Temel seviyede Active Directory kurulum makale ve videolarına ÇözümPark Bilişim Portalı üzerinden ulaşmanız mümkündür. Aslında internet üzerinde de genelde bu konuya çok sık bir şekilde değinildiğini görüyoruz. Fakat ne hikmet ise Child kaldırma veya DC kaldırma konusunda pek bir paylaşım göremiyorum. Bu aslında ciddi bir konu ve kimi zaman kurmayı bilmekten daha önemli bir hal alabilir.
Neden diye soracak olursanız kuruluma belki siz yetişmemiş olabilirsiniz, yani yeni işe başladığınız bir şirkette hali hazırda kurulu bir mimari olabilir ve yeri gelince gereksiz olan, şube ise kapatılan veya child ise artık child mimarisinden uzaklaşmanızdan dolayı kaldırılması gereken domain veya domain controller makineler olabilir. Sizin burada biliyor olmanız gereken aslında iki temel konu vardır.
1 – Domain – Child kavramı
2 – ADC kavramı
Bu kavramlar için zaten yazılmış makalelerimiz mevcut.
AD Mimarisi ve Child Kavramı için
ADC Kavramı
Peki bu temel bilgilerden sonra ilk olarak bir ADC kaldırma operasyonuna değinelim.
Senaryomuz gereği artık ihtiyaç duymadığımız veya kapattığımız bir şube için kurulmuş olan bir ADC’ un kaldırılma işlemini gerçekleştireceğiz.
Bu işlemi aslında farklı yöntemler bulunmaktadır. Bu yöntemler aslında sahip olduğunuz Active Directory yapısına göre değişiklik göstermetedir.
Yani eğer siz hala erişilebilir ve sağlıklı bir DC’ yi kaldırmak istiyorsanız kullanacağınız yöntemler ile bir şekilde bozulmuş ve artık ulaşılamayan bir DC’ yi kaldırmak için kullanacağınız yöntemler arasında farklılıklar bulunmaktadır.
Eğer DC hala ulaşılabilir ve sağlıklı çalışıyor ise “dcpromo” komut seti ile veya Windows Server 8 sunucular için GUI üzerinden ( veya powershell ile ) bu sunucuyu “demote” edebilirsiniz. Yani DC rolünü alablir ve onu domain üyesi normal bir sunucu haline geri getirebilirsiniz.
Öncelikle bu işlem adımlarını kontrol edelim.
Gerek 2003 veya 2008 gerekse Server 8 sürümleri için ilk şart FSMO rollerinin kaldırılmak istenilen DC üzerinde tutuluyor olması halinde bunların taşınması gereksinimidir.
Rol taşınması ile ilgili olarak aşağıdaki makalemizi inceleyebilirsiniz.
Taşıma işleminin ardından ortamdan kaldırmak istediğimiz DC’ nin üzerinde dcpromo komutunu çalıştırıyoruz.
Karşımıza bir “Welcome” ekranı geliyor ve ilerliyoruz.
Yukarıda olduğu gibi eğer DC rolünü kaldırmaya çalıştığınız sunucu aynı zamanda bir Global Catalog sunucusu ise bir uyarı alırsınız. Bu uyarıda ise GC rolünün kullanıcıların logon süreçlerinde kullanıldığını ve bu nedenle bu domain için kullanılabilir bir GC olduğundan emin olmamızı ister.
Bir sonraki ekran ise son derece önemlidir. Bu kutucuğu işaretlemek gerekiyor mu yoksa gerekmiyor mu ? Eğer siz bir domain’ i kalıcı olarak silmek istiyorsanız ve bu da bu domain için son domain controller makine ise evet bu kutucuğu işaretliyoruz. Ancak bizim amacımız domain’ i kaldırmak değil sadece ADC makinesini kaldırmak olduğu için bu kutucuğu işaretlemiyoruz.
Not; Eğer Child için son DC yi kaldırıyorsanız bu kutucuğu işaretlemeniz gerekmektedir, bu sayede ilgili forest içerisinden bu domain yani child domain kaydı kaldırılacaktır ve root üzerinden artık child domain’ e ait kayıtlar göremeyeceksiniz.
Artık domain ortamı olmayacağı için bu makineye local administrator kullanıcısı için bir şifre tanımlıyoruz. Hatırlarsanız bir makine DC rolüne yükseltildikten sonra yerel SAM veri tabanı yerine AD veri tabanı kullanılmakta ve bu nedenle lokal oturum açma seçeneği görülmemektedir. Bu ise bir geri dönüş olduğu için tekrar SAM veri tabanı kullanılacak ve bu veri tabanı içerisindeki varsayılan kullanıcı olan Administrator kullanıcısı için bir şifre belirliyoruz.
İsteklerimizin bir özetini görüyoruz ve eğer bir sorun yok ise “next” diyerek DC’ yi demote edebiliriz.
Bu sürecin sonunda artık başarılı bir şekilde ihtiyaç duymadığımız bir DC’ yi ortadan kaldırmış oluyoruz.
