Windows Server 2016

Windows Server 2016 Domain Controller

Domain Controller Nedir?

Domain Controller, Active Directory Domain Services veri tabanının (Ntds.dit) bir kopyasını ve SYSVOL klasörünün (GPO’lar için tüm şablon ayarlarını ve dosyalarını içerir) bir kopyasını depolayan sunucudur.

 

Ayrıca domaindeki tüm kullanıcıların ve bilgisayarların kimlik doğrulama (Authentication) işlemeni gerçekleştirdiğinden, ağ ve sistem işleyişinin düzgün çalışması için kritik önem taşır.

 

Active Directory Domain Services ile ilgili detaylı bilgi için: Windows Server 2016 Active Directory Domain Services

 

Domain Controller’lar, verileri diğer Domain Controller’lara kopyalamak için çok aşamalı çoğaltma sistemini kullanır. Bu yüzden herhangi bir Domain Controller üzerinde istenilen değişiklikler yapılabilir. Bir süre sonra Active Directory Domain Services üzerinde yapılan değişiklikler diğer tüm Domain Controller’larla eşitlenir.

Daha önceki sürümlerde SYSVOL klasörünü replike etmek için File Replication Service (FRS) kullanılıyordu, Windows Server 2016’da ise sadece Distributed File System (DFS) kullanılmaktadır.

Domain Controller, Active Directory Domain Services ile ilgili başka hizmetleri de barındırır. Bunlar, kullanıcı ve bilgisayar hesaplarının oturum açma (Sign-in) ve kimlik doğrulama (Authentication) için kullanılan kerberos kimlik doğrulama hizmeti, Active Directory Domain üzerinde oturum açan bir hesaba bilet veren (TGT – Ticket-Granting-Ticket) Key Distrubiton Center (KDC) ve isteğe bağlı olarak Global Catalogdur.

Active Directory Domain üzerindeki tüm kullanıcılar, Active Directory Domain Services veri tabanında bulunur. Veri tabanı herhangi bir nedenle erişilmez duruma gelirse, kimlik doğrulamasına bağlı hiçbir işlem gerçekleştirilemez. Bu sebeple iki veya daha fazla Domain Controller kurularak hem veri tabanının daha fazla ulaşılabilir olması sağlanır hem de yoğun oturum açma sürelerinde kimlik doğrulama yükününün dağıtılması sağlanır.

Fiziksel güvenliğin iyi olmadığı uzak lokasyonlar için Domain Controller kurulma ihtiyacı doğarsa, güvenlik risklerini aza indirmek için Ntds.dit veri tabanı dosyası ve SYSVOL klasörü üzerinde yazma hakkının olmadığı sadece okuma hakkının olduğu RODC (Read Only Domain Controller) kurulumu yapılır. Güvenliği daha da artırmak için RODC’nin sabit diski BitLocker ile şifrelenerek yetkisiz erişimlerde veri kaybı önlenebilir.

 

Global Catalog Nedir?

Global Catalog, Forest’daki tüm nesnelerin kısmi, okunabilir ve aranabilir bir kopyasıdır. Forest içerisindeki diğer domainlerde bulunan kullanıcı ve bilgisayar hesapları gibi nesneleri aramaları hızlandırır.

Tek bir domain içerisindeki tüm Domain Controller’lar, o domain içerisindeki nesneler ile ilgili tüm bilgileri içerir. Forest içerisinde birden fazla domain bulunursa bu domainlere ait nesneler ile ilgili bilgiler diğer bir domainde bulunmaz.

Forest içerisinde ilk kurulan Domain Controller varsayılan olarak Global Catalog sunucusudur. Diğer domainlerde de Global Catalog sunucusu yapılandırılarak diğer domainler’deki nesnelere ait bilgilere erişilebilir.

Global Catalag üzerinde, nesnelere ait tüm bilgiler bulunmaz. Arama sorgularında yararlı olabilecek givenName, displayName, mail gibi bazı bilgileri içerir. Schema içerisindeki Partial Attribute Set (PAS) değiştirilerek Global Catalog’da tutulan bilgileri çoğaltabilirsiniz.

