Active Directory Migration - Technet Gallery

Sayfa | 1
Active Directory Migration
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 2
1. İÇİNDEKİLER
1
HAKKIMDA ........................................................................................................................... 3
2
TEŞEKKÜRLER ....................................................................................................................... 5
3
ÖNSÖZ ................................................................................................................................. 5
4
ACTIVE DIRECTORY TEMEL KAVRAMLARI ............................................................................. 6
5
FSMO ROLLERİ NEDİR NE İŞE YARAR .................................................................................. 13
6
WINDOWS SERVER 2003' DEN WINDOWS SERVER 2008' E ACTIVE DIRECTORY MİGRATİON
15
7
WINDOWS SERVER 2008 TO WINDOWS SERVER 2008 R2 IN-PLACE UPGRADE .................. 45
8
WINDOWS SERVER 2008 R2 'DEN WINDOWS SERVER 2012 R2 'YE GEÇİŞ İŞLEMLERİ ......... 60
9
ACTIVE DIRECTORY CROSS FOREST MIGRATION ÖN HAZIRLIK - BÖLÜM 1.......................... 80
10 ACTIVE DIRECTORY CROSS FOREST MIGRATION – BÖLÜM 2............................................... 92
11 ACTIVE DIRECTORY CROSS FOREST MIGRATION ( USER & GROUP) – BÖLÜM 3 ................. 110
12 ACTIVE DIRECTORY CROSS FOREST MIGRATION (COMPUTER MIGRATİON) – BÖLÜM 4 ... 129
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 3
1 HAKKIMDA
Yaklaşık olarak 3 yıldır Bilişim sektörünün içerisindeyim. Kendimi
Active Directory ve Exchange Server üzerinde geliştirmeye
çalışıyorum. Lefke Avrupa Üniversitesi Bilgisayar Programcılığı
bölümü mezunuyum. BilgeAdam İzmir Şubesinde Sistem
Yönetimleri üzerine eğitim aldım ve 2 yıldır Microsoft
Platformlarında Sistem Yöneticiliği yapıyorum. Aynı zamanda
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 4
Windows Server 2012 Mcp ve Mcsa Sertifikalarına sahibim.
Turkish Avenger Team - Turkish Cominity Council üyesiyim.
Çalıştığım Firmadaki Görevlerim
Şirketler Grubu içerisinde var olan bütün sistemin, altyapı, ağ,
güvenlik, aktif cihaz kurulumları, sunucu kurulumlarının
tamamında sürecin içinde bulunarak hatasız bir şekilde
tamamlanmasını sağlamak. 30 den fazla olan sunucularının
tamamı (işletim sistemleri, Active Directory, domain yapıları,
wsus, exchange mail sunucularını yönetmek.
- Sunucuların bakim, yedeklemeler, arızaların tespiti ve
giderilmesi,
- Sanallaştırmalar (hyperV2 ve vmware) ve sisteme yeni
ilavelerin yapılması. Üniversite ve kolej kampüslerinde ortalama
3000 den fazla Client’ in IP dağılımı, Exchange (2010 ve 2007)
mail serverlerının yönetimi, arızalarında müdahale edilmesi
7/24 kesintisiz çalışmasını sağlamak, yedeklemeleri ve tüm
sistemin güvenliklerini sağlamaktayım. Müşteri
tarafında Windows server (2003,2008,2008 r2,2012 & R2 )
kurulumu gerekli optimizasyonun yapılarak otomatik yedekleme
vs işlemlerin ayarlanmasını sağlamaktayım.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 5
2 TEŞEKKÜRLER
Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan
anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan
URŞAR Bey ve Bilgi İşlem Müdürüm Ömer ALTAN Bey’ e beni
destekledikleri için teşekkürlerimi sunarım. Benim TAT Ekibine
Katılmamda büyük katkısı olan Davut EREN Hocamıza ve Asil MUTLU
hocamıza teşekkür ederim. Ayrıca Takım Liderimiz Gökan Özçifci
Hocamıza bana inanıp takıma aldığı için teşekkür ederim.
3 ÖNSÖZ
Günümüz şartlarında teknolojinin çok hızlı geliştiğini göz önüne
alırsak Migration kaçınılmaz hale geliyor. Bu kaynağı keyifle
okumanızı umut ediyorum. Özellikle Cross Forest Migration
firmalar için büyük bir kabus oluşturmaktadır fakat artık şirket
evililikleri çok sık yaşanan bir durum ve biz IT ciler olarak bu
duruma kendimizi hazırlamalıyız. Bu sebep ile bu doküman
umuyorum sizlere ışık tutar. Bu doküman tamamen ücretsizdir
ve paylaşılmasında sakınca yoktur.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 6
4 ACTIVE DIRECTORY TEMEL KAVRAMLARI
Merhabalar;
Bu makalemde sizlere Active Directory kavramlarını anlatacağım. Bildiğiniz üzere Domain
Kavramı Hayatımıza Windows Server 2000 ile girdi ve günümüze kadar gelişti. Microsoft
tarafında dizin kavramına bizler Active Directory diyoruz. Domain kurabilmek için Windows
Server (2000,2003,2008,2012 & R2) işletim sistemlerinden birini kullanıyor olmamız
gerekmektedir.
Active Directory İçerisindeki kavramlar ;
Forest
Tree
Domain
Domain Controller (DC)
Site
Organizational Unit (OU)
Yazmış olduğumuz ilk dcpromo komutu ile birlikte aynı zamanda forest yapımızı oluşturmuş
oluyoruz. Child Domain ise üstteki domainin adının devamını alır. Örneğin sube1.hasan.com.
Aşağıya doğru dallanıp budaklanan bu yapıya da Tree denir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 7
Eğer hasan.com dan farklı isim kullanmak istersem örneğin dimdik.com o zaman farklı bir Tree
ye başlamam gerekmektedir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 8
Yukarıda dimdik.com isimli yeni bir Tree ye başlamış olduk. Genelde Aynı firmaların yan
şirketleri bu şekilde yapılanmaya giderler ve genelde aynı admin tarafından yönetilirler. Biz
yukarıda bir ortam yaratmış olduk, bütün bu ortama verilen isme de Forest denir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 9
Bildiğimiz gibi her domain in kendi admini ve Domain Admins Grubu vardır. Yani hasan.com
Domain adminleri vardır aynı zamanda sube1.hasan.com a ait de Domain Adminleri vardır.
Peki bu domain adminler nerelere karışabilirler? Domain Admin denildiğinde direk kendi
domaininden sorumlu olduğunu anlıyoruz. Yani hasan.com Admin i sadece o
domaini,sube1.hasan.com admini sube1 den sorumludur. Yukarıdaki yapıda ismen aşağıda
olması hiyerarşik olarak aşağıda olduğu anlamına gelmez. Bütün Forest'ı yönetebilecek olan
Admin ise Enterprise Admin' dir. Enterprise Admin sadece Forest Root Domain üzerinde vardır.
Bizim ilk domainimiz hasan.com olduğu için Enterprise Admin Grubu oradadır. Hasan diye bir
kullanıcı oluşturup Enterprise Admin grubuna üye yaparsam bu kişi bütün Forest’ ı yönetebilir.
