Active Directory servisi Windows 2000 Server ile hayatımıza girdi ve o günden beri network sistemlerimizin en önemli parçalarından birisi haline gelmiştir.
Active Directory servisi kendi içerisinde de ikiye ayrılmakdatır ve bütün nesneleri ve organizasyonumuzun gereksinimlerini bu yapılar içinde saklar. Bunlar;
1)Mantıksal Yapı
2)Fiziksel Yapı
Active Directory kullanıcı hesapları, bilgisayar hesapları ve network üzerinde bulunan diğer bütün kaynaklar hakkında bilgileri tutar ve bu kaynaklara erişimi ve kullanımı sağlar. Ayrıca bu kaynaklar hakkında isim bilgisi, lokasyon bilgisi, tanımlama bilgisi, yönetim bilgisi ve güvenlikleri hakkında da bilgiler tutar.
Active Directory fonksiyonlarına bakarsak eğer karşımıza aşağıdaki değerler çıkmaktadır;
Network kaynaklarının merkezi kontrolü : Active Directory sayesinde sunucularımızı, paylaşılmış dosya ve klasörlerimizi, yazıcılarımızı ve diğer network kaynaklarımızı dizin içinde merkezi olarak yetkilendirilmiş kullanıcıların erişimine olanak tanırız.
Kaynak yönetiminin merkezi ve dağıtık yapılması : Sistem yöneticileri dağınık bir yapıda bulunan bilgisayarları, sunucuları, yazıcıları, network servislerini ve uygulamaları var olan yapı dahilinde merkezi bir yerden yönetebilirler. Ayrıca delegasyon yöntemini kullanarak bazı yetkilerini diğer kişilere aktarabilirler.
Nesneleri mantıksal yapısı içerisinde güvenli bir şekilde saklar : Active Directory bütün nesneleri güvenli ve hiyerarşik olarak mantıksal yapısı içerisinde saklar.
Network trafiğini optimum kullandırır : Active Directory’nin fiziksel yapısı network bant genişliğini en verimli şekilde kullanmayı sağlar.
Mantıksal Yapı
Active Directory hiyerarşik olarak mantıksal yapısı içerisinde nesneleri güvenli bir şekilde saklar. Bu hiyerarşik yapıda neler var onlara bir bakalım;
Nesneler (Objects) : Mantıksal yapının en basit bileşenleridir. Kullanıcı hesabı, bilgisayar hesabı, bir yazıcı tanımlaması vs nesnelere örnektir.
Yapısal Birimler (Organizational Units) : Yönetimsel amaçlarımıza göre daha doğrusu yönetimi biraz daha kolaylaştırmak adın kullanabileceğimiz bir yapıdır. Dolayısı ile nesnelerimizi kategorilere, bölümlere vs ayırıp yönetim işimizi daha da kolaylaştırabiliriz. Delegasyon yöntemini de bu yapı üzerinde uygulayıp bazı yetkilerimizi balşa kişilere aktarabiliriz. Yapısal birimler diğer yapısal birimlerle birleştirilebilir ya da iç içe olabilirler.
Etki alanı (Domain) : Active Directory’nin temel fonksiyonlarını getirebildiği yapıdır. Yönetimsel olarak bütün nesneler bu yapıda yer alır ve paylaştırılmış bir veritabanını, güvenlik ilkelerini ve diğer domainlerle güven ilişkilerini sağlarlar. 3 farklı fonksiyonu vardır;
Nesneler için yönetim sınırını belirler
Paylaştırılmış kaynaklar için güvenlik tanımlamaları
Nesnelerin replikasyonunun bir parçasıdır
Etki alanı ağaçları (Domain Trees) : En az iki ve ya daha fazla etki alanının birleşmesinden oluşan bir yapıdır. Mesela ikinci bir etki alanı root etki alanına eklenirse bu çocuk (Child) etki alanı olur. Çocuk etki alanının bağlı olduğu yapıya yani Root etki alanına ise Ana Etki alanı (Parent Domain) denir.
Çocuk etki alanının adı ana etki alanının devamı şeklindedir. Örnek vermek gerekirse balkanbilisim.com ana etki alanımız olsun ve çocuk etki alanımız ise bursa.balkanbilisim.com şeklinde olacaktır.
Ormanlar (Forests) : Active Directory’nin tüm yapısını içerir. Bir veya birden fazla etki alanı ağacını içerir. Orman içindeki ilk etki alanı Root Domain olarak kabul edilir. Bu da örnek ile açıklanmak gerekirse balkanbilisim.com bizim root domainimizdir, bursa.balkanbilisim.com ise çocuk domainimizdir.
Fiziksel Yapı
Bileşenlerine kısaca göz atmak gerekirse eğer;
Etki Alanı Denetleyicileri (Domain Controllers) : Windows Server 2003 veya Windows 2000 Server ürün ailelerinden birisinin üzerinde kurulu olduğu ve Active Directory servisinin kurulmuş olduğu sunucular Etki Alanı Denetleyicileri olarak adlandırılır. Her etki alanı denetleyicisi depolama ve replikasyon yapılarını düzenler ve gerçekleştirir. Bir etki alanı denetleyicisi sadece bir etki alanına hizmet verebilir. Eğer sistemin sürekliliğinden emin olmak istiyorsak birden fazla etki alanı denetleyicisi kurulmalıdır.
Active Directory Sites : Biribirine iyi bağlantılarla bağlanmış olan bilgisayar kümelerinden oluşur. Site kullanmamızın amacı değişik lokasyonlarda konuşlandırdığımız etki alanı denetleyicilerinin aralarındaki bant genişliğini en iyi şekilde kullanmalarını sağlamaktır. Ayrıca farklı etki alanı denetleyicileri üzerindeki değişiklikleri de günceller eşitleriz.
WAN Link : Siteler arasındaki bağlantıyı sağlar.
Active Directory Bölümleri
Her etki alanı denetleyicisi üzerinde oluşturulan bölümler vardır. Bunlar aşağıdaki gibidir;
Domain Bölümü (Domain Partition) : Etki alanında bulunan bütün nesnelerin bir kopyasını üzerinde saklar. Bu bölüm sadece aynı domain içinde bulunan diğer bir etki alanı denetleyicisi ile eşitlenir.
Konfigürasyon Bölümü (Configuration Partition) : Orman topolojisi bu kısımdadır. Topoloji ise, orman (Forest) içerisindeki bütün etki alanı denetleyicileri ve onların kendi aralarındaki bağlantılarını barındırır.
Şema Bölümü (Schema Partiton) : Orman (Forest-Wide) şemayı içerir. Her orman her nesnenin sınıfını belirleyen bir şemaya sahiptir. Konfigürasyon ve şema bölümler orman içinde bulunan bütün etki alanı denetleyicileri ile eşitlenir.
Uygulama Bölümü (Application Partition) : Güvenlikle ilgili olmayan ve bazı uygulamalar tarafında kullanılan nesneleri içerir. Bu bölüm özel etki alanı denetleyicileri ile eşitlenir.
Operations Masters
Eğer etki alanı içerisinde herhangi bir değişiklik olduğunda bu değişiklik etki alanı içerisinde bulunan bütün etki alanı denetleyicileri ile eşitlenir. Bazı değişiklikler ise daha önce de bahsettiğimiz gibi mesela şema üzerinde yapılan değişikler ise orman içerisinde bulunan bütün etki alanları ile eşitlenir. Bu eşitleme sistemine Multimaster Replication denir.
Multimaster eşitleme süresinde çakışmalar olabilir. Bunun sebebi ise aynı nesne üzerinde darklı etki alanları üzerinde değişikliklerin yapılması ile mümkün olur. Çakışmaları önlemek için Single Master Replication kullanılabilir. Bu işlemi de tek bir etki alanı denetleyicisini tanımlamakla mümkün olur.
