ACTIVE DIRECTORY SCHEMA :
Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Netvvork yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile;
»   Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs  ile  Schema bilgileri  üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized  users)  değişiklik yapabilmesi
sağlanır.
LIGHTVVEIGHT DİRECTORY ACCESS PROTOCOL (LDAP) :
LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;
Distinguished Names
Relative Distinguished Names
Distinguished   names:   Tüm   Active   Directory   objeleri,  Netvvork  ortamında
kendilerine  ulaşılmasını  sağlayan  komple  path   içeren,  distinguished  name'e
sahiptir.
Örneğin;
CN=Mutlu Can , OU=Pazarlama , DC=albatros, DC=com

Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.         
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı fener.com ise, DC=fener, DC=com şeklinde belirtilir.
Başka bir örnek verelim;
"Görkem" isimli kullanıcı, "Kadikoy" isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı "fener.sabitaksu.com" olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;          
CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu, DC=com  Yazılımında fener.prestige.com  içinde tek olan yani; Relative Distingished Name; Görkem'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY'nin MANTIKSAL YAPISI:
Active Directory'nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.   
Söz konusu mantıksal komponentler
Domain
Organizational unit   
Tree and forest
Global catalog  
Active Directory'nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.

DOMAIN (ETKİ ALANI):
Domain: Yönetici(administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı)  içerisinde paylaşıma  sunulmuş bilgisayarları  kapsar. Network ortamında eşsiz(unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini, merkezileştirmektedir.
Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması yapabilir.
Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers(DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.

 

ORGANIZATIONAL UNIT (OUs):
Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
•           Netvvork yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator  üzerinde,  bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
talep   edilebilir.   Bu   sorunun  çözümünü   sağlamaya  yönelik,   kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
•           Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya     gruba     devredebilirsiniz.     Delege     olarak     adlandırılan     kullanıcı,

Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Netvvork'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Netvvork'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST :
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain   child domain
albatros.com.tr -            —                                kumsal.albatros.com.tr
albatros.com.tr —         —                                deniz.albatros.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.

Transitive Trusts: "kumsal.albatros.com.tr" ile "albatros.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.albatros.com.tr" ile "albatros.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.albatros.com.tr ile deniz.albatros.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :
Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına(unique name space) sahiptir. Örneğin: Albatros Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG :
Global Catalog:  Active Directory  içerisindeki tüm objelere ait niteliklerin
tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla
kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.
Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri
kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory
bilgilerine ulaşım.
Netvvork ortamına katılırken; universal group üyeliğinin kullanılabilmesi.

Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), "global catalog server" olarak adlandırılır.
Active Directory içerisinde ilk yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.

ACTİVE DIRECTORY'nin FİZİKSEL YAPISI:
Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Netvvork trafiğini kontrol ve konfıgüre edebilirsiniz.
Active Directory'nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory'nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network'e katılımını(logon) belirler. Netvvork trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.

DOMAİN CONTROLLER (DC) :
Domain Controller(DC), replikasyon işlemine dahil olan Active Directory bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC'ler ile replikasyonuna olanak sağlar. Directory verilerini depolar, kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory arama(search) işlemlerini gerçekleştirir. Tek bir yerel Netvvork ortamına( LAN; local area netvvork) sahip küçük bir işletmede; tek bir Domain yapısı içerisinde, güvenlik amacıyla(fault tolerance) iki DC yapılandırılabilir(DC & Additional DC). Birçok farklı coğrafık lokasyona yayılmış organizasyonlar ise, her bir lokasyon içerisinde iki DC yapılandırabilir (DC & Additional DC) .

Active Directory'de Replikasyon İşlemi: Forest ve Domain içindeki DC'ler, Active Directory veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların, güncel veriye ulaşması sağlanır. Replikasyon yer ve zamanı ile Netvvork'e katılımı(logon), Active Directory'nin fiziksel yapısı belirler. Active Directory, Multi-Master replikasyon modelini kullanır. Her Windows 2003-2000 Domain'i bir veya daha fazla DC içerebilir. Her DC, kendi Domain yapısına ait Active Directory veri tabanının değişiklik yapılabilen, güncellenebilen bir kopyasını depolar. Üzerinde değişiklik yapılan bilgilerin, diğer DC'ler ile replikasyonu derhal yapılabileceği gibi, kısa zaman aralıklarında periyodik olarak da yapılabilir.

SİTE:
Site:   IP(internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha fazla
yüksek   hızlı   link   ile   birbirine   bağlanmış   İP   Subnet'lerini   içerebilir.   Site
yapılandırılmasında, Active Directory için erişim ve replikasyon topolojisinin
konfıgürasyonunu yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim sistemi;
replikasyon ve logon trafiği için zamanlandırılmış görevleri ve en etkin linkleri
kullanabilir.
İki öncelikli nedenden dolayı site kurulabilir :
Replikasyon trafiğini optimize etmek.
Kullanıcıların, DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı
kullanarak, logon olmasını sağlamak.
Network sisteminizin fiziksel yapısının planlanması Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain vasıtası ile olur.
Active Directory içerisinde mantıksal ve fiziksel yapı birbirinden bağımsızdır:
Network  fiziksel   yapısı   ile   Domain  yapısı   arasında  bağ  veya   ilişki
kurmanıza gerek yoktur.
Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain
içerisinde çoklu site yapılandırılmasını destekler.
Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek
yoktur.

WINDOWS 2003 YÖNETİM METHODLARI :
Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator'a sunar. Administrator'un Network ortamındaki yönetimsel işlevi :
Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Netvvork kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.
Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.
Yönetimsel kontroller için delege atanması: Active Directory, Administrator'ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.
Active Directory; Administrator'ın Netvvork kaynaklarını merkezi olarak yönetmesine olanak sağlar.
Kaynakların merkezi yönetiminin avantajı: Tek bir administrator tarafından, Network kaynaklarının merkezi denetim ve yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır. Delege, Administrator tarafından kendisine verilen yetki oranında, işlem yapabilir.
Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.

KURULUM:
HAZIRLIK :
Active Directorv için gerekli kurulum gereksinimleri aşağıda listelenmiştir ;
Windows   2000   Server   ailesinden   (Server,   Advanced   Server   veya
Datacenter Server) işletim sistemi  ile çalışan bir bilgisayar ve tabi iki
Windows Server 2003
Active Directory veri tabanı için minimum 200 MB, ayrıca veri tabanı
transaction log dosyaları için minimum 50 MB olmak üzere, Harddisk'de
minimum 250 MB boş alan gereklidir. Alan ihtiyacı, Domain yapınızdaki
obje sayısı ve tipine bağlıdır. Eğer söz konusu DC, aynı zamanda Global
Catalog sunucusu olacak ise, alan ihtiyacı hali ile artacaktır.
Sysvol    klasörünün    gereksinimi    olarak    NTFS    dosya    sistemi    ile
biçimlendirilmiş partition veya volume gereklidir.
DNS'in kullanımı için TCP/IP'nin kurulumu ve konfigürasyonu gereklidir.
Mevcut bir Windows 2000- 2003 Domain'i içerisinde yeni bir Domain
oluşturabilmek için Administrator yetkisi gereklidir.
Active Directory kurulum sihirbazı, kurulum sırasında opsiyon olarak DNS
yüklenmesini önerir. Windows 2000- 2003 DNS Servisi; SRV kayıtları ile
DNS dinamik güncelleme özelliğini destekler.

