Yükleniyor...

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


Fırat Boyan 18.05.2020 0

Windows Server 2019'da Active Directory Sites and Services Yapılandırma

Bu makalemde sizlere Windows Server 2019'da Active Directory Sites and Services detaylı yapılandırma işlemlerinin nasıl yapılacağından bahsediyor olacağım.

Büyük ve kurumsal firmalar, bazen bir ülklede birden fazla şehirde; bazen de birden fazla ülkede, birden fazla şehirde hizmet verebilmektedirler ve firmaların coğrafi olarak farklı lokasyonlardaki şubelerinde konumlandırılan, Domain yapısını işleten Domain Controller'ların da yönettiğimiz sistemler üzerinde mantıksal olarak ayrıştırılmaları gerekmektedir. Bu mantıksal ayrışmanın temek iki sebebini aşağıdaki gibi sıralayabiliriz;

1- Her Client'ın, bulunduğu Site (lokasyon) içindeki Domain Controller'dan Authentication (kimlik doğrulama) işlemlerini gereçleştirmesi gerekmektedir. Kısaca, Logon (oturum açma) trağini yönetilmesini sağlamak diyebilriz. Bunu biraz daha açacak olursak; Domain ortamının kurulması ile birlikte, Domain ortamına kurulan her Domain Controller (coğrafi olarak nerede olduğunun önemi olmaksızın) varsayılan olarak Default-First-Site-Name Site yapısı içinde bulunur.

Bunun da anlamı; Ör. X şubesindeki birisi, Y şubesine gittiğinde bilgisayarını açıp, Authentication (kimlik doğrulama) işlemi gerçekleştirecektir. Ancak Authentication (kimlik doğrulama) işlemi gerçekleştireceği Domain Controller'lardan herhangi birisi, varsayılan tek bir Site (lokasyon) yapısı olan Default-First-Site-Name içinde bulunduğu için, o anda Authentication (kimlik doğrulama) işlemi gerçekleştirmeye çalıştığı Domain Controller, kişinin bulunduğu farklı bir şubede (Ör. Z şubesi) ise, ve bu iki şube arasındaki Internet hattı zayıfsa, Authentication (kimlik doğrulama) işleminin gerçekleşmesi çok uzun dakikalar, hatta saatler alabilir. Bu sebeple de kişi, hangi şubeye giderse gitsin, sadece ve sadece Domain ortamındaki o Site (lokasyon) içinde bulunan Domain Controller ile muhatap olmalıdır.

2- Domain yapısını işleten Domain Controller'ların Database (veri tabanı) bilgileri birbirleri ile aynı ve tutarlı olmalıdır. Adına replikasyon dediğimiz bu Database (veri tabanı) bilgilerinin güncel tutulma işlemlerinin, Site'lar (lokasyonlar) arasındaki Internet hatlarının durumuna göre planlamalarının yapılmasını sağlamak gerekmektedir.
 

Active Directory Partition'ları

2. maddeyi okuduktan sonra Replike olan nedir? sorusunu kendinize sormaya başlamış olabilirsiniz. Active Directory Database'i (veri tabanı) olan NTDS.DIT Database'i (veri tabanı) içinde mantıksal olarak ayrılmış 5 adet Active Directory Partition bulunmaktadır. Domain ya da Forest ortamınızdaki tüm Domain Controller'ların güncel tutulması için, bu 5 adet Active Directory Partition kopyasının ortamdaki tüm Domain Controller'larda aynı güncellikte tutulması şarttır. Burada değineceğim konular ön bilgi niteliğinde olup, makalemin ilerleyen kısımlarında uygulama kısımlarına da değineceğim.

Bu bölümler;

1- Schema Partition
2- Configuration Partition
3- Domain Partition (Naming Context)
4- Application Partition - DomainDnsZones
5- Application Partition - ForestDnsZones




1- Schema Partition
CN=Schema,CN=Configuration,DC=firatboyan,DC=com
Bu Partition içinde; Active Directory'deki User, Computer, Ou ya da Group gibi nesnelerin Class ve Attribute bilgileri tutulur.

NOT 1: Bir Forest ortamındaki tüm Domain Controller'lar, Schema Partition'ın salt-okunur (Read-Only) bir kopyasını barındırırlar ve bu Partition içindeki tüm nesneler, Forest içindeki tüm DC'lere replike olurlar.

2- Configuration Partition
CN=Configuration,DC=firatboyan,DC=com
Bu Partition içinde, Forest bazında (Forest-Wide) Active Directory Domain (Forest) yapısının mantıksal topoloji bilgisi ve replikasyon topoloji bilgisi tutulur.

NOT 2: Bir Forest ortamındaki tüm Domain Controller'lar, Configuration Partition'ın okunabilir/yazılabilir (Read/Write) bir kopyasını barındırır ve bu Partition içindeki tüm nesneler, Forest içindeki tüm DC'lere replike olurlar.

3- Domain Partition (Namig Context)
DC=firatboyan,DC=com
Bu Partition içinde; bir Active Directory Domain içindeki User, Computer, Ou ya da Group gibi nesnelerin dizin bilgileri tutulur.

NOT 3: Bir Forest ortamındaki tüm Domain Controller'lar, Domain Partition'ın okunabilir/yazılabilir (Read/Write) bir kopyasını barındırır ve bu Partition içindeki tüm nesneler, Forest içindeki tüm DC'lere replike olurlar.

