Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
• Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator üzerinde, bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
talep edilebilir. Bu sorunun çözümünü sağlamaya yönelik, kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
• Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya gruba devredebilirsiniz. Delege olarak adlandırılan kullanıcı,
Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Network'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain child domain
mcse.com.tr - — yns.mcse.com.tr
mcse.com.tr — — deniz.mcse.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.
Transitive Trusts: "yns.mcse.com.tr" ile "mcse.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.mcse.com.tr" ile "mcse.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.mcse.com.tr ile deniz.mcse.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :
Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına (unique name space) sahiptir. Örneğin: Mcse Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG
Global Catalog: Active Directory içerisindeki tüm objelere ait niteliklerin
tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla
kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.
Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri
kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
• Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory
bilgilerine ulaşım.
• Network ortamına katılırken; universal group üyeliğinin kullanılabilmesi.
Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), "global catalog server" olarak adlandırılır.
Active Directory içerisinde ilk yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.
20 Mart 2010 Cumartesi
DOMAIN (ETKİ ALANI)
Domain: Yönetici (administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı) içerisinde paylaşıma sunulmuş bilgisayarları kapsar. Network ortamında eşsiz (unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini, merkezileştirmektedir.
Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması yapabilir.
Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers (DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.
Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması yapabilir.
Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers (DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.
LIGHTVVEIGHT DİRECTORY ACCESS PROTOCOL (LDAP)
LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;
* Distinguished Names
* Relative Distinguished Names
Distinguished names: Tüm Active Directory objeleri, Network ortamında
kendilerine ulaşılmasını sağlayan komple path içeren, distinguished name'e
sahiptir.
Örneğin;
CN=Yunus Dilsiz , OU=Pazarlama , DC=mcse, DC=com
Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı yns.com ise, DC=yns, DC=com şeklinde belirtilir.
Başka bir örnek verelim;
"AYLA" isimli kullanıcı, "Kadikoy" isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı "yns.mcse.com" olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;
CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com Yazılımında yns.mcse.com içinde tek olan yani; Relative Distingished Name; Ayla 'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY'nin MANTIKSAL YAPISI:
Active Directory'nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.
Söz konusu mantıksal komponentler
A. Domain
B. Organizational unit
C. Tree and forest
D. Global catalog
Active Directory'nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
* Distinguished Names
* Relative Distinguished Names
Distinguished names: Tüm Active Directory objeleri, Network ortamında
kendilerine ulaşılmasını sağlayan komple path içeren, distinguished name'e
sahiptir.
Örneğin;
CN=Yunus Dilsiz , OU=Pazarlama , DC=mcse, DC=com
Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı yns.com ise, DC=yns, DC=com şeklinde belirtilir.
Başka bir örnek verelim;
"AYLA" isimli kullanıcı, "Kadikoy" isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı "yns.mcse.com" olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;
CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com Yazılımında yns.mcse.com içinde tek olan yani; Relative Distingished Name; Ayla 'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY'nin MANTIKSAL YAPISI:
Active Directory'nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.
Söz konusu mantıksal komponentler
A. Domain
B. Organizational unit
C. Tree and forest
D. Global catalog
Active Directory'nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
ACTIVE DIRECTORY SCHEMA
Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile
• Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
• Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi
sağlanır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile
• Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
• Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi
sağlanır.
Active Directory Nedir & Active Directory Yapısı
Active Directory, Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan bir directory servisidir. Bu servis Network içerisinde bulunan kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik bilgilerini depolamanın yanısıra bu bilgileri, kullanıcılar ile uygulamaların hizmetine sunar.
Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfigürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.
Active Directory yapısında, Network objeleri hakkında bilgiler depolanır.
Active Directory objeleri: Kullanıcın (user), grup (group), bilgisayar (computer) ve yazıcı (printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.
Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Network ortamında kolaylıkla bulması sağlanır.
Active Directory, yukarıda da bahsettiğim gibi Windows tabanlı ağ içinde kullanılan bir servistir. Bu servis ağ kaynakları (kullanıcılar, aygıtlar, izinler vb.), sistem konfigürasyonu, kullanıcı profilleri, uygulamalar hakkında bilgi saklar. �Group Policy� düzenlemeleriyle birlikte sistem yöneticisi kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), network servislerini ve uygulamaları merkezi olarak bir noktadan yönetmeyi sağlar.Yani kısaca tek merkezden etkin yönetim diyebiliriz.Active Directory Windows@Server�ın ağ yapısını da ortaya koyan bir sistemdir ve DNS (Domain Name System) temellidir.Ağ yapısından kastım, yukarıda domain yapısına ilişkin forest, tree kavramlarıyla yakından ilişkili olması durumudur.AD Görevi:Active Directory dizin servisi network kaynaklarının organize edilmesini, yönetilmesini ve denetimini sağlar. Bununla birlikte Active Directory networkün yerleşimini (topology) ve protokollerinin yapılandırılmasını da üstlenen bir sistemdir. Active Directory"nin kurulmasıyla birlikte networkün tasarımı ve yönetimi Active Directory temelinde yapılır. AD Özellikleri:· Ölçeklenebilirlik.· Genişletilebilirlik.· Internet-standartlarında adlandırma.· Tek bir noktadan erişim.· Hata toleransı.· Güvenlik kontrolü.· Birlikte çalışma ..gibiÖlçeklenebilirlik özelliği ile Active Directory milyonlarca nesne içerebilir.Bunlar kullanıcıdan tutun, yazıcılara kadar uzanan nesneler topluluğudur. Genişletilebilirlik özelliği ise AD Şeması üzerinde değişiklik yapılabilmesi anlamına gelir. İnternet standartlarında adlandırma, ad çözümleme ve query protokolleri ise İnternet ile bağlantı yapmayı sağlar. Tek bir noktadan erişim özelliği ise Administrator�ün bir yerden yapacağı logon işlemi ile bütün ağları yönetmesi anlamına gelir. Hata toleransı ise beklenmedik olaylara karşı Active Directory bilgilerinin çoğaltılması işlemlerini içerir.Buna teknik terim olarak Fault tolerance deriz. Güvenlik kontrolü ise kullanıcıların erişim kontrollerinin dağıtılabilmesi (delege edilmesi) anlamına gelir. Birlikte çalışma ise Active Directory�nin diğer işletim sistemleriyle bütünleşmesi anlamına gelir. LDAP, X.500 standartları gibi. Active Directory Şeması Active Directory veritabanı içinde şema sayesinde nesneler tutulur ve bütün nesnelerin tanımlamalarını içerir. Bilgisayarlar, kullanıcılar, yazıcılar ve diğer bütün network nesneleri şemadaki tanımlarıyla ve özellikleriyle saklanır.Şema içinde nesneler için iki temel bilgi tutulur. Class ve attribute. Class bilgisi yaratılacak nesneyi tanımlar. Attribute"ler ise birden çok class için kullanılabilen alanlardır.
LDAP (Lightweight Directory Access Protocol) LDAP Directory serviste kullanılan bir protokoldur ve nesnelere erişim için kullanılır. Diğer bir deyişle Active Directory "de tüm nesneler LDAP tarafından sorgulanacak biçimde dizilir.LDAP ile Active Directory nesnelerine erişmek için belli bir adlandırma sistemi kullanılır: 2 adettir.· Distinguished Name· Relative Distinguished Name Active Directory içindeki her nesnenin bir distinguished adı vardır. Mesela :CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net Yukarıdaki LDAP tanımı "bilisimhaber.net" domaininde, bilgi işlem OU"su içindeki Onur adlı kullanıcıyı belirtmektedir. Relative Distinguished Name ise Distinguished Name içindeki bir kısmı tanımlayan addır. Örnek: Distinguished Name: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=netRelative Distinguished Name"ler ise: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net İşte, AD sorgulamaları kısaca bu şekilde yapılmaktadırUyumayın, daha bitmediiii AD Güven İlişkileri ("Trust" deriz biz buna)Active Directory forest"ı içindeki bütün domainler arasında iki yönlü ve geçişli (transitive) güven (trust) otomatik olarak kurulur.Hemen örnek vereyim Yukarıda verdiğim forest yapısında iki domain var, aynı forest içinde iki farklı domain..Neydi bunlar biri odut.com diğeri microsoft.comOtomatik olarak bu iki domain birbiriyle "trust" ilişkisi içersindedir.Biz buna "transitive trust relationship" deriz.Yani karşılıklı güven ilişkisi..Bu durumda her iki domain"deki kaynaklar ortaklaşa, izin alınmadan kullanılabilir.Daha geniş anlamda güven ilişkileri (trust relationship), bir domain içindeki kullanıcıların diğer domainlerideki kaynaklara erişebileceği ya da oradaki gruplara üye olabileceği anlamına gelir.
Global Catalog Active Directory replikasyonu ve kullanıcıların domainlere logon olmasıyla ilgili bir diğer Active Directory terimi de global katalogdur. Varsayım olarak domainin ilk Domain Controller bilgisayarı global katalogdur.Hani yukarıda bilgisayara AD kurduk ya işte o bilgisayar o domain"in global katalog"udur. Global Catalog bilgisayar içinde belli özellikler olmak üzere domainin bütün nesneleri yer alır. Bu nedenle bütün sorgulama işlemlerinde Global Katalog"a bakmak yeterlidir. Her Active Directory sitesinde bir Global Catalog olması önerilir. Bunun dışında kullanıcının logon olabilmesi için Global Catalog"a erişebilmesi gerekir. Bir diğer önemli konuda Global Catalog, Universal grup üyeliklerini de takip eder. Tabi bu grup olaylarına ileride değineceğim daha kapsamlı olarak..aceleye gerek yok Active Directory"nin Fiziksel Yapısı Mantıksal yapı, kullanıcı, grup gibi nesnelerin yönetimiyle ilgiliyken, fiziksel yapı tamamıyla network alt yapısıyla ilgilidir. Mantıksal yapıyla ilgilidir, ancak tamamıyla örtüşmesi zorunlu değildir. Mantıksal yapının tasarımında yönetim konuları ele alınırken, fiziksel yapının tasarımında network yapısı (subnetler), routerler, bant genişlikleri, switch"ler vb. gibi konular ele alınır.Bunu "Eurystheus" hocamız bize network konularında güzelcene açıklar tabii Active Directory yapısı her zaman bir varsayılan site içindedir. Ancak özellikle şirketin coğrafik olarak yayılması işin içine WAN bağlantılarını ortaya çıkarır. Bu durumda uzak birimlerin site olarak tasarlamak ve aralarında replikasyonu kontrol etmek ana işlemdir. Fiziksel yapı içinde siteler önemli rol oynarlar. Bir site, yüksek hızda birbirine bağlı bir ya da daha çok IP subnetidir. Bu anlamda site içinde replikasyon işlemi çok hızlı yapılır. Buradaki örneği çoğaltabiliriz tabii ki.."SITE" 2 "den fazla domain arasında da kurulabilir. Sadece önemli olan husus, DC yani Domain Controller"lar arasında SITE kurulması gerektiğidir.Yukarıda da bahsettiğim gibi en önemli amacımız "nasıl en hızlı şekilde domain"ler arasında replikasyonu sağlayabiliriz.Bu faktöre göre hangi şehirler ya da domain"ler arasında ve ucuz maliyetle site kurmamız gerektiği önemli bir konudur.
ACTIVE DIRECTORY VE DOMAIN YAPISINA GENEL BAKIŞ: Active Directory, Türkçe"de Aktif Dizin anlamına gelmektedir.Buradaki Dizin tüm sistemdeki nesnelerin bilgileri anlamındadır.Aktif Dizin ise kayıtların ve bilgilerin sadece statik olarak değil değişken olarak veritabanında tutulduğu bir sistemdir. Active Directory Windows 2000 ve 2003 server ağında kullanılan bir servislerden bir tanesidir.Bu servis ağdaki tüm kaynaklarla ilgili bilgilerin tutulmasını ve bu bilgilerin tüm kullanıcı ve objelere sunulmasını sağlar.Örneğin computer accounts(bilgisayar hesapları),printers(yazıcılar),users(kullanıcılar) ... Active Directory tüm ağdaki kaynakların tek bir merkezden yönetilmesini sağladığı için, ağdaki herhangi bir kullanıcının, herhangi bir objenin fiziksel olarak yerini bilme gibi bir zorunluluğu yoktur.Çünkü fonksiyonel olarak Active Directory ağdaki tüm kaynakların organizasyonundan,yönetiminden ve kontrolundan tek başına sorumludur.Buna en iyi örnek biraz önce de söylediğim gibi yazıcı örneğidir.Ağdaki herhangi bir kullanıcının yazıcıdan çıktı alması için yazıcının ağda fiziksel olarak nerde olduğunu, ne şekilde ağa bağlantısının yapıldığını bilmesine gerek yoktur. Active Directory"de Denetim: Workgroups(Çalışma grupları) ve Domain(etki alanı): Bu iki kavram Active Directory sisteminin en önemli yapıtaşlarındandır.İlk olarak Workgroups kavramı Domain kavramına nazaran daha çok ev ve küçük çaplı ofis kurumları için idealdir ve bu çapta bir anlamda sınırlandırılmıştır.Domain ise daha geniş çaplı bir alanı kapsayan kurumlar ve kullanıcı grupları için geçerlidir.
WORKGROUPS(Çalışma grupları): Genel olarak kullanıcı sayısının en fazla 10 kişi olduğu ve ağ"ın P2P(peer-to-peer) yani eşler arası şeklinde kurulumunun yapıldığı durumlarda WORKGROUPS kullanılır.Burdaki P2P kavramından kastım, ağdaki hiçbir kullanıcının server(sunucu) ya da client(istemci) olarak kabul edilmemesidir.Yani ağdaki herkes eştir, herkes hizmet birimi hem de istek birimidir. Workgrups"da herkes kendi güvenlik ve paylaşım izinlerini yüklemekle serbesttir.Burada sizlere, hazırlanmış güzel bir örnek sunuyorum.DOMAINS(etki alanları): Eğer ağ çok sayıda kaynak ve kullanıcı içeriyorsa, bu durumda WORKGROUPS yerine DOMAIN modeli tercih edilmelidir.Bunun en büyük gerekçelerinden biri de kaynakların yönetiminin ve kontrolunun DOMAIN modelinde daha etkin oluşudur.Çünkü tüm kullanıcı hesapları ve kullanıcı grupları tek bir merkezden(Active Directory) yönetilmektedir.Aynı zamanda bu durum sistem yöneticilerinin de yükünü artıracaktır haliyle.. Domain aynı zamanda internet kullanıcılarının her zaman karşılaştığı bir kavramdır.Genel olarak Windows2000, 2003 domaininde ki kurallar ile internet domain kuralları birbirini izlemektedir.Domain isimlerine de ek olarak tanımlayıcılar geliştirilmiştir.Bunlardan en çok kullanılanları: .org-->ticari amaç gütmeyen kurumlar için .com-->ticari kurumlar için .edu-->eğitim kurumları için .gov-->resmi kurumlar için...örnek domain ismi: microsoft.com, mcse.org, meb.gov.tr, cisco.edu...gibi Bununla beraber; -Domain adları ile DNS adları aynı olabilir. -255 karaktere kadar domain ismi olabilir. -Domain isminde bir veya birden fazla nokta işareti olabilir. FOREST(orman) ve TREE(ağaç): TREE: DNS yapısında bir Domain"in alt ve diğer domain"lerle oluşturduğu toplu yapıya TREE denir. Tree de yer alan ilk Domain DNS adının kök ismine sahiptir.örn: odut.com Domain topluluğunda yani TREE "de yer alan ilk domain olsun.bunun altına tekrar "donanım" isimli bir child domain(alt domain) açarsak DNS adresimiz donanim.odut.com olacaktır.
FOREST: Ağaçlardan(TREE) oluşan toplu yapıya ORMAN(FOREST) diyoruz .(herhalde yani..) FOREST"ın TREE"den farkı ;TREE de aynı domain ismine ve onun uzantılarına sahip domain isimleri varken, FOREST"da farklı domain isimlerine sahip birimler, dolayısıyla farklı TREE"ler vardır. -Resim"de odut.com, abc.odut.com ve xyz.odut.com TREE yapısını oluşturmaktadır. -Resim"deki tüm domainler(microsoft.com da dahil olmak üzere)hep birlikte FOREST yapısını oluşturmaktadır. -Microsoft.com domain"i de tek başına ikinci TREE"yi oluşturmuş diyebiliriz. ORGANIZATIONAL UNITS(organizasyonel birimler): Domain"ler OU(organizational units)"lar gibi daha küçük birimlere ayrılabilirler.OU"lar Domain içindeki kullanıcıları, bilgisayarları, grupları ve diğer OU"ları bir arada toplayabileceğimiz birimlerdir. örnek: -firmadaki departman müdürleri -belli bir programı(mesela muhasebe programı) kullanan kullanıcılar -sadece administrator hesabına sahip kullanıcılar -muhasebe departmanı çalışanları("muhasebe" isminde bir OU yaratılabilir) Active Directory yapılandırılmasında Domain"ler çok büyük ve bir o kadar da birimi kapladığı, keza herşeyi içerdiği için denetim yönünden büyük bir dezavantaja sahiptir.Domain admin"i(yöneticisi) bu bazda büyük bir güce sahip olmasının yanında yönetimini farklı gruplara özelleştirmesi gibi bir durum da söz konusu değildir.Bu yüzden Domain"de OU"lar büyük öneme sahiptir.OU"ların başına farklı admin"ler atayarak Domain admin"in de yükü hafifletilmiş olur. Yalnız burada dikkat edilmesi gereken bir konuda OU"lara atanacak olan Admin"lerin yine Domain ya da Enterprise Admin"ler tarafından atanacak olmasıdır dolayısıyla atanacak olan admin"e ne gibi yetkilerin verilmesi konusu da Domain admin"in insiyatifine kalmış bir konudur.
