Windows Server 2012 R2 İle Virtual Domain Controller (VDC) Klonlama – Bölüm 1
Bu makalemizde sizlerle Windows Server 2012 R2 İle Virtualized Domain Controller (VDC) Klonlama (VDC Cloning) konsepti ve gereksinimleri ile ilgili detayları beraber inceliyoruz.
VM-Generation ID Teknolojisi ile Risksiz ve Sorunsuz Active Directory Domain Controller Sanallaştırma Desteği
Bildiğiniz gibi günümüzde çok sayıda şirket artık sunucu sanallaştırma teknolojilerini kullanıyor ve mümkün olduğunca tüm sunucuları, servisleri ya da uygulamaları fiziksel yerine sanal ortama konuşlandırmayı tercih ediyor. Özellikle test ya da geliştirme ortamlarının hemen hemen tamamını sanal ortamda oluşturarak hem zamandan kazanma, hem operasyonel yükü azaltma, hem de donanım maliyetinden tasarruf etme gibi nedenlerle tercihlerini bu yönde kullanılyorlar.
Bazen de elimizde bulunan fiziksel bir sunucuyu sanallaştırma alanındaki araçları kullanarak fizikselden-sanala dönüştürme (physical-to-virtual / P2V) yapabiliyorlar. Böylece sanal ortamda bu sunucuyu sıfırdan kurup, yapılandırmak yerine P2V yöntemi ile çok hızlı dönüşümle oluşan sanalı hemen ayağa kaldırarak devreye alabiliyorlar.
Sanal ortamlarda standart uygulama ve servislerin barındırılması, işletilmesi, geri yüklenmesi gibi süreçler active directory domain servisleri uygulamasında ciddi farklılıklar arz ediyor.
Windows Server 2012 işletim sistemine kadarki gelinen süreçteki tüm işletim sistemlerinde sanal ortama kurulan active directory domain controller sunucuları ile ilgili şu şekilde çağrılarla sıkça karşılaşabiliyorduk:
Müşteri active directory yapısında çalışan domain controller sunucularını sanal platform üzerinde kurmuş.Domain controller sunucularının system state yedeklerini almak yerine sürekli sanal makinenin snapshot kopyalarını almış. Müşteri active directory ortamında son zamanlarda yapılmış bazı değişiklikleri geri almak ve sistemi bu değişikliklerden önceki yapıya geri dönmekiçin DC’lerden birini eski tarihli snapshot kopyaya geri dönüyor.Bu operasyon sonrası active directory replikasyon yapısı bozuluyor. Netlogon servisi duruyor. DC üzerinde Event Viewer’da Directory Service log kategorisinde 2095 ID’si ile kaynağı NTDS Replication olan olay verileri oluşuyor. Ayrıca yine Directory Service olay kayıtlarında yine kaynağı NTDS General olan 1113 ve 1115 ID’li günlükler oluşuyor. Bu şekilde olan domain controller üzerinde komut satırına düşüp repadmin aracını kullanarak aşağıdaki komutu çalıştırınca da “Current DC Options: IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL” hatası karşımıza geliyor.
repadmin /options < DCAdi>
Bu ve benzer şekilde özellikle sanal ortamda çalışan domain controller sunuculara sanal platformdaki normal sunuculara uygulanan snapshot kopyalara geri dönülmesi gibi operasyonlardan dolayı active directory replikasyon yapısı da bozularak ciddi problemli ve stresli günler yaşanabiliyordu. Windows Server 2012 ile beraber artık rahatlıkla active directory domain controller sunucularınızı sanallaştırabilir ve sunucuları alınmış eski sanal makine snapshot kopyalarına geri dönebilirsiniz.
Diğer yandan Windows Server 2012 ile sanal ortamda kurulan domain controller sunucular için oldukça yaygınlaşacak yeni bir kavramı geliyor : sanal domain controller klonlama (virtual domain controller – VDC clonning) .
Yukarıda bahsettiğimiz iki öncemli yeniliğin gelmesinin altında sanallaştırma host işletim sistemlerinin (hipervizor) active directory uygulama mimarisine duyarlı olarak davranmasını sağlayan yeni özelliklerdir. Bu duyarlılığı sağlamak için Windows Server 2012 ve Windows Server 2012 R2 üzerinde VM generation ID (gen ID) olarak adlandırılan yeni bir nitelik (attribute) geliyor, msDS-GenerationId. Bu yeni nitelik sayesinde active directory sanal domain controller sunucusu üzerine geri yüklenen snapshot’dan sonraki değişiklikler ya da klon kopyasından sonraki oluşan active directory değişiklikleri tespit edilerek AD ortamı ve replikasyon mimarisi bozulmadan bu sanal domain controller sunucuların yapıya katılması ve hayatını sorunsuz devam ettirmesi sağlanmış oluyor. Bu makalemizde bunları detaylı olarak inceliyor ve adım adım uygulamalarını yapıyor olacağız.
Active Directory Domain Servislerde Sanallaştırma
Active Directory Domian Servislerinde sanallaştırma özellikle son birkaç yıldır sistem ve sanallaştırma uzmanları arasında uzun uzun konuşulan, tartışılan önemli konuların başında geliyordu. Windows Server 2012 ve Windows Server 2012 R2 ile active directory domain ortamında çalışan domain controller sunucular için tam uyumlu ve active directory-servislerine duyarlı sanallaştırma desteği geliyor. Bir diğer deyişle artık sanallaştırılmış etki alanı denetleyicileri (virtualized domain controllers – vdc) adında yeni bir kavram hayatımıza girdi. Bu sayede active directory ortamında çalışan domain controller sunucularımızı güvenli bir biçimde sanallaştırabiliyoruz. Sanallaştırılmış Domain Controller desteği sayesinde çok hızlı bir biçimde mevcutta çalışan bir domain controller sunucunun klon kopyasını alıp, bu kopyadan sanal ortamda yeni domain controller sunucuları çok hızlı bir biçimde kurup, devreye alabiliyoruz. Özellikle additional domain controller kurulumları için, sıfırdan bir Windows Server 2012 ya da Windows Server 2012 R2 işletim sistemi kurup, işletim sistemi güncellemelerini yapıp, sonrasında da bu sunucu üzerine active directory domain servis rolünü yükleyip, yapılandırmak gibi süreçleri gerçekleştirmeye gerek olmadan, sanal platformda çalışan mevcut bir Windows Server 2012 additional domain controller sunucusunun export/import yöntemi ile kısa sürede sanal ortamda yeni bir additional domain controller devreye alabiliyoruz. Windows Server 2012 ve Windows Server 2012 R2 ile bulutan giden yolda active directory domain controller sanal sunucuları için gelen bu tam-destekli sanallaştırma yeteneği bulut servislerinin yaygınlaşmasına da ciddi hız kazandıracaktır. Gerek şirketlerin kendi ortamına ya da veri merkezi ortamlarına kuracakları özel bulut yapıları, gerek herkese açık olacak genel bulut yapıları, gerek se birbirine entegre şekilde çalışan şirket ortamındaki active directory domain hizmetleri (on-premise) ile bulutta çalışan active directory hizmetlerine ciddi kolaylıklar ve katma-değer getirecektir.
Domain Controller Sunucularda Güvenli Sanallaştırma
Hepimizin bildiği gibi active directory mantıksal olarak zaman-bağımlı bir replikasyon şeması kullanır. Bu mantıksal zaman-bağımlı replikasyon şemasında, active directory replikasyonu USN (Update Squence Number) adı verilen artan bir değerle işletilir ve kontrol edilir. USN numarası her domain controller sunucusunda üzerinde ekleme, silme, değiştirme uygulanan nesnelere atanan bir numaradır. Diğer yandan her domain controller üzerinde bir active directory veritabanı örneği (database instance) bulunur. Bu veritabanı örneğinin InvocationID adı verilen kendine ait bir kimliği vardır. Domain Controller’a ait InvocationID ile yine bu domain controller’ın USN numarasının biraraya gelmesi ile o domain controller için forest çapında benzersiz bir kimlik bilgisi üretilir. Active Directory replikasyonu her domain controller üzerindeki InvocationID ve USN’lere bakarak diğer domain controller’lara replikasyon yapılacak değişikliklere karar verir. Eğer bir domain controller zaman içerisinde eski bir yedeğe ya da snapshot kopyasına geri yüklenirse, domain controller sunucusu bunun farkına varamadığından aynı USN numaralarını tamamen farklı işlemler için tekrar üretecek ve böyle bir durumda da diğer domain controller sunucuları ile replikasyon gerçekleşmeyecektir. Çünkü diğer domain controler sunucuları tekrar kullanılan USN numaralarının önceden farklı bir çoğaltma için kendilerine geldiğini bilirler. Özellikle bu durum sanallaştırma uzmanları ve sanallaştırma uygulamaları tarafından farkında olunmadığında yanlışlıkla yapılan domain controller snapshot geri yüklemelerinde (restore) ciddi sorunlar oluşabilirdi.
