Root > Documents > Web Güvenlik Açıkları > Active Directory Connector
Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > Active Directory Connector
Madde
  Yazar : Anon
  Date : 23.11.2004 16:16:30
 
# Active Directory Connector
 
 

Exchange 2000 Server kurmak isteyen birisi şirketinde daha önce kurulu olan bir mesajlaşma sistemiyle karşılaşabilir. Önünde iki seçenek vardır. Birinci seçenek, varolan mesajlaşma sistemini kaldırıp yerine  Exchange 2000 Server kurmak ki bu pek istenmez, ikinci seçenek ise network’te iki servisin  ortak çalıştırılmasıdır. Exchange 2000 Server’ı  kurulu Exchange 5.5 organizasyonu içine kurmak daha önce var olan uygulamaların kesintiye uğramaması için en iyi yoldur. Bu durumda iki mesajlaşma servisi arasında haberleşme ve dizinleri arasında senkronizasyon sağlanması gerekir. 

Exchange Server iki modda çalışabilir; Mixed mod ve Native Mod. Native modda Exchange 2000 Server bütün fonksiyonları ile çalışır. Ancak diğer mesajlaşma sistemleri ile dizin paylaşımı yoktur. Ancak konnektörler veya gatewayler kullanarak haberleşebilir. Mixed modda ise Exchange 2000 Server önceki versiyon Exchange Server’lar ile haberleşebilir ve aynı organizasyon içinde bulunabilir. Exchange 2000 Server ilk kurulduğunda mixed moddadır. 

ADC (Active Directory Connector), Exchange Server 5.5 DS ve AD arasında nesne temelli, çift yönlü bir senkronizasyon sağlar. ADC, Exchange Server 5.5 DS\'indeki mesaj alıcı nesne bilgilerini (posta kutusu, özel alıcı, dağıtım listesi gibi) AD içindeki kullanıcı, kişi ve gruplar ile senkronize eder. Tabii, bu işlemin tersini de yapar. 

Dizin açısından bakarsak, ADC, yukarıda saydığımız işlevleri,  Exchange Server 5.5 DS sitelerindeki kapları (container),  AD etki alanı içindeki yapısal birimler (organizational unit; OU ile senkronize ederek yapar. Bu senkronizasyon, tutarlı bir GAL elde edilmesini sağlar. ADC, yapılandırma verilerini de senkronize eder. Bu da Exchange Server\'ların bir arada çalışabilirliğini sağlar

Exchange 5.5  Dizin Servisi 

Exchange 5.5  Dizin Servisi (Directory Service) organizasyon, site, serverlar, posta kutuları, dağıtım listeleri, public folderlar, vb. Exchange nesnelerini oluşturur ve  yönetir. Dizin Sevisi, bu bilgilerin hepsini directory denilen ve DIR.EDB dosyasında, hiyerarşik bir database’de tutar ve organize eder. 

Bir Exchange sitesinde bulunan bütün severlar  directory bilgisinin tamamını tutar. Bu serverlar arasındaki replikasyon Remote Procedure Call (RPC) aracılığıyla olur. Herhangi bir Exchange Serverda mailbox (Posta Kutusu) oluşturulduğunda otomatik olarak diğer serverlara kopyalanır. 

Directory Service, dizine ulaşmak için MAPI (Messaging Application Program Interface) ve LDAP(Lightweight Directory Access Protocol)’ı kullanır. Ms. Outlook Programı MAPI kullanarak, Outlook Express ise LDAP kullanarak Exchange dizinine ulaşır. 

Exchange Server 5.5 dizin servisi ile Active Directory arasındaki haberleşmede iki temel kompanent kullanılır. Site Relication Service (SRS) ve Active Directory Connector (ADC). 

Site Replication Service 

Site Replication Service (SRS) Exchange 2000  Server’da çalışır ve Exchange 2000 Server’ın Exchange 5.5 gibi görünmesini sağlar. Site Replication Service Exchange 5.5’taki Dizin Servisi ile aynı servistir. SRS’nin biriktirdiği Exchange bilgileri, ADC aracılığıyla, Active Directory ile senkronize edilen bilgilerdir. SRS iki önemli fonksiyonu gerçekleştirir; 

  1. Active Directory ile Exchange 5.5 Serverlar arasındaki bilgi alışverişinin konfigürasyonu için bir geçiş yoludur.
  1. Exchange 2000 Serverların, Exchange 5.5’daki dizin bilgilerine ulaşması için Exchange 5.5 gibi görünmesini sağlar.