Operations Masters rolleri uygun bir sırada ve birlikte çalışabilecek yapıda orman ya da etki alanı içinde yer alırlar. Active Directory üzerinde 5 farklı rol vardır. Bunlar;
Şekilde de görüldüğü gibi Orman genelinde geçerli olan roller ve Etki alanı genelinde geçerli olan roller vardır.
Orman genelinde olanlar : Schema Master, Domain Naming Master
Etki alanı genelinde olanlar : Relative Identifier (RID), PDC Emulator, Infrastructure Master
Kısaca bu rolleri incelemek gerekirse;
Schema Master : Şema ile ilgili bütün güncellemeleri kontrol eder. Schema Master rolü Active Directory üzerinde oluşturulacak olan bütün nesnelerin sınıf ve nitelikleri ile ilgili listeleri üzerinde barındırır.
Domain Naming Master : Orman içerisinde yeni eklenecek olan ya da kaldırılacak olan etki alanlarının kontrolünü yapar. Bir nevi ormanın bekçisi gibidir ve kesilen ya da ekilen ağaçları kontrol eder ve gereken izni verir. Eğer bir etki alanı eklenmek istenirse devreye girer ve işlevini yerine getirir.
Primary Domain Controller Emulator (PDC Emulator) : Mixed Mode etki alanı ortamında Windows NT gibi hareket eder. İlk kurulan etki alanı denetleyicisi PDC Emulator görevini alır.
Relative Identifier (RID) Master : Yeni bir nesne oluşturulduğu zaman devreye girer ve Security Identifier (SID) atamalarında görev alır.
Infrastructure Master : Nesnelerin bir etki alanından diğerine taşınması esnasında göre alır ve nesnenin eski ve yeni etki alanındaki yerini belirler. Kısacası etki alanlarındaki nesne taşımalarını takip eder.
Active Directory hakkında kısaca temel bilgileri aldıktan sonra artık Active Directory servisimizi kurmaya başlayabiliriz.
Active Directory servisini kurabilmemiz için bazı sistem gereksinimlerimiz olacaktır.
Bu sistem gereksinimlerimiz ise aşağıdaki gibidir;
Windows Server 2003 veya Windows 2000 Server ailesinden birisi kurulu olan bir bilgisayar olmalı
NTFS olarak formatlanmış en az 250 MB boş disk alanı olmalı
Etki alanını oluşturabilmek için yönetimsel yetkiye sahip olmalı
TCP/IP bileşenleri yüklü olmalı ve statik bir IP adresi girilmiş olmalı
DNS bilgileri tanımlanmış olmalı
Evet yukarıdaki gereksinimleri karşılıyorsak eğer dizinimizin kurulumuna başlayabiliriz.
Active Directory kurulum işlemi aşağıdaki yapıları oluşturur;
Güvenlik protokolünü başlatır ve güvenlik ilkelerini tanımlar
Active Directory bölümlerini, veritabanlarını ve log dosyalarını oluşturur
Ormanın root etki alanını oluşturur
SYSVOL klasörünü oluşturur
Etki alanı denetleyicisinin site üyeliğini tanımlar
Dizin üzerindeki ve eşitleme yapısındaki güvenlik değerleri tanımlar
Yedekten geri dönüşün güvenli olması için şifre tanımlamasını sağlar
Kuruluma başlayabiliriz.
Active Directory kurulum sihirbazını çalıştırmak için Start’a “dcpromo” komutunu yazıyoruz ve OK diyoruz.
Dcpromo komutunu verdikten sonra karşımıza yukarıdaki karşılama penceresi karşımıza gelmektedir. Bu kısımda Next ile devam ediyoruz.
