Blog

ACTIVE DIRECTORY NEDIR?

Active Directory Nedir ?

En temel anlatım şekliyle Active Directory BT uzmanları için Windows Server ile oluşturulmuş ağlarda bir dizin hizmetidir. Kurum içerisindeki kaynakların (Bilgisayarlar, Yazıcılar, Ağ servisleri, Uygulamalar, Kullanıcı Profilleri, Sistem Konfigürasyonları vb.) bilgisini toplar, bu toplanan verileri bir veri tabanı altında tutar. Bu hizmeti ağınızın tüm kaynaklarına ulaşmak ve güvenliği sağlanmış bir şekilde merkezi bir yapıda yönetebilmeniz için gerekli olan ortamı oluşturmaktadır. Active Directory Nedir başlıklı anlatımımıza devam etmeden önce buna neden ihtiyaç duyduğumuzu da açıklamak gerekiyor. Microsoft bu dizin hizmetini niçin icat etmiş olabilir? Artık günümüzde yüzbinlerce kurum ve kuruluşun kullandığı bu dizin hizmetinin bize sağladıklarını anlayabilmek için ilk önce kimlik doğrulamayı anlamamız gerekir.

LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) – MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)

Kimlik doğrulama, herhangi bir kaynağa kullanım izni verilmeden önce, kimliğinizi doğrulama işlemidir.

Bilgisayarınızı kullanmadan önce şifre kullanıyorsanız ve şifrenizi girdiğinizde bilgisayarınız açılıyor (işlem yapmanıza izin veriyorsa) kimlik doğrulama kullanıyorsunuz anlamına gelmektedir.  Kimlik doğrulamaya daha açık bir örnek vermemiz gerekirse, örneğin herhangi bir Avrupa Ülkesine gitmek istediğinizde Pasaport kullanmanız gerekir, Pasaport sizin bildirmiş olduğunuz kişinin o olup olmadığınızı doğrulamak için kullanılır. Bu yazımız da iki tür doğrulama anlatılmıştır. LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION)  ve MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)

LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION)

Şöyle bir Senaryo düşünelim,

Sevdiğiniz bir elektronik mağazasından bir dizüstü bilgisayar satın alıyorsunuz evinize veya işyerinize gidip üzerinde sistem kurulu olan bu bilgisayarı açtığınız da karşınıza gelen bilgi pencerelerinde sizden kişisel bilgilerinizi girmeniz istenir bu bilgilerden iki tanesi Kullanıcı adı ve şifredir. Bu bilgileri yazdığınızda bilgisayarınız sizin için bir hesap oluşturacaktır ve siz bu bilgileri girip sisteminizi açtığınız da kimlik doğrulamanız gerçekleşir ve oturum açarak bilgisayarınızı kullanmaya başlayabilirsiniz.

Şimdi ise senaryomuza şu şekilde devam ediyoruz,

Bu bilgisayarımızın çalındığını, bulma imkânımızın olmadığını ve yeni bir tane aldığımızı düşünelim,

Yeni aldığımız bilgisayarımızı açtığımız da çalınan bilgisayarımız da ki yaratmış olduğumuz kullanıcı adı ve şifre ile bilgisayarımız çalışmayacaktır. Bunun nedeniLOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) ile çalışıyor olmamızdır ve bilgisayarımız çalındığı için bu bilgi o bilgisayarımız la beraber artık yoktur. Ancak tabii ki LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) kullandığımız için aynıkullanıcı adı ve şifre ile yeni bir kullanıcı yaratabiliriz. Bu durumu araba anahtarları gibi de düşünebilirsiniz. Sizin aracınızdan çok sayıda vardır ancak anahtarınız bir tek sizin aracınızın kapılarını açar.

MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)

Eğer kurum içindeki cihazlarımızın tek bir veri tabanından kimlik doğrulaması yapmasını istersek bunun adına da MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION) denir.

