Configure Remote Management in Server Manager 2012 R2 and Remote DCPROMO

Hakan Uzuner 10/03/2013

1 6 dakika okuma süresi

Windows Server 2012 ile beraber gelen yeniliklerden biride deployment senaryolarındaki iyileştirmelerdir. Baktığınız zaman Active Direcotry’ den Terminal hizmetlerine kadar pek çok özellik için yeni dağıtım senaryoları sunulmaktadır. Ancak bunların yanında merkezi yönetim özelliği de dikkat çekmektedir.

Aslında benim bu makalede anlatmak istediğim büyük yapılarda nasıl kolayca uzak sunucuların üzerinde dahi AD yapısının kurulması olacaktır. Ancak bize bu kolaylığı sağlayan asıl etken yine server 2012 ile beraber gelen Remote Server Manager özelliğidir. Bu nedenle öncelikle bu özellikten biraz bahsedeceğim, ardından da remote dcpromo konusuna değineceğim.

Merkezi yönetim noktasında artık server manager konsolu üzerinden birden çok sunucuyu yönetme şansına sahibiz. Ve yine burada önemli bir özellik bunun varsayılan olarak açık gelmesidir. Yani suncu kurulumundan sonra ek bir ayar gerekli değildir ( örneğin RDP için varsayılan olarak kapalı gelmesi ve bizim sonrada bunu açıyor olmamız gibi bir şart yoktur ).

Bunun için çok basit bir işlem yeterlidir.

Server Manager–> All Servers –> Add Servers

Ardından eklemek istediğimiz sunucuyu seçmemiz yeterlidir.

Ben tüm sunucuları ekliyorum. Hatta bir tane istemci makine var Windows 8 onu da ekliyorum. Buradaki limit 100’ dür. Yani 100 den fazla sunucu ekleyemiyorsunuz. Mevcut sunucular için gelen verilerin büyüklü ve network alt yapınıza görede bu eklediğiniz 100 veya çoklu sunucu için server manager konsolunda bir takım gecikmeler olabilir.

Bu sunucu ve istemcilere ait bilgilerin gelmesi biraz zaman alacaktır. Bu nedenle bekliyorum.

Bu arada DNS kaynaklı bir sorun nedeni ile ChildDC ye erişim problemini de görüyorum.

Biraz bekledikten sonra diğer sunucularda online olarak görüntülenmektedir.

Şimdi DC isimli sunucu üzerinden diğer sunucuları izleyebilir ve aynı zamanda yönetebiliriz.

Örneğin ADC isimli sunucu üzerine server manager konsolundan tıklarsak sırası ile o sunucuya ait olan

Olay günlüklerini

Burada bu verileri daha hızlı almak için küçük bir ip ucu paylaşmak istiyorum. Server manager üzerinde Event bölümünde Task altında “Configure Event Data” ya tıklayarak uzak sunucudan çekilecek olan olay günlüklerini sınırlayabilirsiniz.

Servislerini

Performans durumunu

Ve bizimde konumuz olan üzerindeki rol ve özellikleri görmekte ve yönetebilmekteyiz. Zaten burada en can alıcı nokta burası, yani yönetmek. Malum artık büyüyen yapılarda en önemli ilk sorun hızlı ve kolay yaygınlaştırma senaryosu iken, bunun bir şekilde çözülmesinden sonra merkezi olarak kolay yönetim gelmektedir. İşte Server 2012 bu konuda gerçekten çok başarılı.

Peki aklınıza bu hizmetin arka planda nasıl çalıştığı sorusu gelebilir.

Öncelikle uzak yönetim için minimum işletim sisteminiz Server 2008 ve üstü olmalıdır. Yani 2008 ve 2008 R2, 2012 sunucularınızı da merkezi olarak server manager konsol üzerinden yönetebilirsiniz. Ancak bunun için iki yükseltme işlemi gerekmektedir.

2012 Server

.NET Framework 4.5

Windows Management Framework 4.0

2008 ve 2008 R2

.NET Framework 4

Windows Management Framework 3.0

Knowledge Base article 2682011 ( 2008 ve 2008 R2 makinelerden performans verilerini almak için gerekli yamadır )

Eğer bu yüklemeleri yapmazsanız aşağıdaki gibi sistem sizi uyaracaktır

Uyarmaktan öte böyle bir durumda yukarıda gösterdiğim gibi ( ADC makinesi için ) tam olarak yönetim söz konusu olmayacaktır.

Gördüğünüz gibi bizim için en önemli konulardan biri olan role yükleme ve kaldırma desteği bu durumda sunulmuyor.

Bunları tamamladıktan sonra ise artık tam anlamı ile bir yönetim söz konusu olmaktadır.

Eğer sizde bu sorun devam ederse, 2008 veya 2008 r2 makinesinde aşağıdaki komutu çalıştırınız

winrm quickconfig

Server Manager konsolu RSAT içerisinde gelen bir araç olmasına karşın Windows 8 gibi istemci makineler, server manager ile lokal bilgisayarları yönetme şansı yoktur. Eğer client bir işletim sisteminde server manager açarsanız durum aşağıdaki gibi görünecektir.

Gördüğünüz gibi local bölümü yok.

Server manager ile desteklenen işletim sistemleri ve özelliklerine ait tablo ise aşağıdaki gibidir;

Peki, varsayılan olarak açık gelen bu remote management özelliğini nasıl kapatıyoruz?

PowerShell ile aşağıdaki komutunuda kullanabilirsiniz

Configure-SMRemoting.exe -Enable

Aslında bu son derece basit J Server Manager konsol üzerinde Local Server linkine tıklıyoruz ve sağ menüden Remote management bölümünü Disabled konumuna getirmemiz yeterli olacaktır.

