Active Directory Active Directory üzerinde aşağıdaki komutu komut satırında (cmd) çalıştırın.

Bu komut ile 12
ve DNS’ in haftadan fazla süredir pasif olan bilgisayarları listeler. Liste içerisinden silebilecekleriniz varsa siliniz.
Temizlenmesi: Dsquery computer -inactive 12 | dsrm -noprompt > c:\logs\inactivecomputer.txt

Active Directory Search-ADAccount –AccountInActive –TimeSpan 90:00:00:00 –ResultPageSize 2000 –

90 gündür pasif ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName,
olan hesaplar DistinguishedName | Export-CSV “C:\logs\InActiveUsers.CSV” –NoTypeInformation

DNS üzeirnde
eski kalan DNS üzerinde eskiden kalan kayıtlar veya bilgisayarı silinmiş fakat kaydı kalan objeleri siliniz. Buna
ek olarak Geçiş süresince DHCP’ den DNS’ e otomatik kayıt oluşturulmasını engellemek için IP
bilgisayar Scope ayarlarında “Lease duration” süresini geçiş için planladığınız maksimum süreye çıkartınız.
kayıtları
Tüm Domain Controler (DC) sunucularınızın network adaptör portunun DNS kısmında ilk sırada
Network kendisi olmalı. Bununla birlikte diğer tüm DC’lerin ip adresleri sırası ile DNS server kısmına
Yapılandırması eklenmeli.Tüm ayarlar doğru ve kullanılabilir olduğunda her bir DC üzerinde “ipconfig /registerdns”
komutunu yetkili hesapla çalıştırınız.

Get-ADDomainController -Filter {IsGlobalCatalog -eq $true} Veya

Global Catalog Get-ADForest | Select-Object -ExpandProperty GlobalCatalogs Eğer ekli değil ise
Sunucularınızın “Active Directory Sites and Services” açıp DC’leri tıklayıp altında açılan “NTDS Settings” üzerinde
Kontrolü sağ tıklayıp Properties tıklayın. Açılan ekranda General sekmesi altındaki “Global Catalog” u
tıklayarak aktif ediniz.

Tüm DC’ lerde Şema seviyesinin doğru olup olmadığını Register (regedit) üzerindeki
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\ altındaki Parameters’ da yazan
değeri kontrol ediniz. Eğer farklılık varsa sağlık taraması adımına geçiniz. Şema Versiyon Değerleri:

· Windows Server 2008 (W2K8) : 44

Şema
Seviyesinin · Windows Server 2008 R2 (W2K8 R2): 47
Kontrolü
· Windows Server 2012 : 52

· Windows Server 2012 R2: 69

· Windows Server 2016 : 87

DNS sunucunuz üzerindeki Name Server (NS) kayıtlarını kontrol ediniz. Eğer eskiden kalan, yanlış
bilgi içeren kayıt varsa not edip siliniz. DNS üzerinde static kayıt olması pek istenmez. Eğer kayıt
silme işlemi yaptıysanız ilgili DC üzerinde “ipconfig /registerdns” komutunu yetkili hesapla
çalıştırınız.
DNS’ teki
Kontrolü Active Directory üzerindeki DNSAdmin gurubuna DC sunucuları ve işlem yapacak hesabı ekli olup
olmadığını kontrol ediniz. Eğer yoksa ekleyiniz.

Kaldırılacak DC’ nin DNS üzerinde kendini kaldırabilmesi için DNS üzerindeki domain ve _msdcs.
domainlerinin security tabına mevcut DC’leri hesabını ekleyip full yetki verin
 Tüm DC’ler üzerinde GPO’lar yedeklenir. Eğer hata verdiyse hata düzeltilir. Buna ek olarak her DC
GPO’ları üzerinden alınan yedek karşılaştırılır. Eğer DC’ler arasında farklılık varsa sağlık taraması adımına
Yedeklemek: geçilir.GPO Yedeklemesi için “Group Policy Management Tools” çalıştırılır. Gelen ekranda “Group
Policy Objects” üzerinde sağ tıklanır ve “Backup All” denilir.

