İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Folder Security Management
Fırat Boyan 07.11.2015 0

Windows Server 2012 R2'de Domain Controller Demote Etme

Active Directory'yi kaldırmak, özellikle de Windows Server 2012 R2 gibi bir sürümde, yalnızca basit bir işlem olmaktan çok daha fazlasıdır. Ortamda çalışan servislerden replikasyona, kimlik doğrulamadan grup politikalarına kadar pek çok bileşen, Active Directory'nin kaldırılmasıyla doğrudan etkilenecektir. Hangi adımların takip edileceğini bilmeden ve ortamın mevcut durumunu değerlendirmeden yapılan bir kaldırma işlemi, tahmin edilenden çok daha büyük sorunlara yol açabilir. Bu yüzden süreci başlatmadan önce, sunucunun rolünü, FSMO Rollerinin nerede olduğunu, DNS yapılandırmasını ve Client makinelerin bu değişiklikten nasıl etkileneceğini bilmek gerekir.

Windows Server 2012 R2’de Active Directory kaldırılırken, özellikle etki alanı ortamındaki rolüne dikkat etmek gerekir. Eğer kaldırılması planlanan sunucu, Domain Controller rollerinden birini taşıyorsa, doğrudan silmek yerine rollerin başka bir Domain Controller'a aktarılması gerekecektir. Aksi takdirde, ortamda kimlik doğrulama sorunları, Group Policy nesnelerinin işleyişinde aksaklıklar ve DNS servisleriyle ilgili problemler kaçınılmaz olacaktır. Özellikle tek bir Domain Controller olan bir ortamda, Active Directory kaldırıldığında tüm yapı fiilen işlevsiz hale gelir.

FSMO Rolleri, Active Directory'nin yönetimi açısından kritik bir noktadadır. Windows Server 2012 R2’de bu rollerin nasıl dağıtıldığına ve hangi Domain Controller’lar tarafından tutulduğuna dikkat edilmelidir. Eğer kaldırılması planlanan sunucu bu rollerden herhangi birini taşıyorsa, kaldırma işlemine başlamadan önce bu rollerin başka bir Domain Controller’a aktarılması şarttır. Aksi halde Schema güncellemeleri, Domain seviyesinde değişiklikler ve kimlik doğrulama işlemlerinde sorunlar yaşanır. Özellikle Domain Naming Master ve RID Master rollerinin kaybedilmesi, ilerleyen süreçte yeni kullanıcı hesaplarının oluşturulmasını ve etki alanı içindeki yeni nesne işlemlerini doğrudan etkileyecektir.

Active Directory'nin kaldırılmasıyla birlikte DNS yapısı da doğrudan etkilenecektir. Windows Server 2012 R2 ortamında Active Directory Integrated DNS kullanılıyorsa, bu sunucunun kaldırılması DNS kayıtlarının kaybolmasına veya istemcilerin doğru şekilde bir Domain Controller’a yönlendirilmemesine sebep olabilir. Özellikle DHCP sunucuları tarafından dağıtılan IP'ler ve bunlarla ilişkili DNS güncellemeleri kontrol edilmeden yapılan bir kaldırma işlemi, istemcilerin DNS üzerinden kimlik doğrulamasını kaybetmesine ve Domain’e erişememesine yol açar. Bu yüzden, Active Directory kaldırılmadan önce DNS yapılandırmasının, yedeklemelerinin ve diğer DNS sunucularının doğrulamalarının eksiksiz şekilde yapılması gerekmektedir.

Active Directory ortamında çalışan Client makineler de bu süreçten doğrudan etkilenecektir. Windows Server 2012 R2 ortamında kaldırılan bir Domain Controller, istemcilerin kimlik doğrulama süreçlerini ve oturum açma mekanizmalarını doğrudan etkileyebilir. Eğer ortamda birden fazla Domain Controller varsa, istemciler otomatik olarak başka bir sunucuya yönlendirilecektir. Ancak tek bir Domain Controller’ın olduğu bir ortamda, Active Directory kaldırıldığında tüm istemciler yetkilendirme yapamaz hale gelir. Kullanıcı profilleri yüklenemez, paylaşımlara erişilemez ve Group Policy nesneleri uygulanamaz hale gelir. Hatta Offline Logon özelliği açık değilse, istemciler Domain hesabıyla oturum açamaz hale gelir ve sistem tamamen işlevsiz kalır.

