AD Replikasyonu ve Site Yapısı

Active Directory (AD) ortamlarında, özellikle birden fazla coğrafi lokasyona (şube, fabrika, felaket kurtarma merkezi vb.) sahip yapılarda replikasyon ve site topolojisi hayati önem taşır. Yanlış yapılandırılmış bir AD site yapısı; oturum açma (logon) sürelerinin uzamasına, Grup Politikalarının (GPO) geç uygulanmasına ve hatta veri tutarsızlıklarına neden olabilir.

Bu rehberde, Active Directory replikasyonunu optimize etmek ve sağlıklı bir site yapısı kurmak için uygulamanız gereken teknik adımları inceleyeceğiz.

1. Site ve Subnet Tasarımı Neden Önemli?

Active Directory mantıksal bir yapı olsa da, fiziksel ağ yapısını “Sites and Services” konsolu üzerinden doğru tanımlamanız gerekir.

Fiziksel Ağı Yansıtın: Her fiziksel lokasyon (örneğin: İstanbul Merkez, Ankara Şube) bir Site olarak tanımlanmalıdır.
Subnet Eşleştirmesi: En sık yapılan hata, yeni açılan IP bloklarının AD’ye tanımlanmamasıdır. Her Site’ye karşılık gelen Subnet‘leri eksiksiz tanımlayın.
- Risk: Eğer bir istemci (Client) kendi IP bloğunun hangi Site’a ait olduğunu bulamazsa, rastgele bir Domain Controller’a (DC) gitmeye çalışabilir. Bu da İstanbul’daki kullanıcının kimlik doğrulaması için WAN hattı üzerinden Ankara’daki sunucuya gitmesi demektir.

2. Site Link ve Replikasyon Maliyetleri

Site’lar arası verilerin nasıl ve ne sıklıkla taşınacağını Site Link nesneleri belirler.

Replikasyon Aralığı (Interval): Varsayılan olarak siteler arası replikasyon 180 dakikadır (3 saat). Ancak günümüz hızlı ağlarında bu süre çok uzundur. Şubeler arası iletişim için bu süreyi 15 veya 30 dakikaya çekmek, değişikliklerin (örneğin şifre resetleme) daha hızlı yayılmasını sağlar.
Maliyet (Cost): Eğer iki lokasyon arasında hem hızlı (Fiber) hem de yavaş (VPN/Yedek) bir hat varsa, hızlı hatta daha düşük “Cost” değeri vererek trafiği oraya zorlayabilirsiniz.

3. Domain Controller Rolleri ve Global Catalog

Her lokasyonda (Site) en az bir adet Domain Controller bulundurmak, WAN hattı kesilse bile o lokasyondaki kullanıcıların çalışmaya devam etmesini sağlar.

Global Catalog (GC): Şubelerdeki DC’lerin mutlaka Global Catalog sunucusu olarak işaretlenmesi önerilir. Bu, oturum açma sırasında Evrensel Grup üyeliklerinin hızlıca sorgulanmasını sağlar.
FSMO Rolleri: 5 FSMO rolü genellikle merkezdeki en kararlı sunucularda tutulmalıdır. Ancak PDC Emulator rolüne sahip sunucunun erişilebilirliği, saat senkronizasyonu ve şifre değişiklikleri için kritiktir.

4. İzleme ve Sorun Giderme (Troubleshooting)

Yapıyı kurduktan sonra sağlıklı çalıştığını doğrulamak gerekir. Arayüz her zaman hatayı göstermeyebilir, bu yüzden komut satırı araçları en iyi dostunuzdur.

En Temel Komut: Repadmin Komut satırını (CMD veya PowerShell) yönetici olarak çalıştırın ve aşağıdaki komutları kullanın:

Replikasyon özetini ve hataları hızlıca görmek için: repadmin /replsummary

Belirli bir sunucunun replikasyon detaylarını görmek için: repadmin /showrepl

İpucu: Eğer çıktıda “DSA Object Guid” yerine hata kodları veya “RPC Server Unavailable” görüyorsanız, sunucular arası 135, 445 gibi portların güvenlik duvarında açık olduğundan emin olun.

Daha detaylı bilgi ve Microsoft’un resmi dokümantasyonu için Microsoft Learn: Active Directory Replication Concepts sayfasını inceleyebilirsiniz.

Sonuç ve Özet

Doğru bir Active Directory site tasarımı, sadece “kur ve unut” yapısı değildir. Ağınıza yeni bir şube veya yeni bir VLAN eklendiğinde, AD Sites and Services konsolunu güncellemeyi bir prosedür haline getirmelisiniz.