik akışını etkileyebilir. DC'ler, kullanıcıların ve kaynakların fiziksel veya lojistik olarak yer aldığı yerlere göre replikasyon ve veri senkronizasyonu gibi işlemleri yönetir. Bu işlemler, Network'ün verimliliğini artırmak ve veri tutarlılığını sağlamak için kritik öneme sahiptir.
Workgroup & Domain Controller (DC) Arasındaki Farklar
1- Workgroup Özellikleri
Workgroup, genellikle küçük ağ yapılarında kullanılan bir ağ modelidir. Bu modelde, her bilgisayar kendisi için bir hesap yöneticisi işlevi görür ve her biri bağımsız olarak çalışır:
• Merkezi Yönetim: Workgroup'ta merkezi bir sunucu veya kontrol mekanizması yoktur. Her bilgisayar kendi kullanıcı hesaplarını, güvenlik ayarlarını ve kaynak paylaşımlarını yönetir.
• Küçük Ölçekli Ağlar için Uygun: Bu model genellikle 10-20 bilgisayar kadar küçük ağlar için idealdir ve daha büyük ağlarda yönetimi zorlaşır.
• Kullanıcı Yönetimi: Her bilgisayarın kullanıcı hesapları bağımsızdır; bir bilgisayarda yapılan bir kullanıcı hesabı değişikliği, diğer bilgisayarlarda otomatik olarak güncellenmez.
• Güvenlik: Güvenlik seviyesi genellikle daha düşüktür çünkü her bilgisayarın güvenlik ayarları ayrı ayrı yapılveırılmalıdır ve geniş kapsamlı güvenlik politikaları uygulanamaz.
• Kaynak Paylaşımı: Dosyalar, yazıcılar ve diğer kaynaklar, her bilgisayar tarafından ayrı ayrı paylaşılabilir. Kaynaklara erişim için genellikle her bilgisayarda aynı kullanıcı adı ve parola kullanılması gerekebilir.
2- Domain Controller (DC) Özellikleri
Domain Controller, büyük ve karmaşık ağ yapıları için tasarlanmış, merkezi yönetim ve kontrol sağlayan bir sunucudur.
• Merkezi Yönetim: Bir veya birden fazla Domain Controller, tüm ağdaki kullanıcı hesapları, güvenlik politikaları ve kaynak erişimleri üzerinde merkezi kontrol ve yönetim sağlar.
• Ölçeklenebilirlik: Domain yapıları, yüzlerce veya binlerce kullanıcı ve bilgisayar içeren büyük ölçekli ağları desteklemek için tasarlanmıştır.
• Kullanıcı ve Grup Yönetimi: Tüm kullanıcı ve grup hesapları merkezi olarak yönetilir. Bir kullanıcıya veya gruba yapılan herhangi bir değişiklik, tüm ağda otomatik olarak yansıtılır.
• Güvenlik: Yüksek düzeyde güvenlik sunar. Güvenlik politikaları ve erişim kontrolleri merkezi olarak uygulanır ve yönetilir, bu da tutarlı ve güvenli bir kullanıcı deneyimi sağlar.
• Kaynak Paylaşımı: Kaynaklar (dosyalar, yazıcılar vb.) merkezi olarak yönetilebilir ve kullanıcıların veya grupların erişim hakları, güvenlik politikalarına göre kolaylıkla kontrol edilebilir.
Bu iki model arasındaki farklar, kullanılacak Network'ün büyüklüğüne, güvenlik ihtiyaçlarına ve yönetim kolaylığına göre değerlendirilmelidir. Küçük ağlar için workgroup uygun olabilirken, büyük kurumsal yapılar için Domain Controller'lar daha etkili bir yönetim sağlar.
Domain Controller (DC) Özellikleri
Domain Controller'ın (DC) özellikleri ve avantajları, modern ağ ortamlarında merkezi ve etkin bir yönetim sağlaması açısından kritik öneme sahiptir.
1- Authentication (Kimlik Doğrulama) ve Authorization (Yetkilendirme)
» Kerberos Protocol: Domain Controller'lar, ağ içerisindeki kimlik doğrulama için Kerberos protokolünü kullanır. Bu protokol, güvenli bir şekilde kullanıcıların ve servislerin kimlik bilgilerini doğrulamak için bilet tabanlı bir mekanizma sunar.
» NTLM (NT LAN Manager): Eski sistemlerle uyumluluk için hala desteklenen, kimlik bilgilerinin hash üzerinden karşılaştırılmasıyla çalışan bir kimlik doğrulama protokolüdür.
2- Active Directory Directory Services
» Active Directory Database: Tüm kullanıcılar, bilgisayarlar, ve diğer nesneler hakkında bilgi içerir. Bu veritabanı, ağdaki tüm nesnelerin ve kaynakların yönetilmesi için temel teşkil eder.
