W2K Native Mode’da çalışan bir etki alanının DC si W2K3 e yükseltilirse, Domain Functional Level hala W2K Native olarak kalacaktır.
W2K etki alanına W2K3 DC eklerken ya da W2K etki alanını W2K3’ e yükseltirken öncelikle aşağıdaki işlemlerin uygulanması gereklidir :
- Forest Schema Master DC de adprep /forestprep komutu çalıştırılmalıdır.
- Domain Infrastructure Master DC’ de adprep /domain prep çalıştırılmalıdır.
Forest Functional Levels
Üç farklı mode vardır. W2K Mode, W2K3 Interim Mode, W2K3 Mode
W2K Mode
Bu forest fonksiyon seviyesinde, Forest içinde NT 4.0, W2K ve W2K3 DC lerinin varlığına izin verilmektedir. Ancak, W2K3 ile gelen tüm yeni özellikler yaklaşık olarak devre dışıdır. Sadece W2K3 GC leri replication partner olarak çalışıyorlarsa, bunlarda şema genişlemesi sonucu elde edilen yeni Attribute ların replikasyonunda optimizasyon sağlanmıştır.
W2K3 Interim Mode
NT 4.0 etki alanının ilk DC si W2K3’e yükseltildiğinde forest mode Interim’ e geçer. Ancak forest mode daha once W2K3’ e yükseltilmişse, NT 4.0 etki alanları desteklenmeyecektir. Zaten domain veya forest mode lar geriye çekilemezler. Sadece yükseltilebilirler. W2K Mixed > W2K Native > W2K3 veya W2K3 Interim > W2K3
W2K3 Mode
W2K3 mode, tüm W2K3 özelliklerini desteklemektedir. Bu moda geçiş için tüm etki alanlarının DC leri W2K3 yüklenmiş olmalıdır. Ayrıca tüm etki alanları en az W2K Native Modda çalışıyor olmalıdırlar. Bu moda geçiş sağlandıktan sonra NT 4.0 ve W2K DC leri sisteme dahil edilemezler.
Forest Özelliği W2K Native ModeW2K3 Mode
GC replication improvements - Enabled
Defunct schema objects Disabled Enabled
Forest Trust Disabled Enabled
Linked Value Replication Disabled Enabled
Domain Rename Disabled Enabled
Improved AD replication algorithms Disabled Enabled
Dynamic Auxilary Classes Disabled Enabled
InetOrgPerson objectClass change Disabled Enabled
Application Directory Partition
W2K3 Active Directory daha once W2K’da bulunan 4 AD bölmesini aynen desteklemektedir.
Domain Partition : Bir etki alanı ile ilgili tüm nesneler bulunmaktadır. Etki alanındaki tüm DC lere replike edilir.
Schema Partition : Bir forest’ın Active Directory şeması ile ilgili tüm bilgiler bulunmaktadır. Forest içindeki tüm DC lere replike edilir.
Configuration Partition : Siteler ve servisler ile ilgili tüm bilgileri içerir. Forest içindeki tüm DC lere replike edilir.
Global Catalog Partition : AD içindeki bazı belirli nesneler ile ilgili tüm bilgileri içerir. Forest içinde GC rolü alan tüm DC lere replike edilir.
W2K3 ile birlikte tüm bunlara ek olarak Application Directory Partition da eklenmiştir. Anck bu tamamiyle W2K3’e özel bir durum olduğundan sadece W2K3 DC lerine replike edilmektedir.
Ancak etki alanının veya forest ‘ın mutlaka W2K3 mode da olması şart değildir. İçinde NT 4.0 veya W2K DC ler bulunan ortamlarda da W2K3 DC lerine replike edilmektedir.
Application Partition’ dan AD özelliği olan uygulamalar yararlanabilir. Örneğin TAPI veya DNS. Bu özellik sayesinde aşağıdaki avantajlar elde edilebilir :
- AD içindeki bilgi replikasyonundan kaynaklanan trafiğin azaltılması.
- Bazı özel DC lere bilgi replike edebilme imkanı nedeniyle hata toleransının sağlanması.
- Uygulamaların LDAP ile AD’ ye erişimlerinin sağlanması.
Application Directory Partition ortamında security principal (kullanıcı , bilgisayar hesabı ve security groups) dışında tüm nesneler tutulabilir.
Bir ADP forest içinde aşağıdaki noktalara yerleştirilebilir :
- Domain partition child
- Application Directory Partition child
- Forest içinde yeni bir Tree
ADP bilgileri, Global Catalog lara replike edilmez. Ancak GC özelliği olan DC ler ADP bulundurabilirler.
Eğer bir uygulama LDAP portundan ( 3268 / 3269 ) bilgi sorgularsa, sorgulanan DC aynı zamanda bir GC ise, ADP ile ilgili bilgileri göndermez. Bu, karışıklıklara yol açmaması için alınmış bir önlemdir.
Eğer bir DC denote edilecekse, üzerinde ADP varsa aşağıdaki yollar takip edilmelidir :
- ADP yi kullanan uygulama tespit edilerek, ADP yi bu uygulamanın kaldırması tercih edilebilir.
- Eğer silinecek olan son replika ise durum dikkatli değerlendirilmelidir. Son replika silindikten sonra geriye dönüş olmayacaktır.
- Replikayı kaldıracak uygulama bilinmiyorsa, ntdsutil.exe kullanılarak ADP elle kaldırılabilir.
Security Descriptor Reference Domain
AD deki her bölme ve nesnenin bir yetki ve erişim seti vardır. Buna Security Descriptor denir. Bu set içinde kullanıcı, bilgisayar ve gruplar yer alır. Eğer nesneye bir SD tanımlanmamışsa, bu nesne bağlı olduğu Class’ ın varsayılan SD sini alır.
ADP farklı etki alanlarındaki DC lere replike edilebileceğinden durum daha da karışmasın diye ADP için ön tanımlı bir SD Reference Domain tanımlanır. Eğer ;
- ADP bir child domain ise, üst etki alanı SD Reference Domain dir.
- ADP başka bir ADP’ nin altındaysa, SD Reference Domain üstteki etki alanının SD Reference Domain’idir.
- ADP rootda tanımlıysa, SD Reference Domain ; Forest Root Domain dir.
Active Directory' i Yönetmek
W2K3’ de güven ilişkileri aşağıdaki gibi kurulabilir :
Tek yönlü veya çift yönlü
Otomatik veya elle
Geçiken veya geçişsiz
W2K3’ ün varsılan güvenlik protokolu Kerberos V5 vey NTLM’ dir. Kerberos’un kullanılamadığı durumlarda NTLM’ in kullanılmasına izin verilir.
Kerberos V5 ile kimlik doğrulama aşağıdaki şekilde yapılmaktadır :
Kullanıcı logon işlemi sırasında KDC (Key Distrubution Center)’ dan TGT (Ticket for Granting Ticket) alır. Varsayılan değer olarak tüm DC ler birer KDC’ dir.
Kullanıcı bir kaynağa erişmek istediğinde, aldığı TGT’ yi KDC’ ye gösterir ve kaynak için bir servis bileti ister.
KDC de etki alanı veritabanından istenen kaynak için Service Principal Name’ I kontrol eder. Erişilmesi istenen kaynak KDC ile aynı etki alanında olduğundan kontrol sonrası bilet istemciye verilir.
Kullanıcı aldığı bilet ile sunucuya başvurur ve kaynağa erişir.
Eğer kaynak farklı bir etki alanında ise aşağıdaki işlemler gerçekleşir : Örneğin, domain1.contoso.com’ dan domain2.contoso.com’ a erişmeye çalışılıyor olsun.
Kullanıcı, kendi etki alanı olan domain1.contoso.com KDC’ ye başvurarak bir TGT alır.
Kullanıcı, domain2.contoso.com’ daki kaynağa erişmek için elindeki TGT ile yerel KDC’ ye başvurur.
KDC, SPN’ de kontrollerini yapar ve kaynağın kendi etki alanında olmadığını görünce , GC (Global Catalog) üzerinden kaynağın nerede olduğuna dair bir araştırma yapar. GC gerekli bilgiyi KDC’ ye gönderir.
KDC, aldığı bilgiyi kullanıcıya verir ve contoso.com etki alanına başvurmasını söyler.
Kullanıcı, contoso.com’ dan bir KDC ile görüşerek, domain2.contoso.com için bir KDC bilgisi ister. KDC, bu KDC bilgisini gönderir.
Kullanıcı, domain2.contoso.com KDC ile görüşür ve kaynağa erişim yetkisi ister.
domain2.contoso.com KDC, SPN’ I kontrol eder ve kullanıcının kaynağa erişim yetkisi varsa kendisine bir bilet verir.
Kullanıcı, kaynağa erişir.
Güven türleri
Tree-root trust : Mevcut forest’da yeni bir root domain oluşturulduğunda otomatik olarak gerçekleşir. Geçişken ve çift yönlü güven ilişkisidir.
Parent-child trust : Bir etki alanına child olarak eklenen başka bir etki alanı ile oluşan güven ilişkisidir. Bu da çift yönlü ve geçişkendir.
Shortcut trust : Birbirinden çok uzak olan etki alanları arasında normal yollardan kimlik doğrulamanın çok uzun sürdüğü hallerde elle oluşturulan bir güven ilişkisi türüdür. Adından da anlaşıldığı gibi güven ilişkisine kısayol sağlamak kurulur. İsteğe gore tek veya çift yönlü olabilir. Geçişkendir.
Realm trust : Genelde UNIX Kerberos 5 türevi kaynaklar ile elle kurulan bir ilişki türüdür. Geçişken veya geçişsiz, tek veya çift yönlü olabilir.
External trust : Farklı forestlerin etki alanları arasında veya W2K3 etki alanı ile NT 4.0 etki alanı arasında kurulabilir. Geçişsizdir ve tek veya çift yönlü olabilir. Forest Trust kurulması için gerekli şart sağlanamadığında ancak bu yöntemle ilişki kurulabilir.
External trust iki şekilde ; kısıtlı veya genişletilmiş olarak tasarlanabilir. Trusting domain kaynaklarının tamamına erişim yetkisi verilebileceği gibi, Selective Authentication da uygulanarak sadece belirli bilgisayar hesaplarına belirli kullanıcıların erişimi de sağlanabilir. Bunun için kaynağın yetki setinde Allowed to Authenticate adında yeni bir yetki tanımı oluşturulmuştur.
Forest Trust : Farklı W2K3 forestleri arasında bağlantı kurmayı sağlar. Sadece iki forest arasında geçişkendir ve tek veya çift yönlü olabilir.
W2K3 Trust Wizard bu geçiş ilişkilerini ayarlamak için kullanılabilir. Wizard, mevcut jargona iki yeni tanımlama eklemiştir :
Incoming trust : Güvenilen (Trusted ) etki alanındaki bir kullanıcı, güvenen (trusting) alandaki kaynaklara ulaşmak istediğinde bu ; Incoming Trust olarak adlandırılır. Yani kullanıcıi kaynağa erişmeden once güvenilen etki alanında kimlik doğrulatmak zorundadır.
Outgoing trust : Güvenen (Trusting) etki alanındaki Administrator güven ilişkisi kurmak istedğinde bu Outgoing Trust olarak adlandırılır.
Forest Trust
Forest Trust W2K sistemlerinde farklı forestlerin etki alanları arasında güven ilişkisi kurmak için kullanılan external trust’ ın getirdiği kısıtlamaları gidermek için oluşturulmuştur.
- İki forest arasında geçişkendir. Ancak 3ncü forest’a geçişken değildir. A>B , B>C, A >C’ye yok.
- Yönetim kolaylığı sağlar.
- Her iki forestın tüm etki alanlarına erişimi sağlar.
- UPN kullanımına izin verir.
Uygulanabilmesi için her iki W2K3 etki alanı da W2K3 forest functional level da çalışmalıdır.
Netdom.exe ile Forest Trust kurulamaz !
