Windows Server Server Manager arayüzü üzerinden Active Directory Domain Services (AD DS) rolü ekleme ekranı.
Bu içerikte neler var?
Modern bilgi teknolojileri altyapılarında merkezi kimlik yönetimi, yetkilendirme ve ağ kaynaklarının denetimi kurumsal güvenliğin temel taşını oluşturuyor. Bu ekosistemin merkezinde yer alan ve kimlik doğrulama protokollerini yöneten servis ise Active Directory. Bu rehberimizde, Microsoft’un modern kurumsal ağ yapılarının kalbi olan Windows Server işletim sistemi üzerinde adım adım Active Directory Kurulumu sürecini tüm teknik detaylarıyla, sahada karşılaşabileceğiniz olası sorunları ve çözümlerini ele alarak gerçekleştiriyoruz.
Kurulumu, şu an endüstri standardı olarak kabul edilen ve en güncel kararlılık ile güvenlik standartlarını sunan Windows Server 2022 üzerinde uygulayacağız. Ancak bu adımları diğer modern Windows Server sürümleri için de birebir takip edebilirsiniz.
Active Directory Kurulumu Öncesi Hazırlıklar (Prerequisites)
Birçok sistem yöneticisinin düştüğü en büyük hata, hazırlık aşamalarını atlayarak doğrudan rol kurulumuna geçmektir. Sağlıklı ve kesintisiz çalışan bir Active Directory Kurulumu gerçekleştirmek için sunucunun kurulum öncesinde belirli standartlara kavuşturulması kritik önem taşır.
1. Sunucuya Statik IP Adresi Tanımlama
Bir Domain Controller (DC), ağdaki diğer tüm istemcilere DNS ve kimlik doğrulama hizmeti sunacağı için IP adresinin asla değişmemesi gerekir. DHCP üzerinden dinamik IP alan bir sunucuya DC rolü yüklenemez. Bu nedenle ilk adım ağ ayarlarının yapılandırılması yani statik IP adresi tanımlanması adımıdır.
Windows Server üzerinde Türkçe işletim sistemlerinde “Ağ ve Paylaşım Merkezi” altındaki “Ethernet” veya “Yerel Ağ Bağlantısı” arayüzünü kullanarak IPv4 özelliklerine erişiyoruz. Bu aşamada sunucuya ağ mimarimize uygun boş bir statik IP, alt ağ maskesi (Subnet Mask) ve varsayılan ağ geçidi (Gateway) değerlerini giriyoruz. En kritik nokta ise Tercih Edilen DNS Sunucusu (Preferred DNS) kısmıdır. Bu alana sunucunun kendi IP adresini ya da loopback adresi olan 127.0.0.1 değerini yazıyoruz. Sunucu, kendi üzerinde bir DNS sunucusu barındıracağı için sorguları doğrudan kendisine yönlendirmelidir.
Grafik arayüz yerine alternatif olarak CMD komut satırı üzerinden IP yapılandırması metodunu da tercih edebilirsiniz. Netsh komutları yardımıyla IP adresinizi saniyeler içinde sabitleyerek zamandan tasarruf sağlayabilirsiniz.
2. Sunucu Bilgisayar Adını (Hostname) Düzenleme
Sıklıkla göz ardı edilen ancak hayati bir diğer hazırlık ise sunucu adının (Hostname) anlamlı bir isimle (Örn: SRV-DC-01) değiştirilmesidir. Eğer Active Directory Kurulumu öncesinde bu adımı gerçekleştirmezseniz, sistem otomatik olarak atanan ve anlamsız karakterlerden oluşan (Örn: WIN-JN829LMS) bir bilgisayar adıyla etki alanına dahil olur.
Kurulum tamamlandıktan sonra Domain Controller adını değiştirmek, DNS kayıtlarının bozulmasına, Kerberos biletlerinin geçersiz kalmasına ve replikasyon hatalarına yol açar. Ayrıca sanallaştırma ortamlarında (Hyper-V, VMware) sysprep yapılmadan klonlanmış sunucularda ortaya çıkan mükerrer SID (Security Identifier) sorunları, ilerleyen aşamalarda güven ilişkisi (Trust Relation) hatalarına sebep olacağından, temiz bir işletim sistemi kurulumu ve benzersiz bir bilgisayar adı belirlemek şarttır.
Adım Adım Active Directory (AD DS) Rolü Kurulumu
Hazırlık adımlarını tamamladıktan sonra, sunucumuza Active Directory Domain Services (AD DS) rolünü eklemeye hazırız. Bu işlem iki temel aşamadan oluşur: Rol paketlerinin sunucuya yüklenmesi ve ardından sunucunun Domain Controller seviyesine yükseltilmesi (Promote).
Server Manager ile Rol Ekleme Sihirbazı
Sunucu yönetim panelimiz olan Server Manager arayüzünü açıyoruz ve sağ üst köşede bulunan “Manage” menüsünden “Add Roles and Features” seçeneğine tıklıyoruz. Karşımıza gelen sihirbaz adımlarını şu şekilde takip ediyoruz:
- Before You Begin: Bu aşamayı “Next” ile geçiyoruz.
