Windows Server 2008 Hakkında Bilgilendirme & Tanıtım..
Windows Server 2008 ile birlikte gelen tümleşik firewall’da önemli geliştirmeler yapılmış.Bunun en önemli belirtiside Microsoft’un güvenlik duvarına verdiği “Windows Firewall with Advanced Security” ismidir.Gerçekten gelişmiş birçok özelliğiyle sistem yöneticilerine oldukça kolaylık sağlıyor.
Yeni arayüz – Artık gelişmiş firewall özelliklerini kontrol edebilmemiz için MMC snap’in ni kullanabiliriz..
Bi-directional – Gelen trafiği olduğu kadar giden trafiğide filtreleyebiliriz.
IPSEC ile uyum – Artık güvenlik duvarında oluşturduğumuz kurallar ve IPSEC konfigurasyonumuz tek bir arayüzde içiçe çalışabiliyor.
Gelişmiş kural konfigurasyonu – ICMP,IPv6,TCP/UDP,ip adresleri,protokol numaraları,active directory hesapları ve grupları için kurallar yaratabiliriz.
Bu özelliklerle birlikte bilgisayarımızda kullandığımız diğer firewall uygulamaların yerini tutacağa benziyor.En beğendiğim özelliği ise MMC konsolunu kullanarak yönetimi gerçekleştirebilmemiz.
Bir önceki sürümden en büyük farkı ise tümleşik gelen kural sayısı.Windows Server 2003 firewall üzerinde varsayılan 3 kuralımız bulnuyordu.Windows Server Advanced firewall’da ise bu sayı 130′a kadar çıkmış durumda.90 kural inbound 40 kural outbound şeklinde.
http://www.microsoft.com/downloads/d...DisplayLang=en
adresinde içeriği gerçekten oldukça zengin olan server 2008 ile birlikte gelen componentler ve özelliklerinden bahseden posteri pdf formatında bilgisayarınıza indirebilirsiniz.
Microsoft yeni nesil sunucusu Windows Server 2008 için e-learning kurslarını başlatmış.Yeni özellikleri keşfetmek ve mimarinin derinine inmek için gerçekten yararlı dersler.Kısıtlı bir zaman için yayınlanan bu kurslara aşağıdaki adresten ulaşabilirsiniz:
http://www.microsoft.com/learning/wi...mspx#ELEARNING
Server CORE uzerinde IIS7 kullanimi
Technet’te belirtildiği üzere Windows Server 2008 Core edition’da artık IIS 7 kullanabiliyoruz.Bildiğimiz gibi core versiyonda herhangi bir arayüz yok ve komut istemiyle tüm konfigurasyonları yapmamız gerekli.
İsterseniz CORE üzerinde IIS7 kullanımı ile ilgili komutlardan bahsedelim.
Server Core üzerine IIS7 yüklemek için:
Bunun için pkgmgr.exe komut aracını kullanırız.Varsayılan bir kurulumda
tart /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel
komutu işimizi görücektir.
Full kurulum yapmak için ise
start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IIS-StaticContent;IIS-Default********; IIS-
komutunu kullanırız.
IIS7′yi kaldırmak için:
Yukarıdaki parametrelerde dikkat edersek iu kullandık.Uninstall işlemi içinde uu parametresini kullanabiliriz.
Start /w pkgmgr /uu:IIS-WebServerRole .. gibi
Server Core üzerine IIS7 kurulumu yaparsak hangi özelliklerden mahrum kalırız?
Start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IIS-StaticContent;IIS-Default********;
IIS-DirectoryBrowsing;IIS-HttpErrors;IIS-ApplicationDevelopment;IIS-ASP;IIS-ISAPIExtensions;IIS-HealthAndDiagnostics;
IIS-HttpLogging;IIS-LoggingLibraries;IIS-RequestMonitor;IIS-Security;IIS-RequestFiltering;IIS-HttpCompressionStatic;
IIS-WebServerManagementTools;WAS-WindowsActivationService;WAS-ProcessModel
komutunu kullanırız.
Core üzerinde hangi özelliklerin yüklendiğini nasıl kontrol ederiz?
Regeditte HKEY_LOCAL_MACHINE\Software\Microsoft\InetSTP\Comp onents anahtarının altında geçeriz.(regediti açmak için çalıştıra regedit.exe yazmamız yeterli)
0×00000001 değerine sahip DWORD anahtarında tüm yüklenen özellikleri görebiliriz.
