Active Directory Tasarımı

Active Directory Domain Servisinin (AD DS) ne olduğunu bir önceki makalemizde yayınlamıştık. (Henüz okumadıysanız Buradan ulaşabilirsiniz. ) AD DS, Windows Server 2000 ile hayatımıza girdiğinden bu yana bizler için vazgeçilemez olmuştur çünkü Microsoft Server ailesi içerisinde bulunan çoğu yazılım(Exchange, Lync vb.) çalışabilmek için AD DS ‘ine ihtiyaç duyar. Aşağıdaki resimden bunu daha iyi anlayabiliriz.

Active-Directory-Tasarimi (1)

Yukarıdaki şekilde görüldüğü gibi Active Directory servisi diğer uygulamaların kalbi şeklindedir. Bu demek oluyor ki AD  DS’imiz ne kadar düzgün tasarlanmışsa ileride karşılaşacağımız problemler azalacaktır. Microsoft Solution Accelarators ekibi tarafından AD DS tasarımı on üç adımda ortaya çıkıyor.


Active-Directory-Tasarimi (2)

Gelin bu adımları hep birlikte inceleyelim.

Adım 1 : Kaç Adet Forest ‘a ihtiyacımız var ?

            AD DS ’i mutlaka bir forest’a ihtiyaç duyar.İlk Domain oluşturulma aşamasında mutlaka forest ta oluşacaktır ve buna forest root domain adı verilir. Bu yüzden çoklu bir forest yapısı düşünülüyorsa aynı zamanda çoklu bir domain yapımızda oluşacaktır. Şimdi seçeneklerimize bakalım;

Single Forest : En iyi yapılandırma olarak (Best Practise) her zaman tek bir forest ile başlanması tavsiye edilir. Problem olabilecek tek konu, directory boyutu ileride çok çok büyük olur ise replikasyonlar  için ek işlemlere gerek duyulabilir.

Multiple Forest : Çoklu şema ihtiyaçlarında ve güvenlik sebebiyle kaynaklara erişimin izolasyonunda genellikle ihtiyaç duyulur. Birden fazla forest’lı yapı seçmek yatırım maliyetlerini de arttıracaktır. Forestlar arasında bilgi alışverişi için mutlaka Trust linklerine ihtiyaç duyarız bunun sonucunda da şüphesiz yönetim zorluklarını ortaya çıkacaktır.

Yönetim Maliyet Güvenlik
Single Forest Kolay Düşük
Multible Forest Zor Yüksek

Adım 2 : Kaç Adet Domain ‘e ihtiyacımız var ?

AD DS tasarımın ikinci aşaması kaç adet domaine ihtiyacımız olduğunun belirlenmesidir. Kurulumdan sonra yeni domain ekleyebilir veya çıkarabiliriz fakat çoğu zaman problemlerle karşılaşmamız olağandır.

Single Domain : Maliyeti en düşük ve yönetimi en kolay seçenektir. Ayrıca disaster olayları karşısında en kolay kurtarılabilen domain yapısıdır.

Multiple Domain : Özellikle yapılan testlerde 100.000 nesneye sahip olan domainlerde global katalog rolüne sahip olan DC’ lerin çoğaltma işlemleri veya ortamda çok fazla değişen directory datası olduğunda replikasyon trafiğini artacaktır. Bu gibi durumlarda çoklu domain yapısı tercih edilmelidir. Ayrıca site lar arasında düşük bant genişiliği mevcutsa çoklu domain tercih edilmelidir. Fakat çoklu domain yapısı yönetim zorluğunu ve maliyeti beraberinde getirecektir.

Yönetim Maliyet
Single Domain Kolay Düşük
Multible Domain Zor Yüksek

 Adım 3 : Domain Ismini Belirlemek

AD DS kurulumunda iki adet isime ihtiyaç duyarız. Birincisi Network Basic INPUT/OUTPUT System Name’ dir yani NETBIOS.  Her domain için NETBIOS ismi benzersiz olmalıdır. Eğer iki farklı domainde aynı NETBIOS ismi kullanıyor ve bu iki domainin tesadüf eseri birleşmesi söz konusu olduğunda çakışma meydana gelecek ve birleşme gerçekleşemeyecektir.

İkinci isim ise Domain Name System yani DNS içindir. DNS için belirleyeceğimiz isimde aynı sebepten dolayı benzersiz olmalıdır. DNS host ve network ismi olarak iki parçadan oluşmaktadır. Tavsiye edilen ayar network isminin şirket için kaydedilen internet ismi ile aynı olmasıdır. Bu durumu örnek ile açıklarsak;

İnternet adresi : ersincan.com

Network adresi : ersincan.local

Netbios adresi : ersincan şeklinde olmalıdır.