4- Application Partition
DC=ForestDnsZones,DC=firatboyan,DC=com
5- Application Partition
DC=DomainDnsZones,DC=firatboyan,DC=com

Windows Server 2003 ile hayatımıza giren bu Partition; DNS, DHCP, Remote Access (RAS), RADIUS gibi dinamik olarak veri kullanımı gerektiren bir takım network ilişkili servislerin (uygulamaların) Active Directory içinde bilgilerini saklaması için kullanılan bir Partition türüdür. Bu diyanic Data'lar, varsayılan 1 gün olup, min. 15 dakikaya kadar düşürülebilir Time-To-Live (TTL) yaşam süresine (Life Span) sahiptir ki bu da Data'ların kullanılmadıkları zaman Active Directory'den otomatik olarak ne zaman silineceklerine dair bir zaman süresi belirlemiş olur. Bu Partition içinde tutulan uygulama tabanlı bilgiler, bertilen herhangi bir Domain Controller'a replike edilebilir.

Application Partition ile Administrator kullanıcıları; Data'ların saklanması için Domain ya da Forest ortamındaki tüm Domain Controller'lar yerine, kendilerinin seçeceği herhangi bir Domain Controller'da alanlar oluşturarak, Application Partition kopyasının (replikasyon) da istedikleri herhangi bir Domain Controllar'a tutulmasını sağlama imkanına sahiptirler.

NOT 4: DNS Server üzerindeki Autorative Domain Zone, Active Directory Integrated Zone olarak yapılandırılmışsa, ek olarak ForestDnsZones'u da içerdiği için 2 tane Application Partition görmekteyiz.
 

Urgent Replication Kavramı

Adından da anlaşılağı üzere, Active Directory nesnelerinin güvenlik ile ilgili Attiribute'larında değişiklik olması durummunda Replikasyon süresi beklenmeden gerçekleşir. Diğer Site’lara anında haber verilmez. İlgili Replikasyon süresi sonunda bilgiler gider. Aşağıdaki durumlar söz konusu ise Replikasyon hemen tetiklenir;

• Account Lockout Policy
• Domain Password Policy
• Local Security Authority
• Domain Controller bilgisayar hesabının değişmesi

 

Replikasyon Süresi ve Protokolü

Domain Controller'lar arası replikasyonlar, INTERSITE Replication (Site'lar arası replikasyon) ve INTRASITE Replication (Site içi replikasyon) olmak üzere ikiye ayrılır. Burada değineceğim konular ön bilgi niteliğinde olup, makalemin ilerleyen kısımlarında uygulama kısımlarına da değineceğim.

• INTRASITE Replication, aynı Site içindeki Domain Controller'ların birbirleri arasında gerçekleştirdikleri replikasyondur ve replikasyonlar, varsayılan olarak 15 dakikada bir gerçekleşir.

Active Directory Sites and Services Yapılandırma

• INTERSITE Replication, farklı Site'lar arasındaki replikasyondur. Bu replikasyon türünde replikasyonlar, Birdgehead Server'lar arasında gerçekleştirilir ve replikasyonlar, varsayılan olarak 180 dakikada bir gerçekleşir.

Active Directory Sites and Services Yapılandırma

Bu replikasyonlar;
1- Aynı Site içindeki Domain Controller'lar arasında RPC Over IP protokolü üzerinden gerçekleşmektedir.
Replikasyondaki Data'lar, sıkıştırılmadan iletilir.

Bilgi!: RPC'nin açılımı, Türkçeye Uzak Çağrı Yordamı olarak çevirebileceğimiz Remote Procedure Call'dur.

2- Farklı Site'lar arasındaki Domain Controller'lar arasında RPC Over IP ya da SMTP (Simple Mail Transfer Protocol) üzerinden gerçekleşmektedir.
Replikasyondaki Data'lar, sıkıştırılarak iletilir.

NOT 5: SMTP prokolü, replikasyonların E-Mail üzerinden gerçekleştiği bir replikasyon protokolüdür ve artık tercih edilen bir protokol yöntemi değildir. Ek olarak SMTP prokolü, farklı Domain'deki Domain Controller'ların replikasyonunda kullanılabilir ancak aynı Domain'deki Domain Controller'ların replikasyonunda kullanılmamalıdır. Her durumda RPC Over IP protokolünün kullanılması tavsiye edilmektedir.

Active Directory Sites and Services Yapılandırma
 

Active Directory Site Yapısı ve Ortamı

Hedeflediğim ve kurmak istediğim Active Directory Site yapısı ve ortamı aşağıdaki gibi olacaktır.
Bu ortamda;

1- Site Bilgisi
• Istanbul-Site,
• Izmir-Site,
• Antalya-Site.

2- Domain Controller Bilgisi
• Istanbul-Site, 2 Domain Controller,
• Izmir-Site, 1 Domain Controller,
• Antalya-Site, 1 Domain Controller'a sahip olacaktır.

3- Network Bilgisi
• 10.10.10.0 /24 (Istanbul-Site)
• 10.10.20.0 /24 (Izmir-Site)
• 10.10.30.0 /24 (Antalya-Site)

Active Directory Sites and Services Yapılandırma

Active Directory Sites and Services Yapılandırma

 

Mevcut Active Directory Site Yapısı ve Ortam Bilgisi

Mevcut Active Directory Site yapım ile ilgili detaylı bilgilere erişmek için, aşağıdaki PowerShell Script'i kullanıyorum.

