Windows Server 2008 R2 Enterprise Server Üzerinde Radius Server İle 802.1x Yapılandırma İşlemleri

                     Bu makale de sizlere ile Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerinde de Radius Server kurulumu yaparak çalıştığımız şirket ya da kurumda 802.1x yapılandırması sayesinde kablolu ve kablosuz internet erişimlerimizi güvenli bir hale getirme işlemleri paylaşılacaktır.

Microsoft Certificate Authority – NPS ve Active Directory ‘den gerekli işlemleri yapacağız. Windows Server 2008 R2 Standart kullanıyorsanız etki alanı içerisinde 50 kullanıcı 802.1x den yararlanabilir, Windows Server 2008 R2 Enterprise sürümünü kullanıyorsanız kullanıcı sınırı bulunmamaktadır.

Benim ortamımda DC Rolü yüklenmiş Windows 2008r2 Enterprise ve bu DC’ye Member edilmiş Windows 2008r2 Enterprise var. Ben kurulum işlemini Member sunucuma yapacağım.

802.1x standardı nedir ... ?

802.1x Nedir?

IEEE 802.1X standardı;  noktadan noktaya bağlantılara sahip LAN portuna takılmış cihazların kimlik doğrulama ve yetkilendirilmesine olanak sağlayan  port tabanlı ağ erişim denetimidir. Ağda port tabanlı kullanıcı doğrulayabilmek, herhangi bir kullanıcıya ya da gruba ‘ağa erişim politikaları’ uygulamaya imkan tanır. Kimlik doğrulama ve yetkilendirme başarısızsa o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.

Genişletilebilir Kimlik Kanıtlama Protokolü (EAP-Extensible Authentication Protocol), 802.1X’in kullanıcı doğrulama işlemi boyunca PPP (Point-to-Point) iletim katmanı üzerinde IP’ye ihtiyaç duymadan genel bir çerçevede kimlik tanımlama sistemi olan iyileştirilmiş bir iletim protokolü standardıdır.

Kısaca Nasıl Çalışır?

• İstemci (kimlik doğrulaması yapmak isteyen kullanıcı) ve kimlik denetiminin yapıldığı sunucu (Authentication Server) arasında bulunan denetleyici (authenticator) cihaz, bağlantı durumunda istemciye EAP-Request/Identity paketi gondererek kendisini tanıtmasını ister.
• İstemci,kimliğini tanıtan EAP-Response/Identity paketi ile cevap verir. Ve bu paket enkapsüle edilerek sunucuya gönderilir.
• Sunucu, denetleyiciye şifreli token sistemi gibi bir davetiye atar. Denetleyici bu paketi açıp EAPOL (LAN üzerinden EAP) içerisinde istemciye gönderir. İstemci davetiyeye denetleyici üzerinden cevap gönderir.
• Eğer istemci gerekli kullanıcı tanımına ve haklarına sahipse, sunucunun gönderdiği doğrulayıcı mesaj denetleyicinin istemciye LAN’a erişim izni vermesiyle sonuçlanır.

VMware vCenter Converter Standalone ( Fiziksel'i Sanala Çevirmek )

Arkadaşlar merhaba genelde IT'lerin kullandığı sunucu,yada herhangi bir makineyi fizksel'den sanala çekme'nin farklı yolları ol sada VMware'n kullanıma sunduğu ücretsiz ( VMware vCenter Converter Standalone ) adlı programı bize büyük katkı sağlıyor genellikle sunucu kaynaklı kullanılsada normal kullanıcıların da işine yarayacağını düşünüyorum. Örneğin lınux bir fiziksel'de windows tabanlı işletim sistemi kullanmak istiyorsanız herhangi bir windows işletim sistemli bir makinenin kolaysa sanala çekebilirsiniz. çok uzatmadan programın nasıl kurulduğunda ve nasıl çalıştığından bahsedeyim.

İlk adım programı biraz tanıyalım.

( VMware vCenter Converter Standalone ) adlı programı kurduktan sonra FILE / Menüsünden CONVERT MACHİNE Seceğine tıklıyoruz. bu arada ben deneme amaçlı bir tane proje yaptım. aşağıda görünen o'dur

İlk adım programı biraz tanıyalım.

Windows Deployment Services (WDS)

WDS ağ ortamlarında bulunan ve üzerlerinde işletim sistemi bulunmayan bilgisayarlara ağ üzerinden işletim sistemlerinin uzaktan yüklenebilmesi için kullanılan bir servistir.Windows Server 2003 üzerinde RIS(Remote Installation Services) olarak tanıdığımız bu servis ile farklı lokasyonlarda bulunan bilgisayarlara fiziksel olarak yanlarında bulunmaya gerek kalmadan uzaktan işletim sistemi yüklemeleri yapılabilir.Windows Server 2008 üzerinde Windows Deployment Services ile beraber gelen yenilikler

Multicast Deployment:

 Bu yeni özellik ile aynı anda birden fazla bilgisayara farklı yükleme seçenekleri uygulanabilir.Multicast Deployment band genişliğini de efektif olarak kullanarak belirlenen bir zamanda yada her zaman aktif olarak şekilde yapılandırılabilir.2 çeşit multicast deployment seçeneği vardır.

->Schedule Cast:Yalnızca belirlenen bir zamanda yapılacak görevi temsil eder.Yükleme yapılacak olan bilgisayarların zamanlanan görev başlatılmadan önce belirlenmesi gerekir.

->Autocast:İstemci istediği zamanda multicast gruba dahil olarak yükleme seçeneklerinden faydalanabilir.

Windows Server 2008 Print Services

Windows Server 2008′de sistemin çalışması için gereken minimum bileşenler default olarak yükleniyor. Print Services Tools default olarak yüklenmiyor. Windows Server 2008 üzerinde yazdırma yönetimi Print Management konsol uygulaması ile yapılır. Windows Server 2003 R2 ile gelen bu özellik geliştirilerek Windows Server 2008 ve Windows Vista üzerinde varsayılan olarak gelir. Merkezi printer yönetimi sağlayan Print Management konsolu ile kuyrukta bekleyen öğelerin gözlenmesi, print server’ların migration işlemleri, yazıcı paylaşımı, görev yönetimi ve deployment görevleri yürütülür.

-Print Server

-LPD Service

-Internet Printing

Print Services

Yazdırma servisinin temel rol servisidir. Yazdırma yönetim işlevleri yerine getirilir. Birden fazla yazıcının aynı konsol üzerinden yönetilmesi, paylaşılması ve izlenmesi sağlanır.

Windows Server 2008 R2 Remote Desktop Services(Remote Desktop Session Host)

‘‘Şirketler için verimliliği arttırmak amacıyla oluşturulan Remote Desktop Service ile uzak bilgisayarlar üzerinde bulunan uygulamalar şirket içerisinde paylaşılarak maliyet ve verimlilik konusunda fayda sağlanır.Bu servis ile uzak masaüstü bağlantıları ile anlık olanak uzak bilgisayarı tüm özellikleri ile kullanabilme gibi avantajlarda sağlanır.Windows Server 2008 ve 2003’de Terminal Service olarak adı anılan bu servis Windows Server 2008 R2 ile birlikte artık  Remote Desktop Services olarak anılmaktadır.Remote Desktop Service kullanmanın faydaları:

-Ağ kaynaklarının,dosyaların ve uygulamaların verimli paylaşımı

-Merkezi yönetim

-Band genişliğinin verimli kullanılması

-Kurumsal maliyetleri azaltır.