Windows Server 2008 - Active Directory’deki degişikliler
Microsoft’tan Uday Hegde’nin belirttiğine göre Windows Server 2008 ile birlikte Active Directory üzerindeki birkaç değişiklik;
Güvenlik
# WS2008 ile birlikte Read Only Domain Controllers teknolojisi gelmiştir.(Bknz: RODC)
# Multiple password policies OUlar hariç kullanıcılara ve gruplara uygulanabilir hale getirilmiş.
Auditing
#Active Directory üzerinde geliştirilmiş auditing özellileri
Yönetilebilirlik
# Artık reboot işlemi gerekmeksizin dizin hizmetleri için yamaları uygulayabilir,offline defraglar gerçekleştirebiliriz.
# NTDSutil ile Active Directory üzerinde snapshot yaparak anlık kaydını alabilir ve dsamain.exe ile e restore edebiliriz.
# Protect object from accidential deletion checkboxunu kullanarak kaza ile OUlar’ın silinmesini
engelleyebiliriz.
Read-Only Domain Controller (RODC)
Windows server 2008 ile gelen diğer hoş bir özellikte Read-Only Domain Controller (RODC) ‘dır.Adındanda anlaşılacağı gibi bildiğimiz Domain Controller sunuculardan tek farkı read-only olmasıdır.
Microsoft’un böyle bir seçenek sunmasının sebebi, güvenliğini sağlayamadığımız uzak lokasyonlardaki DC’lere bir alternatif oluşturmasıdır.
Örneğin İzmir şubemize forest altında bir dc yapılandırması yapmak istiyoruz.Böylece kullanıcıların kaynak erişimi,authentication işlemleri locallerindeki DC üzerinden yapılabilecek ve performans artışı sağlanacaktır.
Fakat aynı zamanda kuracağımız bu DC üzerindeki fiziksel güvenlik , bizim kafamızı kurcalıyor.İşte bu durumda izmir lokasyonuna RODC kurulumu yaparak kafamızdaki sorunlardan kurtulabiliriz.Bu RODC aynen DC gibi çalışacaktır.Tek farkı ise üzerinde herhangi bir değişiklik yapılmasına izin vermemesidir.Yani Active Directory yapısı üzerinde bu RODC ‘yi kullanarak herhangi bir yazma işlemi gerçekleştiremeyiz.Ancak istanbul şubemizdeki DC üzerinde gerekli değişiklikleri yaparız ve bunun İzmirdeki RODC’ye replike olmasını bekleriz.
NAP (Network Access Protection)
Windows Longhorn ile gelen yeni bir diğer özellikte NAP(Network Access Protection).Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz.Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz.NAP temel anlamda bu mantıkla çalışıyor.Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.Burada dikkat etmemiz gereken bölüm,NAP’ın bizi dışarıdan gelicek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahipmi,updateleri en son güncel halindemi, gibi.Ama bu gereklilikleri sağlayan kötü amaçlı biride NAP’ı rahatlıkla geçip sisteme zarar verebilir.
Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar.Ardından eğer kabul edilirse networke dahil edilir.Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.
Peki biz dışarıdan bağlanan bir kullanıcıyı NAP kullanarak hangi durumlarda kontrol edebiliriz.
· Internet Protocol security (IPsec)-protected traffic:
IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.
İstemci bilgisayar için sağlık sertifikaları düzenlenebilir,böylece bu sertifikaya göre client’ın hangi networkde yer alması gerektiği belirlenir.Örneğin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler.IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.
IEEE 802.1X-authenticated network connections:
IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir.Örneğin bir access point.
Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.
Remote access VPN connections:
Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN server’a bir istek geldiğinde VPN server bunu NPS server’a ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.
Yalnız burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAP’ı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.
Vpn bağlantısı için uygulanan adımlar şu şekildedir.
-Client VPN server’a bağlantı gerçekleştirir.
-Client NAP health policy server’a kimlik doğrulama bilgilerini gönderir.
-Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir.
-Eğer kimlik bilgileri geçerliyse NAP health policy server , client’tan sağlık bilgilerini ister.
-Client bilgilerini gönderir.
-NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar.Eğer client ‘ın durumunu uygun bulursa bunu clientın kendisine ve vpn server’a iletir.Eğer uygun değilse gereklilikleri remediation server’a sonuç olarak iletir.
-Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama client’ın networkdeki yetkileri kısıtlanır.Client networkde sadece remediation server’a bilgi gönderebilir.