İstersek bir domainde birden fazla Domain Controller barındırabiliriz. Bunu yapmamızdaki
amaç ise hata toleransını arttırmaktır. Burada önemli olan ise ilk DC' nin özel olmasıdır. İlk
oluşturduğumuz Domain Controller lar üzerinde bazı roller bulunmaktadır ve ilk olarak hepsi
burada yer almaktadır. Bu rolleri diğer DC lere de dağıtabiliyoruz fakat hepsi şunda olsun
diyemiyoruz.
Örneğin oluşturduğumuz ilk DC çökerse veya ulaşılamaz ise kullanıcıların logon olamadığını,
saat ayarlarının bozulduğunu görürüz. Fakat diğer oluşturduğumuz DC ler için durum böle
değil, şu şekilde açıklayalım bu durumu, Root DC, dışındaki bir DC çöktüğünü varsayalım. Bu
durumda tüm yapı değil sadece o DC'de logon olan kullanıcılar etkilenir, geç logon olma gibi
problemler yaşanır fakat diğer DC lere yönlendirme yapılarak bu durum giderilebilir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 10
SITE KAVRAMI
Birden çok şubemizin olduğunu ve her birinde DC olduğunu düşünelim. İşletmemizin İzmir,
Ankara ve İstanbul şubeleri olsun. Amacımız ise her kullanıcı kendi tarafında logon olsun. Aksi
taktirde İzmir kullanıcısı İstanbul'da oturum açarsa, logon da gecikmeler olabilir. Varsayılan
ayarlarda değişiklik yapmazsanız tek bir site oluşur. Yani İstanbul, İzmir ve Ankara kullanıcıları
aynı yerdeymiş gibi gözükür. Bu durumda İzmir'deki kullanıcının İstanbul veya Ankara'da
oturum açmasına sebep olabilir. Her kullanıcının kendi lokasyonunda oturum açmasını
sağlamak için ortamı Site lara bölmeliyiz. Yani kullanıcılara İzmir, Ankara ve İstanbul Site ları
olduğunu göstermeliyiz. Kullanıcıların nerede olduğunu göstermek için işaretçi koyarız.
Örneğin bir kullanıcı Laptopu ile İzmir'den Ankara'ya gittiğinde ip’ si değişir. Bizde bu sayede
lokasyonunun değiştiğini anlarız ve Ankara’da logon olmasını sağlamış oluruz. Buradaki işaretçi
ise ip' dir .
ORGANIZATIONAL UNIT KAVRAMI
Yapımızı yönetmeye çalıştığımızda Computers ve Users diye klasör karşımıza geliyor. Örneğin
yapımda 500 kullanıcı olsun. Bütün kullanıcılarımız Users Klasörü altında oluşmuş olacak ve
işletmemizin Muhasebe, İK ve Teknik gibi bölümleri olsun. Ben Muhasebe grubuna Paint
programı kullanımını yasaklamak istiyorum fakat bütün kullanıcılar aynı klasör altında oluştuğu
için yapacağım ayar 500 kullanıcı içinde geçerli olur. Bu yüzden yapımızı Muhasebe OU, İK OU,
Teknik OU diye ayırıyoruz. Böylece Muhasebe ile ilgili bir yasaklama uygulamak istediğimizde
Muhasebe OU' suna şu yasak diyebiliyoruz. Organizational Unit' in diğer avantajı ise herhangi
bir kullanıcıya Delegation(yetkilendirme) yapabiliyor olmamızdır. Örneğin hasan kullanıcısını
yetkilendirerek Muhasebe OU' sundaki kullanıcıların şifrelerini değiştirebilmesi için
yetkilendirebiliyoruz.
Ou larımızı daha düzenli oluşturmamız için bazı yöntemler mevcuttur;
Location
Organization
Location --> Organization
Organization --> Location
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 11
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 12
Yukarıda gördüğünüz gibi OU lar yapımızı daha düzenli hale getirmek için çok önemlidir ve
aynı zamanda OU lara Group Policy ayarlarını uygulayabiliyoruz bu sayede karmaşayı
engellemiş oluyoruz. Aksi olsaydı yaptığımız bir kural bütün kullanıcıları etkileyecekti, şimdi ise
istediğimiz OU ya gerekli kuralı atayabiliriz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 13
5 FSMO ROLLERİ NEDİR NE İŞE YARAR
5 adet FSMO Rolleri Vardır;
Schema Master Role
Domain Naming Master Role
Relative Identifier Master Role
Primary Domain Controller Emulator
Infrastructure master Role
Forest Tabanlı FSMO Rolleri ;
Schema Master Role
Domain Naming Master Role
Domain Tabanlı FSMO Rolleri ;
RID Master
PDC Emulator
Infrastructure Master
Schema Master ve Domain Master Rolü Forest ortamında bir tane bulunur. Diğer roller ise her
domain üzerinde birer tane bulunabilir. Bütün rollerin hepsini aynı DC üzerine verebiliriz
veya her rolü ayrı bir DC ye dağıtabiliriz.
Rollerin işlevinden kısaca bahsetmek gerekir ise;
Schema Master Rolü Nedir - İşlevi Nedir
Schema Master olan DC Active Directory için yazma yetkisine sahiptir. Bu rolde sorun var ise
Schema genişletme gibi işlemlerde problem yaşanır. Basit bir örnek vermek gerekirse
Exchange kurduğumuzda active directory schema genişletiriz, bunda problem çıkabilir.
Schema update ler bu rolü üstlenmiş DC üzerinde gerçekleşir.
Domain Naming Master Rolü Nedir - İşlevi Nedir
Forest' a yeni katılacak olan DC eklenmesi ve çıkarılmasından sorumludur. Bu rol olmasaydı 2
farklı bilgisayar aynı Forest a aynı DC eklenmesi durumu ortaya çıkabilir. Varsayılan olarak bu
rolün sahibi root DC dir. Active directory' nin kurulduğu ilk root DC dir. Önemli nokta ise
bulunduğu makina aynı zamanda Global Catalog Server olması gerekmektedir. Çünkü Global
Catalog ortamda aynı isimli domain oluşturuldu mu diye kontrol edilecektir.
Primary Domain Controller (PDC) Emulator Rolü Nedir Rolü Nedir - İşlevi Nedir
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 14
Domain Şifre değişikliğinde Active Directory' nin kurulduğu makina PDC rolünün yüklü olduğu
makinayı arar. Eğer iki makina arasında replikasyon sağlanmaz ise o an için şifre doğru olsa
dahi oturum açılamaz logon deny hatası alınır. PDC olan makina aynı zamanda Time Server
olarak çalışır. Yani logon olan client lar kendi sistem saatlerini PDC Emulator’ un sistem saatine
senkron ederler. PDC Emulator diğer roller arasında en yoğun çalışanıdır. Bu sebep ile bu rolün
seçileceği makinanın performansı iyi olmalıdır.
Relative Identifier Master Rolü Nedir – İşlevi Nedir
Yeni bir user, grup veya bilgisayar hesabı oluşturduğumuzda otomatik olarak SID numarası
verilir. Buna örnek vermek gerekirse hepimizin TC kimlik numarası gibi. Ortamımızda birçok
Additional DC var ise her birinden kullanıcı açtığımızı varsayar isek SID numaraları farklı olmak
zorundadır. Bunun kontrolünü RID yapar.
