Active Directory Ortamında Split DNS Senaryoları

Makalemin ilk bölümünde kavramsal olarak split dns konusuna değinmiştim. Bu bölümde ise uygulamalı olarak Active Directory Domain ortamlarında bunun nasıl yapılacağını sizler ile paylaşacağım.

Makalemin ilk bölümüne aşağıdaki linkten ulaşabilirsiniz;

https://www.hakanuzuner.com/active-directory-ortamlarinda-split-dns-kullanimi/

Yukarıda da özetlediğim gibi bu bölüm uygulama ağırlıklı olacağı için hemen ortamımdan bahsetmek istiyorum;

İlk senaryomuz Exchange Server için kullanılacak bir split dns ortamı oluşturmak olacaktır.

Exchange Server 2007 ve sonrasında kullandığımız internal ve external URL kavramı gereği şirket içerisindeki istemcilerin sunuculara şirket içerisindeki network hatlarını kullanarak bağlanmalarını isteriz. Benzer şekilde şirket dışındaki kullanıcılar içinde internet üzerinden erişim beklemekteyiz. Ancak bazı durumlarda bunun istisnaları olabilmektedir.

Örneğin bir Exchange senaryosunda satın almanız gereken ve tavsiye edilen sertifika tipi SAN yani Subject Alternative Name sertifikasıdır. Bunun en önemli özelliği bir sertifika içerisinde birden çok URL adresi barındırabiliyor olmasıdır.

Standart bir kurulum senaryosunda

İnternal domain adı

Sunucu adı

External domain adı

External erişim adresi – owa – Outlook anywhere

Autodiscover için ek bir FQDN

Baktığınız zaman bir hayli isim olduğunu görüyoruz J

Yukarıdaki en temel kurulumda bile 5 isim gerekli ki bu da yıllık 400$ gibi bir rakam eder. Şimdi sakın 400$ nedir demeyin emin olun bu parayı ödemeyen veya ödemeyen çok şirket var.

Peki bunlar bu durumu nasıl çözmeye çalışıyor? Exchange Server üzerindeki tüm URL adreslerini tek bir adrese yönlendiriyor, yani tek bir endpoint; mail.cozumpark.com

Tüm adresler bu şekilde değiştiği için standart bir Web Server sertifikası ile işi bitirebiliyorlar. Bu da yıllık 40$. ( ortalama fiyatlar paylaşıyorum ).

Autodiscover kaydını nasıl çözüyor derseniz size outook un çalışma mantığını anlatmalıyım ki bu da konumuz olmadığı için geçiyorum, ama merak edenler var ise forum üzerinden sorarlar ise yardımcı olurum.

Peki, buradaki sorun nedir?

Outlook şirket içerisinde olsa da paketin şirket dışına çıkıp firewall üzerinden dönüp tekrar geri şirket içine girmesi. Bu da tabi ki istenilen bir şey değildir. Ancak genellikle bu çözümü kullanan küçük firmalar olduğu için diğer network cihazlarında bu mail trafiğini hissetmiyorlar. Ancak siz 500, 1000 kullanıcılı bir ortamda bunu yaparsanız zaten o kaçındığınız 400 500$ dan fazla firewall session, özellik vb konularda üst limite çıkmak için para ödemeniz gerekli.

Peki çözüm nedir?

DNS üzerinde bir zone açmak ki zaten split dns dediğimiz şey budur.

