.

Can's Windows Server Blog

Forest Migration

Bunu yapmak için ADMT (Ad Migration tool) adında microsoft un sayfasında indirilebilecek bir tool mevcuttur.

A forestindan B forestına migrate ederken :
* Kullanıcı hesapları
* Managed Service Accounts
* Computer Accounts
* Gruplar
migrate edilir.

Ayrıca SID-History de istersek kullanıcılar ile bir forestdan diğerine gönderilir.
SID history özellikle B forestina göçerken A da kullandıkları şeyleri kullanmaya devam etmelerini sağlar bu nedenle önemlidir.

Migration dan önce yapılması gereken işlemler

  • Vista SP1 den veya Windows Server 2008 R2 den önceki sistemlerde Registry yi ayarlayıp cryptography’i Windows NT 4.0 ile uyumlu hale getirmek gerekmektedir.
  • Firewall dosya ve printer paylaşımına açılmalıdır.
  • Kaynak ve hedef AD DS ayarlanacak böylece users, groups ve kullanıcı profilleri çalışabilecek.
  • Rollback planı olmalı.
  • Trust bağlantısı kurulmalı.
  • Kaynak ve hedef AD DS’ler SID-History migration için enable edilmeli.
  • Göç edeccek servis hesapları belirlenmeli
  • Mutlaka test migration yapılmalı ve tespit edilen sorunlar çözülmeli.

Migration uzun bir süreçtir. Microsoftun web sayfasında bu konu ile ilgili 250 sayfalık doküman mevcuttur.

Güzel bir video bu konuda : https://www.youtube.com/watch?v=wXsLjzpb9ZA

Adım 1 : Yeni yapılanma planı oluşturun

  • Account migration planı oluşturun
  • Mevcut objectlerin yeni yerlerlerini planlayın (mapping)
  • Test planı geliştirin.
  • Rollback planı oluşturun.
  • İletişim planı oluşturun. personeli bilgilendirin işlemler yapılırken.

Adım 2:

  • 128-bit encryption kullanılacak.
  • en az tek yönlü trust gerekiyor.
  • Göç edecek hesapların kaynak ve hedef tarafında permissionları olmalı.
  • ADMT SID-Historyi otomatik yapacak.
  • Hedefte ki OU yapısını kontrol edin
  • ADMT yi hedef domainde kurun.
  • Password migration’ı enable edin.
  • Test migration’ı yapın (küçük bir test olarak da icra edilebilir)

Adım 3 : Hesapları Migrate edin

  • Service hesaplarını aktarın
  • Global grupları aktarın
  • Hesapları aktarın

Adım 4: Kaynakları (resources) migrate edin

  • Workstatin ve üye serverları aktarın.
  • Domain local grupları aktarın
  • DC’leri aktarın

Adım 5: Migration i tamamlayın

  • Yönetim processlerini hedef domaine aktarın.
  • En az 2 faal DC olduğundan emin olun.
  • Kaynak domain’i decomission yapın.

SID-History aktarımı çok önemli. Eski SIDlerin aktarıldığı yeni domainde kullanıcıların 2 SIDsi olacak ama böylece kullanıcılar eski resourceları kullanmaya devam edebilecekler. Herşey bittikten sonra eski domain kapandıktan sonra eski SID’ler artık silinebilir.

Deploying new Domains

Domainler ve subdomainler bölge ve/veya departman ve/veya çeşitli sebeplerle bölünebilirler.

Örneğin sirket.com domain’i satıs.sirket.com , uretim.sirket.com, sonrada lokasyonlar ile ankara.uretim.sirket.com, hatay.uretim.sirket.com gibi bölünebilirler.

bu durumda child domain oluşturmuş oluruz. Contigous namespace

Ama bazen domain isimlerinde devamlılık olmaz. O zaman tree domain olur.

sirket.com ve musteri.com gibi tamamen bağımsız bir domain adı da kullanabiliriz. Buna da discontigous domain namespace denir.

Powershell de ise

Install-addsdomain -domaintype TreeDomain -parentdomainname sirket.com -newdomainname msuteri.com -credential domain\administrator

AD Functional Levels

Forest functionla levelları Windows 2000’den başlar. Forest Functional Level 2006 olsun dediğimiz anda bilmemiz gereken o forest içinde artık tüm DC’ler minimum 2016 olmak zorundadır.

Aynı şey domain functional level içinde geçerlidir.

Eğer functional leveli yükseltirsek ve hala eski versiyon DC’ler mevcutsa bu durum onları disable yapacaktır.

AD Users and Computers da Domain e sağ tıklayıp aşağıda ki gibi level i yükseltebiliriz.

Forest functional level için ise AD Domains and Trusts a gitmemiz gerekiyor.

Domain yapısı ve limitleri hakkında

Sis DC oluştururken bazı konuları değerlendirmemiz gerekir. Örneğin forest mı olacak tek domain mi? Replication Lan mı Wan mı? Wan ne kadar hızlı yeterli mi?

Kimler yönetecek? Tek merkezden mi, çok merkezden mi?

