Bu yazıda güven ilişkisi kurulacak iki etki alanından birisi “sirket.com.tr” (güven duyulacak), diğeri “ornek.com.tr” (güven duyacak) olarak seçilmiş olu ağ erişimleri (88, 139,…) olduğu varsayılmıştır. Yazıda “ornek.com.tr” etki alanı, “sirket.com.tr” etki alanına tek yönlü olarak güvenecektir. Yazı 5 başlık altında incelenecektir.
- “ornek.com.tr” etki alanı deneleyicisinin (DC), “sirket.com.tr” etki alanının adını çözmesi sağlanacaktır.
- “sirket.com.tr” etki alanı deneleyicisinin, “ornek.com.tr” etki alanının adını çözmesi sağlanacaktır.
- “ornek.com.tr” etki alanı denetleyicisinde, “sirket.com.tr” etki alanına güven duyulması için gerekli yapılandırma ayarları gerçekleştirilecektir.
- “sirket.com.tr” etki alanı denetleyicisinde güven ilişkisi doğrulanacaktır.
- Güven ilişkisi test edilecektir.
1) Güven Duyan DC Üzerinde Ağ Ayarlarının Yapılması
Öncelikle güven duyacak DC sunucu (“ornek.com.tr”), diğer DC’nin etki alanı adını (“sirket.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.
DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

“sirket.com.tr” son eki ile tamamlanan tüm sorguların 192.168.100.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

IP ve etki alanı eşleşmesine ait kayıt girilir.

Kayıt girişi tamamlanmıştır.

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.
ipconfig /flushdns
Eğer hata devam ediyorsa ağ kartı devre dışı bırakılıp, yeniden etkinleştirilir.
2) Güven Duyulan DC Üzerinde Ağ Ayarlarının Yapılması
Güven duyulacak DC sunucu (“sirket.com.tr”), diğer DC’nin etki alanı adını (“ornek.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.
DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

“ornek.com.tr” son eki ile tamamlanan tüm sorguların 192.168.101.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

IP ve etki alanı eşleşmesine ait kayıt girilir.

Kayıt girişi tamamlanmıştır

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.
ipconfig /flushdns
3) Güven İlişkisinin Kurulmasının Talep Edilmesi
Bu başlıkta yapılacak işlemler güven ilişkisi kurulmasını talep eden DC sunucusu üzerinde gerçekleştirilecektir.




Bu adımdan sonra, kurulacak trust ilişkisinin türü seçilmelidir. Aynı forest içerisinde olan etki alanları arasında bu tür bir ilişki kurulacak ise Forest trust, farklı forest’lere ait etki alanları arasında trust ilişkisi kurulacaksa External trust seçilmelidir.

Bu adımdan sonra trust ilişkisinin şekli belirlenmelidir, iki tarafın da birbiri üzerinde kimlik doğrulaması sağlayabileceği (Two-way), taraflardan birinin diğeri üzerinde kimlik doğrulama sağlayabileceği (One-way:incoming veya One-way:outgoing) trust ilişkisinin yönü belirtilir.

Sıradaki adımda güven ilişkisine yönelik ayarlamaların her iki etki alanında da yapılması için gelen ekranda Both this domain and the specific domain seçilmelidir.

Şimdiki adımda her iki etki alanda da trust ayarlamaları yapılacağı için, karşı etki alanında yetkili bir kullanıcı hesap bilgisi girilmelidir.




Karşı etki alanında gereken güven ayarlamalarının doğru yapılıp yapılmadığının kontrolü için aşağıdaki ekrana ait ayarlar gösterilen şekilde seçilmelidir.

Bu adımlardan sonra güven ilişkisinin talep edilme işlemi tamamlanmıştır.

Finish butonuna basıldığında SID filtrelemesinin etkin olduğu uyarısı ile karşılaşılır.

Diğer etki alanının kontrolünden sonra işlem tamamlanmış olur, her iki etki alanına ait trust ilişkileri aşağıdaki gibi olmalıdır.

Yapılan işlemlerin doğrulaması için yukarıdaki ekranda Properties butonuna basıldığında aşağıdaki ekran görüntüsü ile karşılaşılır. Bu ekranda Validate butonuna basıldığında güven ilişkisinin uygun bir şekilde gerçekleştirildiğine dair bir mesaj görüntülenecektir.

Talep Edilen Güven İlişkisinin Onaylanması
Bu başlıkta yapılacak işlemler güven ilişkisi kurulması talep edilen DC sunucusu üzerinde gerçekleştirilecektir.
İkinci etki alanında talep edilen bu güven ilişkisinin onaylanması gerekmektedir. Bu amaçla ikinci DC sunucusunda Active Directory Domains and Trusts konsoluna gelinir. Bu konsolda etki alanı adı (sirket.com.tr) sağ tıklanıp “Properties” seçildiğinde Trust sekmesine gelinir. Aşağıdaki ekran görüntüsünde talep edilen güven ilişkisi görülmektedir.

Yapılan işlemlerin doğrulaması için yukarıdaki ekranda Properties butonuna basıldığında aşağıdaki ekran görüntüsü ile karşılaşılır. Bu ekranda Validate butonuna basıldığında güven ilişkisinin uygun bir şekilde gerçekleştirilmesi için kullanıcı bilgilerinin girilmesi istenecektir.

Doğrulama işleminden sonra güven ilişkisinin tamamlandığına dair bir mesaj görüntülenecektir.

Güven İlişkisinin Test Edilmesi
İkinci etki alanı (ornek.com.tr), birinci etki alanına (sirket.com.tr) güvendiği için; ikinci etki alanındaki bir kaynağa (PC.ornek.com.tr), birinci etki alanındaki bir kullanıcı (Sirket\*) erişebilmektedir. Ancak tam tersi geçerli değildir. Çünkü kurulum sırasında “One-way: outgoing” güven ilişkisi kurulmuştur.
Birinci etki alanındaki bir bilgisayarda (PC.sirket.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

İkinci etki alanındaki bir bilgisayarda (PC.ornek.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

Yani bir kimlik doğrulama mekanizması tarafından bu işlemin gerçekleştirilmediği belirtilmektedir. Bu mekanizma da güven ilişkisi kurulumu sırasında belirtilen “Selective Authentication” korumasıdır. Bu koruyucu mekanizma ile ilgili uygulama daha sonraki yazıda gerçekleştirilecektir.