Can's Windows Server Blog

Öncelikle Hyper-Vde normal bir şekilde generation-2 tipte Vm kuruyoruz. (ben alan ve RAM yetersiz olduğu için 30GB disk ve 1024MB Ram verdim).

Takiben sysprep.exe (Windows\System32\sysprep\sysprep.exe yi çalıştırıyoruz.

Generalize ve shut-down seçili olacak. Böylece hostname, ip, bazı donanım driverları gibi özellikler silinip geriye bir şablon sistem çıkarılıyor. Sistemide işlem bitince kapatıyor. Böylece elimizde bir şablon.vhdx diski oluşuyor. Bu diski kolay kullanmak için kopyalıyorum

cp “C:\VMs\C1-base\Virtual Hard Disks\C1-base.vhdx” C:\VMs\C1-base.vhdx

Takiben Powershell i açıp önce bir klasör oluşturuyoruz

PS C:\VMs> New-Item C:\VMs\C1-DC1 -ItemType Directory

Daha Sonrada diski -differencing olarak kopyalıyoruz.

PS C:\Windows\system32> New-VHD -ParentPath ‘C:\VMs\C1-base.vhdx’ -Path “C:\VMs\C1-DC1\C1-DC1.vhdx” -Differencing

ComputerName : DESKTOP-BUN7DOJ
Path : C:\VMs\C1-DC1\C1-DC1.vhdx
VhdFormat : VHDX
VhdType : Differencing
FileSize : 4194304
Size : 32212254720
MinimumSize :
LogicalSectorSize : 512
PhysicalSectorSize : 4096
BlockSize : 2097152
ParentPath : C:\VMs\C1-base\Virtual Hard Disks\C1-base.vhdx
DiskIdentifier : 42C7568C-E1C6-4D89-997D-4CFCD0FAB013
FragmentationPercentage :
Alignment : 1
Attached : False
DiskNumber :
IsPMEMCompatible : False
AddressAbstractionType : None
Number :

Sonrada bu diske bağlı olarak Vm i oluşturuyoruz.

PS C:\Windows\system32> New-VM -Name C1-DC1 -Path C:\VMs\C1-DC1\ -MemoryStartupBytes 1GB -VHDPath C:\VMs\C1-DC1\C1-DC1.v
hdx -SwitchName Standardswitch -Generation 2

Name State CPUUsage(%) MemoryAssigned(M) Uptime Status Version
—- —– ———– —————– —— —— ——-
C1-DC1 Off 0 0 00:00:00 Normaler Betrieb 8.3

Password ve geri kalan herşey aynı ancak bu DC olacağı için static IP vermek gerekiyor. Hyper-V den başlatabilirsiniz.

Veya hazır powershellde iken

Start-VM C1-DC1

Sisteme consolo veya RDP ile bağlanıyoruz. Öncelikle Dil, sonrada Administrator şifresini tanımlamamız lazım. Daha sonra EULA’yı kabul edip başlangıç ekranına ulaşabiliyoruz.

]]>

Simple Network Management Protocol – yani kısaca SNMP. Her sorgulanabilecek item ın bir ID si var ve bunlara OID deniyor.

internet domain e benzer hiyerarşik bir yapıda.

Bununla ilgili bir kaynak web sitesi :

http://www.alvestrand.no/objectid/1.3.6.1.2.html

Okuldu güzel bir çalışma yaptık dün bir sistem server diğeri agent ın kurulu olduğu client oldu.

Agent üzerinde aşağıda ki işlemleri yaptık. Sistem Debian minimal 9

apt install snmpd
 
 /etc/snmp/snmpd.conf folgendes içinde: 
#  Listen for connections from the local system only 
#agentAddress  udp:127.0.0.1:161 
#  Listen for connections on all interfaces (both IPv4 *and* IPv6) agentAddress udp:161,udp6:[::1]:161 
# rocommunity public  default    -V systemonly 
rocommunity public  default 
view   systemonly  included   .1.3.6.1.2.1 

Sonrada :
service snmpd restart 

Server üzerinde aşağıdaki işlemleri yaptık.
Sistem Debian minimal 9

apt install snmp

Daha sonra Agent sistemin ip sini not edip sorgulamaları yapıp görebildik.

snmpwalk -v 1 -c public 172.16.1.100 .1.3.6.1.2.1.2.2.1.2

Şimdi işler burada karışmaya başlıyor. bu (.1.3.6.1.2.1.2.2.1.2) nedir?

İşte OID budur. Çok fazla detay sorgulayabildiğimiz için kod kullanmışlar. Sistemde ne kurulu ne kadar ram var vs vs vs …. Daha sonra bir örnek ekleyerek açıklayacağım.

Ancak temel olarak her basamak biraz daha derinleştiriyor. örneğin

.1.3.6.1.2.1.2.2.1. bu üst yapı altta ki

 
.1.3.6.1.2.1.2.2.1.  
.1.3.6.1.2.1.2.2.1.1
.1.3.6.1.2.1.2.2.1.2
.1.3.6.1.2.1.2.2.1.3 
gibi alt yapıları barındırıyor. 
İşte bu noktada alt yapıyı tümden görmek istiyorsak snmpwalk komutunu eğer tek bir item ın cevabını almak istiyorsak snmpget komutunu kullanıyoruz.
   

SNMPWALK
snmpwalk -v 1 -c public  192.168.122.35 1.3.6.1.2.1.2.2.1.8 iso.3.6.1.2.1.2.2.1.8.1 = INTEGER: 1 iso.3.6.1.2.1.2.2.1.8.2 = INTEGER: 2 iso.3.6.1.2.1.2.2.1.8.3 = INTEGER: 1

SNMPGET
snmpget -v 1 -c public  192.168.122.35 .1.3.6.1.2.1.2.2.1.2 iso.3.6.1.2.1.2.2.1.2.1 = STRING: "FastEthernet0/0"

çok basit anlamda SNMP ye değindik umarım daha çok öğrenmek mümkün olur.

SNMP yi özellikle network takibinde MRTG ve PRTG gibi uygulamalar çok kullanıyorlar. Her üterici MIB dosyası ile SNMP bilgilerini paylaşıyor. Daha çok şey var öğrenilecek.

]]>

Forest kurulumu iki basamaklı bir processtir. İlk adımda files (dosyalar) kurulur. Sonrada konfigürasyon yapılır.

Kuruluma server manager ile başlıyoruz ve buradan “Add Role” ile AD DS yi seçiyoruz. Kurulum bitince kurulum sonrası yapılandırma gerekiyor burada “Forest” kuracağımız için “Role-Based” i seçiyoruz. Diğer seçenek “Remote desktop based” Kurulum ancak biz Role-based ile devam ediyoruz.

Daha sonra Forest ımıza hangi serveri ekleyeceğimizi soracak. Mümkün mertebe en az Server2016 ile iş tutmaya bakın. Yoksa 2012R2 de olabilir ama öncesine gitmeyin 64 bit desteği olmayabilir. Hatta çoğu zaman olmayacaktır.

Server dan sonra tekrar role seçimi olacaktır bu sefer role server rolü ve “AD DS” seçilecek.

Ek feature isteyip istemediğimizi soracak, istediğimiz ekstra birşey yoksa next ve confirmation ile kurulumu tamamlicaz.

En sonrada serverımızı “Promote to domain controller” seçeneği ile restart edip artık DC mizi başlatmış olacağız.

Şimdi buraya kadar ilk basamak hallolmuş ve file kurulumları tamamlanmıştır. Artık konfigürasyona geçebiliriz.

Yeni bir Forest kurmadan önce değerlendirmemiz ve belirlememiz gereken bazı konular vardır.

• Yeni bir forest mı yoksa tree mi?
• Ek DC kurulumu gerekliliği
• FQDN ne olacak?
• Forest funtional level ne olmalı? (DC serverlarının hepsi 2016 değilse 2016 fonksiyonelliğini kullanamazsınız.)
• Domain Fonksiyonel seviyesi ne olacak?
• Hangi DC de DNS server ve Global Catalog bulunacak.
• Eğer birden çok domain varsa eeher domain e bir Global Catalog gerekecektir.
• RODC kurulacak mı? Ilk DC RODC olamaz.
• Directory Server Restore Mode (DSRM) şifresi ne olacak? Bu şifre AD yi restore etmemiz gerektiğinde lazım olacak o nedenle önemli ve mutlaka güvenli bir yerde saklanması gerekiyor.
• Ayrıca domain NetBIOS isminede karar vermek gerekiyor. NetBIOS ismi geriye uyumluluk için gerekli.
• Database, log dosyaları ve SYSVOL klasörlerinin yerlerine de karar vermek gerekiyor.
• Default olarak veri tabanı ve loglar “C:\Windows\NTDS”
• Default olarak SYSVOL klasörü “C:\Windows\SYSVOL”

Bütün bunlar organizasyonun boyutu vs ile ilgilidir. Bu noktadan sonra artık uygulamaya geçiyoruz.