GPO uygulaması. GPO Domain seviyesinde uygulanıyor. Güvenlik için herkesin uyması gereken GPO’larım olabilir?

Auditing domain seviyesinde trouble shooting ve resource planning de daha kolay olur mu?

Çok forest olunca güvenlik sıkıntı olur mu? Trusts ?

Schema replication tüm forestlar da geçerli olacak mı?

Global catalog replication?

bir domain içinde replikasyon muhtemelen her 5 dakikada bir olacaktır. bu nedenle uzak yerler seçerken bağlantım yeterince hızlımı onu değerlendirmeliyim.

birden çok domain namespace kullanıyor olabirim. (bizim şirket gibi)

Lokasyonlar çok parçalı ise yönetimi kim yapacak?

Empty domain root : bu yapılırsa hiç bir domain diğerine üstün olmaz. O zaman enterprise admin olmayacağı için tek bir yönetici tüm domainleri etkileyemez.

En önemli konulardan biri … en basiti en iyisidir.

Çoklu forestlarda

güvenlik izolasyonu sağlanabilir.

Bir lokasyondan veri çıkmasını engellemek mümkün olabilir.

Farklı schema lar kullanılabilir.

Firma birleşmeleri olmuş olabilir.

Active Directory Recovery (Authoritative Restore)

Herhangi bir restore için önce backup almak gerekir. Backup almanın bir yoluda Windows Server ile gelen Windows Backupdır. Bunu feature olarak yükleyip backup alıyoruz.

Maalesef detayları eğitimde hiç yoktu. Ancak NTDSUTIL ile yapılıyordu. Sadece bir screenshot mevcuttu.

ntdsutil: activate instance ntds
ntdsutil: authoritative restore
authoritative restore: restore object “cn=Can B, OU=Audit, OU=Satis,DC=can DC=com”
Opening DIT Database….Done
The Current Time is 08.10.2019 05:23
Most recent database update occured at 07.10.2019 11:34.03
Increasing attribute version numbers by 100000.

Counting records that need updating….
Records found: 0000000001
Done.

Found 1 records to update.

Updating records…..
Records remaining: 0000000000000
Done.

Authoritative Restore completed successfully

Koyu renkliler sistem tarafından yazılanlar.

Özellikle önemli olan version numarasının yükseltilmesi. Yani DC’miz networkte ki diğer DC’lere diyorki bunu silmedim update ettim artık bu bilgiyi kullanın.

Active Directory Recovery (Recycle Bin)

DC’de silinen verileri kurtarmanın bir yolu Authoritative Restore ancak bunu yapmak icin DC yi offline yapmak gerekiyor.

Diğer bir yöntem ise AD Recycle Bin. Bu yöntemi kullanmak için önce Recycle Bin özelliğinin aktif edilmesi gerekmektedir. Aktif edildikten sonra de-aktif edilemez.

Herhangi bir obje silindiğinde AD den silinir ancak recycle bin e gider.

Aktif etmek için AD Administrative Center’da

Denemek için bir obje oluşturup sildim.

AD Administrative center’da dedomain altında “deleted objects” diye bir bölüm belirmişti oraya bakıyorum.

FSMO Transferi

Evet bir VM’de ki 6 aylık periyot sona eriyor bu nedenle yeni DC ye ihtiyacım var. İlk DC’yi kapatacağım için FSMO’ları diğerine aktarmam lazım ki domain çalışmaya devam etsin.

DC2 yi daha önce yaratıp DNS ile kurdum ve domain e ekledim. Dolayısıyla zaten replikasyon tamamlanmıştı. Tüm masterları tek bir komutla direk (ve hatta şap diye) aktardım

PS C:> Move-ADDirectoryServerOperationMasterRole -Identity C1-DC2 -OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster, DomainNamingMaster

Sonra da kontrol ettim çünkü çok hızlı oldu 🙂 gerçi içinde neredeyse 3-5 obje olan dandikr bir domain bu ya neyse 🙂

Sonra gelen ekranda 3 tane Rolü görüyoruz. Powershell ile değilde GUI üzerinden bu 3 rolü buradan da aktarabilirdik.

Diğer ikisini tekrar zaman olunca incelemek lazım.

Şimdi C1-DC1 i domainden adam gibi çıkartma kısmı kaldı.

Önce replikasyon doğru olmuşmu kontrol ediyoruz.


sonra sırada bekleyen bitmemiş replikasyon var mı ona bakıyoruz.

bir daha bakıyoruz son replikasyon ne zaman yapılmış

mesela uzun zamandır olmamışsa bir daha başlatıyoruz

artık ilk DC’yi silebiliriz.

ama olmuyor.

DCpromo yapmamız gerekiyor.

Hemen ilk server a tekrar bağlanıyoruz. Server manager dan remove role yapıyoruz.

Demote this domain controller.

Yine olmadı çünkü FSMO dışında Global Katalog ve DNS hala DC1 de kalmış şimdi onları aktaracağız.

