BT Sistem Yönetimi Hizmeti: Sunucu, Sanallaştırma, Yedekleme

Active Directory DNS Yapılandırması: Forwarder ve Zone Yönetimi

Active Directory DNS forwarder, reverse lookup zone, conditional forwarder ve split-brain DNS yapılandırması. Windows Server'da kurulum ve sorun giderme için ekran görüntülü rehber.

İlker Pehlivan
Yazan

Bir eğitim kurumunda çalıştığım dönemde satın alma portalına erişilemiyor diye şikayet geldi. O gün evden çalışıyordum; kendi bağlantımdan kontrol ettim, site açılıyordu. Israr ettiler, kurum ağına VPN ile bağlandım, bir baktım, gerçekten açılmıyordu. Aynı kampüste yer alan komşu kurumun kablosuz ağına geçtim, site açıldı. Kendi kurum ağına döndüm, açılmadı. Sorunun iç ağdan kaynaklandığı belliydi.

Uzun bir araştırmanın sonunda keşfettim: yıllar önce web sunucuları dışarıya taşınmadan önce, eski bir sistemci iç DNS’e o subdomain için bir A kaydı eklemişti. Yazılım hizmet sağlayıcısı sonradan IP adresini değiştirmişti; ama o kayıt DNS’te kalmaya devam etmişti. İç ağdan gelen sorgular DC’ye gidiyordu, DC kendi zone’unda eski ve geçersiz bir IP buluyordu, oraya yönlendiriyordu. Dışarıdan bağlananlar public DNS’i kullandığı için güncel IP’ye ulaşıyordu. Kurumun kıdemli sistemcileri suçu hizmet sağlayıcısına yıkıp “bizden kaynaklanmıyor” dedi. Ben ise sorunun iç DNS’te olduğunu biliyordum.

İyi bir sistem yöneticisi her konuda uzman olmak zorunda değildir; ama kendi sisteminin temel davranışını kavramak, sorunun nereden kaynaklandığını ayırt edebilmek zorundadır. Bu makale Active Directory DNS yapılandırmasının en kritik adımlarını, arkadaki mühendislik mantığını ve sahada işe yarayan pratikleri aktarmak için yazıldı.

Active Directory kurulumu tamamlandıktan sonra yapılması gereken ilk ve en kritik adım DNS forwarder yapılandırmasıdır. Bu adım atlandığında sonuç tartışmasızdır: hiçbir kullanıcı internete çıkamaz. dcdiag temizdir, domain girişi çalışır, ikinci DC eklidir; ama kullanıcılar google.com’a erişemez. Çünkü DNS sorguları DC’ye gider ve DC iç zone’larını mükemmel çözümlerken dış sorgular için “bilmiyorum” deyip paketi düşürür. Sorunun tespiti saatler alabilir; çözümü ise 5 dakikadır.

Active Directory kendi DNS sunucusunu zorunlu kılar. Windows, Linux ve macOS fark etmez; domain’e katılmış her cihaz adres çözümleme için DC’yi birincil DNS olarak kullanır. Bu tasarım doğrudur; çünkü _msdcs zone’ları, SRV kayıtları ve Kerberos biletleri AD DNS olmadan çalışmaz. Ama bu tasarımın bir bedeli vardır: iç ağı mükemmel bilen DC, dış dünyayı hiç bilmez. Forwarder bu iki dünyayı köprüler; kurulum tamamlandıktan hemen sonra yapılması gereken ilk adım budur.

Bu makalede Active Directory kurulum rehberinin tamamlanmasının ardından DNS yapılandırmasının tamamı ele alınmaktadır: forwarder kurulumu, zone yönetimi, reverse lookup zone, conditional forwarder ve split-brain DNS. Her adıma ekran görüntüsü eşlik etmektedir; bu rehber hem ilk kurulum hem de sorun giderme için başvuru noktanız olacaktır.

Active Directory DNS’in İki Yüzü

Windows Server üzerine Active Directory kurulduğunda DNS Server rolü otomatik yüklenir ve iki kritik zone oluşturulur: ad.sercebilisim.com için forward lookup zone ve _msdcs.ad.sercebilisim.com için SRV kayıtlarını barındıran zone. Bu zone’lar AD’nin omurgasıdır; olmadan domain çalışmaz. Ancak bu iç dünya ile internet arasındaki köprüyü kendinizin kurması gerekir; Active Directory sizin için forwarder eklemez.

