Active Directory Migration 2012 / 2016

Merhaba

Bu yazımızda mevcut 2012 Active Directory yapısını 2016 üzerine taşıma ile ilgili işlemleri yapıyor olacağız.

Migration’ı yapabilmek için mevcut AD yapısında Domain Functional Level in minimum 2008 olması gerekmektedir. Domain Functional Leveli aşağıdaki gibi Active Directory Users & Computer açtıktan sonra domain üzerinde sağ tıklayıp Raise Domain Functional Level diyerek görebiliriz.

Migration öncesi dcdiag komutu ile mevcut domain yapısında herhangi bir problem bulunmaktamı kontrol etmemizde fayda var. Bir başka check işlemi ise repadmin /showrepl komutu ile ortamda bulunan domain controller’lar arasındaki replikasyon durumunu kontrol edebiliriz.

Geçiş sırasında schema genişletmesi yapılacağı için kullanıcının schema , enterprise , domain admin gruplarına dahil olması gerekmektedir.

Kontrollerden sonra migration işlemine başlayabiliriz.

Öncelikle mevcut AD yapımızın schema versiyonunu aşağıdaki komut ile kontrol ediyoruz ;
Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

Komutun çıktısı aşağıdaki gibidir.

Sonrasında 2016 kurulu olan sunucumuzun DNS ve Computer name yapılandırmasını mevcut yapıya göre yapılandırıp domaine dahil ediyoruz.Domaine dahil ettikten sonra network adaptoründe 2.DNS olarak sunucunun kendi ip adresini yazdıktan sonra suncuyu ADC olarak yapılandırıyoruz.

Sunucuya AD bileşenlerini yükleyebilmek için Add Roles And Features diyoruz.

Bilgilendirme ekranını next diyerek geçiyoruz.

Yükleme yapılacak sunucuyu seçtikten sonra next diyerek geçiyoruz.

Active Directory Domain Service seçerek devam ediyoruz.

Otomatik olarak yüklemesini seçtiği feature‘lar yeterli olacağı için next diyerek devam ediyoruz.

Azure Active Directory hakkında herhangi bir yapılandırma yapmayacağımız için next diyerek devam ediyoruz.

Install diyerek yükleme işlemini başlatıyoruz.

Yükleme sonrasında Promote this server to a domain controller’ı tıklıyoruz.

Mevcut bir AD yapısı bulunduğu ve bu yapıya bir ADC ekleyeceğimiz için ilk seçeneği seçip gerekli credential bilgilerini girdikten sonra next diyoruz.

DSRM şifresi ve site-name bilgileri belirlendikten sonra next diyerek devam ediyoruz.

DNS kısmını next diyerek geçiyoruz.

Yükleme işlemi IFM olarak yapılacak ise ilgili tick işaretlenip gerekli bilgiler girilebilir. Biz hiç bir işlem yapmadan next diyerek geçiyoruz.

SYSVOL klasorleri default ayarları ile bırakıp next diyoruz.

Bu kısımda yapıya 2016 bir sunucu eklendiği için schema ile ilgili değişiklikler olacağını bildiriyor.Next diyerek devam ediyoruz.

Yapılan konfigurasyonun özetini burdan kontrol edebilirsiniz. Next diyerek devam ediyoruz.

Install diyerek ADC işlemini tamamlıyoruz.

İşlem bittiken sonra Active Directory Schema versiyonunu tekrar kontrol ediyoruz.87 yi AD Schema versiyonlarında kontrol ederseniz 2016 olduğunu görebilirsiniz.

Şimdi sıra FSMO rollerini 2016 sunucu üzerine taşımaya geldi.

FSMO Rolleri Forest ve Domain bazlı olmak üzere 2 ana grup içerisinde toplanır. İlk olarak Domain bazlı olan rolleri taşıma işlemi yapacağız. Rolleri taşıyacağımız domaine sonradan dahil edilen controller’da Active Directory Users and Computers’ı açıyoruz ve domain name üzerine gelip sağ tıklayarak Operations Masters diyoruz.

İlk taşıyacağımız Role RID.

RID ; Açılımı Relative Identifier Master’dır. Yeni bir user , computer , group account oluşturulduğunda sistem ona otomatik olarak SID atar. Bu SID benzersiz olmak zorundadır.Aynı SID’ye sahip 2 farklı öğe olamaz.Active Directory ortamında SID’lerin dağatılmasından sorumlu olan role RID Master’dır. Bu Role’ü yeni kurulan 2016 ya taşımak için Change diyoruz Role’ü taşımaya emin olup olmadığımızı soruyor Yes diyerek devam ediyoruz.

RID Master role’ünü başarılı şekilde taşıdığımızı görüyoruz.

Bir sonraki Role’ümüz PDC Emulator Role’ü
PDC Emulator ; Active Directory ortamında bulunan öğelerin zaman senkronizasyonunu sağlamakla yükümlü olan Role’dür.
RID rolüne olduğu gibi bu role’de de chage diyor ve sonrasında karşımıza çıkan eminmisiniz sorusuna yes diyerek devam ediyoruz.

