Anasayfa » Active Directory Makaleleri Windows Server 2003’le Domain’e Logon Olmak Bölüm 6

Makaleyi Paylaş

Windows Server

Active Directory Makaleleri Windows Server 2003’le Domain’e Logon Olmak Bölüm 6

Windows Server 2003 kullanicinin kimligini tespit etmek ve dogrulamak amaciyla logon olma esnasinda kimlik denetimi(authentication) islevini yerine getirir.Bu zorunlu süreç sayesinde sadece geçerli ve yetkili kullanicilarin network ortamina logon olmasi ve kaynaklari, datalari kullanmasi saglanmis olur. 

Bu baslik altinda önceki konularda bahsettigimiz lokal bilgisayara logon olmanin devami olan domain ortaminda logon olma konusunda bilgi sahibi olacaksiniz. 

Laboratuvar : Domain Hesabini Kullanarak Domain’e Logon Olmak

Bu laboratuvar uygulamasinda domain’e  logon olma konusunda bilgi sahibi olacaksiniz.

Sponsor

 

1.       CTRL+ALT+DEL tuslarina basin.

2.       Log On to Windows diyalog kutusunda User name kutusuna domain admininin adi olan Administrator yazin. 

image001

Password kutusuna da domain administrator’inin sifresini yazin.

3.       Log on to kutusundan domain adinizi seçin.

 

NOT : Log on to kutusundan DC olan bilgisayarlarda sadece domain adi gözükür. This computer diye bir seçenek gelmez. This computer sadece member server ve professional bilgisayarlarinda gelir. This computer seçeneginin sadece locale logon olmayi sagladigini daha önce anlatmistik.

 

4.       OK’e tiklayin.

5.       Domain’e logon oldugunuzu göreceksiniz. 

 

ACTIVE DIRECTORY KURULDUKTAN SONRA MEYDANA GELEN DEGISIKLIKLER 

Active Directory dizin servisinin kurulumu tamamlandiktan sonra asagidaki degisikler meydana gelir: 

• Registry içerisine Active Directory ile ilgili gerekli registry kodlari olusur.

• Active Directory ile ilgili performans parametreleri, System Monitor’e eklenir. Dolayisiyla bu performans parametreleri kullanilarak, Active Directory performans analizi yapilabilir.

• SMTP üzerinden mail bazli sertifikasyonu saglayacak ve sertifika isteklerini yerine getirecek olan X.509 DC sertifikasi Active Directory’ye yazilir.

• Active Directory ile ilgili yönetim araçlari, Administrative Tools menüsü içerisinde olusur.

image002

 

• Active Directory kurulduktan sonra active directory yapisinda üç çesit dizin (directory) olusmaktadir. Bunlar; Domain Directory (Dizin) Partition, Schema Directory (Dizin) Partition, Configuration Directory(Dizin) Partition.

·         Domain Directory Partition: Kendi domaininiz içerisindeki  kullanicilar,  gruplar,  bilgisayarlar,  ve diger nesnelerin tutuldugu veritabanidir.Bu partition ayni domain içerisindeki tüm DC bilgisayarlarina replika edilir.

·         Schema Directory Partition: Active Directory forest yapisi içerisindeki tüm nesnelere ait siniflandirma ve özellik bilgilerini tutan sema (Schema) katalogunu içermektedir.  Bu partition Active Directory forest yapisi  içerisindeki tüm DC bilgisayarlarina güncellenir.

·         Configuration Directory Partition: Forest içerisindeki konfigürasyon nesnelerini içerir. Bunlar ; siteler, serverlar, servisler ve directory (dizin) partitionlaridir.  Bu partition, Active Directory forest yapisi içerisindeki tüm DC bilgisayarlarina güncellenir.  

·  Active Directory nesnelerini tutan veritabani ve log dosyalarini konumlandirmak için belirlenen dizin olusmaktadir. Bu dizin, varsayilan deger olarak NTDS ismine sahip ve WINDOWS dizininin altinda yer almaktadir. 

image003 

·  Active Directory dizin servisine ait GPO (Group Policy Object) bilgilerini ve script dosyalarini içeren SYSVOL isminde bir dizin, varsayilan konum olarak WINDOWS dizini altinda olusmaktadir. SYSVOL dizini, kesinlikle NTFS 6.0 dosya sistemine sahip olan partition içerisine konumlandirilmalidir.  

image004 

• Active Directory Users and Computers ismindeki yönetim konsolu içerisinde, Domain Controllers isimli bir OU olusur ve DC bilgisayarlarinin bilgisayar hesaplari bu OU’nun içerisinde toplanir. Ayrica, DC bilgisayarlari otomatik olarak, Users klasöründeki Domain Controllers isimli global gruba da  eklenir.  

• PDC Emulator,  RID Master,  Infrastructure Master gibi domain bazindaki server rolleri domainde kurulan ilk DC bilgisayarina otomatik olarak atanmaktadir. 

  • Domain Controller bilgisayarinda Computer Management konsolu içerisinde active directory kurulumundan sonra Local Users and Groups snap-in’ inin kalktigini göreceksiniz. Çünkü DC için artik lokal kullanici hesaplari yerini domain kullanici hesaplarina birakmistir.

image005 

 

DC bilgisayarinda My Computer properties’e geldiginizde Computer Name tabinda domain bölümüne domain adinin(ITSTACK.com), full computer name bölümüne de bilgisayar adinizin sonuna domain adinin eklenmis halinin ( yildiz7.ITSTACK.com ) geldigini göreceksiniz.