]]>

OU yani Organizational Unit. OUların içinde kullanıcılar (users), bilgisayarlar (computers), grouplar ve başka OU’lar olabilir. Networkümüzü yönetmek için OU ları kullanırız. Clients lar OU ları görmezler. Bu nedenle nasıl kullanmak istiyorsak ona göre organize ederiz.

Örneği serverlar clientlar olarak gruplandırabiliriz. Hatta detaylandırıp server tipleri vs diye de bölebiliriz. Lokasyonlara göre de bölebiliriz.

Planlama ve bölme önce nasıl yönetmek istediğimize göre sonra da ikinci adım olarak “group policy” leri nasıl deploy edeceğimize göre yapılmalıdır.

OUlar genel olarak iki adet tool ile manage edilirler.

• Admisintrator Center
• Active Directory Users and Groups

Bu programlarda hiyerarşik bir yapı vardır. Şu noktada anladığım “Container” adından da anlaşıldığı gibi içinde birşeyler barındıran bir yapı. Bunlardan bazıları default olarak geliyor.

• Computers
• Users
• Domain Controllers

Bunlar “Built-in” containerlardır. İstediğimiz zaman kendimizde oluşturabiliriz. Ayrıca “built-in” OU larda mevcuttur.

Domain controller bir veri tabanı NTDS.dit ve SYSVOL adı altında bir klasörü vardır. bu ikisi domain içinde DC’ler arasında replike edilirler. Herhangi bir DC de olan değişiklik onun “Partner” DC lerinde de replike edilir.

DCler aynı zamanda network e girmek isteyen bilgisayar ve kullanıcılara authentication ve authorization sağlar.

Bazen DC nin güvenliğini sağlamak için RODC kullanılır. Bitlocker ile güvenlikte sağlanabilir.

“Catalog Server” da bir DC tipidir. Tekbir domain olsa bile Catalog Server iyidir. Bazı uygulamalar ihtiyaç duyabilirler(ör exchange) ve Uzak bağlanıcılar içinde kullanılabilir(? bunu anlamadım). Global Catalog Server Forest içinde replike edilir.

]]>

Aslında bir forest içinde ki administrative (yönetimsel) bir birimdir. Çoğu kurumda genelde tek bir domain varken bazen tek bir domain yeterli olmayabilir.

Bazen kurumlar çok büyük olabilir, birden çok alana yayılmış olabilir (şehirler, ülkeler) yada bazen aynı yerde de biz ayırma kararı vermiş olabiliriz.

Administrative unit içinde users (kullanıcılar), Computers (bilgisayarlar) ve grouplar mevcuttur.

Domain aynı zamanda “replication boundry” demektir. Replikasyon (yani aslında iki aynı yazılımın verileri eşlemesi ve aynı veriye sahip olmaları) domain içinde gerçekleşir.

Replike edilenler değişimler, silinmeler ve eklentilerdir.

Domain AD Administrative Center yazılımı ile yönetilebilir. Bu nispeten yeni bir tooldur ancak uzun zamandır mevcut olan ve kullanılan “Active directory user and computers” da etkili bir tooldur. Bazı durumlarda birini diğerine tercih edebiliriz.

Domain ayrıca authentication ve authorization sağlar. Yani bir kullanıcı yada bilgisayarın domain e girmesine ve kaynakları kullanmasına izin verilmesi ve hangiş kaynakları kullanabileceğinin tanımlanmasıdır.

Sistemde teknik olarak tek bir DC yeterlidir ancak o tek DC nin gayri faal olması durumunda tüm domain kaybedilebilir. bu nedenle minimum 2 DC olması önerilir. Bu DC’ler read-write DC’lerdir. Böylece replikasyon mümkün olur.

]]>

Forest dendiği zaman AD networkunde en üst seviye containerden bahsediyoruz demektir. Eğer bir AD kurmak (install etmek) istiyorsak forest install etmek zorundayız.

Forest içindeki domainler her zaman aynı domain adlarını kullanmak zorunda değiliz.

