Windows Server, Microsoft’un kurumsal sunucu işletim sistemidir; kullanıcı ve cihaz yönetimi (Active Directory), ad çözümleme (DNS), otomatik IP dağıtımı (DHCP), dosya/yazıcı paylaşımı, uygulama barındırma ve sanallaştırma (Hyper-V) gibi görevleri tek bir merkezi platformda toplar. Bir KOBİ için Windows Server’ın doğru kurulması, ağdaki tüm bilgisayarların tek bir yerden yönetilmesini, ortak parola/erişim politikalarının uygulanmasını ve verilerin denetimli biçimde paylaşılmasını sağlar. Bu yazıda temiz bir kurulumun, temel rollerin (AD DS, DNS, DHCP), lisanslamanın, güncelleme yönetiminin ve güvenlik sertleştirmesinin adımlarını sade bir dille anlatıyoruz.
Aşağıda sunucuyu sıfırdan devreye alırken izlediğimiz sıralamayı ve her aşamada dikkat edilmesi gereken noktaları bulacaksınız.
Windows Server kurulumuna başlamadan önce neler hazır olmalı?
Kurulum hatalarının çoğu yetersiz planlamadan kaynaklanır. Sunucuyu kurmadan önce şu kararların netleşmesi gerekir:
- Sürüm ve edisyon: İhtiyaca göre Standard veya Datacenter edisyonu; yoğun sanallaştırma yapılacaksa Datacenter daha avantajlı olabilir.
- Kurulum tipi: Grafik arayüzlü (Desktop Experience) mi yoksa daha az kaynak tüketen ve saldırı yüzeyi düşük olan Server Core mu? Çoğu KOBİ ilk sunucusunda Desktop Experience’ı tercih eder.
- Donanım uygunluğu: İşlemci, RAM ve disk Microsoft’un ilgili sürüm için yayımladığı minimum/önerilen gereksinimleri karşılamalı; üretici donanımıysa uyumluluk listesi (HCL) kontrol edilmeli.
- Disk düzeni: İşletim sistemi ile veri diskleri ayrılmalı; mümkünse RAID ile disk yedekliliği sağlanmalı.
- Statik IP planı: Sunucu sabit bir IP almalı, DNS rolü çalıştıracaksa kendi IP’sini birincil DNS olarak göstermelidir.
- Adlandırma standardı: Sunucu adı ve gelecekteki etki alanı (domain) adı baştan planlanmalı; sonradan değiştirmek zahmetlidir.
Active Directory, DNS ve DHCP rolleri nasıl yapılandırılır?
Roller, Windows Server’ın hangi görevi üstleneceğini belirler ve Server Manager üzerinden “Add Roles and Features” sihirbazıyla ya da PowerShell ile eklenir. Bir KOBİ ağının bel kemiğini oluşturan üç temel rol şunlardır:
| Rol | Görevi | Kritik nokta |
|---|---|---|
| AD DS (Active Directory Domain Services) | Kullanıcı, bilgisayar ve grup hesaplarını merkezi dizinde yönetir, oturum açmayı denetler. | Rol kurulduktan sonra sunucu “domain controller” olarak terfi (promote) edilmelidir. |
| DNS Server | Ad çözümlemesini yapar; Active Directory’nin çalışması DNS’e bağlıdır. | Genellikle AD DS terfisi sırasında otomatik kurulur; iç ve dış ad çözümlemesi doğru yönlendirilmeli. |
| DHCP Server | Ağdaki cihazlara otomatik IP, ağ geçidi ve DNS bilgisi dağıtır. | Yetkilendirme (authorize) ve doğru kapsam (scope) tanımı şarttır; tek bir DHCP kaynağı olmalı. |
Sıralama önemlidir: önce AD DS rolü eklenir, ardından sunucu domain controller olacak şekilde terfi edilir ve bu sırada yeni bir orman/etki alanı (forest/domain) oluşturulur. DNS bu adımda genellikle birlikte gelir. DHCP ise ayrı kurulup yetkilendirildikten sonra IP kapsamı tanımlanır. Etki alanına katılan istemciler artık merkezi kullanıcı hesaplarıyla oturum açabilir ve Group Policy (GPO) ile yönetilebilir hale gelir.
İlk domain controller’ı tek başına bırakmak risklidir; mümkünse ikinci bir domain controller kurarak dizin hizmetinin yedekliliğini sağlamak, sunucu arızasında oturum açmanın durmamasını sağlar.
