İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 20.10.2018 3

Active Directory Partition'ları ve Domain Contoller'lar Arası Replikasyon Yönetimi

Domain Controller'lar arasındaki replikasyon yönetimi, özellikle büyük ve dağıtık Network ortamlarında, Active Directory yapısının tutarlılığı ve performansı için kritik bir süreçtir. Active Directory replikasyonu, farklı Domain Controller'lar arasında verilerin senkronize edilmesini sağlar ve bu sayede her bir Controller, en güncel bilgiyi içerir. Replikasyon işlemleri, Network üzerindeki veri bütünlüğünü ve kullanıcıların doğru bilgiye erişimini garanti eder.

CMD komut satırı kullanarak replikasyon yönetimi, sistem yöneticilerine hızlı ve etkili bir müdahale imkanı tanır. Bu yöntem, replikasyon durumu hakkında ayrıntılı bilgi almayı, replikasyon işlemlerini manuel olarak başlatmayı ve olası sorunları tanımlamayı mümkün kılar. Özellikle beklenmedik sorunlar veya planlı bakım durumlarında, komut satırı aracılığıyla hızlı çözümler üretmek büyük avantaj sağlar.

CMD üzerinden replikasyon yönetimi, Domain Controller'lar arasındaki bağlantıları izlemeye ve replikasyon süreçlerinin sağlıklı bir şekilde ilerleyip ilerlemediğini kontrol etmeye olanak tanır. Replikasyon bağlantıları düzenli olarak izlenmeli ve olası kesintiler veya gecikmeler hızlıca tespit edilmelidir. Replikasyon süreçlerinin etkin bir şekilde yönetilmesi, veri tutarlılığını ve sistem performansını doğrudan etkiler.

Replikasyon yönetiminde, belirli zaman aralıklarıyla replikasyon işlemlerinin başlatılması ve izlenmesi önemlidir. Bu süreçlerin doğru bir şekilde yönetilmesi, Network'ün genel sağlığı açısından kritik bir rol oynar. Replikasyon süreçlerinde herhangi bir anormallik tespit edildiğinde, hızlıca müdahale edilerek sorunun kaynağı belirlenmeli ve gerekli düzeltici adımlar atılmalıdır. Bu, Network üzerindeki olası veri tutarsızlıklarının önüne geçilmesini sağlar.

Sonuç olarak, CMD komut satırı ile replikasyon yönetimi, Active Directory yapısının etkin bir şekilde yönetilmesini sağlar. Bu yöntem, sistem yöneticilerine daha fazla kontrol ve esneklik sunar. Replikasyon süreçlerinin doğru bir şekilde izlenmesi ve yönetilmesi, Network'ün güvenilirliğini artırır ve kullanıcı deneyimini iyileştirir. Bu nedenle, CMD komut satırı araçlarını kullanarak replikasyon yönetimini optimize etmek, her sistem yöneticisinin temel becerilerinden biri olmalıdır.

Active Directory Site yapım aşağıdaki gibidir:

Active Directory Replikasyon
Active Directory Site Yapısı
 

Repadmin /replsummary Komutu İle Replikasyon Özetini İzleme

Repadmin /replsummary komutu ile Active Directory Sites and Services üzerindeki Site topoloji içinde yer alan Domain Contoller'ların replikasyonun özet bilgisini elde ediyorum.

Source DSA Largest Delta fails/total %% error
SRV001 18m:21s 0/10 0  
SRV002 16m:16s 0/5 0  
SRV003 16m:16s 0/10 0  
SRV004 18m:20s 0/5 0  
Destination DSA Largest Delta fails/total %% error
SRV001 16m:17s 0/10 0  
SRV002 15m:58s 0/5 0  
SRV003 18m:22s 0/10 0  
SRV004 11m:12s 0/5 0  

Repadmin komutu
 

Source DSA (Directory System Agent) ve Destination DSA (Directory System Agent) Nedir?

Her iki DSA da, replikasyon sürecinin sorunsuz ve etkin bir şekilde gerçekleşmesi için birbirleriyle sürekli iletişim halindedir. Replikasyon, genellikle belirli zaman aralıklarında otomatik olarak gerçekleşir, ancak bazı durumlarda manuel müdahale gerekebilir. Bu süreçte, Source DSA ve Destination DSA'nın sağlıklı bir şekilde çalışması, Active Directory yapısının genel sağlığı ve performansı açısından büyük önem taşır.

Kısacası, Source DSA ve Destination DSA, Active Directory replikasyonunun iki kritik bileşeni olup, verilerin doğru ve güvenilir bir şekilde Domain Controller'lar arasında aktarılmasını sağlar. Bu bileşenlerin etkin bir şekilde yönetilmesi, Network üzerindeki veri tutarlılığını ve sistemin genel performansını doğrudan etkiler.

Repadmin /replsummary komutu ile karşımıza çıkan bilgilerde, her Domain Controller'ın Source DSA ve Destination DSA alanlarında da yer aldığını görebilmekteyiz. Bunun nedeni, Active Directory'nin Multi Master Domain Model yapısını kullanmasından dolayıdır. Multi Master Domain Model yapısı, Source DSA (Directory System Agent) ve Destination DSA (Directory System Agent) kavramlarıyla doğrudan ilişkilidir. Bu ilişkiyi anlamak için Multi Master Domain Model'in ne olduğunu ve nasıl çalıştığını kısaca açıklayalım.

Multi Master Domain Model Nedir?

Multi Master Domain Model, Active Directory'de kullanılan bir replikasyon modelidir. Bu modelde, her Domain Controller, hem verileri alabilir hem de bu verilerde değişiklik yapabilir. Yani, herhangi bir Domain Controller'da yapılan değişiklikler, diğer Domain Controller'lara replikasyon yoluyla dağıtılır. Bu model, veri tutarlılığı ve yüksek erişilebilirlik sağlamak için tasarlanmıştır.