Bunu anlayabilmemiz için bu seferki senaryomuza bir hastaneyi örnek verelim,

Diyelim ki siz bir hastanede başhekim veya hastane müdürüsünüz ve hastane içerisindeki bölümlere ait odalarınız, üzerlerinde kimlik bilgisi tutan manyetik kartlar ile çalışıyor olsun. Tüm hastane çalışanlarının yetkileri dâhilinde hastane içerisin deki odalara girip çıkabildikleri bir ortamda başhekim veya hastane müdürü kendi odalarına kartları ile girebilirken yetkisi olmayan çalışanlar kartını burada okuttuğunda girişine izin verilmeyecektir.  Burada ki yetkiler merkezi bir konumda ki veri tabanından atanmakta size verilen kartların üzerinde kim olduğunuz göreviniz ve yetkileriniz yer almaktadır işte buna MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION) denir. Diğer senaryomuzun aksine burada kartımızı kaybedersek, Hastane yönetiminden alacağımız yeni kart ile çok ufak bir ayar neticesinde yetkimiz olan tüm kapılardan uğraşmadan geçebiliriz. Ve kaybolan kartımızın da kapıları açmasını çok basit bir şekilde engelleyebiliriz.

Active Directory Nedir?

Active Directory kullanıcıları doğrulamak için kullanılan “Merkezi” bir veri tabanıdır. Bu durumda her bir hastane personeli bu veri tabanında tutulur herhangi bir hastane personeli yetkisi olmayan bir kapıdan geçmek için kartını okuttuğu sırada kart üzerinde ki bilgi veri tabanı ile eşleştirilerek o kapıyı açıp açamayacağı belirlenir.

Daha gerçekçi bir örnekte ise, birçok kuruluş ve işletmenin BT Organizasyonları çalışan personel bilgilerini Active Directory üzerinde tutar. Çalışan, herhangi bir kaynağı kullanmak istediği takdir de öncelikle kimlik doğrulması yapması gerekmektedir. Buradaki kaynakların kullanım izinleri ve yetkileri BT Organizasyonu tarafından belirlenir.

Kimlik Doğrulama (Authentication) – Anlattığımız gibi söz konusu kaynak kullanılmaya başlanmadan önce kimliğinin doğrulanması işlemidir.

Yetkilendirme (Authorization) – Kimliği doğrulanmış kişi Kaynağı kullanıp kullanmaması konusunda yetkili olup olmadığını doğrulama işlemidir.

Active Directory bazı temel bileşenlerden oluşmaktadır, birincisi ve en önemlisi her Active Directory yapısının tek bir etki alanı denetleyicisi vardır. Bu etki alanı veri tabanında Yetkilendirme(Authorization) , Kimlik Doğrulama (Authentication) ve Hesap (Accounting) mekanizmaları yer almaktadır. Bu dizin hizmeti Windows 2003 ile başlamış Windows Server 2008 , Windows 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 ile sürekli geliştirilerek devam etmektedir. Bir sunucuyu etki alanı denetleyicisi yapmak için, Ekran görüntüsü aşağıda gösterildiği gibi Active Directory Domain Services Rolünün yüklü olması gerekmektedir.screen-shot-2013-03-19-at-2-50-09-pm

Genel BT terminolojisinde bir etki alanı kurum kaynaklarının topluluğudur. Örneğin bir şirket kurduğunuzu düşünelim, şirketimizin ismi x.ltd.şti olsun, 100 adet personeliniz , 100 adet bilgisayarınız , 1 adet web sitesiniz ve 1 adet mail sunucunuz olsun bu kaynakların hepsi x.com’a ait olacaktır. İşte bu etki alanın adıdır.

Peki, Active Directory terminolojisinde işleri biraz değiştirelim,

Yukarıdaki örneğimizi kullanarak x.com etki alanımız bizim ORMAN (FOREST) veyaÜST DÜZEY (top-level) etki alanımız olsun. Peki neden?

Çünkü Active Directory etki alanı içinde etki alanları oluşturarak bunları bir koleksiyon halinde oluşturmamıza olanak sağlar işte buna ORMAN (FOREST) denir. Diyelim ki x.com şirketimizi Avrupa’ya hizmet verebilecek şekilde genişletmek istiyoruz, Orada da çalıştıracağımız personellerin kullanacağımız servis ve donanımların kayıtlarına ihtiyacımız olacaktır. Active Directory ile x.com içinde bir etki alanı daha oluşturarak bunun adını da Avrupa.x.com yapabiliriz. O zaman bu “Avrupa” etki alanı içinde Sunucular, bilgisayarlar ve kullanıcıları atamak mümkün olacaktır.

