Active Directory Domain Services-DNS-DHCP kurulumları

28 Mayıs 2019 0 Yazar: ibrahimgol

Active Directory Domain Services Nedir?

Active Directory, Microsoft tarafından özellikle Windows Server ve Client bilgisayar sistemleri için tasarlanmış olan içerisinde sunucu, client bilgisayar, kullanıcı ve yazıcı gibi bilgileri tutan bir dizin servisidir. Tabi bahsi geçen verileri tuttuğu için aynı bir veritabanıdır. Bu servis içerisinde yer alan Group Policy yönetim aracı ile çeşitli kısıtlamalar yapabilir veya tek bir noktadan istediğimiz uygulamanın dağıtımını gerçekleştirebiliriz. Kaynakların kontrolü ve yönetiminin merkezileştirilmesi açısından büyük kolaylık sağladığı için çok tercih edilen bir servistir.

Active Directory ilk olarak Windows Server 2000 ile hayatımıza girdi. Zamanla 2003, 2008 ve 2012 sistemlerinde kendini geliştirerek günümüzdeki halini almıştır. Tüm sorgulama ve değişiklik işlemleri ile veritabanı yönetimi gibi işlemler ESE (Extensible Storage Engine) isimli veritabanı motoru tarafından yürütülür.

Active Directory servisi, Domain Controller olarak adlandırılan sunucu veya sunucular üzerinde tutulur. İlgili servisin varsayılan konumu %systemroot%NTDS” şeklindededir. Veritabanı dosya ismi ise ntds.dit (New Technology Directory Service-Directory Information Tree)’ tir. Bununla birlikte tüm işlemlerin geçici olarak yer aldığı, değişikliklerin veritabanına yazılmadan önce çeşitli sebeplerden ötürü saklandığı ve transaction log olarak adlandırılan edb.log isimli dosya da, Active Directory servisinin çalışmasında kritik rol oynar. Bir diğer önemli veritabanı bileşeni ise ESE checkpoint olarak adlandırabileceğimiz ebd.chk dosyasıdır. Bu dosyanın görevi edb.log a yazılan değişiklik bilgisinin ntds.dit” içerisine, düzgün ve tutarlı olarak yazılıp yazılamadığını konrol etmektir.

Active Directory Özellikleri;

  • Yönetilebilirlik
  • Ölçeklenebilirlik
  • Genişletilebilirlik
  • Güvenlik Entegrasyonu
  • Diğer Dizin Servisleriyle Birlikte Çalışabilme
  • Güvenli Kimlik Doğrulama ve Yetkilendirme
  • Group Policy ile Yönetim
  • Dns ve Dhcp gibi Servislerle Birlikte Çalışabilme Özelliği

Active Directory FSMO Rolleri (Flexible Single Master of Operation);

Bir Active Directory sunucusu üzerinde 5 adet role bulunmaktadır. Bunlar;

  • Schema Master
  • Domain Naming Master
  • PDC Emulator
  • RID Master
  • Infrastructure Master

şeklindedir. Bu rolleri “netdom query fsmo” komutu ile listeleyebiliriz.

Schema Master

Active Directory Domain Services içerisinde, yapıdaki nesnelerin sahip olacağı özellikleri belirleyen bileşendir. Nesnelerin biçimsel yapısını belirler diyebiliriz. Örneğin, kullanıcı nesnesinde ad, soyad, şehir, görev gibi bilgilerin olacağını Schema belirler. Bu rol üzerinde sadece Domain Admins ve Enterprice Admins grubu üyelerinin yetkileri vardır.

Domain Naming Master

Domain (Etki alanı) isimlerini bünyesinde tutan rehberdir diyebiliriz. Yeni bir domain kurulacağı zaman isim onayını bu rol verir. İsim çakışmasını önler.

RID Master

Ağda bulunan tüm nesnelerin kendine has (benzersiz) bir SID numarası vardır. Nesnelerin benzersiz bir SID numarası almasını sağlar ve çakışmayı önler.

