Başta Internet olmak üzere bilgisayarların ve servislerin yerleştirilmesi için kullanıcı tanımlı
adlar kullanılır. Böylece bir kullanıcı bir DNS adını girdiğinde DNS servisleri bu adı çözerek IP numarasını elde eder (Şekil 4.2). Örneğin sirket.com adı bir bilgisayarı, posta ya da bir Web sunucuyu belirtir. Ağ üzerinde
bilgisayarlar sayısal adreslerle (IP adresleri) iletişim kurarlar. DNS sistemi bu sayılar ile kullanıcı temelli domain adlar arasında ilişkiyi kurar.
Şekil : DNS işleyişi
DNS sistemi içinde domainler hiyerarşik olarak yer alır. Bu düzeylendirme işlemi noktadan başlayarak alt domainler yapılanır. Bu hiyerarşi adlandırma sistemini de düzenler: Mesela anadolu.sirket.com için:
şirket.com: üst domain
anadolu: alt domain
Windows 2000, DNS ile Active Directory'i birleştirmiş ve Active Directory Integrated Zone kavramı ortaya çıkmıştır. Active Directory Integrated Zone’larda, zone bilgisi Active Directory içinde bir nesne olarak saklanır ve domain replikasyon işleminin bir parçası olarak replike edilir.
Active Directory içindeki domainler ve içindeki OU (Organization Unit) gibi nesneler hiyerarşik olarak organize edilirler. Ağ içindeki her domain için tek bir DNS domain adı kullanılır. Böylece istemci bilgisayarlar logon isteklerinde domain kontrolör bilgisayarını kolayca bulabilirler.
Active Directory içinde yaratılan ilk domain başlangıç noktasıdır (root). Diğer domainler bu domainden yararlanarak yaratılır. Eğer domain Internet içinde (Internet’e açık olacaksa) yer alacaksa o zaman Internet üzerinde tek olması sağlanmalıdır. Bunu sağlamak için çeşitli kurumlar vardır.
Eğer şirket ağı çok sayıda domain olarak organize edilecekse o zaman ankara.sirket.com, istanbul.sirket.com seklinde domain adları yaratılmalıdır
Şekil : Hiyerarşik domain yapısı
Active Directory'i tanımlamak için önce bazı kavramları ve Active Directory bileşenlerini ele alalım.
Active Directory'nin kapsam alanı geniştir. Nesneleri (printer, dosya ya da kullanıcı), her sunucuyu ve bir geniş alan ağı (Wide Area Network) içerisindeki her domain'i içerebilir. Aynı zamanda, birleştirilmiş birkaç geniş alan ağını da içerebilir. Active Directory'nin kapsamı tek bilgisayarlı bir bilgisayar ağından çok sayıda bilgisayardan oluşan ağlara kadar genişletilebilir.
Active Directory bir directory servisi olduğu gibi aslında her şeyden önce bir namespace (ad a-lanı) ortamıdır. Örneğin; telefon directory'si de bir ad alanıdır. Ad alanı (namespace) verilen isimlerin çözümlenebileceği bir alandır. Ad çözümleme (name resolution), bir adı, adın simgelediği nesne ya da bilgiye çevirme işlemidir.
şirket.com-200.200.200.l
Object (nesne); sistem içindeki elemanlara verilmiş adlar ve özelliklerdir. (kullanıcı, yazıcıya da uygulama vb). Özellikler, directory object (dizin nesnesi) tarafından saptanmış konuyu belirleyen veriyi elinde tutar. Kullanıcının özellikleri, kullanıcının adını, soyadını ve e-mail adresini içerebilir.
Kullanıcı nesnesinin özellikleri:
Adı: Kadir
Soyadı: Tuztaş
E-mail adresi: ktuztas@sirket.com
Taşıyıcı olarak adlandırabileceğimiz konteynırlar (container) da nesne gibi Active Directory ortamının bir parçasıdır ve bazı özelliklere sahiptir. Bir konteynır, nesneleri ve konteynırları içerir.
