141
Sayfa | 1 Yazan : Hasan DİMDİK www.hasandimdik.com Active Directory Migration

Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

  • Upload
    others

  • View
    21

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 1

Yazan : Hasan DİMDİK www.hasandimdik.com

Active Directory Migration

Page 2: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 2

Yazan : Hasan DİMDİK www.hasandimdik.com

1. İÇİNDEKİLER

1 HAKKIMDA ........................................................................................................................... 3

2 TEŞEKKÜRLER ....................................................................................................................... 5

3 ÖNSÖZ ................................................................................................................................. 5

4 ACTIVE DIRECTORY TEMEL KAVRAMLARI ............................................................................. 6

5 FSMO ROLLERİ NEDİR NE İŞE YARAR .................................................................................. 13

6 WINDOWS SERVER 2003' DEN WINDOWS SERVER 2008' E ACTIVE DIRECTORY MİGRATİON

15

7 WINDOWS SERVER 2008 TO WINDOWS SERVER 2008 R2 IN-PLACE UPGRADE .................. 45

8 WINDOWS SERVER 2008 R2 'DEN WINDOWS SERVER 2012 R2 'YE GEÇİŞ İŞLEMLERİ ......... 60

9 ACTIVE DIRECTORY CROSS FOREST MIGRATION ÖN HAZIRLIK - BÖLÜM 1 .......................... 80

10 ACTIVE DIRECTORY CROSS FOREST MIGRATION – BÖLÜM 2 ............................................... 92

11 ACTIVE DIRECTORY CROSS FOREST MIGRATION ( USER & GROUP) – BÖLÜM 3 ................. 110

12 ACTIVE DIRECTORY CROSS FOREST MIGRATION (COMPUTER MIGRATİON) – BÖLÜM 4 ... 129

Page 3: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 3

Yazan : Hasan DİMDİK www.hasandimdik.com

1 HAKKIMDA

Yaklaşık olarak 3 yıldır Bilişim sektörünün içerisindeyim. Kendimi

Active Directory ve Exchange Server üzerinde geliştirmeye

çalışıyorum. Lefke Avrupa Üniversitesi Bilgisayar Programcılığı

bölümü mezunuyum. BilgeAdam İzmir Şubesinde Sistem

Yönetimleri üzerine eğitim aldım ve 2 yıldır Microsoft

Platformlarında Sistem Yöneticiliği yapıyorum. Aynı zamanda

Page 4: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 4

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2012 Mcp ve Mcsa Sertifikalarına sahibim.

Turkish Avenger Team - Turkish Cominity Council üyesiyim.

Çalıştığım Firmadaki Görevlerim

Şirketler Grubu içerisinde var olan bütün sistemin, altyapı, ağ,

güvenlik, aktif cihaz kurulumları, sunucu kurulumlarının

tamamında sürecin içinde bulunarak hatasız bir şekilde

tamamlanmasını sağlamak. 30 den fazla olan sunucularının

tamamı (işletim sistemleri, Active Directory, domain yapıları,

wsus, exchange mail sunucularını yönetmek.

- Sunucuların bakim, yedeklemeler, arızaların tespiti ve

giderilmesi,

- Sanallaştırmalar (hyperV2 ve vmware) ve sisteme yeni

ilavelerin yapılması. Üniversite ve kolej kampüslerinde ortalama

3000 den fazla Client’ in IP dağılımı, Exchange (2010 ve 2007)

mail serverlerının yönetimi, arızalarında müdahale edilmesi

7/24 kesintisiz çalışmasını sağlamak, yedeklemeleri ve tüm

sistemin güvenliklerini sağlamaktayım. Müşteri

tarafında Windows server (2003,2008,2008 r2,2012 & R2 )

kurulumu gerekli optimizasyonun yapılarak otomatik yedekleme

vs işlemlerin ayarlanmasını sağlamaktayım.

Page 5: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 5

Yazan : Hasan DİMDİK www.hasandimdik.com

2 TEŞEKKÜRLER

Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan

anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan

URŞAR Bey ve Bilgi İşlem Müdürüm Ömer ALTAN Bey’ e beni

destekledikleri için teşekkürlerimi sunarım. Benim TAT Ekibine

Katılmamda büyük katkısı olan Davut EREN Hocamıza ve Asil MUTLU

hocamıza teşekkür ederim. Ayrıca Takım Liderimiz Gökan Özçifci

Hocamıza bana inanıp takıma aldığı için teşekkür ederim.

3 ÖNSÖZ

Günümüz şartlarında teknolojinin çok hızlı geliştiğini göz önüne

alırsak Migration kaçınılmaz hale geliyor. Bu kaynağı keyifle

okumanızı umut ediyorum. Özellikle Cross Forest Migration

firmalar için büyük bir kabus oluşturmaktadır fakat artık şirket

evililikleri çok sık yaşanan bir durum ve biz IT ciler olarak bu

duruma kendimizi hazırlamalıyız. Bu sebep ile bu doküman

umuyorum sizlere ışık tutar. Bu doküman tamamen ücretsizdir

ve paylaşılmasında sakınca yoktur.

Page 6: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 6

Yazan : Hasan DİMDİK www.hasandimdik.com

4 ACTIVE DIRECTORY TEMEL KAVRAMLARI

Merhabalar;

Bu makalemde sizlere Active Directory kavramlarını anlatacağım. Bildiğiniz üzere Domain

Kavramı Hayatımıza Windows Server 2000 ile girdi ve günümüze kadar gelişti. Microsoft

tarafında dizin kavramına bizler Active Directory diyoruz. Domain kurabilmek için Windows

Server (2000,2003,2008,2012 & R2) işletim sistemlerinden birini kullanıyor olmamız

gerekmektedir.

Active Directory İçerisindeki kavramlar ;

Forest

Tree

Domain

Domain Controller (DC)

Site

Organizational Unit (OU)

Yazmış olduğumuz ilk dcpromo komutu ile birlikte aynı zamanda forest yapımızı oluşturmuş

oluyoruz. Child Domain ise üstteki domainin adının devamını alır. Örneğin sube1.hasan.com.

Aşağıya doğru dallanıp budaklanan bu yapıya da Tree denir.

Page 7: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 7

Yazan : Hasan DİMDİK www.hasandimdik.com

Eğer hasan.com dan farklı isim kullanmak istersem örneğin dimdik.com o zaman farklı bir Tree

ye başlamam gerekmektedir.

Page 8: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 8

Yazan : Hasan DİMDİK www.hasandimdik.com

Yukarıda dimdik.com isimli yeni bir Tree ye başlamış olduk. Genelde Aynı firmaların yan

şirketleri bu şekilde yapılanmaya giderler ve genelde aynı admin tarafından yönetilirler. Biz

yukarıda bir ortam yaratmış olduk, bütün bu ortama verilen isme de Forest denir.

Page 9: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 9

Yazan : Hasan DİMDİK www.hasandimdik.com

Bildiğimiz gibi her domain in kendi admini ve Domain Admins Grubu vardır. Yani hasan.com

Domain adminleri vardır aynı zamanda sube1.hasan.com a ait de Domain Adminleri vardır.

Peki bu domain adminler nerelere karışabilirler? Domain Admin denildiğinde direk kendi

domaininden sorumlu olduğunu anlıyoruz. Yani hasan.com Admin i sadece o

domaini,sube1.hasan.com admini sube1 den sorumludur. Yukarıdaki yapıda ismen aşağıda

olması hiyerarşik olarak aşağıda olduğu anlamına gelmez. Bütün Forest'ı yönetebilecek olan

Admin ise Enterprise Admin' dir. Enterprise Admin sadece Forest Root Domain üzerinde vardır.

Bizim ilk domainimiz hasan.com olduğu için Enterprise Admin Grubu oradadır. Hasan diye bir

kullanıcı oluşturup Enterprise Admin grubuna üye yaparsam bu kişi bütün Forest’ ı yönetebilir.

İstersek bir domainde birden fazla Domain Controller barındırabiliriz. Bunu yapmamızdaki

amaç ise hata toleransını arttırmaktır. Burada önemli olan ise ilk DC' nin özel olmasıdır. İlk

oluşturduğumuz Domain Controller lar üzerinde bazı roller bulunmaktadır ve ilk olarak hepsi

burada yer almaktadır. Bu rolleri diğer DC lere de dağıtabiliyoruz fakat hepsi şunda olsun

diyemiyoruz.

Örneğin oluşturduğumuz ilk DC çökerse veya ulaşılamaz ise kullanıcıların logon olamadığını,

saat ayarlarının bozulduğunu görürüz. Fakat diğer oluşturduğumuz DC ler için durum böle

değil, şu şekilde açıklayalım bu durumu, Root DC, dışındaki bir DC çöktüğünü varsayalım. Bu

durumda tüm yapı değil sadece o DC'de logon olan kullanıcılar etkilenir, geç logon olma gibi

problemler yaşanır fakat diğer DC lere yönlendirme yapılarak bu durum giderilebilir.

Page 10: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 10

Yazan : Hasan DİMDİK www.hasandimdik.com

SITE KAVRAMI

Birden çok şubemizin olduğunu ve her birinde DC olduğunu düşünelim. İşletmemizin İzmir,

Ankara ve İstanbul şubeleri olsun. Amacımız ise her kullanıcı kendi tarafında logon olsun. Aksi

taktirde İzmir kullanıcısı İstanbul'da oturum açarsa, logon da gecikmeler olabilir. Varsayılan

ayarlarda değişiklik yapmazsanız tek bir site oluşur. Yani İstanbul, İzmir ve Ankara kullanıcıları

aynı yerdeymiş gibi gözükür. Bu durumda İzmir'deki kullanıcının İstanbul veya Ankara'da

oturum açmasına sebep olabilir. Her kullanıcının kendi lokasyonunda oturum açmasını

sağlamak için ortamı Site lara bölmeliyiz. Yani kullanıcılara İzmir, Ankara ve İstanbul Site ları

olduğunu göstermeliyiz. Kullanıcıların nerede olduğunu göstermek için işaretçi koyarız.

Örneğin bir kullanıcı Laptopu ile İzmir'den Ankara'ya gittiğinde ip’ si değişir. Bizde bu sayede

lokasyonunun değiştiğini anlarız ve Ankara’da logon olmasını sağlamış oluruz. Buradaki işaretçi

ise ip' dir .

ORGANIZATIONAL UNIT KAVRAMI

Yapımızı yönetmeye çalıştığımızda Computers ve Users diye klasör karşımıza geliyor. Örneğin

yapımda 500 kullanıcı olsun. Bütün kullanıcılarımız Users Klasörü altında oluşmuş olacak ve

işletmemizin Muhasebe, İK ve Teknik gibi bölümleri olsun. Ben Muhasebe grubuna Paint

programı kullanımını yasaklamak istiyorum fakat bütün kullanıcılar aynı klasör altında oluştuğu

için yapacağım ayar 500 kullanıcı içinde geçerli olur. Bu yüzden yapımızı Muhasebe OU, İK OU,

Teknik OU diye ayırıyoruz. Böylece Muhasebe ile ilgili bir yasaklama uygulamak istediğimizde

Muhasebe OU' suna şu yasak diyebiliyoruz. Organizational Unit' in diğer avantajı ise herhangi

bir kullanıcıya Delegation(yetkilendirme) yapabiliyor olmamızdır. Örneğin hasan kullanıcısını

yetkilendirerek Muhasebe OU' sundaki kullanıcıların şifrelerini değiştirebilmesi için

yetkilendirebiliyoruz.

Ou larımızı daha düzenli oluşturmamız için bazı yöntemler mevcuttur;

Location

Organization

Location --> Organization

Organization --> Location

Page 11: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 11

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 12: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 12

Yazan : Hasan DİMDİK www.hasandimdik.com

Yukarıda gördüğünüz gibi OU lar yapımızı daha düzenli hale getirmek için çok önemlidir ve

aynı zamanda OU lara Group Policy ayarlarını uygulayabiliyoruz bu sayede karmaşayı

engellemiş oluyoruz. Aksi olsaydı yaptığımız bir kural bütün kullanıcıları etkileyecekti, şimdi ise

istediğimiz OU ya gerekli kuralı atayabiliriz.

Page 13: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 13

Yazan : Hasan DİMDİK www.hasandimdik.com

5 FSMO ROLLERİ NEDİR NE İŞE YARAR

5 adet FSMO Rolleri Vardır;

Schema Master Role

Domain Naming Master Role

Relative Identifier Master Role

Primary Domain Controller Emulator

Infrastructure master Role

Forest Tabanlı FSMO Rolleri ;

Schema Master Role

Domain Naming Master Role

Domain Tabanlı FSMO Rolleri ;

RID Master

PDC Emulator

Infrastructure Master

Schema Master ve Domain Master Rolü Forest ortamında bir tane bulunur. Diğer roller ise her

domain üzerinde birer tane bulunabilir. Bütün rollerin hepsini aynı DC üzerine verebiliriz

veya her rolü ayrı bir DC ye dağıtabiliriz.

Rollerin işlevinden kısaca bahsetmek gerekir ise;

Schema Master Rolü Nedir - İşlevi Nedir

Schema Master olan DC Active Directory için yazma yetkisine sahiptir. Bu rolde sorun var ise

Schema genişletme gibi işlemlerde problem yaşanır. Basit bir örnek vermek gerekirse

Exchange kurduğumuzda active directory schema genişletiriz, bunda problem çıkabilir.

Schema update ler bu rolü üstlenmiş DC üzerinde gerçekleşir.

Domain Naming Master Rolü Nedir - İşlevi Nedir

Forest' a yeni katılacak olan DC eklenmesi ve çıkarılmasından sorumludur. Bu rol olmasaydı 2

farklı bilgisayar aynı Forest a aynı DC eklenmesi durumu ortaya çıkabilir. Varsayılan olarak bu

rolün sahibi root DC dir. Active directory' nin kurulduğu ilk root DC dir. Önemli nokta ise

bulunduğu makina aynı zamanda Global Catalog Server olması gerekmektedir. Çünkü Global

Catalog ortamda aynı isimli domain oluşturuldu mu diye kontrol edilecektir.

Primary Domain Controller (PDC) Emulator Rolü Nedir Rolü Nedir - İşlevi Nedir

Page 14: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 14

Yazan : Hasan DİMDİK www.hasandimdik.com

Domain Şifre değişikliğinde Active Directory' nin kurulduğu makina PDC rolünün yüklü olduğu

makinayı arar. Eğer iki makina arasında replikasyon sağlanmaz ise o an için şifre doğru olsa

dahi oturum açılamaz logon deny hatası alınır. PDC olan makina aynı zamanda Time Server

olarak çalışır. Yani logon olan client lar kendi sistem saatlerini PDC Emulator’ un sistem saatine

senkron ederler. PDC Emulator diğer roller arasında en yoğun çalışanıdır. Bu sebep ile bu rolün

seçileceği makinanın performansı iyi olmalıdır.

Relative Identifier Master Rolü Nedir – İşlevi Nedir

Yeni bir user, grup veya bilgisayar hesabı oluşturduğumuzda otomatik olarak SID numarası

verilir. Buna örnek vermek gerekirse hepimizin TC kimlik numarası gibi. Ortamımızda birçok

Additional DC var ise her birinden kullanıcı açtığımızı varsayar isek SID numaraları farklı olmak

zorundadır. Bunun kontrolünü RID yapar.

Infrastructure Master Rolü Nedir – İşlevi nedir

Forest yapımızda birden çok domainimiz var ise gereklidir. izmiruniv.local ve

deneme.izmiruniv.local isimli iki domainimiz olduğunu varsayalım. izmiruniv.local de

oluşturulan Hasan isimli kullanıcı deneme. izmiruniv.local domainindeki bilgi işlem grubuna

üye olsun. Hasan kullanıcısının adını izmiruniv.local üzerinde HasanDimdik olarak değiştirirsek

alt domaindeki değişikliği yapan Infrastructure Master Rolüdür. Burada Önemli olan nokta ise

Global Catalog ve Infrastructure Master rolü aynı makinada olmamalıdır. Çünkü bu rol her şeyi

bildiği için update e ihtiyaç duymayacaktır.