DOMAINLERDE DENETİM, Domain Controllers
etki alanı denetçisi) Domain"lerde denetim, Domain Controller(DC) dediğimiz hizmet birimleri tarafından sağlanır.DC"ler domain ilk kurulduğu zaman oluşturulan birimlerdir.DC"ler Domain"deki tüm dizin (active directory) bilgilerinden sorumludur.ÖRN:dizin sorgulama,kullanıcı ve bilgisayar hesapları,yazıcılar,OU oluşturma...gibi. Ağdaki herhangi bir makinaya ilk kez Active Directory kurulumuyla bilgisayar ağdaki ilk DC durumuna gelmiş olur.Active Directory domain"lerinde hata kaldırabilirlik(fault tolerance),performans ve güvenlik açısından iki tane DC bulundurulmasında fayda vardır.Kurulan ikinci DC de ağda additional DC adını alır.(replica server) ACTIVE DIRECTORY KURULUMU: Ağda istediğimiz bilgisayarı Domain Controller yapabiliriz.Bunun için; Start-->Programs-->Administrative Tools-->Configure your server seçeneğinin yanısıra Start-->Run bölümünde "dcpromo" komutunu yazarak Active Directory kurulumuna başlayabiliriz. -İlk olarak next deyip "Domain Controller type" penceresine geliyoruz.Eğer kuracağımız DC domain"deki ilk DC olacaksa ilk seçeneği seçiyoruz.Eğer domain"de mevcut DC varsa alttaki seçeneği seçiyoruz.Biz ilk defa kuracağımız için ilk seçeneği seçeceğiz.
Yaratacağımız ilk domain tree olacağı için ilk seçeneği seçiyoruz.-Kurulum bir sonraki ekranda bize yeni bir FOREST mı yaratcağımızı ya da mevcut FOREST"a yeni bir domain mi ekleyeceğmizi soruyor.Bu aynı zamanda yaratacağımız ilk FOREST olacağı için tekrar ilk seçeneği seçiyoruz.
Daha sonra Domain ismimizi belirliyoruz.Domain ismimiz odut.com olsun.Ekranda da görüldüğü gibi NetBIOS ismimiz ODUT olarak otomatikman karşımıza çıkıyor.Kurulumda aynı zamanda NetBIOS ismini belirtmemizin amacı ağdaki windows95,98 ve NT makinalarının Domain adımızı anlamasını sağlamaktır.Onların anlayacağı şekilde belirtilen Domain adına NetBIOS denir.NetBIOS adı en fazla 15 karakter olabilir ve DNS ismlerindeki gibi nokta içermez. NOT:Yukarıdaki örnekte NetBIOS isminin illa ki ODUT olma gibi bir zorunluluğu yoktur.NetBIOS ismini "ODUN" da koyabilirdik.Fakat adlandırmada karışıklık olmaması için ODUT koyuyoruz ismini..
Daha sonraki aşamalarda AD veritabanının hangi klasörde ve DC için gerekli bazı bilgilerin nerde saklanacağına ilişkin menüler gelecek.Bunları "next" deyip geçebiliriz.
Daha sonra karşımıza sistemde DNS"in bulunmadığına dair bir uyarı ekranı gelecek.Windows"un DNS"i otomatik olarak yapılandırması için ilk seçeneği seçiyoruz.Bu bölümde ilk seçeneği seçersek anonim kullanıcıların(nt,98,95) Domain"i sourgulayabilmesine izin veririz.ikinci seçenekte ise eski programların kullanılmadığı varsayılır ve domain"de hesabı olan kullanıcılar ancak Domain"i sorgulayabilir.Biz ilk seçeneği seçelim.
Bu pencerede Admin hesabınızın şifresi neyse onu girin.Bilgisayarı "directory restore mode" da açabilmemiz için gereklidir bu şifre.. Directory Restore ModeBu modu eğer Active Directory veritabanında bir aksaklık olduğu zaman Veritabanını geri yükleyebilmek için kullanırız.Modu açabilmek için bilgisayarı baştan başlatıp açılış sırasında F8 tuşuna basarız ve ekrana gelen seçeneklerden "Directory Restore Mode"u seçeriz. Her windows2000 veya 2003 makinada yerel kullanıcı hesapları SAM(security accounts manager) adında bir dosyada tutulur.Ancak o makina DC durumuna getirildiği zaman tüm yerel kullanıcı hesapları ntds.dit dosyasına aktarılır.Bu dosya aynı zamanda Active Directory veritabanın tutulduğu dosyadır.Eğer tekrar dcpromo komutuyla Active directory"i kaldırırsak SAM dosyası tekrar geri yüklenir.Zaten DC "de Active directory users and computers bölümünü açtığımız zaman "local users and computers" bölümünün üzerindeki çarpı işaretini görürüz.Yani artık yerel kullanıcı hesapları Active Directory veritabanına aktarılmıştır. İşte Directory Restore Mode seçeneğiyle dizin bilgilerinde kaza sonucu meydana gelen silinmeler sonucu sistem veritabanını geri yükleyebiliriz. Daha sonra "next" diyerek, özet pencereyi de gördükten sonra kurulum işlemini tamamlamış oluyoruz.
ACTIVE DIRECTORY"NIN KALDIRILMASIRun"da dcpromo komutunu kullanmamız yeterlidir.Bu durumda bilgisayarımız normal bir işletim sistemi halini alacaktır.(Stand-Alone) tabii ki kendi admin hesabımızla ve şifremizle active directory"yi kaldırmamız gerek. Gerekli Administrator adı ve şifresini giriyoruz.Burada stand-alone yani normail bilgisayarda admin şifresini oluşturmamız gerek.
Artık bir domain"imiz yok.Dolayısıyla Active Directory kaldırılmış oldu.
ACTIVE DIRECTORY KULLANICILARIStart menü"den Administrative Tools"dan "actice directory users and computers" seçelim. Users kısmından sağ tıklayıp "new user" diyerek yeni bir kullanıcı ekleyebiliriz. Daha sonra "finish" diyerek kullanıcı ekleme işlemini tamamlıyoruz.-User must change password at next logon:Eğer bu özelliği seçersek bir daha ki log-on "da kullanıcı şifresini değiştirmek zorundadır. -User cannot change password:Kullanıcı şifresini değiştiremez.Sadece admin"ler tarafından şifre değiştirilebilir. -Password never expires:Şifrenin kullanım süresi dolmaz. -Account is disabled:Kullanıcı hesabı silinir.Bu durumda kullanıcı domain"e log-on olamaz
Kullanıcıların Domain"e girmesi: Bilgisayarımıza log-on olduktan sonra (kendi administrator hesabımızla), bilgisayarım özelliklerinden "network identification" bölümüne geliriz.Diyelim ki makinamızın ismi "w2k_pro"..bu bölümde görüyoruz ki ismimiz herhangi bir DNS ekine sahip değil.Ve şu anda "workgroup" a dahiliz. Properties"e girerek, domain"e dahil edelim.Domain kısmına domain ismimizi yazalım ilk önce. Hoşgeldin yazasıyla domain"e girmiş bulunuyoruz, hayırlı uğurlu olsun arkadaşlar! artık bilgisayar açıldığında log-on olurken log-on to: kısmında kendi domain ismimizi seçebiliriz.
Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfigürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.
Active Directory yapısında, Network objeleri hakkında bilgiler depolanır.
Active Directory objeleri: Kullanıcın (user), grup (group), bilgisayar (computer) ve yazıcı (printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.
Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Network ortamında kolaylıkla bulması sağlanır.
