SİSTEM DOKTORU

Untangle Site To Site OpenVPN Konfigürasyonu

Gökhan KOCA — Thu, 10 Jul 2008 20:17:02 GMT

Kurulum (Server side)

Kurulum tamamlandıktan sonra VPN bağlantısı sağlanması için VPN modülü kurulmalıdır. Kurulum tamamlandıkan sonra OpenVPN aktif olabilmesi için ayarlanması gerekmektiğini bildiren bir ekran gelecektir.OpenVPN i kurabilmek için show settings kısmında bulunan sihirbaz ekranı gelecektir. Bu ekranda kurulumun Server modunda olması gerektiğinden dolayı "Configure As Server" seçilir.

Bir sonraki aşama bizi kurulum sihirbazına götürecektir. Karşılama ekranı geçildikten sonra OpenVPN sertifikasını oluşturacağımız ekrana geliriz. Burada gereken bilgiler doldurarak sonraki aşamaya geçeriz.

Bir sonraki basamakta bölge ofislerimizin bağlanması için VPN IP havuzlarının oluşturulması gerekecektir. Burada önemli husus oluşturulan havuzların hiç bir şekilde internal veya external networkler ile aynı olmamasıdır.Bu havuzla VPN Clients veya VPN sites ekranında yeniden karşılacağız.

Daha sonra geçeceğimiz "Add Exports" menüsünde Untangle server arkasından publish edilecek networkümüzü belirleriz. Bu network direk olarak Untangle server internal interface network ID sinde olmasına gerek yoktur. İstenilirse sadece tek makinada 255.255.255.255 maskeleme ile publish edilebilir.

Eğer "Client to Side" yapacak isek "Add VPN Clients" Site - Site yapacak isek "Add VPN Sites" menüsü ile ilerleriz. Örnekte Site - Site yapacağız. Bu nedenle benzesiz bir bir "Site Name" oluştururuz. Aynı menüden Adress Pool olarak bağlanacak hardware clientların IP alacağı havuzlar belirlenecektir. Bu noktada Network ID olarak branch ofisimizde bulunan Untangle sunucusunun internal interface network ID sini atarız.

İşlem sonlandıktan sonra open VPN miz hazırdır.İşlem tamamlanınca OpenVPN server portu eğer başka bir firewall arkasında ise yönlendirilmesi gerekecektir. Varsayılan olarak OpenVPN UDP 1194 kullanacaktır. Sistem başlangıçta "Off" konumunda gelmektedir Bu nedenle open vpn i power butonuna basmak suretiyle aktive ederiz.

Server kurulumu bitince artık branch office client kurulumunu yapabiliriz. Settings tıklanıldığında karşımıza gelen ekranda "Next" ile ilerleriz.

İkinci basamakta karşımıza konfigürasyonun nereden alıncağı sorulmaktadır. Biz konfigürasyonu Mail veya USB üzerinden iki sekilde alabiliyoruz.

İlk önce serverdan konfigürasyonu export etmemiz gerekecektir. Bunun için Server tarafında bulunan VPN Clients/Sites tabında VPN Sites alt tabına geçeriz. Bu menüde "Secure Key Distribution" kolonu altındaki "Distribute Client" butonuna tıklarız.

Sistem bize E-mail veya USB ile dağıtımlardan bir tanesi seçmemizi isteyecektir.E-Mail ile seçtiğimizde bizden geçerli bir e-mail adresi girmemizi isteyecek ve maili o adrese gönderecektir.

Mail adresimizin mutlaka SPAM mail kısmını kontrol etmemiz gerekecektir. Sistem bize server IP si ve paroladan oluşan bir mail gönderecektir.

Mailimize gelen bilgileri VPN client tarafında ilgili alanlara doldururuz.

Next ile download işlemini gerçekleştiririz.

İşlem bittiğinde Power Butonu ile sistem çalıştırılabilir. Server tarafında OpenVPN modül konsolunda bulunan EventLog ile sistemin bağlantısını kontrol ederiz.

NOT: Open VPN Programı kurulduktan sonra branş ofisimizden merkez LAN interface i pingleyemeyeceğiz bunun nedeni packet filterin devrede olması ve Block All olarak işaretli olmasıdır. Bu sorunu çözebilmek için sol konsolda bulunan config tabı altında "Networking" Butonunu tıklarız.

Bu buton bize networking ayarlamalarını açacaktır. Ekranın sağ tarafında advanced butonuna tıklayarak ileri ayarlamları yapabileceğimiz "Advanced" moda geçiş yaparız. Buradan paket filtrelerine ek kural oluşturmak için "Packet Filter" menüsüne ulaşırız.

"Add" butonu ile yeni bir kural ekleyerek VPN bacağına izin veririz

Artık uzaklardaki bölge ofisleri sisteme bağlanabilecektir.

WINDOWS XP UNATTEND (KATILIMSIZ) KURULUM

Harun KORKMAZ — Mon, 14 Apr 2008 07:11:49 GMT

Windows Xp Kurulumu artık birçok kullanıcının kendisinin yaptığı bir işlemdir. Sahşi olarak devamlı farklı donanımlara xp kuranlar için en sıkıcı olan işlem xp kurulumu sırasında eline bir fincan kahve alıp önünde xp kurulumu için gerekli bilgileri zaman geldikce girmek gerekli ve bu bayağı bir zaman almaktadır. İşte burada microsoft firması devreye girerek önceden bütün bilgileri bir dosyada topluyarak kurulum sırasında işletim sisteminin sorularına cevapları alacağı bir dosya oluşturup bizi bu süreden kurtaracak olan setup manager aracını yazmışlardır.

Katılımsız kuruluma başlamamız için İşletim cd’sinin içinde supporttools klasörü içindeki Deploy. cab dosyasını bilgisayarımıza kopyalıyarak açıyoruz ve setupmgr. exe bularak, çalıştırıyoruz.

Setupmgr. exe dosyasını çalıştırarak Katılımsız kurulum sihirbazını çalıştırıyoruz. İleri diyerek devam ediyoruz.

Burada (Create New) yeni bir cevap dosyası veya (modify existing) varolan bir dosyanın üzerinde değişiklik yapmamız için iki seçenek görülecektir. Biz yeni bir cevap dosyası oluşturacağımız için Create New ile ileri diyerek devam ediyoruz.

Setup türünü seçeceğimiz bölüm gelecektir. Biz burada 1. seçenek olan Unattended setup’ı katılımsız kurulumu seçerek devam edeceğiz fakat diğerleri hakkında kısaca bilgi vermek gerekirse;

Sysprep Setup: Windows XP işletim sistemini birden çok bilgisayara dağıtmak isteyenler için tasarlanmış bir araçtır. Tek bir sistemde ilk kurulum adımlarını gerçekleştirdikten sonra sysprep.exe dosyası ile xp’nin imajını alarak, Sysprep cevap dosyası ile başka bilgisayarlara dağıtım yapmamızı sağlar.

Remote Installation Services (RIS) Setup: İstemci bilgisayarların merkezi bir yerden kurulmasını sağlar.

Kurulum yapacağımız işletim sistemini seçiyoruz. Biz xp professional kurulumu yapacağımız için ileri diyerek devam ediyoruz. Fakat burada görülen Net Serverlar şu anki Windows Server 2003 sürümlerini temsil etmektedir.

Windows kurulumu sırasında kurulum ile ilgili müdahale şeklimizi seçiyoruz biz tamamen otomatik olarak kurulmasını istediğimiz için fully outomated diyoruz diğer seçenekler ise

User Controlled: Windows varsayılan ayarları vererek kullanıcıdan bilgilerin girilmesini bekler.

Hidden Pages: Kurulum sihirbaz sayfasını kullanıcıdan gizler kurulum yanıtlarını gösterir ancak değiştirilmesine izin vermez

Read Only: Gerekli cevapları sağladıktan sonra kullanıcı ayarları görebilir fakat değişiklik yapamaz.