İç Zone: AD’nin Kendi Sicili

Tapu Sicil Müdürlüğü’nü düşünün. O müdürlük kendi ilçesindeki tüm taşınmazları kusursuz bilir; bir parsel için sorduğunuzda anında yanıt verir. Ama başka bir ilçedeki taşınmazı sorarsanız “biz bunu bilmeyiz, ilgili müdürlüğe gidin” der. Başka bir il söz konusuysa dosyanızı oraya göndermeden hiçbir cevap alamazsınız. Active Directory DNS’in iç zone’u tam olarak böyle çalışır: ad.sercebilisim.com altındaki her kayıt; DC’ler, kullanıcı bilgisayarları, yazıcılar ve sunucular için kusursuz hizmet verir. Bu zone’un dışına çıkıldığında ise DC’nin bilgisi biter.

Teknik karşılığı şudur: DC, ad.sercebilisim.com için authoritative DNS sunucusudur. Bu zone altındaki tüm A kayıtları, SRV kayıtları, CNAME ve PTR kayıtları DC üzerinde depolanır; domain içi tüm sorgular buradan yanıtlanır. Kurulum sırasında otomatik oluşturulan _ldap._tcp.ad.sercebilisim.com ve _kerberos._tcp.ad.sercebilisim.com gibi SRV kayıtları, istemcilerin DC’yi bulmasını sağlar. Bu kayıtlar silinirse ya da bozulursa domain girişleri başarısız olmaya başlar.

Saha gerçeği şudur: bu zone’un otomatik “temizlenme” özelliği (scavenging) varsayılan olarak kapalıdır. Kullanım dışı kalan kayıtlar birikir; yıllar içinde DNS Manager’da yüzlerce eski A kaydı görülür. Scavenging yapılandırması bu makalenin kapsamı dışındadır ama kurulum notunuza alın; ileriki bir tarihte saatlerce süren sorun giderme süreçlerini bu ihmal tetikler.

Dış Dünya: Forwarder Olmadan Çıkmaz Sokak

Karayolları Genel Müdürlüğü Ankara’daki tüm yolları tasarlar, yönetir ve onarır. İstanbul’daki bir köprünün tamiratı içinse Ankara’yı aramanın faydası yoktur; o iş İstanbul Büyükşehir Belediyesi’nin yetkisindedir. Karayolları size “biz bunu bilmiyoruz, İBB’ye gidin” der. Eğer sizi o kuruma yönlendirecek bir mekanizma olmasaydı, sorunuz yanıtsız kalırdı ve köprü onarılmazdı. DNS forwarder tam olarak bu yönlendirme mekanizmasıdır; DC’nin bilmediği sorguları doğru yere iletir.

DC, google.com sorgusunu aldığında önce kendi zone’larında arar; bulamaz. Forwarder tanımlıysa sorguyu 8.8.8.8’e iletir ve gelen yanıtı istemciye döner. Forwarder yoksa iki seçenek kalır: root hints üzerinden internet kök sunucularına recursive sorgu gönderir (yavaş ve bant genişliği tüketen) ya da sorguyu düşürür. Küçük ofis ortamlarında çoğunlukla ikincisi gerçekleşir; istemci “DNS sunucusu yanıt vermiyor” hatasıyla karşılaşır ve internet bağlantısı kesilmiş gibi görünür.

Forwarder eklenmemesi, kurulum sonrası üretim ortamında en sık karşılaşılan hatadır; tespiti de zaman alır. DC’ye ping atılır, çalışıyordur; domain girişi yapılır, açılıyordur; internet gitmediğinde “ağ mı kesildi?” diye ISP aranır. Oysa çözüm basittir; 5 dakikalık bir işlemdir. Ama bilinmiyorsa saatlerce zaman kaybettirir.

DNS Forwarder Yapılandırması

DNS Manager Konsolunu Açma

DNS Manager, Windows Server üzerinde DNS zone ve kayıt yönetiminin yapıldığı merkezi konsoldur. Her şey buradan yönetilir: zone oluşturma, kayıt ekleme, forwarder tanımlama ve reverse lookup yapılandırması.

Win + R tuşlarına basıp dnsmgmt.msc yazılarak doğrudan açılır. Alternatif olarak Server Manager → Tools → DNS yolu da kullanılabilir. Konsol açıldığında sol panelde sunucu adı görünür; altında Forward Lookup Zones ve Reverse Lookup Zones düğümleri listelenir.

DNS Manager konsolu: sol panelde SRCBLSDC01 altında Forward Lookup Zones ve Reverse Lookup Zones düğümleri, sağ panelde ad.sercebilisim.com ve _msdcs zone'ları listeleniyor
DNS Manager, tapu sicilinin dijital karşılığıdır: iç ağdaki her kaydın tutulduğu resmi kayıt defteri. Forward Lookup Zones altında AD kurulumunun otomatik oluşturduğu iki zone görünmelidir.

Forwarder Ekleme: 8.8.8.8 ve Ötesi

DNS Manager sol panelinde sunucu adına sağ tıklanır ve Properties seçilir. Açılan pencerede Forwarders sekmesine geçilir. Bu sekme DC’nin tanımadığı sorgular için başvuracağı dış DNS sunucularını yönetir.

DNS Server Properties Forwarders sekmesi: forwarder listesi boş, Edit butonu görünüyor
Yeni kurulumda Forwarders sekmesi boştur. Bu ekran boş kaldığı sürece DC dış sorguları yanıtlayamaz; hiçbir kullanıcı internete çıkamaz.

Edit butonuna tıklanır. Açılan alana forwarder olarak kullanmak istediğiniz DNS sunucularının IP adresleri girilir; her birinin ardından Enter’a basılır. Google DNS (8.8.8.8 / 8.8.4.4) ve Cloudflare DNS (1.1.1.1 / 1.0.0.1) en yaygın tercihlerdir. Çalıştığım bazı kurumlarda ise Google veya Cloudflare yerine doğrudan ISP’nin DNS sunucu adreslerini buraya girdim; 5651 sayılı Kanun kapsamında DNS çözümlemesi loglarının ISP’de tutulmasının daha sağlıklı olacağını düşündüğümden bu yöntemi tercih ettim. İnternete erişim sağlayan kurumların ve servis sağlayıcıların bu kanun kapsamındaki hukuki yükümlülükleri için 5651 Sayılı Kanun ve Log Yönetimi makalemizi inceleyebilirsiniz. OK ile kaydedilir.

Not: ISP değişikliği durumunda forwarder olarak eski ISP’nin DNS adreslerini bırakmak teknik açıdan çalışmaya devam edebilir. Ancak log yönetimi açısından sağlıklı değildir: olası bir siber suç soruşturmasında DNS sorgu kayıtlarına ulaşmak için işbirliği yapacağınız taraf mevcut ISP’nizdir. Artık müşterisi olmadığınız bir ISP’den bu bilgileri talep etmek hem hukuki hem operasyonel olarak çok daha güçtür. Yeni ISP’nin DNS sunucu adreslerini bu ekrandan güncellemeniz önerilir.

DNS Forwarders düzenleme ekranı: 8.8.8.8 ve 8.8.4.4 adresleri eklenmiş, Validated durumu görünüyor
Her IP girilip Enter'a basıldığında DC o sunucuya test sorgusu gönderir ve yanıt süresini ölçer. "Validated" ibaresi forwarder'a ulaşılabildiğini gösterir; "Unable to resolve" varsa IP yanlış veya firewall engelliyor olabilir.

Forwarder Doğrulama: PowerShell ile Test

Forwarder eklendikten sonra DC üzerinde PowerShell açılır ve şu komut çalıştırılır:

Resolve-DnsName google.com -Server 192.168.1.10 -Type A
PowerShell ekranında Resolve-DnsName google.com çıktısı: Name google.com, Type A, Google IP adresleri listeleniyor
Resolve-DnsName çıktısında google.com için gerçek IP adresleri görünüyorsa forwarder doğru çalışıyor demektir. Bu komut DNS suffix appending davranışını bypass eder; nslookup'a göre çok daha güvenilir sonuç verir.

İstemci makinelerde DNS önbelleği varsa ipconfig /flushdns komutuyla temizlenebilir; aksi halde eski yanıtlar bir süre daha geçerli kalabilir.

Reverse Lookup Zone ve PTR Kayıtları

Neden Reverse Lookup Gereklidir?

Gerçekte böyle bir sistem yok; gizlilik ve hukuki nedenlerle de olmamalı. Ama yalnızca analoji için şöyle hayal edin: paralel bir evrende Nüfus Müdürlüğü çift yönlü çalışıyor. Ad ve soyad söyleyince TC kimlik numarasına ulaşıyorsunuz; TC numarası söyleyince de kişi bilgileri ekrana geliyor. Bu hayali sistemde bir TC numarası elinizde ama kime ait olduğunu bilmiyorsanız, adli işlemler, tapu devri ve kimlik tespiti gerektiren her işlem sekteye uğrar. DNS’in forward lookup’u addan IP’ye gider; reverse lookup ise tam olarak bu hayali sistemin ikinci yönü gibi, IP’den ada döner.

Reverse lookup zone ile PTR (Pointer) kaydı aynı mantıkla çalışır: 192.168.1.10 IP adresini sorgulayan bir uygulama SRCBLSDC01.ad.sercebilisim.com yanıtını alır. Kurumlar bu yapıdan somut olarak şunu kazanır:

Exchange Server ve mail altyapısı: Gelen mailin kaynağını PTR kaydıyla doğrular. Reverse lookup zone yoksa Exchange bazı mail akışlarında hata üretir; dış mail sunucuları da gelen maili spam olarak işaretleyebilir.

Güvenlik ve log yönetimi: SIEM araçları, firewall logları ve güvenlik denetimleri IP adreslerini hostname’e çevirerek raporlar. PTR kaydı olmadığında loglar yalnızca IP içerir; bir olayı araştırırken “bu IP hangi makineye aitti?” sorusuna anında cevap bulunamaz. Olay müdahale süresi uzar.

Firewall ve ağ güvenliği: Bazı kurumsal firewall’lar ve IDS sistemleri bağlantı kurmadan önce PTR kontrolü uygular. Yanıt gelmezse bağlantıyı reddeder ya da şüpheli olarak işaretler.

Teknik olarak zorunlu değildir; basit bir AD kurulumunda reverse lookup zone olmadan da günlük operasyon yürür. Ancak kurum büyüdükçe, Exchange veya SIEM gibi sistemler eklenince bu eksiklik kendini belli eder. Kurulum aşamasında eklenmesi 3 dakika sürer; sonradan eklenmesi de mümkündür ama o noktada mevcut A kayıtlarının PTR’ları manuel oluşturulması gerekir.

Reverse Lookup Zone Oluşturma

DNS Manager’da Reverse Lookup Zones düğümüne sağ tıklanır ve New Zone seçilir. Sihirbaz açılır:

  • Zone Type: Primary zone seçilir; “Store the zone in Active Directory” işaretlenir
  • AD Zone Replication Scope: “To all DNS servers running on domain controllers in this domain” seçilir; tüm DC’lere otomatik replike edilir
  • Reverse Lookup Zone Name: IPv4 seçilir; Network ID alanına ağ adresi girilir: 192.168.1.0/24 için 192.168.1 yeterlidir; sihirbaz 1.168.192.in-addr.arpa zone adını otomatik oluşturur
New Zone Wizard Reverse Lookup Zone Name ekranı: IPv4 seçili, Network ID alanında 192.168.1 yazılı, altta otomatik oluşturulan 1.168.192.in-addr.arpa zone adı görünüyor
Network ID alanına yalnızca ağ oktetleri girilir. Sihirbaz in-addr.arpa formatını kendisi tamamlar; hayali çift yönlü Nüfus Müdürlüğü sistemindeki gibi, IP'den hostname'e köprü bu zone'la kurulur.

Bir sonraki adımda Dynamic Update ekranı gelir. Burada üç seçenek sunulur; doğru seçim kurulum türüne göre değişir:

  • Allow only secure dynamic updates — Domain’e katılmış bilgisayarlar PTR kayıtlarını otomatik kaydeder; domain dışı cihazlar kayıt yapamaz. Active Directory kurulumlarında standart seçimdir.
  • Allow both nonsecure and secure dynamic updates — Domain dışı cihazlar (yazıcı, Linux sunucu, NAS) da kendi PTR kayıtlarını otomatik oluşturabilir. Güvenlik riski taşır; yetkisiz cihaz sahte kayıt ekleyebilir.
  • Do not allow dynamic updates — Otomatik kayıt yapılmaz; tüm PTR kayıtları elle eklenir.
New Zone Wizard Dynamic Update ekranı: Allow only secure dynamic updates seçili
Saf AD ortamında "Allow only secure dynamic updates" seçilmelidir. Domain dışı cihazların PTR kaydı otomatik oluşturulmaz; gerekiyorsa DNS Manager'dan elle eklenir.

Zone oluşturulduktan sonra PTR kayıtları iki yolla eklenir: yeni A kaydı eklenirken “Create associated pointer (PTR) record” seçeneği işaretlenerek otomatik oluşturulur ya da Reverse Lookup Zone içine sağ tıklanıp “New Pointer (PTR)” ile manuel eklenir.

Active Directory Conditional Forwarder Yapılandırması

Tek ofis, tek domain kuruyorsanız bu bölümü şimdilik atlayabilirsiniz; standart forwarder yapılandırması yeterlidir. Conditional forwarder şu senaryolarda gerekli hale gelir:

  • Çok lokasyonlu yapı: Şube ve merkez ayrı AD domain’lerine sahipse, merkez DC şube domain’ini (sube.sercebilisim.com) nasıl çözümleyeceğini bilmez. Conditional forwarder bu sorguları doğrudan şube DC’sine yönlendirir.
  • İki ayrı AD forest’ın entegrasyonu: Şirket birleşmesi veya iş ortağı entegrasyonunda iki farklı AD yapısının birbirini görmesi gerekir.
  • Microsoft 365 hybrid yapılandırması: autodiscover gibi kayıtların iç DNS’te tutulurken dış sorgulardan ayrıştırılması gerektiğinde.

Özel Kuryenin Rotası

Büyük bir holding düşünün: onlarca iş ortağı var, her ortakla farklı bir iletişim protokolü geçerli. Holding’in kurye birimi paketi göndermek istediğinde standart kargo yerine, paketin gideceği şirkete göre hangi kuryeyi kullanacağını söyleyen dahili yönetmeliği uygular. Birinci şirkete gidiyorsa PTT Kargo, ikinci şirkete gidiyorsa Yurtiçi, üçüncüsüne gidiyorsa DHL. Herkes aynı kapıdan çıkar ama her paketin rotası farklıdır; standart yöntem yetersiz kaldığında özel rota devreye girer.

Conditional forwarder DNS’te tam olarak bu mantıkla çalışır: belirli bir domain adı için sorgular belirlenmiş bir DNS sunucusuna yönlendirilir; diğer sorgular normal forwarder’a gider. En sık kullanılan iki senaryo şunlardır. Birincisi, şubeler arası VPN entegrasyonunda şubenin iç domain’ini (sube.sercebilisim.com) yalnızca şube DC’sinin çözümlemesi gerektiğinde merkez DC’ye conditional forwarder eklenir; şube sorgularını normal forwarder’a göndermek yerine doğrudan şube DC’sine iletir. İkincisi, Microsoft 365 hybrid yapılandırmalarında autodiscover.sercebilisim.com gibi kayıtlar iç DNS’te tutulurken dış sorgular normal forwarder üzerinden akabilir.

Conditional Forwarder Ekleme

DNS Manager’da Conditional Forwarders düğümüne sağ tıklanır ve New Conditional Forwarder seçilir.

  • DNS Domain: Yönlendirilecek domain adı yazılır (örneğin izmir.sercebilisim.com)
  • IP addresses of the master servers: O domain’i çözümleyecek DNS sunucusunun IP’si eklenir (örneğin İzmir DC’si 10.0.1.10)
  • “Store this conditional forwarder in Active Directory, and replicate it as follows” işaretlenirse tüm DC’lere otomatik replike edilir; her zaman işaretlenmelidir
New Conditional Forwarder penceresi: IP adresleri listesinde 10.0.1.10 eklenmiş
Conditional forwarder yapılandırmasında DNS Domain alanına yönlendirilecek domain adı (örneğin izmir.sercebilisim.com), master servers alanına ise o domain'i çözümleyecek DC'nin IP adresi girilir. Gerçek ortamda VPN tüneli kurulu ve IP erişilebilir olduğunda IP adresinin yanında "Validated" ibaresi görünür.

Split-Brain DNS Yapılandırması

Aile Büyüğünden Akıl Almak

Ailenizde özel konularda danışabileceğiniz bilge bir büyük varsa, hassas bir meseleyi ona götürürsünüz. Konu aile içinde kalır; hem bilgi güvenliği hem maliyet açısından en sağlıklı yoldur. Ama ailede böyle biri yoksa iki seçenek kalır: özelinizi bir yabancıya anlatarak akıl almak ya da profesyonel destek için para ödemek. Her iki durumda da bilgi ailenin dışına çıkmış olur.

Split-brain DNS tam olarak bu mantıkla çalışır. Yerel ağınızda dış dünyaya da hizmet veren bir web sunucunuz var; yani sercebilisim.com adresi hem internetten hem ofis içinden erişilen aynı makine. İç ağdan bu sunucuya ulaşmak için paketlerin internete çıkıp geri dönmesine gerek yoktur; sunucu zaten yerel ağınızda duruyor. Split-brain DNS devreye girdiğinde iç ağdan sercebilisim.com sorgulandığında DC doğrudan 192.168.1.100 döner; paketler hiç dışarı çıkmaz, tüm iletişim yerel ağ üzerinde gerçekleşir. İnternetten aynı alan adı sorgulandığında ise public DNS gerçek sunucu IP’sini döner; dış kullanıcılar için hiçbir şey değişmez.

Bu yapı olmadan ne olur? Ofisten sercebilisim.com’a giren kullanıcının paketi internete çıkar, firewall’dan geçer, geri döner. Buna hairpin NAT denir; bazı router’lar bunu hiç desteklemez ve bağlantı düşer. Destekleyenler ise gereksiz yük taşır. Split-brain DNS bu sorunu kökten çözer: bilge aile büyüğüne danışır gibi, cevabı dışarıda aramak yerine içeride bulursunuz.

Split-Brain DNS Yapılandırması

DC üzerinde sercebilisim.com için yeni bir primary zone oluşturulur. Bu zone iç ağdaki kayıtları barındırır; DC bu zone için authoritative olduğundan sorgular public DNS’e gitmez.

DNS Manager’da Forward Lookup Zones düğümüne sağ tıklanır, New Zone seçilir:

  • Zone Type: Primary zone seçilir; alttaki “Store the zone in Active Directory” seçeneği işaretlenir
  • AD Replication Scope: “To all DNS servers running on domain controllers in this domain” seçilir. Bu seçenek zone’u yalnızca mevcut domain’deki tüm DC’lere replike eder; birden fazla DC varsa hepsi tutarlı yanıt verir. Forest geneline yaymak gerekmez.
  • Zone Name: sercebilisim.com (iç AD domain’i değil, public domain adı)
New Zone Wizard Zone Name ekranı: sercebilisim.com yazılmış
Zone Name olarak public domain adı girilir. DC bu zone için authoritative hale gelir; iç ağdan sercebilisim.com sorgulandığında artık public DNS'e gitmez, doğrudan bu zone'dan yanıt döner.
  • Dynamic Update: Do not allow dynamic updates seçilir.

Dynamic Update seçimi burada kritiktir. sercebilisim.com sizin public domain adınız; iç ağdaki domain bilgisayarları bu zone’a otomatik kayıt yazmamalıdır. “Secure only” seçilseydi domain’e katılmış bilgisayarlar kendi A kayıtlarını bu zone’a otomatik eklerdi; örneğin muhasebe bilgisayarı kendini muhasebe.sercebilisim.com olarak kaydedebilirdi. Bu hem DNS kirliliği yaratır hem de public domain’inizin iç zone’unu kontrolsüz büyütür. “Do not allow” ile zone tamamen manuel yönetim altında kalır; yalnızca kasıtlı olarak eklediğiniz kayıtlar burada bulunur.

Zone oluşturulduktan sonra DNS Manager’da sercebilisim.com zone’una sağ tıklanır ve New Host (A or AAAA) seçilir:

  • Name: www yazılır (boş bırakılırsa zone apex’i, yani sercebilisim.com kendisi için geçerli olur)
  • IP Address: Web sunucusunun iç ağ IP’si girilir; örneğin 192.168.1.100
  • Create associated pointer (PTR) record işaretlenebilir; reverse lookup zone mevcutsa PTR kaydı otomatik oluşturulur
New Host ekranı: Name alanında www, IP Address alanında 192.168.1.100 yazılı, Create associated pointer (PTR) record işaretli, Allow any authenticated user seçeneği işaretlenmemiş
Name alanına www, IP alanına web sunucusunun iç ağ adresi girilir. "Create associated pointer (PTR) record" işaretlenirse PTR kaydı otomatik oluşturulur. "Allow any authenticated user to update DNS records" seçeneği işaretlenmemelidir; bu zone manuel yönetilir ve yalnızca DNS yöneticisi kayıt ekleyip güncelleyebilmelidir.

Add Host butonuna basılır. Artık iç ağdan www.sercebilisim.com sorgulandığında DC 192.168.1.100 döner; paket internete hiç çıkmaz.

A kaydı eklendikten sonra iç ağdaki herhangi bir makinede doğrulama yapılabilir:

ping www.sercebilisim.com
CMD ekranında ping www.sercebilisim.com çıktısı: 192.168.1.100 adresine çözümleniyor, ping cevabı gelmiyor
ping cevabı gelmese de önemli olan DNS çözümlemesinin doğru çalışmasıdır: www.sercebilisim.com, 192.168.1.100 olarak çözümleniyor. Lab ortamında o IP'de gerçek bir sunucu bulunmadığından ping zaman aşımına uğrar; production ortamında web sunucusu ayaktaysa yanıt gelir.

Public DNS’teki kayıtların iç zone’da karşılığı yoksa o kayıtlar iç ağdan çözümlenemez. Public DNS’e yeni bir kayıt eklendiğinde bu zone’a da eklenmesi gerekir; aksi halde “dışarıdan açılıyor, içeriden açılmıyor” sorunu yaşanır.

Active Directory DNS’de Sık Yapılan Hatalar

Forwarder eklenmemiş: Belirtisi nettir; hiçbir kullanıcı internete çıkamaz. DNS Manager → sunucu Properties → Forwarders sekmesi kontrol edilir; liste boşsa ekleyin.

Yanlış veya güncel olmayan forwarder: ISP’nin DNS sunucusu forwarder olarak eklenmiş, ISP değişmiş ama forwarder güncellenmemiş. Belirtisi aralıklı çözümleme hatalarıdır. nslookup google.com 8.8.8.8 ile DC’yi atlayarak test edilir; sonuç geliyorsa DC forwarder’ı sorunludur.

Scavenging kapalı, zone şişmiş: Kullanım dışı kayıtlar birikir; yüzlerce eski A kaydı arasında gerçek kayıtları bulmak güçleşir. DNS Manager → zone Properties → General sekmesinden scavenging etkinleştirilir.

Reverse lookup zone yok: Exchange veya SIEM kurulumunda “PTR kaydı bulunamadı” hataları alınır. Kök nedeni kurulum sonrası oluşturulmayan reverse lookup zone’dur.

Conditional forwarder AD’de saklanmamış: Tek DC üzerinde çalışır ama ikinci DC eklendiğinde forwarder gelmez; şube sorguları yanıtsız kalır. “Store in Active Directory” seçeneği her conditional forwarder eklenirken işaretlenmelidir.

Split-brain zone eksik kayıt: Public DNS’e yeni bir subdomain eklendi ama iç zone güncellenmedi. “Dışarıdan açılıyor, içeriden açılmıyor” şikayeti ile başvuran kullanıcı sorununu tarif eder. Çözüm: iç zone’a eksik kaydı eklemek.

Active Directory DNS Yapılandırmasından Sonraki Adımlar

DNS forwarder yapılandırıldı, zone’lar sağlıklı, PTR kayıtları mevcut. Kullanıcılar hem iç kaynaklara hem internete sorunsuz erişebiliyor. Sıradaki adım kullanıcıların tek kimlikle Windows ve mail adresiyle giriş yapmasını sağlamak: Active Directory UPN Suffix Yapılandırması ve ardından Microsoft Entra ID Connect kurulumu on-premises kimliği buluta taşır.

AD ortamının tamamını anlamak için Active Directory rehberine başvurun.

