Last updated on 26 Şubat 2019
Active Directory Sites and Services
Active Directory Sites and Services aracını kullanarak AD Sitelarında, dolaylı olarak bir takım işlemleri kontrol etmemizi sağlar. Hangi DC’mizin neredeki DC ile replike olacağı, replike trafiğinin ne şekilde olacağını kontrol edebiliriz. AD Sites içerisinde, TCP/IP alt ağları(subnet) kullanılır. TCP/IP subnetleri temelinde DC’ler için coğrafi konumlarına göre tanımlamalara izin verir. Bir çok alanda TCP/IP subnet ağına sahip olabiliriz. Subnetler, o alandaki ana bilgisayarın birbiriyle yüksel bant genişliği bağlantısı olan bir alan ile bir araya getirilmelidir. Genellikle bu aynı bina içerisinde çalışmak gibi anlamına gelir.
Örneğin; kuruluşumuzun Ankara merkez ofisi ve İstanbul’da bir şubesi olduğunu düşünebiliriz. Bu yapıya göre iki site alanı kurulabilir. Bir site Ankara diğeri İstanbul’dur. Ankara konumundaki bilgisayarların, Ankara’da bulunan kaynaklarla olabildiğince iletişimde bulunması ve İstanbul’da ki bilgisayarların da İstanbulda’ki kaynaklarla mümkün olduğunca iletişimde olduğunu garantiler.
Merkez ofisteki TCP/IP subnetleri Ankara bölgesi ve şubedeki TCP/IP subnetleri İstanbul bölgesi ile birlikte iletişime geçer.
İlk etki alanı denetleyicisini kurduğumuzda site varsayılan adı Default-First-Site-Name’dır. Bu ismi subnet eklemeden önce uygun bir şekilde değiştirmeliyiz. Bir subnet eklediğimizde ilişkili siteyi belirtmeniz gerekir, bu nedenle siteleri önce ekleyip ve sitelerinizin varlığından sonra alt ağlar eklenir.
Yeni bir Active Directory Sitesi eklemek için, Active Directory Sites and Services konsolundaki Siteler bölümüne sağ tıklayıp ve Yeni Site seçilir. Site adını belirleyin ve bir site bağlantısı nesnesi seçin ve seçin. Bir site bağlantısı nesnesi iki site arasındaki bağlantıyı temsil eder. Varsayılan site bağlantısı nesnesinin adı DEFAULTIPSITELINK. Site bağlantısı nesnesini daha sonra değiştirebilirsiniz.
Subnet eklemek için, AD Sites and Services üzerinden, subnets seçeneğine sağ tıklanıp, New Subnet butonuna basılır. Yeni eklenecek subnet bu alana girilerek, hangi site ile ilişkililendirileceği belirtilir.
DC’ler, kurulduklarında belirtilen sitelar ile otomatik olarak ilişkilendirilir. DC’ler ayrı konumlara dağıtmadan önce site ve subnetlere ayrılmadıysa, AD sites ve Services içinde ilgili site’a taşınmalıdır. Bu işlemi gerçekleştirmek için. Sites and Services üzerinden ilgili domain controllera sağ tıklayıp, taşı komutuyla belirtilen ilgili site seçilir.
Site Linkleri
Siteler arasındaki ilişkiyi sağlamak için site linkleri kullanılmaktadır.
AD veritabanı mantıksal olarak üç bölümden oluşur.
1- Schema: AD’nin şemasını içerir. Şema, AD veritabanında hangi nesnelerin bulunabileceğini, nesnelerin hangi özelliklerinin olduğunu tanımlar.
2- Configuration: AD’nin yapılandırmasına ilişkin bilgileri içerir. Domain içerisindeki site’lar, Forest çapında olan uygulama ve hizmetleri tutar.
3- Domain: Forest içindeki tek bir etki alanında bulunan nesnelere ilişkin bilgileri içerir. Kullanıcılar, bilgisayarlar vb.)
İki türlü site linki vardır.
1- IP Link (RPC over IP Link) : AD veri tabanının üç bölümünü de çoğaltılır. Siteler arasında hızlı ve güvenilir bir bağlantı gerektirir.
2- SMTP Link (SMTP over link): AD veri tabanının iki bölümünü (schema ve configuration) çoğaltılabilir. Yavaş ve güvenilir olmayan hatlarda iyi çalışır.
RPC, Remote Procedure Call sözcüklerinin kısaltmasıdır. Sun firmasının geliştirdiği bir mekanizma. Windows’da bir çok işlem RPC’ye uygun olarak yapılır. Örneğin, paylaşımlara erişim, outlook’un Exchange Server’a erişimi hep RPC üzerinden gerçekleşir.
SMTP ise Simple Mail Transfer Protocol sözcüklerinin kısaltmasıdır. Internet’te e-posta alışverişi için kullanılan bir protkol. Asıl amacı e-posta alışverişidir ama bu kısımda gördüğümüz gibi çok çeşitli işlemler için de kullanılabilir.
İki site arasında birden fazla site linki bulunabilir. İki site arasında birden fazla link olduğunda kullanılacak linke karar verirken linklerin cost değerine bakılır. Cost düşük olan link kullanılır. Değeri düşük olan link kullanılabilir durumda değilse değeri yüksek olan link kullanılır.
Active Directory Domains and Trusts
Active Directory Domains and Trusts konsolu; yönetim ve konfigürasyon ilişkileri için kullanılır. Konsolun birincil kullanımı, güven ilişkisi oluşturmak için kullanılır. Güven ilişkisi tanımlarken DC’lerin DNS sunucusu aracılığıyla bulabilmeleri gerekir. Bunun en kolay yolu, her iki etki alanındaki makinaların aynı DNS sunucuyu kullanmalarıdır. Başka bir yöntem etki alanların DNS sunucularıni etki alanlarına ilişkin bilgiyi ikincil DNS bölgesi olarak karşı DNS sunucuya göndermelidir. Üçüncü seçenek, DC’lerin tercih edilen DNS sunucu olarak kendi etki alanlarındaki DNS sunucusunu, alternatif DNS sunucu olarak karşı etki alanının DNS sunucusunu tanımlamaları olabilir. Dördüncü yolsa, DNS sunucuların koşullu yönlendirme (conditional forwarding) yapmaları ve ilgili etki alanı için ilgili DNS sunucuya gitmeleri sağlanmasıdır. En çok tercih edilen yöntem budur.
İki tip güven ilişkisi sağlanabilmektedir.
- External Trust : Non-transitive’dir. Yani sadece belirtilen domain ile güven ilişkisi sağlar.
- Forest Trust : Transitive’dir. Tüm forestta güven ilişkisi sağlanır. Foresttaki herkes birbirine güvenir.
Güven yönü ise 3 çeşitten oluşmaktadır.
- Two-way: Her iki etki alanının birbirine güvenmesi sağlanır. Çift yönlü, karşılıklı.
- One-way: incoming: A’dan B’ye gerçekleşen güven yönüdür. Bu şekilde gerçekleşen yapıda B lokasyonundaki DC A’dan gelen her şeye güvenür. A’daki kullanıcılara dahi yetki verilebilecek şekilde yapılandırılır.
- One-way: outgoing: B etki alanı için gelen güven ilişkisi (incoming trust) olarak tanımlanır.
Güven ilişkisi yapılandırılırken, seçimli kimlik doğrulaması yapılandırmak isteyip, istemediğimizi belirleyebiliriz. Varsayılan olarak, güven, kaynak ve ya hedef ortamdaki ve ya etki alanındaki tüm kullanıcılar için geçerlidir. Seçici kimlik doğrulaması yapılandırdığnızda hangi güvenlik sorumlularına erişimine izin verileceğini ve hangi kaynaklara erişebileceklerini sınırlayabiliriz. Bunu, güvenen etki alanındaki veya ortamdaki her bir kaynak bilgisayardaki kimlik doğrulamak yetkisiyle yapılandırarak gerçekleştirebiliriz.
AD yönetim makele serimizin devamında görüşmek üzere,