Active Directory Etki Alanı Hizmetleri'ne Genel Bakış

 

Uygulama Alanı: Windows Server 2012

All_Symbols_Cloud

Microsoft Azure’un da bulutta benzer işlevler sağladığını biliyor muydunuz?Microsoft Azure kimlik çözümleri hakkında daha fazla bilgi edinin.

Microsoft Azure'da karma kimlik çözümü oluşturun:
- Azure Sanal Makineler üzerinde Windows Server Active Directory dağıtın.
- Microsoft Enterprise Mobility ile sunulan kimlik ve erişim yönetimi çözümü hakkında bilgi edinin.
- Azure sanal ağına bir Active Directory etki alanı denetleyicisi çoğaltması yükleyin.
- Bulut kimlik doğrulaması kullanarak tek ormanlı karma ortamlar için kimlikleri yönetin.
- Azure Active Directory ve Azure Active Directory’nin mevcut Active Directory altyapınıza nasıl tümleştirilebileceği hakkında daha fazla bilgi edinin.

Active Directory® Etki Alanı Hizmetleri (AD DS) sunucu rolünü kullanarak, kullanıcı ve kaynak yönetimi için ölçeklenebilir, güvenli ve yönetilebilir bir altyapı oluşturabilir ve Microsoft® Exchange Server gibi dizin özellikli uygulamalar için destek sağlayabilirsiniz.

Bu konunun geri kalanında AD DS sunucu rolünün üst düzey bir özeti verilmektedir.Windows Server 2012 içinde yeni AD DS özellikleri hakkında daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetleri’ndeki (AD DS) Yenilikler.

AD DS, ağ kaynaklarıyla ilgili bilgileri ve dizin özellikli uygulamalardan uygulamaya özgü verileri depolamak ve yönetmek için dağıtılmış bir veritabanı sağlar. AD DS çalıştıran bir sunucu, etki alanı denetleyicisi olarak adlandırılır. Yöneticiler AD DS’yi kullanıcılar, bilgisayarlar ve diğer cihazlar gibi ağ öğelerini hiyerarşik bir kapsama yapısı içinde düzenlemek için kullanabilir. Hiyerarşik kapsama yapısı Active Directory ormanını, ormanlardaki etki alanlarını ve her bir etki alanındaki kuruluş birimlerini (OU) içerir.

Ağ öğelerini hiyerarşik bir kapsama yapısında düzenlemek aşağıdaki avantajları sunar:

  • Orman bir kuruluş için güvenlik sınırı görevi görür ve yöneticiler için yetki kapsamını tanımlar. Varsayılan olarak bir orman, orman kök etki alanı olarak bilinen tek bir etki alanı içerir.

  • Kuruluşların verileri yalnızca gerekli yerlerde çoğaltmasını sağlamak üzere AD DS verileri bölümleri sağlamak için ormanda ek etki alanları oluşturulabilir. Bu AD DS’nin sınırlı kullanılabilir bant genişliğine sahip bir ağda küresel olarak ölçeklenebilmesini olanaklı kılar. Bir Active Directory etki alanı ayrıca ağ genelinde kullanıcı kimliği, kimlik doğrulama ve güven ilişkileri gibi yönetimle ilgili diğer çekirdek işlevleri destekler.

  • OU’lar çok sayıda nesnenin yönetimini kolaylaştırmak için yetki temsilci seçimini daha basit hale getirir. Temsilci seçimi sayesinde, sahipler nesneler üzerinde tam veya sınırlı yetkiyi diğer kullanıcı veya gruplara aktarabilir. Temsilci seçimi, çok sayıda nesnenin yönetimini yönetim görevlerini gerçekleştirmesi için güvenilen birden çok kişi arasında dağıtmak için yardımcı olması bakımından önemlidir.

Güvenlik, oturum açma kimlik doğrulaması ve dizindeki kaynaklara erişim denetimi aracılığıyla AD DS ile tümleştirilir. Bir tek ağ oturumu açarak, yöneticiler tüm ağlarındaki dizin verileri ve düzenlemesini yönetebilir. Yetkili kullanıcılar da ağda herhangi bir yerde bulunan kaynaklara erişmek için tek ağ oturum açmayı kullanabilir. İlke tabanlı yönetim, en karmaşık ağın yönetimini bile kolaylaştırır.

Ek AD DS özellikleri aşağıdakileri içerir:

  • Dizinin içerdiği nesneler ve özniteliklerin sınıflarını tanımlayan bir kural kümesi, şema, bu nesnelerin örneklerindeki kısıtlamalar ve sınırlandırmalar ve adlarının biçimi.

  • Dizindeki her nesne hakkında bilgiler içeren bir genel katalog. Kullanıcılar ve yöneticiler verileri gerçekte dizindeki hangi etki alanının içerdiğinden bağımsız olarak dizin bilgilerini bulmak için genel kataloğu kullanabilir.