Infrastructure Master Rolü Nedir – İşlevi nedir
Forest yapımızda birden çok domainimiz var ise gereklidir. izmiruniv.local ve
deneme.izmiruniv.local isimli iki domainimiz olduğunu varsayalım. izmiruniv.local de
oluşturulan Hasan isimli kullanıcı deneme. izmiruniv.local domainindeki bilgi işlem grubuna
üye olsun. Hasan kullanıcısının adını izmiruniv.local üzerinde HasanDimdik olarak değiştirirsek
alt domaindeki değişikliği yapan Infrastructure Master Rolüdür. Burada Önemli olan nokta ise
Global Catalog ve Infrastructure Master rolü aynı makinada olmamalıdır. Çünkü bu rol her şeyi
bildiği için update e ihtiyaç duymayacaktır.
Rollerle ilgili dikkat etmemiz gereken unsurları toparlayacak olursak;
Domain Naming Master = Global Catalog olan DC de bulunmalı
Infrastructure Master = Global Catalog olan DC de bulunmamalı
PDC Emulator = Çok iş yaptığı için performanslı bir DC de olmalı
Son olarak İse Global Catalog Nedir? Bundan da kısaca bahsedelim.
Active Directory' deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu
barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 15
6 WINDOWS SERVER 2003' DEN WINDOWS SERVER 2008' E
ACTIVE DIRECTORY MIGRATION
.
Ön Gereksinimler
Sunucuların birbirine erişebilmeleri gerekmektedir.
Her iki sunucuda time zone' ların aynı olması gerekmektedir.
Windows Server 2008 sunucu ilk Dns kendisi ikinci Dns olarak Windows Server 2003 olmalı
RID - PDC - Infrastructure master -domain Naming Master ve Schema Master rollerinin hangi
sunucuda olduğu bilinmeli.
Aşağıda DC üzerindeki Active Directory altında yer alan objeleri görüyoruz.
İlk olarak Fsmo rolleri nerede görmek için netdom query fsmo komutunu kullanmalıyız fakat
bunu kullanmak için Windows Server 2003 cd içerisinde support > support.cab i C sürücüsü
altına support klasörü açarak çıkarıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 16
Gördüğünüz gibi bütün Fsmo rollerim dc01.hasan.local makinası üzerinde.
Not: Ortamda tek sunucu olduğu için bu şekilde. Sizin şirket yapınıza göre, roller dağıtık yapıda
bulunabilir.)
Daha sonra ise Windows Server 2008 Makinamı Domain' e üye yapıyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 17
İşlem bittikten sonra makinam restart oluyor. Makinam Domain' e dahil olduktan sonra ADC
olarak yapılandırmam gerekiyor bunun için run> dcpromo yazıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 18
Biz varolan bir yapıya DC02 Makinamızı ADC olarak ekleyeceğimiz için Add a domain controller
to an existing domain seçiyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 19
Burada herhangi bir değişiklik yapmadan devam ediyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 20
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 21
Bu adımdan sonra veya bu adımlara başlamadan önce yapmamız gereken bazı işlemler var ;
* Adprep /Forestprep : Schema Master rolüne sahip olan sunucu üzerinde yapılmalıdır. (
Schema Admin Hakkınızın olması gerekmektedir )
* Adprep /Domainprep : Infrastructure Master rolüne sahip sunucusu üzerinde yapılmalıdır.
(Domain Admins Hakkınızın olması gerekmektedir )
* Adprep /Domainprep /Gpprep : Infrastructure Master rolüne sahip sunucusu üzerinde
yapılmalıdır./Domain Admins Hakkınızın olması gerekmektedir )
* Adprep /Rodcprep : Ortama Read-Only Domain Controller kuracak iseniz, bu komutu
koşturmanız gerekli, aksi halde gerek yoktur. Opsiyonel bir komuttur.
İlk olarak Forest yapımızı Windows Server 2008 için uygun hale getiriyoruz. Bunun için adprep
/forestprep komutunu çalıştırıyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 22
adprep /domainprep komutunu çalıştırdığımızda aşağıdaki gibi bir mesaj alıyoruz.
Bu adımı geçebilmemiz için ;
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 23
Domain Fonksiyonel seviyemizi Windows Server 2000 native veya Windows Server
2003 yapıyoruz. Zaten yukarıdaki mesajda Native Mod da olmadığını söylüyordu.
Adımımızı tekrar uyguluyoruz ve sorunun ortadan kalktığını görüyoruz. Domain yapımızı
Windows Server 2008 için uygun hale getirmiş oluyoruz.
Son olarak ise adprep / domainprep / gpprep komutunu çalıştırıyoruz. Bu komut ile Group
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 24
Policy ler için ortamımı hazırlamış oluyorum.
Daha sonra ADSI Edit üzerinden object versiyonumuzu kontrol etmeliyiz fakat Windows Server
2003 üzerinde hazır halde gelmemektedir. Bunun için şu adımı izlemeliyiz ;
[cdpath]:\SUPPORT\TOOLS\SUPTOOLS.MSI
Yukarıdaki adımı izledikten sonra suptools.msi çalıştırıyoruz .Bu işlemleri yaptıktan sonra run >
adsiedit.msc
Schema [dc01.hasan.local] altında yer alan klasörünü sağ tıklayıp Properties açıyoruz. Aşağıda
İşletim Sistemlerine göre versiyon numaralarını görüyoruz.
Windows 2000 (W2K) : 13
Windows Server 2003 (W2K3) : 30
Windows Server 2003 R2 (W2K3 R2) : 31
Windows Server 2008 (W2K8) : 44
Windows Server 2008 R2 (W2K8 R2) : 47
Windows Server 2012: 56
Windows Server 2012 R2: 69
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 25
İşlemimize kaldığımız yerden devam ediyoruz. Karşımıza çıkan uyarıda adprep
/rodcprep çalıştırmadığımızı söylüyor bu önemli değil çünkü yapımda RODC bulunmamaktadır.
Eğer yukarıdaki adprep komutlarımı çalıştırmayıp Forest, Domain Attribute genişletmeseydim
bu adımda hata alıyor olacaktım:
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 26
Tek bir site olduğu için devam ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 27
DNS ve Global Catalog seçili olarak devam ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 28
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 29
Log , SYSVOL ve Database dosyalarımın nerede tutulacağını belirtiyorum.(Değişiklik
yapmıyorum )
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 30
Restore Mode için şifre belirliyorum
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 31
Kurulumumuz başladı.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 32
İşlem bittikten sonra Windows Server 2003 makinama gidiyorum ve Domain Controllers altına
baktığımda DC02 makinamın da geldiğini görüyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 33
NTDS altında da kontrolümü yapıyorum. Replikasyonlarımda herhangi bir problem yok.
Şimdi ise yapmamız gereken Fsmo Rollerini ADC olan makinamızın üzerine almak. Şu an için
bütün rollerim dc01.hasan.local üzerinde .
