Çarşamba, Ocak 31, 2007

Masaüstünü ve Kullanıcıları Kontrol Altına Almak-3

Projeye önce dizüstü bilgisayarlardan başlamamız gerektiğini biliyorduk. Çünkü onlar sayıca çok fazlaydı, virüs kaynıyorlardı, yönetilemiyorlardı ve gerçekten de kötü durumdaydılar. Birer serseri mayın gibi ortalıkta dolaşan, sistemlerimize iyi veya kötü ne taşıdıklarını asla bilemediğimiz 1000 tane dizüstü bilgisayar... Düşüncesi bile uykularımı kaçırmaya yetip artıyordu.
PC'leri daha sonra halledebilirdik. Çünkü onlarla çalışmak daha zahmetli olacaktı. Oysa dizüstü bilgisayarlar görece daha standarttı ve şirketimizde yalnızca 4 farklı marka bilgisayar kullanılıyordu. Bu, daha az imaj hazırlamak demekti. Bu yüzden de çalışmaya onlarla başlamaya karar verdik.
Ancak daha önce yapılacak çok daha önemli bir iş vardı : Üst yönetimin ilgisini çekmek ve gerekli desteği arkamıza almak. Zaten kaos yaşayan BT yapımızı böyle tepki toplayacak bir proje ile tekrar ayağa kaldırmak cesaret isteyen bir işti. Cesaretimiz elbette vardı ama bu arada biraz destek hiç de fena olmazdı hani.
Önce, BT'den sorumlu Genel Müdür Yardımcısı ziyaret edildi ve kendisine proje anlatıldı. Gerekli ışığı alınca bu sefer de Genel Müdür'e yöneldik. Formal bir sunumun ardından kısıtlanmış bir bilgisayarı kullanımına sunup ne yapmak istediğimizi kendi gözleriyle görmesini sağladık. Bu empati ortamı bize ihtiyacımız olan desteği sağladı.
Artık rüzgarı arkamıza aldığımızı hissediyorduk. Kurum portalinde kendimize bir sayfa hazırlayıp projemizden ve kuruma getireceği faydalardan bahseden bir “propaganda” aracı oluşturduk. Ama elbette kullanıcılara makinalarında yakında ne gibi kısıtlamalar olacağından bahsetmedik. :)
Hangi markalardan bilgisayarlarla çalışacağımızı biliyorduk ama hangi tipte kullanıcılara sistem hazırlayacağımızı henüz bilemiyorduk. O nedenle de önce yakın bölge müdürlüklerine ziyaret düzenleyip bir profil çalışması yaptık. Oluşturduğumuz matris bize hangi kullanıcı tipinin hangi yazılımlara ihtiyaç duyacağını söyledi. Örneğin, yalnızca yönetmenlere MS Office verirken, satış personellerinin mevcut raporları incelemekten başka bir eylemde bulunmadığını, dolayısıyla yalnızca MS Office Reader yazılımlarının yeteceğini farkettik. Bu bize hayli miktarda MS Office lisans tasarrufu sağladı.
Ofise dönünce artık bir ihtiyaç belgesi ortaya koymanın zamanı gelmişti. Sistem yöneticileri olarak kullanıcıların bilgisayarlarında hangi özellikleri görmek istediğimizi, hangi yetkilerin olması, hangilerinin olmaması gerektiği konusundaki görüşlerimizi ve Microsoft'un işletim sistemi güvenliğine yönelik tavsiye dokümanlarını önümüze alıp karma bir belge oluşturduk. Sonra da bunu teknik dile çevirip bir çeşit şartname oluşturduk. Örnek vermek gerekirse ;

  • Bilgisayarlarımızda yalnızca tek bir disk bölmesi bulunur ve NTFS olarak formatlanır.
  • Her bilgisayarda BIOS şifresi bulunur.
  • Son kullanıcının kök dizinde klasör ve / veya dosya oluşturmasına, değiştirmesine ve yazmasına izin verilmez.Mevcut kök dizin ayarları düzenlenir. Everyone grubunun tüm yetkileri kaldırılır.
  • PC ve dizüstü bilgisayarlarımızda mutlaka Windows XP Firewall aktiftir.
  • Aksi gerekmedikçe C:\Program Files dizininde kullanıcılara yalnızca okuma hakkı verilir.
  • Bilgisayarlarımızda kullanıcılara yerel hesaplar açılmaz. Yalnızca etki alanı hesaplarıyla logon olmalarına izin verilir.
  • Hiç bir şartta kullanıcılara bilgisayarlarında yerel yönetici hakkı verilmez.
  • Dizüstü bilgisayarların mobil olmaları nedeniyle, cached credentials kullanımına izin verilir. Cached credentials ile tekrar ağa bağlanmadan önce 30 kere logon olunabilir.
  • Kullanıcıların belirli öğeler dışında Denetim Masası ayarlarını, ağ bağlantılarını ve genel işleyişi etkileyecek diğer ayarları değiştirmelerine izin verilmez.
  • C:\Program Files\X Uygulaması dizininde Firma\Domain Users grubuna zorunlu olarak yazma (RWX) yetkisi verilir.
  • Tüm bilgisayarlarımızda Microsoft SMS client yüklüdür.
  • C:\windows\temp dizininde Firma\Domain Users grubuna zorunlu olarak silme yetkisi verilir.
  • Tüm bilgisayarlarımızda aşağıdaki yazılımlar zorunlu olarak bulunur.
  • Windows XP Pro TR SP2
  • Internet Explorer 6.0
  • Acrobat Reader 7.0
  • Winzip 8.0
  • Lotus Notes 6.5.3
  • Microsoft Office 2003 Excel Reader
  • Microsoft Office 2003 Word Reader
  • Microsoft Office 2003 Powerpoint Reader
  • Microsoft .NET 2.0 Framework
  • ...
  • vs.vs.

Bu belgeyi hazırlamak ve teknik dile çevirmek aslında bir çeşit proje planı hazırlamak gibiydi. Ne de olsa, karar vermek ve başlamak bitirmenin yarısıydı. Bizim için yarısı olmasa bile yine de önemli bir aşamayı tamamlamıştık.
Yeri gelmişken söylemeliyim. Bu belge asla ilk hazırlandığı gibi kalmadı. Zaten kalmamalıydı da. Hala bu belge üzerinde ve tüm ayarlarımızda zaman zaman değişiklikler yapıyoruz. Bazen aklımıza yeni fikirler geliyor. Elbette kullanıcı istekleri ve sistemler de her gün değişiyor. Kontrol mekanizmamızı da bu değişen isteklere ve yeni tehditlere / fırsatlara :) uyarlamak işimizin en önemli parçalarından biri oldu.
Teknik şartnamenin sağladığı bir avantaj da, meraklı (işgüzar) kullanıcılara karşı elimizde resmi sayabileceğimiz bir belgenin oluşması oldu. Tüm fikirlerimizi kağıda dökmeden, soran herkese akıldan da sayabilirdik. Ama itiraz etmek için parmağını kaldıran biri olduğunda önüne bir belge koymak kanımca her zaman sözel iknadan daha etkili oluyor. En azından yaptığınız işlemin ciddiyetini göz önüne sermek açısından faydası olduğunu düşünüyorum.

Pazar, Ocak 28, 2007

70-296 Sınav Notları (7.Bölüm)

7.İsim Çözümleme Stratejisinin Planlanması


İsim Çözümleme için ön gereksinimler

Anlaşılabilir bilgisayar isimleri sadece insanlar içindir. Bilgisayarlar, uygulamalar ve routerlar aralarında IP adresleri ve diğer notasyon şekillerini kullanarak anlaşırlar. Bilgisayar dilindeki (!) adres tanımlarını insanların anlayacağı türlere çevirmek için WINS ve DNS gibi sistemler kullanılır.

DNS isimlendirmesindeki sınırlama ; üst veya alt etki alan adlarının en fazla 63 karakter, toplam FQDN ismin ise 255 karakterden uzun olamamasıdır.