Rollerle ilgili dikkat etmemiz gereken unsurları toparlayacak olursak;

Domain Naming Master = Global Catalog olan DC de bulunmalı

Infrastructure Master = Global Catalog olan DC de bulunmamalı

PDC Emulator = Çok iş yaptığı için performanslı bir DC de olmalı

Son olarak İse Global Catalog Nedir? Bundan da kısaca bahsedelim.

Active Directory' deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu

barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir

Page 15: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 15

Yazan : Hasan DİMDİK www.hasandimdik.com

6 WINDOWS SERVER 2003' DEN WINDOWS SERVER 2008' E

ACTIVE DIRECTORY MIGRATION

.

Ön Gereksinimler

Sunucuların birbirine erişebilmeleri gerekmektedir.

Her iki sunucuda time zone' ların aynı olması gerekmektedir.

Windows Server 2008 sunucu ilk Dns kendisi ikinci Dns olarak Windows Server 2003 olmalı

RID - PDC - Infrastructure master -domain Naming Master ve Schema Master rollerinin hangi

sunucuda olduğu bilinmeli.

Aşağıda DC üzerindeki Active Directory altında yer alan objeleri görüyoruz.

İlk olarak Fsmo rolleri nerede görmek için netdom query fsmo komutunu kullanmalıyız fakat

bunu kullanmak için Windows Server 2003 cd içerisinde support > support.cab i C sürücüsü

altına support klasörü açarak çıkarıyoruz.

Page 16: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 16

Yazan : Hasan DİMDİK www.hasandimdik.com

Gördüğünüz gibi bütün Fsmo rollerim dc01.hasan.local makinası üzerinde.

Not: Ortamda tek sunucu olduğu için bu şekilde. Sizin şirket yapınıza göre, roller dağıtık yapıda

bulunabilir.)

Daha sonra ise Windows Server 2008 Makinamı Domain' e üye yapıyorum.

Page 17: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 17

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlem bittikten sonra makinam restart oluyor. Makinam Domain' e dahil olduktan sonra ADC

olarak yapılandırmam gerekiyor bunun için run> dcpromo yazıyoruz.

Page 18: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 18

Yazan : Hasan DİMDİK www.hasandimdik.com

Biz varolan bir yapıya DC02 Makinamızı ADC olarak ekleyeceğimiz için Add a domain controller

to an existing domain seçiyoruz

Page 19: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 19

Yazan : Hasan DİMDİK www.hasandimdik.com

Burada herhangi bir değişiklik yapmadan devam ediyoruz.

Page 20: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 20

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 21: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 21

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımdan sonra veya bu adımlara başlamadan önce yapmamız gereken bazı işlemler var ;

* Adprep /Forestprep : Schema Master rolüne sahip olan sunucu üzerinde yapılmalıdır. (

Schema Admin Hakkınızın olması gerekmektedir )

* Adprep /Domainprep : Infrastructure Master rolüne sahip sunucusu üzerinde yapılmalıdır.

(Domain Admins Hakkınızın olması gerekmektedir )

* Adprep /Domainprep /Gpprep : Infrastructure Master rolüne sahip sunucusu üzerinde

yapılmalıdır./Domain Admins Hakkınızın olması gerekmektedir )

* Adprep /Rodcprep : Ortama Read-Only Domain Controller kuracak iseniz, bu komutu

koşturmanız gerekli, aksi halde gerek yoktur. Opsiyonel bir komuttur.

İlk olarak Forest yapımızı Windows Server 2008 için uygun hale getiriyoruz. Bunun için adprep

/forestprep komutunu çalıştırıyoruz

Page 22: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 22

Yazan : Hasan DİMDİK www.hasandimdik.com

adprep /domainprep komutunu çalıştırdığımızda aşağıdaki gibi bir mesaj alıyoruz.

Bu adımı geçebilmemiz için ;

Page 23: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 23

Yazan : Hasan DİMDİK www.hasandimdik.com

Domain Fonksiyonel seviyemizi Windows Server 2000 native veya Windows Server

2003 yapıyoruz. Zaten yukarıdaki mesajda Native Mod da olmadığını söylüyordu.

Adımımızı tekrar uyguluyoruz ve sorunun ortadan kalktığını görüyoruz. Domain yapımızı

Windows Server 2008 için uygun hale getirmiş oluyoruz.

Son olarak ise adprep / domainprep / gpprep komutunu çalıştırıyoruz. Bu komut ile Group

Page 24: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 24

Yazan : Hasan DİMDİK www.hasandimdik.com

Policy ler için ortamımı hazırlamış oluyorum.

Daha sonra ADSI Edit üzerinden object versiyonumuzu kontrol etmeliyiz fakat Windows Server

2003 üzerinde hazır halde gelmemektedir. Bunun için şu adımı izlemeliyiz ;

[cdpath]:\SUPPORT\TOOLS\SUPTOOLS.MSI

Yukarıdaki adımı izledikten sonra suptools.msi çalıştırıyoruz .Bu işlemleri yaptıktan sonra run >

adsiedit.msc

Schema [dc01.hasan.local] altında yer alan klasörünü sağ tıklayıp Properties açıyoruz. Aşağıda

İşletim Sistemlerine göre versiyon numaralarını görüyoruz.

Windows 2000 (W2K) : 13

Windows Server 2003 (W2K3) : 30

Windows Server 2003 R2 (W2K3 R2) : 31

Windows Server 2008 (W2K8) : 44

Windows Server 2008 R2 (W2K8 R2) : 47

Windows Server 2012: 56

Windows Server 2012 R2: 69

Page 25: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 25

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemimize kaldığımız yerden devam ediyoruz. Karşımıza çıkan uyarıda adprep

/rodcprep çalıştırmadığımızı söylüyor bu önemli değil çünkü yapımda RODC bulunmamaktadır.

Eğer yukarıdaki adprep komutlarımı çalıştırmayıp Forest, Domain Attribute genişletmeseydim

bu adımda hata alıyor olacaktım:

Page 26: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 26

Yazan : Hasan DİMDİK www.hasandimdik.com

Tek bir site olduğu için devam ediyorum.

Page 27: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 27

Yazan : Hasan DİMDİK www.hasandimdik.com

DNS ve Global Catalog seçili olarak devam ediyorum.

Page 28: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 28

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 29: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 29

Yazan : Hasan DİMDİK www.hasandimdik.com

Log , SYSVOL ve Database dosyalarımın nerede tutulacağını belirtiyorum.(Değişiklik

yapmıyorum )

Page 30: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 30

Yazan : Hasan DİMDİK www.hasandimdik.com

Restore Mode için şifre belirliyorum

Page 31: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 31

Yazan : Hasan DİMDİK www.hasandimdik.com

Kurulumumuz başladı.

Page 32: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 32

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlem bittikten sonra Windows Server 2003 makinama gidiyorum ve Domain Controllers altına

baktığımda DC02 makinamın da geldiğini görüyorum.

Page 33: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 33

Yazan : Hasan DİMDİK www.hasandimdik.com

NTDS altında da kontrolümü yapıyorum. Replikasyonlarımda herhangi bir problem yok.

Şimdi ise yapmamız gereken Fsmo Rollerini ADC olan makinamızın üzerine almak. Şu an için

bütün rollerim dc01.hasan.local üzerinde .

İlk olarak RID ,PDC ve Infrastructure rollerimi alıyorum. Bunun için Active Directory Users and

Computers açıyorum ve hasan.local üzerindeyken Operation Masters açıyoruz. Daha sonra

Change diyerek RID,PDC ve Infrastructure için bu adımları uyguluyoruz.

Page 34: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 34

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 35: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 35

Yazan : Hasan DİMDİK www.hasandimdik.com

netdom query fsmo komutu ile tekrar Fsmo rollerimi kontrol ediyorum ve başarılı bir şekilde

RID, PDC ve Infrastructure' ın dc02.hasan.local makinasına geçtiğini görüyorum.

Şimdide Active Directory Domain and Trust açıyoruz ve sağ tıklayıp Operations Master'

Page 36: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 36

Yazan : Hasan DİMDİK www.hasandimdik.com

ı açıyoruz. Change diyerek rolü dc02.hasan.local makinamıza alıyoruz.

Son olarak ise Schema Master rolünü taşıyoruz. Başta Schema Master rolünü bulabileceğimiz

bir yer yok. Bu işlemi yapabilmemiz için ;

run > regsvr32.exe schmmgmt.dll

Daha sonra ise MMC konsolunu açıyoruz .

