26 02 2014
Domainler Arası Forest Trust Nasıl Yapılır
Merhaba,
Forest Trust iki farklı forest içerisinde bulunan domainlerin birbirlerinin kaynaklarına güven ilişkisi içerisinde erişebilmesi demektir. Örnek vermek gerekirse firmanız a.com domainine ait bir yapısı var. Bir satın alma işlemi sonucu firmanız b.com firmasını satın alıyor. b.com domaininde bulunan kullanıcılarınızın a.com kaynaklarına erişebilmeleri için \\ipadresi yazdıklarınla kullanıcı adı ve şifre girilerek erişebilirler fakat girilecek kullanıcı adı ve şifre a.com’a ait olmak zorundadır. Bu istenmeyen durumu Forest Trust ile aşabilirsiniz.
Forest Trust yapılan domainler birbirlerinin kaynaklarına kendi domainlerindeki kullanıcı adı ve şifreleri ile Single Sign On (SSO) ile giriş yapabilirler. Bu işlemi yapabilmemiz için öncelikle her iki domaininin fiziksel olarak birbirlerine erişebilir olması gerekmektedir. ör: ping domaininipadresi şeklinde ping attığınızda yanıt alabilmelisiniz.
İkinci kısım ise DNS üzerinde yapılan Forward işlemidir. Bu işlemin temel amacı b.com kaynaklarına a.com’dan gitmek istediğinizde hangi DNS sunucusuna soracağını kendi DNS sunucularınıza belirtmenizdir.
Aşağıdaki örnekte fatihteke.com ile leventteke.com adında iki farklı forest’ın trust yapılması anlatılmıştır.
Öncelikle mevcut DNS’iniz üzerinde “Conditional Forwarders” kısmında sağ klik yapıp “New Conditional Forwarder” ı seçiniz.
Açılan ekranda yukarıda bulunan DNS Domains kısmına erişmek istediğiniz domain adını yazınız, alt tarafta bulunan Ip Addressess of the master server kısmına ilgili domainde bulunan DC’nin ip adresini giriniz ve OK e basınız. İ
lk başta erişemese bile DNS sayfasını yenilediğinizde ve tekrar ayarlarına girdiğinizde erişimin olduğunu göreceksiniz
Eğer erişiminiz yoksa firewall ayarlarınızı ve fiziksel olarak erişim olup olmadığını kontrol ediniz.
Aynı işlemi diğer Domainde bulunan DNS üzerinde de yapınız. Örnekte ilk olarak fatihteke.com dan leventteke.com forwarders olarak eklenmişti. Şimdi leventteke.com domainine fatihteke.com domaini conditional forwarders olarak ekleniyor.
Bu şekilde DNS’e bir domaini sorgularken hangi ip adresini kullanacağını belirtmiş oldunuz. şimdi leventteke.com domainini pinglediğimizde istediğimiz DNS sunucusundan yanıt geldiğini görüyoruz.
Aynı şekilde leventteke.com domaininden de fatihteke.com u pinglediğimizde yanıt alabiliyoruz.
Bu durumda karşıdaki bir paylaşıma erişmek istediğinizde sizden kullanıcı adı ve şifre isteyen ekran karşınıza çıkacaktır. Aşağıdaki örnekte olduğu gibi leventteke.com domaininden fatihteke.com domainine eriştiğimizde domainadi\username şeklinde bilgileri girerek paylaşıma erişebilirsiniz.
Amacımız yukarıdaki kullanıcı adı ve şifresini girmeden bu işlemi yapabilmek.
Şimdi Trust işlemini yapmak için Active Directory Domains and Trusts ekranını açınız. Mevcut domaininizin üzerinde sağ klik yaparak properties kısmını seçiniz.
Açılan ekranda ikinci tab olan Trusts kısmına geliniz. Burada “New Trust” butonuna basınız ve Trust oluşturma sihirbazını çalıştırınız.
Karşınıza açılan sihirbaz ekranında Next e basarak ilerleyiniz
Trust yapmak istediğiniz domainin adını yazınız. Buraya yazacağınız isim karşı tarafın domaini olacaktır. Ör: Bu işlemi fatihteke.com domaininden yaptığımız için karşı taraf leventteke.com olacaktır.
Bir sonraki ekranda Forest Trust kısmını seçiniz. Bu seçeneğin aşağısında belirtildiği gibi authenticated kullanıcılar domainler arasında güvenilir olacaktır.
Trust’ın hangi tarafa ve ne şekilde olacağı sorusu karşınıza gelecektir. Burada eğer her iki domain birbirine güvenecek ise Two-Way i seçiniz. Bu şekilde her iki domaindeki kullanıcılar diğer domaine erişebilir.
One-way incoming ve outgoing ise tek taraflı geliş ya da gidişlere izin vermek içindir.
Trust işlemi forest içerisindeki sadece bir domain için mi yoksa diğer domainleri de içerecek mi sorusuna “Both this domain and the specified domain” i seçiniz.
Şimdi leventteke.com forest’ı için authentication yöntemini “Forest-wide authentication” olarak seçiniz. Bu seçim ile otantikasyon otomatik olarak sağlanacaktır.
Aynı seçeneği Local Forest için de gerçekleştiriniz ve Next’e basınız.
İşlem tamamlanmadan önce size yapılacakları gösteren ekran gelecektir. Eğer seçenekleriniz doğru ise Next e basarak kurulumu başlatınız.
Trust oluşturma işlemi başarılı bir şekilde oluşturuldu yazısı karşınıza gelecektir. Next e basarak devam ediniz.
Çift yönlü seçtiğimiz Trust işlemi için giden Trust’a güven seçeneği olan “Yes, confirm the outgoing trust” ı seçip Next’e basınız.
Gelen Trust istekleri için de kabul kısmı olan “Yes, confirm the incoming trust” kısmını seçiniz.
Sihirbaz tamamlandıktan sonra çift taraflı güven oluşmuş durumdadır.
Trust ekranına tekrar baktığınızda aşağıdaki gibi trust yapılan domaini göreceksiniz.
Aynı şekilde diğer domainden de kontrol ettiğinizde ise trust yapılan domain olarak karşı tarafı görebilirsiniz.
Şimdi bir paylaşım verdiğinizde;
Permission butonuna basarak,
Açılan ekranda “Locations” butonuna basarak trust yaptığınız domaini görebilirsiniz.
Ve trust yaptığını domain içerisindeki kullanıcılara yetki vere bilirsiniz.
Bir sonraki makalemde görüşmek üzere.
Çalışan Bir Ortamda FSMO Rollerinin Taşınması Powershell Kullanılarak Active Directory Üzerinde Toplu Kullanıcı Oluşturulması
Senden Allah razı olsun.Çok yardımcı oldun.Başarılarının devamını diliyorum.Kolay gelsin.
Yardımcı olduysam ne mutlu bana. İyi çalışmalar.
Trust yapısı kurulmuş bir ortamda, exchange yönetimi için nasıl yetki verilir Fatih hocam ? Bir domaindeki user diğer domainde bulunan exchange’i yönetecek. …/ECP üzerinden.
yetki vermek istediğiniz kullanıcıyı Organization management grubuna üye yaparak denediniz mi acaba?
iyi akşamlar.
Organization management grunbuna diger domainden direk olarak member ekleyemiyorum cunku exchange org. management grubu universal / security olduğundan diger domainden direk user eklememe izin vermiyor. Eklemek istediğim user ı baska grup yaratarak management gruba üye yaptım ancak login olmas sırasında access denied 403 alıyorum.
Bir diğer kafamı karıstıran konu; normal sartlarda mydomain\ECP üzerine login olurken sadece user name pass yazıyorum fakat şimdi bu user farklı domainden …Bu durumda farklıdomain\other user seklindemi login olmayı denemem gerekli ?
Fatih Bey merhaba,
domainleri birbirine trust etttim ama filesharing de trust domainde ki bir userı eklemek istediğimde getirmiyor ama domaini görüp seçebiliyorum nedeni ne olabilir.?
Merhaba,
Ekran resmi paylaşmanız mümkün müdür acaba?