- Installation Type: “Role-based or feature-based installation” seçeneğini aktif bırakarak ilerliyoruz.
- Server Selection: Statik IP ve hostname ayarlarını yaptığımız sunucumuzu listeden seçiyoruz.
- Server Roles: Bu ekranda Active Directory Domain Services seçeneğini işaretliyoruz. İşaretleme yaptığımız anda karşımıza bu rolün çalışması için gerekli olan ek özelliklerin (Features) listelendiği bir pencere açılacaktır. “Add Features” butonuna tıklayarak bu bileşenlerin de kurulmasını onaylıyoruz.
- Features: Varsayılan olarak seçilen özelliklere dokunmadan “Next” butonuna basıyoruz.
- AD DS ve Confirmation: Bilgilendirme ekranlarını geçtikten sonra “Install” butonuna tıklayarak Active Directory Kurulumu işleminin ilk safhasını başlatıyoruz.
Yükleme işlemi tamamlandığında sihirbaz penceresini kapatabiliriz. Ancak unutulmamalıdır ki bu işlem sadece ilgili rolün ikili dosyalarını (binaries) sunucuya kopyalamıştır; henüz aktif bir etki alanı (Domain) oluşturulmamıştır.
Sunucuyu Domain Controller (DC) Seviyesine Yükseltme
Rol yüklemesi bittikten sonra Server Manager panelinin sağ üst kısmında sarı bir ünlem işareti belirecektir. Bu bayrağa tıklayarak “Promote this server to a domain controller” seçeneğini seçiyoruz. Bu adım, Active Directory Kurulumu sürecinin en kritik yapılandırma aşamasıdır.
Yeni Bir Forest (Orman) Oluşturma ve Domain İsmi Belirleme
Karşımıza çıkan “Deployment Configuration” ekranında üç farklı seçenek göreceğiz. Biz sıfırdan yeni bir ağ yapısı kurduğumuz için “Add a new forest” seçeneğini işaretliyoruz. Ardından Root domain name alanına oluşturmak istediğimiz etki alanının tam adını (FQDN) yazıyoruz.
Önemli İpucu: Domain ismi seçerken gerçek hayatta sahip olduğunuz dış dünya alan adını (Örn: sirketadi.com) doğrudan iç ağda kullanmamaya özen gösterin. Bu durum “Split-Brain DNS” adı verilen karmaşık yönlendirme sorunlarına sebep olur. Bunun yerine corp.sirketadi.com veya sirketadi.local gibi alt alan adlarını tercih etmelisiniz.
Domain ismini belirleyip “Next” butonuna tıkladığımızda karşımıza “DNS Delegasyonu” uyarısı gelebilir: “A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found…” Birçok teknik makalede bu durum kritik bir hata gibi sunulsa da, bu aslında yeni bir orman (Forest) oluşturulurken üst seviye bir DNS sunucusunun henüz bulunmamasından kaynaklanan doğal bir uyarıdır. Bu adımı hiçbir işlem yapmadan doğrudan “Next” ile geçebilirsiniz.
DSRM (Directory Services Restore Mode) Parolası Belirleme
Bir sonraki ekranda Forest ve Domain Functional Level seviyelerini belirliyoruz. Ayrıca bu ekranda bizden bir DSRM şifresi (Directory Services Restore Mode) belirlememiz istenir. DSRM parolası, Active Directory veri tabanının (Active Directory Domain Services veritabanı dosyaları olan NTDS.dit ve grup politikalarını barındıran SYSVOL klasörü) zarar görmesi durumunda, sunucuyu güvenli modda açıp kurtarma adımlarını gerçekleştirebilmeniz için hayati bir acil durum anahtarıdır. Bu parolayı güvenli bir yerde saklamayı kesinlikle unutmayın.
Sihirbazın ilerleyen adımlarında NetBIOS adını doğrulayıp, veri tabanı ve log dosyalarının kaydedileceği klasör yollarını onayladıktan sonra ön gereksinim (Prerequisites) kontrolleri yapılır. Tüm kontroller yeşil onay aldıktan sonra “Install” butonuna basarak sihirbazı tamamlıyoruz. Sunucu otomatik olarak yeniden başlayacaktır.
PowerShell Komutları ile Active Directory Kurulumu (Hızlı Yöntem)
Kurulumları grafiksel kullanıcı arayüzü (GUI) yerine daha hızlı, hatasız ve otomatize edilebilir bir yöntem olan komut satırı üzerinden gerçekleştirmek isteyebilirsiniz. Güncel PowerShell kütüphaneleri sayesinde saniyeler içinde Active Directory Kurulumu adımlarını tamamlayabilirsiniz.
