Active Directory Kurulum Rehberi: Windows Server 2025 Üzerinde Adım Adım

Zamanında birlikte çalıştığım bir kurumda, BT birimi için ayrılmış kadrosu olmadığından her şeyi tek başına yönetmeye çalışan bir BT’ci vardı. Bilgisi yetersiz değildi; aksine elinden geleni yapıyordu. Ama o an için işe yarayan çözümler üretmekten başka seçeneği de yoktu: .local ile kurulmuş bir domain, yıllardır kimsenin dokunmadığı tek bir DC, GPO yerine elle yapılan ayarlar. Haklıydı; o koşullarda başka türlüsü mümkün değildi.

Sorunu sonradan o sistemi düzeltmeye çalışırken anladık. Günü kurtarmak için yapılan her çözüm, ileride çözülmesi daha zor bir probleme dönüşmüştü. Sebebi basit: sıfırdan sağlam bir yapı kurmak, var olanı düzeltmekten her zaman daha kolaydır. Bir gökdeleni temelden yeniden inşa etmek mümkündür; ama bunun için önce eski temeli tamamen sökmek gerekir.

Bu rehberde, sıfırdan kurulan bir Active Directory ortamında olması gereken sektörel en iyi pratikler yer almaktadır. Mevcut sisteminizi taşıyacak veya yükseltecekseniz, bu rehber aynı zamanda o işlemlerin ön adımıdır: temiz ve belgelenmiş bir kurulum olmadan sağlıklı bir migration da olmaz. Deneyimli sistem uzmanlarının kuytularda bildiği ama pek aktarmadığı yapılandırmaları ve komutları da bu makalede ve bağlı makalelerde bulacaksınız.

AD DS rolünün yüklenmesinden Domain Controller promotion’ının her adımına, DNS doğrulamadan ikinci DC eklemeye kadar her ekran kendi görüntüsüyle ele alınmaktadır. Mimari kavramlar, FSMO rolleri, GPO ve güvenlik konuları bu rehberin kapsamı dışındadır; bunlar için Active Directory rehberine başvurun.

Kuruluma başlamadan önce Windows Server kurulum rehberindeki adımların tamamlanmış olması gerekir: statik IP, kalıcı hostname, NTP senkronizasyonu ve Windows Update. Bu hazırlıklar tamamsa aşağıdaki adımlarla devam edilir.

AD DS Rolünün Yüklenmesi

Bu aşamada makineye yalnızca AD DS binary dosyaları yüklenir; domain controller promotion henüz gerçekleşmez.

Sunucu Rolleri Ekranında AD DS Seçimi

Windows Server kurulum rehberindeki Rol Yükleme adımları tamamlandıktan sonra sihirbaz Select Server Roles ekranına ulaşır. Listeden Active Directory Domain Services seçilir.

AD DS Bağımlılıklarının Onaylanması

AD DS seçildiğinde sihirbaz otomatik olarak gerekli yönetim araçlarını listeleyen bir dialog açar: Active Directory module for Windows PowerShell, Active Directory Administrative Center ve AD DS Snap-Ins and Command-Line Tools. Add Required Features tıklanarak bağımlılıklar kabul edilir.

Features Ekranı: Varsayılan Seçimler

Kurulum Onayı ve Yükleme Başlatma

Confirmation ekranında kurulacak bileşenler özetlenir.

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Kurulumun başarılı tamamlandığını doğrulamak için:

Get-WindowsFeature -Name AD-Domain-Services

Install State: Installed çıktısı görülmelidir.

Yükleme Tamamlandı: Promotion Uyarısı

Close tıklandıktan sonra sunucu Başlat menüsünden yeniden başlatılır. Rol yüklemesi sonrasında Windows Update ekranı açılıyorsa bekleyen güncellemeler Update and Restart seçeneğiyle uygulanır; promotion öncesinde sunucunun güncel olması önerilir.

Yeniden başlatma tamamlandığında Server Manager’da sarı bayrak altında “Promote this server to a domain controller” bağlantısı belirir.

Domain Controller Promotion

Promotion, makinenin gerçek anlamda Domain Controller kimliğine büründüğü adımdır. Bu bölüm sıfırdan yeni bir forest kurmayı ele almaktadır. Mevcut domain’e ek DC eklemek için İkinci Domain Controller Ekleme bölümüne geçin.

Domain Adı ve UPN Stratejisi

Promotion sihirbazında ilk sorulan şey domain adıdır ve bu karar geri alınamaz; değiştirmek tüm forest’ı sıfırdan kurmak anlamına gelir. Ekrana geçmeden önce iki soruyu netleştirin.

Hangi domain adını kullanmalıyım?

