Server Kurulumu resimli

erdal

YÖNETİCİ

Karizma Gücü: 26
Sonraki Level: 44238

Karizma +39/-3
Çevrimdışı

Cinsiyet:
Üye ID: 3

Kayıt tarihi Haziran 29, 2006, 08:22:32 ÖS

Nerden: İstanbul
Mesaj Sayısı: 820
Nasıl Biri: iyi

Aktiflik

Deneyim

Seviye

Kötü İtibar

Durumum:

Meslek:

« : Ağustos 31, 2006, 10:04:52 ÖS »

Windows 2000 Domain Yapısı (Active Directory) Nedir
Windows 2000 ilk lanse edildiğinde en çok söz edilen özelliği Active Directory (AD) olmuştu. Şimdi biz AD'nin ne olduğuna geçmeden önce peer-to-peer bağlantı ile client-server bağlantıyı karşılaştıralım.

Peer-to-peer (eş bilgisayarlar arası ağ)

Şimdi üstteki resme bir bakalım. 3 tane Windows 2000 Professional aynı ağ üzerinde. Her bir makina üzerinde o makinayı değişik zamanlarda kullanan üçer kullanıcı tanımlı durumda. Şimdi PC 1 diskini ağ üzerinde paylaştırmak istesin, diski paylaştırdıktan sonra paylaşıma kimlerin erişip erişemeyeceğini belirlemek istiyor. Sorun şu ki, paylaşıma erişimini belirleyebileceği kullanıcılar yine PC 1 üzerinde tanımlı kullanıcılar. Yani PC 1 diskini paylaştırdıktan sonra, Ali ve Veli bu paylaşıma erişsin diyebilir(Can erişmesin). Bu durumda PC 2 üzerinden bu paylaşıma erişebilmek için, PC 2'de de Ali veya Veli isminde ve aynı şifrelere sahip kullanıcılar oluşturmak ve bu kullanıcılardan biri ile login olmak zorunluluğu var.

Şöyle bir durum düşünün, siz sistem yöneticisisiniz ve duruma göre 3 makinaya da login olmanız gerekebiliyor, bu durumda 3 makinada da kendiniz için bir kullanıcı oluşturmanız gerekiyor. Ya şifrenizi değiştirmeniz gerekirse, gidip 3 makina da da teker teker değiştirmelisiniz. Peki ya 3 değil de 300 PC söz konusu ise?

Gördüğünüz gibi peer-to-peer, yani her bilgisayarın kendi kaynaklarını ve erişim izinlerini kendi başına yönettiği sistem, küçük ve güvenliğin önemsiz olduğu ağlarda uygun olmasına rağmen sistem biraz büyüyünce veya güvenlik söz konusu olunca yetersiz kalıyor.

Client-Server Yapı

Artık tüm kullanıcılar tek bir makina üzerinde tutuluyor. Terminallere açılışta kullanıcı ismi/şifresi girildiğinde, girilen değer server üzerindeki bu veritabanından kontrol ediyor, girilen değer server üzerindeki bir kayıtla uyuşuyorsa oturum açılıyor.

PC 1 diskini paylaştırıp, kimlerin erişim hakkı olduğunu belirlerken artık server üzerindeki kullanıcı listesinden seçim yapabilir. Böylece ağ'da tanımlı herkesi görebilir. Artık yönetim de çok kolay, yeni bir kullanıcı geldiğinde, birisinin şifresi değiştiğinde server üzerindeki kaydın değişmesi kafidir.

İşte Active Directory "server" üzerinde kullanıcı bilgilerini ve daha bir çok değeri tutan bir veritabanıdır. NT 4 zamanında sadece "Domain" olarak adlandırılan bu yapı, W2000 ile Active Directory adını almıştır. Çünkü NT4'te Domain yapısında yukarıdaki resim gibi sadece kullanıcı bilgileri tutulurken, W2k ile beraber AD içinde ağ ile ilgili her türlü güvenlik ve ayar bilgileri hiyerarşik bir yapıda (dizin yapısı) tutulmaya başlanmıştır.

Eğer ağ'da yukarıdaki örnekteki gibi tüm güvenlik bilgileri (kullanıcı adı, şifre, güvenlik kısıtlamaları vs.) bir merkezde tutuluyorsa, bu merkezi yapıya "Domain" adı veriliyor. Domain bilgilerini üzerinde tutan bilgisayara ise Domain Controller (DC) deniyor.

Sistem büyüdükçe, tek bir DC yeterli gelmeyebilir ve birden fazla DC kurulabilir. Her biri aslında birebir aynı bilgileri üzerlerinde tutar, ancak örneğin 300 kullanıcı varsa, 150 kullanıcı bir DC'den login olur, diğer 150 tane ise diğer DC'den. Böylece yük iki DC arasında paylaştırılmış olur.

Ancak dediğim gibi iki DC üzerinde de tüm domain bilgisi tutulur, her iki bilgisayar üzerinde de aynı bilgiler bulunur. Olaki, DC'lerden birisi çökerse, 300 kullanıcı da geriye kalan tek DC'den login olmaya devam edebilirler. Bir "Domain" den söz edebilmek için bu domain bilgilerini üzerinde tutan en az bir DC (yani fiziksel bir bilgisayar) olmak zorundadır.

Açılışta kendi üzerinde tanımlı kullanıcıların yanısıra "Domain" üzerinde tanımlı kullanıcılarla da açılmak üzere ayarlanmış bir terminal bilgisayar Domain'e üye olmuş demektir.

AD'yi Kurmaya Geçmeden Önce DNS'i Kurmalıyız
AD'yi kurmaya geçmeden önce yapmamız gereken bir dizi işlem var. Öncelikle DNS servisini kurmalıyız.

DNS; Domain Name System'in kısaltımışıdır ve host isimlerini (www.turkcenet.org gibi) ilgili makinanın IP adresine çevirmeye yarar. TCP-IP ağlarında bilgisayarlar birbirleriyle IP adresleri ile haberleşirler. IP adreslerini akılda tutmak zor olduğu için "isimler" kullanılır. Bu "isimleri" IP adresine çevirme işini DNS yapar.

Siz internete bağlanıp www.turkcenet.org yazdığınızda, yapmak istediğiniz şey, "turkcenet.org" domaini içindeki "www" isimli bilgisayara bağlanmaktır. Bu bilgisayar üzerindeki web sunucu yazılımı size web sayfalarını gönderecektir.

Ancak bilgisayarınız önce DNS sunucuya bağlanır ve "ismi "www.turkcenet.org" olan bilgisayarın IP adresini istiyorum" der. DNS IP adresini bulur ve sizin bilgisayara gönderir, sizin bilgisayarınız daha sonra bu IP adresi ile www.turkcenet.org isimli bilgisayara ulaşır.

AD'yi DNS olmaksızın kuramazsınız çünkü AD kendisi için gerekli bazı bilgileri DNS sunucu üzerinde tutar, terminaller de açıldıklarında AD bilgilerini üzerinde tutan bilgisayarı yani Domain Controller olan bilgisayarı DNS yardımı ile bulurlar.

DNS'i Yükleyelim - Ön Hazırlıklar
Şimdi DNS servisini yükleyeceğiz, ancak bundan önce de bazı ağ ayarları yapmalıyız.

Önce bilgisayarın sabit bir IP adresine sahip olması ve DNS Server olarak kendisini görmesi gerekiyor. Bu ayarlamalar için masaüstünden "My Network Places" üzerine sağ tık ve "Properties" yapıyoruz

Daha sonra "Local Area Connection" üzerinde aynı işlemi yapıyoruz:

Açılan ekrandan TCP-IP özelliklerine giriyoruz:

Gelen ekranda;

Makinaya 192.168.1.10 adresini verdik. Subnet Mask olarak da 255.255.255.0 girdik. Bilgisayarın isim çözümlemesi yaparken, yani "abc.domain.com" gibi bir ismi IP adresine çevirirken kullanacağı DNS sunucu olarak da kendisini görmesini istedik, çünkü bu makina üzerine DNS sunucu kuracağız. Kural olarak DNS sunucular, DNS adresinde kendini görmelidir.

Bu ayarları yaptıktan sonra OK, OK diyerek kapatıyoruz. Şimdi de bilgisayarımızın kendisini ileride oluşturacağımız domain'in üyesi gibi görmesini sağlayacağız.

My Computer'in özelliklerine giriyoruz.

Netwok Identification tabına geçip, Properties diyoruz:

Dikkat ederseniz, bilgisayar ismi "w2ksunucu", "Full Computer Name" ise "w2ksunucu.". Noktadan sonra bir şey yok, yani bilgisayar şu anda kendini bir DNS domainin altında kabul etmiyor.

Bu noktada DNS ile ilgili biraz bilgi vermek gerekiyor. Sadece internet üzerinde değil, yerel ağımız da da isim çözümlemesi yapılır. Siz Başlat>Bul>Bilgisayar deyip, "PC12" yi arattığınızda aslında "PC12" isimli bilgisayarın IP adresini arıyorsunuz demektir. Eğer ortamda DNS sunucu varsa ve sizin daha önce yaptığımız TCP-IP ayarlarınızda bu sunucunun IP adresi girilmişse, bilgisayarınız DNS sunucuya "PC12"nin IP adresini soracaktır.

Peki DNS ağ'daki her makinanın IP adresini nasıl biliyor? Birinci yol, sistem yöneticisi istediği bilgisayarın adını ve IP adresini DNS sunucuya eliyle girebilir, ikinci ve daha pratik yol ise bilgisayarların ("PC12" mesela) açılışta DNS sunucuyu bulup, "benim adım bu, IP adresim şu" demeleridir. DNS sunucular üzerlerinde domainleri ve o domaine bağlı bilgisayarları tuttuklarına göre bizim sistem yöneticisi olarak ilk başta "PC12" ye "sen aslında, PC12.sirket.com isimli makinasın" dememiz, böylece onun da açılışta "sirket.com" domainini tutan DNS sunucuyu bulup, kendisini bu sunucuya ve "sirket.com" domaini altında kaydetmesi gerekir.

Ben az önce "Başlat>Bul>Bilgisayar deyip, "PC12" yi arattığınızda ...." demiştim, aslında siz "PC12" yi değil, PC12.sirket.com'u aratabilirsiniz. Ancak siz de aynı domain'e bağlı bir makina iseniz, "sirket.com" kısmını yazmasanızda olur. İkinizde sirket.com domani altında tanımlı olduğunuz için problem çıkmaz.

Biz de şimdi server üzerinde DNS servisini kurunca ve "sirket.com" domainini oluşturunca, server'ın kendisini buraya kaydetmesi için gerekli tanımlamayı yaptık.

OK dediğimizde;

Bu ekranda "More..." düğmesine tıklıyoruz

"Primary DNS suffix of this computer:" alanına sirket.com yazıyoruz. Henüz böyle bir domain tanımlı değil, ancak biz birazdan DNS serveri kuracağız ve böyle bir domain (daha doğrusu zone) oluşturacağız. Bu makinanın kendisi DNS sunucu olacağı ve bu yaptığımız değişiklik restart gerektirdiği için, önce bu tanımlamayı yapıyoruz, makina restart ettikten sonra DNS sunucuyu kurup ardından bu sirket.com domainini tanımlayacağız.


	Logged


	Logged

erdal

Ynt: Server Kurulumu resimli

« Yanıtla #1 : Ağustos 31, 2006, 10:05:41 ÖS »

Artık, "Full Computer Name" kısmında "w2ksunucu.sirket.com" yazdığına dikkat edin. Dediğim gibi henüz ortada "sirket.com" diye bir şey yok, birazdan oluşturacağız, bu iş biraz çocuk doğmadan ismini koymak gibi...

Alt kısımdaki "Member of" bölümü kafanızı karıştırmasın. Bu alan, bu makina bir Active Directory sunucusuna üye olacak olsaydı kullanacağımız alan. Oysa birazdan biz bu makinanın üzerine AD'yi yükleyeceğiz ve kendisi bir AD sunucu, Domain Controller olacak. Şu anda bu bölüme dokunmuyoruz.

OK, OK dediğimizde makina restart edecektir

DNS'in Yüklenmesi
Restart'tan sonra Start>Programs>Administrative Tools altına baktığımızda DNS seçeneğini göremeyeceğiz. Çünkü henüz bu servisi yüklemedik. Yüklemek için Start>Control Panel diyoruz, Add/Remove Programs'a tıklıyoruz ve açılan ekranda Windows Components'i seçiyoruz.

Networking Services seçiliyken "Details" diyoruz.

DNS'i işaretliyoruz ve OK daha sonra Next ile yüklemeyi tamamlıyoruz (Bizden Windows 2000 CD'sini isteyecetir.).

Yükleme tamamlanınca, artık DNS'i Start menüsünde görebiliyoruz

Ancak şunu belirtmek lazım, DNS aslında bir Windows servisi ve aynı menüden "Services" yazan linke tıklarsanız "DNS Server" isminde bir servisin başladığını görürsünüz.

Windows servisleri (DNS Server Servisi mesela) arka planda çalışan ve bir takım görevleri yerine getiren programlardır. Bizim Start menüsünden girdiğimiz DNS ise, sadece bu servisi yönetmeye ve ayarlamaya yarayan bir programdır. Aslında DNS Servisi arka planda sürekli çalışmaktadır.

Şu anda bilgisayarımız bir DNS sunucu olarak çalışmaya başladı. Bu ne anlama geliyor? Eğer bu bilgisayar (w2ksunucu) ve ikinci bir bilgisayar (PC1 mesela) internete bağlı durumda olsalar, PC 1'in TCP-IP ayarlarında da DNS sunucu olarak "w2ksunucu" tanımlı olsa (daha doğrusu w2ksunucu'nun IP adresi tanımlı olsa), "PC 1" herhangi bir internet adresini çözümlemek istediğinde (www.ibm.com --> ibm'in ip adresi gibi) "w2ksunucu" üzerinde çalışan DNS Server servisi www.ibm.com'un IP adresini bulup "PC 1"e söyleyecektir.

DNS sunucularının ilk görevleri az önce de bahsettiğim gibi, kendilerine gelen isim çözümleme sorgularını yerine getirmek, yani bir bilgisayar "www.bilmemne.com'un IP adresi ne?" diye sorduğunda bu bilgisayarın IP adresini bulmaktır. Ve Windows 2000'de DNS Server yüklenir yüklenmez bu görevi yerine getirmeye başlar.

DNS sunucuların ikinci görevi ise, üzerlerinde bir "Internet Domain", "Zone" veya "Name Space" denilen alanı tutmaktır.

Dünya çapında hiyerarşik yapıda bir DNS sistemi bulunur. Siz "www.turkcenet.org" adresine bağlanmak istediğinizde "turkcenet.org" Domain'i içindeki "www" isimli bilgisayara bağlanmaya çalışıyorsunuz demektir. Yani bu "www" isimli bilgisayarın IP adresine ihtiyacınız var demektir. Bu durumda DNS sunucunuza bana "www.turkcenet.org bilgisayarının IP adresini bul" dersiniz. DNS sunucu bunu nasıl bulacaktır? DNS sunucunuz aşağıdakileri adım adım uygulayacaktır.

"www" isimli bilgisayar "turkcenet" domaini içindedir ve "www" isimli bilgisayarın IP adresini "turkcenet" domainini üzerinde tutan DNS sunucu bilmektedir (DNS sunucuların 2. görevini hatırlayın). "turkcenet" domaini ise "org" domani altındadır ve onun IP adresini "org" domainini üzerinde tutan, ondan sorumlu olan DNS sunucu bilmektedir. Peki "org" domainini tutan DNS sunucunun IP adresini kim biliyor?

"www.ibm.com", sizce bu tam bir internet domain ismi midir? Hayır. Aslında "www.ibm.com." olmalıdır. Sondaki noktaya dikkat edin! Aslında her internet domain ismi en sonunda "." domaininin alt domainidir. "com", "org", "net", "tr", "uk", "biz", "info" ve daha yüzlerce domain ". " (nokta) domaininin alt domainidir.

Az önce peki "org" domainini üzerinde tutan DNS sunucunun IP adresini kim biliyor diye sormuştuk. Eğer "org" domainini tutan DNS sunucuya erişebilirsek (IP adresini öğrenirsek), ona "turkcenet" domainini üzerinde tutan DNS sunucunun IP adresini soracağız (daha doğrusu bizim için www.turkcenet.org. domaininin IP adresini bulmaya çalışan DNS sunucu soracak). Daha sonra da "turkcenet" domainini üzerinde tutan DNS sunucuya erişip, "www" isimli bilgisayarın IP adresini öğreneceğiz. Eee, bu kadar uğraştan sonra da artık "www.turkcenet.org." bilgisayarına bağlanabiliriz çünkü IP adresini öğrenmiş olacağız.

Sorumuza dönersek, "org" domainini tutan DNS sunucunun adresini "." domainini üzerinde tutan DNS sunucuya soracağız, çünkü "org" domaini "." domaininin alt domaini. Peki "." domaininin DNS sunucu adresini nerden bulacağız? İşte bu noktada "kopya" çekeceğiz.

Dünya üzerinde kendilerine bağlı tüm internet domain sisteminin tepesinde duran tek bir "." domaini vardır ve bu domain 13 adet DNS sunucu tarafından tutulmaktadır(bir domain birden çok DNS sunucu üzerinde tutulabilir böylece bu domain'e yönelik çok fazla sorgulama yapılıyorsa, yük bu DNS sunucular arsında paylaştırılır). Tüm DNS sunucu yazılımları (Windows 2000 DNS sunucusu, Linux DNS sunucusu vb.) ilk yüklendiklerinde bu 13 adet "nokta domaini DNS sunucularının" IP adreslerini bilirler. Windows 2000'de bu adresler C:\Winnt\System32\Dns\Cache.Dns isimli dosyada tanımlıdır. Bu dosyayı Notepad ile açıp inceleyebilirsiniz.

Şimdi "PC1" bilgisayarını açtınız, internete bağlandınız, komut istemine geçtiniz ve "ping support.ibm.com" yazıp entere bastınız, neler oluyor, adım adım görelim (burada anlatacaklarım, Internet Explorer'i açıp support.ibm.com adresine bağlanmakla aynı, ben sadece değişiklik olsun diye ping örneğini veriyorum).

support.ibm.com adresine ping atabilmek için önce nokta (.) domaini altındaki "com" domaini altındaki "ibm" domainine dahil olan "support" isimli bilgisayarın IP adresini bilmeliyiz. "PC1"in TCP-IP ayarlarında tanımlı DNS sunucusuna hemen böyle bir "isim çözümleme" isteği gönderilir(bu DNS sunucusu internet servis sağlayıcınızın DNS sunucusu veya kurum içindeki internete çıkışı olan herhangi bir DNS sunucu olabilir). Bu noktadan sonra DNS sunucunuz önceden IP adresini bildiği "." DNS sunucularından birisine bağlanır ve "com" domainini tutan DNS sunucusunun IP adresini alır. "com" domainini tutan DNS sunucuya bağlanır ve "ibm" domainini tutan DNS sunucunun IP adresini alır. Daha sonra "ibm" domainini üzerinde tutan DNS sunucuya kendi altında tanımlı "support" isimli bilgisayarın IP adresini sorar. Bu IP adresini sizin bilgisayarınıza iletir. Böylece support.ibm.com adresine(daha doğrusu bu isme sahip bilgisayarın IP adresine) ping atmaya başlarsınız.

İşte tüm internet DNS sistemi böyle çalışmaktadır. Milyarlarca domain ismi arasından sizin aradığınız domain'in IP adresi 1-2 saniye içinde bulunmaktadır. Dağıtık bir yapı olduğuna dikkat ediniz. "www.turkcenet.org." şeklindeki bir adreste, tüm domainler aslında "." domainin altında olmasına rağmen "." domaini sadece "org" domainin domain sunucu adreslerini tutmakta ve sizi diğer bir bilgisayara yönlendirmetedir. "org" dan "turkcenet" e yöneliyorsunuz ve en son "www" isimli bilgisayarın IP adresine ulaşıyorsunuz. "org" domaini sadece "turkcenet"i biliyor. "turkcenet" altındaki domainlere veya bilgisayar isimlerine karışmıyor.

