Kurumsal dünyada şirket birleşmeleri, satın almalar veya farklı departmanların izolasyonu gibi senaryolarda karşımıza çıkan en önemli yapı Active Directory Forest Trust mimarisidir. Bu yazıda, Hyper-V üzerinde izole ettiğim iki farklı Forest yapısını nasıl birleştirdiğimi ve bu süreçteki kritik teknik detayları inceleyeceğiz.
Kurumsal dünyada şirket birleşmeleri, satın almalar veya farklı departmanların izolasyonu gibi senaryolarda karşımıza çıkan en önemli yapı Active Directory Forest Trust mimarisidir. Bu yazıda, Hyper-V üzerinde izole ettiğim iki farklı Forest yapısını nasıl birleştirdiğimi ve bu süreçteki kritik teknik detayları inceleyeceğiz.
1. Neden Forest Trust?
Normal şartlarda bir Active Directory Forest'ı, güvenlik sınırıdır. Yani onder.local içindeki bir kullanıcı, varsayılan olarak monder.local içindeki bir klasöre erişemez. Forest Trust; bu iki bağımsız yapının birbirine güvenmesini sağlayarak, kullanıcıların kendi kimlik bilgileriyle diğer domaindeki kaynaklara (dosya sunucuları, yazıcılar vb.) erişmesine olanak tanır.
2. Altyapı Hazırlığı ve Ağ İletişimi
Hyper-V üzerinde iki adet Windows Server (Domain Controller) kurarak işe başladım.
-
Forest A: irfan.local (192.168.10.10)
-
Forest B: onder.local (192.168.20.10)
Kritik Not: İki sunucunun birbirine ping atabilmesi, güven ilişkisinin ilk şartıdır. Hyper-V üzerinde "Internal" veya "Private" switch kullanarak bu izolasyonu sağladım.
3. DNS: Güvenin Görünmez Kahramanı
Active Directory'de DNS yoksa, hiçbir şey yoktur. İki Forest'ın birbirini tanıyabilmesi için Conditional Forwarders (Koşullu Yönlendiriciler) kullandım.
-
irfan.local DNS sunucusuna gidip: "Eğer birisi
onder.localadresini sorarsa, git şu IP'ye (192.168.20.10) sor," dedim. -
Aynı işlemi tersi yönde de gerçekleştirdim.
Önemli: Eğer DNS çözümlemesi doğru çalışmazsa, Trust sihirbazı karşı tarafı bulamayacağı için hata verecektir.
nslookupkomutu ile karşılıklı çözümlemeyi test etmek hayati önem taşır.
4. Trust İlişkisinin Kurulması ve Seçenekler
Active Directory Domains and Trusts konsolu üzerinden başlattığım sihirbazda karşımıza çıkan seçimler, yapının davranışını belirler:
-
Trust Type: Burada "Forest Trust" seçeneğini seçtim. Bu, her iki Forest içindeki tüm alt domainlerin (child domains) birbirine güvenmesini sağlar.
-
Direction (Yön): "Two-way" (İki yönlü) seçerek, her iki tarafın kullanıcılarının da karşılıklı kaynaklara erişebilmesini sağladım.
-
Authentication (Kimlik Doğrulama): "Forest-wide Authentication" seçildi. Bu, laboratuvar ortamında kolaylık sağlar; karşı taraftaki tüm kullanıcılar bu taraftaki kaynaklar için yetkilendirilebilir (Selective Authentication ise daha sıkı güvenlik gerektiren üretim ortamlarında tercih edilir).
5. Doğrulama ve Test (Validation)
Yapılandırma bittikten sonra en tatmin edici an, "Validate" butonuna basıp "The trust has been validated" mesajını görmektir. Bu, şifreleme anahtarlarının ve iletişim kanallarının sağlıklı çalıştığını onaylar.
Öğrendiğim Kritik Dersler
-
DNS Temeldir: Network seviyesinde IP iletişimi olsa bile, DNS yapılandırılmadan AD Trust kurulamaz.
-
Güvenlik Sınırları: Forest-wide kimlik doğrulamanın ne kadar geniş yetkiler verdiğini, Selective Authentication'ın ise ne kadar granular (ince ayarlı) bir güvenlik sağladığını pratikte gözlemledim.
-
Netdom Sorguları: Arayüz dışında komut satırı üzerinden
netdom trustkomutlarını kullanmanın, sorun giderme (troubleshooting) anında ne kadar hız kazandırdığını fark ettim.
Bu laboratuvar çalışması, karmaşık kurumsal ağ yapılarını anlamam yolunda büyük bir adım oldu. Bir sonraki aşamada bu trust yapısı üzerinde "Group Policy" uygulamalarını ve "Cross-Forest" yetkilendirmeleri okuyabilirsiniz
