Merhaba
Daha önceki yazilarimiz da Windows Server 2012 üzerinde Active Directory Domain Services kurulumunu ve Windows Server 2012 üzerinde Additional Domain Controller kurulum ve yapılandırmasini anlatmiştik bu yazimizda da Windows Server 2012 üzerinde Read Only Domain Controller ( RODC ) kurulum ve yapılandırmasini anlatiyor olacağım.
Peki Nedir Read Only Domain Controller ( RODC ) :
Merkezimiza bağlı çalışan bir şubemiz olduğunu düşünelim şubemizde 20 -30 kullanıcımız var. Şubemizdeki kullanıcılarımızın log on trafiğini rahatlatmak için elbetteki bir şubemiz yapısı içinde bir Active Directory Domain Services yapılandırılmasi şarttır. Bu şubemizin yapısına bir Active Directory Domain Services yapılandırarak merkez ile haberleşmesini sağlayabilirsiniz ancak buradaki IT görevlisinin merkezdeki Active Directory Domain Services sunucusu üzerinde de kullanıcı açma kapatma ve silme gibi işlemleri yapmasini istemiyorsunuz bunun için Windows Server 2008 ile birlikte gelen Read-Only Domain Controller ( RODC ) yapılandırmasi ile hem şubedeki kullanıcılarımızın log on trafigini rahatlatmiş oluruz hemde yetkisiz kullanıcıların Active Directory Domain Services üzerinde herhangi bir işlemi yapmasina izin vermemiş olursunuz.
Windows Server 2008 ile gelen en dikkat çeken özelliklerden birisi Read Only Domain Controller ( RODC ) özelliğidir. Read Only Domain Controller ( RODC ) adından da anlaşılacağı gibi Active Directory Domain Services sunuculardan farklı bir yapıya sahiptir. Tam olarak, Active Directory veritabanını barındıran fakat veritabanına yazma hakkına sahip olmayan bir Domain Controller tipidir.Yani üzerinden, Active Directory içerisindeki Organizational Unit,User, Group gibi objeler görülebilir fakat ekleme ve ya silmek gibi işlemleri yapmak mümkün değildir. Read Only Domain Controller ( RODC ) bulunduğu ortamda Domain Controller olarak hizmet verirken, üzerinde değişiklik yapılamadığı için herhangi bir güvenlik açığı da oluşturmamaktadir.
Windows Server 2003 işletim sisteminde Active Directory kurulumu Administrators grubuna üye olan kullanıcılar tarafından gerçekleştirilebilmekteydi. Bu durumun aksine Windows Server 2012 ile birlikte sunulan Read Only Domain Controller ( RODC ) rolünün kurulumu, Delegasyon yapıldıktan sonra Standart bir domain user tarafından da yapılabilmektedir. Amaç, uzak ofiste yer alan bir çalışan tarafından kurulum işleminin gerçekleştirilerek, bizim için zaman ve iş tasarrufu sağlamaktır.
Read Only Domain Controller ( RODC ) üzerine kurabileceğimiz bir başka sunucu rolü Read-Only DNS Server dır. Read Only Domain Controller ( RODC ) üzerindeki DNS de kayıtlar sadece okunabilir DNS üzerinde herhangi bşr ekleme ve ya silmek gibi işlemleri yapmak mümkün değildir.
Windows Server 2012 ile birlikte gelen Read Only Domain Controller ( RODC ) yeni özellikleri :
- Windows Server 2012 Read Only Domain Controller ( RODC ) Güvenlik daha da geliştirilmiştir.
- Kullanıcıların oturum açma süreleri çok daha hızlanmıştır.
- Network kaynaklarına erişim çok daha hızlı ve etkili olacaktır.
- Read Only Domain Controller ( RODC ) rolünün kurulmasını standart bir domain user grubuna üye kullanıcı ile yapmak mümkündür. Bu gibi durumlarda bölge ofislerinizdeki Read Only Domain Controller ( RODC )’yi herhangi bir kullanıcıya yaptırabilir, iş ve zaman tasarrufu sağlayabilirsiniz.
Windows Server 2012 yapısında Read Only Domain Controller ( RODC ) kullanabilmemiz için gereksinimler :
- Forest’ta bir adet yazılabilir ( Writeable ) Domain Controller olmalıdır.
- Forest ve Domain Functional Level seviyeleri Windows Server 2008 R2 olmalıdır.
Yukarıda yazılan gerekli ihtiyaçları tamamladıktan sonra Read Only Domain Controller ( RODC ) kurulumuna geçebiliriz .Bu işlemi iki farklı yoldan yapabiliriz.
- Domain’e dahil bir Windows Server 2012 üzerine Additional DC kurulumu yapar gibi Read Only Domain Controller ( RODC ) kurulumunu yapmak mümkündür.
- Workgroup’ta çalışan bir Windows Server 2012 üzerine Read Only Domain Controller ( RODC ) kurulumu yapmak mümkün.
Ben bu yazimda Workgroup ortamındaki bir Windows Server 2012 sunucum üzerinde Read Only Domain Controller ( RODC ) kurulumu ve yapılandırmasini yapıyor olacağım.
Bunun için ilk aşamasında Read Only Domain Controller ( RODC ) olacak sunucunun Computer Account’unu Active Directory içerisinde Domain Controllers Organizational Unit’unda hazırlamalıyız. Eğer domain’deki bir Windows Server 2012 sunucum üzerinde Read Only Domain Controller ( RODC ) kurulum ve yapılandırmasi yapıyorsaniz bu işlemlere gerek yoktur.
Birinci sunucum WS12DC isminde Ip Adres 192.168.2.200 olarak yapılandırılmiş ve üzerinde Active Directory Domain Services ve Domain Name Server ( DNS ) yapılandırılarak bakicubuk.local isminde bir domain ortami kurulmuştur.
İkinci sunucum WS12RODC isminde Ip Adres 192.168.2.204 olarak yapılandırılmiş ve üzerinde Active Directory Domain Services kurulumu yapılarak Read Only Domain Controller ( RODC ) yapılandırılmasini anlatiyor olacağım.
WS12DC isimli Forest yapımız içinde Root domain üzerinde Active Directory Users and Computers konsolunu açıyoruz. Domain Controllers isimli Organizational Unit üzerinde sağ tuş Pre-create Read Only Domain Controller account seçeneğini seçiyoruz.
Active Directory Domain Services Installation Wizard ekrani geliyor karşımıza Next diyerek devam ediyoruz.
Network Credentials ekraninda Default olarak gelen My current Logged on credentials seçeneği işaretli iken Next diyerek devam ediyoruz.
Specify the Computer Name ekraninda Read Only Domain Controller ( RODC ) yapmak istediğimiz sunucunun ismini belirmemiz gerekiyor. Computer Name bölümüne ben WS12RODC isimli sunucumu Read Only Domain Controller ( RODC ) yapacağım için onun ismini yaziyorum. Full DNS computer name bölümünde sunucumun domain ortaminda alacağı ismi görüyorum. Next diyerek devam ediyoruz.
Select a Site ekranında Read Only Domain Controller ( RODC )’nin dahil olacağı Default-First-Site-Name adını görüyoruz. Eğer yapımız içinde birden çok site’ımız varsa Read Only Domain Controller ( RODC ) hangisine dahil etmek istersek onu seçmeliyiz. Next diyerek devam ediyoruz.
Additional Domain Controller Options ekraninda Read Only Domain Controller ( RODC ) üzerinde DNS Server ve Global Catolog gibi rollerinde bulunmasını isterseniz yukarıdaki ekranda uygun seçenekleri işaretliyoruz.
Additional information bölümünde yapımız içinde kaç adet DNS server olduğu bilgisini de görebiliriz. Benim yapımda WS12DC ve WS12ADC sunucularim olduğu için 2 Adet DNS Server olduğunu görüyoruz.
NOT : Eğer Active Directory ortamina dahil etmiş olduğumuz bir sunucu üzerinde Server Manager ile Active Directory Domain Services rolünün kurulumunu yapmiş olsaydik eğer Read-only domain controller ( RODC ) seçeneğini açık gelecektir. Bizim yapılandırmamizda Read Only Domain Controller ( RODC ) olacak sunucu için bir Computer Account yapılandırdığımız için bu seçenek seçili ve pasif olarak geldiğini görüyouruz.
Delegation of RODC Installation and Administration ekraninda Read Only Domain Controller ( RODC ) kurulumunu yapacak olan Standart Domain User hesabımızı Set diyerek belirtmemiz gerekiyor.
Delegation of RODC Installation and Administration ekraninda Read Only Domain Controller ( RODC ) kurulumunu yapacak olan Standart Domain User hesabımızı belirttikten sonra Next diyerek yapılandırmaya devam ediyoruz.
Summary ekranında Read Only Domain Controller ( RODC ) kurulum için yapılandırma sirasinda yapmiş olduğumuz seçimlerin bir listesini görüyoruz. Export Settings diyerek yapılandırma için yapmiş olduğumuz ayarların tamamını .txt olarak export diyerek dışarıya alabiliriz. Next diyerek devam ediyoruz.
Finish diyerek Active Directory Domain Services Installation Wizard ekranini kapatiyoruz.
Kurulum bittikten sonra, WS12DC isimli Forest yapımız içinde Root domain üzerinde Active Directory Users and Computers konsolunu açıyoruz. Domain Controllers isimli Organizational Unit bölününde yapılandırmış olduğumuz Read Only Domain Controller ( RODC ) görünüp görünmediğini kontrol ediyoruz.
Delegasyon işlemini yaptıktan WS12RODC isimli sunucumuz üzerinde Active Directory Domain Services kurulumu ve Read Only Domain Controller ( RODC ) yapılandırmasini geçiyoruz.
WS12RODC sunucumuz üzerinde Server Manager konsolunu açıyoruz. Dashboard ekraninda Add roles and Features tikliyoruz. Dilerseniz sağ üst köşedeki Manage menüsünden Add Roles and Features ile rol ekleme sihirbazını açabiliriz.
Add Roles and Features Wizard bilgi ekrani geliyor karşımıza kuruluma devam etmek için Next diyerek devam ediyoruz.
Select Installation Type ekraninda Role-based or Features-based Installation kurulum standart bildiğimiz rol ve özelliklerin kurulumunu yapabileceğimiz bölümdür. Biz Active Directory Domain Services rolünün kurulumu yapacağımız için Role-based or Features-based Installation seçerek Next diyerek devam ediyoruz.
Select destination server ekraninda kurulumu hangi sunucu üzerinde yapılacak ise o sunucuyu seçmemiz gerekiyor. Ben WS12RODC üzerinde Active Directory Domain Services rolünü kurulumunu Read Only Domain Controller ( RODC ) yapılandıracağım için bu sunucumu seçiyoruz ve Next diyerek yapılandırmaya devam ediyoruz.
Select server roles ekraninda Active Directory Domain Services rolünün kurulumunu gerçekleştireceğimiz için Active Directory Domain Services rolünü işaretliyoruz.
Active Directory Domain Services rolünü seçtiğimizde Add Roles and Features Wizard ekrani geliyor karşımıza Active Directory Domain Services rolü ile birlikte diğer özelliklerimiz olan Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulmasını gerektiğini belirtiyor bizlere kurulumu devam etmek için Add Required Features diyerek Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools bu özelliklerinde kurulmasi sağlıyoruz.
Active Directory Domain Services rolü kuruluma hazir Next diyerek devam ediyoruz.
Select feautes ekraninda Group Policy Management kurulacağını görüyoruz.
Select feautes ekraninda Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulacağını görüyoruz. Next diyerek devam ediyoruz.
Active Directory Domain Services rolünün kurulumu ile Microsoft’un bazi uyarilari görmekteyiz. Active Directory Domain Services rolünün kurulumuna devam etmek için Next diyerek devam ediyoruz.
Confirm installation selections ekraninda Active Directory Domain Services rolünün kurulumu tamamlandiktan sonra sunucunun otomatik olarak restart etmek istersek eğer Restart the destination server automatically if required seçeneğini işaretlememiz gerekiyor. Ben kurulumdan sonra Read Only Domain Controller ( RODC ) yapılandırmasina yaptıktan sonra restart edeceğim için bu seçeneği işaretlemiyorum.
Install diyerek Active Directory Domain Services rolünün kurulumunu başlatiyoruz.
Installation progress ekraninda Active Directory Domain Services rolü ile birlikte diğer özelliklerimiz olan Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulduğunu görüyoruz.
Active Directory Domain Services rolü ile birlikte diğer özelliklerimiz olan Group Policy Management ve Remote Administration Tools altında bulunan Active Directory Module for Windows Powershell, Active Directory Administrative Center , AD DS Snap-Ins and Command Line Tools özelliklerinin kurulumlari tamamlandiktan sonra Read Only Domain Controller ( RODC ) yapılandırılmasi için Promote this Server to a domain controller tıkliyoruz.
Active Directory Domain Services Configuration Wizard ekrani geliyor karşımıza.
Deployment Configuration ekraninda üç seçenek bulunuyor.
Add a domain to an existing domain : Mevcut Forest yapımız içinde yeni bir Domain Controller yapılandırmak için bu seçeneği seçmemiz gerekiyor. Yani ortamimiza bir Additional Domain Controller kurulumu ve yapılandırmasini yapacağımız zaman bu seçeneği işaretliyoruz.
Add a new domain to an existing forest : Mevcut Forest yapımız içinde yeni bir Domain yapılandırmak için bu seçeneği seçmemiz gerekiyor. Yani mevcut Forest yapımız içinde baki.local isminde bir Domain var ve biz bu Forest yapımız içine cubuk.local isminde bir Domain daha yapılandıracağımız zaman bu seçeneği işaretliyoruz.
Add a new forest : Ortamımıza yeni bir Forest ve içinde yeni bir Domain kuralumunu ve yapılandırmasini yapacağımız zaman bu seçeneği işaretliyoruz.
Biz mevcut Forest yapımız içinde bir Read Only Domain Controller ( RODC ) yapılandıracağımız için Add a domain to an existing domain seçeneğini işaretliyoruz.
Biz mevcut ortamimizda bakicubuk.local domain içerisinde Read Only Domain Controller ( RODC ) yapılandıracağımız için Domain bölümündeki bakicubuk.local yazarak Select tikliyoruz.
Credentials for deployment operation ekranini geliyor karşımıza.
Credentials for deployment operation ekranina Read Only Domain Controller ( RODC ) kurulumu için seçmiş olduğumuz baki.cubuk isimli kullanıcımızın Domain User Name ve Password bilgisini yaziyoruz.
Select a domain from the forest ekraninda bakicubuk.local isimli domainimizi domain listesinden seçiyoruz.OK diyerek onayliyoruz.
Read Only Domain Controller ( RODC ) yapılandırmaya devam etmek için Next diyerek devam ediyoruz.
Domain Controller Options ekraninda Read Only Domain Controller ( RODC ) kurulumu için bir Computer Account oluşturduğumuz için, Use existing RODC account seçeneğini işaretliyoruz.
Specify domain controller capabilities bölümünde Domain Name System (DNS) Server seçeneği otomatik olarak seçilmiş olarak pasif olarak gelir ve Read Only Domain Controller ( RODC ) yapımız içinde Domain Name System (DNS) Server kurulumu ve yapılandırmasini yapar.
Bu sunucu ortamizdaki Active Directory Domain Services olduğu için Global Catalog (GC) seçili olarak gelecek ve Read Only Domain Controller (RODC) seçili ve pasif olarak gelecektir.
Type the Directory Services Restore Mode ( DSRM ) password kısmına Active Directory Restore Mode için kullanacağımız Complex Password yazıyoruz. Next diyerek devam ediyoruz.
Additional Options ekranında iki seçeneğimiz bulunuyor.
Specify Install From Media (IFM) : Active Directory Domain Services kurulumunu yaparken Install From Media (IFM) seçeneğini kullanıp kullanmayacağımızı soruyor.acaktır. Install From Media (IFM) ökurulum seçeneği uzak lokasyonlara Additional Domain Controller kurulumu ve yapılandırılmasi yapılırken kullanılan bir kurulum yöntemidir. Additional Domain Controller kurulumu ve yapılandırılmasi yapılırken database oluşumu ve diğer yapılandırmasini diğer Active Directory Domain Services sunucusu üzerinden replikasyon yöntemi ile yapmak yerine öndeden backup alinarak kurulacak olan Additional Domain Controller sunucusu üzerine restore edilerek gerçekleştirilen bir kurulum seçeneğidir. Bu kurulum seçeneği özellikler farkli ve uzak lokasyonlu büyük yapılarak Additional Domain Controller kurulumu ve yapılandırılmasi sirasinda network trafiğinde yaşanacak olan yoğunluğu en aza indirmemizi sağlayan bir yöntemdir. Install From Media (IFM) ile backuptan gelen database kullanılarak oluşan Active Directory Domain Services sunucumuz replikasyonla backuptan sonraki değişiklikleri merkez Active Directory Domain Services üzerinden replikasyon ile alicaktir.
Specify additional replication options : Active Directory Domain Services kurulumunu yaparken ortamdaki hangi Active Directory Domain Services sunucu üzerinden database oluşumu ve diğer yapılandırmanin replikasyon işlemleri yapacağını belirleyeceğimiz bölümdür.
Replika From bölümünde eğer Any domain controller seçersek ortamda bulunan bütün Active Directory Domain Services sunucu ile haberleşecektir ya da listeden hangi Active Directory Domain Services sunucusu ile haberleşmesini istiyorsak onu seçebiliriz.
Replika From bölümünde ben birinci Active Directory Domain Services sunucum olan WS12DC.bakicubuk.local isimli sunucumu seçiyorum ve Next diyerek devam ediyoruz.
Paths ekraninda Active Directory yapımızın Database folder,Log files folder ve SYSVOL folder kurulacağı dizinleri belirliyoruz. Ben default dizinler üzerinde herhangi bir değişiklik yapmıyorum ve Next diyerek devam ediyoruz.
NOT : Burada Database folder,Log files folder ve SYSVOL folder kurulacağı dizinlerin bulunduğu diskin dosya sisteminin NTFS olması çok önemlidir.
Review Options ekraninda Active Directory Domain Services rolü yapılandırmasi ve Read Only Domain Controller ( RODC ) yapılandırmasi sirasinda yapmış olduğumuz seçeneklerin bir listesini görüyoruz. View Script bölümüne tiklayarak Active Directory Domain Services rolü için yapmiş olduğumuz yapılandırlari PowerShell komutu olarak alarak kurulum yapabiliriz. Next diyerek devam ediyoruz.
Prerequisities Check ekraninda Windows Server 2012 Active Directory Domain Services rolü için check yaparak herhangi bir problem ya da eksiklik olup olmadiği kontrolünü yapacaktir.
Active Directory Domain Services rolü için gerekli kontroller tamamlandi All Prerequisite check passed succesfully. Click “Install” to begin installation. mesajını görmekteyiz. Install diyerek kurulumu başlatabiliriz.
Active Directory Domain Services rolünün kurulumu ve Read Only Domain Controller ( RODC ) yapılandırılmasi tamamlaniyor sunucumuzun restart olacağı bilgisini görüyoruz.
Server Manager konsolunu açıyoruz. Dashboard ekraninda Active Directory Domain Services ( AD DS ) ve Domain Name System (DNS) geldiğini görüyoruz.
Active Directory User and Computers Management konsolunda açtığımızda bu sunucunun Read Only Domain Controller ( RODC ) olduğuna dair bir mesaj alıyoruz.
Active Directory User and Computers Management konsolunda Domain Controllers bölümünü kontrol ettiğimiz zaman WS12RODC sunucumuzun Read Only Domain Controller ( RODC ) olarak geldiğini görüyoruz.
Active Directory User and Computers Management konsolunda Users bölümü altinda bulunan Baki CUBUK isimli kullanıcım üzerinde sağ tuş yaptığım zaman herhangi bir değişiklik yapmadiğimi görüyoruz.
DNS Manager konsolu aşağıda görülüğü gibi bakicubuk.local zone geldiğini görüyoruz ve ayrica WS12RODC sunucumuzun IP Adresi bilgileri DNS Server üzerinde oluştuğunu görüyoruz WS12RODC üzerinde sağ tuş yaptığımızda sadece Properties seçeneğinin geldiğini görüyoruz Delete seçeneğinin gelmediğini görüyoruz.
DNS Manager konsolunda DNS Server üzerinde bir kayit ve ya değişiklik yapmak istediğimizde seçeneklerin pasif bir şekilde geldiğini görüyoruz.
Başka bir yazimida görüşmek dileğiyle…