Active Directory, yukarıda da bahsettiğim gibi Windows tabanlı ağ içinde kullanılan bir servistir. Bu servis ağ kaynakları (kullanıcılar, aygıtlar, izinler vb.), sistem konfigürasyonu, kullanıcı profilleri, uygulamalar hakkında bilgi saklar. �Group Policy� düzenlemeleriyle birlikte sistem yöneticisi kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), network servislerini ve uygulamaları merkezi olarak bir noktadan yönetmeyi sağlar.Yani kısaca tek merkezden etkin yönetim diyebiliriz.Active Directory Windows@Server�ın ağ yapısını da ortaya koyan bir sistemdir ve DNS (Domain Name System) temellidir.Ağ yapısından kastım, yukarıda domain yapısına ilişkin forest, tree kavramlarıyla yakından ilişkili olması durumudur.AD Görevi:Active Directory dizin servisi network kaynaklarının organize edilmesini, yönetilmesini ve denetimini sağlar. Bununla birlikte Active Directory networkün yerleşimini (topology) ve protokollerinin yapılandırılmasını da üstlenen bir sistemdir. Active Directory"nin kurulmasıyla birlikte networkün tasarımı ve yönetimi Active Directory temelinde yapılır. AD Özellikleri:· Ölçeklenebilirlik.· Genişletilebilirlik.· Internet-standartlarında adlandırma.· Tek bir noktadan erişim.· Hata toleransı.· Güvenlik kontrolü.· Birlikte çalışma ..gibiÖlçeklenebilirlik özelliği ile Active Directory milyonlarca nesne içerebilir.Bunlar kullanıcıdan tutun, yazıcılara kadar uzanan nesneler topluluğudur. Genişletilebilirlik özelliği ise AD Şeması üzerinde değişiklik yapılabilmesi anlamına gelir. İnternet standartlarında adlandırma, ad çözümleme ve query protokolleri ise İnternet ile bağlantı yapmayı sağlar. Tek bir noktadan erişim özelliği ise Administrator�ün bir yerden yapacağı logon işlemi ile bütün ağları yönetmesi anlamına gelir. Hata toleransı ise beklenmedik olaylara karşı Active Directory bilgilerinin çoğaltılması işlemlerini içerir.Buna teknik terim olarak Fault tolerance deriz. Güvenlik kontrolü ise kullanıcıların erişim kontrollerinin dağıtılabilmesi (delege edilmesi) anlamına gelir. Birlikte çalışma ise Active Directory�nin diğer işletim sistemleriyle bütünleşmesi anlamına gelir. LDAP, X.500 standartları gibi. Active Directory Şeması Active Directory veritabanı içinde şema sayesinde nesneler tutulur ve bütün nesnelerin tanımlamalarını içerir. Bilgisayarlar, kullanıcılar, yazıcılar ve diğer bütün network nesneleri şemadaki tanımlarıyla ve özellikleriyle saklanır.Şema içinde nesneler için iki temel bilgi tutulur. Class ve attribute. Class bilgisi yaratılacak nesneyi tanımlar. Attribute"ler ise birden çok class için kullanılabilen alanlardır.
LDAP (Lightweight Directory Access Protocol) LDAP Directory serviste kullanılan bir protokoldur ve nesnelere erişim için kullanılır. Diğer bir deyişle Active Directory "de tüm nesneler LDAP tarafından sorgulanacak biçimde dizilir.LDAP ile Active Directory nesnelerine erişmek için belli bir adlandırma sistemi kullanılır: 2 adettir.· Distinguished Name· Relative Distinguished Name Active Directory içindeki her nesnenin bir distinguished adı vardır. Mesela :CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net Yukarıdaki LDAP tanımı "bilisimhaber.net" domaininde, bilgi işlem OU"su içindeki Onur adlı kullanıcıyı belirtmektedir. Relative Distinguished Name ise Distinguished Name içindeki bir kısmı tanımlayan addır. Örnek: Distinguished Name: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=netRelative Distinguished Name"ler ise: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net İşte, AD sorgulamaları kısaca bu şekilde yapılmaktadırUyumayın, daha bitmediiii AD Güven İlişkileri ("Trust" deriz biz buna)Active Directory forest"ı içindeki bütün domainler arasında iki yönlü ve geçişli (transitive) güven (trust) otomatik olarak kurulur.Hemen örnek vereyim Yukarıda verdiğim forest yapısında iki domain var, aynı forest içinde iki farklı domain..Neydi bunlar biri odut.com diğeri microsoft.comOtomatik olarak bu iki domain birbiriyle "trust" ilişkisi içersindedir.Biz buna "transitive trust relationship" deriz.Yani karşılıklı güven ilişkisi..Bu durumda her iki domain"deki kaynaklar ortaklaşa, izin alınmadan kullanılabilir.Daha geniş anlamda güven ilişkileri (trust relationship), bir domain içindeki kullanıcıların diğer domainlerideki kaynaklara erişebileceği ya da oradaki gruplara üye olabileceği anlamına gelir.
Global Catalog Active Directory replikasyonu ve kullanıcıların domainlere logon olmasıyla ilgili bir diğer Active Directory terimi de global katalogdur. Varsayım olarak domainin ilk Domain Controller bilgisayarı global katalogdur.Hani yukarıda bilgisayara AD kurduk ya işte o bilgisayar o domain"in global katalog"udur. Global Catalog bilgisayar içinde belli özellikler olmak üzere domainin bütün nesneleri yer alır. Bu nedenle bütün sorgulama işlemlerinde Global Katalog"a bakmak yeterlidir. Her Active Directory sitesinde bir Global Catalog olması önerilir. Bunun dışında kullanıcının logon olabilmesi için Global Catalog"a erişebilmesi gerekir. Bir diğer önemli konuda Global Catalog, Universal grup üyeliklerini de takip eder. Tabi bu grup olaylarına ileride değineceğim daha kapsamlı olarak..aceleye gerek yok Active Directory"nin Fiziksel Yapısı Mantıksal yapı, kullanıcı, grup gibi nesnelerin yönetimiyle ilgiliyken, fiziksel yapı tamamıyla network alt yapısıyla ilgilidir. Mantıksal yapıyla ilgilidir, ancak tamamıyla örtüşmesi zorunlu değildir. Mantıksal yapının tasarımında yönetim konuları ele alınırken, fiziksel yapının tasarımında network yapısı (subnetler), routerler, bant genişlikleri, switch"ler vb. gibi konular ele alınır.Bunu "Eurystheus" hocamız bize network konularında güzelcene açıklar tabii Active Directory yapısı her zaman bir varsayılan site içindedir. Ancak özellikle şirketin coğrafik olarak yayılması işin içine WAN bağlantılarını ortaya çıkarır. Bu durumda uzak birimlerin site olarak tasarlamak ve aralarında replikasyonu kontrol etmek ana işlemdir. Fiziksel yapı içinde siteler önemli rol oynarlar. Bir site, yüksek hızda birbirine bağlı bir ya da daha çok IP subnetidir. Bu anlamda site içinde replikasyon işlemi çok hızlı yapılır. Buradaki örneği çoğaltabiliriz tabii ki.."SITE" 2 "den fazla domain arasında da kurulabilir. Sadece önemli olan husus, DC yani Domain Controller"lar arasında SITE kurulması gerektiğidir.Yukarıda da bahsettiğim gibi en önemli amacımız "nasıl en hızlı şekilde domain"ler arasında replikasyonu sağlayabiliriz.Bu faktöre göre hangi şehirler ya da domain"ler arasında ve ucuz maliyetle site kurmamız gerektiği önemli bir konudur.
ACTIVE DIRECTORY VE DOMAIN YAPISINA GENEL BAKIŞ: Active Directory, Türkçe"de Aktif Dizin anlamına gelmektedir.Buradaki Dizin tüm sistemdeki nesnelerin bilgileri anlamındadır.Aktif Dizin ise kayıtların ve bilgilerin sadece statik olarak değil değişken olarak veritabanında tutulduğu bir sistemdir. Active Directory Windows 2000 ve 2003 server ağında kullanılan bir servislerden bir tanesidir.Bu servis ağdaki tüm kaynaklarla ilgili bilgilerin tutulmasını ve bu bilgilerin tüm kullanıcı ve objelere sunulmasını sağlar.Örneğin computer accounts(bilgisayar hesapları),printers(yazıcılar),users(kullanıcılar) ... Active Directory tüm ağdaki kaynakların tek bir merkezden yönetilmesini sağladığı için, ağdaki herhangi bir kullanıcının, herhangi bir objenin fiziksel olarak yerini bilme gibi bir zorunluluğu yoktur.Çünkü fonksiyonel olarak Active Directory ağdaki tüm kaynakların organizasyonundan,yönetiminden ve kontrolundan tek başına sorumludur.Buna en iyi örnek biraz önce de söylediğim gibi yazıcı örneğidir.Ağdaki herhangi bir kullanıcının yazıcıdan çıktı alması için yazıcının ağda fiziksel olarak nerde olduğunu, ne şekilde ağa bağlantısının yapıldığını bilmesine gerek yoktur. Active Directory"de Denetim: Workgroups(Çalışma grupları) ve Domain(etki alanı): Bu iki kavram Active Directory sisteminin en önemli yapıtaşlarındandır.İlk olarak Workgroups kavramı Domain kavramına nazaran daha çok ev ve küçük çaplı ofis kurumları için idealdir ve bu çapta bir anlamda sınırlandırılmıştır.Domain ise daha geniş çaplı bir alanı kapsayan kurumlar ve kullanıcı grupları için geçerlidir.
