ACTIVE DIRECTORY
LABORATUVAR RAPORU
MİDYA ŞOLA AHMET AKYÜZ
AHMET HATİP AKTAŞ TUĞÇE BÜŞRA ERDEM
1. TOPOLOJİ
2. İŞLEM BASAMAKLARI
A.Active Directory Kurulumu ve Kullanıcı İşlemleri
1.Domain Controller ve hostlarda statik olarak ip ataması yapılır.
2.Domain Controller olan pc’de Active Directory Domain Services kurulur.
3.Client ve Server 2016 oluşturulan domainlere katılır.
4.Router üzerinden ve switch üzerinden Vlan konfigürasyonu yapılır.
5.Domain Controllerlarda Organizational Unitler oluşturulur.
6.Organizational Unitlerde gruplar oluşturulur.
7.Gruplara user ataması yapılır.
B.Domainler arası dosya paylaşımı 1.Domainler arası Trust ilişkisi kurulur.
2. Server 2016 üzerinde dosya paylaşımı için Data dosyası oluşturulur.
3.Oluşturulan dosya trust ilişkisi vasıtasıyla SiteA ve SiteB domainlerindeki grupların paylaşımına açılmıştır.
4.Her grup için Data dosyası içinde bir klasör oluşturulur.Klasörlerde her domain için bir klasör ve her iki domain için de ortak bir klasör oluşturulur.
5.Kullanıcıların sadece kendi domainlerindeki ve ortak klasörlere erişim izinleri verildi.
6.Uygulanan adımların kontrolü başarıyla gerçekleştirildi.
C.Sertifika kurulumu ve ekleme
1.Certificate Servisi rolü ve özelikleri kuruldu.
2.Certificate konfigirasyonu yapıldı.
3.Certificate oluşturma ve yükleme işlemeleri gerçekleştirildi.
4.Server 2016 Web Servis rolü yüklendi.
5.Dns için A kaydı oluşturuldu.
D.Encryption File System
1.Clientte klasör ve dosya oluşturma adımalrı gerçekleştirildi.
2.Dosyayı şifreleme adımları yapıldı.
3.Diğer kullanıcılar şifreli dosyayı açabilmesi için DC de sertifika adımları yapıldı.
4. Diğer kullanıcılar şifreli dosyayı açabilmesi için Clientte sertifika adımları yapıldı.
E.DNS
1.Serverlara DNS rolü ve özelikleri yüklendi.
2.DNS Manager A kaydı oluşturma gerçekleştirildi.
3.DNS Manager MX kaydı oluşturma gerçekleştirildi.
4.DNS Manager diğer dns serverlarla ilişki kurma adımları gerçekleştirildi.
3.PROJE ADIMLARI
A. Active Directory kurulumu ve kullanıcı işlemleri
1.Cihazlara statik Ip ataması yapıldı. Client ve Server 2016 Dns olarak bulundukları domainlerin Ip adreslerini aldı. Domain Controllerlara 127.0.0.1 Dns adresi atandı.Ping testleri ile haberleşme kontrol edildi.
2. SiteA ve SiteB domainleri oluşturuldu.
3.Client ve Server 2016 domainlere katıldı.
4.Router üzerinde mevcut bulunan konfigürasyonları silmek için cmd ekranında “write erase”
komutu kullanıldı.Bu komut ile startup-configte herhangi bir şey gözükmezken running- config üzerinde eski konfigürasyon gözükmekteydi.Running-configi de temzilemek için
“reload” komutu kullanıldı.Router temizlendikten sonra Router ve switch konfigürasyonları yapıldı.
5. Domain Controllerlarda Organizational Unitler oluşturuldu.Oluşturulan OU’larda muhasebe,ik ve it grupları oluşturuldu.Oluşturulan gruplara user ataması yapıldı.
B. Domainler arası dosya paylaşımı 1.Domainler arasında Trust ilişkisi kuruldu.
SiteA ve SiteB domainlerinde DNS Manager üzerinden karşılıklı olarak Ip adresleri forwarders edildi.
