Sunucuyu bir etki alanı denetleyicisine yükseltme: Adım adım kılavuz

Etki alanı denetleyicisi (DC), Active Directory Etki Alanı Hizmetlerini (AD DS) barındıran bir AD sunucusudur. DC'ler, kimlik doğrulama isteklerine yanıt verirken ve ağdaki kullanıcıları doğrularken AD nesnelerinin güvenliğini yönetmekten sorumludur. Aynı zamanda farklı etki alanı kaynakları için yetkilendirme sağlarlar.

DC'ler herhangi bir AD altyapısının ayrılmaz bir parçasıdır ve etki alanı kaynaklarının anahtarını elinde bulunduran bekçiler gibi oldukları düşünülebilir. Bunlar aynı zamanda etki alanının güvenliğinden de sorumludur.

Üye sunucu ve etki alanı denetleyicisi karşılaştırması

Her ne kadar DC de bir sunucu olsa da AD ortamındaki bir üye sunucuyla karıştırılmamalıdır. Üye sunucu, bir etki alanında bulunan ve bir dosya, uygulama, web ve yazdırma sunucusunun işlevlerini yerine getirebilen bir bilgisayardır. DC ise kimlik doğrulaması ve yetkilendirme süreçlerinden sorumludur. Ayrıca, yalnızca etki alanı yöneticilerinin DC'lerde oturum açmasına izin verilmelidir.

Bir sunucuyu neden DC'ye yükseltmelisiniz?

Normal bir sunucu kimlik doğrulama ve yetkilendirme işlevlerini yerine getiremez. Yöneticilerin bu işlevi sağlamak için bir sunucuyu DC'ye yükseltmeleri gerekir. Birden fazla DC'ye sahip olma kararı, kuruluşun büyüklüğüne ve BT altyapısının karmaşıklığına dayalı olarak verilir. Genel bir en iyi uygulama, kuruluşların AD ortamlarında birden fazla DC'ye sahip olmasıdır. Burada bunun nedenine dair bazı temel nedenleri bulabilirsiniz:

1. Yük dengelemesi: Yöneticiler bir DC'de çok fazla yük bulunan durumlarla sıklıkla karşılaşabilir. Ek bir DC, yöneticilerin ağ trafiği yükünü dengelemesine yardımcı olur.

2. Kesinti süresinin azaltılması: Birden fazla DC'ye sahip olunması, kesinti sürelerini kısaltır. DC'lerden birine ulaşılamıyorsa veya DC çevrimdışı olursa, kimlik doğrulama hizmetleri bir sonraki kullanılabilir DC'ye kolaylıkla bağlanabilir.

3. Güvenilirlik: Birden fazla DC'ye sahip olunması artan güvenilirlik ve kullanılabilirlik sağlayarak kesinti süresini azaltır.

DC'lerin temel anlayışı ve AD DS'de oynadıkları rolü ele aldığımıza göre, bu öğrenme yolculuğunun bir sonraki adımına geçebiliriz.

Bu blog'da, bir sunucunun DC'ye yükseltilmesi için adımları ayrıntılı bir biçimde sunacağız. Yükseltme işleminde sunucunun durumunun tüm kimlik doğrulama ve yetkilendirme özellikleriyle bir DC olarak değiştirilmesi sağlanır.

Adım 1: AD DS'yi Yükle

Henüz yüklemediyseniz, AD DS'yi yükleyerek başlayın.

1. AD sunucusunda yönetici kimlik bilgileriyle (kullanıcı adı ve parola) oturum açın.

2. Sunucu Yöneticisi konsolunu açın, ardından Rol ve Özellik Ekle Sihirbazını başlatmak için Pano > Rol ve özellik ekle seçeneğine tıklayın.

   

3. Başlamadan önce sayfasında İleri seçeneğine tıklayın.

4. Daha sonra, Kurulum türünü seç sayfasında Rol tabanlı veya özellik tabanlı kurulumu seçin ya da sanal makine tabanlı bir dağıtımsa Uzak Masaüstü Hizmetleri kurulumunu seçin. İleri'ye tıklayın.

   

5. Şimdi rolün atanacağı hedef sunucuyu seçin. Sunucu havuzundan bir sunucu seç seçeneğine tıklayın ve AD DS'yi yüklemek istediğiniz sunucunun adını seçin. Daha sonra İleri seçeneğine tıklayın.

