Windows Server 2012 ile beraber gelen yeniliklerden biride deployment senaryolarındaki iyileştirmelerdir. Baktığınız zaman Active Direcotry’ den Terminal hizmetlerine kadar pek çok özellik için yeni dağıtım senaryoları sunulmaktadır. Ancak bunların yanında merkezi yönetim özelliği de dikkat çekmektedir.
Aslında benim bu makalede anlatmak istediğim büyük yapılarda nasıl kolayca uzak sunucuların üzerinde dahi AD yapısının kurulması olacaktır. Ancak bize bu kolaylığı sağlayan asıl etken yine server 2012 ile beraber gelen Remote Server Manager özelliğidir. Bu nedenle öncelikle bu özellikten biraz bahsedeceğim, ardından da remote dcpromo konusuna değineceğim.
Merkezi yönetim noktasında artık server manager konsolu üzerinden birden çok sunucuyu yönetme şansına sahibiz. Ve yine burada önemli bir özellik bunun varsayılan olarak açık gelmesidir. Yani suncu kurulumundan sonra ek bir ayar gerekli değildir ( örneğin RDP için varsayılan olarak kapalı gelmesi ve bizim sonrada bunu açıyor olmamız gibi bir şart yoktur ).
Bunun için çok basit bir işlem yeterlidir.
Server Manager–> All Servers –> Add Servers
Image may be NSFW.
Clik here to view.
Ardından eklemek istediğimiz sunucuyu seçmemiz yeterlidir.
Image may be NSFW.
Clik here to view.
Ben tüm sunucuları ekliyorum. Hatta bir tane istemci makine var Windows 8 onu da ekliyorum. Buradaki limit 100’ dür. Yani 100 den fazla sunucu ekleyemiyorsunuz.
Image may be NSFW.
Clik here to view.
Bu sunucu ve istemcilere ait bilgilerin gelmesi biraz zaman alacaktır. Bu nedenle bekliyorum.
Bu arada DNS kaynaklı bir sorun nedeni ile ChildDC ye erişim problemini de görüyorum.
Image may be NSFW.
Clik here to view.
Biraz bekledikten sonra diğer sunucularda online olarak görüntülenmektedir.
Şimdi DC isimli sunucu üzerinden diğer sunucuları izleyebilir ve aynı zamanda yönetebiliriz.
Örneğin ADC isimli sunucu üzerine server manager konsolundan tıklarsak sırası ile o sunucuya ait olan
Image may be NSFW.
Clik here to view.
Olay günlüklerini
Image may be NSFW.
Clik here to view.
Servislerini
Image may be NSFW.
Clik here to view.
Performans durumunu
Image may be NSFW.
Clik here to view.
Ve bizimde konumuz olan üzerindeki rol ve özellikleri görmekte ve yönetebilmekteyiz. Zaten burada en can alıcı nokta burası, yani yönetmek. Malum artık büyüyen yapılarda en önemli ilk sorun hızlı ve kolay yaygınlaştırma senaryosu iken, bunun bir şekilde çözülmesinden sonra merkezi olarak kolay yönetim gelmektedir. İşte Server 2012 bu konuda gerçekten çok başarılı.
Peki aklınıza bu hizmetin arka planda nasıl çalıştığı sorusu gelebilir.
Öncelikle uzak yönetim için minimum işletim sisteminiz Server 2008 ve üstü olmalıdır. Yani 2008 ve 2008 R2 sunucularınızı da merkezi olarak server manager konsol üzerinden yönetebilirsiniz. Ancak bunun için iki yükseltme işlemi gerekmektedir.
Windows Management Framework 3.0 – İlk olarak .net 4.0 ve sonrasında bu yüklemeyi yapmanız gerekmektedir. Eğer bu yüklemeleri yapmazsanız aşağıdaki gibi sistem sizi uyaracaktır
Image may be NSFW.
Clik here to view.
Uyarmaktan öte böyle bir durumda yukarıda gösterdiğim gibi ( ADC makinesi için ) tam olarak yönetim söz konusu olmayacaktır.
Image may be NSFW.
Clik here to view.
Gördüğünüz gibi bizim için en önemli konulardan biri olan role yükleme ve kaldırma desteği bu durumda sunulmuyor.
Buna ek olarak birde performans verilerini almak için 2008 ve 2008 R2 makine üzerine aşağıdaki yamayı yüklemek gerekmektedir
http://support.microsoft.com/kb/2682011
Bunları tamamladıktan sonra ise artık tam anlamı ile bir yönetim söz konusu olmaktadır.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Eğer sizde bu sorun devam ederse, 2008 veya 2008 r2 makinesinde aşağıdaki komutu çalıştırınız
winrm quickconfig
Peki, varsayılan olarak açık gelen bu remote management özelliğini nasıl kapatıyoruz?
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Aslında bu son derece basit J Server Manager konsol üzerinde Local Server linkine tıklıyoruz ve sağ menüden Remote management bölümünü Disabled konumuna getirmemiz yeterli olacaktır.
Burada birkaç konuya daha girmek istiyorum. Bildiğiniz gibi Windows Vista ile hayatımıza giren UAC eğer devrede ise işler biraz karışabilir. Çünkü UAC yerel ataklardan bilgisayarı korumaya çalıştığı kadar uzak ataklardan da korumak için “UAC remote restriction” denilen bir kavram bulunmaktadır.
Eğer UAC remote restrictions açık ise bu durumda yerel admin hesaplarının bu sunucuyu uzaktan yönetmesi için aşağıdaki gibi bir kayıt defteri anahtarını tanımlamak gereklidir. ( aslında bu UAC remote restrictions özelliğini kapatmak içindir )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
Altında ismi “LocalAccountTokenFilterPolicy” olan bir DWORD tanımlıyoruz ve değerini 1 yapıyoruz.
Merkezi yapmak için ise aşağıdaki komut setini kullanabilirsiniz
cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Ancak uzak makinede yerel admin olan domain hesapları için böyle bir sınırlama söz konusu değildir.
Windows Server 2012 uzak yönetim için WinRM ve the Distributed Component Object Model (DCOM) kullanmaktadır. Aslında buradaki temel servis WinRM olup, Server 2012 olmayan eski sürüm Server 2008 ve 2008 R2 ile iletişim için DCOM kullanılmaktadır. Çünkü eski tip MMC konsolları DCOM kullanır. Ancak bu eski makineler Windows Management Framework 3.0 yüklemesi ile beraber artık yönetim WinRM üzerinden sağlanır.
DCOM ile yönetimdeki en büyük zorluklardan biri firewall tarafıdır. Normalde benim tavsiyem şirket içerisinde özellikle sunucularda Windows firewall servisi çalışıyor ancak Windows firewall kapalı durumda olmalıdır. Bunun en temel sebebi o sunucu üzerinden bilmediğimiz pek çok farklı port hizmet vermekte olabilir. Eğer birkaç tane sunucunuz var ise bu durumda firewall kullanabilirsiniz. Sonuç olarak AD, Sharepoint, Exchange vs servisleri biliyorsunuzdur. Ancak 300 – 500 veya daha fazla sunucu olan ortamlarda pek çok farklı servis ve program çalıştığı için her sunucuya ayrı ayrı firewall portları açmak son derece mümkün olmayan bir durumdur. Ancak bu kadar büyük yapılarda da temelde segmentasyon vardır. Yani sunucu üzerindeki Windows firewall kapalıdır ancak istemci makineler ile sunucu makine parkurları arasında fiziksel bir firewall bulunur.
Peki konumuza geri dönecek olursa, Windows firewall açık iken zaten uzak yönetim noktasında pek çok sorun yaşayacaksınız, bu nedenle Windows firewall’ u kapatmanızı tavsiye ediyorum.
Buna rağmen ben Windows firewall açık bir şekilde uzak yönetim yapmak istiyorum derseniz WinRM için varsayılan olan port numarası TCP 5895’ dir. Buna firewall dan izin vermeniz gereklidir. Tabiki kimlik doğrulama için gerekli olan portları da unutmayın.
Peki buraya kadar server manager konsol üzerinden uzak sunucuları nasıl yöneteceğimizi gördük.
Şimdi sıra geldi bunun en büyük nimetlerinden olan uzaktan role yükleme özelliğine. Ben Remote DCPROMO bağlığı altında bu konuyu inceleyeceğim.
Amacım Member olan bir makineyi Domain Controller haline getirmek, ancak bunun için gerekli olan tüm işlemleri uzaktan yapacağım.
Bu işlemlerden önce tabiki bu sunucunun temel ayarlarının yapılmış olması gerekli. Yani burada aslında en önemli ayar ip ayarlarıdır. Ama zaten bu Member bir makine olduğuna göre domainde ve bu da ip,dns ve benzeri ayarların sorunsuz olduğunu gösterir.
Şimdi bu amaçla ben yeni bir makine kurdum ve ismine RDC dedim. Şimdi DC isimli makine üzerinden bu makineyi DC rolüne yükselteceğim.
Image may be NSFW.
Clik here to view.
Sunucuyu buluyorum, sağ tıklıyorum ve “Add Roles and Features” linkine tıklıyorum.
Image may be NSFW.
Clik here to view.
Karşılama ekranını hızlı bir şekilde geçiyorum J
Image may be NSFW.
Clik here to view.
Rol bazlı bir yükleme yapacağım.
Image may be NSFW.
Clik here to view.
Hedef sunucu olarak RDC’ yi seçiyorum.
Image may be NSFW.
Clik here to view.
Active Directory Domain Services seçiyorum ve ilerliyorum
Image may be NSFW.
Clik here to view.
Ekleyeceğim herhangi bir Features olmadığı için burada herhangi bir değişiklik yapmadan ilerliyorum.
Image may be NSFW.
Clik here to view.
Yüklemeden önce son durumu kontrol ediyorum ve “install” diyerek yüklemeye başlıyorum.
Image may be NSFW.
Clik here to view.
Yükleme devam ediyor.
Image may be NSFW.
Clik here to view.
Yükleme işlemi tamamlandı.
Şimdi sıra geldi bu makineyi DC yapmaya.
Image may be NSFW.
Clik here to view.
Bunun için Server Manager Konsol üzerinde “Notification” bölümüne gelerek “Promote this server to a domain controller” linkine tıklıyorum.
Bundan sonra bildiğimiz domain kurulum sihirbazı ile devam ediyoruz.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Mutlu son, başarı ile RDC isimli makineyi uzaktan DC olarak konumlandırdık.
Evet konu olarak anlaşılması ve anlatması son derece kolay bir kavram olan Remote DCPROMO budur J bende ilk okuduğumda bu muymuş dedim ama evet bu J
Umarım faydalı bir makale olmuştur.
Bir sonraki makalemizde görüşmek üzere.
Clik here to view.