Server 2012 Active Directory Trust Relationships–Bölüm 5 External Trust Demo

Makalemizin bundan önceki bölümlerinde detaylı olarak trust konularına değinmiş ve bir önceki bölümde de demo ortamında trust işlemlerini görmüştük. Bu 5. Bölümde ise External trust konusunu işleyeceğiz.

İlk olarak size tavsiyem bundan önceki 4 bölüm makaleyi incelemenizdir;

https://www.cozumpark.com/blogs/windows_server/archive/2012/11/11/active-directory-trust-relationships-b-l-m-1.aspx

https://www.cozumpark.com/blogs/windows_server/archive/2012/11/11/active-directory-trust-relationships-b-l-m-2.aspx

https://www.cozumpark.com/blogs/windows_server/archive/2012/11/18/active-directory-trust-relationships-b-l-m-3.aspx

https://www.cozumpark.com/blogs/windows_server/archive/2012/11/18/active-directory-trust-relationships-b-l-m-4.aspx

Peki, son durumu bir kez daha hatırlamak adına cozumpark.local ve hakanuzuner.com domainleri için trust menülerini bir kez daha sizler ile paylaşıyorum.

 

image001

 

Cozumpark.local domain içerisinde iki trust görünüyor; bunlardan bir tanesi kendiliğinden oluşan parent/child trust dediğimiz trust tipi olup bir diğer ise forest trust tipidir. Ancak dikkat ederseniz forest trust iki yönlü olmayı incoming yani hakanuzuner.com kaynakları sunulmaktadır.

 

image002

 

Hakanuzuner.com domaini içinde iki trust görülmekte olup yine bir tanesi parent/child trust olup diğeri outgoing forest trust yani karşı tarafın kullanıcılarına güvenilmiş durumdadır.

Yani özetle henüz external trust olayına girmedik.

Şimdi mevcut bu yapıyı aşağıdaki gibi bir kez daha hatırlarsak

 

image003

İki forest arasında tek bir trust olduğunu göreceğiz. Şimdi amacımız ise aşağıdaki gibi bir yapıya doğru ilerlemek

image004

Bunun için ilk olarak cozumpark.local domaini için child domain olan sozluk.cozumpark.local domain içerisinde trust menüsüne ulaşıyoruz

 

image005

 

Yukarıda gördüğünüz gibi child domain içerisinde sadece parent ile olan trust ilişkisini görebiliyoruz.

Şimdi yeni bir trust oluşturalım. Tabiki bunun ilk koşulu dns üzerinde forward tanımı yapmaktır.

image006

Cozumpark.local forest’ ındaki child domainimizin dns sunucusu üzerinde makale.hakanuzuner.com için bir tanım yapıyoruz.

Sonra yeni trust menüsü yardımı ile trust oluşturmaya başlıyoruz.

image007

 

image008

 

Diğer yaptığım trust örneklerinden farklı olarak child için oluşturduğum trust’ ı iki yönlü olacak şekilde ayarlıyorum. Bunun özel bir nedeni yok, sadece bunu da göstermek için bu seferde iki yönlü bir external trust yapalım malum artık 4 bölümdür tek yönlü, çift yönlü, geçişli, geçişsiz, selective, forest wide yani yapmadığımız konfig kalmadı diyebiliriz.

Peki, iki yönlü olacak şekilde ayarladım ve bir sonraki pencereye geçiş yapıyorum.

image009

 

image010

Bu menü her ne kadar aynı olsa da küçük bir fark olduğu için açıklama ihtiyacı duyuyorum. Forest trust yaparken burada forest-wide authentication seçilebiliyordu yani tüm forest içerisindeki makineler otomatik olarak trust’ a katılır ve ACL de izin var ise karşı domainden erişim sağlanırdı. Burada forest değil de aslında iki domain arasında trust yaptığımız için aynı mantık domainler arasında devam etmektedir. Yani bu seçeneği seçmen halinde tek tek hangi makinelerin trust’ a katılacağına sizin karar vermenize gerek kalmaz. Ben yine daha önceki forest trust sırasında Selective Authentication seçmiş ve bunu detaylandırmış olduğum için bu seferde Domain-wide diyerek ilerliyorum.

image011

 

 

 

image012

 

 

 

image013

 

image014image015

 

image016

 

Evet sozluk.cozumpark.local child domaini için external trust tanımını yaptık. Son durum aşağıdaki gibidir.

image017

 

Şimdi makale.hakanuzuner.com child domain’ e gidip benzer şekilde trust tanımını yapalım

image018

Yukarıda ilk durumu görebiliyoruz. Tabiki yine trust işlemine başlamadan önce dns ayarlarını yapıyoruz

image019

 

Sonra yeni trust oluşturmaya başlıyoruz

 

image020

 

Bundan sonraki pencereler hali hazırdan bundan önce 4 kez gösterildiği için sadece resimleri paylaşıyor altlarına tekrar tekrar açıklama yazmıyor olacağım

 

 

image021

 

 

 

image022

 

image023

 

image024

 

image025

 

image026

 

image027

 

 

 

 

 

image028

 

image029

 

image030

 

Evet, bu sayede iki child arasında da External trust yapmış olduk.

Bu son yaptığımız external trust ile yapımız aşağıdaki duruma geldi

image031

Şimdi bu yaptığımız değişikliklerin parent domainleri etkilemediğini kontrol edelim

İlk olarak cozumpark.local ile sozluk.cozumpark.local trust menülerini karşılaştırıyorum

image032

Sozluk için cozumpark parent, cozumpark için sozluk ise child domaindir. Cozumpark bir child bir forest trust’ a sahipken, child domain olan sozluk bir parent birde external trust’ a sahiptir.

Şimdi bu yeni durumda iki child arasında bir doküman paylaşımı yapalım. Diyelim ki sozluk.cozumpark.com içerisindeki bir file server altındaki bir klasörün ACL görünümü aşağıdaki gibi olacaktır

image033

 

Gördüğünüz gibi bir parent domain var aslında bu görünmüyor ama en üstte, yani sozluk.cozumpark.loca’ ın üstünde cozumpark.local var.

Peki, gördüklerimizde ne var? hakanuzuner.com forest trust ile geliyor child’ a birde external trust nedeni ile direkt olarak makale.hakanuzuner.com’ u görebiliyoruz.

image034

Ve yukarıda görüldüğü gibi rahatlıkla izin verebiliyoruz.

Bu izin mantığını da makalemi sonlandırmadan önce özetlemek istiyorum. Hep ben folder ACL üzerinden gittim ama siz bunu GPO, Terminal Server, Sharepoint doküman kütüphanesi, printerlar, mail server vs yani her türlü sistem kaynağı için kullanabilirsiniz.

Evet bu makalenin de sonuna geldik. Umarım faydalı bir makale olmuştur.

Bir sonraki makalemizde görüşmek üzere

Esen kalın