Yukarıdaki senaryoyu aşağıdaki şekil ile özetleyelim.

clip_image002

Exchange sunucuları şirket içerisinde. Domain uzantıları ise aşağıdaki gibidir;

Cozumpark.local

Cozumpark.com

Yukarıdaki şekile göre internal ve external URL farklı. Sistem yöneticisi sertifika nedeni ile bunu tek bir end point yani tek bir URL olarak değiştirmesi halinde bu durumda tüm URL adresleri cozumpark.com uzantılı olacak ve normalde de bu domain için Name server internet üzerinde. İşte bizde tam bu noktada devreye giriyoruz ve içerideki bilgisayarların kullandığı dns server üzerinde “cozumpark.com” isminde bir zone açıyoruz.

clip_image004

 

clip_image006

Bu açacağımız zone üzerinde yazma işlemleri yapacağımız için “Primary zone” olarak tanımlıyoruz. Ve yine domain yapımızdaki Active Directory veri tabanında saklanmasını sağlayarak replikasyon sayesinde tüm DC lere iletilmesini sağlamış oluyoruz.

clip_image008

Bu zone için repilkasyon scope’ unu belirliyorum. Yani bu zone bu forest içerisinde nerelere kadar iletilecek – kimler ile replike edilecek. Domain bazlı bir replikasyon benim için yeterli, ancak sizde child vb bir oluşum var ise oradaki DC lerede bu zone’ un iletilmesi için forest bazlı bir replikasyon seçebilirsiniz.

clip_image010

Zone ismini yazıyoruz.

clip_image012

Dinamik update kapalı olmasını tavsiye ediyorum. Çünkü bu zone sizin internet alan adınız olduğu için şirket içerisindeki kullanıcıların bazı verilerinin çalınmasını engellemek için bu zone içerisindeki tüm kayıtları sizin hali hazırda elle girebiliyor olmanız gerekli.

clip_image014

Son durum yukarıdaki gibidir.

Bundan sonra aslında çok önemli bir sorumluluk almış oluyorsunuz. Çünkü bir DNS sunucusu kendisine gelen bir sorguda öncelikle cache/host dosyasına bakar. Daha sonra zone kayıtlarını kontrol eder.

Şimdi siz cozumpark.com u kendi dns sunucunuz üzerine açarak bu alan adı için gelen tüm sorguların sorumlusu oldunuz ( tabiki şirket içerisindeki kullanıcılar için, aslen internete açık bir name server olmadınız ).

İhtiyaç duyduğunuz kayıtları açıyoruz;

clip_image016

Dikkat ederseniz aslında bana gerekli olan kayıt “mail” kaydıydı. Ancak artık tüm zone benden sorulduğu için diğer kayıtları da açıp doğru ip adreslerini yazmak zorundayım. Ama Exchange server şirket içerisinde olduğu için o istekleri direkt olarak sunucuya yönlendirmek istiyordum ki split dns yapmamdaki ana amaç buydu.

Peki, bir diğer senaryo. Lync için düşünelim.

Ben böyle bir sorumluluğu almak istemiyorum, yani sadece bir servis için zone açmak vb vb. Bu durumda direkt olan ihtiyaç duyulan kayıt için bir kayıt açabilirsiniz.

Örneğin ihtiyaç duyulan kayıt aşağıdaki gibidir

_sipinternaltls._tcp.cozumpark.com

Şimdi bu kayıt için cozumpark.com zone açıp sonra içerisine “_sipinternaltls._tcp.” SRV kaydını açmak size cozumpark.com için diğer tüm kayıtları açmak anlamına geldiği için aşağıdaki gibi bir kısa yol uygulayabilirsiniz.

Lync için ihtiyaç duyduğumuz tam kayıt aşağıdaki gibi;

clip_image018

Son durum ise aşağıdaki gibi oluyor

clip_image020

Tabiki burada sağ bölümde ihtiyaç duyduğunuz SRV kaydını tanımlamanız gerekli. Bu da split dns için başka bir örnek olup zone sorumluluğunu almak istemediğiniz karışık Domain isimlerinde bu yöntem tercih edilir.

Sanırım temel olarak bu iki örnek ile aslında split dns senaryolarının nasıl çalıştığını özetleyebildim. Eğer farklı senaryolar için aklınıza takılan bir şey olur ise forum üzerinden sorularınızı yanıtlamaktan büyük keyif alacağım.

Bir sonraki makalemde görüşmek üzere.