$ReportFile = "C:\ADSiteInfo.CSV"
Remove-item $ReportFile -ErrorAction SilentlyContinue
$ThisString="AD Site,Location,Site Option,Current ISTG,Subnets,Servers,In Site Links,Bridgehead Servers"
Add-Content "$ReportFile" $ThisString

$CurForestName = "firatboyan.com"
$a = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Forest", $CurForestName)
[array]$ADSites=[System.DirectoryServices.ActiveDirectory.Forest]::GetForest($a).sites
$ADSites
ForEach ($Site in $ADSites)
{
$SiteName = $Site.Name
$SiteLocation = $site.Location
$SiteOption = $Site.Options
$SiteISTG = $Site.InterSiteTopologyGenerator

[array] $SiteServers = $Site.Servers.Count
[array] $SiteSubnets = $Site.Subnets.Count
[array] $SiteLinks = $Site.SiteLinks.Count
[array] $SiteBH = $Site.BridgeheadServers.Count

$FinalVal=$SiteName+","+'"'+$SiteLocation+'"'+","+'"'+$SiteOptions+'"'+","+$SiteISTG+","+$SiteSubnets+","+$SiteServers+","+$SiteLinks+","+$SiteBH
Add-Content "$ReportFile" $FinalVal
}

PowerShell Script'i İNDİR

Active Directory Sites and Services Yapılandırma

Görüldüğü gibi tüm Domain Controller'lar, varsayılan site olan Default-First-Site-Name içinde yer almaktadırlar. Makalemin ilerleyen kısımlarında diğer detaylara da değineceğim.

Mevcut Active Directory Site yapım ile ilgili detaylı bilgilere erişerek gerekli bilgileri edindikten sonra aşağıdaki Powershell komutu ile de Domain ortamımdaki Domain Controller'ların Host Name, İşletim sistemi versiyonu ve IP adresi bilgilerini görebiliyoruz.

Get-ADComputer -Filter 'operatingsystem -notlike "*server*" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address

PowerShell Script'i İNDİR

Active Directory Sites and Services Yapılandırma
 

Active Directory Site Kurulumu

1- Active Directory Site Kurulumu için Active Directory Sites and Services'ı açıyorum.

Active Directory Sites and Services Yapılandırma

2- Active Directory Site Kurulumu için öncelikle ilk tercih edilen yöntem olan, varsayılan Default-First-Site-Name Site isim bilgisini değiştirmek olarak. Bunun için site üzerinde sağ tıklıyor, Rename seçeneğini seçiyor, Istanbul-Site adını veriyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

3- Varsayılan Default-First-Site-Name Site adını Istanbul-Site olarak değiştirdikten sonra sıra, diğer Site'larımı oluşturmaya geldi.

3.1- 2. Site'ımı oluşturmak için en yukarıdaki Sites üzerinde sağ tıklayarak New > Site seçeneklerini tıklıyorum.

Active Directory Sites and Services Yapılandırma

3.2- Açılan New Object - Site penceresinde Antalya-Site adını veriyor, DEFAULTIPSITELINK'i seçerek OK butonuna basarak pencereyi kapartıyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

4- Oluşturduğum Antalya-Site içine, adını Istanbul-Site olarak değiştirdiğim, eski varsayılan Default-First-Site-Name içindeki Domain Controller'lar üzerinde sağ tıklayarak Move... seçeneğini seçiyorum.

Active Directory Sites and Services Yapılandırma

4.1- Açılan Move Server penceresinde Antalya-Site'ı seçerek OK butonuna basarak pencereyi kapartıyorum.

Active Directory Sites and Services Yapılandırma

4.2- Görüldüğü gibi, SRV004x Host Name'li Domain Controller'ı Antalya-Site'ı içine taşıdık.

Active Directory Sites and Services Yapılandırma

5- 3. Site'ımı oluşturmak için yine en yukarıdaki Sites üzerinde sağ tıklayarak New > Site seçeneklerini tıklıyorum.

Active Directory Sites and Services Yapılandırma

5.1- Açılan New Object - Site penceresinde Izmir-Site adını veriyor, DEFAULTIPSITELINK'i seçerek OK butonuna basarak pencereyi kapartıyorum.

NOT 6: SITE LINK kavramına makalemin ilerleyen kısımlarında değineceğim.

Active Directory Sites and Services Yapılandırma

5.2- Oluşturduğum Izmir-Site içine, adını Istanbul-Site olarak değiştirdiğim eski varsayılan Default-First-Site-Name içindeki Domain Controller'lar üzerinde sağ tıklayarak Move... seçeneğini seçiyorum.

Active Directory Sites and Services Yapılandırma

5.3- Görüldüğü gibi, SRV003x Host Name'li Domain Controller'ı Izmir-Site'ı içine taşıdık.

Active Directory Sites and Services Yapılandırma

NOT 7: Taşıma işlemlerini sürükle-bırak yöntemi ile iligli Site içine taşımak suretiyle de gerçekleştirebilirsiniz.

