Professional Documents
Culture Documents
DIRECTORY
Active Directory Temelleri
Active Directory
veritabanı
Active Directory Domain Modeli
Dizin sistemiyle yönetilen networke domain
adı verilir. Workgroupların aksine merkezi
bir oterite sağlarlar. Administrator’lar
network üzerindeki kullanıcı ve kaynakları
tanımlayarak domaini oluştururlar. Böylece
kullanıcıların domain üzerindeki bir kaynağa
erişebilmeleri için Administrator’ın kendisine
izin vermesi gerekir. Domaine girmek için
geçerli bir kulanıcı adına ihtiyaç vardır.
Active Directory Domain Modeli
.
Bluehat.com
ankara.bluehat.com
istanbul.bluehat.com izmir.bluehat.com
fatih.istanbul.bluehat.com
Active Directory’nin Özellikleri
9 Merkezi Veri Depolama
9 Ölçeklenebilirlik
9 Genişletilebilirlik
9 Yönetilebilirlik
9 Domain Name System (DNS) ile entegrasyon
9 Client yapılandırma yönetimi
9 Politika-tabanlı yönetim
9 Bilginin kopyalanması (replication)
9 Esnek ve güvenli kimlik doğrulama ve
yetkilendirme
9 Güvenlik entegrasyonu
9 Diğer dizin servisleriyle birlikte çalışabilme
9 İmzalanmış ve şifrelenmiş LDAP trafiği
Desteklediği teknolojiler
DHCP (Dynamic Host Configuration Protocol)
DNS (Domain Name System)
LDAP (Lightweigth Directory Access Protocol)
Dizin sistemlerine standart olarak erişmeyi sağlar.
Örnek: CN=halil, OU=bim, DC=sakarya DC=edu DC=tr
CN=Common Name
DC=Domain Component
OU=Organizational unit
Desteklediği teknolojiler
Kerberos v5 : Domain içinde kimlik
doğrulaması için kullanılan standart bir
protokoldür. Kerberos v5 protokolü
kullanıcıyı ve networkservislerini tanımlar.
Network servislerine erişim için ticket
bilgisini kullanır. Bu bilgiler şifrelenmiş
verilerdir. Bu servisin önemli bir kısmını
Key Distribution Center (KDC) oluşturur.
KDC, her domain kontroler üzerinde AD
servisinin bir parçası olarak çalışarak
parolaları ve diğer hesap bilgilerini saklar.
Active Directory’e Geçmek
Active Directory kurulumu başta domain
adlandırmak olmak üzere bir dizi işlem
gerektirir.
Active Directory tasarımı ve gelişme süreci iki
kısımda ele alınır.
Mantıksal Tasarım
Fiziksel Tasarım
Mantıksal Tasarım
Testsirket.com
OU
OU OU
Org1.Testsirket.com Org2.Testsirket.com
Mantıksal Tasarım
Domain Kullanıcılarını ve bilgisayarlarını
tanımlayarak mantıksal tasarım başlar.
Mantıksal tasarımın amacı yönetim için
gerekli bileşenlerin oluşturulmasıdır.
Mantıksal tasarımda şu bileşenler yer alır:
Forest
Tree
Domain
Organizational Unit
Forest
Bir organizasyon için tasarlanan networke en geniş
anlamda verilen addır. Forestlar içinde tree’ler ve
domain’ler bulunur. Bu domainler bir yada daha çok
tree olarak organize edilebilir.
Forestlar aşağıdaki özellikleri taşırlar:
Forest’taki tüm domain’ler ortak bir şemayı paylaşırlar.
Forest’taki tüm domain’ler ortak bir global kataloğu
paylaşırlar.
Forest’taki tüm domain’ler iki taraflı güven ilişkileriyle
birbirine bağlanmışlardır.
Forest
firma.com
firma2.com
b1.firma.com a1.firma.com
a1.firma2.com
b1.firma2.com
b2.b1.firma.com
b2.b1.firma2.com
Tree
Forest içindeki domainler belli bir hiyerarşi ve
adlandırma sistemi içinde treelerden oluşur.
Tree’lerde adlandırma bir root’tan başlayarak
ilerler.
Sakarya.edu.tr
Muhendislik.sakarya.edu.tr
Bilgisayar.mühendislik.sakarya.edu.tr
Var olan bir domain’e bir ya da daha çok
domain ekleyerek oluşturulan gruplamaya ya
da hiyerarşik düzene TREE denir.