-Optimum uygulanabilirlik

Remote Desktop Service rolünü oluşturan alt servisler

-Remote Desktop Session Host

-RD Web Access

-RD Licencing

-RD Gateway

-RD Connection Broker

Windows Server 2008 Remote Desktop Services ile görüntü birimleri geliştirilmiş çoklu monitör desteği,yüksek çözünürlük ve renk desteği sağlanmıştır.Remote Desktop Services uPnP desteği de sağlamaktadır.

Remote Desktop for Administration konsolu sayesinde

Max 2 + Console

Makinayı aynı anda 3 kişi kullanılabiliyor.Fakat burada amaç kullanıcıların bilgisayar kullanması değil.Yöneticilerin uzaktan bağlanarak makine başındaymış gibi birşeyler yapmasını sağlamaktır.

Server Lisansı, Remote Server’a bağlanacak kişi için RD Client lisans ücreti gerektiriyor.Ayrıca 120 gün boyunca lisans işlemi yapmadan kullanıcıların kullanabilmesini sağlamaktadır.        

‘‘Remote Desktop Services ile beraber gelen yönetim konsolları ve yürütülen görevler

Remote Desktops:Uzak masaüstü bağlantılarının gerçekleştirilmesini sağlayan konsoldur.

Remote Desktop Session Host Configuration:Yeni bağlantıların oluşturulduğu,RDP-tcp ayarlarının yapıldığı,Connection Broker konfigürasyonunun yapıldığı konsoldur.

Remote Desktop Services Manager:Açılmış olan oturumların ve çalışan uygulamaların detaylarının izlenebildiği konsoldur.Bu konsol sayesinde terminal server grupları oluşturularak bu gruplara terminal server’lar eklenebilir.

RD Gateway Manager:Uzak kullanıcılar için kimlik doğrulama ve erişim kurallarının konfigure edildiği konsoldur.

RD Licencing Manager:Lisans Server aktivasyonu,istemci lisanslarının yayınlanması ve diğer lisanslama görevlerinin yürütüldüğü konsoldur.

 RemoteApp Manager:Uzak kullanıcılar tarafından masaüstünden yada web üzerinden kullanılabilecek uygulamaların belirtildiği ve izlendiği konsoldur.

RD Web Access Administration:Web üzerinden sunulan uzak uygulama yönetimine ait konfigürasyonlarının yapıldığı yönetim konsoludur.

Remote Desktop Session Host (RD Session Host):Uzak kullanıcıların erişimi için üzerine uygulamaların yüklendiği server’lardır.Uzak kullanıcılar gerek uygulamalar içerisinden bağlantı sağlayarak gerekse de uzak masaüstü bağlantısını kurarak uzaktan görevler yürütebilirler’’

Windows Server 2008 R2 Remote Desktop Services RD Services Printing

Windows Server 2008 RD Services ile beraber gelen bir yeni özellik de RD Easy Print Driver özelliğidir.Kullanıcılar uzak oturumlardaki uygulamalar ya da masaüstü içerisinden kendi bilgisayarlarındaki yazıcılara yazdırma görevi gönderebilirler.Bu özelliğin kullanılabilmesi için istemci bilgisayarda RDC 6.1,.NET Framework 3.0 SP1 versiyonlarının yüklü olması gerekir.Easy print driver özelliği Group Policy içerisinde de yer alır.Bu özelliğin GPO içerisinden aktif hale getirilmesi için

Computer Configuration>Administrative Templates>Windows Component>RD Services>Printer Redirection>Use RD Services Easy Printer first konfigüre edilir.

Doğru sürücü ve yazıcının bulunabilmesini sağlayan Easy Printer driver aşağıdaki özellikleri sunar.

-Eskiye Dönük sürücü desteği

-RemoteApp yada uzak masaüstü üzerinde yüksek performans

RD Services sunmuş olduğu yeni servisler ile yük dengeleme ve uzak uygulama yönetimi konusunda eskiye göre daha yüksek performans ve uyumluluk ile çalışır.

Windows Server 2008 R2 Remote Desktop Services (RD Web Access)

Remote Desktop Remote App Manager

Windows Server 2008 ile beraber gelen ve Windows Server 2008 R2’de olan Remote App özelliği merkezde bulunan bir sunucudan istemcilere uygulama dağıtılması prensibine dayanır. Kullanıcılar uzak masaüstü bağlantısı sağlayarak eriştikleri Remote Desktop Server üzerinde bulunan  uygulamaları kendi lokal bilgisayarlarındaki gibi çalıştırabilir ve kullanabilirler.Remote Desktop Server’a bağlanan her uzak istemci RD Server üzerinde kendi adına bir oturum açar.Her kullanıcının oturumu birbirinden bağımsızdır.Bunun avantajı gereksiz oturum kullanımını engellemesi ve optimum hızda uygulama paylaşımı olarak gösterilebilir olmasıdır.Remote App Manager konsolunu kullanarak uzak istemcilerin kullanacakları uygulamaları belirleyebilirsiniz.Remote Desktop Server’a bağlanacak olan istemci bilgisayarlarda RDC desteğinin en az 6.1 sürüme sahip olmaları gerekir.

Remote App Manager aracılığıyla uygulama dağıtma yöntemleri

-.Rdp dosyası oluşturarak Uygulama dağıtımı

-.Msi Kurulum Paketi oluşturarak Uygulama dağıtımı

Remote App Özellikleri

-Network Bandwidth’inin düşük olduğu organizasyonlar için en ideal çözümdür.Maliyeti düşüktür.

- Kullanıcılara kullandırılmak istenen uygulamalar istemci bilgisayarlarına ayrı ayrı kurulmaz, merkeze yani RD Session Host üzerine kurulur ve buradan kullanıcılara paylaştırılır.

-Uzak İstemcilerin ofis dışından da uygulamalara erişim sağlamasını sağlar.

-Merkezi yönetim sağladığı için sistem yöneticilerinin yükünü azaltır.

Windows Server 2008 R2 Remote Desktop Services Connection Broker

Windows Server 2008 R2 Remote Desktop Connection Broker servisi ile uzak masaüstü yapan istemcilerin bağlantı sırasında açmış oldukları oturumlarının yeniden bağlandıklarında da devam edebilmesini sağlar.Performans açısından da uzak istemcilere büyük bir avantaj sağlamasına yardımcı olur.Oturumların load balanced remote desktop farm içerisinde dağıtarak yükün paylaşılmasını da sağlar.

