Windows Server 2025 Active Directory, Microsoft’un Windows Server işletim sistemi üzerinde sağladığı bir Authentication ve Authorization çözümüdür.
Active Directory’nin Temel İşlevleri
- Kimlik Yönetimi: Kullanıcıların, grupların ve cihazların kimliklerini merkezi olarak yönetir. Her bir obje Güvenlik Tanımlayıcısı (SID) ile tanımlanır.
- Erişim Denetimi: Kaynaklara erişim için yetkilendirme ve kimlik doğrulama sağlar. Örneğin, kullanıcıların dosya paylaşımına veya uygulamalara erişim yetkisi belirlenebilir.
- Grup Politikaları (Group Policy): Organizasyondaki computer ve user’ların hesaplarının ayarlarını ve davranışlarını merkezi olarak yönetmenizi sağlar. Örneğin, masaüstü arka planını ayarlayabilir, yazıcı dağıtabilir veya parola politikaları oluşturabilirsiniz.
- LDAP (Lightweight Directory Access Protocol): Active Directory’nin dizin verilerine erişim için kullanılan standart protokoldür.
- Kimlik Doğrulama: NTLM ve Kerberos protokolleri ile kullanıcıların kimliklerini doğrular.
Active Directory Upgrade öncesi öneriler;
Active Directory (AD) upgrade etmenden önce dikkat edilmesi gereken adımlar, sistemin sorunsuz bir şekilde güncellenmesi ve herhangi bir veri kaybının veya kesintinin önlenmesi için kritik öneme sahiptir. İşte Active Directory yükseltme (upgrade) öncesinde önerilen temel adımlar:
1. Planlama ve Ön Hazırlık
a) Mevcut Yapının Analizi
AD ortamınızın mevcut durumunu ayrıntılı olarak analiz edin:
Domain Controller (DC) işletim sistemi sürümleri.
FSMO (Flexible Single Master Operations) rollerinin dağılımı.
Kullanılan Grup Politikaları (GPO).
AD replikasyon durumu.
Kullanılan şemayı (schema) ve AD düzeyini (forest ve domain functional levels) kontrol edin.
b) Hedef Sürümün Gereksinimlerini Anlama
Windows Server’ın yeni sürümüne yükseltmeden önce sistem gereksinimlerini kontrol edin:
İşletim sistemi desteği (yeni sürüm için minimum gereksinimler).
Yükseltme sonrası desteği kesilecek özellikler.
c) Hibrit Yapı Planlama
Azure AD ile entegrasyon yapıyorsanız, upgrade sırasında ve sonrasında hibrit ortamın uyumluluğunu kontrol edin.
2. Yedekleme ve Kurtarma Planı
a) Full Backup
Active Directory’nin tam yedeğini alın.
BMR backup alınması önerilmektedir.
AD Snapshot alınması önerilmektedir.
Grup Politikaları ve DNS verilerinin yedeklenmesi.
Yedekleme yazılımının işe yararlılığını test edin. ADRES çalışması yapabbilirsiniz.
b) Kurtarma Planı
Active Directory Restore Mode (DSRM) şifresini kontrol edin.
Disaster recovery (felaket kurtarma) planınızı güncelleyin ve test edin.
3. Health Checks
a) Replikasyon Kontrolü
AD’nin tüm site ve etki alanları arasında düzgün replikasyon yaptığından emin olun.
Komut: repadmin /replsummary
b) Event Viewer Kontrolü
Domain Controller’ların Event Viewer’ında herhangi bir hata veya uyarı olup olmadığını kontrol edin.
c) AD Durumu
AD veritabanında tutarsızlık veya sorun olmadığından emin olun.
Komut: dcdiag (Domain Controller tanılaması)
Komut: ntdsutil (Veritabanı bütünlüğü kontrolü)
d) DNS Durumu
AD’nin DNS bileşeninin düzgün çalıştığını ve DNS kayıtlarının eksiksiz olduğunu kontrol edin.
DNS’I ayrıca yedekleyin
- Rollerin ve Servislerin Kontrolü
a) FSMO Rolleri
FSMO rollerinin hangi DC’lerde olduğunu doğrulayın ve kritik rolleri yedekleyin.
Komut: netdom query fsmo
b) Time Server Konfigürasyonu
Domain Controller’ların zaman ayarlarının doğru olduğundan emin olun.
Windows Time Service (W32Time) kontrol edin.
c) Bağımlı Servisler
AD’ye bağlı uygulamaları veya servislerin uyumluluğunu (örneğin, Exchange, SQL Server, LDAP tabanlı uygulamalar) yükseltmeden önce kontrol edin.
Yukarıdaki adımlar tamamlandıktan sonra Server Manager’dan – Add roles and fuatures dan active direcotry domain services rolü seçilir
Next ile devam edilir
Next ile devam edilir
Domain Controller’ın ismi görülür ve next ile devam edilir
Active Directory domain services seçilir ve next ile devam edilir.
