Windows Server

Active Directory Makaleleri Windows Server 2003 Üzerine Active Directory Kurulumu – Bölüm 4

Bu baslik altinda da Windows Server 2003 active directory kurulum gereksinimleri ve active directory kurulumunu adim adim inceleyecegiz. 

 

ACTIVE DIRECTORY KURULUMU IÇIN GEREKSINIMLER 

Active Directory dizin servisinin kurulumunu baslatmadan önce asagidaki ön gereksinimleri karsilamaniz gerekmektedir: 

Active Directory dizin servisinin kurulacagi bilgisayarin isletim sistemi Windows Server 2003 ailesinden olmasi gerekir.  

Disk üzerinde active directory veritabani için 200 MB bos alan ve  log dosyalari için de 50 MB’lik bos alan olmasi gerekir. 

Bilgisayar üzerinde NTFS dosya sistemine sahip bir partition olmalidir. Çünkü NTFS, SYSVOL dizini için zorunlu olan bir gereksinim ve active directory veritabani için de güvenlik açisindan önerilen bir dosya sistemidir.  

Protokol olarak TCP/IP’nin yüklü olmasi gerekmektedir. TCP/IP protokolü, Windows Server 2003 isletim sistemi üzerine default olarak yüklenmektedir.  

Active Directory dizin servisinin kurulumunu gerçeklestirecek olan kullanicinin administrator kullanici hesabinin yetkilerine sahip olmasi gerekir. Kurulumu yapacak kullanici, Administrators grubunun üyesi omalidir.  

Active Directory dizin servisinin kurulacagi bilgisayarin üzerinde Active Directory olmamalidir. Eger daha önceden yarim kalan bir kurulum varsa tamamen kaldirilmalidir.  

ACTIVE DIRECTORY’DE ILE ILK DOMAIN’IN KURULUMU 

Bilgisayariniza Active Directory dizin servisini kurmak için asagidaki adimlari sira ile takip ediniz: 

Start menüsünden Run’a gelin ve dcpromo. exe yazip OK butonuna tiklayin

image001  

Karsiniza asagidaki sekilde görülen Welcome to the Active Directory Installation Wizard  ekrani açilir.

image002  

 Next ile bu ilk asama geçilir. 

Operating System Compatibility penceresi karsimiza gelir. Bu ekranda Windows Server 2003 DC bilgisayarlarinin clientlariyla daha güvenli yollarla haberlestikleri ve Windows 95 ve Windows NT 4.0 Service Pack 3 ve altindaki client bilgisayarlarinin bu güvenlik gereksinimlerini desteklemedikleri uyarisi gelir. Bundan dolayi bu sistemlerde çalisan client bilgisayarlarin Windows 2003 domainine logon olamayacaklari ve domain kaynaklarini kullanamayacaklari belirtilmistir.Burada bu eski sistemlerin uyumsuzlugu Active Directory’nin SMB signing adi verilen ozelliginden dolayidir. SMB signing active directory yapisinin disardan herhangi bir kullanici tarafindan elini kolunu sallayarak sistemi hack etmesini engellemeyi saglayan bir guvenlik mekanizmasidir. Bu özellik sayesinde bir domain controller ile client arasindaki haberlesmeye hiçbir kimsenin yüzde yüz girmemesini engeller. Geçmisteki networklerde sikça rastlanan “man in the middle”  adi verilen saldiri tipi SMB signing sayesinde engellenmistir. “man in the middle”  saldiri tipinde bir server ile client arasina disardan sistemi dinleyen bir hacker kolaylikla girip bilgileri çalma, bilgilere zarar verme gibi islemleri yapabilmesidir.Windows 95 ve Windows NT 4.0 Service Pack 3 ve altindaki client bilgisayarlarin SMB signing destegi yoktur.

image003  

Windows 98 bilgisayari üzerine Active Directory Client yazilimi kurularak bunun SMB signing destegi saglanabilir.Fakat Windows 95 ve MS-DOS sistemlerin bu konuda sansi yoktur. Active Directory Client yazilimi Windows 2000 Server CD’si içerisindeki Clients klasörü altinda bulabilirsiniz. Böylece Windows 98 client bilgisayarlarinin active directory domainine logon olmalari ve kaynaklari kullanmalari saglanmis olur. Service Pack 3’de çalisan NT Server 4.0 bilgisayarlarinin da en az Service Pack 4’e yükseltilmesi gerekir. 

