Active Directory

Active Directory Yapısı

Active Directory Fiziksel Yapısı Nedir? Active Directory Mantıksal Yapısı Nedir? Aktif Dizin Yapısı Nasıldır?

Active Directory Yapısı

Active Directory yapısı iki başlıkta incelenebilir.

  • Mantıksal Yapısı
  • Fiziksel Yapısı

Kimlik altyapısının dizaynını yaptığınız zamanda iki yapı içinde bazı kararlar vermeniz gerekebilir. Mantıksal yapı iş gereksinimlerine göre istenilen zaman değiştirilebilirken, bu durum fiziksel yapı için bu kadar basit olmayacaktır. Bu bileşenlerin uygun şekilde planlanması, kimlik altyapısı verimliliğini, güvenliğini, güvenilirliğini ve yönetilebilirliğini tanımlayacaktır.

Active Directory, Mantıksal ve Fiziksel bileşenlerin birleşiminden oluşmuştur ve verilerin saklanması, kolay yönetilmesi, erişilebilirlik, yedeklilik gibi sebeplerden 4 bölüm (partitions) içerir.

Active Directory Partitions:

  • Domain Partitions: Bilgisayar, grup ve kullanıcı hesaplarını içerir.
  • Configuration Partitions: Servisin kurgusu, topolojisi, yapısı, domain, tree, forest bilgisi, global catalog sunucularının yerleri gibi bilgiler tutulur.
  • Schema Partitions: Ne tip nesnelerin hangi tip özellikler içerdiği gibi bilgiler tutulur. Örneğin; Sicil No nesnesi 5 hanelidir ve rakam tipindedir.
  • Application Partitions: Uygulama ve servislere özel bilgileri içeren bölümdür.

Veriler arasından domain partitions verileri, aynı domain içindeki tüm domain controllers arasında dağıtılır. Configuration ve Schema bilgileri ise tüm tree’ler arasında da yani tüm domain controllers arasında paylaşılarak tutulur. Veri paylaşımı açısından tek bir istisna sadece Global Catalog servers için geçerlidir. Global Catalog rolünde olan sunucu tüm partitions’ları kendi üzerinde tutar.

Mantıksal Yapısı

Her iş kolunun kendine ait hiyerarşik organizasyon katmanları vardır. Bir kuruluş, birden fazla ofis, grup şirketi ve birçok farklı bölümden oluşabilir. Bu bileşenlerin iş kolları farklı operasyonlardan meydana gelebilir. Satış bölümünün operasyonlarının tümü Bilgi Teknolojileri bölümünden tamamen farklı olabilir. Bir altyapı planlarken bütün bu hiyerarşik organizasyon katmanları göz önünde bulundurulmalı, kaynakların verimli ve güvenli kullanılacağı bir şekilde planlanmalıdır. Mantıksal yapı tasarımı, yönetimi, genişletilebilirliği, güvenliği ve ölçeklenebilirliği dikkate alarak kimlik altyapısını yapılandırmanıza yardımcı olur.

Active Directory mantıksal yapısı, container ve leaf nesne tipini içerir. Container nesnesi mantıksal yapıdaki diğer nesnelerle ilişkilendirilebilir. Leaf objeleri ise mantıksal yapıdaki en küçük birimdir ve diğer nesnelerle ilişkilendirilmezler.

Active Directory mantıksal yapısı:

  • Forest
  • Domain
  • Domain Tree
  • Organizational Units

Forest

Active Directory Forest
Active Directory Forest

Active Directory Forest ile Afrika kıtasında yaşam çeşitliliği en fazla olan Serengeti ormanları ilişkilendirilebilir. Bu ormanlarda birçok hayvan ve bitki türünün yanı sıra yüzlerce kabile yaşıyor. Bölgede yaşayan tüm hayvan türleri birbirinden farklı karakteristiğe sahiptir. Sürüngenler, memeliler, yılanlar ve balıkların tümü birbirinden farklıdır ve karakteristiklerine göre gruplandırılabilirler. Yine bu bölgede yaşayan yerlileri sahip oldukları dil, kültür ve sınırlarına göre gruplandırmak mümkündür. Ancak tüm bu canlılar hayatta kalmak için aynı ormanı paylaşmak, yiyecek su ve ormanının kaynaklarını paylaşmak zorundalar. Serengeti ormanları çok iyi belirlenmiş sınırlara sahiptir. En yakın diğer orman oldukça uzaktadır, ormanların ismi, sınırları kendine hastır ve benzersizdir.

Her domain’in kendine göre sınırları, kaynakları ve karakteristiği vardır. Aynı zamanda orman içinde ortak kaynaklar olan mantıksal yapı, şema ve dizin yapılandırmasını paylaşırlar. Ormanda yaşayan yerlilerin birbirleriyle ilişkilerinin olmasına benzer şekilde, AD Forest da çift yönlü güven (two-way trust) ilişkisine sahiptir. Orman içindeki farklı yerli grupları kimse Serengeti olarak çağırmaz ve her bir grubun kendine özgü ismi vardır. Buna benzer olarak bir AD Forest içinde birden fazla domain ve domain adı olabilir.

Active Directory kurulumu yapılırken ilk domain controller çok önemlidir. İlk domain kurulurken otomatik olarak forest oluşur. Ardından kurulan domain, forest root domain olacaktır. Bir domain tree kendi root domain’ini içerir, ancak forestlar birden çok root domain içerebilir. Yukarıdaki şekilde aktifdizin.com forest root domaindir. Ana şirket olan aktifdizin.com farklı iş kollarında çalışan iki ayrı alt şirkete sahiptir ve bu şirketlerin farklı domain isimleri bulunmaktadır. Şirket domainleri olan mssystem.org ve ahmetelibol.com birer root domain’dir ve bu domain’ler kendi domain tree’lerini barındırır. Bu forest içinde bulunan bütün domainler birbirlerine çift yönlü güven (two-way transitive trust) ilişkisi ile bağlıdır.

Two-way transitive trust

Two-way transitive trust (Çift yönlü güven) ilişkisi denilen yapıda domain(etki alanı) yapıları birbirlerine mantıksal bağlantılar ile bağlıdır. Güven ilişkisi kurulmuş yani trusted domain arası kimlik doğrulama işlemleri yapılabilir. Örneğin mssystem.org kullanıcıları ahmetelibol.com üstünde oturum açabilir ya da tam tersi de mümkündür. Aynı forest içindeki herhangi bir nesne yine aynı forest içindeki diğer nesneye güvenir. Kuruluşun ihtiyaçlarına göre trust yapısı dizayn edilebilir ya da oturum açma metotlarına müdahale edilebilir.

Domain

Active Directory Domain içinde Active Directory Forest tanımı yapılırken örneklendirilen Serengeti ormanlarından ve orada birbirlerinden farklı yaşayan kabilelerden yine bahsedilebilir. Her bir kabilenin kendine has sınırları ve yaşamak için yaptığı tarım, hayvancılık, balıkçılık gibi işler vardır. Her bir kabile zaman içinde kendine has avlanma ya da yetiştirme teknikleri geliştirmiştir. Her bir kabile diğer kabilenin sınırlarına saygı duyar ve asla birbirlerinin sınırlarını ihlal etmezler. Sınır ihlali demek, savaş demektir. Bütün bunlar onların hayatta kalmak ve nesillerini sürdürmek için yaptıkları davranışlardır.

AD Domain
AD Domain

Bir domain kuruluşun hedeflerine ulaşması için gerekli bileşenleri içerir. Tıpkı kabileler gibi varsayılan olarak domain (etki alanı) içindeki her bir nesnenin güvenlik sınırları olur. Her bir nesnenin kendisine ait yönetimsel hedefleri vardır. Kabilelerin tümü farklı kimliklerine rağmen aynı ormanın kaynaklarını paylaşıyor ve o ormanın birer parçasıdır. Aynı şekilde domain içindeki bütün nesneler ortak bir veri tabanın birer parçasıdır. Yine yerliler bazı ortak kurallara uymak zorundadırlar. Bu kurallar sadece kendi domain sınırlarında geçerli iken, dışarıdaki herhangi bir domainde geçerli değildir. Bir kuruluşta, domain içi yönetimsel yönetimsel sınırlar çizilmesine izin verir ve bir forest içinde birden fazla domain olabilir.