İLK DOMAIN ile ACTIVE DIRECTORY KURULUMU:
Sabırsızlandığınızı biliyorum. Bu kadar lafgüzarlıktan sonra artık icrata geçelim.
Windows Server 2003 CD'si sürücüye takılarak, otomatik açılan tüm ekranlar kapatılır.

Start/Run kısmına de p rom o yazılır ve OK butonuna basılır. Dcpromo komutu, çift amaçlı kullanılır. Bunlardan birisi; şimdi yapacağımız gibi sistemimize Active Directory kurmak, yani işletim sistemimizi DC yapmak, diğer amacı da kaldırmaktır. İlk önce bir kuralım, en sonunda kaldırırız.
Dakika bir gol bir! Evet, bu uyarı mesajı der ki "Eğer sisteminizde Certificate Services varsa, Active Directory kuramazsınız veya kadıramazsınız" Bir önceki bölümden kalan certificate servisinizi demek ki kaldırmayı unutmuşsunuz. O zaman hemen Control Panel'e giderek nasıl kurdu isek? O şekilde kaldıralım. Eğer daha önce kaldırmış iseniz; o zaman bu adımı direkt atlayabilirsiniz.

Evet, kaldırma işlemi başarı ile tamamlandığına göre tekrar "dcpromo" yazarak, kaldığımız yerden devam edelim.
İlk gelen kurulum sihirbaz ekranını Next butonu ile geçiyoruz.

Şimdi kurulum başlayacak ancak, tüm kurulum ekranlarındaki seçenekleri açıklamak istiyorum. Bunun için bir şema çizeceğim ve bunun üzerinde hareket edeceğiz.

İlk ekranda Domain controller for a new domain
seçeneğini işaretliyoruz ve Next butonuna basıyoruz. İster Parent ister Child olsun farketmez, yukarıdaki yapımızda tüm Domain'leri kurmak için kullanacağımız seçenektir. Diğer
seçenek; Additional domain controller for an existing domain var olan bir Domain'e, yedek bir Domain oluşturmak için kullanılır. Bu özelik de çok önemlidir. Yeni bir Domain oluşturduktan sonra, mutlaka yedek Domain'i yani, Additional Domain Controller'i oluşturunuz. Ana Domain'in başına birşey gelirse sistem devamlılığını onunla sağlayacağız. Bunun nasıl yapılacağını son konularımızda inceleyeceğiz.

Bu ekranda Domain in a ne\v forest seçeneğini işaretleyerek Next butonuna basıyoruz. Çünkü biz şeklimizdeki sabitaksu.com Domain'ini oluşturuyoruz. Bu Domain hiçbir yere bağlı olmayan, ormanınız içindeki ilk Domain. Eğer bu Domain'i daha önce oluştursaydık ve
ankara.sabitaksu.com veya istanbul.sabitaksu.com Domain'lerinden birisini oluşturmak isteseydik o zaman, Child domain in an existing domain tree seçeneğini işaretleyecektik. Çünkü bu, sabitaksu.com ağacının dallan olacaktır.
Yine şeklimizde bulunan yiikselinan.com ayrı bir tree, yani ayrı bir ismi var ve sabitaksu.com ismi ile hiçbir bağı yok. İşte sabit.com'u oluşturarak bu ormana katmak isteseydik, o zaman da Domain tree in an existing forest seçeneğini işaretleyecektik. Böylelikle bu forest içindeki tüm kaynaklara, izinler dahilinde ulaşabilecekti.

Active Directory
DNS'siz olmaz. Eğer bir DNS'imiz yoksa, sonradan kurarım diye burayı pas geçemezsiniz ve No, just install and configure DNS on this computer seçeneği işaretli iken Next butonuna basıyoruz. Eğer DNS varsa, Yes, I will configure the DNS client seçeneği seçilir.

Gelen ekrana Domain'in tam adını yazıyoruz ki bizim Domain'imiz sabitaksu.com olacağı için onu yazdık ve Next butonuna basıyoruz.

 

Windows'ın eski
versiyonları için, NetBIOS adı gerekmekte. Burada kendi atadığı, Domain adından gelen ismi kabul edebilir veya değiştirebiliriz. Biz hiçbir değişiklik yapmadan, Next butonuna basıyoruz.

Gelen ekran Active Directory veri tabanını ve Active Directory ile ilgili log dosyalarının nerede tutulacağını sorgulayan yapıdır. Burada verimli olması ve performansı yükseltmek amacı ile eğer varsa, bu iki yolu ayrı fiziksel Disk'te tutmanızı öneririm. Next butonu ile bu ekranı geçiyoruz. Eğer aşağıdaki mesaj ile karşılaşırsanız, yeterli Disk alanınız yok demektir. O zaman ya başka bir sürücü seçiniz veya temizlik yapınız

Burada Domain'e ait genel dosyaların tutulduğu SYSVOL klasör'ünün nerede tutulacağı belirtilir. Bunun içeriği; Domain içinde bulunan tüm diğer Domain Controller ile Replike olur. Ayrıca bu klasör mutlaka NTFS dosya sistemi üzerinde olmalıdır. Buradan çıkan sonuç; Active Directory kurmak için en az 1 partition, NTFS olmak
zorundadır. Yoksa kurulum gerçekleşmez. Next butonu ile bir sonraki ekrana geçiyoruz.

İzinler ekranında bu Domain ile hangi tür Domain'lerin ilişkiye girebileceğini tespit etmemiz lazım. Eğer sistemimizde Windows 2000 öncesi Domain'ler varsa (NT Server 4.0 gibi) ve bu Domain ile ilişkiye gireceksek, o zaman Permissions compatible with pre-Windows 2000 server operating systems seçeneğini
işaretliyoruz. Öyle bir sorunumuz yoksa, tüm sistem Windows 2000
ve sonrası ise o zaman, ikinci seçeneği seçiyoruz. Eğer ikinci seçeneği seçerseniz, geri dönüş şansınız yok ancak, ilk seçeneği seçerseniz kurulum tamamlandıktan sonra, istediğiniz zaman ikinci seçeneğe dönüş yapabilirsiniz. Biz ilk seçenek ile kuruluma Mixed Mode kurulum, ikinci ile yapılan kuruluma ise Native Mode kurulum adı veriyoruz. Sonradan içeride nasıl Mixed Mode'dan Native Mode dönüştüreceğimizi görmek için, ilk seçenek seçili iken hiçbir değişiklik yapmadan, Next butonuna basıyoruz.

Active Directory'nin
yedeğini aldıktan sonra, geri yüklenmesi veya çeşitli Active Directory sorunları için bilgisayarı Active Directory Restore Mode ile açmamız gerekir. (Bu konu son bölümlerde incelenecektir.) İşte oldukça önemli olan bu kısmın, yetkisiz kişiler tarafından açılmasını engellemek için, buraya bir
şifre giriyoruz. Aman unutmayınîyoksa açamazsınız. Ben bir şifre vermeden Next butonuna basıyorum.

Karşımıza gelen son ekran Özet ekranı. Burada yaptıklarımızın bir listesi var. Eğer herhangi birşeyi değiştirmek istiyorsanız, Back butonunu kullanarak geri dönüp,
değiştirebilirsiniz. Eğer herşey istediğiniz gibi ise, Next butonuna basabilirsiniz.
Gelen ekran ile kurulum başlamıştır. Bu ekran tamamlanana kadar bekleyeceğiz....
İşlem bitince karşımıza gelen ekranda Finish butonuna basacağız ve aşağıdaki ekranda Active Directory'nin etkili olması için, Restart Now seçeneğine tıklayacağız.