Bu sürecin yönetilmesi ve Active Directory kaldırma işleminin sağlıklı bir şekilde tamamlanması için en kritik noktalardan biri, kaldırılacak Domain Controller'ın görevlerini ve ortam üzerindeki etkisini en ince ayrıntısına kadar analiz etmektir. Özellikle, replication topolojisi, FSMO Rolleri, DNS yapılandırması, DHCP ilişkisi, Client bağlantıları ve Group Policy bağımlılıkları tek tek değerlendirilmelidir. Bunun yanı sıra, Active Directory veritabanının durumu, NTDS.DIT veritabanı dosyası ve SYSVOL paylaşımlarının başka bir Domain Controller tarafından üstlenilip üstlenmediği de kontrol edilmelidir. Eğer bu işlemler tamamlanmadan doğrudan kaldırma işlemi başlatılırsa, geri dönüşü olmayan hatalar meydana gelebilir.

Windows Server 2012 R2 üzerinde Active Directory Demote işleminde, sürecin yalnızca Server Manager üzerinden yönetilmesi yeterli olmayabilir. PowerShell komutlarıyla daha detaylı bir analiz yapılmalı, özellikle Get-ADDomainController, Get-ADForest, Get-ADReplicationFailure gibi komutlarla ortamın durumu incelenmelidir. Böylece, kaldırma işlemi tamamlandıktan sonra bile ortamın stabil çalışmasını sağlayacak önlemler alınabilir.

Bir Domain Controller’ı kaldırmadan önce, sistemde yetkili bir hesap ile oturum açılması ve Directory Services Restore Mode (DSRM) Password gibi kritik bilgilerin yedeklenmesi de gereklidir. Eğer kaldırma işlemi sırasında bir hata meydana gelirse, bu bilgilerin eksik olması sürecin başarısız olmasına ve sistemin geri dönülemez hale gelmesine yol açabilir. Bu yüzden, kaldırma işleminden önce ortamın tam bir yedeğinin alınması, özellikle System State Backup ile kritik yapıların koruma altına alınması gerekmektedir.

Windows Server 2012 R2’de Active Directory kaldırma işlemi, teknik olarak basit birkaç adımdan ibaret gibi görünse de, gerçekte çok daha fazla değişkeni içeren karmaşık bir süreçtir. Bu süreçte yapılacak en ufak bir hata, ortamın tamamen işlevsiz hale gelmesine ve uzun süren geri yükleme işlemlerine neden olabilir. Planlama, analiz ve doğrulama adımları tamamlanmadan yapılan bir kaldırma işlemi, geri dönüşü olmayan sonuçlar doğurabilir.

Tüm bu adımlar dikkatlice takip edilerek, Domain Controller'ın sorunsuz bir şekilde Active Directory ortamından kaldırılması sağlanır. Bu işlem, doğru yapıldığında Active Directory yapısının stabil ve güvenli kalmasını sağlar.

Server Manager'dan Remove Roles and Features seçiyoruz.

active directory removal

Remove Server Roles penceresinde kaldıracağımız Active Directory Domain Services ve DNS Server'ların tik işaret lerini kaldırıyoruz.

active directory removal

Karşımıza Active Directory ile ilgili yüklenen Feature'ların da kaldırılacağı bir ekran geliyor. Bu alanda Remove Features'a tıklayarak ilerliyoruz.

active directory removal

Active Directory'yi bir sunucudan kaldırmak istediğinde, eğer o sunucu Domain Controller olarak yapılandırılmışsa doğrudan kaldırmak mümkün olmaz. Remove Roles and Features Wizard üzerinden Active Directory Domain Services (AD DS) rolünü kaldırmaya çalıştığında sistem, Validation Results ekranında bir hata vererek önce Domain Controller'ın düşürülmesi (Demote) gerektiğini bildirir. İşte bu noktada Demote this domain controller seçeneği devreye girer.

Bir Domain Controller'ı Demote etmek, onu standalone bir sunucuya (member veya workgroup mode) dönüştürmek anlamına gelir. Eğer ortamda başka bir Domain Controller varsa, sistem FSMO Rolleri, DNS kayıtları ve replikasyon bilgilerini diğer sunuculara devredebilir. Ancak, eğer kaldırılacak sunucu, ortamın tek Domain Controller'ı ise, Active Directory kaldırıldığında Domain yapısı tamamen silinir.

Demote işlemini başlatmadan önce dikkat edilmesi gereken bazı noktalar var:

✅ Sunucu FSMO Rolleri barındırıyorsa, önce bunları başka bir Domain Controller üzerine taşımak gerekir.

✅ Ortamda Active Directory Integrated DNS kullanılıyorsa, DNS kayıtlarının doğru şekilde yedeklendiğinden emin olmak gerekir.

Replikasyon Topolojisi kontrol edilerek, bu sunucunun başka bir Domain Controller ile veri senkronizasyonunun tamamlandığı doğrulanmalıdır.

