Salt okunur etki alanı denetleyicisinin (RODC) aşamalı yüklemesini gerçekleştirerek, farklı kişilerin yüklemeyi iki aşamalı olarak tamamlamasını sağlayabilirsiniz. Yüklemenin her adımını tamamlamak üzere Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı'nı kullanabilirsiniz.
-
Gelişmiş Mod Yükleme Kullanma
-
Ek Etki Alanı Denetleyicisi Seçeneklerini Yapılandırma
-
Salt Okunur Etki Alanı Denetleyicisi Yüklemesi ve Yönetimi için Temsilci Atama
-
Parola Çoğaltma İlkesini Belirtme
-
Salt Okunur Etki Alanı Denetleyicisi Hesabı Seçme
Aşamalı RODC yüklemesinin açıklaması
Yüklemenin ilk aşamasında, Active Directory Etki Alanı Hizmetleri'nde (AD DS) RODC için bir hesap oluşturulur. Yüklemenin ikinci aşamasında, RODC olarak kullanılacak asıl sunucu, önceden oluşturulan hesaba eklenir.
İlk aşama sırasında, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı, RODC ile ilgili olarak dağıtılmış RODC'nin etki alanı denetleyicisi hesap adı ve yerleştirileceği site gibi, Active Directory veritabanında depolanacak tüm verileri kaydeder. Bu aşamanın Etki Alanı Yöneticileri grubunun bir üyesi tarafından gerçekleştirilmesi gerekir.
RODC hesabını oluşturan kullanıcı, yüklemenin sonraki aşamasını hangi kullanıcı veya grupların tamamlayabileceğini de belirtebilir. Yüklemenin sonraki aşaması şubede hesap oluşturulurken yüklemeyi tamamlama hakkı atanmış herhangi bir kullanıcı veya grup üyesi tarafından gerçekleştirilebilir. Bu aşama Etki Alanı Yöneticileri grubu gibi yerleşik gruplardan birine üyelik gerektirmez. RODC hesabını oluşturan kullanıcı yüklemeyi tamamlamak (ve RODC'yi yönetmek) üzere herhangi bir temsilci atamazsa, yalnızca Etki Alanı Yöneticileri veya Kuruluş Yöneticileri grubunun bir üyesi yüklemeyi tamamlayabilir.
Yüklemenin ikinci aşaması sırasında, sihirbaz RODC olacak sunucuya AD DS'yi yükler. Bu aşama genelde RODC'nin dağıtıldığı şubede gerçekleştirilir. Bu aşama sırasında veritabanları, günlük dosyaları, vb. gibi yerel olarak barındırılan tüm AD DS verileri RODC'de oluşturulur. Yükleme kaynak dosyaları ağ üzerindeki başka bir etki alanı denetleyicisinden RODC'ye çoğaltılabilir veya medyadan yükleme (IFM) özelliğini kullanabilirsiniz. IFM'yi kullandığınızda, Ntdsutil.exe aracını kullanarak, bir RODC yüklemesi için özel olarak oluşturulan yükleme medyasını oluşturun. IFM'yi kullanma hakkında daha fazla bilgi için bkz. Medyadan Yükleme.
RODC olarak kullanılacak sunucuyu RODC hesabına eklemeye çalışmadan önce etki alanına katmamalısınız. Yüklemenin bir parçası olarak, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı, sunucu adının etki alanı için önceden oluşturulmuş RODC hesaplarından birinin adıyla eşlenip eşlenmediğini otomatik olarak algılar. Sihirbaz eşlenen bir hesap adı bulduğunda, kullanıcıya RODC yüklemesini tamamlamak üzere bu hesabı kullanmak isteyip istemediğini sorar.
Aşamalı yükleme gerçekleştirme senaryosu
Bir kuruluşta aşamalı yükleme kullanıldığında, bir etki alanı denetleyicisi Windows Server'ın önceki sürümlerine göre daha verimli olarak bir şube konumuna dağıtılabilir. Örneğin, bir merkezi konumdaki Etki Alanı Yöneticileri grubu üyesi AD DS'de bir RODC hesabı oluşturabilir. Yüklemenin bu aşamasında, etki alanı denetleyicisi için bilgisayar hesabını oluşturma, bunun için siteyi belirtme ve sunucu için ilişkili bir NTDS Ayarları nesnesi oluşturma gibi, Etki Alanı Yöneticileri kimlik bilgileri gerektiren tüm dağıtım görevleri tamamlanır.
Etki Alanı Yöneticileri grubunun bir üyesi RODC hesabını oluşturduğunda, başka bir kullanıcıya veya güvenlik grubuna RODC yüklemesini şube konumunda tamamlama hakkını atayabilir. Sunucuyu varolan RODC hesabına ekleme görevinin Etki Alanı Yöneticileri grubunun bir üyesi tarafından gerçekleştirilmesi gerekmez. Yüklemenin ilk aşamasında Etki Alanı Yöneticileri grubunun üyesi tarafından temsilci olarak atanan herhangi bir yönetici (veya grup üyesi) bu görevi gerçekleştirebilir.
Kuruluş, sunucuyu RODC yüklemesinin tamamlanabileceği şube konumuna doğrudan sipariş ederek teslim edebilir. Geçmişte, şubelerde kullanılacak etki alanı denetleyicilerinin dağıtılacakları şube konumundan önce, bir merkezi konuma veya hazırlama alanına sipariş edilerek teslim edilmeleri gerekiyordu. Alternatif olarak, yükleme medyası bir merkezi konumda oluşturularak daha sonra etki alanı denetleyicisi yüklemesini tamamlamak üzere şubeye gönderiliyordu. RODC'nin aşamalı yüklenmesi, bu ara yükleme adımlarını ortadan kaldırarak etki alanı denetleyicisi dağıtım işlemini kolaylaştırır.
Aşamalı yüklemeler nasıl gerçekleştirilir
RODC'yi yüklemeden önce, adprep /rodcprep komutunu çalıştırarak ormanınızı hazırlamalısınız. adprep komutunu kullanarak ormanınızı hazırlama hakkında daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetleri Dağıtım Yapılandırmasını Seçme.
Böylece, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak RODC hesabını oluşturabilirsiniz. Konsol ağacında, Etki Alanı Denetleyicileri kapsayıcısını sağ tıklatın veya Etki Alanı Denetleyicileri kapsayıcısını tıklatın, Eylem'i tıklatın ve sonra da Salt Okunur Etki Alanı Denetleyicisi hesabını önceden oluştur'u tıklatın.
Komut satırında dcpromo komutunu çalıştırarak da bir RODC hesabı oluşturabilirsiniz, ancak komutta RODC'nin yükleneceği etki alanının adının da belirtilmesi gerekir. Komut satırına aşağıdaki komutu yazıp ENTER tuşuna basın:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:EtkiAlanıAdı
Burada EtkiAlanıAdı, bir RODC yüklemeyi planladığınız etki alanının adıdır.
RODC hesabı oluşturulduktan sonra, temsilci olarak atanmış bir kullanıcı tarafından sunucu ekleninceye kadar Etki Alanı Denetleyicileri kapsayıcısında kullanılmayan bir etki alanı denetleyicisi hesabı olarak görünür.
Temsilci olarak atanan yönetici tarafından sunucu için bir statik IP adresi atanıp DNS istemci ayarları yapılandırıldıktan sonra, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı çalıştırılarak, şubedeki sunucu varolan RODC hesabına eklenebilir. Sunucuyu varolan hesaba eklemek için, etki alanı denetleyicisi yapılacak sunucuda bir komut istemi açıp aşağıdaki komutu yazın ve sonra da ENTER tuşuna basın:
dcpromo /UseExistingAccount:Attach
Temsilci olarak atanan yöneticiye, AD DS ikili dosyalarının yüklenmekte olduğu bildirilir. Daha sonra, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı yüklemenin ikinci aşamasını otomatik olarak başlatır. Temsilci olarak atanan yönetici aşağıdaki ek yükleme seçeneklerini belirtmek üzere dcpromo komutuna /adv parametresini ekleyebilir veya sihirbazın Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı'na Hoş Geldiniz sayfasında Gelişmiş mod yükleme kullan onay kutusunu seçebilir:
-
Verileri ağ üzerinden mi yoksa medyadan mı çoğaltmalı
-
Yükleme ortağı olarak hangi etki alanı denetleyicisi kullanılmalı
Sihirbazın Ağ Kimlik Bilgileri sayfasında, temsilci olarak atanan yöneticinin yükleme için kullanılacak diğer kimlik bilgilerinin yanı sıra, RODC'nin yüklenmekte olduğu ormandaki bir etki alanının adını da girmesi gerekir. Diğer kimlik bilgileri, bir etki alanı kullanıcısı tarafından gerçekleştirilmesi gerektiği için sunucuyu varolan bir etki alanı denetleyicisi hesabına eklemek amacıyla gerekir. Ancak sunucu henüz etki alanına katılmadığı için, temsilci olarak atanan yönetici sunucuda bir yerel yönetici hesabıyla oturum açmıştır. Bu nedenle, temsilci olarak atanan yöneticinin, Etki Alanı Yöneticileri grubunun üyesi tarafından RODC hesabı oluşturulurken RODC'yi yükleme ve yönetme hakkı atanan etki alanı kullanıcı hesabını (veya temsilci olarak atanan yönetim grubunun üyesi olan bir hesabı) bu aşamada belirtmesi gerekir.
AD DS'yi bir RODC'den kaldırma
Temsilci olarak atanan bir yönetici Dcpromo.exe aracını çalıştırarak AD DS'yi RODC'den kaldırabilir. Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı, yeni yerel Yönetici hesabının parolası da dahil olmak üzere, AD DS'yi kaldırmak ve bilgisayarı tek başına çalışan bir sunucu yapmak için gereken bilgileri ister. AD DS'yi kaldırma işlemini tamamlamak için sunucuyu yeniden başlatmalısınız.
Bilgisayar adı ve hesap çakışmalarını algılama
Temsilci olarak atanan yönetici sunucuya eklenecek RODC hesabının adını seçtikten sonra, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı, hesabın etkin bir etki alanı denetleyicisi tarafından kullanılmakta olmadığını doğrular. Doğrulama başarılı olursa, sihirbaz sunucuyu otomatik olarak bu hesaba ekleyerek yüklemeyi tamamlamaya çalışır.
Sihirbaz eşlenen ada sahip bir bilgisayar hesabı bulamazsa, temsilci olarak atanan yöneticiye sunucuyu varolan bir bilgisayar hesabıyla eşlenmeyen bir adla yeniden adlandırma veya ad çakışmasını gidermek üzere başka adımlar gerçekleştirme olanağı sunar.
Sihirbaz eşlenen bir etki alanı denetleyicisi hesap adı bulursa ama hesap etkinleştirilmişse, etki alanı denetleyicisinin çevrimiçi durumda olduğunu doğrulamak üzere bağlantı kurmaya çalışır. Sihirbaz daha sonra aşağıdaki işlemleri gerçekleştirir:
-
Sihirbaz aynı adlı başka bir etki alanı denetleyicisinin çevrimiçi durumda olduğunu doğrulayabilirse, AD DS yüklemesinin tamamlanmasını engeller. Bu durumda, RODC yüklemesinin gerçekleştirilmekte olduğu yüklemenin, zaten kullanılmakta olmayan bir RODC hesabı adıyla yeniden adlandırılması gerekir.
-
Sihirbaz aynı adlı başka bir etki alanı denetleyicisinin çevrimiçi olduğunu doğrulayamazsa, etki alanı denetleyicisiyle sihirbaz tarafından bağlantı kurulamadığı halde, yüklemeye devam edilmesi durumunda aynı hesap adına sahip olan etki alanı denetleyicisinin (gerçekten çevrimiçiyse) düzgün çalışmayacağı konusunda temsilci olarak atanan yöneticiyi uyarır.
Bu koşul, daha önce sunucuyu varolan bir hesaba ekleme girişiminde bulunulmuşsa ama yükleme tamamlanmadan önce bu girişim iptal edilmişse oluşabilir. Bu durumda, devre dışı bırakılmış RODC hesabı, yükleme tamamlanmadan önce etkin durumuna geçirilebilir. Bu yapılırsa, temsilci olarak atanan yönetici uyarıyı aldıktan sonra Tamam'ı tıklatarak işleme devam edebilir.
Daha fazla bilgi için bkz. Salt Okunur Etki Alanı Denetleyicisi Hesabı Seçme.