Source DSA ve Destination DSA ile İlişkisi

Multi Master Domain Model'de her Domain Controller, hem Source DSA hem de Destination DSA rolünü üstlenebilir.

1- Source DSA: Bir Domain Controller, verilerinde değişiklik yapıldığında, bu değişiklikleri diğer Domain Controller'lara replikasyon yoluyla göndermek için Source DSA rolünü üstlenir. Örneğin, bir kullanıcının parolasının değiştirildiği bir Domain Controller, bu değişikliği diğer Domain Controller'lara dağıtmak için Source DSA olarak hareket eder.

2- Destination DSA: Diğer Domain Controller'lar, bu değişiklikleri almak için Destination DSA rolünü üstlenir. Bu süreçte, Destination DSA rolündeki Domain Controller'lar, gelen verileri alır, kendi veri tabanlarına uygular ve gerektiğinde çakışmaları çözümlemekle sorumludur.

Largest Delta Nedir?

Largest Delta, Active Directory replikasyonunda kullanılan bir terimdir ve iki Active Directory nesnesi arasındaki en büyük değişikliği ifade eder. Bu terim, özellikle replikasyon işlemlerinin izlenmesi ve yönetilmesi sırasında önem kazanır. Largest Delta, en son başarılı replikasyon işlemi ile mevcut durum arasındaki en büyük zaman farkını temsil eder. Bu kavramı daha iyi anlamak için bazı temel bileşenleri ve ilişkili kavramları inceleyelim:

Largest Delta'nın Anlamı

Replikasyon Gecikmesi (Latency): Replikasyon gecikmesi, bir değişikliğin bir Domain Controller'dan diğerine geçişi sırasında geçen süredir. Largest Delta, bu gecikmelerin izlenmesinde önemli bir göstergedir.

Değişiklikler Arasındaki Süre: Largest Delta, en son başarılı replikasyon işlemi ile mevcut zaman arasındaki en büyük süreyi temsil eder. Bu süre, replikasyon işlemlerindeki potansiyel sorunları veya gecikmeleri belirlemek için kullanılır.

fails/total, %% ve error Nedir?

Active Directory replikasyon denemesi sayısı, yapılandırma ayarlarına ve organizasyonun büyüklüğüne bağlı olarak değişir. Yukarıdaki Repadmin /replsummary komut çıktısında verilen sayılar, belirli bir zaman dilimi içinde yapılan replikasyon denemelerinin sayısını gösterir ve bu sayılar, ortamın genel durumu hakkında bilgi vermek için kullanılır. Replikasyon denemesi sayısı, her bir Partition için yapılan replikasyonların toplamıdır ve günlük, saatlik veya belirli aralıklarla yapılabilir.

Parametre Açıklama
largest delta En son başarılı replikasyondan bu yana geçen en uzun süreyi gösterir.
fails/total Başarısız olan replikasyon denemelerinin sayısı / toplam replikasyon denemeleri sayısı.
%% Başarısız replikasyon denemelerinin yüzdesi.
error Hatalı replikasyon denemelerine dair hata mesajı.

repadmin /replsummary komutunu çalıştırdığınızda, Active Directory replikasyon durumu hakkında detaylı bilgi alırsınız. İlk tabloda, replikasyon süreci sırasında karşılaşılan temel parametreler ve bunların açıklamaları yer almaktadır. Şimdi bu parametrelerin ne anlama geldiğini kısaca özetleyelim:

SRV001

Parametre Sonuç Açıklama
largest delta 18m:21s En son başarılı replikasyondan bu yana geçen süre
fails/total 0 / 10 10 replikasyon denemesi yapılmış ve hiçbiri başarısız olmamış
%% 0 Başarısız replikasyon denemesi olmadığı için %0 hata oranı
error - Hata yok

SRV002

Parametre Sonuç Açıklama
largest delta 16m:16s En son başarılı replikasyondan bu yana geçen süre
fails/total 0 / 5 5 replikasyon denemesi yapılmış ve hiçbiri başarısız olmamış
%% 0 Başarısız replikasyon denemesi olmadığı için %0 hata oranı
error - Hata yok

SRV003

Parametre Sonuç Açıklama
largest delta 16m:16s En son başarılı replikasyondan bu yana geçen süre
fails/total 0 / 10 10 replikasyon denemesi yapılmış ve hiçbiri başarısız olmamış
%% 0 Başarısız replikasyon denemesi olmadığı için %0 hata oranı
error - Hata yok

SRV004

Parametre Sonuç Açıklama
largest delta 18m:20s En son başarılı replikasyondan bu yana geçen süre
fails/total 0 / 5 5 replikasyon denemesi yapılmış ve hiçbiri başarısız olmamış
%% 0 Başarısız replikasyon denemesi olmadığı için %0 hata oranı
error - Hata yok


Total alanındaki replikasyon denemelerinin sayısı, her bir Domain Controller'ın diğer Domain Controller'larla yaptığı toplam replikasyon denemelerinin sayısını gösterir. Bu denemeler, her bir partition için yapılır ve belirli zaman aralıklarında gerçekleştirilir. Network bağlantısı, replikasyon frekansı, başarısız denemelerin yeniden yapılması gibi faktörler, toplam replikasyon denemesi sayısını etkiler. Bu nedenle, farklı Domain Controller'lar için farklı sayıda replikasyon denemesi görülebilir. Bunların potansiyel sebepleri, aşağıda sıralanan maddelerde yazılı olan durumlar olabilir.

1. Partition Sayısı

» Açıklama: Active Directory'de Schema, Configuration, Domain, DnsForestZones ve DnsDomainZones olmak üzere toplam 5 Parition vardır.. Her partition için ayrı replikasyon denemesi yapılır.

