«

»

Nis 16 2014

Windows Server 2012 Active Directory One-Way Trust

Merhabalar, bu makalemizde Windows Server 2012 Active Directory Domain yapısı içerisinde tek taraflı trust (one-way) trust işlemlerinden bahsediyor olacağız. Tek taraflı trust uygulaması ile beraber, A domai?ninin  B domaini üzerindeki kaynaklara erişimini engelliyor olacağız.  Windows Server 2012 Active Directory domain?i üzerinde one-way trust işlemleri için yapmamız gereken ilk işlem her iki DC sunucumuzun birbirleri arasında haberleşmesini sağlamak için DNS Server üzerinde Conditional Forwarders kaydı oluşturmak olacak. Trust işleminde kullanacağım mevcut test yapısı aşağıdaki tablodaki gibidir.

 

Sunucu İsmi

 

İşletim Sistemi

 

Domain İsmi

 

DC01.yavuztasci.com

 

Windows Server 2012

 

Yavuztasci.com

 

Dc02.test.local

 

Windows Server 2012

 

Test.local

 

 

Yukarıdaki tablo üzerinde de görüldüğü gibi mevcut yapım üzerinde yavuztasci.com ve test.local isminde iki domain yapısı mevcut.

 

01

02

Mevcut test yapımız hakkında da kısaca bilgi verdikten sonra, DNS Server tarafında Conditional Forwarders işlemlerine geçiş yapabilirz. DNS Server server üzerinde conditional forwarders işlemleri için DC01 isimli sunucum üzerinde DNS Server yönetim konsolunu açıyorum.

03

DNS Manager yönetim konsolu üzerinde Conditional Forwarders klasörü üzerine gelip sağ tuş yapıyorum ve gelen menüden New Contidional Forwaders seçeneğine tıklıyorum.

 

04

05

New Conditional Forwarder ekranında, DNS Domain alanına diğer DC sunucum üzerindeki domain ismini yazıyorum. IP adresses of the master servers kısmına ise , DNS Server?in  IP adresini yazıyorum. Gerekli IP tanımlamalarını yaptıktan sonra OK diyerek pencereyi kapatıyorum.

 

06

DNS Server Manager konsoluna tekrar dönüş yaptığımda Conditional Forwarders altında test.local ismindeki domain ismimi ve DNS Server sunucuma ait IP adresinin eklenmiş olduğunu görüyorum. DC01 isimli sunucumu üzerinde gerekli DNS Server yappılandırmasından sonra, DC02 sunucuma gidip aynı işlemleri bu sunucum üzerinde de gerçekleştiriyorum.

 

07

DC02 sunucum üzerinde DNS Server yönetim konsolunu açıp New Conditional Forwarder olarak DC01 sunucuma ait DNS Server bilgilerini ilgili kısımlara giriyorum.

 

08

DNS Domain alanına DC01 sunucum üzerindeki domain ismini, IP Adresses of the master servers kısmına da yine DC01 isimli sunucumun ıp adresini yazıp OK diyorum.

 

09

DC02 isimli sunucum üzerinde de gerekli kontrolleri yaptığımda, DC01 sunucumuza ait domain ve DNS Server bilgilerinin gelmiş olduğunu görüyoruz. Her iki sunucumuz üzerinde de gerekli DNS tanımlamalarının yapılmasının ardından trust oluşturma işlemlerine geçiş yapabiliriz. Ben, senaryomuz gereği yavuztasci.com domaini içerisindeki bir kullanıcının, test.local domainim üzerinde ki kaynaklara erişim gerçekleştirebilmesini istiyorum, fakat test.local domaini içerisindeki bir kullanıcının yavuztasci.com domaini üzerindeki kaynaklara erişim gerçekleştirmesini istemiyorum. Böyle bir uygulama için, DC01 isimli sunucum üzerinde Active Directory Domains and Trust yönetim konsolunu açıyorum.