Active Directory DNS Yapılandırması Hakkında Sık Sorulan Sorular

DC'nin DNS sunucusu yalnızca iç zone'ları (ad.sercebilisim.com gibi) çözümler; google.com veya microsoft.com gibi dış alan adlarını bilemez. Forwarder eklenmezse tüm DNS sorguları DC'de yanıtsız kalır ve hiçbir kullanıcı internete çıkamaz. Active Directory kurulumu tamamlanır tamamlanmaz yapılması gereken ilk adımdır.
Google DNS (8.8.8.8 / 8.8.4.4) ve Cloudflare DNS (1.1.1.1 / 1.0.0.1) en yaygın ve güvenilir tercihlerdir. Kurumsal ortamlarda 5651 sayılı Kanun kapsamındaki log yönetimi sorumluluğu gözetilerek ISP'nin DNS sunucuları tercih edilebilir; olası bir soruşturmada DNS kayıtlarına erişim mevcut ISP üzerinden çok daha pratiktir. Her durumda en az iki forwarder ekleyin.
Evet, DNS servisini yeniden başlatmaya gerek yoktur; değişiklik anında aktif olur. Ancak istemci bilgisayarlarda eski yanıtlar DNS önbelleğinde kalmış olabilir. ipconfig /flushdns komutuyla istemci önbelleği temizlenir.
İstemci bilgisayarda komut istemini yönetici olarak açın ve ipconfig /flushdns komutunu çalıştırın. DC üzerindeki DNS sunucu önbelleğini temizlemek için DNS Manager'da sunucu adına sağ tıklayıp 'Clear Cache' seçin ya da PowerShell'de Clear-DnsServerCache komutunu kullanın.
Active Directory ortamında 'Allow only secure dynamic updates' seçilmelidir. Bu seçenek yalnızca domain'e katılmış bilgisayarların PTR kayıtlarını otomatik kaydetmesine izin verir; yetkisiz cihazların DNS'e kayıt yazmasını engeller. Domain dışı cihazların (yazıcı, NAS gibi) PTR kaydı gerekiyorsa DNS Manager'dan elle eklenir.
Reverse lookup zone, IP adresinden hostname'e çözümleme (PTR kaydı) yapar; 192.168.1.10 sorgusuna SRCBLSDC01.ad.sercebilisim.com yanıtını döner. Teknik olarak zorunlu değildir; ancak Exchange Server, SIEM araçları ve bazı firewall'lar PTR kaydı bekler. Güvenlik olayı araştırmalarında 'bu IP hangi makineye aitti?' sorusunu anında yanıtlar; kurumsal ortamda kurulum aşamasında eklenmesi kesinlikle önerilir.
DNS hiyerarşisi sağdan sola çalışır (com → sercebilisim → www); IP adresi ise soldan sağa gider (192 → 168 → 1 → cihaz). İkisini uyumlu kılmak için IP ters çevrilir: 192.168.1 → 1.168.192. Sonuna RFC 1035 standardının tanımladığı özel alan eklenir: .in-addr.arpa. Tüm işletim sistemleri ve DNS sunucuları bu formatı kullanır.
Tek ofis, tek domain yapısında conditional forwarder'a genellikle ihtiyaç duyulmaz. Çok lokasyonlu yapılarda merkez ve şube ayrı domain'lere sahipse, iki farklı AD forest entegrasyonunda veya Microsoft 365 hybrid senaryolarında devreye girer. Standart forwarder bilinmeyen tüm sorguları aynı yere gönderirken conditional forwarder belirli domain sorgularını farklı bir DNS sunucusuna yönlendirir.
Aynı domain adının iç ağda farklı, internette farklı IP'ye çözümlenmesi durumudur. VPN olmadan iç ağdan web uygulamasına erişim sağlamak veya iç trafiğin internete çıkmasını önlemek için kullanılır. Dikkatli yönetim gerektirir: public DNS'e eklenen her yeni kayıt iç zone'a da eklenmelidir; aksi halde 'dışarıdan açılıyor, içeriden açılmıyor' sorunları yaşanır.
İlker Pehlivan

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.

Benzer Makaleler

Active Directory Rehberi: Mimari, Kurulum ve Yönetim

Active Directory nedir, nasıl kurulur ve yönetilir. FSMO rolleri, GPO, replication, güvenlik, yedekleme ve hybrid identity. Windows Server üzerinde uçtan uca AD rehberi.

Active Directory Kurulum Rehberi: Windows Server 2025 Üzerinde Adım Adım

Windows Server 2025 üzerinde Active Directory kurulumu: ön koşullar, DC promotion, DNS doğrulama, ikinci DC ekleme ve kurulum sonrası sağlık kontrolleri.

Hypervisor ve Sanallaştırma Çözümleri

VMware vSphere, Microsoft Hyper-V ve Proxmox ile kurumsal sanallaştırma altyapısı. Fiziksel sunucu konsolidasyonu, yüksek erişilebilirlik ve anlık yedekleme.

Veri Merkezi Migration ve Konsolidasyon Projeleri

Fiziksel veya bulut ortamına veri merkezi taşıma, altyapı konsolidasyonu ve kesinti süresini minimize eden migration planlaması.

Windows Server Kurulum Rehberi: Sürüm Seçiminden İlk Yapılandırmaya

Windows Server 2025 kurulumu: sürüm ve lisans seçimi, kurulum medyası hazırlama, adım adım kurulum, hostname, statik IP, NTP ve temel güvenlik sertleştirme.

Active Directory UPN Suffix Yapılandırması: Kullanıcıları Tek Kimlikle Yönetin

Active Directory'de alternatif UPN suffix ekleme ve kullanıcı UPN'lerini güncelleme. Mail adresi ile Windows girişini tek kimlikte birleştiren adım adım rehber.

Microsoft Entra ID Connect Kurulumu: On-Premises AD'yi Buluta Bağlayın

Microsoft Entra ID Connect kurulumu, UPN senkronizasyonu ve Seamless SSO yapılandırması. Active Directory kullanıcılarını Microsoft 365'e tek kimlikle bağlayan adım adım rehber.

Teklif Alın

İlk değerlendirme ücretsiz. Projenizi konuşmak için bize ulaşın.

İletişime Geç WhatsApp

Ana Hizmet

BT Sistem Yönetimi Hizmeti: Sunucu, Sanallaştırma, Yedekleme

İlgili Makaleler