Active Directory Kurulumu
26 Oca
2010
2010
Active Directory ,kaynaklar (yazıcılar, kullanıcılar, bilgisayarlar ve gruplar gibi) hakkındaki bilgileri saklayan ve bu bilgileri diğer kullanıcı ve bilgisayarların kullanımına sunan, Windows tabanlı bir dizin hizmetidir. Ben de bu makalemde Windows Server 2008 üzerinde Active Directory Domain Services nasıl kuruşacağını anlatacağım. Öncelikle Active Directory bize neler sağlar buna bakalım.
- Network’ün domain olarak adlandırılan birimler (alanlar) halinde düzenlenmesini sağlar.
- Kullanıcı ve grupların listesini merkezi olarak tutar.
- Kimlik denetimi (authentication) sağlar: Kullanıcı ve grupların ancak gerekli izinlere sahip olması durumunda kaynaklara erişmesini sağlar.
- Domain içindeki nesnelere, birçok özelliklerinden aranarak bulunmasını sağlar.
- Domainin OU adı verilen alt parçalara bölünmesini sağlar. Daha küçük bu birimler, yönetimin delege edilmesini sağlar.
Windows Server 2008 AD DS’deki yeni özellikler
Windows Server 2008 aşağıdaki tabloda yer alan yeni AD DS özelliklerini içerir.
|
Özellik |
Açıklama |
|
Salt okunur etki alanı denetleyicisi (RODC) |
RODC, Active Directory veritabanının salt okunur bölümlerini barındıran yeni bir etki alanı denetleyicisi türüdür. RODC özellikle aşağıdaki durumlar için yararlıdır:
|
|
RODC’lerin basamaklı yüklenmesi |
Bu özellik iki aşamada RODC yüklemesi sağlar. İlk aşamada, Domain Admins grubunun bir üyesi RODC için hesap oluşturur. İkinci aşamadaysa, temsilci olarak belirlenen bir kullanıcı RODC hesabına bir sunucu bağlar. |
|
RODC filtreli öznitelik kümesi |
RODC’ye çoğaltılmayan parola benzeri bir öznitelik kümesidir. Bir RODC çalındığı takdirde, öznitelik değerlerinin ortaya çıkmasını önler. RODC filtreli öznitelik kümesi bir uygulama için dinamik şekilde yapılandırılabilir. |
|
Yönetici rolü ayırma |
Bu özellik etki alanı yöneticilerinin yönetici olmayan kullanıcılara RODC yükleme ve yönetme yetkisi vermesine olanak sağlar. |
|
Geliştirilmiş yükleme sihirbazı |
Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı (dcpromo.exe) katılımsız yüklemeleri, site seçimini, RODC’lerin basamaklı yüklenmesini ve başka gelişmiş seçenekleri destekleyecek şekilde geliştirilmiştir. |
|
Güvenli yükleme medyası oluşturma |
Bu özellikle, sonraki AD DS ve Active Directory Basit Dizin Hizmetleri (AD LDS) yüklemeleri için güvenli yükleme medyası oluşturmak amacıyla Windows Server 2008 işletim sistemindeki Ntdsutil.exe aracını kullanabilirsiniz.Windows Server’ın önceki sürümlerinde, yöneticilerin etki alanı denetleyicisi yükleme medyası oluşturmak için Ntbackup.exe aracını kullanmaları beklenirdi. Windows Server 2008 işletim sistemindeyse, yöneticilerin yükleme medyası oluşturmak için Ntdsutil.exe aracını kullanmaları beklenmektedir.RODC yüklemesinde kullanmak üzere, önbelleğe alınan gizli bilgiler (parola gibi) içermeyen medyalar oluşturabilirsiniz. Önbelleğe alınan gizli bilgileri kaldırdığınızda, yükleme medyasına erişebilen kötü amaçlı bir kullanıcı buradan gizli bilgileri elde edemez. |
|
Yeniden Başlatılabilir AD DS |
Bu özelliği, etki alanı denetleyicisini yeniden başlatmaksızın AD DS’yi durdurup yeniden başlatmak için kullanabilirsiniz. Çevrimdışı disk birleştirme gibi çevrimdışı olarak yapılan işlemler, etki alanı denetleyicisinin Dizin Hizmetleri Geri Yükleme Modu’nda yeniden başlatılması gerekmediğinden daha hızlı şekilde gerçekleştirilebilir. |
|
AD DS değişikliklerini denetleme |
Bu özellik, nesnelerde ve özniteliklerinde değişiklik yapıldığında eski ve yeni değerleri günlüğe kaydetmeye yarayan yeni bir denetim alt kategorisiyle AD DS denetimi ayarlar. |
|
Ayrıntılı parola ilkesi |