Tüm ağ ortamındaki isim çözümlemesi işlemini tek bir DNS sunucusuyla halletmek mümkün olabilir. İç ağ ortamına kurulan bir DNS sunucusu istemcilerden gelen isteklere cevap verir ve cevabını bilemediği Iterative sorguları bir Internet DNS sunucusuna gönderir ve aldığı cevapları istemcilere teslim eder. (Şekil 1)

Bir NetBIOS ağı Windows 2003 ortamına terfi ettiriliyorsa muhtemelen NetBIOS çözümlemesi için bir WINS server kullanılıyordur. Aynı şekilde Windows 2003 ortamına istemcilerin NetBIOS isimlerinin çözümlenmesi için aynı WINS sunucusunun DNS sunucusu ile entegre çalışması yöntemi uygulanabilir.

İç ağ ortamınaki DNS alanlarının oluşturulması için aşağıdaki tavsiyeler göz önüne alınmalıdır :

- Kısa etki alanı adları seçin. Uzun adların toplamınan uzun FQDN’ler oluşur.

- Etki alanı hiyerarşisini kabul edilebilir sınırlar içinde tutun. Çok fazla derine inen hiyerarşiler yönetim zorlukları oluşturur.

- Bir strateji belirleyin ve hep onu uygulayın. Yapılanma politik hiyerarşiye veya coğrafi yerleşime göre olabilir. Ama aynı anda ikisini de birleştirerek uygulamak kötü sonuçlar verebilir.

- İsimleri kısa tutmak için anlaşılmaz kısaltmalar seçmeyin.

- Okunması zor isimlerden etki alanı adı oluşturmayın. Albeequeue.hdomain.com gibi

İç ve dış (Internet) etki alanlarının isimlendirmesini kombine etmek için aşağıdaki yöntemler kullanılabilir.



Her iki tarafa da aynı etki alanı adını vermek : Bu Microsoft tarafından tavsiye edilen bir yöntem değildir. Zira iç ağdaki bir host, yanlışlıkla Internette bulunan benzer bir sistemle karışabilir ve bu durum isim çözümlemesi sorunlarına yol açabilir.



Farklı etki alanı adları kullanmak : Bu daha az karışık bir yöntemdir. Ancak farklı iki isim altında iki etki alanının yönetilmesi gibi daha fazla yönetimsel çaba gerektiren bir yoldur.



Bir alt etki alanı (subdomain) kullanmak : Bu Microsoft tarafından tavsiye edilen yöntemdir. Kurumu Internette contoso.com etki alanıyla temsil ederken ve hostları bu alana yerleştirirken, aynı zamanda iç sistemler için de local.contoso.com alt alanı kullanılabilir, iç ve dış sistemler birbirinden böylece ayrılabilir.



Hostlar için uygulanacak isim stratejileri ve öneriler :



Kolayca hatırlanabilecek isimler seçin.
Organizasyon içinde aynı ismi bir kereden fazla kullanmayın.
DNS tarafından desteklenen karakterleri isimlerde kullanın. a-z, 0-9, -


Pentium III 700 Mhz işlemcisi olan bir W2K3 DNS sunucusu saniyede 10,000 isim sorgusuna cevap verebilir. Bu nedenle sistemde birden fazla DNS sunucusunun istenme nedeni olarak yoğun istemci trafiğinden daha geçerli nedenlere sahip olmak gerekir.



Yedeklemeyi sağlamak. Sunucunun devre dışı kalması halinde isim çözümlemesinin kesintiye uğramasını engellemek için 2.sunucu kurulabilir.
Performans artışı : Dağıtılmış yük performans arttırabilir.
Yük dağıtımı : Farklı subnetlere dağıtılmış DNS sunucuları çözümlemeyi daha da kolaylaştırabilir.
WAN trafiğinin azaltılması.
Yetkilerin dağıtılması : Farklı noktalardaki sistem yöneticilerine kendi sorumlu oldukları alt etki alanlarının isim yönetimini verebilmek için bu noktalara DNS sunucuları kurulabilir.


DNS sunucularını kurumun ihtiyaçlarına uygun olarak farklı şekillerde kurmak mümkündür :



Caching-only Servers

Bir DNS sunucusu için mutlaka yönettiği DNS alanının yetkili sunucusu olması gerekli değildir. Kurulduğu andan itibaren bir W2K3 DNS sunucusu kök Internet sunucularının (Root Hints) bilgilerini bulundurduğu için Internet isim çözümlemesi yapabilecek durumdadır. Üzerinde herhangi bir etki alanına ait alan bilgileri ve kayıtları olmayan sunuculara Caching-only servers denir. Bu sunucular Internet isim çözümlemesi yapmak için kullanılabilirler.

Aynı şekilde bir AD etki alanının caching only sunucusu olarak da kullanılabilir. Geçen isim sorgularını etki alanının gerçek DNS sunucusuna yönlendirerek bu görevi yerine getirebilir.

Caching-only sunucu ilk kurulduğunda belleğinde kayıt barındırmaz. Buradaki kayıtlar, kendisine yönlendirilmiş istemciler sorguda bulundukça oluşur ve birikir. Dönemsel olarak geçerliliğini yitirmiş kayıtlar silinir.

Alan transferi yapmadan WAN üzerindeki DNS trafiğini azaltmanın tek yolu WAN’ ın diğer uçlarında caching-only sunucu kullanmaktır ve etkili bir yöntemdir.



Forwarder

Forwarder, kendisine doğrudan DNS sorguları yönlendirilmiş sunuculara verilen addır. Mevcut DNS sunucusunun cevaplayamayacağı sorguları iletmesi ve cevap alması için bu yöntem kullanılabilir. Birden fazla forwarder kullanmak da mümkündür.

Forwarder ile DNS sorgularının yaratacağı trafiği kontrol altına almak ve yönlendirmek mümkündür. Örnekte, yavaş Internet bağlantısı olan şubenin DNS sorgularının daha hızlı çıkışı olan Genel Müdürlüğe yönlendirilmesi ve sorgu sonucunu alan bölgedeki istemcinin kendi Internet çıkışını kullanması gibi.






Başka bir örnekte ise güvenlik duvarlarından dışarı çıkışına izin verilen sunucu ve istemci sayısını kontrol altına almak için forwarder kullanılabilir. Böylece tek bir forwarder Internette sorgulama yapacak ve cevaplarını geri döndürecektir.



Forwarderları zincirleme olarak kullanmak da mümkündür.



Şartlı Yönlendirme (Conditional Forwarding)

Windows 2003 Server ile gelen yeni özelliklerden biri de DNS sunucularındaki şartlı yönlendirmedir. Bu sayede forwarder tanımlarken farklı etki alanları için farklı forwarder sunucuları tanımlamak mümkündür. Örneğin, contoso.com etki alanından sorgu yapmak için doğrudan bu alanın DNS sunucusunu forwarder olarak kullanabilir, fabrikam.com etki alanı için de sadece bu alana ait forwarder kullanılabilir. Bu sayede tüm sorgular için temel sorgu davranışı olan uzun yoldan isim çözümleme yerine doğrudan cevabı iletecek kaynağa yöneltilmek mümkün olabilir.



Alan Yaratmak

Bir alan (zone) isim uzayının belirli bir parçasını temsil eden ve DNS sunucusu üzerinde yaratılan bir kontrol ünitesidir. DNS isimuzayı sistem yöneticileri tarafından farklı sunucularda saklanması veya farklı kişiler tarafından yönetilebilmesi için alanlara bölünür. Bir alan mutlaka tam bir etki alanı ve/veya alt etki alanını içerir. Örneğin bir ana etki alanı (parent domain) ve alt etki alanı (child domain) bir alanda bulunabilir, ancak ana etki alanları olmaksızın farklı iki alt etki alanı bir alanda bulunamaz.






Etki alanının birden çok alana bölmek ve aynı DNS sunucusu üzerinde yönetmek mümkündür ancak çoğu zaman buna gerek duyulmaz. Windows 2003 DNS sunucusu 3 farklı tipte alanı destekler :



Temel Alan (Primary Zone) : Temel alan, alan veritabanının gerçek dosyasını saklar. Sistem yöneticileri değişiklik ve silme, yazma işlemlerini burada yaparlar. Eğer alan, AD’ye entegre değilse diğer bir çok DNS sistemi ile uyumlu olan bir metin (text) dosyası içinde kayıtları tutar.



