AD DS Basitleştirilmiş Yönetim
Uygulama Alanı: Windows Server 2012
Bu konuda, Windows Server 2012 etki alanı denetleyici dağıtımı ve yönetiminin sunduğu yeni olanaklar ve avantajların yanı sıra önceki işletim sistemi DC dağıtımı ile yeni Windows Server 2012 uygulaması arasındaki farklar açıklanmaktadır.
Windows Server 2012'de ilk kez yeni nesil Active Directory Etki Alanı Hizmetleri Basitleştirilmiş Yönetimi sunulmaktadır ve bu Windows 2000 Server'dan bu yana en köklü etki alanı vizyon yenilemesidir. AD DS Basitleştirilmiş Yönetimi, Active Directory'nin on iki yılından alınan derslerle, mimarlar ve yöneticiler için daha desteklenebilir, daha esnek ve daha sezgisel bir yönetim deneyimi sağlar. Bu, Windows Server 2008 R2'de sunulan bileşenlerin yeteneklerini genişletmenin yanı sıra mevcut teknolojilerin yeni sürümlerini oluşturmak anlamına gelir.
AD DS Basitleştirilmiş Yönetimi, etki alanı dağıtımının yeniden tasavvur edilmesidir.
AD DS rol dağıtımı artık yeni Sunucu Yöneticisi mimarisinin bir parçasıdır ve uzaktan yüklemeye olanak sağlar.
AD DS dağıtım ve yapılandırma altyapısı artık yeni AD DS Yapılandırma Sihirbazı kullanıldığında bile Windows PowerShell'dir.
Şema genişletme, orman hazırlama ve etki alanı hazırlama, otomatik olarak etki alanı denetleyici yükseltmesinin bir parçasıdır ve Schema Master gibi özel sunucularda ayrı görevlere artık gerek yoktur.
Yükseltme, artık, ormanın ve etki alanının yeni etki alanı denetleyici için hazır olduğunu doğrulayan bir denetleme önkoşulu içermektedir ve bu sayede başarısız yükseltmelerle karşılaşma olasılığı azalmıştır.
Windows PowerShell için Active Directory modülünde artık çoğaltma topolojisi yönetimi, Dynamic Access Control ve diğer işlemler için cmdlet'ler mevcuttur
Windows Server 2012 ormanı işlevsel düzeyi yeni özellikleri uygulamaz ve etki alanı işlevsel düzeyi yalnızca yeni Kerberos özelliklerinin bir alt kümesi için gerekli olduğundan, yöneticilerin sık sık homojen bir etki alanı denetleyici ortamı oluşturma ihtiyacı giderilmiştir.
Sanallaştırılmış Etki Alanı Denetleyiciler için otomatik dağıtım ve geri alma koruması da dahil olacak biçimde tam destek eklenmiştir.
Sanallaştırılmış etki alanı denetleyicileri hakkında daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetleri (AD DS) Sanallaştırmasına Giriş (Düzey 100).
Ayrıca, yönetim ve bakım açısından da birçok geliştirme vardır:
Active Directory Yönetim Merkezi, grafik bir Active Directory Geri Dönüşüm Kutusu, Hassas Parola İlkesi yönetimi ve Windows PowerShell geçmiş görüntüleyici içerir
Yeni Sunucu Yöneticisi'nde performansı izlemeye, en iyi uygulama analizine, önemli hizmetlere ve olay günlüklerine yönelik AD DS'ye özgü arabirimler vardır
Group Managed Service Accounts, aynı güvenlik prensiplerinin birden çok bilgisayar tarafından kullanılmasını destekler
Yetkin Active Directory etki alanlarında daha iyi yönetilebilirlik adına Relative Identifier (RID) verilmesinde ve izlenmesinde geliştirmeler
Son olarak, AD DS, Windows Server 2012'de yer alan şunun gibi diğer yeni özelliklerden yararlanır:
NIC grubu oluşturma ve Datacenter Bridging
DNS Güvenliği ve önyüklemeden sonra daha hızlı AD ile tümleşik alan kullanılabilirliği
Hyper-V güvenilirlik ve ölçeklendirilebilirlik geliştirmeleri
BitLocker Ağ Üzerinden Kilit Açma
Ek Windows PowerShell bileşen yönetim modülleri
Teknik Genel Bakış
ADPREP Tümleştirmesi
Active Directory orman şeması uzantısı ve etki alanı hazırlama artık etki alanı denetleyici yapılandırma süreciyle tümleşiyor. Yeni bir etki alanı denetleyiciyi mevcut bir ormana yükseltirseniz, işlem yükseltme durumunu ve şema uzantısını algıladığından, etki alanı hazırlama aşamaları otomatik olarak gerçekleşir. İlk Windows Server 2012 etki alanı denetleyiciyi yükleyen kullanıcının hala bir Kurumsal Yöneticisi ve Şema Yöneticisi olması ya da geçerli alternatif kimlik bilgileri sağlaması gerekir.
Ayrı orman ve etki alanı hazırlığı için Adprep.exe DVD'de kaldı. Windows Server 2012'ye dahil edilen aracın sürümü, geriye dönük olarak Windows Server 2008 x64 ve Windows Server 2008 R2 ile uyumludur. Adprep.exe, tıpkı ADDSDeployment tabanlı etki alanı denetleyici yapılandırma araçları gibi uzaktan orman hazırlama ve etki alanı hazırlamayı da destekler.
Adprep ve önceki işletim sistemlerinde orman hazırlama hakkında bilgi edinmek için bkz. Adprep'i çalıştırma (Windows Server 2008 R2).
Sunucu Yöneticisi AD DS Tümleştirmesi
Sunucu Yöneticisi, sunucu yönetim görevleri için bir merkez olarak görev yapar. Pano tarzındaki görünümü, yüklenen rolleri ve uzak sunucu gruplarını düzenli aralıklarla yeniler. Sunucu Yöneticisi, yerel ve uzak sunucuların konsol erişimine gerek kalmadan merkezi bir biçimde yönetilebilmesini sağlar.
Active Directory Etki Alanı Hizmetleri bu merkez rollerinden biridir; Sunucu Yöneticisi'ni bir etki alanı denetleyicide veya Uzak Sunucu Yönetim Araçları'nı bir Windows 8 sürümünde çalıştırarak ormanınızdaki etki alanı denetleyicilerde son gerçekleşen önemli sorunları görebilirsiniz.
Bu görünümlere şunlar dahildir:
Sunucu kullanılabilirliği
Yüksek CPU ve bellek kullanımı için performans izleme uyarıları
AD DS'ye özgü Windows hizmetlerinin durumu
Olay günlüğünde Recent Directory Services ile ilgili uyarı ve hata girişleri
Bir etki alanındaki En İyi Uygulamaların Microsoft tarafından önerilen bir dizi kuralla karşılaştırmalı olarak analizi
Active Directory Yönetim Merkezi Geri Dönüşüm Kutusu
Silinen Active Directory nesnelerini yedekten geri yüklemeden, AD DS hizmetini yeniden başlatmadan ya da etki alanı denetleyicileri yeniden başlatmadan kurtaran Active Directory Geri Dönüşüm Kutusu ilk kez Windows Server 2008 R2'de yer aldı
Windows Server 2012, mevcut Windows PowerShell tabanlı geri yükleme olanaklarını Active Directory Yönetim Merkezi'ndeki yeni bir grafik arabirimle geliştiriyor Bu da yöneticilerin Geri Dönüşüm Kutusu'nu etkinleştirmesine ve ormanın etki alanı bağlamlarından silinen nesneleri, Windows PowerShell cmdlet'lerini doğrudan çalıştırmadan bulmasına veya geri yüklemesine olanak sağlıyor. Active Directory Yönetim Merkezi ve Active Directory Geri Dönüşüm Kutusu, perde arkasında hala Windows PowerShell'i kullandığından, önceki betikler ve yordamlar hala değerlidir.
Active Directory Geri Dönüşüm Kutusu hakkında bilgi edinmek için bkz. Active Directory Geri Dönüşüm Kutusu Adım Adım Kılavuz (Windows Server 2008 R2).
