Aktif Dizin Fiziksel Mimarisi

Aktif Dizin mantıksal yapısı ile ağ kaynakları organize edilirken, fiziksel yapısı ile ağ trafiği kontrolü ve ayarlaması gerçekleştirilebilir. Fiziksel tasarım gerçekleştirilirken kullanılacak sistemlerin donanımsal özelliklerine dikkat edilmesi gerekmektedir. Aktif Dizinin fiziksel yapısı Etki Alanı Denetleyicisi (Domain Controller – DC), Genel Katalog (Global Catalog – GC) ve Site olmak üzere 3 temel bileşenden oluşur. Bu yazıda Aktif Dizin’in fiziksel yapısını oluşturan 3 bileşen incelenecektir.

1) Etki Alanı Denetleyicisi (Domain Controller – DC)

Aktif Dizin servisinin kurulduğu ve etki alanının oluşturulduğu bilgisayara etki alanı denetleyicisi adı verilmektedir. Etki alanı denetleyicisi üzerinde Aktif Dizin veri tabanının bir kopyası bulunur. Oturum açma, dizin arama işlemlerini yürütürler. Bir etki alanında birden fazla etki alanı denetleyicisi bulunabilir. Böylece muhtemel hatalar önlenebilmekte ve yük dağılımı gerçekleştirilebilmektedir. Bunun yanında, herhangi bir etki alanı denetleyicisi üzerindeki zafiyetin tüm sistemi tehlikeye atacağı da unutulmamalıdır.

 

2) Genel Katalog (Global Catalog – GC)

Aktif dizinin 3 adet bölümü olduğu belirtilmişti. – Bakınız – Genel Katalog bölümleri şu şekildedir:

• Şema
• Konfigürasyon
• Etki Alanı

Bir etki alanına ilk kurulan etki alanı denetleyicisi, Genel Katalog olarak kurulur. Böylece, yukarıda belirtilen ve yazılabilir olan bölümler, Genel Katalog sunucudaki NTDS.dit dosyasında depolanır.

Etki alanının bulunduğu ormana yeni bir etki alanı daha eklendiğinde bu etki alanındaki yeni etki alanı denetleyicisi de bir Genel Katalog olarak kurulur ve kendi etki alanındaki tüm bölümlerde yazma işlemi gerçekleştirebilir. Ayrıca yeni bir etki alanı kurulumu sırasında diğer etki alanı denetleyicilerin konfigürasyon bölümüne bu bilgi kaydedilir. Kayıt işlemi ile birlikte her iki etki alanı denetleyicisi de diğerinin Etki Alanı Bölümü’nün okunabilir bir kopyasını, kendi üzerine alır. Şekil 2’de Genel Katalog ve Aktif Dizin bölümleri gösterilmektedir.

 

Aynı ormanda olan iki farklı etki alanı denetleyicisi, diğer etki alanındaki tüm nesnelerin bazı özelliklerini depolayabilir. Hangi özelliklerin depolanabileceği nesneyi barındıran etki alanı denetleyicisi üzerinde ayarlanabilir. Şekil 2’de de görüldüğü gibi, etki alanlarından birisinde kurulan ikinci etki alanı denetleyicisi, Genel Katalog olarak kurulmamışsa, sadece kendi etki alanındaki 3 bölümü depolar, diğer etki alanındaki (etki alanı bölümü dahil) hiçbir bölümü depolayamaz.

Etki alan denetleyicileri Genel Katalog olarak ayarlanabilmektedir. Bir etki alanı denetleyicisini Genel Katalog olarak belirlemek için, “Active Directory Sites and Servers” konsolunda NTDS özellikleri kullanılır.

Active Directory Sites and Services > Sites > Site Adı > Servers > Sunucu Adı > NTDS Settings > Properties > General Sekmesi: “Global Catalog”

seçimi yapılır.

 

Bir etki alanı denetleyicisinin Genel Katalog olarak kullanılmasının bir takım amaçları bulunmaktadır.