   

6. Bu aşamada, Sunucu rollerini seç sayfasında sunucuya yüklemek istediğiniz Active Directory Etki Alanı Hizmetleri, Active Directory Federasyon Hizmetleri, Active Directory Hak Yönetimi Hizmetleri ve daha fazlası gibi rolleri seçin. Bizim durumumuzda temel gereklilik Active Directory Etki Alanı Hizmetleri'dir.

   

7. AD DS'yi seçtikten sonra, Rol ve Özellik Ekle Sihirbazında seçili rol için özellikler eklemeniz ve İleri seçeneğine tıklamanız gerekir. AD DS için temel roller ve özellikler varsayılan olarak zaten seçilidir. Gerekliliklerinize göre daha fazlasını seçebilirsiniz.

   

8. Bilgileri gözden geçirin ve Kurulum seçimlerini onayla sayfasında Yükle seçeneğine tıklayın.

   

Adım 2: Sunucuyu bir etki alanı denetleyicisine yükseltin

1. AD DS rolünü sunucuya yüklemeyi tamamladıktan sonra bildirim işaretini tıklayın. Burada, "Sunucuyu bir etki alanı denetleyicisine yükseltin" seçimini yapın.

   

   

2. Daha sonra, AD DS yapılandırma sihirbazına erişmeniz istenecektir. Burada, Dağıtım Yapılandırma sayfasında, ilk seçenek olan "Mevcut bir etki alanına etki alanı denetleyicisi ekle" seçeneğini işaretleyin. Ayrıca, yeni DC'nin ekleneceği etki alanının adını (örneğin, abc.testcorp.com) girin ve İleri seçeneğine tıklayın.

   

3. Daha sonra, sol bölmedeki Etki Alanı Denetleyicisi Seçenekleri seçeneğine tıklayın ve aşağıdaki adımları uygulayın:

   • İstenen Etki Alanı ve Orman işlevsel düzeyini seçin.
   • Etki alanı denetleyicisi özelliklerini belirtin. DC'yi bir Etki Alanı Adı Sunucusu (DNS) ve bir Genel Katalog (GC) yapma seçenekleri varsayılan olarak seçili olacaktır.
   • DC için Site adı seçimini yapın.
   • Dizin Hizmetleri Geri Yükleme Modu (DSRM) parolasını girin. DSRM parolası, sunucunun yedeklemesini geri yüklemeniz gerektiğinde veya bir DC arızası oluştuğunda çok önemlidir.

   

4. Ardından, DNS Seçenekleri sayfasında "DNS Ataması oluşturulmuyor" uyarısı alacaksınız. DNS sunucusunu çalışmalarımızın ilk kısmında (3. adım) zaten yapılandırmış olduğumuzdan, bu adım güvenli bir şekilde göz ardı edilebilir. İleri'ye tıklayın.

5. Ek Seçenekler sayfasında, AD DS verilerini çoğaltmak istediğiniz DC'yi belirtebilir ya da Herhangi bir etki alanı denetleyicisi seçeneğini belirleyerek İleri seçeneğine tıklayabilirsiniz.

   

6. Sonraki sayfa, AD DS veritabanının, günlük dosyalarının ve SYSVOL klasörünün konumunu belirtebileceğiniz veya varsayılan konumları/klasörleri kabul edebileceğiniz Yollar alanını içerir. İleri'ye tıklayın.

   

7. Sonraki sayfada Gözden Geçirme Seçenekleri, seçimlerinizin incelenmesi ve onaylanması seçeneği sunulur. İsteğe bağlı olarak, PowerShell komut dosyasını görüntüle ve ardından İleri seçeneğine tıklayabilirsiniz.

   

8. Ön Koşullar Kontrolü sayfasında, Windows bir ön koşul kontrolü gerçekleştirir. Kontrolü onaylayın ve ardından Yükle seçeneğine tıklayın.

   

9. Sistem, AD DS kurulum sürecini tamamlamak için çoğaltmanın ardından otomatik olarak yeniden başlatılır. İşlem tamamlandıktan sonra, oturum açma ekranına yönlendirileceksiniz.

Bir sunucu DC'ye böyle yükseltilir!

Daha önce de belirtildiği gibi, DC'ler herhangi bir kuruluşun AD altyapısındaki en kritik bileşenler arasındadır.

Anormal bir etkinliği tespit edebilmek, ayrıcalıkların kötüye kullanımı durumlarını belirleyebilmek ve bir tehdit durumunda ayrıntılı neden analizini hızlandırabilmek için BT yöneticilerinin DC olaylarını sürekli olarak izlemesi gerekir.