Active Directory hesapları oturum açtıklarında, Domain Controller’ların kimlik doğrulaması yapmadan önce evrensel grup üyeliklerini denetlemek için Global Catalog’a başvurması gerekir.

Forest içerisinde tek bir domain varsa, tüm Domain Controller’ları Global Catalog yapılması önerilir. Forest içerisinde birden çok domain varsa, diğer Domain Controller’ların hepsi Global Catalog oluncaya kadar Infrastructure Master rolüne sahip Domain Controller Global Catalog olarak tanımlanmaz. Forest içerisinde birden çok site varsa, Global Catalog sorguları için diğer site’deki sunuculara bağımlı kalmamak için her site’da bir Global Catalog sunucusu tanımlanmalıdır. Genel kullanımlarda tüm Domain Controller’lar Global Catalog olarak tanımlanır.

 

SRV Kayıtları Nedir?

Kullanıcılar, Active Directory Domain üzerinde oturum açtıklarında veya Parola değiştirdiklerinde bilgisayarlarının en yakın Domain Controller’ı bulması için DNS’te SRV kayıtlarını arar. Domain Controller’lar üzerinde çalışan NetLogon servisi, DNS’e üzerilerinde çalışan hizmetler hakkında güncelleştirilmiş SRV kayıtlarını kaydeder. Böylece DNS, SRV kayıtları ile kullanılabilir hizmetler hakkında bilgi sağlar.

Active Directory üzerinde SRV kayıtları aşağıdaki formatta kaydedilir.

_Service._Protocol.DomainName

Örneğin bir client melihatasoylu.com domain’inde  LDAP hizmeti çalıştıran bir sunucu arıyorsa, _ldap._tcp.melihatasoylu.com SRV kaydını sorgular.

SRV kayıtlarında bir problem varsa, Domain Controller’lar arasında replikasyon’da veya GPO düzenlemelerinde de problemler yaşanabilir. SRV kayıt problemini düzeltmek için NetLogon servisini yeniden başlatarak SRV kayıtlarının güncel halinin DNS’e kaydedilmesi sağlanabilir.

 

Site’lar ve SRV Kayıtları

Kullanıcılar, bir Domain Controller’a ulaşması gerektiğinde site’ları kullanır. DNS’teki SRV kayıtlarına bakarak, bulunduğu site içerisindeki Domain Controller’ların listesini sorgular. Bulunduğu site içerisinde Domain Controller yoksa, en yakın site içerisindeki Domain Controller listesini sorgular. En yakın site içerisinde de Domain Controller yoksa, Domain içerisinde kullanılabilir Domain Controller’ların rastgele listesini sorgular. Bu sebeple sistem yöneticilerinin site tanımlarını ağ’lar arasındaki bandgenişliğine uygun olarak tanımlamaları önemlidir.

 

Active Directory Oturum Açma (Sign-In) İşlemi

Kullanıcılar Active Directory Domain üzerinde oturum açmaya (Sign-In) çalıştığında, bilgisayar önce DNS sorgusu ile ulaşabileceği Domain Controller arar. Daha sonra kullanıcıdan aldığı kullanıcı adı ve parola bilgisini kimlik doğrulama (Authentication) için Domain Controller’a gönderir. Domain Controller’daki Yerel Güvenlik Yetkilisi (Local Security Authority – LSA) gerçek kimlik doğrulama işlemini gerçekleştirir.

Oturum açma başarılı olursa, LSA, kullanıcıya içinde kullanıcının ve üye olduğu gruplar için güvenlik kimliklerinin (Security IDs – SIDs) olduğu bir erişim bileti (Access Token) oluşturur. Kullanıcı herhangi bir erişim başlattığında bu bilet ile erişim kimlik bilgileri sağlanır. İkinci kez gerçekleşen bir işlemle Domain Controller hizmet bileti oluşturur ve oturum açılmış olur.

Her kullanıcı, bilgisayar ve gruba ait benzersiz bir SID bulunur. Active Directory Domain’e dahil edilmiş bir bilgisayar da başlatıldığında benzer şekilde oturum açar ve Authenticated Users grubunun üyesi olur.

 

 

“Windows Server 2016 Domain Controller” için 2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir