Etki alanı denetleyicisi, ağ yönetiminde kritik bir bileşendir. Genellikle etki alanı sunucusu olarak adlandırılır ve bir Windows etki alanı içinde güvenlik ilkelerini uygulamaktan sorumludur.
Domain Controller Nedir?
Etki alanı denetleyicisi yani domain controller, kullanıcıları doğrulama, kimlik doğrulama, kimlik güvenliği ve veri erişimi için yetkilendirme açısından yöneten bir sunucudur. Etki alanları, kullanıcı ve bilgisayarlardan oluşan hiyerarşik bir ağı temsil eder, etki alanı denetleyicisi tüm bu verileri düzenli ve güvenli bir şekilde tutar. Ayrıca etki alanı denetleyicilerini Active Directory hizmetlerini barındırmak için de kullanabilirsiniz.
Domain Controller Ne İşe Yarar?
Domain controller, ağlar üzerinde veri yönetişimi uygulamanın anahtarıdır. Yöneticilerin ağ politikalarını, güvenlik protokollerini ve ağ kaynaklarına erişim izinlerini uygulamalarına yardımcı olur. Ağın güvenli ve güvenilir kalmasını sağlar.
Daha basit bir ifadeyle, Windows ağını kullanan her kullanıcının kullanıcı adını, parolasını ve diğer kimlik doğrulama parametrelerini kontrol ederek erişim sağlamak veya reddetmek bir etki alanı denetleyicisinin görevidir.
Domain Controller (DC) Özellikleri
DC ile ilgili temel özelliklere aşağıdaki listeden erişebilirsiniz:
1. Kimlik Doğrulama
Bir kullanıcı bir etki alanının parçası olan bir bilgisayarda oturum açtığında, oturum açma isteği bir etki alanı denetleyicisine iletilir. DC daha sonra sağlanan kimlik bilgilerini kendi veri tabanında kontrol eder ve eşleşmeleri halinde kullanıcıya erişim izni verir.
2. Yetkilendirme
Kimlik doğrulamanın ötesinde, DC kullanıcının ağ üzerinde hangi kaynaklara erişebileceğini belirler. Bu, Active Directory içinde ayarlanan izinler tarafından belirlenen dosya paylaşımlarını, yazıcıları ve uygulamaları içerir.
3. Dizin Hizmetleri
DC, etki alanı içindeki kullanıcılar, gruplar ve bilgisayarlar gibi tüm nesneler hakkındaki bilgileri depolar ve düzenler. Bu organizasyon, bilgilerin kolayca yönetilmesini ve alınmasını kolaylaştırır.
4. İlke Uygulama
Kullanıcı ve bilgisayar hesaplarının çalışma ortamını kontrol eden grup ilkeleri, etki alanı denetleyicisi aracılığıyla uygulanır. Buna güvenlik ilkeleri, yazılım yüklemeleri ve kullanıcı ayarları dahildir.
Primary DC & Additional DC Ayrımı
Additional DC, primary DC’nin yedeği olarak hizmet veren ek bir sunucudur. Bu sunucular genellikle denetleyiciye yedeklilik sağlamak için kullanılır. Etki alanı denetleyicilerinden birine erişilememesi durumunda, ikinci etki alanı denetleyicisi etki alanının yönetimini üstlenir. Birincil denetleyiciniz yanlış IP adresi kullanılarak kurulmuşsa ikinci etki alanı denetleyicisi kullanılabilir.
Üçüncü bir etki alanı denetleyicisi, acil durum yedeği olarak hizmet vermek üzere bir internet ağına bağlı olan bir sistemdir. DNS aracılığıyla ağa bağlı olan ilk etki alanı denetleyicisinin arızalanması durumunda kullanılır. Bu, sistemin kararlı bir durumda olduğundan emin olmak için yapılır. İki tür Additional DC vardır. İlk tür bireysel bir cihazdır ve ağda bir sunucu kurulumu gerektirmez. Diğer tür ise ağa bağlı olan ve ağdaki diğer bilgisayarlara hizmet sağlamak için kullanılan bir sunucudur. İkinci etki alanı denetleyicisi, DNS ile internete bağlanan ana etki alanı denetleyicisine işlevler sunmak için kullanılır.
Workgroup vs. Domain Controller (DC) Arasındaki Farklar
Aşağıda Workgroup vs. Domain Controller (DC) arasındaki farkları bulabilirsiniz:
1. Workgroup
- Eşler Arası Ağ: Bir çalışma grubunda tüm bilgisayarlar eşit kabul edilir ve merkezi bir otorite yoktur. Her bilgisayar kendi kullanıcı hesaplarını ve kaynaklarını yönetir.
- Sınırlı Ölçeklenebilirlik: Workgroups, az sayıda bilgisayar içeren (genellikle 10’dan az) küçük ağlar için uygundur. Bilgisayar sayısı arttıkça, kullanıcı hesaplarını ve kaynaklarını yönetmek giderek daha karmaşık hale gelir.
- Merkezi Kimlik Doğrulama Yok: Bir çalışma grubundaki her bilgisayarın kendi kullanıcı hesapları ve parolaları vardır. Bir kullanıcının birden fazla bilgisayara erişmesi gerekiyorsa, her birinde bir hesabı olması gerekir.
- Sınırlı Güvenlik Özellikleri: Workgroup sınırlı güvenlik seçenekleri sunar. Güvenlik ayarlarının her bilgisayarda ayrı ayrı yapılandırılması gerekir, bu da tutarlı güvenlik politikalarının uygulanmasını zorlaştırır.
- Kurulumu Basit: Workgroup kurulumu kolaydır ve minimum yapılandırma gerektirir. Küçük ve gayri resmi ağlar için çok uygundur.
- Grup İlkesi Desteği Yok: Workgroup, Grup İlkesi aracılığıyla ilkelerin ve ayarların merkezi yönetimini desteklemez.
2. Domain Controller (DC)
- İstemci-Sunucu Modeli: Bir etki alanında, kullanıcı hesaplarını yöneten, kullanıcıların kimliklerini doğrulayan ve kaynaklara erişimi kontrol eden Etki Alanı Denetleyicisi (DC) olarak bilinen merkezi bir sunucu vardır.
- Ölçeklenebilir: Etki alanları daha büyük ağlar için tasarlanmıştır. Binlerce hatta on binlerce bilgisayar ve kullanıcıyı idare edebilir.
- Merkezi Kimlik Doğrulama: Kullanıcılar, tüm ağdaki kaynaklara erişmelerini sağlayan tek bir kimlik bilgisi setine (kullanıcı adı ve parola) sahiptir. Bu, daha sorunsuz ve güvenli bir kullanıcı deneyimi sağlar.
- Sağlam Güvenlik Özellikleri: Etki alanları, ilkeler, şifreleme ve daha ayrıntılı erişim denetimleri dahil olmak üzere gelişmiş güvenlik özellikleri sunar. Güvenlik ayarları Grup İlkesi aracılığıyla merkezi olarak yönetilebilir.
- Kurulumu Karmaşık: Bir etki alanı kurmak, bir çalışma grubuna kıyasla daha fazla planlama ve yapılandırma gerektirir. Bir etki alanı denetleyicisinin kurulmasını ve yapılandırılmasını içerir.
- Grup İlkesi Desteği: Etki alanları Grup İlkesi kullanımını destekleyerek yöneticilerin ağ genelinde kullanıcılar ve bilgisayarlar için ilkeler tanımlamasına ve uygulamasına olanak tanır.
- İşletmeler için Daha İyi: Etki alanları, merkezi yönetim, güvenlik ve ölçeklenebilirliğin kritik olduğu karmaşık ağlara sahip daha büyük işletmeler için tercih edilen seçenektir.
Çoklu Domain Controller Avantajları
Active Directory çalıştıran sunucular kimlik doğrulama isteklerini işleyebilir, ancak daha önce de belirtildiği gibi, küçük bir şirketiniz olsa bile tek bir etki alanı denetleyicisine bağlı kalmamak en iyisidir. Birincil etki alanı denetleyicisine ve bir ya da birden fazla yedek etki alanı denetleyicisine sahip olmanız iyi bir fikirdir. Bu, ağ kesintisi riskini azaltacaktır.
BT ekibiniz arızalı etki alanı denetleyicisini geri yüklemek için çalışırken, ikincil bir etki alanı denetleyicisi kullanıcılarınızın önemli etki alanı kaynaklarına erişebilmesini ve iş açısından kritik sistem ve hizmetlerin her şey normale dönene kadar çalışmaya devam etmesini sağlayacaktır.
İkincil bir etki alanı denetleyicisi ile tam bir arızayı önlemeniz mümkündür. Altyapı düzeyinde yeni bir yedeğe sahip olmak, birincil etki alanı denetleyicisi için geri yükleme sürecini hızlandırabilir ve basitleştirebilir. Başlangıçta ek bir yük gibi görünebilir, ancak BT ekibinizi iş operasyonları durduğunda aşırı baskı altında tüm altyapıyı sıfırdan yeniden inşa etmek için zaman ve kaynak harcamaktan kurtarabilir.
Etki Alanı Denetleyicisinin Sınırlamaları
İstenmeyen ağ erişimini önlemek için yalnızca etki alanı denetleyicilerine güvenilmemelidir. Çünkü etki alanı denetleyicileri ile ilgili de birkaç sınırlama vardır.
- Etki alanı denetleyicileri ek güvenlik mekanizmalarına ve altyapıya ihtiyaç duyar.
- Etki alanı denetleyicisi kullanıcı kimlik doğrulamasından sorumlu olduğundan, arızalanması ağ hasarına neden olur.
- Bir DC’nin arızalanması da ağ hasarına neden olabilir, bu da onu bilgisayar korsanları için ortak bir hedef haline getirir.
- Ağlar etki alanı denetleyicilerine bağımlıdır. Bu nedenle, kesinti riskini azaltmak için bunları kümeler halinde dağıtmak en iyisidir.
Etki Alanı Denetleyicileri Active Directory’de Nasıl Kurulur?
Microsoft Windows Server 2022 çalıştıran bir sunucuda etki alanı denetleyicisi kurmak iki adımlı bir işlemdir. İlk olarak, Active Directory Domain Services rolünü yüklemeniz gerekir. Ardından, sunucuyu bir etki alanı denetleyicisine yükseltirsiniz.
Başlamadan önce birkaç ön koşul vardır. Microsoft Windows Server 2022’yi ayrılmış bir makineye yüklemeniz gerekir. Ardından, sunucuya statik bir IP adresi atamanız ve sunucu için DNS adlandırma kurallarına uygun benzersiz bir ad seçmeniz gerekir.
1. Etki Alanı Değerlendirmesi
İlk olarak, etki alanı denetleyicisinin kurulacağı etki alanını değerlendirmeniz gerekir. Bu değerlendirme, ne tür etki alanı denetleyicilerinin gerekli olduğuna, nereye kurulacaklarına ve etki alanının mevcut sistemleriyle nasıl etkileşime gireceklerine karar vermeyi içerir.
2. Yeni Ekleme/Dağıtım
İster AD etki alanı denetleyicilerinin yeni bir dağıtımını planlıyor olun ister mevcut bir etki alanına yeni bir denetleyici ekliyor olun, etki alanı denetleyicisinin konumunu, merkezi etki alanı denetleyicisini ve tüm sanal etki alanı denetleyicilerini çalıştırmak için gereken kaynakları ayarlayın.
3. Tasarımla Güvenlik
Bir etki alanı denetleyicisini hem iç hem de dış tehditlerden korumak çok önemlidir. Bu yüzden etki alanı denetleyicisi mimarisinin ağ kesintileri, elektrik kesintileri veya her türlü arızadan kaynaklanan hizmet kesintilerine karşı güvenli olduğundan emin olun.