Üç seçenek vardır:

.local Entra ID Connect ve modern sertifika altyapısıyla sürtüşür. sercebilisim.com’u doğrudan kullanmak ise public web sitenizle DNS çakışması yaratır; iç ve dış DNS’i ayrıştırmak için split-DNS kurmanız gerekir. ad.sercebilisim.com ya da corp.sercebilisim.com gibi bir subdomain bu sorunların ikisini de ortadan kaldırır.

Kullanıcılar hangi adresle oturum açacak?

ad.sercebilisim.com domain’inde varsayılan kullanıcı UPN’i ilker.pehlivan@ad.sercebilisim.com olur. Kullanıcının mail adresi ise ilker.pehlivan@sercebilisim.com’dur. Bu iki adresin aynı olması için AD kurulumu tamamlandıktan sonra sercebilisim.com’u alternatif UPN suffix olarak eklemek ve kullanıcı UPN’lerini güncellemek gerekir. Adım adım yapılandırma için Active Directory UPN Suffix Yapılandırması rehberine bakın.

Deployment Configuration: Yeni Forest

Server Manager’daki sarı bayraktaki Promote this server to a domain controller bağlantısına tıklanır. Sihirbazın ilk ekranı olan Deployment Configuration üç seçenek sunar.

Sihirbazın sunduğu üç seçenek:

Mevcut bir domain’e ikinci DC ekliyorsanız bu bölümü atlayın: İkinci Domain Controller Ekleme

Domain Controller Options

Bu ekranda üç grup ayar yapılır:

Functional Level: Forest ve Domain functional level için Windows Server 2025 seçilir. Sıfırdan kurulan ve ortamda eski DC bulunmayan her kurulumda mevcut en yüksek seviye seçilmelidir; daha sonra yükseltilebilir, düşürülemez.

Domain Controller Capabilities: DNS server ve Global Catalog her iki kutu işaretli bırakılır. İlk DC aynı zamanda DNS sunucusu olmak zorundadır; Global Catalog ise forest genelinde nesne sorgularını karşılar.

Directory Services Restore Mode (DSRM) Parolası: DC çevrimdışıyken AD veri tabanına müdahale etmek için kullanılan kurtarma modunun parolasıdır. Domain hesap parolasından tamamen bağımsızdır.

DNS Options: Delegation Uyarısı

Additional Options: NetBIOS Adı

NetBIOS, modern UPN girişinin (ilker.pehlivan@sercebilisim.com) öncesinden kalan eski bir isimlendirme sistemidir. Eski Windows uygulamaları, bazı yazıcılar ve ağ paylaşımları hâlâ DOMAIN\kullanıcı formatını kullanır; örneğin SERCEBILISIM\ilker.pehlivan. NetBIOS adı bu kısa domain adıdır.

Sihirbaz bu adı domain adından otomatik türetir. ad.sercebilisim.com için varsayılan AD gelir; bu çok genel ve anlamsız bir isimdir. Şirket adını yansıtan bir isimle değiştirin: SERCEBILISIM.

Paths: Veritabanı ve SYSVOL Konumları

Review Options

Sihirbazın bu son özet ekranında o ana kadar yapılan tüm seçimler listelenir: domain adı, functional level, DNS ve Global Catalog tercihleri, NetBIOS adı, NTDS ve SYSVOL yolları. Next’e tıklamadan önce her satırı gözden geçirin; yanlış bir ayar varsa Back ile ilgili ekrana dönüp düzeltebilirsiniz. Next’ten sonra Prerequisites Check başlar ve artık geri dönüş yoktur.

Prerequisites Check

Kurulum ve Yeniden Başlatma

Install butonuna tıklandıktan sonra promotion süreci başlar.

Kurulum birkaç dakika sürer. Tamamlandığında ekranda “You’re about to be signed out” uyarısı belirir; bu AD DS kurulumunun başarıyla tamamlandığını ve sunucunun Domain Controller olarak yeniden başlayacağını gösterir. Close tıklanır, herhangi bir müdahale gerekmez. Yeniden başlatma sonrasında makine artık bir Domain Controller’dır; Server Manager sol panelinde AD DS rolü görünür.

Kurulum Doğrulama: DNS Kontrolü ve dcdiag

Promotion tamamlandıktan sonra iki adımla sağlık kontrolü yapılır.

DNS Zone Kontrolü

Win + R tuşlarına basıp dnsmgmt.msc yazılarak DNS Manager açılır. Forward Lookup Zones altında ad.sercebilisim.com ve _msdcs.ad.sercebilisim.com zone’larının listelendiği görülmelidir.

dcdiag ile Domain Controller Sağlık Kontrolü

dcdiag, DC’nin tüm kritik bileşenlerini test eden yerleşik araçtır.

dcdiag /v

İkinci Domain Controller Ekleme

Tek DC hem tek nokta arızasıdır hem de bakım penceresi açıldığında tüm kullanıcıların etkilenmesi demektir. İkinci DC eklenmesi canlı ortamında zorunludur; ilk promotion’ın hemen ardından yapılmalıdır.

İkinci DC İçin Hazırlık: Statik IP ve DNS Ayarları

İkinci sunucu için ön koşullar birincisiyle aynıdır: statik IP, kalıcı hostname, güncel Windows Server kurulumu. Tek fark DNS adresi: ikinci DC henüz kendi AD DNS’ini tanımadığından primary DNS olarak birinci DC’nin IP’si girilir.

İkinci sunucuda da AD DS rolü yüklenir — adımlar birinci DC ile aynıdır: AD DS Rolünün Yüklenmesi bölümüne başvurun.

Mevcut Domain’e DC Ekleme

Promotion sihirbazında bu sefer Add a domain controller to an existing domain seçilir.

İkinci DC: Domain Controller Rolleri ve DSRM

Birinci DC’deki ekrandan iki farkı vardır: Forest functional level ve Domain functional level seçenekleri burada görünmez; bunlar zaten birinci DC kurulumunda belirlenmiştir. Yalnızca DC rolleri ve DSRM parolası girilir.

Additional Options: Replication Kaynağı

Paths, Review Options ve Prerequisites Check

Bu üç ekran birinci DC kurulumundakiyle birebir aynıdır. Dilerseniz ilgili bölümlere atlayarak karşılaştırabilirsiniz: Paths · Review Options · Prerequisites Check.

Tek pratik fark: Review Options ekranındaki “View script” butonu bu sefer Install-ADDSForest değil Install-ADDSDomainController komutunu üretir.

Install tıklanır, kurulum tamamlandığında sunucu otomatik yeniden başlar ve artık ikinci Domain Controller olarak hizmet verir.

Replication Doğrulama: repadmin /showrepl

İkinci DC promotion’ı tamamladıktan sonra replication’ın sorunsuz başladığı doğrulanır.

repadmin /showrepl

Active Directory Kurulumunda Sık Yapılan Hatalar

Promotion sonrası DNS primary olarak dış IP kalmış: Belirti: domain üyesi makineler oturum açamıyor ya da “domain controller not found” hatası veriyor. Kurulum tamamlandıktan sonra DC’nin primary DNS’i 127.0.0.1 veya kendi IP’si olmalıdır. Dış DNS (8.8.8.8) primary olarak kalırsa SRV kayıtları çözümlenemez.

DSRM parolası kaydedilmemiş: DSRM (Directory Services Restore Mode) parolası domain hesap parolasından tamamen bağımsızdır ve standart oturum açma araçlarıyla sıfırlanamaz. Kurulum sırasında belirlenen parolayı parola yöneticisine kaydetmek zorunludur; unutulduğunda kurtarma senaryoları ciddi ölçüde karmaşıklaşır.

Functional level gereksiz yere düşük bırakılmış: Ortamda eski DC yoksa functional level’ı düşük tutmanın faydası yoktur; AD Recycle Bin, Fine-Grained Password Policies ve managed service accounts gibi özellikler kilitli kalır. Yeni kurulumda desteklenen en güncel seviye seçilmelidir; sonradan yükseltilir, düşürülemez.

İkinci DC eklenmeden canlıya açılmış: Tek DC hem tek nokta arızası hem de her bakım penceresinde tüm kullanıcıların etkilenmesi demektir. İkinci DC kurulumu ertelenmemelidir; ilk promotion biter bitmez yapılmalıdır.

Tüm DC’lerin aynı sanal host üzerinde çalışması: Host arızalandığında tüm DC’ler birlikte düşer; bu canlı ortamda kabul edilemez bir risktir. En az bir DC farklı fiziksel host üzerinde tutulmalıdır.

Active Directory Kurulumundan Sonraki Adımlar

Domain Controller kuruldu, sağlık kontrolleri temiz ve ikinci DC eklendi. Ortam kullanıcı almaya hazır; ancak canlıya açmadan önce tamamlanması gereken birkaç yapılandırma adımı daha var: AD Recycle Bin aktivasyonu, varsayılan OU konumlarının düzenlenmesi ve kişisel yönetici hesaplarının oluşturulması. Bu adımlar ilerleyen süreçte ayrı bir makalede ele alınacaktır.

Kurulum tamamlanır tamamlanmaz yapılması gereken ilk iş DNS forwarder yapılandırmasıdır; aksi halde kullanıcılar internete çıkamaz. Zone yapısı, forwarder’lar, conditional forwarder ve reverse lookup zone kurulumu için Active Directory DNS Yapılandırması rehberini takip edin.

Kullanıcıların Windows ve mail için tek kimlik kullanmasını istiyorsanız bir sonraki adım UPN suffix yapılandırmasıdır: Active Directory UPN Suffix Yapılandırması.

OU tasarımı, Group Policy temelleri, kullanıcı ve grup yönetimi ile güvenlik katmanları için Active Directory rehberine başvurun.

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.