Etki Alanı Denetleyicileri (Domain Controllers)
Etki Alanı Denetleyicileri (DC), Active Directory’nin kalbidir. Birincil rolü, ntds.dit dosyasında saklanan Active Directory veritabanını barındırmaktır. Varsayılan olarak, Domain Admins grubunun üyeleri bir DC’de oturum açabilir, çünkü yerel Administrators grubuna sahip olmayan sunucular yalnızca DC’lerdir.
Ortamda her zaman en az iki tane olmalıdır.
DC’den ortamımızda en az iki adet olduğundan emin olmamız gerekmektedir. Ve düzenli olarak yedeği alınmalıdır. Bir etki alanı denetleyicisi herhangi bir nedenden dolayı açılamaması durumunda diğeri hala gereken tüm işlevleri yerine getirmek için yeterlidir. Yalnızca bir DC’miz varsa ve başarısız olursa ve yedeğimiz yoksa etki alanı denetleyicimizi yeniden oluşturmamız gerekecektir.
Domain alan adı belirlerken Microsoft’un önerisi, babur.local gibi harici olarak isim çözülmeyen bir etki alanı adı yerine, etki alanı adını babur.com gibi kayıtlı bir kök etki alanı adı kullanmamız gerektiğidir. Bir çok organizasyon hala çözümlenemeyen alan adlarını kullanıyor. Yeni kurulan domain ortamlarınızda yalnızca Microsoft’un tavsiyelerini dikkate almalıyız.
Server Core
Saldırılara karşı daha güvenli hale getirilen, GUI bağımlılığı bulunmayan etki alanı denetleyicileri, Server Core dağıtımları için iyi iş çıkarabilecek çeşitlerden birisidir. Microsoft, Server Core dağıtım seçeneğini kullanarak ve bu sunucuları uzaktan yönetmek için etki alanı denetleyicilerinin kullanılmasını önermektedir.
Nano Server’da AD DS
Nano Server, Etki Alanı Denetleyicisinin rolünü barındırmayı henüz desteklemiyor ancak ileride bir aşamada desteklenecek gibi görünüyor. Bu noktada, Nano sunucu dağıtımını birincil AD DS dağıtım seçeneğiniz olarak düşünmelisiniz.
Server Core sistemimizi DC ortamına yükseltebilmek için aşağıdaki işlemleri gerçekleştirebiliriz;
- Sunucu Yöneticisi konsolunu kullanarak sunucuya uzaktan bağlanıp.
- Sunucuya “Add Roles and Features Wizard” aracılığıyla uzaktan AD DS servisi yükleyebiliriz.
Powershell konsolu üzerinden uzaktan bağlanarak aşağıdaki komutları kullanabiliriz:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -DomainName contoso.internal -InstallDNS:$True -credential (Get-Credential)
Yukarıda belirtilen komutları çalıştırdığımızda bizden DSRM parolası girmemizi isteyecek. Yeni etki alanı yüklüyorsak, ortamda ilk domain controller ise aşağıdaki komutu kullanmamız gerekmektedir. Örneğin;
Install-ADDSForest -DomainName babur.com -InstallDNS
Read Only Domain Controllers
RODC, DC’nin özel bir türüdür. AD DS veritabanının salt okunur bir kopyasını barındırırlar. Alanlardaki tüm kullanıcılar için parolaları depolamak yerine, RODC’ler yalnızca yapılandırdığınız belirli bir hesap grubunun parolalarını depolar. Yeni bir etki alanındaki veya ortamdaki ilk etki alanı denetleyicisi bir RODC olamaz.
RODC’lerin gerekçesi, bazen DC’lerin sunucuların fiziksel güvenliğin olmadığı ve çalınabilecek yerlerde kullanılması tavsiye edilir.
RODC Password Replication
RODC’yi yapılandırmada en önemli adımlardan biri, yazılabilir bir etki alanı denetleyicisinden hangi parolaların sunucuya kopyalanabileceğini sınırlamaktır. RODC’nin varsayılan yapılandırması, kullanıcı ve bilgisayar hesabı parolaları haricinde hemen hemen her şeyi Active Directory’den depolar. RODC, bir kullanıcının veya bilgisayar hesabının Active Directory’ye karşı kimlik doğrulamasının yapılması gerektiğinde, yazılabilir bir Windows Server DC için bir vekil görevi görür. Kimlik doğrulama gerçekleşir, ancak işlevsel olması için WAN bağlantısına bağlıdır çünkü yazılabilir bir DC’yi yerel olarak barındırabilirseniz, RODC’ye ihtiyacınız yoktur.
Herhangi bir parolayı yerel olarak önbelleğe almamak için bir RODC yapılandırabilmenize rağmen, bir RODC’yi, oturum açma işlemlerini hızlandırmak için bir şubede çalışan seçkin personelin parolalarını önbelleklemek üzere yapılandırabilirsiniz. Parolaları önbelleğe alma, şube ofis kullanıcılarının, WAN bağlantısının başarısız olması durumunda oturum açmalarını sağlar. WAN bağlantısı başarısız olursa ve kullanıcının kimlik bilgilerini önbelleğe almazsa, kullanıcı etki alanında oturum açamaz.
Aşağıdaki resimde gösterildiği gibi Parola Çoğaltma İlkesi’ni kullanarak RODC’yi kullanarak hangi hesapların kimliğini doğrulayabileceğini yapılandırırsınız. Varsayılan olarak, İzin Verilen RODC Parola Çoğaltma grubunun üyeleri kimlik doğrulaması yapmak için RODC’yi kullanabilir. Bu, yalnızca kullanıcı hesabı Hesap Operatörleri, Yöneticiler, Yedekleme İşlemcileri, Sunucu İşletmenleri veya Denied RODC Password Replication Grubu gruplarının üyesi değilse geçerlidir.
RODC Yerel Yöneticiler
RODC bulundurduğumuz ortamlar bahsettiğimiz üzere güvenliği olmayan, IT personeli bulunmayan alanlarda kullanıyorduk ancak bu gibi ortamlarda sadece DC olmayacağı yanı sıra, dosya sunucusu, DHCP, DNS gibi yerel işlemleri gerçekleştireceğimiz servislerde kullanılmakta. DC bölümünün başında bahsettiğimiz DC’de sadece Domain Adminler oturum açabilir konusu RODC için geçerli değildir. İlgili alanda çalışan IT ekibinde olmayan birisi içinde yetki tanımlaması RODC’de gerçekleştirilebilir. RODC’ler normal DC’lerden farklıdır. Bu nedenle Domain admin kullanıcısı olmayan birinede yerel yönetim izni verilebilmektedir.
AD DC Yapısı
AD, orman ve domainlerden oluşmaktadır. Orman, bir şemayı ve güvenlik ilglereki paylaşan bir AD etki alanlarının toplamıdır. Dünyadaki kurumların büyük çoğunluğunun tek bir orman yapısı vardır. Çoklu ormanlar genellikle coğrafi olarak daha geniş alanlara dağılım gösterenler kuruluşlarda, farklı bir firmayı satın alınma durumlarında kullanılır.
Etki Alanları
Kurumlar için tek bir alan yeterlidir. Bir ormandaki birden fazla çok alana sahip olmak için iki genel neden mevcut. İlki, kuruluşun farklı coğrafi alanlarda dağınık olması ve etki alanı çoğaltma trafiği ile ilgili sorunlar oluşturmasıdır. İkincisi, kurumun çok büyük olmasıdır. Tek bir alan, şaşırtıcı sayıda nesne tutabilir. Kuruluşun on binlerce kullanıcıya sahip değilse, tek bir alan genellikle fazlasıyla yeterli olur.
Etki alanı ağacı, bir üst-alt ilişkide AD alanını paylaşan bir alan koleksiyonudur. Örneğin: ankara.babur.com ve İstanbul.babur.com alan adları, babur.com alanının alt alanları olmaktadır.
Yedeklilik amacıyla her zaman etki alanı başına en az iki adet DC kurulmalıdır. Çok alanlı bir ormana sahipseniz, kök etki alanındaki etki alanı denetleyicileri için düzenli olarak yedekleme yapıldığından emin olunmalıdır. Kök etki alanı denetleyicilerinin onarılamaz bir şekilde başarısız olması durumunda tüm ormanın yeniden kurulmasına neden olacaktır.
Domain functional levels
Etki alanı işlev düzeyi hangi AD özelliklerinin kullanılabilir olduğunu ve etki alanı içindeki etki alanı denetleyicileri olarak hangi işletim sistemlerine katılabilir olduğunu belirlemektedir. Etki alanı işlev düzeyi, en düşük etki alanı denetleyicisi işletim sistemini belirler. Örneğin; etki alanı işlev düzeyi Windows Server 2012 veya olarak ayarlanırsa, etki alanı denetleyicileri Windows Server 2012 veya sonraki bir işletim sistemini çalıştırmalıdır. Bu kural üye sunucular için geçerli değildir. Windows Server 2008 R2 işletim sistemini çalıştıran sunucuların bulunduğu Windows Server 2016 işlev düzeyinde çalışan bir etki alanına sahip olabilirsiniz.
Microsoft tarafından tavsiye edilen; DC’yi en yüksek OS düzeyinde çalıştırmaktır. Etki alanı denetleyicileri ağımız için çok önemli olduğu için Microsoft, güvenlik açısından her zaman en son yayınlanan OS sürümü ile etki alanı denetleyicilerini çalıştırmamızı önerir. Çünkü Microsoft, en son çıkan işletim sisteminin en güvenilir olduğunu belirtir.
Windows Server 2016 DC’ler aşağıda belirtilen OS’leri desteklemektedir.
- Server 2008
- Server 2008 R2
- Server 2012
- Server 2012 R2
- Server 2016
Orman (Forest)
Orman, bir şemayı paylaşan alan koleksiyonudur. Bir ormandaki tüm etki alanları arasında otomatikman güven ilişkileri vardır. Bir ormandaki etki alanındaki hesaplara diğer alanlardaki kaynaklar için haklar tanınabilir. Bölümün daha önce belirtildiği gibi ormanların bitişik bir ad alanine sahip olması gerekmez. Hem, Babur.com hem de onur.com alan adlarını içerebilir.
Kuruluştaki ormanlar arasında yapılandırılmış güven ilişkileri bulunan birden çok ormana sahip olmanın çeşitli nedenleri vardır. En yaygın olanı, bir organizasyonun bir başka kurumu satın almış olması ve edinilen organizasyonun ormanında barındırılan kullanıcıların ve kaynakların alınan organizasyonun ormanına taşınacağı zamana kadar çoklu ormanların var olmasıdır. Daha az yaygın olanı ise kuruluşun kendisinin bir bölümünü ayırması ve kullanıcıların bölünmeden önce mevcut ormandan çıkıp yeni bir ormanda olmasıdır.
Orman fonksiyonel seviyeleri, ormandaki minimum alan fonksiyonel seviyesine göre belirlenir. Ormandaki etki alanı işlev düzeylerini yükselttikten sonra ormanın işlevselliğini artırabilrisiniz. AD’nin önceki sürümlerinden farklı olarak yükseltildikten sonra hem orman hemde AD işlev düzeylerini düşürmek mümkündür.
Organizational Units
Kapsamlı bir OU yapısının faydaları, nesneler üzerindeki izinlerin basitleştirilmesine kolaylık sağlar. GPO’ları etkilenen hesaplara daha yakın uygulamamamıza fayda sağlar. GPO’ları güvenlik gruplarına veya WMI sorgularına dayalı olarak filtrelemek mümkün olsa da, bir Bilgisayar içindeki her GPO’nun ve kullanıcı hesabının kapsamının uygulanıp uygulanmadığını kontrol etmeniz gerektiğini unutmamak önemlidir. GPO’ların tümü etki alanı düzeyinde uygulanmışsa ve güvenlik grubu veya WMI sorgusuna göre filtrelenirse, başlangıç oturum açma sırasındaki grup policy işleme süresine göre uzayacaktır.
Yetkilendirme işlemleri gerçekleştirirken çok önemli işe yarayacaktır. Örneğin; her il için oluşturduğunuz OU’da ilgili il’de görevli IT personeli kendi yerleşkesindeki kişilerin parolasını resetleme için yetki tanımlaması sağlayabileceksiniz. Kurum içerisindeki tüm kullanıcılar tek bir OU içerisinde bulunuyorsa her IT personeli her kullanıcıya müdahale edilebecek durumda olacak ki bu istenilen bir yapı değildir. O yüzdendir ki OU yapısı çok önemlidir.
Flexible Single Master Operations (FSMO) roles
The Flexible Single Master Operations (FSMO) rolleri, etki alanı denetleyicilerinde bulunan 5 özel role sahiptir. Bu rollerden ikisi schema master ve the domain naming master’dır. Her ormanda benzersizdir. Diğer üç rol, PDC Emulator, Infrastructure master ve RID master ormandaki her etki alanında bulunmalıdır. Örneğin, üç etki alanı ormanında yalnızca bir schema master ve domain naming master bulunur ancak ormandaki her etki alanı kendi PDC emulator, infrasturcture master ve RID master rolüne sahiptir.