Bilgisayar Restart olduktan sonra, DC'niz hazır.

ACTIVE DIRECTORY KONTROLÜ:
Kurulumu tamamladık. Normal kullanıma oranla ne değişti, neler eklendi, neler devre dışı kaldı. Şimdi bunları kontrol edelim.
ADMINISTRATIVE TOOLS (YÖNETİM ARAÇLARI):
Yeni yönetim kontrolleri eklendi. Bunların bir kısmı direkt Administration Tools menüsünde bulunur. Bir kısmının ise MMC Konsol'u ile yüklenmesi gerekir.
Bunları inceleyelim;
Active Directory Users and Computers:

Administration Tools kısmından ulaşacağımız bu özellik ile kullanıcı hesaplarını, grupları, Ous'ları, bilgisayar hesaplarını yönetir ve yeni ekleyebiliriz. Yine bu kısımdan Policy yönetimi yapabiliriz.
Buradaki Builtin kısmında, yerleşik gruplar bulunur. Domain içinde bulunan tüm Domain üyesi bilgisayarları Computers kısmında görebiliriz. Active Directory içinde bulunan tüm DC bilgisayarları ise Domain Controllers kısmından görebiliriz. Diğer güvenlik yapıları ForeignSecurityPrincipals, Normal kullanıcı ve gruplar ise Users klasöründe bulunur.
Şu anda görünmeyen ancak, bazı durumlarda görüntülememiz gereken diğer klasörleri, View menüsünden Advanced Features seçeneğine tıklayarak, görüntüleyebiliriz.

Active Directory Domains and Trust:

Yine Administration Tools kısmından ulaşabiliriz. Burada Domain'ler arasında güven ilişkileri düzenlenir. Ayrıca User Principal Suffixes ekleme, Domain ve Forest fonksiyonlarını değiştirme buradan yapılır.
Active Directory Sites and Services:

Administration Tools seçeneğinden ulaşacağımız son yönetim aracıdır. Burada yeni Site oluşturma, Site veya Subnet'ler arasında bilgilerin replikasyon ayarları yapılır.
Active Directory Schema:
Bu özellik Administration Tools kısmına, otomatik olarak eklenmez. Manual
olarak eklememiz gerekir. Bunun için;

Start/Run seçeneğine regsvr32 schnimgmt.dll yazılır.

Yandaki mesaj çıktığında Active Directory Schema
başarı ile kurulmuştur.

Şimdi bu yüklenen Active Directory Schema yönetim aracını Administration
Tools kısmına getirmek için; Start/Run kısmına MMC yazılır.
File menüsünden Add/Remove Snap-in seçilir.

Gelen ekranda Add butonuna tıklanır.

Listede daha önce
olmayan ama, artık görünen
Active Directory Schema
seçilerek, Add butonuna
basılır ve Close butonu ile
bu ekran kapatılır.
OK butonuna basılarak
bu bilgi, Konsol'a eklenir.

File menüsünden Save as seçilerek Administration Tools içinden, istediğiniz bir isimle kaydedilir. Biz Schema adı ile kaydediyoruz.

Bu kısımdan Schema bilgileri yönetilir.
ADSI Editör:
Active Directory içinde bulunan objeleri görüntülemek, değiştirmek, silmek, yenilerini oluşturmak için, kullanacağımız diğer bir gelişmiş özelliktir. Bunu yüklemek için; Windows Server 2003 CD'sinden yararlanılır.
Windows Server 2003 CD'sini takalım ve açılan otomatik ekranları kapatalım.

Yandaki yola
girerek,
SUPTOOLS.MSI
dosyasına iki kez tıklayıp, destek araçlarını kuralım.
Daha sonra yeni bir MMC konsolunu kullanarak, listeden ADSI Edit'i seçerek ekleyelim.
Ayrıca Dsadd, Dsmod, Dsquery, Dsmove, Dsrm, Dsget, Csvde ve Ldifde gibi
komut satırı yönetim araçları vardır. Yine WSH(Windows Script Hoşt)
kullanılarak oluşturulan Script dosyaları ile yönetim sağlanabilir.  

ADMINPAK.MSI:
Active    Directory   yapısını   yönetmek   için    mutlaka   Domain    Controller
bilgisayarında olmanıza gerek yok. Zaten güvenlik gereği DC bilgisayarı, ayrı hatta kilitli bir oda da tutulmalıdır. Siz Domain içinde bulunan bir başka bilgisayardan, yukarıda belirttiğimiz yönetim araçlarını kullanabilirsiniz. Bunu, Domain üyesi olan bir Windows XP bilgisayarına yükleyebiliriz.
Bunun için ;
Windows Server 2003 CD'si, Windows XP bilgisayarına takılır.
Cd içinde bulunan 1386 dizim" içindeki Adminpak.msi dosyası üzerine, iki kez
tıklanarak kurulum yapılır.

Artık tüm yönetim araçları, Windows XP bilgisayarına yüklenmiş durumdadır. Eğer Administrative yetkilerine sahipseniz, bu bilgisayardan kendi yönetici hesabınız ile (Administrator) logon olarak, Active Directory yapısını yönetebilirsiniz.

DİĞER KONTROLLER:
S YSVOL Klasörü:
Bu klasörün oluşması ve paylaşıma açık olması lazım. Bu kontrolü yapmak
için;
Start/Run kısmına %systemroot%\sysvol yazarak, OK butonuna basıyoruz.

Bu klasörün içinde; Donıain. Staging, Staging Areas ve Sysvol klasörlerinin olması gerekmektedir. Eğer SYSVOL klasörü doğru bir şekilde oluşmaz ise, Group Policy, Script gibi içinde bulunan veriler; diğer Domain'lerle replike olmaz, yani güncellenmez.

Şimdi paylaşım olmuş mu- olmamış mı? Bunu kontrol etmek için, Command Prompt'a geçiyoruz.

net share komutunu yazarak, Enter tuşuna basıyoruz.

\WINDOWS\SYSVOL\sysvol klasörü SYSVOL adı ile,
\WINDOWS\SYSVOL\sysvol\domainadı\SCRIPTS klasörü ise NETLOGON adı ile otomatik olarak paylaştırılmış olmalıdır.

ACTIVE DIRECTORY VERİ TABANI ve LOG DOSYALARI:
Kurulum başarı ile tamamlanınca, Active Directory'e ait veri tabanının ve log dosyalarının da başarı ile oluşması gerekmektedir. Bunun için;
l)Eğer yerini değiştirmedi iseniz, Start/Run'a %systemroot%/sysvol yazılarak veri tabanı ve log dosyalarının bulunduğu kışıma gidilir.

ntds.dit
dosyası; veri tabanı dosyasıdır. Ebd.*. dosyaları; transactions log ve checkpoint dosyalarıdır. Res*.Iog dosyaları ise; Reserved dosyalarıdır.

EVENT VIEWER:
Bu kısımda ise kurulum sırasında meydana gelen olayları ve hataları görebiliriz.
Bunun için;
Adminstration Tools kısmından Event Viewer seçilir.

