Windows Server Kurulum Rehberi: Sürüm Seçiminden İlk Yapılandırmaya

Bu rehber, Windows Server 2025 kurulumuna başlamak isteyen sistem yöneticileri için temel başvuru kaynağıdır. AD DS, Hyper-V, GLPI veya başka bir sunucu rolü kurmadan önce gereken ortak adımları tek yerde toplar: sürüm seçimi, kurulum medyası, adım adım kurulum ve ilk yapılandırma. Rol bazlı detaylar ilgili rehberlerde ele alınmaktadır.

Sürüm ve Lisans Seçimi

Kuruluma başlamadan önce hangi Windows Server sürümünü ve hangi lisans modelini kullanacağınızı netleştirin. Sonradan değiştirmek mümkün olsa da kurulumdan önce karar vermek daha temizdir.

Standard, Datacenter, Essentials

Sürüm	Sanallaştırma hakkı	Tipik kullanım
Essentials	Yok (max 25 kullanıcı)	Küçük ofis, tek sunucu
Standard	2 VM	Fiziksel sunucu, az VM
Datacenter	Sınırsız VM	Sanallaştırma odaklı altyapı

Sanallaştırma yoğun ortamlarda Datacenter lisansı genellikle daha ekonomiktir. Az sayıda VM veya fiziksel rol sunucusu için Standard yeterlidir.

Core mu, Desktop Experience mi?

Windows Server iki kurulum seçeneği sunar:

Server Core: Grafik arayüz yoktur; yönetim PowerShell, RSAT veya Windows Admin Center ile yapılır. Daha az saldırı yüzeyi, daha az bellek kullanımı ve daha kısa güncelleme döngüsü avantajları vardır. Yeni kurulumlarda tercih edilen yaklaşımdır.

Desktop Experience: Tanıdık Windows masaüstü arayüzü bulunur. Geçiş döneminde veya GUI bağımlı araçlar gerektiğinde tercih edilebilir; ancak uzun vadede RSAT alışkanlığı edinmek daha sürdürülebilir bir yönetim biçimidir.

Kurulum Medyası Hazırlama

ISO İndirme

Windows Server ISO dosyası üç kaynaktan edinilebilir:

• Microsoft Evaluation Center: 180 günlük değerlendirme sürümü için microsoft.com/en-us/evalcenter adresinden kayıt gerektirmeden indirilebilir.
• Microsoft Volume Licensing Service Center (VLSC): Kurumsal lisans sahipleri için.
• Visual Studio Subscriptions (MSDN): Geliştirici abonelikleri kapsamında.

USB Kurulum Medyası Hazırlama

En yaygın yöntem Rufus ile USB hazırlamaktır:

1. Rufus en güncel sürümü rufus.ie adresinden indirilir.
2. En az 8 GB kapasiteli USB takılır.
3. Rufus açılır, cihaz seçilir, ISO seçilir.
4. Partition scheme olarak hedef sisteme göre GPT (UEFI) veya MBR (Legacy BIOS) seçilir.
5. “START” tıklanır; işlem 5-10 dakika sürer.

Windows Server Kurulumu

Boot ve İlk Ekran

USB veya ISO’dan boot edildiğinde siyah ekranda “Loading files…” mesajı görünür; kurulum dosyaları bu aşamada belleğe yüklenir.

Dil ve Bölge Ayarları

İlk kurulum ekranında üç ayar belirlenir:

• Language to install: English (United States) önerilir. Türkçe seçilmesi halinde bazı sistem logları ve hata mesajları Türkçe gelir; uluslararası teknik kaynaklarla eşleştirmek güçleşir.
• Time and currency format: Turkish (Turkey) — sistem saatini ve para birimi formatını Türkiye standardına ayarlar.
• Keyboard: Bir sonraki ekranda ayrıca seçilir.

Klavye Seçimi

Kurulum Seçeneği

Install Windows Server seçilir. “Upgrade” seçeneği yalnızca mevcut bir kurulumu aynı sunucuda yükseltmek için kullanılır; temiz kurulumda bu seçenek tercih edilmez.

“I agree everything will be deleted including files, apps and settings” onay kutusu işaretlenerek devam edilir. Bu adım geri alınamaz: diskteki tüm veri silinecektir.

Sürüm Seçimi

Kurulum sihirbazı dört seçenek sunar. Tüm seçenekler bu ISO ile 180 günlük evaluation lisansıyla gelir; bu süre slmgr /rearm komutuyla 5 defaya kadar sıfırlanabilir. Lisanslı anahtarla aktive edilen ortamlar için süre sınırı kalkar.

Sürüm	Fark
Standard (Server Core)	Az VM, grafiksel arayüz yok
Standard (Desktop Experience)	Az VM, masaüstü arayüzü var
Datacenter (Server Core)	Sınırsız VM, grafiksel arayüz yok
Datacenter (Desktop Experience)	Sınırsız VM, masaüstü arayüzü var

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Lisans Koşulları

Disk Seçimi

Kurulum Onayı

Kurulum Süreci

Kurulum 10-20 dakika sürer; bu süre disk hızına ve donanıma göre değişir. Sunucunun birkaç kez yeniden başlaması normaldir, müdahale gerekmez. Son yeniden başlatmanın ardından Administrator parolası belirleme ekranı gelir.

Yerel Yönetici Parolası

Bu ekranda belirlenen parola, sunucunun yerel Administrator hesabına aittir. Domain hesaplarından bağımsızdır; sunucu hiçbir zaman bir domain’e katılmasa bile bu hesap her zaman geçerliliğini korur.

Yerel Administrator hesabı üç kritik senaryoda öne çıkar:

AD çöküş senaryosu: Domain Controller devre dışı kaldığında, domain hesaplarıyla oturum açmak mümkün olmaz. Sunucuya fiziksel konsoldan veya yerel ağdan erişmenin tek yolu yerel Administrator hesabıdır. Bu hesabın parolası bilinmiyorsa kurtarma süreci ciddi ölçüde karmaşıklaşır.

Ağ dışı kurtarma: NIC sürücüsü bozulduğunda, yanlış IP yapılandırması yapıldığında veya firewall kuralı uzak bağlantıyı kestiğinde sunucuya yalnızca fiziksel konsol üzerinden erişilebilir. Bu durumlarda domain kimlik doğrulaması çalışmaz; yerel hesap tek seçenektir.

Domain öncesi yapılandırma: Sunucu domain’e katılmadan önce yapılan tüm yönetim işlemleri (hostname, IP, rol yükleme) bu hesap üzerinden yürütülür.

İlk Oturum ve Gizlilik Ekranları

Parola belirlendikten sonra Ctrl + Alt + Del ile kilit ekranı geçilir, Administrator parolası girilerek oturum açılır.

İlk oturumda Windows birkaç gizlilik ve tanılama ekranı gösterir: konum izinleri, tanılama verisi paylaşımı ve ürün deneyimi bildirimleri. Bu ekranlar kurulumu etkilemez. Sunucu ortamında tüm seçenekleri kapatmak veya minimum düzeyde bırakmak standarttır; kurumsal politika gerektiriyorsa bu ayarlar kurulum sonrası Group Policy üzerinden merkezi olarak da yönetilebilir.

İlk Açılış Yapılandırması

Kurulum tamamlandı; ancak sunucu henüz rol almaya hazır değildir. Bu bölümdeki dört adım, Windows Server üzerine kurulan her rol için geçerlidir.

Statik IP Yapılandırması

Sunucu rolü üstlenen her makine statik IP ile çalışmalıdır. DHCP’den IP alan bir sunucu kira süresi dolduğunda farklı IP alabilir; bu durum DNS kayıtlarını, sertifikaları ve diğer servislerin bağlantısını bozar.

Win + R tuşlarına basıp ncpa.cpl yazın ve OK’e tıklayın. Arka planda Server Manager açılmış olması her şeyin yolunda gittiğinin göstergesidir.

