Merhaba
Bu kurulumu gerçekleştirmeden önce Windows Server 2016 Active Directory Domain Services Kurulumuna bakabilirsiniz. Bu yazımızda da Windows Server 2016 üzerinde “ Additional Domain Controller “ kurulum ve yapılandırmasını anlatacağım.
Additional Domain Controller (ADC) Nedir? :
Active Directory Domain Services rolünün yüklü olduğu sunucumuzun donanımsal ya da yazılımsal bir sorun nedeniyle beklenmedik bir anda ulaşılamaması durumunda ya da Active Directory Domain Services sunucumuzun yükünü paylaşmak ve performansını artırmak için ortamımıza ikinci bir Active Directory Domain Services rolü yapılandırılmış bir sunucu eklenilir ve bu sunucu Additional Domain Controller olarak adlandırılır. Ortamdaki birinci Primary Active Directory Domain Services kurulumundan sonraki ikinci sunucumuz Active Directory Domain Services yapılandırılırken Additional Domain Controller ( ADC ) olarak kurulumu yapılarak yapılandırılmaktadır.
Öncelikle ortamımızı hatırlayalım.
Birinci sunucum DC isminde ip adresini 192.168.1.100 olarak yapılandırmıştık. Üzerinde Active Directory Domain Services ve Domain Name Server ( DNS ) yapılandırılarak ferhatulker.local isminde bir domain ortamı kurmuştuk.
İkinci sunucuma ADC ismini verip ip adresini 192.168.1.101 olarak yapılandıracağım. Üzerinde Active Directory Domain Services ve Domain Name Server ( DNS ) kurulumu da yaparak Additional Domain Controller yapılandırmasını birlikte yapacağız.
Active Directory Domain Services rolünün kurulumu ve Additional Domain Controller yapılandırmasına geçmeden önce aşağıdaki işlemleri yapıyoruz.
- Sunucumuzun Computer name yani isminin düzenlenmesi.
- Sunucumuz üzerinde IP Adress ( IP Adresi ) yapılandırması
Sunucumuzun adını local server alanında görebilirim.
Additional Domain Controller olarak yapılandıracağımız sunucumuzun isim düzenlemesini yaptıktan sonra ip yapılandırmasını yapmamız gerekli. Ortamda sunucu olarak görev yapan tüm makinalarımızın ip adresi statik olmak zorundadır. Ben ip adresimi akılda kalıcı olması nedeniyle ana sunucumdan bir sonra ki adresi veriyorum. Preferred DNS server bölümüne ortamdaki Primary Domain Controller olarak görev yapan DC sunumuzun ip adresini yazıyoruz. Alternate DNS Server bölümüne ise bu sunucumuz ortamda Additional Domain Controller olarak görev yapacağı ve üzerinde aynı zamanda Domain Name Server ( DNS ) Server olarak da görev yapacağı için bu şekilde yapılandırıyoruz
Additional Domain Controller olarak yapılandıracağımız sunucumuz üzerindeki kurulumdan önce ki gerekli yapılandırmaları tamamladıktan sonra Server Manager konsolunu açıyoruz. Dashboard ekranında “ Add roles and Features’a “ tıklıyoruz. Dilerseniz sağ üst köşedeki Manage menüsünden Add Roles and Features ile rol ekleme sihirbazını açabiliriz.
Burada sihirbazla ilgili bilgilendirme gelmektedir. Next diyerek ilerliyoruz.
Burada Active Directory Domain Services rolünün kurulumu yaparak Additional Domain Controller yapılandıracağımız için Role-based or Features-based Installation seçerek Next diyerek devam ediyoruz.
Windows Server 2008 ve 2012 ile birlikte sunucu kümesi oluşturarak bu küme üzerine toplu olarak ve farklı bir sunucu üzerinden Rol ve Özellik ekleme ve kaldırma işlemleri yapabilir duruma geldik. Tabi bu işlem Windows Server 2012 üzerinden doğrudan yapılabilirken Windows Server 2008’e bazı özellikler katmamız gerekiyordu. Bizim ortamımızda tek bir sunucumuz olduğundan ve bu sunucumuza Active Directory rolünü kuracak olduğumuzdan Adı, ip adresi ve versiyon bilgisi sunulan sunucumuzu seçerek Next ile ilerliyoruz.