  • Nesneler ve özelliklerinin yayımlanıp ağ kullanıcıları veya uygulamalar tarafından bulunabilmesi için bir sorgu ve dizin mekanizması.

  • Bir ağ üzerinden dizin verilerini dağıtan bir çoğaltma hizmeti. Bir etki alanındaki tüm yazılabilir etki alanı denetleyicileri çoğaltmaya katılır ve etki alanları için tüm dizin bilgilerinin tam bir kopyasını içerir. Dizin verilerinde yapılan herhangi bir değişiklik, etki alanındaki tüm etki alanı denetleyicilerine çoğaltılır.

  • İşlem yöneticisi rolleri (ayrıca esnek tek yönetici işlemleri veya FSMO olarak da bilinir). İşlem yöneticisi rollerine sahip etki alanı denetleyicileri, tutarlılığı sağlamak ve dizinde çakışan girişleri önlemek için belirli görevler gerçekleştirmek üzere tasarlanmıştır.

Active Directory Etki Alanı Hizmetleri çalıştırmak için gereksinimler

Bu özelliği çalıştırmak için hangi donanım, yazılım veya ayar yapılandırmaları gerekir? Rolü çalıştırmak için hangi önkoşullar bulunur? Bu rol/özellik, özel bir donanım gerektirir mi?

Gereksinim

Açıklama

TCP/IP

Uygun TCP/IP ve DNS sunucusu adreslerini yapılandırın.

NTFS

Active Directory Etki Alanı Hizmetleri (AD DS) için veritabanı, günlük dosyaları ve SYSVOL klasörünü depolayan sürücülerin yerel bir sabit birime yerleştirilmesi gerekir. SYSVOL, NTFS dosya sistemiyle biçimlendirilmiş bir birime yerleştirilmelidir. Güvenlik nedeniyle, Active Directory veritabanı ve günlük dosyaları NTFS ile biçimlendirilmiş bir birime yerleştirilmelidir.

Kimlik bilgileri

Yeni bir AD DS ormanı yüklemek için sunucu üzerinde yerel yönetici olmanız gerekir. Mevcut etki alanında yeni bir etki alanı denetleyicisi yüklemek için Etki Alanı Yöneticileri grubunun üyesi olmanız gerekir.

Etki Alanı Adı Sistemi (DNS) altyapısı

Bir DNS altyapısının bulunduğundan emin olun. AD DS yüklediğinizde, gerekirse DNS sunucusu yüklemesi ekleyebilirsiniz.

Yeni bir etki alanı oluşturduğunuzda, yükleme işlemi sırasında bir DNS temsilci seçimi otomatik olarak oluşturulur. Bir DNS temsilci seçimi oluşturmak, üst DNS bölgelerini güncelleştirme izinlerine sahip kimlik bilgileri gerektirir.

Daha fazla bilgi için bkz. DNS Seçenekleri sihirbaz sayfası.

Adprep

Windows Server 2012 çalıştıran ilk etki alanı denetleyicisini mevcut bir Active Directory ormanına eklemek için, adprep.exe komutları gerektiğinde otomatik olarak çalıştırılır. Bu komutların ek kimlik bilgileri ve bağlantı gereksinimleri vardır.

Daha fazla bilgi için bkz. Adprep.exe dosyasını çalıştırma.

Salt okunur etki alanı denetleyicileri (RODC)

RODC yüklemek için ek gereksinimler:

  • Orman işlev düzeyi en az Windows Server 2003 olmalıdır

  • Windows Server 2008 veya üzeri çalıştıran en az bir yazılabilir etki alanı denetleyicisi aynı etki alanına yüklenmelidir.

Daha fazla bilgi için bkz. RODC dağıtmak için önkoşullar.

Not

DNS sunucusu dışında, etki alanı denetleyicileri genellikle diğer sunucu rollerini barındırmamalıdır.

Active Directory Etki Alanı Hizmetlerini Çalıştırma

Bu rolleri Windows PowerShell kullanarak nasıl dağıtacağım ve yapılandıracağım?

AD DS’yi Windows PowerShell® komut satırı arabirimi için ADDSDeployment kullanarak yükleme ve yapılandırma hakkında adım adım yönergeler için, bkz. Active Directory Etki Alanı Hizmetleri Dağıtım Kılavuzu (https://go.microsoft.com/fwlink/?LinkId=222597).

Bu rolü çoklu bir sunucu ortamında nasıl dağıtabilirim ve yapılandırabilirim?

