Domain controller’lar (etki alanı denetleyicileri), ağ üzerindeki kullanıcı kimlik doğrulamalarını ve güvenlik politikalarını yönetmek için merkezi bir rol oynamaktadır. Ancak, tek bir domain controller’a bağımlı kalmak, olası bir arıza durumunda tüm kurumu riske atabilir.
İşte burada “additional domain controller” devreye girer. Bu makalede, additional domain controller’ın ne olduğunu, nasıl çalıştığını ve bir ağ yapısına nasıl entegre edileceğini detaylı bir şekilde ele alacağız.
Bir önceki makalemiz de Server Core üzerinde Active Directory kurulumu sağlamıştık ve bunu Primary Domain Controller olarak yapılandırmıştık, ilgili makaleye aşağıdaki link üzerinden erişebilirsiniz.
İçindekiler
Additional Domain Controller Nedir?
Additional domain controller, mevcut bir domain içindeki yükü paylaşmak ve yedeklilik sağlamak için kullanılan bir etki alanı denetleyicisidir. Primary domain controller‘a alternatif olarak hizmet verir ve ağın kesintiye uğramadan devam etmesini sağlamaktadır. Özellikle, büyük ölçekli veya coğrafi olarak dağıtılmış organizasyonlar için kritik bir bileşendir.
Additional Domain Controller kurulumu için mevcut ortamımızda Primary Domain Controller bulunmak zorundadır.
Additional Domain Controller Nasıl Çalışır?
Bir additional domain controller, Active Directory veritabanının bir kopyasını barındırır. Bu sayede, ana domain controller’ın yükünü azaltır ve eğer ana makine çökerse, otomatik olarak devreye girer. Kullanıcılar ve diğer ağ cihazları, her iki controller’a da erişebilir, bu da sistem sürekliliğini ve erişilebilirliği artırır.
Additional Domain Controller Nasıl Kurulur?
Ortamım da Windows Server 2019 üzerinde çalışan Primary Domain Controller sunucum bulunuyor, buna ek olarak tekrar Windows Server 2019 üzerinde çalışan bir Additional Domain Controller kurulumu gerçekleştireceğim.
Öncelikle Additional Domain Controller sunucumun, Hostname, IP ve DNS bilgilerini ayarlıyorum. Active Directory ortamın da bulunan Domain Controller’ın IP ve DNS bilgilerinin Static olması gerekmektedir.
Sunucu ismi yapılandırma işlemini tamamladık. Şimdi ise IP yapılandırmamızı gerçekleştireceğiz ve Primary Domain Controller sunucumuzdaki IP adresini ADC kurulumunu gerçekleştireceğimiz sunucuya DNS olarak belirtiyoruz. Alternate Dns Server kısmına ise ADC olarak hizmet verecek sunucumuzun IP adresini belirtilmesi gerekiyor.
Not: Additional Domain Controller sunucusuna verdiğiniz IP adresini birincil olarak DNS olarak ayarlamanız daha sağlıklı olacaktır.
İlgili değişiklikleri sağladıktan sonra, ADC olarak yapılandıracağımız sunucuyu yeniden başlatmamız gerekmektedir.
Active Directory Role Kurulumu
Ortamımız da bir adet Windows Server 2019 üzerinde çalışan Domain Controller sunucumuz var, Additional Domain Controller sunucusu için de ek olarak Active Directory Role kurulumu yapmamız gerekmektedir.
Server Manager konsolunu açıyoruz. Dashboard ekranında Add roles and Features tıklıyoruz.
Karşımıza “Before you begin” penceresi açılıyor ve Active Directory Role kurulumunu başlatmak için Next ile bir sonraki yapılandırma ekranına geçiyorum.
Bir sonraki ekranımız “Select installation type” burda bizi iki seçenecek karşılıyor.
Role-based or feature-based insallation : Roles ve Features seçeneklerini kurulum ve yapılandırdığımız alandır. Windows Server 2019 üzerinde bulunan ve rol ve özellikleri bu seçenek ile kurulmaktadır. Biz Active Directory Role kurulumunu bu adım ile gerçekleştirmemiz gerekmektedir.
Remote Desktop Services installation : Eski adıyla Terminal Service olarak bilinen ve Windows Server 2008 ile birlikte Remote Desktop Services ( RDS ) adlandırılan Uzak Masaüstü kurulumu ve yapılandırmasını hızlı ve standart olarak bu seçenek ile yapabilirsiniz. Bu seçenek ile sadece RDS kurulumları sağlayabilmektesiniz.
