Windows Server 2012 Active Directory Two-way trust kurulumu


Birbirinden bağımsız forest yapıları içinde bulunan domain ortamlarının kaynaklarını, ortak bir çalışma amacı ile kullanabilmemiz için domainler arası trust ilişkisi oluşturmamız gerekmektedir. En basit tanımıyla trust, bağımsız şekilde çalışan domainlerin birbirlerine güvenmesi olarak tanımlanabilir. Bu güven ilişkisi sayesinde birden fazla domain yapısı merkezi olarak yönetilebilmekte, kullanıcılar hem bulundukları domain ortamındaki kaynaklara hem de kendi domainlerine güvenen tüm domainlerde ki kaynaklara ulaşabilmektedir. Açıkcası bu zamana kadar karşılaşmadığınız bir durum gibi görünebilir.

Peki ne tür durumlarda böyle bir yapı oluşturma ihtiyaç duyarız?  Birbirinden bağımsız iki firmanın birleşmesi sonucunda bu tip bir yapı oluşturma ihtiyacı doğacaktır. Farklı domain ortamlarında bulunan kaynaklara ulaşabilmemiz için bu domainlerin birbirlerine güvenmesi gerekir. Genelde güven ilişkisi iki farklı domain arasında yapılmaktadır. Domainlerden birisi karşı tarafa güvenir ya da her ikisi birbirine güvenir.

Trust tiplerini aşağıdaki şekilde listeleyebiliriz.

Forest
External
Realm
Shortcut
Parent and Child
Tree-root

Parent and child ve Tree-root trust tipleri, child domain ve tree domain kurulumu sırasında kendiliğinden oluşur.

One-way Trust

Tek yönlü trust ilişkilerinde bir domain diğer domaine güvenir ve kaynaklarını açar. Fakat diğer domain kaynaklarını açmaz.  Yani, x.com y.com’a güvenirse, y.com x.com’un kaynaklarına ulaşabilir.

Two-way Trust

Çift yönlü trust ilişkilerinde ise tam tersi durum söz konusudur. Her iki domain de koşulsuz olarak birbirleri ile kaynak paylaşımına izin vermektedir.

Benim oluşturduğum demo ortamında iki adet forest olduğu için bu domainler arasında forest trust ilişkisi kuracağız.

Kuruluma başlamadan önce domain function level’in 2003 ve üzeri olmasına dikkat etmelisiniz.

Öncelikle mevcut DNS’imiz üzerinde “Conditional Forwarders” bölümüne gelip sağ klik yapıyoruz ve “New Conditional Forwarder” ı seçiyoruz.

Erişmek istediğimiz domain’in adını yazıyoruz ve DC’nin IP adresini yazarak OK diyoruz.

Aynı değişiklikleri diğer domainde bulunan DNS üzerinde de yapmamız gerekiyor.

Bu kez teknolojikadam.local domainini seçerek, conditional forwarders olarak ekliyoruz.

Active Directory Domain And Trust konsolunu açıyoruz ve ilgili domain’in özelliklerine giriyoruz.

Açılan pencerede Trusts kısmına giriyoruz. “New Trust” butonuna basıyoruz.

Bu pencereyi Next ile geçiyoruz.

Trust ilişkisi kurmak istediğimiz domain adını yazıyoruz.

Bu işlemleri teknolojikadam.local domaini üzerinde yaptığımız için trust ilişkisi kurmak istediğimiz xyz.local domaininin adını yazıyoruz.

Biz, Forest trust kuracağımız için bu pencerede ilgili kısmı seçiyoruz.

Her iki domainde birbirine güveneceği için Two-way seçeneğini işaretliyorum.

One-way incoming trust: Kullanıcıların, trust ilişkisi kurduğunuz diğer domain üzerindeki kaynaklara erişmesi için kullanılır.

One-way outgoing trust: Trust kurduğunuz domainde ortamındaki kullanıcıların, sizin domaindeki kaynakları erişmesi için kullanılır.

Eğer karşı tarafın admin şifresini biliyorsanız alttaki seçenek olan “Both this domain and the specified domain” seçeneğini seçip ilerleyebilirsiniz. Bu durumda sizden karşı tarafın yönetici kullanıcı adı ve şifresi istenecektir. Bu sayede burada yaptığınız değişiklikler otomatik olarak diğer domain içerisinde gerçekleşir.

“This domain only” seçeneğini işaretlerseniz eğer, diğer domain üzerinde de trust ayarlarını yapmanız gerekecektir.

Kimlik doğrulamanın otomatik olarak sağlanabilmesi için “Forest-wide authentication”seçeneğini seçiyoruz.

This domain only seçeneğini seçtiğim için ortak bir trust şifresi belirlememi istiyor. Şifre belirleyip “Next” ile devam ediyorum.

“Next” ile devam ediyorum.

“Yes, confirm the outgoing Trust” seçeneği ile ilerliyoruz.

Bu ekranda, “Yes, confirm the incoming Trust” seçeneğini işaretliyorum.

Trust kurulumunu tamamlıyoruz.

Network üzerinden \\xyz.local yazarak, paylaşılan klasörlere erişebiliriz. Aynı şekilde teknolojikadam.local domaininde bulunan kaynaklara erişiminizin olup olmadığını test edebilirsiniz.