AD DS birden çok etki alanı denetleyicisinde çalışmak için tasarlanmış dağıtılan bir hizmettir. AD DS’yi birden çok etki alanı denetleyicisinde yükleme ve yapılandırma hakkında adım adım yönergeler için, bkz. Active Directory Etki Alanı Hizmetleri Dağıtım Kılavuzu (https://go.microsoft.com/fwlink/?LinkId=222597).

Bu rolü sanal makinelerde nasıl çalıştırabilirim?

Windows Server 2012 içinde AD DS, sanallaştırılan AD DS ortamlarının güvenliği ve tutarlılığını sağlamak için sanal makinelerde çalıştırılmaya yönelik korumalar içerir. AD DS’yi sanal makinelerde çalıştırma hakkında daha fazla bilgi için, bkz. Hyper-V’de Etki Alanı Denetleyicileri Çalıştırma (https://go.microsoft.com/fwlink/?LinkID=213293).

Bu rolü çalıştırmak için güvenlik hususları

Yükleme sonrasında, AD DS varsayılan olarak güvenli olacak şekilde tasarlanmıştır. Etki alanı denetleyicileri için varsayılan güvenlik ayarları, riskler ve etki alanı denetleyicilerini güvenli bir şekilde işletme hakkında daha fazla bilgi için, bkz. Active Directory Yüklemelerinin Güvenliğini Sağlamak için En İyi Yöntemler.

Bu rolü uzaktan yönetmek için özel hususlar

AD DS’yi uzaktan yönetmek için, Uzak Sunucu Yönetim Araçları’nı (RSAT) yükleyin. RSAT’nin 32 bit sürümü ve 64 bit sürümü bulunur. Daha fazla bilgi için bkz. Uzak Sunucu Yönetim Araçları (https://go.microsoft.com/fwlink/?LinkId=222628).

Sunucu Çekirdeği yükleme seçeneğinde bu rolü yönetmeye dair özel hususlar

AD DS bir Sunucu Çekirdeği yüklemesine veya Minimal Sunucu Arabirimi’ne sahip bir sunucuya yüklenebilir ve bir veri merkezinde ayrılmış bir sunucu rolü, konukları sanallaştırma veya uzak ofislerdeki RODC’ler gibi işletim sistemi yüklemesi ayak izinin azaltılmasının avantajlı olduğu durumlarda önerilir. Windows Server 2012’den başlayarak, bir Sunucu Çekirdeği yüklemesinde çalıştırılan bir etki alanı denetleyicisi, GUI içeren bir sunucu yüklemesine (tam yükleme olarak da bilinir) veya tam tersine dönüştürülebilir.

Windows Server’ın önceki bir sürümünde çalışan bir Sunucu Çekirdeği yüklemesinden yükseltme desteklenir, Windows Server’ın önceki bir sürümünün Sunucu Çekirdeği yüklemesinden doğrudan GUI içeren bir sunucu yüklemesine yükseltmek veya GUI içeren bir sunucu yüklemesinden doğrudan bir Sunucu Çekirdeği yüklemesine yükseltmek mümkün değildir. Bu durumda, Windows Server 2012’de aynı yükleme türüne doğrudan yükseltmeniz ve yükseltmeden sonra gerekli oldukça farklı bir yüklemeye dönüştürmeniz gerekir.

Daha fazla bilgi için bkz. Windows Server Yükleme Seçenekleri.

Active Directory Etki Alanı Hizmetleri için rol hizmetleri

UNIX için Kimlik Yönetimi, yalnızca etki alanı denetleyicilerine yüklenebilen bir AD DS rol hizmetidir. UNIX teknolojileri için iki Kimlik Yönetimi, NIS Sunucusu ve Parola Eşitleme, Windows® çalıştıran bilgisayarları mevcut UNIX kuruluşunuzla tümleştirmeyi kolaylaştırır. AD DS yöneticileri Ağ Bilgi Hizmeti (NIS) etki alanlarını yönetmek için NIS Sunucusu’nu kullanabilir. Parola Eşitleme, parolaları Windows ve UNIX işletim sistemleri arasında otomatik olarak eşitler.

Rol hizmeti teknolojileri

Rol hizmeti açıklaması

NIS Sunucusu

UNIX Ağ Bilgi Hizmeti (NIS) ağlarını yönetmek için bir Microsoft Windows tabanlı Active Directory etki alanı denetleyicisi sağlar. Daha fazla bilgi için bkz. NIS Sunucusu’na Genel Bakış (https://go.microsoft.com/fwlink/?LinkId=222677).

Parola Eşitleme

İki ortamda da parolaların güvenliğini koruma sürecini kolaylaştırarak Windows ve UNIX ağlarını tümleştirmeye yardımcı olur. Daha fazla bilgi için bkz. Parola Eşitlemeye Genel Bakış (https://go.microsoft.com/fwlink/?LinkId=222676).

Ek başvurular