File > Add/Remove Snap-in i açıyoruz

Page 37: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 37

Yazan : Hasan DİMDİK www.hasandimdik.com

Sol tarafta Active Directory Schema' yı görüyoruz Add ile sağ tarafa alıyoruz ve ok ile işlemimizi

tamamlıyoruz.

Açılan pencerede Active Directory Schema [dc01.hasan.local] üzerinde sağ tıklayıp Change

Active Directory Domain Controllers açıyoruz . dc02.hasan.local' i seçiyoruz .

Page 38: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 38

Yazan : Hasan DİMDİK www.hasandimdik.com

Daha sonra ise Schema Master rolünü dc02.hasan.local üzerine alıyoruz.

Page 39: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 39

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlem bittikten sonra tekrar netdom query fsmo ile kontrolümü yapıyorum ve rollerimin

hepsinin taşınmış olduğunu görüyorum.

Son olarak her şey sağlıklı çalışıyor ise Windows Server 2003 DC makinamı dcpromo ile

Domain Controller olma özelliğini düşürüyorum.

Page 40: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 40

Yazan : Hasan DİMDİK www.hasandimdik.com

Aşağıdaki gibi bir uyarı ile karşılaşıyorsanız kaldırma işleminde yapmanız gereken Windows

Server 2003 makinam üzerinde Active Directory Sites and Services' ı açmak

DC01 > NTDS Settings özelliklerini açıyoruz ve seçili olan Global Catalog' u kaldırıyoruz.

Page 41: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 41

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemimize kaldığımız yerden devam edelim yapımdaki son Domain Controller olmadığı için

kutucuğu işaretlemeden devam ediyorum.

Page 42: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 42

Yazan : Hasan DİMDİK www.hasandimdik.com

Local Admin hakkı ile oturum açması için makinamızın şifresini giriyoruz.

Kaldırma işlemim bittikten sonra Windows Server 2008 Active Directory Users and Computers

açıyoruz her şeyin geldiğini görüyoruz.

Page 43: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 43

Yazan : Hasan DİMDİK www.hasandimdik.com

Daha sonra isterseniz Fonksiyonel seviyenizi yükseltebilirsiniz.

Yükselttikten sonra ADSI.Edit altında yukarıda bahsetmiş olduğumuz adımları izleyerek object

Version değerimize bakıyoruz ve 44 olduğunu görüyoruz.

Page 44: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 44

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 45: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 45

Yazan : Hasan DİMDİK www.hasandimdik.com

7 WINDOWS SERVER 2008 TO WINDOWS SERVER 2008 R2

IN-PLACE UPGRADE

Teknolojinin gelişmesi ile birlikte serverlar ve işletim sistemleri de gelişti ve biz Bilgi İşlemciler

olarak da Server işletim sistemlerini çıkan en yeni özelliklerden yararlanmak için göç ettirmeye

başladık Bu bölümde ise In-Place Upgrade(yerinde yükseltme) işlemini anlatmaya çalışacağım.

Benim yapımda Windows Server 2008 Standart sürüm bulunmaktadır ve bu server DC olarak

yapılandırılmıştır, ayrıca bütün FSMO rolleri üzerindedir.

Kısa bilgiden sonra nasıl yapılacağını anlatmaya geçelim.

Server Migrate veya In-Place işlemleri olsun ilk kontrol edilmesi gereken ip bilgileri ve dns

bilgileridir. Daha sonra ise Active Directory Domain and Trust altında bulunan Forest ve

Domain Functional Level seviyelerini kontrol etmektir. Güvenlik duvarı açık ise kapatılması

gerekebilir.(Benim anlatımımda açıktı)

In-Place Upgrade için bilmemiz gerekenler;

Farklı diller arasında yükseltme yapılamaz

Server Core sürümünden Gui'ye direk yükseltme yapılamaz (istenirse upgrade işleminden

sonra yapılabilir)

32 mimariden 64 bit mimariye yükseltme yapılamaz

Upgrade için uyumluluk tablosuna buradan bakabilirsiniz.

Page 46: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 46

Yazan : Hasan DİMDİK www.hasandimdik.com

Her şeyin düzgün şekilde çalıştığından emin olduktan sonra ise yükseltmeyi yapacağımız

sunucumuza Windows Server 2008 R2 medyasını takıp Forest ve domain hazırlık(preparation)

işlemlerini yapıyoruz.

Medyamız içerisinde yer alan support klasörü altındaki adprep.exe aracını kullanıyoruz.

Sırası ile ;

Page 47: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 47

Yazan : Hasan DİMDİK www.hasandimdik.com

D:\support\adprep>adprep /forestprep

D:\support\adprep>adprep /domainprep komutlarını çalıştırıyoruz. Bu şekilde Schema ve

Domain Partition yapılarını güncellemiş oluyoruz. Bu işlemler sonucunda Windows Server

2008 Domain ve Forest yapınızı Windows Server 2008 R2'ye yükseltmek için hazır hale

getirmiş olduk. Eğer bu adımları yapmasaydık işlemler sırasında hata alacaktık ve bize Active

Directory Preparation adımlarını yapmamız gerektiğini söyleyecekti.

Page 48: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 48

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemlerimiz başarılı bir şekilde bittikten sonra, kurulum medyamızı çalıştırıyoruz. Bu adımda

güncellemeleri yapayım mı diye soruyor (Ben hayır ile Devam ettim) . Do not get latest

updates for installation seçerek devam ediyorum

Page 49: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 49

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2008 R2 Standart kuracağım, seçip devam ediyorum.

Karşımıza Upgrade ve Custom (advanced) geliyor. Ben var olan bir yapıyı yükselteceğim için

Page 50: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 50

Yazan : Hasan DİMDİK www.hasandimdik.com

Upgrade seçeneği ile devam ediyorum

Hata almadık ve bize uyarı çıkardı, devam etmeden uyumlukları ve Windows Server 2008

R2'ye yükseltmeyi destekleyip desteklemediğini kontrol edin diyor. Tamam deyip kontrol

ediyoruz.

Page 51: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 51

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemimiz başladı ve kahve molası veriyoruz :))

İşlemimiz bittikten sonra sunucumuz restart oluyor ve Windows Server 2008 R2 Standart

sürümüne yükseldiğini görüyoruz.

Page 54: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 54

Yazan : Hasan DİMDİK www.hasandimdik.com

Referans : msdn.microsoft.com/en-us/library/cc223743.aspx

Yukarıda gördüğümüz üzere Forest Fonksiyon seviyemiz Windows Server 2008

gözükmektedir. İsterseniz Forest Fonksiyonel Seviyesi ve Domain Fonksiyonel Seviyesini

Windows Server 2008 R2 olarak değiştirebilirsiniz. Eğer işlemleri yaparken problem çıkarsa

Rollback ile işletim sistemimiz eski haline dönüyor. Genelde Server işletim sistemleri

yükseltmelerinde In-Place Upgrade tercih edilmeyen bir yöntemdir.

Neden Riskli ve Çok Tercih Edilmiyor ;

Upgrade sırasında sunucu hizmet veremez

Upgrade sonrasında donanımsal problemler çıkabilir

Yazılımsal hatalar çıkabiliyor.

Hata olması durumunda geri dönmesi zor olabiliyor.

Windows Server 2008 R2 FSMO Seize İşlemi

Migration işlemlerinde bildiğiniz üzere FSMO rollerini arayüzden veya ntdsutil aracılığı ile

taşırız, peki taşımak istediğimiz sunucu çöktüyse bu işlemi nasıl yapacağız. Seize işlemi ile bunu

yapabiliyoruz yani zorla alıyoruz.

Yapımda

1 adet Windows Server 2008 R2 (DC) eski.hasan.local 10.10.10.1/8

1 adet Windows Server 2008 R2 (ADC)backup.hasan.local 10.10.10.8/8 makinalarım

mevcut ve yapımda hizmet veren Dc ve Adc sunucum var. Varsayalım ki DC makinam hizmet

veremez halde FSMO rollerini ADC üzerine almamız gerekiyor. Bunun için şu adımları

izlememiz gerekiyor ;

DC makinam üzerinde netdom query fsmo yazarak rollerin bulunduğu sunucuları buluyoruz.

