Forum

Active directory dı...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Active directory dış ağdan domaine katılamıyorum.

9 Yazılar
3 Üyeler
0 Likes
472 Görüntüleme
(@mdem)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Merhaba,

Windows server 2019 üzerine active directory kurulu, firewall üzerinden MS DS, LDAP, DNS portlarına erişim izni verildi.

 

iç ağdan tanımladığım etki alanına join olabiliyorum fakat dış ağa çıktığımda join olamıyorum. 

not: iç ağdan domaine sorunsuz katılabiliyorum sorun dış ağdan bağlanmaya çalıştığımda oluyor.

 

DNS SRV kayıtları bulunamıyor hatası alıyorum fakat hem domain DNS yönetiminde hem de server üzerindeki DNS'de bir hata gözükmüyor, LDAP ve diğer kayıtlar bulunuyor. 

 

 

Bu konu hakkında yardımcı olabilir misiniz?

 
Gönderildi : 08/10/2021 10:10

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32258
Illustrious Member Yönetici
 

Merhaba,

Dış ağdan domain' e join olamazsınız. 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/10/2021 10:28

(@mdem)
Gönderiler: 5
Active Member
Konu başlatıcı
 
Gönderen: @hakanuzuner

Merhaba,

Dış ağdan domain' e join olamazsınız. 

Cevabınız için teşekkür ederim.

 

O zaman şu senaryo ile ilerleyeceğim;

 

Firewall'a kural girip AD Kullanıcıları için DNS tanımlamalarını AD Serverin ip'sini gireceğim, ağa bağlı olan kullanıcıların cihazlarında herhangi bir değişiklik yapmadan otomatik olarak bu DNS'leri alacak ve AD'e bağlanabilecek.

 

Hakan hocam size bir sorum olacak;

 

Localde AD'e bağlanmış olan kullanıcı dış ağa çıktığında oturum açmasında ya da herhangi bir işleminde sorun yaşar mı?

 

Şirketimizde 4 adet ağ bulunuyor, müdürlerimiz kendilerine özel olarak ayarlanmış ağları kullanıyor. Kısacası; AD serverin bulunduğu ağda domaine join olup daha sonrasında diğer ağa geçip kullanmasında bir sorun yaşar mıyız?

 
Gönderildi : 08/10/2021 10:53

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32258
Illustrious Member Yönetici
 

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/10/2021 11:14

(@mdem)
Gönderiler: 5
Active Member
Konu başlatıcı
 
Gönderen: @hakanuzuner

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

Cevabınız için teşekkür ederim. 

Daha önce linux ortamında çalıştığım için windows active directory tarafında uzman değilim. 🙂 Projelerimiz bittiğinde bu alanda eğitim alacağım... Siz eğitim veriyorsanız ayrıca değerlendirmek isterim.

 
Gönderildi : 08/10/2021 11:21

(@fatihbalci)
Gönderiler: 56
Trusted Member
 
Gönderen: @hakanuzuner

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

@hakanuzuner Hocam merhabalar,

Cache için 10 kez değil de son 10 kullanıcı bilgisi tutulur diye biliyorum. Yani tek kullanıcı ile DC'ye ulaşamasa bile sınırsız logon olabilir. Yanlışım varsa düzeltin lütfen.

 
Gönderildi : 08/10/2021 11:31

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32258
Illustrious Member Yönetici
 
Gönderen: @mdem
Gönderen: @hakanuzuner

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

Cevabınız için teşekkür ederim. 

Daha önce linux ortamında çalıştığım için windows active directory tarafında uzman değilim. 🙂 Projelerimiz bittiğinde bu alanda eğitim alacağım... Siz eğitim veriyorsanız ayrıca değerlendirmek isterim.

Merhaba, biz şirket olarak sadece kurumsal eğitim veriyoruz bireysel eğitim vermiyoruz ne yazık ki ama bu eğitimi alabilirsiniz isterseniz, temel bir eğitimdir. Ama size network eğitimi de gerekli.

