2.Active Directory yapısı kurmak
Active Directory kurulumu yaparken AD veritabanı ve log dosyalarının farklı fiziksel disk gruplarına yerleştirilmesi tavsiye edilmektedir.
AD kurulumunu bir cevap dosyası (answer file) ile yapmak için dcpromo /answer:answerfile komutu ile çalıştırmak gereklidir.
AD kurulumunun daha once yedeği alınmış bir AD veritabanı dosyası yardımıyla yapmak da mümkündür. Bu dosya ağ üzerinden veya bir paylaştırılmış dizinden okunabilir. Böylece replikasyonun büyük kısmının ağ üzerinden yapılması engellenmiş olur ve işlem hızlandırılabilir. Ancak alınmış yedek AD etki alanının varsayılan tombstone lifetime değerinden (60 gün) geç olmamalıdır.
Eğer yedeği alınan DC de AD, Application Directory Partition ile oluşturulmuşsa, bu yedeğin yeni bir DC ye kopyalanması mümkün değildir.
Bu modda yükleme yapmak için dcpromo /adv komutu kullanılmalıdır.
Etki alanına ilk katılan DC aynı zamanda otomatik olarak GC olarak da görevlendirilir.
Universal Group membership Caching, WAN sitelerinin bulunduğu AD ortamlarında kullanılabilir. WAN sitesinde GC bulunmadığı hallerde UPN ile logon işlemi GC den kontrol edilmesi nedeniyle uzun sürebilir. Cachin ile bu şekilde ilk logon olan kullanıcı ile yapılan kontrol sonrasında elde edilen üyelik bilgileri 8 saat süreyle site DC sinde saklı kalacaktır. Daha sonra 8 saat aralıklarla bu bilgi yenilenir.
Caching ayarları site seviyesinde gerçekleştirilir. Yani yapılan bir değişiklik sitedeki tüm sunucuları etkiler. Buna karşılık GC ayarları sunucusu seviyesinde yapılmaktadır. Yapılacak değişiklikler bu duruma gore değerlendirilmelidir.
Domain Functional Levels
W2K3’ de, etki alanlarının fonksiyonları işletme amaçlarına gore farklı olarak düzenlenebilmektedir. Böylece aynı forest içindeki farklı etki alanlarına farklı ayarlar sağlamak mümkün olmaktadır.
W2K Mixed Mode
W2K Native Mode
W2K3 Interim Mode
W2K3 Mode
W2K Mixed Mode
W2K Mixed Mode, W2K3 AD etki alanları kurulurken oluşturulan varsayılan moddur. Bu modda W2K ve W2K3 DC lerinin, daha önceki sistemlerle ( NT 4.0 DC ) konuşmaları mümkündür. Ancak bu mod, AD ile gelen bazı özelliklerin kullanılmasını kısıtlamaktadır. Örneğin ;
- Universal group membership
- Security group nesting
- Domain renaming
- Group converting
W2K3 Interim Mode
Interim Mode, doğrudan NT 4.0’dan W2K3’ e yükseltilen etki alanları için kullanılan bir moddur. Sadece NT 4.0 ve W2K3 DC lerini destekler. Interim mode W2K DC lerini desteklemez.
W2K Mixed mode ile aynı kısıtlamalara tabidir.
DOMAIN’ LERİN ÖZELLİKLERİ VE SINIRLARI SINAV İÇİN ÇOK ÖNEMLİ !
W2K Native Mode’da çalışan bir etki alanının DC si W2K3 e yükseltilirse, Domain Functional Level hala W2K Native olarak kalacaktır.
W2K etki alanına W2K3 DC eklerken ya da W2K etki alanını W2K3’ e yükseltirken öncelikle aşağıdaki işlemlerin uygulanması gereklidir :
- Forest Schema Master DC de adprep /forestprep komutu çalıştırılmalıdır.
- Domain Infrastructure Master DC’ de adprep /domain prep çalıştırılmalıdır.
Forest Functional Levels
Üç farklı mode vardır. W2K Mode, W2K3 Interim Mode, W2K3 Mode
W2K Mode
Bu forest fonksiyon seviyesinde, Forest içinde NT 4.0, W2K ve W2K3 DC lerinin varlığına izin verilmektedir. Ancak, W2K3 ile gelen tüm yeni özellikler yaklaşık olarak devre dışıdır. Sadece W2K3 GC leri replication partner olarak çalışıyorlarsa, bunlarda şema genişlemesi sonucu elde edilen yeni Attribute ların replikasyonunda optimizasyon sağlanmıştır.