Karşımıza gelen ekrandan kuracak olduğumuz “ Active Directory Domain Services “ rolünü seçiyoruz.
Active Directory rolünü kurmak istediğimizde bu rolün kurulabilmesi için farklı özelliklerin ve bileşenlerin gerekli olduğunu gösteren bir ekran karşımızda belirliyor. Rol kurulumu için gerekli olan bu bileşenlerinde yüklenmesi için ” Add Features “ butonuna tıklayalım.
Şimdi kurulacak olan rolümüz seçili hale geldi. Şimdi Next butonuna tıklayarak bir sonraki adıma ilerliyoruz.
Bir sonraki ekranımızda özellik ekleme ekranımız bizi karşılamakta. Bir özellik ekleme istediğimiz durumda bu ekranı kullanmalıyız. Biz bu ekranda bir özellik eklemeyeceğimiz için Next ilerleyebiliriz. Burada dikkat edecek olursanız bir önceki ekranda gerekli olan özelliklerin kurulmasına onay vermiştik. Bu ekranımızda gerekli olan .Net ve Group Policy Management özelliklerinin seçilmiş olduğunu görüyoruz.
Bu ekranımızda geçmiş ekranlara göre farklı bir arayüzün gelmiş olduğunu görebilmekteyiz. Artık sistemlerin buluta entegre olması ile birlikte On-Premises sitemimizde yer alan Active Directory yapısını Ofis 365 Azure üzerindeki Active Directory yapısına bağlama imkanına sahibiz. Biz şu anda böyle bir aksiyon almayacağımız için Next ile bir sonraki adıma ilerliyoruz.
Confirm installation selections ekraninda Active Directory Domain Services rolünün kurulumu tamamlandiktan sonra sunucunun otomatik olarak restart etmek istersek Restart the destination server automatically if required seçeneğini işaretlememiz gerekiyor. Ben Active Directory Domain Services rolünün kurulumu tamamlandıktan sonra sunucumuz üzerinde Active Directory Domain Services ve Additional Domain Controller yapılandırmasına devam edeceğiz için kurulumu Install diyerek başlatiyoruz.
Installation progress ekraninda Active Directory Domain Services rolü ile birlikte diğer özelliklerimiz olan Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulduğunu görüyoruz.
Active Directory Domain Services rolü ile birlikte diğer özelliklerimiz olan Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulumları tamamlandiğin görüyoruz.
Active Directory Domain Services rolü üzerinde Additional Domain Controller yapılandırılması için “ Promote this Server to a domain controller’a “ tıklıyoruz ve Active Directory Domain Services rolünü yapılandırmaya başlıyoruz.
Active Directory Domain Services Configuration Wizard ekranı geliyor karşımıza. Deployment Configuration ekranında üç seçenek bulunuyor.
Add a domain to an existing domain : Mevcut Forest yapımız içinde yeni bir Domain Controller yapılandırmak için bu seçeneği seçmemiz gerekiyor. Yani ortamımıza bir Additional Domain Controller yapılandırmasını yapacağımız zaman bu seçeneği işaretliyoruz.
Add a new domain to an existing forest : Mevcut Forest yapımız içinde yeni bir Domain yapılandırmak için bu seçeneği seçmemiz gerekiyor. Yani mevcut Forest yapımız içinde ferhatulker.local isminde bir Domain var ve biz bu Forest yapımız içine ulker.local isminde bir Domain daha yapılandıracağımız zaman bu seçeneği işaretliyoruz.
Add a new forest : Ortamımıza yeni bir Forest ve Domain yapılandırmasını yapacağımız zaman bu seçeneği işaretliyoruz.
