Active Directory Nedir?
Teknik Detaylar
Bölüm 1'i okumak isteyenler buraya tıklayabilir. Şimdi teknik bir anlatım ile Active Directory’nin ne olduğu ve ne işe yaradığı ile ilgili gerçek bilgileri anlatmaya başlayalım.
O halde gerçek bir soruyla başlayalım, Active Directory nedir? Active Directory, Microsoft tarafından Windows sunucu (server) ve istemci (client) bilgisayarları, kullanıcı ve aygıtları yönetmek için tasarlanmış bir dizin yönetim hizmetidir. Dizin, çok kullanıcılı sistemlerde kullanıcı, grup, bilgisayar gibi nesnelerin hiyerarşik bir yapıda tutulduğu veri tabanıdır. Dizin sistemi veri tabanlarında datalar, klasik bildiğimiz satır ve sütundan oluşan tablolarda tutulmaz. Hiyerarşik ağaç yapısında saklanırlar. Bu nedenle arama ve okuma işlemleri aynı işi yapan klasik tipte bir veri tabanına göre daha performanslıdır. Malum Active Directory ortamın bir veri tabanıdır ve bu sebepten ötürü de bir veri tabanı tutar ve bu veri tabanının içerisine nesneler kaydeder. Bu nesnelere örnek olarak bilgisayar, kullanıcı, yazıcı, ünvan bilgisi, grup üyelikleri, izinler gibi gibi örnek verebiliriz. Active Directory ile bazı üçüncü parti yazılımları da yönetebileceğiniz gibi LDAP entegrasyonu yapıldığında Linux işletim sistemlerini de yönetilebilmektedir. Microsoft ürünlerin neredeyse hepsi Active Directory ile opsiyonel olarak tam uyumlu bir şekilde yönetilebildiği gibi Exchange Server gibi bazı Microsoft ürünleri doğrudan Active Directory olmadan çalışamazlar. Bazı üçüncü parti yazılımlar da doğrudan Active Directory ile yönetilebilmektir. Üçüncü parti yazılımların yönetimine daha detaylı değineceğim. Şimdilik;
Başlıca Özellikleri
Ölçeklenebilirdir = Bilgisayar, kullanıcı, şirket, şube veya lokasyon sayısına göre arttırılıp azaltılabilir. Şirketiniz çok büyüse bile tekrardan kuruluma ihtiyaç duyulmaz.
Bir Sistem Yöneticisi Tüm Ağa Hükmedebilir = Domain Admin, Enterprise Admin gibi yüksek yetkiye sahip sistem yöneticileri networkün büyüklüğü ne olursa olsun tüm cihazları veya kullanıcıları tek yerden ve elden yönetebilir, yazılım veya politika dağıtabilir.
Güvenlik = Erişimler kısıtlanabilir, yetkilendirme ile belirli görevler tanımlanabilir ve en önemlisi kimlikler tek merkezden yönetilerek güvenlik politikaları oluşturulabilir
Denetim = Tek merkezden gelişmiş loglama yapılabilir.
Merkezi Yönetim = Yukarıdaki tüm işlemleri tek bir elden yönetebilirsiniz. Tek başına yeterli bir madde.
Active Directory Fiziksel Yapı (Phsical Components)
Active Directory iki temel yapıdan oluşur. Mantıksal ve Fiziksel yapı olarak ikiye ayrılır. Fiziksel Yapı, Ağ (network) trafiğini kontrol eder ve yönetir. Fiziksel yapının elemanları ise Domain Controller ve Site’lerdir
Domain Controller (Etki Alanı Denetleyicisi) Nedir?
Domain terimi internette alan adı olarak algılanabilir ama Microsoft terminolojisine göre farklıdır. Domain Controller, Active Directory servislerinin kurulu olduğu ve yapılandırıldığı sunuculardır. Değişiklikler bu sunucularda tutulur. Bir bilgisayar kullanıcısının oturum açma isteği Domain Controller’a iletilir ve bu hizmet tarafından yönetilir. Domain Controller yedekli çalışması için ayarlanabilir, sayısı arttırılabilir ve azaltılabilir. Domain yapısının çalışabilmesi DNS rolünün düzgün çalışmasına da bağlıdır. Domain Contoller, Active Directory yapısının fiziksel elamanlarından biridir.
Sites (Siteler) Nedir?
Dağıtık yapılarda yani şubeli yapılarda Active Directory kullanmak çok çok daha faydalıdır diye üstüne basa basa söylemiştik. Antalya, İstanbul, Ankara ve İzmir şehirlerinde şubesi bulunan ama Osmaniye’den yönetilen bir grup şirket düşünün. Bu şirketin sistem yöneticisi Osmaniye’deki merkez ofiste. Bir adet primary domain controller ve bu senaryoya göre en az 4 adet additional domain controller kurulması gerekmektedir. Antalya şubesindeki çalışan oturum açmaya çalışırken 30ms (milisaniye) mesafedeki Osmaniye’de bulunan DC’ye gitmesi hem gecikme hem de maliyet açısından uygun değildir. İşte bu noktada rastgele bir şubede oturum açmasın herkes kendi bölgesindeki domain controller sunucusunda oturum açsın gibi yapılandırmaları Active Directory Site and Services ile sağlayabiliriz. Şubeleri fiziksel olarak ayırdığı içinde Site kavramı fiziksel yapının diğer elemanıdır ve ağ trafiğindeki replikasyonun en verimli şekilde kullanılmasını sağlar.
Active Directory — Mantıksal Yapı (Logical Components)
Active Directory içerisinde mantıksal yapı esasında fiziksel yapıyı organize etmektedir. Nesneleri tutar ve kaynakları organize eder. İstanbul şubesinden Osmaniye şubesine geçen nesneler ağda kaybolmazlar ve düzgün şekilde adreslenir. Fiziksel olarak yer değişikliği mantıksal yapı tarafından tutulduğu için neyin nerde olduğu bilinmektedir. Mantıksal yapının elemanları ise şu şekildedir.
Forest
Domain Forest, mantıksal yapının en dış ve kapsayıcı yapısıdır. Türkçe karşılığı orman demektir. Bir ağaç gibi yalnız ve hür olan Active Directory bileşenleri “forest” yapısı sayesinde bir orman gibi kardeşçe ve bir arada çalışmaktadırlar. Forest yapısı genişletilip tıpkı bir orman gibi çeşitlendirilebilir.
Domain ve Domain Tree (Etki Alanı ve Etki Alanı Ağacı)
Etki alanı olarak Türkçeleştirilen bu terim, bir Windows ağındaki merkezi yönetimi sağlamak için kurulan temel bileşendir. Aynı isim altında toplanmış nesnelerin oluşturduğu yapıya verilen isimdir. ahmetdoruk.com adıyla kurulan domain, buna resimdeki gibi örnektir. Aynı domain içerisindeki bütün nesneler ortak bir veri tabanındadır. Her domain yani etki alanının kendi güvenlik sınırı vardır ve kendi yöneticisi tarafından yönetilir. Birden fazla birbirine bağlanmış etki alanına domain tree (etki alanı ağaçları) denir. Bir domain tree içerisinde “parent” ve “child” domaini bulundurur. Domain Tree yapısında ilk eklenen domain ise “root” yani kök domaindir ve en tepededir.
OU — Organizational Unit (Yapısal Birimler)
Organizational Unit Nedir? OU dediğimiz yapı (bundan sonra OU olarak kısaltacağım) içerisinde kullanıcı hesapları, grup hesapları, bilgisayarlar ve yazıcılar gibi nesneleri organize etmek için kullandığımız bileşendir. Domain içerisinde oluşturulan her OU birbirinden bağımsızdır. OU kullanımı Şube ayrımı, departman ayrımı, kullanıcı ve bilgisayar ayrımı gibi durumlarda kullanılır. Örnek olarak Doruk Yazılım şubesinde Mühendislik departmanındaki Yazılımcı ve Stajyerler gibi ayrımlar yapılabilir, bu OU’lar iç içe de olabilir. OU sayesinde delegasyon yapabilir, en küçük birimlere bile farklı GPO gönderebiliriz. Delegasyon çoklu şubelerdeki Domain Admin olarak çalışan sistem yöneticilerin iş yükünü hafifletmek için ilgili şubeye ait OU için bir kişiye yetki tanımlaması yapmanızı sağlar.