Bu özellik, bir etki alanındaki belirli kullanıcılar ve genel güvenlik grupları için parola ve hesap kilitleme ilkeleri belirtilmesine olanak sağlar. Yeni parola ayarlama ilkeleri ve öncelik kurallarını kullanarak, her etki alanı için tek ilke sınırlamasını ortadan kaldırır. |
|
Dinamik MAPI Kimliği Desteği |
Bu özellik, İleti Hizmeti API’si (MAPI) tanımlayıcılarının (kimliklerinin) statik olarak atanmasının yanı sıra, dinamik olarak atanmasına (ayrılmış bir MAPI Kimlikleri havuzundan rasgele oluşturulur) olanak sağlar. Dinamik MAPI Kimlikleri ile, Active Directory şemanızı genişletebilir ve Exchange Server için özel öznitelikler ekleyebilirsiniz. |
|
Veri araştırma aracı |
Bu özelliği kullanarak, çevrimiçi olarak anlık görüntülerde ve yedeklemelerde depolanan AD DS ve AD LDS verilerini görüntüleyebilirsiniz. Bu özellik silinen nesneleri ve kapsayıcıları geri yüklemenize olanak vermese de, etki alanı denetleyicisini veya AD LDS sunucusunu yeniden başlatmak zorunda kalmadan, hangi verilerin geri yükleneceğine daha iyi karar verebilmek için, zaman içinde farklı noktalarda alınan anlık görüntülerde veya yedeklemelerde depolanan verileri karşılaştırmak için kullanabilirsiniz. |
Salt okunur etki alanı denetleyicisi (RODC)
RODC, Active Directory veritabanının salt okunur bölümlerini barındıran yeni bir etki alanı denetleyicisi türüdür. RODC özellikle aşağıdaki durumlar için yararlıdır:
- Bir etki alanı denetleyicisinin fiziksel güvenliği sağlanamıyorsa veya konumu, yazılabilir bir etki alanı denetleyicisini yönetmek için gereken etki alanı çapında yetkiye sahip yöneticiler içermiyorsa.
- Şube ofisi kullanıcıları, şube ofisindeki bir yerel etki alanı denetleyicisi tarafından sağlanan daha verimli bir oturum açma işleminden yararlanabilmektedir.
RODC’lerin basamaklı yüklenmesi
Bu özellik iki aşamada RODC yüklemesi sağlar. İlk aşamada, Domain Admins grubunun bir üyesi RODC için hesap oluşturur. İkinci aşamadaysa, temsilci olarak belirlenen bir kullanıcı RODC hesabına bir sunucu bağlar.
RODC filtreli öznitelik kümesi
RODC’ye çoğaltılmayan parola benzeri bir öznitelik kümesidir. Bir RODC çalındığı takdirde, öznitelik değerlerinin ortaya çıkmasını önler. RODC filtreli öznitelik kümesi bir uygulama için dinamik şekilde yapılandırılabilir.
Yönetici rolü ayırma
Bu özellik etki alanı yöneticilerinin yönetici olmayan kullanıcılara RODC yükleme ve yönetme yetkisi vermesine olanak sağlar.
Geliştirilmiş yükleme sihirbazı
Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı (dcpromo.exe) katılımsız yüklemeleri, site seçimini, RODC’lerin basamaklı yüklenmesini ve başka gelişmiş seçenekleri destekleyecek şekilde geliştirilmiştir.
Güvenli yükleme medyası oluşturma
Bu özellikle, sonraki AD DS ve Active Directory Basit Dizin Hizmetleri (AD LDS) yüklemeleri için güvenli yükleme medyası oluşturmak amacıyla Windows Server 2008 işletim sistemindeki Ntdsutil.exe aracını kullanabilirsiniz.Windows Server’ın önceki sürümlerinde, yöneticilerin etki alanı denetleyicisi yükleme medyası oluşturmak için Ntbackup.exe aracını kullanmaları beklenirdi. Windows Server 2008 işletim sistemindeyse, yöneticilerin yükleme medyası oluşturmak için Ntdsutil.exe aracını kullanmaları beklenmektedir.RODC yüklemesinde kullanmak üzere, önbelleğe alınan gizli bilgiler (parola gibi) içermeyen medyalar oluşturabilirsiniz. Önbelleğe alınan gizli bilgileri kaldırdığınızda, yükleme medyasına erişebilen kötü amaçlı bir kullanıcı buradan gizli bilgileri elde edemez.
Yeniden Başlatılabilir AD DS
Bu özelliği, etki alanı denetleyicisini yeniden başlatmaksızın AD DS’yi durdurup yeniden başlatmak için kullanabilirsiniz. Çevrimdışı disk birleştirme gibi çevrimdışı olarak yapılan işlemler, etki alanı denetleyicisinin Dizin Hizmetleri Geri Yükleme Modu’nda yeniden başlatılması gerekmediğinden daha hızlı şekilde gerçekleştirilebilir.