Bu uyariyi okuyup gereksinimleri karsiladiktan sonra Next ile bir sonraki adima geçiyoruz. 

Karsimiza Domain Controller Type penceresi ekrana gelir. 

image004  

Domain Controller for a new domain:

 

Yeni bir domain kurmak için (ister bir tree yapisindaki ilk domain, ister tree altinda child domain kurulmak istensin) bu seçenek seçilir. Bu bilgisayar kurulan domain içerisindeki ilk DC olacaktir. Kurulan her DC bilgisayari Active Directory içerisinde bulunan  site içerisindeki server kataloguna kaydolur. Bu kurulan yeni DC ile ayni isimde baska bir server olmamasi gerekir.

 

Additional Domain Controller for an existing domain:

 

Mevcut bir domain yapisindaki DC bilgisayarinin yanina yedekleme ya da yük paylasimi amaciyla ikinci bir DC bilgisayari kurmayi saglar.

 

NOT:Burada tavsiyemiz tüm DC bilgisayarlarin Windows Server 2003 tabanli olmasidir. Böylece logon hizlari da son derece artmis olacaktir. Tabii ki bir bilgisayari DC yapmak CPU ve RAM’de ekstra bir yük de olusturacaktir. Ayrica sisteme eklenen her DC de replikasyondan dolayi networked ekstra bir yük olusturacaktir. Domain Controller Type ekraninda alt kisimda gelen uyariya dikkat ederseniz size DC olmayan bilgisayarlarin üzerindeki lokal hesaplari tutan SAM veritabaninin Active Directory kurulumundan sonra silinecegi ve yerini NTDS.DIT dosyasinin alacagi uyarisi verilmistir.  DC kurulumundan sonra lsass.exe process’ini inceleyerek DC’nin sisteme etkisi konusunda bilgi sahibi olabilirsiniz. 

Siz bu asamada ilk DC bilgisayarini kurdugunuz için Domain Controller for a new domain seçenegini seçin ve Next’e tiklayin. 

Create New Domain penceresi karsimiza gelir. 

image005  

Domain in a new forest: Yeni bir forest içerisinde yeni bir domain agaci kurmayi saglar. Eger kurmus oldugunuz domain, sirketiniz için ilk domain ise bu seçenegi kullanabilirsiniz veya önceden kurulmus, mevcut forest yapisindan tamamiyla bagimsiz yeni bir forest içerisinde yeni bir domain agaci olusturmak isteniyorsa bu seçenek kullanilmaktadir. 

Child domain in an existing tree: Daha önceden kurulmus bir root domainin(parent domain) child domainini olusturmak için kullanilmaktadir.  Bu olusturulan yeni child domainin ismi mevcut tree içerisinde daha önceden kullanilmamis olmasi gerekir.  Örnek olarak; ITSTACK.com isimli bir root domain altina istanbul.ITSTACK.com isimli bir child domain yapilandirmak için bu seçenek kullanilmalidir. 

Domain tree in an existing forest:

Bu seçenegin seçilmesi ile önceden kurulmus, mevcut bir forest içerisine yeni bir domain agaci(domain tree) kurulumu yapilir.Böylece mevcut olan  bir tree’den farkli olarak  yeni bir tree olusturulmus olur.  

Biz yeni bir domain agaci kurdugumuz için, Domain in a new forest seçenegi seçilir ve Next’e tiklanir. 

