Active Directory Kavramlar ve Site Yaps

Bu yazda Active Directory Site Yapsn ayrntlaryla birlikte aklamaya alacaz. Fakat ncelikle Active Directory ile ilgili temel kavramlar ele alalm.

1. Temel Kavramlar

ncelikle sunucu ve istemciden bahsedecek olursak:

Server (Sunucu): A zerindeki istemcilere veri, kaynak ve dosya paylamlarn yapan hizmet salayclarna server ad verilir. A ynetmek, dosya veya uygulama paylam yapmak, veri taban barndrmak, web sayfalaryla e-posta barndrmak gibi amalarla kullanlabilirler.

Client (stemci): Bir a zerinde, sunucu bilgisayarlardan hizmet alan kullanc bilgisayarlardr. Bilgiye eriim yetkileri sunucu tarafndan belirlenir.

Active Directory (AD); ierisinde sunucu, istemci, kullanc ve yazc gibi bilgileri tutan bir dizin servisi ve veri taban'dr. Kaynak kontroln ve merkezden ynetimi byk oranda kolaylatrdndan oka tercih edilen bir servistir. Active Directory servisi, Domain Controller olarak adlandrlan sunucu veya sunucular zerinde tutulur. Baz Active Directory kavramlarn ksaca tanmlamak gerekirse:

Domain (Etki Alan): Kullanc ve bilgisayar hesaplar gibi nesnelerin ynetimi iin oluturulan mantksal bir alandr. Farkl iki domain arasnda bilgi ve kaynak paylam amacyla kurulan mantksal ilikiye gven ilikisi (trust/domain trust) ad verilir.

• Domainler, dier domainler ile alt-st ilikisi kurularak dzenlenebilirler. Oluturulan ilk domain, Active Directory yapsndaki Kk (Root) Domain'i ifade eder. Bu aamadan sonra oluturulacak ek Domain'ler dizinin Tree ve Forest yapsn oluturur.
• Organizational Unit (OU) ise domain ierisinde bulunan nesneleri (kullanc,grup veya bilgisayar hesaplar gibi) organize etmeyi salayan birimlerdir. Mevcut kullanclarmz bir grup ierisinde toplayp tek bir yerden ynetmemizi kolaylatran Active Directory'nin olmazsa olmaz birimidir.

Tree (Aa): Ayn isim altnda toplanm domainlerin hiyerarik olarak oluturduu yapdr. Ayn domain aac ierisinde bulunan domainler tek bir isim yapsn paylamaktadrlar.

Forest (Orman): Birden fazla Tree'nin bir araya gelmi halidir. Oluturulan ilk domain Tree'yi oluturur ve bylece Forest da olumu olur. Bu Forest'a daha sonra eklenecek Tree'ler, Forest ierisindeki Tree ile ayn isim yapsn paylamasalar da ayn Global Catalog ve Schema'ya sahip olurlar.

Global Catalog (GC): Active Directory Forest'larndaki her bir nesnenin aranabilir bir blmn ieren datk bir veri deposudur.

Schema (ema): Kullanc, grup, bilgisayar ve yazclar gibi btn nesnelere ait bilgileri ierir. Forest ierisinde sadece bir Schema bulunur ve btn nesne bilgileri bu Schema zerine yazlr. Yeni oluturulan veya ierii deitirilen bir nesnenin Schema ierisinde dinamik olarak gncellemesi yaplr.

Lightweight Directory Access Protocol (LDAP): Active Directory ierisinde de kullanlan, temel olarak dizin servislerini sorgulama ve gncellemeye yarayan bir protokoldr. AD objelerine eriimde LDAP isimlendirme yntemi kullanlr ve iki tanm ierir:

• Distinguished Names (DN): AD nesnelerinin, a ortamnda kendilerine ulalmasn salayan ve komple bir path ieren isimleridir. rnein: CN=fatihpc,OU=Sistem,DC=fatih,DC=lab

Burada kullanlan "CN" Common Name, "OU" Organizational Unit ve "DC" Domain Controller anlamna gelmektedir. Dikkat ettiysek "fatih.lab" olan domain admz DC=fatih,DC=lab eklinde ifade ettik.

• Relative Distinguished Name (RDN): DN ierisinde asl belirtilmek istenen nesne addr ve nesneye ait benzersiz tanm ierir. Yani domain ierisinde tektir. rnein yukardaki rnekte kullandmz DN'de fatih.lab domaini ierisinde tek olan RDN "CN=fatihpc"dir.

imdiye kadar bahsettiimiz kavramlarn tamam, Active Directory'nin mantksal yapsn oluturmaktayd. Bunun haricinde Active Directory'nin fiziksel yaps da bulunmaktadr. Mantksal yap ile a kaynaklar organize edilirken, fiziksel yap ile de a trafiinin kontrol ve konfigrasyonu gerekletirilir. Fiziksel yap Domain Controller ve Site'lardan olumaktadr.

