İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.




Fırat Boyan 07.04.2020 0

Windows Server 2019'da Powershell ile Active Directory Domain Kurulumu

Domain Controller (DC), Microsoft'un Active Directory teknolojisinin temel bir bileşeni olarak, kurumsal ağlar üzerinde kullanıcı hesaplarını ve ağ kaynaklarını yönetmek için tasarlanmış bir sunucudur. DC'ler, ağ üzerindeki güvenlik ve erişim politikalarını merkezi bir noktadan kontrol etme yeteneği sağlayarak, büyük ve karmaşık ağ yapılarında düzeni ve güvenliği sağlar. DC'nin ana görevi, kullanıcıların kimlik doğrulaması, yetkilendirme işlemleri ve politika uygulamaları gibi kritik işlevleri yerine getirmektir.

Domain Controller (DC), Kimlik Doğrulama ve Yetkilendirme (Authentication and Authorisation) ile ağdaki her kullanıcı ve bilgisayar için kimlik doğrulaması sürecini yönetir. Bu süreç, kullanıcıların sistemlere ve kaynaklara erişim taleplerinde bulunduğunda başlar. Kullanıcı adı ve şifre gibi kimlik bilgileri, DC'ye iletilir ve burada, Active Directory'de saklanan bilgilerle karşılaştırılır. Eğer bilgiler eşleşirse, kullanıcı sisteme başarılı bir şekilde giriş yapar. DC, bu süreci sadece yerel ağ içinde değil, VPN üzerinden uzaktan bağlanan kullanıcılar için de gerçekleştirir, böylece güvenli bir kullanıcı doğrulaması sağlanmış olur.

Domain Controller (DC), Güvenlik Politikaları ve Erişim Kontrolü (Access Control) ile güvenlik politikalarının tanımlandığı ve uygulandığı merkezi bir noktadır. Erişim kontrolü, kullanıcıların veya grupların bilgi kaynaklarına, ağlara veya sistemlere erişimlerini yönetmek ve sınırlamak için kullanılan güvenlik tekniklerinin ve prosedürlerin bir bütünüdür. Bu kontrol mekanizmaları, yetkisiz erişimi önlemek, verilerin bütünlüğünü korumak ve bilgi güvenliğini sağlamak amacıyla tasarlanmıştır. Bu politikalar, hangi kullanıcının hangi kaynaklara erişebileceğini, hangi ağ hizmetlerini kullanabileceğini ve hangi verilere ulaşabileceğini tanımlar. Örneğin, bazı kullanıcılara belirli dosya dizinlerine erişim izni verilirken, başkalarının erişimi kısıtlanabilir. Bu erişim kontrolleri, Access Control Lists (ACL) kullanılarak yönetilir ve her nesne üzerinde kimin ne tür eylemler gerçekleştirebileceğini detaylı bir şekilde belirtir.

Domain Controller (DC), Politika Uygulama ve Yönetim ile ağ politikalarını uygulamak için Group Policy nesneleri (GPO) kullanır. Bu politikalar, yazılım yüklemelerinden, güvenlik ayarlarına, kullanıcı arayüzü konfigürasyonlarına kadar geniş bir yelpazede düzenlemeler sağlar. IT yöneticileri, GPO'ları kullanarak, tüm kullanıcı ve bilgisayarlar için merkezi bir noktadan politikaları uygulayabilir. Örneğin, bir güvenlik güncellemesinin tüm bilgisayarlara otomatik olarak yüklenmesini sağlayabilir veya belirli uygulamaların kullanımını kısıtlayabilirler.

Domain Controller (DC), ağ yapısının yönetimi ve optimizasyonu açısından da önemli roller üstlenir. Active Directory'nin yapılandırma ayarları, Network topolojisini ve trafik akışını etkileyebilir. DC'ler, kullanıcıların ve kaynakların fiziksel veya lojistik olarak yer aldığı yerlere göre replikasyon ve veri senkronizasyonu gibi işlemleri yönetir. Bu işlemler, Network'ün verimliliğini artırmak ve veri tutarlılığını sağlamak için kritik öneme sahiptir.

Domain Controller Nedir?

Domain Controller (DC) Özellikleri

Domain Controller'ın (DC) özellikleri ve avantajları, modern ağ ortamlarında merkezi ve etkin bir yönetim sağlaması açısından kritik öneme sahiptir. 

1- Authentication (Kimlik Doğrulama) ve Authorization (Yetkilendirme)

Kerberos Protocol: Domain Controller'lar, ağ içerisindeki kimlik doğrulama için Kerberos protokolünü kullanır. Bu protokol, güvenli bir şekilde kullanıcıların ve servislerin kimlik bilgilerini doğrulamak için bilet tabanlı bir mekanizma sunar.

NTLM (NT LAN Manager): Eski sistemlerle uyumluluk için hala desteklenen, kimlik bilgilerinin hash üzerinden karşılaştırılmasıyla çalışan bir kimlik doğrulama protokolüdür.

2- Active Directory Directory Services

Active Directory Database: Tüm kullanıcılar, bilgisayarlar, ve diğer nesneler hakkında bilgi içerir. Bu veritabanı, ağdaki tüm nesnelerin ve kaynakların yönetilmesi için temel teşkil eder.

Schema: Active Directory'nin schema'sı, dizinde saklanabilecek nesne türlerini ve bu nesnelerin özelliklerini tanımlar. Schema, özelleştirilebilir ve genişletilebilir, bu da organizasyonların spesifik ihtiyaçlarına göre Active Directory'i şekillendirmelerine olanak tanır.

3- DNS Entegrasyonu

DNS Desteği: Active Directory'nin temel bileşenlerinden biri olan DNS, domain adlarını IP adreslerine çözümlemek için kullanılır. AD, DNS ile entegre çalışır ve AD'nin sorunsuz çalışması için kritik rol oynar.

SRV Kayıtları: Active Directory servislerinin bulunabilirliğini sağlayan DNS kayıtlarıdır. Bu kayıtlar, ağ içerisindeki servislerin yerlerini ve erişim bilgilerini sağlar, böylece istemciler ve diğer sunucular gerekli servisleri kolayca bulabilir.

4- Replication

Multi-Master Replication: Domain Controller'lar arasında yapılan değişikliklerin tüm kontrolörler arasında eşit şekilde yayılmasını sağlar. Bu özellik, veri tutarlılığını ve erişilebilirliğini artırır.

Global Catalog (GC): Active Directory içerisindeki tüm nesnelerin aranabilir bir özetini sağlar. Bu katalog, orman genelinde sorgulamalar için önemli bir kaynak oluşturur ve hızlı veri erişimi sağlar.

5- Group Policy Yönetimi

Group Policy Nesneleri (GPO): Ağ üzerindeki bilgisayarlara ve kullanıcılara uygulanabilecek politikaları tanımlar. Bu politikalar, güvenlik ayarlarından yazılım dağıtımına, kullanıcı ve bilgisayar yapılandırmalarına kadar geniş bir yelpazede düzenlemeler yapılmasını sağlar.