Aşağıda yer alan resim içerisinde yapı bize ORMAN (FOREST) anlatılmaktadır.ORMANIN (FOREST) içindeki etki alanı altındaki bölümleri göstermektedir.

2

ACTIVE DIRECTORY KULLANICI VE BILGISAYARLARI (ACTIVE DIRECTORY USERS AND COMPUTERS)

Aşağıda yer alan resim de ise Active Directory’nin bir yönetim aracını görüyorsunuz.

3

Yukarıda resimde gördüğünüz üzere etki alanı X.com olarak belirlenmiştir. Active Directory terminolojisinde X.com başlığı altında bu kuruluşa ait (Organizational Units veya kısaltması ile OU) kuruluş birimlerinin Active Directory tarafından yaratılmış olduğunu görebilirsiniz.

(Organizational Units veya kısaltması ile OU) Kuruluş birimi Active Directory’nin çok önemli bir parçasıdır. Daha önce de bahsettiğimiz gibi kurum içinde ki BT organizasyonlarının Active Directory üzerinden Coğrafi konumları, departmanları bölme ve yönetme gibi işlemlerin büyük çoğunluğu bu panel üzerinden yapılmaktadır.

Belli bir yerde, çalışanlar için ayrılmış bir ormandaki (FOREST)  bir etki alanı (DOMAIN) oluşturmak ve bu etki alanı içinde , her bölüm veya konum içinde yer alan kuruluş birimleri oluşturulur (Organizational Units veya kısaltması ile OU) bu örnekte x.com içinde Avrupa çalışanlarım için bir etki alanımız yer almaktadır. Şimdi onu göreceğiz

Etki alanı yukarıda ki gibi oluşturulduktan sonra, aşağıdaki resimde görebileceğiniz gibi etki alanımızı Avrupa.x.com olarak değiştiriyoruz

4

5

6

Şimdi, Avrupa içerisinde nerede bir x.com şirketimizin ofisi varsa bu ofislerin çalışanları için birer (Organizational Units veya kısaltması ile OU) kuruluş birimi oluşturalım.

7

X.com şirketimiz için Avrupa’da (Londra, Paris, Roma, Berlin, Amsterdam) olmak üzere 5 adet (Organizational Units veya kısaltması ile OU) kuruluş birimi oluşturduk. Ancak gördüğünüz gibi henüz içleri boş,

8

Gördüğünüz gibi Londra içinde 4 adet (Organizational Units veya kısaltması ile OU)kuruluş birimi oluşturduk. Biri Kullanıcılar için (USERS) , biri bilgisayarlar için (COMPUTERS) , biri sunucular için (SERVERS) ve son olarak ta oluşturmak istediğimiz gruplar için (GROUPS), peki grupları ne için oluşturuyoruz?

Active Directory grupları AAA protokolünü kullanarak çok daha kolay uygulamaya olanak sağlar (AAA) yukarıda bahsetmiştik (Authentication , Authorization, Accounting) bu üçünün kısaltması AAA olarak geçmektedir. Evet, şimdi de Londra ofisimizde örneğin 2 adet satış ve pazarlama 2 adet Araştırma ve Geliştirme (Ar-Ge) çalışanımız olsun bunlar içinde Kullanıcılar (USERS) OU’muzun altında 2 adet daha OUoluşturacağız. Aşağıda ki resimde görebilirsiniz,

9

Şimdi de satış ve pazarlama departmanın da ayrıca Ar-Ge departmanın da çalışacak kişiler için kullanıcıları oluşturacağız,

9

10

Şimdi de Londra ofisimiz de dosyalarımızı saklayabileceğimiz bir sunucumuz olsun,

11

12

Ar-Ge bölümün de yer alan kullanıcılar sadece Ar-Ge klasörü içerisinde ki bilgi ve belgelere tam erişim izni vermek istiyoruz. Dikkat edin Tam erişim izni vermek istiyoruz dedik çünkü eğer istersek sadece okuma izni de verebiliriz bu durumda kullanıcı izin verilen dizinde ki bilgileri sadece okuma yetkisine sahip olacaktır yani görebilir içeriğini okuyabilir ancak değiştiremez ve silemez. Yapacağımız yetkilendirmenin fonksiyonu Tam Yetki olacaktır. Ayrıca Satış departmanında ki bir kullanıcı Dosya Sunucusu üzerinde Ar-Ge klasörüne girip oradaki bilgileri görmek isterse erişim mümkün olmayacaktır. Bu ayarlamalar için Ar-Ge klasörüne Grup kullanarak kullanıcılar için erişim izni veren gruplarımızı oluşturalım,

13

Grubumuzu yarattık şimdi yetkili olacak kullanıcıları grubumuza ekleyebiliriz.

14

Evet, burada grubun adına dikkat edin. Burada her zaman önemli olan oluşturduğunuz gruplarınızın isimlerinin yeterince açıklayıcı olmasıdır ki çok fazla grup ve paylaşılacak çok bilginiz, yapmak istediğiniz farklı yetkilendirmeleriniz olursa Dizin Hizmetiniz çorbaya döner. Şimdi son olarak yukarıda Dosya sunucumuzun üzerinde oluşturduğumuz klasörlere bu grupları bağlamalıyız ve işlemimiz nihayete erecektir.

15

İşimiz bitti . artık Ar-Ge grubuna eklediğimiz kullanıcılarımız Sunucumuz üzerinde ağ üzerinde paylaşımda olan Ar-Ge klasörümüze artık tam yetki ile erişim izni almış durumdadır. Diğer grup ve kullanıcılarımız ise bu klasöre erişmek istediklerinde erişim hatası ile karşılaşacaklardır.

Yani temelde (Organizational Units veya kısaltması ile OU) bize organizasyonumuz içerisinde kullanıcılar, bilgisayarlar, Sunucular vb. onları gruplar ile çok ayrıntılı bir şekilde politikalar, kurallar uygulayarak tüm sistemimizi organize etmemizi sağlar.

Umarım hazırlamış olduğum bu makale çok uzun olmasına rağmen Dizin Hizmetini anlatma konusunda sizlere yardımcı olacaktır. Bu makale boyunca okuduğunuz gibi kurum ve kuruluşların dizin hizmeti kullanma noktasında da farklı ihtiyaç ve talepleri vardır. Bu işe gönül vermiş arkadaşlarımızın da bu yapıyı çok iyi öğrenmeleri gerekmekte ki yönettikleri sistemler üzerinde en büyük yardımcılardan birisi Microsoft Active Directory’dir. Bir sonraki yazımızda görüşmek dileği ile sabrınız için teşekkür ederim.

Erhan CEVIZ Gemma Teknoloji
DNS (DOMAIN NAME SYSTEM NEDIR) ?

Merhaba Arkadaşlar bu seferki makalemiz de DNS (DOMAIN NAME SYSTEM) konusunu ele almaya çalışacağız ki bu gerçekten konularımızın arasında ki en önemli meselelerden biridir ve çok iyi kavranması gerekmektedir. Biz konuyu sizlere Windows Server 2012 üzerinden anlatmaya çalışacağız temel bilgiler zaten aynı olduğu için sistemi bağlayan platformun dikkat edilmesi gereken hususları da yazımız esnasın da belirtileceğiz.