Gördüğünüz üzere hepsi aynı sunucuda.

Page 55: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 55

Yazan : Hasan DİMDİK www.hasandimdik.com

DC makinamın ethernetini pasif hale getirdim :)) gördüğünüz gibi artık ulaşamıyorum.

Seize işlemini yapabilmem için ;

cmd> ntdsutil > roles>connections > connect to backup diyerek bağlanıyoruz. Bağlandıktan

sonra q diyerek çıkıyoruz. Gördüğünüz gibi aşağıdaki adımda hatalı girdiğimde invalid

syntax hatası alıyoruz.

Page 56: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 56

Yazan : Hasan DİMDİK www.hasandimdik.com

fsmo maintenance : ? yapabileceklerimizin listesini bize çıkarıyor. Biz seize işlemi yapacağız(

çünkü DC'ye erişemiyoruz)

Page 57: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 57

Yazan : Hasan DİMDİK www.hasandimdik.com

Yazacağımız komutlar şunlardır;

seize infrastracture master

seize naming master

seize pdc

seize rid master

seize schema master

Pdc seize işlemi ile başlıyorum ( ilk şu rolden başlayacağız diye bir kural yok onun için bu

opsiyoneldir )

fsmo maintenance : seize pdc diyorum evet diyorum .Onayladıktan sonra uzunca bir satır yazı

çıkacak , biraz dikkatli incelerseniz seize işlemi yapıyor olsak dahi, ilk başta rolü transfer

etmeyi deniyor ve hata alıyor daha sonra Seize işlemini yapıyor.

Page 58: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 58

Yazan : Hasan DİMDİK www.hasandimdik.com

Gördüğünüz gibi PDC başarılı bir şekilde ismi backup olan ADC makinama taşındı.

Aşağıda fark etmişsinizdir seize infrastracture master yerine seize inf m yazdım. Bu şekilde

kullanmanızda hiç bir sakınca yoktur. ( Ben gerçek sunucularda tamamen yazmayı tercih

ediyorum )

Page 59: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 59

Yazan : Hasan DİMDİK www.hasandimdik.com

Diğer roller içinde aynı adımları uygulayacağımız için tek tek yapmıyorum. Aşağıdaki komutları

kopyala yapıştır ile alabilirsiniz :)

seize infrastracture master

seize naming master

seize pdc

seize rid master

seize schema master

Yukarıdaki adımları bütün roller için uyguladıktan sonra cmd > netdom query fsmo ile kontrol

ediyoruz

Page 60: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 60

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemlerimizi başarılı bir şekilde yapmış olduk. Daha sonra active directory users and compuers

> Domain Controllers altından bilgisayar isimi eski olan DC makinamı kaldırıyorum.

8 WINDOWS SERVER 2008 R2 'DEN WINDOWS SERVER

2012 R2 'YE GEÇİŞ İŞLEMLERİ

Bu bölümde Windows Server 2008 R2 den Windows Server 2012 R2 ' ye geçiş işlemlerini

anlatıyor olacağım.

Yapımdan kısaca bahsedeyim;

Windows Server 2008 R2 ( Domain Controller ) - 192.168.1.1/24 - Bilgisayar ismi: eskidc

Windows Server 2012 R2 -192.168.1.2/24 -Bilgisayar İsmi:yenidc

Makale boyunca izleyeceğimiz adımlar;

Bilgisayarlar arasında iletişim var mı? Bu durumu engelleyen güvenlik duvarı varmı ?

Windows Server 2012 Makinamız ilk DNS olarak kendini ikincil DNS olarak ise Windows Server

2008 R2'yi gösterecek

Windows Server 2012 Makinamızı domain e dahil edeceğiz

Page 61: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 61

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2012 makinamızı ADC olarak yapıya ekleyeceğiz

FSMO Rolleri Hangi Makina veya makinalar üzerinde bilmeliyiz.

FSMO Rollerini Windows Server 2012 R2 makinamıza alacağız

Windows Server 2008 R2 makinamızı ortamdan çıkaracağız

İlk olarak Windows Server 2012 R2 makinamı domain e dahil ediyorum.

Page 62: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 62

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2012 ile birlikte dcpromo komutu yok malesef :(( Bütün işlemler Dashboard

üzerinden yapılıyor. Server Manager > Dashboard > Add Roles and Features

Page 64: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 64

Yazan : Hasan DİMDİK www.hasandimdik.com

Kurulum yapacağım Server makinamı gösteriyorum.

Active Directory Domain Services’ ı seçiyoruz.

Page 65: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 65

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2012 R2 ile birlikte Role seçtikten sonra karşımıza Features sekmesi geliyor.

Windows Server 2008 R2 ' ye kadar bu iki sekme ayrıydı ve ayrı ayrı kurulum yapıyorduk.

Page 66: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 66

Yazan : Hasan DİMDİK www.hasandimdik.com

Ve kurulumumuz başlıyor.

Kurulum bittikten sonra yine Windows Server 2012 R2 ile hayatımıza giren Promote the

Server to a domain controller'ı seçiyoruz

Page 68: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 68

Yazan : Hasan DİMDİK www.hasandimdik.com

DNS ve GC özelliklerinin de kurulmasını istiyorum.

Replikasyonumuzu eskidc.hasan.local üzerinden yapacağız. Aslında varsayılanda gelen şekilde

bıraksaydım da sorun olmazdı.

Page 69: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 69

Yazan : Hasan DİMDİK www.hasandimdik.com

Active Directory Database folder, Log Files ve Sysvol dosyalarının tutulacağı yeri görüyoruz ve

değiştirmeden devam ediyoruz.

Page 70: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 70

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2012 ile gelen bir özellik daha karşımıza çıkıyor. Daha önceki Windows Server

sürümlerinde ADPREP adımlarını tek tek uyguluyorduk. Windows Server 2012 bunları bizim

yerimize yapıyor fakat burada dikkat etmemiz gereken bu adımların yapılabilmesi için Schema

Admin ve Enterprise Admin haklarının bulunması gerekmektedir.

Windows Server 2012 ile gelen yeni bir özellik ise kuruluma geçmeden önce ön bir kontrol

yapıyor olması bu sayede sistemimizin daha sağlıklı olmasını da sağlamış oluyoruz.

Page 72: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 72

Yazan : Hasan DİMDİK www.hasandimdik.com

Şimdi yapmamız gereken ise FSMO rollerini Windows Server 2012 R2 makinamız üzerine

almak. Hemen kontrol edelim bunun için netdom query fsmo komutunu çalıştırıyoruz. Bütün

roller Windows Server 2008 R2 makinamız üzerinde olduğunu görüyoruz.

Bu barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan

özelliklerdir. Kısa bilgiden sonra FSMO rollerini taşıyalım.

cmd > ntdsutil >roles> connections > connect to server yenidc.hasan.local ( kendi yapınıza göre

editleyiniz ) bağlandıktan sonra

server connections : q ile çıkıyoruz

fsmo maintenance : ? ile neler yapabileceğimizi görebiliriz.

Page 73: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 73

Yazan : Hasan DİMDİK www.hasandimdik.com

Biz FSMO rollerini transfer edeceğiz;

fsmo maintenance : Transfer infrastructure master

Transfer naming master

Transfer PDC

Transfer RID master

Transfer Schema master komutlarını sırasıyla çalıştırıyoruz.

Page 74: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 74

Yazan : Hasan DİMDİK www.hasandimdik.com

Transfer işlemi bittikten sonra netdom query fsmo komutu ile tekrar kontrolümüzü yapıyoruz

ve FSMO rollerinin Windows Server 2012 R2 üzerine geçtiğini görüyoruz

Page 76: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 76

Yazan : Hasan DİMDİK www.hasandimdik.com

Ve sunucularımızın haberi olması için Replicate Now diyoruz ( Her iki sunucu da yapılması

gerekiyor)

Dcpromo komutu ile varolan Windows Server 2008 R2 makinamızı ortamdan kaldırıyoruz.

Page 77: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 77

Yazan : Hasan DİMDİK www.hasandimdik.com

Biz sadece Windows Server 2008 R2 makinamızı ortamdan kaldıracağımız için Delete the

domain because the server is the last domain controller in the domain kutucuğunu

seçmiyoruz

Page 80: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 80

Yazan : Hasan DİMDİK www.hasandimdik.com

Windows Server 2008 R2 makinamızı Computers altında görebiliriz.