İlk olarak RID ,PDC ve Infrastructure rollerimi alıyorum. Bunun için Active Directory Users and
Computers açıyorum ve hasan.local üzerindeyken Operation Masters açıyoruz. Daha sonra
Change diyerek RID,PDC ve Infrastructure için bu adımları uyguluyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 34
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 35
netdom query fsmo komutu ile tekrar Fsmo rollerimi kontrol ediyorum ve başarılı bir şekilde
RID, PDC ve Infrastructure' ın dc02.hasan.local makinasına geçtiğini görüyorum.
Şimdide Active Directory Domain and Trust açıyoruz ve sağ tıklayıp Operations Master'
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 36
ı açıyoruz. Change diyerek rolü dc02.hasan.local makinamıza alıyoruz.
Son olarak ise Schema Master rolünü taşıyoruz. Başta Schema Master rolünü bulabileceğimiz
bir yer yok. Bu işlemi yapabilmemiz için ;
run > regsvr32.exe schmmgmt.dll
Daha sonra ise MMC konsolunu açıyoruz .
File > Add/Remove Snap-in i açıyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 37
Sol tarafta Active Directory Schema' yı görüyoruz Add ile sağ tarafa alıyoruz ve ok ile işlemimizi
tamamlıyoruz.
Açılan pencerede Active Directory Schema [dc01.hasan.local] üzerinde sağ tıklayıp Change
Active Directory Domain Controllers açıyoruz . dc02.hasan.local' i seçiyoruz .
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 38
Daha sonra ise Schema Master rolünü dc02.hasan.local üzerine alıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 39
İşlem bittikten sonra tekrar netdom query fsmo ile kontrolümü yapıyorum ve rollerimin
hepsinin taşınmış olduğunu görüyorum.
Son olarak her şey sağlıklı çalışıyor ise Windows Server 2003 DC makinamı dcpromo ile
Domain Controller olma özelliğini düşürüyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 40
Aşağıdaki gibi bir uyarı ile karşılaşıyorsanız kaldırma işleminde yapmanız gereken Windows
Server 2003 makinam üzerinde Active Directory Sites and Services' ı açmak
DC01 > NTDS Settings özelliklerini açıyoruz ve seçili olan Global Catalog' u kaldırıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 41
İşlemimize kaldığımız yerden devam edelim yapımdaki son Domain Controller olmadığı için
kutucuğu işaretlemeden devam ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 42
Local Admin hakkı ile oturum açması için makinamızın şifresini giriyoruz.
Kaldırma işlemim bittikten sonra Windows Server 2008 Active Directory Users and Computers
açıyoruz her şeyin geldiğini görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 43
Daha sonra isterseniz Fonksiyonel seviyenizi yükseltebilirsiniz.
Yükselttikten sonra ADSI.Edit altında yukarıda bahsetmiş olduğumuz adımları izleyerek object
Version değerimize bakıyoruz ve 44 olduğunu görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 44
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 45
7
WINDOWS SERVER 2008 TO WINDOWS SERVER 2008 R2
IN-PLACE UPGRADE
Teknolojinin gelişmesi ile birlikte serverlar ve işletim sistemleri de gelişti ve biz Bilgi İşlemciler
olarak da Server işletim sistemlerini çıkan en yeni özelliklerden yararlanmak için göç ettirmeye
başladık Bu bölümde ise In-Place Upgrade(yerinde yükseltme) işlemini anlatmaya çalışacağım.
Benim yapımda Windows Server 2008 Standart sürüm bulunmaktadır ve bu server DC olarak
yapılandırılmıştır, ayrıca bütün FSMO rolleri üzerindedir.
Kısa bilgiden sonra nasıl yapılacağını anlatmaya geçelim.
Server Migrate veya In-Place işlemleri olsun ilk kontrol edilmesi gereken ip bilgileri ve dns
bilgileridir. Daha sonra ise Active Directory Domain and Trust altında bulunan Forest ve
Domain Functional Level seviyelerini kontrol etmektir. Güvenlik duvarı açık ise kapatılması
gerekebilir.(Benim anlatımımda açıktı)
In-Place Upgrade için bilmemiz gerekenler;
Farklı diller arasında yükseltme yapılamaz
Server Core sürümünden Gui'ye direk yükseltme yapılamaz (istenirse upgrade işleminden
sonra yapılabilir)
32 mimariden 64 bit mimariye yükseltme yapılamaz
Upgrade için uyumluluk tablosuna buradan bakabilirsiniz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 46
Her şeyin düzgün şekilde çalıştığından emin olduktan sonra ise yükseltmeyi yapacağımız
sunucumuza Windows Server 2008 R2 medyasını takıp Forest ve domain hazırlık(preparation)
işlemlerini yapıyoruz.
Medyamız içerisinde yer alan support klasörü altındaki adprep.exe aracını kullanıyoruz.
Sırası ile ;
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 47
D:\support\adprep>adprep /forestprep
D:\support\adprep>adprep /domainprep komutlarını çalıştırıyoruz. Bu şekilde Schema ve
Domain Partition yapılarını güncellemiş oluyoruz. Bu işlemler sonucunda Windows Server
2008 Domain ve Forest yapınızı Windows Server 2008 R2'ye yükseltmek için hazır hale
getirmiş olduk. Eğer bu adımları yapmasaydık işlemler sırasında hata alacaktık ve bize Active
Directory Preparation adımlarını yapmamız gerektiğini söyleyecekti.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 48
İşlemlerimiz başarılı bir şekilde bittikten sonra, kurulum medyamızı çalıştırıyoruz. Bu adımda
güncellemeleri yapayım mı diye soruyor (Ben hayır ile Devam ettim) . Do not get latest
updates for installation seçerek devam ediyorum
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 49
Windows Server 2008 R2 Standart kuracağım, seçip devam ediyorum.
Karşımıza Upgrade ve Custom (advanced) geliyor. Ben var olan bir yapıyı yükselteceğim için
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 50
Upgrade seçeneği ile devam ediyorum
Hata almadık ve bize uyarı çıkardı, devam etmeden uyumlukları ve Windows Server 2008
R2'ye yükseltmeyi destekleyip desteklemediğini kontrol edin diyor. Tamam deyip kontrol
ediyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 51
İşlemimiz başladı ve kahve molası veriyoruz :))
İşlemimiz bittikten sonra sunucumuz restart oluyor ve Windows Server 2008 R2 Standart
sürümüne yükseldiğini görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 52
ADSI Edit seçeneğine gelip kontrollerimizi yapıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 53
msDS-Behavior-Versions : Forest Functional Seviyesi
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 54
Referans : msdn.microsoft.com/en-us/library/cc223743.aspx
Yukarıda gördüğümüz üzere Forest Fonksiyon seviyemiz Windows Server 2008
gözükmektedir. İsterseniz Forest Fonksiyonel Seviyesi ve Domain Fonksiyonel Seviyesini
Windows Server 2008 R2 olarak değiştirebilirsiniz. Eğer işlemleri yaparken problem çıkarsa
Rollback ile işletim sistemimiz eski haline dönüyor. Genelde Server işletim sistemleri
yükseltmelerinde In-Place Upgrade tercih edilmeyen bir yöntemdir.
Neden Riskli ve Çok Tercih Edilmiyor ;
Upgrade sırasında sunucu hizmet veremez
Upgrade sonrasında donanımsal problemler çıkabilir
Yazılımsal hatalar çıkabiliyor.
Hata olması durumunda geri dönmesi zor olabiliyor.
Windows Server 2008 R2 FSMO Seize İşlemi
Migration işlemlerinde bildiğiniz üzere FSMO rollerini arayüzden veya ntdsutil aracılığı ile
taşırız, peki taşımak istediğimiz sunucu çöktüyse bu işlemi nasıl yapacağız. Seize işlemi ile bunu
yapabiliyoruz yani zorla alıyoruz.
Yapımda
1 adet Windows Server 2008 R2 (DC) eski.hasan.local 10.10.10.1/8
1 adet Windows Server 2008 R2 (ADC)backup.hasan.local 10.10.10.8/8 makinalarım
mevcut ve yapımda hizmet veren Dc ve Adc sunucum var. Varsayalım ki DC makinam hizmet
veremez halde FSMO rollerini ADC üzerine almamız gerekiyor. Bunun için şu adımları
izlememiz gerekiyor ;
DC makinam üzerinde netdom query fsmo yazarak rollerin bulunduğu sunucuları buluyoruz.
Gördüğünüz üzere hepsi aynı sunucuda.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 55
DC makinamın ethernetini pasif hale getirdim :)) gördüğünüz gibi artık ulaşamıyorum.
Seize işlemini yapabilmem için ;
cmd> ntdsutil > roles>connections > connect to backup diyerek bağlanıyoruz. Bağlandıktan
sonra q diyerek çıkıyoruz. Gördüğünüz gibi aşağıdaki adımda hatalı girdiğimde invalid
syntax hatası alıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 56
fsmo maintenance : ? yapabileceklerimizin listesini bize çıkarıyor. Biz seize işlemi yapacağız(
çünkü DC'ye erişemiyoruz)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 57
Yazacağımız komutlar şunlardır;
seize infrastracture master
seize naming master
seize pdc
seize rid master
seize schema master
Pdc seize işlemi ile başlıyorum ( ilk şu rolden başlayacağız diye bir kural yok onun için bu
opsiyoneldir )
fsmo maintenance : seize pdc diyorum evet diyorum .Onayladıktan sonra uzunca bir satır yazı
çıkacak , biraz dikkatli incelerseniz seize işlemi yapıyor olsak dahi, ilk başta rolü transfer
etmeyi deniyor ve hata alıyor daha sonra Seize işlemini yapıyor.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 58
Gördüğünüz gibi PDC başarılı bir şekilde ismi backup olan ADC makinama taşındı.
Aşağıda fark etmişsinizdir seize infrastracture master yerine seize inf m yazdım. Bu şekilde
kullanmanızda hiç bir sakınca yoktur. ( Ben gerçek sunucularda tamamen yazmayı tercih
ediyorum )
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 59
Diğer roller içinde aynı adımları uygulayacağımız için tek tek yapmıyorum. Aşağıdaki komutları
kopyala yapıştır ile alabilirsiniz :)
seize infrastracture master
seize naming master
seize pdc
seize rid master
seize schema master
Yukarıdaki adımları bütün roller için uyguladıktan sonra cmd > netdom query fsmo ile kontrol
ediyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 60
İşlemlerimizi başarılı bir şekilde yapmış olduk. Daha sonra active directory users and compuers
> Domain Controllers altından bilgisayar isimi eski olan DC makinamı kaldırıyorum.
8 WINDOWS SERVER 2008 R2 'DEN WINDOWS SERVER
2012 R2 'YE GEÇİŞ İŞLEMLERİ
Bu bölümde Windows Server 2008 R2 den Windows Server 2012 R2 ' ye geçiş işlemlerini
anlatıyor olacağım.
Yapımdan kısaca bahsedeyim;
Windows Server 2008 R2 ( Domain Controller ) - 192.168.1.1/24 - Bilgisayar ismi: eskidc
Windows Server 2012 R2 -192.168.1.2/24 -Bilgisayar İsmi:yenidc
Makale boyunca izleyeceğimiz adımlar;
Bilgisayarlar arasında iletişim var mı? Bu durumu engelleyen güvenlik duvarı varmı ?
Windows Server 2012 Makinamız ilk DNS olarak kendini ikincil DNS olarak ise Windows Server
2008 R2'yi gösterecek
Windows Server 2012 Makinamızı domain e dahil edeceğiz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 61
Windows Server 2012 makinamızı ADC olarak yapıya ekleyeceğiz
FSMO Rolleri Hangi Makina veya makinalar üzerinde bilmeliyiz.
FSMO Rollerini Windows Server 2012 R2 makinamıza alacağız
Windows Server 2008 R2 makinamızı ortamdan çıkaracağız
İlk olarak Windows Server 2012 R2 makinamı domain e dahil ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 62
Windows Server 2012 ile birlikte dcpromo komutu yok malesef :(( Bütün işlemler Dashboard
üzerinden yapılıyor. Server Manager > Dashboard > Add Roles and Features
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 63
Role Based kurulum yapıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 64
Kurulum yapacağım Server makinamı gösteriyorum.
Active Directory Domain Services’ ı seçiyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 65
Windows Server 2012 R2 ile birlikte Role seçtikten sonra karşımıza Features sekmesi geliyor.
Windows Server 2008 R2 ' ye kadar bu iki sekme ayrıydı ve ayrı ayrı kurulum yapıyorduk.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 66
Ve kurulumumuz başlıyor.
Kurulum bittikten sonra yine Windows Server 2012 R2 ile hayatımıza giren Promote the
Server to a domain controller'ı seçiyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 67
Biz varolan yapıya Windows Server 2012 R2 makinamızı ADC olarak kuracağız.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 68
DNS ve GC özelliklerinin de kurulmasını istiyorum.
Replikasyonumuzu eskidc.hasan.local üzerinden yapacağız. Aslında varsayılanda gelen şekilde
bıraksaydım da sorun olmazdı.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 69
Active Directory Database folder, Log Files ve Sysvol dosyalarının tutulacağı yeri görüyoruz ve
değiştirmeden devam ediyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 70
Windows Server 2012 ile gelen bir özellik daha karşımıza çıkıyor. Daha önceki Windows Server
sürümlerinde ADPREP adımlarını tek tek uyguluyorduk. Windows Server 2012 bunları bizim
yerimize yapıyor fakat burada dikkat etmemiz gereken bu adımların yapılabilmesi için Schema
Admin ve Enterprise Admin haklarının bulunması gerekmektedir.
Windows Server 2012 ile gelen yeni bir özellik ise kuruluma geçmeden önce ön bir kontrol
yapıyor olması bu sayede sistemimizin daha sağlıklı olmasını da sağlamış oluyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 71
Windows Server 2012 makinamız Domain Controllers altına geldiğini görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 72
Şimdi yapmamız gereken ise FSMO rollerini Windows Server 2012 R2 makinamız üzerine
almak. Hemen kontrol edelim bunun için netdom query fsmo komutunu çalıştırıyoruz. Bütün
roller Windows Server 2008 R2 makinamız üzerinde olduğunu görüyoruz.
