Herkese selamlar, Windows Server Yönetimi: Temel Kavramlar ve Roller? konusuyla karşınızdayım. Eleştiriye her zaman açık biri olarak her insan gibi bende hata yapabilirim. Konu altından saygı çerçevesinde dile getirirseniz bilgi alış-verişi/beyin fırtınası yapabilirim. :͛)͛
Bu konumuzda Windows Server'ın ne olduğunu, temel kavramlarını ve sunucu rollerinin ne işe yaradığını ele alacağız.
Windows Server Nedir?
Windows Server, Microsoft tarafından geliştirilen ve kurumsal ortamlarda kullanılan bir sunucu işletim sistemidir. Masaüstü kullanımı için tasarlanmış Windows 10/11'den farklı olarak ağ yönetimi, kullanıcı kimlik doğrulama, dosya paylaşımı, web barındırma ve uygulama dağıtımı gibi kurumsal ihtiyaçlara yönelik geliştirilmiştir.
Günümüzde yaygın olarak kullanılan sürümler şunlardır:
+ Windows Server 2019: Kararlılığıyla öne çıkan, kurumsal ortamlarda hala aktif olarak kullanılan bir sürümdür.
+ Windows Server 2022: Gelişmiş güvenlik özellikleri ve hibrit bulut desteğiyle güncel standartları karşılayan sürümdür.
+ Windows Server 2025: Microsoft'un en güncel sunucu işletim sistemi olup Azure entegrasyonu ve gelişmiş Active Directory özellikleriyle dikkat çekmektedir.
Temel Kavramlar?
Domain (Etki Alanı)
Domain, bir ağ üzerindeki bilgisayar, kullanıcı ve kaynak gruplarının merkezi olarak yönetildiği mantıksal yapıdır. Mesela bir şirketteki tüm bilgisayarlar sirket.local gibi tek bir domain altında toplanabilir. Bununla birlikte her bilgisayara tek tek girmek yerine tüm yönetimi merkezi bir noktadan yaparsınız. Domain olmayan ortamda her bilgisayarın kendi kullanıcı hesabı vardır ve bunları ayrı ayrı yönetmek gerekir. Domain ile bir çalışanın hesabını domain üzerinden oluşturduğunuzda o çalışan, yetkili olduğu tüm bilgisayarlara aynı kullanıcı adı ve şifreyle giriş yapabilir.
Domain Controller (DC)
Domain Controller, bir domain'in yönetim merkezidir. Kullanıcı kimlik doğrulamalarını, grup politikalarını ve dizin hizmetlerini yönetir. Bir ağda en az bir DC bulunmak zorundadır kurumsal ortamlarda yedeklilik için birden fazla DC kurulması önerilir. DC çöktüğünde kullanıcılar domain hesaplarıyla giriş yapamaz. Bu yüzden kritik ortamlarda ikincil DC (Secondary DC) mutlaka bulunmalıdır.
Active Directory (AD)
Active Directory, Windows Server'ın bel kemiği gibi birşey. Kullanıcı hesaplarını, bilgisayarları, grupları ve politikaları hiyerarşik bir yapıda saklar ve yönetir. Bir telefon rehberi gibi düşünebilirsiniz ağdaki her şeyin kaydı burada tutulur. AD'nin en önemli bileşenlerinden biri Organizational Unit (OU) yapısıdır. OU'lar sayesinde kullanıcıları ve bilgisayarları departmanlara göre gruplandırabilir, her gruba farklı politikalar uygulayabilirsiniz.
Group Policy (Grup İlkesi)
Group Policy Object (GPO), domain'deki bilgisayar ve kullanıcılara merkezi olarak ayar uygulamanızı sağlar. Masaüstü arka planını zorla belirlemek, USB portlarını devre dışı bırakmak, şifre politikası uygulamak ya da belirli yazılımların kurulumunu engellemek bunların hepsi GPO ile yapılır. GPO'lar OU hiyerarşisine göre uygulanır. Üst OU'da tanımlanan bir politika alt OU'lara da yansır ama alt OU'da farklı bir ayar tanımlanmışsa bu ayar öncelik kazanır.
Sunucu Rolleri Nelerdir?
Windows Server'da bir rolü etkinleştirmek, o sunucuya belirli bir hizmet yüklemek anlamına gelir. Server Manager ya da PowerShell üzerinden rol ekleme ve kaldırma işlemleri yapılabilir.
AD DS - Active Directory Domain Services
Bir sunucuyu Domain Controller yapmanızı sağlayan roldür. Bu rolü kurmadan domain oluşturamazsınız. Kurulum sonrasında dcpromo sihirbazı ya da PowerShell ile domain tanımlaması yapılır.
Kod:
# PowerShell ile AD DS rolünü kurma
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# Yeni bir domain oluşturma
Install-ADDSForest -DomainName "sirket.local"DNS - Domain Name System
DNS, alan adlarını IP adreslerine çeviren hizmettir. Active Directory'nin çalışması DNS'e bağımlıdır bu yüzden DC kurulumunda DNS rolü de genellikle birlikte kurulur. İç ağdaki cihazlar birbirleriyle IP yerine isim üzerinden haberleşebilir. Mesela dosyaserver.sirket.local yazarak dosya sunucusuna erişebilirsiniz; IP adresini ezberlemek zorunda kalmazsınız.
Kod:
# DNS rolünü kurma
Install-WindowsFeature -Name DNS -IncludeManagementTools
# Yeni bir DNS A kaydı ekleme
Add-DnsServerResourceRecordA -Name "dosyaserver" -ZoneName "sirket.local" -IPv4Address "192.168.1.50"DHCP - Dynamic Host Configuration Protocol
DHCP, ağa bağlanan cihazlara otomatik olarak IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve DNS bilgisi dağıtan hizmettir. Bu rol olmadan her cihaza manuel IP ataması yapmak zorunda kalırsınız büyük ağlarda bu son derece verimsizdir. HCP'de rezervasyon özelliğiyle belirli bir cihazın MAC adresine sabit IP atayabilirsiniz. Yazıcılar ve sunucular gibi sabit IP gerektiren cihazlar için bu yöntem idealdir.
Kod:
# DHCP rolünü kurma
Install-WindowsFeature -Name DHCP -IncludeManagementTools
# Yeni bir DHCP scope oluşturma
Add-DhcpServerv4Scope -Name "OfisAgi" -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0File Services - Dosya Hizmetleri
Ağ üzerinde dosya paylaşımı yapmanızı sağlayan roldür. Klasörleri paylaşıma açabilir, NTFS ve paylaşım izinleriyle kimin neye erişeceğini belirleyebilirsiniz. DFS (Distributed File System) ile birden fazla sunucudaki paylaşım klasörlerini tek bir mantıksal yapı altında toplayabilirsiniz. Kota yönetimi sayesinde kullanıcıların ne kadar disk alanı kullanabileceğini sınırlayabilirsiniz.
Kod:
# Dosya paylaşımı oluşturma
New-SmbShare -Name "Belgeler" -Path "C:\Paylasim\Belgeler" -FullAccess "Domain Admins" -ReadAccess "Domain Users"IIS - Internet Information Services
Microsoft'un web sunucusu rolüdür. Web siteleri, web uygulamaları ve REST API'ler yayınlamak için kullanılır. ASP.NET, PHP ve diğer web teknolojilerini destekler. Kurumsal ortamlarda intranet siteleri ve iç kullanıma yönelik uygulamalar genellikle IIS üzerinde barındırılır.
Kod:
# IIS rolünü kurma
Install-WindowsFeature -Name Web-Server -IncludeManagementTools
# Yeni bir web sitesi oluşturma
New-WebSite -Name "IntranetSite" -PhysicalPath "C:\inetpub\intranet" -Port 80Hyper-V
Windows Server'ın sanallaştırma platformudur. Fiziksel bir sunucu üzerinde birden fazla sanal makine (VM) çalıştırmanızı sağlar. Her VM kendine ait işlemci, RAM ve disk kaynaklarına sahip olur ve birbirinden izole çalışır. Live Migration özelliğiyle çalışan bir sanal makineyi kapatmadan başka bir fiziksel sunucuya taşıyabilirsiniz. Bu özellik bakım çalışmaları sırasında kesintisiz hizmet sunmak için kritik önem taşır.
Kod:
# Hyper-V rolünü kurma
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
# Yeni bir sanal makine oluşturma
New-VM -Name "TestSunucu" -MemoryStartupBytes 4GB -Generation 2 -NewVHDPath "C:\VMs\TestSunucu.vhdx" -NewVHDSizeBytes 60GBRemote Desktop Services (RDS)
Kullanıcıların uzaktan masaüstü bağlantısıyla sunucuya ya da merkezi bir uygulama ortamına erişmesini sağlayan roldür. Özellikle de uzaktan çalışma senaryolarında ve ağır uygulamaların merkezi olarak çalıştırılmasında kullanılır. RemoteApp özelliğiyle sunucuda kurulu bir uygulamayı kullanıcının kendi masaüstünde çalışıyormuş gibi gösterebilirsiniz. Kullanıcı tam masaüstü yerine yalnızca o uygulamayı görür.
Windows Server Edition Farkları
Windows Server üç farklı lisans seçeneğiyle sunulmaktadır. Hangisini seçeceğiniz kurumunuzun büyüklüğüne ve ihtiyaçlarına göre değişir.
+ Essentials: En küçük işletmeler için tasarlanmıştır. Maksimum 25 kullanıcı ve 50 cihazı destekler. Sanallaştırma hakkı bulunmaz, yalnızca fiziksel ya da tek bir sanal makine üzerinde çalışabilir. Küçük ofisler için uygun maliyetli bir başlangıç noktasıdır.
+ Standard: Orta ölçekli işletmelere yöneliktir. Kullanıcı ve cihaz sayısında bir sınır yoktur lisans başına 2 sanal makine çalıştırma hakkı tanır. Çoğu kurumsal ortam için Standard sürüm yeterlidir.