6- Görüldüğü gibi, Active Directory Sites and Services içinde üç ayrı Site'ı oluşturarak, her Site içinde bulunması gereken Domain Controller'ları ilgili Site'lara taşıdık.

Active Directory Sites and Services Yapılandırma
 

Subnet Kavramı

Active Directory Sites and Services içinde üç ayrı Site'ı oluşturarak, her Site içinde bulunması gereken Domain Controller'ları ilgili Site'lara taşıdıktan sonra sıra, Site'larımızı Network ID'lerine göre de ayırmak olacak. Site'larımızın Network ID'lerine göre ayrılması ile Client'ların sadece kendi Network'lerindeki Domain Controller'larla ile iletişim kurması sağlanmış olacak ki zaten Site yapısı kurulum işlemi de bu amaç doğrultusunda yapılıyor.

7- Site'larımızın Network ID'lerine göre ayrılması için Subnets üzerinde sağ tıklayarak New Subnet... seçeneğini seçiyorum.

Active Directory Sites and Services Yapılandırma

7.1- Prefix bölümünde sırasıyla tüm Site'larımızın Network ID bilgileri, Subnet Mask değerleri ile birlikte tanımlanacaktır. Öncelikle Istanbul-Site için 10.10.10.0/24 yazarak Select a site object for this prefix alanında Istanbul-Site'ı seçiyor, OK butonuna basarak pencereyi kapartıyorum.

Active Directory Sites and Services Yapılandırma

7.2- Diğer Site'lar içinde sırasıyla Subnets üzerinde sağ tıklayarak New Subnet... seçeneğini seçiyorum ve Izmir-Site için 10.10.20.0/24, Antalya-Site için 10.10.30.0/24 yazarak Select a site object for this prefix alanında ilgili Site'ları seçerek Subnet ekleme işlemlerini tamamlıyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
 

Site Link Kavramı

Site Link'ler, Siteler arasındaki fiziksel bağlantıyı temsil eden, Site'lar arasındaki replikasyonu ve bunun yönetimini sağlayan nesnelerdir. Varsayılan Site Link, DEFAULTIPSITELINK'tir. Hatırlarsanız, Site'larımızı oluştururken Site Link seçerek oluşturabiliyorduk ve seçtiğimiz bu Site Link, varsayılan Site Link olan DEFAULTIPSITELINK idi. Şimdi sıra, ortamımızda birden fazla Site kurulu olduğu için, Site'lar arasındaki replikasyonu ve bunun yönetimini sağlayacağımız diğer Site Link'leri oluşturmaya geldi.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

8- Makalemin başındaki şemada da belirttiğim gibi, ortamımızda 3 adet Site bulunuyor ve her 3'ü de DEFAULTIPSITELINK içinde yer alıyor. Şimdi bu Site'ları ayrı Site Link'lere ayıracağız. Bunun için Intersite-Site Trasnaports altındaki IP üzerinde sağ tıklayarak New Site Link... seçeneğini seçiyorm.

Active Directory Sites and Services Yapılandırma

8.1- Açılan pencerede Site Link'ime Istanbul-Antalya adını vererek, sol bölümde bu Site Link içinde bulunacak Site'larımı Add >> butonuna basarak Sites in this site link alanına ekliyor, OK butonuna basarak pencereyi kapartıyorum.

Active Directory Sites and Services Yapılandırma

8.2- Istanbul-Antalya Site Link'ini oluşturduktan sonra sıra, diğer Site Link'imi oluşturmaya geldi. Ancak burada DEFAULTIPSITELINK'i yeniden adlandıradak, bu Site Link üzerinde de düzenleme yapabilirim. Bunun için DEFAULTIPSITELINK üzerinde sağ tıklayarak Rename seçeneğini seçiyor, adını da Istanbul-Izmir olarak değiştiriyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

8.2- Istanbul-Izmir Site Link'i içinde Antalya Site'ını barındırmayacağım için, Antalya Site'ını seçip, << Remove butonuna basarak soldaki Sites not in this site link alanına taşıyor, OK butonuna basarak pencereyi kapartıyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

8.3- Site Link yaplandırma işlemlerinin sorunda 3 site için 2 tane Site Link oluşturmuş olduk.

Active Directory Sites and Services Yapılandırma

Active Directory Sites and Services Yapılandırma

Bilgi!: Bir Site Link içinde tek bir Site tutamazsınız. Bir Site Link içinde en az 2 Site bulunmalıdır. 

 

Site Link Bridge Kavramı

Site Link Bridge’ler Site Link’leri birbirine bağlarlar. Varsayılan olarak tüm Site Link’ler Bridged durumdadır. Ayrıca Bridge yaratmaya gerek yoktur. Bu makalemde 3 site için 2 tane Site Link oluşturmuş, her Site Link içine 2 Site eklemiştim. Bu 2 Site (Istanbul-Antlaya, Istanbul-Izmir), Site Link Bridge sayesinde otomatik olarak birbirlerine bağlanmışlardır. Ancak Network tamamıyla Routed değilse; yani tüm Site'lar (Site Link'ler) birbirlerine Routing (yönlendirme) ile erişebilir durumda değilse, bu varsayılan durum değiştirilip, gereken yerlere Site Link Bridge’ler oluşturulmalıdır.

Active Directory Sites and Services Yapılandırma

Active Directory Sites and Services Yapılandırma
 

Site Link Cost ve Replication Interval Kavramı

Site Link'ler ile replikasyonun ne sıklıkla, hangi öncelik sırası ile ve hangi gün ve saat'lerde yapılacağını belirtmiştim.
• Bir Site Link için varsayılan Cost değeri 100'dür ve değiştirilebilmektedir.
• Bir Site Link için varsayılan Replication Internal değeri de 180 dakikadır. Bu 180 dakika, Intersite Replication değeridir ve değiştirilebilmektedir.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

Cost belirleme özelliği sayesinde iki Site arasındaki bağlantıların güvenilirliği ve hızını ayarlayabiliriz. Bu şekilde replikasyon, toplam Cost değeri en düşük yoldan gerçekleşecektir.

8.4- Site'lar arası replikasyonlar, varsayılan olarak 7/24 180 dakikada bir olacak şekildedir. 180 dakikalik Intersite Replication Inverval değiştirilebileceği gibi, Change Schedule... butonuna basarak, replikasyon gün ve saatleri de değiştirilebilir.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
 

Site'a Yeni Domain Controller Eklenmesi

Mevcut Domain ortamına yeni bir Domain Controller eklerken, Active Directory Promote işlemi sırasında Domain Controller'ın hangi Site içinde tutulacağını seçmemiz gerekiyor. Mevcut topolojimizde Antalya Site'ı içine SRV005x Host Name'li bir Domain Controller daha ekliyorum.

Active Directory Sites and Services Yapılandırma

Active Directory Sites and Services Yapılandırma


9- Active Directory Promote işlemi sırasında, Domain Controller Options adımında, Site Name alanından Antalya-Site'ı seçiyorum.

Active Directory Sites and Services Yapılandırma

10- Additional Options adımında, Replicate from alanında Any domain controller seçerek, replikasyon topolojisini KCC-Knowledge Consistency Checker'ın belirlemesini sağlayacağım.
KCC-Knowledge Consistency Checker kavramına makalemin ilerleyen kısımlarında değineceğim.

Active Directory Sites and Services Yapılandırma

11- firatboyan.com Domain'inde Antalya-Site içinde SRV005x Host Name'li yeni Domain Controller'ın eklenmesi işlemini tamamlamış bulunuyorum.

[cmdletbinding()]
param()
$Sites = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest().Sites
foreach ($Site in $Sites) {
$obj = New-Object -Type PSObject -Property (
@{
"SiteName" = $site.Name;
"SubNets" = $site.Subnets;
"Servers" = $Site.Servers})
$Obj

PowerShell Script'i İNDİR

Active Directory Sites and Services Yapılandırma

12- Powershell komutu ile de Domain ortamımdaki Domain Controller'ların Host Name, İşletim sistemi versiyonu ve IP adresi bilgilerini görebiliyorum.

Get-ADComputer -Filter 'operatingsystem -notlike "*server*" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address

PowerShell Script'i İNDİR

Active Directory Sites and Services Yapılandırma

13- Mevcut Active Directory Site yapım ile ilgili detaylı bilgilere erişmek için, aşağıdaki PowerShell Script'i kullanıyorum.

$ReportFile = "C:\ADSiteInfo.CSV"
Remove-item $ReportFile -ErrorAction SilentlyContinue
$ThisString="AD Site,Location,Site Option,Current ISTG,Subnets,Servers,In Site Links,Bridgehead Servers"
Add-Content "$ReportFile" $ThisString

$CurForestName = "firatboyan.com"
$a = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Forest", $CurForestName)
[array]$ADSites=[System.DirectoryServices.ActiveDirectory.Forest]::GetForest($a).sites
$ADSites
ForEach ($Site in $ADSites)
{
$SiteName = $Site.Name
$SiteLocation = $site.Location
$SiteOption = $Site.Options
$SiteISTG = $Site.InterSiteTopologyGenerator

[array] $SiteServers = $Site.Servers.Count
[array] $SiteSubnets = $Site.Subnets.Count
[array] $SiteLinks = $Site.SiteLinks.Count
[array] $SiteBH = $Site.BridgeheadServers.Count

$FinalVal=$SiteName+","+'"'+$SiteLocation+'"'+","+'"'+$SiteOptions+'"'+","+$SiteISTG+","+$SiteSubnets+","+$SiteServers+","+$SiteLinks+","+$SiteBH
Add-Content "$ReportFile" $FinalVal
}

PowerShell Script'i İNDİR

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
 

KCC-Knowledge Consistency Checker (Bridgehead Server) Kavramı

Makalemin başında Domain Controller'lar arası replikasyonların INTERSITE Replication (Site içi replikasyon) ve INTRASITE Replication (Site'lar arası replikasyon) olmak üzere ikiye ayrıldığından bahsetmiştim.

İşte tam da burada KCC-Knowledge Consistency Checker'ın önem ve görevi devreye giriyor. KCC-Knowledge Consistency Checker, 15 dakikada bir çalışarak, Site içinde hangi Domain Controller'ın hangi Domain Controller ile replikasyon yapacağını belirleyen bir INTRASITE (Site içi) Replication Topology oluşturup, bağlantı nesnelerinin otomatik olarak oluşmasını sağlamaktadır. Topolojiyi oluştururken de Domain Controller'lar arasındaki en iyi bağlantıyı hesaplar ve en iyi yolun kullanılmasını sağlar ve bağlantı nesnelerinin otomatik olarak oluşmasını en fazla 3 adımda sağlamaktadır.

Herhangi bir Site içindeki bir Domain Controller'a ait Connection nesnesindeki automatically generated yazmasındaki sebep budur. Connection nesnelerini kendiniz de Manuel olarak oluşturabilmektesiniz.

Active Directory Sites and Services Yapılandırma

Bir Site içindeki herbir Domain Contoller, KCC-Knowledge Consistency Checker görevindedir ve aynı Site içindeki KCC Domain Controller'lar replikasyon topolojisini oluşturmak için replikasyon hatalarının kontrolü için birbirleri ile RPC (Remote Procedure Call- Uzak Çağrı Yordamı) üzerinden haberleşirler.

Active Directory Sites and Services Yapılandırması sonrası KCC'nin oluşturduğu topolojiyi incelediğimizde;

14- Istanbul-Site içinde 2 adet Domain Controller bulunuyor.
Bu Domain Controller'lardan;
SRV001x, replikasyon bilgilerini SRV002x Host Name'li DC'den alıyor.
SRV002x, replikasyon bilgilerini SRV001x, SRV003x ve SRV004x Host Name'li DC'lerden alıyor.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

15- Izmir-Site içinde 1 adet Domain Controller bulunuyor.
SRV003x Host Name'li bu Domain Controller, replikasyon bilgilerini Istanbul-Site içindeki SRV002x Host Name'li DC'den alıyor.

Active Directory Sites and Services Yapılandırma

16- Antalya-Site içinde 2 adet Domain Controller bulunuyor.
Bu Domain Controller'lardan;
SRV004x, replikasyon bilgilerini aynı site içindeki SRV005x ve Istanbul-Site içindeki SRV002x Host Name'li DC'lerden alıyor.
SRV005x, replikasyon bilgilerini aynı Site içindeki SRV004x Host Name'li DC'den alıyor.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

NOT 8: Dikkat ettiyseniz Site'lar içindeki Domain Controller'lar, farklı Site'larda bulunan Domain Controller'lardan replikasyon bilgisi alıyor. Bu noktada da devreye ISTG-Intersite Topology Generator Kavramı giriyor.
 

ISTG-Intersite Topology Generator Kavramı

KCC; INTRASITE Replication Tepology (Site içi replikasyon topolojisi) oluşturduğu gibi, INTERSITE Replication Topology (Site'lar arası replikasyon topolojisi) de oluşturmaktadır. INTERSITE Replication Topology (Site'lar arası replikasyon topolojisi) ile diğer Site'lardaki Domain Controller'larda oluşacak değişikliklerin, tüm Domain ya da Forest'taki diğer Site'lar içinde bulunan Domain Controller'larda da güncel tutulması sağlanır. Site'lar arası Replikasyon trafiğinde sadece, bir nevi kurye gibi, ISTG-Intersite Topology Generator rolündeki Domain Controller'lar görevlidir ve bu Domain Controller'lara Bridgehead Server denmektedir.

Bir Site içindeki en az 1 Domain Controller, Site'lar arası (Intersite) replikasyon topolojisini oluşturması ve Site'lar arasındaki (Intersite) replikasyon bilgisini çekmek için OTOMATİK OLARAK ISTG-Intersite Topology Generator, yani Bridgehead Server, olarak atanır. Bir Site içinde bulunan Bridgehead Server, herhangi bir sebeple ulaşılamaz durumda olursa, Site içindeki GUID değeri en yüksek bir sonraki Domain Controller otomatik olarak ISTG-Intersite Topology Generator (Bridgehead Server) olarak atanır.

NOT 9: KCC, bir Site içinde birden fazla ISTG-Intersite Topology Generator atayabilir.

Bilgli!: OTOMATİK OLARAK KCC tarafından atanan ISTG-Intersite Topology Generator elle, manuel olarak da atabilir ancak ISTG-Intersite Topology Generator'a ulaşılamaması durumunda bu sefer Site içindeki GUID değeri en yüksek bir sonraki Domain Controller otomatik olarak ISTG-Intersite Topology Generator (Bridgehead Server) olarak OTOMATİK OLARAK ATANAMAZ! Böyle bir durumda Bridgehead Server yine elle, manuel olarak değiştirilmelidir!

Bir Site içinde oluşan herhangi bir değişiklikte bilgiler, önce Site içindeki Domain Controller'larda, daha sonra da Bridgehead Server Domain Controller'lar üzerinden diğer Site'lardaki Bridgehead Server Domain Controller'lara repilike olurlar. Replikasyon bilgisini alan diğer Site'lardaki Bridgehead Server Domain Controller'lar da bu replikasyon bilgisini kendi Site'ı içindeki Domain Controller'lara replike ederler.

ISTG-Intersite Topology Generator, Site'lar arası replikasyon (Intersite Replication) bilgisinin alınması için en etkili yolun hesaplanmasında Least-Cost  (en düşük maliyet) bilgisini kullanır. Buna da Least-Cost Spanning Tree algoritması denir. Algoritmanın fikri, belirli bir ağın mesafe matrisini (ağırlık matrisi) okumak ve en düşük maliyetli yolu oluşturmak için en düşük maliyetli bağlantılar kümesini içeren tercih edilen bir bağlantı matrisini oluşturmaktır.