Sıradaki role’ümüz Infrastructure Master.

Infrastructure Master ; Bu role tek domainli ortamlarda işlevsiz diyebiliriz. Genel olarak görevi birden fazla domain bulunan ortamlarda bu domainler arasında herhangi bir nesnenin diğer domaindeki gruba eklenmesi durumunda bu öğenin diğer domainde yetkilerinin güncellenmesinden sorumludur.

Bu role’üde diğer role’lerde olduğu gibi change diyerek 2016 sunucumuz üzerine taşıyoruz.

Domain bazlı Rolleri taşıma işlemimiz bitmiş bulunmakta. Sırada kalan 2 role’ümüzden 1 tanesini daha gui ortamı ile yaptıktan sonra son role’ümüzü ntdsutil aracı ile taşımayı göstereceğim. Bazı nadir durumlarda eğer rollerin bulunduğu sunucuya erişemiyoriseniz gui ortamında rolleri taşıma imkanınız olmaz. Bu durumda rolleri ntdsutil ile taşıyabilirz.

Şimdi sıradaki 2 role’ümüz Forest bazlı roller.

İlk Taşıyacağımız role Domain Naming Master

Domain Naming Master ; Bu role forest içerisine domain ekleme yada silme işlemini yapan role’dür.Oluşturulacak olan domainlerin orman içerisinde olup olmadığının kontorlünü sağlar.Her forest içerisinde sadece 1 adet domain naming master rolünü üstlenen dc bulunabilir.

Domain Namin Master rolünü taşımak istediğimiz sunucuda Active Directory Domains and Trust’ı açıp resimde görüldüğü gibi sağ tıklayıp Operations Master’a tıklıyoruz.

Diğer rollerde olduğu gibi Change diyor ve eminmisiniz sorusuna evet diyerek role’ü taşıyoruz.

Şimdi sıra geldi Schema Master Role’üne.

Schema Master ; Bu role forest bazlı bir role’dür.Active Directory Schema’sının yönetilmesinden sorumludur. Ve Forest içerisinde bulunan Domain Controller’ların replikasyonundan sorumludur.

Bu Role’ü diğerlerinden farklı olarak cmd aracılığı ile ntdsutil tool’u ile seize ederek taşıyacağız.

cmd açıldıktan sonra sırasıyla
ntdsutil
roles
connections
connect to server dc16.delibal.local role’ü taşıyacağımız sunucunun FQDN ini giriyoruz.
q diyerek bir alt menüye geri geliyoruz.
sieze schema master diyip enter diyoruz.

Karşımıza gelen uyarı schema role’ünü taşımak isteyip istemediğimizi soruyor. Yes diyerek devam ediyoruz.

İşlem sonrasında ilgili FSMO Role’ünün taşındığı ve taşınan sunucuda hangi rollerin bulunduğu yukarıdaki gibi gözükmekte.

Bütün rollerimizi başarılı şekilde 2016 sunucu üzerine taşımış bulunmaktayız. netdom query fsmo komutu ile rollerin hangi sunucu üzerinde bulunduğunu görebilirsiniz.

Bu işlemler sonrasında 2016 sunucunuz Domain Controller olduğu için ADC yaparken kullandığımız ipv4 DNS konfigurasyonunda DNS olarak kendisini görmesi gerekmektedir.

Yada bir diğer yöntem yeni 2016 Domain Controller sunucu ile eski 2012 Domain Controller sunucunun ip konfigurasyonlarını değiştirmek olabilir.Genellikle LDAP Auth. bulunan cihazlara domain controllerin ip adresi verildiği için bu cihazlarda da problem çıkacaktır. Problem çıkmasını önlemek amaçlı bu yöntem uygulanabilir.

Şuanda FSMO rollerimiz 2016 üzerinde çalışmasına rağmen Server 2016 yeniliklerinden faydalanamıyoruz. Bunun nedeni ise Forest ve Domain Functional level’imizin hala 2012 olmasıdır. Forest ve Domain Funcitonal levelleri yükseltmek için 2012 olan Domain Controller’ın üzerinde bulunan Active Directory servislerinin kaldırılması gerekmektedir.

2012 sunucuya geçiyor ve oturum açıyoruz.

Server Manager’ı açıp sağ üst köşeden manage’e tıklayarak Remove Roles And Features diyoruz.

Bilgilendirme ekranını next diyerek geçiyoruz.

Server Selection kısmında sunucumuzu seçip next diyoruz.

Active Directory Domain Services yazısının solundaki tick işaretine tıklıyoruz.

Bize silenecek Feature ve Rollerin Listesini gösteriyor Remove Feature diyoruz.

Bize sunucuyu demote etmemiz gerektiğine dair uyarı alıyoruz. Demote this domain controller’ı tıklıyoruz.

Credential kısmında ilgili user’ın yeterli yetkisi bulunuyor ise next diyerek geçebilirsiniz.

Removal işlemini onaylayıp Next diyoruz.

Active Directory ortamında local kullanıcılar bulunmadığı için removal işleminden sonra oluşacak olan Administrator kullanıcısının şifresini belirliyoruz.