» Schema: Active Directory'nin schema'sı, dizinde saklanabilecek nesne türlerini ve bu nesnelerin özelliklerini tanımlar. Schema, özelleştirilebilir ve genişletilebilir, bu da organizasyonların spesifik ihtiyaçlarına göre Active Directory'i şekillendirmelerine olanak tanır.
3- DNS Entegrasyonu
» DNS Desteği: Active Directory'nin temel bileşenlerinden biri olan DNS, domain adlarını IP adreslerine çözümlemek için kullanılır. AD, DNS ile entegre çalışır ve AD'nin sorunsuz çalışması için kritik rol oynar.
» SRV Kayıtları: Active Directory servislerinin bulunabilirliğini sağlayan DNS kayıtlarıdır. Bu kayıtlar, ağ içerisindeki servislerin yerlerini ve erişim bilgilerini sağlar, böylece istemciler ve diğer sunucular gerekli servisleri kolayca bulabilir.
4- Replication
» Multi-Master Replication: Domain Controller'lar arasında yapılan değişikliklerin tüm kontrolörler arasında eşit şekilde yayılmasını sağlar. Bu özellik, veri tutarlılığını ve erişilebilirliğini artırır.
» Global Catalog (GC): Active Directory içerisindeki tüm nesnelerin aranabilir bir özetini sağlar. Bu katalog, orman genelinde sorgulamalar için önemli bir kaynak oluşturur ve hızlı veri erişimi sağlar.
5- Group Policy Yönetimi
» Group Policy Nesneleri (GPO): Ağ üzerindeki bilgisayarlara ve kullanıcılara uygulanabilecek politikaları tanımlar. Bu politikalar, güvenlik ayarlarından yazılım dağıtımına, kullanıcı ve bilgisayar yapılandırmalarına kadar geniş bir yelpazede düzenlemeler yapılmasını sağlar.
» Politika Uygulama: Politikalar, belirlenen kriterlere göre kullanıcılara veya bilgisayarlara otomatik olarak uygulanır. Bu sayede sistem yöneticileri, ağ üzerindeki yapılandırmaları merkezi bir şekilde kontrol edebilir ve yönetebilir.
6- FSMO (Flexible Single Master Operations) Roles
» Flexible Single Master Operations: Active Directory içindeki bazı kritik işlemler, belirli Domain Controller'lar tarafından yönetilir. Bu işlemler arasında, domain isimlendirmelerinden Schema değişikliklerine kadar birçok önemli görev bulunur.
» Role Holders: Schema Master, Domain Naming Master gibi roller, AD ormanındaki yapısal değişikliklerde önemli rol oynar. Bu rollerin atanması ve yönetimi, Network'ün sağlıklı bir şekilde çalışmasını sağlar.
7- Güvenlik Özellikleri
» Access Control Lists (ACLs): Dosya, klasör veya AD nesneleri üzerinde kimin ne tür erişim haklarına sahip olduğunu tanımlayan listelerdir. Bu listeler, güvenlik politikalarının detaylı bir şekilde uygulanmasını sağlar.
» Güvenlik Denetimi (Security Auditing): Erişim denetimleri ve güvenlikle ilgili olayların kaydedilmesini sağlayan bir mekanizmadır. Bu kayıtlar, olası güvenlik ihlallerinin izlenmesi ve analiz edilmesi için kullanılır.
8- Backup ve Disaster Recovery
» System State Backup: Active Directory'nin ve diğer sistem bileşenlerinin yedeğini alır. Bu yedekler, sistem çökmeleri veya veri kayıpları durumunda kritik önem taşır.
» Felaket Kurtarma Planı: Olası felaket durumlarında veri ve servislerin nasıl kurtarılacNetwork'ünı tanımlayan prosedürlerdir. Bu planlar, iş sürekliliğini garanti altına almak için hayati rol oynar.
9- Monitoring ve Performans İzleme
» Performans İzleme: Domain Controller'ların ve Active Directory'nin performansını izler. Bu, sistem kaynaklarının verimli kullanımını sağlar ve potansiyel bottlenecks'ı belirler.
» Sağlık Kontrolleri: Sistem sağlığını düzenli olarak kontrol eden ve olası sorunları erken aşamada tespit eden işlemlerdir.
10- İstemci Etkileşimi ve Protokol Desteği
» İstemci Kütüphaneleri: Windows işletim sistemleri, Active Directory ile etkileşim kurmak için gerekli kütüphanelere sahiptir.
» Protokol Desteği: Active Directory, LDAP, DNS, SMB/CIFS gibi çeşitli ağ protokollerini destekler, bu da farklı uygulama ve hizmetlerin AD ile entegrasyonunu kolaylaştırır.