Global Catalog
Active Directory Domain Services (ADDS) yapılarında tüm nesnelerin ve kaynakların adres bilgisini tutarak kaynağa veya nesneye erişilmek istendiğinde ilgili nesnelerin ve kaynakların adresini veren domain controller sunucuya global katalog adı verilmektedir. Birden çok domaine sahip forest yapılarında tüm domain ile ilgili sorgu yapabilmek için kullanılır. Global Catalog aynı zamanda nesne konumundan bağımsız olarak nesneler hakkında bilgi de sunar.
Trust Relationships (Güven İlişkisi)
Farklı iki etki alanı arasında kaynak ve bilgi paylaşımı için kurulan ilişkiye güven ilişkisi denir. Çift Yönlü ve Geçişli olarak iki özelliği vardır. Çift Yönlü ilişkide her iki taraf birbirlerinin kaynaklarını kullanabilirken, geçişlide ise doğrudan güven ilişkisine sahip olmayan iki domainin her ikisinin de parent domain ile kurdukları güven ilişkisi üzerinden birbirlerinin kaynaklarına erişmesi anlamına gelmektedir.
DNS (Domain Name System)
Farklı amaçlar doğrultusunda kullanılmasına rağmen, aktif dizin hizmeti ve DNS aynı hiyerarşik yapıya sahiptirler ve özdeş bir isim alanı kullanırlar. Böylece, DNS bölgeleri aktif dizinde depolanabilir ve nesneler hem aktif dizin nesnesi olarak hem de DNS etki alanı ya da kaynak kayıtları olarak kullanılabilir. Aktif dizin hizmetinin kullanılabilmesi için DNS yapısının var olması gereklidir. Çünkü bir istemcinin, Active Directory sunucusunda oturum açabilmesi ya da o etki alanındaki bir kaynağa ulaşabilmesi için hangi etki alanı denetleyicisine ulaşması gerektiği bilinmelidir. Bunu öğrenebilmek için de, DNS sunucularındaki SRV (Service Records) kayıtları kullanılır. Aktif dizin hizmetinin problemsiz çalışabilmesi için bu kayıtların eksiksiz olarak tutulması gerekmektedir. Aksi takdirde, etki alanı denetleyicilerinin yeri belirlenemez ve etki alanına giriş yapılamaz.
Active Directory Veri Tabanı
Active Directory veri tabanı ve log dosyaları varsayılan olarak C:\Windows\NTDS dizini altında tutulur. Kurulum aşamasında veya sonrasında bu yol değiştirilebilmektedir ama gerekli bir durum olmadıkça tavsiye edilmez. Active Directory’nin araştırmalarıma göre teoride 2 milyardan fazla (evet yanlış okumadınız) nesneyi saklayabilen bir veri tabanı vardır. Veri tabanı sayesinde siz silmediğiniz sürece tüm ortamın bilgileri uzun süre saklanır ve iletişimde kayıp yaşanmaz.
Active Directory Lisanslama Nedir? Nasıl Yapılır?
Active Directory kullanmak için temel olarak Microsoft tarafından desteklenen Windows Server işletim sistemi lisanslarından birine ve en az Standart sürüm lisansına sahip olmanız gerekmektedir. Windows Server lisansları çekirdek (core) başına lisanslanmaktadır ve soketteki işlemciniz ne kadar çekirdeğe sahipse ona göre bir lisanslama yapmanız gerekmektedir. İkinci olarak ise kullanıcı başına olan User CAL (Client Acces Licence) yada cihaz başına olan Device CAL lisansı almanız gerekmektedir. Bu lisans türüne göre kaç kişi yada makine domaine dahil olacaksa o kadar lisans alınmalıdır. Tüm bu işlemlerden sonra Active Directory Domain Services (ADDS) içerisinde gelen özelliklerin tamamına yakınını ücretsiz kullanabilirsiniz. Kaynakların doğru ve maliyet etkin bir çözüm üretmek adına lisanslama detaylı bir şekilde yapılmalıdır.