Politika Uygulama: Politikalar, belirlenen kriterlere göre kullanıcılara veya bilgisayarlara otomatik olarak uygulanır. Bu sayede sistem yöneticileri, ağ üzerindeki yapılandırmaları merkezi bir şekilde kontrol edebilir ve yönetebilir.

6- FSMO (Flexible Single Master Operations) Roles

Flexible Single Master Operations: Active Directory içindeki bazı kritik işlemler, belirli Domain Controller'lar tarafından yönetilir. Bu işlemler arasında, domain isimlendirmelerinden Schema değişikliklerine kadar birçok önemli görev bulunur.

Role Holders: Schema Master, Domain Naming Master gibi roller, AD ormanındaki yapısal değişikliklerde önemli rol oynar. Bu rollerin atanması ve yönetimi, Network'ün sağlıklı bir şekilde çalışmasını sağlar.

7- Güvenlik Özellikleri

Access Control Lists (ACLs): Dosya, klasör veya AD nesneleri üzerinde kimin ne tür erişim haklarına sahip olduğunu tanımlayan listelerdir. Bu listeler, güvenlik politikalarının detaylı bir şekilde uygulanmasını sağlar.

Güvenlik Denetimi (Security Auditing): Erişim denetimleri ve güvenlikle ilgili olayların kaydedilmesini sağlayan bir mekanizmadır. Bu kayıtlar, olası güvenlik ihlallerinin izlenmesi ve analiz edilmesi için kullanılır.

8- Backup ve Disaster Recovery

System State Backup: Active Directory'nin ve diğer sistem bileşenlerinin yedeğini alır. Bu yedekler, sistem çökmeleri veya veri kayıpları durumunda kritik önem taşır.

Felaket Kurtarma Planı: Olası felaket durumlarında veri ve servislerin nasıl kurtarılacNetwork'ünı tanımlayan prosedürlerdir. Bu planlar, iş sürekliliğini garanti altına almak için hayati rol oynar.

9- Monitoring ve Performans İzleme

Performans İzleme: Domain Controller'ların ve Active Directory'nin performansını izler. Bu, sistem kaynaklarının verimli kullanımını sağlar ve potansiyel bottlenecks'ı belirler.

Sağlık Kontrolleri: Sistem sağlığını düzenli olarak kontrol eden ve olası sorunları erken aşamada tespit eden işlemlerdir.

10- İstemci Etkileşimi ve Protokol Desteği

İstemci Kütüphaneleri: Windows işletim sistemleri, Active Directory ile etkileşim kurmak için gerekli kütüphanelere sahiptir.

Protokol Desteği: Active Directory, LDAP, DNS, SMB/CIFS gibi çeşitli ağ protokollerini destekler, bu da farklı uygulama ve hizmetlerin AD ile entegrasyonunu kolaylaştırır.

11- Service Hesapları Yönetimi

Managed Service Accounts (MSA) ve Group Managed Service Accounts (gMSA): Bu hesaplar, uygulama ve servisler için özel olarak tasarlanmıştır ve parola yönetimini otomatikleştirir. Güvenliği artırırken yönetim yükünü azaltır.

Servis Hesapları Politikaları: Servis hesaplarının güvenliği için özel politikalar ve erişim kısıtlamaları uygulanabilir.

12- LDAP Over SSL/TLS (LDAPS)

Encryption: LDAPS, LDAP veri trafiğini SSL veya TLS ile şifreler. Bu, özellikle ağ üzerinden hassas bilgilerin iletilmesi sırasında güvenlik sağlar.

Sertifika Yönetimi: LDAPS'in düzgün çalışması için gerekli sertifikaların yönetimi ve yenilenmesi gereklidir.

13- Password Policy ve Account Lockout Politikaları

Fine-Grained Password Policies: Farklı kullanıcı grupları için farklı şifre ve hesap kilitlenme politikaları uygulanabilir. Bu, güvenlik ihtiyaçlarına göre özelleştirilebilir güvenlik sağlar.

Password Complexity Gereksinimleri: Şifre karmaşıklığı, uzunluğu ve süresi gibi ayarlar, Active Directory içinde tanımlanabilir.

14- Sites and Services Yönetimi

Site Topology: Fiziksel ve ağ topolojisi temelinde sitelerin ve alt ağların yapılveırılması. Bu yapılandırma, ağ trafiğini optimize eder ve veri replikasyonunu yönetir.

Inter-Site Replication: Farklı siteler arasında veri replikasyonunu yönetir, bant genişliği kullanımını en aza indirirken veri güncelliğini sağlar.

15- Schema Uzantıları ve Özelleştirmeler

Schema Yönetimi: Active Directory schema'sı, özel nesne sınıfları ve öznitelikler ekleyerek genişletilebilir. Bu, özelleştirilmiş uygulama ve hizmet ihtiyaçlarını karşılamak için kullanılır.

Schema Değişiklikleri: Schema değişiklikleri dikkatle yönetilmeli ve uyumluluk sorunlarını önlemek için test edilmelidir.

16- Kontrol Delegasyonu

Administrative Tasks: Belirli kullanıcılara veya gruplara, AD nesneleri üzerindeki yönetimsel görevlerin delegasyonu. Bu, büyük organizasyonlarda yönetim yükünü azaltır.

Ayrıntılı İzinler (Granular Permissions): Özel erişim hakları, kullanıcıların yalnızca gereksinim duydukları kaynaklara erişim sağlamalarına olanak tanır.

17- Denetim ve Uyum Raporlaması

Güvenlik Denetimi: Güvenlik ihlallerinin ve politika ihlallerinin izlenmesi için olay kayıtlarını tutar.

Uyumluluk Araçları: Mevzuat uyumunu sağlamak ve raporlamak için kullanılan araçlar ve protokoller.

18- Ağ Yazıcısı Yapılandırması ve Yönetimi

Yazıcı Dağıtımı: Group Policy aracılığıyla ağ yazıcılarının kullanıcılara ve bilgisayarlara otomatik olarak dağıtılması.

Merkezi Yönetim: Merkezi bir konumdan tüm ağ yazıcılarının yapılveırılması ve yönetilmesi.

19- Yazılım Dağıtımı ve Güncelleme Yönetimi

Yazılım Dağıtımı: Group Policy kullanarak ağ üzerindeki bilgisayarlara yazılım yüklemesi.

Güncelleme Yönetimi: Yazılım güncellemelerinin ve yamalarının merkezi olarak dağıtılması ve yönetilmesi.

20- Monitoring ve Diagnostics

Performance Log'ları: Sistem performansını izlemek ve potansiyel sorunları tespit etmek için detaylı kayıtlar.

Diagnostics Araçları: Sistem ve ağ hatalarını tespit ve gidermek için kullanılan araçlar.

21- Yüksek Erişilebilirlik (High Availability) ve Felaket Kurtarma (Disaster Recovery)

Yedeklilik (Redundancy): Önemli servislerin ve verilerin yüksek kullanılabilirlik ve dayanıklılık için birden fazla Domain Controller üzerinde çoğaltılması.