Infrastructure Master

Farklı etki alanlarından gelen kullanıcıların SID numarası ile ilgili ayarlamaları gerçekleştirir. Global Catalog sunucusu ile replikasyonu sağlar.

PDC Emulator

Ağda bulunan DC’ler arasında replikasyonu sağlar. Windows oturumlarını kontrol eder.

Active Directory Mantıksal Yapısı;

Domain
Domain, Active Directory’nin en temel bileşenidir. Domain sistem yöneticisi tarafından benzersiz bir isim seçilerek oluşturulmalıdır. Ayrıca Domain’ler güvenlik noktasında belli sınırlara sahiptir. Eğer sistem yöneticisi ayrıca bir izin belirlememişse, bir kullanıcının hakları sadece o Domain içerisinde geçerli olacaktır. Her bir Domain kendi güvenlik yapısına sahiptir.
Domain’ler ayrıca replikasyon birimi olarak adlandırılır. Bir Domain içerisinde, Active Directory veritabanı kopyalarını bulunduran Domain Controller’lar bu koyaları Domain içerisinde yapılan değişiklikleri birbirlerine kopyalarak replikasyon yaparlar.

Organizational Unit
Organizational Unit bir Domain içerisindeki kullanıcıları, grupları veya bilgisayarları organize etmek amacıyla oluşturulmuş objelerdir. Organizasyonun ihtiyacını karşılamak ve yönetimi kolaylaştırmak noktasında objeleri gruplamak amacıyla kullanabilirsiniz.
Örnek olarak, objeleri gruplarken yönetimsel gereksinimler ön planda tutalabilir. Organizasyonda bir yönetici kullanıcılardan diğer yönetici ise bilgisayarlardan sorumlu olacaksa, biri kullanıcılar için biri de bilgisayarlar için iki adet OU oluşturulur ve kullanıcılar birinde bilgisayarlar da diğerinde toplanır. Son olarak ikisine de ayrı ayrı yönetciler atanabilir. Veya departmansal gruplandırmalar yapılabilir. Örneğin bir “Muhasebe” bir de “Pazarlama” departmanları için OU oluşturulur ve bu departmanlarda çalışan kullanıcılar ilgili OU’lara yerleştirildikten sonra departman şefleri bu birimlere yönetici olarak atanabilir. Bu işlemler aynı zamanda biz sistem yöneticilerinin işlerini kolaylaştıracaktır.

Tree ve Forest
Oluşturulan ilk Windows Server Domain’i, Active Directory yapısındaki Kök Domain’i (Root Domain) ifade eder. Bundan sonra oluşturulacak olan yeni ek Domain’ler dizinin mantıksal Tree veya Forest yapısını oluşturacaktır.

Tree
Bir Tree yapısında yeni bir Domain eklendiği zaman, yeni eklenen Domain sondan eklendiği Domain’inin Child Domain’i durumunda olur ve eklendiği Domain de eklenen Domain için Parent Domain olur. Yeni oluşturulan Child Domain’in ismi Parent Domain’den gelen isimle birleştirilir ve yeni oluşan Domain’in DNS ismi ortaya çıkar.
Örneğin “hakansoylemez.local” bir Root Domain’dir. Bu Domain’e eklenecek yeni bir Domain “hakan.local” Domain’inin Child Domain’i olacaktır. Buna örnek olarak “mail.hakan.local” Domain’ini gösterebiliriz. Bu örnekte mail.hakan.local, hakan.local Domain’inin Child Domain’i olacaktır. Hakan.local Domain’i ise Parent Domain konumundadır.

Forest
Forest, birden fazla Tree’nin birleşmiş halidir. Oluşturulan ilk Domain bir Tree’yi ifade eder ve ilk Tree’nin oluşturulmasıyla Forest’da oluşmuş olur. Sonradan bu Forest’a eklenecek olan Tree’ler, diğer Tree’lerle aynı isim aralığını paylaşmayacak olasalar da aynı Schema ve Global Catalog’a sahip olurlar. Forest oluşturulurken kurulmuş olan ilk Tree Forest-Root olarak bilinir ve diğer Tree’ler bu Forest Root altında toplanırlar.