Daha sonra Trust ilişkisi kurmak için işlemlere başlandı.
Trust ilişkisi kurulmak istenen domainin domain ismi yazıldı.
Farklı forestlar olduğu için Forest Trust seçildi.
Çift yönlü güven ilişkisi seçildi.
Sadece mevcut domainde için geçerli olması için This domain only seçildi.
Trust ilişkisi kurulan domainin şifresi girildi.
2.Server 2016 üzerinde DATA klasörü oluşturuldu.Oluşturulan klasörde muhasebe,it ve ik için ayrı ayrı klasörler oluşturuldu. Her departmana da her domainin kendi erişebileceği ve ortak birer klasör oluşturuldu. Her departmana Data klasörüne erişme yetkisi verildi ve yalnızca kendi domainlerinde ve ortak klasörde tam yetki tanındı.
C. Sertifika oluşturma ve ekleme
1.Sertifika işlemlerini gerçekleştirmek için Manage ile “Active Directory Certificate Services”
rolü ekliyoruz.
2.Rolün servislerini seçiyoruz.”Certification Authority ve Certifition Authority Web Enrollment” seçildi.
3.Bu adımda Sertifika Servisini konfigirasyon işlemlerine başlıyoruz.
4.
5.Rolü ekleme sırasında seçtiğimiz rolün servislerinin seçili olduğunu emin olalım.
6.Network dağıtım tipi olarak daha fazla haklara sahip olaran “Enterprise CA” seçiyoruz.
7.CA tipi olarak “Root CA” seçiyoruz.
8.Yeni bir key oluşturuyoruz.
9.Oluşturcağımız keyi ayarlarını yapıyoruz. Key uzunluğu ve algoritmasını seçiyoruz.
10.CA isimlendirmelerini görüyoruz.
11.CA ne kadar süre ile aktif olacağını seçiyoruz.
12.Özet halini görüyoruz.”Configure” tıklayıp işlemleri bitiyoruz.
13.İşlemler başarılı ile gerçeleşti.
14.Dc’den IE’ a girip adres bölümüne “localhost/certsrv” girip adıma devam ediyoruz.”request a certificate” seçiyoruz.
15.”Dowload CA certificate” seçiyoruz.
16.Sertifikamız oluştu.
17.Sertifikanın eklendini görmek için mmc açıyoruz.
18.Add or Romeve ile Sertifikayı ekliyoruz.
19.Sertifanın hangi hesapta olduğu seçildi.
20.Local computer seçildi.
21.Oluşturduğumuz CA listeye eklenmiş.
22.Aynı domainde bulunduğumuz diğer client yada serverladan CA görebiliyoruz.
23.Server 2016 “Web Server” rolünü ekliyoruz.
24.Sertifika yüklemek için bazı internet ayarları yapıyoruz.
25.Dc ip adresini ekliyoruz.
26.Download yapıyoruz.
27.CA eklemek için mmc’den Sertifikalar girip import ediyoruz.
28.İndirdiğimiz CA seçiyoruz.
29.Nereye kayıt edeceğimizi seçiyoruz.
30.Diğer cihazlarda eklediğimiz CA görebiliyoruz.
31.Server’2016 dan “Internet Information Services Manager”a giriyoruz.
32.”Server Certificates” tıklıyoruz.
33.Sertifika için gerekli boşlukları dolduruyoruz.
34. Sertifika için gerekli boşlukları doldurduktan sonra “Next” tıklıyoruz.
35.Bu adımda oluşturacağımız key ayarlarını yapıyoruz.
36.Oluşturduğumuz key .txt dosyası ile oluşturuldu.
37.”locahost/certsrv” ile girip “Request a certificate” seçiyoruz.
38.2. seçeneği seçiyoruz.
39.Oluşturduğumuz key’i buraya ekliyoruz ve sertifika tipi seçiyoruz.
40.Sertifikayı indiriyoruz.
41.İndirdiğimiz CA daha anlaşılsın diye ismini değiştiriyoız.