New Domain Name: Bu asamada,  kurulan domaine ait DNS isminin girilmesi istenmektedir. Active Directory domain isimleri internet üzerindeki domain isimlerinde oldugu gibi .com, .net, .gov gibi DNS isimlendirme standardina göre isimlendirilirler. Dolayisiyla buraya gireceginiz isminde bu standartlara uymasi gerekir. Istege göre domain adinin sonuna .com,.net yerine local, .ist gibi uzantilar da kullanilabilir. Örnegin,  ITSTACK.com seklinde bir isim verilebilir. Bu isim mevcut forest ya da tree yapisinda daha önceden kullanilmamis olmalidir.  

image006

 

DNS Domain adi olarak, ITSTACK.com girin ve Next’e tiklayin. 

Netbios Domain Name: Windows 2000 öncesi sistemler olan ve legacy systems adi ile anilan, Windows NT 3.X, Windows NT 4.X, Windows 95 ve  Windows 98 gibi client bilgisayarlarin, bu domaine baglanmak ve domain’deki kaynaklari kullanmalari için kullanacaklari isim Netbios Domain Name olarak tanimlanir. Dolayisiyla active directory domaininizin iki adi vardir: DNS ismi(örnegin ITSTACK.com) ve  eski sitil netbios ismi(örnegin ITSTACK). Domain netbios isminde nokta karakteri kullanmayin, ileride basinizi agritabilir.  

image007  

Otomatik olarak, bir önceki adimda girilen Domain DNS Name’in noktadan sonraki uzantisini atarak,  soldan maksimum ilk 15 karakterini alir. Istege bagli olarak domain netbios adi, domain dns adindan farkli olarak da verilebilir. Burada dikkat edilecek husus, mevcut forest yapisinda önceden bu netbios adinin kullanilmamis olmasi gerekir. 

Default olarak gelen ITSTACK ismini kabul edin ve Next ile bir sonraki adima geçin. 

Database and Log Folders : Bu asamada, Active Directory veritabaninin ve Active Directory log dosyalarinin depolanacacagi konum belirlenmektedir. Active Directory veritabani ve log dosyalari, default olarak WINDOWSNTDS dizininde tutulur. Fakat Browse seçenegi kullanilarak farkli bir lokasyon da tanimlanabilir. NTDS dizininin bulunacagi partition FAT veya NTFS olabilir. Fakat NTFS alanlar içerisinde tutulmasi güvenligi ve performansi artiracagindan dolayi daha fazla tercih edilmektedir. 

image008  

Maksimum performans için veritabani ve log dosyalarinin ayri disklerde tutulmasi tavsiye edilir. Bunun nedeni, active directory içerisinde bir güncelleme yapilcagi zaman bu hem ntds.dit veritabani dosyasina hem de log dosyasina yazilacagindan, büyük bir üretim ortaminin oldugu network yapisinda performansta çok büyük bir fark göreceksiniz. Bunu ayri SCSI, Fire Wire ya da EIDE sürücülerle yapabilirsiniz, fakat eger EIDE kullaniyorsaniz farkli EIDE kanallari üzerinden diskleri baglayarak performans artisi saglayabilirsiniz. Default olarak gelen seçenekleri kabul edin ve Next ile bir sonraki adima geçin. 

Shared System Volume (SYSVOL): Bu asamada, scriptler ve policy bilgilerinin tutuldugu dizin olan SYSVOL ‘ün kaydedilecegi dizin belirlenir. Script’ler ve policy ayarlari domain içerisindeki diger domain controller’lara ve client bilgisayarlara bu SYSVOL dizini üzerinden replika olmaktadir. SYSVOL dizininin konumlandirilacagi partition NTFS  olmak zorundadir. 

image009  

SYSVOL NT 4.0 PDC üzerindeki Netlogon paylasiminin ayni görevini görmektedir. Fakat NT 4.0 kullananlarin da bildigi üzere PDC üzerindeki Netlogon klasörüne kaydedilen policy ya da script bilgileri bazen BDC’ye otomatik güncellenmiyor ve elle manuel bunlari kopyalamaniz gerekebiliyordu. SYSVOL ile artik bu problemler asildi. Herhangi bir DC üzerinde SYSVOL içerisine konulan bir bilgi aninda diger DC’lere güncellenmektedir. 