Next ile devam ettiğimizde bir sonraki adımda karşımıza işletim sistemi ile ilgili uyumluluk penceresi gelmektedir. Bu kısımda kurmakta olduğumuz Windows Server 2003 yapısının uyumlu olarak çalışamayacağını işletim sistemleri hakkında bilgi verilmektedir. Dolayısı ile Windows 95 ve Windows NT 4.0 SP3 veya daha öncesi çıkan işletim sistemleri bizim Windows Server 2003 yapımızla uyumlu değildir ve 2003 etki alanı dahilinde oturum açamayacaklardır. Next ile devam edelim.
Bu kısımda etki alanı denetleyicimizin tipini belirliyoruz. İki adet etki alanı denetleyicisi vardır. Bunlar ;
1)Domain controller for a new domain : İlk defa kurulmakta olan bir yapı için tercih edilir. Kısacası bizim Root etki alanı denetleyicisi olacaktır. Ve ilk kurulan bu etki alanı denetleyicisi olduğu için bütün Operations Masters rolleri bu sunucu üzerinde olacaktır.
2)Additional domain controller for an existing domain : Bu yapı ise daha önceden kurulmuş olan bir etki alanı denetleyicisinin bir kopyası olacak şekilde çalışacaktır. Amaç ise sürekliliği sağlamaktır.
Biz birinci olan şıkkı tercih edeceğiz. Çünkü yeni bir yapı oluşturmaktayız. Seçimimizi yaptıktan sonra Next ile devam ediyoruz.
Bu adımda ise etki alanımızın oluşturulması ile ilgili değerimizi tanımlamamız isteniyor. Burada da karşımıza 3 farklı seçenek gelmektedir. Bunlar ;
1)Domain in a new forest : Yeni bir orman içinde etki alanı oluşturulması ki biz bunu yapmaktayız şuan ve seçimimiz bu olacaktır.
2)Child domain in an existing domain tree : Bu yapı ise var olan bir etki alanı ağacına bir çocuk etki alanı ekleme işlemidir. Örnek vermek gerekirse ormana ektiğimiz ağac bir dal daha vermektedir yani büyümektedir.
3)Domain tree in an existing tree : Bu kısımda ise ormanımıza yep yeni bir ağaç dikiyoruz. Ormanımız genişliyor.
Evet “Domain in a new forest” seçimizi yaparak Next ile devam ediyoruz.
Bu sefer karşımıza etki alanımızın adının tanımlanması ile ilgili kısım gelmektedir. Burada dikkat edilmesi gereken nokta iç ağınızdaki ve dış dünyadaki etki alanı adınızın aynı olmamasıdır. Yani etki alanınız dış dünyada “mumin.com.tr” olarak biliniyorsa iç ağınızda “mumin.local” olarak tanımlanması Microsoft tarafından güvenlik için önerilmektedir. Biz bu kısımda ona çok bağlı kalmıyoruz ve alan adımızı tanımlayıp Next ile devam ediyoruz.
Karşımıza gelen pencerede NetBIOS yani Netowk Basic Input Output System isminin tanımlanması istenmektedir. Bu kısım bizim kullanıcılarımızın Ağ bağlantılarında görecekleri kısımdır. Yani windows ağları altına girdikleri zaman bu ismi görecekler ve erişmek istedikleri kaynakları bunun altında bulacaklar. Burası değiştirilebilir ben sabit bırakıyorum ve Next ile devam ediyoruz.
Bir sonraki adımda karşımıza veritabanlarının ve log dosyalarının nerede oluşturulacağı ile ilgili bilgiler sorulmaktadır. Standart olarak veritabanları ve log dosyaları C:WindowsNTDS klasörünün altında oluşturulur. Ancak bu burada sabit kalacaktır diye bir kural yoktur ve lokasyonları değiştirilebilir. Bu işlemi de Browse ile istediğimiz yerde gerçekleştirebiliriz. Ancak ben standart yerlerinde bırakılmalarından yanayım. İleride bir sorun teşkil ederse taşınmasından yanayım. Next ile devam.
Bu kısımda ise yukarıdaki şekilde de görüldüğü gibi paylaşılmış olan SYSVOL klasörünün oluşturulacağı lokasyon görülmektedir. İstersek yerini Browse ile değiştirebiliriz tamamen bizim elimizde olan bir durumdur. Ancak ben yine kendi lokasyonunda kalması taraftarıyım ve Next ile bir sonraki adımımıza geçiyoruz.
Yukarıdaki şekilde de görüldüğü gibi servis DNS ile ilgili sorgulamasını gerçekleştirmiştir ve DNS servisini bulamadığını bir mesaj ile bizim karşımıza getirmiştir. Bu sorunu çözmek için de karşımıza 3 adet seçim getirmiştir. Biz DNS servisinin otomatik olarak sistem tarafında kurulmasını ve kullanıma hazır hale getirilmesini seçiyoruz ve Next ile devam ediyoruz.
NOT: DNS ve Active Directory ayrılmaz bir ikilidir. Karı koca gibidirler. Biri olmadan diğer olmaz.
Gerekli izinlemelerin tanımlamasını yapıyoruz ve Next ile bir sonraki aşamaya geçiyoruz.
Bu kısım çok önemlidir. Bu kısımda yedeğini almış olduğumuz Active Directory servisinin geri yüklenmesi esnasında bizlerden bu şifre istenecektir. Benim tavsiyem buraya vereceğiniz şifre ya hiç unutmayacağınız bir şifre olsun ya da boş bırakın. En mantıklısı boş bırakmak olsa gerek. Şifremizi de tanımladıktan sonra kurulumumuza devam edebiliriz.
Kurmakta olduğumuz yapı hakkında özet bilgiler yukarıdaki şekilde de görüldüğü gibi bize sunulmaktadır. Next diyerek asıl kuruluma başlayabiliriz artık.
Active Directory servisimiz şekildeki gibi kurulumuna başlamıştır. Belirli bir süre iptal etme şansımız vardır ancak daha sonra Cancel butonu da kaybolacaktır ve iptal etme şansımız kalmayacaktır.
DNS server kurulumu yapılmaktadır.
Kurulumumuz başarılı bir şekilde tamamlanmıştır. Finish’e tıklıyoruz ve sihirbazı sonlandırıyoruz.
Restart Now tıklıyoruz ve sunucumuzu yeniden başlatıyoruz.
Kurulum tamamlandı ve sunucumuzu yeniden başlattık. Şimdi de kontrol işlemlerimizi gerçekleştirelim. İlk olarak Administrative Tools altındaki Active Directory ile ilgili kısa yolların hepsinin geldiğini görmekteyiz.
Active Directory Users and Computer
Active Directory Sites and Services
Active Directory Domains and Trusts
SYSVOL klasörünün de paylaştırılmış olarak karşımıza çıkması gerekiyordur. Ağ üzerinden sunucumuza ulaştığımızda görüyoruz ki ilgili klasörler oluşmuş durumdadır.
Şimdi de sistemimizde oturum açabilmeleri için bir kaç tane kullanıcı hesabı oluşturalım. Bu işlemi yapabilmek için Active Directory Users and Computers snapinini kullanacağız.
Şekilde de görüldüğü gibi öncelikle bir yapısal birim (Organizational Unit) oluşturduk ve ardından da içerisinde birkaç tane kullanıcı hesabı açtık.
Active Directory servisimiz başarılı bir şekilde kuruldu ve kullanıma hazırdır. Gördüğümüz gibi yapı içerisinde nesnelerimizi oluşturabiliyoruz.
Exchange Server 2007 servisi de Active Directory servisine muhtaçtır. Daha önceki Exchange Server sürümlerinde bu bağlılık çok daha ileriydi ancak Exchange Server 2007 ile bu bağımlılık biraz daha hafifletilmiştir. Daha doğrusu Exchange Serverın yükü az da olsa Active Directory servisinden alınmıştın ancak yinede Exchange Server 2007 Active Directory servisine muhtaçtır ve birlikte çalışabilirler. Dolayısı ile bu konunun da iyi bilinmesi gerekmektedir.