Domain
Active directory mantıksal tasarımın temel
bileşeni domain’dir. Domain, ortak yönetimi
paylaşan, sınırı olan, belli bir adı olan
network’tür. Domainler kendi güvenlik sınırıda
oluşturur ve kendi yöneticileri tarafından
yönetilirler. Domainler aynı zamanda bir
replikasyon birimidirler. Domain içindeki
bütün domain kontroler bilgisayarlar, kendi
domainlerinin veritabanının bir kopyasını
içerirler multi master sistemiyle birbirine
kopyalarlar.
Organizational Unit
OU’lar domain içinde kullanıcı, grup ve
bilgisayarların yer aldığı konteynerlardır.
OU’ların kullanım alanları:
Yönetimi delege etmek
Group policy sayesinde kısıtlamalar yapmak
Nesneleri saklamak
Domain Modeli
yönetici
Fc-holding.com
Dosyalar
Kullanıcılar
Izmir
Printerlar
Satış OU’su
Satış Muh
Fiziksel Tasarım
Mantıksal tasarım domain ve
OU’larınşirketin yönetim amacına uygun
larak oluşturulmasını içerirken, fiziksel
tasarım tümüyle ağın alt yapısıyla
ilgilidir.Yani networkün fiziksel açıdan
tasarımı, yerleşimi, WAN teknolojileri,
kullanılan protokoller, sunucular ve
bilgisayarların yerleşimi tasarlanır.
Fiziksel Tasarım
IP subnet
192.168.1. _ site
ankara
Site link
site
istanbul
Site Kavramı
Site bir IP subnettir. IP adresi sistemi içinde
oluşturulmuş bir network’tür. Bu anlamda site,
çok güvenilir ve hızlı bağlantılarla birbrine
bağlanabilen bir yada daha çok IP subnet’i
kombinasyonu olarak oluşur. Genel olarak
site LAN ile aynı sınırlara sahiptir. Siteler birer
IP adresiyle tanımlanır:
İstanbul sitesi: 192.168.2.1/24
Domain Controller
DC 1
DC 2
sakarya.com
Domain Controller
Domain’de directory veritabanının bir kopyasını
barındıran Windows Server 2003 işlerim sisteme
sahip bilgisayara domain controller denir.
Fonksiyonları:
Güncellenen bilgileri diğer DC’lerden replike eder.
Kullanıcıların domaine logon olmasını sağlar.
AD multi-master replikasyonu kullanır. Bunun anlamı
bütün DC’ler üzerinde update işlemi yapılabilir.
Forest domainleri hakkında bilgi sahibi olur bu durum
da global katalog olarak adlandırılır.
Global Catalog
Birden çok domainli bir forest’da bütün
domainler hakkında sorgu yapmak için Global
Catalog kullanılır. Global Catalog olan yada
rolünü üstlenen DC, directory’de yer alan tüm
domainlere ilişkin temel bilgilere sahiptir.
Böylece GC’ye ulaşan bir client, bütün
domainlerin nesnelerini sorgulama şansına
sahip olur. Farklı domainlerdeki kullanıcıların
faklı domainlere logon olmasını sağlar.
Active Directory nesneleri Global Catalog
Domain
Domain
Domain Domain
Domain Domain
Global
Katalog
Trust İlişkileri
Birden çok domainden oluşan bir forest içinde
domainler arasındaki ilişkiye güven (trust)
denir. Trustlar sayesinde bir domaindeki
kullanıcı diğer domaindeki gruba üye olabilir
yada kaynak paylaşımına erişebilir.
Domain Güven ilişkileri şu şekilde sınıflanır:
One-way
Two-way
Transitive
Non-transitive
Windows Server 2003 Trust’ları
Forest 1 Tree/Root
Tree/Root Forest
Forest
Forest 2
Parent/Child Trust
Trust Trust
Trust
Parent/Child
Trust
Trust
Forest Forest
Domain D (root) (root)
Shortcut
Shortcut Trust
Trust
Realm
Realm External
External
Trust
Trust Trust
Trust
Domain F Domain C
Kerberos Realm
Replikasyon
Replikasyon iki DC arasındaki otomatik
kopyalama işlemine verilen addır.
Replikasyon süreci söyle çalışır:
Bir DC üzerinde AD nesnesi güncellenir.
5 dak. Change Notificasyon süresi beklenir.