Windows Server tüm sürümleri ile birlikte sunucu merkezli bir ağ üzerinde çalışmak üzere tasarlanmıştır. Bu makalemizde ağ hizmetlerinin temel taşlarından biri olan DNS(DOMAIN NAME SYSTEM) anlatılacaktır. Yazımıza başlamadan önce bilinmelidir ki DNS yapısı düzgün olmayan bir ağ üzerinde çalıştırmak isteyeceğiniz hiçbir hizmet ve servisten verim almanız mümkün olmayacaktır, yapınız düzgün çalışmayacak ve yaşadığınız problemlerin çok büyük bir bölümünü bu servisten yaşayacağınızı size hatırlatarak devam edelim. DNS (DOMAIN NAME SYSTEM) günümüzde artık tüm kurum ve kuruluşlarda kullanılmaktadır. DNS (DOMAIN NAME SYSTEM) olmadan, en temel anlatım ile E-Posta göndermek ve almak, internet üzerinde işlerinizi yapmak veya bir önceki makalemizde anlattığımız Active Directory gibi kritik hizmetlere erişim mümkün olamaz. Peki, neden DNS (DOMAIN NAME SYSTEM) bu kadar bağımlı olduk? Birçok insanın çok uzun olan rakamları ezberlemek konusunda iyi olmadığını biliyoruz. Örnek olarak erhanceviz.com gibi bir isim yerine IPv4 adresi, 123.154.128.187 veya IPv6 adresi, 4000:09CD:10B9:1C55:14AD:C094:A05B:E110 ezberlemek zorunda kalsaydık sizce bu mümkün veya mantıklı olabilir miydi? Kurumsal ağlar ve Dünya çapında milyonlarca ev ve iş yerinin interneti veya ağ hizmetlerini kullanabilmeleri için yukarıda belirtmiş olduğumuz IPv4 veya IPv6 adresleri ile bir trafik oluşturabilmek için bir protokol geliştirilmiştir bunun adına da TCP/IP (Transmission Control Protocol )denir. DNS(DOMAIN NAME SYSTEM) diye adlandırılan yapı ise işte bizi bu kafa karışıklığından kurtaran kullanıcı dostu bir isim ve IP adresi, hiç arkadaş canlısı olmayan sayılar arasında çeviri sağlayan bir servistir. Kullanıcı açısından bir diğer yararı ise host name kullanarak temelde belirlenmiş IP adreslerini öğrenmeye veya değiştirmeye gerek kalmamasıdır.

Host Name (Ana Bilgisayar Adı) en çok 255 karakter uzunluğunda olabilir, alfabetik ve sayısal karakterler, nokta ve tire içerebilir. Host Name tam etki alanı adı (FQDN) şeklinde bir alan adı ile birleştirilmiştir. Örneğin www.erhanceviz.com adresine ait (FQDN) alanı “www” kısmıdır “erhanceviz.com” ise etki alanı bileşenidir.

Windows Server 2012 üzerinde de DNS için yeni eklenen gelişmiş teknik özellikleri olan Internet Protokolü Adresi Yönetimi (IPAM) adı verilen bir servis yer almaktadır. Bu servis sistem yöneticileri için DNS ve DHCP servislerinizi yönetebileceğiniz merkezi bir konsola sahip bileşendir.  Bu bileşen ile DNS bölgelerinizi ve IP adreslemelerinizin yapılandırmasını ve takibini sağlayabilirsiniz.

Sık Kullanılan Alanları

IP adreslerine Host Name (Ana Bilgisayar Adı) çözümlemek

Etki Alanı denetleyicilerini (DOMAIN CONTROLLERS) ve Genel Katalog (GLOBAL CATALOG SERVERS) Sunucularını bulmak

Posta Sunucularını bulmak

IP Adresleri isimlere çözümlemek

DNS bir istemci/sunucu servisidir, bir kullanıcı bir web sayfasına ulaşmak istediğinde ilk önce yapılan tüm istekler internet üzerinde bulunan DNS Root Server’lara yönlendirilir, şimdi bu isim çözme süreçlerini, ilk olarak DNS istemci üzerinden anlatmaya başlayalım.

DNS Client

Windows üzerinde bir uygulama ile (Internet Explorer, Outlook vb.) internete erişmeyi denediğiz sırada,

  • İlk olarak istekte bulunduğunuz adresin kullandığınız bilgisayarın ki ile aynı olup olmadığı kontrol edilir.
  • DNS istemci Cache olarak adlandırılan alanı kontrol eder, eğer isteği yaptığımız adrese daha önce girmiş isek sorguyu sonlandırıp bizi doğruca yönlendirir.
  • İstekte bulunduğumuz adrese ait sorguyu belirlediğimiz DNS Server’lara yönlendirir. (eğer kurum içinde çalışıyorsak Ana bilgisayarımızın üzerinde bulunan DNS Server’a, dışarıda isek Internet Servis Sağlayıcının DNS Server’larına.)

Windows Vista’dan sonraki bütün Microsoft işletim sistemleri, Windows Server 2008 ve Windows Server 2012 isimleri ve Ip adreslerini çözmek için, Link-Local Multicast Name Resolution (LLMNR) protokolünü kullanır. Bu protokol yerel ağda bir DNS sunucusu yapılandırıldığında adları IPv4 ve IPv6  adreslerini çözmek için kullanılır. Bu protokol IPv6 ile yapılandırılmış ağlarda yerel ad çözümlemesi sağlamak için daha önemli olabilir.

DNS Server

Windows Server 2012 sunucusu üzerinde DNS hizmeti yüklediğinizde, Internet kök sunucuları (Root Servers) varsayılan olarak yüklü gelmektedir. Bu sunucular kök ipuçları (Root Hints) olarak bilinir, bu konu hakkında daha sonra bilgi vereceğiz.  

Şimdi bir DNS sunucusu üzerinde, istemci bilgisayarlar ve diğer cihazlar ad çözümlemesi sorgularının nasıl yapılacağına dair süreci takip edelim,

  1. Bir kullanıcı web browser üzerinden erhanceviz.com veya erhanceviz.com adresimizi yazıyor olsun.
  2. Eğer yerel DNS sunucusu erhanceviz.com IP adresini bilmiyorsa, .com DNS sunucularının konumunu soran bir kök DNS sunucusunu sorgular.
  3. Kök DNS sunucusundan .com sorgusunun sonucunu aldıktan sonra, yerel DNS sunucusu bu sefer erhanceviz.com DNS sunucularının yerini isteyen bir .com DNS sunucusunu sorgular
  4. .com DNS sunucusundan yanıt alındıktan sonra ki adım ise yerel DNS sunucumuz erhanceviz.com adresinin DNS sunucusuna erhanceviz.com adresinin IP adresini isteyen bir sorgu gönderir.
  5. Daha sonra erhanceviz.com DNS sunucusu bu bilgileri de sağladıktan sonra, yerel DNS sunucumuz kullanıcı bilgisayara erhanceviz.com adresine ait olası anabilgisayar Ip adreslerini döndürür ve sürecimiz tamamlanmış olur.

Bir DNS sunucusu için her ad çözümlemesi sorgusu yukarıda ki adımları takip edecektir. Peki Önbelleğe alma yapılandırma ve yönlendirme işlemleri süreci nasıl değiştirir,

Önbellek – Bir yerel DNS sunucusu bir IP adresine yeni bir isim çözmek için yukarı da ki 5 adımı geçer diyelim. Yerel DNS sunucusu bu bilgileri öğrendikten sonra, birkaç saat için sonuçları hafızasında tutacaktır. Bu noktadan itibaren, aynı ad için yeni ad çözümleme sorgusu yapıldığında süreç daha hızlı sonuçlanacaktır.

Yönlendirme –  DNS sunucusu üzerinde yönlendirme yapılandırıldığında, DNS sunucusu üzerine gelen tüm ad çözme sorguları bir başka DNS sunucusuna yönlendirilir.

DNS Bölgeleri ve Kayıtları

DNS sorguları bir veritabanın da tutulur, bu veri tabanı bir text dosyası olabilir ya da mevcut sistem üzerinde Active Directory kurulu ise o zaman bu veriler Active Directory veritabanın da tutulur.

DNS verileri bölgelere ayrılmıştır, her bölge Active Directory içinde saklandığı zaman ayrı bir dosya ya da çoğaltma birimi olarak depolanır. DNS sunucuları belirli bir etki alanının bir veya daha fazla bölgeye ev sahipliği yapabilir. Bir Active Directory etki alanı oluşturulurken, yeni etki alanı ile aynı ada karşılık gelen DNS bölgesi bulunması gerekir veya dizin hizmetleri uygun işlevselliği sağlamak için işlem sırasında oluşturulabilir.