Biz mevcut Forest yapımız içinde sunumuzu Additional Domain Controller yapılandıracağımız için Add a domain to an existing domain seçeneğini işaretliyoruz. Biz mevcut ortamimizda ferhatulker.local domain yapısı içerisinde Additional Domain Controller yapılandıracağımız için ve sunucumuz Active Directory ortamına dahil olmadığı için Specify the domain information for this operation sekmesinde boş olarak geldiğini görüyoruz. Eğer sunumuzu daha önce Active Directory ortamına dahil olarak işlem yapmış olsaydık. Specify the domain information for this operation sekmesindeki Domain bölümüne ferhatulker.local olarak geldiğini geldiğini görecektik.
Deployment Configuration ekranında Specify the domain information for this operation sekmesinde “ Select “ diyoruz.
Credentials for deployment operation ekranında Active Directory ortamindaki Administrator bilgisi yaziyoruz.
Select a domain from the forest ekranında sunumuzu hangi forest ortaminda Additional Domain Controller yapılandırılacaksak o Domain Controller seçiyoruz ve OK diyoruz.
Deployment Configuration ekranında gerekli yapılandırmayı tamamladıktan sonra Next diyerek devam ediyoruz.
Domain Name System (DNS) Server : Active Directory ve DNS entegrasyonu Windows Server Sisteminin en önemli özelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kayıtları (Resource Records) olarak sunulabilecek şekilde benzer bir hiyerarşik isimlendirme yapısına sahiptirler. Bu entegrasyonun sonucu olarak Windows Server Ağındaki bilgisayarlar, Active Directory’ye özgü birtakım servisleri çalıştıran bilgisayarların yerini öğrenmek için DNS Sunucuları kullanmaktadırlar. Örneğin, bir client Active Directory’ye logon olmak veya herhangi bir kaynağı (yazıcı veya paylaşılmış bir klasör) dizin içerisinde aratmak için bilmesi gereken Domain Controller IP adresini DNS Sunucu üzerinde SRV kayıtlarından öğrenmektedir. Active Directory’nin sorunsuz bir şekilde çalışması için DNS sunucuların SRV kayıtlarını eksiksiz bir şekilde barındırması gerekmektedir. SRV kayıtlarının amacı, client’lara logon esnasında veya herhangi bir kaynağa ulaşıyorken Domain Controller’ların yerlerini belirtmektir ve bu kayıtlar DNS sunucularda tutulur. SRV kayıtlarının olmadığı bir ortamda, client’lar Domain’e logon olamayacaklardır. Ayrıca Windows Server, DNS bilgilerinin Active Directory veritabanı ile tümleşik olarak saklanmasına olanak vermektedir. Bu sayede DNS bilgilerinin replikasyonu daha efektif ve güvenli bir hale gelmektedir.
Windows Server, Active Directory organizasyonunu kurmadan, önce oluşturulacak olan Domain’in DNS altyapısını önceden oluşturmayı gerektirmektedir. Eğer oluşturulacak olan Domain’in DNS altyapısı kurulum öncesinden hazırlanmamışsa, kurulum esnasında da DNS altyapısı kurulabilir.
Global Catalog ( GC ) : Global Catalog, Active Directory’deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu barındırılan özellikler, varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir (örneğin kullanıcı ön ismi, son ismi ve logon ismi).
Global Catalog kullanıcılara şu hizmetleri sunar:
• Gereken verinin nerede olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar.
• Bir ağa logon oluyorken Universal Group Membership bilgisini kullanır.
Global Catalog Sunucusu Domain’deki bir Domain Controller’dır ve Domain’de oluşturulan ilk Domain Controller otomatik olarak Global Catalog seviyesine yükseltilir. Sonradan ek Global Catalog Sunucular eklenebilir.
