Microsoft Ortamında Aktif Dizin Replikasyonu

0
1032
views
Yüksek erişilebilirlik ve yedekli yapı oluşturmak amacıyla kurumlarda birden fazla etki alanı deneyleticisi (DC) kullanılabilmektedir. Etki alanındaki tutarlılık için kurumdaki etki alanı denetleyicilerinin barındırdıkları nesnelerin eşlenik olması gereklidir. Bu yazıda da Microsoft ortamındaki Aktif Dizin nesnelerinin aktarım işlemi (Aktif Dizin Replikasyonu) incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Etki alanındaki bir istemci bilgisayar da kendisine en uygun (ve genellikle de en yakın) etki alanı denetleyicisi üzerinden işlemlerini (güncel politikayı alma gibi) gerçekleştirir. Belirli bir etki alanı denetleyicisine erişmek yerine herhangi bir etki alanı denetleyicisi üzerinden işlemlerin sağlanabilmesinin sebebi, bir etki alanı denetleyicisi üzerindeki yeni bilgilerin diğer etki alanı denetleyicilere aktarılmasıdır. Microsoft ortamındaki Aktif Dizin nesnelerinin aktarım işlemine Replikasyon adı verilir. Replikasyon işlemleri Kerberos protokolü ile gerçekleştirilir.

 

1) Replike Edilen Nesneler

Replikasyon ile Aktif Dizin veritabanı tüm etki alanı denetleyicilerinde eşitlenir. Replikasyonda nesnelerin tamamı değil sadece özellikleri (properties) kopyalanır. Bu sayede birbirinden uzak veya arasındaki bağlantı yavaş olan etki alanı denetleyicileri etkin bir şekilde replike olmaktadır. Replike edilen nesneler 4’e ayrılabilir:

  • Etki alanı bölümündeki veriler: Etki alanı bölümü içerisindeki bilgiler (OU, kullanıcılar, bilgisayarlar, gruplar…) aynı etki alanı içerisindeki etki alanı denetleyiciler ile replike edilir.
  • Yapılandırma verileri: Yapılandırma bölümü içerisindeki bilgiler (Site / alt ağ bilgileri, güven ilişkileri, …) aynı orman içerisindeki etki alanı denetleyicileri ile replike edilir.
  • Şema içerisindeki veriler: Şema bölümü içerisindeki bilgiler (sınıflar, attribute’lar,…) aynı orman içerisindeki etki alanı denetleyiciler ile replike edilir.
  • Uygulama verileri: Uygulama verileri (DNS bölge verileri, kayıt değerleri,…) aynı orman ve aynı etki alanı içerisindeki etki alanı denetleyiciler ile replike edilir.

Replikasyon sürecinde, Aktif Dizin bölümleri (Naming Context) ayrı ayrı replike olurlar. Böylece ağ tıkanıklığı oluşmaz.

Replikasyon işlemleri 4 durumda gerçekleşir:

  • Nesne oluşturulduğunda
  • Nesne üzerinde değişiklik yapıldığında
  • Nesne taşındığında
  • Nesne silindiğinde

Bu 4 olaydan birisi gerçekleştiğinde, nesnenin bulunduğu etki alanı denetleyicisi tarafından (Originating Update) veya güncellemeyi alan etki alanı denetleyicisi tarafından (Replicated Update) replikasyon süreci başlatılır.

Not: Bir etki alanı dentleyicisi kapalı iken, başka bir etki alanı denetleyicisinde nesnenin silinirse, (Windows 2008 R2 ve sonrasında) nesne tombstone yaşam süresi sonrasında silinir. Ancak kapalı olan etki alanı denetleyicisi açıldığında replikasyon hata verir ve Ayrılamayan Nesne (Lingering Object) oluşur. Bunu önlemek için oluşan bu nesneler silinmelidir.

 

2) Replikasyon Model Bileşenleri

Aktif Dizin replikasyon modelleme, replikasyon işlemlerinin nasıl gerçekleşeceğini belirtir. Bu başlık altında DC1, DC2, DC3, DC4 ve DC5 etki alanları örnek olarak kullanılarak replikasyon modelinin bileşenleri incelenecektir.