Server Manager yine bizlere standart kullanıcılar için bir takım özellikler sunmaktadır. Varsayılan olarak her zaman administrators grubu üyeleri tarafından kullanılan bu ara yüz, eğer isterseniz ilgili sunucu için standart olan kullanıcılarında kullanımına açılabilir.

Yani yönetici değilde standart bir kullanıcı bir takım özellikler sunulmaktadır. Bunun için öncelikle aşağıdaki powershell komutunu kullanıyoruz;

Enable-ServerManagerStandardUserRemoting -User Hakan

Bu standart bir kullanıcıya server manager üzerinden event, service, performance counter ile yüklü rol ve özelliklerin listesinin erişimini sunmaktadır.

Tam liste ise aşağıdaki gibidir;

Server manager ara yüzünü eğer aktif olarak pek çok sunucu yönetmek için kullanıyorsanız bu durumda bu konsol üzerinde oluşturduğunuz sunucu grupları ve benzeri ayarları kaybetmek istemezsiniz. Veya bu ayarları başka bir makineye taşımak isteyebilirsiniz. Bu durumda aşağıdaki iki dosyayı diğer bilgisayara taşımanız yeterlidir;

%appdata%\Microsoft\Windows\ServerManager\ServerList.xml

%appdata%\Local\Microsoft_Corporation\ServerManager.exe_StrongName_GUID\6.2.0.0\user.config

Burada birkaç konuya daha girmek istiyorum. Bildiğiniz gibi Windows Vista ile hayatımıza giren UAC eğer devrede ise işler biraz karışabilir. Çünkü UAC yerel ataklardan bilgisayarı korumaya çalıştığı kadar uzak ataklardan da korumak için “UAC remote restriction” denilen bir kavram bulunmaktadır.

Eğer UAC remote restrictions açık ise bu durumda yerel admin hesaplarının bu sunucuyu uzaktan yönetmesi için aşağıdaki gibi bir kayıt defteri anahtarını tanımlamak gereklidir. ( aslında bu UAC remote restrictions özelliğini kapatmak içindir )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

Altında ismi “LocalAccountTokenFilterPolicy” olan bir DWORD tanımlıyoruz ve değerini 1 yapıyoruz.

Merkezi yapmak için ise aşağıdaki komut setini kullanabilirsiniz

cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Ancak uzak makinede yerel admin olan domain hesapları için böyle bir sınırlama söz konusu değildir.

Windows Server 2012 uzak yönetim için WinRM ve the Distributed Component Object Model (DCOM) kullanmaktadır. Aslında buradaki temel servis WinRM olup, Server 2012 olmayan eski sürüm Server 2008 ve 2008 R2 ile iletişim için DCOM kullanılmaktadır. Çünkü eski tip MMC konsolları DCOM kullanır. Ancak bu eski makineler Windows Management Framework 3.0 yüklemesi ile beraber artık yönetim WinRM üzerinden sağlanır.

DCOM ile yönetimdeki en büyük zorluklardan biri firewall tarafıdır. Normalde benim tavsiyem şirket içerisinde özellikle sunucularda Windows firewall servisi çalışıyor ancak Windows firewall kapalı durumda olmalıdır. Bunun en temel sebebi o sunucu üzerinden bilmediğimiz pek çok farklı port hizmet vermekte olabilir. Eğer birkaç tane sunucunuz var ise bu durumda firewall kullanabilirsiniz. Sonuç olarak AD, Sharepoint, Exchange vs servisleri biliyorsunuzdur. Ancak 300 – 500 veya daha fazla sunucu olan ortamlarda pek çok farklı servis ve program çalıştığı için her sunucuya ayrı ayrı firewall portları açmak son derece mümkün olmayan bir durumdur. Ancak bu kadar büyük yapılarda da temelde segmentasyon vardır. Yani sunucu üzerindeki Windows firewall kapalıdır ancak istemci makineler ile sunucu makine parkurları arasında fiziksel bir firewall bulunur.

Peki konumuza geri dönecek olursa, Windows firewall açık iken zaten uzak yönetim noktasında pek çok sorun yaşayacaksınız, bu nedenle Windows firewall’ u kapatmanızı tavsiye ediyorum.

Buna rağmen ben Windows firewall açık bir şekilde uzak yönetim yapmak istiyorum derseniz WinRM için varsayılan olan port numarası TCP 5895’ dir. Buna firewall dan izin vermeniz gereklidir. Tabiki kimlik doğrulama için gerekli olan portları da unutmayın.

Peki buraya kadar server manager konsol üzerinden uzak sunucuları nasıl yöneteceğimizi gördük.

Şimdi sıra geldi bunun en büyük nimetlerinden olan uzaktan role yükleme özelliğine. Ben Remote DCPROMO bağlığı altında bu konuyu inceleyeceğim.

Amacım Member olan bir makineyi Domain Controller haline getirmek, ancak bunun için gerekli olan tüm işlemleri uzaktan yapacağım.

Bu işlemlerden önce tabiki bu sunucunun temel ayarlarının yapılmış olması gerekli. Yani burada aslında en önemli ayar ip ayarlarıdır. Ama zaten bu Member bir makine olduğuna göre domainde ve bu da ip,dns ve benzeri ayarların sorunsuz olduğunu gösterir.

Şimdi bu amaçla ben yeni bir makine kurdum ve ismine RDC dedim. Şimdi DC isimli makine üzerinden bu makineyi DC rolüne yükselteceğim.