RD Connection Broker rolü sayesinde çeşitli sebeplerle down olan bir RD Session host sunucusunda oturum açmış kullanıcı hesapları yüksek erişilebilirlik özellikli RD Session Host çiftliğinde diğer RD Session Host sunucularına bağlanarak kaldıkları yerden çalışmaya devam edebilirler.Örneğin U1 adlı kullanıcı Remote Desktop Session Host 1 üzerinde oturum açmış olsun.Daha sonra herhangi bir sebepten dolayı bağlantı koparsa kullanıcı yeni bir Session Host üzerinde oturum açıp o zamana kadar üzerinde çalıştığı verileri kaybetmek yerine ilk bağlandığı Session Host’a bağlanarak kaldığı yerden çalışmasına devam edebilir.Tüm bu işlemler Remote Desktop Connection Broker servisi sayesinde gerçekleşir.

Windows Server 2008 Protection Container

Windows Server 2008 ile birlikte gelen bir diğer yenilik ise korumalı konteyner özelliğidir. Bu yeni özellik ile beraber OU oluşturulurken istenirse silinmeye karşı bir çeşit güvenlik koruması sağlar. Bu sayede herhangi bir OU’nun silinmesi engellenmiş olur.

             

Koruma altına alınan OU’nun silinmesini sağlamak için AD Users and Computers’ta View Menü’sünden Advanced Features’ı açtıktan sonra OU’nun özelliklerinden bu seçeneğin kaldırılması gerekir.

BitLocker Drive Encryption

Windows Vista ve Windows Server 2008 veri güvenliği çözümü olan BitLocker Drive Encryption özelliği ile EFS’den farklı olarak dosyaların değil sürücünün tamamının şifrelenmesi sağlanabilir. BitLocker Drive Encryption sistemi Windows Server 2008 ve Windows Vista’nın yalnızca Enterprise ve Ultimate sürümlerinde kullanılmaktadır. Sistemin temel amacı;herhangi bir sebeple verilerin çalınması yada kaybedilmesi durumunda bile güvenliğin sağlanmasıdır. Bütün sistem dosyaları, kullanıcı verileri, page file, temporary files ve hibernation dosyaları da şifrelemeye dahil edilir. Bu yönüyle önemli bir yeniliktir.

BitLocker Sistem Gereksinimleri

-TPM 1.2 desteği (Group Policy üzerinde yapılacak olan ayarlar ile TPM olmadan da daha düşük güvenlik seviyesi ile BitLocker kullanılabilir.)

-v1.2 TCG-Uyumlu (Trusted Computing Group)BIOS

-USB Mass Storage Device Class destekli BIOS

-Sistemde en az 2 tane disk bölümü bulunmalı. Bunlardan biri işletim sistemi bölümü diğerine ise sistem bölümü adı verilir. Sistem bölümü sayesinde boot aşaması sonrasında güvenli bir şekilde Windows’un açılması sağlanır. Sistem bölümünün işlevini yerine getirebilmesi için bu bölümün şifrelenememesi gerekir. Ayrıca bu bölümün NTFS  ile formatlanması ve en az 1.5 GB  boyutunda olması gerekir.  Windows Server 2008 içerisinde BitLocker Drive Encryption varsayılan olarak desteklenir. Fakat Features içerisinden bu özelliğin yüklenmesi gerekir. 

Branch Cache

Branch Cache teknolojisi Windows 7 ve Windows Server 2008 R2 ile beraber gelen yeni özelliklerden biridir.Branch Cache ile beraber WAN hatları arasında yani internet üzerindeki farklı lokasyonlarda özellikle çok şubesi olan kurumlarda farklı coğrafi lokasyonlardan veri aktarma işlemleri oldukça performanslı yapılır.

Uzak ofislerde bulunan dosyalara diğer ofislerden erişen personellerin bulunduğu ofiste bu dosyaların cachelenmesi yani bir kopyasının tutulmasını sağlamaktır.Aynı ofisten uzaktaki şirket networklerinde bulunan bu dosyalara erişmeye çalışan kullanıcılar verileri uzak ofisten dolayısıyla WAN üzerinden yavaş olarak almak yerine yerel ağdan oldukça hızlı olarak almış olurlar.Böylelikle band genişliği optimizasyonunu sağlar.Şubeler arası hatların daha verimli kullanılmasını sağlar.2 temel modu vardır.

-Distributed Cache Mode

-Hosted Cache Mode

Branch Cache uygulamasının çalışabilmesi için Windows Server 2008 R2 yada Windows 7 Ultimate ve Enterprise sürümlerinin kullanılması gerekir. Branch Cache ile entegre çalışan bazı protokoller bulunur. Bunlar HTTP, SMB 2(Server Messaginig Block), HTTPS.

 Distributed Cache Mode

Şube ofislerinde Windows 7 işletim sistemi kullanılması yeterlidir.Ayrıca bir Windows Server’a ihtiyaç yoktur.

Hosted Cache Mode

Şubelerde bir Windows Server 2008 R2 Branch Cache Server (File Server) gerektirir. Şubelerdeki Branch Cache sunucular merkezdeki sunucudan şubelere transfer edilen verilerin şubelerde Hosted olarak bir kopyasını tutar. Bu yapıda şubedeki diğer çalışanlar dosyayı yine merkezden çekmek yerine kendi yerel ağında bulunan sunuculardan alırlar. Daha büyük network yapıları için kullanılır.

Redirecting Default OU’s of Users and Computers

Domain kurulumu yapıldığında Windows aktif dizinlerinde Computers and Users adı altında iki adet container oluşturulur.Domaine dahil edilen bilgisayarlar ön tanımlı olarak Computers container’ında oluşturulur.Yine aynı şekilde domain’deki ön tanımlı bilgisayar yada kullanıcı hesapları Users container’ları içerisindedir.Bu iki container’ın organizational unit’lerden tek farkı üzerlerine  grup politikaları uygulanamamasıdır.

Bu nedenle özellikle bilgisayar hesapları domaine dahil olduktan sonra bilgisayar hesaplarının taşınması gerekir.Aynı sorun Users organizational unit’i üzerine grup politikaları uygulandığında zaman zaman yaşanmaktadır.

Örneğin Domain’e dahil olan  bilgisayarlara grup politikaları kullanarak bir program yüklenmesini sağlayabilirsiniz.Ancak bu işlemi yaparken ön tanımlı olan container’ları kullanamayız.Bunun için aktif dizin üzerinde yönlendirme işlemini yapabilirsiniz.Bu yönlendirme işlemi ile domaine dahil olacak yeni bilgisayarları Computers container’ı yerine grup politikası uygulanacak olan organizational unit içerisine yönlendirebilirsiniz.

Bu şekilde bir yönlendirme işlemi ile organizational unit’e uygulanan grup politika uygulamalarında herhangi bir sıkıntı yaşamadan sistemin kararlı bir şekilde çalışmasını sağlayabilirsiniz.