SRS, Exchange 2000 Server’ın varolan bir Exchange 5.5 sitesi içine kurulduğunda otomatik olarak kurulur. SRS yönetimi ve konfigürasyonuna gerek yoktur, Exchange 2000 kendiliğinden gerçekleştirir. Fakat dikkat edilmesi gereken noktalar vardır; 

SRS LDAP protokolünü çalıştırarak AD ile haberleşmeyi sağlar. Windows 2000  de LDAP protokolünü kullandığı için iyi bilinen 389 numaralı portu kendisi alır.  SRS default olarak 379 numaralı portu LDAP haberleşmesi için kullanır. 

SRS information Store ile aynı ESE databse’i kullanır. Bu database SRS kurulduğunda \Program Files\Excsrvr\srsdata klasörüne kurulur. SRS database’i mount ve dismount yapılmaz ancak SRS servisi Windows Services Tools’tan manuel olarak durdurulup çalıştırılabilir. 

Exchange 5.5 sitesine kurulmuş bir Exchange 2000 Server yanına eğer bir diğer Exchange 2000 Server kurulmak istenirse normalde yeni bir SRS gerekmez  ancak yük dengeleme için yeni bir site replikasyonu kurulabilir.

ADC Kurulumu

    Windows 2000 kurulum CD-ROM’unda ve Exchange 2000 CD-ROM’unda birer adet ADC sürümü bulunmaktadır. Exchange 2000 CD-ROM’unda bulunan sürüm daha yenidir. Exchange 2000 ile Exchange Server 5.5’in birlikte çalışabilmesi için gereken yapılandırma bilgilerinin senkronizasyonu için Exchange 2000 ADC’sini kullanmak gerekir. 

   Exchange 2000 Server varolan bir Exchange 5.5 sistesi içinde kurulduğunda otomatik olarak ADC kurulur. Fakat Exchange kurulmadan önce Exchange CD-ROM’unda bulunan ADC kurulabilir ve replikasyonlar ayarlanabilir. ADC Active Directory Klasörünün içinden veya Exchange CD’si takıldığında çıkan ekrandan kurulabilir. Kurulama başlandığında wizard ekrana çıkar. Next deyip devam edildiğinde, şekil-1’de görülen wizard’da iki kompanent seçimi sunuluyor.

 

Şekil 1

·  The Active Directory Connection Service: Bu kompanent aslında konnektörün kendisidir. Bir Forest’ta ilk ADC kurulduğunda kuran kişinin Active Directory Şemasını (Schema) değiştirme yetkisi olmalıdır. 

·  Microsoft Active Directory Connection Management Components: Bu ise bir snap-in’dir. ADC’nin yönetiminin yapılabilmesini sağlar. Eğer Exchange2000 kurulmadan önce ADC kurulacaksa bu kompanentin kurulması gerekir. Networkteki herhangi bir bilgisayarda kurulabilir.  

Sonraki adımda kurulum yolu belirlenir, daha sonra Exchange 5.5 bilgisayarına lokal girme hakkı bulunan ve ADC çalıştığında kullanacağı kullanıcı adı ve şifresi sorulur. Kullanıcı hesabı bilinirse kurulum sona erer. 

Connection Agreement (CA) in Oluşturulması: 

Connection Agreement Exchange Server ile Windows Server’lar arasındaki bağlantı anlaşmalarıdır. Kurulan bu bağlantılar iki server arasında hangi nesnelerin haberleşeceğini gösterir. Exchange 2000 Server varolan bir Exchange 5.5 sistesi içinde kurulduğunda otomatik olarak ADC ve SRS kurulur. Aynı zamanda ConfigCA adındaki Connection Agreement kurulur ki, SRS ile AD arasındaki konfigürasyon bilgilerinin replikasyonunu sağlar. Eğer Exchange 2000 kurulmadan önce ADC kurulursa directory replikasyonu olmadan manuel olarak bir alıcı (Recipient) ve/veya ortak klasör (Public Folder) CA’sı kurulması gerekir.  

ADC’de CA kurulması şu şekilde yapılır. 

Start->programs-> Microsoft Exchange-> Active Directory Connector tıklanır. Şekil-2 de görüldüğü gibi açılan pencerede Active Directory Connector (Server Adı) üzerinde sağ tuş tıklanarak new’den “Recipient  Connection Agreement” veya “Public Folder Connection Agreement” seçilebilir.

 

                                                         Şekil 2

Şimdi tek tek CA’nın kurulması ve konfigüre edilmesi için gerekli olan sayfaların özelliklerini görelim;  

General Sayfası  

General sayfasında CA ilk kurulduğunda bir ad isteniyor. İlk oluşturmada adı değiştirilebilir. Bağlantı kurulduktan sonra ad değiştirilemez. Sayfa içinde CA’nın yönü belirlenir. CA iki tarafa doğru tek yönlü veya iki yönlü olabilir. Bu aynı zamanda replikasyon yönüdür. CA’nın üzerinde bulunduğu server adı en altta belirir.

 

 Şekil 3 

Connection Sayfası 

Active Directory’nin üzerinde çalıştığı Windows Server ile Exchange Server 5.5 bu sayfada seçilir.  Exchange Server 5.5’ta en az Service Pack1 kurulu olmalıdır. Windows Server ve Exchange Server için hangi authentication metodunun kullanılacağı belirlenir. Connect as’ te ise bu ardaki bağlantının kurulması için gerken haklara sahip olan kullanıcı belirleniyor. Kullanıcının kendi directory’sinde yazma hakkı bulunması gerekir. Modify butonuna basıldığında kullanıcı adı ve şifresi isteniyor. Exchange server için “exservice” user’ı, Windows Server için ise Administrator account’u seçilebilir.

 

                                             Şekil 4
Connection Sayfası’nda ayrıca Exchange 5.5’in kullandığı LDAP port numarası belirlenir. Eğer network’te Exchange 5.5, Windows 2000 üzerinde çalışmıyorsa port numarası 389 olarak seçilebilir. Windows 2000 389 numaralı portu kendi kullanımı için kilitlediğinden Windows 2000 üzerine kurulu Exchange 5.5 alternatif portlardan 379 ile 390’ı kullanabilir.

Schedule Sayfası 

Windows 2000 ile Exchange 5.5 arasındaki replikasyon zamanı belirleniyor. Belirlenen bu zaman dışında CA üzerinde sağ tuş tıklanarak herhangi bir zaman replikasyon yaptırılabilir. Replikasyon zamanları belirlenirken iki server arasındaki bağlantı tipi ve network trafiği dikkate alınmalıdır.

 

                                             Şekil 5
 

From Exchange 

Exchange alıcılarının bulunduğu directory ile replikasyonun olacağı Active Directory’nin yeri belirleniyor. Add tıklanarak Exchange Recipient container belirlenir. Public Folder CA’lar için bu container otomatik olarak set edilmiş durumdadır ve değiştirilmez. Modify tıklanarak windows’ta bulunan ve replikasyonun yapılacağı OU (Organizational Unit) belirlenir. Sayfanın altında ise replikasyon edilecek nesneler seçiliyor. Bunlar mailbox, custom recipient ve distribution list’tir.

 

                                                  Şekil 6

From Windows 

From Exchange sayfasının tersidir. Bu sayfada hangi OU ile hangi Exchange 5.5 mailbox store ile replikasyon olması gerektiği belirlenir. Seçilen nesneler user, contacs ve group’tur. 
 

                                                     Şekil 7

 

Deletion 

Default olarak directory’deki bir nesnenin silinmesi diğer directory’dekini silmez. Bunun yerine ADC’nin çalıştığı server’daki  MSADC\MSADC\<connection agreement name> klasöründeki kaydın silinmesi gerekir. Deletion sayfası bu özelliklerin değiştirmesini sağlar. Replikasyonda olduğunda bir nesnenin silinip silinmeyeceği belirlenebilir.

 

                                                   Şekil 8

Advanced 

Paged results bir anda birlikte sayfalanmış giriş sayfalarının belirlenmesini sağlar. Sayfalama replikasyon performansını artırır. Hem Exchange Server hem de Windows 2000 Server için bu değer belirlenebilir. Default olarak 20 değeri vardır. 

Yapılan CA bağlantısı eğer ilk Connection Agreement ise yeni bir nesneyi karşıdaki directory’de oluşturur, eğer ilk bağlantı değilse sadece varolan nesnelerin bilgilerinin replikasyonunu sağlar. Bu sayfada her iki yön için bir primary seçeneği vardır. General sayfasında bulunan replikasyon yönüne bağlı alarak seçenekler sunuluyor. 

This is an Inter Organizetional Connection Agreement seçeneği farklı iki Exchange organizasyonu bilgilerinin replikasyonları gerekli olduğunda seçilir. Public Folder için gerekli değildir. 

When replicating a mailbox whose primary Windows account does not exist in the domain seçeneği bir mailbox replike edildiğinde bu mailbox’a ait domain’de bir windows account yok ise ne yapacağını gösteriyor. Bu ayar sadece primary CA’larda uygulanır. Çünkü bir çok özellik sadece yeni bir account oluşturduğunda gereklidir.Son ayar ise iki yönlü CA ilk defa konfigüre edildiğinde replikasyon yönünün belirmesini sağlıyor.

 

                                                      Şekil 9
Details sayfasında ise administrator’ün o bağlantı hakkında kendi yazacağı bir açıklama var ise yazabileceği bir alan vardır.

 
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©