Bu barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan
özelliklerdir. Kısa bilgiden sonra FSMO rollerini taşıyalım.
cmd > ntdsutil >roles> connections > connect to server yenidc.hasan.local ( kendi yapınıza göre
editleyiniz ) bağlandıktan sonra
server connections : q ile çıkıyoruz
fsmo maintenance : ? ile neler yapabileceğimizi görebiliriz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 73
Biz FSMO rollerini transfer edeceğiz;
fsmo maintenance : Transfer infrastructure master
Transfer naming master
Transfer PDC
Transfer RID master
Transfer Schema master komutlarını sırasıyla çalıştırıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 74
Transfer işlemi bittikten sonra netdom query fsmo komutu ile tekrar kontrolümüzü yapıyoruz
ve FSMO rollerinin Windows Server 2012 R2 üzerine geçtiğini görüyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 75
Windows Server 2008 R2 makinamızda Global Catalog özelliğini kaldırıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 76
Ve sunucularımızın haberi olması için Replicate Now diyoruz ( Her iki sunucu da yapılması
gerekiyor)
Dcpromo komutu ile varolan Windows Server 2008 R2 makinamızı ortamdan kaldırıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 77
Biz sadece Windows Server 2008 R2 makinamızı ortamdan kaldıracağımız için Delete the
domain because the server is the last domain controller in the domain kutucuğunu
seçmiyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 78
Local Admin hakkı ile oturum açması için makinamızın şifresini giriyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 79
Domain Controllers altında sadece Windows Server 2012 R2 makinamız olduğunu görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 80
Windows Server 2008 R2 makinamızı Computers altında görebiliriz.
Son olarak ise Forest bazlı ve domain bazlı fonksiyon seviyesini Windows Server 2012 R2
yapıyoruz.
9 ACTIVE DIRECTORY CROSS FOREST MIGRATION ÖN
HAZIRLIK - BÖLÜM 1
Birinci bölümümüzde Cross Forest Migration ön hazırlık işlemlerini anlatacağım. Cross Forest
Migration Nedir ile söze başlarsak, iki farklı domain yapısının aynı çatı altında toplanmasıdır.
Örnek vermek gerekirse hasan.local diye domain yapım var ve aynı zamanda dimdik.local diye
farklı bir firmanın domain yapısı var. Bir gün bu firmalar birleşme kararı aldı ve artık domain
olarak hasan.local ile devam edileceğini fakat dimdik.local içerisinde yer alan kullanıcıların ve
bilgisayarların vs, hasan.local altında devam etmelerini istiyoruz. İşte bu tarz migration
işlemine Cross Forest Migration deniyor. Bu bölümde yapımızı hazırlıyor olacağız.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 81
İlk olarak yapmamız gereken her iki tarafa conditional forward ile diğer domaindeki isimleri
çözebilir hale gelmesini sağlamak olacak. Bunun için şu adımları izleyeceğiz;
Dns Manager > Conditional Forwarders daha sonra da karşı tarafın bilgilerini giriyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 82
Aynı adımı burada da kullanıyoruz tek değişiklik hasan.local bilgilerini girmek olacak
İkinci adımımızda ise iki tarafın birbirine güvenmelerini sağlamak olacak. Bunu da Trust ilişkisi
ile yapıyoruz. Bunun için;
Active Directory Domains and Trusts > hasan.local > Properties
Trust sekmesini açıyoruz ve yeni bir Trust oluşturmak için New Trust diyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 83
Bizi hoşgeldin beşgittin wizard’ı karşılıyor
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 84
Burada kimin ile Trust ilişkisi kuracaksak onun domain ismini giriyoruz.
Karşımıza iki seçenek geliyor;
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 85
Forest Trust : İlk olarak forest trust geçişkendir(transtive) yani sadece tek bir domain değil
bütün forest forest birbirine güvenmiş oluyor. Bunu yapabilmek için tek şart forest seviyemizin
minimum Windows Server 2003 olması gerekmektedir.
External trust: Geçişken değildir(nontranstive) ve trust ilişkisini bağladığım domainlere
güvenir. Yapınızda tek domain var ise rahat olabilirsiniz her iki seçeneği de seçebilirsiniz.
Çift taraflı trust ilişkisi kuruyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 86
Bu adımda Both this domain and the specified domain seçiyoruz.
Burada dimdik.local’in admin kullanıcısının bilgilerini giriyoruz. İşlemi hasan.local üzerinde
yaptığımızı unutmayalım !
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 87
Burada Domain-wide authentication sekmesini işaretliyoruz. Aralarındaki fark ise şudur.
Domain wide authentication seçersem trusted domain içerisindeki veya altındaki bütün
kullanıcılar, gruplar trust olan domain içerisindeki kaynaklara erişim sağlayabilir. Eğer Selective
authentication seçer isem, yapımız daha güvenli hale geliyor ve trust içerisindeki domain
controller kaynaklarına erişim için tek tek izin vermemiz gerekiyor. ( Domain-wide yaparken iki
kere düşünün, Authenticated Users read hakkı ile geliyor !!! )
Bu adım kontrol amaçlıdır Trust’ın çalışıp çalışmadığını kontrol edelim mi diye soruyor.
Kontrolden zarar çıkmaz :)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 88
Trust ilişkimizin oluştuğunu görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 89
Bir sonraki adımımız ise kullanıcı yaratmak, hasan.local tarafında oluşturduğumuz admt
kullanıcısını domain admins grubuna ekliyoruz aynı zamanda dimdik.local deki bilgileri veya sid
leri okuyabilmesi için dimdik.local’in administrators grubuna ekliyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 90
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 91
ve admt kullanıcımızı dimdik.local’in Administrators grubuna ekliyoruz
İkinci bölüme geçmeden alet çantasında bulunması gerekenler;
http://www.microsoft.com/en-us/download/confirmation.aspx?id=21844
http://www.microsoft.com/en-us/download/confirmation.aspx?id=8377
http://www.microsoft.com/en-us/download/confirmation.aspx?id=10370
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 92
10 ACTIVE DIRECTORY CROSS FOREST MIGRATION – BÖLÜM
2
Birinci bölümümüzde Cross Forest Migration için ortamımızı hazırlamıştık. Bu bölümde ise
gerekli olan programların kurulumunu gerçekleştireceğiz ve gerekli gpo uygulamalarını
gerçekleştireceğiz. Aşağıdaki resim aslında bu bölümü özetliyor neyi nerde yapacağımızı
sizlere gösteriyor.