Forest oluştururken planlama gerekir. En üsteki “Forest Root” olur. Forest root ta “Entreprıse Admin” adında bir kullanıcı olacaktır. Linux dünyasında ki root gibi. Entreprise admin Forest içinde ki herşeyi yönetebilir.

Yine forest root ta olan bir diğer özel kullanıcı “Schema admin” vardır. Bu kullanıcı Schema ekleyip değiştirebilir. Schemalar AD veri tabanında ki objeler ve onların attributelarıdır (özellikleri).

Bu iki userı oluşturduktan sonra istediğimiz gibi domainleri ve diğer objeleri oluşturabiliriz.

]]>

Active Directory (AD) mantıksal ve fiziksel bileşenlerden oluşmaktadır.

Mantıksal bileşenler

• Partitionlar
• Schema
• Domains
• Domain Trees
• Forests
• Sites
• OUs
• Container

Fiziksel Bileşenler

• Domain Controllers
• Data Stores
• Global Catalog Servers
• RODCs

Partition lar

• Configuration Partition : bunun içinde subnetler ve site information gibi bilgiler olur.
• Schema Partition : Schema nın kendisi hakkında bilgileri tutacaktır.
• Domain Partition : Users, groups, computers ve domain içinde ki tüm objectler ile ilgili bilgiler olacaktır.

Bu üç partition hep beraber bir partition ı oluştururlar. Optional olan ayrıca birde application partition vardır.

• Application Partition : AD DNS ile entegre olduğu zaman (AD integrated with DNS) kullanılır.

Schema

Tüm objelerin ve onların özelliklerinin Master list idir. AD içinde bulunan tüm komponentler kullanıcılar, gruplar, bilgisayarlar… hepsi Schema dadır. Schema master kullanarak değiştirebiliriz veya applicationlara göre ayarlayabiliriz (mesela exchange). Bazı applicationlar Schemada değişiklik gerektirir buna Schema Extension denir.

Domain

Domain aslında yönetimsel bir birimdir (administrative unit). Örneğin yönetmek istediğimiz bir network bir domainin parçası olabilir.

Domain Tree

Aslında bir domain in child lari (subdomainleri) olması durumudur. İsim devamlılık arz eder.

Örneğin:
contoso.com –> Parent Domain
atlanta.contoso.com –>Child Domain
gibi.

Forest

Bir veya daha çok domainin bilgi, kaynak paylaşımı yapabildiği yapıdır.

Site

Fiziksel bir lokasyona bağlı mantıksal yapıdır.

OUs

OU (Organizational Unit) bunları kullanarak networkümüzü yöneteceğiz. OUlar sadece adminler tarafından görülebilen kavramlardır. çeşitli şekillerde organize olabilirler, lokasyon, domain, application …etc.
OU lar ile Group Policy leri kullanabiliriz. Dolayısıyla Group Policy leri nasıl kullanacaksak OUları da o şekilde organize ederiz.

Containers

Built-in olarak hazır olanları olduğu gibi bizde yaratabiliriz. Örnek vermek gerekirse bir OU Container olarak kabul edilebilir. Ama Container OU dan farklıdır. Yani OU container olabilirken tersi mümkün değildir. Container a Group Policy eklemek mümkün değildir.

FİZİKSEL BİLEŞENLER

Domain Controllers

Normalde bir domain içinde 2 adet Domain Controller (DC) olur. (Redundancy)

• Authentication ve authorization (Authentication sen kimsin, authorization senin yetkilerin neler.)

Data Stores

AD bir JET veri tabanıdır. Veri tabanı “ntds.dit” dosyasıdır.

Global catalog Servers

Bir çeşit DC dir. Forest ımızda multiple domainler olur. Login olan userın DC sini bulmasında, ortamlarda printer gibi servisleri bulunmasında yardımcı olur. Bazı applicationlar catalog serverin olmasını beklerler.

RODC (Read Only Domain Controller)

adında belli olduğu gibi sadece okunabilir bir DC dir. Diğer DC lerden replication yapmaz. Secure olmayan senaryolarda DC nin açık vermemesi için kullanılır.

]]>

Sysprep.exe –> driverlar ve identification bilgileri ayıklanmış bir image oluşturur.

C:\Windows\System32\sysprep\sysprep.exe

[PS]>sysprep /oobe /generalize 

oluşturulan bu image bir şablon olabilir. Bu şablon image kullanılarak differential diskler ile VM’ler oluşturulabilir.

Böylece bir VM normalde mesela 20Gb yer kaplarken bu VM lerde hacim daha küçük oluyor çünkü Şablon önemli kısmını tutuyor. Dezavantajı herşey bir şablon a bağlı..

]]>

Sanallaştırma için SLAT (Second Level Address Translation) enabled olmalı.

İşlemcide sanallaştırma enabled olmalı.

Min 512 Mb Ram ve 8 GB disk olmalı ama önerilen 16 GB

İşletim sistemi kurulumu esnasında disk seçimi ekranında shift+F10 yapıldığında gelen konsoldan diskpart gibi işlemler yapılabilir.

Thin installation : Sadece çıplak işletim sistemi kuruluşudur.

Thick installation : İşletim sistemi ve bazı uygulamalarında beraber kurulmasıdır. Anti-virus, Office vs vs.

Windows sanallaştırma disk yapısı vhdx ‘ten fiziksel ortama da kurulum yapmak mümkündür boot edilebilir.

GPT disk boyu 2 TB’dan büyük olunca kullanılmak zorundadır.

Diskler 2 tiptir. Basic ve Dynamic. Basic disk boot edilebilir.

Dynamic diskler RAID de kullanılır. Bu diskleri başka bilgisayara takınca Foreign olarak gözükürler ama sağ click import yapılarak (disk manager da) kullanılabilir.

Windos lisanslandırması maalesef çok karmaşıktır. Çoğu zaman bir lisans partneri ile çalışmak mantıklı olabilir.

Scale-out : Aynı tipten bir sürü makina ve bunların çoğaltılmasıdır.

Scale-up : Mevcut sistemde hardware eklenmesidir. Ram işlemci vs vs

Migrationlar iki tiptir. Biri side-by-side diğeride in-place.

Side-by-side : 1 yeni bir eski makina bir süre beraber çalışır ve eski makinadan yeni makinaya sistem ve veriler kopyalanır. Yeni makina yeini işletim sistemi vs ile göreve başlar eski makina susturulur.

In-Place : Eski makina gerekli şekilde backup yapılır. Makina formatlanır ve yeni işletim sistemi kurulur. Backuplanmış veriler geri getirilir.

Local Group Policy –> gpedit.msc

AD Group Policy –> gpmc.msc

389 -> LDAP portu

3389-> RDP Portu

Remote management için :

1 – Enabled olacak

2-Firewall da izinler verilmiş olacak

3- Framework kurulu olacak.

IPAM –> IP Address Management. IPAM serverları birbirleri ile itelişim kurmazlar.

Same Sign-on : AD useri lokal user ile eşitlenir böylece AD userı şifre değiştirince lokal userinde şifresi değişir.

PAM –>Priviledged Access Management

PIM –> Priviledged Identity Management

MIM –> Microsoft Identity Management

Nano Server group policy desteklemez ayrıca server 2019 da Nano server yok.

Server Core da ve Server 2016 da sconfig ile pek çok ayarı yapmak mümkün.

MDT (Microsoft Deployment Toolkit. Bununla ağa yeni katılan sistemlere PXE boot imagı gönderebiliriz .

MAP Toolkit sistemlerimiz hakkında inventory bilgisi ve uyumluluk bilgisi sağlar bunu excel dosyaları halinde sunar. Baya çok bilgiyi sistemlerden toplamak mümkündür.

KMS Server ile 25 adet lisansın Onaylanması yapılabilir. Ancak onaylamayı aslında KMS serveri yapmaz. O sadece aracı olarak çalışır.

]]>

Nihayet yoğunlaştırılmış ders programını bitirdim. Sınavı da başarıyla geçtim. Sınavın bana öğrettiği şey deneyim olmadan lisans saçmalıktır. Yoğun ezbere dayalı. Öğrenmeyi içermeyen Windows sınavlarındansa uygulamalı RedHat sınavlarının ne değerli olduğunu biraz daha anladım. Ve tabii ki udemy eğitimleri ile iyi bir eğitmen arasında ki farkıda görmüş oldum.

İyi bir eğitmen kursta ihtiyaçlarınızı biliyor . ek bilgiler ve test ortamı sağlıyorken Udemy de maalesef ABD’liden aynısını göremedim. Bakalım 2 eğitim daha aldım başka kullanıcılardan biri active directory yine yabancı diğeri ise exchange eğitimi bu sefer Türkçe olacak.

Zaman buldukça eğitim notlarımı paylaşacağım.

]]>