Domain Controller Kaldırılması
Sunucu sistemlerin bir domain ortamından kaldırılması her zaman risk taşıyan bir işlemdir. Özellikle de eğer sunucumuz bir domain controller ise bu risk çok daha yüksektir. Bir domain controller sunucuyu domain ortamından kaldırmak için farklı nedenlerimiz olabilir.
- Sunucumuzun performansı artık yetersiz kalıyor olabilir.
- Sunucumuz sık sık donanımsal veya yazılımsal sorunlar çıkartıyor olabilir.
- Domain yapımızı genişletmemiz gerekiyor olabilir.
Jargonda ?decommission? olarak geçen, bir domain controller sunucuyu ortamdan kaldırırken dikkat etmemiz gereken o sunucunun taşıdığı rollerdir. Eğer sunucumuz herhangi özel bir rol taşımıyorsa sunucuyu ?dcpromo? komutuyla ortamdan kaldırmamız mümkün. Ancak sunucumuz DNS Server servisini, FSMO (Flexible Single Master Operations) olarak tabir edilen rolleri tutuyorsa, veya sunucumuz Global catalog Server ise bu servis ve rollerin başka DC?lere aktarılması gerekir.
Başlamadan önce kısaca FSMO rollerini tanıyalım:
Schema Master: Bütün forest içerisinde tek bir sunucuda bulunur. Active Directory şeması üzerinde değişiklik yapabilmek ve ?adprep /domainprep? komutuunun kullanımı için bu rolü taşıyan sunucuya erişim şarttır.
Domain Naming Master: Bütün forest içerisinde tek bir sunucuda bulunur. Forest içinde yeni bir domain kurmak veya var olan bir domain?i kaldırabilmek için bu rolü taşıyan sunucuya erişim şarttır.
RID Master: Bir forest içindeki her domain?de birer tane sunucu RID Master olarak atanır. Active direcctory içerisinde yeni bir obje oluşturabilmek için bu rolü taşıyan sunucuya erişim şarttır.
PDC Emulator: Bir forest içindeki her domain?de birer PDC Emulator rolü taşıyan sunucu bulunur. Domain?de NT4.0 Backup Domain Controller (BDC) sunucular için şarttır. Bunun haricinde bazı yönetimsel araçların sağlıklı çalışabilmesi; kullanıcı ve istemci makinaların şifrelerinde değişiklik yapılabilmesi için PDC Emulator rolünü taşıyan sunucuya erişim şarttır.
Infrastructure Master: Yine her domain?de birer tane sunucuda bulunur. Farklı domain?lere ait objelerin ?Distinguished Name? veya ?SID? özellikleinin tanınması veya güncellenmesi sırasında, ayrıca ?adprep /forestprep? komutunun kullanımı için bu rolü taşıyan sunucuya erişim şarttır.
Varsayılanda tüm roller Forest veya domain içerisinde kurulan ilk DC?dedir. Bu tanımlardan yola çıkarak FSMO rollerini iki ayrı kategoriye bölebiliriz.
Forest-wide roller: Bütün forest içerisinde tek bir sunucuda bulunur.
Domain-wide roller: Bir forest içindeki her domain?de birer tane bulunur.
* Yapacağınız uygulamalardan önce mutlaka bütün sistemin güncel bir yedeğini alınız!
Uygulamayı yapacağım ortamda bir forest içerisinde sadece bir domain (sistemuzmani.com), ve bu domain?de sadece bir DC (DC-1) bulunuyor. Bu DC bütün FSMO rollerini taşıdığı gibi aynı zamanda Active directory integrated DNS Zone sahibi ve de Global Catalog Server.
Domain?e ?DC-2? adında yeni bir DC ekleyerek işlemlere başlıyoruz. Bu işlem için DC-2?yi önce domain?e bir üye yapıyoruz. Domain?de bir istemci olarak oturum açıp dcpromo ile Domain Controller yapıyoruz. Bunun için ?Domain Controller Type? seçiminde ?Additional domain Controller for an existing domain? seçip gerekli kullanıcı adı ve şifreyi giriyoruz; kurulumu başlatıyoruz. Kurulum sonrasında sunucuyu yeniden başlatıyoruz.
