Active Directory’nin ne olduğu konusunda gerekli temel bilgileri daha önce aşağıda bağlantısı bulunan makalemde paylaşmıştım.
Bu makalemde ise Active Directory’nin kurumsal ortamda nasıl temsil edildiğini inceleyeceğiz. İncelemeye temel olarak var olan ve emres.com’u barındıran tek bir ağ ile başlayalım. Bu ağda emres.com’da bulunan tüm kullanıcılar emres.com’daki izinleri dahilinde bu ağdaki tüm kaynaklara erişebilir.
Etki Alanı (Domain), aynı Active Directory veritabanını paylaşan mantıksal (Logical) bir bilgisayar grubu olarak tanımlanır. Ağınız ne kadar büyük olursa olsun ve küresel olarak kaç farklı lokasyona sahip olunursa olunsun mümkün olduğunca bu ağın sadece tek bir domainde bulunması istenir. Gerçek dünyada ise bu her zaman mümkün olmaz. Active Directory, milyonlarca nesneyi kolaylıkla ölçeklendirebilir. Ancak birden fazla domaine sahip olmanın avantajları vardır.
Şirketinizde, Ankara’da bulunan ve merkeze göre farklı ihtiyaçları (güvenlik vb.) olan bir lokasyonumuzun olduğunu düşünelim. Bu farklı ihtiyaçların sağlanması için şirket, yalnızca bu lokasyonda çalışan kişileri kendilerine ait bir domain altında toplar ve yalnızca oradaki yapıyla ilgilenecek bir IT destek ekibi görevlendirilebilir. Bu ayrı lokasyon, bir alt domain (Child Domain) olarak orijinal domaine eklenir. Bu durumda yeni domainin adı ankara.emres.com olacaktır. Aynı Kök (Root) alan adını paylaşan bu gibi iki domainimiz olduğunda (örnekte emres.com olan) bu iki domain aynı ağacın (Tree) altında olur. emres.com treenin en tepesinde olduğundan Kök Ağaç (Root Tree) olarak kabul edilir.
Bunu daha iyi görebilmemiz için İstanbul adında başka bir child domain eklenebilir. Aynı şekilde istanbul.emres.com tree’nin bir parçası olduğundan emres.com root domain adını paylaşır.
istanbul.emres.com domaini altına anadolu.istanbul.emres.com ve avrupa.istanbul.emres.com child domainleri de eklenebilir. Bu durumda istanbul.emres.com domaini anadolu.istanbul.emres.com ve avrupa.istanbul.emres.com domainlerinin Ebeveyn (Parent) domaini olacaktır.
Her domain kendi kullanıcı ve bilgisayar grubuna sahiptir. Bu da her domainin kendi Active Directory veritabanına sahip olduğu anlamına gelir. Tüm bu domainler emres.com domain adını paylaşır ve Active Directory’de aynı tree’nin içinde bulunurlar. Aynı tree’de bu gibi birden fazla domaine sahip olmanın avantajı, Active Directory’nin otomatik olarak parent ve child domainler arasında güven ilişkisi oluşturmasıdır. Bu güven ilişkileri, her domainin üyelerinin erişime sahip olduklarını varsayarak diğer herhangi bir domaindeki kaynaklara erişimlerini sağlar.
Peki diğer domainlere farklı bir alan adına sahip başka bir alan adı eklendiğinde ne olacak? hasans.com alan adının bu şekilde eklendiğini düşünelim. hasans.com adındaki bu yeni domain yeni bir treenin parçası olacaktır. Bu durumda elimizde emres.com ve hasans.com adında iki ayrı treemiz oldu. Birden fazla domainin ve birden fazla treenin bulunduğu bu tek yapıya Orman (Forest) adı verilir.
Bir foresta sahip olmamız için birden fazla treemiz ve birden fazla domainimizin olması şart değildir. Bunu göstermek için sadece bir domain içeren özgün örneğimize geri dönelim. İlk domain adı oluşturulduğunda bir forest otomatik olarak oluşturulur. emres.com domainine iki adet child domain eklendiğinde bu domainler forestta bir tree oluştururlar. hasans.com domaini de eklendiğinde bu domain emres.com forestında ayrı bir tree oluşturur.