Yönetici yetkileriyle açılmış bir PowerShell konsolunda sırasıyla şu komut dizilimini çalıştırıyoruz:
# 1. AD-DS Rolünü ve Yönetim Araçlarını Sunucuya Yüklüyoruz
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# 2. Yeni Bir Forest Yapılandırarak Sunucuyu Domain Controller Seviyesine Yükseltiyoruz
Install-ADDSForest `
-DomainName "sirketadi.local" `
-SafeModeAdministratorPassword (convertto-securestring "GucluDSRMParolasi123!" -assecurestring -force) `
-ForceYukarıdaki komutta yer alan DomainName ve SafeModeAdministratorPassword parametrelerini kendi yapınıza göre düzenlemeniz yeterlidir. Komutun çalıştırılmasının ardından sunucu gerekli tüm işlemleri tamamlayacak ve sistemi otomatik olarak yeniden başlatacaktır. Bu yöntem, özellikle Core (Arayüzsüz) Windows Server sürümlerinde PowerShell ile AD kurulumu yaparken standart prosedürdür.
Kurulum Sonrası Kontroller ve Doğrulama
Sunucu yeniden başladıktan sonra oturum açma ekranında artık yerel kullanıcı (Administrator) yerine etki alanı kullanıcısı (SİRKETADI\Administrator) formatının geldiğini göreceksiniz. Active Directory Kurulumu sonrasında her şeyin hatasız çalıştığından emin olmak için şu kontrolleri yapıyoruz:
- DNS Kayıtlarının Kontrolü: DNS Manager (dnsmgmt.msc) konsolunu açarak Forward Lookup Zones altında oluşturduğumuz domain adına ait SRV (Service) kayıtlarının (özellikle
_msdcsaltındaki kayıtların) oluştuğunu doğruluyoruz. Bu kayıtlar oluşmadıysa istemciler etki alanını bulamaz. - Active Directory Servisleri: “Active Directory Administrative Center” ve “Active Directory Users and Computers” konsollarının sorunsuz açıldığını kontrol ediyoruz.
- SYSVOL ve NETLOGON Paylaşımları: Çalıştır (Win + R) kısmına
\\localhostyazarak SYSVOL ve NETLOGON klasörlerinin ağ paylaşımına açıldığını doğruluyoruz.
Kurulum sonrasında, ağınızdaki istemcilerin IP adreslerini merkezi olarak alabilmesi ve DNS entegrasyonunun otomatik olarak sağlanabilmesi için bir sonraki aşama olan DHCP rolünün kurulup yapılandırılması aşamasına geçiş yapmanızı tavsiye ederiz.
| Kontrol Noktası | Neden Önemli? | Doğrulama Komutu / Yolu |
|---|---|---|
| DNS (SRV Kayıtları) | İstemcilerin DC’yi bulabilmesi için | nslookup -type=srv _ldap._tcp.dc._msdcs.domainadi.local |
| SYSVOL Paylaşımı | GPO ve scriptlerin replikasyonu için | \\localhost\SYSVOL |
| AD DS Servis Durumu | Kimlik doğrulamanın devamlılığı için | services.msc (AD Domain Services “Running”) |
| DSRM Modu | Felaket senaryolarında kurtarma için | ntdsutil (Restore Mode kontrolü) |
Active Directory kurulumu sonrasında DNS Server otomatik olarak kurulur mu?
Evet, Active Directory Domain Services (AD DS) rolü, sağlıklı çalışabilmek için DNS servisine sıkı sıkıya bağlıdır. Sihirbaz esnasında aksi belirtilmediği sürece, sunucu eğer ağda yetkili bir DNS sunucusu bulamazsa DNS Server rolünü otomatik olarak kendisi kurar ve yapılandırır.
DSRM şifresi nedir ve neden önemlidir?
Directory Services Restore Mode (DSRM) şifresi, Active Directory veri tabanının fiziksel olarak zarar görmesi, silinmesi veya bozulması durumunda sistem yöneticisinin sunucuyu çevrim dışı kurtarma modunda açarak NTDS.dit dosyasını tamir etmesini sağlayan özel bir kurtarma parolasıdır. Domain Administrator şifresinden bağımsızdır.
Active Directory Kurulumu sonrasında domain ortamına istemci (client) bilgisayarlar nasıl eklenir?
İstemci bilgisayarın ağ bağdaştırıcısı ayarlarına girerek “DNS Sunucusu” adresini yeni kurduğunuz Domain Controller IP’si olarak tanımlayın. Ardından “Bilgisayar Özellikleri -> Etki Alanı Değiştir” menüsünden oluşturduğunuz etki alanı ismini (Örn: sirketadi.local) yazıp yetkili bir kullanıcı adı ve şifresi girerek bilgisayarı domaine dahil edin.
Merhaba, ben Hakan Göçmez. Yaklaşık 15 yıldır aktif olarak bilgi işlem sektöründe çalışıyorum. DenetimMasası.com’da yazdığım tüm içerikler, saha deneyimim ve günlük iş rutinlerimden süzülen çözümlerdir.