Bu süre içinde güncellemeler de replike
edilmek üzre biriktirilir. Böylece her değişiklik
için bir replikasyon yapılmamış olur.
Süre dolduğunda, replikasyon yapılır. Hedef
DC replikasyon topolojisine göre otomatik
olarak seçilir.
Replikasyon
Kampüs
2) intrasite
1) intersite
OU
2) intrasite
iibf Muh
hendek
sakarya.com
Replikasyon Sistemleri
Urgent Replication (Acil Replikayon) : Bu
durumda bu 5 dak. süre beklenmez.
Store-and-forward işlemi: Bir değişiklik
olduğunda bu sistem sayesinde diğer DC’lere
hemen göndermez. Belli bir süre bekletir ve
gönderir.
Şema Kavramı
AD’de hangi nesnelerin yer alabileceği ve bu
nesnelerin niteliklerinin neler olabileceğini tanımlayan
bir kurallar grubudur. Shema, AD’nin biçimsel bir
tanımı olarak değerlendirilebilir. AD ile birlikte
kullanacılar, gruplar, domain ve bilgisayarlar gibi
AD’de yer alabilecek network nesnelerini tanımlayan
ve çoğu durum için yeterli olan varsayılan bir schema
gelmektedir. Bu SChema’ya yeni nesne sınıfları ve
nitelik tipleri eklenebilir.Bunu Shema Admins grubu
üyeleri yapabilir.
Semayı oluşturan bileşenler nesne sınıfları, nitelik
tipleri ve Control Access Rights’dır.
ACTIVE DIRECTORY
Attribute
Bilgisayarlar
Bilgisayar Adı
Tanım Bilg 1
Bilgisayarlar
Bilg 2
Bilg 3
Attribute
Kullanıcılar
Ad
Soyad User 1
Logon Adı
User 2
Kullanıcılar
Active Directory Veritabanı
Active Directory dizin bilgileri bir veritabanı üzerinde tutulur. Bu
dizinde kullanıcılar, gruplar, bilgisayarlar, domain’ler Ou’lar ve
güvenlik politikaları gibi nesneler saklanır. Dizin verileri domain
controllerlar üzerinde NTDS.dit dosyasında tutulur. Ntds.dit
aşağıdaki tabloları içerir:
Shema tablosu: Active Directory’de yazılabilecek nesne
türlerini, aralarındaki ilişkileri ve her nesne üzerinde seçimlik
ve zorunlu özellikleri gösterir. Bu tablo oldukça statiktir ve
veri tablosundan daha küçüktür.
Link Tablosu: AD’de yer alan nesnelerle ilgili değerleri
içeren özelliklerden oluşur. Örneğin member of özelliğini ele
alalım. Bu özellik, kullanıcının üye olduğu gruplarla ilgili
bilgileri içerir. Bu tablo da veri tablosundan küçüktür.
Active Directory Veritabanı
Veri Tablosu: Active Directory’de yer alan
kullanıcıları, grupları, diğer nesneleri ve
uygulamaya yönelik verileri içerir. Bu tabloda
her satır bir nesneyi, her sütun da o nesnenin
özelliğini temsil eder.
Replikasyon bakımından ise Active Directory
veri tabanı Dört kısımdan oluşur
Domain Data
Configurasyon Data
Shema Data
Application Data
Directory Partition’ları
domain
domain
Configuration
forest Schema
Application
Active
Directory
Database
Directory Partition’ları
Domain Partition: Domaine ait nesneler
bulunur. Kullanıcı, bilgisayar vb. Kayıtları bu
bölüm içinde yer alır. Domain Partition bilgileri
yalnızca kendi domaini içindeki diğer DC
partnerları arasında replike edilir.
Configuration Partition içinde AD forestının
yapısı tutulur. Yeni bir domainin eklenmesi
yada silinmesi bu bölüm içinde yapılır.
Burdaki bilgiler forest içindeki diğer DC
partnerları arasında replike edilir.
Directory Partition’ları
Şema kısmında AD nesnelerinin özellikleri
(attributes) yer alır. Şema bilgileri bu bölümde
tutulur. Burdaki bilgiler forest içindeki diğer
DC partnerları arasında replike edilir.
Application Partition ise yalnızca belli DC
bilgisayarlarla replike olur. Bu bölüm
uygulamalar ve servisler tarafından özel
bilgiler saklanmak üzere kullanılır.