AD DS değişikliklerini denetleme
Bu özellik, nesnelerde ve özniteliklerinde değişiklik yapıldığında eski ve yeni değerleri günlüğe kaydetmeye yarayan yeni bir denetim alt kategorisiyle AD DS denetimi ayarlar.
Ayrıntılı parola ilkesi
Bu özellik, bir etki alanındaki belirli kullanıcılar ve genel güvenlik grupları için parola ve hesap kilitleme ilkeleri belirtilmesine olanak sağlar. Yeni parola ayarlama ilkeleri ve öncelik kurallarını kullanarak, her etki alanı için tek ilke sınırlamasını ortadan kaldırır.
Dinamik MAPI Kimliği Desteği
Bu özellik, İleti Hizmeti API’si (MAPI) tanımlayıcılarının (kimliklerinin) statik olarak atanmasının yanı sıra, dinamik olarak atanmasına (ayrılmış bir MAPI Kimlikleri havuzundan rasgele oluşturulur) olanak sağlar. Dinamik MAPI Kimlikleri ile, Active Directory şemanızı genişletebilir ve Exchange Server için özel öznitelikler ekleyebilirsiniz.
Veri araştırma aracı
Bu özelliği kullanarak, çevrimiçi olarak anlık görüntülerde ve yedeklemelerde depolanan AD DS ve AD LDS verilerini görüntüleyebilirsiniz. Bu özellik silinen nesneleri ve kapsayıcıları geri yüklemenize olanak vermese de, etki alanı denetleyicisini veya AD LDS sunucusunu yeniden başlatmak zorunda kalmadan, hangi verilerin geri yükleneceğine daha iyi karar verebilmek için, zaman içinde farklı noktalarda alınan anlık görüntülerde veya yedeklemelerde depolanan verileri karşılaştırmak için kullanabilirsiniz.
Active Directory kurulumuna başlamak için çalıştır’a dcpromo yazıyoruz ve active directory domain servisi kurulum wizard’ı karşımıza geliyor.
Next diyerek ilerliyoruz.
Bu adımda Windows Server 2008′in önceki Windows sürümleri ile uyumluluğunu denetleyeceğini anlatan bir uyarı ekranı olan bu adımı next diyerek geçiyoruz.
Bu aşamada yeni bir domain mi oluşturmak istiyoruz yoksa var olan bir domain için yeni bir Domain Controller mı oluşturma istediğimizi belirleyeceğiz. Biz yeni bir domain oluşturduğumuz için Create a new domain in a new forest seçeneğini sseçerek ilerliyoruz.
Bu aşamada ise domain’imizi adını yazıyoruz ve next diyoruz.
Bu ekranda gördüğümüz Domain NetBOS name kısmını değiştirmiyoruz. Buradaki Domain NetBIOS adı önceki Windows sürümlerinin bizim domainimizi tanımlamak için kullanacakları adı belirtir.
Windows 2000 forest functional level’ı Windows 2000 Server’da kullanılabilen tüm Active Directory Domain Services özelliklerini sağlar. Windows Server’ın sonraki sürümlerini çalıştıran Domain Controller’larınız varsa, bu forest Windows 2000 functional leveli söz konusu Domain Controller’ların bazı özelliklerini kullanmamızı engeller. Bu yüzden functional level’ı belirlerken ortamımızda çalışan önceki Wİndows Sürümlerini gözönüne alarak karar vermeliyiz. Functional Level’ımızı seçtikten sonra next diyerek ilerliyorum.
Windows 2000 local domain functional level ile kullanılabilecek özellikleri anlatan bu ekranı next diyerek geçiyoruz. kullanılabilir:
Bu adımı da next diyerek geçiyoruz.
Eğer IP adresiniz statik olduğu halde böyle bir uyarı alıyorsanız ve baska bir ethernet kartınız yoksa IPv6′yı disable etmemişsiniz demektir. Yes ile başlayan seçeneği seçebilirsiniz.
Henüz DNS’imiz kurulu olmadığı için bir uyarı alıyoruz ve yes diyerek devam ediyoruz.
Active Directory database dosyalarının, log dosyalarının ve SYSVOL klasörünün nerede saklanağını belirtiyoruz. Burada küçük bir ipucu vereyim, Active Directory’nin performansını arttırmak isterseniz database’i ve log dosylarını farklı partition’larda depolayın. Bu ipucundan sonra next diyerek devam edebiliriz.
Directory Services Restore Mode sırasında kullananılacak Administrator hesabı için kullanılacak bir Password belirliyoruz. Password komplex olmalıdır. Ve next diyerek ilerliyoruz.
Bu aşamaya kadar yaptığımız tüm seçimleri gözden geçiriyoruz ve next diyerek ilerliyoruz.
Active Directory Domain Services yapılandırması başladı ve bu işlem birkaç dakika sürecektir. Yapılandırma tamamlandıktan sonra bizden bilgisayarı restart etmemizi isteyecektir ve restart’tan sonra Active Directory Domain Services’i kullanmaya başlayabiliriz.
Bu makalede Active Directory Domain Services kurulumunu anlattım, sonraki makalelerde active directory ile ilgili servisleri anlatmaya devam edeceğim.
Active Directory Kurulumu
16 Nis
2009
2009
Bu uygulamada; tek bir domain oluşturacağız. Bir forest içinde; tek bir active directory domaini olacak. Bir bilgisayarı da client olarak domain’ine ekleyip domain’e logon işlemini gerçekleştireceğiz. Sırasıyla yapılacak işlemler ve kontroller şunlar olacak:
1. Domain’in adını belirlemek.
2. Gerekli network ayarları.
3. DNS konfigürasyonu.
4. DCPROMO
5. Kurulum sonrası işlemler
6. Disaster Recover ve performans açısından yapılacak işlemler.
Server bilgisayarı ayarlamak
Server’ın adı (computer name): ………………………………………………
Domain’e bir ad vermek:
Örnek domain adları:
ceyhun.local
ceyhun.com
DNS’i konfigüre etmek
Active Directory wizard’ı ile kurulum yapılabilir. Ancak biz burada DNS ve Active Directory kurulumunu ayrı ayrı aşamalarda ele alacağız.
DNS Server’ı yapılandırmak:
1. DNS Servisini sisteme ekleyin.
2. Forward Lookup zone seçilir.
3. Primary zone seçilir.
5. Zon adı yazılır.
ceyhun.local
6. “Allow both secure and non secure” dynamic update seçeneği seçilir.
7. Forwarders ve Root Hints seçeneği Cancel ile iptal edilir.
NOT: DNS servisinin kurulması için Server’ınızın statik IP adresi olması gerekir. Örneğin 192.168.1.x /24
dcpromo
Server’ı domain controller yapmak:
Yeni Bir Forest İçin Root Domaini Oluşturmak
1. Server üzerinde Administrator olarak oturumu açın.
2. Manage Your Server ekranı üzerinde Add or Remove a role linkini tıklayın. Ardından Domain Controller (Active Directory) rolünü seçin. Ya da Start/Run aracılığıyla DCPROMO.EXE programını çalıştırın.
3. Ardından Active Directoy Installation Wizard karşınıza çıkar.
4. Bazı uyarıların ardından, yaratılacak Domain Controller’ın türü seçilir.
· Domain Controller for a new domain
· Additional Domain Controller for an existing domain
Yeni yaratılacak bir child domain için birinci seçenek seçilir. İkinci seçenek bu child domain kurulduktan sonra domainde yer alacak ikinci server için seçilir.
Ardından yaratılacak domainin türü seçilir.
· Domain in a new forest
· Child domain in an existing domain tree
· Domain tree in an existing forest
5. Ardından daha önce belirlediğiniz domain adını yazın.
ceyhun.local
6. Ardından domain adının noktasız ve ilk 15 karakterlik NetBIOS adı ekrana gelir.
7. Ardından Active Directory veritabanı dosyalarının yeri ekrana getirilir. Bu seçenekler genellikle kabul edilerek onaylanır. Yerleri değiştirilecekse, değişiklik yapılabilir.
Örnek:
Veritabanı dosyası: c:\windows\ntds
Log dosyası: c:\windows\ntds
8. Ardından Domain Controller bilgisayarların genel dosyalarının saklandığı ve diğer Domain Controller’lara replike edildiği dosyaların tutulduğu SYSVOL dizinin yeri sorulur.
Örnek: c:\windows\SYSVOL
NOT: Bu alanların NTFS (NTFS v5) disk alanı olması gerekir.
9. Sunucu programların Windows 2000 ve Windows Server 2003 üzerinde çalışmasıyla ilgili izin (permission) düzenlemesi yapılır.
“Permissions compatible with pre-Windows 2000 servers” seçeneği kullanıcıların Windows 2000 öncesi RAS server’lar (uzaktan erişim için) tarafından onaylanmasını sağlar. Ancak böyle bir server yoksa o zaman bu seçenek seçilmemelidir.
10. Active Directory veritabanının geri yüklenmesi (restore) için parola girilir ya da boş geçilir.
11. Kurulum devam edilir.
Kurulumun sonunda: “This Server is now a Domain Controller” mesajı görüntülenir.
Yap