Active Directory Kurulum


Sistemimde Active Directory Çalıştırmasam Ne Olur Ki? Eğer isterseniz biz gelip sisteminizi active directory’e uyumlulaştırabilir ve kurulum yapabiliriz.

Active Directory Kurulum

Active Directory hiç bir zaman olmazsa olmaz değildir. Elbette Active Directory olmadan sistem yönetmek mümkündür. Ancak çok kolay bir biçimde sistem yönetmek varken neden zorlanmak isteyesiniz ki

Öncelikle bir yanılgıyı düzeltmek isteriz. Bir çok sistemci istemci bilgisayarların Active Directory’e login olmadığı takdirde açılamayacağını düşünür ki bu tamamen yanlış bir bilgidir.

Active Directory kullanıcının tanımlandığı bölümdür. Ancak kullanıcı bilgisayarını bir defa Activ Directory’e login olup açtıktan sonra bir daha ihtiyaç duymayacaktır.

Tersten ve sistemci tarafından baktığımızda ise kullanıcı bilgisayarını AD’ye her bağlanarak açtığında ona çeşitli bilgiler göndermek mümkündür.

Örnek verecek olursak kullanıcı yaklaşık bir aydır yurt dışında satış seyahatindeydi. Hiç sisteme login olamadı. Şimdi döndü ve sistemde onu bekleyen yazılım update’leri var. Satış departmanına tanımlı bir tane de yazılım kurulumu var. Bir de artık bu departman personeline flash disk kullanımı yasaklandı. Artık flash disk taksa dahi bilgisayarına, bilgisayar görmeyecek.

Active Directory Donanım Envanteri yönetmenin de en kolay yoludur. Çünkü kullanıcılar bilgisayarlarının ismini asla değiştiremeyecekler. Sistemci yeni bir bilgisayar satınaldığında bilgisayara tıpkı TC Kimlik numarasında olduğu gibi bir isim verecek ve bilgisayar ta ki satılana ya da hurdaya ayrılana kadar bu isimle anılacaktır.

Sizin için Active Directory kurabilir, sisteminizdeki bilgisayarları Active Directory ‘ye dahil edebiliriz. Bilgi İşlem Ekibinize Active Directory yönetimine yönelik eğitim verebilir veya sizler için sisteminizi istekleriniz doğrultusunda biz yönetebiliriz.

Active Directory kurulumu başta domain adlandırmak olmak üzere bir dizi işlem gerektirir. Active Directory tasarımı ve gelişme süreci Mantıksal Tasarım ve Fiziksel Tasarım olmak üzere iki kısımda ele alınır.

Mantıksal Tasarım

* Testisletme com
** Org1 Testisletme.com
** Org2 Testisletme.com

Domain Kullanıcılarını ve bilgisayarlarını tanımlayarak mantıksal tasarım başlar. Mantıksal tasarımın amacı yönetim için gerekli bileşenlerin oluşturulmasıdır.

Mantıksal tasarımda Forest, Tree, Domain, Organizational Unit bileşenleri yer alır:

Forest: Bir organizasyon için tasarlanan networke en geniş anlamda verilen addır. Forestlar içinde tree’ler ve domain’ler bulunur. Bu domainler bir yada daha çok tree olarak organize edilebilir.

Forestlar aşağıdaki özellikleri taşırlar:
* Forest’taki tüm domain’ler ortak bir şemayı paylaşırlar.
* Forest’taki tüm domain’ler ortak bir global kataloğu paylaşırlar.
* Forest’taki tüm domain’ler iki taraflı güven ilişkileriyle birbirine bağlanmışlardır.

Tree: Forest içindeki domainler belli bir hiyerarşi ve adlandırma sistemi içinde treelerden oluşur. Tree’lerde adlandırma bir root’tan başlayarak ilerler.

kurttepeyazilim.com

dt01.kurttepeyazilim.com

dt02.kurttepeyazilim.com

Var olan bir domain’e bir ya da daha çok domain ekleyerek oluşturulan gruplamaya ya da hiyerarşik düzene TREE denir.

Domain: Active directory mantıksal tasarımın temel bileşeni domain’dir. Domain, ortak yönetimi paylaşan, sınırı olan, belli bir adı olan network’tür. Domainler kendi güvenlik sınırıda oluşturur ve kendi yöneticileri tarafından yönetilirler. Domainler aynı zamanda bir replikasyonbirimidirler. Domain içindeki bütün domain kontroler bilgisayarlar, kendi domainlerinin veritabanının bir kopyasını içerirler multi master sistemiyle birbirine kopyalarlar.

Organizational Unit: OU’lar domain içinde kullanıcı, grup ve bilgisayarların yer aldığı konteynerlardır.

OU’ların Kullanım Alanları:

* Yönetimi delege etmek
* Group policy sayesinde kısıtlamalar yapmak
* Nesneleri saklamak

Fiziksel Tasarım

Mantıksal tasarım domain ve OU’ların şirketin yönetim amacına uygun larak oluşturulmasını içerirken, fiziksel tasarım tümüyle ağın alt yapısıyla ilgilidir. Yani networkün fiziksel açıdan tasarımı, yerleşimi, WAN teknolojileri, kullanılan protokoller, sunucular ve bilgisayarların yerleşimi tasarlanır.

Site Kavramı: Site bir IP subnettir. IP adresi sistemi içinde oluşturulmuşbir network’tür. Bu anlamda site, çok güvenilir ve hızlı bağlantılarla birbrine bağlanabilenbir yada daha çok IP subnet’i kombinasyonu olarak oluşur. Genel olarak site LAN ile aynı sınırlara sahiptir.