Network Connections penceresi açılır. Ethernet adaptörüne sağ tıklayıp Properties seçilir.

Gelen Properties penceresinde Internet Protocol Version 4 (TCP/IPv4) üzerine çift tıklanır.

Use the following IP address seçilerek statik IP, subnet mask, default gateway ve DNS sunucu adresleri girilir.

Hostname Belirleme

Varsayılan hostname rastgele atanır; rol kurulumu sonrası değiştirmek ek iş yükü gerektirir. Statik IP’nin hemen ardından hostname belirlenir.

Win + R tuşlarına basıp sysdm.cpl yazın ve OK’e tıklayın.

Computer Name sekmesinde mevcut hostname görünür. Change butonuna tıklanır.

Computer name alanına kalıcı hostname girilir. İsimlendirme önerileri:

• DC01, DC02 gibi kısa ve sıralı isimler operasyonel açıdan pratiktir.
• Lokasyon bilgisi büyük yapılarda faydalıdır: DC-IST-01, DC-ANK-01.
• NetBIOS sınırı olan 15 karakteri geçmemeye dikkat edin.

OK tıklandığında yeniden başlatma onayı istenir. Bu diyaloğu hemen onaylamak yerine birkaç saniyeliğine bekletin; restart öncesinde saat dilimini ayarlamak için fırsat var.

Win + R tuşlarına basıp timedate.cpl yazın, OK’e tıklayın.

Date and Time penceresi açılır. Varsayılan saat dilimi kurulum diline göre atanır; bu görselde UTC-08:00 Pacific Time (US & Canada) olarak gelmiş.

Yanlış saat dilimi bırakılırsa ortaya çıkacak sorunlar ciddidir. Kerberos kimlik doğrulaması 5 dakikadan fazla saat sapmasına izin vermez; domain üyesi makineler oturum açamaz. Bunun yanı sıra log kayıtları yerel saatle uyuşmaz ve bir olay yaşandığında hangi saatte ne olduğunu tespit etmek güçleşir. Sertifika geçerlilik süreleri, zamanlanmış görevler ve replikasyon logları da yanlış zaman damgası taşır.

Change time zone tıklanır, listeden (UTC+03:00) Istanbul seçilir ve OK ile kaydedilir.

Saat dilimi kaydedildikten sonra arka plandaki yeniden başlatma onayında Restart Now tıklanır veya Başlat menüsünden yeniden başlatma yapılır. Hostname ve saat dilimi değişiklikleri tek restart ile geçerli olur.

Yeniden Başlatma Sonrası Doğrulama

Sunucu açıldıktan sonra iki şeyi hızlıca teyit etmek iyi bir alışkanlıktır: hostname değişikliğinin geçerli olup olmadığı ve statik IP ile dış ağa çıkılabiliyor olması.

CMD açılır, sırayla iki komut çalıştırılır:

hostname
ping 8.8.8.8

Her iki çıktı da beklendiği gibi geliyorsa sunucu bir sonraki adıma hazırdır.

NTP ve Zaman Senkronizasyonu

Yanlış sistem saati Kerberos kimlik doğrulamasını kırar, log kayıtlarını anlamsız hale getirir ve sertifika doğrulamalarında hatalara yol açar. Her sunucuda zaman kaynağı kurulumdan hemen sonra doğrulanmalıdır.

Mevcut durumu kontrol etmek:

w32tm /query /status

Windows Server kurulumdan sonra NTP kaynağı varsayılan olarak time.windows.com gelir ve otomatik senkronize olur. Çıktıda Source satırında time.windows.com ve Last Successful Sync satırında güncel bir zaman damgası görünüyorsa ek bir işlem gerekmez.

Varsayılan kaynak gelmemişse veya sonradan sıfırlanması gerekiyorsa:

w32tm /config /manualpeerlist:"time.windows.com" /syncfromflags:manual /reliable:yes /update
net stop w32tm && net start w32tm
w32tm /resync

Saat ve zaman dilimini doğrulamak:

Get-Date
Get-TimeZone

Saat dilimi timedate.cpl yerine PowerShell ile ayarlanmak istenirse:

Set-TimeZone -Id "Turkey Standard Time"

Windows Update

Kurulum ISO’su her zaman en güncel yamalar içermez. Sunucu role alınmadan önce güncellemeler uygulanır. Win + R → control update ile Windows Update ekranı açılır.

PowerShell ile güncellemeleri otomatik uygulamak:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate
Install-WindowsUpdate -AcceptAll -AutoReboot

Temel Güvenlik Sertleştirme

Sunucu ağa bağlandığı andan itibaren saldırı yüzeyi oluşur. Rol kurulumundan önce minimum güvenlik adımları tamamlanmalıdır.

Built-in Administrator Hesabı

Built-in Administrator hesabı her Windows sisteminde aynı isimle gelir. Saldırganlar bunu bilir; brute-force denemeleri genellikle bu kullanıcı adıyla başlar. Hesabı yeniden adlandırmak, parolaya ek olarak kullanıcı adını da bilinmez hale getirir.

Her sunucuda uygulanır: Built-in hesap yeniden adlandırılır, parolası güçlü belirlenir ve bir parola yöneticisine kaydedilir. Bu hesap yalnızca acil durum ve kurtarma senaryoları için tutulur; günlük yönetimde kullanılmaz.

Standalone sunucularda (domain üyesi olmayacak): Günlük yönetim için ayrı bir lokal yönetici hesabı açılır. Built-in hesabın doğrudan kullanımından kaçınmak log izlenebilirliğini artırır; “Administrator girdi” yerine kim girdi sorusunun cevabı olur.

Domain üyesi olacak sunucularda: Günlük yönetim domain hesaplarıyla (adm.ilker.pehlivan@sercebilisim.com) yapılacağından ayrıca lokal hesap açmaya gerek yoktur. Built-in hesabı yeniden adlandırıp parolasını kaydetmek yeterlidir; domain erişilemez hale geldiğinde bu hesap tek giriş noktası olur.

Built-in hesabı yeniden adlandırmak için Computer Management → Local Users and Groups → Users açılır, Administrator üzerine sağ tıklanır ve Rename seçilir.

RDP Yapılandırması

RDP (Remote Desktop Protocol), sunucuya uzaktan grafik arayüzle bağlanmayı sağlar. Windows Server’da varsayılan olarak kapalı gelir.

GUI tercih ediliyorsa Win + R → sysdm.cpl → Remote sekmesinde Allow remote connections to this computer seçilir. Onaylandığında Windows, firewall kuralını otomatik olarak etkinleştireceğini bildiren bir dialog kutusu açar; OK ile onaylanır.

Bu ekranda aynı zamanda NLA (Network Level Authentication) da etkinleştirilir: **Allow connections only from computers running Remote Desktop with Network Level Authentication** seçeneği işaretlenir. NLA, oturum açma ekranı görüntülenmeden önce kimlik doğrulaması yapılmasını zorunlu kılar; yetkisiz bağlantı denemelerini sunucu kaynağı tüketmeden engeller.

PowerShell ile:

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 1

RDP erişimini yalnızca belirli IP aralıklarıyla kısıtlamak, internet’e açık veya DMZ’deki sunucularda zorunludur:

New-NetFirewallRule -DisplayName "RDP Kisitli" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow

Windows Firewall

Windows Firewall varsayılan olarak açıktır ve kapatılmamalıdır. Rol gerektirmeyen servisler için ek kural açmaktan kaçınılır; yalnızca kurulacak rolün ihtiyacı olan portlar açılır.

Win + R → wf.msc ile Windows Defender Firewall with Advanced Security açılır. Bu ekran tüm inbound ve outbound kurallarını, bağlantı güvenlik kurallarını ve mevcut politikaları listeler.

wf.msc üzerinden hem mevcut kuralları izleyebilir hem de yeni Allow veya Deny kuralı yazabilirsiniz: sol panelden Inbound Rules veya Outbound Rules seçilir, sağ panelden New Rule ile kural oluşturma sihirbazı başlatılır. Port, program veya özel kural türlerini destekler.

Hangi kuralların aktif olduğunu hızlıca görmek için PowerShell kullanılabilir. Çıktıda her kuralın adı ve Allow/Block aksiyonu listelenir; beklenmedik bir Allow kuralı varsa burada fark edilir:

Get-NetFirewallRule | Where-Object { $_.Enabled -eq "True" -and $_.Direction -eq "Inbound" } | Select-Object DisplayName, Action

Rol Yükleme

Windows Server üzerine kurulan her servis (AD DS, DHCP, File Server, Hyper-V) aynı sihirbaz üzerinden yüklenir. Bu bölüm tüm rol kurulumları için geçerli olan ortak adımları belgeler; rol bazlı rehberlerde doğrudan ilgili rol seçim ekranından devam edilir.

Server Manager üst menüsünden Manage → Add Roles and Features seçilir.

Başlamadan Önce

Sihirbazın ilk ekranı üç ön koşulu hatırlatır:

• The Administrator account has a strong password: Yönetici hesabının güçlü bir parola ile korunduğunu doğrulayın. Rol kurulumu sonrası sunucu ağda aktif hale gelir; zayıf parola bu noktadan itibaren risk oluşturur.
• Network settings such as static IP are configured: Statik IP yapılandırması tamamlanmış olmalıdır. DHCP’den IP alan bir sunucu kira süresi dolduğunda farklı IP alabilir; bu durum rol servislerinin bağlantısını bozar.
• The most current security updates from Windows Update are installed: Güncel olmayan bir sunucuya rol kurmak, bilinen güvenlik açıklarını aktif servis haline getirir. Windows Update önceki bölümde tamamlanmış olmalıdır.

Bu rehberin önceki bölümlerinde Administrator parolasını belirledik, statik IP yapılandırdık ve Windows Update’i çalıştırdık. Üç koşul karşılandığından Next ile devam edilir.

Kurulum Türü

Sihirbaz iki seçenek sunar:

Role-based or feature-based installation: AD DS, DHCP, DNS, File Server, Hyper-V gibi standart Windows Server rollerini kurmak için kullanılır. Neredeyse her rol kurulumunda bu seçenek tercih edilir.

Remote Desktop Services installation: Yalnızca RDS (Remote Desktop Services) altyapısı kurarken kullanılır. RDS, birden fazla kullanıcının aynı sunucuya uzaktan bağlanıp paylaşımlı masaüstü veya uygulama kullandığı terminal sunucu senaryoları içindir: RD Session Host, RD Connection Broker, RD Web Access gibi bileşenler bu sihirbazla kurulur. Normal sunucu rolü kurulumlarıyla ilgisi yoktur.

Role-based or feature-based installation seçilerek Next ile devam edilir.

Sunucu Seçimi

Rolün yükleneceği sunucu seçilir. Select a server from the server pool altında local sunucu görünür; seçili değilse tıklanır. Next ile devam edilir.

Sunucu Rolleri

Bu ekran, wizard’ın rol seçiminin yapıldığı ana adımıdır. Active Directory Domain Services’ten DHCP’ye, DNS’ten Hyper-V’ye, File Services’ten Windows Server Update Services’e kadar Windows Server’ın sunduğu tüm roller burada listelenir. İhtiyaca göre bir veya birden fazla rol seçilebilir; her seçim bağımlılıklarını otomatik olarak ekler.

Buradan sonrası kurulacak role göre değişir; her sistem yöneticisinin ihtiyacı farklıdır. Hangi rolü kuracağınıza göre ilgili rehbere geçin:

Sonraki Adımlar

Windows Server kuruldu ve temel yapılandırma tamamlandı. Üzerine kurabileceğiniz roller için ilgili rehberler:

• Active Directory kurulumu: Domain Controller promotion, DNS entegrasyonu, ikinci DC ekleme.
• BT sistem yönetimi: Hyper-V, File Server, yedekleme ve diğer Windows Server rolleri.