Windows Server 2012 ve Windows Server 2012 R2 ile sanal platformlar üzerinde bir sanal sunucu olarak çalışan active directory domain controller sistemleri için VM-Generation ID adı verilen ilave bir nitelik (attribute) değeri sayesinde mevcut active directory domain ortamının yapısının korunması ve güvenli bir biçimde sanal domain controller sunucularının eski snapshot kopyalarının geri yüklemelerini yapmaları sağlanmış oluyor. VM-GenerationID tasarımı sanal makinenin adres alanında bu kimlik bilgisini ortaya çıkarmak için bir hipervisör-agnostik mekanizması kullanır. Bu kimlik bilgisi sanal makine içerisinde koşan servisler ve uygulamalar tarafından örneklenerek zaman içerisinde sanal sunucu üzerinde snapshottan ya da klondan geri yükleme yapılıp yapılmadığını tespit etmede kullanılır.
Not : Windows Server 2012 ve Windows Server 2012 Hyper-V hipervizörü bu kimlik bilgisini sanal makine adres alanında ortaya çıkartır.
Active Directory başlangıçta VM-GenerationID değerini domain controller yükseltmesi esnasında oluşan active directory veritabanı ya da dizin ağacında oluşan domain controller’ın bilgisayar hesabı (computer account) nesnesinin msDS-GenerationID attribute’ünde depolar. Sonraki işlemler esnasında sanal sunucuya ait VM GenerationID’nin mevcut değeri active directory dizin ağacındaki değer ile karşılaştırılır. Eğer bu iki değer farklı ise, invocationID resetlenir ve USN’lerin tekrar kullanımları ve mükerrer security-principal oluşumu önlenmiş olur. Eğer bu iki değer aynı ise, işlem normal olarak gerçekleştirilir. Domain Controller sunucusu her yeniden başlatıldığında active directory sanal sunucudaki VM GenerationID’nin mevcut değerini dizin ağacındaki (DIT veritabanı) değerle karşılaştırır ve eğer farklı ise invocationID resetlenir ve yeni bir değer üretilerek DIT veritabanı da güncellenir. Windows Server 2012 ve Windows Server 2012 R2 ile gelen bu emniyet tedbirleri ya da koruyucu mekanizmalar active directory yöneticilerine sanal ortamlarda domain controller kurulması ve yönetilmesi konusunda benzersiz avantajlar sağlamaktadır.
Windows Server 2012 ve Windows Server 2012 R2 ile Active Directory VM-GenerationID duyarlı/destekli hipervizörler üzerinde kurulan ve çalışan domain controller sanal sunucularında bu koruma/emniyet tedbirlerini işleterek, bilerek ya da planlı bir biçimde snapshot kopyalarının geri yüklemelerinde ya da sanal sunucunun eski kopyalara geri alınması durumlarında active directory ortamının bozulmamasını ya da bu işlemlerden etkilenmemesini garanti altına almış olacaktır. Bu koruma sayesinde USN buble ya da lingering object gibi replikasyon problemlerinin ya da sendromlarının oluşması önlenmiş oldu. Tabii burda hemen şunu da vurgulamak da fayda var. Artık domain controller sunucuları eski snapshot kopya versiyonlarına güvenli bir biçimde geri dönebiliyoruz demek, domain controller’lar için yedekleme uygulamaları ile bu sunucuların system state yedeklerini almaya gerek olmadığı anlamına gelmesin. Çünkü alınan snapshot kopyaları yedeklemeye tam bir alternatif değildir. Dolayısıyla yine her zaman olduğu gibi düzenli olarak domain controller sunucuların system state yedeklerini Windows Server Backup ya da üçüncü-parti VSS-writer tabanlı yedekleme çözümleri ile almaya devam edeceğiz.
Sanallaştırılmış Domain Controller Klonlama (VDC Clone)
Windows Server 2012 ve Windows Server 2012 R2 üzerinde gelen sanallaştırılmış domain controller klonlama özelliği sayesinde sistem yöneticilerinin sanalda çalışan mevcut domain controller sunucusunun bir kopyasını alarak klonlanmış yeni domain controller’ların güvenli bir biçimde yeni bir domain controller sunucu oluşturmaları sağlanmış olacaktır. Dolayısıyla eskiden olduğu gibi sanal ortamlar yeni domain controller kurulumlarında artık sistem yöneticileri sürekli yeni kurulum yapıp ya da sysprep uygulanmış imajı açıp, işletim sistemi güncellemelerini kurup, sunucu üzerine active directory rolü ve servislerini kurma ve yapılandırma gibi uzun süreçlerle uğraşmak durumunda kalmayacaklar. Dakikalar içerisinde yeni bir additional domain controller sunucunun devreya alınması artık mümkün.