GUI attended: İlk kuıulum sırasında ki text modunu otomatik olarak yapar grafiksel alan olan mouse kullanmaya başladığımız kısımda ki bilgileri kendimizin doldurması gerekmektedir.

Xp’yi nereden kurmak istediğimizi belirlediğimiz ekran karşımıza gelecektir. Biz CD üzerinden kuracağımız için set up from a CD diyerek ileri devam ediyoruz. Ve artık kurulum için gerekli bilgileri gireceğimiz kısma geldik…

Lisans sözleşmesini kabul ederek ileri diyoruz.

Ve artık normal windows kurulumu yaparken bize sorulan soruların hepsini burada kendimize göre derliyerek kurulum işini daha da basitleştirebiliriz. Burada genel bir isim ve şirket ismimizi belirliyoruz ve ileri diyerek devam ediyoruz.

Görüntü ayarları kısmına geçerek pc’nin kurulumdan sonra ilk açılım sırasında ki ekran ayarlarını ayarlıyoruz. Burayı default olarak bırakmak en iyisi ki siz frekansı 85 ayarlarsanız normalde monitorunuz desteklese bile açılmayabilir. Daha sonra ekran kartını tanıtımından sonra ayarlamak en uygun olanıdır ve ileri diyerek devam ediyoruz

Bilgisayarımızın zaman bölgesini seçiyoruz burada +02:00 istanbulunda olduğu listeyi seçiyoruz ve ileri diyerek devam ediyoruz.

Windows xp ürün anahtarını giriyoruz burada girilen anahtarın doğru olduğunu kontrol ediniz ve ileri diyerek devam ediyoruz.

Bilgisayarlar ismini belirlediğimiz kısma geldik burada bir isim ve isimler kümesi verebiliriz veya isimlerle uğraşmak istemiyorsanız ve bilgisayar isminin önemi yoksa otomatik olarak bilgisayar isimleri oluşturmak için aşağıdaki kutuçuğu işaretliyerek default olarak girilen isim veya organizasyon ismine uygun karmaşık bir isim vermektedir.

Yönetici şifresini belirlediğimiz bu kısımı boş bırakmamak en uygunudur. Burada dikkat edilmesi gereken husus admin şifresini şifrelememiz gerekli ve ilk kurulum yapıldıktan sonra administrator kullanıcısı ile kaç defa otomatik açılmasını istediğimiz sayıyı belirliyoruz.

Değişiklik yapmadan ileri diyerek devam ediyoruz

Kurulum yapacağımız Pc’yi çalışma grubunda mı yoksa bir etki alnına dahil edecekseniz bu bilgileri girmemiz gerekiyor. Etki alanını denetleyicisini seçersek yetkili bir kullanıcı adı ve şifresini girilmesi gerekmektedir fakat çalışma alanında kalması daha uygundur ve ileri diyerek devam ediyoruz

Pc’ye bağlı bir modem varsa ve ayarlamamız gerekiyorsa telefon ayarlarını girmemiz gerekiyor istenirse boş bırakılabilir.

Bölge ayarlarının Klavye ve seçimini yaptığımız kısımdır. Default olarak bırakırsak ingilizceye göre ayarlayacaktır. Specify kısmından türkçeyi seçiyoruz ve ileri diyerek devam ediyoruz

Türkçeyi seçtikten sonra burasıda aynı zamanda türkçe geliyor ileri diyerek devam ediyoruz

İnternet explorer ayarlarını yaptığımız kısım karşımıza geliyor herhangi bir proxy server kullanıyorsak kurulumda bu bilgileride girerek internet explorer ayarlarımızı yapabiliriz.

Windows Xp sistem dosyalarının nereye yükleneceğini belirtiyoruz standart olarak windows ismi ile kurulur otomatik farklı bir isim istenirse ikinci seçenek kullanılır farklı bir adres ve bizim belirlediğimiz bir isim için üçüncü seçenek kullanılır.

Kurulumdan sonraki ilk logon işleminde otomatik olarak printer kurulması için printerın \\adres\printerismi gibi yol girdikten sonra ekle dememiz lazım ve printer kurulumu için gerekli izinlerin olması gereklidir.

Kurulumdan sonra ilk logon işleminden sonra belirlediğimiz bir komutu ekleyebiliriz.

Bir önce ki komut satırından bir farkı yoktur. Ek komutlar vermek için kullanılır. Finish düğmesine basıyoruz.

Artık işlemlerimiz bitmiş oluşturulacak dosyaların adresini belirterek evet diyoruz.

Oluşturulan dosyaların adres ve isimlerini bildiren bir ekranla karşılaşıyoruz Cancel diyerek ekranı kapatıyoruz.

Kurulum için gerekli bilgilerimizi girdikten sonra unattend. txt ve unattend. bat dosyalarımız oluştuktan sonra yapmamız gereken en önemli işlemlerden birisi unattend. txt dosyamızı açarak [Data] kısmında ki AutoPartition değerini “1” ise “0” olarak ayarlanması gerekmektedir. Bu değer “1” olursa windows xp partitionları kendi oluşturarak “c:\” sürücüsüne otomatik yükleme işlemine başlayacaktır. “0” olarak ayarladığımızda partition ayarlarını ve xp’yi hangi sürücüye yükleyeceğimize biz karar verebiliriz.

Ayrıca dikkat ederseniz [Guiunattended] kısmında adminpasswordun karşısında garip harf ve sayıların bulunduğu bir şifreleme kullanıldığını göreceksiniz. Unattended hazırlarken admin şifresi olarak girdiğimiz ve altında işaretlediğimiz encryption sekmesini işaretlediğimiz için bu şekilde gözükmektedir eğer bunu işaretlemez ve admin şifresini girersek bu dosyanın birisinin eline geçmesi durumunda şifremizi öğrenebilirler.

En son ayarımıza geldi bunu yapmadan önce sisteminizde herhangi bir klasörü açararak Araçlar > Klasör Seçenekleri kısmına girerek oradan Görünüm sekmesine geliyoruz burada da “Bilinen dosya türleri için uzantıları gizle” ayarı işaretli ise bu tiki kaldırınız. Böylece dosyaların uzantılarını artık görebiliyoruz.

Bu işlemden sonra oluşturduğumuz “unattend. txt” dosyasının ismini “winnt.sif” olarak değiştiriyoruz. Burada dikkat edilmesi gereken husus dosyanın uzantısının doğru değiştirilmesidir. Zira bazen winnt. sif. txt olarak değiştirilmektedir.

Değiştirdiğimiz winnt. sif dosyasını windows xp cd’si imajını bir programla (winiso, magiciso veya nero gibi) bilgisayarınıza oluşturarak bu imajın içerisinde ki i386 klasörünün içerisine kopyalıyoruz. İmajımızı cd’ye yazdırdığımızda artık katılımsız kurulum cd’miz hazırlanmış olacaktır.

Dikkat edilmesi gereken bir husus var katılımsız kurulum alışkanlık yapmaktadır. :-))

Aynı işlemleri windows 2003 serverlar içinde otomatik kurulum yapabilirsiniz bunun için yapmanız gereken iki şey var.

Windows server 2003 için windows .NET Enterprise Server veya Standart Serverdan birini seçmemiz gerekli

Lisans Modunu seçmemiz gerekmektedir.

Not: Burada anlatılan uygulamayı Görsel olarak Dosyalar kısmında unattendedinstall.zip dosyasını indirerek uygulamayı flash olarak katılımlı bir şekilde uygulayabilirsiniz.

Ayrıca SetupMgr.exe ve unattended.bat, unattended.txt ve winnt.sif dosyalarını içeren unattendedinstalltools.rar dosyasınıda aynı yerden indirebilirsiniz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

DELEGATE CONTROL USER (Domain ortamında Kullanıcı Yetkilendirme)

Harun KORKMAZ — Mon, 14 Apr 2008 06:54:41 GMT

Sorumlu olduğumuz bilgi işlem departmanında sistem sorumlusu olarak büyük veya büyüyen bir firmada ya da açılan veya açık olan şubelerimizde yapmamız veya takip etmemiz gereken birçok işin arasında bir de gün içerisinde çıkan yeni işe başlayan bir çalışan için kullanıcı oluşturma veya var olan kullanıcıların şifrelerini değiştirme, hesap kilitlerini kaldırma, izne çıktı hesabını devre dışı bırakma gibi takip etmemiz gerekli olan birçok işler çıkmakta bunlar aslında çok kolay görünen fakat zaman alan işlemlerdir.

Özellikle sistem sorumlusu olarak tek veya az bir çalışanla bunu idare etmeye çalışıyorsak veya uzaktan şubemize de desteği biz veriyorsak bu işler zamanla bir angarya’ya dönüşmekte veya bilgi işlemde çalışan kişiler için sunuculara domain admin gibi tam yetkiler vermekten çekiniyorsak güvenlik, sistemde oluşabilecek bir hatayı önlemek için hem kendi bünyemizde hem de istediğimiz kullanıcılarımıza istediğimiz yetkileri vererek bu yetkileri sınırlandırarak hem kendiişlerimizi hafifletmiş hem de gerekli güvenliğimizden ödün vermemiş olabiliriz. İşte biz buna kullanıcı yetkilendirme diyoruz.

Not: Burada vereceğimiz yetkiler kullanıcılara domain admins gibi yetki vermek değildir.

Yetkilendirme işlemine başlıyoruz.

Resim 1

Bunun için ilk önce yetkili kullanıcılarımız için active directory user and computer kısmında bir ou oluşturuyoruz

Resim 2

Ve isim olarak Delegation ismini veriyoruz ki burada yetki vereceğimiz kişiler için gruplar oluşturarak onları kontrol altında tutarak yönetebilmeyi kolaylaştıracağız.

Resim 3

Şimdi ise oluşturduğumuz ou içerisine yeni bir grup koyuyoruz ve ismini anlaşılabilmesi için delega_muhasebe diyoruz. Biz burada muhasebe departmanında bulunan adem kılıç adlı kullanıcıya yetki vererek muhasebe departmanı kısmı için şifre değiştirme ve hesap kilitleme gibi yetkiler vereceğiz. Grubumuzu oluşturduktan sonra âdem kılıç adlı kullanıcıyı gruba ekliyoruz.

Resim 4

Daha sonra active directory’deki muhasebe ou’su üzerinde sağa tıklayarak delegate control bölümünü seçerek yetkilendirmeye başlıyoruz.

Resim 5

Karşımıza delegate control ayarlamaları için bir sihirbaz çıkacaktır ve burayı ileri diyerek devam ediyoruz.

Resim 6

Delegation yetkilerini vereceğimiz kullanıcı(ları) ve Grup(ları) ekle kısmından ekleyerek ileri düğmesi ile devam ediyoruz yetkilendirmeye

Resim 7

İster 1. seçenekten hızlı bir şekilde kullanıcı oluşturma silme ve yönetme ile birlikte kullanıcı şifrelerini değiştirme seçenekleri işaretleyerek ileri diyerek bitirebiliriz. Veya yetkilendirme olayını biraz daha derinlemesine inmek için ise 2. seçenekle devam ederiz. Biz 1. seçenekle devam ediyoruz. Kullanıcılar için yönetme yeni kullanıcı oluşturma ve şifre değiştirme yetkilerini veriyoruz. Ve ileri diyoruz.

Resim 8

Ve en son yaptığımız işlemleri gösteren bir pencere ile Bitti düğmesi ile işlemimizi bitiriyoruz. Ve böylece Muhasebe ou'su için yetkili bir kullanıcı atamış olduk.

Resim 9

Şimdi ise yaptığımız ayarları denemek amaçlı âdem kılıç kullanıcısı ile giriş yapıyoruz.

Yönetimsel araçlar ekranda olmadığı için

Başlat > Çalıştır > Mmc yazarak managment konsolu açarak add\remove snap-in sekmesinden active directory user and computer kısmını ekliyoruz.

Resim 10

Ve Genel MD ou’su içerisindeki Ahmet YALCINKAYA adlı kullanıcın şifresini değiştirmeye çalıştığımızda yeni şifrelerini yazdıktan sonra

Resim 11

Karşımıza erişimin engellendiğine dair bir uyarı mesajı ile karşılaşıyoruz.

Resim 12

Şimdi ise muhasebe ou’su içerisinde ki Hasan Bakan beyin şifresini değiştirmeye çalışıyoruz ve yeni şifrelerini girdikten sonra tamam düğmesine tıkladığımızda değiştirebildiğimizi göreceğiz. (Resim 13)

Resim 13

Bu işlemlerden sonra yetki verdiğimiz kullanıcıya bu yetkilerini kullanacağı bir pencere ayarlamak gerekiyor zira bütün active directory yapımızı göz önüne sermiş olacağız. Ve

Resim 14

Demin oluşturduğumuz mmc konsolunun üzerinde eklemelerimizi yaptıktan sonra muhasebe üzerinde sağa tıklayarak new taskpad view diyoruz.

Resim 15

Karşımıza gelen sihirbaza ileri diyerek devam ediyoruz. Böylece sadece muhasebe ou’sunu âdem kılıç adlı kullanıcı için mmc konsolumuzu değiştirerek kullanıcıya kolay bir kullanım penceresi ayarlamış olacağız.

Resim 16

Gelen pencerede görev penceresinin görünümünü ayarlıyoruz. Ve ileri diyerek devam ediyoruz.

Resim 17

Burada da gelen pencerede all tree items that are the same type ad the selected tree item diyerek devam ediyoruz.

Resim 18

Oluşturduğumuz görünüme bir isim ve açıklama girerek ileri diyoruz

Resim 19

Görünüm penceresi ayarlarımızı tamamladığımızı gösteren bir uyarı ile karşılaşıyoruz ve burada görev penceresine görev eklemek için ekle sekmesini işaretliyerek Bitti diyerek görev yolunun görünümünü ayarladıktan sonra buraya görevleri eklemek kaldı

Resim 20

Gelen pencereden menü command seçerek ileri diyoruz.

Resim 21

Âdem kılıç beyin kullanacağı özellikleri tek tek ekliyoruz. Zira birer tane seçme durumumuz var.

Resim 22

Eklediğimiz araçın ismini ve açıklamasını giriyoruz.

Resim 23

Ve aracımız için bir ikon seçiyoruz.

Resim 24

Eklediğimiz görevleri bitti diyerek ayarlarımızı sonlandırıyoruz.

Resim 25

Mmc konsolumuzdan muhasebe ou’su üzerinde sağ tıklayarak new Windows from here diyerek sadece muhasebe ou’sunu görünümünü ayarlamış oldu ve artık âdem bey için gerekli kullanıcı yetkilendirmeleri ve kullanım penceresi hazır.

Resim 26

Artık âdem bey muhasebe ou’su içinde ki kullanıcıların şifrelerini ister üzerlerinde sağa tıklayarak isterse de aşağıda ki hızlı butonlarla değiştirebilir bunun için muhasebe ou’su içindeki kullanıcılardan birini işaretlemesi yeterli olacaktır.

Resim 27

Eğer ki bu görünümü ve araçları değiştirmek istenirse muhasebe ou’su üzerinde sağa tıklanılarak edit taskpad view denilerek hem görünüm hem de işlem araçları için pencereler gelecektir.

Resim 28

Resim 29

Artık çalışanlarımızdan birine ve departman bazında bu şekilde yetkiler vererek kullanıcılarımıza daha hızlı problemlerini giderirken bizlerde yoğunluğumuzu bu şekilde düşürebiliriz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

ADDITIONAL DOMAIN CONTROLLER KURULUMU

Harun KORKMAZ — Tue, 01 Apr 2008 21:38:14 GMT

(EK ETKİ ALANI DENETLEYİCİSİ)

Additional domain controller “Not: Bazı yerlerde kısaca ADC diyeceğiz” “Ek etki alanı denetleyicisi” sistemimizde kurulu olan domain controller serverımızın çalışan bir yedeğidir. Büyüyen bir yapıda veya oluşabilecek bir hata sonucu domain controllerımızın çalışmaması gibi durumlarda kısa bir sürede FSMO Rollerinin taşıma işlemini yaparak sistemimizi ayağa kaldırabiliriz. Domain controllerın kontrol ettiği kullanıcı, bilgisayar, policy ve active directory database’in iki farklı veya yapımıza göre daha fazla sunucu üzerinde paylaştırılması için kullanılır.

Aynı network üzerinde ADC’nin kullanım amacı daha cok DC’mizin bir yedeği gibi algılanabir.

Fakat farklı network yapılarında ise yani şubemizdeki çalışanların logon olma policy gibi active directory işlemleri için domain controllerımıza bağlanarak işlem yapılmaktadır. Şube hatlarımızın bant genişlikleri yereldeki active directory işlemlerinden küçük olması her sabah şubemizin bağlanması ve aktif olarak işleme geçmesi bant genişliğinin yetersiz kalma gibi durumlarda zaman ve para kaybına sebebiyet verecektir. İşte burada devreye ADC devreye girerek şube ADC’si ile merkez DC arasında belli aralıklarla replikasyon yaparak kullanıcılarımızın logon gibi işlemlerini hızlı bir şekilde gerçekleştirebiliriz.

Kuruluma başlamak için

Resim 1

(Resim 1) Başlat > Çalıştır > dcpromo yazıyoruz.

Resim 2

(Resim 2) Yazdıktan sonra karşımıza active directory kurulum sihirbazı açılacaktır.

Resim 3

(Resim 3) Karşımıza active directory kurulumu için gerekli uyumluluk bilgilerini içiren bir yazı gelecek burada ileri (Next) diyerek kuruluma devam ediyoruz.

Resim 4

(Resim 4) Etki alanı denetleyicisi’nin rolunu seçeceğimiz kısım gelecektir. İki seçenek gelen ekranımızda

Domain Controller for a new domain: Yeni bir domain yapısı oluşturmamızı sağlar
Additional domain controller for an existing domain: Varolan bir etki alanı denetleyicisi ne yardımcı bir additional domain controllereklemek için kullanılır. Biz burada 2. seçeneği seçerek devam ediyoruz.

Resim 5

(Resim 5) İleri diyerek devam ettiğimizde karşımıza dâhil olacağımız domain’in yetkili bir kullanıcı adı “Burada dahil olacağımız domainde Domain admins Administrator veya Enterprise Admin yetkilerine sahip bir kullanıcı” şifre ve domain’e dâhil edeğimiz domain’in ismini yazıyoruz. İleri (Next) diyerek devam ediyoruz.

Resim 6

(Resim 6) Bilgisayarın ek Domain Controller olacağı Domain’in tam DNS ismini yazabilir veya yandaki Browse (Gözat) butonu ile Domain Ağacımızın yapısını görerek ve ek Domain Controller olarak katılmak istediğiniz Domain’i Browse (Gözat) görünümünden de seçebilirsiniz. Domain name’i tanımladıktan sonra ileri (Next) diyerek devam ediyoruz

Resim 7

(Resim 7) Bu ekranda Active Directory veritabanı ve log dosyalarının nerede tutulacağını belirleriz. Varsayılan olarak veritabanı ve loglar da “%SystemRoot%\NTDS” klasörüne yerleştirilir. Bu dizinin farklı bir bölüm veya hdd’ye ayarlanması Active directory Performansında daha iyi bir sonuç verecektir.

Resim 8

(Resim 8) Bu ekranda SYSVOL olarak bilinen Active Directory paylaşım klasörünün yeri belirlenmelidir. Bu klasörün yolu NTFS olarak biçimlendirilmiş bir bölüm veya hdd üzerine oluşturtulmalı. Varsayılan olarak bu klasör “%SystemRoot\SYSVOL” şeklinde oluşturulur. SYSVOL nedir? Oluşturduğumuz Group Policy’ler ya da başlangıç scriptleri bu klasör altında depolanır. Aynı zamanda organizasyondaki diğer dcler’lede sürekli replike halindedir.

Resim 9

(Resim 9) Active directory üzerinde bir sorun oluştuğunda elimizdeki bir yedekten geri dönmemiz gerektiği gibi bir durumda F8 ile directory services restore mode kısmına girdiğimizde kullanıcağımız şifredir. Not: Genelde birçok kişi bu şifreyi kullanılmadığı için unutur veya eski sistem sorumlusu tarafından söylenmediği veya bir yere yazılmadığı için sorun çıktığında aranan bir şifre durumuna gelir. Bu sebeple sistem standartlarımızda bu şifreyi bir yere yazmak gerekmektedir.

Resim 10

(Resim 10) Son olarak buraya kadar yaptığımız kurulum ayarlarının bir özeti ile karşılaşarak ileri (Next) dediğimizde kurulum işlemleri başlayacaktır.

Resim 11

(Resim 11) Additional domain controllerkurulumuna başlıyor.

Resim 12

(Resim 12) Yükleme işlemleri bittiğini ve hangi etki alanı denetleyicisi’ne additional domain controllerolarak kurulum yaptığımızı belirten sihirbaz ile kurulumu bitiriyoruz. Finish (Bitti) düğmesine tıklıyoruz.

Resim 13

(Resim 13) Windows Serverımızın restart ederek değişikliklerin aktif olmasını sağlıyoruz.

Sistemimiz açıldıktan sonra additional domain controllernin doğru şekilde yüklendiğini kontrol etmemizde fayda vardır bunun için

SYSVOL klasörünün oluşturulduğunu ve paylaşımda olması gerektiğini
Active directory veritabanı ve Log dosyalarının oluştuğuna, NTDS. DIT klasörün altında Ntds. Dit, Edb.*, Res*.log dosyalarının oluşması gerekmektedir.
Olay görüntüleyicisi kontrolü yapılarak additional domain controllerkurulumu sırasında oluşabilecek hatalar buraya kaydedileceği için incelemek lazım.
DNS kayıtlarının doğru şekilde oluşup oluşmadığını incelemek gerekli.

DC ve ADC arasında belli sürelerde replikasyonlar yapılmaktadır. Active directory’de belli bir değişiklik olduğunda kullanıcı eklenmesi silinmesi gibi işlemlerde iki dc arasında replikasyon işlemi gerçekleştirerek dc ile adc arasında bilgi alış verişi yapılır. Kullanıcı kilitlenmeleri gibi önemli durumlarda replikasyonlar anlık yapılmaktadır.

Elle (Manuel) replikasyonu başlatmak için Başlat >Yönetimsel araçlar > Active Directory Site and Services kısmına geliniz. Buradan konsol ağacından sites > default first site name > servers altında replikasyona sokacağımız diğer dc’yi seçiyoruz. Sağ tarafta connection’a sağ tıklıyoruz ve replicate now diyoruz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

Outlook ve OWA Üzerinden Silinen Maillerin Exchange 2003 Yardımı ile Kurtarılması

ismailadar — Tue, 01 Apr 2008 21:27:31 GMT

Microsoft Outlook 2003 Üzerinde Kurtarılması

Gün geçtikçe yaygınlaşan bir teknolji olan Microsoft Exchange Server ile Şirketi içi ve şirketler arası mesajlaşmalar çok kolaylaştı. Hemem hemen her şirkette bulunan ve maillerin merkezi olarak yönetilmesini sağlayan Exchange Server’dan kullanıcılarımız kendilerine ait olan posta kutularını yönetebilir vemail gönderip alabilirler. Bunu gerçekleştirmek kullancılarımızın bizim Exchange Server’ımıza bağlanması gerekir. Bu bağlantıyı sağlayabilcekleri araçlardan bazıları;

1-) Microsoft Office Outlook

2-) OWA(Outlook Web Access)

Exchange Server’ımızın Maillerin merkezi olarak yönetilebilmesinin dışında önemli bir özelliğide kullanıcı Posta Kutularından silinen mailleri daha sonra kurtarılabilmesidir. Exchange Server’ımız bunu başarabilmesi flag(Bayrak)lar yardımı ile olur.Eğer biz kullanıcımızın silinen maillerinin tutulmasını istersek Exchange Server’ımız silinen maili kendi veritabanından silmez fakat bunun silinmiş oldugunu analaybilmek ve biz posta kutumuzda Send/Receive yaptığımız takdirde bunu bizim karşımıza getirmemek için arka planda bu mailin basına silindi diye bir flag koyar.

Öncelikle Exchange Server’ımızda silinen maillerin ne kadar süreyle tutulacağnı nerden ayarlayabileceğimize bakalım.

Öncelikle StartàAll Programsà Exchange System Manager (ESM) yolunu takip edelim. Karşımıza gelen Ekranın sağ kısmında bulunan panelden Administrative Group - First Administrative Group’u seçtikten sonra Serverımızın adı altında bulunan First Storage Group tabını genişletip Mailbox Store üzerinde sağ tılayıp Properties ekranını açıyoruz.

Properties ekranında bulunana Limits tabına geliyoruz.

Burada sarı kutucuk içene alınmış olan Keep deleted items for (days ) sayısı bize posta kutumuzdan silinen maillerin Exchange Server veritabanında ne kadar süreyle(gün olarak) ne kadar tutulacağını belirtir. Burada dikkat edilemesi gereken özellik bunun organizasyon içinde bulunan tüm kullanıcı posta kutularını etkileyeceği ve bunun sonucu olarak da bu değeri çok arttırmak yer sıkıntısı çekmenize sebep olacaktır.

Son olarak OK butonuna basarak çıkalım. Buraya kadar Exchange Server üzerinde gerekli olan ayarları yapmış olduk. Şimdi sırasıyla Outlook ve OWA programında silinen bir maili nasıl getireceğimizi görelim.

İlk olarak deneme amaçlı posta kutumuzdaki maillerimizden bir kaçını silelim.

Silnmiş Öğeler klasörünü boşaltalım.

Silinmiş öğeler klasörünü boşaltıktan sonra sildiiğimiz öğeleri geri almak(kurtarmak) için Outlook 2003 üzerinde silinmiş öğeler klasörünü seçtikten sonra Araçlar menüsünden . Silinmiş Öğeleri Kurtar seçeneğini seçmeliyiz.

Gelen ekranda silinen maillerimiz bulunmaktadır. Bunlardan istediklerimizi seçtikten sonra Seçili öğeleri kurtar yani ortadaki butonu tıklıyarak seçili öğelerimizi kurtarabiliriz. Bu işlem bize sadece bir mail için yedekten dönme işlemi için geçen zamanı kazandırır..

Not: Dikkat edilmesi gereken bir nokta da kurtarma işleminin yapılabilmesi için maillerin silindikten sonra Silinmiş öğeler klasöründe olması gerekliliğidir. Fakat kullanıcılar maillerini Shift+Del tuş kombinasyonu ile silmişlerse mailler Silinmiş öğeler klasörüne gitmeden silinir. Böyle bir durumda mailleri kurtarabilmek amacıyla küöçük bir registry değişikliği yapılmalıdır. Bu değişiklik;

HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Exchange\Client\Options

Anahatarı altına bir tane DWORD value eklemeliyiz ve adını DumpsterAlwaysOn vererek değerini 1 yapmalıyız.Bunu yaptıktan sonra Microsoft outlook programı yeniden başlatılmalıdır.

Şimdi de aynı kurtarma işlemini OWA(Outlook Web Access) üzerinde yapalım.

OWA 2003 Üzerinde Silinen Öğelerin Kurtarılması

Excahange Serverımız üzerinde yapmamız gerekenleri bir önceki adımda acıkladığım için bu adımda tekrarlamak istemiyorum ama ama hem Outlook hem de OWA üzerinden silinen mailleri kurtarmak istiyorsak Keep Deleted Items for days seçili olmak zorundadır.

İlk olarak OWA üzerinde silinen bir maili kuratrmak için öncelikle OWA arayüzünü açıp

Deleted Items folder’ı secmeliyiz. Bu değer seçili iken üst tarafda bulunan çubukta recover Deleted Items(ikinci çöp kutusuJ) butonunu tıklamalıyız.

Bu adımda karsımıza gelecek olan pencerden kurtarmak istediğimiz öğeleri secip Recover butonuna basarak öğeleri tekrar Silinmiş öğeler kalsörüne göderebiliriz. Daha sonra yapmamız gereken ise öğeleri istediğimiz yere taşımak…

Exchange Server’ın bize sağladığı özellik ayrıca 3.Party yazılımlarla da yapılabilmesine karşın bilinmesi ve gerektiği zaman kullanılması için bu makaleyi hazırladım. Kolay gelsin

Check Point Temel Network Tanımları

inetdetc — Mon, 24 Mar 2008 21:45:29 GMT

Merhaba;

Hiyerarşik olarak devam eden makale serimizde Check Point kurulumu, Smart Dashboard kurulumundan sonra sıra Smart Dashboard üzerinden kural tanımlama öncesi temel yapılandırmalara geldi.

Check Point ilk kurulduğunda yapınızla uyum sağlaması, policylere imkan vermesi için network üzerinde dizaynı gerekmektedir. Bu aşamada Check Pointe vereceğiniz roller, şube yapılarınız, DMZ planlarınız, iç – dış paket akış durumları, firewall önü ve arkası gibi geleneksel seçenekler masaya yatırılmalı ve en uygun pozisyon belirlenmelidir.

Şu an Check Point Firewall kurulumu tamamlandı fakat henüz hiçbir kural yazmaya ve policy install etmeye başlamadık. Bunları yapabilmemiz için öncelikle firewall yapımızın netwoktümüzdeki rolu ve networkümüzde bulunan sunucuların yada client yapılarının tanıtılması geremektedir.

Ben bu anlatım için 2 lokasyonlu bir yapı tasarladım. Birisi şirketin genel müdürlüğü bir diğer lokasyon ise şubemizdir. Öncelikle bir takım tanımlamalar ile;

1 – Check Point ağacına genel bakış

2 – Genel Müdürlük firewall tanımı

3 – Şube firewall tanımı

4 – Genel Müdürlük host tanımı

5 – Şube host tanımı

6 – Network tanımları

7 – Tanımlama görünümü

Şimdi adım adım kuruluma geçmeden önce Check Point ağacının yapısına bir bakalım. Çünkü bu yapı tüm tanımlamalarda kullanılacaktır.

Check point konsol ağacında ilk olarak Network Objects bölümü görülür. Network ile ilgili tüm ayarlar bu sekmede yapılır. Yeni Gateway tanıtımları, VPN ve Network tanıtımları, Host eklemeleri bunların bir kaçıdır.

Resim – 1

Sonraki sekme ise Check point servislerini olduğu sekmedir. TCP – UDP – RPC vs gibi servisler burada toparlanmıştır. İsterseniz sağ tuş ile yeni servisler ekleyebilirsiniz.

Resim – 2

Bir diğer sekme ise Server and OPSEC Applications sekmesidir. Bu sekmede sayesinde Authentication için RADIUS serverlar, Tacacs yapısı, LDAP Account Unit gibi seçenekler ekleyebilirsiniz.

Resim – 3

Users sekmesinden ise template oluşturabilir, yeni user (VPN Client) yada gruplar ekleyebilir, Administrator Groups lar oluşturabilirsiniz. Bu dört sekme sizin sürekli kullanacağınız en belirgin Check Point ürünleridir.

Resim – 4

Check Point ağacından sonra Genel müdrülük ve bir Şube yapımızın olduğu konfigurasyonumuza başlayalım.

İlk olarak kendi gateway yapımızı Check point üzerinde tanıtmalıyız. Buna Genel müdürlükte diyebiliriz. Çünkü şube yapımızda olduğu için iki firewall yapısının konuşması gerekmekte. İlk olarak Check Point adımına sağ tıklayarak yeni bir GATEWAY ekliyoruz. Bu bizim şu an üstünde işlem yaptığımız GENEL MÜDÜRLÜĞÜMÜZDE bulunan firewall.

Resim – 5

Yukarıda ki ekrana tıkladığımızda yapımız için gerekli bilgileri girmeliyiz. Bu bilgiler network yapınızla doğru orantılı olmalı yoksa sorunla karşılaşabilirsiniz.

Resim – 6

Ben Genel Müdürlük için gerekli network ve ürün tanımlarını aşağıdaki gibi yaptım. Unutmamalı ki IP adres sizin dışarı bakan bacağınız.

Resim – 7

Bu işlemden iki şubeli bir yapımız olduğu için ve karşı şubemizde de bir Check point olduğu için tekrar Check point sekmesinden karşı şubemizin GATEWAY tanımını yukarıdaki gibi yapmalıyız. Böylece karşı şubemizin firewall üzerinde ilk tanımı yapılmış olur. Aşağıda bu tanımın yapılmış hali mevcut. Yukarıdaki iki adımı tekrarlayarak uzak şubemizin firewall tanımını Genel Müdürlük şubemize yaptım. Ekran görüntüsünden de anlaşılacağı gibi uzak şubemize Remote-1-GW adını verdim.

Resim – 8

Bu işlemlerden sonra network arkasında kalan hostlarımızı gerekli şekilde eklemeye geldi. Network arkasıdan yada uzak network arkasında hostlarımız, web server, mail server, file server gibi yapılarımız olabilir. Bunları firewall üzerine Nodes adımından New Node – Host diyerek tanıtıyoruz. Host dediğimizde aşağıdaki ekran görüntüsü bizi karşılar.

Resim – 9

Bu ekranda Web server yada kendi hostunuzla ilgili bilgileri girmeniz gerekmektedir. Ben kendi yapıma uygun bilgileri girdim.

Resim – 10

Yine bu şekilde yapımda şube mevcut olduğu için uzak şube netwokünde bulunan host tanımlarınıda yapabilirsiniz. Tekrar hatırlatmakta fayda var. İki lokasyona birden Check Point kurulumu yapıyorum. Siz isterseiz bu adımları tek seferde tek lokasyon için yapabilirsiniz. Uzak hostlarda eklenince ilgili ekran görüntüsü aşağıdadır. Anlaşılacağı gibi yapımız gittikçe genişliyor. Ben Mail server ve Web server için Genel Müdürlük tanımlarını aşşağıdaki gibi yaptım. Her iki Server da Genel müdrülüğümde. Sizde başka farklı lokasyonlarda da olabilir.

Resim - 11

Sıra geldi firewall yapımızın arkasında bulunan netwokleri tanıtmaya. Bu sayede network erişmleri ileride yazılacak bir kural ile sağlanacak. Unutmamalı ki kuralı yazmadan önce bu ayarların yapılamsı ŞART. Ben hem Check Point arkasındaki local networku, DMZ yapısını ve Uzak network tanıtımını yaptım. Tanım için Network üzerinde sağ tuş seçerek New Network dememiz gerekli

Resim – 12

Bu ekranıda yapımıza uygun şekilde dolduruyoruz.

Resim – 13

Tüm bunlardan sonra Check point ağacımız aşağıdaki gibi görünecektir.

Resim – 14

Anlaşılacağı gibi biz bu makalede henüz kural yazımına ve policy belirlemeye başlamadık. Bu ilk makalemizde Check point yapısını kurduk. Sonraki makalemizde ise Check pointin yönetim konsolu olan Smart Dashboard kurulumunu adım adım inceledik. Şimdi ise kurulum sonrası ilk konfigurasyonu bitirdik. Check Point ilk kurulduğunda siz network tanımlarını, dizayn işlemlerini bitirene kadar hiçbirşey vermez. Hiçbir firewall vermez. Şu an 2 şubeli bir yapıda ilk olarak kendi merkesimize Check Point tanımlarını daha sonra uzaktaki gateway tanımını yaptık. Firewall arkasında kalan ve güvenliği sağlanacak loglanacak olan bir kaç hostumuzu ( web, mail server) Firewall üzerine ekledik. Son olarakta bunların bağlı olduğu network tanımlarını yaptık ki Check point iletişimi sağlaren nerde ne var bilsin.

Bu aşamada henüz tanımlarımız yeni bitti. Bundan sonra kurallar yazacak, trafik oluşumlarını engelleyecek yada izin vereceğiz. Loglama yapısını görecek ve SmartView Tracker kullanımını göreceğiz. Makale serüvnimiz Check point konularının tamamlanmsı ile son bulacak.

Önümüzdeki makalemizde ise kurallar yazmaya başlayacak ve detaylı kural analizlerine bakacağız.

TERMİNAL SERVER KURULUM VE KONFİGÜRASYON

Harun KORKMAZ — Mon, 24 Mar 2008 06:20:12 GMT

Terminal Server günümüzde bütün şirketlerin kullanmaya başladığı bir server hizmetidir. Microsoft tarafında Terminal Server teknolojisini incelersek NT 4,0’dan başlayan bir süreç karşımıza çıkar. İlk olarak Windows NT 4,0 Terminal Server Edition adıyla farklı bir sürüm olarak son kullanıcıya sunulan bu teknoloji Windows 2000 ve 2003 Server işletim sistemleriyle bütünleşmiş sunulmuştur.

Windows NT 4,0 ile RDP 4,0 sürümü kullanılırken Windows 2000 server da RDP 5,0 ve 2003 Serverlarda ise RDP 5,2 sürümleri kullanılmaya başlandı. Microsoft Windows XP sürümünde 5,1 (Yeni bir güncelleme ile bu 6,0) sürümü kullanılmaktadır.

RDP Nedir?

Remote Desktop Protokol (RDP) Kullanıcı bilgisayarın Terminal Server üzerinde oturum açabilmesi için kullandığı RDP, default olarak TCP 3389 portunu kullanan bir protokoldür.

Windows server 2000 ve 2003’lerde iki tür erişim modu vardır.

1. Uzaktan yönetim modu lisans gerektirmez ve aynı anda yalnızca 2 oturum açılmasına izin verir.

Windows 2003 Serverımızı sadece uzaktan yönetmek için Control Panel (Denetim Masası) > System (Sistem) > Remote (Uzak) sekmesindeki Remote Desktop (Uzak Masaüstü) sekmesini işaretlemek gerekmektedir. Select Remote Users kısmından bağlanmasını istediğimiz kullanıcıları belirliyebiliriz. (Şekil 1)

Şekil 1

2. Uygulama dağıtmak olunca kullanıcı sayısı artacağı için daha fazla oturum açmaya ihtiyaç duyacağız. Bu durumda 120 günlük deneme süresinden sonra oturum açacak her kullanıcı veya bağlantı yapacak her aygıt başına Terminal Server CAL (Client Access License) temin etmemiz gerekecektir. Terminal Serverın kullanım süresinden sonra da hizmet verebilmesi için ortamda Lisans dağıtımından sorumlu olan bir Lisans Server olmalıdır. Bu hizmeti verecek bilgisayara Terminal Server Licensing hizmeti kurulmalıdır ve çevrimiçi olarak etkinleştirilmelidir. Ardından bağlantı yapan her kullanıcıya ya da aygıta Lisans Server tarafından bir lisans atanacaktır. Terminal Server Lisanslama ile ilgili daha ayrıntılı bilgi için http://technet2.microsoft.com/WindowsServer/tr/Library/ed83c01f-8937-4cab-9191-9228a821ee9f1055.mspx?mfr=true adresiniz ziyaret edebilirsiniz.

Terminal Server Hizmetinin bize getirdiği faydaları sıralarsak

1. Şirket bazında hem donanımsal hem de yazılımsal olarak maliyetleri düşürmesi

2. Sistemde çıkabilecek problemlere hızlı müdahele etmek.

3. Sistemi daha kontrollü ve daha yapısal yönetmek

4. Uygulamaları yükleme ve kullanma.

5. Sistem yöneticilerinin iş yüklerinin azalmasına

6. Kullanıcılara uzaktan bağlanabilme ve yönetebilme

7. Merkezi bir veritabanına sahip uygulamalara erişip kullanabilme ve verilerin yedeklenmesi ve güncellenmesi gibi birçok avantajları vardır.

Terminal Hizmetleri Windows kurulumu sırasında default olarak kurulmaz.

Kurmadan önce Terminal serverdan daha iyi yararlanamabilmek ve performans almak için

a. Terminal serverı Tek başına bir server olarak kurmak, herhangi bir DC veya başka bir Server üzerine yüklememek.

b. Terminal server’ı NTFS dosya sistemi üzerine kurmak ki zira güvenlik açısından gerekli

c. Lisans server’ınızı düzenli olarak yedeklemek

d. Terminal serversunu kapatırken Başlat > Kapat yerine tsshutdn komutunu kullanarak kapatmak lazım ki zira böylece daha kontrollü kapatmış oluruz.

e. Terminal server’a program yüklemek için Denetim Masasi > Program Ekle Kaldır’ı kullanılması ki bu sayede çoklu oturumlara programı kurabiliriz.

f. Bir veya daha çok terminal serversunu yapılandırmak veya Terminal Server kullanıcı ayarlarını yönetmek için Terminal Hizmetleri Grup İlkesi'ni kullanın

g. Terminal Hizmetleri'ne özgü gruplar kullanma: Terminal Hizmetleri kullanıcılarına özgü Kullanıcı Grupları oluşturun

h. Terminal Hizmetleri'ne özgü profiller kullanma: Terminal Hizmetleri'nde oturum açmak için ayrı bir profil atayın. Profillerde saklanan ekran koruyucu ve canlandırmalı menü etkileri gibi ortak seçeneklerin çoğu, Terminal Hizmetleri kullanılırken istenmez

i. Süre sınırları ayarlama: İstemci bağlantılarının süreleri için sınırlamalar belirlemek server performansını artırabilir. Bir oturumun süresini, bağlantısı kesilmiş bir oturumun serverda etkin durumda ne kadar kalacağını ve bir oturumun boş durumda ne kadar bağlı kalacağını ayarlayabilirsiniz.

j. Programı başlatırken seçeneğini kullanma: Terminal serverındaki tek bir uygulamaya erişmesi gereken kullanıcılarıınz varsa, kullanıcıların o uygulamaya erişimlerini kolaylaştırmak için Programı başlatırken seçeneğini kullanın

k. Kullanıcılar veya kullanıcı grupları için önceden yapılandırılmış bağlantı dosyaları oluşturma

l. Terminal Hizmetlerine bağlanmayı kolaylaştırmak için, kullanıcılara önceden yapılandırılmış bağlantı dosyaları sağlayabilirsiniz. Kuruluşunuz içindeki farklı bölümler veya farklı görev tanımları için de bağlantı dosyası grupları oluşturulabilir.

m. Terminal Server kullanıcılarının profillerinin oluştuğu Document and Settings kısmında ki yeri değiştirme.

n. Kuruluma aşağıdaki yolu izyerek başlıyoruz.

Başlat (Start) > Denetim Masası (Control Panel) > Program Ekle Kaldır (Add or Remove Programs) > Windows Component Wizard’ı seçeriz.

www.sistemdoktoru.com

Harun KORKMAZ

Şekil 2

Buradan Terminal Serverı ve Terminal Server Licensing işaretleyerek kuruluma başlıyabiliriz ve İleri diyerek devam ediyoruz. Network’ta ilk terminal server olacağı için buraya terminal server licensing hizmetini de kuruyorum. Sadece Terminal Server dediğimizde security ayarlarından sonra yüklemeye geçecektir.

Şekil 3

Karşımıza Terminal server kurulumu ve lisansız olarak 120 gün -ki bu süre Windows 2000 Terminal Hizmeti için 90 gündür- kullanabileceğimizi belirten yazı ile karşılaşıyoruz ve ileri diyerek devam ediyoruz.

Şekil 4

Karşımıza Güvenlik ayarlarını sececeğimiz bir pencere gelecektir. Bunlar Full Security ve Relaxed Securitydir kısaca bahsedecek olursak;

Full Security: Windows serverına bağlanan Kullanıcıların sistem dosyalarına, regedit ve windows yapılandırmalarına erişimini engeller. Kullanıcıların verebilecekleri hata ve zararlara engel olur. Ve eskiye dönük özellikle registry erişimi gerektiren uygulamarda çalışmayacaklardır.

Relaxed Security: Windows server ayarlarına kullanıcıların ulaşmasını ve yapılandırmalarına erişimi sağlar ve sistem için açık bir tehlike meydana getirmektedir ve registry erişimi gerektiren uygulamalar çalışmaktadır. Full Security diyerek devam ediyoruz.

Şekil 5

Güvenlik ayarlarını seçtikten sonra karşımıza Lisans server seçeneği gelir. Sistemimiz üzerinde Lisans Servermız varsa elle ip’sini yazarak veya otomatik olarak arattırarak terminal serverımız için lisans serverı atayabiliriz. Biz ilk defa kurulum yaptığımızdan 120 günlük olarak ayarlayacağız daha sonra elle de terminal server lisansını elle girebiliriz. 120 günlük süreç terminal servera yapılan ilk bağlantı ile başlar ve 120 gün sonunda biter ve lisans girmemiz gerekecektir.

Şekil 6

İleri diyerek Lisanslama yapılandırmasını yaparız. Burada Per Device (Cihaz Başına) ve Per User (Kullanıcı Başına) mode’ları görülmektedir. Aralarında ki farklar

Cihaz Başına yaparsak her istemciye ve aygıta terminal servera erişim hakkı verilir.

Kullanıcı Başına ise kullanıcıya sınırsız sayıda aygıttan terminal servera bağlanma hakkı verilir. Kullanıcı başına yapılandırmak daha doğru olacaktır.

Şekil 7

Lisans serverımızı nereye kurmak istediğinizi belirtiyor. Biz Burada 1.sini secerek devam ediyoruz. Lisans serverı başka bir bilgisayara kurmak için altaki secenek secilir.

Şekil 8

Terminal serverımız yüklenmeye başladı.

Şekil 9

Yükleme işleminden sonra Finish Düğmesine tıkladıktan sonra bizden restart etmemizi isteyecektir.

Şekil 10

Resetleme işleminden sonra Manage Your Server ekranında terminal server bölümünü ve bu hizmeti yönetmek için kullanacağımız Terminal Hizmetleri Yapılandırma ve Terminal Hizmetleri Yönetim konsolları eklenmiş olacaktır.

Şekil 11

Terminal Hizmetleri Yönetici ekranı Networkte terminal hizmeti veren tüm serverların ve onların üzerinde hesap açan terminal servera bağlanan kullanıcılarımızı görebileceğimiz ve bunların sisteme Giriş saatlerini görebilir, üzerinde sağa tıkladığımızda ise gelen menuden ekranına bağlantı yapabilir, terminal bağlantısını kesebilir, Tek veya seçtiğimiz kullanıcılara mesaj gönderebilir, Uzaktan denetim ve resetleme menuleri gelmektedir ve yönetici ekranında sağ taraftan kullanıcıların üzerine tıkladığımızda çalıştırdıkları programları görebiliriz. Terminal hizmetleri yönetici ekranını açmak için komut satırından tsadmin dememiz yeterli olacaktır.

Şekil 12

Evet, şimdi ise Terminal Hizmetleri Yapılandırma penceresini inceleyelim.

Şekil 13

Terminal hizmetleri yapılandırma penceresi kullanıcılar ile server arasında ki iletişimin güvenlik ve oturum açma bilgilerini ve yetkilerini ayarladığımız konsolumuzdur. Terminal hizmetleri yapılandırma girdiğimizde Connections ve Server Settings ayarları görünmektedir. Connections da bağlantı ile ilgili ayarlarımızı olan kullanıcıların oturum açmadan kapamaya kadar ekran ve ses ayarlarını düzenliyoruz.

Şekil 14

8 farklı sekmeden oluşan RDP-Tcp üzerinde sağa tıklayıp özelliklere giriyoruz.

Şekil 15

Genel kısımda Bağlantılarımızın Güvenlik ile ilgili ayarlarını istersen Uzak bağlantılarda Sertifika kullanarak bağlanmamız için gerekli ayarlar yapılıyor. Kullanıcılar ile server arasında ki iletişimin şifreleme seviyesini belirliyebiliriz. 56 bit şifrelemeden başlayan 4 faklı şifreleme sistemi vardır. Dikkat edilmesi gereken şey ise kullanıcı tarafından desteklenmesi gerekmektedir.

Şekil 16

Logon Settings (Oturum açma ayarları) Sekmesi oturum açarken kimlik doğrulaması yapılacak kullanıcının bağlanması gerektiği durumlarda kullanılır. Buraya gireceğiniz kullanıcı bilgileri uzaktan erişmek isteyen herkes için geçerli olacaktır. Burada kullanıcı adı şifresi domain bilgilerinin girilmesi gerekmektedir. Kullanıcıların hepsi kendi hesapları ile açılması gerektiği için kullanılmaması gerekmektedir.

Şekil 17

Sessions (Oturumlar) Terminal servera bağlanan kullanıcıların kullanıcıların bağlantıları koptuğu halde kullanıcının hesabının aktif kaldığı zaman ne zaman bağlantının kesileceğini ayarlayabiliriz. Burada yapılan ayarlamalar bütün bağlantı yapan kullanıcıları etkileyecektir.

Şekil 18

Ortam ise terminal servera bağlanacak kullanıcıların tek bir uygulamayı çalıştırmasını istiyorsak çalıştıracağı programı ayarlayabiliriz.

Şekil 19

Terminal servera bağlanan kullanıcılara uzak masaüstü yapabilmemiz için gerekli ayarları yapıyoruz.

Şekil 20

Client Settings (İstemci ayarları): Kullanıcıların bağlandıklarında ki ekran rengi ayarları bağlandıkları terminal üzerinde ses çaldıklarında duymak için ayarlarını buradan düzenleyebiliriz. Ses kullanılmayacaksa kapatılması uygundur.

Şekil 21

Network Adaptor (Ağ Bağdaştırıcısı): terminal bağlantısının hangi network kartı üzerinden ve kaç kullanıcının bağlanabileceğini ayarlayabiliriz.

Şekil 22

Permisisions (İzinler) : Terminal serverına bağlanacak kullanıcıların izinlerini ayarlayabiliriz. Buraya Domain Users, Remeto desktop users gibi veya bağlanmasını istediğimiz kullanıcı ve grupları ekleyebiliriz.

Burada üç farklı yetkilendirme bulunmaktadır.

Guest: Kullanıcılara sadece oturum açma yetkisini verir

User: Oturum açtıktan sonra oturumlara mesaj gönderme diğer oturumlara bağlanabilme yetkilerine sahip olurlar.

Full Control: User ayarlarına ek olarak oturum açmış kullanıcılara uzaktan yönetme ve resetleme gibi işlemleri yapabilirler

Şekil 23

Terminal Hizmetleri yapılandırmada connectios (Bağlantılar) yapılandırmasından sonra server ayarları kısmında ise

Olarak ayarlarız.

GROUP POLICY ÜZERİNDEKİ TERMİNAL SERVER AYARLARI

Group Policy üzerinde terminal serverla ilgili Bilgisayar yapılandırma yapabiliriz.

Bunun için Başlat > Çalıştır > gpedit.msc diyerek gelen group policy object editor penceresi gelecektir. Buradab Computer Settings > Adminisrative Templates > Terminal Services kısmında gerekli bağlantılarla alakalı ayarları yapabilirsiniz.

Şekil 24

ve aynı zaman da aynı kullanıcı yapılandırması kısmında da administrative templates > Terminal Services kısmından da ayarları yapabiliriz.

Şekil 25

Client(istemci) : Kullanıcınn terminal hizmetleri istemcisi kullanarak parolaları kaydedip kaydedemeyeceğini denetler

Sessions(Oturumlar): Terminal hizmetleri için bağlantı sınırı, bağlantısı kesilmiş oturumların zaman sınırı, sınıra ulaştığında oturumları sonlandırma gibi ayarlamalar yapılabilir.

Start a program on connections: Terminal hizmetlerine bağlanıldığında program çalıştırır.

Sets rules for remote control of terminal services user sessions: Terminal hizmetlerinde yetkisi kullanıcıların diğer kullanıcılara uzaktan bağlanıp oturuma uzaktan katılabilir.

TERMİNAL HİZMETLERİ'Nİ KOMUT İSTEMİNDEN YÖNETME

Komut satırı yardımcı programlarını kullanarak kullanıcıları, oturumları, işlemleri ve terminal sunucularını yönetebilirsiniz. Aşağıdaki tabloda, komut satırından çağırabileceğiniz Terminal Hizmetleri yönetim yardımcı programları listelenmektedir.

Not: Tablo Microsoft Sitesinden Alınmıştır.

· Kullanıcı Profilleri normalde sistemi hangi partition’a kurduysanız oradaki Documents and Settings klasörünün altına oluşturulmaktadır. Oluşan profilları birkaç ayarla farklı bir partitionda oluşturarak hem bilgilerin yedeklenmesi hemde herhangi bir sistem arızasında kurtarma imkânımızı daha yükseltir. Bunun için aşağıdaki yolu izlemeyerek yapabiliriz.

Başlat > Çalıştır > Regedit dedikten sonra

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList’e gelip Sağa ekranda ki ProfileDirectory’de tanımlı olan adresi istediğiniz şekilde değiştirerek düzenliyoruz. Ve yönlendirdiğimiz adrese documents and settings deki Default ve All user klasörlerini kopyalamamız gerekmektedir.

Terminal hizmetleri konusunda çalışma prensibi, bileşenleri, kurulum ve yönetimi konusunda yeterli bilgiyi edindiğimize inanaraktan bu konumuzun sonuna da geldik.

Ayrıca aşağıda ki adresten de terminal hizmetleri konusunda bilgi alabilirsiniz.

http://technet2.microsoft.com/windowsserver/tr/library/c8788dd5-5fae-453e-84df-efdd1dce8f5a1055.mspx?mfr=true

Saygılarımla…