Windows Server 2008 R2'de Active Directory Domain Services Kurulumu 53315331 okunma
Her farklı Windows Server sürümüyle Active Directory farklı bir hal almaya, farklı özellikler barındırmaya başlıyor. Windows Server 2008 Standart/Enterprise/Datacenter yüklü bir makine DC yani Domain Controller olabilir. Ancak Web Edition yüklü makine olamaz.
DC’nin kurulması için Server’da .NET kurulu olması gerekiyor. Rol eklediğinizde bunu söyleyecektir. .NET 3.5 sürümü ve üzerini kabul ediyor.
DC’nin kurulabilmesi için server makinenin statik IP alması gerekiyor. IP adreslerini elle verip kurduğumuz takdirde kurulum ekranında hatayla karşılaşmayız.
Bunun için aşağıdaki gibi bir ayarlama yapabilirsiniz.
DC yüklenirken etki alanı oluşturulur. Bu kurulumu başlatmanın iki yolu var. Birincisi başlata tıklayın ve arama yerine dcpromo yazın. Ikincisi ise rol ekleyerek. Bu makalede rol ekleyerek anlatım yapılacaktır. Fark eden bir şey yok.
Server Manager’a girip Add Roles diyelim. Next diyelim.
Server Roles kısmından Active Directory Domain Services ‘e tıklayalım. Makinede .NET kurulu değilse karşımıza uyarı gelecektir.
.NET 3.5.1 kurulumunu da Active Directory ile birlikte kurmasını sağlayabiliriz. Bunun için uyarı ekranından Add Required Features diyelim.
Şimdi next diyerek bir sonraki adıma geçelim.
Karşımıza bilgi ekranı geldi. Dileyenler okuyabilir. Next diyerek ilerleyelim.
Kurulum özeti ekranında nelerin kurulacağını gösteriyor. Install diyerek kuruluma başlayabiliriz.
.NET kurulumunu gerçekleştirdi. Ancak DC kurulmadı. Çünkü bunu dcpromo ile halletmemizi söylüyor. Close diyelim.
Şimdi Server Manager bize küçük bir bilgi veriyor. DC’yi yüklemek için dcpromo.exe’yi çalıştırmalıyız. Mavi yazıya tıklayalım ve dcpromo’yu başlatalım.
Karşımıza DC’nin sihirbazı geldi. Next diyerek ilerleyelim.
Sihirbazın ilk ekranını geçtiğimizde işletim sistemi uyumluluğuyla ilgili uyarı görüntüleniyor. Uyarıda eski sürüm Windows işletim sistemlerinin ve SMB istemcilerin Windows Server 2008 R2 etki alanında çalışmayacağını belirtiyor. SMB istemcileri şudur, Linux dağıtımlarında Samba yazılımı bulunuyor. Samba ile Windows ağına dahil olabiliyorlar. Ağ üzerinde paylaşım yapabilir veya ağdaki diğer istemcilerin kaynaklarına ulaşabilir. Ancak Windows Server 2008 R2 bu istemcileri dahil etmiyor.
Next diyerek diğer pencereye geçelim.
Bu pencerede ne tür bir kurulum yapacağımızı seçiyoruz.
Existing forest: Var olan bir ormanda etki alanını kurar.
Create a new domain in a new forest: Yeni bir ormanda yeni etki alanını oluşturur. Bu varsayılan olarak işaretli gelir. Bunu kabul edip next diyelim.
Etki alanının DNS adını (FODN) giriyoruz. Örneğin bilisimlife.net veya bilisimlife.local.
Ismi girip next diyelim.
Bu ismin kullanılıp kullanılmadığını kontrol etmesi gerekiyor.
Sonraki pencerede ormanın işlevsel düzeyini belirtiyoruz. Işlevsel düzeyi yani functional level ormandaki işlevleri belirler. Seçenekler şu şekilde:
Windows 2000: Temel düzeyde.
Windows Server 2003: Bu düzeyde grup üyelik bilgilerinin çoğaltılmasında yalnız değişikliklerin gönderilmesi sağlanıyor. KCC’nin daha karmaşık çoğaltma yapılarının hesaplanması dahi verimli oluyor. Bu düzey ormanlar arası güvenli ilişkiyi getiriyor.
Windows Server 2008: Yeni olan hiçbir özellik barındırmıyor.
Windows Server 2008 R2: Silinen nesneler için çöp kutusunu getirmişler. Bu özellik gizli olarak Windows Server 2003’te de vardı. Sysinternals’ın ADRESTORE aracı Windows Server 2003 ve 2008’de etki alanlarında silinen nesnelerin bilgisini kolayca geri getirebiliyor.
Not: Bu aracı buradan indirebilirsiniz.
Isterseniz Windows Server 2003 veya 2008 R2’yi seçerek ilerleyin.
Ormanların işlevsel düzeyleri gibi etki alanlarının da işlev düzeyi vardır.
Etki alanlarının düzeyleri ormana bağlıdır. Bu yüzdendir ki seçtiğiniz orman düzeyinin özellikleri nedeniyle bazı etki alanı işlevsel düzeylerini göremeyebilirsiniz.