Biz “Role-based or feature-based installation” seçeneği ile devam ediyoruz.
Bir sonraki ekranımız ise “Select destination server” burda ADC kurulumunu yapacağımız sunucumuzu işaretliyoruz ve Next butonu ile devam ediyoruz. Server Manager alanında yönettiğimiz başka bir sunucu olmadığı için burada sadece Local sunucuyu görebilmekteyiz.
Bir sonraki ekranımız “Select server roles” ADC kurulumu için öncelikle standart Active Directory Domain Services kurulumu yapacağız. “Active Directory Domain Services” seçeneği işaretlememiz yeterli olacak.
Select features ekranında herhangi bir işaretleme yapmıyoruz. Çünkü Select server roles ekranında “Active Directory Domain Services” rol hizmetini işaretlediğimizde Group Policy Management, Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center, AD DS Snap-Ins and Command Line Tools Features kurulmasınada izin vermiş olduk. “Active Directory Domain Services” seçeneği bir paket olarak diğer özellikleri otomatik yükletmektedir.
Bir sonraki ekranımız ise “Active Directory Domain Services” bu ekran üzerinde Active Directory rol hizmetimizi Azure ve Office 365 platformu ile çalışmasını sağlayabilirsiniz. Azure için gerekli bilgilere Microsoft Azure linkinden ulaşabilirsiniz. Biz bu ekran üzerinde yapılandırma işlemi yürütmeden ilerliyoruz.
Kurulumu başlatacağımız ekrana geldik “Restart the destination server automatically if required” seçeneği işaretlemeden Install butonu ile kuruluma başlıyoruz. Bu seçenekle beraber Active Directory Role kurulumu tamamlandıktan sonra sunucu yeniden başlatma gereksinimi olursa sistem olarak olarak Windows Server sistemi yeniden başlatmaktadır.
Kurulum tamamlandı. Yapılandırma işlemleri için “Promote this server to a domain controller” seçerek yapılandırma işlemlerimize başlıyoruz.
Bu kısma kadar bütün her şey standart olarak ilerliyor.Normal bir şekilde Role kurulumu gerçekleştiriyoruz. Yapılandırma işlemlerinde ADC farklılığı devreye giriyor. Kurulumunu yaptığımız rol hizmetini şimdi yapılandıracağız.
Deployment Configuration ekranında bizi üç seçenek karşılıyor.
Add a domain controller to an existing domain: Mevcut Forest yapımız içinde yeni bir Domain Controller yapılandırmak için bu seçeneği seçmemiz gerekiyor. Yani Additional Domain Controller yapılandırmasını bu seçenek ile yapacağız.
Add a new domain to an existing forest : Mevcut Forest yapımız içinde yeni bir Domain yapılandırmak için bu seçeneği seçmemiz gerekiyor.
Add a new forest : Ortamımıza yeni bir Forest ve Domain yapılandırmasını yapacağımız zaman bu seçeneği seçiyoruz.
Biz ortamımıza Additional Domain Controller kazandırmak istediğimiz için Add a domain to an existing domain seçeneği ile devam edeceğiz.
Active Directory Role kurulumundan önce ADC olacak sunucumuzu domain ortamına dahil etseydik eğer Specify the domain information for this operation sekmesi boş olarak değilde domain adımız yapılandırılmış şekilde görecektik.
Domain bölümüne Primary Domain Controller sunucumuzun Domain adını yazıyoruz ve yetkili hesabımız ile LOGIN oluyoruz.
Bağlantı bilgilerimiz sağladığımızda bize Domain sunucumuz üzerindeki domainleri gösterecek. Ben tek domain kullandığım için o domaini işaretliyorum ve Next butonu ile devam ediyorum.
Bir sonraki yapılandırma ekranımız Domain Controller Options.
Domain Name System (DNS) Server: Active Directory ve DNS entegrasyonu Windows Server Sisteminin en önemli özelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kayıtları olarak sunulabilecek şekilde benzer bir hiyerarşik isimlendirme yapısına sahiptirler. Bu entegrasyonun sonucu olarak Windows Server Ağındaki bilgisayarlar, Active Directory’ye özgü birtakım servisleri çalıştıran bilgisayarların yerini öğrenmek için DNS Sunucuları kullanmaktadırlar. Eğer oluşturulacak olan Domain’in DNS altyapısı kurulum öncesinden hazırlanmamışsa, kurulum esnasında da DNS altyapısı kurulabilir.
Active Directory Global Catalog (GC): Forest’ın içindeki tüm tree’lerde, tüm domain’lerde ve tüm DC’lerde bazı nesnelerin salt okunur bir kopyası bulundurur. Kısaca bir nevi cache sistemi diyebiliriz. Böylece bir nesneyi ararken sistem en alttan en üste tek tek sormak yerine buradan kolayca bulup sizi yönlendirir. Unutmamak gerekirki bir Active Directory yapısında her bir site içerisinde en az bir Domain Controller ın Global Catalog server rolünü barındırması gerekir.
Read Only Domain Controller (RODC): Windows Server 2008 ile beraber hayatımıza giren özelliklerden bir tanesi. RODC, Active Directory Services sunucularından farklı bir yapıya sahiptir. AD veritabanın aynısını barındırır ama veritabanına yazma izni yoktur. Üzerinde oluşturulmuş bütün nesneleri okuyabilirsiniz ama ekleme veya silme işlemi yapamazsınız.
Directory Services Restore Mode (DSRM): Domain ortamlarında karşılaşılan bir sorun sırasında yedekten geri dönmek için kullanılan bir hizmettir.
Bazı açıklamalardan sonra yapılandırma işlemlerimize geri dönelim. Domain Controller Options penceresinde herhangi bir değişiklik yapmıyoruz. Sadece DSRM için gerekli şifrelerimizi oluşturuyoruz.
Bir sonraki adımımız DNS Options bölümün de ise herhangi bir değişiklik yapmamız gerekmiyor, Next butonu ile devam ediyoruz.
Bir sonraki ekranımız Additional Options, bu ekranda iki seçeneğimiz bulunuyor.
Specify Install From Media (IFM) : Makaleye başlarken ADC tanımı yapmıştık. ADC’ler kurulurken gerekli bilgileri (veritabanı, AD yapısı) belirlediğimiz DC (ler) aracılığıyla çeker. Yani bir ADC kurulurken bir DC ile replikasyon yapmak zorundadır. Bu da kısacası sisteminiz için bir network trafiği demektir.
Özellikle network bandı yetersiz olan ve en çokta uzak lokasyonlara kurulum yaparken bu replikasyon bazen tam bir facia olabilir ve ADC kurulumunuz başarılı bir şekilde tamamlanamaz ya da trafiğinizi bir süre kitler. Kısacası IFM uzak lokasyonlara ADC kurulumunu kolaylaştıran bir yöntemdir. Kurulum sırasında DC üzerinden yedeği direk replika yapmak yerine daha önceden almış yedeği göstererek kurulum yapmanıza olanak sağlar.
Specify additional replication options: Bu bölümde ise hangi DC üzerinden database oluşturcağımızı belirteceğiz.
Bir sonraki adımlar da Paths ve Review bölümleri bulunuyor, buralar da herhangi bir değişiklik yapmadan ilerleyebiliriz.
Active Directory kurulumumuza başladı, ilgili kurulum bittiğinde sistem restart olacaktır.
Additional Domain Controller kurulumu tamamlandı ve sunucumuz açıldı, Server Manager ekranında Active Directory Konsolu gözükmektedir.
ADUC(Active Directory Users and Computers) bölümü içerisinde bulunan Domain Controller objesi içerisinde yeni eklediğimiz Domain Controller sunucumuzu görebiliyoruz.
Active Directory Replikasyon Durumunu Kontrol Etme
Additinal Domain Controller sunucumuzu, Active Directory ortamımıza dahil ettik. Şimdi ise replikasyon durumlarını kontrol etmemiz gerekmektedir.
Repadmin /showrepl
Repadmin /replsummary
Buraya kadar hiç sorun yaşanmadı, replikasyon işlemini CMD ile tetiklemek için aşağıda ki komutu kullanabilirsiniz.
Repadmin /syncall
Active Directory ortamınız da Replikasyon kuyruğunu kontrol etmek için, kullanılması gereken komut aşağıda ki gibidir;
Repadmin /queue
Sonuç:
Additional domain controller, özellikle büyük ve karmaşık ağ yapılarında, ağ güvenliğini ve erişilebilirliğini artıran önemli bir yedeklilik çözümüdür. Bu sistem, ağın sürekli çalışır durumda kalmasını sağlar ve olası bir sistemi çökme durumunda bile kullanıcıların kesintisiz hizmet almasına olanak tanır.
“Additional Domain Controller Kurulumu” üzerine 2 yorum