Windows Server 2012R2 Active Directory (Domain Controller – DC) Kurulumu

Directory servisinin kurulumuna geçmeden önce ilk önce server üzerinde yapılması gereken işlemler için alttaki linki incelemenizi tavsiye ederim.

Microsoft Windows Server Temel Ayarları

Daha sonra aşağıda da görüldüğü gibi start tuşuna basıp dcpromo yada Windows+R tuş kombinasyonuna bastıktan sonra dcpromo yazarak kurulumu başlatalım.

12dc1

Ve aşağıdaki hatanı geldiğini göreceksiniz. Kısaca bu yöntem eskidi artık Server Manager üzerinden yükleme yapmalısınız, daha fazla ayrıntı için linki inceleyin  demektedir.

12dc2

Server Manager sekmesini tıklayın. Add Roles and Features diyerek işlemlere başlıyoruz.

12dc3

Ardından Next ile devam edin.

12dc4

Role-Based or Feature-Based seçerek Next ile devam edin.

12dc5

Server seçimini yaptıktan sonra Next ile devam edin.

12dc6

Active Directory Domain Services’i seçtikten sonra Next ile devam edin.

12dc7

Yüklenmesi gereken Features‘ları otomatik olarak listeliyor. Add Features tıklayın.

12dc8

Next ile devam edin.

12dc9

Next ile devam edin.

12dc10

Next ile devam edin.

12dc11

Gerekiyorsa Restart etmesi için seçeneği aktif edip Yes tıklayın.

12dc12

Install diyerek kuruluma başlayın.

12dc13

Kurulum yapılıyor.

12dc14

Promote this server to a domain controller diyerek işlemlere devam edin.

12dc15

Ortama ilk domain controller kuracağımız için Add a new forest seçeneğini seçerek Root domain name belirleyip Next ile devam edin.

12dc16

Forest ve Domain Functional Level belirledikten sonra DNS server seçeneği onaylı olarak gelecektir, değiştirmeden Directory servisinin kurtarma şifresini belirleyin ve Next ile devam edin. Functional seviyesini ortamdaki en düşük seviyeye belirlemenizde fayda var yoksa servislerin iletişimde problem olabilir. Seviyeyi ilerde arttırabilirsiniz fakat düşürme imkanı sonradan olmuyor. Konu hakkında ÇözümPark‘ta güzel bir yazı mevcut tavsiye ederim.

12dc17

Next ile devam edin.

12dc18

Netbios name olduğu gibi bırakıp Next ile devam edin.

12dc19

NTDS ve SYSVOL dosyalarının kaydedileceği lokasyon bilgilerinin olduğu pencere. Bence burada dikkat edilmesi  gereken bir konu profesyonel ortamlarda çalışırken recovery açısından database dosyasıyla log dosyanın aynı lokasyonda olmamasına dikkat edin. Tabi bu ayarlamalar spesifiktir, isteğinize ve yapınıza göre konfigure edebilirsiniz. Biz test ortamında olduğumuz için olduğu gibi bırakıp Next ile devam ediyoruz.

12dc20

Burada yapmış olduğumuz tüm ayarlamaların bilgileri yer almaktadır. İsterseniz export edebilirsiniz. Ben *.txt olarak kaydettim aşağıda screenshot’la belirttim. Next ile devam edin.

12dc21

12dc22

Özet kısmı sizde All Prerequisite check passed succesfully. Click install to begin installation gelecektir, Install diyerek devam edin.

12dc23

Ve kurulum yapılıyor.

12dc24

Sunucu Restart olduktan sonra Local admin, Domain admin olarak karşımıza çıkıyor, giriş yapın.

12dc25

Yapıyı ve servisleri kontrol edelim,

12dc26

12dc27

12dc28

12dc29

12dc30

12dc31

12dc32

12dc33

12dc34

12dc35

 

AD-DC Enterpise-Domain Administrator Disable

Microsoftun Windows Server mimarilerinde Active Directory(Domain Controller) rolünün yüklü olduğu makina üzerinde öyle bir kullanıcı varki tüm herşeyin sahibi, denetimi ve kontrolü elinde tutan, kendine bağlı olan client’ları(köleleri) yöneten ve birinci dereceden söz sahibi olan, kullanıcılar tarafından domain admin’i olarak bilinen fakat microsoft tarafından ise goduser olarak öne sürülen, tabi bizim kültürümüze uymayan bu tabir ile benim Kral(köleleri yöneten) user olarak tanımlayacağım Enterprise Administrator’dur. Konuyu aşağıdaki screenshot’tan sahip olduğu üyelikleri görünce daha iyi anlayacaksınız.

eda1

eda2

Windows Server sistemlerinde Administrator kullanıcısı aktif olarak gelir, kurulum aşamasında başka bir user oluşturamazsınız, Administrator’a şifre belirleyip sisteme bu şekilde(domain\user) login olursunuz.

eda3

Tabi defaultta Administrator aktif olarak geldiği ve bu durum herkesçe bilindiği üzere, yanı sıra bir sürü zafiyeti getirebilir. Örneğin dışardan veya içerden domain sisteminize siber saldırı gerçekleştirmek isteyen kötü niyetli kişiler olabilir. Bunun için özel araçlar yada yazılımlar kullanacak olan kişiler domain sisteminize sızmak isteyip, üst düzey yönetici user(Enterprise Administrator)’a saldırı gerçekleştirmek isteyip onun haklarını ele geçirip yani aynı haklara sahip olup bir bakıma sistemde at koşturmak isteyebilir. Bunu gerçekleştirmesi gereken, onu 1-0 önde götürecek olan, herkesçe bilinen user tabi ki Administrator’dur. Tabi güvenlikte bunun %yüz önünü almak diye birşey yok ama bu ve buna benzer sebeplerden ötürü bir nebzede olsa önlem almak ve kullanım açısından daha efektif bir yapı olması nedeniyle Administrator kullanıcısını disable edip, aynı üyeliklere sahip sizin belirleyeceğiniz bir isimde farklı bir user oluşturmak doğru bir hareket olacaktır. Şimdi bunu nasıl yapacağımıza bir bakalım. İlk önce farklı bir isimde bir user oluşturalım ki ben SuperMan adında bir user oluşturuyorum.

eda4

Üyelik hakları sadece Domain Users olarak gelir, ben şimdi üst düzey user olabilmesi için gereken haklarıda Add diyerek vericem.

eda5

Şekilde görüldüğü gibi hakları verdim. Apply ve OK diyerek uyguladım.

eda6

Daha sonra Administrator kullanıcısını disable’ye çekelim.

eda7

Çıkan uyarıya, OK tıklayın.

eda8

Administrator aşağıdaki gibi disable konumuna çekildi.

eda9

Daha sonra sisteme tekrar oluşturduğumuz diğer user ile logoff/logon olalım. Zaten Administrator’la bağlanmaya çalışırsanız aşağıdaki uyarıyı alacaksınız.

eda10

Other user seçip domain\user şeklinde bağlanalım.

eda11

Hepsi bu kadar, kaldığınız yerden tekrar devam edebilirsiniz.

 

Server 2008R2 Active Directory (Domain Controller – DC) Kurulumu

Server üzerinde herhangi bir rol kurulmadan önce yapılması gereken önemli üç madde vardır.

Bunlarda birinci öncelikli Computer name kısmıdır. Microsoft windows sistemlerinde sistem kurulumlarında eğer siz makinaya isim belirlemediyseniz aşağıdaki screenshot’tanda anlaşılacağı gibi  defaultta kendi bir isim belirleyerek geliyor.

8dc1

Tabi siz bunu akılda tutulması kolay ve kullanılabilir daha mantıklı bir name ile değiştirmeniz doğru bir hareket olacaktır. Ben test sunucum için aşağıdaki name belirliyorum.

8dc2

İkinci öncelikli işlem ise sunucu için sabit ip adresidir. İleriye dönük olarak değişken ip olmasının getireceği bir çok sıkıntı ile karşılaşabilirsiniz. Ayarlamalar ve erişimler hata verecektir, kullanıcılar sunucuya erişimde problem yaşayacaktır vs. gibi bir çok problemle karşı karşıya kalırsınız.

8dc3

Üçüncü öncelikli işlem ise sunucunun update’lerinin yapılmış olmasıdır. Özellikle security update’ler mutlaka aksatılmadan yapılmalıdır.

8dc4

Bunların bitiminde sunucumuz tüm işlemler için hazır durumdadır ve Domain Controller kurulumuna geçebiliriz. Aşağıda da görüldüğü gibi start tuşuna basıp dcpromo yada Windows+R tuş kombinasyonuna bastıktan sonra dcpromo yazarak kurulumu başlatabiliriz.

8dc5

Ardından aşağıdaki gibi bir pencere açılacak,

8dc6

Ardından Next ile devam edin.

8dc7

Tekrar Next ile devam edin.

8dc8

Yeni bir domain servisi kuracağımızdan ikinci seçeneği seçerek Next ile devam ediyoruz.

8dc9

Daha sonra Fully Qualified Domain Name (FQDN), domain adımızı belirleyip(root domain) Next ile devam ediyoruz.

8dc10

Yapılan ayarlar check edilecektir.

8dc11

Ardından aşağıdaki gibi bir pencere açılacaktır. 2008R2 yeniliklerinden olan ve forest seviyesinde seçim yapmamızı sağlayan ekrandır. Forest ortamında minumun seviyede server 2000 var ise burda server 2000 belirtmek gerekir. Yoksa birbirleri arasında iletişim sağlamada sıkıntılar yaşanabilir. Tabi biz hem yeni hemde root seviyesinde domain kurduğumuz için 2008R2 seçip devam ediyorum. Eğer server 2000 yada 2003 seçseydim domain functional level diye bir ekran daha çıkacaktı. Ordada bu domainin functional seviyesini belirleyebileceğimiz ekran gelecekti. Biz en üst seviyede seçim yaptığımız için o ekranı atlayarak geçecektir. Zaten açıklama kısmında da seçime göre konu hakkında bilgi verilmiş.

8dc12

Ardından DNS ile ilgili kontrol yapılacaktır.

8dc13

Seçenekleri olduğu gibi bırakıp, yapımıza DNS server kurulumununda gerçekleşmesi için seçeneğin işaretli olduğundan emin olduktan sonra Next ile devam ediyoruz.

8dc14

NTDS ve SYSVOL dosyalarının kaydedileceği lokasyon bilgilerinin olduğu pencere. Bence burada dikkat edilmesi  gereken bir konu profesyonel ortamlarda çalışırken recovery açısından database dosyasıyla log dosyanın aynı lokasyonda olmamasına dikkat edin. Tabi bu ayarlamalar spesifiktir, isteğinize ve yapınıza göre konfigure edebilirsiniz. Biz test ortamında olduğumuz için olduğu gibi bırakıp Next ile devam ediyoruz.

8dc15

Active directory restore gerektiği zaman kullanılacak olan şifreyi bu ekranda belirliyoruz.

8dc16

Burada yapmış olduğumuz tüm ayarlamalırın bilgileri yer almaktadır. İsterseniz export edebilirsiniz. Ben *.txt olarak kaydettim aşağıda screenshot’la belirttim.

8dc17

8dc18

Ve kurulum başladı, burada reboot seçeneğini check edin bitiminde sunucu yeniden başlasın.

8dc19

Sunucu yeniden başladıktan sonra login olalım. Dikkat ederseniz artık login olurken FATIHASLAN\Administrator(DomainName\User) şeklinde login olacağız.

8dc20

Yapıyı ve servisleri kontrol edelim,

8dc21

8dc22

8dc23

8dc24

8dc28

8dc26

8dc27

8dc29

8dc30

8dc25