Domain ismini, kurulum sonrasında değiştirmek mümkün olsada gerekmediği sürece yapılması tavsiye edilmemektedir.

Adım 4 : Forest Root Domainimizi Seçmek

AD DS ‘ini kurulumu sırasında ilk kurulan domain Forest Root Domaindir ve bu bir daha değiştirilemez. Forest Root Domain, Enterprise ve Schema Admin gruplarını içerisinde barındırır. Bu gruplar forest çapındaki değişimlerde görev alırlar. Örneğin yapımıza Exchange server kurulumu gerçekleştireceksek bu gruplara üye olan bir kullanıcı hesabıyla ilk önce forest şemasında değişiklik yapılması şarttır. Single Domain yapısında bu adım çok fazla anlam ifade etmese de çoklu domain yapılarında mutlaka üzerinde çalışılması gereken bir konudur.

Çoklu domain yapılarında maliyeti arttırdığı halde dedicated yani boş bir forest root domain seçilmesinin avantajları mevcuttur. Bu domainde hiçbir kullanıcı ve bilgisayar hesabı bulunmaz sadece Enterprise ve Schema Admin gruplarına ev sahipliği yapar. Diğer bütün domainler bu domainin bir parçası olurlar. Böylelikle forest root domain operasyonel faaliyetlerden etkilenmez ve stabil bir yapı sağlar. Aynı zamanda güvenlikte arttırılmış olur.

Adım 5 : Organization Unit Yapısının Seçilmesi

Organization Unitler, domain içerisinde nesneleri sınıflandırmamıza olanak sağlayan en küçük birimlerdir. Böylelikle dağınıklık önlenmiş olur ve nesnelerin sahip olması gereken ayarları Group Policyler yardımıyla uygulayabiliriz. Aynı zamanda OU lar bize delegasyon avantajı da sağlamaktadır. OU oluşturma işlemleri için çeşitli kriterler vardır. Birincisi şirketin coğrafi olarak yerleşim konumuna göre, ikincisi şirket hiyerarşine göre, üçüncüsü ve tavsiye edilen ise ilk ikisinin karma modeli olan yani önce coğrafi olarak sonra şirket hiyerarşisine göre iç içe yapılandırılmış OU yapısıdır. Örnek model aşağıdadır;

Active-Directory-Tasarimi (3)

Adım 6 : Domain Controller yerinin seçilmesi

Birden fazla fiziksel lokasyondan oluşan network topolojimiz var ise mutlaka merkez ve uydu şubelerimizi belirlemeliyiz. Merkez şube tanımını, kullanıcı sayısının, kullanılan donanımsal cihazların sabit olduğu ve WAN data hattının stabil olduğu yer olarak tanımlayabiliriz. Uydu şube ise kullanıcı sayısının az, kullanıcılara destek verebilecek sistem yöneticisinin bulunmadığı ve WAN data hattının stabil olmadığı veya düşük bant genişliğine sahip olduğu lokasyonlar olarak tanımlayabiliriz.

Microsoft mühendisleri, Merkez şubelerimize en az birer adet DC konumlandırmamızı söyler fakat yedeklilik  için imkan var ise iki adet konumlandırılmasını tavsiye eder. Uydu şubeler içinse güvenlik ve yönetim kolaylığı açısından, Server 2008 ailesi ile tanıştığımız Read Only Domain Controller konulmasını tavsiye eder.

Adım 7 : Kaç Adet Domain Controller’ a ihtiyacım var ?

Aşağıdaki tablodan kaç adet DC’ a ihtiyacınız olduğunu teorik olarak belirleyebilirsiniz.

Domain başına user sayısı Gerekli olan DC miktarı
1–499 One – Single Processor
500–999 One – Dual Processors/Cores
1,000–2,999 Two – Dual Processors/Cores
3,000–10,000 Two – Quad Processors/Cores

Yukarıdaki rakamlar teorikte yeterli olsa da, hata toleransı için her zaman en az iki adet DC ye ihtiyacımız bulunmaktadır.

Adım 8 : Global Catalog yerinin belirlenmesi

Genel alışkanlığımız olarak DC rolü kazandırdığımız her sunucuya doğrudan GC görevi veririz fakat bu yanlış bir işlemdir. Çünkü her GC rolü kazanmış olan DC, çoğaltma işlemleri için replikasyon trafiğini arttıracaktır. Eğer lokasyonunuzda yüzden fazla kullanıcı, Exchange Server gibi GC’ a ihtiyaç duyan bir uygulamanız ve gezici profil kullanıyorsanız GC rolü sizin için gereklidir. Aşağıdaki tablo bu konuda karar vermenize yardımcı olabilir.

Active-Directory-Tasarimi (4)

GC konumu belirlendikten sonra kaç adet sorusuna cevap vermeliyiz. Uygulamada her site için bir ya da iki adet olması yeterli olarak görülmektedir.