11- Service Hesapları Yönetimi
» Managed Service Accounts (MSA) ve Group Managed Service Accounts (gMSA): Bu hesaplar, uygulama ve servisler için özel olarak tasarlanmıştır ve parola yönetimini otomatikleştirir. Güvenliği artırırken yönetim yükünü azaltır.
» Servis Hesapları Politikaları: Servis hesaplarının güvenliği için özel politikalar ve erişim kısıtlamaları uygulanabilir.
12- LDAP Over SSL/TLS (LDAPS)
» Encryption: LDAPS, LDAP veri trafiğini SSL veya TLS ile şifreler. Bu, özellikle ağ üzerinden hassas bilgilerin iletilmesi sırasında güvenlik sağlar.
» Sertifika Yönetimi: LDAPS'in düzgün çalışması için gerekli sertifikaların yönetimi ve yenilenmesi gereklidir.
13- Password Policy ve Account Lockout Politikaları
» Fine-Grained Password Policies: Farklı kullanıcı grupları için farklı şifre ve hesap kilitlenme politikaları uygulanabilir. Bu, güvenlik ihtiyaçlarına göre özelleştirilebilir güvenlik sağlar.
» Password Complexity Gereksinimleri: Şifre karmaşıklığı, uzunluğu ve süresi gibi ayarlar, Active Directory içinde tanımlanabilir.
14- Sites and Services Yönetimi
» Site Topology: Fiziksel ve ağ topolojisi temelinde sitelerin ve alt ağların yapılveırılması. Bu yapılandırma, ağ trafiğini optimize eder ve veri replikasyonunu yönetir.
» Inter-Site Replication: Farklı siteler arasında veri replikasyonunu yönetir, bant genişliği kullanımını en aza indirirken veri güncelliğini sağlar.
15- Schema Uzantıları ve Özelleştirmeler
» Schema Yönetimi: Active Directory schema'sı, özel nesne sınıfları ve öznitelikler ekleyerek genişletilebilir. Bu, özelleştirilmiş uygulama ve hizmet ihtiyaçlarını karşılamak için kullanılır.
» Schema Değişiklikleri: Schema değişiklikleri dikkatle yönetilmeli ve uyumluluk sorunlarını önlemek için test edilmelidir.
16- Kontrol Delegasyonu
» Administrative Tasks: Belirli kullanıcılara veya gruplara, AD nesneleri üzerindeki yönetimsel görevlerin delegasyonu. Bu, büyük organizasyonlarda yönetim yükünü azaltır.
» Ayrıntılı İzinler (Granular Permissions): Özel erişim hakları, kullanıcıların yalnızca gereksinim duydukları kaynaklara erişim sağlamalarına olanak tanır.
17- Denetim ve Uyum Raporlaması
» Güvenlik Denetimi: Güvenlik ihlallerinin ve politika ihlallerinin izlenmesi için olay kayıtlarını tutar.
» Uyumluluk Araçları: Mevzuat uyumunu sağlamak ve raporlamak için kullanılan araçlar ve protokoller.
18- Ağ Yazıcısı Yapılandırması ve Yönetimi
» Yazıcı Dağıtımı: Group Policy aracılığıyla ağ yazıcılarının kullanıcılara ve bilgisayarlara otomatik olarak dağıtılması.
» Merkezi Yönetim: Merkezi bir konumdan tüm ağ yazıcılarının yapılveırılması ve yönetilmesi.
19- Yazılım Dağıtımı ve Güncelleme Yönetimi
» Yazılım Dağıtımı: Group Policy kullanarak ağ üzerindeki bilgisayarlara yazılım yüklemesi.
» Güncelleme Yönetimi: Yazılım güncellemelerinin ve yamalarının merkezi olarak dağıtılması ve yönetilmesi.
20- Monitoring ve Diagnostics
» Performance Log'ları: Sistem performansını izlemek ve potansiyel sorunları tespit etmek için detaylı kayıtlar.
» Diagnostics Araçları: Sistem ve ağ hatalarını tespit ve gidermek için kullanılan araçlar.
21- Yüksek Erişilebilirlik (High Availability) ve Felaket Kurtarma (Disaster Recovery)
» Yedeklilik (Redundancy): Önemli servislerin ve verilerin yüksek kullanılabilirlik ve dayanıklılık için birden fazla Domain Controller üzerinde çoğaltılması.
» Felaket Kurtarma Prosedürleri: Felaket sonrası veri ve servislerin hızlı bir şekilde kurtarılması için geliştirilmiş prosedürler.
22- Active Directory Federation Services (AD FS)
» Single Sign-On (SSO): Kullanıcılara birden fazla sistem ve uygulamaya tek bir kimlik doğrulama ile erişim sağlar.
» Federation Trusts: Farklı organizasyonların güvenlik sınırları arasında kimlik bilgilerinin güvenli bir şekilde paylaşılmasını sağlar.
23- Bulut Hizmetleri ile Dizin Senkronizasyonu
Bulut hizmetleri ile dizin senkronizasyonu, özellikle hibrit bulut yapılandırmalarında, Active Directory'nin bulut tabanlı hizmetlerle, örneğin Entra ID (Azure AD), entegre şekilde çalışabilmesi için kritik bir işlevdir. Bu senkronizasyon, kullanıcı kimliklerinin, grupların ve diğer dizin nesnelerinin her iki ortam arasında tutarlı kalmasını sağlar.
Bu süreçle ilgili ana bileşenler ve önemli adımlar:
23.1- Entra ID (Azure AD) Connect
Entra ID (Azure AD) Connect, Microsoft'un yerel Active Directory ile Entra ID (Azure AD) arasında kimlik senkronizasyonu sağlamak için kullandığı bir araçtır. Temel özellikleri ve işlevleri şunları içerir:
» Senkronizasyon Modları: Entra ID (Azure AD) Connect, farklı senkronizasyon seçenekleri sunar. En yaygın kullanılan mod, Password Hash Sync (PHS) olup, kullanıcıların şifrelerinin hash'lerinin Entra ID'Ye (Azure AD) güvenli bir şekilde kopyalanmasını sağlar. Alternatif olarak, Pass-through Authentication (PTA) veya Federation (örneğin AD FS ile) gibi daha karmaşık kimlik doğrulama senaryoları da kurulabilir.
» Filtreleme: Kuruluşlar, hangi nesnelerin Entra ID'ye (Azure AD) senkronize edileceğini kontrol etmek için filtreleme kuralları belirleyebilir. Bu, belirli kullanıcıları veya grupları senkronizasyon dışında tutmak için kullanılabilir.
» Zamanlamalı Görevler: Entra ID (Azure AD) Connect, senkronizasyon işlemlerini düzenli aralıklarla otomatik olarak çalıştırır, böylece yerel AD'deki değişiklikler belirli bir zaman dilimi içinde Azure AD ile senkronize edilir.
23.2- Güvenlik & Uyum (Security & Compliance)
Senkronizasyon süreci, veri güvenliği ve uyum gereklilikleri açısından önemlidir. İşte dikkat edilmesi gerekenler:
» Parola Güvenliği: Parola hash'leri Entra ID'ye (Azure AD) aktarılırken Microsoft, yüksek güvenlik standartlarına uymaktadır. Bununla birlikte, parola politikalarının ve uyum gereksinimlerinin bulut ve yerel ortamlarda tutarlı olması önemlidir.
» Erişim Kontrolleri: Entra ID (Azure AD) içinde bu, genellikle Access Policy ve Conditional Access kuralları şeklinde uygulanır. Senkronize edilen nesnelere bulut ortamında kimin erişebileceği üzerinde kontrol sağlamak için Entra ID (Azure AD) üzerinde detaylı Access Policy ve Conditional Access kuralları uygulanabilir.
23.3- Yönetim ve İzleme
Senkronizasyon işleminin düzgün çalıştığından emin olmak için düzenli izleme ve yönetim gerekir:
» Entra ID (Azure AD) Connect Health: Entra ID (Azure AD) Connect Health, senkronizasyon işleminin durumunu izlemek ve olası sorunları teşhis etmek için kullanılır. Ayrıca, performans metrikleri ve uyarılar sağlar.
» Logging ve Reporting: Etkinlik günlükleri, senkronizasyon sürecindeki olayları detaylı bir şekilde kaydeder ve gerektiğinde denetim izleri sunar.
Bulut hizmetleri ile dizin senkronizasyonu, hibrit IT altyapılarında sorunsuz bir kullanıcı deneyimi ve güçlü bir güvenlik duruşu sağlamak için hayati öneme sahiptir. Enrta ID (Azure AD) Connect, bu süreçte merkezi bir rol oynar ve kuruluşların yerel ve bulut kaynaklarını etkin bir şekilde yönetmelerine olanak tanır.
24- IP Address Management (IPAM)
» IP Adresi Takibi: Ağ üzerindeki IP adreslerinin kullanımını izler ve yönetir.
» DHCP ve DNS ile entegrasyon: DHCP ve DNS servisleri ile entegrasyon sağlar, IP adres atamalarını ve çözümlemelerini merkezi olarak yönetir.
25- Conditional Access ve Güvenlik Politikaları
» Conditional Access Politikaları: Kullanıcıların duruma göre erişimlerini kontrol eden politikalar.
» Güvenlik Temelleri: Güvenlik standartlarına uygun yapılandırmaları tanımlayan temel güvenlik ayarları. Windows Server 2016'da Primary Domain Controller (PDC) kurulum işlemine başlamadan önce mutlaka Network Interface Card'ınızın statik IP ile yapılandırıldığından, zorunlu olmamakla birlikte, Host Name'inzin değiştirildiğinden emin olun. Windows Server 2016'da Active Directory Domain Kurulumu işlemine geçmeden önce yapılması gereken Host Name, ve statik IP adresi yapılandırması gibi işlemlerin PowerShell üzerinden nasıl yapılacağını göstermek istiyorum.
PowerShell Üzerinden Host Name ve Statik IP adresi Yapılandırması
1- Get-WmiObject Win32_ComputerSystem komutu ile öncelikle, Server makinamın Host Name'ini kontrol ediyorum.
2- Rename-Computer -ComputerName "WIN-BEN4V208IA3" -NewName "SRV001" komutu ile mevcut Host Name'i SRV001 olarak değiştiriyorum. Host Name değişikliği, zorunlu bir işlem olmamakla birlikte, akılda kalıcı daha basit bir Host Name ile değiştirmek, yönetimsel açıdan daha kolay olacaktır. Değişim işlemini gerçekleştirdikten sonra, sunucumuzu bir kez Restart ederek, değişikliklerin uygulanmasını sağlıyoruz.
3- Restart işleminden sonra sunucu Host Name'inin SRV001 olarak değiştiğini görebiliyoruz.
4- Bir sonraki adım, sunucumuza sabit bir IP adresi tanımlaması yapmak olacak. Ama öncelikle, sunucumda yüklü olan Network Interface Card'ları, netsh interface ipv4 show address komutu yardımıyla görüntülüyorum. Sunucumda yüklü olan NIC, Ethernet0 isminde görünüyor.
5- Dilğerseniz, yüklü olan Network Interface Card'ın ismini de
|
Rename-NetAdapter -Name "Ethernet0" -NewName "LAN_NIC" |
komutu yardımıyla değiştirebilirsiniz.
6- Sunucumuza sabit IP adresi tanımlaması için;
|
New-NetIPAddress –InterfaceAlias “LAN_NIC” –IPAddress “10.10.10.100” –PrefixLength 24 -DefaultGateway 10.10.10.1 |
komutunu kullanmamız yeterlidir.
Bu komut yardımıyla;
● Sabit IP Adresi
● Subnet Mask
● Default Gateway
tanımlamaları yapmış oldum.
6.1- Tanımlamaları, ipconfig komutu yardımıyla da görüntüleyebilirsiniz.
7- Sabit IP adresi tanımlaması yaptıktan sonra sıra, yine sabit DNS IP adresi tanımlama işlemine geldi. Bu işlem için;
|
Set-DnsClientServerAddress -InterfaceAlias “LAN_NIC” -ServerAddresses 10.10.10.100 |
komutunu kullanmamız yeterlidir.
7.1- Tanımlamaları, ipconfig /all komutu yardımıyla da görüntüleyebilirsiniz.
8- Host Name değişikliği, statik IP adresi tanımla gibi tüm ön yapılandırma ayarlarımızı tamamladıktan sonra sıra, Active Directory Domain Services rolünü kurmaya geldi.
8.1- Active Directory Domain Services rolünü kurmadan önce, sunucumdaki yüklü olan tüm rol ve servislerin listesini
|
Get-WindowsFeature | Where-Object {$_.InstallState -eq “Installed”} |
komutu yardımıyla alıyorum. Görüldüğü gibi, Active Directory Domain Services rolü kurulu değil.
Tüm bu ön yapılandırma hazırlıklarının tamamlanmasının ardından sıra, Windows Server 2016'da Active Directory Domain kurulum işlemine geldi.
Domain Controller Kurulum işlemi iki aşamadan oluşmaktadır.
1. Active Directory Domain Services Kurulumu.
2. Active Directory Domain Controller'a Promote Etme.
1. Active Directory Domain Services Kurulumu
1.1- Server Manager'a giriyoruz. Manage menüsünden Add roles and features seçeneğini seçerek Add Roles and Features Wizard seçeneğine basıyorum.
1.2- Installation Type alanında Role-based or fature-based installation seçeneğini seçiyor, Windows Server 2016'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.
1.3- Server Selection alanında Active Directory'nin hangi Server'a kurulacağını seçtikten sonra, Server Roles alanında Active Directory Domain Services'i işaretliyorum.
1.3.1- Active Directory Domain Services'i işaretledikten sonra, servis ile ilişkili zorunlu Feature'ların yükleneceği bilgisi veriliyor. Add Features seçeneğini seçiyor, Windows Server 2016'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.