+ Datacenter: Büyük kurumlar ve veri merkezleri için tasarlanmıştır. Aynı fiziksel sunucu üzerinde sınırsız sayıda sanal makine çalıştırma hakkı sunar. Storage Spaces Direct ve Software Defined Networking gibi gelişmiş özellikler yalnızca bu sürümde bulunur. Yoğun sanallaştırma yapılan ortamlarda Standard'a kıyasla çok daha ekonomik hale gelir.
Güvenlik ve Firewall Ayarları
Windows Server'da güvenlik çok katmanlı bir yapıyla sağlanır. Temel güvenlik bileşenlerini ve yapılandırmalarını inceleyelim.
Windows Defender Firewall
Windows Server'ın yerleşik güvenlik duvarıdır. Gelen ve giden trafiği kural tabanlı olarak filtreler. Varsayılan olarak gereksiz portlar kapalıdır yalnız ihtiyaç duyulan portları açmak en güvenli yaklaşımdır. Güvenlik duvarı kurallarını Windows Defender Firewall with Advanced Security konsolundan ya da PowerShell üzerinden yönetebilirsiniz.
Kod:
# Belirli bir porta izin verme (örnek: 8080 TCP)
New-NetFirewallRule -DisplayName "Web Uygulamasi" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow
# Mevcut güvenlik duvarı kurallarını listeleme
Get-NetFirewallRule | Where-Object {$_.Enabled -eq "True"} | Select-Object DisplayName, Direction, ActionWindows Defender Antivirus
Windows Server 2016 ve sonrasında yerleşik olarak gelen antivirüs çözümüdür. Ek bir yazılım kurmanıza gerek kalmadan temel zararlı yazılım koruması sağlar. Tanım güncellemeleri Windows Update aracılığıyla otomatik olarak yapılır. Sunucu ortamlarında performans kaybını önlemek için belirli klasör ve süreçleri tarama dışında bırakmak gerekebilir. Mesela SQL Server veritabanı dosyalarının bulunduğu klasörü dışlama listesine almak yaygın bir uygulamadır.
Kod:
# Defender tarama dışı bırakma (örnek: SQL veri klasörü)
Add-MpPreference -ExclusionPath "D:\SQLData"
# Anlık tarama başlatma
Start-MpScan -ScanType QuickScanŞifre ve Hesap Politikaları
Active Directory ortamında şifre politikaları GPO üzerinden merkezi olarak uygulanır. Minimum şifre uzunluğu, karmaşıklık zorunluluğu, şifre geçerlilik süresi ve başarısız giriş denemesi sonrası hesap kilitleme gibi kurallar bu kapsamda tanımlanır. Fine-Grained Password Policy özelliğiyle farklı kullanıcı gruplarına farklı şifre politikaları uygulayabilirsiniz.
Kod:
# Varsayılan domain şifre politikasını görüntüleme
Get-ADDefaultDomainPasswordPolicy
# Hesap kilitleme politikası ayarlama
Set-ADDefaultDomainPasswordPolicy -Identity "sirket.local" -LockoutDuration 00:30:00 -LockoutObservationWindow 00:15:00 -LockoutThreshold 5Audit Policy (Denetim Politikası)
Sunucuda kimin ne zaman ne yaptığını kayıt altına almak kurumsal güvenliğin temel gerekliliklerinden biridir. Denetim politikaları sayesinde başarılı ve başarısız giriş denemeleri, nesne erişimleri, politika değişiklikleri ve ayrıcalıklı işlemler olay günlüğüne yazılır. Bu kayıtlar Event Viewer üzerinden incelenebilir ya da SIEM sistemlerine aktarılabilir.
Kod:
# Denetim politikasını görüntüleme
auditpol /get /category:*
# Giriş denetimini etkinleştirme
auditpol /set /subcategory:"Logon" /success:enable /failure:enableServer Manager ve Yönetim Araçları
Windows Server'ı yönetmek için birkaç temel araç kullanılır.
+ Server Manager: Rol ve özellik ekleme/kaldırma, sunucu durumu izleme ve temel yapılandırma için grafik arayüzlü ana yönetim konsoludur.
+ Active Directory Users and Computers (ADUC): Kullanıcı, grup ve bilgisayar hesaplarını yönetmek için kullanılan grafik arayüzlü araçtır.
+ Group Policy Management Console (GPMC): Grup politikalarını oluşturmak, düzenlemek ve uygulamak için kullanılır.
+ PowerShell: Grafik arayüz yerine komut satırından yönetim yapmak isteyenler için güçlü bir otomasyon ve yönetim ortamı sunar. Özellikle toplu işlemlerde vazgeçilmezdir.
+ Windows Admin Center: Tarayıcı üzerinden çalışan modern web tabanlı yönetim aracıdır. Birden fazla sunucuyu tek bir arayüzden yönetmek için idealdir.
Okuyan herkese teşekkür ederim. Bir sonraki konuda görüşmek üzere saygıyla ve sevgiyle kalın....
elinize sağlık.