Adım 9 : Operations Master Rollerinin yerinin belirlenmesi

Operations Master yada bilinen adıyla FSMO (Flexible Single Master Operations) her domain ve foresta bulunan DC’nin görevlerini tanımlayan 5 adet roldür. Bunları kısaca tanımlarsak;

Forest çapında birer adet olan roller;

Schema operations master : Active directory şemasında değişklikler yapmaya yetkisi olan roldür.

Domain naming operations master : Forest’a domain ve site ekleme veya çıkarmadan sorumlu olan roldür. Bu role sahip olan sunucunun GC özelliğinin  açık olması gereklidir.

Her domainde olması gereken roller ;

Primary domain controller (PDC) emulator operations master : Kullanıcı hesabı şifre değişim, hesap kilit açma veya kilitme işlemleri bu rol üzerinde gerçekleşir ve sonrasında acil olarak diğer DC’ ler ile bu güncelleme paylaşılır. Aynı şekilde Group Policy ayarlarıda bu rol üzerinde gerçekleşir. Diğer önemli bir görevi ise domain çapında Time Server olarak çalışmasıdır.

Relative ID (RID) operations master : Domain içerisinde oluşturulan her nesneye SID numarası atamak ile görevlidir. SID numaraları her nesne için benzersiz olmalıdır.

Infrastructure operations master : Kullanıcı veya Grup hesaplarında bir değişiklik olduğunda bu role sahip olan DC diğer sunuculara gerekli güncelleme işlemini başlatır. Eğer Domain içerisindeki bütün DC’ lerde GC özelliği açık değilse kesinlikle bu DC’ de GC özelliği kapalı olmalıdır.

Eğer Single Domain Forest bir yapımız var ise 5 rolü ayırmak bize her hangi bir kazanç sağlamayacaktır. Multi domain bir yapıda ise rollerin Forest Root domainde kalması tavsiye edilir. KB223346’da rolleri ne kadar az dağıtırsak olası bir problem karşısında daha kolay çözüme ulaşılabileceği ise açıkça belirtmektedir. Best Practise olarak çoklu domain yapılarında roller iki sunucu arasında dağıtılmasının uygun olacağı ifade edilmektedir.

Active-Directory-Tasarimi (5)

Adım 10 : Site ‘lerin Tanımlanması

Her fiziksel lokasyon için TCP/IP Subneti yardımı ile Site tanımlaması yapılmalıdır. Site tanımlaması yapılmaz ise networkte ciddi bir karmaşaya sebep oluruz. En basit kullanıcının oturum açma işleminde bile kullanıcı bilgisayarının TCP/IP Subnetinden kullanıcının oturum açtığı lokasyon belirlenir ve kullanıcıya en iyi hizmeti verecek DC’ de oturum açması sağlanır. Eğer aynı site içerisinde aktif bir DC bulunamaz ise kullanıcı WAN data hat hızlarından en iyi olan siteye yönlendirilir.

Adım 11 : Site Linklerinin Konfigure Edilmesi

Site Linkleri, siteler arası replikasyon tarafiğinin yönetilmesinden sorumludur. Her site yaratıldığında, otomatik olarak Default-Site-Link ile bir birine bağlıdır ve her 180 dakikada karşılıklı replikasyon girişiminde bulunurlar. Fakat biz mesh bir topoloji yaratmak istersek Default-Site-Link bize yetmeyecek yeni linkler yaratmamız gerekecektir. Link yaratmada en büyük faktör kullanılan WAN data hattının bandwith miktarıdır. En hızlı olan yol Cost değeri en küçük olan seçilmelidir. Diğer bir faktör replikasyon sıklığıdır. Genellikle sabah 10 öğleden sonra 3 zaman aralığı data hatlarının en yoğun olarak kullanıldığı zamanlardır ve bu zaman dilimi içerisinde replikasyon trafiğini minumumda tutmak daha iyi olacaktır. Eğer site linklerimiz iyi dizayn edilmemiş ve replikasyon problemleri ortaya çıkmış ise bolca Knowledge Consistency Checker (KCC) hatası ile karşılaşırız.

Adım 12 : Site Link Köprülerinin Belirlenmesi

Network yapımızda bütün site’ lar bir birbirleriyle haberleşebiliyor ise Bridge All Site Links seçeneğinin varsayılan olarak aktif halde gelmesinden dolayı AD DS replikasyon akışı otomatik olarak düzenlenir. Yani her DC kendine bir replikasyon partneri bulur. Fakat her site bir biriyle haberleşemiyor ise Bridge All Site Links seçeneği kaldırılır ve replikasyon trafiği için her DC ‘ye replikasyon partneri bulunur. Manuel konfigürasyon gerekmedikçe yapılmaması tavsiye edilmektedir.

Adım 13 : DC Sunucusunun Donanım özelliklerinin belirlenmesi

Birkaç adım yukarıda domainimizde kaç adet DC ye ihtiyaç olduğunu belirledik. Bu adımda ise RAM, CPU ve Hard disk ihtiyaçlarını belirliyoruz.

Disk Alanı : Her DC teorik olarak aşağıdaki disk alanına sahip olmalıdır;

For each domain controller, plan to allocate at a minimum the following amount of space:

•           500 MB for AD DS transaction logs.

•           500 MB for the drive containing the SYSVOL share.

•           32 GB for the Windows Server 2012 operating system files.

•           0.4 GB of storage for every 1,000 users in the directory for the NTDS.dit drive. (Eğer GC özelliği aktif ise %50 fazla alan ayrılmalıdır)

CPU : Her DC teorik olarak aşağıdaki CPU özelliklerine sahip olmalıdır;

•           Server 2008 R2 ve üzeri sunucu ailesi için işlemcinin 64 bit desteklemesi gereklidir.

•           500 kullanıcıya kadar tek işlemci yeterli olurken , 10.000 kullanıcıya kadar çift çekirdekli işlemci sadece authentication işlemleri için yeterli olacaktır.

RAM : Her DC teorik olarak aşağıdaki RAM özelliklerine sahip olmalıdır;

•           500 kullanıcıya kadar 512 MB.

•           1000 kullanıcıya kadar 1024 MB.

•           >1000 kullanıcıya kadar 2048 MB.

Network : Her DC’nin teorik olarak 100 Mb Ethernet kartına sahip olması çoğu zaman yeterli olacaktır.

AD DS Design Guide

Active Directory Domain Services

TechNet

About the Author

Ersin CAN

#IT Manager #Bilişimsever #vExpert #Baba

3 thoughts on “Active Directory Tasarımı

  • Author gravatar

   Elinize saglık.

  • Author gravatar

   Oncelikle tesekkurler derlediginiz yararli bilgiler icin. Bir iki nokta var aklima takilan eger biraz daha detaylandirirsaniz eminim bir cok kisiyede yardimci olmus olursunuz. Simdiden tesekkurler…
   1-multiple forest/domain icin yonetim zor demissiniz. Eger farkli bolgeler ve bu bolgelerde yerel adminler varsa tek bir forest icersinde birden fazla domain olmasinin ne gibi zorluklar getirdigi. Belki ornek olarak, farkli dns’lerin olusturulmasi, dhcp server’larin authorization gibi…
   2-Bos/empty root + child domain yapisi icin guvenlikte arttirilmis olur demissiniz. Arastirdigim kadariyla guvenlik Forest bazinda oldugu gordum bu durumda empty root + child domain yapisi ile ne tur yada hangi anlamda guvenligi arttirabiliriz?
   3-Global Catalog ile replication trafigi artmasiyla ilgli olarak elinizde hic somut rakamlar varmi ornek olarak paylasabileceginiz? Anlamaga calistigim;gunumuzde artan band genislikleri ve azalan maliyetlerle global catalog tarafindan uretilen extra trafigi goz ardi edip etmeyecegimiz.Tabiiki goreceli bir yaklasim ama yeterli band genisligine sahip noktalarda tum (operation role haric) serverlari global catalog yapmak sanki daha mantikli gibi.

   Saygilarimla,

   Cem

   • Author gravatar

    1. Çoklu domain veya forest yapısının zor olması aslında göreceli bir kavramdır. Eğer forest ve domainleri yöneten kişiler gerçek anlamda işinin ehli kişiler ise çoklu yapıda çalışmak daha esnek ve zevkli olabilir. Aksi takdirde domain yada forestlar arasındaki kaynak yönetimi çin işkencesine dönecektir. Bunların üzerine IT personelinin dökümantasyon eksikliği ve bilgisizliği eklendiğinde yönetim zorluğu maddesi gündeme gelecektir.

    2. Buradaki güvenlik Bilgi Güvenliğinden daha çok Active Directory yapısında, yetkisiz IT personeli tarafından Forest çapında sorunlara yol açabilecek
    değişikliklerin yapılmasını önlemek amaçlıdır.

    3. Açıkcası elimde ne kadar bir trafik ihtiyacı olduğuyla ilgili elimde açık bir bilgi yok.Fakat her site için iki adet olmasının yeterli olacağını best practise’ ler aracılığıyla öğreniyoruz ve kurulumlarımızda uyguluyoruz.

    Bu konuyla ilgili ayrıntılı bilgiye buradan da ulaşabilirsiniz.
    http://download.microsoft.com/download/5/B/C/5BC966BC-47D8-41DF-95F2-FA9A2D816258/Active%20Directory%20Domain%20Services.zip
    Saygılarımla

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir