Windows Server 2012 Developer Preview Active Directory Site and Services (Bölüm 2)
Merhaba, yeni bir Windows Server 8 Active Directory makalesi ile birlikteyiz.Bir önceki bölümde, Active Directory’nin fiziksel yapısında yer alan site, site link ve subnet gibi kavramları açıkladık.Bu makalede, site içi ve site’lar arasındaki replikasyon trafiğinin nasıl olduğunu inceleyeceğiz.
Replikasyon üç protokol üzerinden yapılır.Bunlar SMTP, RPC ve IP’dir.Aynı site içinde ve farklı site’lar arasında SMTP ve RPC protokolleri çalışabilir.Aynı site içinde varsayılan olarak RPC over IP çalışır.Farklı sitelar arasında ise, SMTP veya RPC over IP arasından çalışacak protokolü biz belirleyebiliyoruz.
RPC over IP: RPC aynı site içinde varsayılan replikasyon protokolü olarak kullanılır.RPC aynı zamanda site’lar arasında da yüksek hızda bağlantı sağlar ve tüm Active Directory bölümleri bu protokol ile replike olur.Microsoft, Site’lar arasında en iyi replikasyon protokolünün RPC over IP olduğunu söyler ve kullanılmasını tavsiye eder.SMTP Site’lar arası replikasyonda (Intersite Replication) değişiklikleri sıkıştırarak gönderir.
SMTP: SMTP, sadece Active Directory bölümlerinden Schema ve Configuration ile Global Catalog’un replikasyonunu destekler.Bu protokol ile Domain bölümü replike edilemez.SMTP ile Site’lar arası replikasyon yapabilmek için bir Certification Authority kurulmalı ve konfigure edilmelidir.Ayrıca SMTP, RPC gibi data sıkıştırmayı desteklemez.
Replikasyon, aynı site içinde network linkleri olarak güvenilirdir.Aynı site içinde değişen verinin sadece değişen kısmı replike edilir.Bu da hız ve verimi arttırır.Bu aynı dosyanın farklı yerlerinde aynı anda değişiklik yapma imkanı da sağlayacaktır.Her değişiklikte ilgili objenin versiyon numarası bir artar.Domain Controller sunucuları nesnede değişiklik olduğunu buradan anlar.
Her değişikliğin yanında bilgi olarak nesnenin versiyon numarası, Domain Controller’ın saati ve Domain Controller’ın GUID numarası gider.Bu işleme Globaly Unique Stamp denir. Amacı ise, oluşabilecek çakışmaları engellemektir.Replikasyon trafiği aynı site içinde sıkıştırılmadan gönderilir.Değişiklikler yapıldıkça Domain Controller sunucuları bildirim (Notification) mekanizması kullanarak varsayılan Interval olan her 15 dakika sonrasında, birbirlerini haberdar ederler.
Site’lar arası replikasyonda bant genişliği sınırlı olduğundan veriler, replike edilmeden önce sıkıştırılır.Replikasyonda performansı arttırmak ve verinin sıkıştırılmasını sağlamak için Domain Functional Level’ın Windows Server 2003 mod’a terfi edilmesi gerekecektir.Replikasyon manuel de tetiklenebilir.Bunu gerçekleştirebilmek için Active Directory Sites And Services konsolunda Domain Controller’nızın altındaki NTDS Settings sekmesine tıklayarak, sağ tarafta o Domain Controller’ın hangi sunucu ile replikasyon yapacağına dair bağlantı nesnesinin otomatik oluştuğunu göreceksiniz.Uygun sunucunun üzerine sağ tıklayıp Replicate Now seçeneğini seçerek bu işlemi gerçekleştirebilirsiniz.
Domain’e yeni bir Domain Controller eklendiğinde Knowledge Consistency Checker (KCC) servisi çalışarak, kimin hangi Domain Controller ile replikasyon yapacağını belirler ve yine bağlantı nesnesini bu kısımda oluşturur.Eğer herhangi bir sebepten dolayı bu nesne silinirse, bağlantı nesnesini el ile bizde oluşturabiliriz.Bunun için NTDS Settings üzerine sağ tıklayıp, New Connection yolunu izliyoruz.
NTDS Settings incelenirse bütün Domain Controller sunucularının etrafındaki herkesle replikasyon yapmadığını görürsünüz.Replikasyon zincirleme bir şekilde olur, eğer replike edilecek veri farklı bir site’a gidecek ise bunu Bridge Head Server rolünü üstlenen Domain Controller yapar.Bu şekilde replikasyon her Domain Controller’a yapılmış olur.Automaticaly Generated üzerine, sağ tıklayıp Properties yaptığınızda gelen ekranda, Change Schedule‘dan saatte kaç kere replikasyon yapılacağı ve saat aralıkları seçilebilir.
Global Catalog (GC) Nedir?
Global Catalog, Active Directory’deki tüm nesnelerinin özelliklerinin bir alt kümesini taşıyan veritabanıdır.Global Catalog’da tutulan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir.Örneğin; kullanıcı ismi, soy isim veya oturum açma ismi, e-mail adresi gibi. Global Catalog kullanıcılara, aradıkları verinin nerede olduğundan bağımsız olarak Active Directory nesneleri hakkında bilgiler sunar.Yani yapılan sorgulara cevap verir diyebiliriz.
Bir başka görevi, oturum açarken kullanıcıların hangi Universal Group’lara üye olduğu bilgisini üzerinde tutar.Global Catalog sunucusu Domain’de kurulan ilk Domain Controller’dır ve Domain’e sonradan ek Global Catalog sunucular eklenebilir.
Domain içerisindeki bütün nesneler Domain Controller’lardaki Active Directory veritabanı içinde tutulur.Bu durumda Active Directory’de arama yaptığımız zaman, LDAP sorguları Domain Controller’lara soruluyor demektir.Forest içinde bulunan tüm domain’lerin birbirine internal trust’larla güvendiğini düşünürsek.Bu durumda Windows Server 8 ağlarındaki kullanıcılar, kendi bulunduğu domain’lerde yer alan paylaşımlı network kaynakları kadar, forest içindeki diğer domain’lerdeki paylaşımlı kaynakları da yetkileri dahilinde kullanabilirler.Bu durumda her hangi bir kullanıcı My Network Places içerisinden, kendi domain’inde olmayan kaynakları da arayarak bulmak isteyebilir.Bunu Domain Controller üzerindeki Find user, contacts, and groups penceresinde Entire directory seçeneği ile yapabiliriz.
Entire Network içinde arama yapmak istediğimizde LDAP sorguları nereye sorulacak?Örnek olarak, Active Directory forest ortamı içinde 10 tane domain var.Forest içindeki herhangi bir domain’den ismi HP olan printer’i bulmak istediğimizi düşünelim. Bu durumda arama bilgisi kime sorulur?
Eğer HP yazıcısı, arayan kullanıcının kendisinin bulunduğu domain’de değil ise, HP nesnesinin diğer domain’lerden birinde olduğu kesindir.Bu durumda, istemci bilgisayarın cevabı bulması için, tüm domain’lerden en az bir Domain Controller’a bağlanarak sıra ile printer’i araması, tüm domain’lerden elde ettiği cevapları da sonuç olarak biraraya getirerek sorgunun cevabını bu işin sonunda elde etmesi çok uzun ve gereksiz bir network trafiği oluşturacaktır.Active Directory forest’larında yüzlerce domain oluşturmak mümkün olduğundan, bu tip aramaların böyle bir yöntem kullanılarak yapılmaması gerektiği anlaşılabilir.Böyle bir yöntem kullanılsa idi gereken cevabı bulmak belki de dakikalar sürebilirdi.
Bu sorun Windows 2000 Server’dan beri kullandığımız Global Catalog (GC) kullanılarak çözülüyor.Global Catalog rolüne sahip sunucunun öncelikle Domain Controller olması zorunludur. Başka bir değişle, bir Active Directory forest’ı içinde Domain Controller olan bilgisayarlardan istediklerimizi Global Catalog olarak çalışmak üzere konfigüre edebiliyoruz.Öte yandan, her forest’ta en az bir tane Global Catalog olmak zorundadır.Dolayısı ile forest’ta kurulan ilk Domain Controller aynı zamanda Global Catalog olarak da çalışır.Global Catalog’lar, aynı zamanda Domain Controller oldukları için, kendi domain’lerindeki tüm nesnelerin tüm özelliklerini biliyorlar.Forest içindeki tüm domain’lerde bulunan her bir nesne’nin de sadece bazı, en çok aranılan özellillerini kendilerine replike ediyorlar.
Global Catalog sorguları 3268 numaları TCP port’undan çalışıyor.Yani, bir istemci bir Global Catalog veritabanının domain bölümüne soru sormak isterse, 389 numaralı portu kullanır.Bu durumda sorular domain veritabanından cevaplanıyorlar.Eğer 3268 nolu port’a bir LDAP sorgusu yapılırsa, o zaman ilgili Global Catalog veritabanının tamamına bakarak cevaplıyor.Global Catalog’lar aynı zamanda, domaine oturum açma sırasında da kullanıcıların hangi Universal gruba üye olduğu bilgisini de üzerinde tutarak oturum açma isteklerine cevap verirler.
Eğer birden çok Global Catalog sunucu kullanmak isterseniz, bunu Active Directory Sites and Services ekranından ayarlayabilirsiniz.Global Catalog yapmak istediğiniz sunucunun NTDS Settings bölümünde özelliklerine girerek Global Catolog seçeneğini işaretlememiz yeterli.
Microsoft’un Global Catalog ile ilgili tavsiyesi, eğer site’lar arası linkiniz kaliteli ise her site’a en az bir tane Global Catalog sunucu koymanız yönündedir.
Windows Server 8 ile ilgili bir makalenin daha sonuna geldik.Bu bölümde Active Directory Site and Services konsolunu inceledik.Bir başka Windows Server 8 makalesinde görüşmek üzere.