Salt Okunur Etki Alanı Denetleyicisi (RODC - Read Only Domain Controller)

Eyl 07, 2013

Windows Server 2008 işletim sistemi ile birlikte Microsoft, Windows NT işletim sisteminden bu yana kullanmamış olduğu bir özelliği tekrar kullanıcılarına sundu. RODC (Read Only Domain Controller – Salt Okunur Etki Alanı Denetleyici) olarak adlandırılan bu özelliğin temel amacı sunucuların ve kullanıcıların güvenliğini sağlamaktır. Windows NT işletim sisteminde BDC (Back up Domain Controller  - Yedek Etki Alanı Denetleyici) adıyla bulunan bu etki alanı denetleyici, yalnızca yazılabilir bir etki alanı denetleyici tarafından değiştirilebiliyordu. Bu değişiklik işlemi de, yazılabilir etki alanı denetleyicinin üzerindeki bilgiler dahilinde BDC nin güncellenmesi şeklinde gerçekleşiyordu. Bu sistem güvenli olmasına rağmen bazı eksiklikler de içeriyordu. En önemlisi yazılabilir özellikteki tek etki alanı denetleyici olan PDC (Primary Domain Controller – Ana Etki Alanı Denetleyici) de meydana gelen bir yanlışlığın bütün sistemi etkilemesiydi. Bu yapı Windows Server 2000 işletim sisteminde kaldırılarak yerine AD (Active Directory – Aktif Dizin) ve MMDM (Multi Master Domain Model – Çoklu Yöneticili Etki Alanı Modeli) yapıları getirildi. Bu yeni düzenle birlikte bütün etki alanı denetleyicileri yazılabilir özelliğe sahip oldu.

Windows Server 2008 işletim sisteminde de AD ve MMDM yapısı kullanılmaktadır. Ek olarak RODC özelliği de eklenmiştir. RODC kendi başına bir işleve sahip değildir. Çalışabilmesi için mutlaka yazılabilir bir etki alanı denetleyicisine ihtiyacı vardır. Bu sistem birden fazla ofise sahip kurumlar için ve fiziksel güvenliği yeterli olmayan yerler için çok faydalı bir güvenlik çözümüdür. Örneğin, birden fazla ofise sahip bir kurum için tek bir etki alanı denetleyicisi kullanmak, dış ofislerden merkeze ulaşım için WAN ( Wide Area Network – Geniş Alan Ağı ) kullanılmasını gerektirecektir. İnternet bağlantısında meydana gelen bir sorun dış ofislerin merkeze ulaşımını engelleyeceğinden iş ve vakit kaybı söz konusu olacaktır. Her ofis için bir yazılabilir etki alanı denetleyicisi kullanmak ise hem pahalı hemde fazladan iş yükü gerektireceğinden mantıklı bir çözüm olmayacaktır. RODC ile bu engeller ortadan kalkmaktadır. Merkeze kurulacak yazılabilir bir etki alanı denetleyici ile birlikte dış ofislere kurulacak RODC ler ile hem fazladan iş gücüne ihtiyaç duyulmayacak hem de daha ucuz ve güvenli bir çözüm üretilmiş olacaktır.

RODC aktif dizin yöneticileri tarafından değiştirilemez. Güncellenebilmesi için bağlı olduğu yazılabilir etki alanı denetleyicideki değişikliklerin onaylanması gerekmektedir. Bu nedenle RODC üzerinde kullanıcılar değişiklik yapamazlar. Buna ek olarak istenilen kullanıcılar RODC üzerinde yönetici yapılarak, bu etki alanı denetleyicisi üzerinden programlar kurdurulup, günlük ihtiyaçlar dahilinde gerekli işler yaptırılabilir. Bu işlem söz konusu kullanıcının etki alanı yöneticisi olmasını gerektirmediği için aktif dizin için bir sorun oluşturmaz. Bir RODC üzerinde, hesap şifreleri dışında yazılabilir bir etki alanı denetleyicisinin üzerinde tuttuğu bütün özellikler ve AD DS (Active Directory Domain Services – Aktif Dizin Etki Alanı Servisleri) nesneleri tutulur. Bu sayede RODC ye ulaşılarak şifre çalınması gibi durumlar söz konusu olamaz. RODC yalnızca kendi hesabının şifresini ve Kerberosun krbtgt adlı hesabının şifresini tutar. İsteğe bağlı olarak kullanıcı hesaplarıyla ilgili başka bilgilerde RODC üzerinde tutulmayabilir. Bunun için Schema Master (Şema Yöneticisi) üzerinde etki alanı nitelikleri yapılandırılarak, bilgi akışı sırasında istenmeyen niteliklerin salt okunur etki alanı denetleyicisine aktarılması engellenir. Böylelikle engellenmiş olan özellikler yalnızca yazılabilir etki alanı denetleyicisinin üzerinde tutulur. Salt okunur etki alanı denetleyicisine aktarılmayan niteliklere RODC filtrelenmiş nitelikler grubu adı verilir. Bu gruba sistem için önemli olan nitelikler hariç herşey eklenebilir. Sistem için önemli olan nitelikler AD DS nin doğru bir şekilde çalışması için gerekli olan niteliklerdir. Bu niteliklerin schemaFlagsEx nitelik değerleri 1 e eşittir (schemaFlagsEx attribute value & 0x1 = TRUE).

RODC kendi üzerinde bulunmayan özelliklerin kontrolü için gelen istekleri bağlı olduğu yazılabilir etki alanı denetleyicisine iletir. Oradan gelen cevap doğrultusunda isteklere karşılık verir. Kullanıcıların veya bilgisayarların kimlik denetimi için, yazılabilir etki alanı denetleyicisine gitmeden bu işlemin yapılması isteniyorsa, Credential Caching (Kimlik Bilgilerini Ön Belleğe Alma) özelliği aktif hale getirilmelidir. Bu işlemden sonra yalnızca kullanıcıların ilk girişleri için istekler yazılabilir etki alanı denetleyicisine iletilir. İlk giriş işlemlerinden sonra kimlik bilgileri ön bellekte saklanır ve sonraki sorgularda yazılabilir etki alanı denetleyicisine isteği iletmeden kullanıcı işlemlerine cevap verilir. Meydana gelebilecek sorunlarda ön bellek temizlenerek RODC deki kimlik bilgileri silinir, kullanıcılar yeniden giriş yaptıklarında bilgiler tekrardan ön belleğe alınabilir.

Bir DNS (Domain Name System - Etki Alanı Adlandırma Sistemi) sunucusu RODC üzerine yüklenebilir. RODC ForestDNSZones (Orman DNS Bölgeleri) ve DomainDNSZones (Etki Alanı DNS Bölgeleri) dahil olmak üzere DNS in kullandığı bütün uygulama dizini bölümlerini üzerinde tutabilir. Bu sayede istemciler isim çözümlemek için RODC üzerindeki DNS sunucularını kullanabilirler. Bu sistemin tek eksik tarafı, kullanıcılar tarafından doğrudan güncelleştirme yapılamamasıdır. Bir istemci dinamik güncelleştirme yapmak istediğinde, kendisinde tanımlı olan öncelikli DNS sunucusuna SOA (Start of Authority - Yetki Başlangıcı) isteği gönderir. RODC, DNS bölgesinin yazılabilir bir kopyasına sahip olmadığı için, kendisine gelen SOA isteğine cevap olarak üzerinde Active Directory-integrated zone (Aktif Dizin Entegre Edilmiş Bölge) bulunduran yazılabilir özellikteki Windows Server 2008 etki alanı denetleyicisinin adını gönderir. RODC ismi gönderdikten sonra yeni bilgileri almak için bir süre bekler. Bu işlem için gerekli olan temel özellik Windows Server 2008 işletim sistemine sahip bir DNS sunucusudur. Ek olarak bu DNS sunucusu, güncellenecek kayıtların tutulduğu bölgelerin yazılabilir bir kopyasına sahip olmalıdır.

Salt Okunur Etki Alanı Denetleyicisi Kurulumu

Kurulum işlemine başlamadan önce RODC nin kurulacağı Windows Server 2008 işletim sistemi yüklü sunucuya ihtiyaç vardır. Daha sonra bilgisayar bir etki alanına dahil edilmelidir. İlk aşamada kurulum işlemi herhangi bir etki alanına gerek olmadan da yapılabilir. Son olarak başlamadan önce ormanın işlevsel seviyesi Windows Server 2003 veya üstü olmalıdır. Bu durumu kontrol etmek için Active Directory Domains and Trusts (Aktif Dizin Etki Alanları ve Güvenceleri) yönetim ekranı açıldıktan sonra ilgili ormanın özellikleri tıklanır. Açılan pencerede Forest Functional Level (Orman İşlevsel Seviyesi) kontrol edilmelidir. Eğer ormanın işlevsel seviyesi Windows Server 2003 işletim sisteminden daha düşükse adprep /rodcprep komutu yardımıyla yükseltme işlemi gerçekleştirilir. Bunun için etki alanındaki Schema Master (Şema Yöneticisi) olan etki alanı denetleyicisine, Windows Server 2008 kurulum DVDsi içinden Sources(Kaynaklar) klasörü içindeki Adprep klasörü kopyalanır. Daha sonra komut satırında klasörün olduğu dizine gelinerek adprep /rodcprep komutu çalıştırılarak işlem tamamlanır. Bu şart sağlandıktan sonra kuruluma başlanabilir.

  1. Start (Başlat) -> Run (Çalıştır) yolu izlenir. Açılan pencereye dcpromo komutu yazılır.



  2. Bu işlemden sonra açılan pencerede Use Advanced Mode Installation (Gelişmiş Yükleme Modunu Kullan) özelliği seçildikten sonra Next (İleri) düğmesine tıklanır.



  3. Açılan pencerede duruma göre var olan bir ormana yeni bir etki alanı eklenebilir veya varolan diğer etki alanları üzerine etki alanı denetleyicisi kurulabilir. Bu iki işlem için Existing forest (Varolan orman) seçildikten sonra uygun seçenek işaretlenir. Diğer seçenek olarak bir orman oluşturulabilir. Bunun için de Create a new domain in a new forest (Yeni bir orman içinde yeni etki alanı oluştur) seçeneğinin işaretlenmesi gerekir. İstenilen özellik seçildikten sonra Next (İleri) düğmesi tıklanır.



    Burada var olan bir ormandaki etki alanına yeni etki alanı denetleyicisi ekleme seçeneği işaretlendiğinden bundan sonraki işlemler de bu doğrultuda yapılacaktır.

  4. Açılan penceredeki kutucuğa etki alanı denetleyicisinin yüklenmek istendiği etki alanı yazılır. Yüklemeye devam etmek için gerekli kimlik bilgisi özellikleri seçilir. My currently logged on credentials (Son girilen kimlik bilgileri) veya Alternate credentials (Alternatif kimlik bilgileri) özellikleri seçilebilir. Bu işlemler tamamlandıktan sonra Next (İleri) düğmesi tıklanarak bir sonraki adıma geçilir.



  5. Gelecek olan pencere etki alanını doğrulamak içindir. Next (İleri) düğmesi tıklanarak bu bölüm işlem yapılmadan geçilir.



  6. Bu adımda açılan pencere yeni etki alanı denetleyicisinin bulunması istenilen sitenin adı yazılacaktır. İsim belirleme işlemi bittikten sonra Next (İleri) düğmesi tıklanır.



  7. Sıradaki adımda RODC özelliği seçilecektir. Read-only domain controller (Salt-okunur etki alanı denetleyicisi) kutucuğu işaretlendikten sonra Next (İleri) düğmesi tıklanır.



  8. Bir sonraki adım güvenlik açısından çok önemlidir. Bu adımda hangi şifrelerin RODC de tutulacağı belirlenmektedir. Add (Ekle) ve Remove (Kaldır) düğmeleri kullanılarak istenilen düzenlemeler yapılabilir. Gerekli ayarlamalar yapıldıktan sonra Next (İleri) düğmesi tıklanır.



  9. Gelecek olan adımda salt okunur etki alanı denetleyicisini yönetecek olan grup seçilecektir. Burada bahsedilen yönetici grup RODC ye kurulum yapıp çeşitli yönetimsel işlemleri gerçekleştirebilecek olan kullanıcıları içermektedir. Bu grup üyelerinin etki alanı yönetcisi olması gerekmez. Gelen pencerede Set (Ayarla) düğmesi kullanılarak istenilen kişiler yönetici yapıldıktan sonra Next (İleri) düğmesine tıklanarak işlem tamamlanır. Eğer böyle bir kullanıcı grubu istenmiyorsa söz konusu kutunun boş bırakılması yeterlidir.



  10. Açılacak olan pencerede aktif dizin veritabanı, sistem kayıtları ve depolama kayıtlarının tutulacağı yerler belirlenecektir. Daha iyi performans ve kayıtlarda oluşacak hataların birbirini etkilememesi açısından bu bilgilerin ayrı dizinlerde tutulması gerekmektedir. İlgili kutuların yanlarındaki Browse (Gözat) düğmeleri kullanılarak istenilen dizinler gösterilebilir. İşlem tamamlandıktan sonra Next (İleri) düğmesi tıklanarak bir sonraki adıma geçilir.



  11. Sıradaki adımda etki alanı denetleyicisi Dizin Servisleri Kurtarma Modunda (Directory Services Restore Mode) çalışacağı zaman gerekli olan şifre belirlenecektir. İstenilen şifre yazılıp doğrulandıktan sonra Next (İleri) düğmesi tıklanarak bu adım tamamlanır.



  12. Gelecek olan pencerede bu adıma kadar yapılmış olan işlemlerin bir özeti görüntülenecektir. Herhangi bir hata yapıldıysa Back (Geri) düğmesi kullanılarak düzeltme işlemi yapılabilir. Herhangi bir sorun yoksa Next (İleri) düğmesi tıklanarak RODC oluşturma işlemi başlatılır.



  13. Sıradaki adımda herhangi bir işlem yapılmayacaktır. Açılan pencere RODC oluşturma işlemini göstermektedir. İsteğe bağlı olarak Reboot on completion (Tamamlandığında yeniden başlat) kutucuğu işaretlenerek kurulum işlemi bittikten sonra bilgisayarın yeniden başlaması sağlanabilir.