✅ Group Policy ve kullanıcı kimlik doğrulama mekanizmalarının etkilenmeyeceği doğrulanmalıdır. Eğer Demote işlemi GUI üzerinden yapılacaksa, Remove Roles and Features Wizard içindeki Demote this domain controller seçeneği kullanılabilir. Alternatif olarak PowerShell üzerinden daha kontrollü bir işlem gerçekleştirmek mümkündür. Uninstall-ADDSDomainController komutu kullanılarak, Domain Controller yetkileri kaldırılabilir ve sunucu sıradan bir Member Server olarak çalışmaya devam edebilir.

Bütün bu adımlar tamamlandıktan sonra sunucu restart edilir ve artık Active Directory bileşenlerinden arındırılmış olur. Eğer ortamda başka bir Domain Controller yoksa ve Demote işlemi tamamlanmışsa, Domain yapısı tamamen kaldırılmış demektir. Bu yüzden işlemi başlatmadan önce ortamın ihtiyaçlarına uygun bir yol haritası belirlemek gerekir.

Remove Roles and Features Wizard penceresinden, Domain Controller'ın kaldırılmadan önce Demote edilmesi gerektiğini söyleyen bir uyarı göreceksiniz. Bu uyarıda Demote this domain controller” linkine tıklayarak Remove işlemlerini başlatabilirsiniz. 

active directory removal

Demote this domain controller Link'ine tıklayarak Demote işlemlerini başlattıktan sonra karşımıza çıkan pencerede Force the Removal of this Domain Controller seçeneğini görüyoruz.

Bazı durumlarda Domain Controller'ı normal yollarla Demote etmek mümkün olmaz. Özellikle Replication sorunları, Domain Controller'ın diğer sunucularla iletişim kuramaması veya Domain ortamında artık geçerli olmayan bir sunucu gibi senaryolar, standart kaldırma işlemini engelleyebilir. İşte tam bu noktada Force the removal of this domain controller seçeneği devreye girer.

Bu işlem, Domain Controller'ı Active Directory ortamından zorla çıkartarak sistemin bağımsız bir Member Server veya Workgroup yapıya geçmesini sağlar. Ancak bu yöntemin bazı kritik noktaları var. Normal Demote sürecinde FSMO Rolleri, Metadata Cleanup ve Replication ayarları gibi bileşenler düzgün şekilde güncellenirken, Force Removal kullanıldığında sistem bu işlemleri atlar. Bu yüzden işlem tamamlandıktan sonra Active Directory ortamında manuel temizleme işlemleri yapılmalıdır.

Dikkat edilmesi gereken noktalar:

✅ Eğer bu sunucu FSMO Rolleri'nden herhangi birini taşıyorsa, kaldırmadan önce rollerin manuel olarak başka bir Domain Controller'a taşındığından emin olmak gerekir.

✅ Replication Partner'ları ile veri senkronizasyonu yapılamayacağı için, işlem sonrası Metadata Cleanup yapmak gerekir. Aksi takdirde diğer Domain Controller'lar, bu sunucunun hala var olduğunu düşünebilir.

✅ DNS kayıtları ve SRV kayıtları gibi yapılandırmaların kontrol edilmesi gerekir. Eğer ortamda Active Directory Integrated DNS kullanılıyorsa, eski sunucunun izlerini temizlemek gerekir.

PowerShell üzerinden zorla kaldırmak için:

Uninstall-ADDSDomainController -ForceRemoval -DemoteOperationMasterRole -IgnoreLastDCInDomain -Confirm:$false -Force

Bu komut ile FSMO Rolleri otomatik olarak devredilir, Replication hataları göz ardı edilir ve işlem sırasında onay beklenmeden kaldırma tamamlanır.

İşlem bittiğinde, Active Directory ortamındaki artık verilerin temizlenmesi için Metadata Cleanup yapılmalıdır. Bu temizleme işlemi tamamlanmazsa, Active Directory ortamında yetkilendirme sorunları ve replikasyon hataları meydana gelebilir.

Force the removal of this Domain controller seçeneğini seçmeden NEXT butonuna tıklayarak devam ediyorum. 

active directory removal

Active Directory Domain Services kaldırılırken Proceed with Removal seçeneği, sürecin devam ettirilmesine olanak tanır ancak ekranın üst kısmında belirtilen uyarılar göz ardı edilmemelidir. Bu uyarıya göre, kaldırılmak istenen Domain Controller, DNS Server ve Global Catalog rollerini barındırıyor. Eğer ortamda başka bir Global Catalog ve DNS Server yoksa, bu sunucunun kaldırılması sonrasında Kimlik Doğrulama, Replication ve Adres Çözümleme işlemleri ciddi şekilde etkilenebilir.

Bu seçeneği işaretleyip devam edildiğinde:

⚠️ Global Catalog rolü kaldırılır ve ortamda başka bir Global Catalog yoksa, etki alanındaki Group Membership Query işlemleri sorun yaşayabilir.

⚠️ DNS Server kaldırılır ve ortamda Active Directory Integrated bir DNS Server yoksa, Domain Name Resolution işlemleri başarısız olabilir.

