Malum Active Directory konusunda pek çok makalemiz var, ancak bu makaleler genellikle kurulum, yeni özellikler, migration ve benzeri konular üzerinde olup kaldırma, silme konularına pek değinmediğimizi fark ettim. Bu nedenle temel seviyeden yani ADC kaldırımından Forest içerisindeki Tree kaldırımına kadar detaylı bir makale serisi yazmaya karar verdim.
Makale serimin ilk bölümünde Mevcut bir forest içerisindeki domain ortamında bulunan bir ADC ortamdan sağlıklı bir şekilde nasıl kaldırılacağından bahsedeceğim.
Ortam bilgim aşağıdaki gibidir;
Bir forest içerisinde 3 tane domain bulunmaktadır. Her üçgen bir domain’ i temsil eder. Bu üçgenlerin içerisinde ise aşağıdaki gibi domain objeleri yer alır.
Her üçgenin içerisinde en temel olarak bir tane Domain Controller olmak zorundadır. İlk kurulan Domain root domain olup forest’ ı oluşturduğu için forest’ a ismini de verir.
Benim yapımda 4 adet domain controller makinesi bulunmaktadır.
Bunlardan iki tanesi “cozumpark.local” domain yapısı için DC – ADC, bir tanesi “makale.cozumpark.local” child domain yapısı için DC, sonuncusu ise “hakanuzuner.local” domain yapısı için DC rolüne sahiptir.
Makalemin ilerleyen bölümlerinde adım adım child ve tree için ortamdan bu DC lerin sorunsuz bir şekilde nasıl kaldırılacağını detaylandıracağım.
İlk olarak en kolay olan ADC ile başlayalım.
Ortamdan bir domain controller uzaklaştırmadan önce bu sunucunun sağladığı servisleri kontrol etmemiz gerekmektedir. Tabiki bu makine bir domain controller değilken de hizmet sunmaya devam eder. Yani örneğin hem DC hem de DHCP olan bir makineyi siz sadece member bir makine yaparsanız dahi DHCP olarak çalışmaya devam edecektir. Ancak bu rolleri bilmek önemlidir. Çünkü bazı servisler bundan etkilenebilir. Dahası siz DC yi kaldırmanın rahatlığı ile makineye format atabilir ve bu durumda da çok ciddi servis kesintilerine neden olabilirsiniz.
Sürece ilk olarak FSMO rollerinin hangi DC veya DC lerin üzerinde olduğunu öğrenek başlıyorum
Netdom query fsmo
Hepsi ilk kurulan DC üzerinde, bu durumda kaldırmak istediğim adc.cozumpark.local isimli DC yi kaldırırken bu noktadan ötürü sorun yaşamam. Eğer bu rollerden bir veya bir kaçı kaldırmak istediğiniz DC üzerinde ise öncelikle rolleri taşımanız gerekmektedir. Bu konuda aşağıdaki makaleyi inceleyebilirsiniz.
https://www.cozumpark.com/windows-server-2003-r2-to-server-2012-r2-active-directory-migration/
Bir domain controller aynı zamanda bir Global Catalog Server ve bir DNS Server olduğunu unutmamamız gerekir. Bu nedenle her ne kadar elinizde yeterince sağlıklı çalışan domain controller makinesi var ise de bu iki hizmet için dikkatli davranmak gerekiyor.
İlk olarak GC ile başlayalım. Malum her DC yi GC yapmak ve yapmamak yine sizin içerisinde bulunduğunuz forest mimarisine göre değişkenlik gösterdiği için mevcut yapınızı kontrol etmenizde fayda var. Yani GC olan bir DC yi kaldırmadan önce var olan diğer DC lerden en az birinin daha GC olduğunu kontrol edelim.
Bunun için Active Directory Site and Services yönetimsel aracından aşağıdaki gibi kontrolleri sağlıyoruz.
Kontrol etmek istediğiniz sunucu altındaki NTDS özelliklerinden bu sunucunun bir GC server olup olmadığını görebiliriz.
Bunun kontrol ettikten sonra kaldırma işleminden sonra ortamda en az bir tane GC kalacak şekilde dizayn yapmamız gerekmektedir.
Benim örnek yapımda tek bir AD Site olduğu için en az bir tane yeterli. Ancak eğer sizin birden çok site yapınız var ise yine her site için en az bir GC olması gereklidir.
Eğer site üzerinde Exchange Server ve benzeri GC servisine çok bağımlı bir ürün yok ise ve sizin de tek bir dc makineniz var ise geçici süreliğine bu makineyi kaldırabilirsiniz, bu durumda zaten orada başka dc olmayacağı için GC dan daha ciddi sorunlarınız olacaktır J Özetle eğer şube yapınızda tek bir DC var ve bunu kaldırmak istiyorsanız zaten ortamda DC kalmayacağı için GC dert olmayacaktır. VPN üzerinden sorgular merkeze gelecektir. Ancak DNS için iş böyle değil!!!
Peki bir şekilde yeterli GC kalacak şekilde sisteminizi ayarladınız. Benim yapım için örnek vermek gerekiyor ise merkez site içerisinde iki tane GC olduğu için ADC olan makineyi domain controller olmaktan alıkoyabilirim. Ancak DNS konusu daha önemli olduğu için orada çok dikkatli ilerliyor olmalıyım.
Mevcut sunucu ve istemci yapınızdaki dns ayarları çok önemlidir. Özellikle Active Directory geçiş projelerinde eski sunucunun kapatılması sonrası hiçbir şeyin çalışmadığına dair şikâyetler alırız. Yani yeni bir server kurmuş müşteri ama eski server’ ı kaldırmadan önce kapatarak kontrol etmek istemiş. Tabiki burada sorunun kaynağı farklı olabilir ki buna örnek vereceğim ama bu genellikle hem kritik sunucular için ( Terminal, SAP, ERP/MRP, Muhasebe, Print Server vs vs ) DNS ip adresi hala eski server olduğu için bu sunucular çakılır.
Bu nedenle kaldırmak istediğiniz DC’ nin aynı zamanda kullanılan bir DNS olduğunu unutmayın ve bu nedenle tüm istemci ve sunuculardan dns ip adresi olarak bu dc nin ip adresini SİLİN.
İstemciler için bu kolay olacaktır çünkü DHCP üzerinden rahatlıkla DNS ip adresi dağıtabiliyorsunuz. Tek yapmanız gereken sunucular için bunu değiştirmektir. Eğer yüzlerce sunucunuz var ise bu durumda bir BAT ile bunu yapabilirsiniz ki bu konuda ÇözümPark.com üzerinde bir bat dosyası paylaşmıştık.
DNS dışındaki sorun ise şu oluyor, mevcut DC lerin genellikle sağlıklı çalışıp çalışmadığı kontrol edilmediği durumlarda kalan DC üzerinde Sysvol ve Netlogon paylaşımlarının olmadığı ortaya çıkıyor. Bu da önemli bir sorun olup mutlaka ortamdan bir DC uzaklaştırmadan önce kalan DC’ lerden EN AZ bir tanesinin her açıdan sağlıklı çalıştığını kontrol edin.
Bir diğer önemli servis ise DHCP. Genellikle DC olan makine DNS olduğu gibi DHCP rolüde yüklü oluyor. Bu rol aslında önemli değil, yani siz makineyi DC olmaktan alıp Member bir makine yapsanız da DHCP çalışmaya devam eder ancak siz bunu unutup makineyi formatlarsanız o zaman başınız ağrıyabilir…
GC
DNS
Paylaşımlar
DHPC – WINS ve benzeri alt yapı servisleri
Bunlar en önemli kontrol listesi olup bunun dışında kalan DC ler için event loglar açıklayıcı bilgiler verecektir.
Yine bu DC yi kaldırmadan önce bu DC ye özel olarak bağlanan makineleri yada servisleri kontrol edin. Örneğin bir Radius sunucusu veya bir uygulama sunucu direkt olarak domain yerine bu dc ip adresi ile konuşuyor ise bu DC yi normal bir PC haline getirdiğinizde bu servisler çalışmayacaktır, işte bunu tespit etmek ise bir hayli zordur. Bunun için eğer elinizde var ise özel yazılımlar ile network üzerindeki bir ip ye istek gönderen makine ip adreslerini öğrenebilirsiniz (arbor anomaly detection System ).
Yine benzer şekilde mevcut replikasyonu kontrol etmeniz olası sorunları size gösterecektir.
Repadmin /showrepl
AD seviyesinde replikasyon sorunu olmamak ile beraber FRS veya DFS-R sorunları için ise sysvol klasörüne bir txt dosya koyup bunun diğer DC lere otomatik kopyalanıp kopyalanmadığını kontrol edebilirsiniz. ( not: site kavramı var ise site link üzerindeki süreyi hesaba katmayı unutmayın )
Tüm bu ön hazırlıkları tamamladı iseniz artık DC kaldırma sürecine başlayabiliriz. Bunun için makalemin bir sonraki bölümünde detay vereceğim.
Makalemin bir sonraki bölümü için aşağıdaki linki kullanabilirsiniz.