Megep Sunucu Işletim Sistemi

1. ACTIVE DIRECTORY

Active Directory, ağ kaynaklarını verimli bir şekilde yönetmenize olanak sağlayan, genişletilebilir bir dizin hizmetidir. Bu dizin hizmeti, ağda bulunan her türlü kaynak hakkında ayrıntılı bilgiler depolar. Bu da temel arama ve kimlik doğrulama işlemlerini kolaylaştırır.

Active Directory, dizini fiziksel ve mantıksal yapılar hâlinde ayrı katmanlara bölerek, bilgilerin aranmasını sağlar. Active Directory’nin fiziksel yapısı, bir dizin hizmetinin nasıl çalıştığını anlamak için önemlidir. Active Directory’nin mantıksal yapısı da, bir dizin hizmetini yönetmek için önemlidir.

>>Active Directory’nin Fiziksel Mimarisi

Active Directory’nin fiziksel katmanı aşağıdaki özellikleri denetler:

• Dizin bilgilerine erişilme biçimi

• Dizin bilgilerinin bir sunucunun sabit diski üzerinde depolanma biçimi

>>Yerel Güvenlik Yetkilisi İçinde Active Directory

Güvenlik alt sistemi içerisinde, Active Directory, yerel güvenlik yetkilisinin (Local Security Authority-LSA) bir alt bileşenidir. LSA, Windows Server 2008’in güvenlik özelliklerini sağlayan ve erişim denetimiyle kimlik doğrulama işlevlerinin gerektiği gibi çalışmasını sağlayan birçok bileşenden oluşur. LSA yalnız yerel güvenlik ilkesini yönetmez, aynı zamanda aşağıdaki işlevleri de gerçekleştirir:

•  Güvenlik tanımlayıcıları (security identifiers) üretir.

•  Oturum açma için etkileşimli işlemler sağlar.

• Denetimi (auditing) yönetir.

Active Directory’de kullanılan güvenlik alt sistemini çalışırken aşağıdaki üç önemli konuyu fark edersiniz:

>>Kimlik Doğrulama Düzenekleri

• NTLM (Msv1_0.dll) Windows NT LAN Manager (NTLM) kimlik doğrulamasında kullanılır.

• Kerberos (Kerberos.dll) ve Key Distribution Center (Kdcsvc.dll) Kerbereos V5 kimlik doğrulaması için kullanılır.

• SSL (Schannel.dll), Secure Sockets Layer (SSL) kimlik doğrulaması için kullanılır.

• Kimlik doğrulama sağlayıcısı (Secur32.dll) kimlik doğrulamayı yönetmede kullanılır

>>Oturum Açma/Erişim Denetimi Düzenekleri

• NET LOGON (Netlogon.dll) NTLM yoluyla etkileşimli oturum açmada kullanılır. NTLM kimlik doğrulaması için NET LOGON, oturum açma kimlik bilgilerini dizin hizmeti modülüne geçirir ve nesnelerin güvenlik tanımlayıcılarını, istekte bulunan istemcilere aktarır.

• LSA Server (Lsasrv.dll), Kerberos ve SSL için güvenlik ilkelerini yürütmede kullanılır. Kerberos ve SSL kimlik doğrulamasında LSA Server, oturum açma kimlik bilgilerini dizin hizmet modülüne geçirir ve nesnelerin güvenlik tanımlayıcılarını, istekte bulunan istemcilere aktarır.

• Security Accounts Manager (Samsrv.dll) NTLM için güvenlik ilkelerini yürütmede kullanılır.

>>Dizin Hizmeti Bileşeni

• Windows Server 2008 için dizin hizmetleri sağlamada kullanılan dizin hizmetidir (Ntdsa.dll). Kimliği doğrulanmış aramalar yapılmasına ve bilgilerin alınmasına olanak tanıyan gerçek modüldür.

>>Active Directory’nin Mantıksal Mimarisi

Active Directory’nin mantıksal katmanı veri deposunda bulunan bilgilerin nasıl görüleceğini belirler ve aynı zamanda o bilgilere erişimi denetler. Mantıksal katman bunu, ad alanları tanımlayarak ve dizine depolanmış kaynaklara erişmede kullanılan şemaları adlandırarak yapar. Bu, türü ne olursa olsun dizine depolanmış bilgilere erişmede tutarlı bir yol sunar. Örneğin, bir kullanıcı kaynağı hakkında bilgi edinmeye çok benzer şekilde bir yazıcı kaynağı hakkındaki bilgileri elde edebilirsiniz.

>>Active Directory’nin mantıksal yapısını anlamak için aşağıdaki konuların bilinmesi gerekir:

• Active Directory nesneleri

• Active Directory etki alanları, ağaçları ve ormanları

• Active Directory güven ilişkileri

• Active Directory ad alanları ve bölümleri

• Active Directory veri dağılımı

>>Active Directory Nesneleri

Dizin içinde oluşturulmuş her nesne belirli bir tür veya sınıftandır. Nesne sınıfları şemada tanımlanır ve aşağıdaki türleri içerir:

• Kullanıcı

• Grup

• Bilgisayar

• Yazıcı

• Yapısal Birim

Dizinde bir nesne oluşturduğunuzda, o nesne sınıfının şema kurallarıyla uyumlu olmalıdır. Şema kuralları bir nesne sınıfı için kullanılabilir öz nitelikleri belirlemekle kalmaz, hangi öz niteliklerin zorunlu ve hangilerinin isteğe bağlı olduğunu da belirler. Bir nesne oluşturduğunuzda, zorunlu öz nitelikler tanımlanmalıdır. Örneğin, kullanıcının tam adını ve oturum açma adını belirtmeden bir kullanıcı nesnesi oluşturamazsınız. Bunun nedeni bu öz niteliklerin zorunlu olmasıdır.

Öz niteliklerin bazı kuralları ilkelerde de tanımlanır. Örneğin, Windows Server 2008’in varsayılan güvenlik ilkesi bir kullanıcı hesabının parolası olması, parolanın da belli karmaşıklık koşullarını karşılaması gerektiğini söyler. Parolası olmayan ya da parolası bu karmaşıklık koşullarına uymayan bir kullanıcı hesabı oluşturmaya çalışırsanız, güvenlik ilkesi yüzünden hesap oluşturma başarısız olacaktır.

>>Active Directory Etki Alanları, Ağaçları ve Ormanları

Dizin içinde nesnelere dizin ağacı denilen hiyerarşik bir ağaç yapısı kullanılarak düzen verilir. Hiyerarşinin yapısı şemadan türetilir ve dizinde depolanmış nesnelerin üst-alt ilişkilerini tanımlamada kullanılır.

Etki alanı, Active Directory nesnelerinin mantıksal gruplandırılmasından ve merkezi yönetiminden sorumlu yapıdır. Dizin ağacında etki alanı da bir nesne olarak temsil edilir.

>>Active Directory Kimlik Doğrulaması

Kimlik doğrulama Active Directory’nin bölünmez parçasıdır. Active Directory tasarımını hayata geçirmeden veya var olan Active Directory altyapısını değiştirmeye çalışmadan önce hem kimlik doğrulamanın hem de güven ilişkilerinin Active Directory ortamında nasıl çalıştığının iyi bilinmesi gerekir.

>>Evrensel Gruplar Ve Kimlik Doğrulama

Kullanıcı etki alanına oturum açtığında, Active Directory onun için güvenlik simgesi üretmek amacıyla, kullanıcının üyesi olduğu gruplar hakkındaki bilgileri arar. Normal kimlik doğrulama işleminin parçası olarak güvenlik simgesine gerek vardır ve kullanıcı ağ üzerindeki kaynaklara her eriştiğinde kullanılır.

>>NTLM ve Kerberos Kimlik Doğrulaması

Windows NT 4.0, NT LAN Manager (NTLM) denen bir tür kimlik doğrulama kullanır. NTLM’de, kullanıcının parolasını ağ üzerinden göndermesine gerek kalmadan, kullanıcının kimliğini doğrulamak için şifrelenmiş bir soru/yanıt kullanılır. Kimlik doğrulamayı isteyen sistem, güvenli NTLM kimlik bilgilerine erişebildiğini kanıtlayan bir hesaplama yapmak zorundadır. Bunu, doğrulanabilecek şekilde kullanıcı parolasının tek yönlü karma (hash) algoritmasını göndererek yapar.

NTLM kimlik doğrulamasının etkileşimli ve etkileşimsiz kimlik doğrulama süreçleri vardır. Ağ üzerindeki etkileşimli NTLM kimlik doğrulaması genellikle kullanıcının kimlik doğrulama istediği bir istemci sistem ile kullanıcının parolasının depolandığı etki alanı denetleyicisinden oluşur. Kullanıcı ağ üzerindeki diğer kaynaklara eriştikçe, zaten oturum açmış olan kullanıcının ağ kaynaklarına erişebilmesi için etkileşimli olmayan kimlik doğrulama da gerçekleşebilir. Etkileşimli olmayan kimlik doğrulama genellikle bir istemciyi, bir sunucuyu ve kimlik doğrulamayı yöneten bir etki alanı denetleyicisini içerir.

>>Etki Alanları Arasında Kimlik Doğrulama ve Güven İlişkileri

Active Directory, ağ üzerindeki eski istemci ve sunucuların gerekirse NTLM’yi kullanmasına izin verirken, sunucudan sunucuya kimlik doğrulama ve güven ilişkileri kurmak için Kerberos güvenliğini kullanır. Şekil1.3’te bir etki alanının güvenilen, diğerinin de güvenen etki alanı olduğu tek yönlü bir güven ilişkisini gösterir. Windows NT 4’te, ayrı hesap ve kaynak etki alanlarınız olduğunda, tek yönlü güven ilişkileri uyguluyordu. Güven ilişkisinin kurulması, hesap etki alanındaki kullanıcıların kaynak etki alanındaki kaynaklara erişmesine olanak tanıyordu.

1.1. Active Directory Domain Servisleri

AD Domain Services, ağ üzerinde kullanıcıların, grupların ve diğer kaynakların yönetiminin gerçekleştirilmesi ve domain üzerinde çalışan uygulamaların entegrasyonu için kullanılan bir kaynaktır.

Active Directory kurulumuna başlamadan önce bilgisayarımızın Ethernet kartı için sabit bir IP verilmesi gerekir. Eğer Active Directory ve DNS kurulumu yapılacak olan sunucu üzerinde çalışacaksa, sistemin sabit IP ile çalışmasını sürdürmesi gerekir. Eğer DNS başka bir sunucu üzerinde çalışacaksa yükleme tamamlandıktan sonra, DHCP sunucudan otomatik IP alacak şekilde Ethernet kartı ayarlaması yapılabilir.

Active Directory İlk Kurulumu

>>Active Directory dosyalarını yüklemek komut satırına dcpromo yazılır ve enter tuşuna basılır.

Ekrana aşağıdaki görüntü gelir.

>>Resim 1.6’da kurulumun nasıl yapılacağı belirlenecektir. Burada var olan bir orman içinde çalışabilir veya yeni bir orman yapısı kurabiliriz. Sunucumuz ağda çalışacak olan ilk domain sunucusu olacağı için Create a new domain in a new forest seçeneğini seçerek next düğmesine basılır.

>>Resim 1.7’de çalışacağımız etki alanının ismini belirlememiz istenmektedir. Bu aşamada megep.com olarak belirlediğimiz etki alanının kurulumu için next tuşuna basılmalıdır.

Bir sonraki aşamaya geçmeden önce belirttiğimiz etki alanının (megep.com) ağda kullanımda olup olmadığı denetlenir. Eğer ağda kullanımda olduğu tespit edilirse bizi bir hata mesajı ile uyarır. Bir önceki ekrana dönüp etki alanı adını değiştirmeden kurulumun devam etmesi mümkün değildir.

>>Resim 1.8’de Active Directory ormanı için istenen işlevsel düzeyi seçimi gerçekleştirilir. Orman işlevsel düzeyi Windows 2000, Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2 olarak ayarlanabilir. Eğer ağda çalışan başka Windows sunucuları varsa ve kurulum yaptığımız sunucu diğer sunucular ile uyumlu çalışacaksa o sunucu için kullanılan orman işlev düzeyini seçmek mantıklı olacaktır. Burada ağda ilk etki alanı denetleyicisi kurulumu yapıldığından Windows Server 2008 R2 orman düzeyini seçilir ve next tuşuna basılır.

>>Bu aşamada sihirbaz ağ ortamını inceler ve etki alanını ve etki alanı denetleyicisini DNS’ye kaydettirmeye çalışır. Sihirbaz DNS sunucusunun kullanılabilir olmadığını tespit ederse Resim 1.9’da görüntülenen pencere açılır. Bu pencerede DNS Server hizmetini yüklemenizi önerir. Devam etmek için Next’i tıklayınız.

NOT: Sihirbazın DNS sunucuyu kurmasını isterseniz, DNS Server hizmeti yüklenir ve etki alanı denetleyicisi bir DNS sunucusu olur. Yeni etki alanının adına sahip Active Directory ile tümleşik bir birincil DNS bölgesi oluşturulur. Sihirbaz ayrıca, sunucunun TCP/IP yapılandırmasını da günceller ve böylece sunucunun IP adresini birincil DNS sunucusu IP adresi olarak atar.

>>Resim 1.10 ile görüntülenen pencerede, Active Directory veritabanı dosyasının nereye kurulacağı, log dosyalarının nerede depolanacağı gibi seçimlerin yapılması gerekmektedir. Seçeneklerde varsayılan depolama yerleri değiştirilebilir. Fakat böyle bir durum sunucunun çökmesi, Active Directory’nin yeniden yüklenmesi gibi durumlarda ve yedek alma işlemlerinde daha dikkatli olunmasını gerektirecektir.

>>Resim 1.11’de ekrana gelen pencerede Active Directory’nin herhangi bir sebeple yeniden yüklenmesi gerekirse, daha önce alınmış yedekten geri yükleme için kullanılacak olan parola belirlenir.

>>Next düğmesine bastığımızda belirttiğimiz ayarlarla kurulum tamamlanır.

Bu aşamada Başlat / Administrative Tools / Active Directory Users and Computers komutunu çalıştırdığımızda Resim 1.13’teki pencere görülür.

>>Var Olan Bir Etki Alanı İçin Ek Etki Alanı Denetleyicileri Oluşturmak

İlk aşamayı başarıyla tamamladığı için ağda megep.com isminde bir etki alanı oluşmuş durumdadır. Bu etki alanına farklı bir sunucudan erişmek istenirse, farklı bir sunucuda aşağıdaki adımları gerçekleştiriniz.

• Komut satırında dcpromo komutunu çalıştırınız.

• Resim 1.14’te gösterilen Choose A Deployment Configuration sayfasında Existing Forest’ı ve daha sonra Add A Domain Controller To An Existing Domain’i seçiniz. (Eğer burada Create a new domain in an existing forest seçeneğini işaretlerseniz megep.com altında alt bir domain oluşturabilirsiniz.)

• Next’i tıkladığınızda Resim 1.15’te gösterilen Network Credentials sayfasını görürsünüz. Sunulan alana etki alanı denetleyicisini yüklemeyi planladığınız ormandaki herhangi bir etki alanının tam DNS adını yazınız. Biz önceki kurulumda etki alanı olarak megep.com belirttiğimizden buraya bu etki alanı adını yazmalıyız. Bu ormandaki bir etki alanına oturum açarsanız ve uygun izinlere sahipseniz yüklemeyi gerçekleştirmek için geçerli olarak oturum açmışsanız kimlik bilgilerini kullanabilirsiniz. Aksi hâlde Alternate Credentials’ı seçiniz, Set’i tıklayınız, daha önce belirtilen etki alanındaki kurumsal yönetici hesabının kullanıcı adını ve parolasını yazınız ve OK’u tıklayınız.

Bu işlemi yapmakla megep.com etki alanının yüklü olduğu sunucu üzerinde Administartor kullanıcısı ile oturum açarak ikinci sunucu üzerinde kurulumu yapılan Active Directory ile megep.com etki alanındaki Active Directory arasında bağlantı gerçekleşmiş olacaktır

• Next butonu tıklandığında sihirbaz verdiğiniz etki alanı adını doğrular ve ardından ilgili ormandaki etki alanlarını listeler. Resim1.17’de gösterilen Select A Domain sayfasında etki alanı denetleyicisi için etki alanını seçip Next’i tıklayınız.

• Next butonu tıklandığında sihirbaz kullanılabilir Active Directory sitelerini belirler. Biz bir site tanımlaması yapmadığımızdan DefaultFirst-Site-Name gelecektir. Select A Site sayfasında etki alanı denetleyicisini bu siteyi seçip Next’i tıklayınız.

• Sihirbaz DNS yapılandırmasını inceler ve yetkili DNS sunucusunun olup  olmadığını belirlemeyi dener. Resim 1.18’de gösterildiği gibi etki alanındaki yetkili DNS sunucu sayısı Additional Domain Controller Options sayfasında listelenir. İzin verilmişse etki alanı denetleyicisi için ek yükleme seçeneklerini seçiniz ve Next’i tıklayınız.

• DNS Server hizmetini ek bir seçenek olarak yüklüyorsanız ve sunucu

• IPv4 ve IPv6’nın ikisi için de statik IP adreslerine sahip değilse, sunucunun dinamik IP adresi veya adresleri ile ilgili bir uyarı görüntülenir. Kötü bir DNS yapılandırması ile sonuçlanabilme olasılığına karşın dinamik IP adresi veya adresleri kullanmayı planlıyorsanız Yes’i tıklayınız. Devam etmeden önce IP yapılandırmasını değiştirmek isterseniz No’yu tıklayınız.

Not: İşletim sisteminin yüklenmesi sırasında Windows Setup ağ bileşenleri tespit ederse IPv4 ve IPv6’yı yükler ve yapılandırır. Statik bir IPv4 adresi yapılandırdıysanız ama statik bir IPv6 adresi yapılandırmadıysanız da bu uyarıyı görürsünüz. Ağınızda sadece IPv4 kullanılıyorsanız bu uyarıyı yok sayabilirsiniz (ancak kuruluşunuz ileride IPv6 adresleri kullanacaksa DNS kayıtlarında gerekli değişiklikler yapmanız gerekeceğini unutmayınız).

• DNS Server hizmetini yüklüyorsanız sihirbaz, bir üst bölge DNS sunucusuna bir devretme kaydı oluşturmayı dener. Var olan bir DNS altyapısı ile bütünleştirme gerçekleştiriyorsanız Yes butonuna tıklamalısınız.

• Bu aşamada Active Directory veri tabanı dosyalarının kurulacağı yeri belirlememiz gerekir. Varsayılan değerleri değiştirmeden next düğmesine tıklayınız.

• Son olarak Active Directory yeniden yüklenmesi durumu için bir parola belirleyin ve next düğmesine tıklayınız. Kurulum başlayacaktır.

1.2. Active Directory Federation (Federasyon) Servisleri

Microsoft firmasının çoklu platformlar için geliştirmiş olduğu kimlik doğrulama servisidir. Bir kullanıcı bu servisin çalıştığı bir sistemde internet üzerinden bir web hizmeti alırken yine bir başka sunucu üzerinde bulunan bir bilgiye erişmek istediğinde, yeni sunucuda tekrar oturum açma zorunda kalmayacaktır. Sistem üzerinde bir kez kimlik doğrulaması yapan kullanıcı kendi erişim yetkileri kapsamında diğer sunuculardaki web hizmetlerinden faydalanabilecektir.

Active Directory Federation Services’in çalışabilmesi için iki sunucu ve iki etki alanı gerekmektedir. Bu kurulumu yapmak için biri megep.com (IP adresi 192.168.239.149) diğeri bilisim.com (IP adresi 192.168.239.150) olan iki etki alanı kullanacağız. Her iki sunucuda ISS çalışır durumda olmalıdır. İstenirse Federation Services kurulurken ISS yapılandırması da kurulabilir. Federation Services her iki etki alanında da kurulmak zorundadır. Bunun için aşağıdaki adımları izleyinız.

• Federation Service rolünü kuracağınız sunucular üzerinde Server Management Console / Server Roles kısmından Add Roles seçeneğini işaretleyiniz.

• Açılan pencerede Active Directory Federation Services seçeneğini işaretleyiniz.(Resim 1.19)

>>Next düğmesine tıkladığımızda ekrana Resim 1.20’de görüntülenen pencere gelir. Burada Federation Services kutucuğunu işaretlediğimizde, bu servisin düzgün çalışabilmesi için aşağıdaki servislerin kurulmasına dair bir uyarı penceresi çıkmaktadır. Add Required Role Services seçeneğini işaretleyip devam ediniz. (Resim 1.21)

• Ekrana gelen yeni pencerede Create a self-signed certificate for SSL encription seçeneğini işaretleyip Next düğmesine basınız.

• Ekrana gelen yeni pencerede Create a self-signed token signing certificate seçeneğini işaretleyiniz. Token signed certificate federation service ile doğru bağlantı kurmak için kullanılır. Next düğmesine basınız.

• Create a new trust policy seçeneğini işaretleyiniz. Bu policy ile bağlantı kurulan diğer sunucudaki kullanıcıların hangi kaynaklara erişebileceği belirlenir. Next düğmesine tıklayınız.

• ISS kurulumunda herhangi bir değişiklik yapmadan Next düğmesine tıklayınız. Kurulum tamamlandığında Start / Administrative Tools / Active Directory Federation Service komutunu çalıştırınız. Federation Service Resim 1.22’de görüntülendiği gibi ekrana gelecektir.

>>Sunucuda da Start / Administrative Tools / IIS Maneger komutunu çalıştırınız. Default Web Site altında SSL Settings bölümüne ulaşın. Burada Require SSL kutucuğunu işaretleyiniz. Hemen altında Accept kutucuğunu da işaretleyiniz.

Şu ana kadar çalışmaların tamamı megep.com ekti alanının yüklü olduğu sunucuda gerçekleşti. Bundan sonraki işlemleri bilisim.com etki alanının olduğu sunucuda gerçekleştirilecektir.

>>Server Manager / Add Roles komutunu çalıştırınız. Ekrana Resim 1.24’teki pencere gelecektir. Burada AD Federation Service seçeneğini seçip Next düğmesine basınız.

• Ekrana Federation service için gerekli yapılandırmaların görüntülendiği bir ekran gelecektir. Next düğmesine basarak bir sonraki ekrana geçiniz.

• Resim 1.25 ile gösterilen pencerede Claims-aware Agent seçeneğini seçelim. Ekranda hemen ISS kurulumunun gerekli olduğunu belirten bir pencere belirecektir. Bu pencerede Add Required Role Services seçeneğini işaretleyip devam ediniz. Resim 1.25’te gösterilen Claims-aware Agent kutucuğunda tik işareti oluştuktan sonra Next düğmesine tıklayınız.

• Client Certificate Mapping Authentication seçeneğini ve IIS Management Console seçeneklerini işaretleyip kurulumu tamamlayınız.

• Start / Server Manage / IIS Manger komutunu çalıştırınız. Ekrana gelen pencerede sunucu adına tıkladıktan sonra ortada sekmede Server Certificates ‘e çift tıklayınız.

• Ekrana gelen (Resim 1.27) pencerede Actions sekmesinin altında Creat SelfSigned Certificate… komutunu çalıştırıp bir sertifika adı giriniz. (Resim 1.28)

• Bu sertifikayı megep.com etki alanındaki sunucuya export etmek gerekir. Bunun için bilisim isimli sertifika seçili iken Action sekmesinden Export komutunu çalıştırınız.

Ekrana resim 1.30 ile görüntülenen pencere gelecektir. Burada sertifikanın ismini ve güvenlik için parolasını belirleyiniz. İsmin yanındaki üç nokta olan düğmeye tıklayarak sertifika dosyasının konumlandırılacağı yeri belirleyebilirsiniz.

• Sertifika dosyamız belgeler (Documents) klasöründe. Bu dosyayı bir flash disk ile megep.com etki alanında bulunan sunucuya taşıyınız.

• Sertifika dosyasını megep.com etki alanındaki sunucu masaüstüne kopyalayınız. Ardından Federation Server üzerinde farenin sağ tuşu ile Properties komutunu çalıştırınız.

• Açılan pencerede General tabında View düğmesine tıklayınız.

• Açılan yeni pencerede Details sekmesinden Copy to File düğmesine tıklayınız.

• Açılan pencerede sertifika dosyasının yerini gösterin ve tamam düğmesine tıklayınız. Bu işlem tamamlandığında megep.com sunucusunda web hizmeti almak için oturum açan bir kişi bilisim.com sunucusundaki sayfalara erişmek için tekrardan oturum açmak zorunda kalmayacaktır.

1.3. Active Directory Lightweight Servisi

Windows Server 2008 işletim sistemindeki Active Directory Lightweight Services, Windows Server 2003 işletim sistemlerinde kullanılabilen Active Directory Application Mode (ADAM) tarafından sağlanan işlevselliği kapsar. Bu işlemi yaparken Active Directory servislerinden domain servislerine ve domain kontrolcüye ihtiyaç duymaz. Bu sebeple hızlı çalışır. İstenirse Active Directory Domain Services ile kimlik doğrulama işlemlerini de yapabilir.

Kurulum işlemi için aşağıdaki adımları gerçekleştiriniz:

• Server Manage / Add Roles komutunu çalıştırınız. Active Directory Lightweight Directory Services seçip Next düğmesine tıklayınız.

• Ekrana gelen pencerede servisin çalışması için gerekli kurulum hakkında bilgilendirme yapılıyor. Bir kez daha Next düğmesine tıkladıktan sonra Install düğmesine tıklayarak kurulumu tamamlayınız.

• Server Maneger üzerinde Lightweight Directory Services kurulmuş olarak görünsede aslında kurulumun yapılması için gerekli olan setup dosyası sisteme yüklenmiş durumdadır. Kurulumu tamamlamak için Start / Administrator Tools / Active Directory Lightweight Directory Services Setup Wizard komutunu çalıştırınız.

>>Ekrana gelen karşılama penceresini Next düğmesine tıklayarak geçiniz.

>>Setup Options penceresi üzerinde, Active Directory Lightweight Directory Services ile ilgili instance’ın kurulum işlemlerini gerçekleştirecektir. Resim 1.37 üzerinde görüldüğü gibi instanceler ile ilgili iki seçenek bulunmaktadır. Bu seçeneklerden kısaca bahsedilecek olursa:

• A unique instance: Bu instance seçeneği ile, yeni bir AD LDS instance örneği oluşturulur ve oluşturulan bu bölüm içindeki yapılandırma ve şema bölümleri otomatik olarak kullanılmaktadır. Bunun dışında, bu bölüm içerisinde oluşturulan yeni instance örnekleri, AD LDS sunucu üzerindeki var olan diğer instance’ler arasında replica olmayacaktır.

• A replica of an existing instance: Bu seçenek ile ise, AD LDS sunucusu üzerinde oluşturulmuş olan instance’ler arasında replica işlemi gerçekleştirilir ve instance bölümlerinin çoğaltılması sağlanır. Kurulumun gerçekleşeceği sunucu üzerinde herhangi bir instance örneği olmadığı için seçenekler arasından A unique instance seçeneğini seçerek kuruluma devam ediniz.

>>Ekrana gelen pencerede isim ve açıklama girerek next düğmesine tıklayınız.

• Resim 1.38’de bu servis için kullanılan port numaraları görüntülenmektedir. Bu numaraları değiştirmeden Next düğmesine tıklayınız.

• Resim 1.39 ile ekrana gelen pencerede kullanacağımız uygulama için bir dizin oluşturmak isteyip istemediğimiz soruluyor. Burada yes seçeneğini seçip megep.com etki alanı sunucusu üzerinde C:/ kök dizininde uygulama için bir dizin oluşturuyoruz.

• Next düğmesine tıkladığımızda Lightweight Directory Service için kurulum dosyalarının konumlarını belirten bir pencere gelecektir. Tekrar Next düğmesine tıklayınız.

• Kuruluma devam etmek için kullanıcı hesap seçimi yapılacak olan aşamaya geliyoruz. Network Service Account, default olarak gelen Windows hizmet hesabı seçeneğidir. Eğer, kuruluma yerel kullanıcı hesabını kullanarak devam etmek isteniyorsa bu seçenek ile seçilmelidir This Account ise, varsayılan Windows hizmeti hesabının dışında, başka bir kullanıcıyı yetkilendirerek devam etmek için kullanılan seçenektir. Eğer yapı da Active Directory Domain mevcut ise, Active Directory içerisinden de kullanıcı seçimi gerçekleştirilebilir. Network Service Account’u kullanarak kuruluma devam etmek için iki kez Next düğmesine tıklayınız.

• Resim 1.41 ile ekrana gelen pencerede kurulumun tamamlanması için import edilecek dosyalar görüntülenir. Buradaki tüm dosyaları seçip next düğmesi tıklandığında kurulum başlayacaktır.

Bu aşamada C:/ kök dizinine yüklenecek uygulamalara etki alanı içinde oturum açan kullanıcıların erişimi mümkün olacaktır.

1.4. Active Directory Rights Management Servisi

Günümüzde yaygınlaşan internet kullanımı ile bilginin güvenilirliği ve korunması büyük bir problem olmaya başlamıştır. Özellikle resmi kurumlarda ve kurumsal şirketlerde önemli belgelerin korunma ihtiyacı artmaktadır. Microsoft Firmasının bu problem için ürettiği çözüm Active Directory Rights Management Service (Aktif Dizin Haklar Yönetimi Servisleri)’dir.

Active Directory Rights Management Service’nin amacı belgelerin içeriğini korumaktır. Rights Management Service kuralları belge içerisine uygulandıktan sonra bu kuralları kaldırabilecek tek kişi belgenin kurallarını koyan kişidir. Belge sahibi diğer kullanıcıların belge üzerindeki haklarını istediği gibi düzenleyebilir. Okuma, yazma, yazdırma, değiştirme, kopyalama, iletme vs. gibi izinler kontrol edilebilir, kısıtlama getirilerek üst düzey koruma ve güvenlik sağlanabilir. Belge koruması için kuralları belgenin sahibi oluşturabileceği gibi AD RMS sunucusu üzerinde de çeşitli şablonlar oluşturulabilir. Resim 1.42 ‘de Rights Management Service çalışma sistemi kısaca özetlenmiştir.

Active Directory Rights Management Service’in çalışacağı sunucu üzerinde aşağıdaki servislerin yüklü olması gerekmektedir.

• IIS 7.0

• World Wide Web Publishing Service

• Message Queuing

Rights Management Service aynı etki alanı içerisinde çalışan bir veritabanı sunucusuna ihtiyaç duyar. Rights Management Service üzerinde belge kullanım izinleri için çeşitli şablonlar oluşturulur ve bunların izinleri değiştirilebilir. Oluşturulan tüm bu kuralların ve izinlerin bir veritabanında tutulması gerekmektedir. Bu veritabanı farklı bir sunucu üzerinde çalışabileceği gibi Rights Management Service ile aynı sunucu üzerinde de çalışabilir. Genellikle veritabanı sunucusu için Microsoft SQL Server kullanılır. Test amacıyla, kurulum anında, seçenekler arasında gelen Windows Internal Database de kullanılabilir.

Active Directory Rights Management Service kullanan istemcilerde ise, Windows Vista ve Windows 7 işletim sistemleri Active Directory Rights Management Service client (istemci) özelliğini içerir ancak daha eski işletim sistemlerinde (Xp, Win98 vs.) bu özellik olmadığı için yüklenmesi gerekmektedir. Microsoft firmasının sitesinden Active Directory Rights Management Service istemci özelliği yüklenebilir.

Rights Management Service sunucusu bir domain (etki alanı) içine alınmalıdır. Domain’e alındıktan sonra etki alanındaki herhangi bir kullanıcı Rights Management Service sunucusu üzerinde yerelde Administrator (Yönetici) yapılır ve kurulumlar bu kullanıcı ile yapılmalıdır. İlk olarak tüm bilgisayarlar domainde olmalıdır ve RMS kullanacak olan tüm kullanıcıların bir e-posta adresi olmalıdır.

Rights Management Services kurulumunu gerçekleştirmek için aşağıdaki adımları izleyiniz.

>>Server Manager / Roles / Add Roles komutunu çalıştırınız. Resim 1.43 ile ekrana gelen pencerede Active Directory Rihgts Management Service seçeneğini seçiniz.

>>Ekrana gelen pencerede Web Server (IIS) ve Message Queuing Service kurulumunun yapılmasının gerektiği bildirilmektedir. Add Required Role Services düğmesine tıklayarak kuruluma devam edilir. Takip eden iki pencerede açıklamaların yapıldığı bölümler vardır. Art arda iki kez Next düğmesine tıklayınız.

>>Select Role Services penceresinde Active Directory Rights Management Service ifadesi seçili gelmektedir. Burada bir değişiklik yapmadan Next düğmesine tıklayınız.

>>RMS ilk kez kurulduğundan cluster yapısı oluşturulmalıdır. Eğer Root Cluster(Kök Küme) varsa, buradaki Join an existing AD RMS cluster seçilerek kurulmakta olan RMS eski RMS yapısı içerisine katılabilir. Create a new AD RMS cluster seçilerek devam etmek için Next düğmesine tıklayınız.

• Resim 1.46’da görüldüğü gibi RMS kullanımı için ortamda bir veritabanı olması gerekmektedir. Bu aşamada Windows Internal Database ile kuruluma devam etmek için Next düğmesine tıklayın. Eğer sunucu üzerinde önceden kurulmuş olan bir veritabanı kullanılacaksa, Use a diffrent database server seçeneği seçilerek kuruluma devam edilir.

• Diğer servislerle bağlantı kurulabilmesi için domain kullanıcı hesabına ihtiyaç vardır. Buradaki belirtilen kullanıcı hesabı Rights Management Service’in hesabıdır. Bu hesabı kullanarak etki alanı içerisindeki diğer servisler ile bağlantı kurar. Burada sadece kullanıcı adı belirtilerek devam edilir.

NOT: RMS yapısı için farklı bir SQL veritabanı kullanılıyorsa buradaki belirtilen kullanıcı hesabı SQL sunucusu üzerinde gerekli izinlere sahip olmalıdır.

• Yeni eklenecek Rights Management Service sunucuların kullanması için bir Cluster Key Storage oluşturulacaktır. Bu işlem için Use AD RMS centrally managed key storage seçeneğini seçip Next düğmesine tıklayınız. Ekrana Gelen yeni pencerede şifre belirleyiniz. Bu şifre ayrıca yapıya yeni Rights Management Service eklerken de kullanılacaktır.

• Ekrana gelen pencerede Active Directory Rights Management Service’in Web hizmetlerinin kullanılabilmesi için Default Web Site seçeneğini seçip next düğmesine tıklayınız.

• Resim 1.48’de RMS web arayüzüne bağlanmak için SSL kullanılıp kullanılmayacağı soruluyor. SSL kullanmak için Use an SSL-encrypted connection seçeneği işaretlenmelidir. Altta ise sunucunun bağlantısı test edilmektedir. Next düğmesine tıklayarak kurulama devam ediniz.

• Resim 1.49’da gösterilen pencerede SSL üzerinden siteye erişim için kullanılacak olan sertifikanın belirlenmesi gerekmektedir. Burada varsayılan olarak Choose an existing certificate for SSL encryption (mevcut sertifikaları kullan) seçeneği işaretlidir. Bu seçeneğin seçilmesi durumunda farklı bir işlem yapmaya gerek yoktur. Fakat sistemde yüklü olan diğer servisler için kullanılan sertifikaların kullanılması güvenlik sorunlarına neden olacağından Create a self-signed certificate for SSL encryption seçeneğini seçip next düğmesine tıklatınız.

Not: Create a self-signed certificate for SSL encryption seçeneği seçildikten sonra oluşturulacak sertifika dosyası tüm istemci bilgisayarlara elle yüklenmelidir. Aksi hâlde istemciler Rights Management Service web hizmeti için geçerli sertifikanın olmadığına dair bir hata mesajı alacaktır.

• Ekrana gelen pencerede RMS sunucu için isim belirtmemiz istenmektedir. İsim yazıp Next düğmesine tıklayınız.

• Ekrana gelen yeni pencerede ise RMS’nin domaine ne zaman tanıtılacağı soruluyor. Register the AD RMS services connection point now seçeneğini işaretleyip Next tuşuna tıklayınız.

• ISS kurulumu tamamladıktan sonra Install düğmesine tıklayarak AD RMS kurulumunu gerçekleştiriniz.

BİLİŞİM TEKNOLOJİLERİ