Active Directory Schema
AD Şeması sadece Schema Master olarak belirlenen sunucu üzerinden değiştirilebilir. Şema, forest içindeki tüm DC lere kopyalanır. Şema değişikliği yapacak kullanıcı Forest Root Domain’ de Schema Admins grubu üyesi olmalıdır.
AD şema değişikliği için AD Schema Snap-in yüklenmelidir.
Regsvr32 schmmgmt.dll komutu ile gerekli düzenleme yapılabilir.
Backup & Restore
Ntbackup ile uzak sistemlerin System state yedeği alınamaz.
System State blgisi içinde aşağıdakiler yer almaktadır.
System Registry
COM+ class registration database
boot files, ntdetect.com, ntldr, boot.ini ve ntbootdd.sys
Windows File Protection sistemi ile korunan sistem dosyaları
Aşağıdaki bilgiler de ilgili sunucularda system state içine dahil olmaktadır.
- Sertifika servis veritabanı (sertifka sunucularında)
- Active Directory ve sysvol dizini (AD sunucularında)
- Cluster servis bilgisi (cluster sunucularında)
- IIS Metabase (IIS sunucularında)
Active Directory geri yüklenirken sistemin Directory Services Restore Mode’ a geçirilmesi gereklidir.
Yedekleme yöntemi ne olursa olsun (Incremental vs.) System State yedeği daima Full alınır.
Üç farklı Restore yöntemi vardır :
- Normal (Non-authoritative)
- Authoritative restore
- Primary restore
Normal Restore yapıldığında, geri yüklenen bilgiler replikasyon ile değişebilir. Yani geri yüklenen bilgiden daha yeni bilgi AD’ de mevcutsa ,bu bilgiler geri yüklenenlerin üzerine replikasyon sırasında yazılır. Normal restore için DC , Directory Services Restore Mode’ da çalıştırılmalıdır. Normal restore şu amaçlarla kullanılabilir.
- Çok sayıda DC olan bir ortamda bir DC yi geri yüklemek için
- Bir DC üzerindeki, replika setlerinden farklı FRS veya Sysvol dizinlerini geri yüklemek için
Authoritative Restore‘ un amacı bir sistemdeki veriyi tamamiyle geri yüklemektir. Bu yöntem ile geri yüklenen verinin diğer DC lerdeki veri tarafından değiştirilmesi engellenmiş olur.
Bu yöntemi uygulamak için sistem yine Directory Services Restore Mode’ da açılır ve geri yükleme yapılır. Daha sonra ntdsutil.exe çalıştırılarak yüklenen nesneler authoritative olarak işaretlenir. Bu işlem geri yüklenen nesnelerin Update Sequence Number (USN) lerini mevcut son numaradan yukarıya çeker ve replikasyon sırasında değişmelerini engeller.
Genelde aşağıdaki amaçlarla kullanılır :
- AD nesnelerini geri yüklemek için
- Sysvol dizinindeki veriyi resetlemek için.
Örnek :
ntdsutil.exe
Authoritative restore
Restore subtree OU=yeni,CN=contoso,CN=com
Primary restore, bir AD ortamındaki tüm DC ler (veya tek DC li ortamdaki tek DC) arızalandığında, mevcut bir yedekten AD ortamını yeniden oluşturmak amacıyla kullanılır. Ortamı oluşturmak için yüklenecek ilk DC Primary Restore ile, sonraki DC ler ise Normal Restore ile geri yüklenmelidir.
Genelde aşağıdaki amaçlarla kullanılır :
- Ortamda hiç DC kalmamışsa sistemi yeniden oluşturmak için
System State verisinin bir kısmı sabit disk üzerinde orijinal yerinden farklı bir yere geri yüklenebilir. AD veritabanı, COM+ bilgileri ve Sertifika veritabanı farklı yere geri yüklenemez.
Advanced Restore Settings
Original Location
Bozuk veya sorunlu bilginin geri yüklenmesi için kullanılır. AD geri yüklemesinde bu seçenek seçilmelidir.
Alternate location
Seçilen bir dizine dosyanın eski bir sürümünün geri yüklenmesi sağlanır.
Single Folder
Dosyaları bir ağaç yapısından tek bir dizin içindeki dosyalar haline döndürerek geri yükler.