Tree'leri ve domainleri içeriyor. Sadece mantıksal tasarım bakımından anlamı var. İlk domain yaratılarak forest'ın ilk domaini yaratılıyor. Ardından yaratılan diğer domainler forest'daki mevcut domainlere eklenir. Böylece hiyerarşik domainlerden oluşan bir forest çıkar. Forest içerisindeki bütün tree'ler aynı şema, konfigürasyon ve Global Kataloğu paylaşırlar ve her biri diğeriyle geçişli hiyerarşik güven ilişkisi aracılığıyla güven ilişkisi kurar.
Tree (ağaç) ise bitişik ad alanı paylaşan Windows 2000 domainlerinden oluşan bir hiyerarşik
düzenlemeyi ifade eder. Forest içindeki her tree kendi ad alanına sahiptir.
Aynı adı paylaşan tree üyeleri:
şirket
anadolu.sirket.com
bati.şirket.com
akdeniz.sirket.com
Ağaç (tree), nesne ve taşıyıcıların hiyerarşisini tanımlamak için kullanılmıştır. Tree üzerindeki son noktalar genellikle nesnelerdir. Tree'nin dallara ayrıldığı noktalar ise taşıyıcılardır. Tree, nesnelerin nasıl bağlandığını ve bir nesneden diğer bir nesneye izlenilen yolu gösterir. Ayrıca bilgisayar ağı ve domainler de birer container'dır.
Ağaç (tree) içinde alt ağaçlar (subtree) da bulunabilir. Bitişik ağaçlar, ağaç içerisinde kırılmamış yollardır ve bu yollar bir konteynerin üyelerini içerir.
Şekil : Ağaç yapısı
Varolan bir tree'ye yeni bir domain eklendiğinde yeni domain var olan (parent) domainin bir child domaini olur.
Active Directory içindeki nesnelerin bir adı vardır. Bir nesnenin iki değişik adı olabilir.
• Distinguished Name
• Relative Distinguished Name
Active Directory içerisindeki her nesne distinguished name (DN)'e sahiptir. Distinguished name, nesneleri elinde tutan domain'leri tanır ve nesnenin yolunu tam olarak gösterir.
/0=Internet/DC=COM/DC=Sirket/CN=Users/CN=Kadir Tuztaş
DN, sirket.com domain içindeki "Kadir Tuztaş" kullanıcı nesnesini tanımlar. Relative Distinguished Name (RDN) ise bir distinguished adın bir parçasıdır.
Domain, bir Windows NT ya da Windows 2000 bilgisayar ağının güvenlik ve yerel politikalar sınırıdır. Active Directory, bir ya da daha fazla domain'den oluşabilir. Her domain kendi güvenlik politikasına sahiptir ve diğer domainlerle güven ilişkisi içerisindedir. Birden fazla domain güven ilişkisi içerisinde bir birine bağlandığında ve bu domain'ler ortak şema, konfigürasyon ve global katalogu paylaştıklarında bir domain tree (domain ağacı) ortaya çıkar. Birden fazla domain tree ise birbirine forest içerisinde bağlanabilir.
Şekil : Domain gösterimi
Bir domain ağacı (domain tree) ortak şema, konfîgürasyon ve bitişik ad alanı (namespace) formunu paylaşan birkaç domain'in birleşmesinden oluşur. Tree içindeki domainler aynı zamanda güven ilişkisi ile de birbirine bağlanmıştır. Active Directory bu tree'lerden bir ya da daha fazlasının oluşturduğu bir gruptur.
Domainler ağ üzerindeki yönetimsel birimlerdir. Kendi politikalarına sahiptir. Ağ üzerindeki bir domainden diğerine erişmek için bir bağlantıya gereksinim duyulur. Bu bağlantıya güven (trust) denir.
Bir domain güveni; domainler arasında bir ilişkidir. Bu ilişki bir domain içindeki
kullanıcıların diğer bir domain içindeki domain kontroller tarafindan onaylanmasını (authentication) sağlar.
Windows 2000, Kerberos güvenlik protokolüne (Kerberos Security Protocol) dayanarak domain'ler arasında bir güven iliskisi kurar. Kerberos güveni, geçişli bir eylemdir ve hiyerarşiye dayanır. Eğer domain A domain B'ye güveniyorsa ve domain B de domain C'ye güveniyorsa, aynı şekilde domain A da domain C'ye güvenir.
Şekil : Domainler arasında geçişli güvenler
Windows 2000 ağı tasarlayanlar ve yönetenlerin en çok kullanacakları iki sözcük domain ve sitedir. Domainler ağ içindeki yönetim birimlerini ifade ederler. Siteler ise Active Directory'nin (ya da ağın) fiziksel tasarımı ile ilgilidir. Bu arada domain ile site arasında bir bağlantı olması da zorunlu değildir. Örneğin bir site içinde bir ya da daha çok domain olabilir ya da bir domain içinde siteler olabilir. Site ve domain tasarımı belki de Active Directory tasarımının en önemli konularından birisidir.
Siteler, Active Directory içeren ağ içerisindeki alanlardır. Site bir ya da daha fazla TCP/IP
bağlı subnet'leri olarak açıklanabilir. Burada bağlı ifadesi ile ağ bağlantısının çok güvenilir ve hızlı olması belirtilir. (Örneğin; LAN hızının 10 Mbs ya da daha fazla olduğu durumlar.). Siteyi subnetler dizisi olarak
tanımlamak, ağ topolojisinin ve Active Directory erişiminin ve replication isleminin daha kolay olarak tanımlanması anlamına gelir. Kullanıcı logon olduğunda Active Directory istemcisi aynı sitedeki diğer Active Directory
sunucularını daha kolay olarak bulur.
Daha önce de belirtildiği gibi site ve domain tasarımı birbiriyle direkt ilgili olaylar değildir. Site tasarımında coğrafîk ve ya da fiziksel koşullar ve replikasyon işlemi göz önünde bulundurulurken domain tasarımında yönetim esas alınır.
Şekil : Site ve domain bileşimi
Active Directory'nin mantıksal tasarımı ağ alt yapısına bakılmaksızın Active Directory bileşen-lerinin öncelikle yönetim amaçlı olarak tasarlanması anlamına gelir. Active Directory'inin bu mantıksal tasarımı ağ üzerindeki kullanıcıların ve kaynakların domainler olarak tasarlanmasıdır. Bu tasarımda su bileşenler yer alır:
• Domain
• Organizational Unit
• Tree
• Forest
Bir Active Directory mantıksal tasarımının temel bileşeni domain'dir. Domain, ortak directory veritabanını paylaşan bilgisayarlardan oluşur. Bununla birlikte domainler bir güvenlik ve yönetim sınırını da oluşturur. Her domain kendi yöneticisi tarafından yönetilir.
Domainler aynı zamanda bir replikasyon birimidirler. Domain içindeki bütün domain kontroller bilgisayarlar, kendi domainlerinin bütün veritabanının bir kopyasmı içerirler. Active Directory sistemi içinde muitimaster replication modeli kullanılır. Bu modelde bütün domain kontroller bilgisayarlar değişiklikleri diğer domain kontroller bilgisayarlara replike ederler.
Wîndows 2000 Server kurulduktan sonra dcpromo.exe ile Active Directory'ye terfi edildikten sonra Active Directory domain yaratılmış olur. Ancak ardından yaratılacak diğer domainler için bir planlama yapmak gerekir.
Bir Windows 2000 Domain Kontrolör (DC) sunucu kurulurken ilk domain yaratılır. Bu işlem için Active Directory kuruluş sihirbazındaki Domain Controller For A New Domain ve Create A New Domain Tree seçenekleri kullanılır. Ardından Create A New Forest Of Domain Trees seçeneği ile Active Directory domaini yaratılmış olur.
Active Directory kuruluşlarının Windows 2000 ve Windows NT ağları desteği içinde değişik modları vardır. Active Directory içinde iki tür domain modu vardır:
• Mixed mode
• Native mode
Active Directory kurulduktan sonra ilk başta (varsayım olarak) Mixed Modda çalışmaktadır. Mixed mod Windows 2000 ve Windows NT domain kontroller'ı destekler. Eğer ortamda Windows NT domain kontroller yoksa domain modunu native'e çevirmekte yarar vardır. Çünkü bazı Active Directory özellikleri sadece bu modda kullanılabilirler.
Belli bir büyüklükte olan organizasyonlar için tek domain yeterli olabilir. Belli ortaklıkları olan ve iç içe çalışan farklı firmalar olabilir. Büyük ve farklı yönetim politikalannın (bilgi işlem olarak) uygulandığı bölümler olabilir. Bu durumda çok domain yaratılabilir. Ancak bu aşamada yeni bir kavramı daha incelemek gerekir. O da OU (organizational unit) dür. OU'lar domain içinde yönetimi delege edilebilen konteynırlardır. OU'lar için kullanıcılar, gruplar, yazıcılar ve bilgisayarlar yaratılır.
Ancak bazı özel gereksinimleri karşılamak için ek domainler oluşturulabilir.
· Farklı (ayrı) domain politikaları oluşturmak
· Replication trafiğim düşürmek
· Daha sıkı bir yönetim (kontrol)
· Dağıtık yönetim.
· Ayırım (izolasyon)
Farklı (ayrı) domain politikaları oluşturmak domain düzeyinde oluşan politikalar her domain için farklı olabilir. Bir domain kontrolör üzerindeki bir nesne değiştiği zaman domain kontrolör kendi replikasyon partnerine değişikliği bildirir. Bu değişiklik konfigürasyon bilgileri ve şemanın global kataloğa bildirilmesi anlamına gelir. Bu nedenle replikasyon trafiğini kontrol altına alınır. Bunun dışında şirketin değişik bölümlerinin değişik uygulamaları, bütçesi vb özelliklerine göre bağımsız yönetim için ayrı domainlerin oluşturulması gerekir.
Windows 2000 ve Active Directory terminolojisinde sıkça kullanılan nesnelerden birisi de organizational unit'tir. OU olarak da anılır. Bir organizational unit, domain içindeki nesnelerin (kullanıcı adları, gruplar, bilgisayarlar, yazıcılar, vb.) organize edildiği bir konteynır (container) nesnesidir. Bir OU diğer bir domainden bir nesne içeremez. Bir şirket için kurulacak domain içinde OU'lar tasarlanırken departman (organizasyon şeması) ya da coğrafi olarak yerleşim göz önünde bulundurulabilir. Bununla birlikte ağ yönetimi bakımından da her bir yöneticinin sorumlu olduğu birim ya da işler için OU'lar yaratılabilir.
Bir domain çok sayıda nesne içerebilir. Büyük domainlerde milyonlarca nesne (kullanıcı, grup,
yazıcı vb.) olabilir. Bu nedenle tek bir domain yerine çok sayıda domain modelleri kullanılabilir. Çünkü çok sayıda nesneyi tek bir domain içinde yönetmek güvenlik bakımından sakıncalar yaratır.
Şekil : OU tasarımı
Ancak Windows 2000 ile gelen domain'lerde tek bir domain olmasına rağmen OU'ların organizasyonu ve delegasyon çok sayıda nesnenin belli bir güvenlik içinde yönetilmesini sağlar. Nesneler OU'lar içinde yer değiştirebilir. OU'lar birbirinin içine alınabilir (nesting) ve gerektiğinde yeni OU'lar yaratılabilir.
OU yaratırken göz önünde bulundurmanız gereken şeylerden birisi de inheritance'dir. OU'lar bağımsız olarak yönetilirler. Ancak OU içinde bir OU yaratırsanız, yeni OU bütün özelliklerini üst seviyeden alır. İşte bu işleme inheritance (miras) denir. Bu etkilenme yönetim amacına uygun olarak kullanılmalıdır. Örneğin merkezi politikalar yukarıdan aşağıya uygulanır.
OU içindeki nesneler üzerindeki yönetimsel kontrol bir başka kullanıcıya (yöneticiye) devredilebilir. Bu işleme delege etmek denir. Bir OU üzerindeki yönetimsel kontrolün delege edilmesi için OU ve içindeki nesneler için kullanıcılara ya da gruplara izinler verilir.
Bir domain ya da OU'nun yönetimini delege etmek için Active Directory Users And Computers konsolu içindeki Delegation Administration sihirbazı kullanılır
Yönetim işlemlerinin delegasyonu için üç yol izlenebilir:
• Belli bir OU üzerinde özellikleri değiştirmek için izinleri delege etmek.
• Belli bir OU üzerinde bir nesne yaratmak ve silmek için izinleri delege etmek. Örneğin kullanıcılar, gruplar ve yazıcılar gibi.
• Belli bir OU üzerinde bir nesne için özellikleri update etmek için izinleri delege etmek. Örneğin kullanıcıların parolasın değiştirmek gibi.
Yönetimin delege edilmesi belli bir kaynağın yönetiminin yerel bir yetkiliye verilmesi anlamına gelir. Delege edilen yönetimin belli bir kapsamı olabilir. Buradan yetkilerin mirası (inheritance) kavramı doğar. Bununla birlikte yönetimin delegasyonu domainin tamamı ya da belli bir kısmı için olabilir.
Domainler arasındaki iletişim güven ilişkileri ile sağlanır. Bu ilişkiler bir domain içindeki kullanıcıların diğer bir domain içindeki domain kontroller tarafından onaylanmasını (authentication) sağlar. Kimlik denetimi güven yönünde yapılır.
Bir kullanıcı diğer domaindeki bir kaynağa erişmeden önce güven ilişkisi kontrol edilir. İlişki içindeki domain güvenen (trusting) ve güvenilen (trusted) olarak belirlenir.
Domain güven ilişkileri şu şekilde sınıflanır:
• One-way (tek-yönlü)
• Two-way (çift-yönlü)
• Transitive (geçişli)
• Non-transitive (geçişsiz)
Active Directory domainleri arasında varsayım olarak iki-yönlü ve geçişli (transitive) güven ilişkileri vardır. Bu domainler herhangi bir Windows NT domaini ile ilişki için tek-yönlü ve geçişsiz (non-transitive) güven ilişkisi kullanır. İki yönlü ve geçişli güven ilişkisinin olduğu domainler arasında; bir domain içindeki kaynakların diğer domain içindeki kullanıcılar ve gruplar tarafından kullanılmaları için izin verilebilir.
One-way (tek yönlü) ilişkiler bir domainin diğerine güvendiği ilişkilerdir. Tek yönlü ilişkilerin tamamı non-transitive'dir. Bunu anlamı Domain A, Domain B'ye güveniyor, Domain B'de Domain C'ye güveniyorsa o zaman Domain A ile Domain C arasında bir ilişki yoktur.
Bir yönlü ilişkilerde kimlik denetimi güvenen domainden güvenilen domain'e geçirilir. Bir Windows 2000 domain'i tek-yönlü güven olarak şu ilişkileri kurar:
• Diğer bir forest'daki Windows 2000 domain
• Windows NT 4.0 domainleri
• MİT Kerberos V5 servisi
Bir forest içindeki bütün Windows 2000 domainleri birbirlerine transitive güvenle bağlandıkları için, aynı forest içindeki iki Windows 2000 domain arasında tek-yönlü bir güven ilişkisi kurmak mümkün değildir.
Windows 2000 forest'ı içindeki bütün domain güven ilişkileri iki-yönlüdür. Yeni bir child domain yaratıldığı zaman iki-yönlü ve transitive olan güven ilişkisi otomatik olarak yaratılır, iki yönlü güven içinde Domain A Domain B'ye, Domain B de Domain A'ya güvenir. Bunun anlamı authentication (kimlik denetimi) istekleri iki yönde de olabilir.
Windows 2000 forest içindeki bütün ilişkiler transitive (geçişli) dir. Geçişli ilişkiler iki yönlüdür. ilişki içindeki iki domainde bir birine güvenir. Bu durumda aralarında iki-yönlü geçişli ilişki olan domainler; A Domain'i B Domain'e güveniyorsa, B Domain'i de C Domain'ine güveniyorsa; bu durumda A Domain'i otomatik olarak C Domain'ine güvenir.
Yeni bir child domain yaratıldığında; parent ile child arasında iki-yönlü bir geçişli güven ilişkisi otomatik olarak yaratılır. Bunun dışında forest içinde yeni bir domain yaratıldığında bir iki-yönlü geçişli güven ilişkisi root domain ile yeni domain arasında yaratılır. Yeni eklenen domainler child domain ise tree içinde güven ilişkisi yukarı doğru oluşur. Böylece forest içinde bütün domainler diğer domainler tarafından onaylanır (authenticate) edilir.
Geçişsiz (non-transitive) güven ilişkisi varsayım olarak tek-yönlüdür. Aynı domainde yer alan Windows NT domainleri (Windows 2000 olmayan domainler) arasındaki güven ilişkiler geçişsizdir.
Non-transitive (geçişsiz) güven ilişkilerinin geçerli olduğu şekiller:
• Bir Windows 2000 domain ve bir Windows NT domain.
• Bir forest içindeki bir Windows 2000 domain ile diğer bir forest içindeki Windows 2000 domain.
• Bir Windows 2000 domain ve MIT Kerberos V5 arasında.
Windows 2000 kimlik denetiminde (authentication) işleminde iki protokolden birini kullanır:
· Kerberos V5
· NTLM
Kerberos V5 protokolü varsayım olarak kullanılır. Eğer bilgisayar Kerberos V5’i desteklemiyorsa o zaman NTLM protokolü kullanılır.
Kullanıcının diğer bir domaindeki bir kaynağa erişmesi için o domain’in domain kontroller’ı tarafından onaylanması (authentication) gerekir. BU işlem için de iki domain arasında güven ilişkisi gerekir. Windows 2000 domainlerinin bulunduğu forest içinde zaten bütün domainler birbirine otomatik olarak iki-yönlü ve geçişli olarak güvenirler.
Ancak sadece logon işlemi için bütün domainler arasındaki bu geçişleri kullanmak etkin olmayabilir. Bu nedenle cross-linkler geliştirilmiştir. Bir cross link kimlik denetimi (authentication) için iki domain arasındaki kısayoldur. Bu tür güvenlere açık güven (explicit trust) da denir. Domainler arasında çok sayıda cross-link oluşturulabilir.
Active Directory modelinde bütün domain kontroller (DC) bilgisayarlar directory database’inin yazılabilir bir kopyasını saklarlar. Active Directory multi master replication adı verilen bir replication işlemiyle yapılan değişiklikleri bütün domain kontroller bilgisayarlara ulaştırır.
Active Directory içindeki replication trafiği siteler sayesinde kontrol edilir. Siteler, bir ya da daha fazla subnetten oluşabilir. Active Directory içindeki bilgilere erişim için ise client bilgisayarlar query (sorgu) çekebilirler. Bu sorguları yanıtlamak için nesnelerin yeri ve özelliklerini tutan bir domain kontrolör bilgisayar vardır. Bu bilgisayara Global Katalog denir. Global katalog server'lar Active Directory nesneleri hakkındaki sorgulara yanıt vermek için tasarlanırlar. Global katalog, Active Directory içindeki nesnelerin belli özelliklerini tutan bir veritabanıdır. Varsayım olarak forest'ın ilk domain kurulurken ilk domain konrolör olan bilgisayar Global Katalogdur.
Windows 2000 ağı tasarımında, diğer bir deyişle Active Directory bileşenlerinin tasarımında mantıksal ve fiziksel tasarım birbirinden farklıdır. Mantıksal tasarım kayıtların (kullanıcıların, grupların, yazıcıların, paylaşımların, vb.) yönetimi ile ilgili düzenlemeleri içerirken, fiziksel tasarımda daha çok ağ (network) tasarımı ve ağ trafiği gibi ağ alt yapısı ile ilgili düzenlemeleri içerir.
Özellikle geniş bir alana yayılmış Active Directory bileşenlerinin bir birinden uzak olan domain kontrolör sunucular arasında rutin olarak replike edilmesi onların geniş alan ağlarında sorunlarla karşılaşması sonucunda mümkün olmayabilir, işte bu nedenle uzak yerleşimler birer site olarak tasarlanarak siteler arasındaki replikasyon işlemi istenildiği gibi (belli zamanlarda ve sıklıkta) düzenlenebilir.
Siteler ağın fiziksel yapısının oluştururlar. Bir site bir ya da daha çok IP subnetinden oluşur.
Sitelerin iki ana nedeni vardır:
• Replication trafiğinin optimize edilmesi.
• Kullanıcıların bir domain kontolör bilgisayara güvenli ve hızlı biçimde bağlanabilmesi.
Şekil : Domain ve Siteler
Eğer bir site çok sayıda subnetten oluşuyorsa; bu subnetler birbirlerine iyi bir şekilde bağlı olmalıdır. Ya da ağ olarak buna göre tasarlanmalıdır. Aksi takdirde directory replikasyon işlemi etkin bir şekilde gerçekleşmeyebilir.
Bir istemcinin bir domain kontroller'dan bir servis istemesi durumunda isteğini aynı site içindeki bir domain kontrolör'e (DC) bildirir. Replikasyon işlemi ise directory bilgilerinin site içindeki akışını sağlar. Directory şema ve konfigürasyon bilgileri domain tree ve forest içindeki bütün domain kontroller arasında dağıtılır. Bir site içindeki Active Directory replikasyon işlemi çok sayıda site arasında yapılan replikasyon işleminden çok daha etkindir.
Bir domain kontrolör bilgisayar (DC), Active Directory datasını saklar. Kullanıcıların logon işlemini, kimlik denetimini (authenticetion) ve directory arama işlemini yönetir. Her dönümde en az bir domain kontrolör bilgisayar vardır. Bir domain kontrolör olan bir Windows 2000 Server bilgisayar, directory bilgisinin yazılabilir kopyasını saklar. Bu işleme muiti-master replikasyon denir. Bu replikasyon işleminde herhangi bir domain kontrolör bilgisayarı master, diğeri yedek değildir (Windows NT de olduğu gibi). Bütün domain kontrolör bilgisayarlar güncellenebilir directory bilgisine sahiptir.
Bir domain kontrolör directory bilgilerinin değiştirilmesini yönetir ve bu değişiklikleri aynı domain içindeki diğer domain kontrolör bilgisayarlara replike eder.
Bir domain bir ya da daha çok domain kontrolör bilgisayara sahip olabilir. Küçük bir şirket için bir domain içinde bir ya da daha çok domain kontrolör bilgisayar olması yeterlidir. Daha büyük şirketlerde yönetim, performans ve hata giderme teknikleri bakımından çok sayıda domain ve domain kontrolör bilgisayara gereksinim duyulur.
Bir domain kontrolör (DC) olan bir Windows 2000 Server bilgisayar directory bilgisinin replikasını saklar. Bir domain kontrolör directory bilgilerinin değiştirilmesini yönetir ve bu değişiklikleri aynı domain içindeki diğer domain kontrolör bilgisayarlara replike eder.
Ağ trafiği ve diğer sorunlardan dolayı bazı değişikliklerin iki domain kontrolör arasında değişimi mümkün olmayabilir. Bu durumda global katalog ve operations master gibi özel rolleri olan domain kontrolör bilgisayarlar kullanılır.
Global Katalog sunucular Active Directory nesneleri hakkındaki sorgulara yanıt vermek için tasarlanırlar. Global katalog, Active Directory içindeki nesnelerin belli özelliklerini tutan bir veritabanıdır. Global katalog özellikle nesnelerin yerini tutar. Nesnelerin özellikleri varsayım olarak sorgulardan çok kullanılan bilgilerdir. Örneğin kullanıcın adı, logon adı gibi bilgiler.
Global katalog sunucu bir domain kontrolör bilgisayardır. Özellikle nesnelerin forest gene-linde
arama işlemine yardımcı olur. Global katalog iki önemli directory işlemini yerine getirir:
l. Kullanıcıların üniversal grup üyelik bilgisi ile ağa logon etmelerinin sağlar.
2. Kullanıcıların bilginin yerinden bağımsız olarak directory bilgisine eriğim yapması sağlanır.
Active Directory yaratılan ilk domain kontrolör bilgisayar global katalog sunucudur.. Eğer istenirse diğer domain kontrolör bilgisayarlar da global katalog yapılabilir. Bu işlem için Administrative Tools menüsünden Active Directory Sites and Services seçeneği seçilir. Ardından Sites açılır, Server seçilir ve NTDS Settings düzenlemeleri kullanılır. Bu işlem ile kimlik denetimi (authentication) ve query trafiği dengelenir.
Şekil : Global Katalog
Active Directory içinde global katalogun dışında diğer bazı özel rolleri olan domain kontrolörler vardır. Her Active Directory forest'ında beş operations master rolü vardır. Bu roller şunlardır:
• Şema master
• Domain adlandırma master
• RID (Relative Identifier) master
• PDC (Primary domain controller) emülatörü
• Infrastructure master
Şema master domain olan domain kontrolör şemadaki değişiklikleri kontrol eder. Bir forest'ın şemasını update etmek için şema master'a erişmek gerekir. Bir forest içinde bir anda sadece bir şema master olabilir.
Domain naming master ise forest'a katılan ya da forest'tan çıkarılan domainleri takip eder. Bir forest içinde bir anda sadece bir domain "naming master" olabilir.
RID master ise her domain kontrolöre bir RID numarası verir. RID numarası, domain kontrolör bilgisayarın yarattığı nesnelere verdiği SID numarasına eklenir. Bir forest içinde bir anda sadece bir RID master olabilir.
PDC emülatörü ise bir Windows NT- PDC gibi çalışan bir domain kontrolördür. Bu kontrolörün görevi Active Directory yüklü olmayan istemcilere ve Windows NT (BDC) sunuculara directory değişikliklerini replike etmektir. Bir forest içinde bir anda sadece bir PDC emülator master olabilir.
Native modda çalışan bir Windows 2000 ağı için ise PDC emülatörü parola değisikliklerinde replikasyon ve kimlik denetimi için kullanılır.
Infrastructure master ise grup üyeliği değistiğinde group-user bilgilerini günceller. Grup değişikliği her domain içindeki infrastructure master tarafından yapılır ve multi-master replication içinde diğer domainlere dağıtılır. Bir forest içinde bir anda sadece bir infrastructure master olabilir.