Sıfırdan HyperV-Windows Server-Active Directory-Failover Cluster-MSSQL Server-AlwaysOn Kurulumu-2

Bir önceki makalemizde 1. Aşamayı yaptıktan sonra şimdi gelelim ikinci aşamaya. Sizde sıfırdan HyperV-Windows Server-Active Directory-Failover Cluster-AlwaysOn kurulumu yapmak isterseniz adımları takip edebilirsiniz.

2. AŞAMA

Birinci aşamada kurmuş olduğum AD,S1 ve S2 sunucusunun birbirleriyle konuşması için network konfigürasyonunun yapalım.

Active directory sunucum yani AD bizim domain control sunucum olduğu için diğer sunucularımın default gateway’ini active directory sunucumun ip değeri yapıp birbirleriyle konfigürasyonu sağlamam gerekiyor.

İlk olarak active directory sunucumun network konfigürasyonunu yapıyorum.

Bilgisayarımızın sağ alt tarafında bulunan  Network and Internet setting kısmına tıklanır.

Daha sonra gelen ekrandan Change adapter options kısmı seçilir.

Karşımıza gelen   Ethernet’e tıklanır.

Ethernet Status kısmından properties kısmı seçilir.

İlk başta IPv6 protokolü kapatılır. Bunun sebebi herhangi bir role ekleme veya farklı bir senkronizasyonda bağlantı kopukluğuna veya hata mesajlarına sebebiyet vermektedir.

IPv4 protokolüne tıklandıktan sonra properties denilir.

Karşımıza gelen ekranda sunucunun kullanacağı manuel ip yazılır gerçek sistemlerde sistem ekibi tarafından verilmesi gerekmektedir. Active directory sunucumun çıkacağı başka bir adres olmayacağı için default geateway’ini AD sunucusu  üzerinde dönderdim. Dns server’ıda kendi  AD local adresi olarak tanımladım. Çünkü active directory kurulumu için bizden active directory kuruduğumuz sunucunun dns ip’sinin olup olmadığını kontrol edecek yoksa hata verecek. Gerçek sistemlerde Team yapısı oluşturulduktan sonra oluşturulan Team yapısına sunucusunun ip adresi verilmektedir.

Bu ayarlamaları AD sunucusunda yaptıktan sonra şimdi sırada aynı işlemleri S1 ve S2 sunucusunda yapmakta bunun için yukarıdaki izlediğim adımların aynısını izledim. S1 sunucusunda IPv6’yı kapattıktan sonra IPv4 konfigürasyonunu aşağıdaki gibi yapmış oldum.

Default gateway’ini AD sunucum olarak belirlemiş oldum. Bu sunucularımın aynı network’da olduğunu subnet maskesinden anlayabiliriz.

S1 sunucusunda yapmış olduğumuz işlemlerin aynısını S2 sunucusunda yapıyorum. IPv6’yı kapattıktan sonra IPv4 konfigürasyonunu yapıyorum. Burada şuna dikkat etmeliyiz S1 ve S2 sunucumda DNS server kısmına active directory sunucumun ip’sini yazmazsam S1 ve S2 sunucumu domain’e dahil ederken hata almış olurum.

An active directory domain contreller for the domain ‘yunusyucel.com’ could not be contacted

Bu işlemler sonucunda üç sunucumun aynı network içerisinde haberleşmesini sağlamış oluyorum. Bu sunucuların birbirlerine ping atıp atmadığını denetleyelim.

Eğer sunucular arası ping atamıyorsanız ve hata alıyorsanız. Yapacağınız işlem sunuculardaki firewall’ü kapatmanız.

Windows arama kısmına Windows Defender Firewall with Advanced Security kısmından kapatmamız gerekiyor bu özellik zaten sql server kuracağımız zamanda geçerlidir. Çünkü sql server default olarak 1433 portunu veya bizim belirleyeceğimiz herhangi bir portu kullanır herhangi bir haberleşme olacağı zaman bu port üzerinden gelen connection’ları firewall engelleme yapar normal ping’de bunun gibi bir porttan gitti için yapıyor olabilir.

Not: Çoğu internet trafiği (web gezintisi, e-posta, oyunlar) TCP veya UDP protokollerini kullanır ve bu protokoller iletişim kurmak için “port” numaralarına ihtiyaç duyar. Ancak ping, farklı bir katmanda çalışır.

Ping, ICMP (Internet Control Message Protocol) adı verilen bir protokolü kullanır. ICMP, TCP/UDP gibi bir taşıma protokolü değil, bir şebeke katmanı (Network Layer) protokolüdür.