NOT 2: Active Directory Primary Domain Controller kurulumu ile birlikte DNS Server kurulumu da yapılmaktadır. Server Roles alanında bu servisi seçmesek bile, Promote etme işlemi sırasında da DNS Server'ı kurup kurmayacağımızı seçebiliyoruz.
1.4- Active Directory Domain Services ve DNS Server rollerinin seçiminden sonra, Features alanında herhangi ek Feature (özellik) yüklemeyeceğim için, Windows Server 2016'da Active Directory Domain Controller Kurulumu işlemine devam etmek için Next butonuna basarak ilerliyorum.
1.5- Confirmation alanında Kurulum yapacağım rol (servis) ve Feature (özellik) bilgileri yer alıyor. Bu alanda Install botonuna basarak Active Directory Domain Services ve DNS Server rol (servis) ve Feature (özellik) yükleme işlemine başlıyorum.
1.6- Windows Server 2016'da Primary Domain Controller (PDC) kurulumu ilk aşamasında Active Directory Domain Services Kurulumu işlemi başladı.
1.7- Windows Server 2016'da Primary Domain Controller (PDC) kurulumu ilk aşamasında Active Directory Domain Services Kurulumu işlemi tamamlandı. Close butonuna basarak Wizard'ı sonlandırıyorum.
2. Active Directory Domain Controller'a Promote Etme
1.8- Active Directory Domain Services Kurulumu işlemi tamamlandıktan sonra Server Manager sağ üst köşedeki bayrak simgesi altında sarı renkte ünlem işareti çıkmaktadır. Bunun anlamı, genelde, yüklediğiniz bir servis sonrası sizden yapılandırma ayarlarını tamlamanızı bekliyor olmasıdır. Üzerine tıkladığınızda, Configuration required for Active Directory Domain Services yazılı uyarı mesajının altında Promote this server to a domain controller seçeneğine tıklıyor, Active Directory Domain Controller kurulum işlemini başlatıyorum.
3. Promote this server to a domain controller seçeneğine tıkladıktan sonra karşımıza Active Directory Domain Services Configuration Wizard penceresi çıkıyor. Bu Wizard üzerinde;
3.1- Deployment Configuration adımında;
3.1.1- Select the deployment operation altında;
» Add a domain controller to an existing domain: Bu seçenek ile, mevcut Domain yapısı üzerine bir Additional DC kurulumu gerçekleştirilir.
» Add a new domain to an existing forest: Bu seçenek ile, mevcut Domain yapısı üzerine bir Child Domain kurulumu gerçekleştirilir.
» Add a new forest: Bu seçenek ile, yeni bir Domain yapısı kurulumu gerçekleştirilir.
Bilgi!: Burada Domain adı belirlerken, Domain adından sonra . (Nokta) koyularak bir Suffix (son ek) belirleniz ki bu Suffix, LAN ortamında genellikle .local şekilde olabiliyor. Bu bir tercih meselesidir. . (Nokta) koyulmadan devam edilmesi halinde ise hata verecektir.
3.1.2- Yeni bir Domain ortamı kuruyor olduğum için ben, Add a new forest seçeneğini seçerek, Root domain name alanına .com Suffix'i ile firatboyan.com Domain adını giriyor, Next butonuna basarak ilerliyorum.
4. Domain Controller Options adımında;
4.1- Select functional level of the new forest and root domain altında Windows Server 2016'da Functional Level'ların Windows Server 2016 olarak kaldığını, yani Windows Server 2019'a özel yeni bir foknsiyonellik özelliğinin gelmediğini anlıyoruz. Burada Functional Level seviyelerinizi ihtiyacınıza göre belirleyebilirsiniz. Functional Level ile iligli detaylı bilgiyi de Domain ve Forest Functional Level Raise Etme isimli makalemi okuyarak edinebilirsiniz ancak burada bazı teknik bilgileri vermeden geçmek istemiyorum.
Active Directory Domain kurulumu işlemini hangi Windows Server işletim sistemi versiyonu ile gerçekleştiriyorsanız, Domain Functional Level (DFL) da o işletim sistemi seviyesinde olacaktır ve Domain ortamına, Domain kurulum işlemi yaptığınız Server işletim sistemi versiyonundan daha alt sürümde bir Windows Server işletim sistemi sürümüne sahip Domain Controller Kurulumu gerçekleştiremezsiniz
Ayrıca, eğer Forest ortamınızda (Ör. Child Domain) daha sonradan Windows Server işletim sistemlerinden olan Windows Server 2012 R2 ya da Windows Server 2008 R2 gibi işletim sistemi versiyonları ile Domain Controller kurulumları yapacaksanız, Forest Functional Level'ınız, ortamındaki en düşük seviyeli Server işletim sistemine göre ayarlamanız gerekmektedir. Child Domain'lerinizdeki Domain Controller'ların da Domain Functional Level (DFL) seviyeleri de Forest Functional Level (FFL) seviyenize göre olacaktır. Ek olarak, burada en son sürüm olan Windows Server 2016 ile gelen özelliklerden faydalanamama gibi bir durum meydana çıkıyor. Bu nedenle de bu adımdaki planlama iyi yapılmalıdır.