» Örnek: SRV001 her bir partition için replikasyon yapar. Bu, toplamda 5 replikasyon denemesi anlamına gelir.

2. Domain Controller Sayısı

» Açıklama: Organizasyondaki DC sayısı, replikasyon denemelerinin sayısını doğrudan etkiler. Her DC, diğer DC'lerle replikasyon yapar.

» Örnek: 4 DC (SRV001, SRV002, SRV003, SRV004) varsa, her bir DC diğer 3 DC ile replikasyon yapar.

3. Replikasyon Frekansı ve Zamanlaması

» Açıklama: Replikasyon işlemleri belirli aralıklarla otomatik olarak gerçekleştirilir. Bu aralıklar, replikasyonun ne kadar sık yapıldığını belirler.

» Örnek: Intra-site replikasyon (aynı site içindeki DC'ler) her 15 dakikada bir yapılabilir, inter-site replikasyon (farklı sitelerdeki DC'ler) daha seyrek yapılabilir (örneğin, her 3 saatte bir).

4. Network Durumu ve Trafik

» Açıklama: Network bağlantısı iyi değilse, replikasyon denemeleri başarısız olabilir ve yeniden denenmesi gerekebilir. Network trafiği ve bağlantı kalitesi, replikasyonun başarısını etkiler.

» Örnek: SRV002 ile SRV003 arasındaki Network bağlantısı zayıfsa, replikasyon denemeleri başarısız olabilir ve daha fazla deneme yapılabilir.

Replike Olan Nedir?

Active Directory verilerinin güncelliği, Partition adı verilen 5 adet mantıksal bölüm üzerinden sağlanır. Active Directory ortamında verilerin doğru ve güncel kalabilmesi için her Domain Controller, Active Directory NTDS.dit veri tabanında bulunan verileri replikasyon süreçleri ile senkronize eder. Bu senkronizasyon, verilerin tüm Domain Controller'lar arasında güncel ve tutarlı olmasını sağlar. NTDS.dit, her Domain Controller'da bulunan ve Active Directory'nin tüm verilerini depolayan ana veri tabanıdır. Bu veri tabanındaki veriler, belirli Partition'lara ayrılarak organize edilir.

Active Directory Partition'larının Active Directory NTDS.dit veri tabanı ile ilişkisi, Active Directory'nin işleyişinin temelini oluşturur. NTDS.dit, Active Directory'nin tüm verilerini depolayan ana veri tabanıdır ve her Domain Controller'da bulunur. NTDS.dit içindeki veriler, belirli Partition'lara ayrılarak organize edilir. Bu Partition'lar, veri tabanındaki farklı veri türlerini ve yapılandırmaları temsil eder.

NTDS.dit veri tabanının modüler yapısı, Partition'lar sayesinde sağlanır. Bu modüler yapı, veri tabanının yönetimini ve işleyişini daha verimli hale getirir. Partition'lar, veri tabanındaki farklı türdeki verileri ayrı bölümlerde saklayarak, değişikliklerin sadece ilgili Partition'a uygulanabilmesini mümkün kılar. Bu, özellikle büyük ve karmaşık Active Directory ortamlarında veri yönetimini kolaylaştırır.

Her Domain Controller'da bulunan NTDS.dit veri tabanı, Partition'lar arasındaki verileri replikasyon süreçleri ile senkronize eder. Replikasyon süreci, Multi-Master Replication modeli kullanılarak gerçekleştirilir. Bu modelde, her Domain Controller diğer Domain Controller'larla eşit statüde olup, veri tabanında değişiklik yapabilir ve bu değişiklikler diğer Domain Controller'lara replike edilir. Replikasyon süreci, veri tutarlılığını ve güncelliğini sağlar, böylece her Domain Controller, NTDS.dit veri tabanındaki en güncel bilgilere sahip olur.

Partition'ların NTDS.dit ile olan ilişkisi, veri tabanının ölçeklenebilirliğini ve yönetilebilirliğini artırır. Farklı veri türlerinin ayrı Partition'larda saklanması, veri tabanının genel performansını optimize eder. Örneğin, Configuration Partition'daki değişiklikler sadece bu Partition'da yapılır ve bu değişiklikler diğer Partition'ları etkilemez. Bu yapı, veri tabanının daha hızlı ve verimli bir şekilde yönetilmesini sağlar.

NTDS.dit'in Partition'larla olan ilişkisi, veri güvenliği ve bütünlüğü açısından da kritik öneme sahiptir. Veri tabanı, farklı veri türlerini ayrı Partition'larda saklayarak, olası veri bozulmalarının veya hatalarının yayılmasını önler. Ayrıca, bu yapı, veri tabanının yedeklenmesini ve kurtarılmasını kolaylaştırır. Her Partition, kendi içinde bağımsız olarak yönetilebilir, bu da veri bütünlüğünü ve sistem güvenliğini artırır.

Active Directory Partitions

ADSI Edit Configuration

1- Schema Partition 
CN=Schema,CN=Configuration,DC=firatboyan,DC=com

Temel Yapı Taşı ve İşleyişi

Active Directory'nin temel yapı taşlarından biri olan Schema Partition, tüm Active Directory Forest'ta tutarlılığı sağlamak için kritik bir rol oynar. Bu Partition, Active Directory'de tanımlanan tüm Class (Object) türlerini ve bu Class türlerinin sahip olabileceği tüm Attribute bilgilerini içerir. Schema Partition, Active Directory'nin nasıl çalışacağını belirler ve tüm Class türleri ile bunların sahip olabileceği Attribute'leri tanımlar. Örneğin, bir User Class'ı için Name, Surname, E-mail gibi saklanabilecek Attribute bilgilerini içerir ve bu bilgilerin Text (metin), Number (sayı), Date (tarih) gibi hangi veri tipinde olacağını Schema Partition belirler. Bu tanımlamalar, Active Directory'nin işleyişini ve yapılandırmasını standart hale getirir ve tutarlılık sağlar.