W2K3 Interim Mode
NT 4.0 etki alanının ilk DC si W2K3’e yükseltildiğinde forest mode Interim’ e geçer. Ancak forest mode daha once W2K3’ e yükseltilmişse, NT 4.0 etki alanları desteklenmeyecektir. Zaten domain veya forest mode lar geriye çekilemezler. Sadece yükseltilebilirler. W2K Mixed > W2K Native > W2K3 veya W2K3 Interim > W2K3
W2K3 Mode
W2K3 mode, tüm W2K3 özelliklerini desteklemektedir. Bu moda geçiş için tüm etki alanlarının DC leri W2K3 yüklenmiş olmalıdır. Ayrıca tüm etki alanları en az W2K Native Modda çalışıyor olmalıdırlar. Bu moda geçiş sağlandıktan sonra NT 4.0 ve W2K DC leri sisteme dahil edilemezler.
| Forest Özelliği | W2K Native Mode | W2K3 Mode |
| GC replication improvements |
| Enabled |
| Defunct schema objects | Disabled | Enabled |
| Forest Trust | Disabled | Enabled |
| Linked Value Replication | Disabled | Enabled |
| Domain Rename | Disabled | Enabled |
| Improved AD replication algorithms | Disabled | Enabled |
| Dynamic Auxilary Classes | Disabled | Enabled |
| InetOrgPerson objectClass change | Disabled | Enabled |
Application Directory Partition
W2K3 Active Directory daha once W2K’da bulunan 4 AD bölmesini aynen desteklemektedir.
- Domain Partition : Bir etki alanı ile ilgili tüm nesneler bulunmaktadır. Etki alanındaki tüm DC lere replike edilir.
- Schema Partition : Bir forest’ın Active Directory şeması ile ilgili tüm bilgiler bulunmaktadır. Forest içindeki tüm DC lere replike edilir.
- Configuration Partition : Siteler ve servisler ile ilgili tüm bilgileri içerir. Forest içindeki tüm DC lere replike edilir.
- Global Catalog Partition : AD içindeki bazı belirli nesneler ile ilgili tüm bilgileri içerir. Forest içinde GC rolü alan tüm DC lere replike edilir.
W2K3 ile birlikte tüm bunlara ek olarak Application Directory Partition da eklenmiştir. Anck bu tamamiyle W2K3’e özel bir durum olduğundan sadece W2K3 DC lerine replike edilmektedir.
Ancak etki alanının veya forest ‘ın mutlaka W2K3 mode da olması şart değildir. İçinde NT 4.0 veya W2K DC ler bulunan ortamlarda da W2K3 DC lerine replike edilmektedir.
Application Partition’ dan AD özelliği olan uygulamalar yararlanabilir. Örneğin TAPI veya DNS. Bu özellik sayesinde aşağıdaki avantajlar elde edilebilir :
- AD içindeki bilgi replikasyonundan kaynaklanan trafiğin azaltılması.
- Bazı özel DC lere bilgi replike edebilme imkanı nedeniyle hata toleransının sağlanması.
- Uygulamaların LDAP ile AD’ ye erişimlerinin sağlanması.
Application Directory Partition ortamında security principal (kullanıcı , bilgisayar hesabı ve security groups) dışında tüm nesneler tutulabilir.
Bir ADP forest içinde aşağıdaki noktalara yerleştirilebilir :
- Domain partition child
- Application Directory Partition child
- Forest içinde yeni bir Tree
ADP bilgileri, Global Catalog lara replike edilmez. Ancak GC özelliği olan DC ler ADP bulundurabilirler.
Eğer bir uygulama LDAP portundan ( 3268 / 3269 ) bilgi sorgularsa, sorgulanan DC aynı zamanda bir GC ise, ADP ile ilgili bilgileri göndermez. Bu, karışıklıklara yol açmaması için alınmış bir önlemdir.
Eğer bir DC denote edilecekse, üzerinde ADP varsa aşağıdaki yollar takip edilmelidir :
- ADP yi kullanan uygulama tespit edilerek, ADP yi bu uygulamanın kaldırması tercih edilebilir.
- Eğer silinecek olan son replika ise durum dikkatli değerlendirilmelidir. Son replika silindikten sonra geriye dönüş olmayacaktır.
- Replikayı kaldıracak uygulama bilinmiyorsa, ntdsutil.exe kullanılarak ADP elle kaldırılabilir.
Security Descriptor Reference Domain
AD deki her bölme ve nesnenin bir yetki ve erişim seti vardır. Buna Security Descriptor denir. Bu set içinde kullanıcı, bilgisayar ve gruplar yer alır. Eğer nesneye bir SD tanımlanmamışsa, bu nesne bağlı olduğu Class’ ın varsayılan SD sini alır.
ADP farklı etki alanlarındaki DC lere replike edilebileceğinden durum daha da karışmasın diye ADP için ön tanımlı bir SD Reference Domain tanımlanır. Eğer ;
- ADP bir child domain ise, üst etki alanı SD Reference Domain dir.
- ADP başka bir ADP’ nin altındaysa, SD Reference Domain üstteki etki alanının SD Reference Domain’idir.
- ADP rootda tanımlıysa, SD Reference Domain ; Forest Root Domain dir.
Hiç yorum yok:
Yorum Gönder