DNS Server Servisinin Transferi
DC-2 yeniden başlatıldıktan sonra artık domain?imizde iki tane DC var. Yapacağımız ilk işlem DC-1 üzerinde tutulan DNS zone?u DC-2?de de tutmak. Sistemuzmani.com, Active directory integrated bir zone olduğu için işimiz kolay, yapmamız gereken tek şey DC-2?de DNS Server servisini kurmak ve DC?ler arası replikasyonun tamamlanmasını beklemek.
Replikasyonu hızlandırmak için Active Directory Sites and Services konsolunu kullanarak replikasyonu zorlayabilirsiniz. Ortalama 5 dakika içerisinde tamamlanan replikasyon sayesinde, sistemuzmani.com?un yazılabilir bir kopyası DC-2?de de oluşacak.
Eğer DNS zone, active directory integrated değilse, DNS konsolunda zone adı üzerine gelip sağ tıklarız ve ?özellikler?i seçeriz. Açılan pencerede ?Type: Primary? yazan yerin karşısından ?Change? seçip ?Store the zone in Active directory? kutucuğunu işaretlemek yeterli olacaktır.
Yeni DC?mizi DNS Server yaptıktan sonra TCP-IP ayarlarından DNS Server olarak kendi adresini yazıyoruz. Eski DC?mizde de DNS Server olarak yeni DC?mizi girelim ve bir sonraki adıma geçelim.
Bundan sonra sıra FSMO rollerinin aktarılmasında. İlk olarak Forest-wide rolleri aktaralım.
Schema Master Transferi
Schema Master rolünü başka bir DC?ye aktarmak için Active Directory Schema adlı console?u kullanacağız. Ancak bu konsolu kullanabilmek için bunu kaydettirmemiz gerekir. Kayıt işlemi için çalıştır?a ?regsvr32 schmmgmt.dll? yazıp enter?a basıyoruz, kayıt işleminin başarıyla gerçekleştiğine dair mesajı kapatıyoruz.
Artık konsolumuzu kullanmak için çalıştır?a mmc yazıp açılan boş konsola Active Directory Schema adlı konsolu ekliyoruz. Bu konsolda rolü aktarmak için ilk yapmamız gereken, hedef DC?ye bağlanmak. Bunun için ?Active Directory Schema? yazan yere sağ tıklayıp, ?Change Domain Controller? seçip, rolü aktarmak istediğimiz DC?nin FQDN adını ?Specify Name? yazan yerin karşısına yazıyoruz ve onaylıyoruz.
Şimdi sıra rolün aktarımına geldi, ?Active Directory Schema? yazan yere yine sağ tıklayıp bu sefer ?Operations Master? seçiyoruz. Açılan pencerede üst kısımda bu rolün şu andaki sahibi, alt kısımda ise rolü aktarmak istediğiniz hedef DC görülür. ?Change? butonuna tıkladığınızda rol aktarımını onaylamanızı isteyen soruyu yanıtladığınızda rol aktarımı tamamlanacaktır.
Domain Naming Master Transferi
Domain Naming Master rolünü farklı bir DC?ye aktarmak için Active Directory Domains and Trusts konsolunu kullanacağız. Konsola Administrative Tools altından direk ulaşabilirsiniz. Konsolu açtığınızda Active Directory Domains and Trusts yazan yere sağ tıklayıp ?Connect to domain controller? seçip, yeni DC?mizi gösteriyoruz.
Rolün aktarımı içinse yine sağ tıklayıp Operations Master seçiyoruz ve daha önce yaptığımız gibi ?Change? butonunu kullanarak rolün aktarımını onaylıyoruz.
Sıra Domain-Wide rollerin aktarımında:
RID, PDC ve Infrastructure Master Transferi
Domain-Wide rollerin hepsini tek bir konsoldan, Active Directory Users and Computers konsolundan transfer edebiliyoruz. Konsolda domain adına sağ tıklayıp Connect to Domain Controller seçtikten sonra rolü transfer etmek istediğimiz DC?ye bağlanıyoruz. Daha sonra yine domain adına sağ tıklayıp bu defa Operations Master seçiyoruz. Açılan pencerede her üç rol de ayrı ayrı sekmelerde görünüyor. Burada her üç rol için de daha önce uyguladığımız prosedürü ?change? butonu ile tekrarlıyoruz.