Read Only Domain Controller (RODC) : Windows Server 2008 ile gelen en dikkat çeken özelliklerden birisi Read Only Domain Controller ( RODC ) özelliğidir. Read Only Domain Controller ( RODC ) adından da anlaşılacağı gibi Active Directory Domain Services sunuculardan farklı bir yapıya sahiptir. Tam olarak, Active Directory veritabanını barındıran fakat veritabanına yazma hakkına sahip olmayan bir Domain Controller tipidir.Yani üzerinden, Active Directory içerisindeki Organizational Unit,User, Group gibi objeler görülebilir fakat ekleme ve ya silmek gibi işlemleri yapmak mümkün değildir. Read Only Domain Controller ( RODC ) bulunduğu ortamda Domain Controller olarak hizmet verirken, üzerinde değişiklik yapılamadığı için herhangi bir güvenlik açığı da oluşturmamaktadir.Windows Server 2003 işletim sisteminde Active Directory kurulumu Administrators grubuna üye olan kullanıcılar tarafından gerçekleştirilebilmekteydi. Bu durumun aksine Windows Server 2012 ile birlikte sunulan Read Only Domain Controller ( RODC ) rolünün kurulumu, Delegasyon yapıldıktan sonra Standart bir domain user tarafından da yapılabilmektedir. Amaç, uzak ofiste yer alan bir çalışan tarafından kurulum işleminin gerçekleştirilerek, bizim için zaman ve iş tasarrufu sağlamaktır.Read Only Domain Controller ( RODC ) üzerine kurabileceğimiz bir başka sunucu rolü Read-Only DNS Server dır. Read Only Domain Controller ( RODC ) üzerindeki DNS de kayıtlar sadece okunabilir DNS üzerinde herhangi bir ekleme ve ya silmek gibi işlemleri yapmak mümkün değildir. Windows Server 2016 üzerinde Read Only Domain Controller ( RODC ) kurulumu paylaşıyor olacağım.
Directory Services Restore Mode (DSRM) password : Microsoft Domain ortamlarında Active Directory yedeğinin dönülmesi için kullandığımız özel yöntemdir. Directory Services Restore Mode (DSRM) kullanmak için bilgisayarınız ve ya sunucunuz açılırken F8 tuşuna basarak karşınıza gelen menüden directory services restore mode bölümünü seçmeniz gerekiyor. Bu bölümü seçerek gerçekleşen açılışta pek çok directory ile ilişkili servis durdurulduğu için rahatlıkla System State yedeğini dönebiliyoruz. Windows Server 2008 ile beraber gelen yeni özelliklerden biri artık Active Directory Domain Services servisinin olması ve bu servisi istediğiniz zaman durdurabiliyor olmanız. Ancak bu bir bilgi kirliliğine neden olmaktadır, Windows Server 2008 ve Windows Server 2008 R2 sistemlerinde de system state yedeğinden dönmek için Directory Services Restore Mode (DSRM) açılış şeklini kullanmanız gerekmektedir. Servisi durdurmak sadece Active Directory veri tabanını taşımak veya bakım işlemlerini gerçekleştirmek için kullanılır ancak system state yedeği için hala Windows Server 2003 sistemlerinde olduğu gibi Directory Services Restore Mode (DSRM) kullanılır. Directory Services Restore Mode (DSRM) ile açılış yapılırken sizden bir şifre istenir. Bu şifre sizin domain administrator kullanıcısı şifresi değildir, her Domain Controller için ayrı olarak atanan ve o Domain Controller sunucusu Domain kurulumu yapılırken ( dcpromo ) size sorduğu şifredir. Bu şifreyi hatırlamıyorsanız eğer normal mode ile açılış yaparak komutlar yardımı ile Directory Services Restore Mode (DSRM) şifresini resetleyebilirsiniz.
Domain Controller Options ekraninda Specify domain controller capabilities bölümünde herhangi bir değişiklik yapmadan Type the Directory Services Restore Mode (DSRM) password kısmına Active Directory Restore Mode için kullanacağımız Complex Password yazıyoruz. Next diyerek devam ediyoruz.
DNS Options ekraninda eğer yapımız içinde mevcutta bir Domain Name Server ( DNS ) yapımız var ise yeni kurulan Domain Name Server ( DNS ) sunucumuzu mevcuttaki Domain Name Server ( DNS ) zone üzerinde delegasyon ataması yapılabilir. Burada herhangi bir seçim yapmiyoruz Next diyerek devam ediyoruz.
Additional Options ekranında iki seçeneğimiz bulunuyor.