Schema Değişiklilleri, Replikasyon ve Tutarlılık

Schema yapısındaki değişiklikler, yalnızca Schema Master FSMO (Flexible Single Master Operations) rolünü tutan Domain Controller üzerinden gerçekleştirilir. Schema Master FSMO rolü tarafından yapılan bu değişiklikler, Schema Partition'a yansıtılır ve sonrasında da Multi-Master Replication modeli, kendi iç mekanizamasında FSMO rolü ve Partition'dan bağımsız olarak bir replikasyon süreci başlatarak, tüm Domain Controller'da Schema Partition güncelliği sağlanmış olur. Multi-Master Replication modeli, her bir Domain Controller'ın eşit olduğu ve hepsinin değişiklik yapabildiği bir sistemdir. Bu model, Schema değişikliklerinin merkezi olarak yönetilmesini sağlar ve tüm Forest genelinde tutarlılığı korur.

Schema Master FSMO Rolü ve Schema Partition İlişkisi

Active Directory'nin temel yapı taşlarından biri olan Schema Master FSMO rolü, şema değişikliklerinin yönetilmesinde kritik bir rol oynar. Schema Master FSMO rolü, tüm Active Directory Forest'ında Schema Partition'da yapılacak değişiklikleri kontrol eden ve yöneten tek noktadır. Bu rol, şema değişikliklerinin merkezi olarak yönetilmesini sağlar.

Schema değişiklikleri, Active Directory'nin nasıl çalışacağını belirleyen kuralları içerir. Örneğin, yeni bir Class türü eklemek veya mevcut bir Class türüne yeni bir Attribute eklemek gibi değişiklikler, sadece Schema Master FSMO rolünü tutan Domain Controller'da yapılabilir. Bu değişiklikler Schema Master tarafından Schema Partition'a yansıtılır ve ardından Multi-Master Replication modeli ile tüm Domain Controller'lara replike edilir. Bu süreç, tüm Active Directory ortamında tutarlılığın korunmasını sağlar.

ADSI Edit Shema

2- Configuration Partition
CN=Configuration,DC=firatboyan,DC=com

Temel Yapı Taşı ve İşleyişi

Active Directory'nin temel yapı taşlarından biri olan Configuration Partition, tüm Active Directory Forest'ında genel yapılandırma bilgilerini saklamak için kritik bir rol oynar. Bu Partition, site bilgileri, hizmet yapılandırmaları ve diğer tüm genel yapılandırma bilgilerini içerir. Configuration Partition, Active Directory'nin nasıl yapılandırılacağını belirler ve tüm Forest'ta tutarlılığı sağlar. Örneğin, bir Site topolojisi veya replikasyon ayarları gibi yapılandırma bilgileri burada saklanır. Bu tanımlamalar, Active Directory'nin işleyişini ve yapılandırmasını standart hale getirir ve tutarlılık sağlar.

Configuration Değişiklikleri, Replikasyon ve Tutarlılık

Configuration yapısındaki değişiklikler, genellikle Domain Naming Master FSMO (Flexible Single Master Operations) rolünü tutan Domain Controller üzerinden gerçekleştirilir. Bu rol tarafından yapılan değişiklikler, Configuration Partition'a yansıtılır ve sonrasında da Multi-Master Replication modeli, kendi iç mekanizmasında FSMO rolü ve Partition'dan bağımsız olarak bir replikasyon süreci başlatarak, tüm Domain Controller'da Configuration Partition güncelliği sağlanmış olur. Multi-Master Replication modeli, her bir Domain Controller'ın eşit olduğu ve hepsinin değişiklik yapabildiği bir sistemdir. Bu model, Configuration değişikliklerinin merkezi olarak yönetilmesini sağlar ve tüm Forest genelinde tutarlılığı korur.

Domain Naming Master FSMO Rolü ve Configuration Partition İlişkisi

Active Directory'nin temel yapı taşlarından biri olan Domain Naming Master FSMO rolü, Configuration değişikliklerinin yönetilmesinde kritik bir rol oynar. Domain Naming Master FSMO rolü, tüm Active Directory Forest'ında Configuration Partition'da yapılacak değişiklikleri kontrol eden ve yöneten tek noktadır. Bu rol, Configuration değişikliklerinin merkezi olarak yönetilmesini sağlar.

Configuration değişiklikleri, Active Directory'nin genel yapılandırma kurallarını içerir. Örneğin, yeni bir domain eklemek veya bir site topolojisini değiştirmek gibi değişiklikler, sadece Domain Naming Master FSMO rolünü tutan Domain Controller'da yapılabilir. Bu değişiklikler Domain Naming Master tarafından Configuration Partition'a yansıtılır ve ardından Multi-Master Replication modeli ile tüm Domain Controller'lara replike edilir. Bu süreç, tüm Active Directory ortamında tutarlılığın korunmasını sağlar.

ADSI Edit Configuration

3- Domain Partition (Naming Context)
CN=Domain,DC=firatboyan,DC=com

Temel Yapı Taşı ve İşleyişi

Active Directory'nin temel yapı taşlarından biri olan Domain Partition, her domain içindeki tüm kullanıcı, grup, bilgisayar ve diğer nesne verilerini saklamak için kritik bir rol oynar. Bu Partition, her Domain Controller'da bulunan NTDS.dit veri tabanının büyük bir bölümünü oluşturur ve domain'e özgü tüm bilgileri içerir. Domain Partition, kullanıcı hesaplarından grup politikalarına kadar geniş bir yelpazeyi kapsar ve günlük yönetim ve operasyonlar için oldukça önemlidir. Bu tanımlamalar, Active Directory'nin işleyişini ve yapılandırmasını standart hale getirir ve tutarlılık sağlar.