17- Istanbul-Site ve Antalya-Site için KCC tarafından otomatik olarak atanan ISTG-Intersite Topology Generator Bridgehead Server'lar aşağıdaki gibidir.

Active Directory Sites and Services Yapılandırma

18- Izmir-Site için KCC tarafından otomatik olarak atanan ISTG-Intersite Topology Generator Bridgehead Server'lar aşağıdaki gibidir.

Active Directory Sites and Services Yapılandırma

• Otomatik olarak KCC tarafından OTOMATİK OLARAK atanan ISTG-Intersite Topology Generator BridgeheadServers olarak,
• Elle, manuel olarak atanan ISTG-Intersite Topology Generator PreferredRpcBridgeheadServers olarak işaretlenir.

19- ISTG-Intersite Topology Generator'ı Elle, manuel olarak atamak için Host Name (Ör. Istanbul-Site içindeki SRV002x) üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

Active Directory Sites and Services Yapılandırma

20- Karşıma çıkan pencerenin alt kısımında Transports available for inter-site data transfer altında bulunnan IP'yi seçerek Add >> butonuna basıp, This server is a preferred bridgehead server for the following transports alanına ekliyorum.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

21- Görüldüğü gibi Elle, manuel olarak atanan SRV002x Host Name'li ISTG-Intersite Topology Generator, PreferredRpcBridgeheadServers olarak işaretlemiştir.

Active Directory Sites and Services Yapılandırma
 

Repadmin /replsummary Komutu İle Replikasyon Özetini İzleme

22- Repadmin /replsummary komutu ile Active Directory Sites and Services üzerindeki Site topolojimde yer alan Domain Contoller'ların replikasyonun özet bilgisini elde ediyorum.

Source DSA Largest Delta fails/total %% error
SRV001x 08h:41m:14s 0/5 0  
SRV002x 09h:26m:09s 0/15 0  
SRV003x 09h:26m:14s 0/5 0  
SRV004x 08h:41m:06s 0/5 0  
SRV005x 09h:26m:14s  0/10 0  
Destination DSA Largest Delta fails/total %% error
SRV001x 08h:41m:19s 0/5 0  
SRV002x 09h:26m:14s 0/15 0  
SRV003x 09h:26m:09s 0/10 0  
SRV004x 09h:26m:06s 0/5 0  
SRV005x 08h:41m:07s 0/5 0  

Active Directory Sites and Services Yapılandırma
 

Source DSA (Directory System Agent) ve Destination DSA (Directory System Agent) Nedir?

23- Burada karşımıza çıkan DSA (Directory System Agent), RPC (Remote Procedure Call-Uzak Yordam Çağrısı) protokolü ile replikasyon işleminin başlatılabilmesi ve Domain Controller'ların birbirleri ile iletişim kurabilmeleri için gerekli olan bağlantı altı yapısını kurar.

Karşımıza çıkan bilgilerde, her Domain Controller'ın Source DSA ve Destination DSA alanlarında da yer aldığını görebilmekteyiz. Bunun nedeni, Active Directory'nin Multi-Master yapısını kullanmasından dolayıdır. Multi-Master, tüm Domain Controller'larin birbirlerine replikasyon yapabilmesi kavramıdır ve Multi-Master yapısı ile bir Fault-Tolerance (hata toleransı) oluşmuş, herhangi bir Domain Controller erişilemez durumda olsa dahi, replikasyon sürekliliği de korunmuş olur.
 

fails/total, %% ve error Nedir?

• largest delta: Domain Contoller'lar arasındaki en son replikasyondan beri geçen süreyi göstermektedir.
• fails: Domain Contoller'lar arasındaki Active Directory Partition repliklasyonlarının kaç tanesinin hatalı sonuçlandığı bilgisini verir.
• total: Domain Contoller'lar arasındaki Active Directory Partition repliklasyonları için yapılan bağlantı sayısıdır.
• %%: Total ile Fail değerlerinin yüzdelik olarak gösterimini temsil eder.
Ör. 10 bağlantı denemesi yapılıp, bunlardan 5 tanesi başarısız olursa ki hiç bir Partition replikasyonunun Fail olmaması gerekiyor, yüzdelik alanda 50 değeri görünecektir.
• error: Hatalı sonuçlanan Active Directory Partition repliklasyonları ile bilginin yer aldığı bilgi bölümüdür.

NOT 10: Ekran çıktısında gördüğünüz 8 tane nokta (........) gözünüze çapmış olabilir. Buradaki noktalardan ilk 3 tanesi, Progress'in başlatılması ile ilgili olan noktalar olup, geri kalan 5 nokta ise, Domain ortamımda 5 tane Domain Controller olduğu içidir. Ortamınızda kaç tane Domain Controller varsa, 3+ n kadar Domain Controller sayısınca (.) nokta göreceksiniz.