• TCP/UDP, OSI modelinin 4. katmanında (Taşıma) yer alırken; ICMP, 3. katmanda (Ağ) yer alır.
• 3. katmanda “port” kavramı yoktur. Portlar, verinin hangi uygulamaya gideceğini belirlemek için 4. katmanda devreye girer. Ping ise doğrudan cihazın kendisine (IP adresine) “Orada mısın?” diye sorar.

Güvenlik duvarı (Firewall) ayarlarında ping’e izin vermek veya engellemek istiyorsanız, bir port numarası aramak yerine “ICMP protokolüne” izin vermeniz gerekir.

Buraya girdikten sonra çerçeve içine alınmış olan Windows Defender Firewall Properties  kısmından açık olan özellikler pasif hale getirilir.

Kurumsal ortamlarda bu özellik kapatılır çünkü kullanılan bir firewall vardır. Gerçek dünyada ise saldırılara karşı açık bırakılır. Sadece belirlenen ve istenen portlara izin verilmektedir.

Domain Profile, Private Profile ve Public Profile pasif hale getirilir. Bu yapılardaki temel mantık, “Neredeyim ve etrafımdakilere ne kadar güveniyorum?” sorusuna yanıt vermektir.

1. Domain Profile (Etki Alanı Profili)

Bilgisayarınız bir şirket ağına veya bir domain’e (Active Directory) bağlı olduğunda otomatik olarak devreye girer.

• Genellikle en esnek ama merkezi olarak yönetilen profildir. Şirket içindeki diğer bilgisayarların ve sunucuların birbiriyle kolayca iletişim kurmasına (dosya paylaşımı, uzaktan yönetim vb.) izin verir.
• Güven Seviyesi Yüksek (Ağ yöneticisi tarafından kontrol edildiği varsayılır).

2. Private Profile (Özel Profil)

Ev veya küçük ofis gibi, ağdaki diğer cihazları tanıdığınız ve güvendiğiniz yerlerde kullanılır.

• Bilgisayarınızın ağdaki diğer cihazlar tarafından görünmesine (Network Discovery) izin verir. Bu sayede evdeki yazıcıya bağlanabilir veya diğer bilgisayarlarla dosya paylaşabilirsiniz.
• Güven Seviyesi Orta.

3. Public Profile (Ortak Profil)

Kafe, havaalanı veya otel gibi yabancıların olduğu halka açık Wi-Fi noktalarında kullanılır.

• En kısıtlayıcı profildir. Bilgisayarınızı ağdaki diğer cihazlara karşı gizler. Dışarıdan gelen bağlantı isteklerini neredeyse tamamen engeller; böylece aynı ağdaki yabancıların bilgisayarınıza sızmasını zorlaştırır.
• Güven Seviyesi Düşük (Kimseye güvenilmez).

Bu işlemleri tüm sunucularım üzerinde yapmam gerekiyor. Bunlar sonucunda ping işleminin başarılı bir şekilde yapıldığını görmüş oluyorum.

Yukarıdaki işlemlerden sonra artık AD sunucumda active directory kurulumuna geçip S1 ve S2 sunucusunu domain’e alma işlemini yapabiliriz.

İlk başta Active Directory ile ilgili gerekli açıklamaları yapalım.

Gemini şunu dedi:

Active Directory (AD), Microsoft tarafından Windows Server işletim sistemleri için geliştirilen ve bir ağ üzerindeki tüm kaynakları (kullanıcılar, bilgisayarlar, yazıcılar, gruplar vb.) merkezi bir noktadan yönetmenizi sağlayan bir dizin hizmetidir. (directory service) Kullanıcılar ve nesneler hakkındaki kritik bilgileri depolar. 

Binlerce kullanıcının şifresini tek bir ekrandan sıfırlayabilir veya tüm şirket bilgisayarlarına aynı anda bir program yükleyebilirsiniz.Kullanıcı bir kez giriş yaptığında, yetkisi olan tüm dosya sunucularına, yazıcılara ve uygulamalara tekrar şifre girmeden erişebilir.”Muhasebe departmanı sadece kendi klasörlerini görsün, stajyerler denetim masasına erişemesin” gibi kurallar koymanızı sağlar.

Kurulum için Minumum Sistem Gereksinimleri
CPU:   1,4 GHz x64
RAM:   2GB
HDD:   32GB

Active directory kuracağım AD sunucumun server manager ekranına giriyorum.

Bu ekranda Add roles and features kısmına tıklıyorum.

Gelen ekranda next deyip ilerliyorum.

Role-based or feature-based insallation : Rol ve Özellik bazında ekleme ve çıkarma imkanı verir.
Remote Desktop Services installation: Remote Desktop Services (uzak masaüstü) kurulum ve yapılandırmasını buradan yapabiliriz.

Role-based or feature-based installation ikonuna tıkladıktan sonra next deyip ilerliyorum.

Select a server from the server pool  ise hangi sunucu üzerinde kurulum yapılacaksa o sunucuyu seçmemiz gerekiyor. Belirtilen ikonuna tıkladıktan sonra aşağıda bulunan sunucu adım ve ip adresinin doğru olup olmadığının kontrolünü yapıyorum. Bu kontrolden sonra Next butonuna tıklıyoruz.

Daha sonra gelen ekrandan hangi Windows Server özelliğin aktif edilmesini istiyorsam onu seçiyorum. Active directory domain services ikonunun seçiyorum.

İkonu seçtikten sonra böyle bir ekran karşımıza çıkıyor Add Features dedikten sonra Next deyip ilerliyorum.

İkinci sayfada herhangi bir özellik seçmeyip Next deyip ilerliyorum.

Bu kısımda ise Active Directory yapımızı Ofis 365 Azure Cloud Platformu ile entegre edebiliriz. Yeni gelen ekranda Next deyip ilerliyorum.

Kurulum bittikten sonra makina gerek duyarsa otomatikmen Restart olması için ilgili Checkbox’ı seçiyorum ve install ikonuna tıklıyorum.

Active Directory kurulumu başlamış durumda

Kurulum başarılı bir şekilde oldu. Close deyip kapatıyoruz.

Sunucumuz Restart olduktan sonra tekrar Server Manager kısmını açıyoruz  sağ üst tarafta bulunan bayrak ikonuna tıkladıktan sonra Promote this server to a domain controller sekmesine tıklıyoruz. Bu işi sağ üst köşede bulunan Tools bölümünden de yapabiliriz.

Buraya tıkladıktan sonra yeni bir domain kuracağımız için Add a new forest ikonunu seçtikten sonra Root domain name ismini belirliyorum. Domain adından sonra .(NOKTA) koyularak bir Suffix belirtmemiz gerekmektedir. local,com vb. gibi aksi halde ilerleyemeyiz.

Add a new domain to an existing forest: Mevcutta bulunan domain yapımızın içerisine bir tane Daha domain eklemek istersek bu seçeneği seçebiliriz

Next dedikten sonra bir sonraki ekranda herhangi bir değişiklik yapmadan domain şifresini belirliyorum ve next diyiyorum.

Domain Functional Level-DFL: Domain içindeki tüm Domain Controller’in işletim sistemi seviyesini belirtir. Bir “ilçe” (Domain) içindeki sunucuların hangi kapasitede çalışacağını belirler. Eğer DFL seviyenizi Windows Server 2019 yaparsanız, o ilçeye Windows Server 2012 bir sunucu dahil edemezsiniz. Herkesin en az 2019 standartlarında konuşması gerekir.

Forest Functional Level-FFL: Forest içindeki tüm Domain Controller’in işletim sistemi seviyesini belirtir. Tüm “şehir” (Forest) içindeki genel kuralları belirler. FFL seviyesi, altındaki DFL seviyelerinden daha yüksek olamaz.

Domain Name System (DNS) Server: Varsayılan olarak seçili gelir ve AD yapımız içinde DNS kurulumunu ve yapılandırmasını yapar. İsteğe bağlı kaldırılabilir ve ortamda başka bir DNS sunucu var ise manuel olarak yapılandırılabilir. Varsayılan olarak bırakıyoruz.

Active Directory ortamında bilgisayarlar birbirini isimleriyle değil, IP adresleriyle bulur. Ancak biz insanlar IP ezberleyemeyiz.

• “Muhasebe-PC” nerede diye sorduğunuzda, size “192.168.1.50 adresinde” diyen rehberdir.
• Active Directory, DNS olmadan çalışamaz. Sunucuların ve servislerin yerini bulmak için bu rehbere mecburdur. Başka bir DNS de kullanabilirsiniz ama AD ile entegre gelmesi işleri çok kolaylaştırır.

Global Catalog (GC): Active Directory’deki tüm objelerin özelliklerinin bilgisinin bir kopyasını bulunduran veritabanıdır. Yani tüm nesneleri önbelleğine alıyor ve verinin nerede olduğundan bağımsız olarak objeler hakkında bilgiler sunmaktadır.

Active Directory devasa bir kütüphane gibidir. Binlerce kullanıcı, bilgisayar ve yazıcı olabilir.

• Normalde bir kullanıcı bilgisi kendi domain’inde tutulur. Ancak başka bir domain’den bir şey arandığında, Global Catalog devreye girer.
• Tüm Forest (şehir) içindeki her nesnenin (kullanıcı, grup, cihaz) en temel bilgilerini (adı, soyadı, e-postası gibi) kendi üzerinde tutar.