2. Domain Controller (DC)

Domain Controller (Etki Alan Denetleyicisi), zerinde Active Directory veri tabannn bir replikasn bulunduran sunucudur. irket yapsndaki alarn ve sistemlerin atsn oluturmaktadr. Domain zerinde yaplan herhangi bir deiiklik dorudan Domain Controller zerinde de gerekletirilir, ardndan domain zerindeki tm Domain Controller'lar bu deiiklikleri replikasyon yolu ile kopyalarlar.

• Domain Controller'lar dizin bilgisini bulundururlar ve logon, kimlik dorulama ve dizin arama ilemlerini yrtrler.
• stemcilerden gelen tm isteklere yant vererek gerekli ynlendirmeleri yaparlar.
• Group Policy (Grup lkesi) sayesinde domain ierisinde gvenlik ilkeleri oluturularak gvenlik salarlar.
  • Group Policy, Domain Controller zerinden gvenlik ayarlar, kstlamalar, standart konfigrasyonlar, yazlm datm gibi ilemleri yapmamz salayan bir merkezi ynetim protokoldr.
• Global Catalog sayesinde Domain yapsnn bilgisini kendi bnyesinde barndrr.

ki farkl Domain Controller yapsndan bahsedebiliriz.

• Primary Domain Controller (Birincil Etki Alan Denetleyicisi): Active Directory kurulumu yaplan ilk server bilgisayar Primary Domain Controller olarak grev alr. Bir domain ortamnda yalnzca bir tane Primary DC olabilir.
• Additional Domain Controller (Ek Etki Alan Denetleyicisi): Primary DC kurulumu yapldktan sonra Active Directory kurulumu yaplan her bir server bilgisayar Additional DC grevi yrtr. Ayn domain ortamnda birden fazla Additional DC olabilir.

Yedeklilik ve yksek eriilirlik gibi ilkelerden dolay bir domain zerinde en az 3 tane DC kurulmas tavsiye edilmektedir.

2.1 FSMO Rolleri

Domain ve Forest ortamnda eitli grevler alan 5 adet rol bulunmaktadr. Bunlara Flexible Single Master Operations veya ksaca FSMO ad verilir. Bu 5 rol standart olarak Forest ierisindeki ilk kurulan Server'n Domain yapsn oluturan Primary DC zerinde bulunmaktadr.

• Schema Master: Schema yapsnn Active Directory zerindeki btn nesnelerin bilgilerini tutan yap olduunu yukarda belirtmitik. Bu yap, snflardan (class) oluur ve her bir snf ierisinde o snfa ait znitelikler (Attribute) bulunur. Bir nesneye ait hangi bilgilerin saklanaca bu znitelikler ile tanmlanr. Tm AD nesne snf ve znitelik gncellemeleri ve bunlara ait bilgiler Schema Master zerinde tutulur. Schema Master rol Schema'nn ynetimini yapmakla birlikte Domain Controller'lar aras tm AD replikasyonlarn yapmakla sorumludur. Forest ierisinde tektir.
• Domain Naming Master: Domain ierisine giri-k yapan nesnelerin bilgilerini tutar ve ynetir. Bu roln Global Catalog rolne sahip bir DC'da olmas tavsiye edilir. Forest ierisinde tektir.
• PDC Emulator: FSMO rolleri ierisinde kaynaklar en youn kullanan roldr. ifre deiiklikleri ve resetlemeleri, Group Policy ve SYSVOL paylam eriimlerini ynetir.

• RID Master: AD Domain yaps ierisindeki her bir nesnenin benzersiz kimlik numaras vardr ve bu numaralara RID (Relative Identifier) ad verilmektedir. Ayrca RID atanrken, AD nesnesinin oluturduu Domain altnda ilgili Domain'in kimlik numarasyla beraber atanr. Bu numaraya da SID (Security Identifier) denir. Her Domain'in kendine ait sabit bir deerde SID numaras vardr ve her atanan RID numaras bu SID numarasnn altnda atanr. RID Master rol, AD ortamnda oluturulan nesnelere RID numaras atama ilemini gerekletirir.

  • RID Master rolnn sahibi olan sunucuda 1 milyarn zerinde RID numaras bulunur. RID Master olmayan DC'lerde ise bu say yalnzca 400 (Windows Server 16 ve sonrasnda 500) ile kstldr. Bu DC'ler, bu rakam tkenmeden hemen nce RID Master rolne sahip DC ile iletiime geerek tekrar bir 400 tane daha RID numaras talep ederler. te bu ilemleri yerine getiren rol RID Master roldr.

• Infrastructure Master: Domain'ler aras bilgi transferini yapar ve gncel tutulmasn salar. OU'dan OU'ya tama (nesnenin yerinin deitirilmesi) durumundaki Update deiikliklerinden sorumludur. zerindeki bilgi her daim gnceldir.

3. Site Yaps

Byk bir a yapmz olduunda -rnein kurumsal bir firmann farkl ehirlerde veya lkelerde hizmet verdiini dnelim- farkl lokasyonlarda konumlanan Domain Controller'larn ayrtrlmalar gerekmektedir. Bunun sebebini aklayacak olursak, her istemcinin bulunduu lokasyondaki Domain Controller'dan kimlik dorulama ilemini yapmas zorunludur. Uzak bir ubeden kimlik dorulama ilemi yapacamz dnrsek; bu ilemi yapacamz DC, tek bir site yaps (varsaylan olarak Default-First-Site-Name) ierisinde bulunursa kimlik dorulama ilemi ok uzun zamanlar srebilir. Bu sebeple kii hangi ubeye giderse gitsin o corafyadaki site (lokasyon) ierisinde bulunan DC ile iletiim kurmaldr.

Bir site, yksek bant geniliine sahip hatlarla balanm bir veya birden ok IP alt alarn ifade eder. Eer Site'lar doru bir ekilde yaplandrrsak gerek logon gerekse replikasyon ilemlerindeki a trafiini en aza indirgemi oluruz. Site yapsnn en nemli amalarndan birisi kullancnn logon srasnda doru Domain Controller' en hzl ve en gvenli balant ile bulabilmesidir.

Elbette farkl corafyalardaki Domain Controller'larn veri tabanlar tutarl olmaldr. Bunu kendi aralarndaki replikasyonlar ile salarlar. Bu replikasyonlar ikiye ayrlr:

• Intrasite (Site i) Replikasyon: Ayn Site ierisindeki Domain Controller'larn gerekletirdii replikasyondur. Varsaylan olarak 15 dakikada bir gerekleir. RPC (Remote Procedure Call) (Uzak ar Yordam) Over IP Protokol ile gerekletirilir. Replikasyondaki veriler sktrlmadan iletilir.
• Intersite (Site'ler Aras) Replikasyon: Farkl Site'lar aras replikasyondur, Bridgehead Server ad verilen sunucular arasnda gerekletirilir ve varsaylan olarak 3 saatte bir gerekleir. RPC Over IP (tavsiye edilir) veya SMTP (Simple Mail Transfer Protocol) zerinden gerekletirilir. Replikasyondaki veriler sktrlarak iletilir.

3.1. Site Link Kavram

Site Link'ler, Site'lar arasndaki fiziksel balanty temsil eder ve Site'lar aras replikasyonu ve replikasyon ynetimlerini salarlar. Varsaylan Site Link DEFAULTIPSITELINK olarak isimlendirilmitir.

Site Link Bridge'ler ise Site Link'leri birbirlerine balarlar. Aslnda varsaylan olarak tm Site Link'ler birbirlerine bal (Bridged) durumdadrlar. Ancak tm Site'lar birbirlerine Routing (ynlendirme) ile eriebilir durumda deilse gereken yerlere Site Link Bridge'ler oluturulmaldr.

3.2 KCC Kavram

Site kavramn aklarken DC'ler arasnda Intersite ve Intrasite olmak zere iki eit replikasyon olduunu belirtmitik. KCC (Knowledge Consistency Checker), 15 dakikada bir alarak Site ierisinde hangi DC'nin hangi DC ile replikasyon yapacan belirleyen bir Intrasite (Site i) Replikasyon Topolojisi oluturup balant nesnelerinin otomatik olarak olumasn salar. Bu topoloji oluturulurken DC'ler arasndaki en iyi balant hesaplanr ve en iyi yolun kullanlmas salanr.

Site ierisindeki her Domain Controller, KCC grevini stlenir ve ayn Site ierisindeki KCC Domain Controller'lar replikasyon topolojisini oluturmak amacyla birbirleri ile RPC zerinden haberleirler.

3.3. ISTG Kavram

KCC, Site ii replikasyon topolojisini oluturduu gibi Site'lar aras replikasyon topolojisini de oluturmaktadr. Site'lar aras replikasyon topolojisi ile dier Site'lardaki DC'lerdeki deiikliklerin, tm Domain'deki DC'lerde gncel tutulmas salanmaktadr. Site'lar aras replikasyon trafiinde sadece ISTG (Intersite Topology Generator) rolndeki DC'ler grevlidir ve bunlara Bridgehead Server ad verilmektedir.

Bir Site ierisindeki en az bir DC otomatik olarak ISTG yani Bridgehead Server olarak atanr. Fakat KCC, bir Site ierisinde birden fazla ISTG atayabilir. Eer Site ierisindeki Bridgehead Server'a ulalamaz ise Site iindeki GUD deeri en yksek olan DC Bridgehead Server olarak atanr.

• GUID (Globally Unique IDentifier): Bilgisayar yazlmlarnda tanmlayc olarak kullanlan benzersiz bir referans numarasdr. GUID terimi, genel olarak UUID (Universally Unique IDentifier) standardnn eitli uygulamalarndan biridir.

Bir Site ierisindeki bilgilerde deiiklik olduunu dnelim. Bu deiiklik ncelikle Site ierisindeki Domain Controller'larda replike olur. Ardndan Bridgehead Server DC zerinden dier Site'lardaki Bridgehead Server DC'lar replikasyon yaparlar ve son olarak bu replikasyon bilgilerini kendi Site'lar ierisindeki dier DC'lara replike ederler.