Bilgi!: Total alanında, normalde her bir Active Directory Partition için oluşturulan bağlantı sayısı 5 olması gerekirken, bundan daha yüksek bir değer görmemizdeki sebep, her bir Active Directory Partition için ayrı ayrı bağlantı kurduğu, başarısız olması durumunda bağlanıtının tekrar dendiği içindir.
 

repadmin /showreps & repadmin /showrepl Komutları İle Replikasyon Kontrolü

24- repadmin /showreps ya da repadmin /showrepl kumutu ile 5 adet Active Directory Partition replikasyonunun nasıl işlediği ve hangi DC'lerin DC'ler DC'ler ile replikasyon yaptığı bilgilerini elde edebiliriz. Ayıca; bu komutlardan herangi birisini hangi Server üzerinde çalıştırırsanız, ilgili Server'ın bulunduğu Site içinde replikasyon yaptığı DC'leri görürsünüz.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma
 

Force Replication Kavramı

Bazı durumlarda Domain ya da Forest ortamınızdaki tüm Domain Controller'ların, varsayılan replikasyon sürelerini beklemeden tamamının en güncel duruma getirilmesi gerekebilir. Bunun için 2 yöntem bulunmaktadır.

1- Manuel Replikasyon
Replikasyonların GUI (Graphical User Interface) üzerinden Manuel olarak, elle tetiklenme işlemini yapmak için;

25- NTDS Settings içindeki Connection Object'lerin üzerinde sağ tıklayarak Replicate Now seçeneğini seçerek, Connection Object üzerinde From Server kısımında hangi Domain Controller'ın Host Name'i yazıyorsa, "Pull Replication" ile o DC'den replikasyonu çekecektir.

Bilgi!: Active Directory'nin varsayılan davranışı "Pull Replication" üzerinedir.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

2- repadmin /syncall Komutu İle Replikasyon
Replikasyonların CMD (Command Promt) üzerinden Manuel olarak, elle tetiklenme işlemini yapmak için repadmin /syncall komutunu kullanacağız.

26- repadmin /syncall komutunu CMD (Command Promt) üzerinden iki farklı parametre set'i ile kullanabiliriz;

repadmin /syncall /APed
Bu komut ile komutun çalıştırıldığı Domain Controller'dan, tüm Site'lardaki DC'lere "Push Replication" ile replikasyon bilgilerini göndermesi için kullanılmaktadır.
Komutun 2 kullanım türü bulunmaktadır;

1. Kullanım:
repadmin /syncall /APed
Bu kullanımda komut; komutun çalıştırıldığı DC'den, diğer DC'lere replikasyon bilgilerinin gönderir.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

2. Kullanım:
repadmin /syncall Host Name /APed
Bu kullanımda komut, hangi DC'de çalıştırılırsa çalıştırılsın, Host Name'i açıkça belirtitilen DC'den, diğer DC'lere replikasyon bilgilerinin gönderir.

Active Directory Sites and Services Yapılandırma
Active Directory Sites and Services Yapılandırma

Bilgi!: repadmin /syncall komutundaki;

A parametresi: All- Tüm Active Directory Partition replikasyonları içindir.
P parametresi: Push- Repliksyonun, komutun çalıştırıldığı Domain Controller'dan tüm DC'lere gönderilmesi için.
e parametresi: Enterprise- Repliksyonun tüm Site'larda işletilmesi içindir.
d parametresi: Distinguished Name- Domain Controller'ların Komut çıktısındaki mesajlarda Distinguished Nam adı ile görüntülenmesini içindir.


NOT 10: Parametrelerdeki harflerin BÜYÜK-küçük yazımına dikkat edilmelidir!
 

repadmin /showrepl /errorsonly Komutu İle Replikasyon Hatalarının Görüntülenmesi

repadmin /showrepl /errorsonly komutu ile Domain Controller'lar üzerindeki replikasyon sorunları görüntülenip, Troubleshooting için önemli bilgiler edilebiliriz.

27- repadmin /showrepl /errorsonly komutunu hangi Domain Controller üzerinde çalıştırırsanız, o DC üzerindeki replikasyon sorunlarını götüntüleyecektir.

Active Directory Sites and Services Yapılandırma

28- repadmin /showrepl  /errorsonly komutu ile Host Name yazan yere hangi Domain Controller'ın replikasyon hata bilgileri alınacaksa, o DC'nin Host Name'ini yazmamız gerekmektedir.

28.1- Istanbul-Site ve Izmir-Site için DC replikasyon hata bilgilerini çekiyorum. 

Active Directory Sites and Services Yapılandırma

28.2- Antalya-Site için DC replikasyon hata bilgilerini çekiyorum. Komut çıktısında herhangi bir hata göstergesi bulunmamaktadır. Hata bulunması durumunda, hatalar detaylı bir şekilde yazacaktır.

Active Directory Sites and Services Yapılandırma

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilgi Teknolojileri sektöründeyim.
2003 yılında lise eğitimimden sonra bir bilgisayar firmasının teknik servisinde önce stajyer, sonrasında ise yine aynı firmada teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, Sistem Yöneticisi ve Sistem ve Network Mühendisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.
MİRSİS Bilgi Teknolojileri'nde Kidemli Sistem Uzmanı konumunda görev yapıyor, uzun yıllardır da Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Sistem ve Network Uzmanlığı eğitimleri veriyor, işlerimden arta kalan zamanlarda da bireysel olarak kurumsal firmalara Bilgi Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sahip olduğum Microsoft sertifikalarımı Hakkımda sayfasında detaylıca görüntüleyebilirsiniz.




-
YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YORUM YAZ
   
  
(Yorum onay bildirimi için gereklidir. Yayınlanmaz.)
 
750 Karakter yazabilirsiniz.

   
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.