Burada Directory Service, DNS Server, File ReplicationService ve System
kısımlarında bulunan log'ları izleyelim.
DNS KONTROLÜ:
Kurulum sonrasında DC, Restart edilmelidir. Restart işleminden sonra, DC'ye ait SRV kayıtları; DNS veri tabanına kaydedilir. SRV kayıtlarını, nslookup komutu ile görüntüleyebilirsiniz. Ayrıca DNS yapısından; ilgili yapıları izleyebiliriz
DNS izlemek:
Administration Tools kısmından DNS'i açalım..
2.         DNS sunucusunun ismi üzerinde çift tıklayalım. Fonvard Lookup Zones
üzerinde   çift   tıklayalım.    Domain    ismi    üzerinde   çift   tıklayalım(örneğin,
sabitaksu.com.com). Eğer SRV kayıtları kaydedilmiş ise, oluşması gereken
klasörler;
_msdcs ;    sites ;    tep ve   udp
Nslookup komutunu kullanarak izlemek:
Run kutusuna emd yazıp, ENTER tuşuna basarak komut satırına geçiniz.
nslookup yazıp, ENTER tuşuna basınız.
(sabitaksu.com domain'i için) İs -t SRV sabitaksu.com yazıp, ENTER
tuşuna basınız.
Böylelikle SRV kayıtları listelenecektir.

ACTİVE DIRECTORY KURULUM HATALARI :
Access  denied:   Kurulum  sırasında bu  işlem  için,  yetki  sahibi  olunmadığı
bildirilmiş ise;
Eğer Forest için ilk DC kurulumu yapıyorsanız; logon olduğunuz kullanıcı
hesabının, Local Administrator grubu üyesi olmasına dikkat ediniz.
Eğer mevcut bir Domain'e DC ekliyorsanız; logon olduğunuz kullanıcı
hesabının, mevcut yapıda   Domain Administrator grubu üyesi olmasına
dikkat ediniz.
DNS or NetBIOS domain names are not unique: Söz konusu isimlerin Domain içerisinde tek olmasını, sağlamak zorundasınız.
•           Eğer belirlediğiniz isim mevcut ise ismi değiştiriniz.
Domain can not be contacted: Mevcut Domain'e yeni bir DC eklenirken, ilgili DC bilgisayarı ile temas kurulamadığı veya ortamda bu tanıma uygun bir Active Directory Domain yapısı olmadığı mesajı alınabilir.
SRV kayıtlarının oluşturulduğundan emin olmak için DNS'i kontrol ediniz.
SRV kayıtlarında sorun varsa, mevcut DC net logon servisini durdurup
yeniden başlatınız.
Eğer DNS yapısındaki SRV kayıtlarında sorun yok ise nslookup komutunu
kullanarak, kurulumunu yapmaya çalıştığınız bilgisayara ait DNS isminin;
çözümlemesinin yapılıp- yapılmadığını kontrol ediniz.
Insufficient disk space: Active Directory kurulumu için minimum 250 MB yer
gereksinimi vardır (veri tabanı için 200 MB, log dosyalan için 50 MB).
•   Kurulum yapılacak alanda yeterli boşluk olup- olmadığını kontrol ediniz.

ACTIVE DİRECTORY'nin SİLİNMESİ:
kadar emek verip kurduk. Tabiiki hemen silecek değiliz, ancak günün birinde gerekir diye, nasıl Active Directory'nin kaldırılacağını inceleyelim.
Start/Run kısmına dcpromo yazılır.

İlk sihirbaz ekranı Next butonu ile geçilir.
Eğer aşağıdaki mesaj gelirse bu DC'nin aynı zamanda, Global Catalog olduğu
uyarısını veriyor ve sistemdeki Active Directory yapısının devam edebilmesi
için, bu özelliği başka bir DC'ye aktarmamız gerektiğini söylüyor. Biz, eğer tek
Domain ise ve kaldıracaksak bunun önemi yok, OK deyip yolumuza devam
ediyoruz.

Bu gelen ekranda eğer sileceğimiz Active Directory içeriğine sahip DC, Domain içindeki son Domain ise This server is the last domain controller in the domain seçeneğine tıklamamız lazım. Sileceğimiz DC eğer bir Additional
DC ise o zaman kutuyu boş bırakarak, silme işlemine devam etmemiz gerekiyor. Biz DC'nin, son Domain olduğunu kabul ettik ve kutuyu doldurup Next butonuna bastık.

Gelen ekranda yeni yönetici şifresini soruyor, eğer vereceksek giriyoruz yok boş kalacak ise Next butonu ile geçiyoruz.

Özet ekranını son olarak okuyoruz ve silmeye kararlı isek, Next butonuna basarak, silmeyi başlatıyoruz.

Hasarlı Active Directory'nin Silinmesi;
Bazen Active Directory hasar görebilir. Ne de olsa Microsoft ürünü, ne kadar hataları aza da indirseler günün birinde DC'niz açılmayabilir. O zaman ne yapacaksınız? Active Directory'den kurtulmak istiyorsunuz. Evet bu en doğal hakkınız ve bunun için yapacağınız işlem; çalışan bir DC üzerinden çöken DC'yi Active Directory ortamından silmek olmalıdır.
Bu işlemi yapmak için:
Çalışan bir DC üzerinden Command Prompt kısmına geçilerek ntdsutil yazılıp, Enter'a basılır.

Metadata cleanup mod'unda iken connections yazılarak, Enter'a basılır.

Şu an ntdsutil mod'undayız, metadata cleanup yazılıp, Enter'a basılarak; metada cleanup mod'una geçilir.

Server connections kısmında aşağıdaki komutlar kullanılarak, çalışan DC ile ilişkiye geçilir ve sonra bu kısımdan çıkılarak, tekrar bir önceki kısma dönülür. Server connections: Connect to server ServerName FQDN Server connections: quit


Metadata Cleanup kısmında iken bilgiler almak için, Select Operations Target yazılır. (Sadece baş harfleri de yeterli olur. Örneğin bu bağlantı için, s o t yazılabilir.)

Sırası ile aşağıdaki komutlar yazılarak, Enter'a basılır.
Select operations target: üst sites
Select operations target: select site number
Select operations target: list domains in site
Select operations target: select domain number
Select operations target: list servers in site
Select operations target: select server number (Silinmek İstenen DC)
Select operations target: quit
Son olarak, silmek için aşağıdaki komutlar yazılarak, işlem tamamlanır.
Metadata cleanup: rejtnove selected server
Metadata cleanup: quit
NOT: Sistemde çalışan ve ulaşılabilir olan DC ler bu yöntemle silinemez.

DOMAİN ÜYELİĞİ:
Domain'i kurduk. Amacı Merkezi yönetim olduğuna göre, sistemimizde bulunan bağımsız bilgisayarları hizaya sokmanın zamanı geldi. Bilgisayarları Domain'e bağlı uslu birer client yapmak için;
My Computer üzerinde sağ tuşa basarak; Properties seçeneğine tıklanır.
Computer name tab sekmesine geçilerek, Change butonuna tıklanır.
3)         Member   of   kısmından   Donıain   seçeneği   işaretlenerek   alttaki   alana,
katılacağınız Domain'in adı yazılır ve OK butonuna basılır. Dikkat edin! daha
önceden  kendi bilgisayarınızda DNS adresini  TCP/TP özelliklerinden vermiş
olunuz. Yoksa, bu ismi çözümleyemez ve Domain'e katamazsınız.

Gelen ekrana DC'ye ait kullanıcı adı ve şifre yazılarak, OK butonuna basılır.
Ardından Hoşgeldiniz ekranı gelir ve bilgisayarınızı yeniden başlatmanız gerektiğini söyler. Ayarların etkili olması için, bu tavsiyeye uyarak yeniden başlatırız. Logon ekranında Options butonuna tıkladığınız zaman, iki seçenek olduğunu görürsünüz. Bilgisayarı lokal açmak istiyorsanız; listeden kendi bilgisayar adınızı seçersiniz. Domaine üye olarak girmek istiyorsanız; o zaman listeden Domain adını seçtikten sonra, logon olursunuz. Güvenlik gereği, kullanıcıların bilgisayarlarını lokal olarak açmasını engellemeniz gerekir. Çünkü; Domain ve lokal kullanıcı adları ve şifreleri başkadır. Bunun için lokal kullanıcı adını veya
şifresini değiştirirseniz kullanıcı, mutlaka Domain'e girmek zorunda kalır. Böylece, sonradan başınız ağrımaz.

DC'nin ADININ DEĞİŞTİRİLMESİ:
Sadece Windows Server 2003'e ait olan bu özellik ile bir DC'nin adını değiştirebilirsiniz. Bu değişikliği yapmanız için, Domain Admins haklarına sahip olmanız gerekir.
Bunun için;
My Computer üzerinde sağ tuşa basarak, Properties seçeneğine tıklanır.
Computer name tab sekmesine geçilerek, Change butonuna tıklanır.
Gelen uyarı ekranı OK butonu ile geçilir.

Computer name kısmına yeni
isim yazılarak, OK tuşuna basılır.
Aşağıdaki ekrana kullanıcı adı
ve şifre yazılarak (Domain
Admins haklarına sahip olacak),

OK butonuna basılır.
Daha sonra karşımıza gelen uyarı ekranında, bu ayarların etkili olması için
bilgisayarı yeniden başlatmamızı tavsiye eder ve biz bu uyarıya uyarak, yeniden
başlatırız,
Yeniden başlatma sonunda hem DNS içinde, hem de Active Directory User
and Computer içinde, bu değişikliklerin yansımış olması gerekir. Gidip bir gözatmakta fayda var.
Bana'sorarsanız? Pek isim değişikliği yapmayın derim.

Ayrıca isim değişikliği yapıldığı zaman istenirse Primary DNS suffix bilgisi de değiştirilebilir. Ancak bu değişiklikle DC'nizi yeni bir Active Directory yapısına taşıyamazsınız. Örneğin: yuksel.fener.com'u yuksel2.galata.com yapmak istediniz. Hiç olur mu? hiç fenerli galatalı olabilir mi? akıl var mantık var. Sadece kendinizi aldatırsınız. O hala fener.com domaininde kalır. Bu yapılamaz. Ancak aynı domain içinde suffix değişikliği yapmanız mümkün. Örneğin: yuksel.fener.com'dan yuksel2.gencfb.fener.com yapısına değiştirebilirsiniz. Bunun hiçbir mahsuru yoktur.©
Peki bu nasıl yapılır?
My Computer üzerinde sağ tuşa basılarak, Properties seçeneğine tıklanır.
Computer name tab sekmesine geçilerek, Change butonuna tıklanır.
Gelen uyarı ekranı, OK butonu ile geçilir.
Gelen isim değiştirme ekranında, More butonuna basılır.
Primary DNS suffix of this computer kısmına yeni suffix yazılır ve OK
butonuna basılır. Tabii böyle bir Domain'in olması gerekir. Olmayan bir yere
gönderemezsiniz. Örneğin: Siz, Galatalıları Ali Sami Yen'e gönderebilir misiniz?
yok doğru, Olimpiyat stadına giderler.

Yalnız bu değişikliği, isim değiştirirken yapmanız gerekir. Yoksa, kafanıza göre sadece suffix değişikliği yapamazsınız.
Eğer ille de başka bir Active Directory yapısına geçeceğim diyorsanız, galata.com gibi o zaman

Active Directory'i kaldırıp, yeniden kurmanız gerekmektedir.

MIXED- NATİVE- WINDOWS.NET MODE:
Active Dir£ctory kurulumu sırasında bu mod'lar hakkında bilgi vermiştik. Eğer Windows 2000 öncesi DC'ler sisteminizde varsa, Mixed Mode ile kurulum yapmanızı önermiş, sonradan istediğiniz zaman bu dönüşümü yapabileceğinizi belirtmiştik. Bu dönüşüm tek yönlüdür, geriye dönüş yoktur. Eğer sisteminiz Windows 2000 ve sonrası ise, mutlaka bu dönüşümü yapınız. Çünkü; Native Mode'un sağladığı birçok avantajlar bulunmaktadır. Bunu da yeri geldiği zaman belirteceğiz. Şimdi burada bulunan tüm seçenekleri, tek tek inceleyelim. Daha sonra birine karar verip, dönüşüm yapalım.
Windows 2000 Mixed: Kurulumda değişiklik yapılmadığında gelen, default seçenektir. Bu mod'u Windows 2000 Native veya Windows Server 2003 Mode' una çevirebiliriz. Mixed-Mode içinde Windows NT 4.0 Backup Domain Controller bulunabilir. Ancak universal group gibi birçok özellik kullanılamaz.
Windows 2000 Native: Eğer sisteminizde sadece Windows 2000 ve Windows 2003 Domain Controller varsa, kullanabileceğiniz bir seçimdir. Ancak Windows 2003 ile gelen Active Directory özelliklerinin hepsini kullanmaz.
Windows 2003 Server: Bir Domain için en yüksek özelliklere sahip seçenektir. Tüm Active Directory özellikleri kullanabilir. Ancak sistemde sadece Windows Server 2003 Domain'lerinin olması gerekmektedir.
Windows 2003 interim: Özel bir seçenek olup, kısıtlı kullanıma sahiptir. Windows 2003 ve Windows NT 4.0 Domain'lerine destek veririr.
Bir tablo seklinde kıyaslama yapalım;

Özellik                                              Windows 2000 mixed     Windows 2000 native Windows 2003 Server
Domain controller rename tool                Disabled                                  Disabled                               Enabled
Update logon timestamp                             Disabled                                      Disabled                      Enabled
Kerberos KDC key version                                
Numbers                                                              Disabled                        Disabled                          Enabled
UserpassvratdonlnetOrgPeison             
object.                                                   Enabled distribution g.           Enabled                       Enabled
Universal Groups                                             Disabled secunty g.        Enabled            Enabled
Enabled distribution g.
Group Testıng                                        Disabled securıty g,     Enabled                                  Enabled                                                                   domain local security g.

Converting Groups                                Disabled                                   Enabled                              Enabled.
SID History                               Disabled                                   Enabled                              Enabled

Nasıl dönüştürülür?
Administration Tools kısmından Active Directory Users and Computers
seçilir.
Domain adı üzerinde sağ tuşa basılarak, Raise Donıain Functional Level
seçeneğine tıklanır.

Gelen ekrandan uygun mode seçilir ve Raise butonuna tıklanır.

Yandaki uyarı ekranında, bu dönüşümün ters yönde bir daha, yapılamayacağı belirtilir ve OK ile kabul edilir.

