İki Etki Alanı Arasında Tek Yönlü Güven İlişkisinin Kurulması

Kurumlarda farklı etki alanları arasında bilgi ve kaynak paylaşımı gerçekleştirmek, birden farklı etki alanını merkezi olarak yönetmek, şirket evlilikleri / birleşmeleri sebebi ile etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda iki farklı etki alanı arasında tek yönlü güven ilişkisi kurulması incelenecektir.

Bu yazıda güven ilişkisi kurulacak iki etki alanından birisi “sirket.com.tr” (güven duyulacak), diğeri “ornek.com.tr” (güven duyacak) olarak seçilmiş olu ağ erişimleri (88, 139,…) olduğu varsayılmıştır. Yazıda “ornek.com.tr” etki alanı,  “sirket.com.tr” etki alanına tek yönlü olarak güvenecektir. Yazı 5 başlık altında incelenecektir.

  1. “ornek.com.tr” etki alanı deneleyicisinin (DC), “sirket.com.tr” etki alanının adını çözmesi sağlanacaktır.
  2. “sirket.com.tr” etki alanı deneleyicisinin, “ornek.com.tr” etki alanının adını çözmesi sağlanacaktır.
  3. “ornek.com.tr” etki alanı denetleyicisinde, “sirket.com.tr” etki alanına güven duyulması için gerekli yapılandırma ayarları gerçekleştirilecektir.
  4. “sirket.com.tr” etki alanı denetleyicisinde güven ilişkisi doğrulanacaktır.
  5. Güven ilişkisi test edilecektir.

 

1) Güven Duyan DC Üzerinde Ağ Ayarlarının Yapılması

Öncelikle güven duyacak DC sunucu (“ornek.com.tr”), diğer DC’nin etki alanı adını (“sirket.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.

DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

Şekil - 1: Güven Duyulan DC Sunucusuna Erişim Denemesi

Şekil – 1: Güven Duyulan DC Sunucusuna Erişim Denemesi

 

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

Şekil - 2: DNS Konsolunun Başlatılması

Şekil – 2: DNS Konsolunun Başlatılması

 

“sirket.com.tr” son eki ile tamamlanan tüm sorguların 192.168.100.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

Şekil - 3: Koşullu Yönlendirici Oluşturulması - 1

Şekil – 3: Koşullu Yönlendirici Oluşturulması – 1

 

IP ve etki alanı eşleşmesine ait kayıt girilir.

Şekil - 4: Koşullu Yönlendirici Oluşturulması - 2

Şekil – 4: Koşullu Yönlendirici Oluşturulması – 2

 

Kayıt girişi tamamlanmıştır.

Şekil - 5: Koşullu Yönlendiricinin İzlenmesi

Şekil – 5: Koşullu Yönlendiricinin İzlenmesi

 

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

Şekil - 6: DNS’in Yeniden Başlatılması

Şekil – 6: DNS’in Yeniden Başlatılması

 

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Şekil - 7: Güven Duyulan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

Şekil – 7: Güven Duyulan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

 

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.

ipconfig /flushdns

Eğer hata devam ediyorsa ağ kartı devre dışı bırakılıp, yeniden etkinleştirilir.

 

2) Güven Duyulan DC Üzerinde Ağ Ayarlarının Yapılması

Güven duyulacak DC sunucu (“sirket.com.tr”), diğer DC’nin etki alanı adını (“ornek.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.

DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

Şekil - 8: Güven Duyan DC Sunucusuna Erişim Denemesi

Şekil – 8: Güven Duyan DC Sunucusuna Erişim Denemesi

 

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

Şekil - 9: DNS Konsolunun Başlatılması

Şekil – 9: DNS Konsolunun Başlatılması

 

“ornek.com.tr” son eki ile tamamlanan tüm sorguların 192.168.101.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

Şekil - 10: Koşullu Yönlendirici Oluşturulması - 1

Şekil – 10: Koşullu Yönlendirici Oluşturulması – 1

 

IP ve etki alanı eşleşmesine ait kayıt girilir.

Şekil - 11: Koşullu Yönlendirici Oluşturulması - 2

Şekil – 11: Koşullu Yönlendirici Oluşturulması – 2

 

Kayıt girişi tamamlanmıştır

Şekil - 12: Koşullu Yönlendiricinin İzlenmesi

Şekil – 12: Koşullu Yönlendiricinin İzlenmesi

 

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

Şekil - 13: DNS’in Yeniden Başlatılması

Şekil – 13: DNS’in Yeniden Başlatılması

 

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Şekil - 14: Güven Duyan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

Şekil – 14: Güven Duyan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

 

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.

ipconfig /flushdns

 

3) Güven İlişkisinin Kurulmasının Talep Edilmesi

Bu başlıkta yapılacak işlemler güven ilişkisi kurulmasını talep eden DC sunucusu üzerinde gerçekleştirilecektir.

 

Şekil - 15: Active Directory Domains and Trusts Uygulamasının Çalıştırılması

Şekil – 15: Active Directory Domains and Trusts Uygulamasının Çalıştırılması

 

Şekil - 16: İlgili Etki Alanı Üzerinden Trust Özelliğine Geçiş

Şekil – 16: İlgili Etki Alanı Üzerinden Trust Özelliğine Geçiş

 

Şekil - 17: Yeni Bir Trust İlişkisinin Oluşturulması

Şekil – 17: Yeni Bir Trust İlişkisinin Oluşturulması

 

Şekil - 18: Trust İlişkisi Kurulmak İstenen Etki Alanının Belirtilmesi

Şekil – 18: Trust İlişkisi Kurulmak İstenen Etki Alanının Belirtilmesi

 

Bu adımdan sonra, kurulacak trust ilişkisinin türü seçilmelidir. Aynı forest içerisinde olan etki alanları arasında bu tür bir ilişki kurulacak ise Forest trust, farklı forest’lere ait etki alanları arasında trust ilişkisi kurulacaksa External trust seçilmelidir.

Şekil - 19: Trust İlişkisinin Türünün Belirtilmesi

Şekil – 19: Trust İlişkisinin Türünün Belirtilmesi

 

Bu adımdan sonra trust ilişkisinin şekli belirlenmelidir, iki tarafın da birbiri üzerinde kimlik doğrulaması sağlayabileceği (Two-way), taraflardan birinin diğeri üzerinde kimlik doğrulama sağlayabileceği (One-way:incoming veya One-way:outgoing) trust ilişkisinin yönü belirtilir.

Şekil - 20: Trust İlişkisinin Yönünün Belirtilmesi

Şekil – 20: Trust İlişkisinin Yönünün Belirtilmesi

 

Sıradaki adımda güven ilişkisine yönelik ayarlamaların her iki etki alanında da yapılması için gelen ekranda Both this domain and the specific domain seçilmelidir.

Şekil - 21: Trust İlişkisine Ait Ayarlamalar

Şekil – 21: Trust İlişkisine Ait Ayarlamalar

 

Şimdiki adımda her iki etki alanda da trust ayarlamaları yapılacağı için, karşı etki alanında yetkili bir kullanıcı hesap bilgisi girilmelidir.

Şekil - 22: Kullanıcı Bilgilerinin Girilmesi

Şekil – 22: Kullanıcı Bilgilerinin Girilmesi

 

Şekil - 23: Trust İlişkisinin Kapsamı

Şekil – 23: Trust İlişkisinin Kapsamı

 

Şekil - 24: Trust İlişkisine Ait Özet

Şekil – 24: Trust İlişkisine Ait Özet

 

Şekil - 25: Trust İlişkisine Ait Özet -2

Şekil – 25: Trust İlişkisine Ait Özet -2

 

Karşı etki alanında gereken güven ayarlamalarının doğru yapılıp yapılmadığının kontrolü için aşağıdaki ekrana ait ayarlar gösterilen şekilde seçilmelidir.

Şekil - 26: Diğer Etki Alanına Ait Trust Ayarlarının Kontrolü

Şekil – 26: Diğer Etki Alanına Ait Trust Ayarlarının Kontrolü

 

 

Bu adımlardan sonra güven ilişkisinin talep edilme işlemi tamamlanmıştır.

Şekil - 27: Güven İlişkisinin Tamamlanması

Şekil – 27: Güven İlişkisinin Tamamlanması

 

Finish butonuna basıldığında SID filtrelemesinin etkin olduğu uyarısı ile karşılaşılır.

Şekil - 28: SID Filtrelemesinin Etkin Olduğuna Dair Uyarının Gözlenmesi

Şekil – 28: SID Filtrelemesinin Etkin Olduğuna Dair Uyarının Gözlenmesi

 

Diğer etki alanının kontrolünden sonra işlem tamamlanmış olur, her iki etki alanına ait trust ilişkileri aşağıdaki gibi olmalıdır.

Şekil - 29: "ornek.com.tr" Etki Alanında Trust Görünümü

Şekil – 29: “ornek.com.tr” Etki Alanında Trust Görünümü

 

Yapılan işlemlerin doğrulaması için yukarıdaki ekranda Properties butonuna basıldığında aşağıdaki ekran görüntüsü ile karşılaşılır. Bu ekranda Validate butonuna basıldığında güven ilişkisinin uygun bir şekilde gerçekleştirildiğine dair bir mesaj görüntülenecektir.

Şekil - 30: "ornek.com.tr" Etki Alanında Güven İlişkisinin Doğrulanması

Şekil – 30: “ornek.com.tr” Etki Alanında Güven İlişkisinin Doğrulanması

 

Talep Edilen Güven İlişkisinin Onaylanması

Bu başlıkta yapılacak işlemler güven ilişkisi kurulması talep edilen DC sunucusu üzerinde gerçekleştirilecektir.

İkinci etki alanında talep edilen bu güven ilişkisinin onaylanması gerekmektedir. Bu amaçla ikinci DC sunucusunda Active Directory Domains and Trusts konsoluna gelinir. Bu konsolda etki alanı adı (sirket.com.tr) sağ tıklanıp “Properties” seçildiğinde Trust sekmesine gelinir. Aşağıdaki ekran görüntüsünde talep edilen güven ilişkisi görülmektedir.

Şekil - 31: "sirket.com.tr" Etki Alanına Ait Trust Görünümü

Şekil – 31: “sirket.com.tr” Etki Alanına Ait Trust Görünümü

 

Yapılan işlemlerin doğrulaması için yukarıdaki ekranda Properties butonuna basıldığında aşağıdaki ekran görüntüsü ile karşılaşılır. Bu ekranda Validate butonuna basıldığında güven ilişkisinin uygun bir şekilde gerçekleştirilmesi için kullanıcı bilgilerinin girilmesi istenecektir.

Şekil - 32: "sirket.com.tr" Etki Alanında Güven İlişkisinin Doğrulanması

Şekil – 32: “sirket.com.tr” Etki Alanında Güven İlişkisinin Doğrulanması

 

Doğrulama işleminden sonra güven ilişkisinin tamamlandığına dair bir mesaj görüntülenecektir.

Şekil - 33: Güven İlişkisinin Onaylama Sürecinin Tamamlanması

Şekil – 33: Güven İlişkisinin Onaylama Sürecinin Tamamlanması

 

Güven İlişkisinin Test Edilmesi

İkinci etki alanı (ornek.com.tr), birinci etki alanına (sirket.com.tr) güvendiği için; ikinci etki alanındaki bir kaynağa (PC.ornek.com.tr), birinci etki alanındaki bir kullanıcı (Sirket\*) erişebilmektedir. Ancak tam tersi geçerli değildir. Çünkü kurulum sırasında “One-way: outgoing” güven ilişkisi kurulmuştur.

Birinci etki alanındaki bir bilgisayarda (PC.sirket.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

Şekil - 34: Güvenilen Kaynağa Güven Duyan Tarafın Erişmesi

Şekil – 34: Güvenilen Kaynağa Güven Duyan Tarafın Erişmesi

 

İkinci etki alanındaki bir bilgisayarda (PC.ornek.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

Şekil - 35: Güvenen Kaynağa Güvenilen Tarafın Erişmesi

Şekil – 35: Güvenen Kaynağa Güvenilen Tarafın Erişmesi

 

Yani bir kimlik doğrulama mekanizması tarafından bu işlemin gerçekleştirilmediği belirtilmektedir. Bu mekanizma da güven ilişkisi kurulumu sırasında belirtilen “Selective Authentication” korumasıdır. Bu koruyucu mekanizma ile ilgili uygulama daha sonraki yazıda gerçekleştirilecektir.

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.