Bu işlemden sonra Site and Services konsolundan sunucumuzu siliyoruz
Bu şekilde yani tavsiye edilen ve sağlıklı çalışan bir sistemden kaldırılan DC için dns kayıtları kendi kendine silinir ancak siz yinede birkaç kritik kaydı kontrol edin.
Bunlardan ilki Name Server kayıtları ( domain zone ları için )
Örnek bende sistem ADC makine kaydını kendi silmiş.
Son olarak ise SRV kayıtlarınıda kontrol edin.
Örneğin ben Global Catalog için SRV kayıtlarını kontrol ettiğim zaman sildiğim DC ye ait herhangi bir SRV kaydı görmüyorum. Son derece temiz bir kaldırma operasyonu gerçekleştirdim. Ancak olursa sorun yaşarsanız burada gördüğünüz eski DC’ ye ait kayıtları bir system state yedeği aldıktan sonra tek tek elle silebilirsiniz ( Eski makine A kaydı önemli değildir, önemli olan SRV kayıtları içerisinde eski DC’ ye ait herhangi bir kayıt olmamalıdır. )
Windows 8 için ise sadece ekran görüntüsü paylaşıyorum süreçler aynı çünkü.
Rol veya özellik kaldırmayı seçiyoruz
Rol kaldıracağımız sunucuyu seçiyoruz
AD DS rolünü kaldırıyoruz.
Onun ile beraber yüklenen özellikleride kaldırıyoruz.
Bu işlem için malum yetkili bir hesap gerekli, ben zaten domain admin yetkisi ile logon olduğumdan ek bir yetkili kullanıcı bilgisi vermeme gerek yok.
Bu DC’ nin DNS ve GC gibi önemli rolleri üstlendiğinden devam etmek için “Proceed with removal” kutusunu işaretlememiz gerekiyor.
Benzer şekilde yeni bir lokal admin şifresi tanımlıyoruz.
Ve bunun sonucunda başarılı bir şekilde kaldırma işlemini gerçekleştirmiş oluyoruz. Kaldırma sonrası aynı 2008 de olduğu gibi site ve dns kayıtlarını kontrol etmenizde fayda vardır.
Burada belki dikkatinizi çekmiştir, bu domain için son domain controller sorgusunu göremedik! Bunun sebebi Windows Server 8 de sistem biraz değişti, eğer ortamda başka bir DC var ise bunun farkında olup size bu soruyu sormuyor ki doğrusuda bu olmalı J
Ama gerçekten en son DC yi kaldırır veya bir iletişim sorunu var ise aşağıdaki gibi bildiğimiz bu seçenek tekrar beliriyor.
Burada birkaç detay daha paylaşmak istiyorum.
Eğer hiçbir kutucuğu işaretlemeden son kalan DC’ yi kaldırmaya çalışırsanız karşınıza ek olarak aşağıdaki ekran gelecektir.
Eğer Domain DNS zone’ unu tutan son DNS server’ ı siliyorsak ki biz bunu yapıyoruz bu durumda ilk kutucuğu işaretlememiz gerekmektedir.
Benzer şekilde uygulama bölümünü yani application partition’ u silmek için de ikinci kutucuğu işaretliyoruz.
Bu resimde olmayan bir kutucuk ise “Retain the domain controller metadata”. Bu kutucuğu işaretlemedeki amacımız ise eğer bu domain controller makineyi yeniden aynı makine hesabı ile kurmak istiyorsak bu durumda bu verileri saklamamızı sağlamaktadır.
Peki benzer işlemleri powershell ile yapmak istiyorsak aşağıdaki komut setini kullanabiliriz.
PS C:\Users\Administrator> Uninstall-ADDSDomainController -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone –RemoveApplicationPartitions
Ardından bize local admin şifresi sorulur, iki kere bu şifreyi giriyoruz ve “A” tuşuna basarak süreci başlatıyoruz.
İkinci senaryomuz ise DC ulaşılamıyor veya sağlıklı çalışmıyor durumu. Bu durumda Metadata Cleanup yöntemi ile kaldırabilirsiniz ki bu konudaki makale linkini sizler ile paylaşıyorum.
Bir diğer alternatif ise, DC’ nin makine hesabının elle kaldırılması. Bu işlem eğer bir Windows Server 2008 öncesi sürümlerde yapılırsa Metadata Cleanup dediğimiz yöntem ile silinen DC için AD veri tabanından kalıntıların silinmesi işlemini yapmak gerekliydi. Yani bir DC yi kaldırmak için onun makine hesabını silmek çözüm değildir. Ancak bunu yanlışlıkla yapmış olabilirsiniz veya o DC ile ilgili fiziksel sorunlar oluşmuş olabilir. Örneğin diski bozulmuş ve yedeğiniz yok ise zaten bu DC’ yi normal yollar ile kaldırmanıza imkan yoktu ve bu nedenle her şekilde metadata cleanup yapmanız gerekmektedir.
Windows Server 2008 ve sonrasında ise makine hesabını silmek bu işlemi otomatik yapar. Yani siz bir DC’ nin makine hesabını silmek istediğiniz zaman zaten bu konuda bir uyarı ekranı karşınıza gelecektir.
Eğer yukarıdaki resimde yer alan kutucuğu işaretleyerek “Delete” tuşuna basarsanız bu DC için AD DS veri tabanı içerisindeki kalıntıları siler (File Replication Service (FRS) ve Distributed File System (DFS) Replication bağlantıları ) ve yine bu DC üzerinde tutulan FSMO rolleri var ise bunları transfer eder. ( öncelikle transfer etmeye çalışır ancak zaten ulaşılamayan bir dc olduğu için “seize” yöntemi ile alır bu rolleri ).
Bundan sonra ise Site and Services konsolu altından bu sunucunun bulunduğu site bulunur ve “Servers” kabı altından sunucuda silinir.
Not; Ortamdan tavsiye edilen bir yolla veya metadata cleanup yöntemi ile uzaklaştırılan bir DC ye ait DNS kayıtları mutlaka DNS üzerinden kaldırılmalıdır. Bunu kaldırılmış olup olmadığını kontrol edin. Normal yollarla kaldırma işleminden sonra bu kayıtların silinmesi için sisteme biraz zaman tanıyın ( replikasyon için ve yapıya göre bu süre değişir ). Aksi halde elle bu kayıtları ( SRV ) silebilirsiniz.
Peki özetlemek gerekir ise senaryolarımız aşağıdaki şekildedir
1 – DCPROMO ile tavsiye edilen kaldırma yöntemi.
2 – AD veri tabanından GUI yolu ile silme ( 2008 ve sonrası için ve yine isterseniz GUI yerine ntdsutil komut setini kullanabilirsiniz. )
3 – AD veri tabanından silmek için Metadata Cleaup komutları çalıştırma. Çünkü 2008 öncesi sistemlerde GUI den makine hesabını silmek yeterli değildir.
Tüm bu işlemlerin sonucunda yapılacak işlemler ise ortaktır.
1 – Site altından Server kabından sunucuyu silmek.
2 – DNS üzerinden eğer var ise SRV kayıtlarını silmek. ( eğer gerekli ise )
Yine makalemde bahsetmek istediğim bir diğer konu ise Child DC’ lerin kaldırılmasıdır. Eğer şirket ortamınızda bir Child bulunmakta ve siz bu yapıyı kaldırmak istiyorsanız elbette bu makaleden farklı olarak öncelikle bu kaynakların root domain’ e aktarmanız gerekli. Yani öncelikle böyle bir konulu makalelerimizi okumanızı tavsiye ediyoruz.
Child kaldırma işleminde ise aslında bizim makalemizin konusunun ilgilendiren tek bir kurucuk var J Normalde ADC kaldırmak ile aynı olmak ile beraber en çok merak edilen ve emin olunamayan konulardan birine net cevap verip makalemi tamamlayacağım.
Evet child için çalışan bir DC’ de bizlerin bildiği 2003, 2008 veya Server 8 bir sunucudur ve bunların AD DS komutlarını veya sihirbazlarını biliyoruz.
Soru şu, Child içindeki son DC yi kaldırıken “last domain controller” kutucuğunu işaretleyecekmiyiz. Burada örnek bir domain yapısı düşünelim
Cozumpark.com root, altında ise sozluk.cozumpark.com.
Şimdi bu kutucuk domain’ i siliyor ama hangi domain ? Aslında yine AD mimarisini bilen bilişim uzmanları için soru son derece basittir.
Yukarıdaki şekilde görüldüğü gibi her bir üçgen bir domain’ i ifade eder, yani child ve root ayrı ayrı üçgenler = ayrı domainler oldukları için child dc yi kaldırırken işaretlediğiniz bu kutucuk root domain’ e herhangi bir zarar vermez.
Ardından Application Partition içeriği bizlere gösterilir.
Ve biz onuda silmek istediğimizi belirtiriz.
Bu bölümde ise Domain kaldırma işlemini hangi yetki ile yapacağımızı sorar. Root’ u ilgilendiren bir durum söz konusu olduğu için size tavsiyem root içerisindeki administrator kullanıcı hesabı ile kaldırma işlemini gerçekleştirin. Eğer bunu yapmaz iseniz bir sonraki seçenek olan DNS delegasyonunu kaldırmanız için sizden root domain için yetkili bir hesap bilgisi istenecektir.
Eğer root dns içerisindeki bu delegasyonu silmek istiyoranız bu kutucuğu seçiyoruz. Ancak root için yetkili bir hesap bilgisi yok ise bu durumda root üzerindeki delegasyon kaldırılmayacaktır. Ancak bu ciddi bir sorun olmayıp root üzerindeki bu delegasyonu dns üzerinden root yöneticisi elle kaldırabilir.
Ben Sözlük yani child yetkileri ile devam ediyorum ki delegasyon menüsünde benden ek olarak root yani parent yönetici hesabı istesin ve bend bunu sizler ile paylaşayım.
Gördüğünüz gibi “cozumpark.com” yani root = parent domain için yetkili bir hesap bilgisi istenmektedir. Unutmayın ki ben şu anda “sozluk.cozumpark.com” child domain’i kaldırıyorum.
Sonrasında yeni lokal admin şifresi
Ve süreç başlıyor.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.