42. Internet Information Services Manager’dan Compute Certificate Request seçiyoruz.Açılan pencereye CA ekliyoruz. Web Hosting seçiyoruz.
43.CA ekledik.
44.Https ayarlarını yapmak için Share\Sites\Default Web Sites seçiliyken “Binding” tıklıyoruz.
45.”Add” ile tipi https seçip “ok” yapıyoruz.
46.Domain Controll’dan https için yeni bir A kaydı yapıyoruz. Bunun için DNS Manager’ dan sitea.local “New Host A” yapıyoruz.
47. Server 2016 ip adresi girildi.
48.A kaydı gerçekleşti.
49.Dns işlemlerinden sonra “https” giriş başarılı şekilde girildi.
D. Encryption File System
1.Encryption file system adımları için domainimizde bulunan bir kullanıcı ile Client’te oturum açıyoruz. Daha sonra C diskinde “Data” adında bir klasör oluşturuyoruz.
2.Oluşturduğumuz klasör içine bir .txt dosyası oluşturduk.Txt dosyasına anlamlı bir şeyler ekliyoruz.
3.Oluşturduğumuz .txt dosyasına sağ tıklayıp “Gelişmiş” butonuna açılan pencereden “Veriyi korumak için içeriği şifrele” seçeneğini tıklıyoruz.
4.Tamamdan sonra gelen uyarıya “Tamam” tıklıyoruz.
5.Gelişmiş penceresinden “Ayrıntılar” tıklayıp daha önce oluşturduğumuz sertifikayı görebiliriz.
6.Clientten domainden başka bir kullanıcı ile girip yapıldı.
7.Data klasöründeki oluşturduğumuz .txt doyasını yetkimiz olmadığı için göremedik.
Yaptığımız işlemler başarılı şekilde gerçekleşmiş oldu.
8.Yetkisi olamayan kullanıcı ile cmd ‘den baktığımızda dosyanın şifreli olduğunu görüyoruz.
9.Eğer dosyayı şifrelediğimiz kullanıcı hesabı kapanırsa ya da bir süre ulaşılamazsa o dosyaya ulaşmak için DC’nin yardımı ile o dosyaya ulaşmak mümkün. Bunun için sertifika işlemlerine giriyoruz.
10.Certicates\Personel\Certificate\Administrator tıklıyoruz. Pencereden Copy to File tıklıyoruz. Daha sonra “Next” diyoruz.
11.”Yes,export the private key” seçildi.
12.Özel durumlar seçildi.
13.Parola işlemleri gerçekleşti.
14.Nereye kayıt edileceği seçildi.
15.Sertifika ismi girildi.
16.Tam adresi nerede olacağı belirtildi.
17.Başarılı şekilde gerçekleşti.
18.Dc sayesinde aldığımız sertifikayı başka bir kullanıcı ile import edersek şifreli dosyayı açabiliriz. Bunun için mmc ‘ye girerek Certicates\Personel\Tüm Görevler\Al seçiyoruz.
19.”İleri” ‘e tıklıyoruz.
20.”Gözat” diyip DC’dan oluşturduğumuz sertifikayı seçiyoruz.
21.Sertifika şifresi girildi.
22.Depolama alanı seçildi.
23.”Son” tıklayıp işlemler bitiyor.
24.Başarılı şekilde gerçekleşti.
25.Dosya başarılı bir şekilde görüntülenmesi gerçekleşti.
E. DNS
1. Server’larımıza Active Directory olmadan DNS rolünü ekledik.
2. DNS Manager açarak devam ediyoruz. DNS adres çözümleme ve işleme için zone’lar kullanılır. Bunun için DNS’e sağ tıklanıp New Zone seçilir.
3. New Zone Wizard’ da karşımıza çıkan ekranda Primary Zone’u seçiyoruz.
Primary zone = Zone’un yetkili sunucusu oluşturanın kendisidir.
Secondy zone = Zone’un yetkili sunucusu başka bir sunucudur. Zone başka bir sunucudan alınır.