DNS konusu başlıbaşına bir kaç kitap dolduracak kadar geniş bir konu, burada her yazdığım satırda daha yüzlerce satırda açıklanması gereken tanımlar var. Ama aslında Windows 2000 altında çalışır bir sistem kurmak o kadar da zor değil. Şimdi biz kurulumumuza devam edelim.

DNS Ayarlarının Yapılması
Başlat menüsünden DNS'e girelim.

Az önce bahsettiğimiz gibi DNS sunucu ilk görevi olan kendine gelen isim sorgularını IP adresine çevirme işini hiç bir ayar gerektirmeden yapıyor.

İkinci görevi olan kendi üzerinde bir domain bilgilerini tutma işini şimdi ayarlayacağız.

DNS ekranı gelince karşımıza iki bölüm çıkıyor: Forward Lookup Zones, Reverse Lookup Zones.

Forward Lookup Zones altına, sirket.com, turkcenet.org, bizimfirma.biz gibi istediğimiz domain'leri oluşturacağız. Ağımızda bu domain'lere dahil edilmiş bilgisayarların isimleri ve IP adresleri burada tutulacak ve isim-->IP adresi çözümlemesi buradan yapılacak.

Reverse Lookup Zone ise tam tersi, IP adresini bildiğimiz bir bilgisayarın ismini bize bulan bölümdür.

Önce ekran görüntüsündeki gibi Forward Lookup Zones üzerine sağ tıklayalım ve New Zone ile yeni bir zone yani domain oluşturalım. Windows 2000 domain'leri ile DNS domainleri tamamen farklı şeyler olduğu için DNS altında Zone kavramı kullanılıyor.

Bize oluşturacağımız Zone tipini soruyor. Önceden varolmayan bir Zone oluşturacağımız için "Standart Primary" olarak devam ediyoruz. Bu Zone'u ilk defa oluşturuyoruz ve bu DNS server bu Zone'u üzerinde tutan ilk DNS server olacak

Şimdi oluşturacağımız Zone ismini girelim: "sirket.com"

Şimdi hemen aklınıza bir takım sorular geldiğini tahmin edebiliyorum: Ya internet'te daha önceden sirket.com adresi alınmışsa veya ileride alınırsa? Bizim zaten www.sirket.com diye bir adresimiz var bu yaptığımız işlem bir problem yaratmasın? Ve bunun gibi sorular...

Hiç endişelenmeyin, buraya istediğimiz Zone'u tanımlayabiliriz. İsteseydik, microsoft.com yazardık ve tıkır tıkır çalışırdı. Şimdi burayı biraz açıklayalım, önce alttaki resmi bir inceleyin:

Teorik olarak bir bilgisayar ağı internete açıldığında yukarıdakine benzer bir yapı kurulması gerekir.

Sürekli bir internet bağlantısının yanısıra, internet servis sağlayıcınızdan bir de IP bloğu satın alırsınız. Yukarıda 212.20.12.x IP bloğunun alındığı görülüyor. Bu IP adresleri internet üzerinde tanımlı ve sadece size ait olacaktır. Sonra bu IP bloğundan IP adreslerini ağınız üzerindeki bilgisayarlara verirsiniz. Bu bilgisayarlar kendilerine atanmış IP adresleriyle internete çıkabilirler. Artık dünyanın herhangi bir yerinden internete bağlı bir kişi de "ping 212.20.12.1" dediğinde sizin bu IP adresini verdiğiniz bilgisayara erişebilir.

Daha sonra gidip bir internet domainini kendi adınıza kayıt ettirirsiniz. Domain'i kayıt ettirdiğiniz web sitesinde (örneğin; tr uzantılı bir adres için metu.edu.tr sitesinde domain kaydı yaparken) bu domaini üzerinde tutacak DNS sunucusu olan bilgisayarın IP adresini girmeniz istenmektedir(namı diğer "name server"). Buraya kendi ağınızda üzerine DNS sunucu kurduğunuz bilgisayarın IP adresini girersiniz(resimde 212.20.12.1).

Daha sonra bu DNS sunucuda bizim şimdi yapmakta olduğumuz gibi kendi adınıza kayıt ettirdiğiniz zone'u tanımlarsınız.

Ağınızdaki diğer bilgisayarlarda bu Zone altında(sirket.com altında yani) kendilerini kayıt ederler veya siz DNS sunucu üzerinde elinizle "pc1.sirket.com isimli makinanın ip adresi 212.20.12.2'dir" diye girersiniz.

Bu noktadan sonra tamamı internete açık bir ağınız olur. Meksika'da internete bağlı bilgisayarının başında oturan Fernandez, Internet Explorer'i açıp www.sirket.com yazarsa sizin ağınızda ismi "www" olan, tam ismi "www.sirket.com" olan bilgisayara bağlanmaya çalışır. Nasıl mı?

Fernandez'in bilgisayarı "www.sirket.com" isimli bilgisayarın IP adresini kendi DNS sunucusuna sorar, bu DNS sunucu önce "." DNS sunucusuna, oradan "com" DNS sunucusuna ulaşır. "com" domainini tutan DNS sunucu "com" altındaki "sirket" domaininin IP adresi 212.20.12.1 olan DNS sunucu üzerinde tutulduğunu söyler. Bu bilgisayar da aslında, ismi "w2ksunucu.sirket.com" olan bizim bilgisayarımızdır. Bizim DNS sunucuda kendi üzerinde tanımlı olduğu şekilde "www" isimli bilgisayarın IP adresini Fernandez'in bilgisayarına iletir.

Siz de eğer bu bilgisayar üzerine(www.sirket.com üzerine) bir Web sunucu yazılımı kurmuş ve bir web sitesi yüklemişseniz, bu amigonun karşısına sizin web siteniz çıkacaktır.

Dikkat ederseniz sirket.com'un altındaki tüm adreslerin yönetimi bizim elimizdedir. Yukarıdaki örnekte "turkcenet" isimli bir bilgisayar şu anda yok. Dolayısı ile internet üzerinden birisi "ping turkcenet.sirket.com" yazsa hata alır, ama ben hemen bu ağa bir bilgisayar dahil edip, ismini "turkcenet" koyup, sonra da DNS sunucum üzerinde onun için bir kayıt açarsam artık turkcenet.sirket.com isimli bir bilgisayar internet üzerinde tanımlı hale gelir. Benim bunu yapmak için kimseden izin almam gerekmez (com veya . domainlerinin yöneticilerinden mesela). DNS'in bu dağıtık yapısı hem güncellemelerin çok hızlı yapılmasını sağlar, hem de domain'lerin bir merkezden değil, ait olduğu kurum veya kişilerce yönetilmesine imkan tanır. Benim DNS sunucucum çökerse, bu sadece sirket.com'un erişilemez hale gelmesi demektir.

Yukarıdaki resimdeki örneğe dönersek, teoride böyle bir sistem öngörülmesine rağmen internete bağlı bir çok ağ bu şekilde çalışmaz. Bunun bir kaç nedeni vardır. Birincisi güvenliktir. Eğer ağa dahil bir bilgisayarın üzerinde WWW, FTP veya benzeri bir sunucu yazılımı çalışmıyorsa, bu bilgisayara sebebsiz yere internet üzerinden erişilmesine izin vermek mantıklı değildir.

Bir çok ağ internete bağlanırken gerçek bir IP bloğu kullanmaz çünkü bu IP blokları pahalıdır, üstelik yavaş yavaş verilecek IP bloğu tükenmeye başlamıştır.

Yerel ağ'lar kurulurken genellikle 10.x.x.x veya 192.168.x.x gibi yerel ağların kullanımı için rezerve edilmiş, gerçek IP bloğu olarak kimseye satılmayan ve internet üzerinden de yönlendirilmeyen IP aralıkları kullanılır.


	Logged

erdal

Ynt: Server Kurulumu resimli

« Yanıtla #2 : Ağustos 31, 2006, 10:06:19 ÖS »

Böyle bir yerel ağda siz eğer bir DNS sunucu kurup, onun üzerinde de bir Zone oluşturacaksanız Zone'un ismi hiç önemli değildir. Örneğin Zone ismi olarak ibm.com'u seçmeniz birşey ifade etmez. Çünkü siz kendi kapalı dünyanızda, adeta kendi internetinizi kurmuş olursunuz. Siz yerel ağınızı internet paylaşımı yöntemi ile internete çıkarmış bile olsanız(internete bağlı ve gerçek IP'ye sahip bir bilgisayarın bağlantısının, gerçek IP'ye sahip olmayan, yani internet üzerinde tanımlı IP adresine sahip olmayan bilgisayarlara paylaştırılması, XP'deki "internet connection sharing" gibi...) DNS sunucunuz gerçek bir IP'ye sahip olmadığı için bir problem çıkmayacaktır.

Kaldı ki, ibm.com'u üzerinde tutan DNS sunucunun adresi zaten bellidir, sizin internete gerçek IP ile bağlı bile olsa, bir makina üzerine, DNS sunucu kurup sonra da ibm.com diye bir zone tanımlamanız tüm dünyanın ibm.com yazınca sizin makinanıza geleceği anlamına gelmez. Siz ancak bir şekilde ibm.com'u kendi adınıza kayıt ettirebilirseniz, yani "com" domainini tutan DNS sunucular üzerinde "ibm.com" domainini tutacak DNS sunucu olarak kendi bilgisayarınızın IP adresini girdirebilirseniz bu gerçekleşir. Belki ibm.com değil ama, daha önce alınmamış bir internet domainini 6-7 dolar karşılığı bu şekilde almanız mümkündür.

Diğer bir örnek: Sizin halihazırda, kendi üzerinize kayıt ettirdiğiniz ve "domaini aldığınız firmanın" DNS sunucularında tutulmakta olan bir domain adınız olabilir (sirket.com gibi). Siz yine de bundan tamamen bağımsız olarak yerel ağınızı kurarken Windows 2000 DNS sunucu içinde sirket.com isminde bir zone oluşturabilirsiniz. İnternet üzerinde tanımlı sirket.com ile sizin gerçek IP bloklarını kullanmayan yerel ağınız içinde oluşturduğunuz sirket.com arasında hiçbir bağlantı olmayacaktır.

Bu arada bu konu ile ilgili son bir not olarak şunu söylemek istiyorum. Yerel ağınız için oluşturduğunuz Zone internette belirlenmiş domain formatına uymak zorunda da değildir. Örneğin "local" diye bir uzantı olmamasına rağmen (yani siz gidip benimismim.com alabilirsiniz ama benimismim.local alamazsınız), siz sirket.local diye bir Zone oluşturabilirsiniz. Bu şekilde oluşturduğunuz bu domain'in internet üzerinde hiçbir zaman "olmayacağından" emin olabilirsiniz.

Şimdi biz kuruluma devam edelim

Bize domain bilgilerinin tutulacağı dosyanın adını soruyor, Next ile devam ediyoruz.

Finish ile bitiriyoruz

Bu ekranı incelersek; sirket.com Zone'u oluşmuş durumda. Sağ kısımda

w2ksunucu Host 192.168.1.10

şeklinde DNS sunucuyu üzerine kurduğumuz bilgisayarın önce kendini DNS sunucuya kaydettiğini görüyoruz. DNS sunucuyu kurmaya başlamadan önce My Computer>Network Identification altından yaptığımız ayarlar işte bunun içindi.

Bu bilgisayar kendisini kaydetmiş peki ağ üzerindeki diğer makinalar ne olacak? Biz aslında her makinayı teker teker elimizle ekleyebiliriz. Ancak yüzlerce bilgisayar olan bir ağ'da bu zor olur. DNS sunucu bize bir kolaylık sağlıyor:Dynamic Updates.

Bir bilgisayarın açılır açılmaz üyesi olduğu domain'i tutan DNS sunucuya gidip kendisini kaydetmesini, yani "soran olursa, benim adım pc2, IP adresim de 192.168.1.12" demesini sağlayabiliriz.

Bunun için sirket.com üzerine sağ tıklıyoruz ve Properties diyoruz

Daha sonra da Allow Dynamic Updates: Yes yapıyoruz:

Bu işlem seçimlik bir olay değil, Active Directory'i kurabilmek için DNS sunucusunun Dynamic Update'leri desteklemesi şarttır.

Yukarıda Properties'i seçtiğimiz ekranda "New Host" dersek ağ üzerindeki bir makina için kendimiz bir DNS kaydı oluşturabiliriz. Dynamic Update özelliği normalde buna gerek bırakmayacaktır, ancak şöyle de bir durum var, Dynamic Update eğer terminal bir Windows 2000 makinası ise işe yarıyor, eğer bir windows 98 makinasını açarsanız o gelip kendine yeni bir DNS host kaydı oluşturmaz. Bu gibi durumlarda sizin elinizle bu kaydı açmanız gerekebilir.

Aynı menüdeki "New Alias" ise bir makina için ek bir isim tanımlamanıza yarıyor. Örneğin "www" isimli bir makinamız olsun ve üzerinde de Web sunucsu çalışsın. Bu makinaya www.sirket.com diye erişilebilir. Ancak biz bu makinaya bir de FTP sunucusu kurduk ve aynı makinaya ftp.sirket.com olarak da erişilsin istiyoruz. İşte bu durumda bir Alias(takma isim) oluşturabiliriz. DNS ile ilgili Alias, Host, MX Record gibi değişik kayıt tipleri var. Bunların her biri uzun uzun anlatılabilir ama burada bizim amacımız, bir Windows 2000 Sunucu kurarker yapmamız gerekenleri açıklamak, DNS sunucuyu kurmadan Active Directory kuramayacağımız için, en basit adımları ile DNS kurulumunu yapıyoruz.

Şimdi sıra geldi Reverse Lookup Zone oluşturmaya.

Alttaki ekranda ağımızda kullandığımız IP subnetini girmemiz isteniyor:

Bizim kullandığımız IP subneti 192.168.1.x olduğu için, tüm bilgisayarlarımızda aynı olan bölümü yani 192.168.1 bölümünü yazıyoruz.

Oluşturulacak dosyanın ismini Next ile onaylıyoruz.

Finish ile bitiriyoruz.

Reverse Lookup Zone'da oluştu. Bu Zone bazı servilerin çalışması için gereklidir. Dynamic Update olayını bunda da etkinleştirmeliyiz.

Hatırlarsanız, Forward Lookup Zone'u oluşturunca w2ksunucu, yani üzerinde çalıştığımız makina kendisi için hemen bir kayıt oluşturmuştu. Ancak Reverse Lookup Zone için bu kaydı bizim elle açmamız gerekiyor:

Üzerinde çalıştığımız makinanın IP adresini (10) ve ismini yazıyoruz(ismini Browse ile de seçebiliriz

Gördüğünüz gibi bu makina için bir kayıt oluştu:

Dikkat ettiyseniz, Reverse Lookup Zone'u Forward Lookup Zone alanında tanımladığımız Domain(ler)'e göre değil ağımızın subnetine göre tanımladık, dolayısı ile aynı subnetteki birçok domain için tek bir Reverse Lookup Zone yeterlidir.

Bundan sonra hem Forward Lookup Zone'da hemde Reverse Lookup Zone'da ağdaki diğer bilgisayarların kayıtları otomatik olarak oluşacak (Dynamic Update özelliğinden dolayı).

DNS sunucumuz bitti. Şimdi DNS ekranını kapatalım. Biz her ne kadar uzun uzun anlattıysak da bu işlem maksimum 1 dakinanızı alacaktır.

Sıra geldi Active Directory'i yükleyerek bu makinayı Domain Controller haline getirmeye ve Windows 2000 Domainini oluşturmaya..

Active Directory Kurulumu
Active Directory kurulumunu Start>Run>Dcpromo komutu ile başlatıyoruz:

İlk gelen

ekranını Next ile geçiyoruz. Daha sonra karşımıza alttaki ekran geliyor

Bu ekranda yeni bir domain mi oluşturduğumuzu, yoksa varolan bir domain'e ek bir Domain Controller mı eklediğimizi belirtiyoruz. Biz yeni bir domain oluşturduğumuz için üstteki seçenek ile devam ediyoruz.

Bu ekranda ise yeni bir domain ağacı oluşturma (example.microsoft.com gibi) veya varolan Domain ağacına yeni bir alt domain ekleme (headquarters.example.microsoft.com gibi) seçeneğini soruyor. Daha önceden tanımlı hiçbir şey olmadığına göre üstteki seçenek ile devam ediyoruz.

Bu ekranda ise yeni bir Domain Ormanı oluşturmak veya bu domaini varolan bir Domain ormanı içine yerleştirmek seçilebilir. Biz yine önceden varolan bir yapı olmadığı için üstteki seçenekle devam ediyoruz

İşte şimdi bize bu domain için oluşturduğumuz DNS Zone'unu soruyor. Buraya sirket.com yazıyoruz. Yani önce sirket.com diye bir DNS Zone oluşturmuştuk, şimdi de bu Zone için bir Windows Domain'i oluşturuyoruz

DNS isimleri sadece Windows 2000 Professionaller için geçerli, eski Windows versiyonları sadece Netbios isimlerini tanıyorlar. Bu tip Windows'ların görmesi için Domain'in Netbios ismini girmeliyiz. Genellikle bize önerilen isim uygun olacaktır, ancak bu ismin 14 karakterden uzun olamayacağını ve özel karakterleri (_, /,* vb.) içeremeyeceğini unutmayın

Şimdi bize Active Directory bilgilerinin disk üzerinde nerede tutulacağını soruyor. Bu değerleri olduğu gibi bırakalım

Şimdi bize Sysvol klasörünün yerini soruyor. Bu klasör NT4 zamanında kullandığımız NETLOGON klasörünün yerine geçiyor. Aslında Windows 2000'de bir çok ayar Active Directory veritabanında tutuluyor. Örneğin kullanıcı veya bilgisayar bazında kısıtlamalar getirmenize yarayan Group Policy'ler AD içinde tutuluyor. Ancak Group Policy'ler sadece W2k makinalarında etkili, eğer eski sürüm windows'lar varsa (NT4, W9x) bu durumda NT4 zamanında oluğu gibi Config.Pol ve benzeri script dosyalarınızı bu Sysvol dizinine koyacaksınız. Sysvol'un NT4'teki NETLOGON dizinine göre en önemli avantajı ise, eğer birden fazla DC kuracak olursak bu klasörün içeriğinin DC'ler arasında otomatik olarak güncellenmesi.

Bu ekranda bize sorduğu şey şu: Ağ üzerinde Domain Controller olarak çalışan NT4 makinalar var mı? Eğer yoksa (terminal olarak Nt4 makinalar olabilir önemli değil), alttaki seçenekle devam ediyoruz. Biz yeni bir sistem kurduğumuza ve ileride tutup da, NT4 makina almayacağımıza göre biz de alttaki seçenek ile devam ediyoruz

Şimdi bizden bir şifre belirlememizi istiyor. Eğer Active Directory'de bir takım bozulmalar olursa, önceden aldığımız AD yedeklerini kullanarak sistemi düzeltebiliriz. Bu işlemi yaparken bilgisayarı "Directory services Restore Mode" denilen özel bir modda açıyoruz. İşte bu moda girerken bize soracağı şifreyi bu ekranda belirlememiz gerekiyor. Burayı boş geçmeyin, çünkü kötü niyetli veya bilinçsiz bir kullanıcı bilgisayarı bu modda açıp, sistemi çökertecek veya varolan AD yapısını bozacak bir yükleme yapabilir.

Şimdiye kadar yaptığımız seçimleri özetleyen bu ekrandan sonra dosyaların kopyalanması başlayacaktır.

Bu işlem biraz zaman alabilir. İşlem tamamlanınca Finish ile bitiriyoruz ve Restart ile makinayı restart ediyoruz

Bilgisayar açılınca, login ekranında "Options" düğmesine tıklarsak artık "Log onto:" yanında domain ismini görebiliriz.

Şifreyi girip makinamızı açalım. Artık bu makina bir Domain Controller ve üzerinde sirket.com "Windows Domain"ini barındırıyor.