Domain Değişiklikleri, Replikasyon ve Tutarlılık

Domain yapısındaki değişiklikler, genellikle RID Master FSMO (Flexible Single Master Operations), PDC Emulator FSMO ve Infrastructure Master FSMO rollerini tutan Domain Controller'lar üzerinden gerçekleştirilir. Bu roller tarafından yapılan değişiklikler, Domain Partition'a yansıtılır ve sonrasında da Multi-Master Replication modeli, kendi iç mekanizmasında FSMO rolü ve Partition'dan bağımsız olarak bir replikasyon süreci başlatarak, tüm Domain Controller'da Domain Partition güncelliği sağlanmış olur. Multi-Master Replication modeli, her bir Domain Controller'ın eşit olduğu ve hepsinin değişiklik yapabildiği bir sistemdir. Bu model, Domain değişikliklerinin merkezi olarak yönetilmesini sağlar ve tüm Forest genelinde tutarlılığı korur.

RID Master, PDC Emulator ve Infrastructure Master FSMO Rolleri ve Domain Partition İlişkisi

Active Directory'nin temel yapı taşlarından biri olan RID Master, PDC Emulator ve Infrastructure Master FSMO rolleri, Domain Partition'daki değişikliklerin yönetilmesinde kritik roller oynar. Bu roller, tüm Active Directory Forest'ında Domain Partition'da yapılacak değişiklikleri kontrol eden ve yöneten noktalardır. Bu roller, Domain değişikliklerinin merkezi olarak yönetilmesini sağlar.

Domain değişiklikleri, Active Directory'nin genel işleyiş kurallarını içerir. Örneğin, yeni bir kullanıcı eklemek, bir grubun üyeliğini değiştirmek veya bir bilgisayarı ortamdan kaldırmak gibi değişiklikler, bu FSMO rollerini tutan Domain Controller'lar üzerinden yapılabilir. Bu değişiklikler ilgili FSMO rolleri tarafından Domain Partition'a yansıtılır ve ardından Multi-Master Replication modeli ile tüm Domain Controller'lara replike edilir. Bu süreç, tüm Active Directory ortamında tutarlılığın korunmasını sağlar.

ADSI Edit Domain

ADSI Edit Domain

ADSI Edit Domain

4- Application Partition - ForestDnsZones
DC=ForestDnsZones,DC=firatboyan,DC=com

5- Application Partition - DomainDnsZones
DC=DomainDnsZones,DC=firatboyan,DC=com

Active Directory'de Application Partition'lar, belirli verilerin ve uygulamaların replikasyonu için kullanılan özel Partition'lardır. Bu yapı, verilerin daha esnek, güvenli ve kontrollü bir şekilde yönetilmesini sağlar. Özellikle büyük ölçekli uygulamalar ve hizmetler için kritik öneme sahip olan Application Partition'lar, veri yönetimini optimize eder ve Network üzerindeki yükü azaltır. Bu Partition'lar, tüm Domain Controller'lar (DC) arasında değil, yalnızca belirli DC'ler arasında replikasyon yapar. Bu yapı, verilerin daha esnek ve kontrollü bir şekilde yönetilmesine olanak tanır.

Application Partition'ların Replikasyon Davranışı

Application Partition'ların yalnızca belirli DC'ler arasında replikasyon yapmasının anlamı şudur:

» Özel Verilerin Hedeflenen Replikasyonu: Bu Partition'lar, tüm Domain Controller'lar arasında yayılmak zorunda değildir. Bunun yerine, yalnızca belirli DC'lerde bulunur ve bu DC'ler arasında replikasyon yapılır. Bu, belirli uygulama veya hizmetlerin ihtiyaç duyduğu verilerin sadece ilgili DC'lerde saklanmasını sağlar.

Neden Tüm Domain Controller'lar Arasında Replikasyon Yapılmaz?

Application Partition'ların tüm DC'ler arasında replikasyon yapmamasının birkaç nedeni vardır:

1- Veri Kontrolü ve Yönetimi: Belirli verilerin sadece ihtiyaç duyulan DC'lerde bulunması, veri yönetimini daha kolay ve güvenli hale getirir. Tüm DC'lerde gereksiz veri yükü oluşmasını önler ve sadece gerekli olan yerlerde verinin bulunmasını sağlar.

2- Performans ve Bant Genişliği: Verilerin tüm DC'ler arasında replikasyon yapması, ağ trafiğini ve replikasyon yükünü artırır. Application Partition'ların yalnızca belirli DC'ler arasında replikasyon yapması, ağ üzerindeki yükü azaltır ve replikasyon sürecini optimize eder.

3- Güvenlik: Belirli verilerin sadece belirli DC'lerde saklanması, güvenlik açısından daha iyidir. Özel veya hassas verilerin gereksiz yere tüm DC'lere yayılmasını önler.

Diğer Uygulamalar ve Veri Setlerinin Teknik Detayları

Application Partition'lar, birçok farklı uygulamanın verilerini saklamak ve yönetmek için kullanılabilir. İşte bu uygulamaların ve veri setlerinin daha detaylı teknik açıklamaları:

1- Microsoft Exchange Server

1.1- DNS İlişkisi

Microsoft Exchange Server, iç DNS kayıtları (örneğin, hizmet kayıtları ve site bilgileri) genellikle DomainDnsZones Partition'ında saklar. Bu, Domain içindeki bu kritik kayıtların erişilebilir olmasını sağlar. Ancak, bazı durumlarda Forest genelinde kullanılacak hizmet kayıtları ise ForestDnsZones Partition'ında saklanabilir.