Son olarak ise Forest bazlı ve domain bazlı fonksiyon seviyesini Windows Server 2012 R2

yapıyoruz.

9 ACTIVE DIRECTORY CROSS FOREST MIGRATION ÖN

HAZIRLIK - BÖLÜM 1

Birinci bölümümüzde Cross Forest Migration ön hazırlık işlemlerini anlatacağım. Cross Forest

Migration Nedir ile söze başlarsak, iki farklı domain yapısının aynı çatı altında toplanmasıdır.

Örnek vermek gerekirse hasan.local diye domain yapım var ve aynı zamanda dimdik.local diye

farklı bir firmanın domain yapısı var. Bir gün bu firmalar birleşme kararı aldı ve artık domain

olarak hasan.local ile devam edileceğini fakat dimdik.local içerisinde yer alan kullanıcıların ve

bilgisayarların vs, hasan.local altında devam etmelerini istiyoruz. İşte bu tarz migration

işlemine Cross Forest Migration deniyor. Bu bölümde yapımızı hazırlıyor olacağız.

Page 81: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 81

Yazan : Hasan DİMDİK www.hasandimdik.com

İlk olarak yapmamız gereken her iki tarafa conditional forward ile diğer domaindeki isimleri

çözebilir hale gelmesini sağlamak olacak. Bunun için şu adımları izleyeceğiz;

Dns Manager > Conditional Forwarders daha sonra da karşı tarafın bilgilerini giriyoruz.

Page 82: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 82

Yazan : Hasan DİMDİK www.hasandimdik.com

Aynı adımı burada da kullanıyoruz tek değişiklik hasan.local bilgilerini girmek olacak

İkinci adımımızda ise iki tarafın birbirine güvenmelerini sağlamak olacak. Bunu da Trust ilişkisi

ile yapıyoruz. Bunun için;

Active Directory Domains and Trusts > hasan.local > Properties

Trust sekmesini açıyoruz ve yeni bir Trust oluşturmak için New Trust diyoruz

Page 83: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 83

Yazan : Hasan DİMDİK www.hasandimdik.com

Bizi hoşgeldin beşgittin wizard’ı karşılıyor

Page 84: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 84

Yazan : Hasan DİMDİK www.hasandimdik.com

Burada kimin ile Trust ilişkisi kuracaksak onun domain ismini giriyoruz.

Karşımıza iki seçenek geliyor;

Page 85: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 85

Yazan : Hasan DİMDİK www.hasandimdik.com

Forest Trust : İlk olarak forest trust geçişkendir(transtive) yani sadece tek bir domain değil

bütün forest forest birbirine güvenmiş oluyor. Bunu yapabilmek için tek şart forest seviyemizin

minimum Windows Server 2003 olması gerekmektedir.

External trust: Geçişken değildir(nontranstive) ve trust ilişkisini bağladığım domainlere

güvenir. Yapınızda tek domain var ise rahat olabilirsiniz her iki seçeneği de seçebilirsiniz.

Çift taraflı trust ilişkisi kuruyorum.

Page 86: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 86

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımda Both this domain and the specified domain seçiyoruz.

Burada dimdik.local’in admin kullanıcısının bilgilerini giriyoruz. İşlemi hasan.local üzerinde

yaptığımızı unutmayalım !

Page 87: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 87

Yazan : Hasan DİMDİK www.hasandimdik.com

Burada Domain-wide authentication sekmesini işaretliyoruz. Aralarındaki fark ise şudur.

Domain wide authentication seçersem trusted domain içerisindeki veya altındaki bütün

kullanıcılar, gruplar trust olan domain içerisindeki kaynaklara erişim sağlayabilir. Eğer Selective

authentication seçer isem, yapımız daha güvenli hale geliyor ve trust içerisindeki domain

controller kaynaklarına erişim için tek tek izin vermemiz gerekiyor. ( Domain-wide yaparken iki

kere düşünün, Authenticated Users read hakkı ile geliyor !!! )

Bu adım kontrol amaçlıdır Trust’ın çalışıp çalışmadığını kontrol edelim mi diye soruyor.

Kontrolden zarar çıkmaz :)

Page 88: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 88

Yazan : Hasan DİMDİK www.hasandimdik.com

Trust ilişkimizin oluştuğunu görüyoruz.

Page 89: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 89

Yazan : Hasan DİMDİK www.hasandimdik.com

Bir sonraki adımımız ise kullanıcı yaratmak, hasan.local tarafında oluşturduğumuz admt

kullanıcısını domain admins grubuna ekliyoruz aynı zamanda dimdik.local deki bilgileri veya sid

leri okuyabilmesi için dimdik.local’in administrators grubuna ekliyoruz.

Page 90: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 90

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 91: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 91

Yazan : Hasan DİMDİK www.hasandimdik.com

ve admt kullanıcımızı dimdik.local’in Administrators grubuna ekliyoruz

İkinci bölüme geçmeden alet çantasında bulunması gerekenler;

http://www.microsoft.com/en-us/download/confirmation.aspx?id=21844

http://www.microsoft.com/en-us/download/confirmation.aspx?id=8377

http://www.microsoft.com/en-us/download/confirmation.aspx?id=10370

Page 92: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 92

Yazan : Hasan DİMDİK www.hasandimdik.com

10 ACTIVE DIRECTORY CROSS FOREST MIGRATION – BÖLÜM

2

Birinci bölümümüzde Cross Forest Migration için ortamımızı hazırlamıştık. Bu bölümde ise

gerekli olan programların kurulumunu gerçekleştireceğiz ve gerekli gpo uygulamalarını

gerçekleştireceğiz. Aşağıdaki resim aslında bu bölümü özetliyor neyi nerde yapacağımızı

sizlere gösteriyor.

Bölüm 1 sonunda ihtiyacımız olan programların linklerini sizlerle paylaşmıştım. İlk olarak Sql

kurulumu ile başlıyoruz. ( Kurulum içerisinde bazı resimleri atladım o kısımlarda herhangi bir

değişiklik yapmanıza gerek yoktur)

1 ) SQL Kurulumu (Hedef Domain Üzerinde Kurulacak)

Page 93: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 93

Yazan : Hasan DİMDİK www.hasandimdik.com

Page 94: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 94

Yazan : Hasan DİMDİK www.hasandimdik.com

Configuration check başarılı bir şekilde tamamlandı.( warning sorun teşkil etmiyor)

Page 95: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 95

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımda herhangi bir değişiklik yapmadan kuruluma devam ediyorum.

Page 96: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 96

Yazan : Hasan DİMDİK www.hasandimdik.com

Kurulumu Windows Authentication Mode‘da yapıyoruz.

Page 97: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 97

Yazan : Hasan DİMDİK www.hasandimdik.com

Değişiklik yapmadan devam ediyoruz. Daha sonraki adımlarda da değişlik yapmadan next next

finish :)

Page 98: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 98

Yazan : Hasan DİMDİK www.hasandimdik.com

2)ADMT Kurulumu (hedef domain üzerinde kurulacak )

İkinci adımda Active Directory Migration tool ‘u kuruyoruz.

Page 99: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 99

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımda sql database gösteriyoruz ( .\SQLEXPRESS)

Page 100: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 100

Yazan : Hasan DİMDİK www.hasandimdik.com

Varsayılan ayarda devam ediyoruz.

Page 101: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 101

Yazan : Hasan DİMDİK www.hasandimdik.com

3) SID History Filter Disable Etme ( Hedef Domain üzerinde yapılacak – hasan.local )

Neden SID filter disable ederiz sorusuna cevap vermek gerekirse;

Eski domaindeki kullanıcımızı yeni bir domain ortamına taşıdığımızda, eski domaindeki sid

bilgilerinin yeni domaine taşınması gerekmektedir tabi eğer taşıma işleminden sonra hala eski

domaindeki kaynaklara erişmesini isterseniz. SID bilgisini görmek için;

dsquery * -filter “&(objectcategory=user)(samaccountname=user)” -attr objectsid eğer bu

komutu yazdıktan sonra iki adet çıktı alırsanız ikincisi sid history dir. SID ne demek olduğunu

daha da sadeleştirmek gerekirse ve buna bir örnek vermek gerekirse bizlerdeki tckimlik

numarasını karşılığına gelmektedir ve kullanıcı için nerede hangi hakları olduğunu

söylemektedir. Herkesin aklına şu soru gelebilir ee peki iki aynı kullanıcı ismi varsa burada nasıl

ayrım yapıyor onu da şu şekilde yapıyor RID(relative identifier) dediğimiz bir değer ile ve bu

değer benzersizdir. Uzatmadan özetlemek gerekirse migration’ dan sonra kullanıcı eski

kaynaklara erişsin diyorsanız sid bilgilerini almanız gerekmektedir. Bunun içinde Sid History

Filtering Disable konumuna getirmeniz gerekmektedir.