İkincil Alan (Secondary Zone) : Temel Alanın bir kopyasıdır. Bu alandaki kayıtların üzerinde değişiklik yapılamaz, ancak temel alanda yapılan değişiklikler zone transfer adı verilen bir işlemle ikincil alana aktarılarak kayıtlar güncellenebilir. Her DNS ortamında bir ikincil alan bulunması tavsiye edilmektedir.



Stub Zone : Alandaki yetkili sunucuları belirlemek için gerekli Host (A) kayıtları ve alanda bulunan tüm Start of Authority (SOA) ve Name Server (NS) kayıtlarını içeren bir kopya alandır.



Bir Windows 2003 DNS sunucusur hem birincil hem de ikincil alanları barındırabilir ve hizmet verebilir. Sırf ikincil alanları bulundursun diye sunucu kurmak gereksizdir. İkincil alanlar ağdaki DNS sunucularına dağıtılarak hata toleransı ve ağ trafiğinin düzenlenmesine yardımcı olabilirler.



Windows 2003 DNS alanları standart kurulumda değişiklik yapılmadıkça metin dosyaları olarak tutulurlar. Ancak DNS alanlarını Active Directory ile entegre etmek mümkündür. Bu düzenleme ile DNS alanlarının güvenliği, alan transferlerinin (zone tranfers) otomatik yapılması gibi faydalar sağlanır.



Active Directory replikasyon sırasında sadece son dağıtımdan bu yana değişmiş kayıtları replike ettiği için ağın bant genişliğinin de verimli kullanıldığını söylemek mümkündür.



Active Directory ortamlarında replikasyon otomatik gerçekleştiği için ikincil alanların oluşturulması şart değildir. Ayrıca AD-Entegre ikincil alanlar oluşturulmasına AD izin vermemektedir. Ancak mutlaka ikincil alan oluşturulması isteniyorsa metin tabanlı ikincil alan dosyası oluşturmak ve bunu bağımsız bir sunucuda tutmak mümkündür.



DNS sunucuları için gerekli güvenlik ayarlarının yapılmaması halinde iç sistemler hakkında bilgi toplanması ve içeri sızılmasına yardımcı olması mümkün olabilir. Bu nedenle alınacak bazı önlemler bulunmaktadır. Bunların arasında en katı olanı iç ağda bir kök DNS sunucu oluşturmak ve Internet’le bağlantısını kesmek, DNS trafiğini şifrelemek ve DNS sunucularına yönetici erişimini kontrol altına almak olabilir. Ancak bu yöntemle Internet erişiminin ve Internet hostlarının isim çözümlemesinin de önüne engeller konulduğundan ortaya başka sıkıntılar çıkabilir.



Etki alanları Internet’e kayıt edildiği takdirde DNS sunucularının da Internet’ten ulaşılabilir durumda olması kaçınılmazdır. Bu durumda sunucuların teorik olarak saldırılara açık olduğu söylenebilir. Saldırı durumunda sunucuların bloke olması ve isim çözümlemenin durması ihtimaline karşın, birden çok DNS sunucusu kurmak ve arızalanın yerine kullanıcıları otomatik olarak diğerine yönlendirmek tercih edilebilir.



Diğer bir yöntem olarak iç ağ ile dış ağa bakan DNS sunucuları birbirinden ayrılabilir. Dış DNS sunucusu iç sunucunun forwarder’ı olarak tanımlanır. Böylece hiçbir Internet sistemi iç ağdaki DNS sunucusu ile doğrudan konuşamayacaktır. Split-Brain olarak tanımlanabilecek bu yöntem de bir güvenlik önlemi olarak kullanılabilir.






Başka bir yöntem de DNS sunucusunun birden fazla IP adresi olması halinde hangi adresten gelen çözümleme isteklerine cevap vereceğine izin vermektir. Internet ve iç ağa aynı anda bağlı bir DNS sunucusunda sadece iç ağdan gelen çözümleme taleplerine cevap verecek şekilde ayarlama yapılabilir.



Yapılabilecek en etkili sızma çalışmalarından biri de DNS sunucuları arasındaki alan transferi trafiğini izlemek olacaktır. Bunu engellemenin en kolay yolu DNS alanlarını Active Directory-Entegre hale getirmek olacaktır. AD DCleri arasında transfer öncesi karşılıklı kimlik doğrulamaları yapıldığından ve trafik şifrelendiği için, impersonation ve spoofing gibi saldırı teknikleri etkisiz kalacaktır.



Diğer bir korunma yolu da alan transferine katılacak sunucuların IP adreslerini elle belirlemek ve diğer sistemleri dışarıda bırakmak olacaktır. Böylece, bir saldırganın kendi DNS sunucusunu kurmasını, ikincil alan oluşturmasını ve alan transferi talep ederek alan bilgilerini ele geçirmesini engellemek mümkündür.



70-296 Sınav Notları (6.Bölüm)

6.Kullanıcı Ortamını Group Policy ile Yönetmek

Windows Server 2003 kullanıcı profillerini ve özellikle Belgelerim klasörlerini Group Policy ile ağ üzerinde istenilen bir noktaya yönlendirmelerini ve Offline Folders seçeneği ile de ağ ortamında tutulan dosya ve klasörlerin çevrimdışı kopyalarını bilgisayarlarında saklamalarını sağlar.

Klasör Yönlendirme (Folder Redirection)

Kullanıcı profilinin saklandığı varsayılan alan %systemdrive%\Documents and Settings\Kullanıcı_Adı klasörüdür. Eğer bilgisayar NT4.0 veya Windows 98 / ME’den terfi ettirilmişse bu klasör %systemroot%\Profiles\Kullanıcı_Adı’dır.

Windows 2003 aşağıdaki klasörlerin yönlendirilmesine izin verir :

- Application Data

- Desktop

- My Documents

- My Pictures

- Start Menu

Klasör yönlendirmenin bir çok avantajı vardır.

- Değerli Kullanıcı bilgilerinin ağ üzerindeki kaynaklarda tutulması imkanıyla birlikte dağıtık kullanıcı bilgilerinin merkezi olarak merkezi olarak yedeklenebilmesini sağlar.

- Kullanıcı farklı bilgisayarlardan logon olsa bile verilerine daima ulaşabilir.

- Offline file tekonolojisi kullanıcının bilgilerinin bir kopyasını kendi bilgisayarında tutabilmesini ve ağ kaynaklarına erişemediği durumlarda dosyalarını kullanabilmesini sağlar.

- Sistem yöneticileri kota uygulaması ile ortak alanlardaki klasörlerde kullanıcıların kullanımlarını kontrol edebilirler.

Belgelerim klasörünün Home Folder’a yönlendirilmesi yeteneği Windows XP Pro.da olan bir özelliktir ve XP Home Edition, Windows 2000 veya NT 4.0’da çalışmamaktadır.

Belgelerim klasörü Home Folder’a yönlendirildiğinde Windows XP aşağıdaki durumların gerçekleştiğini varsayar :

Güvenlik – Yönlendirme yapıldığında Home Folder’a aktarılan klasörlerde güvenlik kontrolü yapılmaz ve yetkilerde değişiklik olmaz.

Sahiplik (Ownership) – Belgelerim yönlendirildiğinde sahiplik kontrolü yapılmaz. Eğer kullanıcı yönlendirilen klasörün sahibi değilse yönlendirme başarısız olur.

EFS (Encryption File System) ile şifrelenmiş klasörlerin yönlendirilmesi halinde kullanıcılar bu klasörleri okuyamazlar. Ancak sistem yöneticisi bu klasörlerin şifresini açabilir ve okunabilir hale getirebilir.

Klasör yönlendirme 4 farklı şekilde olabilir :

- Kök dizin alında her kullanıcı adına otomatik dizin oluşturulması

- İstenen klasöre yönlendirme. \\sunucuadı\paylaşım

- Yerel Kullanıcı profili klasörüne yönlendirme

- Kullanıcının home folder’ına yönlendirme. My Documents klasörü için

Klasör yönlendirme ile ilgili hata mesajları Event Viewer \ Applicatin altında izlenebilir.

Klasör yönlendirmeyi sağlayan GPO’nun uygulamadan kaldırılması halinde klasörlerin mevcut yerinde mi kalacağı yoksa eski yerine geri mi kopyalanacağı ayrıca ayarların içinde bulunmaktadır.

Klasör Yönlendirme ve Çevrimdışı Dosyalar (Offline Files)

Klasör yönlendirme ağ ortamında dosyaları tutulmasını sağlayan yararlı bir özelliktir ancak ağda sorun olması halinde kullanıcıların dosyalara erişiminde sorunlar oluşacaktır. Çevrimdışı dosyalar özelliği kullanıcıların ağda sorun olması halinde dosyaların disklerindeki kopyalarını kullanmalarını sağlayan faydalı bir özelliktir.

Eğer dosyanın çevrimdışı kopyası silinirse ancak bu arada başka birisi ağ üzerindeki kopyada değişiklik yaparsa, çevrimiçi olunduğunda ağdaki dosya silinmez.

Eğer dosyanın çevrimdışı kopyasında değişiklik yapılmış ancak bu arada ağ üzerindeki kopyası başkası tarafından silinmişse dosyanın bir kopyası saklanabilir veya bilgisayardaki kopyasının silinmesine izin verilebilir.

Eğer ağ ortamından çıkıldığında ağdaki klasöre yeni dosya eklenirse bilgisayar çevrimiçi hale geldiğinde dosyanın bir kopyası bilgisayardaki çevrimdışı kopyaya da eklenir.

Çevrimdışı Dosyalar için Windows 2003 server üzerinde üç farklı ayar bulunmaktadır.

- Sadece kullanıcının kullandığı dosya ve programlar çevrimdışı saklansın.

- Bütün kullanıcıların paylaşımdan açtıkları tüm dosyalar otomatik olarak çevrimdışı saklansın.

- Dosyalar veya programlar çevrimdışı saklanmasın.

Sunucuda ayarlar tamamlandıktan sonra PC’de de benzer ayarların yapılması gereklidir. Windows 2000, XP ve 2003 bu özelliği kullanabilirler.

Önemli : Bir sunucuda Remote Desktop özelliği aktif ise Çevrimdışı dosyalar özelliği kullanılamaz.

Çevrimdışı dosyaların şifrelenmesi özelliği bir Group Policy nesnesi ile kısıtlanmışsa veya çalışılan disk NTFS değilse veya şifreleme özelliğini desteklemiyorsa aktif olmaz.

Ağ üzerindeki farklı bilgisayarlarla olan çevrimdışı ilişkiler her makinaya göre ayrı ayrı düzenlenebilir.

Çevrimdışı dosyaların eşitlenmesi işlemi grafik ara yüz dışında komut satırından mobsync komutu ile de başlatılabilir.

En iyi uygulamalar (Best Practices)

- Bırakın klasörleri sistem kendisi oluştursun. Yetkileri siz vermeye çalışırsanız mutlaka bazılarını atlarsınız.

- Yol (path) belirtirken daima FQDN kullanın.

- Çoğunlukla varsayılan ayarlar en iyi ayarlardır.

- My Pictures klasörünü My Documents içine yerleştirin.

- Çevrimdışı Dosyalar seçeneğini aktif hale getirin.

Group Policy ile Yazılım Kurulumu

GP ile yazılım kurulumu Microsoft IntelliMirror’ un Group Policy ile ortaklaşa çalışan bir özelliğidir.

GP ile uzaktan yazılım yükleme özelliği aşağıdaki amaçlar için kullanılabilir :

- Kullanıcıların hangi bilgisayarda çalışırlarsa çalışsınlar işlerini yaparken ihtiyaçları olan tüm yazılımları kullanabilmeleri için.

- Bilgisayarlara gereken yazılımların teknik personelin müdahalesi olmadan yüklenebilmesi için.

- Kurumun ihtiyaçlarına göre uygulamaların yüklenmesi, güncellenmesi ya da kaldırılabilmesi için.

GP ile uzaktan yazılım yükleme özelliği Windows 2000’den başlayarak daha ileri tüm işletim sistemlerinde kullanılabilen bir özelliktir.

Yazılım yükleme iki şekilde yapılabilir. Atama (Assign) veya Yayınlama (Publish). Atama ile uygulanan yazılım yükleme işlemleri zorunludur ve kullanıcı müdahale edemez. Yayınlama ile sistem yöneticileri bazı yazılımları yüklenebilir olarak yayınlarlar ve kullanıcılar istedikleri yazılımları seçerek bilgisayarlarına yükleyebilirler. Her iki işlem de kullanıcıya veya bilgisayara yapılabilir.

Yüklenecek yazılımlar ağdaki sunucularda bulunan paylaşımlarda tutulabilir. Bu paylaşımlara Yazılım yükleme noktası (Software Distribution Point) SDP adı verilir.

Atanan Yazılım yüklemesi kullanıcıya bağlanmışsa, kullanıcı logon olduğunda Start menüsünde kendine kısayollarını oluşturur. Kullanıcı bu kısayolu ilk kliklediğinde kurulumu yapar.

Atanan Yazılım yüklemesi bilgisayara bağlanmışsa, sistem açıldığında CTRL+ALT+DEL seçeneği gelmeden önce yazılım kendisini bilgisayara kurar.

Yazılım yayınlanmışsa kendisini bir nesne olarak AD içinde tutar. Kullanıcı yayınlanmış yazılımları Denetim Masası \ Program Kur / Kaldır içinden görebilir ve yükleyebilir.

Yazılım yüklemelerinin birden çok bilgisayarda aynı anda yapılması isteniyorsa SDP ile istemciler arasında hızlı bir ağ bağlantısı bulunması tavsiye edilir.

Windows 2000’den daha düşük istemciler bulunuyorsa uzaktan yazılım yüklemesi GP ile yapılamaz. SMS kullanılması tavsiye edilir.

Yazılım yüklemeleri sırasında işlemleri hızlandırmak için aşağıdaki stratejiler kullanılabilir :

- OU’ ları yazılım ihtiyaçlarına göre oluşturma metodu : Aynı yazılımı kullanacak kullanıcı veya bilgisayarları organize etmek için kullanılabilir.

- Yazılım dağıtım nesnesini AD yapısı içinde en yukarılarda oluşturmak : Böylece en fazla sayıda kullanıcının GPO’dan etkilenmesi sağlanır. Farklı OU’larda farklı GPO’lar ile yazılım yüklemesini yönetmekten kurtulabilirsiniz.

- Birden fazla yazılımı tek bir GPO ile yüklemek : Birim zamanda daha fazla yazılım yüklenmesini sağlar. 10 tane yazılımı 10 ayrı GPO ile yüklemek, tek bir GPO ile yüklemekten çok daha uzun sürecektir.

SDP oluşturmak için uygun bir sunucuda paylaşım oluşturulur. \\sunucu\paylaşım. Yazılım yükleme paketleri bu alana kopyalanır. Eğer yazılım bilgisayarlara atanmışsa paylaşıma üzerindeki erişim yetkisi listesine mutlaka atanan bilgisayarlar da eklenir. Daha iyisi Domain Computers grubunu eklemektir. Read yetkisi yeterli olacaktır.

WAN üzerinde yazılım yüklemesi yapılıyorsa kullanıcıları kendilerine en yakın SDP’ye yönlendirmek için DFS kullanılması gerekir.

Bazı özel durumlarda GPO ile yüklenen yazılımların kaldırılmasında sorunlar yaşanabilir. Bu durumda MSICUU.EXE (Windows Installer Cleanup Utility) veya MSIZAP.EXE (Windows Installer Zapper) yardımcı programları kullanılarak hatalı kurulum kaldırılabilir.

DİKKAT : GPO’da yazılım ataması yaparken işlem GPO’nun Computer Configuration bölümünde yapılıyorsa yazılım yayınlama (Publishing) seçeneği yer almaz. Çünkü Yayınlama işlemi sadece kullanıcılara yapılabilir. Kullanıcılara ilişkin GPO ayarları ise User Configuration’da bulunmaktadır.

GPO ile Yüklenmiş paketleri yeniden yüklemek

Daha önceden yüklenmiş bir paketi yeniden yüklemek için ilgili GPO nesnesi açılır ve Redeploy Package seçeneği işaretlenir. Böylece yazılım üzerindeki küçük veya toplu değişiklikler kullanıcılara ve bilgisayarlarına aktarılabilir.

GPO ile Yüklenmiş Paket ve yazılımları güncellemek

Hazırlanan güncelleme paketi gerçek yükleme paketinin Upgrade sekmesinden eklenerek yüklenebilir. Update sekmesi geleneksel yazılımların paketlenmesi sonucunda oluşturulan .ZAP paketlerinde bulunmaz. Sadece .MSI paketlerinde bulunur.

GPO ile Yüklenmiş Paket ve yazılımları kaldırmak

Yazılımlar GPO ile yüklendikleri takdirde yazılımı kaldırmadan önce GPO silinirse yazılımın otomatik kaldırılması mümkün olmayacaktır. Bu nedenle yüklenen yazılımları kaldırmak için aşağıdaki metot uygulanmalıdır.

- uygulanacak yazılım kaldırma metoduna karar vermek

- Yazılım kaldırma aracının görevini tamamlamasına izin vermek

- GPO’ yu silmek.

Yazılım iki şekilde sistemden kaldırılabilir. Zorlayarak kaldırma (Forced Removal) ve Seçmeli Kaldırma (Optional Removal). Zorlayarak Kaldırmada yazılım anında sistemden silinir, seçmeli kaldırmada ise kullanıcı yazılımı kullanmaya devam eder ancak yeni sürüm ve güncellemelerin yüklenmesi engellenir.

- Bilgisayarlara atanmış yazılımlar bir sonraki açılışta sistemden kaldırılır.

- Kullanıcıya atanmış veya yayınlanmış yazılımlar bir sonraki logon sırasında sistemden kaldırılır.

Seçmeli Kaldırma ile GPO’dan silinmiş bir paket daha sonra GPO ile tamamen kaldırılmak isteniyorsa önce aynı paket yeniden GPO ile kurulmalı ve daha sonra Zorlayarak Kaldırma uygulanmalıdır.

GPO ile yüklenen yazılımlardaki sorunların giderilmesi

Windows 2003, Group Policy sorunlarının analiz edilmesi için bazı araçlar sunmaktadır.

- Resultant Set of Group Policy - Gpresult.exe

- Gpupdate.exe - Event Viewer

- Log Dosyaları

Yüklenmiş yazılımları ilişkin detaylı bilgiler CPO Console, Computer Configuration veya User Configuration’dan yüklenen yazılım üzerinde sağ kliklenerek görülebilir. Deployment \ Advanced.

Terminal Services istemcileri GPO ile yazılım yükleme özelliğinden faydalanamazlar.

Yazılım Kısıtlama Kurallarının Uygulanması

Yazılım kısıtlamaları sistem yöneticileri tarafından son kullanıcının kuralın uygulandığı bilgisayarda kullanmaya yetkisi olan yazılımları düzenler ve diğer yazılımların kullanılmasını engeller.

Eğer kısıtlama kuralı, kısıtlamasız (unrestricted) olarak ayarlanmışsa o bilgisayar üzerinde çalışan yazılımlar varsayılan kural olarak engellenmemiştir ve sistem yöneticileri engellenmesi istenen yazılımları GPO’ya kayıt ederek bir kural seti oluşturabilirler.

Kural, engellenmiş (disallowed) olarak ayarlanmışsa sistem yöneticileri sistem üzerinde çalıştırılmasına izin verilecek yazılımları GPO içine kayıt ederek kural seti oluşturabilirler.

Varsayılan GPO ayarı Kısıtlamasızdır.

GPO ayarı Disallowed olarak ayarlandığında otomatik olarak aşağıdaki 4 kayıt anahtarı oluşturulur. Bu kayıtlar ile kısıtlanmış bilgisayarlarda yanlışlıkla sistemin çalışması için gerekli sistem dosyalarının da kilitlenmesi engellenir.

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \SystemRoot%

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \SystemRoot%\*.exe

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \SystemRoot%\System32\*.exe

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ProgramFilesDir%

- Eğer bir bilgisayar login script ile bazı programları çalıştıracaksa bu programlar için bir istisna kayıt anahtarı oluşturulmalıdır.

- Bilgisayar başlatılırken çalışan programlar HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run altında listelenmiştir. Bu yazılımlar için de istisna oluşturmak gerekebilir.

- Bazı yazılımlar diğer başka programları başlatabilir. Örneğin ; Microsoft Word, Microsoft Clip Organizer’ ı başlatır.

Bir yazılım aşağıdaki yöntemlerle GPO içinde tanımlanabilir :

Hash : Bir program veya dosyayı tanımlamaya yarayan sabit değerdeki bir rakam serisi. MD-5 veya SHA-1 gibi algoritmalarla hesaplanır. Yazılım farklı yol (path) altına kaydırılsa bile Hash değeri değişmediği için daima GPO tarafından tanınacak ve engellenilecek veya izin verilecektir.

Sertifika : Karşılıklı doküman değiş tokuş etmeye yarayan güvenilir bir doküman.

Yol (Path) : Dosyanın disk üzerindeki yerini belirten yol. Burada bazı çevre değişkenlerini kullanmak mümkündür. %Appdata%,%UserProfile%,%ProgramFiles%

Internet Zone : Internet Explorer içinden belirlenen bir alt bölge.

Aynı anda birden fazla kural olması halinde aşağıdaki öncelik sırasıyla uygulanır :

1) Hash

2) Sertifika

3) Yol

4) Internet Zone

GPO oluşturulurken belirtilen dosya türleri GPO içindeki tüm kurallar için geçerlidir. Ancak Computer configuration veya User Configuration için ayrı ayrı dosya türleri listesi oluşturulabilir.

Bilgisayar güvenilir kipte (Safe Mode) açıldığında Yazılım Kısıtlamaları geçerli değildir.

Sistem Disallowed olarak ayarlandığında tüm yazılımlar kısıtlanmıştır. Çalıştırılması istenen yazılımların hepsi için kuralların ayrı ayrı oluşturulması gereklidir.

70-296 Sınav Notları (5.Bölüm)

5.Group Policy’ i yönetmek

GP nesneleri SYSVOL dizini içinde alt dizinlerde saklanmaktadır.

Group Policy Management Console, GP yönetimi için faydalı araçlardan biridir.

Grop Policy, sadece Site, Domain veya OU ya uygulanabilir.

Local GPO, %systemeroot%\system32\GroupPolicy dizininde bulunmaktadır.

Active Directory kurulduğunda, Default Domain Policy ve Default Domain Controller Policy adında iki GPO yaratılır.

GPO lar, sadece DC lerde aşağıdaki dizinlerde saklanır :

%systemroot%\ sysvol \ domainname \ policies \ GPO GUID \ Adm

GPO ayarları her 90 dakikada bir sistem tarafından kontrol edilir ve yenilenir.

Scripts bölümü, sistem betiklerinin yazılmasına imkan tanımaktadır. Kullanıcılar için Logon ve Logoff, bilgisayarlar için ise statup ve shutdown betikleri yazılabilir ve işletilebilir. Birden fazla betiğin ard arda yazıldığı hallerde ise, sırayla işletilmektedirler.

Group Policy’ nin uygulanma prosedürü

  1. Remote Procedure Call System Service (RPCSS) ve Multiple Universal Naming Convention Provider Service (MUP) servisleri başlatılır. Network başlar.
  2. GPO’ ların sırası ve listesi elde edilir.
  3. Computer Configuration GPO çalıştırılır. Local GPO > Site GPO > Domain GPO > OU GPO olarak sırasıyla ve senkron olarak uygulanır.
  4. Startup scriptleri çalıştırılır.
  5. Kullanıcı CTRL+ALT+DEL’ e basarak logon olur.
  6. Kullanıcı profili yüklenir.
  7. User Configuration GPO çalıştırılır. Local GPO > Site GPO > Domain GPO > OU GPO olarak sırasıyla ve senkron olarak uygulanır.
  8. Logon scriptleri çalıştırılır.

GPO sıralaması

  1. Önce local GPO uygulanır. Her W2K, XP veya W2K3 sistemde bir local GPO vardır.
  2. Site GPO uygulanır. Site GPO bilgisi forest root DC lerinde saklanmaktadır. Site seviyesinde GPO oluşturarak birden fazla etki alanının aynı GPO tarafından yönetilmesi sağlanabilir. Ancak Site seviesinde GPO kullanılacaksa, forest root DC leri mutlaka site tarafından erişilebilir olmalıdır. Ya da siteye bir forest root DC yerleştirilmelidir.
  3. Etki alanı GPO uygulanır.
  4. Son olarak OU GPO uygulanır.

Parent Domain ile Child Domain arasında GPO Inheritance yoktur. Olmaz ! ! !

Inheritance aşağıdaki yollarla engellenebilir :

No Override : Eğer birden çok GPO No Override ile işaretlenirse AD hiyerarşisi içinde en üstteki uygulanır.

Block Policy Inheritance : Bir Site, domain ya da OU Block Policy Inheritance ile işaretlenebilir.

Loopback

Normalde bir kullanıcı hesabının User GPO’dan etkilenmesinin tek bağlı olduğu etken Active Directory içinde kullanıcı hesabının yerleştirildiği yerle olan ilişkisidir. Ancak, öyle durumlar olur ki, kullanıcının User Configuration GPO yerine, Computer Configation GPO’ dan etkilenmesi gereken haller oluşur. Bu durumda Loopback özelliği kullanılacaktır.

User Group Policy Loopback Processing Mode aşağıdaki alandan ayarlanır :

Computer Configuration \ Administrative Templates \ System \ Group Policy

Filtering

Normal olarak GPO lar, sadwece Site, domain veya OU’ lara uygulanabilir. Ancak W2K3 ile gelen bir özellikle sadece bazı kullanıcılar veya Security Grouplara GPO uygulanabilmektedir.

GPO uygulanabilir olmak, GPO üzerinde Allow Read ve Allow Apply Group Policy yetkilerinin olması demektir.

70-296 Sınav Notları (4.Bölüm)

4.Kullanıcıları, Grupları ve Bilgisayarları yönetmek

W2K Native ve Windows 2003 modları, group nesting’ i (ör: global > global ) desteklemektedir ancak W2K Mixed ve W2K3 Interim modlar desteklemezler.

Universal grup yaratmak için domain mode mutlaka W2K Native veya W2K3 mod olmalıdır.

Gruplar başka grup türlerine eğer diğer kendi türdeşi gruplarla nesting ilişkileri yoksa çevrilebilirler.

W2K3 grupları

Incoming Forest Trust Builders : Bu grup üyeleri başka forestlara güven ilişkileri açabilirler. Varsayılan değer olarak eklenmiş kullanıcı yoktur.

Network Configuration Operators : Bu grup üyeleri DC’ lerde TCP/IP ayarlarını değiştirebilirler.

W2K3 grupları (Users Container)

DNSAdmins : Bu grup üyeleri DNS servisine erişebilirler.

Group Policy Creator Owner : Bu grup üyeleri etki alanındaki GPO larda değişiklik yapabilirler.

TelnetClients : Bu grup üyeleri sistemdeki Telnet servisine erişebilirler.

Ldifde.exe , csvde.exe ‘ye göre mevcut nesneler ve gruplar üzerinde değişiklik yapılmasına izin vermesi nedeniyle daha kullanışlıdır.

Account Policies, sadece etki alanı seviyesinde uygulanabilir. Dolayısıyla, Default Domain Policy tarafından uygulanır.

Windows 2000’ den daha düşük istemciler, eğer AD client yüklü değilse şifre değişim işlemlerini ancak PDC emulator ile bağlantı kurabilirlerse yapabilirler. AD Client yüklendikten sonra tüm DC ler üzerinden şifre değişimi yapabilmektedirler.

Win98 istemcileri sadece 14 karaktere kadar şifreleri desteklemektedir.

70-296 Sınav Notları (3.Bölüm)

3.Active Directory' yönetmek

W2K3’ de güven ilişkileri aşağıdaki gibi kurulabilir :

  1. Tek yönlü veya çift yönlü
  2. Otomatik veya elle
  3. Geçiken veya geçişsiz

W2K3’ ün varsılan güvenlik protokolu Kerberos V5 vey NTLM’ dir. Kerberos’un kullanılamadığı durumlarda NTLM’ in kullanılmasına izin verilir.

Kerberos V5 ile kimlik doğrulama aşağıdaki şekilde yapılmaktadır :

  1. Kullanıcı logon işlemi sırasında KDC (Key Distrubution Center)’ dan TGT (Ticket for Granting Ticket) alır. Varsayılan değer olarak tüm DC ler birer KDC’ dir.
  2. Kullanıcı bir kaynağa erişmek istediğinde, aldığı TGT’ yi KDC’ ye gösterir ve kaynak için bir servis bileti ister. KDC de etki alanı veritabanından istenen kaynak için Service Principal Name’ I kontrol eder. Erişilmesi istenen kaynak KDC ile aynı etki alanında olduğundan kontrol sonrası bilet istemciye verilir.
  3. Kullanıcı aldığı bilet ile sunucuya başvurur ve kaynağa erişir.

Eğer kaynak farklı bir etki alanında ise aşağıdaki işlemler gerçekleşir : Örneğin, domain1.contoso.com’ dan domain2.contoso.com’ a erişmeye çalışılıyor olsun.

  1. Kullanıcı, kendi etki alanı olan domain1.contoso.com KDC’ ye başvurarak bir TGT alır.
  2. Kullanıcı, domain2.contoso.com’ daki kaynağa erişmek için elindeki TGT ile yerel KDC’ ye başvurur.
  3. KDC, SPN’ de kontrollerini yapar ve kaynağın kendi etki alanında olmadığını görünce , GC (Global Catalog) üzerinden kaynağın nerede olduğuna dair bir araştırma yapar. GC gerekli bilgiyi KDC’ ye gönderir.
  4. KDC, aldığı bilgiyi kullanıcıya verir ve contoso.com etki alanına başvurmasını söyler.
  5. Kullanıcı, contoso.com’ dan bir KDC ile görüşerek, domain2.contoso.com için bir KDC bilgisi ister. KDC, bu KDC bilgisini gönderir.
  6. Kullanıcı, domain2.contoso.com KDC ile görüşür ve kaynağa erişim yetkisi ister.
  7. domain2.contoso.com KDC, SPN’ I kontrol eder ve kullanıcının kaynağa erişim yetkisi varsa kendisine bir bilet verir.
  8. Kullanıcı, kaynağa erişir.

Güven türleri

- Tree-root trust : Mevcut forest’da yeni bir root domain oluşturulduğunda otomatik olarak gerçekleşir. Geçişken ve çift yönlü güven ilişkisidir.

- Parent-child trust : Bir etki alanına child olarak eklenen başka bir etki alanı ile oluşan güven ilişkisidir. Bu da çift yönlü ve geçişkendir.

- Shortcut trust : Birbirinden çok uzak olan etki alanları arasında normal yollardan kimlik doğrulamanın çok uzun sürdüğü hallerde elle oluşturulan bir güven ilişkisi türüdür. Adından da anlaşıldığı gibi güven ilişkisine kısayol sağlamak kurulur. İsteğe gore tek veya çift yönlü olabilir. Geçişkendir.

- Realm trust : Genelde UNIX Kerberos 5 türevi kaynaklar ile elle kurulan bir ilişki türüdür. Geçişken veya geçişsiz, tek veya çift yönlü olabilir.

- External trust : Farklı forestlerin etki alanları arasında veya W2K3 etki alanı ile NT 4.0 etki alanı arasında kurulabilir. Geçişsizdir ve tek veya çift yönlü olabilir. Forest Trust kurulması için gerekli şart sağlanamadığında ancak bu yöntemle ilişki kurulabilir.

External trust iki şekilde ; kısıtlı veya genişletilmiş olarak tasarlanabilir. Trusting domain kaynaklarının tamamına erişim yetkisi verilebileceği gibi, Selective Authentication da uygulanarak sadece belirli bilgisayar hesaplarına belirli kullanıcıların erişimi de sağlanabilir. Bunun için kaynağın yetki setinde Allowed to Authenticate adında yeni bir yetki tanımı oluşturulmuştur.

- Forest Trust : Farklı W2K3 forestleri arasında bağlantı kurmayı sağlar. Sadece iki forest arasında geçişkendir ve tek veya çift yönlü olabilir.

W2K3 Trust Wizard bu geçiş ilişkilerini ayarlamak için kullanılabilir. Wizard, mevcut jargona iki yeni tanımlama eklemiştir :

Incoming trust : Güvenilen (Trusted ) etki alanındaki bir kullanıcı, güvenen (trusting) alandaki kaynaklara ulaşmak istediğinde bu ; Incoming Trust olarak adlandırılır. Yani kullanıcıi kaynağa erişmeden once güvenilen etki alanında kimlik doğrulatmak zorundadır.

Outgoing trust : Güvenen (Trusting) etki alanındaki Administrator güven ilişkisi kurmak istedğinde bu Outgoing Trust olarak adlandırılır.

Forest Trust

Forest Trust W2K sistemlerinde farklı forestlerin etki alanları arasında güven ilişkisi kurmak için kullanılan external trust’ ın getirdiği kısıtlamaları gidermek için oluşturulmuştur.

- İki forest arasında geçişkendir. Ancak 3ncü forest’a geçişken değildir. A>B , B>C, A >C’ye yok.

- Yönetim kolaylığı sağlar.

- Her iki forestın tüm etki alanlarına erişimi sağlar.

- UPN kullanımına izin verir.

Uygulanabilmesi için her iki W2K3 etki alanı da W2K3 forest functional level da çalışmalıdır.

Netdom.exe ile Forest Trust kurulamaz !

Active Directory Schema

AD Şeması sadece Schema Master olarak belirlenen sunucu üzerinden değiştirilebilir. Şema, forest içindeki tüm DC lere kopyalanır. Şema değişikliği yapacak kullanıcı Forest Root Domain’ de Schema Admins grubu üyesi olmalıdır.

AD şema değişikliği için AD Schema Snap-in yüklenmelidir.

Regsvr32 schmmgmt.dll komutu ile gerekli düzenleme yapılabilir.

Backup & Restore

Ntbackup ile uzak sistemlerin System state yedeği alınamaz.

System State blgisi içinde aşağıdakiler yer almaktadır.

  1. System Registry
  2. COM+ class registration database
  3. boot files, ntdetect.com, ntldr, boot.ini ve ntbootdd.sys
  4. Windows File Protection sistemi ile korunan sistem dosyaları

Aşağıdaki bilgiler de ilgili sunucularda system state içine dahil olmaktadır.

- Sertifika servis veritabanı (sertifka sunucularında)

- Active Directory ve sysvol dizini (AD sunucularında)

- Cluster servis bilgisi (cluster sunucularında)

- IIS Metabase (IIS sunucularında)

Active Directory geri yüklenirken sistemin Directory Services Restore Mode’ a geçirilmesi gereklidir.

Yedekleme yöntemi ne olursa olsun (Incremental vs.) System State yedeği daima Full alınır.

Üç farklı Restore yöntemi vardır :

- Normal (Non-authoritative)

- Authoritative restore

- Primary restore

Normal Restore yapıldığında, geri yüklenen bilgiler replikasyon ile değişebilir. Yani geri yüklenen bilgiden daha yeni bilgi AD’ de mevcutsa ,bu bilgiler geri yüklenenlerin üzerine replikasyon sırasında yazılır. Normal restore için DC , Directory Services Restore Mode’ da çalıştırılmalıdır. Normal restore şu amaçlarla kullanılabilir.

- Çok sayıda DC olan bir ortamda bir DC yi geri yüklemek için

- Bir DC üzerindeki, replika setlerinden farklı FRS veya Sysvol dizinlerini geri yüklemek için

Authoritative Restore‘ un amacı bir sistemdeki veriyi tamamiyle geri yüklemektir. Bu yöntem ile geri yüklenen verinin diğer DC lerdeki veri tarafından değiştirilmesi engellenmiş olur.

Bu yöntemi uygulamak için sistem yine Directory Services Restore Mode’ da açılır ve geri yükleme yapılır. Daha sonra ntdsutil.exe çalıştırılarak yüklenen nesneler authoritative olarak işaretlenir. Bu işlem geri yüklenen nesnelerin Update Sequence Number (USN) lerini mevcut son numaradan yukarıya çeker ve replikasyon sırasında değişmelerini engeller. Genelde aşağıdaki amaçlarla kullanılır :

- AD nesnelerini geri yüklemek için

- Sysvol dizinindeki veriyi resetlemek için.

Örnek :

ntdsutil.exe

Authoritative restore

Restore subtree OU=yeni,CN=contoso,CN=com

Primary restore, bir AD ortamındaki tüm DC ler (veya tek DC li ortamdaki tek DC) arızalandığında, mevcut bir yedekten AD ortamını yeniden oluşturmak amacıyla kullanılır. Ortamı oluşturmak için yüklenecek ilk DC Primary Restore ile, sonraki DC ler ise Normal Restore ile geri yüklenmelidir. Genelde aşağıdaki amaçlarla kullanılır :

- Ortamda hiç DC kalmamışsa sistemi yeniden oluşturmak için

System State verisinin bir kısmı sabit disk üzerinde orijinal yerinden farklı bir yere geri yüklenebilir. AD veritabanı, COM+ bilgileri ve Sertifika veritabanı farklı yere geri yüklenemez.

Advanced Restore Settings

Original Location : Bozuk veya sorunlu bilginin geri yüklenmesi için kullanılır. AD geri yüklemesinde bu seçenek seçilmelidir.

Alternate location : Seçilen bir dizine dosyanın eski bir sürümünün geri yüklenmesi sağlanır.

Single Folder : Dosyaları bir ağaç yapısından tek bir dizin içindeki dosyalar haline döndürerek geri yükler.

70-296 Sınav Notları (2.Bölüm)

2.Active Directory yapısı kurmak

Active Directory kurulumu yaparken AD veritabanı ve log dosyalarının farklı fiziksel disk gruplarına yerleştirilmesi tavsiye edilmektedir.

AD kurulumunu bir cevap dosyası (answer file) ile yapmak için dcpromo /answer:answerfile komutu ile çalıştırmak gereklidir.

AD kurulumunun daha once yedeği alınmış bir AD veritabanı dosyası yardımıyla yapmak da mümkündür. Bu dosya ağ üzerinden veya bir paylaştırılmış dizinden okunabilir. Böylece replikasyonun büyük kısmının ağ üzerinden yapılması engellenmiş olur ve işlem hızlandırılabilir. Ancak alınmış yedek AD etki alanının varsayılan tombstone lifetime değerinden (60 gün) geç olmamalıdır.

Eğer yedeği alınan DC de AD, Application Directory Partition ile oluşturulmuşsa, bu yedeğin yeni bir DC ye kopyalanması mümkün değildir.

Bu modda yükleme yapmak için dcpromo /adv komutu kullanılmalıdır.

Etki alanına ilk katılan DC aynı zamanda otomatik olarak GC olarak da görevlendirilir.

Universal Group membership Caching, WAN sitelerinin bulunduğu AD ortamlarında kullanılabilir. WAN sitesinde GC bulunmadığı hallerde UPN ile logon işlemi GC den kontrol edilmesi nedeniyle uzun sürebilir. Cachin ile bu şekilde ilk logon olan kullanıcı ile yapılan kontrol sonrasında elde edilen üyelik bilgileri 8 saat süreyle site DC sinde saklı kalacaktır. Daha sonra 8 saat aralıklarla bu bilgi yenilenir.

Caching ayarları site seviyesinde gerçekleştirilir. Yani yapılan bir değişiklik sitedeki tüm sunucuları etkiler. Buna karşılık GC ayarları sunucusu seviyesinde yapılmaktadır. Yapılacak değişiklikler bu duruma gore değerlendirilmelidir.

Domain Functional Levels

W2K3’ de, etki alanlarının fonksiyonları işletme amaçlarına gore farklı olarak düzenlenebilmektedir. Böylece aynı forest içindeki farklı etki alanlarına farklı ayarlar sağlamak mümkün olmaktadır.

W2K Mixed Mode

W2K Native Mode

W2K3 Interim Mode

W2K3 Mode

W2K Mixed Mode

W2K Mixed Mode, W2K3 AD etki alanları kurulurken oluşturulan varsayılan moddur. Bu modda W2K ve W2K3 DC lerinin, daha önceki sistemlerle ( NT 4.0 DC ) konuşmaları mümkündür. Ancak bu mod, AD ile gelen bazı özelliklerin kullanılmasını kısıtlamaktadır. Örneğin ;

- Universal group membership

- Security group nesting

- Domain renaming

- Group converting

W2K3 Interim Mode

Interim Mode, doğrudan NT 4.0’dan W2K3’ e yükseltilen etki alanları için kullanılan bir moddur. Sadece NT 4.0 ve W2K3 DC lerini destekler. Interim mode W2K DC lerini desteklemez.

W2K Mixed mode ile aynı kısıtlamalara tabidir.

DOMAIN’ LERİN ÖZELLİKLERİ VE SINIRLARI SINAV İÇİN ÇOK ÖNEMLİ !

W2K Native Mode’da çalışan bir etki alanının DC si W2K3 e yükseltilirse, Domain Functional Level hala W2K Native olarak kalacaktır.

W2K etki alanına W2K3 DC eklerken ya da W2K etki alanını W2K3’ e yükseltirken öncelikle aşağıdaki işlemlerin uygulanması gereklidir :

- Forest Schema Master DC de adprep /forestprep komutu çalıştırılmalıdır.

- Domain Infrastructure Master DC’ de adprep /domain prep çalıştırılmalıdır.

Forest Functional Levels

Üç farklı mode vardır. W2K Mode, W2K3 Interim Mode, W2K3 Mode

W2K Mode

Bu forest fonksiyon seviyesinde, Forest içinde NT 4.0, W2K ve W2K3 DC lerinin varlığına izin verilmektedir. Ancak, W2K3 ile gelen tüm yeni özellikler yaklaşık olarak devre dışıdır. Sadece W2K3 GC leri replication partner olarak çalışıyorlarsa, bunlarda şema genişlemesi sonucu elde edilen yeni Attribute ların replikasyonunda optimizasyon sağlanmıştır.

W2K3 Interim Mode

NT 4.0 etki alanının ilk DC si W2K3’e yükseltildiğinde forest mode Interim’ e geçer. Ancak forest mode daha once W2K3’ e yükseltilmişse, NT 4.0 etki alanları desteklenmeyecektir. Zaten domain veya forest mode lar geriye çekilemezler. Sadece yükseltilebilirler. W2K Mixed > W2K Native > W2K3 veya W2K3 Interim > W2K3

W2K3 Mode

W2K3 mode, tüm W2K3 özelliklerini desteklemektedir. Bu moda geçiş için tüm etki alanlarının DC leri W2K3 yüklenmiş olmalıdır. Ayrıca tüm etki alanları en az W2K Native Modda çalışıyor olmalıdırlar. Bu moda geçiş sağlandıktan sonra NT 4.0 ve W2K DC leri sisteme dahil edilemezler.

Forest Özelliği

W2K Native Mode

W2K3 Mode

GC replication improvements


Enabled

Defunct schema objects

Disabled

Enabled

Forest Trust

Disabled

Enabled

Linked Value Replication

Disabled

Enabled

Domain Rename

Disabled

Enabled

Improved AD replication algorithms

Disabled

Enabled

Dynamic Auxilary Classes

Disabled

Enabled

InetOrgPerson objectClass change

Disabled

Enabled

Application Directory Partition

W2K3 Active Directory daha once W2K’da bulunan 4 AD bölmesini aynen desteklemektedir.

  1. Domain Partition : Bir etki alanı ile ilgili tüm nesneler bulunmaktadır. Etki alanındaki tüm DC lere replike edilir.
  2. Schema Partition : Bir forest’ın Active Directory şeması ile ilgili tüm bilgiler bulunmaktadır. Forest içindeki tüm DC lere replike edilir.
  3. Configuration Partition : Siteler ve servisler ile ilgili tüm bilgileri içerir. Forest içindeki tüm DC lere replike edilir.
  4. Global Catalog Partition : AD içindeki bazı belirli nesneler ile ilgili tüm bilgileri içerir. Forest içinde GC rolü alan tüm DC lere replike edilir.

W2K3 ile birlikte tüm bunlara ek olarak Application Directory Partition da eklenmiştir. Anck bu tamamiyle W2K3’e özel bir durum olduğundan sadece W2K3 DC lerine replike edilmektedir.

Ancak etki alanının veya forest ‘ın mutlaka W2K3 mode da olması şart değildir. İçinde NT 4.0 veya W2K DC ler bulunan ortamlarda da W2K3 DC lerine replike edilmektedir.

Application Partition’ dan AD özelliği olan uygulamalar yararlanabilir. Örneğin TAPI veya DNS. Bu özellik sayesinde aşağıdaki avantajlar elde edilebilir :

- AD içindeki bilgi replikasyonundan kaynaklanan trafiğin azaltılması.

- Bazı özel DC lere bilgi replike edebilme imkanı nedeniyle hata toleransının sağlanması.

- Uygulamaların LDAP ile AD’ ye erişimlerinin sağlanması.

Application Directory Partition ortamında security principal (kullanıcı , bilgisayar hesabı ve security groups) dışında tüm nesneler tutulabilir.

Bir ADP forest içinde aşağıdaki noktalara yerleştirilebilir :

- Domain partition child

- Application Directory Partition child

- Forest içinde yeni bir Tree

ADP bilgileri, Global Catalog lara replike edilmez. Ancak GC özelliği olan DC ler ADP bulundurabilirler.

Eğer bir uygulama LDAP portundan ( 3268 / 3269 ) bilgi sorgularsa, sorgulanan DC aynı zamanda bir GC ise, ADP ile ilgili bilgileri göndermez. Bu, karışıklıklara yol açmaması için alınmış bir önlemdir.

Eğer bir DC denote edilecekse, üzerinde ADP varsa aşağıdaki yollar takip edilmelidir :

- ADP yi kullanan uygulama tespit edilerek, ADP yi bu uygulamanın kaldırması tercih edilebilir.

- Eğer silinecek olan son replika ise durum dikkatli değerlendirilmelidir. Son replika silindikten sonra geriye dönüş olmayacaktır.

- Replikayı kaldıracak uygulama bilinmiyorsa, ntdsutil.exe kullanılarak ADP elle kaldırılabilir.

Security Descriptor Reference Domain

AD deki her bölme ve nesnenin bir yetki ve erişim seti vardır. Buna Security Descriptor denir. Bu set içinde kullanıcı, bilgisayar ve gruplar yer alır. Eğer nesneye bir SD tanımlanmamışsa, bu nesne bağlı olduğu Class’ ın varsayılan SD sini alır.

ADP farklı etki alanlarındaki DC lere replike edilebileceğinden durum daha da karışmasın diye ADP için ön tanımlı bir SD Reference Domain tanımlanır. Eğer ;

- ADP bir child domain ise, üst etki alanı SD Reference Domain dir.

- ADP başka bir ADP’ nin altındaysa, SD Reference Domain üstteki etki alanının SD Reference Domain’idir.

- ADP rootda tanımlıysa, SD Reference Domain ; Forest Root Domain dir.