Specify Install From Media (IFM) : Active Directory Domain Services kurulumunu yaparken Install From Media (IFM) seçeneğini kullanıp kullanmayacağımızı soruyor olacaktır. Install From Media (IFM) ön kurulum seçeneği uzak lokasyonlara Additional Domain Controller kurulumu ve yapılandırılması yapılırken kullanılan bir kurulum yöntemidir. Additional Domain Controller kurulumu ve yapılandırılması yapılırken database oluşumu ve diğer yapılandırmasını diğer Active Directory Domain Services sunucusu üzerinden replikasyon yöntemi ile yapmak yerine önceden backup alınarak kurulacak olan Additional Domain Controller sunucusu üzerine restore edilerek gerçekleştirilen bir kurulum seçeneğidir. Bu kurulum seçeneği özellikler farkli ve uzak lokasyonlu büyük yapılarak Additional Domain Controller kurulumu ve yapılandırılmasi sirasinda network trafiğinde yaşanacak olan yoğunluğu en aza indirmemizi sağlayan bir yöntemdir. Install From Media (IFM) ile backuptan gelen database kullanılarak oluşan Active Directory Domain Services sunucumuz replikasyonla backuptan sonraki değişiklikleri merkez Active Directory Domain Services üzerinden replikasyon ile alicaktir.
Specify additional replication options : Active Directory Domain Services kurulumunu yaparken ortamdaki hangi Active Directory Domain Services sunucu üzerinden database oluşumu ve diğer yapılandırmanin replikasyon işlemleri yapacağını belirleyeceğimiz bölümdür.
Replika From bölümünde eğer Any domain controller seçersek ortamda bulunan bütün Active Directory Domain Services sunucu ile haberleşecektir ya da listeden hangi Active Directory Domain Services sunucusu ile haberleşmesini istiyorsak onu seçebiliriz.
Replika From bölümünde ortamda Primary Domain Controller olarak görev yapan sunucum olan DC.ferhatulker.local isimli sunucumu seçiyoruz ve Next diyerek devam ediyoruz.
Paths ekraninda Active Directory Domain Services yapımızın Database folder, Log files folder ve SYSVOL folder kurulacağı dizinleri belirliyoruz. Burayı default dizinler üzerinde herhangi bir değişiklik yapmadan bırakıp next diyerek devam ediyoruz.
Review Options ekraninda Active Directory Domain Services rolü yapılandırması sırasında yapmış olduğumuz seçeneklerin bir listesini görüyoruz. View Script bölümüne tıklayarak Active Directory Domain Services rolü için yapmış olduğumuz yapılandırmayı PowerShell komutu olarak alarak kurulum yapabiliriz. Ben next diyerek ilerliyorum.
Prerequisities Check ekranında Windows Server 2016 Active Directory Domain Services rolü için check yaparak herhangi bir problem ya da eksiklik olup olmadığı kontrolünü yapacaktır.
Additional Active Directory Domain Services rolü için gerekli kontroller tamamlandı. All Prerequisite check passed succesfully. Click “Install” to begin installation. mesajını görmekteyiz. Install diyerek kurulumu başlatabiliriz.
Installation ekraninda Active Directory Domain Services rolünün ve Additional Domain Controller yapılandırmasının sunucumuz üzerinde başladığını görüyoruz.
Sunucu üzerindeki Active Directory Domain Services rolünün yapılandırmasını tamamlandı. Sunucumuzun restart olacağı bilgisini veriyor. Close butonuna tıklayarak restart işlemini başlatabiliriz.
Sunucumuz restart olduktan sonra Server Manager konsoluna Active Directory Domain Services ( AD DS ) ve Domain Name Server ( DNS ) rollerinin geldiğini görüyoruz.
Active Directory Users and Computers konsolu üzerinde Domain Controller Organizational Unit ( OU ) altına ADC ismindeki sunumuzun geldiğini görüyoruz.
Domain Name Server ( DNS ) Manager konsolu üzerinde ADC ismindeki sunumuzun DNS kayıtlarının geldiğini görüyoruz.
Başka yazılarımızda görüşmek dileğiyle…
Windows Server 2016 Additional Domain Controller Kurulumu ve Yapılandırılması. Teşekkürler
Windows Server 2016 Additional Domain Controller Kurulumu ve Yapılandırılması. Teşekkürler