Microsoft Active Directory ve DNS Eğitimi - Bölüm1 Giriş | Udemy

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/10/2021 11:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32258
Illustrious Member Yönetici
 
Gönderen: @fatihbalci
Gönderen: @hakanuzuner

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

@hakanuzuner Hocam merhabalar,

Cache için 10 kez değil de son 10 kullanıcı bilgisi tutulur diye biliyorum. Yani tek kullanıcı ile DC'ye ulaşamasa bile sınırsız logon olabilir. Yanlışım varsa düzeltin lütfen.

Bu bir makine gpo yani makine son 10 logon için bu işlemi yapar, ama bir user hiç logon olmamış ise cache olmadığı için logon olamaz. Yani bu rakam evet son 10 logon işlemi için geçerli fakar pratikte öyle dersen hele bu seviyede bir konuşmada yanlış anlaşılır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/10/2021 12:00

(@fatihbalci)
Gönderiler: 56
Trusted Member
 
Gönderen: @hakanuzuner
Gönderen: @fatihbalci
Gönderen: @hakanuzuner

Merhaba,

Öncelikle trusted ve untrusted şeklinde ayrımak lazım networkleri. Çünkü şirket içerisinde istemciler, sunucular, kritik sistemler, atm ler, kasalar, şubeler, istasyonlar, duraklar, mağazalar gibi pek çok network olabilir. Ama bu network aslında yine birbirisine bağlıdır. Ama aynı network aktif cihaz üzerinden ama vpn ile ama metro ama MPLS network il konuşur. Doğal olarak böyle bir network admini şunu bilir. Bir active directory ortamında tüm cihazların dns ip adresi dc makineleri olur (Eğer DNS servislerini DC üzerine kurmayıp ayrı kurarsanız bu durumda dc ip adresi değil o ilgili sunucu ip adresi olur, ama genelde herkes dns servisini dc üzerien kurar)

Doğal olarak şubede bir dc yok ise, mağaza da bir dc yok ise tüm istemciler merkezdeki dnsleri sorgular, networkler vlan ayrımı yapılmış olsa bile bu dns sorgusunu mutlaka gateway üzerinden dns sunucusuna ulaştırır.

Özetle bu network uzmanın işi. 

Gelelim istemcilerdeki DNS ip adreslerine? Bunu asla elle atamayın, bunu DHCP sunucusu yapmalı. DHCP sunucusu üzerindeki ayarları zaten ortamdaki DNS bilgisi taşır ve bunu istemciye verir. Sunucular DHCP den almaz onları zaten elle verirsin ama onlar akşamları eve gitmez 🙂

Windows 10 makinesi otomatik ip alacağı için eve veya bir kafeye gidince oradaki modem veya network cihazının verdiği ip ve dns' i alır, bu sayede orada sizin dc yi aramaz ve internete çıkar. 

Peki DC yok iken makine logon olur mu? Eğer siz izin verirseniz cache dediğimiz mantıklı ile DC ye bir kez daha ulaşana kadar 10 kez logon olur, bu rakamı gpo ile yükseltebilirsiniz ama muhtemel gerek olmaz.

Home office çalışanlar bile en az günde 1 kez vpn yapaağı için o rakam her seferinde sıfırlanır.

Size önerim kendinize biraz yatırım yapıp bu konularda eğitim alın.

@hakanuzuner Hocam merhabalar,

Cache için 10 kez değil de son 10 kullanıcı bilgisi tutulur diye biliyorum. Yani tek kullanıcı ile DC'ye ulaşamasa bile sınırsız logon olabilir. Yanlışım varsa düzeltin lütfen.

Bu bir makine gpo yani makine son 10 logon için bu işlemi yapar, ama bir user hiç logon olmamış ise cache olmadığı için logon olamaz. Yani bu rakam evet son 10 logon işlemi için geçerli fakar pratikte öyle dersen hele bu seviyede bir konuşmada yanlış anlaşılır.

Ben bir an yanlış mı biliyorum acaba diye düşündüm fakat mevcut durumda siz de haklısınız.

 
Gönderildi : 08/10/2021 12:18

Paylaş: