3.3.5. Active Directory'nin Kuruluşu
Active Directory kurulumu için dcpromo.exe kullanılır. Dcpromo.exe programı Active Directory Yükleme Sihirbazını çalıştırır. Aynı şekilde Active
Directory'nin kaldırılması için de dcpromo.exe programı kullanılır.
dcpromo.exe
Active Directory kuruluşu ile yeni bir forest oluşturulur. Root domain ve ilk domain kontrolör.
3.3.5.1. Active Directory Kuruluşu Ön Gereksinimleri
Active Directory kuruluşu için aşağıdaki ön gereksinimlerin yerine getirilmesi gerekir:
• Windows 2000 Server ya da Windows 2000 Advanced Server ya da Windows 2000 Datacenter Server işletim sisteminin kurulu olması.
• NTFS formatlı bir partititon ya da volüm.
• Directory için yaklaşık l GB yer.
• DNS kullanımı için TCP/IP protokolünün kurulu olması.
• SRV kaynak kayıtlarını destekleyen bir DNS sunucu ve DNS dinamik update protokolü.
• Doğru sistem zamanı ve zaman dilimi (time zone) seçimi.
Active Directory tasarımında düşünülecek şeylerin basında forest gelir. Active Directory forest'ının tasarımında DNS domain adları ve NETBIOS (bilgisayar adı
olarak bildiğimiz makine adları) adları tasarlanır.
Bunun dışında Active Directory tasarımında yapılacak diğer bir iş ise domain kontrolör bilgisayarların belirlenmesidir. Ağ üzerinde kurulan ilk Active
Directory'nin kurulmasıyla forest üzerindeki ilk domain kontrolör kurulmuş olur. Böylece root domain oluşur. Root domain forest konfîgürasyonunu ve şema bilgisini saklar.
Bu işlem adım-adım şu şekilde yapılır:
1. Yeni domain için bir domain kontrolör ya da mevcut bir domaine eklenecek diğer domain kontrolörler.
2. Yeni bir domain tree ya da child domain.
3. Yeni bir forest ya da mevcut forest'e katılım.
3.3.5.2. Active Directory Kuruluş İşlemi
Bütün bu işlemler Active Directory Yükleme Sihirbazı tarafından düzenlenir. Kuruluş sırasında şu işlemler yerine getirilir.
• TCP/IP kuruluşu ve konfigürasyonu kontrol edilir.
• DNS kuruluşu ve konfigürasyonu kontrol edilir.
• DNS adının NETBIOS adı üretilir.
• Administrator izini kontrol edilir.
Yeni bir root domain yaratmak için aşağıdaki bilgiler düzenlenir:
Sihirbaz içindeki veri Yapılacak İşlem
Domain Controller Type Domain Controller for a new domain seçilir.
Create Tree or Child Domains Create a new domain tree seçilir.
Create or Join Forest Create a new forest of domain trees seçilir.
New Domain Name Yeni domainin DNS adı.
Domain NetBIOS Name Eski versiyon Windows işletim sistemleri için domain için
NETBIOS adı.
Database and Loğ Locations Active Directory database ve log dosyalarının yeri. Varsayım
yeri systcmroot\NTDS dir. Daha iyi bir performans için database diğer bir diske
konabilir.
Shared System Volume Windows 2000 domain kontrolör bilgisayarları için paylaşılan bir sistem volümünün yeri.
Windows NT 4.0 RAS Servers Active Directory nesnelerinin remote access ile erişen Everyone kullanıcılarının read izini ile erişmesini sağlayan
seçenek.
Şekil : Yeni bir domain için yeni bir domain kontrolör seçimi
Mevcut domain’e yeni bir domain kontrolör eklemek için:
Sihirbaz içindeki veri
Yapılacak işlem
Domain Controller Type Additional domain Controller for an existing domain seçilir.
Network Credentials Yaratacak kullanıcının adı, parolası ve domain adı.
Additional Domain Controller Mevcut bir domainin DNS adı.
Database and Log Locations Active Directory database ve log dosyalarının yeri. Varsayım yeri
systemroot\NTDS’dir. Daha iyi bir performans için database diğer bir diske konabilir.
Shared System Volume Windows 2000 domain kontrolör bilgisayarları için paylaşılan
bir sistem volümünün yeri.
Var olan bir domain'e yeni bir domain kontrolör eklemek için yukarıdaki bilgiler düzenlendikten sonra bilgisayar domain kontrolör şekline çevirilir. Ardından
Active Directory bilgileri mevcut olan domain kontrolöre replike edilir. Bunun dışında Administrative Tools'a Active Directory konsolları eklenir.
Active Directory ile yüklenen programlar:
• Active Directory Users and Computers
• Active Directory Sites and Services
• Active Directory Domain and Trusts
Yeni bir child (alt) domain yaratmak için: Root domain yaratıldıktan sonra tree içinde diğer domainler yaratılabilir. Aynı tree içine eklenen yeni bir domain child domain olacaktır.
Örneğin sirket.com domain'ine teknik.sirket.com domain'inin eklenmesi gibi
Sihirbaz içindeki veri Yapılacak İşlem
Domain Controller Type Domain Controller for a new domain seçilir.
Create Tree or Child Domains Create a new child domain in an existing domain tree seçilir.
Network Credentials Yaratacak kullanıcının adı, parolası ve domain
adı.
Child Domain Installation Parent (üst) domain'inin DNS adı ve child domain'inin adı
belirtilir.
Domain NetBIOS Name Eski versiyon Windows islerim sistemleri için domain için NETBIOS
adı.
Database and Log Locations Active Directory database ve loğ dosyalarının yeri. Varsayım yeri
systemroot\NTDS’dir. Daha iyi bir performans için database diğer bir diske konabilir.
Shared System Volume Windows 2000 domain kontrolör bilgisayarları için paylaşılan
bir sistem volümünün yeri.
Windows NT 4.0 RAS Servers Active Directory nesnelcrinin remote access ile erisen Everyone
kullanıcılarının read izini ile erişmesini sağlayan seçenek.
Mevcut forest içinde yeni bir tree yaratmak için: Root domain kurulduktan sonra mevcut forest içinde yeni bir tree eklenebilir. Bu işlem yine Active Directory installation sihirbazı
tara-fından düzenlenir.
Sihirbaz içindeki veri Yapılacak işlem
Domain Controller Type Domain Controller for a new domain seçilir.
Create Tree or Child Domains Create a new domain tree seçilir.
Create or Join Forest Place this new domain tree in an existing forest seçilir.
Network Credentials Yaratacak kullanıcının adı, parolası ve domain adı.
New Domain Tree Yeni tree için DNS adı belirtilir.
Domain NetBIOS Name Eski versiyon Wndows işletim sistemleri için domain için NETBIOS
adı.
Database and Log Locations Active Directory database ve log dosyalarının yeri. Varsayım yeri
systemroot\NTDS’dir. Daha iyi bir performans için database diğer bir diske konabilir.
Shared System Volume Wındows 2000 domain kontrolör bilgisayarları için paylaşılan bir
sistem volümünün yeri.
Windows NT 4.0 RAS Servers Active Directory nesnelerinin remote access ile erişen Everyone
kullanıcılarının read izini ile erişmesini sağlayan seçenek.
Şekil : DNS Servisinin kurulması
3.3.5.3. Active Directory Kuruluşunun Ardından Oluşanlar
Bir Windows 2000 sunucunun Active Directory domain kontrolör olmasının ardından şu özellikler oluşur:
·
Directory database.
·
Paylaşılmış bir sistem volümü.
·
Varsayılan ilk site adı.
·
Global katalog Server.
·
Root domain.
·
Varsayılan konteynırlar
·
Varsayılan Domain Kontrolör Organizational Unit.
Active Directory database'i olan Ntds dosyası sistem root dizininde yaratılır. Bütün Windows 2000 domain kontrolör bilgisayarlarında
paylaşılmış sistem volümü (shared system volume) yaratılır. Bu volümün görevi grup policy'ler için scriptler saklamasıdır. Bunlarında yanı sıra ilk domain kontrolör bilgisayar yaratıldığında ilk site de otomatik olarak yaratılır.
Bu sitenin adı Default-First-Site-Name'dir. Ayrıca ilk domain kontrolör global katalog server olarak forest içinde hizmet verir. İlk domain kontrolör ile birlikte forest root domain'de yaratılmış olur.
Bunun dışında ilk domain yaratıldığında builtin ve computers olmak üzere iki konteynır otomatik olarak yaratılır. Builtin, Account Operators
ve Administrators gibi bir güvenlik grubudur. Computers konteyner'ı ise domain bilgisayarı nesnesinin varsayılan yeridir.
Domain kontrolör OU'su ise varsayım olarak ilk domain kontrolörü içerir. Ardından domain'e eklenen diğer domain kontrolör bilgisayarlar'ı içerir. Domain
kontrolörler için uygulanacak policy'ler bu OU içinde uygulanır.
3.3.6. Active Directory'nin Fiziksel Yapısı
Bir kullanıcının domain'e logon olması sırasında; o domain'in bir domain kontrolör (DC) bilgisayarı sayesinde kimlik denetimi (authentication) işlemi yapılarak
kullanıcının ağ kaynaklarına erişmesi sağlanır. Bu arada Windows 2000 ortamında Active Directory ve multi-master replication işlemi yapılarak domain içinde bulunan DC'Ier aralarında directory veritabanını replike eder. Böylece
bütün CD'ler uyumlu olarak logon isteklerine yanıt verebilirler.
Yukarıdaki işlemler belli sayıda bilgisayar arasında (küçük bir şirket için) yapılacaksa her şey normal olabilir. Ancak bu işlemler (logon isteği ve kimlik
denetimi) WAN olarak adlandırılan büyük ağlar içinde yapılırsa; örneğin İstanbul, Ankara ya da NewYork arasında yapılırsa; üstelik bir de düşük hızlı ya da güvenilmeyen dial-up bağlantı kullanılırsa, bu işlemlerin etkinliği
kaybolur. işte bu durumda Active Directory sistemi sitelerin (sites) kullanımı ile bu işlemlerin etkinliğin artırılmasını sağlar.
Site içindeki bilgisayarların yeri bulunduğu subnet tarafından belirlenir. Subnetler network gruplamasını kolaylaştırmak için geliştirilen ağ tanımlamalarıdır.
Örneğin posta kodları gibi. Bu arada subnet içindeki bilgisayarların birbirine daha iyi bağlandığı söylenebilir.
3.3.6.1. Siteler
Bir Active Directory sitesi bir ya da daha çok IP subnetten oluşur. Site, ağın hız ve trafik yüküne göre tasarlanır. Sistem yöneticisi her sitenin hız gereksinimine
göre ağ üzerindeki subnetleri site olarak tasarlar. Sitelerin yaratılmasındaki en büyük etken "logon authentication" işlemidir. Bir istemci bulunduğu site içindeki domain kontrolör tarafından daha hızlı biçimde onaylanır.
Site Üyeliği
Site üyeliği istemci bilgisayarın IP adresine göre değişen bir bilgidir. Bir domain kontrolör bilgisayarın sitesi ise Active Directory'inin kuruluşunda belirlenir.
Bununla birlikte domain kontrolör bilgisayarların site içindeki yerleşimi replikasyon topolojisini belirler. Bu düzenleme de client bilgisayarların logon authentication (kimlik denetimi), directory sorguları ve servis isteklerini
karşılar.
Default-First-Site-Name
Bir Windows 2000 ağında yaratılan ilk domain kontrolör üzerinde Active Directory Installation sihirbazı ile ilk sitenin fiziksel yapısı oluşturulur. Bu sitenin
varsayım adı Default-Fırst-Site-Name'dir. ilk site bütün IP subnetleri içerir. Ayrıca yeni eklenen domain kontrolör bilgisayarlar da bu siteye atanırlar.
3.3.6.2. Yeni Site Yaratmanın Yararları
Ayrı bir site yaratmanın yararları şunlardır:
• Ağ üzerindeki şistemci bilgisayarları gruplamak.
• Directory bilgisinin replikasyonunun (değişimim) optimize etmek.
• Konfîgürasyon bilgileri gibi kaynakların merkezileştirerek yönetim işlemlerinin kolaylaştırır.
Eğer ağ (domain) üzerindeki domain kontrolör bilgisayarlar kullanıcıların isteklerine yeteri kadar hızlı yanıt veremiyorsa o zaman ayrı bir site düzenlenebilir.
Örneğin merkezi İstanbul'da olan bir şirketin Ankara ve İzmir'de şubeleri vardır. Bu yerleşimler farklı şekillerde birbirine bağlıdır. Yavaş dial-up bağlantılar, hızlı sayısal bağlantılar gibi. Eğer şubede bir domain kontroller
yoksa o zaman şube ile herhangi bir replication işlemi yapılmayacak demektir. Client'lar herhangi bir ağ bağlantısını kullanarak merkeze bağlanabilirler.
Bu işlemler hızlı ve güvenilir ağ bağlantısının olduğu ortamlarda kabul edilebilir durumdadır. Ancak genellikle uzak ağ bağlantıları yavaştır. Bu durumda uzaktaki
ofislerde çok sayıda bilgisayar varsa orasının bir ya da daha çok domain kontrolör bilgisayara sahip bir site olarak tasarlanması gerekir.
Şekil : Siteler arası bağlantı
Ağları ayrı siteler olarak tasarlamanın diğer bir üstünlüğü de replikasyon işleminin site koşullarına göre tasarlanmasıdır. Sitelerin planlanmasında göz önünde
bulunduracağınız diğer bir konu da hangi domain kontrolör bilgisayarların logon işlemi için kullanılacağıdır. Logon işlemi sırasında bir istemci lokal site içinde bir domain kontrolör bilgisayarı arar. Bu işlemin etkin ve
güvenilir biçimde yapılabilmesi için ağ bağlanısı düşük maliyetli site link ile eşleştirilmelidir.
3.3.6.3. Replikasyon İşlemi
Domain kontrolör bilgisayarlar siteye eklendiğinde aralarında replikasyon işlemi için bir yol belirlenir. Active Directory sisteminde
replikasyon bileşenlerinin bir araya getirilmesi işlemine KKC (Knowledge Consistencey Checker) denir. KKC sistemi domain kontrolör bilgisayarlar arasındaki replication işlemini otomatik olarak konfigüre eder.
Server Nesnesi
Her domain kontrolörün yaratılmasında Active Directory Installation sihirbazı bir server nesnesi yaratır. Server nesnesi site içindeki domain kontrolörler
arasındaki replikasyon işlemim yönetmek için kullanılır.
Connection Nesnesi
Connection nesnesi iki sunucu arasındaki tek yönlü bir replikasyon işlemini belirtir. Domain kontrolör bilgisayarlar birbirlerine bir
connection nesnesi ile bağlıdır. Connection nesneleri KKC tarafından otomatik olarak ya da Administrator tarafından manuel olarak yaratılır.
NTDS Settings Nesnesi
NTDS Setttings nesnesi bir sunucu nesnesi için bütün connection nesnelerinin konteyneridir. NTDS Setttings nesnesi Active Directory
kurulduğunda otomatik olarak kurulur.
3.3.6.4. Site İçinde Replikasyon
Site içindeki ve siteler arasındaki domain kontroller arasındaki replikasyon işlemi connection nesnesi aracılığıyla yapılır. Bir domain kontrolör üzerindeki bir
nesne değiştiği zaman domain kontrolör kendi replikasyon partnerine değişikliği bildirir. Bu işlemin zaman aralığı varsayım olarak 5 dakikadır. Değişiklik mesajını alan domain kontrolör domain kontrolörden değişiklik bilgilerini
alır. Site içindeki replikasyon işleminin oluşmasına change notification işlemi denir.
Site içindeki normal replikasyon işleminin yanı sıra urgent replication olarak tanımlanan bir olağanüstü replikasyon işlemi vardır. Bu işlemler şunlardır:
• Account lockout policy değişiklikleri.
• Domain parola düzenlemeleri.
• Computer account üzerinde parola değişiklikleri.
• LSA (Local Security Authority) bilgisinde değişiklik.
Site içindeki replikasyon işleminde RPC (Remote Procedure Call over IP) protokolü kullanılır. RPC endüstri standardı bir protokoldür ve birçok ağ türüne
uygundur.
3.3.6.5. Siteler Arasında Replikasyon
Siteler arasındaki replikasyon işlemi ise; siteler arasındaki ağ bağlantısına bağlıdır. Siteler arasındaki replikasyon işlemi 5 dakikada bir oluşan change
notification işlemi ile olmaz. Siteler arasındaki replikasyon işleminin zamanı (schedule) ve aralığı (interval) ayarlanır. Bu arada "urgent replication" olarak adlandırılan olağanüstü replikasyon işlemi siteler arasında yapılmaz.
Siteler arası replikasyon işlemi için ise RPC över P (Remote Procedure Call over IP) ya da SMTP (Simple Mail Transfer Protocol) protokolü kullanılır. RPC endüstri
standardı bir protokoldür ve birçok ağ türüne uygundur. SMTP, farklı domainlerde bulunan domain kontrolörler arasındaki replikasyon içindir. Genellikle siteler arası replikasyon işleminde de Site RPC over IP (Remote Procedure
Call over IP) protokolü kullanılır.
3.3.6.6. Sitelerin Birbirine Bağlanması
Siteler arasında replikasyon işlemi kullanılan site linklerinin yanı sıra bir diğer özellik de site link bridge'dir. Etkin ve güvenilir bir replikasyon
tasarımı site link ve site link bridge'lerinin uygun biçimde konfigüre edilmesine bağlıdır.
Bir site link iki site arasındaki bir connection nesnesini belirtir. Bir site link konfigüre edildiğinde cost, 'interval ve schedule değerleri belirtilir.
Örneğin üç site arasında her yönde replication olması yerine yavaş ve hızlı bağlantılar üzerine (şekilde görüldüğü gibi) site linkler kurularak replikasyon işlemi etkin biçimde tasarlanmış olur.
Cost, interval ve Schedule Değerleri
• Cost değeri her bir bağlantının bant genişliğim belirtmek için kullanılır. Yüksek cost değeri yavaş bağlantıları gösterir. Cost değeri 1-32767 arasındadır. Varsayım değeri 100 dür.
• Interval değeri ise replikasyon işlemindeki frekansı (sıklığı) belirtir, Interval değeri 15 ile 10080 (bir hafta) dakika arasında bir değerdir. Varsayılan değeri ise 180 dakikadır.
• Schedule değeri ise site link yapılabileceği zamanı belirtir. Varsayım olarak replication her zaman yapılabilir. Ancak schedule ile replication işleminin günün yoğun olmayan
saatlerine alınması söz konusudur.
Site Link Bridges
Bir site link bridge ise bir dizi site linkini belirtir. Örneğin iki site linkini birbirine bağlayan bir site bridge'ı. İki site linkini birbirine bağlayan site
link bridge'ı iki bağlantının toplam (kümülatif) costuna sahiptir.