AD Domain yönetim kolaylığı sağlar

Active Directory Forest yönetimi zor, yönetimsel sınırları geniş bir servis olabilir ancak Active Directory Domain bu sınırları küçülterek yönetimi kolaylaştırır. Verimliliğin arttırılması için birden fazla bölüme (partition) ayrılmıştır ve bunlardan biri de domain partition’dur. Forest içinde tüm domain’ler aynı şemayı kullanır. Aynı Domain Tree içindeki tüm Domain Controller sunucularında etki alanının bilgilerinin bir etki alanı bölümü (domain partition) depolanır. Bu etki alanındaki nesnelerle ilgili tüm bilgiler, etki alanı bölüme (domain partition) kaydedilir. Bu yalnızca gerekli verilerin domain controller ve forest içinde çoğaltılmasını sağlar.

Forest functional level ve domain functional level, Active Directory yetenekleri ile alakalıdır. Her yeni versiyonda yeni özellikler eklenir. Functional level arttıkça domain level’ın da yükseltilmesi gerekir. Domain level seviyesi, forest functional level seviyesinden yüksek olamaz. “Functional Level for Active Directory Forest and Domain” makalemizden detaylı bilgiye erişilebilir.

Domain Tree

Active Directory Domain Tree kuruluşun yapısını yansıtan bir domain koleksiyonudur. Anne, Baba ve çocuk, bir ebeveyn-çocuk ilişkisiyle birbirine bağlıdır ve bu diğer ilişkilerden farklıdır. Benzer şekilde, domain tree içindeki domainler arasındaki ilişkide ebeveyn-çocuk ilişkisidir. Domain tree içindeki ilk domain, parent domain olarak adlandırılır. Bu aynı zamanda root domain’dir. Domain Tree içindeki diğer tüm domain’lere, child domain denir. Bir domain tree içinde yalnızca bir parent domain olacaktır.

aktifdizin.com organizasyonu altında destek talepleri için yeni bir organizasyon ihtiyacı oluştuğu düşünülürse, bunu yapmak için destek.aktifdizin.com child domain’i oluşturulabilir. Bazı dokümanlarda child domain için subdomain’de denir.

Active Directory Domain Trees
Active Directory Domain Trees

Bu yapılandırmada data sadece aynı child domain içinde replike edilir. Child domain, domain tree ile ilişkilendirildiğinde parent domain ile aralarında güven ilişkisi otomatik olarak başlar. Eğer bir domain tree üzerindeki iki farklı child domain arasında kimlik doğrulama işlemi yapılmak istenirse, trafik doğruca forest root domain üzerinden geçecektir. Bu yapıda her child domain kendine ait domain partition’unu içerir.

Organizational Units

Kuruluş içinde, nesneler operasyonlara, organizasyonel yapıya, coğrafi konumlara veya rol ve sorumluluklara göre farklı gruplara ayrılabilir. Örnek olarak, kuruluşların birden fazla bölümleri vardır. Bu bölümlerin her birini child domain’lere dönüştürebilir ve bölüm nesnelerinin her birini gruplayabiliriz. Ancak child domain, ayrı bir domain partition’a sahip olduğundan ayrı bir domain controller’a ihtiyaç duyar.

Bu sebeplerden nesneleri aynı domain içinde gruplamak daha iyi bir yöntemdir. Bu konuda Organizational Units geçerli bir çözümdür. Organizational Units objeleri gruplamaya yardımcı olur. En geçerli yöntem, objeleri benzer güvenlik ve yönetim gereksinimlerine göre gruplamaktır. Örneğin; Bilgi Teknolojileri bölümünde 30 civarı kullanıcı var. Bu bölüm aynı ortak alan ve yazıcıları kullanıyor. Bu kullanıcıların güvenlik gereksinimleri veri ve network için benzerdir. Bu durumda Bilgi Teknolojileri isminde bir Organizational Units açılıp, bu bölümün kullanıcıları bu Organizational Units içinde tutulabilir. Sonra bu Organizational Units seviyesinde istenilen güvenlik kuralları kullanıcılara uygulanabilir.

Varsayılan Organizational Units Yapısı

Bir domain controller kurulduğunda, varsayılan olarak bir Organizational Units yapısı benzer nesneleri gruplayarak ve en çok ihtiyaç olacak şekilde, Users, Computers ve Domain Controllers şeklinde otomatik olarak oluşur.

Sistem yöneticileri bu yapıyı gereksinimlere göre diledikleri şekilde düzenleyebilir.  Varsayılan Organizational Units yapısının değiştirilmemesi yani örneğin Domain Controllers Organizational Units için düzenleme yapılmaması içerdikleri güvenlik kuralları nedeniyle şiddetle tavsiye edilir. Eğer bir değişiklik yapıldıysa mutlaka bu kurallar da düzenlenmelidir.