WORKGROUPS(Çalışma grupları): Genel olarak kullanıcı sayısının en fazla 10 kişi olduğu ve ağ"ın P2P(peer-to-peer) yani eşler arası şeklinde kurulumunun yapıldığı durumlarda WORKGROUPS kullanılır.Burdaki P2P kavramından kastım, ağdaki hiçbir kullanıcının server(sunucu) ya da client(istemci) olarak kabul edilmemesidir.Yani ağdaki herkes eştir, herkes hizmet birimi hem de istek birimidir. Workgrups"da herkes kendi güvenlik ve paylaşım izinlerini yüklemekle serbesttir.Burada sizlere, hazırlanmış güzel bir örnek sunuyorum.DOMAINS(etki alanları): Eğer ağ çok sayıda kaynak ve kullanıcı içeriyorsa, bu durumda WORKGROUPS yerine DOMAIN modeli tercih edilmelidir.Bunun en büyük gerekçelerinden biri de kaynakların yönetiminin ve kontrolunun DOMAIN modelinde daha etkin oluşudur.Çünkü tüm kullanıcı hesapları ve kullanıcı grupları tek bir merkezden(Active Directory) yönetilmektedir.Aynı zamanda bu durum sistem yöneticilerinin de yükünü artıracaktır haliyle.. Domain aynı zamanda internet kullanıcılarının her zaman karşılaştığı bir kavramdır.Genel olarak Windows2000, 2003 domaininde ki kurallar ile internet domain kuralları birbirini izlemektedir.Domain isimlerine de ek olarak tanımlayıcılar geliştirilmiştir.Bunlardan en çok kullanılanları: .org-->ticari amaç gütmeyen kurumlar için .com-->ticari kurumlar için .edu-->eğitim kurumları için .gov-->resmi kurumlar için...örnek domain ismi: microsoft.com, mcse.org, meb.gov.tr, cisco.edu...gibi Bununla beraber; -Domain adları ile DNS adları aynı olabilir. -255 karaktere kadar domain ismi olabilir. -Domain isminde bir veya birden fazla nokta işareti olabilir. FOREST(orman) ve TREE(ağaç): TREE: DNS yapısında bir Domain"in alt ve diğer domain"lerle oluşturduğu toplu yapıya TREE denir. Tree de yer alan ilk Domain DNS adının kök ismine sahiptir.örn: odut.com Domain topluluğunda yani TREE "de yer alan ilk domain olsun.bunun altına tekrar "donanım" isimli bir child domain(alt domain) açarsak DNS adresimiz donanim.odut.com olacaktır.
FOREST: Ağaçlardan(TREE) oluşan toplu yapıya ORMAN(FOREST) diyoruz .(herhalde yani..) FOREST"ın TREE"den farkı ;TREE de aynı domain ismine ve onun uzantılarına sahip domain isimleri varken, FOREST"da farklı domain isimlerine sahip birimler, dolayısıyla farklı TREE"ler vardır. -Resim"de odut.com, abc.odut.com ve xyz.odut.com TREE yapısını oluşturmaktadır. -Resim"deki tüm domainler(microsoft.com da dahil olmak üzere)hep birlikte FOREST yapısını oluşturmaktadır. -Microsoft.com domain"i de tek başına ikinci TREE"yi oluşturmuş diyebiliriz. ORGANIZATIONAL UNITS(organizasyonel birimler): Domain"ler OU(organizational units)"lar gibi daha küçük birimlere ayrılabilirler.OU"lar Domain içindeki kullanıcıları, bilgisayarları, grupları ve diğer OU"ları bir arada toplayabileceğimiz birimlerdir. örnek: -firmadaki departman müdürleri -belli bir programı(mesela muhasebe programı) kullanan kullanıcılar -sadece administrator hesabına sahip kullanıcılar -muhasebe departmanı çalışanları("muhasebe" isminde bir OU yaratılabilir) Active Directory yapılandırılmasında Domain"ler çok büyük ve bir o kadar da birimi kapladığı, keza herşeyi içerdiği için denetim yönünden büyük bir dezavantaja sahiptir.Domain admin"i(yöneticisi) bu bazda büyük bir güce sahip olmasının yanında yönetimini farklı gruplara özelleştirmesi gibi bir durum da söz konusu değildir.Bu yüzden Domain"de OU"lar büyük öneme sahiptir.OU"ların başına farklı admin"ler atayarak Domain admin"in de yükü hafifletilmiş olur. Yalnız burada dikkat edilmesi gereken bir konuda OU"lara atanacak olan Admin"lerin yine Domain ya da Enterprise Admin"ler tarafından atanacak olmasıdır dolayısıyla atanacak olan admin"e ne gibi yetkilerin verilmesi konusu da Domain admin"in insiyatifine kalmış bir konudur.
DOMAINLERDE DENETİM, Domain Controllers
etki alanı denetçisi) Domain"lerde denetim, Domain Controller(DC) dediğimiz hizmet birimleri tarafından sağlanır.DC"ler domain ilk kurulduğu zaman oluşturulan birimlerdir.DC"ler Domain"deki tüm dizin (active directory) bilgilerinden sorumludur.ÖRN:dizin sorgulama,kullanıcı ve bilgisayar hesapları,yazıcılar,OU oluşturma...gibi. Ağdaki herhangi bir makinaya ilk kez Active Directory kurulumuyla bilgisayar ağdaki ilk DC durumuna gelmiş olur.Active Directory domain"lerinde hata kaldırabilirlik(fault tolerance),performans ve güvenlik açısından iki tane DC bulundurulmasında fayda vardır.Kurulan ikinci DC de ağda additional DC adını alır.(replica server) ACTIVE DIRECTORY KURULUMU: Ağda istediğimiz bilgisayarı Domain Controller yapabiliriz.Bunun için; Start-->Programs-->Administrative Tools-->Configure your server seçeneğinin yanısıra Start-->Run bölümünde "dcpromo" komutunu yazarak Active Directory kurulumuna başlayabiliriz. -İlk olarak next deyip "Domain Controller type" penceresine geliyoruz.Eğer kuracağımız DC domain"deki ilk DC olacaksa ilk seçeneği seçiyoruz.Eğer domain"de mevcut DC varsa alttaki seçeneği seçiyoruz.Biz ilk defa kuracağımız için ilk seçeneği seçeceğiz.Yaratacağımız ilk domain tree olacağı için ilk seçeneği seçiyoruz.-Kurulum bir sonraki ekranda bize yeni bir FOREST mı yaratcağımızı ya da mevcut FOREST"a yeni bir domain mi ekleyeceğmizi soruyor.Bu aynı zamanda yaratacağımız ilk FOREST olacağı için tekrar ilk seçeneği seçiyoruz.
Daha sonra Domain ismimizi belirliyoruz.Domain ismimiz odut.com olsun.Ekranda da görüldüğü gibi NetBIOS ismimiz ODUT olarak otomatikman karşımıza çıkıyor.Kurulumda aynı zamanda NetBIOS ismini belirtmemizin amacı ağdaki windows95,98 ve NT makinalarının Domain adımızı anlamasını sağlamaktır.Onların anlayacağı şekilde belirtilen Domain adına NetBIOS denir.NetBIOS adı en fazla 15 karakter olabilir ve DNS ismlerindeki gibi nokta içermez. NOT:Yukarıdaki örnekte NetBIOS isminin illa ki ODUT olma gibi bir zorunluluğu yoktur.NetBIOS ismini "ODUN" da koyabilirdik.Fakat adlandırmada karışıklık olmaması için ODUT koyuyoruz ismini..
Daha sonraki aşamalarda AD veritabanının hangi klasörde ve DC için gerekli bazı bilgilerin nerde saklanacağına ilişkin menüler gelecek.Bunları "next" deyip geçebiliriz.