Global Catalog
Global Catalog (GC), Active Directory Forest’ ı içinde yer alan her objeyi bulunduran bir veritabanıdır ve Global Catalog Server‘ larda tutulur. Bu barındırılan özellikler, varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir. Global Catalog kullanıcılara şu hizmetleri sunar;

• Gereken verinin nerede olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar.
• Bir ağa logon olunurken Universal Group Membership bilgisini kullanır.

Global Catalog Sunucusu Domain’deki bir Domain Controller’dır ve Domain’de oluşturulan ilk Domain Controller otomatik olarak Global Catalog seviyesine yükseltilir. Sonradan ek Global Catalog Sunucular eklenebilir.

Active Directory Schema
Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Forest içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri bu Schema üzerine yazılır. Kullanıcıların çalıştıkları bölümler ve doğum yeri gibi bilgileri buna örnek olarak verebiliriz. Schema bilgileri, Active Directory veritabanı (database) içerisinde depolanır.

• Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
• Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control lists(DACLs) kullanılır.
• DACLs ile Schema üzerinde yalnızca yetkilendirilmiş kullanıcıların (authorized users) değişiklik yapabilmesi sağlanır.

Lightweight Directory Access Protocol (LDAP)
Tanım olarak LDAP, TCP/IP üzerinde çalışan dizin servislerini sorgulama ve değiştirme amacıyla kullanılan uygulama katmanı protokolüdür. Active Directory mimarisi içerisinde ise sorgulama (query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri, OU (Organizational Unit) ve CN (Common Name) kullanılarak Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;

• Distinguished Names
• Relative Distinguished Names

Distinguished Names Tüm Active Directory objeleri, network ortamında kendilerine ulaşılmasını sağlayan komple path içeren, distinguished name’e sahiptir

Relative Distinguished Name LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz (unique) tanımlamayı içerir. Yani Active Directory içinde belirtilen Domain içinde tektir.

Active Directory Fiziksel Yapısı;

Active Directory içinde fiziksel yapı, mantıksal yapıdan bağımsız bir mimariye sahiptir. Mantıksal yapı ile network kaynakları organize edilirken, fiziksel yapı ile network trafiğinin kontrolü ve konfigürasyonu gerçekleştirilebilir. Active Directory’nin fiziksel yapısını; DC (Domain Controller) ve Site’lar oluşturur. Active Directory’nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network’e katılımını (logon) belirler. Network trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.

Domain Controller
Domain Controller, üzerinde Active Directory veritabanının bir kopyasını (replica) bulunduran sunucudur. Domain’de yapılan herhangi bir değişiklik bir Domain Controller üzerinde gerçekleştirilir ve daha sonra domain’deki tüm Domain Controller’lar bu değişiklikleri replikasyon yoluyla birbirlerine kopyalarlar. Domain Controller’lar dizin bilgisini bulundururlar ve kullanıcıların logon işlemlerini, kimlik doğrulama işlemlerini ve dizin arama işlemlerini yürütürler. Bir Domain’de bir veya daha çok Domain Controller olabilir. Küçük çaplı bir organizasyonda bir Domain Controller bir de Additional Domain Controller yeterli olurken farklı fiziksel lokasyonlara yayılmış büyük bir işletme için, bölge başına bir veya iki Domain Controller daha uygun olacaktır. Bir Domain’e birden fazla Domain Controller yerleştirmenin amacı hem hata toleransı sağlamak hem de Domain Controller’lar arasında yük dağılımı yapmaktır.

Sites
Bir Site, birbirlerine yüksek bant genişliğine sahip dış hatlarla bağlanmış bir veya birden fazla IP alt ağlarını ifade etmektedir. Site’ları doğru bir şekilde yapılandırarak kullanıcıların logon işlemlerinde oluşan ağ trafiğini ve replikasyon işlemleri sırasında oluşan yoğunluğu en aza indirgemek için Active Directory’nin alt ağlar arasındaki fiziksel bağlantıları en efektif şekilde kullanmasını sağlayabiliriz. Site oluşturmaktaki başlıca sebepler şunlardır:

• Replikasyon trafiğinin optimize edilmesi
• Kullanıcıların logon esnasında en hızlı ve en güvenilir bağlantıyı kullanarak doğru Domain Controller’ı bulabilmeleriActive Directory ve DNSActive Directory ve DNS entegrasyonu Windows Server sisteminin en önemli özelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kayıtları (Resource Records) olarak sunulabilecek şekilde benzer bir hiyerarşik isimlendirme yapısına sahiptirler. Bu entegrasyonun sonucu olarak Windows Server ağındaki bilgisayarlar, Active Directory’ye özgü birtakım servisleri çalıştıran bilgisayarların yerini öğrenmek için DNS sunucuları kullanmaktadırlar. Örneğin, bir client Active Directory’ye logon olmak veya herhangi bir kaynağı (yazıcı veya paylaşılmış bir klasör) dizin içerisinde aratmak için bilmesi gereken Domain Controller’ IP adresini DNS sunucu üzerinde SRV kayıtlarından öğrenmektedir. Active Directory’nin sorunsuz bir şekilde çalışması için DNS sunucuların SRV kayıtlarını eksiksiz bir şekilde barındırması gerekmektedir. SRV kayıtlarının amacı, client’lara logon esnasında veya herhangi bir kaynağa ulaşıyorken Domain Controller’ların yerlerini belirtmektir. SRV kayıtlarının olmadığı bir ortamda, client’lar Domain’e logon olamayacaklardır. Ayrıca Windows Server, DNS bilgilerinin Active Directory veritabanı ile tümleşik olarak saklanmasına olanak vermektedir. Bu sayede DNS bilgilerinin replikasyonu daha efektif ve güvenli bir hale gelmektedir.

Kurulum Adımları;

AD-DS kuracağımız işletim sistemi bir server işletim sistemi olmak zorundadır.

Ben makalem de Windows Server 2012 R2 versiyonunu kullandım siz isterseniz Server 2016 ve 2019 yazılımlarını kullanabilirsiniz adımlar aynı.

Kurulumdan önce sanal makinemizin ethernet kartı Custom Net 8’e bağlı olmak zorundadır.Bu Vmware Workstation’ın “sanal bir networküdür”.

Eğer komut olarak bilmiyorsanız kurulumda (Server With A GUI) seçeneği seçilmelisiniz.

Domain Controller olacak makinemizin IP yapılandırılması gerekmektedir.

Aksi takdirde kurulum da hata alırsınız.Default Gateway’i vermeseniz de olur.Fakat DNS olarak makinenin kendisini göstermeniz gerekmektedir.

Makine IP’si yerine 127.0.0.1’de yazabilirsiniz

127.0.0.1:Localhost anlamına gelir.Yani makinenin kendisidir.

Kuruluma başlamadan önce bilgisayar adının da düzenli bir biçimde verilmesi gerekir.Sağlıklı bir Domain ortamı oluşturmak için gerekli bir kısımdır.İsim verdikten makineyi yeniden başlatmanız gerekir.

Server Manager’a girerek server’imizin ne gibi özellikleri var onu görebiliriz.

Add Roles And Features sekmesin de serverimize kuracağımız rolleri ve özellikleri belirleyelim.

Karşılama sayfası

Burada rol bazlı kurulum mu yoksa uzaktan yönetim servislerinimi kuracağımızı soruyor.Rol bazlıyı seçerek devam ediyoruz.

Burada AD-DS-DNS rollerini seçeceğiz. Bu roller kurulduktan sonra DHCP rolunu kuracağız.Bu rolleri seçip “Next” diyoruz.

“Next” dedikten sonra burada hangi özellikleri kuracağımızı soruyor.Burada .Net Framework 3.5 kurulması gerekmektedir.

Burada .Net Framework 3.5’in dosyalarının nerede olduğunu soruyor.Burada isterseniz internetten yararlanabilir ki internete bağlı olmadığımız için işletim sistemimizin ISO’sundan yararlanacağız.Muhtemelen sanal makinemize ISO takılıdır ve burada “Specify an alternate source path” seçeneğini seçerek ISO’muzun içindeki .Net 3.5’in dosyalarını göstereceğiz.Yani yolumuz şöyle olucak. D:\sources\sxs

Ok. Dedikten sonra “Next” ile ilerliyoruz.

Next dedikten sonra “Install” seçeneği ile kurulumu başlatıyoruz.

Kurulum bittikten sonra yapılandırmaya geçmemiz gerekir.

“Promote this server to a domain controller” seçeneğinden yapılandırmaya geçiyoruz.

Burada ki seçenekler;

Add a domain controller to an existing domain:Varolan bir domaine bir domain controller ekler.

Add a new domain to an existing forest:Varolan bir ormana bir domain ekler.

Add a new forest:Yeni bir orman ekler.

“Add a new forest” seçeneğini seçerek devam ediyoruz.

Burada kök domainimizin adını belirliyoruz ve ortamda böyle bir isimde başka bir domain varmı diye kontrol ediyor.“Eğer ortam da bu isimde başka bir domain var ise devam etmeyin aksi halde çakışma yaşanır” biz test ortamın da olduğumuz için bu isimde başka bir domain adı yok.

Burada ise domainimizin ve forestemizin hangi işletim sistemlerine etki edeceğini belirliyoruz.Functional Level denilen kısım burasıdır.

Ve olası bir durum da ortamımız çökerse diye “Directory Services Restore Mode’un” şifresini belirliyoruz.

Burada bir DNS delegasyonu olmadığını söylüyor.Bunu “Next” diyerek geçebiliriz.

Burada domain adımızın “NETBIOS” halini gösteriyor.“Eğer burada “domainadı0″ gibi ifadeler var ise devam etmiyoruz ve domain adımızı değiştiriyoruz aksi halde çakışma yaşanır.”

Burada ise AD-DS rolünün dosyalarının nerede olacağı gösteriliyor.

“Install” seçeneği ile yapılandırmamızı bitiyoruz.

Kurulum ve yapılandırma bittikten sonra server kendisini yeniden başlatacaktır.

Makinemiz tekrar açıldıktan sonra görüldüğü gibi serverimiz domain controller olarak ayarlanmıştır.

Görüldüğü üzere rollerimizin yönetim eklentileri gelmiştir.

Active Directory Users and Computers’dan yeni Organization Unit açacağız.

Domain’e sağ tıklarak “New” sekmesinden “Organization Unit” seçeneğini seçiyoruz.

Burada “OU” muzun adını veriyoruz.

OU’muzun içine girerek sağ tık ile bir grup oluştuyoruz ve grubumuzun adını verdikten grubumuza sağ tıklayarak “Add a group” seçeneğinden bütün gruplara ekliyoruz.Çünkü sistem grubu en yetkili grup olucak.

Tekrar OU’muzun herhangi bir yerine tekrar sağ tıklayarak New sekmesinden User seçeneğini seçiyoruz ve kullanıcı oluşturuyoruz.

Burada kullanıcımızın adını soyadını varsa göbek adını ve giriş yaparken nasıl giriş yapıcak onu belirliyoruz.Belirledikten sonra “Next” ile devam ediyoruz.

Burada kullanıcımız şifresini belirliyoruz.İsterseniz kullanıcı ilk girişte değiştirmek zorunda kalsın seçeneğini seçebilirsiniz.Şifre karmaşık olmak zorundadır.

Kullanıcımız oluşturuldu ve kullanıcımızı sistem grubuna ekleyelim.

Burada “Advanced” seçeneğinden Sistem grubunu bulup ekleme yapıyoruz.

Ok diyerek işlemi bitiyoruz.

DHCP Rolü Nedir

Dynamic Host Configration Protocol:DHCP sayesin de ortamımızda ki IP yapılandırılması otomatik olarak gerçekleşir ve bu IP’ler rezerve edilebilir.

Kısacası ortamımızın IP işlerinden sorumlu roldür.

Kurulumu

DHCP rolünü seçiyoruz.

Install diyerek kuruluma başlıyoruz.

Complete DHCP Configration diyerek DHCP konfigrasyonunu tamamlıyoruz.

“Next” diyerek devam ediyoruz.

Commit diyerek DHCP yapılandırılmasının gruplarını oluşturuluyor ve konfigrasyonu bitiyoruz.

DHCP yönetim paneline girerek ayarlama yapıyoruz.

IPv4 sekmesine sağ tıklayarak “New Scope” seçeneğinini seçiyoruz.

Scope:Oluşturacağımız ve dağıtalacak IP aralığıdır.

Scope’muzun adını verdikten sonra buraya geliyoruz.Burada “Scope”umuzun IP aralığını belirliyoruz.

Bu sayfada eğer alınmamasını istediğimiz bir IP var ise onu belirliyoruz.

Buraya ekleme yapmak size kalmış.Ben göstermelik olarak 192.168.192.20 IP’sinin alınmasını istemedim.Deneme yapıcağımız client makine 192.168.192.21 IP’sine sahip olucak.

Burada IP’lerin kaç gün kiralanacağını belirliyoruz.

Burada DHCP’nin seçeneklerini konfigre edip etmeyeceğimizi soruyor.

Evet diyoruz ve Next ile devam ediyoruz.

Burada Default Gateway’imizi giriyoruz.Adettendir diyerek ben 192.168.192.1 diye verdim.

Burada DNS serverimizi belirliyoruz.Biz DC olacak makinemize DNS rölünü de kurduğumuz için DC makinenin IP’sini veriyorum.

WINS serverimiz olmadığı için burayı geçiyoruz.

Scope konfigrasyonu tamamlanmıştır.

Görüldüğü gibi Windows 10 Makinemiz 192.168.192.21 IP’sini aldı ve Windows 10 client makinemizi domaine alalım.

Makineye bir isim vererek alt tarafda etki alanı’nı seçerek kendi domainimizi yazıyoruz ve tamam dedikten sonra domainde ki bir hesap ile makinenin domaine katılmasını sağlıyoruz.Şunu hatırlatma fayda var.Bir kullanıcı eğer “Domain User” ise domaine katma işlemi yapabilir ama sınırlı sayıdadır fakat eğer bir kullanıcı “Domain Admin”i ise sınırsız sayıda domaine katma işlemi yapabilir. Domaine alma işlemi bittikten sonra makine kendisini yeniden başlatacaktır.

Görüldüğü üzere AD Users And Computers menüsünün “Computers” sekmesin de client makinemiz gelmiş.

DNS: (Domain Name Services) DNS sayesin de isimden IP ve IP’den isim çevrilir.Örnek vericek olursak siz bir siteye girerken “https://www.birsite.com/” gibi aslında bu site bir servera bağlıdır ve bu serverin bir IP’si vardır siz DNS’e “https://www.birsite.com/” un IP’si ne diye sorarsınız ve DNS sizi bu sitenin serverinin IP’sine yönlendirir.

Şimdi DNS kayıtlarına bakalım ve bir “NSLOOKUP” sorgusu atalım.

NSLOOKUP sorgusu ile isimden IP veya IP’den isim bulabiliriz.

Kullanımı:CMD>nslookup denemeclient gibi

Görüldüğü üzere sorgumuz bize bir sonuç döndürdü.

Görüldüğü üzere denemeclient DNS kayıtlarına da geldi.

Şimdi client makinemize bir domain useri ile giriş yapalım.

Giriş yapılıyor.

Görüldüğü üzere giriş yapıldı.

Okuduğunuz için teşekkürler.

Görüşmek üzere…