Orman için Windows Server 2000 seçildiyse etki alanı işlevsel düzeyleri şunlar oluyor:
- Windows 2000 Native
- Windows Server 2003
- Windows Server 2008
- Windows Sever 2008 R2
Windows 2000 Native düzeyinde, Windows 2000 Mixed düzeyine göre birçok yenilik var. Güvenlik türünde evrensel gruplar oluşturulabiliyor. Grupların birbirine üye yapılmasında büyük bir serbestlik vardır. Nesneler için SID tarihçesi tutuluyor. Bunun artısı şu, bir nesne başka bir etki alanına taşındığında hem eski hem de yeni SID kullanabiliyor.
Windows Server 2003 düzeyindeki kullanıcılar ve bilgisayarlar için son oturum açma saatleri tutuluyor. Bu özellik Last LogOn Time Stamp isminde.
Windows Server 2008 düzeyinde DC’ler arasında SYSVOL klasörünün çoğaltılmasıyla Distributed File System Replication (Dağınık Dosya Sistemi Çoğaltılması) kullanılıyor. Kerberos için AES 128 ve 256’dan oluşan Advanced Encryption Services (Gelişmiş Şifreleme Servisleri) kullanılıyor. Kullanıcıların son oturum açma (başarısız olanlarla birlikte) girişimleri tutuluyor.
Windows Server 2008 R2 düzeyinde kullanıcının hangi kimlik doğrulama yöntemini kullandığı belirlenebiliyor. Bu işleme Authentication assurance denir.
Varsayılan olarak Windows Server 2003 işaretlidir. Işlev düzeyleri belirtildikten sonra makinenin DNS sunucu ve Global Catalog olup olmayacağını belirttiğimiz ekrana rastlıyoruz.
Bu ekranda kurumsal olarak DNS sunucusu ile DC’nin ayrı mı yoksa aynı mı olacağını karar veriyoruz. Aynı olmasında birçok yarar var.
DNS Server kutucuğu işaretli kalsın. Next diyerek ilerleyelim.
Şimdi karşımıza kurulum yeri klasörleri çıkıyor.
Database folder, veritabanının tutulacağı klasördür. Etki alanı veritabanı ntds.dit adındaki dosyada bulunur. Varsayılan olarak ise Windows\NTDS olarak yolu belirlenir.
Log files folder, günlük kaydın tutulacağı klasörün belirlenmesidir. Günlük dosyalar içinde varsayılan klasörü önerilir. Microsoft günlük performans için veritabanı dosyaları ve günlük dosyalar için farklı disklerde bulunmasını öneriyor.
Microsoft’un bu önerisi ilginçtir. Çünkü uygulanabilir bir öneri değil. Nedeni ise çok açık. DC’lerde genellikle RAID kullanılır. En yaygın türü ise RAID5’tir. RAID 5’te ikiden fazla disk tek bir disk olarak gösterildiği için birbirinden ayırt edilemez. Yani bir performans artışından söz edemeyiz.
Klasörlere ellemeyelim, varsayılan olarak kalmaları daha mantıklıdır.
Üçüncü klasör ise SYSVOL. Bu klasör DC’ler arasında çoğaltılabilir. Grup ilkeleri, oturum açma betikleri gibi birçok dosya barındırıyor.
Ilk iki klasör FAT dosya sistemlerine sahip disk bölümlerinde kullanılabilir. Ancak SYSVOL, NTFS dosya sisteminde bulunması zorunludur.
Next diyerek ilerleyelim.
Bu ekranda parola belirliyoruz. Önemlidir çünkü DC’nin sistem durumu yedeği için gerekecektir.
Parola istemesinin nedenini daha açık belirteyim. DC yapılırken şöyle bir şey yapılıyor. Makinenin yerel kullanıcı veritabanındaki kullanıcılar ve gruplar, oluşturulan yeni etki alanı veritabanına taşınıyor. Yerel kullanıcı veritabanı ise sıfırlanmış oluyor. Ardından yerel üzerinde yönetici hesabı oluşturulur. Şimdi yazacağımız parola aslında bu yöneti hesabın parolasıdır.
DC’den aldığımız sistem durumu yedeğinden dönerken bu hesabı kullanarak oturum açar, yedekten döneriz.
Not: Parolayı unutursanız NTDSUTIL.exe programıyla parola değiştirmek mümkün.
Nihayetinde yaptığımız işlemlerin bir özet bilgisi geliyor. Next diyerek bu kurulumu artık bitirelim.
Sihirbaz konfigüre ettiğimiz DC’yi kuruyor.
Nihayetinde kurulum bitiyor. Finish diyerek bitirelim.
Bilgisayarı yeniden başlatmakta yarar var. Bakalım bilgisayarımız etki alanında mı.
Oturum açma ekranımız değişmiş. BILISIMLIFE etki alanına dahil olmuş. Oturum açalım.
Bilgisayar açılınca başlata tıklayın. Buradan Administrative Tools kısmından Active Directory Users and Computers’a girin. Burada DC içerisindeki nesneleri görebilirsiniz.
Başarılı bir şekilde DC’yi kurduk. Bundan sonrası yönetime giriyor.
Konuyla ilgili problemlerinizi BilişimLife Forum içerisinde Windows Server 2008 alt kategorisine başlık olarak açabilirsiniz.
Kolay gelsin.
Recep ŞERIT
BİR YORUM YAZIN