Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category Fırat Boyan category 03.10.2017 category 3

Windows Server 2012 R2 Active Directory Trust Kurulum ve Yapılandırma - İki Farklı Domain arasında Domain Trust Yapılandırma


active directory trustBu makalemde sizlere Active Directory Trust, başka bir adıyla Domain Trust nedir? nasıl yapılandırılır? konusuna değiniyor olacağım.

Active Directory Trust (Domain Trust), iki farklı forest içerisinde bulunan iki farklı domain'in birbirlerinin kaynaklarına güven ilişkisi içerisinde erişebilmesi, bir domain içinde, diğer bir domain'e ait paylaşım klasörleri üzerindeki NTFS izinlerinin sanki o domain'deymiş gibi ayarlanmalarını sağlamak, bir domain'deki kullanıcıların, diğer bir domain ortamındaki bilgisayarlara kendi domain bilgileri ile erişebilmesi demektir.

Örnek vermek gerekirse; şirketimizin firatboyan.com domainine ait bir yapısı var. Bir satın alma işlemi sonucu firmanız boyanfirat.com firmasını satın alıyor. boyanfirat.com domain'inde bulunan kullanıcılarınızın firatboyan.com kaynaklarına erişebilmeleri için \\ipadresi yazdıklarınla kullanıcı adı ve şifre girilerek erişebilirler ancak girilecek kullanıcı adı ve şifre firatboyan.com’a ait olmak zorundadır. Bu da istenmeyen bir durumdur ve kullanıcıların herhangi bir kısıtlamaya maruz kalmadan bulundukları domain'den diğer domain'deki kaynaklara erişimlerinin yapılabiliyor olması gerekir. Bu tip durumların önüne geçebilmek için Active Directory Trust (Domain Trust) yapısını oluşturacağız.

Senaryom gereği yapım aşağıdaki gibi olacak:

1.
Server:
SRV001 (Primary Domain Controller)
İşletim Sistemi: Windows Server 2012 R2 
Service: DNS - Conditional Forwarder: boyanfirat.com
Domain: firatboyan.local
IP: 10.10.10.100 /24
DGW: 10.10.10.101


2.
Server: SRV0002 (Primary Domain Controller)
İşletim Sistemi: Windows Server 2012 R2 
Service: DNS - Conditional Forwarder: firatboyan.com
Domain: boyanfirat.local
IP: 10.10.20.200 /24
DGW: 10.10.20.201


1. Server ve 2. Server'a ait network bilgileri farklı olduğu ve ortamımda gerçek bir router olmadı için, bu iki network'ün birbirleri ile konuşabilmelerini sağlamak zorundayım. Bunun için ortamıma 3. bir server daha kurup, RRAS (Routing and Remote Access) servisini kurarak, iki network arasında routing yapılandırması için kullanıyorum.

3.
Server: ROUTER
Service: RRAS (Routing and Remote Access)
IP: 10.10.10.101 /24
IP: 10.10.20.201 /24


Yapıldırmama geçmeden önce her iki network'ün de birbirleri ile konuşabilmeleri için gerekli olan yapılandırmaları oluşturturuğuma emin olmak için, hedef network'ün server IP'sine ping atıyorum.

Active Directory Trust

Aynı ping atma işlemini tersi yönde de test ediyorum.

Active Directory Trust

Her iki network'ün birbirleri ile konuşabilmeleri için gerekli olan yapılandırmaları oluşturduysanız, şimdi de Active Directory Trust (Domain Trust) yapımızı kurmaya başlamadan önce bazı temel alt yapıları oluşturmamız gerekmektedir. Bunların başında DNS yapılandırması gelmektedir.

DNS yapılandırmasında Conditional Forwarder ayarı yapıyorum. Conditional Forwarder, standat DNS isim çözümleme sıra hiyerarşisinden farklı olarak, isim çözümlemede host ve cache bilgilerini taradıktan sonra ilk başvuru yapacağı kısım olduğu için, isim çözümleme yapması için kullanacağını trafiğin en aza indirgenmesi için kullanılır ki zaten hedef domain'e erişimlerde de isim çözümleme yaptırabilmemiz için, DNS sorgularını zaten çözebiliyor olmalı. Bu nedenle Conditional Forwarder yapılandırması şarttır.

firatboyan.local domain'inindeki SRV0001 Primary Domain Controller'ı üzerindeki DNS Conditional Forwarder yapılandırması.

1- Bunun için DNS Manager üzerinde Conditional Forwarder üzerinde sağ tıklayarak New Conditional Forwarder... seçeneğini seçiyorum.

Active Directory Trust

1.1- New Conditional Forwarder penceresinde DNS Domain alanına, hedef domain'inimin adı olan boyanfirat.local yazıyor, ardından da IP addresses of the matser servers alanında, hedef network'teki SRV0002 server'ının IP adresi olan 10.10.20.200 IP adresini girip enter'a basıyorum.

Active Directory Trust

1.2- DNS Server'ımın isim çözümlemesi yapıp yapmadığını kontrol etmek için oluşturuğum Conditional Forwarder üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

Active Directory Trust

1.3- Çıkan boyanfirat.local Properties penceresinde Edit butonuna basıyorum ve karşıma gelen Edit Conditional Forwarder penceresinde DNS isim çözümlemesinin başarışı bir şekilde gerçekleştiğini görüyorum.

Active Directory Trust
Active Directory Trust

boyanfirat.local domain'inindeki SRV0002 Primary Domain Controller'ı üzerindeki DNS Conditional Forwarder yapılandırması.

2- Bunun için DNS Manager üzerinde Conditional Forwarder üzerinde sağ tıklayarak New Conditional Forwarder... seçeneğini seçiyorum.

Active Directory Trust

2.1- New Conditional Forwarder penceresinde DNS Domain alanına, hedef domain'inimin adı olan firatboyan.local yazıyor, ardından da IP addresses of the matser servers alanında, hedef network'teki SRV0002 server'ının IP adresi olan 10.10.20.200 IP adresini girip enter'a basıyorum.

Active Directory Trust

2.2- DNS Server'ımın isim çözümlemesi yapıp yapmadığını kontrol etmek için oluşturuğum Conditional Forwarder üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

Active Directory Trust

2.3- Çıkan firatboyan.local Properties penceresinde Edit butonuna basıyorum ve karşıma gelen Edit Conditional Forwarder penceresinde DNS isim çözümlemesinin başarışı bir şekilde gerçekleştiğini görüyorum.

Active Directory Trust
Active Directory Trust

3- DNS Manager üzerinde Conditional Forwarder ayarlarını her iki server için de yaptıktan sonra, domain isimleri üzerinden ping atarak, isim çözümlemelerini kontrol ediyorum.

Active Directory Trust
Active Directory Trust

4- Active Directory Trust (Domain Trust) DNS ayarlarını yapılandırdıktan sonra, Trust yapılandırmasına geçmeden önce ör. boyanfirat.com'a network üzerinden ulaşmaya çalıştığımda, isim çözümlemesi yapmasına rağmen, aralarında bir güven ilişkisi olmadığı için, kimlik denetimi penceresiyle karşılaşıyoruz.

Burada boyanfirat domain'ine ait Administrator hesabı ile giriş yaparak, erişim sağlamış oluyorum.

Active Directory Trust
Active Directory Trust Active Directory Trust

İstenilen durum bu şekilde olmadığı için, bu gibi durumların ortadan kaldırılması olduğu için, Active Directory Trust yapılandırmasına başlayabiliriz.

Active Directory Trust Yapılandırma

5- Active Directory Trust (Domain Trust) yapılandırması için Active Directory Domains and Trusts Manager'ı açıyorum.

Active Directory Trust

5.1- Soldaki domain name (firatboyan.local) üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

Active Directory Trust

5.2- Properties penceresinde Trust sekmesindeyken, en altta bulunan New Trust... butonuna tıklıyor, New Trust Wizard'ı çalıştırıyorum, Next botunu ile ilerliyorum.

Active Directory Trust
Active Directory Trust

5.3- Trust Name ekranında Name alanına boyanfirat.local yazıp, Next botunu ile ilerliyorum.

Active Directory Trust

5.4- Trust Type ekranında Forest trust seçeneğini seçiyorum. Forst trust ile forest bazlı bir güven ilişkisi kurularak, tüm domain'lerin birbirlerine güvenmelerini sağlamış oluruz. Bu seçenek ile aynı zamanda authenticated kullanıcılar, domainler arasında güvenilir olacaktır.

Eğer bu ekranı göremiyorsanız, isim çözümleme başarısız olmuş demektir. Kontrol etmenizi öneririm.

Active Directory Trust

5.5- Direction of Trust ekranında Trust'ın hangi tarafa ve ne şekilde olacağını belirtiyorum. Burada her iki domain de birbirine güvenecekse Two-Way'i seçin. Bu şekilde her iki domaindeki kullanıcılar, bir diğer domaine erişebilir durumda olacaktır.

Active Directory Trust

5.6- Sides of Trust ekranında Trust işleminin forest içerisindeki sadece bir domain için mi yoksa diğer domainleri de içerecek mi sorusuna diğer domainleri de içermesini istediğim için "Both this domain and the specified domain" seçeneğini seçiyorum.