Peki bir foresta neden ihtiyaç var? Foresttaki tüm domainlerin ortak bir noktası vardır. Aynı forestta bulunan tüm domainler birbirleriyle Şema (Schema) paylaşımı yaparlar.
Schema, Active Directory veritabanını tanımlar. Bu veritabanında nelerin depolanabileceğini ve verinin yapısını belirler. Her domainin tek bir veritabanı kopyası vardır. Fakat schema, foresttaki tüm domainler arasında paylaşılır. Schemada değişiklikler olduğunda bu değişiklikler foresttaki her domaine kopyalanır. Bir foresta sahip olmanın avantajı, foresttaki tüm domainlerin güven ilişkilerine sahip olmasıdır. Daha önce aynı treedeki güven ilişkisinden de bahsetmiştim. Yani güven ilişkisi, aynı treedeki parent ve child domainler arasında ve aynı foresttaki tüm treeler arasında otomatik olarak oluşturulur. Böylece hasans.com domainindeki bir kullanıcı anadolu.istanbul.emres.com domainindeki bir kaynağa erişebilir. Bu durumda hasans.com domainindeki bir kullanıcı foresttaki herhangi bir domainde bulunan herhangi bir kaynağa erişebilir.
Peki bir foresttaki öğeler nasıl bulunur? Foresttaki öğelerin bulunması için bir dizine ihtiyacımız vardır. Herhangi bir Active Directory forestında bu öğelerin dizinini sağlayan sunucular olacaktır. Bu sunuculara Genel Katalog Sunucuları (Global Catalog Servers, GC) denir. Her domainde en az bir adet Global Catalog sunucusu bulunur. Global Catalog sunucuları foresttaki her nesneyi içeren bir dizine sahiptir. Bu nesnenin tam kopyası değildir fakat bir kullanıcının forestta arama yapmasına izin vermek için yeterlidir. Global Catalog, foresttaki her nesne hakkında temel bilgileri içerdiğinden kullanıcı aradığı bilgiye hızlı bir şekilde erişebilir. Global Catalog sunucusu aranan nesne hakkında ayrıntılı bilgi içermez fakat kullanıcıya bu nesnenin foresttaki yerini belirtebilir. Bu sunucuyu kütüphanelerde kullanılan dizin yapısına benzetebilirsiniz. Bu dizin size kitabın ne hakkında olduğunu ve daha fazla bilgi edinmek isterseniz onu nerede bulacağınız hakkında bir fikir verir.
Peki başka bir forest eklenirse neler olur? Bu durum şirketiniz kendi Active Directory altyapısına sahip başka bir şirketi devraldığında ortaya çıkabilir. Active Directory’de bu durum yönetici hesabının manuel olarak iki forest arasında güven ilişkisi oluşturmasıyla gerçekleştirilebilir. Elimizde artık iki forest vardır. Böyle durumlarda genellikle çok fazla seçeneğimiz olmaz. Ayrı bir şirket ne olursa olsun kendi Active Directory’sine sahip olacaktır. Her forest yalnızca kendi schemasını bulundurur ve her domain yalnızca kendi Active Directory veritabanının kopyasını içerir. Fakat her zaman sahip olduğumuz domainlerin sayısını minimuma indirmek isteriz. Çünkü bir foresta ve bir domaine sahip olmak işlerimizi daha kolay hale getirir.
Bazı durumlarda ayrı bir forest oluşturmanız gerekebilir. Örneğin schemada değişiklik yapacak bir uygulamayı test ediyorsanız bu testi farklı bir forestta gerçekleştirmek isteyebilirsiniz. Bunu yaparak uygulamanın gerçek ortamınızda kalıcı değişiklikler yapmadığından emin olabilirsiniz. Bu durum forestlar, treeler ve domainler için geçerlidir.
Faydalı olması dileğiyle…
“Active Directory’de Forest ve Tree Yapısı” için 2 yorum