-Client güncelleştirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleştirmeler client üzerinde gerçekleştirilir.
-Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir.
-Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN server’a geçişe izin vermesini söyler.
-VPN server bağlantıyı tamamlar.
Dynamic Host Configuration Protocol (DHCP) address configurations:
Sanırım en çok kullanılacak modellerden biri olucaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP server’dan ip almak isteyecektir.İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa client’a ip ataması yapılıyor.Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.
Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar ip alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.
Server Core üzerine DNS servisinin kurulması hakkında
Server core ile birlikte grafiksel arayüze neredeyse tamamen veda ettik diyebiliriz.Önümüzdeki cmd komut istemi ekranlarıyla tüm işlemleri yerine getirmemiz gerekiyor.Kurlumla birlikte standart roller(dhcp,dns,print server vb.) server 2003 deki gibi kurulu olmadan gelmektedir.
Bu şekilde kurabileceğimiz tüm rollerin listesini görüntüleyebilmek için oclist komutunu kullanırız.
Yukarıdaki resimdede gördüğümüz gibi tüm servislerin listesi ve isimleri burada karşımıza çıktı.
start /w ocsetup DNS-Server-Core-Role
komutuyla dns kurulumunu başlatırız.Arka planda dns.exe çalışarak kurulumu gerçekleştirir.
Taskmgr komutunu kullanarak bildiğimiz görev yöneticisini açıp bunu kontrol edebiliriz.
Ardından dnscmd komutu ile birlikte dns ile ilgili ayarları yapabiliriz.Bu komutla beraber kullanabileceğimiz switchler ve ne işe yaradıkları hakkında kısaca bilgi vermek gerekirse;
dnscmd [serverismi] [komut] [komut parametresi]
şeklinde kullanılır.server ismi olarak ip adresi yada hostname girebiliriz.
Kullanabileceğimiz komutlar ise;
/info
Server hakkında bilgi alırız
/config
server yada zone konfigurasyonunu resetler
/enumzones
Zoneları sıralarız
/statistics
server istatistiklerini görüntüleriz.
/clearcache
dns server önbelleğini temizleriz
/startscavenging
server scavenging’i başlatırız.
/ipvalidate
Uzak dns serverları kontrol eder
/resetlistenaddresses
Dns isteklerini karşılamak için server ip adresleri tanımlanır.
/resetforwarders
Forwarders adresleri ayarlanır.
/zoneinfo
Zone bilgisi görüntülenir.
/zoneadd
Dns server üzerinde yeni bir zone oluşturulur.
/zonedelete
Dns server üzerinden bir zone silinir.
/zonepause
Zone’u durdurur.
/zoneresume
Zone’u yeniden başlatır.
/zonereload
Zone’u databesinden geri yükler.
/zonewriteback
Zone’u dosyaya yazar.
/zoneprint
Zonedaki tüm bilgileri gösterir.
/zoneresettype
Zone tipini değiştirir
/zoneresetsecondaries
Bir zone için ikincil bilgiyi resetler
/zoneresetscavengeservers
Bir zone için scavenging serverlarını resetler.
Longhorn Core üzerinde birkaç komut
Oclist.exe:
Server Core üzerine yüklenebilecek rollerin ve özelliklerin listesini verir.
Serverweroptin.exe:
Windows Error Reporting servisinin otomatik olarak windows tarafından oluşturulan hataları Microsoft’a iletmesi için kullanılır.Aşağıda kullanılan switchleri görebiliriz.
Systeminfo.exe:
Kullandığımız sistem hakkında detaylı bilgi verir.
netdom:
Domaine dahil olmayan bir bilgisayarın ismini anilerduran yapmak için aşağıdaki komutu uygularız.
netdom:
Anilerduran.com isimli domaine dahil olan bir bilgisayarın ismini anilerduran yapmak için :
Anilerduran makinesinin workgroup ismini CALISMAGRUBU yapmak için:
Active directory kurulumu için dcpromo komutunu buradada kullanırız.Dcpromo ile birlikte kullanacağımız switchler:
dcpromo /answer[:dosya adı] katılımsız kurulum(unattended install) için gerekli script dosyasını çalıştırmak için
dcpromo /adv Gelişmiş ayarlarla active directory kurulumu yapmak için
dcpromo/createdcaccount Bir tane RODC hesabı oluşturur.
Logoff: logoff işlemi için kullanılır.
Server Core üzerindeki page file boyutunu düzenlemek için:
wmic computersystem where name=”ANILERDURAN”(bilgisayar ismimiz) set AutomaticManagedPagefile=False
wmic pagefileset where name=”C:\\pagefile.sys” set InitialSize=500,MaximumSize=1000
Yüklü olan msi uygulamalarını görüntülemek için:
wmic ve product komutlarını kullanırız.
Yüklü olan driverların listesini almak için:
Sc query type= driver
Yüklü olan yama listesi için:
wmic qfe list
Static bir ip adresi vermek için:
wmic nicconfig where index=9 call enablestatic(”10.0.0.2″), (”255.255.255.0″)
Gateway adreslerini değiştirmek için:
wmic nicconfig where index=9 call setgateways(”10.0.0.4″, “10.0.0.5″),(1,2)
DHCP enable hale almak için:
wmic nicconfig where index=9 call enabledhcp
Harddisk sürücü hakkında bilgi almak için:
wmic logicaldisk where drivetype=3 get name vb…
Varolan işletim sistemi hakkında bilgi sahibi olmak istersek:
wmic os get bootdevice, buildnumber, caption, freespaceinpagingfiles, installdate, name, systemdrive, windowsdirectory /format:htable > c:\os-bilgi.txt
Bu komutla birlikte aşağıdaki resimde görüldüğü gibi istediğimiz bilgileri html table tipinde c dizinin altında os-bilgi.txt olarak kaydettik.Ve bu dizinden dosyayı çalıştırıp bilgilere ulaştık.
Process listesi:
Yukarıdaki mantıkla processleri görüntüleyebilir ve bunu çıktı halinde verebiliriz.Bunun için,
wmic process get /format:htable > c:\process.htm
Bazı arayüzlere ulaşmak için aşağıdaki komutları kullanırız:
Control datetime.cpl
Control intl.cpl
Server core üzerinde istediğimiz rolleri aktif hale getirmek için:
Start /w ocsetup rol_ismi
Rol isimlerinin listesini almak için oclist komutunu kullanırız.
Derlenmiş Alıntıdır!
Windows Server 2008 ile birlikte gelen tümleşik firewall’da önemli geliştirmeler yapılmış.Bunun en önemli belirtiside Microsoft’un güvenlik duvarına verdiği “Windows Firewall with Advanced Security” ismidir.Gerçekten gelişmiş birçok özelliğiyle sistem yöneticilerine oldukça kolaylık sağlıyor.
Yeni arayüz – Artık gelişmiş firewall özelliklerini kontrol edebilmemiz için MMC snap’in ni kullanabiliriz..
Bi-directional – Gelen trafiği olduğu kadar giden trafiğide filtreleyebiliriz.
IPSEC ile uyum – Artık güvenlik duvarında oluşturduğumuz kurallar ve IPSEC konfigurasyonumuz tek bir arayüzde içiçe çalışabiliyor.
Gelişmiş kural konfigurasyonu – ICMP,IPv6,TCP/UDP,ip adresleri,protokol numaraları,active directory hesapları ve grupları için kurallar yaratabiliriz.
Bu özelliklerle birlikte bilgisayarımızda kullandığımız diğer firewall uygulamaların yerini tutacağa benziyor.En beğendiğim özelliği ise MMC konsolunu kullanarak yönetimi gerçekleştirebilmemiz.
Bir önceki sürümden en büyük farkı ise tümleşik gelen kural sayısı.Windows Server 2003 firewall üzerinde varsayılan 3 kuralımız bulnuyordu.Windows Server Advanced firewall’da ise bu sayı 130′a kadar çıkmış durumda.90 kural inbound 40 kural outbound şeklinde.
http://www.microsoft.com/downloads/d...DisplayLang=en
adresinde içeriği gerçekten oldukça zengin olan server 2008 ile birlikte gelen componentler ve özelliklerinden bahseden posteri pdf formatında bilgisayarınıza indirebilirsiniz.
Microsoft yeni nesil sunucusu Windows Server 2008 için e-learning kurslarını başlatmış.Yeni özellikleri keşfetmek ve mimarinin derinine inmek için gerçekten yararlı dersler.Kısıtlı bir zaman için yayınlanan bu kurslara aşağıdaki adresten ulaşabilirsiniz:
http://www.microsoft.com/learning/wi...mspx#ELEARNING
Server CORE uzerinde IIS7 kullanimi
Technet’te belirtildiği üzere Windows Server 2008 Core edition’da artık IIS 7 kullanabiliyoruz.Bildiğimiz gibi core versiyonda herhangi bir arayüz yok ve komut istemiyle tüm konfigurasyonları yapmamız gerekli.
İsterseniz CORE üzerinde IIS7 kullanımı ile ilgili komutlardan bahsedelim.
Server Core üzerine IIS7 yüklemek için:
Bunun için pkgmgr.exe komut aracını kullanırız.Varsayılan bir kurulumda
tart /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel
komutu işimizi görücektir.
Full kurulum yapmak için ise
start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IIS-StaticContent;IIS-Default********; IIS-
komutunu kullanırız.
IIS7′yi kaldırmak için:
Yukarıdaki parametrelerde dikkat edersek iu kullandık.Uninstall işlemi içinde uu parametresini kullanabiliriz.
Start /w pkgmgr /uu:IIS-WebServerRole .. gibi
Server Core üzerine IIS7 kurulumu yaparsak hangi özelliklerden mahrum kalırız?
- · IIS-ASPNET
- · IIS-NetFxExtensibility
- · IIS-ManagementConsole
- · IIS-ManagementService
- · IIS-LegacySnapIn
- · IIS-FTPManagement
- · WAS-NetFxEnvironment
- · WAS-ConfigurationAPI
Start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IIS-StaticContent;IIS-Default********;
IIS-DirectoryBrowsing;IIS-HttpErrors;IIS-ApplicationDevelopment;IIS-ASP;IIS-ISAPIExtensions;IIS-HealthAndDiagnostics;
IIS-HttpLogging;IIS-LoggingLibraries;IIS-RequestMonitor;IIS-Security;IIS-RequestFiltering;IIS-HttpCompressionStatic;
IIS-WebServerManagementTools;WAS-WindowsActivationService;WAS-ProcessModel
komutunu kullanırız.
Core üzerinde hangi özelliklerin yüklendiğini nasıl kontrol ederiz?
Regeditte HKEY_LOCAL_MACHINE\Software\Microsoft\InetSTP\Comp onents anahtarının altında geçeriz.(regediti açmak için çalıştıra regedit.exe yazmamız yeterli)
0×00000001 değerine sahip DWORD anahtarında tüm yüklenen özellikleri görebiliriz.
Windows Server 2008 - Active Directory’deki degişikliler
Microsoft’tan Uday Hegde’nin belirttiğine göre Windows Server 2008 ile birlikte Active Directory üzerindeki birkaç değişiklik;
Güvenlik
# WS2008 ile birlikte Read Only Domain Controllers teknolojisi gelmiştir.(Bknz: RODC)
# Multiple password policies OUlar hariç kullanıcılara ve gruplara uygulanabilir hale getirilmiş.
Auditing
#Active Directory üzerinde geliştirilmiş auditing özellileri
Yönetilebilirlik
# Artık reboot işlemi gerekmeksizin dizin hizmetleri için yamaları uygulayabilir,offline defraglar gerçekleştirebiliriz.
# NTDSutil ile Active Directory üzerinde snapshot yaparak anlık kaydını alabilir ve dsamain.exe ile e restore edebiliriz.
# Protect object from accidential deletion checkboxunu kullanarak kaza ile OUlar’ın silinmesini
engelleyebiliriz.
Read-Only Domain Controller (RODC)
Windows server 2008 ile gelen diğer hoş bir özellikte Read-Only Domain Controller (RODC) ‘dır.Adındanda anlaşılacağı gibi bildiğimiz Domain Controller sunuculardan tek farkı read-only olmasıdır.
Microsoft’un böyle bir seçenek sunmasının sebebi, güvenliğini sağlayamadığımız uzak lokasyonlardaki DC’lere bir alternatif oluşturmasıdır.
Örneğin İzmir şubemize forest altında bir dc yapılandırması yapmak istiyoruz.Böylece kullanıcıların kaynak erişimi,authentication işlemleri locallerindeki DC üzerinden yapılabilecek ve performans artışı sağlanacaktır.
Fakat aynı zamanda kuracağımız bu DC üzerindeki fiziksel güvenlik , bizim kafamızı kurcalıyor.İşte bu durumda izmir lokasyonuna RODC kurulumu yaparak kafamızdaki sorunlardan kurtulabiliriz.Bu RODC aynen DC gibi çalışacaktır.Tek farkı ise üzerinde herhangi bir değişiklik yapılmasına izin vermemesidir.Yani Active Directory yapısı üzerinde bu RODC ‘yi kullanarak herhangi bir yazma işlemi gerçekleştiremeyiz.Ancak istanbul şubemizdeki DC üzerinde gerekli değişiklikleri yaparız ve bunun İzmirdeki RODC’ye replike olmasını bekleriz.
NAP (Network Access Protection)
Windows Longhorn ile gelen yeni bir diğer özellikte NAP(Network Access Protection).Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz.Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz.NAP temel anlamda bu mantıkla çalışıyor.Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.Burada dikkat etmemiz gereken bölüm,NAP’ın bizi dışarıdan gelicek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahipmi,updateleri en son güncel halindemi, gibi.Ama bu gereklilikleri sağlayan kötü amaçlı biride NAP’ı rahatlıkla geçip sisteme zarar verebilir.
Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar.Ardından eğer kabul edilirse networke dahil edilir.Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.
Peki biz dışarıdan bağlanan bir kullanıcıyı NAP kullanarak hangi durumlarda kontrol edebiliriz.
· Internet Protocol security (IPsec)-protected traffic:
IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.
İstemci bilgisayar için sağlık sertifikaları düzenlenebilir,böylece bu sertifikaya göre client’ın hangi networkde yer alması gerektiği belirlenir.Örneğin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler.IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.
IEEE 802.1X-authenticated network connections:
IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir.Örneğin bir access point.
Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.
Remote access VPN connections:
Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN server’a bir istek geldiğinde VPN server bunu NPS server’a ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.
Yalnız burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAP’ı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.
Vpn bağlantısı için uygulanan adımlar şu şekildedir.
-Client VPN server’a bağlantı gerçekleştirir.
-Client NAP health policy server’a kimlik doğrulama bilgilerini gönderir.
-Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir.
-Eğer kimlik bilgileri geçerliyse NAP health policy server , client’tan sağlık bilgilerini ister.
-Client bilgilerini gönderir.
-NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar.Eğer client ‘ın durumunu uygun bulursa bunu clientın kendisine ve vpn server’a iletir.Eğer uygun değilse gereklilikleri remediation server’a sonuç olarak iletir.
-Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama client’ın networkdeki yetkileri kısıtlanır.Client networkde sadece remediation server’a bilgi gönderebilir.
-Client güncelleştirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleştirmeler client üzerinde gerçekleştirilir.
-Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir.
-Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN server’a geçişe izin vermesini söyler.
-VPN server bağlantıyı tamamlar.
Dynamic Host Configuration Protocol (DHCP) address configurations:
Sanırım en çok kullanılacak modellerden biri olucaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP server’dan ip almak isteyecektir.İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa client’a ip ataması yapılıyor.Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.
Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar ip alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.
Server Core üzerine DNS servisinin kurulması hakkında
Server core ile birlikte grafiksel arayüze neredeyse tamamen veda ettik diyebiliriz.Önümüzdeki cmd komut istemi ekranlarıyla tüm işlemleri yerine getirmemiz gerekiyor.Kurlumla birlikte standart roller(dhcp,dns,print server vb.) server 2003 deki gibi kurulu olmadan gelmektedir.
Bu şekilde kurabileceğimiz tüm rollerin listesini görüntüleyebilmek için oclist komutunu kullanırız.
Yukarıdaki resimdede gördüğümüz gibi tüm servislerin listesi ve isimleri burada karşımıza çıktı.
start /w ocsetup DNS-Server-Core-Role
komutuyla dns kurulumunu başlatırız.Arka planda dns.exe çalışarak kurulumu gerçekleştirir.
Taskmgr komutunu kullanarak bildiğimiz görev yöneticisini açıp bunu kontrol edebiliriz.
Ardından dnscmd komutu ile birlikte dns ile ilgili ayarları yapabiliriz.Bu komutla beraber kullanabileceğimiz switchler ve ne işe yaradıkları hakkında kısaca bilgi vermek gerekirse;
dnscmd [serverismi] [komut] [komut parametresi]
şeklinde kullanılır.server ismi olarak ip adresi yada hostname girebiliriz.
Kullanabileceğimiz komutlar ise;
/info
Server hakkında bilgi alırız
/config
server yada zone konfigurasyonunu resetler
/enumzones
Zoneları sıralarız
/statistics
server istatistiklerini görüntüleriz.
/clearcache
dns server önbelleğini temizleriz
/startscavenging
server scavenging’i başlatırız.
/ipvalidate
Uzak dns serverları kontrol eder
/resetlistenaddresses
Dns isteklerini karşılamak için server ip adresleri tanımlanır.
/resetforwarders
Forwarders adresleri ayarlanır.
/zoneinfo
Zone bilgisi görüntülenir.
/zoneadd
Dns server üzerinde yeni bir zone oluşturulur.
/zonedelete
Dns server üzerinden bir zone silinir.
/zonepause
Zone’u durdurur.
/zoneresume
Zone’u yeniden başlatır.
/zonereload
Zone’u databesinden geri yükler.
/zonewriteback
Zone’u dosyaya yazar.
/zoneprint
Zonedaki tüm bilgileri gösterir.
/zoneresettype
Zone tipini değiştirir
/zoneresetsecondaries
Bir zone için ikincil bilgiyi resetler
/zoneresetscavengeservers
Bir zone için scavenging serverlarını resetler.
Longhorn Core üzerinde birkaç komut
Oclist.exe:
Server Core üzerine yüklenebilecek rollerin ve özelliklerin listesini verir.
Serverweroptin.exe:
Windows Error Reporting servisinin otomatik olarak windows tarafından oluşturulan hataları Microsoft’a iletmesi için kullanılır.Aşağıda kullanılan switchleri görebiliriz.
Systeminfo.exe:
Kullandığımız sistem hakkında detaylı bilgi verir.
netdom:
Domaine dahil olmayan bir bilgisayarın ismini anilerduran yapmak için aşağıdaki komutu uygularız.
netdom:
Anilerduran.com isimli domaine dahil olan bir bilgisayarın ismini anilerduran yapmak için :
Anilerduran makinesinin workgroup ismini CALISMAGRUBU yapmak için:
Active directory kurulumu için dcpromo komutunu buradada kullanırız.Dcpromo ile birlikte kullanacağımız switchler:
dcpromo /answer[:dosya adı] katılımsız kurulum(unattended install) için gerekli script dosyasını çalıştırmak için
dcpromo /adv Gelişmiş ayarlarla active directory kurulumu yapmak için
dcpromo/createdcaccount Bir tane RODC hesabı oluşturur.
Logoff: logoff işlemi için kullanılır.
Server Core üzerindeki page file boyutunu düzenlemek için:
wmic computersystem where name=”ANILERDURAN”(bilgisayar ismimiz) set AutomaticManagedPagefile=False
wmic pagefileset where name=”C:\\pagefile.sys” set InitialSize=500,MaximumSize=1000
Yüklü olan msi uygulamalarını görüntülemek için:
wmic ve product komutlarını kullanırız.
Yüklü olan driverların listesini almak için:
Sc query type= driver
Yüklü olan yama listesi için:
wmic qfe list
Static bir ip adresi vermek için:
wmic nicconfig where index=9 call enablestatic(”10.0.0.2″), (”255.255.255.0″)
Gateway adreslerini değiştirmek için:
wmic nicconfig where index=9 call setgateways(”10.0.0.4″, “10.0.0.5″),(1,2)
DHCP enable hale almak için:
wmic nicconfig where index=9 call enabledhcp
Harddisk sürücü hakkında bilgi almak için:
wmic logicaldisk where drivetype=3 get name vb…
Varolan işletim sistemi hakkında bilgi sahibi olmak istersek:
wmic os get bootdevice, buildnumber, caption, freespaceinpagingfiles, installdate, name, systemdrive, windowsdirectory /format:htable > c:\os-bilgi.txt
Bu komutla birlikte aşağıdaki resimde görüldüğü gibi istediğimiz bilgileri html table tipinde c dizinin altında os-bilgi.txt olarak kaydettik.Ve bu dizinden dosyayı çalıştırıp bilgilere ulaştık.
Process listesi:
Yukarıdaki mantıkla processleri görüntüleyebilir ve bunu çıktı halinde verebiliriz.Bunun için,
wmic process get /format:htable > c:\process.htm
Bazı arayüzlere ulaşmak için aşağıdaki komutları kullanırız:
Control datetime.cpl
Control intl.cpl
Server core üzerinde istediğimiz rolleri aktif hale getirmek için:
Start /w ocsetup rol_ismi
Rol isimlerinin listesini almak için oclist komutunu kullanırız.
Derlenmiş Alıntıdır!