Bir nesne bir Organizational Units’e atandığında otomatik olarak bir üstündeki Organizational Units’e uygulanan kuralları kendisi için devralır. Eğer aynı nesne başka bir Organizational Units’e taşınırsa, o zaman yeni Organizational Units kurallarını devralır ve bir önceki kurallar devre dışı olur. Organizational Units aynı zamanda görevlerin delegasyonu içinde kullanılır. Domain Administrators rolü bir domain içindeki tüm nesneleri yönetmek için yetkilidir. Ancak yeni admin hesapları oluşturulabilir ve Organizational Units seviyesinde nesnelerin yönetilmesi için delegasyon yapılabilir. Yöneticiler için Organizational Units bir güvenlik sınırı olacaktır.

Organizational Units kullanıcı, grup, kontak, bilgisayar, yazıcı ve Organizational Units tipinde nesneleri barındırabilir.

Organizational Units
Organizational Units

Daha önceki örnekte anlatıldığı gibi aktifdizin.com kuruluşunda bir Bilgi Teknolojileri bölümü bulunuyor. Öncelikle Bilgi Teknolojileri isminde bir Organizational Units açılmalı ve ardından Bilgi Teknolojilerinin gereksinimi olan bölgesel Organizational Units’ açılmalıdır. Bazı yönetimsel gereksinimlerde örnekteki bölgeler yerine tek bir Organizational Units altında toplamak da olabilir. Ancak bölgesel olarak bu nesneleri bölmek, delegasyonlarla yönetimi ofis bazında ayırmak ve her birine ayrı güvenlik kuralları uygulamak için elverişli olacaktır. Bütün bu alt Organizational Units izinlerini en tepe Organizational Units’den devralırlar.

Fiziksel Yapısı

Mantıksal ve fiziksel yapılar, Active Directory Domain Service (AD DS) tasarımında eşit derecede önemlidir. Replikasyon, Active Directory Domain Service’in temel özelliğidir. Bir sistemde birden fazla domain controller varsa, bir domain controller’da yapılan değişiklikler başkalarıyla replike olur. Fiziksel yapı ve bileşenlerin yerleşimi, AD replikasyonunu belirli şekillerde etkileyebilir. Mantıksal bileşenler, fiziksel bileşenlere kıyasla kolayca yeniden düzenlenebilir. 

Active Directory Fiziksel Yapısı:

  • Domain Controllers
  • Global Catalog Server
  • Active Directory Site Yapısı

Domain Controllers

Domain Controller rolü Windows Server işletim sisteminde çalışır ve Active Directory Domain Services rolüne sahiptir. Domain Controller fiziksel ya da sanal sunucu olabilir.

Domain Controller üstünde aynı domain içindeki tüm domain controller ile paylaşılan domain partitions verisi bulunur. Bu domain’de sonsuz sayıda domain controller olabilir. Bir domain içinde olacak domain controller sayısı o kuruluşun büyüklüğü, coğrafi dağılımı, yerleşimi ve ağ bölümlendirme durumuna göre değişir. Windows NT zamanlarında, birden çok etki domain controller kullanır ancak tek bir ana şema(single-master schema) vardı. Bunun anlamı active directory değişikliklerinin sadece tek bir domain controller üzerinden yapılabileceğidir. Windows 2000 Server’dan bu yana bu değiştirildi ve multi-master schema moda geçiş yapıldı. Her seviyede bulunan her nesne herhangi bir domain controller üzerinden değiştirilebilir ve bu diğer sunucular ile replike edilir. Bununla birlikte, ilgili operasyonel rol değişikliklerinden bazıları yalnızca belirtilen işlem yöneticisi (operation master) rol sahibi tarafından değiştirilebilir (FSMO rolleri).

Microsoft Windows 2000 öncesinde bir domain controller primary domain controller (PDC) ve diğer tüm domain controller’lar, backup domain controller(BDC) olarak adlandırılırdı. Bazı altyapı yapılandırmalarında halen bazı yapıların bu şekilde dizayn edildiği görülmektedir. Ancak Windows 2000 ve sonrasında flexible single master operation (FSMO) ve global catalog server özellikleri gelmiştir.

Global Catalog Server

Global Catalog Server kendisinin bulunduğu domain’in bilgilerinin yazılabilir tam bir kopyasını tutar ve bulunduğu forest içindeki diğer domainlere dair bilgilerin parçalı (partial) bir kopyasını tutar. Bu parçalı yani partial kopyanın içinde forest içindeki tüm nesneler ile birlikte en çok aranan/sorgulanan nesne özellikleri bulunur. Aynı forest içinde bulunan uygulamalar ve kullanıcılar global catalog server üzerinden farklı o forest’a ait tüm domainler için sorgulama yapabilirler. Varsayılan olarak bir domain’e dahil domain controllers’lar global catalog server değildir. Bir domain kurulurken varsayılan olarak ilk kurulan domain controllers global catalog server rolü ile gelirken, diğer domain controllers sunuculara kuruluşun gereksinimine göre bu rol verilir. Bütün domain controllers sunucularına bu rolü vermeye gerek yoktur.

Active Directory Site Yapısı

Active Directory Site yapıları kuruluşun fiziksel network topolojisini tanımlar. Site yapısı ayrı binalar, şehirler ve hatta ülkelere göre tanımlanabilir.

Örneğin; Active Directory kuruluşunun merkezi Ankara’dır ve 192.168.0.0/24, 10.0.0.0/24, 172.22.16.0/24 ip subnet’leri kullanılıyor. Kuruluş gereksinimleri gereği Hollanda Utrecht şehrinde yeni bir ofis daha açılmıştır. Bu ofis ile Ankara merkez ofis arasında VPN (Virtual Private Network) bağlantısının yapılıp, aynı forest ve domain içinde olacak şekilde 2 yeni domain controllers(DC03 ve DC04 ) kurulmuştur. Utrecht ofisinin ip subnet’leri 10.0.1.0/24 ve 172.22.10.0/24 olacak şekilde ayarlanmıştır.

Active Directory Sites
Active Directory Site Yapısı

Örneklenen yapıda iki ayrı network segmenti ve iki ayrı lokasyonda ofisler olduğu için bunların her birisi bir Active Directory Site olarak tanımlanmalıdır. Active Directory mantıksal tasarımı, fiziksel network segmentlerini gerçekten dikkate almaz. Aynı domain ve forest içinde bulundukları için, sağlıklı bir kimlik altyapısını korumak için DC01 – DC04 arasındaki değişiklikler birbiriyle eşleşmelidir.

Active Directory Site yapısının faydaları

Active Directory Site yapısının faydaları aşağıdaki şekildedir:

  • Replikasyon: Active Directory Domain Service (AD DS) kurulumlarında tüm domain controllers sunucularının birbirleri ile hızlı internet altyapıları sayesinde replikasyon yapacağı şekilde kurgu düşünülür. Fakat gerçek dünyada bu her zaman mümkün değildir. Bazı durumlarda iki site arasındaki bağlantı 256-512 kbps olabilir. Bu bağlantı sadece replikasyon için değil diğer gereksinimler içinde kullanılacak olabilir. AD DS site yapılarını kullanmak, domain controllers arası replikasyon zamanlarını ve trafiğini planlamak için önemlidir.
  • Servis Lokasyonu: Birçok altyapıda Microsoft Exchange Server, Microsoft Skype For Business gibi Active Directory entegrasyonu gereksinimi olan servisler ya da uygulamalar olabilir. Doğru bir site yapılandırması ve subnet planlaması ile kullanıcıların ilgili uygulama için ilgili domain controller ile iletişim kurması sağlanabilir. Yani Hollanda’da bulunan bir kullanıcının e-postalarını okumak için Ankara’yı pas geçip kendi site yapısında izole kalması sağlanabilir.
  • Kimlik Doğrulama (Authentication): Bir kullanıcı domainde oturum açmaya çalıştığında, kimlik doğrulaması için domain controllers ile iletişim kurmalıdır. Ankara ofisteki bir kullanıcının Hollanda’da oturum açmaya çalışması gerekmemektedir. Site yapısı sayesinde kullanıcı kendine en yakın domain controllers ile iletişime geçer. Bu sayede aradaki bağlantı daha az kullanılarak tasarruf edilir.

Fiziksel network yapısı güncellendikçe, Active Directory Domain Service Site yapısının da güncellenmesi gerekir. Eğer yeni bir subnet ya da ofis kuruluşa eklendiyse, bu bilgiler ile Active Directory Domain Service Site yapısı da güncellenmelidir.

Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu