Active Directory Windows 2000 Server sistemleri ile bilişim dünyasına giren bir kavram. Kısaca Active Directory W2K ve W2K3 domainlerinde (Etki alanı) tüm nesneleri denetleyebileceğiniz bir yönetim konsoludur. Active Directory, ağdaki nesneler hakkında bilgi depolayan ve bu bilgileri kullanıcıların ve ağ yöneticilerinin kullanabilmesini sağlayan bir dizin hizmetidir. Active Directory domaininizde ki tüm bilgileri veritabanı içerisinde depolar ve kullanıcıların bunlara erişmesini denetler.
Dizin verilerini depolamanızı ve bu verileri ağ kullanıcıları ile yöneticiler için kullanılabilir kılmanızı sağlayacak yöntemler sunar. Örneğin, Active Directory, adlar, parolalar, telefon numaraları vb. gibi kullanıcı hesapları hakkında bilgi depolar ve aynı ağ üzerindeki diğer kullanıcılara bu bilgilere erişim olanağı verir. Active Directory, dizin bilgilerinden mantıksal ve hiyerarşik bir düzen oluşturmak için yapılandırılmış bir veri deposu kullanır. Active Directory kurulumundan önce yapmamız gereken ufak bir ayar mevcut. Sunucumuzun istemcilerle ve diğer sunucularla iletişime geçebilmesi için bir iletişim protokolü olan TCP/IP’yi ayarlamalıyız. Bu yapılandırmayı kullanmış olduğumuz IP bloğuna göre belirlemeliyiz. Sunucumuza vereceğimiz IP adresi mutlaka statik bir IP olmalıdır. Sunucularda dinamik IP kullanılması tavsiye edilmez ve beraberinde birçok sorun getirir. Ayrıca sunucumuza DNS IP adresi olarak yine kendi IP adresini tanımlamalıyız. Örnek olarak:
Şekil-1
Peki Active Directory dolayısıyla bir domain nasıl kurulur?
1. Start > Run menüsü içerisine dcpromo komutunu yazın ve çalıştırmak için onaylayın.
Şekil-2
2. Karşımıza Active Directory kurulum sihirbazı ana ekranı gelecek, bu ekranda Next butonuna basarak devam edeceğiz.
Şekil-3
3. Bir sonraki ekranda kurulumdan önce bir uyarı ekranı mevcut. Windows Server 2003’de güvenlik yapılandırmaları ve gerek istemci gerekse de diğer serverlarla iletişim daha güvenli yöntemlerle gerçekleştiği için bazı Windows işletim sistemlerinin kullanılamayacağı belirtiliyor. Windows NT 4.0 SP3 (veya öncesi) ve Windows 95 istemciler Windows Server 2003 etki alanına katılamazlar ve etki alanı kaynaklarına erişemezler. Windows XP Home edition etki alanına katılamaz ancak etki alanı kaynaklarına erişebilir.
Şekil-4
4. Bir sonraki ekranda Domain Controller(Etki Alanı Denetleyicisi) türünü belirleyeceğiz. Eğer zaten varolan bir domain’e katılacaksak Additional domain controller for an existing domain seçeneğini seçip katılacağımız etki alanını belirtip kurulumu tamamlayabiliriz. Biz yeni bir etki alanı oluşturacağımız için Domain controller for a new domain seçeneğini işaretliyoruz.
Şekil-5
Yeni domain yaratma ekranında bizlere yaratacağımız domain türünü soracaktır. Üç seçeneğimiz var. Çok basitçe açıklamak gerekirse bunlar;
Forest: Forest bir domainler topluluğudur. İçerisinde birden fazla domain yapısı mevcuttur.
Domain Tree: Bir Forest içerisinde bulunan, diğer domainlerden bağımsız yapısı bulunan etki alanı.
Child Domain: Bir Domain tree içerisinde bulunan ve DNS yapısını bu domain Tree’den alan alt domain.
5. Biz yeni bir etki alanı oluşturduğumuz için ilk seçenek olan Domain in a new forest seçeneğini işaretleyeceğiz. Bu seçenekle birlikte ayrıca yeni bir Forest yaratılmış olacak ve bizim oluşturduğumuz etki alanı bu forest’in ilk domain’i olacak. İstenirse yine bu ekrandan Forest içerisine Child domainler ya da domainler eklenebilecektir.
Şekil-6
6. Sıra geldi yeni domainimizi adlandırmaya. Etki alanı isimlerini belirtirken bir uzantı kullanma zorunluluğu olmamasına rağmen daha sonra yapının büyüme ve genişleme durumu göz önünde bulundurulacaksa kullanılması uygun olacaktır. (Ayrıca kurulacak Exchange sunucuları da isim planlamasına dahil edilmelidir.) .COM , .NET gibi uzantılar kullanılacağı gibi örnekte uygulanan local uzantısı da kullanılabilir.
Şekil-7
7. Bir sonraki ekranda eski Windows sürümlerinin (Windows 98, Windows ME) Etki alanımızı tanımlayabilmesi ve konumlandırabilmesi için etki alanının NETBIOS ismini tanımlamalıyız. Varsayılan olarak domainin uzantıdan önceki isim alanı gelecektir ancak değişitirilebilir. Genel kullanım içerisinde değiştirilmemesi tercih ve tavsiye edilir.
Şekil-8
8. Bu aşamada Active Directoy üzerinde ki tüm bilginin (Kullanıcılar, Bilgisayarlar, Yazıcılar, OU’lar vs.) depolanacağı NTDS.dit veritabanı dosyasını ve tüm transactionların kayıt edileceği NTDS.log dosyalarının saklanacağı konumları belirlememiz gerekiyor. En iyi performansını almak ve veri kaybını mümkün olduğunca önleyebilmek amaçlı veritabanı ve log dosyalarının ayrı ayrı disklerde depolanması önerilir.
Şekil-9
9. Bu adımda paylaştırılmış Sistem bilgisinin tutulacağı SYSVOL klasörünün konumunu belirleyeceğiz. SYSVOL klasörü domainin public dosya ve klasörlerinin bilgisinin tutulduğu klasördür ve bu klasör içeriği eğer var ise etki alanı içindeki diğer domain controller ile replike olur.
Şekil-10
10. Kurulum sihirbazının bir sonra ki aşamasında DNS kurulumu ve/veya ayarlanması ile ilgili bölümdeyiz. Bu aşamada sistemde DNS sunucusu kurulu olup olmadığına göre biraz daha farklı bir ekranla karşılaşabiliriz. Örnek sistemimizde DNS sunucusu kurulu değil ve DNS sunucusundan response alamadığına dair uyarı bildiriyor. DNS kısaca Active Directory etki alanında ki her objenin isim ve ağ protokol bilgisini depolayan ve istemci isteklerine yanıt verip yönlendiren bir sunucu türü. Dolayısıyla Active Directory yapısını DNS sunucusu olmadan düşünemeyiz. Kuruluma sistemimizde DNS sunucusu bulunmadığı için ikinci seçenek ile devam ediyoruz. Bu seçenekle bir DNS sunucusu kurulacak ve Server’ımız için tercih edilen DNS olarak atanacak.
Şekil-11
11. Kurulumun sonuna yaklaşıyoruz, bu aşama kullanıcı ve grup nesneleri için izinleri tanımlayacağız.Seçenekleri kısaca incelemek gerekirse;
Permissions compatible with pre-Windows 2000 server operating systems: Bu seçenek eğer Windows 2000 öncesi sistemlerde çalışan Server uygulamalarımız mevcut ise (Örneğin windows NT Remote Access Service) seçilmelidir. Bu seçenek ile devam edilebilirse geriye dönük uyumluluk sağlanabilecek ancak anonymous kullacılar domain bilgilerine erişebileceklerdir.
Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems: Bu seçenek ise ilkinin tam aksi olarak Windows 2000 ya da Windows Server 2003 etki alanlarına üye olan server uyumlu yazılımlar kullanılacaksa seçilebilir. Sadece kimlik doğrulaması yapılmış kullanıcılar domain bilgilerine erişebilir.
Şekil-12
12. Bu bölümde herhangi bir şekilde Active Directory etki alanı zarar görürseDirectory Services Restore Mode da onarım ve bakım için sunucunun açılması gerekir. Bu noktada işlem yapacak administrator hesabının parolasını belirleyeceğiz. Restore Mode Administrator kullanıcısı Domain Administrator hesabından farklı olup istenirse parolaları birbirinden farklı verilebilir.
Şekil-13
13. Bu bölümde artık sihirbazın tüm adımları tamamlandı ve istediğimiz ayarların bir özeti bize sunuluyor. Son bir kontrolden sonra devam edelim.
Şekil-14
14. Next ile bu son ekranı da geçtiğimizde Active Dircetory etki alanı kurulumuna geçilecek ve istediğimiz seçeneklerin kurulumunu göreceğiz.
Şekil-15
15. Sihirbaz hatasız tamamlandığında bildirim ekranı gelecektir.
Şekil-16
16. Gerçekleştirilen işlemlerin bir özetinin bulunduğu bu ekranda Finish ile kurulumu sonlandırıp sistemimizi yeniden başlatacağız.
Şekil-17
Windows Server 2003 sistemimiz yeniden açıldığında artık oluşturduğumuz domain ortamına logon olacaktır. Sonrasında istemci bilgisayarları etki alanına katabilir, kullanıcılar yaratıp OU’lar tanımlayabilir, etki alanı üzerinde GPO kullanarak kısıtlamalar ya da yönlendirmeler yapabiliriz.