Stub zone = Sunucular yalnızca minimum zone dosyası tutarlar. Bütün zone kayıtları yerine yalnızca zone’un Start of Authority (SOA) ve name server kayıtları tutulur.
4. Alan adı ile IP adresi çözümlemesi yapılacağı için forward lookup zone denildi.
Reverse lookup zone = IP adresi ile alan adı çözümlemek için kullanılır.
5. Zone adı verildi.
6. Oluşturulacak dosyanın ismi verildi.
7. Active Directory kurulduğunda DNS otomatik olarak oluşturuluyordu ama DNS manual olarak oluşturulduğunda update almaması için son seçenek seçildi.
8. New Zone oluşturuldu.
9. Oluşturduğumuz New Zone’a sağ tıklanıp New Host seçilir.
New Host = Bu kayıt sayesinde host isimleri ile IP eşlemesi yapılır. Bu kayıtlar host isimlerin IP adreslerinin adres bilgilerinin girdilerini tutan kayıtlardır. AAAA kısmı IPv6 için kullanılır.
10. Name kısmına uzantı ismi ve hangi IP adresinden ulaşılacağı girildi. IP adresi olarak DNS1’in IP adresi verildi
11. Host oluşturuldu.
12. Reverse Lookup Zone için yeni zone oluşturuldu.
13. Primary Zone seçildi.
14. Ipv4 seçeneği seçildi.
15. Network ID adresi girildi. Reverse lookup zone ismi kendi aldı. Subnetmask 255.255.255.0 olmalıdır.
16. Oluşturulacak dosya adı otomatik olarak geldi.
17. Yeni Reverse Zone oluşturuldu.
18. Daha önce oluşturulan alan adının özelliklerine girip PTR kaydı işaretlendi. PTR aynı zamanda Reverse Domain Name System’dir.
19. Forward Lookup Zone kısmına yeni bir A kaydı açıldı, mail ismi verildi. PTR işaretlendi bu sayede yeni bir PTR’ı kendisi oluşturacak. IP adresi olarak DNS2’nin IP adresi verildi.
20. New Alias = New Host gibi yeni bir alan adı oluşturulur. farkı ise IP adresi olarak daha önce new host ile oluşturulmuş bir alan adı girilir. Böylece aynı IP adresini kullanır fakat IP adresinde alan adı görüleceği için IP adresi gizlenmiş olur.
21. Browse seçeneği seçildi ve www yazıldı.
22.
23.
24. İsim olarak remote verildi.
25. cmd ye girilerek ipconfig /displaydns komutu yazıldı ve DNS’ler görüldü.
- www.mytest.com adresi 192.168.10.10 yani DNS1’in IP adresini kullanıyor.
- remote.mytest.com adresinin IP adresi www.mytest.com olarak görülüyor. Yani aslında 192.168.10.10 IP adresini kullanıyor ama burada gizleniyor.
- mail.mytest.com’un IP adresini yukarıda 192.168.10.20 olarak değiştiğimiz halde 192.168.10.11 olarak gördüğü için bu alan adına ulaşılamayacaktır.
24. TTL (Time to Live) = DNS kaydının ne kadar süre ile cache üzerinde tutulması gerektiğini söyler ve saniye cinsinden kaydedilir. IP adresinin düzelmesi için TTL süresi kısaltıldı.
25. cmd ye girilerek önbelleğe alınmış DNS kaydını sonlandırmak için “ipconfig /flushdns” yazıldı.
26.Bu sayede ip adresi düzeldi ve mail’e ping atabilir olduk.
27. Netstat network bağlantılarını, routing tablosunu, arabirim istatistikleri ve benzer ağ bağlantısı bilgileri ile ilgili ayrıntılı bilgiler verebilen bir konsol komutudur.
- -a: Tüm TCP ve UDP bağlantılarını ekrana basar.
- -n: Tüm bağlantıları rakamsal olarak görüntüler.
- -o: Tüm bağlantıları PID numarası ve uygulama adına göre listeler.
- -e: Gelen ve giden paket sayısının istatistiklerini görüntüler.
- -p: Bağlantıların kullandığı uygulama ve PID numaralarını ekrana basar.
- -s: Kurallara göre istatistiksel verileri ekrana basar.
- -r: IP yönlendirme tablosunun içeriğini görüntüler
cmd’de netstat -ano komutu port 53 (DNS portu) için kullanıldı. 3 TCP’nin portu dinlediği görüldü.
28.DNS1’den takip edilen ip adresleri görüldü.
29. Çözümleme işlemini başka bir yerden yapılması için DNS1 özelliklerinden Forwarders’a girildi
“Edit” denildi.
30.Google DNS adresi(8.8.8.8) girildi. Çözümleme işlemini Google yapacak.
31. Round Robin = Bir zamanlama algoritmasıdır. Sırası gelen işlem, işlemcide işi bitmese bile belirli bir zaman biriminden sonra işlemciyi terk etmek zorundadır. TTL değeriyle oynanmak zorunda kalınabilir. Round Robini açıp kapatma işlemi ise DNS1 sağ tıklanıp özelliklerinden “Advanced”
kısmından yapılır.
32. “DNS1\New Conditional Forwarder” seçildi.
Conditional Forwarder = Girilen alan adını belirlenen IP adresine yönlendirmek için kullanılır.
33. Domain adı girildi. Yönlendirilecek IP adresi girildi. Böylece yahoo.com a girmek isteyen kişi DNS1 sunucusuna yönlendirilecektir.
34.DNS2’den DNS Manager’a girilerek “New zone” denildi.DNS1 zonealrını kullanmak için
“Secondary Zone” seçildi.
35.DNS1’deki Zone adı girildi.
36.Dns1 ip adresi girildi. Çünkü DNS1 zoneları kullanılacağı için.
37.DNS2’nin DNS1’in zonelarını kullanmsı için DNS1’den DNS2 için izin vermesi gerekiyor.
Bunun için DNS1’de oluşturduğumuz zonenın özeliklerine girerek “Zone Transfers” tıklanır.
“Only to the following servers” seçildi ve “Edit” ile DNS2 ip adresi girilir.
38. “New Mail Exchanger” seçildi.
Mail Exchange (MX) = Alan adına ait mail adreslerinin çalıştığı mail sunucularını adresleyen bir DNS kaydıdır.
39.Browse tıkanarak “mail” adında oluşturduğumuz A kaydını seçtik ve böylece Mx kaydını oluşturmuş olduk.
40.Başarılı seçilde mx kaydını oluşturduk.
41.Dns2’den başarılı sekilde DNS1’deki zone görebiliyoruz.
42. “nslookup” komutu DNS Serverın düzgün çalışıp çalışmadığını kontrol etmek için
kullanılır.“cmd” açılıp “nslookup” komutu girildi. set type olarak mx yazıldı ve zone adı girildi.
MX’in düzgün bir şekilde çalıştığı görüldü.
43.DNSSEC = İstemci ile DNS sunucusu arasında gelen ve giden verinin şifreli olarak iletilmesini sağlar ve araya girebilecek üçüncü kişilere karşı güvenli bir iletişim katmanı oluşturulur.
DNSSEC “Brute force” gibi saldırılara karşı güvenliği sağlamak
için DNS kayıtlarını ZSK anahtar çiftini, imzaları doğrularken ise KSK anahtar çiftini kullanır.
DNSSEC oluşturmak için DNSSEC’ten sign the zone seçildi.
44. “New Key Signing Key” ayarları yapıldı.
Key boyutu,algoritma tipi vb gibi ayarları değiştirebiliyoruz.
45.
New Delegation = Çok büyük organizasyonlarda birden çok adminin bulunduğu yapılarda kullanılır. Amacı zone’ların yönetimini başka adminlere tüm zone yetkilerini vermeden delege etmektir.
DNSSEC oluşturulmuş oldu.