Ardından gelen bilgi mesajında bu mode bilgisinin, tüm DC'lere 15 dk. içinde duyurulacağı belirtilir. OK butonuna basılır.
FOREST MODE:
Yukarıda yaptığımız işlem, sadece o Domain ve yavruları için geçerlidir. Eğer bu özellik, tüm Forest bünyesinde etki edecek ise bir de forest çevirme modu vardır.
İki tane Forest Mode'u vardır;
Windows 2000: Default ayardır.
Windows 2003: Windows 2000'e göre Replikasyon performansını yükseltme ve
forestlar arasındaki trust(güven) ilişkilerinde güçlüdür.
Forest Mode'u değiştirmeden önce, Domain içinde bulunan tüm Domain'leri, en az Windows 2000 Native Mode'a dönüştürmek zorunludur.
Forest Mode     Desteklediği Domain controllerlar
Windows 2000 (default) Windows NT 4.0, Windows 2000, Windows .NET
Windows .NET  Windows .NET
Eğer bir WindowsNT Domain'ini yeni bir Forest içinde, Windows.NET
Upgrade edersek Windows .NET interim adı ile anılan ekstra bir mode tipi daha
ortaya çıkar.     
Forest Özelliği   Windows 2000 Windows .NET
Global catalog replication tuning Disabled           Enabled
Defunct schema objects            Disabled           Enabled
Forest trust       Disabled           Enabled
Linked value replication  Disabled           Enabled
Domain rename Disabled           Enabled
İmproved replication algorithms.  Disabled           Enabled
Dynamic auxiliary classes.        Disabied           Enabled
inetOrgPerson objectClass change         Disabled           Enabled

Nasıl yapılır?
Administration Tools kısmından Active Directory Domains and Trust
seçilir.
Active Directory Domaind and Trust üzerinde sağ tuşa basılarak, Raise
Forest Functional Level seçeneğine tıklanır.

Windows 2003 modu seçilerek, Raise butonuna tıklanır. Gelen uyarı ve bilgi ekranları OK butonu ile geçilir.

ACTIVE DIRECTORYve DNS:
Active Directory ile DNS yapılarının entegrasyonu ile Domain ve bilgisayarların hem Active Directory objesi, hem de DNS Domain'i olarak sunumu sağlanmıştır. Böylece bir kullanıcı; Client bilgisayara logon olurken veya bir yazıcı için Active Directory   içerisinde   arama  yaptırırken,   Client  bilgisayarın   Domain   içinde bulunan, DNS Server bilgisayarı üzerinden sorgulama(query) yapmasına olanak verilir.
Tüm bunların yanısıra entegrasyon esnasında DNS Primary Zone bilgilerinin Active Directory içerisinde depolanması mümkün kılınmış olup, hem güvenlik
düzeyi  arttırılmış, hem de diğer DC'ler ile DNS kayıtlarının replikasvonu sağlanmıştır. Active Directory yapılandırılmadan önce veya yapılandırılma sırasında DNS kurulumu  gereklidir.  Network Infrastructure konumuzda,  uzun  uzun  DNS
bilgisi verdik. Burada bu bilgilere kısaca değinerek, Active Directory kurulumu ile gelen yapıları daha detaylı inceleyeğiz.
Bir Active Directory Netvvork yapısında öncelikli olarak DNS tarafından sağlanan hizmetleri inceleyecek olursak;
İsim Çözümlenmesi: Bilgisayar isimlerinin İP adreslerine çözümlenmesi dolayısı ile bilgisayarların birbirlerinin yerlerini saptaması sağlanır. Windows2000- 2003 Netvvork ortamındaki bir bilgisayar, yerini tesbit etmek istediği bilgisayarın ismini içeren bir soruyu, DNS sunucusuna gönderir. DNS sunucusu, kendi veya bağlantılı olduğu diğer DNS sunucularının kayıtlarına bakarak, yanıtlamaya çalışır. Olumlu yada olumsuz sonucu, Client bilgisayara ulaştırır. DNS ayrıca, İP adresinden bilgisayar ismine de çözümleme yapabilir.
Windows2000-2003 Domain İsimlendirme Tarzı: DNS domain isimlendirmesi ile Active Directory domain isimlendirmesi benzer hiyerarşik yapılar kullanır. Örneğin: "deniz.kumsal.albatros.com" bir DNS domain yapısı ismi olabileceği gibi, aynı zamanda bir Active Directory domain ismi de olabilir.
Active Directory fiziksel komponentlerinin belirlenmesi: Netvvork ortamına katılım(logon) veya Active Directory içerisinde paylaştırılmış bir kaynağı arama işlemlerinde, üzerinde çalıştığınız Windows 2000- 2003 işletim sistemi kurulu bilgisayarınızın öncelikle DC veya Global Catalog Server bilgisayarına ulaşması zorunludur. Hem kimlik denetimi(authentication), hem de sorgulama(query) işlemleri için bu kural geçerlidir. Hangi bilgisayarların bu görevi üstlendiği ise, DNS veri tabanında yer almaktadır. İşte özellikle bu nedenlerden dolayı, Active Directory yapısında DNS zorunludur.

ACTIVE DIRECTORY INTEGRATED ZONE:
Active Directory kurulumundan sonra, Active Directory ile bir DNS Zone'unu entegre edebilirsiniz. Böylece, DNS Zone veri tabanının depolanması ve replikasyonunda, Active Directory yapısı kullanılabilir. Active Directory integrated fonvard ve reverse lookup zone yapılarından yararlanabilirsiniz.
Active Directory integrated Zone yapısına geçilince, Primary ve Stub Zone'ları bünyesinde tutarak, Active Directory replikasyonu ile beraber bu bilgiler de diğer DC içindeki, Active Directory integrated Zone'daki DNS'ler ile güncellenir.
Eğer yeni bir DNS kuruyorsanız ve bilgisayarınız DC ise, bu Zone tipinde kurabilirsiniz.
Daha önce Primary Zone ile yapılandırdığınız bir DNS'i, Active Directory ile ilişkilendirdikten sonra, zone tipini Active Directory integrated Zone yapmak isterseniz;
Administration Tools seçeneğinden DNS açılır.
Bu değişim hem Fonvard, hem de Reverse Lookup Zone'larda yapılabilir.
Fonvard Lookup Zone'da yapmak için Forvvard Lookup Zone'un başındaki artı
açılarak, Domain adına ulaşılır. Domain adı üzerinde sağ tuşa basarak, Properties
seçeneğine tıklanır.

General Tab sekmesi üzerinde Type bölümünün karşısında bulunan Change seçeneğine tıklanır. (Bizim DNS'imiz Active Directory kurulurken, otomatik olarak kurulduğu için Type kısmında Active Directory-Integrated zone yapısında görünüyor. Eğer daha önce başka bir DNS olsa idi, orada Primary Zone görünebilirdi)

 

 

 

 

 

OK butonuna basıyoruz.

 

 

 

 

 

 

 

Active Directory Integrated içinde sadece, Primary veya Stub Zone'lar bulunabilir. Bunun için yukarıda, bu iki seçenekten birisi işaretli olduktan sonra, Store the zone in Active Directory (availabble only if DNS server is a domain controller) kutusunu doldurarak

Active Directory Integrated Zones İçin Güvenli Güncelleme:
Active Directory-integrated zone kurulumu sonrasında, zone'lan güvenli dinamik güncelleme için ayarlayabiliriz. Windows 2000-2003 DNS hizmeti, DNS dinamik güncelleme protokolünü destekler. Söz konusu protokol, Windows 2000-2003 tabanlı bilgisayarların, DNS Server'da otomatikman güncellenmesine izin verir. Dolayısı ile kaynak kayıtları Administrator müdahalesi olmaksızın güncellenir. Active Directory-integrated DNS zone özelliğini "only secure updates" olarak belirlediğiniz zaman, söz konusu zone ve kayıtlara erişim kontrolünün DACL tarafından yapılmasını sağlamış olursunuz.
Sadece güvenli güncellemeye izin vermek için ;

dministration Tools
seçeneğinden DNS açılır.
Bu değişim hem
Fonvard, hem de Reverse
Lookup Zone'larda yapılabilir. Forvvard Lookup Zone'da yapmak için Fonvard Lookup Zone'un başındaki artı açılarak, Domain adına ulaşılır. Domain adı üzerinde sağ tuşa basarak, Properties seçeneğine tıklanır.
3)General tab sekmesinin
altında bulunan Allow
dynamic updates seçeneği
yanındaki liste açılarak,
Only secure updates
seçilir. Diğer iki seçeneği Networking Infrastructure bölümünde incelemiştik. Bu yapı detayı için, o bölümdeki DNS konusuna bakabilirsiniz.

Active Directory Integrated Zone İle Replikasyon Ayarları:
Active Directory Integrated Zone'un sağladığı en büyük avantajlardan biri; DC'ler arasındaki DNS bilgilerinin güncellemesinin otomatik ve oldukça güvenli bir şekilde yapılmasıdır. Bu bilgilerinin güncellemesinin, nerelerdeki DC'lere veya DNS'lere kadar uzanacağını ayarlamak için;
Administration Tools seçeneğinden DNS açılır.
Bu değişim hem Fonvard, hem de Reverse Lookup Zone'larda yapılabilir.
Forvvard Lookup Zone'da yapmak için Fonvard Lookup Zone'un başındaki artı
açılarak, Domain adına ulaşılır. Domain adı üzerinde sağ tuşa basarak, Properties
seçeneğine tıklanır.

General tab sekmesine geçilerek, Replication seçeneği karşısında bulunan
Change butonuna tıklanır.
Gelen ekrandan DNS verilerinin, nerelerle güncelleneceği belirtilerek, OK
butonuna basılır.

SRV RECORD:
DNS içerisinde FQDN ile Windows 2000- 2003 işletim sisteminde "full computer name" yanısıra, DC bilgisayarlar tarafından kullanılan özel bir servis ile tanımlama yapılmaktadır. Windows 2000- 2003 işletim sisteminde, Domain bilgisayar isminin İP adresine çözümlenerek, lokasyonlarının tesbitinde DNS kullanılır. Bu sorunun üstesinden SRV kaynak kayıtları kullanılarak gelinir. SRV kayıtları; TCP/IP (Transmission Control Protocol / Internet Protocol) gibi spesifik bilgiler içerir.
Bir DC çalışmaya başladığında, söz konusu DC'nin Net Logon servisi, DC tarafından sunulan tüm Active Directory bağlantılı servislerde, DNS veri tabanındaki SRV kayıtlarının kaydedilmesi için, DNS dinamik güncelleme özelliğini(dynamic update feature) kullanarak çalışmaya başlar. Böylece, Windows 2000-2003 işletim sistemi kullanan bir bilgisayar, bir DC ile temasa geçme ihtiyacı duyduğunda, DNS sunucusu üzerinden sorgulama yapabilir.
SRV (Servis) Kaynak Kayıtları:
Active Directory yapısının fonksiyonlarını hakkı ile yerine getirebilmesi için, DNS sunucusu mutlak suretle SRV kayıtlarını desteklemelidir. SRV kayıtları, Client bilgisayarların Active Directory içerisindeki bilgiler için, arama işlemleri ile logon talebi sırasında kimlik denetimini gerçekleştiren spesifik servisleri bünyesinde bulunduran, sunucuların lokasyonlarını tesbit etmelerine olanak sağlar. SRV kayıtları ayrıca, DNS sunucusunun aşağıdaki bilgisayarların lokasyonunu tespit etmesinde de rol üstlenir;
Spesifik bir Windows 2000-2003 Domain veya Forest yapısında yer alan
birDC.
İstemci bilgisayar ile aynı site içerisinde yer alan bir DC.
Global Catalog sunucusu olarak konfıgürasyonu yapılmış bir DC.
KDC(Key Distribution Center) servisinin çalıştığı bir bilgisayar.
SRV Kayıtları ve A Kaynak Kayıtları: Bir DC çalışmaya başladığında sunduğu servisler hakkında bilgi içeren SRV kayıtlarını kaydetmeye başlar. Bunun yanısıra, kendi bilgisayar ismi ile İP numarasını içeren A tipi kayıt, otomatikman oluşturulur. DNS sunucusu ise "tüm bu bilgiler vasıtası ile ismin İP çözümlemesini yaparak, Client bilgisayarların sorgulamasına yanıt verir.
Windows 2000 işletim sisteminde DC ayrıca, Active Directory objeleri üzerinde arama ve değişiklik yapmaya imkan tanıyan LDAP(Lightweight Directory Access Protocol) sunucusudur.

SRV Kayıt Formatı:
Tüm SRV kayıtları, standart bir format kullanır. Söz konusu format, aşağıda gösterildiği gibidir:
service, jrotocol.name ttl class SRVpriority \veightport target Bu özellikleri görmek için; 1) DNS Server'ı açalım.

Domain adı
basıdaki artıya tıkladığımızda DNS içinde bulunan tüm SRV kayıtlarını görebiliriz. Buradan herhangi birini seçtiğimiz zaman, buna ait içerikler sağ tarafta
görünecektir. Bir özelliğin üzerinde sağ tuşa basarak, Properties seçeneğine tıkladığımızda görüntü, yandaki gibi olacaktır. Şimdi buradaki özelliklerin neler olduğunu inceleyelim.

Alan (Field)
Açıklama (Deseription)
_service            SRV kayıtlarının kaydedilmesi için, sunucu üzerinde çalışan
servisin spesifik ismi( LDAP veya Kerberos gibi)
_protocol          Taşıma protokol tipi( TCP veya UDP gibi)
name    Kaynak kayıt tarafından referans verilmiş, spesifik Domain
ismi
ttl         Saniye cinsinden, DNS kaynağı içerisinde standart bir alanın
yaşam süresi(Time To Live)
class    Internet sistemi içerisinde genellikle "İN" değerini alan,
standart DNS kayıtları için spesifik sınıf değeri
priority  Sunucunun öncelik değeri. İstemciler, öncelik değeri en
düşük olan sunucuya bağlanmaya çalışırlar.
Weight  Yük dengeleme mekanizmasıdır. Aynı Domain içerisinde
öncelik değeri eş, birden fazla kayıt ile karşılaşan Client'ın, yüksek vveight değeri ile SRV kayıtlarını rastgele(randomly) seçmesi sağlanır.
Port      Bu servis için sunucunun "dinlemede" olduğu spesifik port
değeri.
Target   Servisi çalıştıran bilgisayarın FQDN(fully qualifıed domain
name) ismi.
Örneğin;
Jdap.Jcp.fener.com 600 İN SRV 0 100 389 yuksel2.fener.com.
-LDAP servisi TCP taşıma protokolü kullanılarak sunulacak
-SRV kayıtları fener.com DNS Domain'inde kaydedilecek
-TTL değeri 600 saniye, Sınıf değeri "İN", Priority değeri 0, weight değeri 100
-FQDN ismi yukseI2.fener.com