 

image006

 

Computer Name tabinda Change butonu aktif olarak geliyor.(Windows 2000’de DC olan bilgisayarda Network Identification tabinda Properties butonu kapali geliyordu.) Change butonuna tiklayinca DC bilgisayarinin bilgisayar adinin degistirilebildigini göreceksiniz.Windows 2000 DC’lerinde bilgisayar adini degistirmek mümkün degildi.

 

Burada su asamada domain adini degistiremedigimizi görüyoruz. Fakat eger Windows 2003 domain modunu Windows Server 2003 native, forest modunu da Windows 2003’e alirsaniz Windows Server 2003 CD’si içerisindeki Support klasöründeki Tools içerisinden Windows Support Toollarini kurarak, bu toollardan RENDOM.EXE komutu ile domain adi da degistirilebilir.Bu konu ile ilgili genis bilgiyi MCSE 2003 egitim setinin Windows Server 2003 Active Directory kitabinda bulabilirsiniz.

 

image007

 

ACTIVE DIRECTORY KURULDUKTAN SONRA ÇALISAN SERVISLER VE YAPILAN REGISTRY GIRISLERI

 

Active Directory dizin servisi kurulduktan sonra, asagida isimleri verilmis ve tanimlamalari yapilmis olan servisler çalismaktadir.

 

·         Remote Procedure Call (RPC) Servis: Bir bilgisayar üzerindeki uygulama ve verilerin, sistemdeki diger clientlara paylasimini saglar.

 

·         Netlogon Servisi: Network’e logon olmayi saglayan servistir. Clientlarin domaine logon olmasi esnasinda, DC ile client arasinda bir güvenlik kanali olusturur. Ayrica DNS’deki SRV kayitlarinin olusmasini saglamaktadir.

 

·         Key Distribution Center (KDC) Servisi: Windows 2003’e ait  Kerberos güvenlik protololünü kontol eden servistir.

 

·         Intersite Messaging Servis (ISM): Siteler arasi mail bazli replikasyonu saglar.

 

·         Distributed Link Tracking Server Servis: Active Directory kisayollarina ait OLE baglantilarini kuran ve hangi kisayol kime ait bunu çözümleyen servistir.

 

·         Windows Time Servis; Windows 2003 server ile client bilgisayarlari arasi saat senkronizasyonunu saglar.

 

   Active Directory dizin servisi kurulduktan sonra, registry içerisinde    HKey_Local_Machine\Software, HKey_Local_Machine\System ve HKey_Users\Default girisleri otomatik olarak yapilir.

 

ACTIVE DIRECTORY KURULUMUNUN KONTROLÜ

 

Active Directory dizin servisinin kurulumu tamamlandiktan sonra,  sistemin düzgün bir sekilde çalisip çalismadigini kontrol etmek için asagidaki islemleri gerçeklestirebilirsiniz:

 

• DNS veritabaninda SRV kayitlarinin düzgün bir sekilde olusup olusmadiginin kontrolü yapilmalidir. SRV kayitlarinin kontrolü, DNS konsolu içerisindeki  Forward Lookup Zone altindaki domaine ait olan zone  içerisinden gerçeklestirilebilir. Ayrica komut satiri üzerinden  nslookup araci kullanilarak, SRV kayitlari kontrol edilebilir.

 

image008

 

Nslookup aracini kullanarak, SRV kayitlarini control etmek için asagidaki adimlari takip edebilirsiniz;

 

1-Start menüden Run’a gelerek cmd.exe ile komut satirina geçin.

1-      Komut satirina nslookup  yazin ve Enter tusuna basin.

2-      Gelen satira, SRV kayitlarinin kontrolü için ls -t SRV domainadi yazilip tekrar Enter’a basin ve servis kayitlarinin listelendigini görün. Mesela, ITSTACK.com domaini içerisinde olusan SRV kayitlarinin kontrolü için ls –t SRV ITSTACK.com yazilir ve Enter’a basilir.

NOT : nslookup komutunun düzgün bir sekilde çalismasi için DNS içerisinde Reverse Lookup Zone olusturulmasi gerekir. Aksi halde time-out yani zaman asimi hatalari karsimiza gelir.

 

• Sistemin kontrolü açisindan yapilmasi gereken islemlerden bir digeri, SYSVOL dizininin uygun bir sekilde olusup olusmadiginin kontrol edilmesidir. Bunun için WINDOWS\SYSVOL kontrol edilmelidir. Ayrica dos komut satiri üzerinden net share komutu kullanilarak windows\sysvol\domainadiniz\scripts dizininin Netlogon olarak,  windows\sysvol\sysvol’ün de SYSVOL olarak paylasima açildigini gösteren liste ekrana getirilerek kontrol islemi saglanmis olur.

 

• Active Directory veritabani dosyalari ve log dosyalarinin olusup olusmadigi kontrol edilirek sistem kontrolü gerçeklestirilebilir.  Bunun için WINDOWS\NTDS dizini içerisinde asagidaki dosyalarin olusup olusmadigi kontrol edilmelidir:

 

image009

 

Ntds.dit  :   Active Directory veritabani dosyasi. 

Edb.log    :   Active directory içerisinde yapilan islemlerin tutuldugu transaction log dosyasi. 

Res1.log, Res2.log:   Rezerve edilmis log dosyalari.

• Kurulum esnasinda meydana gelen hatalarin belirlenmesi için Event Viewer’dan System, Directory Service, DNS Server ve File Replication Service bölümlerine bakilmasi gerekir.

Makaleyi Paylaş

Cevap bırakın