Default olarak gelen seçenekleri kabul edin ve Next ile bir sonraki adima geçin. 

DNS Registration Diagnostics : Bu asama Windows 2003’ün Windows 2000’e göre getirdigi büyük yeniliklerden bir tanesidir.Eskiden Windows 2000 üzerinde active directory kurarken eger dcpromo basarisiz olursa ne kurdugunuzu kaldirabiliyor ne de yeniden active directory kurabiliyordunuz. Windows 2003 ise bu asamada size bilgisayarinizin su anda hiçbir DNS ile baglanti kuramadigini belirtiyor. Eger network üzerinde daha önceden bir DNS servisi yapilandirilmamis ise Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server seçenegi kullanilarak, bilgisayar üzerine hem DNS servisinin kurulmasi hem de kurulmakta olan domainin sahip oldugu DNS isminin kullanilarak, DNS içerisinde bir Active Directory Integrated Zone  olusturulmasi ve gerekli olan kayitlarin otomatik açilmasi saglanabilir.  

Eger sistemde kurulu bir DNS Server varsa ve onu kullanacaksaniz TCP/IP özelliklerinden gerekli DNS ayarlarini yapip, I have corrected the problem Perform the DNS diagnostic test again seçenegi seçilmelidir. DNS kurulumunu active directory kurulumu bittikten sonra kendiniz yapacaksaniz ve kayitlari manuel açacaksaniz I will correct the problem later by configuring DNS manually seçenegi seçilebilir. 

image010  

Burada her zaman önerilen ortaki seçenek olan Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server seçenegidir. Çünkü active directory kurarken DNS servisini de kendi üzerine kurmasi ve kendi kayitlarinin kendisinin açmasi her zaman daha sagliklidir. 

Biz ortadaki seçenek olan olan Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server seçenegini seçiyoruz ve Next ile bir sonraki adima geçiyoruz. 

Permissions penceresi su ana kadar ki Active Directory ekranlari arasinda enlasilmasi en güç ekrandir.NT 4.0 sistemlerde RAS Server’a baglanan bir client’in baglanti onayi için RAS yaziliminin NT 4.0 domain controller’a sordugu seyler sadece kullanici hesabinin bir kaç niteliginden ileri gitmiyordu. Düsününkü member server olarak çalisan bir RAS Server’iniz olsun. Bu server kendisine baglanmak isteyen bir kullanicinin kimlik denetimini yapmak istiyor, fakat kullanici bilgilerini DC’ye sormadan yoksun oldugu için baglanmak isteyen kullanici hesabinin sadece domainde mevcut olup olmadigina bakarak ufak da olsa bir sinsi davranis yapiyordu. Çünkü baglanti olayi için sadece kullanici adi ve sifre yeterli degildir, baglanan kisinin baglanabilmesi için onaylanmasi gerekir. Yalnizca bir domain hesabina sahip olmak yetmez. Bundan dolayi RAS Server’in kendisine baglanacak hesabin bu baglantiyi yapma hakkinin olup olmadigini DC’ye sormasi gerekir. RAS Server’in da DC’ye bu tip bir soru sorma izni olmadigindan NT sistemlerinde arka plan açik bir kapi birakiyordu ki bu da anonymous login’dir. Anonymous login olunduktan sonra RAS Server DC’ye kullanicinin dial-up yapabileceklerin listesinde olup olmadigini sorar. Microsoft anonymous login açigini ve riskini active directory’de kaldirarak artik anonymous login’e izin vermemistir. Bundan dolayi, NT 4 RAS Server’lar anonymous login kapali olan domainlerde çalisamazlar. Microsoft sistemdeki RAS Server’larinizin tamamini Windos 2000 ya da Windows 2003’e yükseltme yapmadiysaniz size bu asamada bir seçenek sunarak anonymous login özelligini NT 4 RAS Server’larin devamliligi için açma(enable) sansi vermistir. Fakat bu sürekli kullanilabilecek bir durum degildir. Active directory kurulumundan sonra Active Directory Users and Computers içerisini açarsaniz Built-in kabi içerisinde Pre-Windows 2000 Compatible Access isimli bir grup göreceksiniz. NT 4 RAS uyumlulugunu devam ettirebilmek icin, Everyone grubunu bu gruba katmaniz gerekir. NT 4 RAS’larin tamamini Windows 2000 ya da Windows 2003’e yükseltme yaptiktan sonra Everyone grubunu hemen  Pre-Windows 2000 Compatible Access grubundan çikartin.

 

Kisaca özetlemek gerekirse, Permissions penceresinde Windows 2000’den önceki serverlar ile uyumluluk ayarlari yapilir. Windows NT 4.0’da çalisan bazi server uygulamalari (örnegin Windows NT 4.0 RAS Service gibi) active directory domaininde açilmis kullanici bilgilerini okuma gereksinimi olacaktir. Eger bunu yapabilmesi ve gibi Windows 2000 öncesi serverlarin kullanilmasinin devami isteniyorsa Permissions Compatible with Pre Windows 2000 server operating systems seçenegi seçilmelidir. Server olarak sadece Windows 2000 ve Windows Server 2003 kullanilmak isteniyorsa Permissions Compatible only with Windows 2000 or Windows Server 2003 operating systems seçenegini  seçmelisiniz.  

image011

Biz bu ekranda sistemde Windows 2000 öncesi server bilgisayarimiz olmadigi için, Permissions Compatible only with Windows 2000 or Windows Server 2003 operating systems seçenegini  seçili iken Next’e basiyoruz.

 

Directory Service Restore Mode Administrator Password: Active Directory veritabaninin geri yüklenmesi, bakiminin yapilmasi gibi islemlerin gerçeklestirilmesi için  kullanilan Directory Service Restore Mod  açilisinda kullanilacak  administrator sifresi bu asamada belirlenir. Buraya yazilan sifrenin sizin normal sisteme giris yaparken kullandiginiz sifre ile hiçbir alakasi yoktur. Bu sifre sadece bilgisayar açilirken F8 tusuna basmaniz durumunda karsiniza gelen ileri açilis seçeneklerinden (Advanced Boot Options)  Directory Restore Mode seçenegi ile açilis yaptiginizda logon olurken kullanacaginiz sifredir. Bu sifrenin unutulmasi durumunda normal çalisma modunda ntdsutil komut satiri araci kullanilarak yeniden degistirilebilir. Bu konuda genis bilgi ve uygulamalari MCSE 2003 setinin Windows 2003 Active Directory kitabinda bulabilirsiniz.

 

image012

 

Su anda bu kutucuklari bos birakin ve Next ile bir sonraki adima geçin.

 

Son olarak Summary baslikli bir sayfa gelmektedir. Summary sayfasinda, bu asamaya kadar yapilan ayarlar özetlenmektedir. Next ile devam edilir

 

image013

 

Bütün bu asamalar tamamlandiktan sonra Active Directory dizin servisinin  kurulumu baslar ve asagidaki ekran görüntülenir.

 

image014

 

Belli bir süre sonra sizden DNS Servisinin kurulumu için gerekli dosyalari kopyalacagi Windows Server 2003 CD’sini takmanizi ister.CD’yi takip OK’e tikladiginizda DNS kurulumu baslar.

 

image015

 

Active directory kurulumu bittikten sonra bilgisayarin yeniden baslatilmasi istenir.

 

image016

 

Bilgisayar tekrar baslatip açildiktan sonra logon ekraninda kurulan domain adi seçilerek logon olunur ve bilgisayarinizin domain controller oldugu görülecektir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.