Page 102: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 102

Yazan : Hasan DİMDİK www.hasandimdik.com

Yukarıda gördüğünüz komut External Trust için geçerlidir. Eğer siz Forest Trust yaptıysanız şu

komutu kullanmanız gerekmektedir;

netdom trust trustingDomain(dimdik.local) /domain:trustedDomain(hasan)

/enableSIDhistory:yes /usero:domainadministrator( administrator)

/passwordo:domainadminpass

4) ADMT Password Migration Dll Kurulumu ( Kaynak domain üzerinde kurulacak -dimdik.local )

Daha sonraki adımımızda ise dimdik.local üzerindeki şifreleri alabilmek için bir tool kurmamız

gerekmektedir. ADMT Password Migration DLL ile kaynak domaindeki şifreleri de migrate

edebileceğiz.

Burada dikkat etmemiz gereken küçük bir püf noktası var, aşağıda yazmış olduğum

komutu hedef domain üzerinde uyguluyoruz yani benim yapımda hasan.local ;

admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat” Bu komut sonunda bize

key file verecek bu key file’ı kaynak domaine kopyalıyoruz.(dimdik.local)

Bu komutu şu şekilde şifreleyerek de oluşturabilirsiniz.

admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat” /keypassword:

[Password] bu şekilde yaparsanız oluşturduğunuz key file karşı tarafta browse ederken şifreyi

isteyecektir.

Page 103: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 103

Yazan : Hasan DİMDİK www.hasandimdik.com

Son olarak ise kaynak domain(dimdik.local) üzerinde programımızın kurulumunu yapıyoruz.

Hedef domain’ den aldığımız key file burada gösteriyoruz.

Page 104: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 104

Yazan : Hasan DİMDİK www.hasandimdik.com

Yetkili kullanıcıyı tanımlıyoruz ve devam ediyoruz (Local System Account üzerinde de

denemiştim sorunsuz şekilde aldım)

Page 105: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 105

Yazan : Hasan DİMDİK www.hasandimdik.com

Daha sonra ise sunucumuzu restart ediyoruz.

Eğer kurulumu yapıp bu şekilde bırakırsanız Password migrate ederken başarısız olacaksınız.

Bu durumla karşılaşmamak için services.msc > Password Export servisini start konumuna

getirmeniz gerekmektedir.

Page 106: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 106

Yazan : Hasan DİMDİK www.hasandimdik.com

5 ) Bilgisayar Taşıma için Ön hazırlıklar ;

Yukarıdaki hatayı alıyorsanız tahminen iki sebepten kaynaklanıyordur, Firewall açık olması

veya yetkili kullanıcımızın local admin hakkının olmamasından kaynaklanmaktadır.

İlk yapmamız gereken kaynak domain üzerinde domain local ve grup tipi security olan grup

yaratıyoruz.

Page 107: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 107

Yazan : Hasan DİMDİK www.hasandimdik.com

Yaratmış olduğumuz gruba hedef domaindeki yaratmış olduğumuz admt kullanıcısını üye

yapıyoruz.

Page 108: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 108

Yazan : Hasan DİMDİK www.hasandimdik.com

Son olarak ise Group policy yapılandırmamız gerekmektedir.

Comp Conf > Windows Settings > Security Settings > Restricted Group

Gruba admt kullanıcımızı eklemiş olduğumuz ADMT mig ekliyoruz.

Bu grubuda Administrators grubuna üye olduğunu belirtiyoruz.

Page 109: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 109

Yazan : Hasan DİMDİK www.hasandimdik.com

İkinci yöntem ise;

net localgroup administrators “hasan\domain admins” /add bat uzantılı olarak kaydedin ve

gpo ile startup script olarak atayın.

Son olarak ise Firewalları kapatın.

Evet, sonunda tüm yapımızı migrate etmek için hazır hale getirmiş bulunuyoruz.

Page 110: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 110

Yazan : Hasan DİMDİK www.hasandimdik.com

11 ACTIVE DIRECTORY CROSS FOREST MIGRATION ( USER &

GROUP) – BÖLÜM 3

Bu bölümümüzde kullanıcı ve grupların nasıl taşınacağını ve taşırken nelere dikkat etmemiz

gerektiğinden bahsedeceğiz. Bütün adımlarımızı hedef domainimiz üzerinde kurmuş

olduğumuz admt tool ile gerçekleştireceğiz.

Bu bölümde ve diğer bölümümüzde sırası ile;

Group Account Migration

User Migration

Security Translation Migration (bölüm 4 )

Computer Migration (bölüm 4 ) anlatıyor olacağım.

1) Group Account Migration

Admt tool’u açıyoruz ve Group Account Migration Wizard seçeneğini seçiyoruz.

Page 111: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 111

Yazan : Hasan DİMDİK www.hasandimdik.com

Source domain kısmına grupları nereden alacağımızı yazıyoruz. Ben dimdik.local‘ deki

kullanıcıları hasan.local‘ e taşımak istediğim için source domain : dimdik.local , taşımak

istediğim yer hasan.local olduğu için target domain: hasan.local olacak.

Page 112: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 112

Yazan : Hasan DİMDİK www.hasandimdik.com

Karşımıza iki seçenek geliyor. İkinci seçenekte gruplarınızı daha önceden csv. formatında

kaydettiyseniz Read object from an include file seçeneğini kullanabilirsiniz. Select groups from

domain seçeneği ile devam ediyorum.

Page 113: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 113

Yazan : Hasan DİMDİK www.hasandimdik.com

Add seçeneği ile hangi grupları taşıyacaksak burada seçiyoruz. Bu adımda önemli olan grupları

taşıma sıramız;

Universal Group

Global Group

Page 114: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 114

Yazan : Hasan DİMDİK www.hasandimdik.com

Domain Local sıralaması ile taşımalısınız.

Bu adımda hedef domain üzerinde objelerimizi nereye taşıyacağımızı belirliyoruz. Karışıklık

olmaması için dimdik.local diye OU tanımladım ve tüm kullanıcı grup ve bilgisayarlarımı

belirtmiş olduğum OU ya taşıyacağım. Bu şekilde oluşabilecek karmaşanın önüne geçmiş

oluyorum.

Page 115: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 115

Yazan : Hasan DİMDİK www.hasandimdik.com

Aşağıdaki adımları kullanıcıları taşırken anlatıyor olacağım.

Page 116: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 116

Yazan : Hasan DİMDİK www.hasandimdik.com

Eğer böyle bir hata ile karşılaşırsanız muhtemelen SID Filterin Enable olarak kaldığı için olabilir

bir önceki bölümde bahsetmiştim. İkinci bölümü inceleyerek daha fazla bilgi sahibi olabilirsiniz.

SID Filtering kapatmak için aşağıdaki komutu çalıştırıyoruz.

admt kullanıcıma gerekli yetkiyi vermiştim. Bilgilerimi giriyorum.

Page 117: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 117

Yazan : Hasan DİMDİK www.hasandimdik.com

Objelerde herhangi bir değişiklik yapılmasını istemediğimden varsayılan şekilde devam

ediyorum.

Page 118: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 118

Yazan : Hasan DİMDİK www.hasandimdik.com

Aşağıdaki adım önemli; aşağıdaki olayı örnekle açıklayalım. Örneğin; hasan.local üzerinde x

kullanıcım var. Diğer tarafta da x kullanıcım olduğunu varsayalım. Böyle bir durumda Do not

migrate source object if a conlict is detected in the target domain seçilirse kullanıcıyı

taşımayacaktır. Migrate and merge conflicting objects seçilirse;

Before Merging remove user right for existing target accounts: Taşıma işlemi sırasında hedef

domaindeki varolan kullanıcının haklarını silmiş oluyoruz.