AD Veri Tabanı Her Active Directory sunucunuzdaki C:\Windows\NTDS klasörü altındaki ntds.dit dosyasının
Boyutlarının boyutlarını kontrol ediniz. İstenen her bir DC üzerindeki boyut birbirine denk olmasıdır. Eğer arada
kontrolü: çok büyük farklar varsa sağlık taraması adımına daha erken geçebilirsiniz.

MaxPoolThreads, sunucunun her bir işlemci (CPU) için ne kadar network dinlemesi yapacağını
belirtmektedir. Default değeri her CPU için 4’tür. Bu değer çoğu zaman kritik ve yoğun network
trafiği yöneten File Server, RDS, IIS, DC gibi sunucularda yetersiz kalmakta bu nedenle AD işleyiş
yoğunluğunuza göre bu değeri arttırmanız önerilir.
MaxPoolThreads
değerinin Bu işlem için register açılarak aşağıdaki alan için REG_DWORD olarak MaxPoolThreads oluşturup
Yükseltilmesi değerini yükseltin.

Not: En fazla 20 verilebilir

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\InetInfo\Parameters\MaxPoolThreads

Active Directory domain servisini kurduğunda yani bir DC yaptığınızda NETLOGON ve SYSVOL
paylaşım alanlarının açılması gerekiyor. “net share” komutu ile paylaşılmış dizinlere bakın. Eğer
DC’ler üzerinde paylaşımlar yoksa aşağıdaki komutları çalıştırarak paylaşıma açın.
Paylaşılmış
dizinleri kontrol
edin net share NETLOGON=C:\Windows\SYSVOL\sysvol\domain\SCRIPTS /grant:everyone,Read

net share SYSVOL=C:\Windows\SYSVOL\sysvol /grant:everyone,Read

 ağıdaki komutları sırayla her DC’de çalıştırınız eğer hata varsa hata veren DC’de hatayı
düzeltinizrepadmin /syncall (Site içerisinde replikasyonu başlatır)repadmin /syncall /AdeP (Tüm
AD Replikasyon DC’ler arasında replikasyonu başlatır)repadmin /showrepl (Tüm DC’ler arasında replikasyonu
kontrolünün
yapılması görüntüler)repadmin /replsum (DC’lerin son replikasyon zamanını gösterirDFSDIAG /TESTDCS (2012
ve sonrası DC’lerde paylaşım alanlarını kontrol eder)dcdiag /test:DNS (2012 ve sonrası DC’lerde
DNS hizmetini kontrol eder)nltest /dsregdns

Aşağıdaki komut normalde tek bir DC’de çalıştırsanız yeterli fakat geçiş aşamalarında her bir DC’de
ayrı ayrı çalıştırıp inceleyin. Çok uzun bir doküman çıktısı üretiyor. Önerim dosyayı kendi
bilgisayarınıza alıp WORD uygulaması ile açmanız ve adım adım incelemeniz. Sadece hata araması
AD Sağlık yaparak okumayın. Bazen process başlıyor ve başarıyla tamamlandığını bildiriyor fakat arada uyarı
Taraması mesajı yazabiliyor.
(Health Check)
DCDIAG /c /v /e > c:\saglik_tarama.txt

repadmin /showrepl sunucuismi /verbose /all /intersite >c:\repl.txt

 Aşağıdaki komutu herhangi bir DC üzerinde çalıştırarak yeni kurduğunuz DC’ler ile birlikte Active
Directory içindeki DC’leri listeleyin. Topolojinizdeki ile aynı mı kontrol edin.nltest
/dclist:tamdomainismiAşağıdaki komutu herhangi bir DC üzerinde çalıştırarak FSMO rollerin hangi
sunucularda olduğunu öğrenin.netdom query fsmoDC’ı kaldırmadan önce FSMO rollerini yeni
kurduğunuz en üst seviye sunucularınıza taşıyınız. Bunun için aşağıdaki PowerShell komutunu
kullanabilirsiniz.Move-ADDirectoryServerOperationMasterRole -Identity rol-tasinacak-dc-ismi -
OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulatorveyaMove-
ADDirectoryServerOperationMasterRole -Identity rol-tasinacak-dc-ismi -OperationMasterRole
3,4Komut içerisnde yer alan OperationMasterRole’lerin kodlarını aşağıda yer
almaktadır.PDCEmulator or 0RIDMaster or 1InfrastructureMaster or 2SchemaMaster or
3DomainNamingMaster or 4Rol taşıması sonrasında en az 1 gün bekleyin. Bekleme zamanı
geçtikten sonra Replikasyon ve AD Sağlık Taraması (health check) adımlarını tekrarlayınız.c) AD
Rolünü KaldırınSon adıma yaklaşmış bulunmaktayız. Burada dikkat edilecek nokta Enterprise Admin
yetkisine sahip kullanıcı ile DC’ye login olun.Eğer GUI ekranlı sunucu kullanıyorsanız olası
problemleri görüp hemen müdahele edebilmek adına önerim “Server Manager” üzerinden AD
rolünü kaldırınız. Eğer core sürüm kullanıyorsanız aşağıdaki PowerShell komutunu kullanabilirsiniz.
Uninstall-ADDSDomainController -DemoteOperationMasterRole –
FSMO Rollerin RemoveApplicationPartitionSunucu restart ettikten sonra DNS rolünü kaldırıp sunucuyu restart
taşınması edin. Sunucun ip adresini değiştirin. Eski ip adresini yeni kurduğunuz uygun DC’ye verin. İp adresini
verdiğiniz sunucu üzerinde aşağıdaki komutu çalıştırınız.ipconfig /registerdnsSunucuyu domain’den
çıkartmadan önce en az 1 gün bekleyin. Bekleme zamanı geçtikten sonra Replikasyon ve AD Sağlık
Taraması (health check) adımlarını tekrarlayınız.Her şey iyi ve sorunsuz olduğunda Sunucuyu
domain’den çıkartıp sunucuyu kapatınız. Çıkarttığınız sunucu için Meta Data Temizliği
yapın.Sildiğiniz sunucu ismi ile AD, AD Site ve DNS üzerinde aratıp varsa siliniz.d) Functional
Seviyesinin YükseltilmesiBu adımın geriye dönüşü yok. Buraya kadar başarılı ve sorunsuz bir geçiş
yaptığınızı ümit ediyorum. Eğer sorun yaşadı iseniz sorun çözümlerini hallederek Son adıma gelmiş
olmuşunuzdur.Functional seviyesini yükseltirken ilk olarak Domain sonra Forest adımını yapacağız.
Her bir adımda gene 1 gün bekleyip Replikasyon ve Sağlık taramalarını gerçekleştireceğiz.Aşağıdaki
PowerShell komut ile güncel seviyenizi kontrol ediniz.Get-ADDomainGet-ADForestDomain
Functional seviyesini Aşağıdaki PowerShell komut ile yükseltebilirsinizSet-ADDomainMode –
Identity “domain-isminiz” –DomainMode Windows2012R2DomainForest Functional seviyesini
Aşağıdaki PowerShell komut ile yükseltebilirsinizSet-ADForestMode –Identity “mikanetwork.com” –
ForestMode Windows2012R2ForestKomut içerisinde kullanacağınız kodları ve karşılıklarını aşağıda
bulabilirsiniz.Windows2000Forest or 0Windows2003InterimForest or 1Windows2003Forest or
2Windows2008Forest or 3Windows2008R2Forest or 4Windows2012Forest or
5Windows2012R2Forest or 6