VDC Klonlamanın Getirdiği Avantaj Senaryoları
Windows Server 2012 ve Windows Server 2012 R2 ile gelen VDC klonlama yeteneğini kullanmanın çok sayıda avantajı bulunmaktadır.
· Yeni bir forest ya da domain içerisinde hızlı bir biçimde additional domain controller kurulumu ve devreye alınması
· Felaket anında işletilen felaketten kurtarma sürecinde devre dışı kalan ya da çöken domain controller sistemlerini hızlı bir biçimde geri getirmek ve klonlama sayesinde gerekli active directory kapasitesini hızlıca eski haline getirmek çok daha hızlı yapılabilmektedir.
· Özellikle özel bulut yapılarında yaşanan büyümelerde domain controller sunucularının hızlı bir biçimde yatayda ölçeklenebilir olmasını sağlamaktadır.
· Test ortamlarının hızlı bir biçimde kurulumu, hazırlanması ile artan verimlilik artışı sağlanmış olacaktır.
· Şube ofisi büyümelerinde mevcut domain controller sunucularından klon alınarak artırılmış kapasite ihtiyaçlarına çok hızlı çözüm üreten altyapı desteği
Sanallaştırma Yöneticileri ile Active Directory Yöneticilerinin Görevler Ayrılığı
Sanallaştırılmış domain controller sunucularının klonlama ile çoğaltılması yetkisi active directory domain yapısını yöneten sistem yöneticisine ait olmalıdır. Sanallaştırma yöneticileri kendi başlarına active directory domain controller sunucuların klonunu alıp, yetki almadan bu klondan yeni domain controller’lar oluşturmamaları gerekir. Zaten bir active directory domain controller sanal sunucusunun klonlanabilmesi için gerekli yetkilendirmeyi active directory içerisinden active directory sistem yöneticisi hazırlamalıdır. Active Directory yöneticilerinin yetkilendirmesi sonrasında sanallaştırma yöneticileri bu sunucuların klonlarını alarak kurulum ve konuşlandırma adımlarını tamamlayabilirler. Bu şekilde bir operasyonel model görevler ayrılığı prensibinin uygulanması ve buna sadık kalınması açısından da önemlidir.
Domain Controller Klonlama Nasıl Gerçekleştirilir?
Domain Controller Klonlama üç ana aşamadan oluşan bir süreç:
1. Klonu alınacak mevcut sanal domain controller sunucunun active directory içerisinde yetkilendirilmesi
2. Yetkilendirilen sanal sunucu üzerinde klon konfigürasyon dosyalarının oluşturulması,
3. Yetkilendirilen sanal sunucunun sanal diskinin (virtual hard disk – VHD ya da VHDX) export/import yöntemi ile kopyasının oluşturularak klon sunucunun hazırlanması,
Klonlanan domain controller, bir diğer domain controller sunucunun kopyası olduğunu farketmesini sağlayan ve süreci tetikleyen iki önemli tetikleyici vardır:
1. Sanal sunucunun sahip olduğu VM-GenerationID değeri ile DIT veritabanı içerisinde depolanan VM-GenerationID değeri farklı ise,
Not: Hipervizör platformu VM-GenerationID desteğini sağlamalıdır. Windows Server 2012 ve Windows Server 2012 R2 Hyper-V, VM-GenerationID desteğini sağlıyor.)
Not: Sanallaştırma platformunda Vmware kullanan yapılarda VM-Generation desteği aşağıdaki versiyonlarla gelmiştir:
· VMware vSphere 5.0 Update 2 (vCenter Server ve ESXi her ikisi de 5.0 Update 2 sürümünde olmalıdır.)
VMware vSphere 5.1 (Minimum ESXi 5.0 Update 2 olmalıdır.)
2. DIT veritabanının olduğu dizinde DCCloneConfig.xml isimli bir XML dosyasının varlığı.
Sanal domain controller sunucusu yukarıdaki tetikleyiciler vasıtasıyla kendisinin klonlanmış bir domain controller sunucu olduğunu anladıktan sonra, klonlama sürecinden geçerek yeni domain controller sunucu hazırlanır.