  • Çok Başlılık – Dağıtık Yapı (Multimaster Replication): Replikasyon işlemlerinde merkezi bir yapı (master-slave) yerine, dağıtık bir yapı (multi master) kullanılmaktadır. Bu sayede, replikasyon sırasında en son gelen güncelleme eski bilgilerin üzerine yazılmaktadır ve bu görevi üstlenen belirli bir yetkili (authoritative) etki alanı denetleyicisi yoktur. RODC (Read Only Domain Controller) hariç her etki alanı denetleyicisi Aktif Dizin veritabanına yazabilir (kullanıcı eklenebilir, nesne özelliği değiştirilebilir,…), her etki alanı denetleyicisi diğer herhangi bir etki alanı denetleyicisinden güncelleme kabul edebilir. Ayrıca, dağıtık yapı sayesinde, bir etki alanı denetleyicisi diğer etki alanlarının tamamı ile tek tek konuşmaya ihtiyaç duymadan kurumdaki replikasyon topolojisine göre, belirli etki alanı denetleyicileri ile replikasyonu gerçekleştirir. Böylece, tek bir etki alanı denetleyicisine bağımlılık kalmaz, ölçeklendirilebilir bir yapı kurulmuş olur. Dağıtık yapıdan kaynaklanan tutarsızlığın önğne geçmek için en son gelen güncelleme, eski bilgilerin üzerine yazılmaktadır. Replikasyondaki bu özelliğe Multimaster Conflict Resolution adı verilir.
  • Değişikliklerin Çekilmesi (Pull Replication): Bir etki alanı denetleyicisi üzerinde güncelleme olduğunda diğer etki alanı denetleyicilerine güncelleme olduğu bilgisini gönderir. Sonrasında da diğer etki alanı denetleyicileri, bu güncellemeleri çeker. Yani güncel olan etki alanı denetleyicisi, diğerlerine güncellemeleri göndermez / itmez (push). Çünkü değişikliklerin gönderilmesi durumu (push) problemli bir yapı doğrucaktır. Örneğin, DC1 üzerinde güncelleme olduğunda; DC1, DC2’ye güncellemeleri göndermiş olsa idi; DC3’ün aynı güncellemeyi göndermemiş olup olmadığını kontrol etmesi gerekirdi. Ancak Pull replikasyon modeli ile böyle bir kontrole gerek kalmadan, güncellemeyi talep eden tarafından değişiklikler çekilir. Bu durum da gereksiz ağ trafiğinin oluşmasının önüne geçer.
  • Depola ve İletme (Store-and-Forward Replication): Bir etki alanı denetleyicisinde değişiklik olduğunda; diğer etki alanı denetleyicileri, değişiklikleri bu etki alanı denetleyicisinden almaz; her bir etki alanı alt kümesinde (Site) için belirli bir etki alanı denetleyicisi güncellemeleri çeker. Örneğin; DC1’deki güncelleme, DC3 tarafından çekildikten sonra; DC5, güncel durumu, DC3’ten alır (DC1’den almaz). Böylece yük dengeleme dağıtılmış olur.
  • Durum Temellilik (State-Based Replication): Ortamdaki her etki alanı denetleyicisi diğer etki alanı denetleyicilerindeki değişiklikleri, işlem kayıtların (transaction log) değil, nesnelerin ve özelliklerinin (object / attribute) durumlarından ve değerlerinden takip eder. Böylece, bir özellik (attribute) için birden fazla değişiklik yapılarak çakışmaların ve tekrarlamaların önüne geçilir; ağ üzerinde az band genişliği harcanır. Bunun yanında nesnelerin sadece değişen özelliklerinin değil, tüm nesnenin değişmesi durumunda hem performans hem de tutarlılık problemleri ortaya çıkabilirdi.

Replikasyon modellemenin temel yararları aşağıdaki gibi özetlenebilir:

  • Erişilebilirlik: Multi Master replikasyon sayesinde herhangi bir etki alanı denetleyicisinden güncel durum alınabilir. Eğer merkezi bir yapı olsaydı ve Master etki alanı denetleyicisi erişilemez olsaydı, hesabı kilitlenen veya hesabı etkileştirilmesi gereken kullanıcı oturum açamaz olurdu.
  • Etkin Veri Transferi: Durum temelli replikasyon ve Güncellemeleri çekebilme özellikleri sayesinde, en az ağ trafiği kullanılarak etkin bir replikasyon sağlanır.
  • Tutarlılık: Etki alanındaki nesneler arasında tutarlılık sağlanır.
  • Çakışma Kontrolü: İki farklı etki alanı denetleyicisinde aynı nesne / özellik (attribute) üzerinde aynı anda değişiklik yapıldığında sadece bir değişiklik geçerli olur.

 

3) Knowledge Consistency Checker (KCC) Servisi

Replikasyon işleminin oluşturulması Knowledge Consistency Checker (KCC) servisi tarafından gerçekleştirilir. KCC, DSA (Directory System Agent) ve ESE (Extensible Storage Engine) servisleri ile beraber, Aktif Dizin veritabanını dinler. KCC temel olarak; etki alanı denetleyicileri arasındaki replikasyon bağlantısını başlayan ve bağlantıyı ayarlayan servistir. Bu servis her etki alanı denetleyicisinde çalışır. KCC servisi, replikasyon bağlantısını kurmadan önce mevcut değerlere göre en iyi bağlantıyı hesaplar, daha sonra replikasyonu başlatır, ancak replikasyon işlemini kendisi gerçekleştirmez. KCC servisi sayesinde ortama yeni bir etki alanı denetleyicisi eklendiğinde, KCC tarafından halka (Ring) şeklinde yeni bir yapı / yol (path) oluşturulur ve replikasyon en fazla 3 adımda gerçekleşmesi sağlanır.

 

4) Replikasyonların İzlenmesi && Takibi

Replikasyonların güncellenmesi sırasında replike edilecek nesneleri takip etmek, döngüyü önlemek, etkin bir şekilde replikasyonu gerçekleştirmek için bir takım kontroller bulunmaktadır. Bu kontroller aşağıdaki gibidir:

  • Güncelleme Sıra Numarası (Update Sequence Numbers – USN): Nesnenin güncellik numarasını tutan 64 bitkil DWORD değeridir. Bir nesne güncellendiğinde o nesne için USN 1 arttırılır. Böylece o nesne için güncelleme olduğu belli olur ve diğer etki alanı denetleyicileri, o nesne için kendisindeki USN değeri düşük olduğu için, değişikliği alır. Her etki alanı denetleyicisinde aynı nesne için farklı USN tanımlandığı için, aynı nesne üzerindeki değişiklikler birbirleri ile karışmamış olur. Bir nesne oluşturulduğudunda USNCreated değeri ve USNChanged değeri eşlenik olurken; bu nesne üzerinde değişiklik yapıldığında USNChanged değeri 1 artar, USNCreated değeri ise aynı kalır.
  • Yüksek Damga Değeri (High-Watermark Values – HWV): Aktif Dizin veritabanı üzerinde değişiklik olduğunda bu değer de 1 artar. Bir etki alanındaki replike edilen nesneler arasında en yüksek olan USN değeri, HWMV olarak belirlenir.
  • Güncellik Vektörü (Up-to-dateness Vectors): Aktif Dizin veritabanı üzerinde etki alanı denetleyicisinin kendisi tarafından bir değişiklik olduğunda (replikasyon sebebi ile değil, kendisi değişikliğe sebep olmuşsa) bu değer de 1 artar. Böylece replikasyon sırasında döngüye düşülmez. Bir etki alanı denetleyicisinin kendisi tarafından oluşturulan değişikliklerin başka bir etki alanı denetleyicisi tarafından sunulmasını önleyen bu özelliğe Yayılımın Bastırılması (Propagation Dampening) adı verilir.
  • Değişiklik Damgası (Change Stamps): Replikasyon sırasında bir hata oluşabilir. Örneğin; bir etki alanı denetleyicisinde bir nesnenin özelliği değiştirilirken, aynı nesne farklı bir etki alanı denetleyicisinde silinebilir veya aynı özelliği değiştirilebilir; farklı etki alanı denetleyicilerinde aynı isimde iki nesne aynı yerde oluşturulabilir;… Bu gibi durumlarda hata kontrolü için 3 bileşen vardır.
    • Sürüm (Version): Nesnelerin sürüm numarasıdır. En yüksek sürüm numarası en güncel değerdir.
    • Kaynak Olay Zamanı (Originating Time): Nesnelerin en son değişikliğe uğradığı zamandır.
    • Kaynak Sunucu (Originating DSA): Nesnelerin değişikliğe uğratıldığı etki alanı denetleyicisine ait GUID (Globally Unique Identifier) bilgisi. GUID; nesnenin hiç bir zaman değişmeyen 128 bitlik ID bilgisidir. DNS üzerinden etki alanu denetleyicisini tespit etmek için kullanılır.

 

5) Replikasyon Kıstasları

Replikasyon işlemi, sistem yönetici tarafından belirlenen bazı kıstaslara göre gerçekleşir. Bu kıstaslardan bazıları şunlardır:

  • Cost: Replikasyonun sebep olacağı maliyet
  • Schedule Time: Replikasyonun gerçekleşme saati
  • Interval: Replikasyonun gerçekleşmesi için gereken süre aralığı.
  • Transitivity States: Replikasyonun geçişlilik durumu

 

6) Replikasyon Türleri

Replikasyon işleminin gerçekleştirileceği etki alanı denetleyicilerinin aynı Site içerisinde bulunup bulunmadığına göre iki çeşit replikasyon tanımlanabilir:

Şekil - 1: Replikasyon Türleri
Şekil – 1: Replikasyon Türleri

 

6.1) Site İçi Replikasyon (Intrasite Replication)

Aynı Site içerisindeki etki alanı denetleyiciler (DC) arasında gerçekleştirilir. Asıl amaç aynı Site içerisindeki etki alanı denetleyicilerinin replikasyon gecikmelerini en aza indirmektir. KCC’nin replikasyon nesnelerini oluşturması ve bağlantıyı başlatması otomatik olarak gerçekleşir. Herhangi bir etki alanı denetleyicisi üzerinde değişiklik gerçekleştirildiğinde Change Notification oluşturur ve aynı Site içerisindeki etki alanı denetleyicilerine 15 saniyede bir bu değişikliği bildirir. Diğer etki alanı denetleyicileri de bu değişikliği almak istediklerine dair bilgi verir ve replikasyon işlemi başlatılır.

Şekil - 2: Site İçi Replikasyon (Intrasite Replication)
Şekil – 2: Site İçi Replikasyon (Intrasite Replication)

 

Aynı Site içerisindeki etki alanı denetleyiciler arasında Acil (Urgent) Replikasyon gerçekleştirilebilir. Acil replikasyonda, normal replikasyon zamanının gelmesi (ve 15 saniyelik hata payı süresi) beklenmeden güvenlikle ilgili bazı kritik değişikliklerin gerçekleştirilmesi sağlanır. Hesap kilitlenmesi, etki alanını parola politikasının değişmesi, kullanıcı parolasının değişmesi, DC bilgisayar hesabının değişmesi, RID Master Owner değişikliği,… kritik değişikliklere örnek olarak verilebilir. Acil replikasyon gerçekleşeceği zaman, kritik değişikliği barındıran kaynak etki alanı denetleyicisi, bu değişiklik bilgisini PDC (birincil etki alanı denetleyicisi) emülatör rolüne sahip etki alanı denetleyicisine gönderir.

Aynı Site içerisindeki replikasyonda, etki alanı denetleyicileri arasındaki bağlantı hızının yüksek olduğu varsayıldığından, replikasyon için herhangi bir sıkıştırma işlemi yapılmaz. Sıkıştırma işlemi yapılmadığı için bant genişliği fazla harcanmasına rağmen, sunuculara sıkıştırma operasyonu için ek maliyet getirmez.

Aynı Site içerisindeki replikasyon işlemi el ile (manuel olarak) gerçekleştirilebilse de, otomatik olarak gerçekleştirilmesi tavsiye edilmektedir.

Aynı Site arasındaki etki alanı denetleyicilerinde replikasyon işlemleri sadece RPC over IP ile gerçekleştirilebilir.

 

6.2) Site’lar Arası Replikasyon (Intersite Replication)

Farklı Site içerisindeki etki alanı denetleyicileri arasında gerçekleştirilir. Asıl amaç farklı Site içerisinde bulunan etki alanı denetleyicileri arasında çok fazla ağ trafiği oluşturmadan replikasyon işlemini gerçekleştirmektir.

Şekil - 3: Site'lar Arası Replikasyon (Intersite Replication)
Şekil – 3: Site’lar Arası Replikasyon (Intersite Replication)

 

Site arası replikasyonda varsayılan olarak her değişiklik oluştuğunda replikasyon başlamaz, yani Notification olayı gerçekleşmez. Bunun yerine, ağ trafiğini yormamak için replikasyon süresi belli aralıklarla yapılabilir veya replikasyon işlemi ağ trafiğinin fazla olmadığı gece saatlerine bırakılabilir. Site’lar arası replikasyon süresi varsayılan olarak 180 dakikada olmakla birlikte; en az 15 dakika, en çok da 10080 dakika (1 hafta) olarak ayarlanabilir. Bu işlem “Active Directory Sites and Services” konsolunda gerçekleştirilir.

Active Directory Sites and Services > Sites > Inter-Site Transports > IP veya SMTP > Site Link değeri > Properties > General sekmesi > Replicate every değeri

Şekil - 4: Site'lar Arası Replikasyon Yapılandırılması
Şekil – 4: Site’lar Arası Replikasyon Yapılandırılması

 

Site arası replikasyon işlemini de KCC servisi oluşturulur ancak bu işlem normalde otomatik olarak gerçekleştirilmez. Otomatikleştirme işlemi için sistem yöneticisi, Site Link adı verilen bağlantılar oluşturarak bir takım seçenekleri ayarlar. Site Link, özetle Site’lar arasındaki fiziksel bağlantıyı temsil eder. Hizmet dışı bırakma (DoS) gibi saldırılara karşı önlem almak için iki farklı Site arasında birden fazla Site Link kullanılabilir. Böylece KCC en az maliyetli olan (“cost” değeri en düşük) replikasyon yolunu hesaplar; maliyet sırasına ve bağlantı güvenilirliğine göre replikasyon yolunu belirler.

Not: Site Link, birbirinden farklı iki Site arasındaki fiziksel bağlantıyı temsil eder. Site Link’ler varsayılan olarak birbirine bağlıdır, yani Bridged moddadır. Ancak, ağ altyapısı uygun olarak yönlendirilmemiş (routed) olan ve tüm Site’ların birbiri ile erişilebilir olmadığı ağlarda, Site Link Bridge adı verilen köprüler oluşturulmalıdır. Site Link Bridge kullanılacaksa “Bridge all site links” işaretli olmamalıdır. Bu işlem “Active Directory Sites and Services” konsolunda gerçekleştirilir.

Active Directory Sites and Services > Sites > Inter-Site Transports > IP > Özellikleri > General Sekmesi: “Bridge all site links” seçimi kaldırılır.

İki farklı Site arasındaki replikasyonda, etki alanı denetleyicileri arası bağlantı hızının düşük olduğu varsayıldığından, replikasyon için sıkıştırma işlemi uygulanır. Sıkıştırma işlemi köprübaşı sunucularında (Bridgehead Server) gerçekleşir ve bu işlem ek CPU harcanmasına sebep olur. Ancak istenirse, sıkılaştırma işlemi iptal edilerek, Notification aktifleştirilebilir, böylece her değişiklik gerçekleştiğinde replikasyon başlatılır. Bu durum da çok fazla ağ trafiği oluşmasına sebep olabilir.

Intersite Topology Generator (ISTG) servisi; site’lar arası replikasyon sürecinde Köprübaşı sunucuların belirlenmesinde, replikasyon sırasında gerekli bağlantı yolların belirlenmesinde görev alır. Bunun yanında, ISTG tarafından otomatik belirlenen Köprübaşı sunucusu yerine manuel olarak Köprübaşı sunucusu (Preferred BridgeHead Server) belirlenebilir. Manuel atama sırasında; ISTG servisi replikasyon sırasında belirleme yapmadığı için, belirlenen etki alanı denetleyicisi hizmet veremediğinde, başka bir etki alanı denetleyicisi manuel olarak belirlenmesi (Preferred BridgeHead Server olarak atanması) gerekir.

Farklı iki Site arasındaki etki alanı denetleyicilerinde replikasyon işlemleri RPC over IP veya SMTP ile gerçekleştirilebilir.

 

7) Replikasyon Protokolleri

Replikasyon işlemleri için RPC over IP (Remote Procedure Call over IP) ya da SMTP (Simple Mail Transfer Protocol) protokolleri kullanılır.

 

7.1) RPC over IP

Aralarında hızlı bağlantı olan etki alanı denetleyicileri arasında RPC over IP protokolü ile gerçekleştirilir. Daha yavaş olan bağlantılar için IP kullanılabilir. Aynı Site içerisinde veya farklı iki Site’larda bulunan etki alanı denetleyicilerinde replikasyon işlemleri RPC over IP ile gerçekleştirilir.

RPC over IP protokolü ile senkronize iletişim kurulur. TCP gibi verinin gönderildiğinden emin olunur.

Bir bağlantı nesnesinin taşınması, RPC over IP yerine IP üzerinden gerçekleşecek şekilde değiştirilirse, bu bağlantı nesnesi KCC servisinin kontrolünden çıkar. Bu durum tavsiye edilmeyen bir durum olduğu için, değiştirilen bağlantı nesnesinin silinmesi tavsiye edilmektedir. Silinen bu bağlantı nesnesi yerine otomatik olarak yeni bir bağlantı nesnesi, KCC servisi tarafından oluşturulmaktadır.

7.2) SMTP

Replikasyon için IIS SMTP servisi de kullanılabilir. SMTP protokolünde, bir etki alanı denetleyicisi, diğer etki alanı denetleyicisinin sertifikasını kullanarak, replike edilecek veriyi şifreler ve karşı tarafa posta yolu ile gönderir. Yani iki etki alanı denetleyicisi birbiri ile direk konuşmaz, mail sunucusu aracılığı ile replikasyon gerçekleşir. Günümüzde SMTP ile replikasyon kullanımının oldukça azaldığı söylenebilir.

SMTP protokolü, sadece farklı iki site arasındaki replikasyon için kullanılır, aynı Site içerisindeki etki alanı denetleyicilerinin replikasyonlarında kullanılmaz. Bunun yanında SMTP protokolü tek bir etki alanının bulunduğu durumda da kullanılamaz. Farklı etki alanlarındaki veya iyi yönlendirilmemiş (not fully routed) ağlardaki denetleyicilerin replikasyonlarında kullanılır.

SMTP ile gerçekleştirilen replikasyonda, grup ilkeleri replike edilmez. Aktif Dizin veri tabanının bölümlerinden olan şema ve konfigürasyon bölümlerinin veya Genel Katalog’un replikasyonunda kullanılabilir. Bunun yanında, SMTP ile replikasyonda zamanlama seçenekleri kullanılamaz. Belli günlerde replikasyonun gerçekleştirilmesi gerekiyorsa RPC over IP protokolü kullanılmalıdır.

SMTP ile replikasyonda asenkron bir iletişim kurulur. UDP’de olduğu gibi verinin gönderildiğinden emin olunmayabilir.

SMTP daha az band genişliği harcamaktadır ancak her zaman RPC over IP protokolünün kullanılması tavsiye edilmektedir.

 

8) Replikasyon Konusunda Dikkat Edilecek Noktalar

Replikasyon konusunda dikkat edilmesi gereken bazı noktalar vardır. Bu noktalardan bazıları şu şekildedir:

  • En son gelen güncelleme eski bilgilerin üzerine yazılmaktadır. Bu sebeple replikasyon sırasında zaman damgası çok büyük öneme sahiptir. Sistemler arasındaki zaman senkronizasyonuna dikkat edilmelidir.
  • Her kritik veri transferinde olduğu gibi replikasyon trafiğinin de güvenilirliği sağlanmalıdır. İki farklı Site arası replikasyon için VPN veya IPSec teknolojileri kullanılmalıdır. Bunun yanında SMTP protokolü ile farklı 2 site arasındaki replikasyon için SMTPS ve S/MIME sertifikaları kullanılabilir.
  • Replike olan her etki alanı denetleyicisinin güvenliği önem arz etmektedir. Replike etki alanı denetleyicilerinden birisindeki bir zafiyet sonucu ele geçirilmesi ile bütün etki alanı tehlike altına girebilmektedir.
  • KCC servisinin aynı Site içerisindeki veya farklı 2 site arasındaki replikasyonu otomatik olarak gerçekleştirmesi tavsiye edilmektedir. Ancak Site sayısı 100’ün üzerinde ise KCC servisinin en uygun replikasyon güzergâhını bulması zorlaşacağı için, farklı iki Site arasındaki replikasyon için bağlantı nesnelerinin el (manuel) ile oluşturulması tavsiye edilmektedir.
  • Ağ trafiğini çok yormamak için köprübaşı sunucularının Genel Katalog sunucusu olması tavsiye edilmektedir.

 

Kaynak:

https://technet.microsoft.com/en-us/library/cc961790.aspx
https://technet.microsoft.com/en-us/library/cc737314.aspx
https://technet.microsoft.com/en-us/library/cc961798.aspx
http://www.cozumpark.com/blogs/windows_server/archive/2011/03/12/aktif-dizin-replikasyonu-active-directory-replication.aspx

Active Directory Site and Services


http://www.engincapat.com/active-directory-replikasyon-active-directory-replication-iv
https://www.youtube.com/watch?v=5548E15egWY (3 bölüm)
https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/microsoft-active-directory-partitions-and-naming-context/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.