Bildiğiniz üzere Şubat ayı sonu itibariyle Microsoft tüm dünyada ve ülkemizde Windows Server işletim sistemi ailesinin son versiyonu olan Windows Server 2008 işletim sistemini tüm dünyaya tanıttı ve resmi olarak da ürünün çıkışı gerçekleşmiş oldu.
Bu makalemizde Windows Server 2008 ile Active Directory Servisleri tarafında gelen en önemli yenilikleri ve Windows Server 2008’e Terfi için Active Directory Servisleri açısından önemli nedenlerinizi sizlerle paylaşıyor olacağım.
Windows Server 2008 ile Active Directory servisleri tarafında çok sayıda yeni özellik gelmektedir. Bunlar arasında en göze çarpan değişiklik Read Only Domain Controller (RODC) – Yalnızca Okunabilir Etki Alanı Denetleyicisi olmaktadır. İsminden de tahmin edebileceğiniz gibi bu yeni rol bize yalnızca okunabilir modda çalışan, active directory veritabanına yazma yeteneği kısıtlanmış, etki alanı denetleyicilerini sunmaktadır. RODC olarak kurulan sunucular için replikasyon da tek yönlü gerçekleşmektedir. RODC sunucuları sadece kendine gelen bilgiyi alan bir yapıda replikasyon faaliyetini yerine getirmektedir. Esasında RODC bizleri Windows NT 4.0 zamanlarını hatırlatıyor. Windows NT 4.0 domain yapısında hatırlarsanız PDC ve BDC olmak üzere iki farklı etki alanı denetleyicisi (domain controller) rolü kullanıyorduk. Bir domaini ilk kuran ve yöneten ana etki alanı denetleyicisine PDC, onun yanına yedek ve yardımcı olarak sonradan ilave edilen etki alanı denetleyicilerine de BDC adını veriyorduk. PDC her domainde bir tane olabilirken BDC birden fazla da kurulabiliyordu. Ve BDC’de yapılan bir domain veritabanına ait değişiklik PDC’ye güncellenmeden devreye girmiyordu. İşte Windows Server 2008 ile gelen RODC rolünü de kısmi olarak BDC’ye benzetebiliriz. RODC’un en önemli farkı sadece bizim belirlediğimiz kullanıcıların kullanıcı bilgilerini ve şifre bilgilerini cache’inde depolayabilme özelliğidir. Eğer RODC rolünün kurulduğu konumda 15 kullanıcı varsa, bütün active directory veritabanının RODC’a replikasyon yapılması yerine sadece o lokasyondaki 15 kullanıcıya ait bilgilerin RODC üzerinde cache yapılması çok daha performanslı ve güvenli olacaktır.
Windows Server 2003 ile tanıştığımız cache-global catalog server rolünün fonksiyonelliğine benzerlik göstermektedir. Bu özellikle RODC’un çalınması durumunda oluşabilecek güvenlik riski de minimuma düşürülmüş olacaktır. RODC herhangi bir nedenle kapatıldığında cache içerisindeki bilgiler silineceği ve kullanılamaz hale geleceği için kullanıcı veritabanının da güvenliği sağlanmış olacaktır. Windows 2008 ile gelen RODC rolü sayesinde güvenliği yetersiz olan şube ofis noktaları ile DMZ gibi güvenliğin daha düşük seviyede olduğu noktalar için kurulan etki alanı denetleyici rolleri daha da güvenli hale getirilmiştir. İlerleyen makalelerde RODC rolüne çok daha detaylı olarak inceleyeceğiz.
Windows Server 2008 ile active directory servislerinde gelen bir diğer yenilik de active directory fonksiyonel seviyelerinden olan hem domain fonksiyonel seviyesi (domain functional level –DFL) hem de forest fonksiyonel seviyesinde (forest functional level – FFL) dir. Windows 2008 ile gelen RODC , fine-grained password policy (FGPP), SYSVOL için DFS (Distributed File System – Dağıtık Dosya Sistemi) replikasyon desteği, DNS Replikasyonundaki yenilikler gibi özelliklerin kullanılabilmesi için çalıştığınız domain yapısının ve forest yapısının fonksiyonel seviyeleri son derece önem arzetmektedir.
Windows 2008 Windows 2000 ve Windows Server 2003 active directory yapılarında kullandığımız aynı forest, domain, organizational unit, grup ve kullanıcı modelini kullanmaktadır. Active Directory yönetim araçları olan Active Directory Users and Computers, Active Directory Domain and Trusts, Active Directory Site and Services yine aynı fonksiyonları yerine getiren konsollar olarak kullanılmaktadırlar.
Windows 2008 ile Active Directory tarafında gelen en önemli yenilik teknik isimlendirmelerde karşımıza çıkıyor. Şimdiye kadar Active Directory olarak kullandığımız teknik ifadenin yerini Windows 2008 ile beraber Active Directory Domain Services (AD DS) almıştır. Bu isimsel değişiklik yine arka planda Windows 2000 ve Windows Server 2003’den alışık olduğumuz mimari ve araçları kullanmaktadır.
Windows 2008 ile beraber gelen active directory tarafındaki yeniliklerden biri de active directory servislerinin standart servisler gibi normal modda çalışırken durdurulup, başlatılabilmesidir. Bu yenilik sayesinde artık domain controller bilgisayarlarını bakım operasyonları için Directory Service Restore Mode açılışı yapmanıza gerek kalmayacaktır.
Windows 2008 ile gelen bir diğer isim değişikliği de ADAM bileşeninde karşımıza çıkmaktadır. Eski Active Directory in Application Mode (ADAM) ifadesinin yerini Active Directory Lightweight Directory Services (AD LDS) almıştır. ADAM, Windows Server 2003’e eklenti olarak sonradan Microsoft’un web sitesinden indirilip kurulabilen bir uygulamaydı.
Ve kullanım amacı şirketinizde dışardan çalışan sözleşmeli elemanlara, danışmanlara, bayilerinize kendi active directory veritabanınız yerine ADAM veritabanında hesaplar açıp, bu hesaplara da ağ kaynakları, sharepoint kütüphaneleri ve web servisleri üzerinde yetkinin tanımlanmasını sağlayan bileşen olarak kullanmaktı.
AD LDS, fonksiyonellik olarak ADAM ile aynıdır ve organizasyon dışındaki kullanıcılara kaynakların kullanımını açmayı sağlayan bileşendir. İlerleyen makalelerimizde AD LDS konusunda daha detaylı uygulamalarla sizlerle bilgiler sunacağım.
Windows 2008 içerisinde active directory servislerinden en önemli bir diğer servis de Active Directory Federation Services (AD FS)’dir. AD FS, Windows Server 2003 R2 ile tanıştığımız ve amacı çoklu active directory forest yapılarının birbirine bağlanarak bir federasyon yapısının kurulmasını sağlayan servistir. Windows 2008 ile gelen Active Directory Federation Services sayesinde de farklı Active Directory Domain Service sistemleri arasında federasyon oluşumunun yapılması sağlanacaktır. Böylece farklı active directory domain servislerinin birbirleri arasında active directory bilgilerini paylaşmaları sağlanmış olacaktır. Özellikle ticari alanda faaliyet gösteren tedarikçi ve dağıtıcı firmaların bayi ağları için karşılıklı dizin servisleri bilgilerini paylaşarak bilgi paylaşımı, özgürce haberleşme ve kolaylıkla yardımlaşmalarını sağlayan servislerdir.
Windows Server 2008 ile active directory yapısındaki bir diğer yenilik de group policy yönetiminde karşımıza çıkmaktadır. Windows 2008 ile 800’ün üzerinde yeni GPO nesnesi özellikle Windows 2008 ve Windows Vista sistemlerde kullanım için karşımıza çıkmaktadır. Group Policy’nin temel fonksiyonelliği aynen korunmasının yanında Group Policy Editor (GPEDIT) ve Group Policy Management Console (GPMC) konsolları da işlevselliği daha da geliştirilerek korunmaktadır. GPMC, ayrı bir konsol olarak çalıştırılabileceği gibi, Server Manager içerisinden Features altından da açılabilir.
Windows 2008’de bilgisayarlara uygulanan group policy ayarları administrator yetkisine sahip kullanıcılar için farklı, administrator yetkisine sahip olmayanlar için de farklı uygulanabiliyor.
NOT: Windows 2008’de group policy yönetimi konsolunu Windows 2008’de ya da Windows Vista sisteminde çalışan bir sistem üzerinden çalıştırmalısınız. Windows Server 2003 ya da Windows XP işletim sisteminde çalışan bir bilgisayardan Windows 2008 group policy ayarlarının tamamını konfigüre etme desteği yoktur. Çünkü Windows 2008 ile group policy ayarları için ADMX ve ADML uzantılı yeni bir şablon dosya formatı gelmiştir ve bu formata sadece Windows 2008 ve Windows Vista sistemlerden ulaşabilirsiniz.
Windows 2008 ile gelen fine-grained password policy özelliği ile artık active directory domaininde kullanıcı ve grup bazında da password policy yapılandırılabiliyor. Windows 2000 ve Windows Server 2003 active directory yapısında hatırlarsanız, domain ortamında çalışan kullanıcılar için password policy ayarları sadece domain seviyesinde uygulanabiliyor ve bu ayarlar da domaindeki tüm kullanıcılara etki ediyordu. Belli bir kullanıcı grubu için domain ortamında farklı bir password policy uygulamak üçüncü parti yazılımlar kullanmadan mümkün olmuyordu. Windows 2008 ile artık kullanıcı ve grup seviyesinde farklı password policy’ler uygulayabiliyoruz.