Bölüm 1 sonunda ihtiyacımız olan programların linklerini sizlerle paylaşmıştım. İlk olarak Sql
kurulumu ile başlıyoruz. ( Kurulum içerisinde bazı resimleri atladım o kısımlarda herhangi bir
değişiklik yapmanıza gerek yoktur)
1 ) SQL Kurulumu (Hedef Domain Üzerinde Kurulacak)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 93
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 94
Configuration check başarılı bir şekilde tamamlandı.( warning sorun teşkil etmiyor)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 95
Bu adımda herhangi bir değişiklik yapmadan kuruluma devam ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 96
Kurulumu Windows Authentication Mode‘da yapıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 97
Değişiklik yapmadan devam ediyoruz. Daha sonraki adımlarda da değişlik yapmadan next next
finish :)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 98
2)ADMT Kurulumu (hedef domain üzerinde kurulacak )
İkinci adımda Active Directory Migration tool ‘u kuruyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 99
Bu adımda sql database gösteriyoruz ( .\SQLEXPRESS)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 100
Varsayılan ayarda devam ediyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 101
3) SID History Filter Disable Etme ( Hedef Domain üzerinde yapılacak – hasan.local )
Neden SID filter disable ederiz sorusuna cevap vermek gerekirse;
Eski domaindeki kullanıcımızı yeni bir domain ortamına taşıdığımızda, eski domaindeki sid
bilgilerinin yeni domaine taşınması gerekmektedir tabi eğer taşıma işleminden sonra hala eski
domaindeki kaynaklara erişmesini isterseniz. SID bilgisini görmek için;
dsquery * -filter “&(objectcategory=user)(samaccountname=user)” -attr objectsid eğer bu
komutu yazdıktan sonra iki adet çıktı alırsanız ikincisi sid history dir. SID ne demek olduğunu
daha da sadeleştirmek gerekirse ve buna bir örnek vermek gerekirse bizlerdeki tckimlik
numarasını karşılığına gelmektedir ve kullanıcı için nerede hangi hakları olduğunu
söylemektedir. Herkesin aklına şu soru gelebilir ee peki iki aynı kullanıcı ismi varsa burada nasıl
ayrım yapıyor onu da şu şekilde yapıyor RID(relative identifier) dediğimiz bir değer ile ve bu
değer benzersizdir. Uzatmadan özetlemek gerekirse migration’ dan sonra kullanıcı eski
kaynaklara erişsin diyorsanız sid bilgilerini almanız gerekmektedir. Bunun içinde Sid History
Filtering Disable konumuna getirmeniz gerekmektedir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 102
Yukarıda gördüğünüz komut External Trust için geçerlidir. Eğer siz Forest Trust yaptıysanız şu
komutu kullanmanız gerekmektedir;
netdom trust trustingDomain(dimdik.local) /domain:trustedDomain(hasan)
/enableSIDhistory:yes /usero:domainadministrator( administrator)
/passwordo:domainadminpass
4) ADMT Password Migration Dll Kurulumu ( Kaynak domain üzerinde kurulacak -dimdik.local )
Daha sonraki adımımızda ise dimdik.local üzerindeki şifreleri alabilmek için bir tool kurmamız
gerekmektedir. ADMT Password Migration DLL ile kaynak domaindeki şifreleri de migrate
edebileceğiz.
Burada dikkat etmemiz gereken küçük bir püf noktası var, aşağıda yazmış olduğum
komutu hedef domain üzerinde uyguluyoruz yani benim yapımda hasan.local ;
admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat” Bu komut sonunda bize
key file verecek bu key file’ı kaynak domaine kopyalıyoruz.(dimdik.local)
Bu komutu şu şekilde şifreleyerek de oluşturabilirsiniz.
admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat” /keypassword:
[Password] bu şekilde yaparsanız oluşturduğunuz key file karşı tarafta browse ederken şifreyi
isteyecektir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 103
Son olarak ise kaynak domain(dimdik.local) üzerinde programımızın kurulumunu yapıyoruz.
Hedef domain’ den aldığımız key file burada gösteriyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 104
Yetkili kullanıcıyı tanımlıyoruz ve devam ediyoruz (Local System Account üzerinde de
denemiştim sorunsuz şekilde aldım)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 105
Daha sonra ise sunucumuzu restart ediyoruz.
Eğer kurulumu yapıp bu şekilde bırakırsanız Password migrate ederken başarısız olacaksınız.
Bu durumla karşılaşmamak için services.msc > Password Export servisini start konumuna
getirmeniz gerekmektedir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 106
5 ) Bilgisayar Taşıma için Ön hazırlıklar ;
Yukarıdaki hatayı alıyorsanız tahminen iki sebepten kaynaklanıyordur, Firewall açık olması
veya yetkili kullanıcımızın local admin hakkının olmamasından kaynaklanmaktadır.
İlk yapmamız gereken kaynak domain üzerinde domain local ve grup tipi security olan grup
yaratıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 107
Yaratmış olduğumuz gruba hedef domaindeki yaratmış olduğumuz admt kullanıcısını üye
yapıyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 108
Son olarak ise Group policy yapılandırmamız gerekmektedir.
Comp Conf > Windows Settings > Security Settings > Restricted Group
Gruba admt kullanıcımızı eklemiş olduğumuz ADMT mig ekliyoruz.
Bu grubuda Administrators grubuna üye olduğunu belirtiyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 109
İkinci yöntem ise;
net localgroup administrators “hasan\domain admins” /add bat uzantılı olarak kaydedin ve
gpo ile startup script olarak atayın.
Son olarak ise Firewalları kapatın.
Evet, sonunda tüm yapımızı migrate etmek için hazır hale getirmiş bulunuyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 110
11 ACTIVE DIRECTORY CROSS FOREST MIGRATION ( USER &
GROUP) – BÖLÜM 3
Bu bölümümüzde kullanıcı ve grupların nasıl taşınacağını ve taşırken nelere dikkat etmemiz
gerektiğinden bahsedeceğiz. Bütün adımlarımızı hedef domainimiz üzerinde kurmuş
olduğumuz admt tool ile gerçekleştireceğiz.
Bu bölümde ve diğer bölümümüzde sırası ile;
Group Account Migration
User Migration
Security Translation Migration (bölüm 4 )
Computer Migration (bölüm 4 ) anlatıyor olacağım.
1) Group Account Migration
Admt tool’u açıyoruz ve Group Account Migration Wizard seçeneğini seçiyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 111
Source domain kısmına grupları nereden alacağımızı yazıyoruz. Ben dimdik.local‘ deki
kullanıcıları hasan.local‘ e taşımak istediğim için source domain : dimdik.local , taşımak
istediğim yer hasan.local olduğu için target domain: hasan.local olacak.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 112
Karşımıza iki seçenek geliyor. İkinci seçenekte gruplarınızı daha önceden csv. formatında
kaydettiyseniz Read object from an include file seçeneğini kullanabilirsiniz. Select groups from
domain seçeneği ile devam ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 113
Add seçeneği ile hangi grupları taşıyacaksak burada seçiyoruz. Bu adımda önemli olan grupları
taşıma sıramız;
Universal Group
Global Group
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 114
Domain Local sıralaması ile taşımalısınız.
Bu adımda hedef domain üzerinde objelerimizi nereye taşıyacağımızı belirliyoruz. Karışıklık
olmaması için dimdik.local diye OU tanımladım ve tüm kullanıcı grup ve bilgisayarlarımı
belirtmiş olduğum OU ya taşıyacağım. Bu şekilde oluşabilecek karmaşanın önüne geçmiş
oluyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 115
Aşağıdaki adımları kullanıcıları taşırken anlatıyor olacağım.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 116
Eğer böyle bir hata ile karşılaşırsanız muhtemelen SID Filterin Enable olarak kaldığı için olabilir
bir önceki bölümde bahsetmiştim. İkinci bölümü inceleyerek daha fazla bilgi sahibi olabilirsiniz.