 

10

11

Active Directory Domains and Trust yönetim konsolu üzerinde yavuztasci.com domain?i üzerine gelip sağ tuş yapıyorum ve gelen menüden Properties seçeneğine tıklıyorum.

 

12

Properties penceresi üzerinde Trustà New Trust seçeneklerine tıklıyorum.

 

13

Welcome to the New Trust Wizard ekranını Next ile geçiyorum.

 

14

Trust Name ekranında, Name kısmına DC02 sunucum üzerinde bulunan domain ismini yazıp Next ile bir sonraki adıma geçiş yapıyorum.

 

15

Trust Type ekranında, trust işleminde uygulayabileceğimiz trust tiplerini görmekteyiz. Trust tipi olarak şekilde de görüldüğü üzere iki seçenek mevcut. Bunlar;

 

·         External Trust

 

·         Forest Trust

External Trust

Farklı organizasyon yapıları üzerinde bulunan domainler arasında kullanılan bir trust tipidir. Örnek olarak, Ankara merkez de bulunan bir domain yapısı ile, istanbul merkez de bulunan bir domain yapısı arasında gerçekleştirilen trust yapısında bahsedebiliriz.

 


 

Yukarıdaki şekil üzerinde, Forest 1 yapısı üzerinde Domain B ile Domain D arasında, Domain D ile Domain 2 arasında, Domain A ve Domain 1 arasında, Forest 2 üzerinde ise, Domain G ile Domain 1 arasında gerçekleştirilen external  trust yapısını görmekteyiz.

 

Forest Trust

 

Forest tipleri arasında en sık kullanılan bir trust tipidir. Bu trust tipinde, Active Directory içerisinde bulunan bütün domainler birbirlerine karşılıklı olarak güvenmektedirler. Forest Trust işlemi, iki domain arasında gerçeleştirilir. Domainler arasındaki güven ilişkileri one- way (tek taraflı) to-way (çift taraflı) olarak gerçekleşir. Biz de, bu adımda Forest Trust seçeneğini seçerek next diyoruz.

16

Direction of Trust adımında, oluşturulacak olan trust tipinin yönünü belirleyeceğiz. Yani oluşturulacak olan trust tek yönlü mü olacak çift yönlü mü olacak. Bunu belirleyeceğiz. Bunun için de yine üç tip seçeneğimiz mevcut.

 

Two-way

 

Bu seçenek de, mevcut domain ile diğer domain arasında çift yönlü bir güven ilişkisi vardır. Örnek olarak, A domain?i üzerindeki kaynakları B domaini üzerinde bulunan kullanıcıların erişimine açar, B domaini de üzerindeki kaynakları A Domaini üzerinde bulunan kullanıcıların erişimine açar. Yani, her iki domain de birbirine güvenir.

 

One-way: incoming

 

Bu seçenek, kendi domainimiz üzerinde bulunan kullanıcılar, trust kurulan domain üzerindeki kaynaklara erişim gerçekleştirmesi durumunda kullanılır. Örnek olarak, benim İstanbul merkez ofisim de yavuztasci.com isminde bir domain?im mevcut. Ben, Ankara merkez ofisinde bulunan test.local domain?i içerisinde ki kullanıcılarımın, İstanbul merkez ofisimde ki domainime yani yavuztasci.com ?a erişim gerçekleştirmesini istiyorum. Fakat, yavuztasci.com domaini üzerinde bulunan kullanıcılarımın test.local domaini üzerindeki kaynaklara erişim gerçekleştirmesini istemiyorum. Bu durumda one-way:incoming seçeneğini seçmemiz gerekecektir.

 

One-way:outgoing

 

Yukarıdaki senaryonun tersine, İstanbul merkez de bulunan yavuztasci.com domaini üzerindeki kullanıcıların, Ankara merkez de bulunan test.local domainine erişim gerçekleştirmesini istiyorum ama test.local domaini üzerindeki kullanıcıların yavuztasci.com domainine erişim gerçekleştirmesini istemiyorum. Böyle bir senaryo uygulamak istediğimde de bu seçeneği seçmemiz  gerekecektir. Ben de, bu seçeneği seçerek trust işlemine kaldığım yerden devam ediyorum.