• Transparanlık: Ormandaki başka bir etki alanında sorgulama işlemlerinde şeffaflık sağlar. Örneğin, ormandaki tüm yazıcıların listelenmesi için sadece bulunulan etki alanındaki Genel Katalog sunucusunda sorgulama yapılması yeterlidir. Her etki alanında ayrı ayrı sorgulama yapılmasına gerek kalmamaktadır.
• Nesnelere Erişim: Nesnelere erişim için SAT adı verilen jetonlar kullanılır. Bu jetonlar içerisinde kullanıcı SID değeri, üye olduğu grupların SID değerleri ve kullanıcıların ayrıcalıkları bulunur. Nesnelere erişilirken jeton içeriisndeki bu değerler kontrol edilerek erişim izinlerine göre erişim sağlanır veya reddedilir. Universal Group üyesi olan bir kullanıcı ormandaki farklı bir etki alanındaki nesneye erişim için Genel Katalog sunucusundan kimliğini doğrulatır. Bunun sebebi Universal Group üyeliklerinin sadece Genel Katalog üzerinde depolanması, etki alanı denetleyicisi üzerinde depolanmamasıdır.
• Oturum Açma: Ormanda farklı bir etki alanında oturum açmak isteyen kullanıcı oturum açmak için UPN (kullaniciadi@etkialaniadi.com.tr) kullandığında Genel Katalog kimlik doğrulama işlemini gerçekleştirir.
• Servisler: Exchange sunucu sürümlerinde olduğu gibi bazı servisler Genel Katalog olmazdan başlayamazlar.

Bunun yanında Genel Katalog kullanımı ile ilgili bir takım öneriler şu şekildedir:

• Performansa açısından her site içerisinde en az bir etki alanı denetleyicisi (DC) bulunması ve bu denetleyicilerin Genel Katalog olarak ayarlanması tavsiye edilmektedir.
• Erişilebilirlik için her site içerisinde, yedek amaçlı olarak, bir tane daha etki alanı denetleyicisi (DC) bulundurulması tavsiye edilmektedir.
• Bant genişliğini çok harcamamak için her etki alanı denetleyicisinin (DC) Genel Katalog olarak kullanılması ve diğer etki alanı denetleyicileri ile çok fazla sorgulama yapılmaması tavsiye edilmektedir.

Bir ormandaki nesne özelliklerinden Genel Katalog ile replike edilmesi ayarlanabilir. Bu işlem Aktif Dizin Şema Yöneticisi veya ADSI Edit kullanılarak nesne özelliklerinden gerçekleştirilebilir.

Active Directory Schema > Attributes > Bir özellik> Özellikler >General sekmesi:“Replicate this attribute to the Global Catalog”

seçilirse replikasyon özellik replikasyonu gerçekleştirilir.

 

Sonrasında

ADSI Edit > Şema Bölümü > Nesne > Özellikler > Attribute Editor Sekmesi > ismemberOfPartialAttributeSet: “True”

olarak belirlenir.

 

Genel Katalog hakkında ayrıntılı bilgi için bakınız:

http://technet.microsoft.com/tr-tr/library/how-global-catalog-servers-work%28v=ws.10%29.aspx

 

3) Site

Birbiri ile ağ iletişimi kuvvetli olan fiziksel yapılardır. Site, ağın hızına ve trafik kapasitesine göre tasarlanır. Bunun yanında aynı bina içerisinde farklı Site kurulumu da gerçekleştirilse de; aralarında erişim hızı yavaş olan veya VPN bağlantısı olan ağlar farklı Site bölümlerine ayrılır. Özellikle oturum açma ve replikasyon işlemlerinin daha hızlı gerçekleşebilmesi için Site yapısının iyi tasarlanması gerekmektedir. Bunun yanında bir Site içerisinde birden fazla etki alanı olabilir veya bir etki alanı birden fazla Site içerebilir.

Bir Site içerisinde bir veya daha fazla alt ağ (subnet) bulunabilmektedir. Böylece bir kullanıcı aynı site içerisinde bulunduğu etki alanı denetleyicisini (DC) kullanarak kimlik doğrulatır. Benzer olarak bir etki alanı denetleyicisi, aynı Site içerisindeki başka bir etki alanı denetleyicisi ile replikasyon işlemini gerçekleştirmek için oluşturulan site ve alt ağ (subnet) bilgilerini kullanılır. Aynı Site içerisinde etki alanı denetleyicisi bulunamazsa, farklı site üzerindeki etki alanı denetleyicisi arayışında bulunulur.

Organizasyon içerisindeki her bir yerel ağ (LAN), içerisinde etki alanı denetleyicisi bulundurmasa dahi, Aktif Dizin üzerinde tanımlanması tavsiye edilmektedir. Eğer bir istemci Aktif Dizin üzerinde tanımlanmamış bir site içerisinde bulunuyorsa, kendisine en uygun etki alanı denetleyicisine erişimde problem yaşayabilmektedir.

Her bir site içerisinde en az bir tane etki alanı denetleyicisi bulunması ve bir tane de etki alanı denetleyicisi bulunması önerilmektedir. Site yapısı Şekil 6’da görülmektedir.