Varsayılan olarak, FSMO rolleri bir etki alanındaki ilk etki alanı denetleyicisinde bulunur. Her etki alanında birdenf azla etki alanı denetleyicisine sahip olduktan sonra, manuel olarak FSMO rolleri diğer etki alanı denetleyicilerine taşınmalıdır. Bu işlem bizleri her etki alanına dağıtılan ilk etki alanı denetleyicisinin herhangi bir nedenden dolayı tüm FMSO rolleri kullanılamaz hale geldiği durumdan bizleri korur.
Schema master
Schema master, ormandaki tek bir sunucuda bulunur. AD şemasındaki güncellemeleri işler. AD şeması, AD’nin işlevselliğini tanımlar. Örneğin, şemayı değiştirerek mevcut nesnelerin kullanılabilir niteliklerini artırabilir ve AD’nin yeni nesneleri depolamasını sağlayabiliriz. Exchange Server ve Configuration Manager dahil olmak üzere, varsayılan AD şemasının ürün yüklemesinden önce genişletilmesi ve böyleyece her ürünün önemli verilerini AD üzerinde depolayabilecek hale getirir.
Schema master, rolünü barındaıran etki alanı denetleyicileri, ormanın kök etki alanında bulunmalıdır. Schema, Exchange Server gibi ürünleri yüklemeden önce genişletmek istiyorsanız, bunu şema yöneticisi rolünü barındıran bilgisayarda veya aynı sitedeki bir bilgisayarda yapmalıyız. Şemayı genişletmek için kullanılan hesap, Schema Admins güvenlik gurubunun bir üyesi olmaldıır.
Aşağıdaki komutu Powershell aracılığıyla kullanarak yapımızda Schema master rolünü hangi DC’mizin barındırdığını öğrenebiliriz:
Get-ADForest babur.hol | FT SchemaMaster
Domain naming master
Domain naming master (etki alanı adlandırma yöneticisi), ormandaki domain controllerların eklenmesi ve kaldırılmasının yönetiminden sorumlu olan roldür. Domain naming master, Trust domain işlemlerinde ki, etki alanlarına yapılan başvuruları da yönetir.
Aşağıda belirtilen PowerShell komutunu çalıştırarak ilgili rolün, hangi DC üzerinde çalıştığını görebiliriz.
Get-ADForest babur.hol| FT DomainNamingMaster
PDC emulator
PDC emulator rolü hem DC zaman senkronizasyonuhemde hesapların parolalarını yönetmekten sorumludur. Ortamınızdaki PDC emulator rolünün yüklü olduğu DC’nin, dış saat kaynağıyla senkroniz edildiğinden emin olunmalıdır.
Get-ADDomain babur.hol | FT PDCEmulator
Infrastructure master
Infrastructure master rolunü barındıran sunucu, ortamdaki diğer etki alanlarında yerel etki alanındaki nesneler için geçerli oldukları değişiklikleri izler. Infrastructure master, etki alanındaki tüm DC’lerin global catalog yüklü olarak yapılandırılmadığı sürece, global catalog sunucusu rolünü barındıran bir etki alanı denetleyicisiyle birlikte bulunmaktan kaçınılmalıdır.
Get-ADDomain babur.hol | FT InfrastructureMaster
RID Master
RID Master, belirli bir etki alanındaki DC denetleyicilerinden göreli kimlik isteklerini işler. Nesne için benzersiz bir güvenlik kimliği (SID) oluşturmak için bağıl kimlikler ve etki alanı güvenlik kimlikleri bir araya getirir. Ormandaki her etki alanında RID master rolü mevcuttur.
Get-ADDomain ronesans.hol | FT RidMaster
FSMO Rollerini Dağıtmak
Aşağıdaki komut ile AKDC01 DC’mizie aşağıda belirtilen rollerin hepsi taşınacaktır.
Move-ADDirectoryServerOperationMasterRole -Identity ANKDC01 -OperationMasterRole RIDMaster,InfrastructureMaster,DomainNamingMaster -Force
AD yönetim makele serimizin devamında görüşmek üzere,