Active Directory Trust

5.7- User Name and Password ekranında trust ilişkisi kurağımız domain'deki (bu adımda boyanfirat.local) yetkili kullanıcı hesabını belirtiyorum.

Active Directory Trust

5.8- Outgoing Trust Authentication Level-Local Forest ekranında boyanfirat.local domain'i için authentication yöntemini "Forest-wide authentication" olarak seçerek, forst'daki tüm kullanıcıların authentication'ınını otomatik olarak sağlanmasını sağlıyorum.

Active Directory Trust

5.9- Outgoing Trust Authentication Level-Specified Forest ekranında boyanfirat.local domain'i içindeki authentication yöntemini "Forest-wide authentication" olarak seçerek, boyanfirat.local domain'indeki tüm kullanıcılar için authentication'ın otomatik olarak sağlanmasını sağlıyorum.

Active Directory Trust

5.10- Hedef domain'e erişim için trust yapılandırmamızı onaylayıp onaylamadığımızı sorduğu Confirm Outgoing Trust ekranında "Yes, confirm the outgoing trust" seçeneğini seçiyorum.

Active Directory Trust

5.11- Hedef domain'den, kaynak domain'e erişim için trust yapılandırmamızı onaylayıp onaylamadığımızı sorduğu Confirm Incoming Trust ekranında "Yes, confirm the incoming trust" seçeneğini seçiyorum.

Active Directory Trust

5.12- Completing the New Trust Wizard ekranında bize, Trust yapılandırması için yaptığımız ayarların özeti ve durum bilgisi gösterilmektedir. Finish butonuna tıklayarak, Active Directory Trust kurulumu işlemini sonlandırıyorum.

Active Directory Trust

6- 2.3- adımda belirttiğim firatboyan.local Properties penceresi altında outgoing ve incoming trusts bölümlerinde boyanfirat.local domain'i için trust yapısının oluştuğunu görüyorum.

Active Directory Trust

7- Trust yapısını oluşturdukran sonra, boyanfirat.local domain'indeki Active Directory Users and Computers içinde Fırat Boyan isimli standart bir kullanıcı oluştuyorum.

Active Directory Trust

8- boyanfirat.local domain'inine ait bu kullanıcı ile, firatboyan.local domain'indeki bir bilgisayara authentication sağlıyorum. Burada dikkat edilmesi gereken nokra, firatboyan domain'indeki bilgisayarda oturum açarken, geldiğiniz kaynak domain'i (boyanfirat.local) özellikle belirtmeniz gerekir. Bunun nedeni, sizin geldiğiniz domain'in bir üyesi olmanızdır.

Active Directory Trust

9- Görüldüğü gibi, firatboyan.local domain'indeki bir bilgisayarda boyanfirat.local domain'indeki kullanıcı ile oturup açma işlemini başarılı bir şekilde sağlamış oldum.

Active Directory Trust
Active Directory Trust

10- Bir başka işlemde ise, bilgisayar üzerindeki firatboyan domain'indeki oturum açtığım bilgisayarın C:\ sürücüsü ana dizini altında bulunan FINANCE isimli klasöre, boyanfirat.local domain'indeki bir kullanıcı için NTFS izini atayacağım.

Active Directory Trust

10.1- firatboyan.local domain'indeki bilgisayarda bulunan bir kaynak için boyanfirat.local domain'indeki kullanıcıya NTFS izinleri yapılandırmasını yapabilmem için, From this location alanındaki domain bilgisini değiştirmem gerekiyor. Bunun için sağdaki Locations... butonuna tıklıyorum.

Active Directory Trust

10.2- Açılan Locations penceresinde, trust ilişkisi kurduğum domain olan boyanfirat.local domain'inini görüyorum. Bu domain'i seçerek OK butonuna basıyorum.

Active Directory Trust

10.3- From this location alanındaki domain bilgisinin boyanfirat.local olarak değiştiğini görüyorum. Bundan sonra, boyanfirat.local domain'ine ait olan tüm kullanıcıları Active Directory dizininde bulabilir durumda oluyorum. boyanfirat.local domain'inindeki Fırat Boyan kullanıcısını seçerek OK butonuna basıyorum.

Active Directory Trust
Active Directory Trust

Görüldüğü gibi Active Directory Trust (Domain Trust) yapılandırma işlemini başarılı bir şekilde tamamlayarak, iki farklı domain arasında güven ilişkisi kurarak, birbirlerinin kaynaklarından kısıtlama olmadan faydalanmalarını sağlamış olduk.

Faydalı olması dileğiyle...
 


Beğendiğiniz içerikleri facebook, twitter, g+1 veya LinkedIn üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YAZAR HAKKINDA:

Microsoft Certified Trainer-MCT.
Microsoft Certified Solution Expert-MCSE: Cloud Platorm and Infrastructure.

Adım Fırat Boyan. Bilgi Teknolojileri Sistem ve Ağ Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilişim Teknolojileri sektöründeyim.

2003 yılında lise eğitimimden sonra bir bilgisayar teknik servisinde önce stajyer, sonrasında ise teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, IT Sistem Sorumlusu ve IT Sistem Yöneticisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.

JP. Morgan Chase Bank'ta Sistem Uzmanı ve Analisti olarak görev yapıyor, Türkiye’nin bilişim eğitimleri alanında hizmet veren Bilgi Tekolojileri Eğitim Merkezleri olan Bilge Adam’da MCT-Microsoft Certified Trainer (Microsoft Sertifikalı Eğitmen) ünvanı ile Sistem, Network ve Güvenlik eğitimleri veriyor, kurumsal firmalara Bilişim Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:

MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye 3 yorum yapıldı.

Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.
   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.




YAPILAN YORUMLAR


02-11-2018


Salih can Çınar

Merhaba hocam elinize sağlık ben bunları aynen yaptım ama diğer makinede oturum açmaya gelince Windows NT Sunucusu Üstündeki Sam Veritabanı, bu iş istasyonu güven ilişkisi için bir bilgisayar hesabına sahip değil diyor izin vermiyor oturum açmama yardımcı olabilirseniz çok makbule geçer teşekkür ederim.


03-11-2018


salih

trust ilişkisi sorunsuz kuruldu ve onaylandı ama diğer makinede trust yapmama öteki makinede zaten yapıldığı için izin vermiyor.DNS lerde aynı sorunsuz çalışıyor trust ilişkisi kurduğum diğer makinede yani izmir makinesinde ankara domainine ait kullanıcı ile oturum açmama izin vermiyor

02-11-2018


Fırat Boyan

Merhaba, Öncelikle oturum açma işleminden önce Trust ilişkisi sağlıklı kuruldu mu? Bunu kontrol eder misin? Bir de hangi makinada oturum açıyorsun?






BT EĞİTİM

Kurumsal eğitimler veren bir Microsoft Sertifikalı IT eğitmeniyim. IT Danışmanlık Hizmetleri verdiğim kurumlarda sürekli olarak, bilgi işlem personellerinin yaptığı işleri genelde ezbere ve neden yaptıklarını tam olarak kavrayamadan, bilmeden yaptıklarına şahit oldum. Böyle durumlarda da genelde firmalar, çalışanlarına IT eğitimleri aldırarak, daha profesyonel ve biliçli personeller istihdam etmektedirler. Sizler de kurumunuzda istihdam ettirdiğiniz bilgi işlem personellerinize IT Eğimleri aldırarak, kurumsal olarak yeni teknolojilere daha güçlü ve bilinçli geçişler yaparak ya da mevcut teknolojiler ile yapılandırılmış alt yapınızın bilgi işlem personelleriniz tarafından bilinçli ve profesyonel olarak ayakta tutmasını ve yürütmesini sağlayabilirsiniz.

Detaylar »





BT DANIŞMANLIK

Kendi bünyesinde IT departmanı isitihdam etmeyen ve bu hizmeti danışmanlık kapsamında outsource olarak alan firmalar, bilgisayar sistemlerinin bakımı ve onarımı için profesyonellerden bakım anlaşması kapsamında hizmet talep etmektedirler. Bilişim sektöründe danışmanlık önemli bir konudur. Bu nedenle, işinin ehli olmayan kişilere sisteminizi emanet edemezsiniz. Profesonel IT Uzmanı olarak; işletmelerin Kurumsal IT ihtiyaçlarına yönelik IT ekipmanlarının ve sistemlerinin kurulum,bakım ve konfigürasyonlarının yapılması hizmetlerini sunuyorum.

Detaylar »





İLETİŞİM

Taleplerinizi iletişim formu aracılığıyla direkt olarak bana iletebilirsiniz.
İletilerinize cevap verebilmem için mutlaka gerçeli bir e-posta adresi girin. Gönderdiğiniz iletiler en kısa sürede cevaplanacaktır. Girdiğiniz bilgiler asla üçüncü taraflarla paylaşılmaz. İletilerinizi iletişim formu aracılığı ile direkt olarak iletebileceğiniz gibi, kendi e-posta sunucunuzu kullanarak da mail adresime iletebilirsiniz.

İletişim Formu »