Siteler birer IP adresiyle tanımlanır:

* İstanbul sitesi: 192 168 2 1/24

Domain Controller:

Domain’de directory veri tabanının bir kopyasını barındıran Windows Server 2003 işletim sisteme sahip bilgisayara domain controller denir.

Fonksiyonları:

* Güncellenen bilgileri diğer DC’lerden replike eder.

* Kullanıcıların domaine logon olmasını sağlar.

* AD multi-master replikasyonu kullanır. Bunun anlamı bütün DC’ler üzerinde update işlemi yapılabilir.

* Forest domainleri hakkında bilgi sahibi olur bu durum da global katalog olarak adlandırılır.

Global Catalog:

Birden çok domainli bir forest’da bütün domainler hakkında sorgu yapmak için Global Catalog kullanılır. Global Catalog olan yada rolünü üstlenen DC, directory’de yer alan tüm domainlere ilişkin temel bilgilere sahiptir. Böylece GC’ye ulaşan bir client, bütün domainlerin nesnelerini sorgulama şansına sahip olur. Farklı domainlerdeki kullanıcıların faklı domainlere logon olmasını sağlar.

Trust İlişkileri:

Birden çok domainden oluşan bir forest içinde domainler arasındaki ilişkiye güven (trust) denir. Trustlar sayesinde bir domaindeki kullanıcı diğer domaindeki grubaüye olabilir yada kaynak paylaşımına erişebilir.

Domain Güven ilişkileri şu şekilde sınıflanır:
* One-way
* Two-way
* Transitive
* Non-transitive

Replikasyon:

Replikasyon iki DC arasındaki otomatik kopyalama işlemine verilen addır.

Replikasyon süreci söyle çalışır:

* Bir DC üzerinde AD nesnesi güncellenir.
* 5 dak. Change Notificasyon süresi beklenir. Bu süre içinde güncellemeler de replike edilmek üzre biriktirilir. Böylece her değişiklik için bir replikasyon yapılmamış olur.
* Süre dolduğunda, replikasyon yapılır. Hedef DC replikasyon topolojisine göre otomatik olarak seçilir.

Replikasyon Sistemleri:

* Urgent Replication (Acil Replikayon) : Bu durumda bu 5 dak. süre beklenmez.
* Store-and-forward işlemi: Bir değişiklik olduğunda bu sistem sayesinde diğer DC’lere hemen göndermez. Belli bir süre bekletir ve gönderir.

Şema Kavramı:

* AD’de hangi nesnelerin yer alabileceği ve bu nesnelerin niteliklerinin neler olabileceğini tanımlayan bir kurallar grubudur. Shema, AD’nin biçimsel bir tanımı olarak değerlendirilebilir. AD ile birlikte kullanacılar, gruplar, domain ve bilgisayarlar gibi AD’de yer alabilecek network nesnelerini tanımlayan ve çoğu durum için yeterli olan varsayılan bir schema gelmektedir. Bu SChema’ya yeni nesne sınıflarıve nitelik tipleri eklenebilir. BunuShema Admins grubu üyeleri yapabilir.
* Semayı oluşturan bileşenler nesne sınıfları, nitelik tipleri ve Control Access Rights’dır.

Active Directory Veritabanı:

Active Directory dizin bilgileri bir veri tabanı üzerinde tutulur. Bu dizinde kullanıcılar, gruplar, bilgisayarlar, domain’ler Ou’lar ve güvenlik politikaları gibi nesneler saklanır. Dizin verileri domain controllerlar üzerinde NTDS.dit dosyasında tutulur.

Ntds.dit aşağıdaki tabloları içerir:

* Shema tablosu: Active Directory’de yazılabilecek nesne türlerini, aralarındaki ilişkileri ve her nesne üzerinde seçimlik ve zorunlu özellikleri gösterir. Bu tablo oldukça statiktir ve veri tablosundan daha küçüktür.
* Link Tablosu: AD’de yer alan nesnelerle ilgili değerleri içeren özelliklerden oluşur. Örneğin member of özelliğini ele alalım. Bu özellik, kullanıcının üye olduğugruplarla ilgili bilgileri içerir. Bu tablo da veri tablosundan küçüktür.

Active Directory Veritabanı:

Veri Tablosu: Active Directory’de yer alan kullanıcıları, grupları, diğer nesneleri ve uygulamaya yönelik verileri içerir. Bu tabloda her satır bir nesneyi, her sütun da o nesnenin özelliğini temsil eder.

Replikasyon bakımından ise Active Directory veri tabanı Dört kısımdan oluşur.

* Domain Data
* Configurasyon Data
* Shema Data
* Application Data

Directory Partition’ları:

* Domain Partition: Domaine ait nesneler bulunur. Kullanıcı, bilgisayar vb. Kayıtları bu bölüm içinde yer alır. Domain Partition bilgileri yalnızca kendi domaini içindeki diğer DC partnerları arasında replike edilir.
* Configuration Partition içinde AD forestının yapısı tutulur. Yeni bir domainin eklenmesi yada silinmesi bu bölüm içinde yapılır. Burdaki bilgiler forest içindekidiğer DC partnerları arasında replike edilir.
* Şema kısmında AD nesnelerinin özellikleri (attributes) yer alır. Şema bilgileri bu bölümde tutulur. Burdaki bilgiler forest içindeki diğer DC partnerları arasında replike edilir.
* Application Partition ise yalnızca belli DC bilgisayarlarla replike olur. Bu bölüm uygulamalar ve servisler tarafından özel bilgiler saklanmak üzere kullanılır.