1.2- DNS Kayıtlarının Tutulduğu Yerler

DomainDnsZones Partition:

» Hizmet Kayıtları (SRV Kayıtları): Exchange Server'ın iç hizmetleri, özellikle Autodiscover ve diğer hizmet kayıtları genellikle DomainDnsZones Partition'ında saklanır. Bu, Domain içindeki bu kritik kayıtların erişilebilir olmasını sağlar.

» Site Bilgileri: Exchange Server'ın site yapılandırma bilgileri de DomainDnsZones Partition'ında tutulur. Bu, site bazlı hizmetlerin doğru çalışmasını sağlar.

ForestDnsZones Partition:

» Global Katalog Hizmet Kayıtları: Global Katalog (GC) sunucularına ait SRV kayıtları ForestDnsZones Partition'ında saklanır. Bu, tüm Forest genelindeki her Domain'den bu sunuculara erişimi sağlar.

» Forest Genişliğindeki Uygulama Hizmet Kayıtları: Exchange Server gibi Forest-wide uygulamalar için gerekli olan hizmet kayıtları, ForestDnsZones Partition'ında saklanabilir. Bu kayıtlar, Forest genelinde kullanılabilen hizmetleri tanımlamak için kullanılır.

» Trust Kayıtları: Forest'lar arası güven ilişkilerini tanımlayan kayıtlar da ForestDnsZones Partition'ında saklanır. Bu, farklı Forest'lar arasında güvenilir iletişim ve kimlik doğrulama sağlar.

» AD Sites and Services Kayıtları: Active Directory site bilgileri ve replikasyon topolojisine ait bilgiler ForestDnsZones Partition'ında saklanır. Bu, Forest genelindeki replikasyon süreçlerini optimize eder.

2- Certificate Services

2.1- DNS İlişkisi

Certificate Services, CA kayıtları ve hizmet bilgileri için DNS kayıtlarını ForestDnsZones Partition'ında saklar. Bu, sertifika otoritelerinin geniş bir alan içinde tanınmasını ve hizmet vermesini sağlar.

2.2- DNS Kayıtlarının Tutulduğu Yerler

ForestDnsZones Partition:

» Sertifika Hizmet Kayıtları: Sertifika otoritelerine (CA) ait hizmet kayıtları ForestDnsZones Partition'ında saklanır. Bu kayıtlar, CA hizmetlerinin Forest genelinde erişilebilir olmasını sağlar.

3- File Replication Service (FRS)

3.1- DNS İlişkisi

File Replication Service (FRS), replikasyonla ilgili hizmet kayıtları ve konfigürasyon bilgileri için DNS kayıtlarını DomainDnsZones Partition'ında saklar.

3.2- DNS Kayıtlarının Tutulduğu Yerler

DomainDnsZones Partition:

» Replikasyon Hizmet Kayıtları: FRS hizmetlerine ait replikasyon bilgileri DomainDnsZones Partition'ında saklanır. Bu, replikasyon süreçlerinin Domain içindeki her DC tarafından erişilebilir olmasını sağlar.

4- Rights Management Services (RMS)

4.1- DNS İlişkisi

Rights Management Services (RMS), hizmet erişim bilgileri ve lisans sunucusu kayıtları için DNS kayıtlarını ForestDnsZones Partition'ında saklar. Bu, RMS hizmetlerinin geniş bir ağ içinde erişilebilir olmasını sağlar.

4.2- DNS Kayıtlarının Tutulduğu Yerler

ForestDnsZones Partition:

» Lisans Sunucusu Kayıtları: RMS lisans sunucularına ait kayıtlar ForestDnsZones Partition'ında saklanır. Bu, RMS hizmetlerinin Forest genelinde erişilebilir olmasını sağlar.

5- Active Directory Lightweight Directory Services (AD LDS)

5.1- DNS İlişkisi

Active Directory Lightweight Directory Services (AD LDS), belirli uygulamaların dizin hizmetlerini sağlar ve bu hizmetlerle ilgili DNS kayıtları DomainDnsZones ve ForestDnsZones Partition'larında saklanabilir.

5.2- DNS Kayıtlarının Tutulduğu Yerler

DomainDnsZones Partition:

» AD LDS Hizmet Kayıtları: AD LDS hizmetlerine ait kayıtlar DomainDnsZones Partition'ında saklanır. Bu, AD LDS hizmetlerinin Domain içindeki her DC tarafından erişilebilir olmasını sağlar.

ForestDnsZones Partition:

» Forest Genişliğindeki AD LDS Kayıtları: AD LDS hizmetlerinin Forest genelinde erişilebilir olmasını sağlamak için kullanılan kayıtlar ForestDnsZones Partition'ında saklanır.

Özetle Active Directory'de Application Partition'lar, belirli verilerin ve uygulamaların daha esnek, güvenli ve verimli bir şekilde yönetilmesini sağlayan kritik bileşenlerdir. Bu Partition'lar, belirli veri setlerinin yalnızca ihtiyaç duyulan yerlerde replikasyon yapılarak sistem performansını ve güvenilirliğini artırır. Özellikle DNS gibi kritik hizmetlerin doğru ve tutarlı çalışmasını sağlamak için ForestDnsZones ve DomainDnsZones gibi Partition'lar önemli çözümler sunar.

Özet Bilgiler

1- FSMO-Partition-Multi-Master Replication Üçgeni

» FSMO rolleri, belirli değişikliklerin yapılabileceği noktaları belirleyen ve bu değişiklikleri sadece rolün bulunduğu Domain Controller üzerinden gerçekleştiren mekanizmalardır.

» Partition'lar, bu değişiklikler de dahil olmak üzere tüm bilgilerin tutulduğu merkezlerdir.

» Multi-Master Replication modeli ise, Partition'ların bu bilgilerini tüm Domain Controller'lar arasında güncelleştirmekle sorumlu olan ve FSMO rolleri ile Partition'lardan bağımsız çalışan bir mekanizmadır. Bu model, her Domain Controller'ın değişiklikleri birbirine replike etmesini sağlar ve tüm sistemin tutarlılığını korur.

2- FSMO Rolleri ve AD Partition İlişkileri

» Schema Master FSMO Rolü ile yapılan değişikliklerde bilgi, Schema Partition'da tutulur.

» Domain Naming Master FSMO Rolü ile yapılan değişikliklerde bilgi, Configuration Partition'da tutulur.

» RID Master FSMO Rolü ile yapılan değişikliklerde bilgi, Domain Partition'da tutulur.

» PDC Emulator FSMO Rolü ile yapılan değişikliklerde bilgi, Domain Partition'da tutulur.

» Infrastructure Master FSMO Rolü ile yapılan değişikliklerde bilgi, Domain Partition'da tutulur.

3- Önemli Detaylar

» RID Master, PDC Emulator ve Infrastructure Master FSMO rollerinin, Domain Partition ile ilişkili olmasının sebebi, bu rollerin gerçekleştirdiği işlemlerin, doğrudan Domain içindeki nesnelerle ve bu nesnelerin yönetimiyle ilgili olmasıdır.

» Application Partition'ın herhangi bir FSMO Rolü ile ilişkili olmadığı dikkatinizi çekmiş olmalı! Application Partition'ların doğrudan herhangi bir FSMO (Flexible Single Master Operations) rolü ile ilişkisi yoktur. FSMO rolleri, Active Directory'nin belirli kritik işlemlerini ve yönetim görevlerini merkezi olarak yönetmek için tasarlanmıştır. Application Partition'lar ise, belirli uygulama verilerini saklamak ve yönetmek için kullanılır ve bu verilerin replikasyonu, genel Active Directory replikasyon mekanizmaları tarafından yönetilir. Dolayısıyla, Application Partition'lar (örneğin, ForestDnsZones ve DomainDnsZones) doğrudan bir FSMO rolü ile ilişkili değildir. Bu Partition'lar, Multi-Master Replication modeli ile tüm Domain Controller'lar arasında replike edilir. Ancak, FSMO rolleri Application Partition'ların yönetim ve replikasyon sürecinde doğrudan bir rol oynamaz.

Şunu ek olarak belirtmeliyim; DNS Server üzerindeki Autorative Domain Zone, Active Directory Integrated Zone olarak yapılandırılmışsa, ek olarak ForestDnsZones'u da içerdiği için 2 tane Application Partition görmekteyiz.

ADSI Edit Application

ADSI Edit Application

ADSI Edit Application

PowerShell üzerinden Get-DnsServerDirectory Partition komutu ile Application Partition DomainDnsZones ve ForestDnsZones bilgilerini elde edebiliriz.

ADSI Edit Application

repadmin /showreps Komutu İle Replikasyon Kontrolü

repadmin /showreps kumutu ile 5 adet Active Directory Partition replikasyonunun nasıl işlediği ve hangi DC'ler ile replikasyon yaptığı bilgilerini elde ediyorum. Ayıca; bu komutlardan herangi birisini hangi Server üzerinde çalıştırırsanız, ilgili Server'ın bulunduğu Site içinde replikasyon yaptığı DC'leri görürsünüz. ör. komutumu; SRV001 Host Name'li DC üzerinde çalıştırıldığımda, SRV001 host name'li DC'nin bulunduğu Site içinde hangi DC(ler) ile replike olduğu ve AD Partition replikasyonlarının başarılı mı yoksa başarısız mı olduğu bilgilerini görüyorum.

C:\Users\Administrator>repadmin /showreps
Istanbul-Site\SRV001
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: f42d2421-571f-4dfa-9ae1-2f3deba10b0a
DSA invocationID: a6222a96-0436-4c77-ab99-760b5704b1af

==== INBOUND NEIGHBORS ======================================

DC=firatboyan,DC=com
Ankara-Site\SRV003 via RPC
DSA object GUID: 0190eb97-9d22-4d35-a429-049745c79191
Last attempt @ 2018-10-19 22:11:40 was successful.
Istanbul-Site\SRV002 via RPC
DSA object GUID: 256bf523-564f-459c-8590-3e7bd5851642
Last attempt @ 2018-10-19 23:00:30 was successful.

CN=Configuration,DC=firatboyan,DC=com
Ankara-Site\SRV003 via RPC
DSA object GUID: 0190eb97-9d22-4d35-a429-049745c79191
Last attempt @ 2018-10-19 22:11:40 was successful.
Istanbul-Site\SRV002 via RPC
DSA object GUID: 256bf523-564f-459c-8590-3e7bd5851642 Last attempt @ 2018-10-19 23:00:30 was successful.

CN=Schema,CN=Configuration,DC=firatboyan,DC=com
Ankara-Site\SRV003 via RPC
DSA object GUID: 0190eb97-9d22-4d35-a429-049745c79191
Last attempt @ 2018-10-19 22:11:40 was successful.
Istanbul-Site\SRV002 via RPC
DSA object GUID: 256bf523-564f-459c-8590-3e7bd5851642
Last attempt @ 2018-10-19 23:00:30 was successful.

DC=DomainDnsZones,DC=firatboyan,DC=com
Ankara-Site\SRV003 via RPC
DSA object GUID: 0190eb97-9d22-4d35-a429-049745c79191
Last attempt @ 2018-10-19 22:11:40 was successful.
Istanbul-Site\SRV002 via RPC
DSA object GUID: 256bf523-564f-459c-8590-3e7bd5851642 Last attempt @ 2018-10-19 23:25:33 was successful.

DC=ForestDnsZones,DC=firatboyan,DC=com
Ankara-Site\SRV003 via RPC
DSA object GUID: 0190eb97-9d22-4d35-a429-049745c79191
Last attempt @ 2018-10-19 22:11:40 was successful.
Istanbul-Site\SRV002 via RPC
DSA object GUID: 256bf523-564f-459c-8590-3e7bd5851642
Last attempt @ 2018-10-19 23:25:30 was successful.

Repadmin komutu
Repadmin komutu

repadmin /showrepl  Komutu İle Replikasyon Kontrolü

Yukarıdaki komuta ek olarak repadmin /showrepl kumutu, herhangi bir DC üzerinde çalıştırıldığında, belirtilen DC'nin, bulunduğu Site içinde hangi DC(ler) ile replike olduğu bilgisini verir.

Ör. repadmin /showrepl SRV002 komutunu SRV001 host name'li DC üzerinde çalıştırdığımızda, SRV002 host name'li DC'min hangi Domain Controller'lar ile replike olduğu ve replikasyonların nasıl işlediği bilgilerini elde ederim.

Repadmin komutu

repadmin /syncall /AdeP Komutu İle Manuel Replikasyon

Normal şartlarda Active Directory Sites and Services üzerinden Domain Controller'lar arasındaki replikasyonları yönebilirsiniz ancak buradaki replikasyon trafiğini manuel olarak yürütmek için, tüm DC'lere üzerinde tek tek Replicate Now seçeneğini seçmeniz gerekmektedir.

Active Directory Replikasyon

Active Directory Replikasyon

repadmin /Syncall /AdeP komutu yerine, aşağıdaki komutu da kullanabilirsiniz. Bu komutun kullanımı, dağıtık yapıda Active Directory Site yapınız varsa, Active Directory'deki replikasyon sorunlarını çözmek veya veri tutarlılığını sağlamak için idealdir. Bu komut, tüm Domain Controller'lar arasında tam ve zorunlu bir replikasyon işlemi gerçekleştirerek, veri uyuşmazlıklarının önüne geçer ve Active Directory ortamındaki tüm Domain Controller'lar arasında replikasyonu zorlar. Her bir Domain Controller için repadmin /syncall komutu ayrı ayrı çalıştırılır.

(Get-ADDomainController -Filter *).Name | Foreach-Object { repadmin /syncall $_ (Get-ADDomain).DistinguishedName /AdePq }

Komutun Çalışma Prensibi

Bu komut, Active Directory ortamındaki tüm Domain Controller'lar arasında tam bir replikasyon işlemi başlatır. İşlem şu adımları takip eder:

1- Get-ADDomainController -Filter * ile tüm Domain Controller'lar alınır ve isimleri bir liste olarak döndürülür.

2- Foreach-Object döngüsü ile her bir Domain Controller ismi için repadmin /syncall komutu çalıştırılır. repadmin /syncall, belirtilen Domain Controller'ın tüm replikasyon partnerleri ile replikasyonu zorlar.

3- Replikasyon işlemi, Domain'in Distinguished Name'i kullanılarak yapılır ve belirtilen parametrelerle (/AdePq) detaylandırılır.

/A: Tüm Naming Context'ler için replikasyonu zorlar.
/d: Replikasyon hakkında ayrıntılı bilgi verir.
/e: Tüm site'lar arasında replikasyonu zorlar.
/P: Yalnızca giden bağlantılar için replikasyonu başlatır.
/q: Komutun çıktısını sessiz moda alır, yalnızca hata mesajlarını gösterir.

Teknik Detaylar

» Replikasyon: Active Directory ortamında verilerin tutarlı olmasını sağlamak için Domain Controller'lar arasında veri değişimidir. Replikasyon, değişikliklerin tüm Domain Controller'lara yayılmasını sağlar.

» Domain Controller: Active Directory veri tabanını barındıran ve yönetim işlemlerini yürüten sunuculardır. Birden fazla Domain Controller, veri bütünlüğünü ve erişilebilirliği artırır.

» Distinguished Name (DN): Active Directory'deki objelerin benzersiz kimlikleridir. Active Directory Distinguished Name (DN), objelerin hiyerarşik konumunu belirtir.

Bu komut yerine repadmin /syncall /AdePq komutununun kullanımı, yalnızca mevcut Domain Controller'ın tüm replikasyon partnerleri ile replikasyonu başlatır. Diğer Domain Controller'lara etki etmez. Bu nedenle, daha dar kapsamlı bir replikasyon işlemi gerçekleştirir.

Bu yöntemle aynı zamanda tüm AD Partition'ları yerine, sadece istenen herhangi bir AD Partition'ın replikasyonu da sağlabilmektedir.

Active Directory Application Partition ForestDnsZones Replikasyonu
Foret ortamındaki tüm Domain Controller'lar, Application Partition ForestDnsZones replikasyonunu başarılı bir şekilde gerçekleştirdiler.

Repadmin komutu

Active Directory Application Partition DomainDnsZones Replikasyonu
Foret ortamındaki tüm Domain Controller'lar, Application Partition DomainDnsZones replikasyonunu başarılı bir şekilde gerçekleştirdiler.

Repadmin komutu

Active Directory Schema Partition Replikasyonu
Foret ortamındaki tüm Domain Controller'lar, Schema Partition replikasyonunu başarılı bir şekilde gerçekleştirdiler.

Repadmin komutu

Active Directory Configuration Partition Replikasyonu
Foret ortamındaki tüm Domain Controller'lar, Configuration Partition replikasyonunu başarılı bir şekilde gerçekleştirdiler.

Repadmin komutu

Active Directory Domain Partition Replikasyonu
Forest ortamındaki tüm Domain Controller'lar, Domain Partition replikasyonunu başarılı bir şekilde gerçekleştirdiler.

Repadmin komutu

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 3 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


11.02.2020 Muhammed Cerit
Teşekkürler Elleriniz dert görmesin. İtinalı bir çalışma olmuş.
08.05.2019 Serkan
Teşekkürler
22.10.2018 Cevahir
Hayat kurtarır.