DSRM şifresi belirleyelim. Active Directory Recovery işlemleri için atanan bir şifredir. Sunucu açılırken F8 tuşuna basarak  directory services restore mode bölümünü seçerek kullanabilirsiniz.
NOT: Eğer şifreyi kaybederseniz. “NTDSUTIL” komutu ile sonradan değiştirebilirsiniz.

Gelen ekranda herhangi bir değişiklik yapmadan Next diyiyorum. Bu uyarı ise önemsenmeyip geçilmelidir.

Next dedikten sonra gelen ekranda bizden aktif bir dizin istiyor buraca aktif dizin’imi YCL2024 yapıyorum. Active directory’de herhangi bir kullanıcı oluşturduğumda YCL2024\kullanıcı şeklinde gözükmesi sağlanacak.

Not: Bir bilgisayarın hangi Domain Controller ile konuşacağını belirleyen şey NetBIOS değil, DNS‘dir.

NetBIOS (Network Basic Input/Output System), bilgisayarların yerel ağlarda birbirleriyle iletişim kurmasını sağlayan bir protokoldür. 1983 yılında IBM tarafından geliştirilen bu sistem, ağ üzerindeki cihazların isim çözümleme, oturum yönetimi ve veri aktarımı yapmasına olanak tanır. NetBIOS isimleri, IP adreslerine çevrilerek cihazlar arasında iletişim kurulur.

Günümüzde DNS (Domain Name System) ve Active Directory gibi teknolojiler NetBIOS’un yerini almıştır. Ancak, eski sistemlerle uyumluluk sağlamak amacıyla hâlâ bazı ağlarda aktif olabilir. Güvenlik nedeniyle, dış dünyaya açık ağlarda NetBIOS’un devre dışı bırakılması önerilir.

Süreç kabaca şöyle işler:

• Siz: “Ben sirket.local domain’ine girmek istiyorum, DC nerede?” diye sorarsınız.
• DNS: “Hemen bakıyorum… İşte DC01.sirket.local ve DC02.sirket.local adresleri bunlar, onlara git.” der.
• NetBIOS: Sadece DNS’in olmadığı veya devre dışı kaldığı çok eski yapılarda “Ben buradayım!” diye bağırmak (broadcast) için kullanılır.

Bir sonraki ekranda default olarak oluşacak ekran önümüze gelmiş olacak. Bu şekilde bırakıp next deyip devam ediyoruz.

Özet ekranda gerekli kontrolleri yaptıktan sonra next deyip ilerliyorum.

Next dedikten sonra active directory kurulumunu başarılı bir şekilde yapılmış oldu.

İnstall deyip kurulum işlemlerime başlıyorum. Kurulum işlemi bittikten sonra active directory kurulumu yaptığım AD sunucumda bakalım domain’e dahil olmuş mu?

Evet AD sunucum domain’e dahil olmuş şimdi ise S1 ve S2 sunucularımı domain’e dahil etmeye çalışalım. S1 sunucum domain’e dahil değil domaine dahil etmek için Change Settings kısmına tıklanır

Önümüzde gelen ekranda change kısmına tıklanır.

Daha sonra domain ismini yazdıktan sonra Ok tuşuna basılır.

Ve karşımıza domain’e dahil edeceğimiz active directory username ve password’unu giriyorum Burada girilen username ve password active directory sunucusunun bilgileridir.

Görmüş olduğunuz gibi S1 sunucumuzun domaine dahil olduğunu görmüş olacağız.

Şimdi S1 sunucusunda yaptığım işlemlerin aynısını S2 sunucusundada yapıp domain’e dahil ediyorum.

Active directory username ve password ve şifresini girdikten sonra ok tuşuna basıyorum.

Not olarak dsa.msc komutunu run kısmında  çalıştırdıktan sonra active directory’imize girebiliriz.

Evet başarılı bir şekilde S2 sunucusunuda domain’e dahil etmiş oldum. 3. Aşamayı geçtikten sonra şimdi ise sql server AlwaysOn kurulumu içi şart olan failover cluster yapısını kurup S1 ve S2 sunucumu aynı cluster içerisinde oluşturayım. Bu yazıyı okuduktan sonra şimdi Sıfırdan HyperV-Windows Server-Active Directory-Failover Cluster-AlwaysOn Kurulumu-3 makalesini okumalısınız.

” Kim malını iyilik yollarında harcar ve Allah’a gönülden saygı besleyip günahlardan sakınırsa, O en güzel söz olan kelime-i tevhîdi doğrulayıp gereğini yerine getirirse, Biz ona dünyada iyilik yolunu, âhirette de hem hesâbın hem de cennetin yolunu kolaylaştırırız.”Leyl-5-7