⚠️ FSMO Rolleri bu sunucu üzerindeyse, kaldırma işlemi öncesinde başka bir Domain Controller üzerine manuel olarak taşınmalıdır.

İşlem öncesinde, Global Catalog ve DNS Server rollerinin başka bir Domain Controller üzerine aktarıldığını doğrulamak gerekir. Eğer ortamdaki tek Domain Controller kaldırılıyorsa, bu Domain yapısının tamamen kaldırılması anlamına gelir. Seçenek işaretlenip devam edildiğinde, sunucu restart edilir ve artık Domain'le hiçbir bağlantısı kalmaz.

Bu aşamada dikkatli olunmazsa, geri dönüşü zor problemlere neden olunabilir. Özellikle büyük bir Active Directory ortamında, kaldırma işlemi tamamlandıktan sonra manuel olarak Metadata Cleanup yapılması gerekecektir.

Bu uyarıyı Proceed with removal seçeneğini seçerek NEXT butonuna tıklıyor, işlemimize devam ediyoruz.

active directory removal

New Administrator Password penceresinde Active Directory rolü kaldırdıktan sonra kullanacağımız Local Administrator parolamızı belirliyoruz.

Active Directory Demote işlemi sırasında belirlenen bu parola, Server yeniden başlatıldıktan sonra Local Administrator hesabıyla erişilebilmesi için gereklidir. Demote işlemi tamamlandıktan sonra Server, hala Domain Join olmaya devam eder, ancak artık bir Domain Controller değildir ve standart bir Domain-joined Member Server olarak çalışır.

Neden Bu Parola Gereklidir?

✅ Domain Controller’lar varsayılan olarak Local Administrator hesabına sahip değildir.

✅ Demote işlemiyle birlikte Local Administrator hesabı yeniden etkinleştirilir.

✅ Belirlenen parola, sunucu yeniden başlatıldıktan sonra Local Administrator hesabıyla oturum açabilmeni sağlar.

Bu yüzden, belirtilen parola, Local Administrator hesabının aktif hale gelmesi içindir.

active directory removal

Review Options penceresinde Demote butonuna tıklayarak devam ediyoruz.

active directory removal

Active Directory Demote etme işlemi başladı. İşlem bittikten sonra Restart ediyoruz.

active directory removal

Active Directory Demote etme işlemi başarılı bir şekilde tamamlandı.

Active Directory'yi kaldırmak, sistemde köklü bir değişiklik yapmak anlamına gelir. Windows Server 2012 R2'de bu işlemi gerçekleştirmek, yalnızca birkaç komut veya sihirbaz adımından ibaret gibi görünse de, arka planda birçok kritik bileşen devre dışı kalır ve etki alanı altyapısına bağlı tüm bağımlılıklar etkilenir. Özellikle FSMO Rollerinin durumu, DNS yapılandırmaları, Replikasyon Süreçleri ve Group Policy'lere bağlı bağımlılıklar gibi detaylar göz ardı edilmemelidir.

Domain Controller’ı kaldırmadan önce, sistemin bütünlüğünü korumak için bazı kontrolleri yapmak gerekir. Forest seviyesinde tek bir Domain Controller varsa, Active Directory kaldırıldığında tüm Domain yapısı çöker ve geri dönüş için yalnızca sağlam bir yedekleme çözümü kalır. Eğer ortamda birden fazla Domain Controller bulunuyorsa, Replikasyon’un düzgün çalıştığından emin olunmalı ve sorunsuz bir geçiş süreci için Global Catalog rolü gibi kritik rollerin diğer sunuculara aktarıldığı doğrulanmalıdır.

Active Directory'nin kaldırılmasının ardından, eskiye ait kalıntılar mutlaka temizlenmelidir. Metadata Cleanup işlemi tamamlanmadığında, eski Domain Controller’a ait kayıtlar diğer sunucularda kalmaya devam eder ve zamanla Replikasyon hatalarına neden olabilir. Bunun dışında, DNS içinde hala eski sunucuya ait kayıtların kalıp kalmadığı da gözden geçirilmelidir. Özellikle NTDS Settings objesi ve Sites and Services içerisindeki yapılar doğru şekilde temizlenmezse, ilerleyen süreçte hata ayıklamak zorlaşır.

Tüm bu detaylar göz önünde bulundurulduğunda, Active Directory'nin kaldırılması basit bir işlem gibi görünse de, planlama ve doğrulama aşamaları atlandığında ciddi sorunlarla karşılaşmak kaçınılmaz olur. Sistemin stabil şekilde çalışmaya devam edebilmesi için, kaldırma işlemi sonrası kontrollerin eksiksiz yapılması şarttır.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


750 karakter yazabilirsiniz.
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.