DNS bölgeleri iş istasyonları, sunucular, yönlendiriciler, switchler gibi TCP / IP protokolünü çalıştıran cihazlar için isimleri, adresleri IP adreslerine çözümlemek için kullanılır.

Active Directory etki alanı hizmetlerinde ise, DNS kaydı (SRV) etki alanı denetleyicileri ve genel catalog sunucusu bulmak için kullanılır. Çoğu ortak DNS uygulamalarında, bölgeler iki tür olarak kullanılır, ileriye doğru arama ve geriye doğru arama bölgeleridir.

İleriye Doğru Arama Bölgeleri

İleriye doğru arama bölgeleri, IP adreslerini ana bilgisayar adlarına göre çözümlemek ve bu sorgu sonucunda eşleşen IP adreslerinin yanıtlarını döndürmek için kullanılır.

İleriye doğru arama bölgeleri, IPv4 Ana bilgisayarlar (A), IPv6 Ana bilgisayarlar (AAAA), Name Server kayıtları (NS), Kısa Ad (CNAME), Service (SRV), posta dağıtıcısı (MX), yetki kayıtları (SOA), başlangıç ve sunucu adı da dahil olmak üzere ortak kaynak kayıtlarını Windows Server 2012 üzerinde aynı ileriye doğru arama bölgesinde tutabilirler.

Geriye Doğru Arama Bölgeleri   

Geriye doğru arama bölgeleri alan adlarını IP adreslerine göre çözümler. Bir IP adresi yapılan sorgunun parçası olduğunda, geriye doğru arama bölgesi karşılık gelen ana bilgisayar adını döndürür. Geriye doğru arama bölgeleri SOA, NS, ve işaretçi (PTR) kaynak kayıtlarını barındırır. Windows Server 2012 üzerinde IPv4 ve Ipv6 için oluşturulmaları gerekir. Ancak geriye doğru arama bölgeleri olmadan DNS alt yapısı oluşturmak mümkündür ancak bazı önemli işlevlerin bir sonucu olarak sorgular eksik olacak ve hizmet çok sayıda uyarı ve hata mesajı üretecektir.

Geriye doğru arama bölgeleri spam ile mücadele etmek için oldukça kullanışlıdır. Spam gönderenler, istenmeyen e-posta göndermek için internet üzerinde açık olan (SMTP sunucuları) kimliklerini gizlemek için kullanırlar. Geriye doğru arama bölgelerini kullanarak açık olan (SMTP sunucuları) tespit edebilirsiniz ve bu istenmeyen postaları trafik filtreleme kullanarak (Firewall) en aza indirebilirsiniz.

Geriye doğru arama bölgelerinin diğer bir önemli yararı ise kendi üzerinde ki verileri sık sık ileriye doğru arama bölgelerini doğrulamak için kullanılabilir olmasıdır. Örneğin erhanceviz.com adresimizin ileriye doğru arama bölgelerin de ki kaydı 178.22.0.2 olduğu göz önünde bulundurulduğunda geriye doğru arama bölgeleri kullanılarak 178.22.0.2’nin gerçekten erhanceviz.com ile ilişkili olduğunu doğrulatabilirsiniz.

Kök İpuçları ve Iteratif Sorgular

Daha önce Windows Server 2012 üzerinde İnternet Kök Sunucu adreslerinin (kök ipuçları) bir listesinin DNS yüklenirken varsayılan olarak yüklü gelmesinden bahsetmiştik. Bu kök ipuçları İnternet üzerinde üst düzey DNS sunucularına işaret etmektedir. DNS Hizmetini kurarken bu sunucular, .com, .org, .net, .edu, vb. üst düzey etki alanları hakkında bilgiler içerir. Bu bilgiler %windir%system32dns dizininde bulunan varsayılan olarak cache.dns dosyasına kopyalanır.

Bir makalemizin daha sonuna geldik. Bu anlattığımız konular kullanılan yapıların mantığını anlatmaktadır. Ve bu konular detaylandırılacak, kurulumları, konfigürasyonları gibi konulara ilerleyen zamanda yer verilecektir. İlginizi, sabrınız ve vaktiniz için çok teşekkür ederim.

Erhan CEVIZ Gemma Teknoloji