70-296 Sınav Notları (3.Bölüm)

3.Active Directory' yönetmek

W2K3’ de güven ilişkileri aşağıdaki gibi kurulabilir :

1. Tek yönlü veya çift yönlü
2. Otomatik veya elle
3. Geçiken veya geçişsiz

W2K3’ ün varsılan güvenlik protokolu Kerberos V5 vey NTLM’ dir. Kerberos’un kullanılamadığı durumlarda NTLM’ in kullanılmasına izin verilir.

Kerberos V5 ile kimlik doğrulama aşağıdaki şekilde yapılmaktadır :

1. Kullanıcı logon işlemi sırasında KDC (Key Distrubution Center)’ dan TGT (Ticket for Granting Ticket) alır. Varsayılan değer olarak tüm DC ler birer KDC’ dir.
2. Kullanıcı bir kaynağa erişmek istediğinde, aldığı TGT’ yi KDC’ ye gösterir ve kaynak için bir servis bileti ister. KDC de etki alanı veritabanından istenen kaynak için Service Principal Name’ I kontrol eder. Erişilmesi istenen kaynak KDC ile aynı etki alanında olduğundan kontrol sonrası bilet istemciye verilir.
3. Kullanıcı aldığı bilet ile sunucuya başvurur ve kaynağa erişir.

Eğer kaynak farklı bir etki alanında ise aşağıdaki işlemler gerçekleşir : Örneğin, domain1.contoso.com’ dan domain2.contoso.com’ a erişmeye çalışılıyor olsun.

1. Kullanıcı, kendi etki alanı olan domain1.contoso.com KDC’ ye başvurarak bir TGT alır.
2. Kullanıcı, domain2.contoso.com’ daki kaynağa erişmek için elindeki TGT ile yerel KDC’ ye başvurur.
3. KDC, SPN’ de kontrollerini yapar ve kaynağın kendi etki alanında olmadığını görünce , GC (Global Catalog) üzerinden kaynağın nerede olduğuna dair bir araştırma yapar. GC gerekli bilgiyi KDC’ ye gönderir.
4. KDC, aldığı bilgiyi kullanıcıya verir ve contoso.com etki alanına başvurmasını söyler.
5. Kullanıcı, contoso.com’ dan bir KDC ile görüşerek, domain2.contoso.com için bir KDC bilgisi ister. KDC, bu KDC bilgisini gönderir.
6. Kullanıcı, domain2.contoso.com KDC ile görüşür ve kaynağa erişim yetkisi ister.
7. domain2.contoso.com KDC, SPN’ I kontrol eder ve kullanıcının kaynağa erişim yetkisi varsa kendisine bir bilet verir.
8. Kullanıcı, kaynağa erişir.

Güven türleri

- Tree-root trust : Mevcut forest’da yeni bir root domain oluşturulduğunda otomatik olarak gerçekleşir. Geçişken ve çift yönlü güven ilişkisidir.

- Parent-child trust : Bir etki alanına child olarak eklenen başka bir etki alanı ile oluşan güven ilişkisidir. Bu da çift yönlü ve geçişkendir.

- Shortcut trust : Birbirinden çok uzak olan etki alanları arasında normal yollardan kimlik doğrulamanın çok uzun sürdüğü hallerde elle oluşturulan bir güven ilişkisi türüdür. Adından da anlaşıldığı gibi güven ilişkisine kısayol sağlamak kurulur. İsteğe gore tek veya çift yönlü olabilir. Geçişkendir.

- Realm trust : Genelde UNIX Kerberos 5 türevi kaynaklar ile elle kurulan bir ilişki türüdür. Geçişken veya geçişsiz, tek veya çift yönlü olabilir.

- External trust : Farklı forestlerin etki alanları arasında veya W2K3 etki alanı ile NT 4.0 etki alanı arasında kurulabilir. Geçişsizdir ve tek veya çift yönlü olabilir. Forest Trust kurulması için gerekli şart sağlanamadığında ancak bu yöntemle ilişki kurulabilir.

External trust iki şekilde ; kısıtlı veya genişletilmiş olarak tasarlanabilir. Trusting domain kaynaklarının tamamına erişim yetkisi verilebileceği gibi, Selective Authentication da uygulanarak sadece belirli bilgisayar hesaplarına belirli kullanıcıların erişimi de sağlanabilir. Bunun için kaynağın yetki setinde Allowed to Authenticate adında yeni bir yetki tanımı oluşturulmuştur.

- Forest Trust : Farklı W2K3 forestleri arasında bağlantı kurmayı sağlar. Sadece iki forest arasında geçişkendir ve tek veya çift yönlü olabilir.

W2K3 Trust Wizard bu geçiş ilişkilerini ayarlamak için kullanılabilir. Wizard, mevcut jargona iki yeni tanımlama eklemiştir :

Incoming trust : Güvenilen (Trusted ) etki alanındaki bir kullanıcı, güvenen (trusting) alandaki kaynaklara ulaşmak istediğinde bu ; Incoming Trust olarak adlandırılır. Yani kullanıcıi kaynağa erişmeden once güvenilen etki alanında kimlik doğrulatmak zorundadır.

Outgoing trust : Güvenen (Trusting) etki alanındaki Administrator güven ilişkisi kurmak istedğinde bu Outgoing Trust olarak adlandırılır.

Forest Trust

Forest Trust W2K sistemlerinde farklı forestlerin etki alanları arasında güven ilişkisi kurmak için kullanılan external trust’ ın getirdiği kısıtlamaları gidermek için oluşturulmuştur.

- İki forest arasında geçişkendir. Ancak 3ncü forest’a geçişken değildir. A>B , B>C, A >C’ye yok.

- Yönetim kolaylığı sağlar.

- Her iki forestın tüm etki alanlarına erişimi sağlar.

- UPN kullanımına izin verir.

Uygulanabilmesi için her iki W2K3 etki alanı da W2K3 forest functional level da çalışmalıdır.

Netdom.exe ile Forest Trust kurulamaz !

Active Directory Schema

AD Şeması sadece Schema Master olarak belirlenen sunucu üzerinden değiştirilebilir. Şema, forest içindeki tüm DC lere kopyalanır. Şema değişikliği yapacak kullanıcı Forest Root Domain’ de Schema Admins grubu üyesi olmalıdır.

AD şema değişikliği için AD Schema Snap-in yüklenmelidir.

Regsvr32 schmmgmt.dll komutu ile gerekli düzenleme yapılabilir.

Backup & Restore

Ntbackup ile uzak sistemlerin System state yedeği alınamaz.

System State blgisi içinde aşağıdakiler yer almaktadır.

1. System Registry
2. COM+ class registration database
3. boot files, ntdetect.com, ntldr, boot.ini ve ntbootdd.sys
4. Windows File Protection sistemi ile korunan sistem dosyaları

Aşağıdaki bilgiler de ilgili sunucularda system state içine dahil olmaktadır.

- Sertifika servis veritabanı (sertifka sunucularında)

- Active Directory ve sysvol dizini (AD sunucularında)

- Cluster servis bilgisi (cluster sunucularında)

- IIS Metabase (IIS sunucularında)

Active Directory geri yüklenirken sistemin Directory Services Restore Mode’ a geçirilmesi gereklidir.

Yedekleme yöntemi ne olursa olsun (Incremental vs.) System State yedeği daima Full alınır.

Üç farklı Restore yöntemi vardır :

- Normal (Non-authoritative)

- Authoritative restore

- Primary restore

Normal Restore yapıldığında, geri yüklenen bilgiler replikasyon ile değişebilir. Yani geri yüklenen bilgiden daha yeni bilgi AD’ de mevcutsa ,bu bilgiler geri yüklenenlerin üzerine replikasyon sırasında yazılır. Normal restore için DC , Directory Services Restore Mode’ da çalıştırılmalıdır. Normal restore şu amaçlarla kullanılabilir.

- Çok sayıda DC olan bir ortamda bir DC yi geri yüklemek için

- Bir DC üzerindeki, replika setlerinden farklı FRS veya Sysvol dizinlerini geri yüklemek için

Authoritative Restore‘ un amacı bir sistemdeki veriyi tamamiyle geri yüklemektir. Bu yöntem ile geri yüklenen verinin diğer DC lerdeki veri tarafından değiştirilmesi engellenmiş olur.

Bu yöntemi uygulamak için sistem yine Directory Services Restore Mode’ da açılır ve geri yükleme yapılır. Daha sonra ntdsutil.exe çalıştırılarak yüklenen nesneler authoritative olarak işaretlenir. Bu işlem geri yüklenen nesnelerin Update Sequence Number (USN) lerini mevcut son numaradan yukarıya çeker ve replikasyon sırasında değişmelerini engeller. Genelde aşağıdaki amaçlarla kullanılır :

- AD nesnelerini geri yüklemek için

- Sysvol dizinindeki veriyi resetlemek için.

Örnek :

ntdsutil.exe

Authoritative restore

Restore subtree OU=yeni,CN=contoso,CN=com

Primary restore, bir AD ortamındaki tüm DC ler (veya tek DC li ortamdaki tek DC) arızalandığında, mevcut bir yedekten AD ortamını yeniden oluşturmak amacıyla kullanılır. Ortamı oluşturmak için yüklenecek ilk DC Primary Restore ile, sonraki DC ler ise Normal Restore ile geri yüklenmelidir. Genelde aşağıdaki amaçlarla kullanılır :

- Ortamda hiç DC kalmamışsa sistemi yeniden oluşturmak için

System State verisinin bir kısmı sabit disk üzerinde orijinal yerinden farklı bir yere geri yüklenebilir. AD veritabanı, COM+ bilgileri ve Sertifika veritabanı farklı yere geri yüklenemez.

Advanced Restore Settings

Original Location : Bozuk veya sorunlu bilginin geri yüklenmesi için kullanılır. AD geri yüklemesinde bu seçenek seçilmelidir.

Alternate location : Seçilen bir dizine dosyanın eski bir sürümünün geri yüklenmesi sağlanır.

Single Folder : Dosyaları bir ağaç yapısından tek bir dizin içindeki dosyalar haline döndürerek geri yükler.