Böylece FSMO Rollerinin transferini tamamlamış olduk, sıra geldi yeni DC?mizi Global Catalog Server yapmaya.
Global Catalog Server
Bu işlem için administrative tools altından ?Active Directory Sites and Services? adlı konsolu kullanacağız.
Konsolda
Sites à Default-First-Site-Name à Servers à yeni dc adı
yolunu izleyerek yeni dc?nin adı altında yer alan NTDS Settings?e sağ tıklıyoruz ve özellikler?i seçiyoruz.
Açılan pencerede ?Global Catalog? kutucuğunu işaretleyip ?ok? diyerek pencereyi kapatıyoruz. Artık yeni DC?miz bir Global Catalog Server. Eski DC?mizden, aynı yolu izleyerek Global Catalog Server rolünü kaldırabiliriz.
Testler
Yapılan tüm değişiklikler için 5-10 dakika kadar zaman tanıyıp her şeyin yolunda olup olmadığının kontrolü için testlerimize başlıyoruz.
İlk olarak DNS testimizi yapalım. Bunun için komut satırında ?netdiag? aracını kullanacağız (Netdiag aracını kullanabilmeniz için sistemde Support Tools kurulu olmalı). Başlı başına bir dns testi için, daha önce yapmadıysak yeni DC?mizde TCP-IP ayarlarında dns server olarak kendisini gösteriyoruz. Sonra komut satırına
?netdiag /test:dns? komutunu giriyoruz. Testin sonunda
?DNS test............:Passed?
gibi bir satır geliyorsa DNS?imiz düzgün çalışıyor demektir.
DC?lerden bir tanesi ortamdan kaldırılırken, diğer DC?lerle görüşebiliyor olması gerekir. Bunu için her DC?de
?netdiag /test:dsgetdc? komutunu giriyoruz. Testlerin sonunda
?DC Discovery test...........: Passed?
gibi bir satır geliyorsa DC?ler arasında iletişimde problem yok demektir.
Yapmamız gereken testlerden bir diğeri de FSMO rolleri ile ilgili. Komut satırında
?dcdiag /s:yeni_dc_adı /test:knowsofroleholders? ile yeni dc?nin role master?ları bulup bulamadığını;
?dcdiag /s:yeni_dc_adı /test:fsmocheck? ile de FSMO rollerinin düzgün çalışıp çalışmadığını kontrol edebiliyoruz. Testlerin sonunda
?yeni_dc_adı passed test...? diye başlayan bir satır varsa FSMO rollerinin düzgün çalıştığı anlamına gelir.
Bu testlerden herhangi bir tanesinden geçememeniz durumundan kesinlikle devam etmeyip, testten geçmenize engel olan sorunu çözmeye çalışın.
DC?nin kaldırılması
Bütün testlerden başarıyla geçmeniz durumunda artık eski DC?nizi ortamdan kaldırmaya hazırsınız. Bu işlem için yine bir DC kurarken kullandığımız ?dcpromo? aracını kullanıyoruz. Hoşgeldin penceresinde next dediğimizde bu DC?nin ortamdaki son DC olup olmadığını belirtebileceğimiz bir pencere gelir. ?This server is the last domain controller in the domain? kutucuğunu işaretlemeden next diyoruz. İşaretlediğimiz taktirde setup, bu domain?i Forest yapısından tamamen silmeye çalışacaktır.
Bir sonraki ekranda sunucumuzun bir istemci bilgisayara dönüştüğünde kullanılacak olan local admin şifresini girip next diyoruz ve sunucumuzdan Active Directory silinmeye başlıyor. İşlemin sonunda sunucuyu yeniden başlatmamız gerekecek.
Sunucumuz yeniden başladığında artık domain?e üye olan sıradan bir istemcidir. Son olarak yeni DC?mizde Active Directory Sites and Services konsolunu açıp;
Sites à Default-First-Site-Name à Servers à eski dc adı
altında herhangi bir obje olup olmadığını kontrol ediyoruz. DC-1?in altında herhangi başka bir obje olmadığından emin olduktan sonra sağ tıklayıp ?delete? seçerek eski DC?yi siliyoruz.
Böylece eski DC?mize ait son izleri de Domain ortamından kaldırmış olduk.
Başka bir makalede görüşmek üzere.
|