Active Directory Domain Service Gereksinimleri

Active Directory Domain Service Kurulum Gereksinimleri

Active Directory Domain Service yüklenmeye başlamadan önce, yerine getirilmesi gereken bazı önkoşullar vardır. Bunlar olmadan, iyi bir tasarıma sahip olunsa bile, sağlıklı bir Active Directory Domain Service ortamına sahip olunamaz.

Active Directory Domain Service Donanım Gereksinimleri

Modern altyapılarda, çoğu iş yükü bölüştürülüp sanallaştırılmış ortamlarda çalıştırılır. Active Directory Domain Service, sanallaştırılmış platformlarda da dağıtılabilir, ancak fiziksel etki alanı denetleyicilerinin kullanılması gereken belirli senaryolar vardır.

Active Directory Domain Service için, minimum donanım gereksinimleri şunlardır:

• 4 GHz 64-bit işlemci
• 2 GB RAM
• PCI Express mimarisinde bir storage adapter kartı (Windows Server 2019 boot ve page file alanları için IDE/ATA/PATA/EIDE diskleri desteklemez.)
• 32 GB boş disk alanı
• 1 x network adapter
• DVD sürücü ya da USB portu

Bunlar, Active Directory Domain Service’i yüklemek için minimum gereksinimlerdir. Ancak bu donanımın her kuruluş kimlik altyapısı gereksinimlerini karşılayabileceği anlamına gelmez. Sistem Active Directory Domain Service rollerine, nesne sayısına ve işlem gereksinimlerine göre boyutlandırılır.

Active Directory Domain Service Sanallaştırılmış Ortam Gereksinimleri

Günümüzde sanallaştırma çözümleri kuruluşların kendi özel bulutlarını oluşturmalarına ve ya Microsoft Azure, Google GCP, ve Amazon AWS gibi genel bulut sağlayıcılarında sistemlerini barındırmalarına olanak tanır. Active Directory Domain Service her iki senaryoyu da destekler. Özel bir bulutsa, kaynak tahsisi üzerinde daha fazla kontrole sahip olmanıza izin verir, ancak genel bulutta bu, aboneliğe ve kuruluşun harcama yapabileceği miktara bağlı olacaktır.

Sanallaştırılmış bir ortam için minimum gereksinimler aşağıdaki gibidir:

• 4 GHz 64-bit işlemci
• 2 GB RAM
• Sanal SCSI depolama kontrol kartı
• 32 GB boş disk alanı
• 1 x sanal network kartı

Servis sağlayıcınıza bağlı olarak, sanallaştırılmış etki alanı denetleyicilerinin (virtualized domain controllers) kurulumu belirli yönergelerde olacaktır. En iyi şekilde konfigürasyon için her zaman bu önerileri uygulayın.

Active Directory Domain Service Diğer Gereksinimleri

Fiziksel veya sanal kaynak gereksinimlerinin yanı sıra, ilk etki alanı denetleyicisi (domain controllers) yüklemeden önce dikkate alınması gereken başka faktörler de vardır:

İşletim sistemi sürümü ve kurulum modu:

Windows Server 2019’un standart ve datacenter sürümleri vardır. Active Directory Domain Service rolleri her iki sürümde de mevcuttur, ancak gerekli lisansları önceden belirlemek ve düzenlemek önemlidir. Windows Server 2019 üç yükleme modunu destekler.

• Desktop experience modu ile kurulmuş bir sunucu, standart kurulum yöntemidir. Sunucu rolleri ve işlemler GUI veya komutlar kullanılarak yönetilebilir.
• Server Core modu da Active Directory Domain Service destekler. Server Core bir GUI’ye sahip değildir ve işletim sisteminin kapladığı alanı azaltır. Ayrıca kimlik altyapısının saldırı yüzeyini de böylelikle azaltır.
• Nano Server modu, Windows Server 2016 ile tanıtıldı. Server Core’a benzer, ancak özel bulutlar için optimize edilmiştir. İşletim sistemi kapladığı alan Windows Server Core’dan daha düşüktür ve yalnızca 64 bit uygulamalara izin verir. Ayrıca yalnızca uzaktan yönetime izin verir. Şimdilik Microsoft Nano Server Active Directory Domain Service desteklemiyor. Etki alanı denetleyicisini yüklemeden önce, sunucunun işletim sistemi sürümüne ve yükleme moduna karar vermek önemlidir. Buna bağlı olarak, sistemin ön koşulları ve lisanslaması da değişecektir.

Tasarım belgesi

Herhangi bir sistem uygulamasında dokümantasyon çok önemlidir. Yükleme işlemine başlamadan önce, Active Directory fiziksel ve mantıksal topolojisini, riskleri, kullanımdaki teknolojileri vb. içeren bir belge oluşturulması gerekir. Kurulumdan önce bu belgelerin yetkili kişiler tarafından onaylanması önerilir. Bu, herkesin bir tasarım üzerinde anlaşmasına ve gerektiğinde geri dönülüp bu belgelere başvurulmasında yardımcı olur. Ayrıca gelecekteki kimlik altyapısı değişiklikleri için bir başlangıç noktası oluşturur.

Domain ve Forest isimleri

Active Directory Domain Service yüklemesi sırasında, etki alanı (domain) adını ve orman (forest) adının belirtilmesi gerekir. Bir kuruluşta, yükleme işlemine başlamadan önce bu adlar için yönetim ile anlaşılması önemlidir. Bu bilgiler Active Directory tasarım belgesine eklenebilir ve onay için gönderilebilir. Bazı kuruluşlar, etki alanı adları için .local vb. şekilde yönlendirilemeyen etki alanları kullanır. Yönlendirilemeyen bir etki alanına sahip şirket içi Active Directory altyapısını Azure AD kullanacak şekilde genişletmek gerekirse, yönlendirilebilir etki alanı adıyla, ek User Principle Names (UPN) eklenmesi ve kullanıcıları onu kullanmaya zorlamak gerekir. Bu nedenle, yönlendirilebilir alan adlarını ilk etapta kullanmak iyi bir uygulamadır. Yönlendirilebilir alan adı uzantılarına örnek olarak, “.com, .net, .org, .im, .site, .ca” vs. verilebilir.

Özel IP adresi

Domain Controller için statik IP adresleriyle çalışmak önerilir. Kurulum başlamadan önce, domain controller’a statik IP adresleri atanması ve bağlantı durumunun denenmesi gerekir. Active Directory Domain Controller IP adresleri gerekirse daha sonra değiştirilebilir, ancak bundan mümkün olduğunca kaçınılması önerilir.

İzleme

Active Directory Domain Service yüklendikten sonra, sistem darboğazlarını belirlemek, sistem performansı, replikasyon durumu, servis durumları vb konuların anlık olarak izlenmesi gerekir. Microsoft System Center Operations Manager (SCOM) ve Microsoft Operations Management Suite (OMS) ürünleri hem servis düzeyindeki hem de güvenlik düzeyindeki sorunları tanımlamak için önerilen izleme araçlarıdır.

Backup ve Disaster Recovery

Kimlik altyapısının erişilebilirlik durumu; birçok hizmet, uygulama ve diğer iş bileşenleri buna bağlı olduğu için kurumsal işlemler için bir zorunluluktur. Bu nedenle, kimlik altyapısının bir felakette nasıl çalışacağının ve asgari işlemler etkilenecek şekilde plan yapılması gerekir. Active Directory Domain Controllers yedeklemek için kullanılabilecek farklı teknolojiler ve hizmetler vardır. Kullanılacak çözüme karar verdikten sonra, çözümün geçerliliğini doğrulamak için periyodik DR testleri de planlamak gerekir.

Domain Controller sunucuları için virüs koruması

Diğer tüm sistemlerde olduğu gibi etki alanı denetleyicilerine de kötü amaçlı kod bulaşabilir. Active Directory etki alanı denetleyicisinde virüsten koruma yazılımının yüklü olup olmadığı konusunda tartışma vardır, ancak Microsoft belgelerinde virüsten koruma yazılımı olmaması gerektiğini söyleyen hiçbir şey bulunmamaktadır.
Bu durumda virüsten koruma yazılımı aldığınız firmaya başvurun ve sağladıkları çözümün Active Directory etki alanı denetleyicilerini (domain controllers) korumayı destekleyip desteklemediğini kontrol edin. Destekleyip desteklemediği durumu önemlidir çünkü bir ara çalıştığım kurumda DFS SYSVOL replikasyonunun bu nedenle çalışmadığını gördüm.

Active Directory Domain Service Kurulum Metotları

Active Directory Domain Controller kurulumu yapılırken 2 metot kullanılabilir.

• Windows GUI kullanarak kurulum: Microsoft, Windows Server 2008 ile birlikte gelen Server Manager tanıtıldıktan sonra, Active Directory Domain Service yükleme işlemi basitleştirildi. Active Directory Domain Service’in Windows GUI kullanarak yüklemesi ile ilgili daha fazla bilgi için “Active Directory Kurulumu Nasıl Yapılır?” isimli makale takip edilebilir.
• PowerShell kullanarak kurulum: Windows Server 2012’den önce, Active Directory Domain Service Dcpromo katılımsız dosyaları kullanılarak yapılandırılabilirdi. Dcpromo aracı Active Directory Domain Service yapılandırmak için kullanılırdı ve bir metin dosyası kullanarak gereken yapılandırma parametrelerini iletmek mümkündü. Windows Server 2012 ile Dcpromo’nun yerini PowerShell aldı. Artık Active Directory Domain Service yüklemek ve yapılandırmak için PowerShell kullanılabilir. “PowerShell ile Active Directory Kurulumu Nasıl Yapılır?” makalesi daha fazla bilgi için takip edilebilir.

Active Directory Domain Service Kurulumu İçin Kontrol Listesi

Active Directory Domain Service kurulumu yapılırken aşağıdaki kontrol listesi takip edilebilir.

• Bir Active Directory tasarım belgesi oluşturun.
• Etki alanı denetleyicisi için fiziksel/sanal donanım kaynakları hazırlayın.
• Windows Server 2019 Standard/Datacenter’ı yükleyin.
• En son Windows güncellemeleriyle sunucularınızı güncelleştirin.
• Etki alanı denetleyicisine özel bir IP adresi atayın.
• Active Directory Domain Service rolü yükleyin.
• Active Directory Domain Service’i tasarım dökümanına göre yapılandırın.
• Sağlıklı bir Active Directory Domain Service kurulumunu ve yapılandırmasını doğrulamak için logları inceleyin.
• Servis ve performans izleme işlemleri için yapılandırın.
• Active Directory Domain Service yedekleme ve Disaster Recovery’i yapılandırın.
• Sistem yönetim prosedürleri hazırlayın.

Active Directory Domain Service Gereksinimleri

Makalemizi okuduğunuz için teşekkür ederiz.