Daha sonra karşımıza sistemde DNS"in bulunmadığına dair bir uyarı ekranı gelecek.Windows"un DNS"i otomatik olarak yapılandırması için ilk seçeneği seçiyoruz.Bu bölümde ilk seçeneği seçersek anonim kullanıcıların(nt,98,95) Domain"i sourgulayabilmesine izin veririz.ikinci seçenekte ise eski programların kullanılmadığı varsayılır ve domain"de hesabı olan kullanıcılar ancak Domain"i sorgulayabilir.Biz ilk seçeneği seçelim.
Bu pencerede Admin hesabınızın şifresi neyse onu girin.Bilgisayarı "directory restore mode" da açabilmemiz için gereklidir bu şifre.. Directory Restore ModeBu modu eğer Active Directory veritabanında bir aksaklık olduğu zaman Veritabanını geri yükleyebilmek için kullanırız.Modu açabilmek için bilgisayarı baştan başlatıp açılış sırasında F8 tuşuna basarız ve ekrana gelen seçeneklerden "Directory Restore Mode"u seçeriz. Her windows2000 veya 2003 makinada yerel kullanıcı hesapları SAM(security accounts manager) adında bir dosyada tutulur.Ancak o makina DC durumuna getirildiği zaman tüm yerel kullanıcı hesapları ntds.dit dosyasına aktarılır.Bu dosya aynı zamanda Active Directory veritabanın tutulduğu dosyadır.Eğer tekrar dcpromo komutuyla Active directory"i kaldırırsak SAM dosyası tekrar geri yüklenir.Zaten DC "de Active directory users and computers bölümünü açtığımız zaman "local users and computers" bölümünün üzerindeki çarpı işaretini görürüz.Yani artık yerel kullanıcı hesapları Active Directory veritabanına aktarılmıştır. İşte Directory Restore Mode seçeneğiyle dizin bilgilerinde kaza sonucu meydana gelen silinmeler sonucu sistem veritabanını geri yükleyebiliriz. Daha sonra "next" diyerek, özet pencereyi de gördükten sonra kurulum işlemini tamamlamış oluyoruz.
ACTIVE DIRECTORY"NIN KALDIRILMASIRun"da dcpromo komutunu kullanmamız yeterlidir.Bu durumda bilgisayarımız normal bir işletim sistemi halini alacaktır.(Stand-Alone) tabii ki kendi admin hesabımızla ve şifremizle active directory"yi kaldırmamız gerek. Gerekli Administrator adı ve şifresini giriyoruz.Burada stand-alone yani normail bilgisayarda admin şifresini oluşturmamız gerek.
Artık bir domain"imiz yok.Dolayısıyla Active Directory kaldırılmış oldu.
ACTIVE DIRECTORY KULLANICILARIStart menü"den Administrative Tools"dan "actice directory users and computers" seçelim. Users kısmından sağ tıklayıp "new user" diyerek yeni bir kullanıcı ekleyebiliriz. Daha sonra "finish" diyerek kullanıcı ekleme işlemini tamamlıyoruz.-User must change password at next logon:Eğer bu özelliği seçersek bir daha ki log-on "da kullanıcı şifresini değiştirmek zorundadır. -User cannot change password:Kullanıcı şifresini değiştiremez.Sadece admin"ler tarafından şifre değiştirilebilir. -Password never expires:Şifrenin kullanım süresi dolmaz. -Account is disabled:Kullanıcı hesabı silinir.Bu durumda kullanıcı domain"e log-on olamaz
Kullanıcıların Domain"e girmesi: Bilgisayarımıza log-on olduktan sonra (kendi administrator hesabımızla), bilgisayarım özelliklerinden "network identification" bölümüne geliriz.Diyelim ki makinamızın ismi "w2k_pro"..bu bölümde görüyoruz ki ismimiz herhangi bir DNS ekine sahip değil.Ve şu anda "workgroup" a dahiliz. Properties"e girerek, domain"e dahil edelim.Domain kısmına domain ismimizi yazalım ilk önce. Hoşgeldin yazasıyla domain"e girmiş bulunuyoruz, hayırlı uğurlu olsun arkadaşlar! artık bilgisayar açıldığında log-on olurken log-on to: kısmında kendi domain ismimizi seçebiliriz.
http://www.theeldergeek.com/
WİNDOWS XP HİZMETLER KISMINDAKİ EXELER
Service Name - The name the service is actually called. This name is often quite cryptic while at other times easily identifiable. It comes from the General tab and cannot be modified.
Process Name - The name of the actual process that is run when the service is activated. As you go through the services you'll no doubt wonder why svchost.exe is listed so many times as being the Process Name. The explanation can be found here. The Process Name is taken from the General tab.
Default Settings - These are the default settings for the Home and Professional versions of XP when a clean installation is performed.
Microsoft Service Description - This is taken directly from the General tab. Some of the descriptions are easily understood while others make no sense at all to the average (or any other) user.
Dependencies - Lists any additional services that are required for the service to run. The information is taken from the Dependencies tab.
Real World Description - If I felt the Microsoft Service Description was a bit vague or needed some clarification this is where I tried to give you a better idea of what the service does or why you might want it loaded.
Is This Service Needed? - There are three choices here and I stress that these are strictly my opinion.
A Yes means I believe it's essential to have this service running and set to Automatic.
A Possibly means that depending on your hardware and software choices this service might be one you choose to have enabled. It might have an Automatic, Manual, or Disabled setting.
A No means that I see no point in wasting the resources on the service and that your system shouldn't suffer any ill effects by having it disabled. It will have a Disabled Setting.
Recommended Setting - Again, these are my opinions only, but I feel that for most situations this setting will give you a good balance between system functionality and resource conservation.
Note - Anything else I want to toss in I think you might find helpful.
Alerter Service
Application Layer Gateway Service
Application Management Service
Automatic Updates Service
Background Intelligent Transfer Service
ClipBook Service
COM+ Event System Service
COM+ System Application Service
Computer Browser Service
Cryptographic Services Service
DCOM Server Process Launcher
DHCP Client Service
Distributed Link Tracking Client Service
Distributed Transaction Coordinator Service
DNS Client Service
Error Reporting Service
Event Log Service
Fast User Switching Compatibility Service
Help and Support Service
HID Input Service
HTTP SSL
IMAPI CD-Burning COM Service
Indexing Service
Internet Connection - Firewall (ICF) / Sharing (ICS) Service
IPSEC Services Service
Logical Disk Manager Service
Logical Disk Manager Administrative Service
Machine Debug Manager Service
Messenger Service
MS Software Shadow Copy Provider Service
Net Logon Service
NetMeeting Remote Desktop Sharing Service
Network Connections Service
Network DDE Service
Network DDE DSDM Service
Network Location Awareness (NLA) Service
Network Provisioning Service
NT LM Security Support Provider Service
Performance Logs and Alerts Service
Plug and Play Service
Portable Media Serial Number Service
Print Spooler Service
Protected Storage Service
QoS RSVP Service
Remote Access Auto Connection Manager Service
Remote Access Connection Manager Service
Remote Desktop Help Session Manager Service
Remote Procedure Call (RPC) Service
Remote Procedure Call (RPC) Locator Service
Remote Registry Service
Removable Storage Service
Routing and Remote Access Service
ScriptBlocking Service
Secondary Logon Service
Security Accounts Manager Service
Security Center
Server Service
Shell Hardware Detection Service
Smart Card Service
Smart Card Helper Service
SSDP Discovery Service
System Event Notification Service
System Restore Service
Task Scheduler Service
TCP/IP NetBIOS Helper Service
Telephony Service
Telnet Service
Terminal Services Service
Themes Service
Uninterruptible Power Supply Service
Universal Plug and Play Device Host Service
Upload Manager Service
Volume Shadow Copy Service
WebClient Service
Windows Audio Service
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA) Service
Windows Installer Service
Windows Management Instrumentation Service
Windows Management Instrumentation Driver Extensions
Windows Time Service
Wireless Zero Configuration Service
WMI Performance Adapter Service
Workstation Service
What are services? By definition, it's a program that runs invisibly in the background. But can't the same thing be said for a number of programs that run in the background such as anti-virus programs? Yes, but the real difference is that services load and start running whether or not anyone logs into the computer, unlike a program that is launched from the Startup Folder under All Programs.
There are two ways to view Services on your computer. The first is to use the MS Configuration Utility by typing msconfig.exe in the Run box accessed via the Start Menu, followed by clicking the Services tab. If you want a quick visual of which items are running or stopped, this is fine, but the information is limited. The preferred way to make changes to services is to launch services.msc from the Run option on the Start Menu. The Services window shown below will open.
Looking at the Services window you can see it has columns for Name, Description, Status, Startup Type and Log On As. This provides a quick overview of all the services on your computer. Detailed information is available by clicking any of the entries. The four captures below show the property sheet, by tabs, for the Alerter Service.
 |  |  |  |
| General Tab | Log On Tab | Recovery Tab | Dependencies Tab |
The table below illustrates how I've set up the information for each service.
| Service Name | Alerter | Process Name | services.exe | |||
| Default Settings | XP Home : Manual | XP Pro : Manual | ||||
| Microsoft Service Description | Notifies selected users and computers of administrative alerts. If the service is stopped, programs that use administrative alerts will not receive them. If this service is disabled, any services that explicitly depend on it will fail to start. | |||||
| Dependencies | Workstation | |||||
| Real World Description | If you're part of a network that sends and receives administrative alerts this service is for you. | |||||
| Is this service needed? |
Possibly
|
Recommended Setting:
|
Manual
| |||
| Note | ||||||
Service Name - The name the service is actually called. This name is often quite cryptic while at other times easily identifiable. It comes from the General tab and cannot be modified.
Process Name - The name of the actual process that is run when the service is activated. As you go through the services you'll no doubt wonder why svchost.exe is listed so many times as being the Process Name. The explanation can be found here. The Process Name is taken from the General tab.
Default Settings - These are the default settings for the Home and Professional versions of XP when a clean installation is performed.
Microsoft Service Description - This is taken directly from the General tab. Some of the descriptions are easily understood while others make no sense at all to the average (or any other) user.
Dependencies - Lists any additional services that are required for the service to run. The information is taken from the Dependencies tab.
Real World Description - If I felt the Microsoft Service Description was a bit vague or needed some clarification this is where I tried to give you a better idea of what the service does or why you might want it loaded.
Is This Service Needed? - There are three choices here and I stress that these are strictly my opinion.
A Yes means I believe it's essential to have this service running and set to Automatic.
A Possibly means that depending on your hardware and software choices this service might be one you choose to have enabled. It might have an Automatic, Manual, or Disabled setting.
A No means that I see no point in wasting the resources on the service and that your system shouldn't suffer any ill effects by having it disabled. It will have a Disabled Setting.
Recommended Setting - Again, these are my opinions only, but I feel that for most situations this setting will give you a good balance between system functionality and resource conservation.
Note - Anything else I want to toss in I think you might find helpful.
What's The Number One Question Asked About Services?
Without a doubt the most asked question is what is svchost.exe and why is it running so many times at once. That's a fair question, especially if you've looked in Task Manager and seen it listed three or four times, each instance gobbling up memory. The official answer, straight from the mouth of Microsoft is:
"Svchost.exe is a generic host process name for services that run from dynamic-link libraries (DLLs)."
I know; that didn't tell you one whole hell of a lot, but if you really want to know more about it and why it appears so many times concurrently, KB Article Q314056 is just a click away for the answers. Happy (boring) reading.
|
Find out about all the services available whenever you are buying a new computer. Whether you are thinking about purchasing a whole newsetup or just specific computer parts, make sure you read the fine print on warranties and service contracts. --- Additional Resource ---
|
14 Mart 2010 Pazar
Terminal Server Kurulum - Yapılandırma
Günümüzde sirket aglarinda sikça kullanilan,clientlarin servera erisimini saglayan bir servistir.Gerek duyulup kurulmasini saglayan bir kaç neden vardir.Bunlar genelde düsük yapilandirmaya sahip clientlarin (düsük Ram ve Cpu) kendi makinalarinda çalistiramadiklari uygulamalari (Excel,Access) kullanma gereklilikleri,merkezi bir veritabanina bagli uygulamalara erisip islem gerçeklestirme veya uzaktan yönetimde kolaylik saglama gerekliligi gibi nedenler sayilabilir..
Bunlarin kisaca açiklarsak; sirket içerisindeki tüm eski bilgisayarlarda genel olarak sik kullanilan word,excel veya database uygulamalarini çalistirmakta zorlaniyorsak ve açildiginda islem yapamayacak kadar agir çalistigindan sikayetçiysek Terminal Server baglantisiyla bu sorundan kurtulabiliriz.Serverin islemci ve bellek destegiyle istedigimiz uygulamayi sanki kendi bilgisayarimizdaymiscasina rahatlikla kullanabilir ve islemlerimizi gerçeklestirebiliriz.Keza merkezi bir veri tabanina bilgi girisi gerekliligindede bu uygulama hayat kurtaran cinstendir.Merkez sirkete bagli subelerin günlük islemlerini kaydetmek için ana bilgisayara baglanarak veri tabanina bilgi girmeleri ve bunu Terminal Server araciligiyla yapmalari hem zaman hemde güvenlik açisindan (veritabaninin merkezde saklanmasi) yararlidir.
Ayni zamanda sunuculara uzaktan erisim içinde kullanilir.Sistem yöneticisi sunucu üzerindeki yapilandirmalari uzak bilgisayardan takip ve koordine ederek hem is yükünün azaltilmasini hemde sürecin islemesindeki aksakliklari nerede olursa olsun kontrol altina alarak bertaraf etmenin avantajlarini kullanir.
2 Sekilde Kullanimi vardir;
a- Remoter Administration Mode :
b- Application Mode :
a) : Varsayilan olarak Server 2003 kurulu oldugunda Remote Admin modulu yüklü gelir ve kullanilabilmesi için lisans servisine basvurmasi gerekmez.Bu modda erisim saglamak için Administrator grubunda olmak gerek.Eger sunucu Domain içerisinde bulunuluyorsa dogal olarak Domain Admins grubuda katilacagindan bu yetkilere sahip kullanicilar uzaktan erisim saglayabilirler.Bununda siniri ayni anda en fazla 2 kullanicidir.Yönetim ve denetleme amaciyla kullanilacagindan cok fazla kullaniciya gerek yoktur.Belirtilen yetkili kullanicilar disinda kullanicilarinda baglanmasi isteniyorsa bunu, bilgisayarima sag tiklayarak özellikleri seçip, “Uzak” basligi altindan “uzak masa üstü kullanicilarini seç” i seçerek yapilandirabiliriz
b) : Application Mode : Konunun girisinde bahsettigimiz uygulama çalistirma ve sunucu üzerinde islem yapmak için kullanilan moddur.Uzaktan baglanabilme yetkisine sahip tüm kullanicilar sunucuya uzaktan login olabilir ve hepsi ayni anda birbirinden bagimsiz uygulama çalistirarak islemlerini gerçeklestirebilir.Serverin islemci ve ram gücü bu servisin etkin kullanilmasi açisindan önemli etkenlerdendir.Bu yüzden Terminal Serverlar güçlü yapilandirilmis ve eger mümkünse sadece bu servisin kullanimina tahsis edilmis makinalar olmasi etkin kullanimi açisindan yararlidir.Application Mode da kurulum için Server 2003 sistemininin en az Enterprise Edition olmasi gerekmektedir.Enterprise’in destekledigi 8 islemci ve 32gb Bellek özelligiyle bu servisin kullanilmasinda idealdir.
Application Mode Kurulumu : Program ekle/ Kaldir menüsünden Windows Bileseni ekle kaldiri seçerek “Terminal Server” i ve “Terminal Server Licencing” i seçerek ileriyi tiklayin. 2 adet seçenek geliyor önümüze..
Full Security ve Relaxed Security.
Full Security (Tam Güvenlik) : Bu modda Windows 2000 ve 2003 sistemleri izinleri kullanicilara uygulanir.Kullanicilar sistem dosyalarina,regedite,yapilandirma ayarlarina erisemezler ve güvenlik saglanmis olur.Güvenlik tanimlayicisi 2000 ve 2003 ailesinin standart ayarlarinin getirdigi güvenlik ayarlarini kullanir ve art niyetli / bilgisiz kullanicilarin hataya ve zarara sebebiyet vermelerine mani olur.
Relaxed Security (Gevsek Güvenlik) : Bu ayarin güvenlik tanimliyicilari Windows NT ve Terminal Server Editionin izinlerini kullanicilara uygular.Art niyetli kullanicilarin suistimaline açiktir.Kullanicilar sistem dosyalarina,kayit defterine,sistem yapilandirmalarina erisebilir ve üzerinde degisiklik yapabilirler.Ayni ada sahip bir baska dosyayi server üzerine ekleyerek sistemin ve kullanicilarin zarar görmesini saglayan bir art niyetli kisi bu erisimleri ancak “gevsek güvenlik” ayarlari seçilirse yapabilir.
Bu ayarlarimizi seçip ileri dedigimizde önümüze kullanilacak olan “Lisans Serveri” seçenegi gelir.Eger daha önceden bu servisi kullandiysak ve bir Lisans Servera sahipsek ilk kisimdaki alandan serverin ismini belirterek bu kismi geçebiliriz.Fakat servisi defa ilk kuruyorsak en alttaki seçenegi seçmeliyiz.”120 gün içerisinde lisans serverini belirleyecegim.”
Terminal Server ilk kurulumda Lisans Serverin belirlenip dagitilmasi için 120 gün zaman tanir.Bu süreç Servera yapilan ilk baglanti ile baslar ve 120 gün sonunda biter.Bu süreç içerisinde clientlardan yapilan lisanssiz baglantilar kabul edilir ve Lisans serverina baglanip dogrulugu arastirilmaz.120 günün sonunda yetsikiz kullanim süresi dolar ve istemcilerden gelen baglanti kabul edilmez.120 gün içerisinde lisans serveri kurulup clientlara dagitilip böyle bir baglanti kurulursa 120 gün beklenmeden Terminal Server Lisansli duruma geçer ve Lisans dagitimini yaparak onayli baglantilar(sifreli) saglanir.
Bir diger adimda Lisanslama yapilandirmasi yapilir.Burada önümüz 2 seçenek çikar.Bunlar ;
Per Device licencing mode (Aygit basina lisanslama)
Per User licencing mode (Kullanici basina lisanslama)
Aygit Basina Lisanslama : Her istemciye veya aygita Terminal Servera erisim hakki verilir.
Kullanici basina lisanslama : Kullaniciya sinirsiz sayida aygittan Terminal Servera baglanma hakki verilir.
Her aygita bir CAL ( Client Access Licencing-istemci erisim lisansi) gerekmez.Kullanici bazli yapilandirmak daha dogrudur.
Bir sonraki ve son adimda Lisans Server olarak tanimlanacak bilgisayarin belirlenmesi istenir.Eger serveriniz bir domaine dahil veya DC ise alttaki seçenegi seçerek kuruluma baslayabilirsiniz.
Kurulum bittikten sonra sistemi yeniden baslatmaniz istenecektir.
Administrative Tools altindan “Terminal Services Configuration” i açin.
Connection kismindan o anda mevcut baglanti ayarlarini ve kullanıcı haklarını yönetebilirsiniz.Kullanilan RDP Protokolu xp ve 2003 arasinda 128 bitlik bir veri sifrelemesini saglar ve güvenlidir.Server Setting kismindada performansa ve yapilandirmaniza dair ayarlari görebilirsiniz.Bunlar kisaca ;
Session Directory : Sisteme loginleri kontrol eder.Logoff olmus fakat sistemden çikmamis bir kullanici tekrar baglanmayi denerse (ortamda NLB varsa) ikinci server baglanti istegine karsilik vererek yeni bir oturum açacaktir.Fakat ilk serverdaki oturum devam ettiginden sistem kaynaklari gereksiz yere tüketilecektir.Bunun süre sinirlamasi kesinlikle yapilmalidir.
Restrict each user to one session : Her kullanicinin ayni anda sadece bir erisim hakkina sahip olmasidir.Bir üstteki anlatilanlar düsünülerek yapilandirilmalidir.
Delete temporary folders on exit : kullanicilarin geçici dosyalarinin oturum sonunda silinmesini saglar.
Connections kisminda,sagda bulunan baglantilar üzerindede degisiklik yapabilirsiniz.Bunun için Connections kisminda sağ tarafta sag tiklayarak özellikleri seçin ve ayarlarinizi yapin.Bir kaç özellik ;
- Kullanicilarin izinlerinin düzenlenmesi,
- Kullanicilarin erisimlerindeki kullanicaklari kaynaklari belirleme ( Driver mapping,Printing veya printer port yönlendirme)
- Kullanici baglantisinin süresiz yasaklanmasi
- Baglanti sifreleme sekli (High-128 bit,xp ve 2003 içindir.RDP 5.1 ve 5.2—-Client Compatible ise RDP 4 ve 5 clientlarin baglanmasini saglar.Sifreleme daha alt düzeydedir)
Yine Administrative Tools altinda bulunan “Terminal Services Manager” açin.
Bu alanda mevcut baglantilari görebilir ve yönetebilirsiniz.Kullanicilarin çalistirdiklari uygulamalar,bagli kaldiklari süre,bos bekleyen süre,uyari mesaji gönderme,clienta baglanma gibi özellikleri vardir.Bunlarin yaninda eger agda birden fazla Terminal Server varsa en sik kullanilanlari,tüm serverlari ve durumlarini izleyebilirsiniz.
Sistem yöneticilerinin islerini kolaylastirmada büyük öneme sahip Terminal Serverlara,admin yetkisine sahip bir kullanici uzaktan eriserek birden fazla Terminal Serveri veya farkli yapilandirilmis (SQL,IIS) Serverlari tek bir ekrandan rahatlikla yönetebilir.Zaman,maliyet ve is yükünün azaltilmasi açisindan büyük öneme sahiptir.
MMC üzerinden Yönetim :
Mevcut degilse snap-in ekleyerek sürekli kullanim için isinizi kolaylastirabilirsiniz.
Computer Configuration /Administrative Templates /Windows Components /Terminal Services
Bu kisimda Serverin performansli çalismasi için yapilmasi gereken bazi ayarlamalara göz atabiliriz.Bunlar öncelikle “Session” klasorundeki ayarlardir.Aktif,bosta olan baglantilari düzenler.Baglantilara zaman siniri belirlenebilir.Sifreleme klasorunde client/server baglantisi sifreleme düzeyi ayarlanabilir.Ana dizindeki ayarlamalarda beklentiniz ölçüsünde optimize edilebilir.
Default Portu Degistirme : Default olarak Terminal Server 3389 dur.Bunu degistirerek baglanti saglanmasi güvenligi arttirmada arti bir yarardir.
Kayit defterinden ;
HKLM/System/CurrentControlSet/Control/Termial Server/Wds/Rdpwd/Tds/TCP/PortNumber kismindan degistirebilirsiniz.Degistirdikten sonra her baglanti kuracaginizda baglanti penceresinde Computer kisminin yanina baglanti portunuda yazmalisiniz.Mesela Serverin adi TServer1
“TServer1:3333″ <-- degistirilen port
Komut satırından Yönetim :
query user: Serverda oturum açan kullanıcı hakkında bilgi verir
query termserver:Networkte bulunan Terminal Serverların listesini verir
reset session: Oturumun kapatılmasını sağlar
msg:Kullanıcıya mesaj gönderir
mstsc:RDP yi başlatır
shadow: Kullanıcının oturumunu uzaktan kontrol etmeyi sağlar
tscon: başka bir oturuma bağlanılmasını sağlar
tsdiscon:Oturumun bağlantısını keser
tskill:çalışan bir processi sonlandırır
tsshutdn:Sistem yöneticisi bu komutla Terminal Serverı uzaktan kapatıp açabilir.
Istemci tarafindan Baglanilmasi : Istemci tarafindaki kullanici uzak masa üstü programini (baslat/tüm programlar/accessories/communications) çalistirarak servera baglanabilir.veya çalıştır kısmına “mstsc” yazarak bu uygulamaya erişebilirler.Bu baglantinin gerçeklesmesi için kullaniciya atanmis Remote baglanabilirlik yetkisi olmalidir.Açilan pencereye kullanici adi/sifre varsa domain yazilarak baglanti gerçeklestirilir.Burada bazi ayarlamalar yapilabilir(Admin izin verdiyse).
Bunlar ;
Display : Ekran çözünürlügü ve renk derinligi
Local Resources : Terminal serverdan ses aktariminin saglanip saglanmamasi,kendi harddisikinize,yaziciniza Terminal Server üzerinde görünüp erismeniz
Programs : Baglanildigi anda çalistirilmasi istenen program
Bir kaç Püf Noktasi :
* Kurulumda Güvenlik endiseleriniz varsa Full Security seçenegini Seçin.
* MMC üzerinden Idle ve max logon sürelerini belirleyiniz
* Session Directoryi aktif yapiniz
* Terminal Serveri NTFS formatli diske kurunuz
* TS kapatilacagi zaman “kapat” yerine Tsshutdn komutunu kullanın
* Lisans Serverın 120 günlük süresini takip edin
* Kullanıcı izinlerini gözden geçirin
* Ses,Printer,Driver mapping özelliklerini kullanılmayacaksa kısıtlayın.
Kaynak: http://www.olympos.net/howto-nasil/kurulum/terminal-server-kurulum-yapilandirma-127163.html#ixzz0i8gaHtGW
Kaydol:
Kayıtlar (Atom)