Klonlanan domain controller, klon alınırken kullanılan kaynak domain controller’ın güvenlik bilgilerini kullanarak Windows Server 2012 ve Windows Server 2012 R2 Primary Domain Controller (PDC) Emulator FSMO rolüne sahip domain controller sunucusu ile bağlantı kurar. PDC FSMO rolünün sahibi Windows Server 2012 ya da Windows Server 2012 R2 versiyonunda çalışacak bir domain controller olmalıdır.
Önemli Not : PDC Emulator FSMO rolüne sahip domain controller Windows Server 2012 ve Windows Server 2012 R2 işletim sisteminde çalışmalıdır. Bu sunucu fiziksel ortamda çalışan bir sunucu olabileceği gibi sanal ortamda çalışan bir sunucu da olabilir.
PDC Emulator rolüne sahip domain controller öncelikle kendisi ile bağlantı kuran klonlanmış domain controller’ın klonlama için yetkilendirilip yetkilendirilmediğini doğrular. Eğer talepte bulunan domain controller klonlama için yetkilendirilmişse, PDC Emulator bu sunucu için klonlanmış bir domain controller olduğunu gösteren bir bilgisayar hesabı kimliği, SID, isim, ve password bilgilerini oluşturur ve bunları tekrar klonlanan sunucuya geri gönderir. Klonlanan domain controller active directory veritabanı dosyalarını bir kopya olarak hazırlar ve gerekli sysprep aracına ait bağlantı sağlayıcıları çağırarak sunucunun durum bilgisini resetler. Klonun bu aşamada çağırdığı sysprep bağlantı sağlayıcılayıcı bileşenlerinin listesini Windows\system32 dizini altından alınır.
Klonlama Konfigürasyon Dosyaları
DefaultDCCloneAllowList.xml : Bu dosya her Windows Server 2012 ve Windows Server 2012 R2 domain controller üzerinde %windir%\system32 dizini altında varsayılan olarak gelmektedir. Bu dosya içerisinde varsayılan olarak klonlanan servisler ve yüklü uygulamaların listesi bulunmaktadır. Bu dosyanın konumu ve içeriği değiştirilmemelidir, eğer değişirse klonlama başarısız sonuçlanır.
DCCloneConfig.xml : Bu dosya da varsayılan olarak Windows Server 2012 ve Windows Server 2012 R2 domain controller üzerinde %windir%\system32 altında bir örnekle gelmektedir. Klonlamanın başarıyla gerçekleşmesi için, bu dosyanın olması gereken konum DIT veritabanının olduğu yerdir. Genellikle bu lokasyon %windir%\NTDS klasörüdür. Klonlamanın tespit edilmesi ve klonlama sürecinin başlatılmasını sağlamasının yanında, bu dosya kullanılarak domain controller sunucusunun adı, ip adresi, site adı, dns ve default gateway gibi ayarlarına ait konfigürasyonlar bu dosyada tanımlanır. Klonlanmış domain controller sunucu konfigürasyonunda kullanılan bu parametreler için gerekli bilgiler bu dosyada belirtilmelidir. Değer belirtilmeyen parametreler active directory tarafından üretilen değerlerle konfigüre edilirler.
DCCloneConfig.xml dosyası için gerekli XML şeması tüm Windows Server 2012 ve Windows Server 2012 R2 bilgisayarlarda %windir%\system32\DCCloneConfigSchema.xsd içerisinde tanımlıdır.
DCCloneConfig.xml için tüm Windows Server 2012 ve Windows Server 2012 R2 bilgisayarlarda %windir%\system32\SampleDCCloneConfig.xml adında hazır gelen şablon bir dosya vardır.
CustomDCCloneAllowList.xml : Tüm Windows Server 2012 ve Windows Server 2012 R2 bilgisayarlarda %windir%\system32\DefaultDCCloneAllowList.xml adında hazır gelen şablon bir dosya vardır. Bu dosyanın bir kopyası alınarak CustomDCCloneAllowList.xml adı ile klonu alınacak mevcut sanal domain controller sunucu üzerinde DIT veritabanının olduğu konumda oluşturulmalıdır. DefaultDCCloneAllowList.xml içerisinde listelenmemiş servisleri ve uygulamaları tespit etmek için Get-ADDCCloningExcludedApplicationList
komutu çalıştırılır. Bu komutun çalıştırılması sonrasında gelen çıktıda listelenen bir uygulama ya da servis varsa, bunların klonlamada başarıyla kopyalanabilmesi için CustomDCCloneAllowList.xml dosyası içerisinde belirtmek gerekir. Eğer bu komut sonrasında gelen çıktıdaki servis ya da uygulama güvenilir değilse, kaynak domain controller sunucu üzerinden kaldırılıp, ondan sonra klon kopyası alınmalıdır.
Önemli Not : Kaynak domain controller sanal sunucuyu klonlamadan önce üzerinde çalışan uygulama ve servislerin gerekli lisanslarının olup olmadığının tespit edilmesi gerekir.
CustomDCCloneAllowList.xml dosyasında izin verilen uygulama ya da servisler <Name>
ve </Name>
tagları arasına yazılmalıdır.
Get-ADDCCloningExcludedApplicationList
komutu klonlama süreci öncesinde kaynak domain controller sunucu üzerinde çalıştırılan ve varsayılan DefaultDCCloneAllowList.xml dosyasında tanımlı desteklenen uygulamalar ve servisler listesinde bulunmayan, sunucu üzerindeki servislerin ve uygulamaların listesini verir.
Bu PowerShell komutu kaynak domain controller üzerindeki servisler ve yüklü programlar için arama yapar, HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall altındaki program listesine bakar, varsayılan DefaultDCCloneAllowList.xml ve kullanıcı tanımlı CustomDCCloneAllowList.xml dosyasında tanımlı olmayanları bulur. Gelen çıktı raporunda listelenen uygulama, servis ya da programlar klonlamada sorun teşkil etmeyecekse, CustomDCCloneAllowList.xml dosyası içerisine eklenir. Eğer çıktı raporunda listelenen uygulama, servis ya da programların klonlama desteği yoksa ve klonlamada sorun teşkil edecekse, kaynak domain controller sunucusu üzerinden klon medyası hazırlanmadan önce kaldırılmalı, sonrasında klon kopya oluşturulmalıdır.
Klon Oluşturma Senaryoları
Sanal Domain Controller Klonlamada desteklenen senaryolar:
· Kaynak domain controller sunucusunun sanal disk dosyasını (virtual hard disk (VHD ya da VHDX)) kopyalama yöntemi ile klon oluşturmak
· Hipervizörün export/import yöntemini kullanarak kaynak domain controller sunucusuna ait sanal makinenin kopyasını alarak klon oluşturmak (Önerilen yöntem budur.)
Öngereksinimler
· Ortamda mutlaka active directory domain yapısı olmalıdır.
· PDC Emulator FSMO Rolü Windows Server 2012 ya da Windows Server 2012 R2 domain controller sunucusunda olmalıdır. Bu sunucu fiziksel sunucu olabileceği gibi bir sanal sunucu da olabilir. Ve klonlama sürecinde PDC Emulator rolüne sahip domain controller’ın açık ve ulaşılabilir olması gerekir.
Önemli Not : PDC Emulator FSMO rolüne sahip domain controller sunucusu kaynak sunucu olarak kullanılıp, bunu kaynak domain controller olarak kullanarak yapılacak bir klonlama senaryosu best practice olarak önerilmese de teknik olarak mümküdür. Böyle bir durumda klondan oluşan yeni domain controller sunucu klonlama sürecinde ortamda PDC Emulator FSMO rolüne sahip bir DC olduğunu algıladıktan sonra bu rolü kendi üzerine almayacaktır. Bundan dolayı best practice olarak önerilen PDC Emulator dışındaki additional domain controller sanal sunuculardan klon kaynağının oluşturulmasıdır.
· Klonlanan domain controller sunucusu açılış sürecinde mutlaka PDC Emulator rolüne sahip domain controller ile iletişim kurabilmesi gerekir.
· Sanallaştırma Host Sunucusu olarak desteklenen platformlar şunlardır:
o Windows Server 2012 ya da Windows Server 2012 R2 Hyper-V Server
o VMware vSphere 5.0 Update 2 (vCenter Server ve ESXi her ikisi de 5.0 Update 2 sürümünde olmalıdır.)
o VMware vSphere 5.1 (Minimum ESXi 5.0 Update 2 olmalıdır.)
· Eğer ortamda birden fazla Hyper-V fiziksel host varsa ve klona kaynaklık yapan domain controller ile klonun kopyasının çalışacağı Hyper-V fiziksel host farklı ise her iki Hyper-V Host’un da aynı domain içerisinde olması gerekir.
· Eğer ortamda birden fazla Hyper-V fiziksel host varsa ve klona kaynaklık yapan domain controller ile klonun kopyasının çalışacağı Hyper-V fiziksel host farklı ise her iki Hyper-V Host üzerindeki virtual network switch isimleri aynı olmalıdır.
· Klonlama özelliği için fiziksel Hyper-V host sunucuların domain ortamına dahil edilmiş olması gerekir.
· Klon kopyasının kaynağını barındıran Hyper-V hostu ile klonun çalışacağı Hyper-V hostlarının işlemci mimarileri birbirinden farklıysa, klon almadan önce kaynak sanal domain controller sunucunun Settings ile ayarlarına girip, sol taraftan Processor bölümüne gelip, Compatibility seçeneğinin seçilip, “Migrate to a physical computer with a different processor version” seçimi yapılmalıdır. Böylece sanal makinenin farklı işlemci mimarisinde çalışan Hyper-V host sunucularda sorunsuz çalışması sağlanmış olur.
· Bir diğer önemli nokta da normalde domain controller klonlama için bir adet Windows Server 2012 ya da Windows Server 2012 R2’de çalışan Hyper-V Hosta sahip olmanız yeterlidir.
· Sadece Windows Server 2012 ya da Windows Server 2012 R2 Hyper-V hostu üzerinde çalışan sanal Windows Server 2012 ya da Windows Server 2012 R2 domain controller sunucularının klonlaması yapılabilir. Windows Server 2012 öncesi işletim sistemlerinde çalışan Hyper-V hostlarında böyle bir uygulama desteklenmemektedir. Benzer şekilde sanalda çalışan ve klonlama yapılacak domain controller sunucusunun işletim sistemi de Windows Server 2012 ya da Windows Server 2012 R2’de çalışması gerekir.
· Klonlamada kaynak sunucu olarak kullanılacak Windows Server 2012 ya da Windows Server 2012 R2 domain controller aynı zamanda DNS Server rolüne de sahipse, klonlanan yeni domain controller da aynı zamanda DNS Server rolüne de sahip olacaktır. DNS Client ayarları klonlamaya dahil edilmez, bunun yerine bu ayarlar DCCloneConfig.xml dosyasından alınır. Eğer bu dosya içerisinde de DNS tanımlamaları yoksa, klonlanan domain controller varsayılan olarak kendisini Primary DNS Server adresi olarak konfigüre edecektir.
· Klonlama yapılacak sunucuda aşağıdaki rollerin kurulu olmaması gerekir:
o Dynamic Host Configuration Protocol (DHCP)
o Active Directory Certificate Services (AD CS)
o Active Directory Lightweight Directory Services (AD LDS)
· Windows Server 2012 ya da Windows Server 2012 R2 domain controller sunucuları için dolayısıyla VDC için Windows Server 2012 ya da Windows Server 2012 R2 AD DS Schema versiyonu 52 ve Forest Functional Level seviyesi Windows Server 2003 ya da üzeri olmalıdır.
· VDC Klonlama ve VM-GenID desteği veren sanallaştırma platform desteği tablosu aşağıdadır:
Sanallaştırma Platformu |
VDC ve VMGID (VM-GenID) |
Hyper-V Feature Kurulu Windows Server 2012 |
Evet |
Windows Server 2012 Hyper-V Server |
Evet |
Hyper-V Client Feature Kurulu Windows 8 |
Evet |
Windows Server 2008 ve Windows Server 2008 R2 |
Hayır |
Hyper-V Feature Kurulu Windows Server 2012 R2 |
Evet |
Windows Server 2012 R2 Hyper-V Server |
Evet |
Hyper-V Client Feature Kurulu Windows 8.1 |
Evet |
Non-Microsoft Sanallaştırma Platformları |
Üreticiden Bilgi Alınabilir* |
*Vmware üreticisi aşağıdaki sürümler için VM-GenID desteğini sağlamaktadır:
o VMware vSphere 5.0 Update 2 (vCenter Server ve ESXi her ikisi de 5.0 Update 2 sürümünde olmalıdır.)
o VMware vSphere 5.1 (Minimum ESXi 5.0 Update 2 olmalıdır.)
Klon Kaynağı Sanal Domain Controller’ın Klonlama İçin Yetkilendirilmesi
Sanal platformda çalışan bir additional domain controller sunucunun klon kopyasının alınabilmesi için öncelikle active directory içerisinde klonlama için yetkilendirilmesi gerekir. Bunun için Active Directory Users and Computers (ADUC) ya da Active Directory Administrative Center (ADAC) konsollarında Users kabı içerisinde gelen Cloneable Domain Controllers grubuna klonlama yapılacak kaynak domain controller sunucularının bilgisayar hesaplarının üye yapılması yeterlidir.
DCCloneConfig.XML Dosyası
|
Alınan klondan kurulacak yeni domain controller sunucu adı |
|
|
Alınan klondan kurulacak yeni domain controller site adı |
|
|
Alınan klondan kurulacak yeni domain controller TCP/IP v4 ayarları |
|
|
|
Yeni domain controller IP Adresi |
|
|
Yeni domain controller Subnet Mask Değeri |
|
|
Yeni domain controller Default Gateway Adresi |
|
|
Yeni domain controller Preferred DNS Server Adresi |
|
|
Yeni domain controller Alternate DNS Server Adresi |
|
Alınan klondan kurulacak yeni domain controller TCP/IP v6 ayarları |
|
|
|
Yeni domain controller Preferred DNS Server Adresi |
|
|
Yeni domain controller Alternate DNS Server Adresi |
Önemli Not : Bu uygulama için Windows Server 2012 sürümünde IPv6 desteklenmemektedir.
Örnek Dosya:
1. <?xml version=”1.0″?>
2. <d3c:DCCloneConfig xmlns:d3c=”uri:microsoft.com:schemas:DCCloneConfig”>
3. <ComputerName>KlonDC00</ComputerName>
4. <SiteName>Default-First-Site-Name</SiteName>
5. <IPSettings>
6. <IPv4Settings>
7. <StaticSettings>
8. <Address>192.168.1.245</Address>
9. <SubnetMask>255.255.255.0</SubnetMask>
10. <DefaultGateway></DefaultGateway>
11. <DNSResolver>192.168.1.200</DNSResolver>
12. <DNSResolver>127.0.0.1</DNSResolver>
13. </StaticSettings>
14. </IPv4Settings>
15. <IPv6Settings>
16. <StaticSettings>
17. <DNSResolver></DNSResolver>
18. <DNSResolver></DNSResolver>
19. <DNSResolver></DNSResolver>
20. <DNSResolver></DNSResolver>
21. </StaticSettings>
22. </IPv6Settings>
23. </IPSettings>
24. </d3c:DCCloneConfig>
DCCloneConfig.xml dosyası içerisinde dinamik IPv4 ayarları da desteklenir. Bu durumda aşağıdaki dosyada görüldüğü şekilde <IPv4Settings> elementinin altındaki <StaticSettings> elementi yerine <DynamicSettings> elementi kullanılmalıdır.
<?xml version="1.0"?>
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">
<ComputerName>KlonDC00</ComputerName>
<SiteName>Default-First-Site-Name</SiteName>
<IPSettings>
<IPv4Settings>
<DynamicSettings>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
<PreferredWINSServer></PreferredWINSServer>
<AlternateWINSServer></AlternateWINSServer>
</DynamicSettings>
</IPv4Settings>
<IPv6Settings>
<DynamicSettings>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
<DNSResolver></DNSResolver>
</DynamicSettings>
</IPv6Settings>
</IPSettings>
</d3c:DCCloneConfig>
<IPSettings> elementinin altındaki ayarlar isteğe bağlıdır. Eğer element tagları içerisinde herhangi bir ayar yapılmazsa, klondan oluşturulan yeni domain controller için ağ ortamındaki varsa DHCP sunucudan TCP/IP ayarları otomatik olarak alınır.
DCCloneConfig.xml dosyası içerisindeki alanlar boş bırakılırsa, domain controller sunucunun bilgisayar adı, ağ ayarları gibi konfigürasyon değerleri active directory ve içerisindeki DHCP gibi konfigürasyon sunucuları tarafından sağlanır.
Sonuç Olarak;
Windows Server 2012 R2 ile buluta giden yolda katma-değerli çok sayıda önemli yenilikler geliyor ve bizler de bu yenilikleri sizlerle en hızlı ve doğru kaynaklardan paylaşmaya devam ediyoruz . Bu makalemizde de sizlerle Windows Server 2012 R2 İle Virtualized Domain Controller (VDC) Klonlama (VDC Cloning) konsepti ve gereksinimleri ile ilgili detayları beraber inceledik. Bir sonraki makalemizde de adım adım VDC Klonlama aşamalarını detaylı olarak uygulamalı gerçekleştiriyor olacağız. Bir sonraki makalemizde görüşmek üzere hoşçakalın.
Mesut ALADAĞ
Microsoft MVP, MCT