Before Merging Remove Members From Existing Target Group Accounts : Group içerisinde aynı

isime sahip kullanıcılar var ise hedef domaindeki gruplardan sil demiş oluyoruz.

Move Merged objects to Specified target Organizational Unit : Bu seçenek ile değişiklik

yapmadan objemizi belirttiğimiz Ou ya taşımış oluyoruz. (Kayıp yaşamak istemiyorsanız bu

seçeneği tercih etmelisiniz)

Page 119: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 119

Yazan : Hasan DİMDİK www.hasandimdik.com

Başarılı bir şekilde taşıma işleminin tamamlandığını görüyoruz.

Page 120: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 120

Yazan : Hasan DİMDİK www.hasandimdik.com

Kontrol ettiğimizde ifkpcdestek grubunun başarılı şekilde geldiğini görüyoruz.

2) User Account Migration Wizard

İkinci adımımızda ise kullanıcı taşıma işlemini gerçekleştireceğiz.

Page 121: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 121

Yazan : Hasan DİMDİK www.hasandimdik.com

Select users from domain seçeneğini seçiyoruz.

Page 122: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 122

Yazan : Hasan DİMDİK www.hasandimdik.com

Add ile hangi kullanıcılarımızı taşımak istiyorsak seçiyoruz.

Kaynak Domaindeki kullanıcıların nereye taşıyacağımızı belirtiyoruz.

Page 123: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 123

Yazan : Hasan DİMDİK www.hasandimdik.com

Kullanıcıları şifreleri ile taşıyacağımız için Migrate Passwords seçeneğini seçiyoruz

Page 124: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 124

Yazan : Hasan DİMDİK www.hasandimdik.com

Kullanıcıları taşırken aşağıdaki gibi bir hata alırsanız, hatırlarsanız Password için kaynak

domaine bir program kurmuştuk oraya atadığımız kullanıcının gerekli izinleri verilmediği

anlamına gelmektedir. Hangi hakları vereceğimize daha önceki bölümlerde bahsetmiştik.

Page 125: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 125

Yazan : Hasan DİMDİK www.hasandimdik.com

Kullanıcıyı SID ile taşımak için Migrate user SIDs to Target Domain seçeneğini de işaretliyoruz.

Page 126: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 126

Yazan : Hasan DİMDİK www.hasandimdik.com

Kullanıcının hesabı dışında hakları, profil bilgileri, güvenlik ayarları da taşımak istiyorsanız tüm

seçenekleri seçmelisiniz.

Page 127: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 127

Yazan : Hasan DİMDİK www.hasandimdik.com

Taşıma işleminin başarılı bir şekilde tamamlandığını görüyoruz.

Page 128: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 128

Yazan : Hasan DİMDİK www.hasandimdik.com

Hedef domainde kontrolümüzü yaptığımızda kullanıcımızın belirlemiş olduğumuz yere

geldiğini görüyoruz.

Page 129: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 129

Yazan : Hasan DİMDİK www.hasandimdik.com

12 ACTIVE DIRECTORY CROSS FOREST MIGRATION

(COMPUTER MIGRATION) – BÖLÜM 4

Cross Forest Migration son bölümünde Computer Migration işlemini gerçekleştireceğiz.

Computer Migration sırasında Security Translation Wizard’ dan da bahsetmiş olacağız.

Computer Migration Wizard

İşlemime geçmeden bir kaç klasör yaratıyorum.

Page 130: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 130

Yazan : Hasan DİMDİK www.hasandimdik.com

Adtm Tool açıyoruz ve Computer Migration Wizard seçeneği ile devam ediyoruz.

Page 131: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 131

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımda taşıyacağımız bilgisayarları seçiyoruz

Page 132: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 132

Yazan : Hasan DİMDİK www.hasandimdik.com

Hedef domain üzerinde bilgisayarları nereye taşıyacağımızı belirtiyoruz. Daha önceki bölümde

bahsetmiştim, tekrarlamakta fayda var Migration işlemim sırasında hedef domain ile kaynak

domain arasındaki bilgisayarlar, gruplar vs.. karışmasın diye dimdik.local isimli OU yarattım ve

taşıyacağım lokasyon olarak orayı belirtiyorum.

Page 133: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 133

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adımda kaynak domain üzerinde bulunan bilgisayarların içerisinde yer alan (Files and

folders, Local groups, Printers, Registry, shares, user profiles, user rights) SID bilgilerinin hedef

domain üzerindeki Access Control List’ in(ACL) içerisine taşınmasını sağlamış oluyoruz.

Page 134: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 134

Yazan : Hasan DİMDİK www.hasandimdik.com

Taşıyacağımız bilgisayarların güvenlik bilgilerinin nasıl aktarılacağını buradan seçebilirsiniz.

Karşımıza üç seçenek geliyor.

Replace : Bu seçeneği seçerseniz taşıdığımız bilgisayarın SID bilgiler hedef domaindeki bilgiler

ile değiştirilir.

Add : En çok tercih edilen seçenektir. Taşımız olduğunuz bilgisayar hesabının SID bilgileri

hedef domaindeki bilgilere eklenir.

Remove: Taşıdığımız bilgisayarın SID bilgileri silinir.

Page 135: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 135

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlem tamamlandıktan sonra kaç dakika içerisinde taşıdığımız bilgisayarın restart edileceğini

belirtmiş oluyoruz.

Page 136: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 136

Yazan : Hasan DİMDİK www.hasandimdik.com

İşlemimin tamamlandığını görüyoruz.

Page 137: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 137

Yazan : Hasan DİMDİK www.hasandimdik.com

Bu adım da karşılaşabileceğiniz olası hata şudur;

Make sure netlogon and workstation services are running and you can authenticate yourself to

the machine. hr=0x800706ba. The RPC server is unavailable

Eğer yukarıdaki durum ile karşılaşıyor iseniz;

Client Firewall açık ise kapatınız. Tek tek uğraşamam derseniz gpo iyi bir arkadaş

olacaktır.Computer Comfiguration > Administrative Templates > Network >Network Connection

> Domain Profile > Windows Firewall: Protect all network connections Disabled isterseniz aynı

adımı Standart Profile içinde yapabilirsiniz.

İkinci Problem ise Domain Local Admin hakkımızın olmamasıdır ( Daha öncede bu durumdan

söz etmiştik)

Run pre-check and agent operation seçeneği ile işlemimize başlıyoruz. İşlem bittiğinde client

makinamız üzerinde 1 dakika sonra yeniden başlatılacaktır uyarısını alacağız.

Page 138: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 138

Yazan : Hasan DİMDİK www.hasandimdik.com

Evet, makinam restart oldu ve aynı bilgilerle tekrar logon olalım.

Page 139: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 139

Yazan : Hasan DİMDİK www.hasandimdik.com

Domain ismini kontrol ettiğimizde hasan.local üzerinde logon olduğumuzu görüyoruz

Makinamızı yeniden açıp hasan\user2 ile oturum açmak istersek There are currently no logon

servers available to service the logon request gibi bir hata alıyoruz. Bunun sebebi ise oturumu

yeni domain üzerinde açmaya çalışıyor olması ve dns bilgilerinin eski dnsler olmasıdır. Dhcp

Page 140: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 140

Yazan : Hasan DİMDİK www.hasandimdik.com

Server üzerinde gerekli düzenlemeleri yaptıktan sonra düzelecektir.

Dns bilgilerimi düzelttikten sonra başarılı bir şekilde adımımı geçiyorum. Sizden yeni şifre

belirlemenizi istiyor ve bilgileri girdikten sonra oturumu açabiliyoruz

Eski masaüstümüzde bir kaç dosya oluşturmuştuk onlarında geldiğini görüyoruz.

Page 141: Active Directory Migration · Eğitimim ve hayatım için herşeylerini ortaya koyan bana inanan anneme ve babama teşekkür ederim. Ayrıca Sistem Yöneticim Hasan URŞAR Bey ve

Sayfa | 141

Yazan : Hasan DİMDİK www.hasandimdik.com

Saygılarımla

Umuyorum Faydası Dokunmuştur