Windows Server lisanslaması nasıl çalışır?
Windows Server lisanslaması, masaüstü Windows’tan farklı işler ve iki ana bileşeni vardır:
- Sunucu lisansı (çekirdek/core tabanlı): Standard ve Datacenter edisyonları, sunucudaki fiziksel çekirdek sayısına göre lisanslanır. Microsoft genellikle minimum çekirdek lisansı (sunucu başına ve fiziksel işlemci başına asgari sayı) şartı koyar.
- CAL (Client Access License): Sunucudaki hizmetlere erişen her kullanıcı veya cihaz için ayrıca erişim lisansı gerekir. CAL’lar “kullanıcı başına” veya “cihaz başına” modelinde alınabilir; Uzak Masaüstü (RDS) gibi bazı roller için ek özel CAL gerekir.
Standard ve Datacenter arasındaki temel fark, çalıştırabileceğiniz sanal makine hakkı ve bazı gelişmiş özelliklerdir; Datacenter yoğun sanallaştırma senaryolarında öne çıkar. Lisans kuralları sürümden sürüme ve sözleşme tipine göre değişebildiğinden, güncel lisans hak ve fiyatlandırması için Microsoft’un resmi lisanslama kaynaklarını veya yetkili bir iş ortağını dikkate almanızı öneririz. Yanlış lisanslama hem uyumsuzluk hem de denetimde maliyet riski yaratır; doğru CAL modelini baştan seçmek önemlidir.
Güncellemeler ve yamalar nasıl yönetilmeli?
Bir sunucunun güvenliği, büyük ölçüde güncel tutulmasına bağlıdır; istismar edilen açıkların önemli bölümü aslında yaması yayımlanmış ama uygulanmamış zafiyetlerdir. Sağlıklı bir güncelleme yönetimi için:
- Düzenli yama döngüsü: Microsoft güvenlik güncellemelerini düzenli olarak (yaygın uygulamada her ayın belirli “Yama Salısı” döneminde) yayımlar; kurum içinde aylık bir uygulama planı oluşturulmalıdır.
- Test ve aşamalı dağıtım: Kritik sunuculara doğrudan yama geçmek yerine, önce test ortamında veya düşük öncelikli sistemde denenmesi kesinti riskini azaltır.
- Merkezi yönetim: Birden fazla sunucu/istemci varsa, güncellemeleri tek noktadan yönetmek için WSUS ya da modern bulut tabanlı yönetim araçları kullanılabilir.
- Yeniden başlatma planı: Bazı yamalar yeniden başlatma gerektirir; bunun mesai dışı bakım pencerelerinde yapılması iş kesintisini önler.
- Yedek alıp öyle güncelle: Büyük güncelleme veya rol değişikliği öncesi mutlaka güncel yedek/snapshot alınmalıdır.
Güncelleme disiplini tek başına yeterli değildir; düzenli yedekleme ile birlikte düşünülmelidir. Bu konuda 3-2-1 yedekleme yaklaşımını da incelemenizi öneririz.
Windows Server güvenlik sertleştirmesi (hardening) nasıl yapılır?
Sertleştirme, sunucunun varsayılan ayarlarını saldırı yüzeyini azaltacak şekilde sıkılaştırmaktır. Temel ilke en az ayrıcalık ve gereksiz olanı kapatmaktır. Devreye alma sırasında uyguladığımız temel kontrol listesi:
- Varsayılan yönetici hesabını yeniden adlandır, güçlü ve benzersiz parola ata; mümkünse çok faktörlü doğrulama (MFA) ekle.
- Kullanılmayan rolleri, özellikleri ve servisleri kaldır (saldırı yüzeyini küçült).
- Yerleşik Windows Defender / güvenlik duvarını etkin tut; yalnızca gereken portlara izin ver.
- Yönetimsel erişimi (RDP) internete doğrudan açma; VPN arkasına al ve kaynak IP’yi kısıtla.
- Group Policy ile parola politikası, hesap kilitleme ve denetim (audit) günlüğü ayarlarını uygula.
- Günlük kayıtlarını (event log) topla, sakla ve düzenli incele.
- Yönetici işlemleri için ayrı, ayrıcalıklı hesaplar kullan; günlük işleri yönetici hesabıyla yapma.
- Disk şifreleme (BitLocker) ile fiziksel hırsızlığa karşı veriyi koru.
- Antivirüs/EDR çözümünü kur ve güncel tut.
- Düzenli, test edilmiş yedekleme planını devreye al.
Microsoft, sertleştirme için referans olarak Security Baseline yapılandırmaları yayımlar; bu temel çizgiler GPO şablonları halinde uygulanarak tutarlı bir güvenlik düzeyi sağlanabilir. Sunucu güvenliği, ağ tarafındaki güvenlik duvarı ve segmentasyon önlemleriyle birlikte ele alındığında en etkili sonucu verir; bu nedenle Server ve Güvenlik Hizmetleri kapsamında Fortinet tabanlı ağ güvenliği ile sunucu sertleştirmesini bütünleşik planlamayı öneriyoruz.
Giza Teknoloji ile Windows Server kurulumu
Gaziantep Şehitkamil merkezli Giza Teknoloji olarak, Logo Yazılım yetkili Netsis bayiliğimizin yanında kurumsal BT altyapısı ve sunucu yönetimi hizmetleri de sunuyoruz. Donanım tedarikinden işletim sistemi kurulumuna, Active Directory/DNS/DHCP yapılandırmasından lisanslama danışmanlığına, güvenlik sertleştirmesinden düzenli bakıma kadar uçtan uca destek veriyoruz. Detaylar için Server ve Güvenlik Hizmetleri ve Donanım ve Bakım sayfalarımıza göz atabilirsiniz.
Sunucu altyapısı, dengeli bir BT yatırımının yalnızca bir parçasıdır. İşletmenizin tüm dijital ihtiyaçları için Netsis 3 ERP, e-Dönüşüm çözümleri, Xenon saha satış, özel yazılım (PDKS, Tapu, Desen) ile proje yönetimi ve iş zekası hizmetlerimizi tek bir iş ortağından alabilirsiniz. Bizi daha yakından tanımak için Hakkımızda sayfasını ziyaret edebilirsiniz.
Sıkça Sorulan Sorular
Windows Server kurmak için mutlaka fiziksel sunucu mu gerekir? Hayır. Windows Server bir sanallaştırma platformu (örneğin Hyper-V veya VMware) üzerinde sanal makine olarak da çalıştırılabilir. Birçok KOBİ, tek bir güçlü fiziksel sunucu üzerinde birden fazla rolü ayrı sanal makinelere bölerek hem esneklik hem de yedeklilik kazanır. Doğru tasarım, mevcut donanım ve iş yükünüze göre belirlenir.
Active Directory ile çalışma grubu (workgroup) arasındaki fark nedir? Çalışma grubunda her bilgisayar kendi kullanıcı hesaplarını ayrı tutar; yönetim dağınıktır. Active Directory ise tüm kullanıcı ve cihazları merkezi bir dizinde toplar, tek oturum açma, ortak parola politikaları ve Group Policy ile merkezi yönetim sağlar. Birkaç bilgisayardan fazlasına sahip işletmeler için AD genellikle daha verimli ve güvenlidir.
Tek bir domain controller yeterli mi? Çalışır, ancak risklidir. O sunucu arızalanırsa kullanıcılar oturum açamaz ve dizin hizmeti durur. Süreklilik önemliyse en az iki domain controller kurarak yedeklilik sağlamak önerilir; ayrıca düzenli sistem durumu (system state) yedeği alınmalıdır.
CAL lisansını almazsam ne olur? Sunucu hizmetlerine erişen her kullanıcı/cihaz için CAL almak lisans sözleşmesinin gereğidir; eksik CAL uyumsuzluk yaratır ve denetimde sorun çıkarabilir. Doğru CAL modeli (kullanıcı veya cihaz başına) ve güncel sayılar için yetkili bir iş ortağına danışmanızı öneririz.
Sunucu güvenlik sertleştirmesini sonradan yapabilir miyim? Yapılabilir, ancak kurulum aşamasında baştan uygulanması çok daha sağlıklıdır; sonradan sıkılaştırma, çalışan servisleri bozma riskini artırır. En iyisi, kurulumla birlikte güvenlik temel çizgisini uygulamak ve düzenli olarak gözden geçirmektir.
Kurumsal sunucu altyapınızı doğru ve güvenli kurmaya hazır mısınız? Windows Server kurulumu, Active Directory yapılandırması, lisanslama ve güvenlik sertleştirmesi için Giza Teknoloji ekibine ulaşın: WhatsApp 0532 599 51 12, telefon 0532 599 51 12 veya bilgi@gizateknoloji.com. Hemen bir değerlendirme için İletişim sayfamızdan bize yazın.