Redirusr ou=muhasebe,dc=omer,dc=com

Uygulama Alanı: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 SP1 ile, Windows Server 2008, Windows Server 2008 R2

Redircmp ou=muhasebe,dc=omer,dc=com

Uygulama Alanı: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 SP1, Windows Server 2008

Default’ta yaratılan kullanıcının Users altında değilde belirli bir ou’ya gönderilmesi sağlanır.Bu komutu kullanıldıktan sonra yönlendirilen ou’ler artık default container olur.Bu container’lar artık silinemez.

Yeni oluşturulan bilgisayar nesneleri CN = Computers yerine belirli bir hedef OU oluşturulur ve böylece belirli bir hedef kuruluş birimine (OU) yeni oluşturulan bilgisayarlar için varsayılan konteyner yönlendirir.

About these ads

DNS Kurulumu ve Kurulum Hataları

İlk olarak kurulmayan DNS servisini haricen kurmalıyız. (DNS servisi sadece Server İşletim Sistemine sahip bilgisayarlar’a kurulur.)  Control panel >> Add & Remove Programs>>Add Remove Windows Components >> Networking Services>> Details seçilir.  Servisi kurduktan sonra DNS konsolu açılır. (dnsmgmt.msc)

 

Extending Windows Server 2008 Trial Time

Windows Server 2008’in deneme süresini sıfırlamak için komut satırına “slmgr /rearm” komutunu yazıp bilgisayarınızı yeniden başlattığınızda Windows Server 2008’in deneme süresini ilk kuruluduğu gün gibi sıfırlamaktadır.Bu işlem en fazla 3 kez tekrarlanır.

Create Random Users on Active Directory

Active Directory üzerinde random kullanıcı açmak isterniz  FOR /L %i in (1,1,5) DO NET USER MyUser%i P@ssw0rd /ADD
Yukarıdaki komutu cmd konsoluna uygulayabilirisiniz. Oluşan kullanıcının adı MyUser1,MyUser2 şeklinde gözükecek şifresi P@ssw0rd olacaktır.

Windows Server 2008 R2 Network Policy Server

Network Policy Server, istemcilerden gelen sağlık bilgisini daha önceden sizin belirlemiş olduğunuz kurallara koşullara göre değerlendirilmesi ve uygunluğunun kontrol edilmesini sağlayan servistir. Radius Sunucusu olarak yapılandırılabilir. Bu servis diğer servislerle belirli bir işbirliği içerisinde hizmet verdiği için bu hizmeti yapılandırmadan önce aşağıda adı geçen servislerin kurulup yapılandırılmş olması gerekiyor.Bunlar,

Active Directory(AD), Dynamic Host Configuration Protocol(DHCP), Certification Authority(CA), Domain Name System(DNS)

Bu servislerin yapılandırılmaması durumunda sunucuya erişim problemi yaşanacak, istemci bilgisayarlardan gelen bağlantı isteklerine olumsuz yanıt verilecektir.Network Policy Server hizmetini yapılandırabilmemiz için Server Manager yönetim konsolunu açıp gelen ekranda Roles üzerinde sağ tıklayıp Add Roles diyelim.

Flexible Single Master Operations (FSMO) Roles and Seizing Operation

Schema Master ve Domain Naming Master rolleri forest içerisindeki tüm domainler için ortak bir roldür. RID Master, PDC Emulator, Infrastructure Master rolleri ise her domain için en az bir domain controller’da bulunan bir roldür. FSMO rollerinin tamamı aynı Domain Controller üzerinde bulunacağı gibi her rolü başka Domain Controller üzerinde de yer alabilir.

FSMO rollerini görebilmek için Active Directory Users and Computers, Active Directory Schema, Active Directory Domains and Trusts yönetim konsollarını kullanabilirsiniz.

Schema Master Role:Schema Master rolünü taşıyan Domain Controller Active Directory şeması üzerinde değişiklik yapma yetkisine sahiptir. Peki neden schema üzerinde değişiklik yapma gereği duyarsınız? Buna en güzel örnek olarak Microsoft’un mail sunucusu olan Exchange Server verilebilir. Schema Master üzerinde değişikliği yapan kullanıcı hesabına Schema Admins denir. Forest genelinde Active Directory schema bilgisinin tüm Domain Controller üzerinde aynı olması gerekir. Schema update işlemini schema master rolüne sahip olan Domain Controller gerçekleştirir. Schema Master forest içerisindeki farklı domain controller’lar arasında replike edilirler. Schema Master Active Directory’de kullanılan bütün objelerin şablonlarının tanımını içerdiğinden  Active Directory schema’ya erişim engellenmiştir. Schema Master’ı görmek için komut satırına “regsvr32 schmmgmt.dll” komutunu yazıp OK butonuna basalım. Microsoft Management Console (MMC) kullanarak Active Directory schema’sını görebilirsiniz.

Domain Naming Master: Forest, içerisinde yeni bir domain eklenirken ya da kaldırılirken tüm bu işlemlerden sorumlu roldür. Domain Naming Master varsayılan olarak Active Directory’nin kurulduğu forest root domain controller üzerinde yer alır. Domain Naming Master rolü forest bazlı bir roldür. Domain Naming Master rolünü görebilmek için Active Directory Domains and Trusts bölümünü kullanabilirsiniz.

Forest Trust

Forest root’lar arasında kurulan güven ilişkisine forest trust denir. Bu güven ilişkisi ile bir forest’ta bulunan adam diğer forest’tada kendi kullanıcı adı ile logon olabilir. Name Suffix Routing ‘i destekler. Yarı geçirgen bir yapıya sahiptir. Biz burada ilk olarak iki farklı forest arasında trust ilişkisi kurup daha sonra Active Directory Migration Tool’unu kullanarak bir forest’tan başka bir forest’a user taşıma işlemini gerçekleştireceğiz.

Requirement for Forest Trust Migration

 Forest’lar arası migration işlemini yapmadan önce birtakım ön hazırlıklar yapmanız gereklidir. Şimdi bu ön hazırlıkları beraber yapılandıralım.

Migration işlemini ADMT v3.1 ile gerçekleştirecekseniz forest functional level’in en az Windows Server 2000 native modda, ADMT v3.2 ile gerçekleştirecekseniz forest functional level seviyesinin en az Windows Server 2003 olması gerekir.  Kaynak olan bilgisayarınızda yani pdc emulator rolüne sahip domain controller’da “TCPIPClientSupport” desteği açık olmalıdır. Varsayılanda kapalı olarak gelen bu özelliği registry’i kullanarak açabilirsiniz. Kaynak domain üzerinde registry içerisinde HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA içerisinde “TCPIPClientSupport” reg_dword’ünü oluşturup değerini “1” olarak atayabilirsiniz.

Forest Trust Migration işlemini gerçekleştirebilmek için hedef domain içerisinde “Administrator “ yetkisi gereklidir. Omer.com forest’ında bulunan user account’u taşınacağı için yazilimdevi.com forest’ında da “administrator” grubuna üye olması gerekir.

Şimdi yazilimdevi.com domain’i üzerinde Active Directory Users and Computers konsolunu açalım ve Builtin klasöründe “Administrator” grubunu seçelim.

Members sekmesine “Add” butonunu kullanarak omer.com administrator’ununa ekleyelim. Eğer bu işlemi yapmazsanız user taşıma işlemi sırasında “Access Denied” hatası alabilirsiniz.

 Her iki domain içerisinde Group Policy Management Console açılıp Domain Controllers sekmesinde bulunan Default Domain Controller Policy seçilir.

Default Domain Controller Policy seçilip editlenerek sırasıyla: Computer Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy seçilir. Audit Account Management policy’i seçilip “Success ve Failure” seçeneği seçilir. Group policy üzerinde yapacağınız bu uygulama yaptığınız işlemlerin loglanması açısından önemlidir.

Group policy işlemlerimizi iki domain controller’ımız üzerinde gerçekleştireceğimizden aynı konfigürasyonları diğer bilgisayarımız üzerinde de gerçekleştirelim.

Yaptığımız group policy uygulamasının geçerli olması için komut satırına “gpupdate /force” yazarak yaptığınız group policy uygulamasını etkinleştirebilirsiniz. Kaynak domain’de registry girdisini yaptığımızdan dolayı bunun geçerli olabilmesi için bilgisayarınızı yeniden başlatmalısınız. İki forest’ımızı user migration’a hazırlamış olduk. User Migration işlemini Active Directory Migration Tool’u kullanarak gerçekleştirebilirsiniz. User taşıma işlemi sırasında kullancağımız Active Directory Migration Tool uygulmasının birçok değişik versiyonları bulunmaktadır. Domain yapınıza göre uygun sürümü kullanırsanız başarılı bir taşıma işlemi gerçekleştirebilirsiniz. 

Active Directory Migration Tool aracı Read Only Domain Controller (RODC) ya da Server Core sistemler üzerine kurulmaz. Windows Server 2008 R2 işletim sistemi tarafından Active Directory ortamı için Active Directory Migration Tool v3.2 versiyonunu kullanabilirsiniz. Active Directory Migration Tool uygulamasını kullanarak taşıma işlemlerini iki ana alt başlık altında inceleyebilirsiniz.

Interforest: Bu senaryoda birbirinden farklı iki forest ortamı içerisinde kaynakların taşınmasını sağlayabilirsiniz. Hedef ve kaynak domaini içerisinde migration işlemini gerçekleştirirken her iki Active Directory domaini çalışmaya devam eder.

Intraforest: Bu senaryoda bir forest yapısı içerisinde bulunan domainleri yeniden yapılandırabilirsiniz. Bu taşıma işlemi sırasında kaynak Active Directory domaini içerisinde bulunan kaynakları artık kullanamazsınız.

Active Directory Migration Tool ile user migration işlemine başlamadan önce gerçek taşıma işlemine başlamadan önce benzer bir test ortamı üzerinde denemeler yapmalısınız. Meydana gelebilecek bir problem sonrası geri dönüş planı hazırlanmalı, Hedef ve Kaynak domain üzerinde gerekli yedekler(System State) alınmalı, Kullanıcıların daha önceden EFS ile şifreledikleri dosyaları varsa migration işlemine geçmeden önce şifrelenmiş dosyaların açılması gerekir. Migration işlemini gerçekleştirecek olan bilgisayarlar ağa bağlı olmalıdırlar.

Active Directory Migration Tool Kurulumu

Active Directory Migration Tool kurulumu esnasında Sql Server’a ihtiyaç duyacaksınız.Ortamda Sql Express 2005 SP3 (En azından Windows Server 2008 R2 sunucular için) sürümünün kurulu olması yeterlidir. 

SqlExpress 2005 SP3 programına aşağıdaki linkten ulaşabilirsiniz.

http://www.microsoft.com/en-us/download/details.aspx?id=15291

Active Directory Migration Tool kurulumuma başladığınızda karşılama ekranını, lisans ve katılım ekranlarını Next ile geçtikten sonra karşınıza gelen Database Selection ekranında varsayılan instance değerini yazalım. Kurulum başladıktan sonra varolan veritabanınınız varsa onu import edebilirsiniz. Biz burada “No do not Import data from existing database” seçeneğini seçip ilerleyelim.

Yeni bir veritabanı oluşturduktan sonra kurulumu tamamlayacağız.

Kurulumu tamamladıktan sonra Start, Administrative Tools üzerinden Active Directory Migration Tool konsoluna erişebilirsiniz.

referans : omerucler.wordpress.com

Forest Trust User Migration

Daha önceki yazılarımızda sizlere Forest Trust işleminden, Forest Trust User Migration işlemi için hazırlık işlemlerinden ve Active Directory Migration Tool uygulamasının nasıl kurulacağından bahsettik. Bu makalemde sizlere Active Directory Migration Tool’u kullanarak Forest Trust User Migration uygulamasını nasıl gerçekleştireceğinizden bahsedeceğim.

User Migration işlemine başlamadan önce ilk olarak omer.com domaini üzerinde  “Deneme” adlı bir OU, bu OU’in içerisinde taşınacak olan  “User1” adlı kullanıcıyı oluşturalım.

 

Daha sonra omer.com domaini içerisinde C dizini altında “Deneme” adlı bir paylaşım oluşturup bu paylaşımın Sharing sekmesi üzerinden “Everyone” adlı gruba Full Control yetkisini, Security Sekmesi üzerinden ise “User1” adlı kullanıcıya Full Control yetkisi verelim. Bu uygulamayı yapmamızın nedeni omer.com domaini üzerinde paylaşıma erişmesine hak verilen kullanıcının yazilimdevi.com üzerine taşınması sonrasında bu domain üzerinden de omer.com adlı domain üzerinde bulunan paylaşıma erişmesini sağlayacağız.

Active Directory Maximum Limits

Bir kullanıcı ya da bilgisayara uygulanacak maksimum GPO sayısı: 999

Active Directory integrated zone olarak çalışan maksimum DNS Server sayısı: 850 (Windows 2000), 1300 (Windows 2003)

Bir domain içerisinde maksimum desteklenen Domain Controller sayısı: 1200

Bir grubun maksimum üye sayısı: 5000 (Windows 2000), Sınırsız (Windows 2003)

Bir forest içerisindeki maksimum DHCP server sayısı : 850 (Windows 2000 SP1 ya da RTM), Sınırsız (Windows 2000 SP2 yada sonrası ve Windows 2003)

Kullanıcı arabiriminden eklenebilecek maksimum UPN Suffix sayısı: 850 (Daha fazla gerekirse ADSI script kullanarak oluşturulabilir.)

System State Backup & Authoritative Restore

Günümüzde sistem yöneticileri açısından en önemli operasyonlardan biri olan yedekleme(backup) işlemi hayati bir önem arz etmektedir. Çalıştığınız işyerinde veya dışarıdan destek verdiğiniz firmalar için üzerinde çalışılan sunucuların bozulması var olan işleyişin durmasına neden olabilir. Bu gibi durumlarda var olan operasyonel süreçlerin bozulmaması için üzerinde çalışılan sunucuların (bu bir domain controller olabilir, Exchange Server da olabilir) yedeğinin alınması gerekir. Windows Server 2008 R2 üzerinde yedek alma işlemi ve yedekten geri dönme işlemi Windows Server 2003 üzerinde yapılan işleme göre daha farklıdır. Ben bu yazımda sizlere komut satırını kullanarak system state yedeğinin nasıl alınacağını anlatacağım.

Windows Server 2003 üzerinde yedek alma ve yedekten geri dönme işlemleri için ntbackup aracı kullanılıyordu. Ntbackup aracı varsayılanda kurulu geliyordu fakat Windows Server 2008 R2 için durum biraz daha farklı bir hal aldı. System state yedeğini almak için ilk yapacağınız işlem Server Manager konsolu üzerinden Features bölümünden Windows Server Backup özelliğini kurmanız gerekiyor.

Refuse Machine Account Password Changes

DAHA Güvenli Kanal Şifrenizi Back Back yazımızda belirttiğimiz Gibi Active Directory İÇERİSİNDE Bilgisayar Hesapları, Windows NT Zamanında 7 gun, 30 Günde Bir şifrelerini resetlerler imkb Windows Server 2000'den Beri. Bu Bilgisayar şifreleri sistemin kendisi Tarafından Gerçekleştirilme Otomatik Olarak tanımlanır. (İstemci Bilgisayarların Domain'e Dahil Olması Ile başlayan Yenal) bircok Sistem yöneticisinin Böyle Bir süreçten Haberi olmaz. Böyle Bir Islem PEK ÇOK açıdan Yararli olacağı Gibi bircok dezavantaja da sahiptir. Örneğin Bilgisayar hesabını silmek istediginiz Zaman şifrenin en son Ne Zaman edileceğini öğrenebilirsiniz ayarlayın.

Güvenli Kanal Şifre özelliğini kapatmak for:

                  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet Delos Altında REG_DWORD oluşturup degerini Olarak atayabilirsiniz "1" Services \ Netlogon \ Parameters Altında "RefusePasswordChanges" \.

Güvenli Kanal Şifre özelliğinin Süresini uzatmak for imkb:

                    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet Services \ Netlogon \ Parameters Altında \ "MaximumPasswordAge" ADI Altında REG_DWORD oluşturup degerini "# gün 1,000,000 kadar" atayabilirsiniz.

Nato'da ortamda Sertifika Yetkilisi (CA) Kurulundan Bir makina var imkb met islemi yapamayacaksınız. Bu UNU resetlemek for "Güvenli Kanal Password" makinenizin to use:

Netdom / sunucu resetpwd: pdcservername / userd: EtkiAlanıAdı \ administrator / passwordd: * komutunu kullanabilirsiniz.

Remove Active Directory Domain Controller Metadata

Domain ortamında yararlanılır Ek Etki Alanı Denetleyicisi income bilgisayarınıza herhangi Bir nedenden dolayı erişemiyorsanız Meta veri temizleme işlemini kullanarak Kalan records Ortamdan kaldırabilirsiniz. Metadata Cleanup işlemini DAHA kısa surede tamamlamak for aşağıdaki script'i kullanabilirsiniz. Bu komut Ile Active Directory veritabanında Uygun'un sekilde silinmemiş Domain Controller'ları temizlemek amacıyla kullanabilirsiniz. Script'i kopyala / yöntemini kullanarak Notepad'e kaydedip yapıştırın. Vbs uzantılı Olarak kaydedelim.

Script'in Üzerine Çift işlemi Toplam ulaşamadığınız sunucunun Adını yazıp Tamam Butonuna tıklayalım.

Group policy ile mobil disk kısıtma

Sunucu Olan bilgisayarımız uzerinde Grup İlkesi Yönetim Konsolu konsolu Açılır. Grup İlkesi Yönetim Konsolu ekranında Grup İlkesi Nesne seçeneğine Sağ işlemi Toplam "Yeni" Seçeneği Ile oluşturacağımız grup policy'e isim veriyoruz.

Grup Policy'e isim verdikten SONRA Sağ işlemi Toplam "Düzenle" Seçeneği Ile Grup İlkesi Yönetimi Editörün sekmesinden sırasıyla; Kullanıcı Yapılandırması, İlkeler, Yönetim Template, Sistem, Çıkarılabilir Depolama Sınıfları: tüm erişim seçeneğini verme durumuna getiriyorum "Etkin". OK butonunu kullanarak Grup Policy'i oluşturuyorum.

Kiosk PC

 Nedir bu kiosk pc ne işe yarar, nasıl yapılandırılır simdi hep beraber ONU görelim. Kiosk Bir Bilgisayar Dokunmatik ekranlardan olusan sistemlerdir ettik. Kullanıcıların bulunduğu klavye kullanılmadığı Küçük Bir Yazıcı ekiyle Yazılı Materyaller verebilen mekanizmalar Şeklinde kullanılabilirler ücret ettik. Kiosk'lar AĞ aracılığıyla birbirleri Ile haberleşebilirler. Bu sayede Merkezi Bir Yönetim de sağlanmış Olur. Bu yazımda sizlere Windows Server 2008 R2 uzerinde grup ilkesi özelliğini kullanarak bir kiosk Bilgisayarın nasıL kurulacağı konusuna değineceğim.

Microsoft'un yayınlamış oldugu Genel Senaryolar Tool'unu aşağıdaki adresten Indirebilirsiniz.

http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=19735

ILK Olarak Grup İlkesi Genel Senaryolar programının kurulumunu gerçekleştirelim.

Programı kurduktan SONRA, Windows Server 2008 R2 İşletim sisteminde Grup İlkesi Yönetim Konsolu isimli Klasörü C: \ Program Files içerisine Taşıma işlemini gerçekleştirelim.

Dcpromo a password is not required password

Eğer yeni bir etki alanı oluşturduğunuzda, yerel Administrator hesabı etki alanı yönetici hesabı olur. Yerel Administrator hesabı parolası gereksinimlerini karşılamak değil, çünkü yeni etki alanı yaratılmış olamaz.

Şu anda, bir parola yerel Administrator hesabı için gerekli değildir. Biz / passwordreg ile net user komut satırı aracını kullanmanızı öneririz: Eğer yeni etki oluşturmadan önce bu hesap için bir şifre istemek için evet seçeneği; Aksi takdirde, bir parola etki alanı yönetici hesabı için gerekli olmayacaktır.