Features next ile devam edilir.
Next ile devam edilir.
Install ile Rol kurulumuna başlanır.
Kurulum tamamlandıktan sonra “Promote this server to a domain controller” tıklanır.
NOT1: Mevcut domain’ ping atılıt ve rişim olduğu kontrol edilir.
Not1: get-adforest komutu ile mevcut forest yapısı kontrol edilir.
Not2: get-addomain komutu ile mevcut domain yapısı kontrol edilir
Not3: Mevcut Schema versiyonu kontrol edilir.
Not4: Upgrade yapacak olan user’ın Schema admins, enterprise admins, ve domain admins grubunda olduğu kontrol edilir.
Ardından kurulum aşamasına geçilir.
Add a domain controller to an existing domain seçilerek Domain bölümüne select seçilerek domain adı ve administrator account bilgileri girilir.
Domain adı doğru şekilde geldikten sonra ok ile devam edilir.
Next ile devam edilir
DSRM password’u girilir ve Next ile devam edilir.
Next ile devam edilir
Any domain controller yada upgrade’I başlatacağınız site içerisinde bulunan fsmo role owner’I var ise seçilir Next ile devam edilir.
Next ile devam edilir.
Next ile devam edilir.
Kontroller yapılır ve Next ile devam edilir.
Install ile upgrade işlemine devam edilir.
Kurulum tamamalandıktan sonra restart edilir.
Mevcut domain controller üzerinden yendi DC’nin obje’sinin creta edildiği kontrol edilir.
Adsiedit üzerinde schema upgrade edildi kontrol edilirve objectversion ın 91 olduğu görülür.
Windows Server 2025 Domain Controller’da Rid-500 account’u ile veya mevcut Domain Admin account’ları ile oturum açılır.
Mevcut domain’den gelen GPO ayarları nedeni ile OK ile devam edilir.
Netdom query fsmo komutu ile fsmo reollerinin owner’I kontrol eildilir.
Net share komutu ile netlogon ve sysvol’ın share durumunda olduğu kontrol edilir.
AD Site and Services’dan yeni kurulan Windows Server 2025 DC’nin objesinin geldiği ve replication partner’ının oluştuğu kontrol edilir.
Repadmin /replsum komutu ile mevcut replikasyın durumu kontrol edilir.
DNS Server’da Name Servers altında ilgili obje nin oluştuğu kontrol edilir.
FSMO roller yeni kurulan DC’ye transfer edilir.
Netdom query fsmo rolü ile transfer işlemin gerçekleştiği kontrol edilir.
Time Server konfigürasyonu yapılır.
Type: NTP
NtpServer: tr.pool.ntp.org
AnnounceFlags Degeri 5 yapılır.
Net stop w32time komutu ile time servisi stop edilir.
Net start w32time komutu ile time servisi start edilir.
W32tm /resync komut ile de time servera erişimi kontrol edilir. Eğer sorun yaşanıyor ise Firewall üzerinden gerekli olan UDP poert 123 ün erişebilir olduğu kontrol edilmelidir.
Windows Server 2019/2022 Domain Controller üzerindeki, ADDS rolünü kaldırmak için Server Manager’dan Manage – Remove roles and features seçilir
Next ile devam edilir.
Next ile devam edilir
Remove Features seçilir
Demote this domain controller seçilir
Next ile devam edilir
Proceed with removal seçilir ve Next ile devam edilir
DC, Member server olacağı için administraotr accountu için password yazılır ve Next ile devam edilir.
Demote ile devam edilir.
Demote işlemi tamamalandıktan sonra DC restart olur ve Member Server olarak kullanılabilir duruma gelir.
ADUC’da gerekli kontroller yapılır. Ve AD objesinin Domain Controllers OU’sundan gittiği görülür.
,
AD Site and Services altında ilgili Obje silinir.
Silindiği kontrol edilir.
DNS name servers dan gerekli silinme işlemi yapılır.
Get-adforest komutu ile mecut FFL versiyonu kontrol edilir.
Get-AdDomain komutu ile mevcut DFL versiyonu kontrol edilir.
Önce Domain Functional Level’I upgrade etmek için ADUC’tan domain seçilir ve sağ tuş ile Raie domainfunctional level seçilir.
Windows Server 2025 seçilir ve Raise seçilir
Ok ile devam edilir.
Ok ile devam edilir.
Active Directory Domain and Trust ‘da Raise forest functionaş level seçilir
Windows Server 2025 seçilir ve ardından Raise ile devam edilir.
Ok ile devam edilir.
Ok ile devam edilir.
Gerekli kontroller yapılır ve Domain Controller restart edilir.
Windows Server 2025 Active Directory yenilikleri için,
Active Directory - Cyber Security 