SID Filtering kapatmak için aşağıdaki komutu çalıştırıyoruz.
admt kullanıcıma gerekli yetkiyi vermiştim. Bilgilerimi giriyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 117
Objelerde herhangi bir değişiklik yapılmasını istemediğimden varsayılan şekilde devam
ediyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 118
Aşağıdaki adım önemli; aşağıdaki olayı örnekle açıklayalım. Örneğin; hasan.local üzerinde x
kullanıcım var. Diğer tarafta da x kullanıcım olduğunu varsayalım. Böyle bir durumda Do not
migrate source object if a conlict is detected in the target domain seçilirse kullanıcıyı
taşımayacaktır. Migrate and merge conflicting objects seçilirse;
Before Merging remove user right for existing target accounts: Taşıma işlemi sırasında hedef
domaindeki varolan kullanıcının haklarını silmiş oluyoruz.
Before Merging Remove Members From Existing Target Group Accounts : Group içerisinde aynı
isime sahip kullanıcılar var ise hedef domaindeki gruplardan sil demiş oluyoruz.
Move Merged objects to Specified target Organizational Unit : Bu seçenek ile değişiklik
yapmadan objemizi belirttiğimiz Ou ya taşımış oluyoruz. (Kayıp yaşamak istemiyorsanız bu
seçeneği tercih etmelisiniz)
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 119
Başarılı bir şekilde taşıma işleminin tamamlandığını görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 120
Kontrol ettiğimizde ifkpcdestek grubunun başarılı şekilde geldiğini görüyoruz.
2) User Account Migration Wizard
İkinci adımımızda ise kullanıcı taşıma işlemini gerçekleştireceğiz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 121
Select users from domain seçeneğini seçiyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 122
Add ile hangi kullanıcılarımızı taşımak istiyorsak seçiyoruz.
Kaynak Domaindeki kullanıcıların nereye taşıyacağımızı belirtiyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 123
Kullanıcıları şifreleri ile taşıyacağımız için Migrate Passwords seçeneğini seçiyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 124
Kullanıcıları taşırken aşağıdaki gibi bir hata alırsanız, hatırlarsanız Password için kaynak
domaine bir program kurmuştuk oraya atadığımız kullanıcının gerekli izinleri verilmediği
anlamına gelmektedir. Hangi hakları vereceğimize daha önceki bölümlerde bahsetmiştik.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 125
Kullanıcıyı SID ile taşımak için Migrate user SIDs to Target Domain seçeneğini de işaretliyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 126
Kullanıcının hesabı dışında hakları, profil bilgileri, güvenlik ayarları da taşımak istiyorsanız tüm
seçenekleri seçmelisiniz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 127
Taşıma işleminin başarılı bir şekilde tamamlandığını görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 128
Hedef domainde kontrolümüzü yaptığımızda kullanıcımızın belirlemiş olduğumuz yere
geldiğini görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 129
12 ACTIVE DIRECTORY CROSS FOREST MIGRATION
(COMPUTER MIGRATION) – BÖLÜM 4
Cross Forest Migration son bölümünde Computer Migration işlemini gerçekleştireceğiz.
Computer Migration sırasında Security Translation Wizard’ dan da bahsetmiş olacağız.
Computer Migration Wizard
İşlemime geçmeden bir kaç klasör yaratıyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 130
Adtm Tool açıyoruz ve Computer Migration Wizard seçeneği ile devam ediyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 131
Bu adımda taşıyacağımız bilgisayarları seçiyoruz
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 132
Hedef domain üzerinde bilgisayarları nereye taşıyacağımızı belirtiyoruz. Daha önceki bölümde
bahsetmiştim, tekrarlamakta fayda var Migration işlemim sırasında hedef domain ile kaynak
domain arasındaki bilgisayarlar, gruplar vs.. karışmasın diye dimdik.local isimli OU yarattım ve
taşıyacağım lokasyon olarak orayı belirtiyorum.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 133
Bu adımda kaynak domain üzerinde bulunan bilgisayarların içerisinde yer alan (Files and
folders, Local groups, Printers, Registry, shares, user profiles, user rights) SID bilgilerinin hedef
domain üzerindeki Access Control List’ in(ACL) içerisine taşınmasını sağlamış oluyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 134
Taşıyacağımız bilgisayarların güvenlik bilgilerinin nasıl aktarılacağını buradan seçebilirsiniz.
Karşımıza üç seçenek geliyor.
Replace : Bu seçeneği seçerseniz taşıdığımız bilgisayarın SID bilgiler hedef domaindeki bilgiler
ile değiştirilir.
Add : En çok tercih edilen seçenektir. Taşımız olduğunuz bilgisayar hesabının SID bilgileri
hedef domaindeki bilgilere eklenir.
Remove: Taşıdığımız bilgisayarın SID bilgileri silinir.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 135
İşlem tamamlandıktan sonra kaç dakika içerisinde taşıdığımız bilgisayarın restart edileceğini
belirtmiş oluyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 136
İşlemimin tamamlandığını görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 137
Bu adım da karşılaşabileceğiniz olası hata şudur;
Make sure netlogon and workstation services are running and you can authenticate yourself to
the machine. hr=0x800706ba. The RPC server is unavailable
Eğer yukarıdaki durum ile karşılaşıyor iseniz;
Client Firewall açık ise kapatınız. Tek tek uğraşamam derseniz gpo iyi bir arkadaş
olacaktır.Computer Comfiguration > Administrative Templates > Network >Network Connection
> Domain Profile > Windows Firewall: Protect all network connections Disabled isterseniz aynı
adımı Standart Profile içinde yapabilirsiniz.
İkinci Problem ise Domain Local Admin hakkımızın olmamasıdır ( Daha öncede bu durumdan
söz etmiştik)
Run pre-check and agent operation seçeneği ile işlemimize başlıyoruz. İşlem bittiğinde client
makinamız üzerinde 1 dakika sonra yeniden başlatılacaktır uyarısını alacağız.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 138
Evet, makinam restart oldu ve aynı bilgilerle tekrar logon olalım.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 139
Domain ismini kontrol ettiğimizde hasan.local üzerinde logon olduğumuzu görüyoruz
Makinamızı yeniden açıp hasan\user2 ile oturum açmak istersek There are currently no logon
servers available to service the logon request gibi bir hata alıyoruz. Bunun sebebi ise oturumu
yeni domain üzerinde açmaya çalışıyor olması ve dns bilgilerinin eski dnsler olmasıdır. Dhcp
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 140
Server üzerinde gerekli düzenlemeleri yaptıktan sonra düzelecektir.
Dns bilgilerimi düzelttikten sonra başarılı bir şekilde adımımı geçiyorum. Sizden yeni şifre
belirlemenizi istiyor ve bilgileri girdikten sonra oturumu açabiliyoruz
Eski masaüstümüzde bir kaç dosya oluşturmuştuk onlarında geldiğini görüyoruz.
Yazan : Hasan DİMDİK
www.hasandimdik.com
Sayfa | 141
Saygılarımla
Umuyorum Faydası Dokunmuştur
Yazan : Hasan DİMDİK
www.hasandimdik.com

Download Report