4.2- Specify domain controller capabilities altında;
4.2.1- Domain Name System (DNS) server: Active Directory Promote etme işlemi sırasında DNS Server kurulumu için varsayılan haliyle bırakıyorum.
4.2.2- Global Catalog (GC): Global Catalog, Domain Controller(lar) üzerinde bulunan bir hizmettir. Bu hizmeti yürüten Domain Controller'a aynı zamanda Global Catalog Server da denmektedir. Global Catalog, Forest içinde (Child Domain barındırsın ya da barındırmasın) Active Directory nesnelerinin bir index bilgisini tutar. Bu Index bilgisi; Active Directory nesnelerinin Domain Naming (DN) bilgileri ile birlikte, yaklaşık 1400 tane içinde, sınırlı Attribute (öz nitelik) bilgileridir. Bu sınırlı sayı içinde ise en çok başvurulan Attribute (öz nitelik) bilgileri bulunmaktadır.
Daha başka bir ifade ile, elinize aldığınız bir kitabın içindekiler bölümünde hangi sayfada hangi konular yazıyor ise, benzer şekilde Domain Naming (DN) bilgileri ile, Active Directory nesnelerinin dizin bilgileri ve sahip olduğu Attribute (öz nitelik) bilgileri ile aranan nesnelerin sorgulanıp, bulunmasını sağlar.
İlk kurulan Domain ortamında, yani Primary Domain Controller kurulumu ile, Global Catalog kurulması zorunludur ki seçeneği kaldırma şansınız da yoktur. Additional Domain Controller kurulumlarında Server'ın Global Catalog olarak kurulup kuruplmayacağı sizin tercihinizdir ancak yedeklilik amacıyla her Domain Controller'ın Global Catalog olarak yapılandırılması tavsiye edilir.
Universal grupların üyelik bilgileri de Global Catalog Server'larde tutulur. Kullanıcınız bir Universal Group üyesi ise ve Network'te aktif hiçbir Global Catalog yok ise, Logon olamazsınız. Bunun tek istisnası, Domain Admins grubu üyeleridir. Bu grubun üyeleri, ortamda aktif bir Global Catalog (GC) olmasa bile, her zaman Logon olabilirler.
4.2.3- Read only domain controller (RODC): NTDS.DIT Database'i salt okunur olan Domain Controller'dır. Genellikle Network ortamlarındaki güvenliğin tam olarak oturmadığı ortamlarda güvenlik sebebiyle kurulan bir Domain Dontroller türüdür ancak Pimary Domain Controller kurulum sırsında bu seçenek aktif gelmez. Ancak Additional Domain Controller kurulumu sırasında kurulumu tercihe bağlıdır.
5- Type the Directory Services Restore Mode (DSRM) password: Active Directory Recovery işlemi için kullanılacak olan Local Administrator hesabına atanan bir Password'dür. Bu Password, Windows Server'a Domain Administrator hesabı ile erişilebildiği yani Logon olunabildiği sürece NTDSUTIL komutu ile istendiği zaman değiştirilebilir ancak yine de unutmamanızda fayda var. Tüm gerekli ayarlar yapılandırıldıktan sonra Next butonuna basarak ilerliyorum.
6- DNS Options adımında karşımıza, A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found.. uyarısı çıkıyor. Bu uyarı, henüz ortamda bir DNS Server olmadığı ve bu DNS Server üzerinde firatboyan.com Zone'una dış ortamdan (Internet) erişim için bir yetkilendirme yapılmadığı için çıkmaktadır ve Domain Controller kurulumu için herhangi bir problem teşkil etmemektedir. Next butonuna basarak ilerliyorum.
7- Additional Options adımındaki The NetBIOS domain name alanında, Deployment Configuration adımında belirledimiz Domain adı ile aynı olacak şekilde Domain NetBIOS (Network Basic Input/Output System) isim bilgisi oluşmaktadır.
Domain NetBIOS Name'in kullanıldığı alanları açıklamak gerekirse,
7.1- Firewall, Mail Gateway vb kutu çözümler ve 3rd Party yazılımlar, Active Directory entegrasyonu sırasında Domain'lerin NetBios isimleri ile kimlik doğrulama yaparlar.
7.2- Domain ortamınızı kurduğumuzda, diğer Member Server'ları ya da Client PC'leri Domain'e Join etmek istediğimizde alan adı için firatboyan.com yazarsanız bu istek, DNS Server üzerinde yorumlanır ve size cevap döner. Eğer FIRATBOYAN yazarsanız, bu durumda WINS varsa, WINS üzerinde yorumlanır ve size cevap döner. WINS yoksa, Broadcast mesaj ile Domain bulunur.
7.3- Windows 7 ya da Windows 10 bir işletim sisteminde firat@firatboyan.com veya FIRATBOYAN\firat şeklinde Logon olabilirsiniz. Ancak Microsoft'a ait olmayan ürünler için UPN (Universal Principle Name) dediğimiz firat@firatboyan.com şeklindeki yazım desteklenmez ve SamAccountName dediğimiz FIRATBOYAN\firat şeklinde NetBios name kullanmanız gerekir.
UYARI!: Domain NetBIOS Name bilgisini dilediğiniz gibi değiştirebilirsiniz ancak asla Domain Controller kurulumu yaptığınız Server'ın Host Name bilgisini bu Domain NetBIOS Name olarak eklemeyin!
8- Paths alanında;
8.1- Database Folder: Active Directory Database'i (veri tabanı) NTDS.DIT'in konumlandırılacağı Path bilgisi yer alıyor. Varsayılan olarak C:\Windows dizini altında NTDS klasörü altında konumlandırılır.
8.2- Log files folder: Active Directory Database'i (veri tabanı) NTDS.DIT'in LOG dosyalarının konumlandırılacağı Path bilgisi yer alıyor. Varsayılan olarak NTDS.DIT Database'inin (veri tabanı) bulunduğu C:\Windows dizini altında NTDS klasörü altında konumlandırılır.
8.3- Active Directory Domain Controller Kurulumu ile varsayılan olarak 2 klasör paylaşıma açılmış şekilde gelir. Bunlar, NETLOGON ve SYSVOL (System Volume) klasörleridir.
» NETLOGON: Bu paylaşılmış klasör, Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak kullanıcı Logon ya da Logout operasyonları sırasında çalıştırılacak herhangi bir Script dosyasının çalıştırılması için kullanılmaktadır. Windows NT ile birlikte bu klasör, içerik erişimini tamamen SYSVOL (System Volume) paylaşılmış klasörüne bırakmıştır. NETLOGON paylaşılmış klasörü içindeki herhangi bir Script dosyası, direkt olarak SYSVOL (System Volume) içindeki Scripts klasöründe tutulmaktadır ve diğer Domain Controller'lara buradan replike olmaktadır. Bu noktada NETLOGON klasörünü SYSVOL (System Volume) paylaşılmış klasörü içindeki Scripts klasörünün bir kısayolu gibi düşünebilirsiniz.
» SYSVOL (System Volume): Bu paylaşılmış klasör, Group Policy'deki GPO'ları (Group Policy Object) ve Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak çalıştırılacak Script dosyalarını barındırdırmakta olup, bu bilgilerin diğer diğer Domain Controller'lara da buradan replike olmaktadır. Yukarıda da bahsettiğim gibi, NETLOGON klasöründe barındırılan Script dosyaları, Windows NT'den beri, aslında SYSVOL (System Volume) içindeki Scripts klasöründe tutulmakdatır.
Bilgi!: Bu Path alanlarını kurulum aşamasında ilgili alanlardan dilediğiniz gibi değiştirebilirsiniz. Kurulum sonrası da komut satırları üzerinden de değiştirilebilmektedir.
Path alanını dilediğimiz gibi yapılandırdıktan sonra, Next butonuna basarak ilerliyorum.
9- Review Options adımında yaptığım ayarların bir özeti yer alıyor. Ek olarak View script butonuna tıkladığımzda, Active Directory kurulumu için bir de PowerShell Script'i oluşmaktadır. Bu Script ile de PowerShell üzerinden Domain Controller kurulumu yapılabilmektedir. Next butonuna basarak ilerliyorum.
10- Prerequisites Check adımında, Active Directory kurulumu için gerekli olan ön gereksinimler kontrol edilmektedir. Eğer tüm ön gereksinimler sağlanırsa, Install butonuna basarak Active Directory kurulum işlemi başlatılabilir.
10.1- Windows Server 2016'da Active Directory Domain kurulum işlemi başladı.
11- Active Directory kurulumu tamamlandıktan sonra Server, Restart edilecektir.
12- Active Directory kurulumu tamamlandıktan sonra aşağıdaki PowerShell komutu ile Domain Controller bilgisini alıyorum.
|
Get-ADGroupMember 'Domain Controllers' |
13- Aşağıdaki PowerShell komutu ile de Primary Domain Controller bilgisi alınabilir.
|
Get-ADDomainController -Discover -Services PrimaryDC |
Faydalı olması dileğiyle...
Etiketler: Windows Server 2019, Active Directory Kurulumu, Domain Controller Kurulumu, Primary DC Kurulumu.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.