DC Tarafından SRV Kayıtlarının Kaydedilmesi:
Bir DC çalışmaya başladığı zaman DC üzerindeki Net Logon servisi, DNS veri tabanı içerisindeki SRV kaynak kayıtlarını kaydetmek amacı ile, dinamik güncelleme özelliğinden yararlanır. Bazı SRV kayıtları ile inceleme kriterleri aşağıda listelenmiştir:

SRV Kayıtları
_ldap._tcp.DNSDomainİsmi
_ldap._tcp.Siteİsmi._sites.dc._msdcs.DNSDomainİsmi
_gc._tcp.DNSForestîsmi
_gc._tcp.Siteİsmi._sites.DNSForestİsmi
kerberos.tcp.DNSDomainîsmi.
kerberos.tcp.Siteİsmi.sites.DNSDomainName.

inceleme Kriterleri
Bir client bilgisayarın, ismi verilen DNS domain'i içerisindeki LDAP sunucusunu bulmasını sağlar. Tüm DCİer bu kaydı kaydedebilir. Bir client bilgisayarın, ismi verilen site ve DNS domain'i içerisindeki DC bilgisayarını bulmasını sağlar. Site ismi, Active Directory içerisinde depolanan site objesinin "relative distinguished" ismidir.Tüm DC'ler bu kayıdı kaydedebilir Bir client bilgisayarın, ismi verilen forest içerisinde bir global katalog sunucusu bulmasını sağlar. Söz konusu isim,forest root domain'inin domain ismidir. Bu kayıdı sadece global katalog olarak yapılandırılan DC kaydedebilir.
Bir client bilgisayarın, ismi verilen site ve forest içerisindeki global katalog sunucusunu bulmasını sağlar. Bu kayıdı sadece global katalog olarak yapılandırılan DC kaydedebilir.
Bir client bilgisayarın, ismi verilen DNS domain'i için KDC sunucusunun lokasyonunu bulmasını sağlar. Kerberos (version 5) servisi çalıştıran tüm DC'ler bu kayıdı kaydedebilirler.
Bir client bilgisayarın, ismi verilen domain ve site içerisinde KDC sunucusunun lokasyonunu bulmasını sağlar. Kerberos (version 5) servisi çalıştıran tüm DC'ler bu kayıdı kaydedebilir.

Windows 2000- 2003 DC'lere ek olarak, bir Network üzerinde Windows 2000-2003 çalışmamasına rağmen LDAP ve Global Catalog sunucusu olarak yapılandırılmış bilgisayarlar içerebilir.
Böylece herhangi bir bilgisayar, ön tablo içerisinde listelenmiş SRV kayıtlarının kaydedildiği, kendine has servisler sunabilir.
Sadece Windows 2000- 2003 DC Tarafından Kaydedilen SRV Kayıtları: Bir Client bilgisayarın, Windows 2000- 2003 DC bilgisayarının lokasyonunu bulabilmesi için, Domain veya Forest içerisindeki Windows 2000- 2003 işletim sistemine has spesifik servisleri sunan DC'leri tanımlayan SRV kayıtları, Net Logon servisi tarafından kaydedilir. Yukarıda listelenen SRV kayıtlarına ek olarak Windows 2000- 2003 işletim sistemi üzerine kurulu DC'ler, aşağıdaki format'ı kullanırlar;
JService. Protocol. DeType. msdcs. DnsDomainİsmi veya DnsForestlsmi
msdcs formatı; DNS isim alanı içerisindeki alt domaine, Microsoft'a ait spesifik not ekler.
Ön eki   msdcs olan alt domain yapılarında, DC Tip komponentler için mümkün olan değerler;
de; DC'ler için
gc; global catalog sunucusu için
_ldap._tcp.dc._msdcs.DnsDomainİsmi.
ldap.tcp.Siteİsmi.sites.dc.msdcs.DnsDomainİsmi.
ldap.tcp.gc.msdcs.DnsForestİsmi.
ldap.tcp.Siteîsmi.sites.gc. msdcs.DnsForestİsmi. Jkerberos._tcp.dc._msdcs.DnsDomainİsmi. _kerberos._tcp.Siteİsmi._sites.dc._msdcs.DnsDomainİsmi.
DC'lerin Lokasyonunun Bilgisayarlar Tarafından Tesbitinde DNS'in Rolü:
Windows 2000- 2003 Domain'ine logon olurken veya Active Directory içerisinde arama yaptırırken Client bilgisayarın, bir DC ile temasa geçmesi gereklidir. Tüm DC'ler hem A Tipi, hem de SRV kayıtlarını kaydedebilirler. A kayıt; DC bilgisayarına ait FQDN ve İP adreslerini içerir. SRV kayıt ise; DC bilgisayarının FQDN bilgisi ile servis bilgilerini içerir. Böylece Client bilgisayar, DC'nin lokasyonunu DNS üzerinde sorgulayabilir.

Söz konusu işleme ait proses, aşağıda listelenmiştir;

Bir kullanıcı, DC'ye ihtiyaç duyacağı bir işlem yapar( Domain'e Log on olmak,
Active Directory objesi aratmak gibi). DC bilgisayarının yerini sorgulayan Client
bilgisayar üzerindeki Net  Logon  servisi,  bir API(application  programming
interface) olan DsGetDcName'i çalıştırır.
Net Logon tarafından; Client bilgisayar ve ihtiyaç duyulan spesifik servis
hakkındaki bilgiler toplanır. Bu bilgiler, DNS sorgulaması içerisinde yer alacaktır.
Söz konusu bilggileri izleyen DsGetDcName parametreleridir;
-Bilgisayar ismi: Client bilgisayarın ismi (computer name)
-Domain ismi: Sorgulamanın yapılacağı domain ismi
-Site ismi: DC'nin yer aldığı site ismi. Eğer site ismi belirtilmemiş ise DC, Client
bilgisayarın bulunduğu site için; en yakın site içerisinde bulunacaktır.
İsmi belirtilen domain içerisindeki LDAP sunucusu yanısıra;  ismi belirtilen
Domain'in bulunduğu Forest için; Global Catalog sunucusu ile KDC sunucusu
tespit edilecektir. 
Net Logon Servisi; DNS sunucusuna bir DNS sorgusu gönderir. Bu sorgu,
Client ve ihtiyaç duyulan spesifik servislerden toplanan bilgileri içerir.
DNS sunucusu; DNS Zone veri tabanında, ismi verilen domain içerisinde Client
tarafından ihtiyaç duyulan servis; SRV kayıtları için sorgulama yapar.
DNS sunucusu; Client tarafından ismi verilmiş domain içerisinde ihtiyaç
duyulan servisleri sunan; DCİerin İP adreslerinin bir listesini, yanıt olarak geri
gönderir.          
Net Logon servisi; uygun DC'leri tesbit için, bir veya daha fazla datagram (bir
LDAP UDP mesajı) gönderir.     
Tüm uygun DC'ler; datagramı yanıtlar. Net Logon, ilk yanıt gelen DC'ye ait
bilgileri Client bilgisayara iletir.
İstemci bilgisayar; DC bilgisayara talebini iletir.