Felaket Kurtarma Prosedürleri: Felaket sonrası veri ve servislerin hızlı bir şekilde kurtarılması için geliştirilmiş prosedürler.

22- Active Directory Federation Services (AD FS)

Single Sign-On (SSO): Kullanıcılara birden fazla sistem ve uygulamaya tek bir kimlik doğrulama ile erişim sağlar.

Federation Trusts: Farklı organizasyonların güvenlik sınırları arasında kimlik bilgilerinin güvenli bir şekilde paylaşılmasını sağlar.

23- Bulut Hizmetleri ile Dizin Senkronizasyonu

Bulut hizmetleri ile dizin senkronizasyonu, özellikle hibrit bulut yapılandırmalarında, Active Directory'nin bulut tabanlı hizmetlerle, örneğin Entra ID (Azure AD), entegre şekilde çalışabilmesi için kritik bir işlevdir. Bu senkronizasyon, kullanıcı kimliklerinin, grupların ve diğer dizin nesnelerinin her iki ortam arasında tutarlı kalmasını sağlar.

Bu süreçle ilgili ana bileşenler ve önemli adımlar:

1. Entra ID (Azure AD) Connect
Entra ID (Azure AD) Connect, Microsoft'un yerel Active Directory ile Entra ID (Azure AD) arasında kimlik senkronizasyonu sağlamak için kullandığı bir araçtır. Temel özellikleri ve işlevleri şunları içerir:

Senkronizasyon Modları: Entra ID (Azure AD) Connect, farklı senkronizasyon seçenekleri sunar. En yaygın kullanılan mod, Password Hash Sync (PHS) olup, kullanıcıların şifrelerinin hash'lerinin Entra ID'Ye (Azure AD) güvenli bir şekilde kopyalanmasını sağlar. Alternatif olarak, Pass-through Authentication (PTA) veya Federation (örneğin AD FS ile) gibi daha karmaşık kimlik doğrulama senaryoları da kurulabilir.

Filtreleme: Kuruluşlar, hangi nesnelerin Entra ID'ye (Azure AD) senkronize edileceğini kontrol etmek için filtreleme kuralları belirleyebilir. Bu, belirli kullanıcıları veya grupları senkronizasyon dışında tutmak için kullanılabilir.

Zamanlamalı Görevler: Entra ID (Azure AD) Connect, senkronizasyon işlemlerini düzenli aralıklarla otomatik olarak çalıştırır, böylece yerel AD'deki değişiklikler belirli bir zaman dilimi içinde Azure AD ile senkronize edilir.

2. Güvenlik & Uyum (Security & Compliance)
Senkronizasyon süreci, veri güvenliği ve uyum gereklilikleri açısından önemlidir. İşte dikkat edilmesi gerekenler:

Parola Güvenliği: Parola hash'leri Entra ID'ye (Azure AD) aktarılırken Microsoft, yüksek güvenlik standartlarına uymaktadır. Bununla birlikte, parola politikalarının ve uyum gereksinimlerinin bulut ve yerel ortamlarda tutarlı olması önemlidir.

Erişim Kontrolleri: Entra ID (Azure AD) içinde bu, genellikle Access Policy ve Conditional Access kuralları şeklinde uygulanır. Senkronize edilen nesnelere bulut ortamında kimin erişebileceği üzerinde kontrol sağlamak için Entra ID (Azure AD) üzerinde detaylı Access Policy ve Conditional Access kuralları uygulanabilir.

3. Yönetim ve İzleme
Senkronizasyon işleminin düzgün çalıştığından emin olmak için düzenli izleme ve yönetim gerekir:

Entra ID (Azure AD) Connect Health: Entra ID (Azure AD) Connect Health, senkronizasyon işleminin durumunu izlemek ve olası sorunları teşhis etmek için kullanılır. Ayrıca, performans metrikleri ve uyarılar sağlar.

Logging ve Reporting: Etkinlik günlükleri, senkronizasyon sürecindeki olayları detaylı bir şekilde kaydeder ve gerektiğinde denetim izleri sunar.

Bulut hizmetleri ile dizin senkronizasyonu, hibrit IT altyapılarında sorunsuz bir kullanıcı deneyimi ve güçlü bir güvenlik duruşu sağlamak için hayati öneme sahiptir. Enrta ID (Azure AD) Connect, bu süreçte merkezi bir rol oynar ve kuruluşların yerel ve bulut kaynaklarını etkin bir şekilde yönetmelerine olanak tanır.

24- IP Address Management (IPAM)

IP Adresi Takibi: Ağ üzerindeki IP adreslerinin kullanımını izler ve yönetir.

DHCP ve DNS ile entegrasyon: DHCP ve DNS servisleri ile entegrasyon sağlar, IP adres atamalarını ve çözümlemelerini merkezi olarak yönetir.

25- Conditional Access ve Güvenlik Politikaları

Conditional Access Politikaları: Kullanıcıların duruma göre erişimlerini kontrol eden politikalar.

Güvenlik Temelleri: Güvenlik standartlarına uygun yapılandırmaları tanımlayan temel güvenlik ayarları.

Primary DC & Additional DC Ayrımı

Primary Domain Controller (PDC) ve Additional Domain Controller (ADC) ayrımı, büyük ve karmaşık Network'lerde Active Directory (AD) yapısının yönetimi ve güvenliği açısından kritik bir öneme sahiptir. Bu yazıda, Primary Domain Controller ve Additional Domain Controller'ın rol ve işlevlerini detaylı bir şekilde ele alacağız.

Primary Domain Controller (PDC), bir AD ortamındaki ilk ve en önemli Domain Controller'dır. PDC, FSMO (Flexible Single Master Operations) rollerinden biri olan PDC Emulator rolünü taşır. Bu rol, özellikle geriye dönük uyumluluk ve zaman senkronizasyonu gibi kritik işlevleri yerine getirir. PDC Emulator, Network'teki tüm DC'ler için zaman kaynağı olarak hizmet verir ve zaman senkronizasyonunu sağlar. Ayrıca, PDC, NTLM (NT LAN Manager) kimlik doğrulama protokolünü kullanan eski uygulamalar ve sistemler için kimlik doğrulama hizmeti sunar.

PDC'nin bir diğer önemli işlevi de şifre değişikliklerinin hemen işlenmesidir. Bir kullanıcı şifresini değiştirdiğinde, bu değişiklik PDC'ye gönderilir ve hemen işlenir. Bu, kullanıcıların yeni şifreleriyle hemen Network kaynaklarına erişebilmesini sağlar. PDC ayrıca, kullanıcı hesaplarının kilitlenmesi durumunda da kritik bir rol oynar. Hesap kilitleme olayları, PDC tarafından işlenir ve bu bilgiler diğer DC'lere çoğaltılır.

Additional Domain Controller (ADC), Primary Domain Controller'ın işlevlerini desteklemek ve yükünü hafifletmek için kullanılan ek bir DC'dir. ADC'ler, PDC ile aynı AD veritabanını paylaşır ve veri replikasyonu sayesinde güncel kalır. ADC'ler, PDC'nin arızalanması durumunda Network'ün kesintisiz hizmet vermesini sağlar. ADC'ler, PDC'nin yükünü paylaşarak kimlik doğrulama isteklerini ve dizin sorgularını işleyebilir. Bu, Network'teki performansı artırır ve gecikmeleri minimize eder.

ADC'lerin kullanımı, Network'teki yük dengeleme ve yüksek erişilebilirlik açısından büyük avantajlar sunar. ADC'ler, kullanıcıların ve bilgisayarların kimlik doğrulama isteklerini işleyerek PDC'nin üzerindeki yükü hafifletir. Bu, özellikle yoğun kullanım dönemlerinde ve büyük Network'lerde kritik bir öneme sahiptir. ADC'ler, Network'teki kaynakların daha verimli kullanılmasını sağlar ve genel sistem performansını optimize eder.

Replikasyon, ADC'lerin PDC ile senkronize kalmasını sağlar. Active Directory replikasyonu, AD veritabanındaki değişikliklerin tüm DC'lere yayılmasını sağlar. Bu, PDC ve ADC'lerin her zaman güncel ve tutarlı bilgilerle çalışmasını temin eder. Replikasyon, hem intrasite (aynı site içinde) hem de intersite (farklı siteler arasında) gerçekleşebilir. Intrasite replikasyon, genellikle düşük gecikmeli bağlantılarla yapılırken, intersite replikasyon geniş alan ağları (WAN) üzerinden gerçekleştirilir ve daha düşük bant genişliğine sahiptir. Replikasyon, veri tutarlılığını korumak ve veri kaybını önlemek için optimize edilmiştir.

Güvenlik açısından, hem PDC hem de ADC'lerin fiziksel ve mantıksal güvenliği sağlanmalıdır. PDC ve ADC'ler, Network'ün kritik bileşenleridir ve güvenlik ihlallerine karşı korunmalıdır. Güçlü parola politikaları, düzenli güvenlik yamaları ve erişim kontrol listeleri (ACL) kullanılarak güvenlik artırılmalıdır. Ayrıca, replikasyon trafiği şifrelenmeli ve güvenli bir şekilde yönetilmelidir. PDC ve ADC'lerin güvenliği, Network'ün genel güvenlik seviyesini korumak için kritik öneme sahiptir.

Bakım ve güncelleme işlemleri, PDC ve ADC'ler için dikkatli bir şekilde planlanmalıdır. PDC veya ADC üzerinde yapılacak bakım ve güncellemeler sırasında Network hizmetlerinde kesintiler yaşanabilir. Bu kesintiler, kullanıcıların Network kaynaklarına erişimini engelleyebilir ve iş süreçlerini aksatabilir. Güncelleme işlemleri sırasında uyumsuzluklar veya hatalar nedeniyle Network'te istenmeyen sonuçlar ortaya çıkabilir. Bakım ve güncelleme süreçlerinin dikkatli bir şekilde planlanması ve yönetilmesi, kesintileri minimize etmek için önemlidir. PDC ve ADC'lerin bakım ve güncelleme süreçleri, Network'ün genel performansını ve güvenliğini korumak için kritik öneme sahiptir.

Felaket kurtarma stratejileri, PDC ve ADC'lerin birlikte kullanılmasıyla güçlendirilir. PDC'nin arızalanması veya veri kaybı durumunda, ADC'ler hizmet vermeye devam ederek veri bütünlüğünü ve erişilebilirliği sağlar. Felaket kurtarma senaryolarında, PDC ve ADC'lerin coğrafi olarak dağıtılması ve farklı veri merkezlerinde konumlandırılması, büyük felaketlerin etkisini minimize eder. Bu yaklaşım, verilerin güvenli bir şekilde yedeklenmesi ve kritik hizmetlerin sürekliliği için hayati öneme sahiptir. PDC ve ADC'lerin felaket kurtarma planları, organizasyonun operasyonel sürekliliğini garanti altına alır ve veri kaybı riskini azaltır.

Sonuç olarak, Primary Domain Controller ve Additional Domain Controller'ın birlikte kullanımı, yüksek erişilebilirlik, veri bütünlüğü, yük dengeleme ve felaket kurtarma gibi kritik gereksinimlerin karşılanması için önemli avantajlar sunar. PDC ve ADC'lerin işlevleri ve replikasyon mekanizmaları, Network'ün güvenli ve verimli bir şekilde çalışmasını sağlar. Bu nedenle, büyük ve karmaşık Network yapılarında, PDC ve ADC'lerin birlikte kullanımı, Network'ün güvenliği ve performansı açısından öncelikli bir konudur. PDC ve ADC'lerin birlikte kullanımı, organizasyonların daha esnek, güvenilir ve ölçeklenebilir bir Network altyapısına sahip olmalarını sağlar.

1- Primary Domain Controller (PDC) ve PDC Emulator

Primary Domain Controller (PDC): Windows NT ortamlarında, domain'in ana yönetim kontrolünü elinde bulunduran ve diğer domain controllerlar üzerinde tam yetkiye sahip olan sunucuydu. PDC, domain içindeki tüm değişikliklerin ve güncellemelerin merkeziydi.

PDC Emulator: Modern Active Directory yapılarında, Windows NT PDC'nin bazı fonksiyonlarını taklit eden bir FSMO (Flexible Single Master Operations) rolüdür.

1.1- PDC Emulator Özellikleri

• Parola değişiklikleri ve güncellemeleri gibi güvenlik duyarlı işlemleri yönetir.
• Diğer domain controllerlar ile zaman senkronizasyonunu sağlar.
• Eski Windows tabanlı sistemlerle uyumluluğu sürdürür.

2- Additional Domain Controller (ADC)

Modern Active Directory ortamlarında, Additional Domain Controller kavramı herhangi bir domain controllerı tanımlamak için kullanılır ve bu sunucular PDC Emulator dahil diğer tüm domain controllerlarla eşit yetkilere sahiptir. Bu domain controllerlar, yük dağılımını sağlamak ve yüksek erişilebilirlik sunmak için kurulur.

2.1- Additional DC Özellikleri

• Active Directory veri tabanının tam kopyasını barındırırlar.
• Kimlik doğrulama, dizin erişimi ve diğer AD hizmetlerini sağlarlar.
• PDC Emulator'a bağlı olarak çalışır ve gerekli durumlarda yedek olarak devreye girerler.

3.1- Primary DC ve Additional DC Aralarındaki Farklar

Yetki Seviyesi: NT ortamında PDC, tüm yetkilere sahipken, modern AD ortamında tüm domain controllerlar eşit yetkiye sahiptir.

Rol ve Görevler: PDC, tüm domain üzerinde mutlak kontrol sağlarken, modern yapıda PDC Emulator sadece özel görevler için kullanılır ve diğer controllerlarla iş yükünü paylaşır.

Sistem İhtiyacı: NT ortamında bir PDC'nin çökmesi, tüm Network'ün çökmesine yol açabilirken, modern yapıda bir domain controllerın çökmesi, diğerlerinin devreye girmesiyle telafi edilebilir.

Çoklu Domain Controller Avantajları

Birden fazla Domain Controller (DC) ihtiyacı, özellikle büyük ve karmaşık Network yapılarında, yüksek erişilebilirlik, veri bütünlüğü, Yük dengeleme (Load Balancing) ve felaket kurtarma gibi kritik gereksinimlerin karşılanması için önemli bir konudur. Domain Controller'ların sayısının artırılması, Active Directory (AD) ortamının güvenilirliği ve performansı açısından pek çok avantaj sağlar. 

Domain Controller'ların çoğaltılması, yüksek erişilebilirlik ve hata toleransı sağlar. Tek bir DC'nin arızalanması durumunda, diğer DC'ler hizmet vermeye devam ederek, kullanıcıların ve kaynakların erişilebilirliğini sürdürür. Bu, özellikle kullanıcı sayısının fazla olduğu ve kesintilerin kabul edilemez olduğu büyük organizasyonlar için kritiktir. Birden fazla DC, Network üzerindeki herhangi bir arıza veya bakım çalışması sırasında kesintisiz hizmet sunar.

Replication, birden fazla DC'nin kullanıldığı ortamlarda veri bütünlüğünü ve tutarlılığını sağlamak için kritik bir mekanizmadır. AD veritabanında yapılan değişiklikler, tüm DC'lere çoğaltılarak, her bir DC'nin güncel ve senkronize olmasını sağlar. Bu süreç, hem Intrasite (aynı site içinde) hem de Intersite (farklı siteler arasında) Replication yöntemleriyle gerçekleştirilir. Intrasite Replication, genellikle düşük gecikmeli bağlantılarla yapılırken, Intersite Replication, Wide Area Network (WAN), yani geniş alan ağları üzerinden gerçekleştirilir ve genellikle daha düşük bant genişliğine sahiptir. Replication, veri kaybını önlemek ve tüm Network üzerinde tutarlı bilgi sağlamak için optimize edilmiştir.

Yük dengeleme (Load Balancing), birden fazla DC'nin kullanımının önemli avantajlarından biridir. Kullanıcıların ve bilgisayarların kimlik doğrulama istekleri, çeşitli DC'lere dağıtılarak, her bir DC üzerindeki yük dengelenir ve performans artırılır. Bu, özellikle yoğun kullanım dönemlerinde veya kullanıcı sayısının fazla olduğu senaryolarda kritik bir öneme sahiptir. Yük dengeleme (Load Balancing), Network kaynaklarının daha verimli kullanılmasını sağlar ve sistem performansını optimize eder.

Felaket kurtarma, birden fazla DC'nin kullanımıyla sağlanan bir diğer önemli avantajdır. Bir DC'nin tamamen kaybedilmesi durumunda, diğer DC'ler hizmet vermeye devam ederek veri bütünlüğünü ve erişilebilirliği sağlar. Felaket kurtarma senaryolarında, DC'lerin coğrafi olarak dağıtılması ve farklı veri merkezlerinde konumlandırılması, büyük felaketlerin etkisini minimize eder. Bu yaklaşım, verilerin güvenli bir şekilde yedeklenmesi ve kritik hizmetlerin sürekliliği için hayati öneme sahiptir.

FSMO (Flexible Single Master Operations) rollerinin dağıtımı, birden fazla DC'nin bulunduğu ortamlarda dikkatle planlanmalıdır. FSMO rollerinin beş ana türü vardır: Schema Master, Domain Naming Master, Infrastructure Master, RID Master ve PDC Emulator. Bu roller, belirli işlevlerin tek bir DC tarafından yönetilmesini gerektirir. Birden fazla DC'nin kullanıldığı ortamlarda, bu rollerin dağıtımı ve yedeklenmesi, Network üzerindeki işlevlerin düzgün çalışmasını sağlar ve tek bir DC'ye aşırı yük binmesini engeller. Örneğin, PDC Emulator rolü, zaman senkronizasyonu ve şifre politikalarının uygulanması gibi kritik işlevleri yerine getirir ve bu rolün yedeklenmesi, Network üzerindeki güvenlik ve uyumluluk açısından önemlidir.

Güvenlik, birden fazla DC'nin kullanıldığı ortamlarda dikkat edilmesi gereken bir diğer önemli konudur. DC'lerin fiziksel ve mantıksal güvenliği sağlanmalıdır. Fiziksel güvenlik, DC'lerin güvenli veri merkezlerinde tutulması ve yetkisiz erişimlerin engellenmesi ile sağlanır. Mantıksal güvenlik ise, güçlü parola politikaları, güvenlik yamalarının düzenli olarak uygulanması ve Access Control Lists (ACL), yani erişim kontrol listeleri ile sağlanır. Ayrıca, DC'ler arasındaki Replication trafiği şifrelenmeli ve güvenli bir şekilde yönetilmelidir.

Backup ve restore işlemleri, birden fazla DC'nin bulunduğu ortamlarda da önemini korur. AD veritabanının düzenli olarak yedeklenmesi, veri kaybını önlemek ve olası felaket durumlarında hızlı bir şekilde kurtarma yapabilmek için kritik öneme sahiptir. Yedekleme stratejileri, sistem durumu yedeklemeleri ve tam yedeklemeleri içermelidir. Geri yükleme (Restore) işlemleri sırasında, Authoritative Restore ve Non-authoritative Restore yöntemleri kullanılarak veritabanının tutarlılığı ve bütünlüğü sağlanmalıdır.

Sonuç olarak, birden fazla Domain Controller kullanımı, yüksek erişilebilirlik, veri bütünlüğü, Yük dengeleme (Load Balancing) ve felaket kurtarma gibi kritik gereksinimlerin karşılanması için önemli avantajlar sunar. Replication mekanizmaları, FSMO rollerinin dağıtımı, güvenlik önlemleri ve yedekleme stratejileri, birden fazla DC'nin etkili bir şekilde yönetilmesini sağlar. Bu nedenle, büyük ve karmaşık Network yapılarında, birden fazla Domain Controller kullanımı, Network'ün güvenliği ve performansı açısından öncelikli bir konudur.

1- Yüksek Erişilebilirlik ve Yedeklilik: Birden fazla Domain Controller, yüksek erişilebilirlik sağlar. Bir denetleyici arızalandığında veya bakım yapıldığında diğerleri hizmet vermeye devam edebilir, bu da ağ kesintisiz olarak çalışmaya devam eder. Yedeklenmiş Domain Controller'lar, ağdaki hizmet kesintilerini en aza indirir ve iş sürekliliğini sağlar.

2- Dengeleme ve Performans Optimizasyonu: Birden fazla Domain Controller, kimlik doğrulama isteklerini dengeleyerek ağ yükünü dağıtır ve performansı artırır. Daha da önemlisi, kullanıcıların daha hızlı ve daha güvenilir bir deneyim yaşamasını sağlar. Ağ trafiğinin dengeli bir şekilde yönlendirilmesi, yanıt sürelerini azaltır ve iş verimliliğini artırır.

3- Felaket Kurtarma ve Güvenlik: Birden fazla Domain Controller, veri yedekleme ve kurtarma stratejilerini destekleyerek felaket kurtarma süreçlerini kolaylaştırır ve güvenliği artırır. Yedeklenmiş Domain Controller'lar, veri kaybını önler ve Network'ün güvenliğini korur. Ayrıca, güvenlik politikalarının uygulanmasını ve güncellenmesini sağlar.

4- Esneklik ve Ölçeklenebilirlik: Birden fazla Domain Controller, Network'ün büyümesine ve değişen ihtiyaçlara uyum sağlamak için daha esnek bir yapı sağlar. Ek Domain Controller'lar kolayca eklenerek ağ kapasitesi artırılabilir ve yeni gereksinimlere hızla yanıt verilebilir. Bu, şirketin büyüme stratejilerini destekler ve rekabet avantajı sağlar.

5- Yönetim Kolaylığı ve Güvenlik Uygulamaları: Birden fazla Domain Controller, yönetimi kolaylaştırır ve güvenlik politikalarının uygulanmasını sağlar. Merkezi bir yönetim konsolu aracılığıyla, güvenlik ayarları ve kullanıcı hakları kolayca yapılandırılabilir ve izlenebilir. Bu, ağ yöneticilerinin günlük operasyonları daha verimli bir şekilde yönetmesini sağlar ve güvenlik risklerini azaltır.

6- Dağıtık Yük Dağıtımı ve Performans Optimizasyonu: Birden fazla Domain Controller, farklı coğrafi bölgelerde bulunabilir ve kimlik doğrulama isteklerini daha yakın sunuculara yönlendirerek performansı artırabilir. Bu, kullanıcıların daha hızlı erişim sağlamasını ve ağ trafiğini azaltmasını sağlar. Ayrıca, coğrafi olarak dağıtılmış Domain Controller'lar, yerel düzeyde kullanıcı deneyimini artırır ve Network'ün genel performansını iyileştirir.

7- Yüksek Kullanılabilirlik ve İş Sürekliliği: Birden fazla Domain Controller, ağdaki iş sürekliliğini sağlar. Bir denetleyici arızalandığında veya bakım yapıldığında diğerleri hizmet vermeye devam edebilir, bu da Network'ün kesintisiz olarak çalışmaya devam etmesini sağlar. Bu, şirketin operasyonel etkinliğini artırır ve müşteri memnuniyetini sağlar.

8- Bakım Kolaylığı ve Güncelleme Esnekliği: Birden fazla Domain Controller durumunda bakım işlemleri daha esnek hale gelir. Bir denetleyici bakım veya güncelleme için devre dışı bırakıldığında, diğerleri hizmet vermeye devam edebilir. Bu, ağ yöneticilerinin bakım işlemlerini daha planlı bir şekilde gerçekleştirmesini sağlar ve ağdaki hizmet kesintilerini en aza indirir.

9- Yedeklenmiş Güvenlik ve Veri Bütünlüğü: Birden fazla Domain Controller, güvenlik yedekleme ve veri bütünlüğü sağlar. Veri kaybını önlemek için düzenli olarak veri yedeklemesi yapılır ve güvenlik politikaları tüm denetleyicilere uygulanır. Bu, şirketin veri güvenliğini ve bütünlüğünü korur ve uyumluluk gereksinimlerini karşılar.

10- Dağıtık Veri Yönetimi ve Yerelleştirme: Birden fazla Domain Controller, coğrafi olarak farklı yerlerde bulunabilir. Bu, yerel kullanıcıların ve cihazların daha hızlı erişim sağlamasını ve ağ trafiğini azaltmasını sağlar. Dağıtık veri yönetimi, kullanıcı deneyimini iyileştirir ve Network'ün genel performansını artırır.


Domain Controller

Active Directory Kurulum Öncesi Ön Yapılandırma Ayarları

Windows Server 2019'da Active Directory Domain Kurulumu işlemine geçmeden önce yapmamız gereken bir takım ön yapılandırma ayarları bulunuyor.

1- netsh interface Powerhsell komutu ile öncelikle Server'ımızda yüklü olan Nerwork Interface Card (NIC) listesini alıyorum.

netsh interface ipv4 show address

Görüldüğü gibi, Server'ımda 4 adet Nerwork Interface Card (NIC) bulunuyor.

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

2- Rename-NetAdapter PowerShell komutu ile Server'ımızda bulunan Network Interface Card'ların (NIC) varsayılan isimlerini isteğe bağlı olarak değiştirebilirsiniz. Ben yönetim kolaylığı açısından değiştiriyorum.

Rename-NetAdapter -Name "Ethernet0" -NewName "NIC1"
Rename-NetAdapter -Name "Ethernet1" -NewName "NIC2"
Rename-NetAdapter -Name "Ethernet2" -NewName "NIC3"
Rename-NetAdapter -Name "Ethernet3" -NewName "NIC4"

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

2.1- Disable-NetAdapter PowerShell komutu ile, isteğe bağlı olarak, kullanmadığınız ya da kullanmayacağınız Nerwork Interface Card'ları (NIC) Disable duruma getirip kapabilirsiniz.

Disable-NetAdapter -Name "NIC2" -Confirm:$False
Disable-NetAdapter -Name "NIC3" -Confirm:$False
Disable-NetAdapter -Name "NIC4" -Confirm:$False

Powershell ile Active Directory 2019 Kurulumu

2.2- Get-NetAdapter PowerShell komutu ile Disable duruma getirilen Nerwork Interface Card'ları (NIC) görüntüleyebilirsiniz.

Get-NetAdapter -Name "NIC2" | Format-List -Property "Status"
Get-NetAdapter -Name "NIC3" | Format-List -Property "Status"
Get-NetAdapter -Name "NIC4" | Format-List -Property "Status"

Powershell ile Active Directory 2019 Kurulumu

3- New-NetIPAddress PowerShell komutu ile Server'ımızda bulunan Nerwork Interface Card'ların (NIC) IP Adresi, Subnet Mask ve Default Gateway ayarları yapılmaktadır.

New-NetIPAddress –InterfaceAlias “NIC1” –IPAddress “10.10.10.100” –PrefixLength 24 -DefaultGateway 10.10.10.1

NOT 2: Server'ımızda kaç tane Nerwork Interface Card (NIC) varsa, hepsi için komutu ayrı ayrı çalıştırmamız gerekmektedir.

Powershell ile Active Directory 2019 Kurulumu

4- Set-DnsClientServerAddress PowerShell komutu ile Server'ımızda bulunan Nerwork Interface Card'ların (NIC) DNS IP adresi ayarları yapılmaktadır.

Set-DnsClientServerAddress -InterfaceAlias “NIC1” -ServerAddresses 10.10.10.100

NOT 3: -ServerAddresses parametresinde , (virgül) ile ayırarak birden fazla DNS IP adresi ekleyebiliriz.

Powershell ile Active Directory 2019 Kurulumu

5- Get-WmiObject PowerShell komutu ile Server'ımın Host Name bilgisi öğreniyor, Rename-Computer PowerShell komutu ile de Server'ımın Host Name'ini değiştiriyorum.

Get-WmiObject Win32_ComputerSystem
Rename-Computer -ComputerName "WIN-BEN4V208IA3" -NewName "SRV001"

Powershell ile Active Directory 2019 Kurulumu

NOT 4: Host Name değişikliğinden sonra Restart-Computer PowerShell komutu ile Server'ımızı Restart etmemiz gerekmektedir.

Powershell ile Active Directory 2019 Kurulumu

6- Server'ımızı Restart ettikten sonra Get-WmiObject Win32_ComputerSystem PowerShell komutu ile Host Name bilgisinin değiştiğini görebiliyorum.

Powershell ile Active Directory 2019 Kurulumu

7- Get-WindowsFeature PowerShell komutu ile Server'da yüklü olan Role ve Feature'ları görüntülüyorum.

Get-WindowsFeature | Where-Object {$_.InstallState -eq “Installed”}

Powershell ile Active Directory 2019 Kurulumu

8- Install-windowsfeature PowerShell komutu ile Active Directory Domain Service rol bileşenini yüklüyorum.

Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

8.1- Install-windowsfeature PowerShell komutu ile başarılı bir şekilde Active Directory Domain Service rol bileşeni yüklendi.

Powershell ile Active Directory 2019 Kurulumu

9- Active Directory Domain Service rol bileşenini yükledikten sonra Install-windowsfeature PowerShell komutu ile rol bileşeninin yüklendiğini görüyoruz.

Powershell ile Active Directory 2019 Kurulumu

Active Directory Domain Kurulumu

10- Active Directory Domain kurulumu öncesi ön yapılandırma ayarları tamamlandıktan sonra sıra, Domain Controller'a Promote etme işlemine geldi. Promote etme işlemi için Primary Domain Controller kurulumu yaptığımız için Install-ADDSForest PowerShell komutunu kullanmamız gerekiyor. Komut parametreleri aşağıdaki gibidir.

-DomainName "firatboyan.com"
-CreateDnsDelegation:$false
-DatabasePath "C:\Windows\NTDS"
-LogPath "C:\Windows\NTDS"
-SysvolPath "C:\Wind\SYSVOL"
-DomainMode "7"
-ForestMode "7"

-DomainNetBIOSName "FIRATBOYAN"
-SafeModeAdministratorPassword (Convertto-SecureString -AsPlainText "P@ssWord1" -Force)
-InstallDns:$true
-NoRebootOnCompletion:$True
-Force:$true

10.1- Primary Domain Controller kurulumu için gerekli PowerShell komutu aşağıdaki gibidir.

Install-ADDSForest -DomainName "firatboyan.com" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Wind\SYSVOL" -DomainMode "7" -ForestMode "7" -DomainNetBIOSName "FIRATBOYAN" -SafeModeAdministratorPassword (Convertto-SecureString -AsPlainText "Pa$$W0rd" -Force) -InstallDns:$true -NoRebootOnCompletion:$True -Force:$true

Bilgi!: -DomainMode ve -ForestMode parametreleri için belirlenen değer, Windows Server versiyonuna göre değişmekte olup, Domain ve Forest seviyelerinde Functional Level'lerin ne olacağının belirlenmesinde kullanılmaktadır. Windows Server versiyonlarına rakam ya da belli kodlar kullanılabilmmektedir. Alaşağıdaki tabloyu referans alabilirsiniz.

Windows Server 2016 Windows Server 2019
7 veya WinThreshold 7 veya WinThreshold

 

Windows Server 2012 Windows Server 2012 R2
5 veya Windows2012Domain 6 veya Windows2012R2Domain

 

Windows Server 2008 Windows Server 2008 R2
3 veya Windows2008Domain 4 veya Windows2008R2Domain

Powershell ile Active Directory 2019 Kurulumu

11- Active Directory Domain kurulumu (Primary Domain Controller kurulumu) başladı.

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

12- Active Directory Domain kurulumu (Primary Domain Controller kurulumu) işlemi başarılı bir şekilde tamamlandı. Restart-Computer PowerShell komutu ile Server'ımızı Restart etmemiz gerekmektedir.

Powershell ile Active Directory 2019 Kurulumu

NOT 5: -NoRebootOnCompletion parametresinde $True değeri yerine $False değeri belirtmiş olsaydım, Promotion işlemi bittikten sonra Server otomatil olarak yeniden başlayacaktı.

Active Directory Kurulum Sonrası Kontroller

13- Domain Kurulumu (Domain Controller'a Promote Etme) işlemi başarılı bir şekilde tamamlandıktan sonra sıra, kurulum sonrası bir takım kontroller yapmaya geldi.

NOT 6: Aşağıdaki PowerShell komutları, sadece omain Kurulumu (Domain Controller'a Promote Etme) işlemi sonrası kontrol amaçlı değil, her zaman kullanılabilecek en sık kullanılan PowerShell komutlarındandır.

14- Get-ADDomainController PowerShell komutu ile Primary Domain Controller'ın görüntülenmesini sağlıyorum.
 

Get-ADDomainController -Discover -Service PrimaryDC

15- Get-ADGroupMember PowerShell komutu ile ortamdaki tüm Domain Controller'ların listesini alıyorum.
 
Get-ADGroupMember 'Domain Controllers'

Powershell ile Active Directory 2019 Kurulumu

16- Get-ADDomain PowerShell komutu ile Domain ortamımla ilgili tüm bilgileri edinebiliyorum.

Get-ADDomain –identit firatboyan.com

Powershell ile Active Directory 2019 Kurulumu

Powershell ile Active Directory 2019 Kurulumu

Bu çıktıda dikkat edilecek noktalar;

DomainMode: Burada Domain Functional Level (DFL) bilgisi verilmektedir. Windows Server 2019'da DFL seviyesi Windows Server 2016 seviyesinde kaldığı ve herhangibir deği Windows Server 2019 DFL seviyesinin bulunmadığını görebiliyoruz.

Bilgi!: Functional Level ile ilgili detaylı bilgiyi Domain Functional Level (DFL) ve Forest Functional Level Nedir? konulu makalemde okuyabilirsiniz.
DomainSID: Burada Domain SID (Security Identifier) bilgisi verilmektedir. SID (Security Identifier); tüm Windows işletim sistemlerinde, ister Work Group olsun, ister Domain olsun, işletim sistemlerinin kimlik numaralarıdır. Work Group ortamlarında her bilgisayarda bu SID numarası farklı iken, Domain ortamındaki, Domain'e Join olmuş, tüm bilgisayarlarda tektir. Zaten merkezi yönetim de bu kimlik numarası altında yapılmaktadır. Server bilgisayarımız üzerinde Active Directory Domain Services rol bileşenini yükleyecek Primary Domain Controller'a yükselttiten sonra, yükselme işleminden önce Work Group yapısında olan Server bilgisayarın Work Group SID numarası değişmeden aynen Domain SID olarak kullanılmaya devam etmektedir.
Bilgi!: SID (Security Identifier) ile ilgili detaylı bilgiyi Relative Identifier ve Security Identifider Kavramları konulu makalemde okuyabilirsiniz.

NetBIOS Name: Burada Domain NetBIOS Name bilgisi verilmektedir. Promote etme aşamasında PowerShell komutu içinde -DomainNetBIOSName parametresinde kullanmıştık. Domain NetBIOS Name;
Firewall, Mail Gateway vb kutu çözümler ve 3rd Party yazılımlar, Active Directory entegrasyonu sırasında Domain'lerin NetBIOS isimleri ile kimlik doğrulama yaparlar.
• Domain ortamınızı kurduğumuzda, diğer Member Server'ları ya da Client PC'leri Domain'e Join etmek istediğimizde alan adı için firatboyan.com yazarsanız bu istek, DNS Server üzerinde yorumlanır ve size cevap döner. Eğer FIRATBOYAN yazarsanız, bu durumda WINS varsa, WINS üzerinde yorumlanır ve size cevap döner. WINS yoksa, Broadcast mesaj ile Domain bulunur.
• Windows 7 ya da Windows 10 bir işletim sisteminde firat@firatboyan.com veya FIRATBOYAN\firat şeklinde Logon olabilirsiniz. Ancak Microsoft'a ait olmayan ürünler için UPN (Universal Principle Name) dediğimiz firat@firatboyan.com şeklindeki yazım desteklenmez ve SamAccountName dediğimiz FIRATBOYAN\firat şeklinde NetBIOS Name kullanmanız gerekir.

UYARI!: Domain NetBIOS Name bilgisini dilediğiniz gibi değiştirebilirsiniz ancak asla Domain Controller kurulumu yaptığınız Server'ın Host Name bilgisini bu Domain NetBIOS Name olarak eklemeyin!

● Infrastructure Master
10.5- Active Directory'de bir kullanıcı nesnesinin Organization Unit (OU) konumu, dolayısı ile de LDAP dizin yolu değiştirildiğinde, Group Policy ayarları da değişmektedir. OU'dan OU'ya taşıma yapılırken Update değişikliklerinden Infrastructure master sorumludur. Domain'ler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgi her daim günceldir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● PDC Emulator
10.3- Bu rol aslında FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, DFS yapısının güncel tutulmasını ve tutarlılığını da sağlar. Tek başına bu rolün taşınması, Primary Domain Controller görevinin başka bir DC'ye aktarılması anlamına gelir ki mevcut DC bu durumda Primary Domain Controller görevinden ayrılacaktır. Ayrıca bu işlem, sadace yeni yesil bir Windows Server versiyonu çıktığında Migration amaçlı değil, mevcut Primary Domain Controller görevi gören Server'ınızın yeni nesil bir Server'a Windows Server işletim sistemi kurularak, Member Server yapılıp, Additional DC haline getirdikten sonra, Primary Domain Controller görevinin bu yeni nesil Windows Server üzerinde devam etmesini de isteyebilirsiniz. Bu nedenle de bu rolün aktarımı çok önemlidir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● RID Master
10.4- Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. RID-Relative Identifier atanırken, Active Directory nesnesinin oluşutuğu Domain altında ilgili Domain'in kimlik numarasıyla beraber atanır ki buna da SID-Security Identifier denir. Her Domain'in kendine ait sabit değerde bir SID-Security Identifier numarası vardır ve atanan her RID-Relative Identifier numarası, bu SID-Security Identifier numarası altında atanır. İşte bu noktada, Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.

RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir. Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar üzerlerinde 500 adet RID numarası bulunurlar (Windows Server 2016 ile birlikte bu sayı 500'e çıkartılmıştı) ve bu RID Master FSMO rolünü tutmayan Domain Controller'lar, bu sayının %50'si tükendiğinde RID master FSMO rolünü üzerinde tutan Domain Controller ile iletişime geçerek, tekrar bir 500'lük RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.

Rid Master Block Size

RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

17- Get-ADForest PowerShell komutu ile Forest ortamımla ilgili tüm bilgileri edinebiliyorum.

Get-ADDomain –identit firatboyan.com

Powershell ile Active Directory 2019 Kurulumu

Bu çıktıda dikkat edilecek noktalar;

● Schema Master
10.1- Active Directory Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir Class içinde, o Class'a ait Attribute'lar (öznitelikler) bulunur. Bir objeye ait hangi bilgilerinin saklanacağı, Attribute'lar ile tanımlanır. Forest içindeki Active Directory nesne sınıfları (Object Classes) ve bunlara ait öz nitelikler (Attributes), Active Directory Shema yapısını oluşturur. Bu nedenle de Active Directory'i oluşturan ana omurga, Active Directory Schema'dır. Tüm Active Directory nesne (object) ve öz niteliklerin (Attributes) güncellemeleri ve bunlara ait bilgiler Schema Master üzerinde tutulur. Schema Master rolü, Active Directory Schema'nın yönetimi yapmakla birlikte; Class ve Attribute değerlerinde meydana gelen tüm değişiklikler ise Domain Controller'lar arasında replike edilmek suretiyle güncel tutulur.
Bu rol, Forest içerisinde tektir.

● Domain Naming Master
10.2- Bu rol, tıpkı mahallemizin muhtarı gibi görev yapararak, Domain içerisine giren ve çıkan objelerin bilgilerini tutar ve yönetir. Örneğin; Forest içine yeni bir Domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir Domain'in adı değiştirildiğinde ya da Domain isimlerinde çakışma olduğunda,tüm bütün bunların kontrolünü yapan roldür. Bu rolün, Global Catalog rolüne sahip bir Domain Controller Server'da olması tavsiye edilir. Normal şartlarda Domain ortamını ilk kuran Domain Controller üzerinde bulunan bu iki Forest bazlı rol, Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller (DC) üzerinde FSMO rol Transfer işlemi ile taşıma yapmak suretiyle bulunabilir.
Bu rol, Forest içerisinde tektir.

Yukarıda bahsettiğim "Forest'ta her Domain'de bir tane bulunur" ile "Forest bazında tektir" ifadlerimin altını doldurmam gerkirse;
Örneğin; Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.

Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Bir nevi özer statüdeki bir devlet gibi :) Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman  her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, hem Parent hem de Child Domain Controller'lardaki kalan üç FMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.
FSMO Rolleri


Faydalı olması dileğiyle...
 


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


750 karakter yazabilirsiniz.
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.