Active Directory Yönetim Merkezi Hassas Parola İlkesi
Windows Server 2008, yöneticilerin etki alanı başına birden çok parola ve hesap kilitleme ilkesi yapılandırmasına olanak sağlayan Hassas Parola ilkesini ilk kez kullanıma sunmuştu. Bunu kullanan etki alanları, kullanıcılara ve gruplara bağlı olarak daha çok veya daha az kısıtlayıcı parola kuralları uygulayabilmek için esnek bir çözüme sahip oldu. Yönetim arabirimi yoktu ve yöneticilerin Ldp.exe veya Adsiedit.msc'yi kullanarak yapılandırmasını gerektiriyordu. Windows Server 2008 R2, yöneticilere FGPP için komut satırı arabirimi sunan Windows PowerShell için Active Directory modülünü kullanıma sundu.
Windows Server 2012 ile Hassas Parola İlkesi bir grafik arabirime kavuşuyor. Tüm yöneticilere basitleştirilmiş FGPP yönetim olanağı sunan bu yeni iletişim penceresinin bulunduğu yer Active Directory Yönetim Merkezi'dir.
Hassas Parola İlkesi hakkında daha fazla bilgi için bkz. AD DS Hassas Parola ve Hesap Kilitleme İlkesi Adım Adım Kılavuzu (Windows Server 2008 R2).
Active Directory Yönetim Merkezi Windows PowerShell Geçmiş Görüntüleyici
Windows Server 2008 R2 ile birlikte, Windows 2000'de oluşturulan eski Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninin yerini alan Active Directory Yönetim Merkezi kullanıma sunuldu. Active Directory Yönetim Merkezi, o zaman yeni olan Windows PowerShell için Active Directory modülüne grafik tabanlı bir yönetim arabirimi getiriyordu.
Active Directory modülü yüzden fazla cmdlet içerse de bir yöneticinin bunları öğrenme hızı yüksek olabilir. Windows PowerShell, Windows yönetimiyle büyük oranda tümleşik olduğundan, Active Directory Yönetim Merkezi artık cmdlet yürütmesini grafik arabirimde görmenize olanak sağlayan bir görüntüleyici içeriyor. Arama yapabilir, kopyalayabilir, geçmişi temizleyebilir ve basit bir arabirimle not ekleyebilirsiniz. Amaç, yöneticilerin grafik arabirimi kullanarak nesneleri oluşturup değiştirmesi, daha sonra da Windows PowerShell betik yazımı konusunda daha fazla bilgi edinmek ve örnekleri değiştirmek için bunları geçmiş görüntüleyicisinde inceleyebilmesidir.
AD Çoğaltma Windows PowerShell
Windows Server 2012, Active Directory Windows PowerShell modülüne ek Active Directory çoğaltma cmdlet'leri dahil eder. Bunlar, yeni veya mevcut sitelerin, alt ağların, bağlantıların, site bağlantılarının ve köprülerin yapılandırılmasına olanak sağlar. Bunlar, ayrıca, Active Directory çoğaltma meta verilerini, çoğaltma durumunu, kuyruğa almayı ve güncellik sürümü vektör bilgilerini döndürür. Dağıtım ve diğer mevcut AD DS cmdlet'leriyle birlikte kullanılabilecek çoğaltma cmdlet'lerinin kullanıma sunulması, bir ormanın yalnızca Windows PowerShell kullanılarak yönetilmesini mümkün kılar. Bu da grafik arabirim kullanmadan Windows Server 2012 sağlamak ve yönetmek isteyen yöneticiler için yeni fırsatlar yaratır ve sonuç olarak da işletim sisteminin saldırı yüzeyiyle bakım gereksinimlerini azaltır. Bu olanak, özellikle Secret Internet Protocol Router (SIPR) ve kurumsal DMZ'ler gibi yüksek güvenlikli ağlarda sunucu dağıtılırken önemlidir.
AD DS site topolojisi ve çoğaltma hakkında daha fazla bilgi edinmek için bkz. Windows Server Teknik Başvurusu.
RID Yönetimi ve Verme Geliştirmeleri
Windows 2000 Active Directory ile birlikte kullanıcılar, gruplar ve bilgisayarlar gibi güvenlik güvenilenlerinin güvenlik tanımlayıcılarını (SID'ler) oluşturmak için etki alanı denetleyicilere göreceli tanımlayıcı havuzları veren RID Yöneticisi kullanıma sunuldu. Varsayılan olarak bu genel RID alanı, bir etki alanında oluşturulan toplam 230 (veya 1,073,741,823) SID ile sınırlıdır. SID'ler havuza geri dönemez veya yeniden verilemez. Zaman içerisinde, büyük bir etki alanının RID'leri azalabilir ya da kazalardan dolayı RID'ler gereksiz biçimde tükenebilir ve sonunda bitebilir.
Windows Server 2012, 1999 yılında ilk Active Directory etki alanları oluşturulduğundan beri AD DS olgunlaştıkça müşteriler ve Microsoft Müşteri Desteği tarafından açığa çıkarılan bir dizi RID verme ve yönetme sorununu çözüyor. Bu görevler şunlardır:
Olay günlüğüne periyodik RID tüketim uyarılarının yazılması
Bir yönetici tarafından bir RID havuzu geçersiz kılındığında olayların günlüğe kaydedilmesi
RID ilkesi RID Engelleme Boyutu için artık üst sınır uygulanıyor
Artık genel RID alanı azaldığında yapay RID tavanları uygulandığından, yöneticiler genel alan tükenmeden eyleme geçebiliyor
Genel RID alanı artık tek bit artırılarak iki katına, yani 231 (2,147,483,648 SID) düzeyine çıkarılabiliyor
RID'ler ve RID yöneticisi hakkında daha fazla bilgi edinmek için Güvenlik Tanımlayıcıları Nasıl Çalışır başlıklı yazıyı inceleyin.
Yeni AD DS Dağıtım Mimarisi
AD DS Rol Dağıtımı ve Yönetimi Mimarisi
Sunucu Yöneticisi ve ADDSDeployment Windows PowerShell, AD DS rolünü dağıtırken veya yönetirken işlevsellik için şu merkezi derlemeleri kullanır:
Microsoft.ADroles.Aspects.dll
Microsoft.ADroles.Instrumentation.dll
Microsoft.ADRoles.ServerManager.Common.dll
Microsoft.ADRoles.UI.Common.dll
Microsoft.DirectoryServices.Deployment.Types.dll
Microsoft.DirectoryServices.ServerManager.dll
Addsdeployment.psm1
Addsdeployment.psd1
Her ikisi de uzaktan rol yükleme ve yapılandırma için Windows PowerShell'i ve uzaktan çağırma komutunu kullanır.
Windows Server 2012, LSASS.EXE'den önceki çeşitli yükseltme işlemlerini de şunların bir parçası olarak yeniden düzenliyor:
DS Rol Sunucusu Hizmeti (DsRoleSvc)
DSRoleSvc.dll (DsRoleSvc hizmeti tarafından yüklenir)
Sanal etki alanı denetleyicilerin düzeyini yükseltmek, alçaltmak veya bunları kopyalamak için bu hizmetin mevcut ve çalışıyor olması gerekir. AD DS rolünün yüklenmesi, bu hizmeti ekler ve varsayılan olarak başlatma türünü Elle olarak ayarlar. Bu hizmeti devre dışı bırakmayın.
ADPrep ve Önkoşul Denetleme Mimarisi
Adprep'in artık şema yöneticisinde çalışması gerekmiyor. Windows Server 2008 x64 veya üzerini çalıştıran bir bilgisayardan uzaktan çalıştırılabilir.
Not
Adprep, Schxx.ldf dosyalarını içeri aktarmak için LDAP kullanır ve içeri aktarma sırasında şema yöneticisiyle arasındaki bağlantıyı kaybetmesi durumunda otomatik olarak yeniden bağlanmaz. İçeri aktarma işleminin bir parçası olarak şema yöneticisi belirli bir modda ayarlanır ve bağlantı kaybedildikten sonra LDAP yeniden bağlanırsa bu bağlantı o belirli modda olmayacağından, otomatik yeniden bağlanma devre dışı bırakılır. Bu durumda, şema düzgün güncellenmez.
Önkoşul denetimi, belirli koşulların doğru olduğundan emin olunmasını sağlar. Başarılı bir AD DS yüklemesi için bu koşullar gereklidir. Gerekli koşullardan bazıları doğru değilse, bunlar yüklemeye devam etmeden önce çözülebilir. Adprep kodunun otomatik olarak çalışması için bir orman veya etki alanının henüz hazır olmadığını da algılar.
ADPrep Yürütülebilir Dosyaları, DLL'ler, LDF'ler, dosyalar
ADprep.dll
Ldifde.dll
Csvde.dll
Sch14.ldf - Sch56.ldf
Schupgrade.cat
*dcpromo.csv
Daha önce ADprep.exe'de bulunanAD Hazırlama kodu adprep.dll'ye geçirilmiştir. Bu, ADPrep.exe ve ADDSDeployment Windows PowerShell modülünün aynı görevler için kitaplığı kullanmasına ve aynı olanaklara sahip olmasını sağlar. Adprep.exe, yükleme medyasına dahil olsa da otomatik işlemler bunu doğrudan çağırmaz; yalnızca bir Yönetici elle çalıştırır. Yalnızca Windows Server 2008 x64 ve sonraki işletim sistemlerinde çalışabilir. Ldifde.exe ve csvde.exe de hazırlık işlemi tarafından yüklenen DLL olarak yeniden düzenlenmiş sürümlere sahiptir. Şema uzantısı, önceki işletim sistemi sürümlerinde olduğu gibi imzayla doğrulanan LDF dosyalarını kullanmaya devam eder.
Önemli
Windows Server 2012 için 32 bit Adprep32.exe aracı yoktur. Ormanı ve etki alanını hazırlamak için etki alanı denetleyici veya üye sunucu olarak ya da bir çalışma grubunda çalışan en az bir Windows Server 2008 x64, Windows Server 2008 R2 veya Windows Server 2012 bilgisayara sahip olmanız gerekir. Adprep.exe, Windows Server 2003 x64 sürümünde çalışmaz.
Önkoşul Denetimi
ADDSDeployment Windows PowerShell yönetilen kodunda yerleşik olarak bulunan önkoşul denetleme sistemi, işleme bağlı olarak farklı modlarda çalışır. Aşağıdaki tablolarda her bir test ve ne zaman kullanıldığının yanı sıra neyi, nasıl doğruladığı açıklanmıştır. Doğrulamanın başarısız olduğu ve hatanın sorunu gidermek için yeterli olmadığı sorunlarla karşılaşılması durumunda bu tablolar kullanışlı olabilir.
Core Görev Kategorisi'ndeki DirectoryServices-Deployment işlem olay günlüğü kanalındaki bu testler, her zaman Event ID 103 olarak günlüğe kaydedilir.
Önkoşul Windows PowerShell
Tüm etki alanı denetleyici dağıtım cmdlet'leri için ADDSDeployment Windows PowerShell cmdlet'leri vardır. Bunlar, kendileriyle ilişkili cmdlet'leriyle aşağı yukarı aynı bağımsız değişkenlere sahiptir:
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
Genellikle bu cmdlet'leri çalıştırmak gerekme; zaten varsayılan olarak dağıtım cmdlet'leriyle otomatik olarak yürütülürler.
Önkoşul Testleri
Test Adı |
Protokoller kullanılan |
Açıklama ve notlar |
VerifyAdminTrusted ForDelegationProvider |
LDAP |
Mevcut ortak etki alanı denetleyicide "Temsilci seçme için bilgisayar ve kullanıcı hesaplarına güvenilmesini etkinleştir" (SeEnableDelegationPrivilege) ayrıcalığına sahip olduğunuzu doğrular. Bunun için oluşturulmuş tokenGroups özniteliğinize erişilebilmesi gerekir. Windows Server 2003 etki alanı denetleyicilerle iletişim kurulurken kullanılmaz. Yükseltmeden önce bu ayrıcalığı elle doğrulamanız gerekir |
VerifyADPrep Önkoşullar (orman) |
LDAP |
rootDSE namingContexts özniteliğini ve Şema adlandırma bağlamı fsmoRoleOwner özniteliğini kullanarak Şema Yöneticisi'ni bulur ve bununla iletişim kurar. AD DS yüklemesi için hangi hazırlık işlemlerinin (forestprep, domainprep veya rodcprep) gerekli olduğunu belirler. Şema objectVersion'ın beklendiğini ve ek genişletme gerektirip gerektirmediğini doğrular. |
VerifyADPrep Önkoşullar (etki alanı ve RODC) |
LDAP |
rootDSE namingContexts özniteliğini ve Altyapı kapsayıcı fsmoRoleOwner özniteliğini kullanarak Altyapı Yöneticisi'ni bulur ve bununla iletişim kurar. Bir RODC yüklemesi durumunda, bu test etki alanı yöneticisini bulur ve çevrimiçi olduğundan emin olur. |
CheckGroup Üyelik |
LDAP, RPC over SMB (LSARPC) |
İşleme bağlı olarak kullanıcının Domain Admins veya Enterprise Admins grubunun üyesi olup olmadığını doğrula (bir etki alanı denetleyici eklemek veya düşürmek için DA, bir etki alanı eklemek veya kaldırmak için EA) |
CheckForestPrep GroupMembership |
LDAP, RPC over SMB (LSARPC) |
Kullanıcının Schema Admins ve Enterprise Admins gruplarının üyesi olup olmadığının yanı sıra mevcut etki alanı denetleyicilerde Denetleme ve Güvenlik Olay Günlüklerini Yönetme (SesScurityPrivilege) ayrıcalığına sahip olup olmadığını doğrulama |
CheckDomainPrep GroupMembership |
LDAP, RPC over SMB (LSARPC) |
Kullanıcının Domain Admins grubunun üyesi olup olmadığının yanı sıra mevcut etki alanı denetleyicilerde Denetleme ve Güvenlik Olay Günlüklerini Yönetme (SesScurityPrivilege) ayrıcalığına sahip olup olmadığını doğrulama |
CheckRODCPrep GroupMembership |
LDAP, RPC over SMB (LSARPC) |
Kullanıcının Enterprise Admins grubunun üyesi olup olmadığının yanı sıra mevcut etki alanı denetleyicilerde Denetleme ve Güvenlik Olay Günlüklerini Yönetme (SesScurityPrivilege) ayrıcalığına sahip olup olmadığını doğrulama |
VerifyInitSync AfterReboot |
LDAP |
Şema Yöneticisi'nin rootDSE özniteliği becomeSchemaMaster'da bir kukla değer ayarlanarak yeniden başlatıldığından beri çoğalttığını doğrulama |
VerifySFUHotFix Applied |
LDAP |
Mevcut orman şemasını doğrulama, OID 1.2.840.113556.1.4.7000.187.102 değerine sahip UID özniteliği için bilinen SFU2 sorununu içermez |
VerifyExchange SchemaFixed |
LDAP, WMI, DCOM, RPC |
Mevcut orman şemasını doğrulama artık Exchange 2000 uzantıları ms-Exch-Assistant-Name, ms-Exch-LabeledURI ve ms-Exch-House-Identifier sorununu içermiyor (https://support.microsoft.com/kb/314649) |
VerifyWin2KSchema Tutarlılık |
LDAP |
Mevcut orman şemasını doğrulama tutarlı (üçüncü taraflarca yanlış değişikliklere uğratılmayan) merkezi özniteliklere ve sınıflara sahiptir. |
DCPromo |
DRSR over RPC, LDAP, DNS RPC over SMB (SAMR) |
Yükseltme koduna ve test yükseltmesine geçirilen komut satırı söz dizimini doğrulayın. Yeni oluşturuluyorsa ormanın veya etki alanının zaten mevcut olmadığını doğrulayın. |
VerifyOutbound ReplicationEnabled |
LDAP, DRSR over SMB, RPC over SMB (LSARPC) |
NTDS Ayarları nesnesinin NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004) için seçenekler özniteliğini kontrol ederek çoğaltma ortağı olarak belirtilen mevcut etki alanı denetleyicinin giden çoğaltmasının etkin olduğunu doğrulama |
VerifyMachineAdmin Parola |
DRSR over RPC, LDAP, DNS RPC over SMB (SAMR) |
DSRM için ayarlanan güvenli mod parolasının etki alanı karmaşıklık gereksinimlerini karşıladığını doğrulayın. |
VerifySafeModePassword |
YOK |
Ayarlanan yerel Yönetici parolasının bilgisayar güvenliği ilkesinin karmaşıklık gereksinimlerini karşıladığını doğrulayın. |