 

17

Sides of Trust ekranında, oluşturulacak olan güven ilişkisinin her iki domain arasında oluşturulması gerektiği belirtilmekte.  Bu işlem için de iki seçenek mevcut.

 

This domain only seçeneği ile, trust ilişkisi sadece local domain üzerinde oluşturulur. Both this domain and the specified domain, seçeneği ise hem local domain üzerinde, hemde diğer domain üzerinde güven ilişkisi oluşturur. Bu seçenek ile devam edildiği  taktirde, karşı domainin kimlik bilgilerinin bilinmesi gerekmektedir. Ben seçenekler arasından This domain only seçeneğini seçerek next diyorum

18

Outgoing Trust Authentication Level ekranında, ne tür bir Auhentication yapmak istediğimiz bize sorulmakta. Authentication level için yukarıdaki şekil üzerinde de görüldüğü gibi iki seçenek mevcut. Forest ?wide authentication; seçeneği ile, domain içerisindeki tüm kullanıcıların, etki alanı içerisindeki kaynaklara erişim gerçekleştirmesi sırasında, authentication işlemi, windows tarafından otomatik olarak gerçekleştirilmektedir.,

 

Selective authentication seçeneğinde, belirtilen domain içerisindeki tüm kullanıcılar arasında güvenli bir kimlik doğrulama işlemi gerçekleşir. Bu kimlik doğrulama yöndetminde kimlik doğrulama işlemi, Windows tarafından otomatik olarak gerçekleştirilmez.  Bunun yanında, domain içerisindeki kullanıcılarınız, diğer domain üzerindeki kaynaklara erişim gerçekleştirmek istediğinde, sadece erişim gerçekleştirmek istediği klasör üzerinde yetki tanımlaması yaparak erişim gerçekleştirmesini sağlayabilirsiniz.

 

Ben, bu adımda Forest-wide authentication yönetmini seçerek kimlik doğrulama işlemi gerçekleştireceğim

19

Trust Password ekranında, gerçekleştirilecek trust işlemi için bir password belirleyip next diyoruz.

 

20

Trust Selections Complete ekranında, bu aşamaya kadar yapmış olduğum işlemlerin bir özeti bize sunulmakta.

 

22

Confirm Outgoing Trust ekranında bize, outgoing trust işleminin doğruluğunu teyit etmek isteyip istemediğimiz bize sorulmakta. Ben yes confirm the outgoing trust seçeneğini seçip next diyorum.

23

Finish diyerek trust oluşturma işlemini tamamlıyoruz.

24

Trust oluşturma işlemini bitirdiktwn sonra, Active Directory Domains and Trust yönetim konsolunu tekrar açıp, domainim üzerinde iken sağ yaparak gelen menüden properties diyorum.

25

Trust özellikleri ekranında, Trust tabını kontrol ettiğimde test.local domainimize ait oluşturduğumuz trust?ın gelmiş olduğunu görüyoruz. Şimdi, küçük bir test işlemi gerçekleştirerek yavuztasci.com domaininden test.local domainine bağlanmayı deneyelim.

26

27

Yukarıdaki şekilde de görüldüğü gibi yavuztasci.com domainin den test.local domaininde ki kaynaklara sorunsuz bir şekilde ulaşabiliyoruz. Şimdi birde, test.local domainin den yavuztasci.com domainine ulaşmayı deneyelim.

28 

Yukarıdaki şekil üzerinde de görüldüğü gibi test.local domaini üzerinden yavuztasci.com domainine ulaşmak istediğimizde hata ekranı ile karşılaşmaktayız.

Evet, bu makalemizde Windows Server 2012 Active Directory Domain yapısı üzerinde one-way trust işlemlerinden bahsettik. Bir sonraki makalemde görüşmek üzere hoşcakalın.

Yavuz TAŞCI

 

 

 

 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>