Active Directory kurulumu sırasında yukarıdaki Gibi Bir hata Mesajı Ile karşılaşabilirsiniz. Böyle Bir hata Mesajı Ile karşılaşırsanız Paniğe kapılmadan kolayca sorununuzu çözebilirsiniz. Geçen Windows Server 2008 kurulumu gerçekleştirirken karşılaştığım met Sorun Hakkında BİRAZ Bilgi toplayıp sorunun çözümünü de sizinle Paylaşmak İstedim Active Directory Üzerinde günlerde. Komutu Yerine Sunucu Yöneticisi Active Directory Domain Services kullanarak konsolunu rolünü kurulması sonucu Böyle Bir hata Mesajı Ile karşılaşabilirsiniz "dcpromo" Windows Server 2008 uzerinde. Bu kurulum sonrasında Çalışma Grubu Olarak çalısan bilgisayarınız uzerinde AD DS rolu yüklü Olarak Bulunmaktadır. Bunun policy'nin garip bir sekilde değiştiğini görebilirsiniz yerel grup ilkesi içerisine girdiğinizde şifreyi akabininde. Bu dugbumda tek yapmanız gereken imkb Değişen gpo ayarlarını Olması gerektiği Gibi ayarlamalı "gpupdate" komutunu kullanarak yaptığınız grup ilkesi ayarlarının Aktif olmasını sağlayabilirsiniz ettik. Oğlu Olarak "net user Administrator / passwordreq: yes" komutunu kullanarak kurulum işlemini Sorunsuz bir sekilde gerçekleştirebilirsiniz.

Active Directory Schema Version

Windows İşletim sistemlerine AIT şema versiyon bilgilerine aşağıdaki Konsolları kullanarak ulaşabilirsiniz. Sema bilgisine ulaşmak için ADSIEDIT konsolunu kullanabilirsiniz. ADSIEDIT konsolu İÇERİSİNDE Şeması bölüm Üzerine Sağ islemi Toplam Properties seçeneğini seçelim. Karşınıza Gelen "Nesne Version" Numarası Ile Sema Sürüm bilgilerine ulaşabilirsiniz ekranda.

Ta ayarlarını kullanarak Sema Sürüm bilgilerine ulaşabilirsiniz kayıt. Sema versiyonuna AIT bilgilere ulaşmak için sırasıyla HKEY_LOCAL_MACHINE \ System \ CurrentControlSet Sema Sürüm DWORD degerini görebilirsiniz Altında Services \ NTDS \ Parameters \.

Oğlu Olarak aşağıdaki cmd setini kullanarak "dsquery * cn = schema, cn = Configuration, DC = domain, dc = com-Kapsam baz attr Nesne Version" gereklı bilgilere ulaşabilirsiniz.

Aşağıdaki tabloda Windows İşletim Sistemlerine AIT Sema Sürüm bilgilerini görebilirsiniz.

Bant genişliği sınırı düzenleme

Microsoft, Windows güncelleştirmeleri (Windows Update, Lisans Yenileme) İnternet bant genişliğinin% 20'sini tahlil. Kullanıcılar Internet'ten dosya sayısı Transferi ya da UZAKTAN BAĞLANTI yapacakları sırada gerçekleşecek Bir güncelleme Ile internet hızınız Eklendi çok ama cok yavaşlayabilir. Bu durum cogu Kullanıcı for Eklendi çok Bir makarnalık Halini Alir SIKICI olabilir. Bu güncelleştirmeleri IPTAL Etmek for aşağıdaki uygulamayı gerçekleştirebilirsiniz: İlk Olarak "Çalıştır" Ekranı EKART açılıp " gpedit.msc "komutunu girelim. DAHA SONRA sırasıyla: Yerel Bilgisayar İlkesi, Bilgisayar Yapılandırması, Yönetim Şablonları, Ağ, QoS Paket Zamanlayıcısı Altında Sınır Rezervasyon Bant degeri 0'a çekilir. Varsayılanda met DEĞER% 20'dir.

Windows 2000, Windows XP, Windows Vista, Windows 7 İşletim sistemine Sahip bilgisayarlar uzerinde Sorunsuz bir sekilde met islemi gerçekleştirebilirsiniz.

Active Directory Replication

Büyük ölçekli firmalar için Active Directory replikasyon işlemleri hayati bir önem arz etmektedir. Active Directory multimaster bir mimari yapıya sahiptir. Multimaster mimari yapı demek, ortamda bulunan bütün domain controller’ın sürekli birbirleri ile replikasyon halinde olması anlamına gelir.

Replikasyonların amacı Domain Controller’ın veritabanlarının birbirleri ile senkronize olmasını sağlamaktır. Active Directory replikasyon işlemleri karşılıklı iki domain controller arasında gerçekleşirse push ve pull replikasyon mekanizması olarak değil, pull replikasyonu şeklinde gerçekleşir. Replikasyon bir bilgisayarın diğer bir bilgisayara istekte bulunması ile başlar. Replikasyon işleminde tüm veritabanı update edilmez sadece değişen değerler güncellenir. Domain Controller arasındaki replikasyon işleminde herhangi bir Domain Controller’da güncelleştirme olduğunda Domain Controller üzerinde “Change Notification” bilgisi oluşur. Değişikliğin olduğu Domain Controller ortamdaki diğer domain controller’lara kendisinde bir değişiklik bulunduğuna dair paket yollar. Paketi alan Domain Controller’larda bu değişikliği yapmak istediğine yönelik bir paket yollar. Karşılıklı paket alışverişinden sonra replikasyon başlar.

Replikasyona uğrayacak olan domain controller’ların aynı schema versiyonlarında olması gerekir. Replikasyon işlemi farklı site’lar arasında gerçekleşirse minimum 15 dakika sürer. Replikasyon süresini ADSIEDIT konsolu üzerinden farklı site üzerinde bulunan Domain Controller’ları aynı site içerisinde göstererek replikasyon işlemini anlık gerçekleştirebilirsiniz. Active Directory içerisinde sunucular arasında replikasyonu izlemek için bir versiyon değeri kullanılır. Bu verilen değere USN (Update Sequence Number) denir. Active Directory içerisinde değişiklik her yapıldığında USN değeri artar. Replikasyon işlemleri her zaman cost değeri düşük olan connection object üzerinden yapılır. Aynı site içerisinde replikasyon saatte bir farklı site’lar arasında replikasyon varsayılan olarak üç saatte bir gerçekleşir. Replikasyon işlemleri için repadmin, replmon, dcdiag, ntdsutil araçlarını kullanarak replikasyon süreçlerini gözlemleyebilirsiniz. 

Global Katalog

Forest’taki tüm objelerin, attribute’lerin nerede tutulduğuna dair bilgileri içerir. Örneğin departmanı muhasebe olan Ahmet kullanıcısını hangi Domain Controller üzerinde bulunuyor? Default olarak bir tane Global Catalog vardır. O da ilk kurulan Domain Controller (Forest root Domain) içerisinde yer alır.

Domain Controller, Global Catalog, Exchange Server aynı site içerisinde konumlandırılması sistemin işleyişi açısından iyi bir çözüm olabilir. Domain Controller sayıları arttıkça gerekirse global catalog sayısının da arttırılması gerekir. Fakat ne kadar fazla sunucuyu Global Catalog olarak yapılandırırsanız network trafiği o derece yoğunlaşacaktır. Global Catalog yapısına Active Directory Sites and Services konsolunu kullanarak erişebilirsiniz.

Site and Subnet

Active Directory’nin fiziksel yapısını oluşturan etmenlerden biri de Site kavramıdır. Peki site kavramını nasıl bir ortamda kullanabiliriz? Birden fazla fiziksel lokasyonun bulunduğu organizasyonlarda şubelerde hizmet vermek istiyorsanız site yapısından yararlanabilirsiniz. Peki neden site yapısını kullanmalıyız? Kullanıcılarınızın logon işlemlerini daha hızlı ve sorunsuz bir şekilde çözebilmesi, uzak lokasyonlarda bulunan sunucularınızın yönetimi ve kullanılan sistemin daha az ağ trafiği yoğunluğu ile çalışması gibi nedenlerden dolayı site yapısını tercih edebilirsiniz. Subnet ise kullanıcıların ihtiyaçları doğrultusunda bütün bir blogu uygun bir şekilde bölme işlemine denir. Site ve Subnet oluşturmak için Active Directory Sites and Services konsolunu kullanabilirsiniz. Active Directory Sites and Services ekranına sağ tıklayıp “New Site” seçeneği ile yeni bir Site oluşturabilirsiniz.

Site’ların birbirleri ile haberleşebilmelerini sağlayan fiziksel bağlantıya “Site Link” denir. Site’lar arasında replikasyonu ve replikasyonun yönetimini sağlar. Bu bağlantı tipi ile replikasyonun hangi gün ve saatlerde yapılacağını görebilirsiniz. Subnet oluşturmak için Active Directory Sites and Services konsolunu açıp Subnet klasörüne sağ tıklayıp “New Subnet” seçeneğini seçelim.

Replikasyon sisteminde replikasyon hızının belirlenmesi için cost değeri kullanılır.Replikasyon süresi var olan bant genişliği ile alakalıdır. Cost özelliği sayesinde iki site arasındaki bağlantının güvenilirliği ve hızını ayarlayabilirsiniz.

Site Link Bridge ile farklı site linklerini birleştirebilirsiniz. Mevcut domain yapınızda Site Link Bridge ile ilgili işlemleri gerçekleştirmek istiyorsanız Active Directory Sites and Services konsolunu kullanabilirsiniz.

Yukarıdaki ekranda “Bridge all site links” değerini kaldırırsanız Site Link Bridge özelliğinden yararlanabilirsiniz.

Knowledge Consistency Checker(KCC)

Domain yapısına katılan Domain Controller arasında bir replikasyon işlemi gerçekleşir. KCC servisi ile 15 dakikada bir Domain Controller’ın kendi aralarındaki en ideal yolu bulup Domain Controller’ın kimlerle replikasyon işlemini gerçekleştireceğini belirler. Active Directory yapısında replikasyon için bağlantı objelerini (Connection Objects) oluşturur. Tüm Domain Controller’lar üzerinde çalışan bir sevistir.

Bridge Head Server

Farklı iki site arasında replikasyon işlemlerinde site’ler içerisinde bulunan tüm Domain Controller’lar birbirleri ile iletişim halindedirler. Site içerisinde tüm Domain Controller’lar arasında bir Domain Controller seçilip karşılıklı iki Domain Controller’lar arasında gerekli replikasyon işlemini gerçekleştirebilirsiniz. Bu sayede fazla network trafiğini de engellemiş olursunuz.

Son olarak replikasyon işlemlerinde Site içi replikasyonlarda RPC over IP (Remote Procedure Call) protokolü kullanılırken Site’lar arası replikasyon işlemlerinde SMTP (Simple Mail Transfer Protocol) ve RPC over IP (Remote Procedure Call) protokolü kullanılır.

Changing the Tombstone Lifetime Attribute in Active Directory

Active Directory içerisinde silinen bir objenin fiziksel olarak veritabanından silinmeden önce bekleyeceği süreye “Tombstone Lifetime” denir. Active Directory üzerinde bir objeyi sildiğiniz zaman obje veritabanından hemen silinmez. Silinen objeye ait “IsDeleted” attribute değeri “true” olarak değiştirilip tombstone “Mezar taşı” olarak işaretlenir. Attribute değeri değiştirilen obje “Deleted Objects” container’ı içerisine taşınır. Deleted Objects Container’ı içerisinde silinen objeye ait birkaç temel öznitelikler hariç diğer tüm öznitelikler silinir. Tombstone süresi dolduğunda ise Garbage Collection işlemi aracılığıyla fiziksel olarak silinme işlemi gerçekleşir. Garbage Collection süresini Adsiedit konsolunu kullanarak değiştirebilirsiniz.Garbage Collection süresini değiştirmek için Adsiedit konsolu üzerinden sırasıyla Configuration, Services, Windows NT, Directory Services bölümüne gidelim. Directory Services üzerine sağ tıklayıp Properties seçeneğini seçelim. Karşımıza gelen ekranda “GarbageCollPeriod” attribute değerini değiştirebilirsiniz.

Tombstone süresi Windows Server 2000, Windows Server 2003’de 60 gün iken, Windows Server 2003 SP1 ile birlikte bu süre 180 gün olmuştur. Bu değeri değiştirmek için Directory Services container’ı altından Tombstone lifetime attribute değerini değiştirmelisiniz. Bu değere ulaşmak için Adsiedit konsolu üzerinden sırasıyla Configuration, Services, Windows NT, Directory Services bölümüne gidelim. Directory Services üzerine sağ tıklayıp Properties seçeneğini seçelim. Karşımıza gelen ekranda “Tombstone lifetime” attribute değerini belirleyebilirsiniz.

Tombstone Lifetime süresi Windows Server 2003 SP1 işletim sistemine yükseltme (upgrade) yaptığınızda otomatik olarak değişmez, bu değeri elle yani manuel olarak yapılandırmalısınız. Bu işlemleri gerçekleştirmeden önce bu işlemi yapacak olan kullanıcının Enterprise Admins üyesi olması gerektiği unutulmamalıdır. Bu değeri Vbscript ya da Ldif File aracını kullanarak ta değiştirebilirsiniz.

Zone Aging and Scavenging

Zone altında yaratılan kayıtlar siz bu kayıtları silene kadar zone altında kalmaya devam ederler. Fakat domain içerisine dahil olan bilgisayarlar kendi ağ kayıtlarını girerler.Peki makina herhangi bir nedenden dolayı “down” olursa ve makinaya ulaşılamazsa bu kayıtların kendi kendine silinmesi sizin açınızdan ne kadar yararlı olur? Yüzlerce makinanız varsa sorunuzun cevabı evet olacaktır. Bu gibi  durumlarda aging özelliğini kullanabilirsiniz. Ortamda birçok istemci makinanız varsa ve çalışma ortamınızda çok miktarda sirkülasyon oluyorsa bir süre sonra otomatik olarak geri gelmeyen istemcilerin kayıtlarını temizlemek istiyorsanız bu özelliği kullanabilirsiniz. Bir kaydın belirli bir zaman sonra otomatik olarak silinmesini sağlayabilirsiniz. Bu işlemler iki aşamadan oluşan bir mekanizmaya sahiptir.

-Kaydın yaşlanması (Kaydın süresinin doldurulması)

-Süresi dolan kayıtları kontrol edip temizleyen mekanizmanın çalıştırılması

Aging işlemini uygulamak istediğiniz zone’un özelliklerinden “Aging” butonuna tıklayalım.