DC2’de Server manager AD Sites and Servicesi açtım.

GC olmasını istediğim serveri Default-First-Site-Name’de buldum ve NTDS Özelliklerini açıyorum. DC2’de Global Catalog un seçili olduğunu DC1’de ise seçili olmadığı durumu sağlıyorum. Hangisinde değişiklik yaptıysam o Serverı restart etmem gerekiyor.

DC leri çoğaltmak

Eğitim amacıyla kullandığım Server 2016 nın 6 aylık ücretsiz lisansı bitmek üzere. Bu nedenle ikinci bir DC kurup FSMO ve tüm ayarlarımı ona aktarıp. yeni bir 6 aylık süreci başlatmak istiyorum.

Bu nedenle önce HyperV üzerinde VM klonladım.

Kendi notlarımı kullandım. https://win.buyukburc.de/2019/03/27/hyper-v-de-vmlerin-cogaltilmasi/

Yeni makinayı çalıştırdıkltan sonra Computername, domain ve network ayarlarını yaparken “SID aynı sysprep ı tekrar çalıştır” hatası ile karşılaştım.

Sysprep i görüldüğü şekilde çalıştırıp, reboot ettim.

Sonra Ip (192.168.0.201)yi ve DNS’i mevcut DC1 (192.168.0.200) olacak şekilde girip sistemi domain e ekliyorum aşağıda ki gibi.

Burada yazanlar maalsef olmadı. Server 2016 başlamadı adam gibi siyah ekranda kilitlendi login olduktan sonra bu nedenle yeniden kurdum.

Active Directory Recovery (snapshot)

AD DS veritabanı bazı dosyalardan oluşur.

Dosya
* ntds.dit
* edb*.log
* ebd.chk

*edbres00001.jrs

Tanım
* AD Objectleri ve bölümlerini tutar
* Transaction Logs
* Database Check Noktası (hangi loglar yazıldı hangileri yazılmadı
* Log dosyası reservasyonu. Eğer disk dolarsa sistem kilitlenmesin diye bu reserve alana yazmaya devam eder.

AD recovery yapabilmek için mutlaka backup olması gerekir. Bir diğer yöntemde varsa snapshot kullanmaktır. Snapshot ntdsutil ile alınır ve CMD yi administrator olarak çalıştırmanız gerekir.

burada önemli olan bilmediğiniz zaman ? ile yardım bulabilmenizdir.

NTDS AD DS kurulumu ile beraber gelir ve çok etkili bir tooldur.

bu komutları çalıştırırken oluşturulan snapshot a bir GUID atandı. Onu kaydetmemiz gerekiyor.

ama listeleyedebiliriz.

Videoların bu kısmı biraz kopuk !!! snapshot i nasıl nereye mount etti nasıl taşıdı göstermedi. !!

Neyse aynı makine üzerinde mount etmek için

takiben bu mount ettiğimiz db yi import etmemiz gerekiyor

Daha sonra AD DS GUI üzerinde inceleyebiliriz.

Sonra gelen pencereyi editliyoruz ve <Type a Directory……..> yazan yeri

yapıp. OK diyoruz. Not : Port numarasına dikkat daha önce kullandığımız port numarası.

Böylece snapshot geri geliyor. Tabii burdan veri kurtarma veya bunu aktif DS nasıl yapılır ??

Başka DC sistemine bu nasıl taşınır video da anlatılmamıştı. Muhtemelen Mount edip dosyaları zip leyip baska yere taşıyıp sonra orada tekrar mount edebiliriz ama denemek lazım deneyimle.

yine de daha sonra CTRL-C ile DSAMain.exe yi durduruyoruz ve snapshot i unmount ediyoruz.

Gerisini video da anlatmadı fazla.Ancak diger toollara geçtik.

Active Directory Group MSA

Group MSA ile bir security hesabını alıp birden çok sisteme koymamızı sağlar. Böylece birden çok bilgisayar aynı service hesabını kullanabilir.

AD nin minimum server2012 olması gerekli ve “KDS Root Key” diye birşeyin oluşturulması gerekli.

KDS Root Key oluşturulması aşağıda ki gibidir.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

KDS Root Key oluşturulması bazı durumlarda 10 saat kadar sürebilir. Komutta ki “((get-date).addhours(-10))” kısım ile derhal hemen oluştur diyoruz.

New-ADServiceAccount
Add-ADComputerServiceAccount

New-ADServiceAccount ile bir servis hesabı oluşturup daha sonra ki komutlada bu hesabı bilgisayara atıyoruz. Kontrol etmek içinde Get-ADServiceAccount ile görebiliriz.

New-ADServiceAccount -Name AnkaraSPFarm -PrincipalsAllowedToRetrieveManagedPassword ANKSP1, ANKSP2, ANKSP3

komuta eklenen parametre ile belirlediğimiz serverlar AD üzerinden bu hesabın parolasına erişme yetkisi verebiliriz.

Daha sonra her bir SP serverında

Add-ADComputerServiceAccount

Komutunu çalıştırıyoruz.