.

Can's Windows Server Blog

Active Directory Domain

Aslında bir forest içinde ki administrative (yönetimsel) bir birimdir. Çoğu kurumda genelde tek bir domain varken bazen tek bir domain yeterli olmayabilir.

Bazen kurumlar çok büyük olabilir, birden çok alana yayılmış olabilir (şehirler, ülkeler) yada bazen aynı yerde de biz ayırma kararı vermiş olabiliriz.

Administrative unit içinde users (kullanıcılar), Computers (bilgisayarlar) ve grouplar mevcuttur.

Domain aynı zamanda “replication boundry” demektir. Replikasyon (yani aslında iki aynı yazılımın verileri eşlemesi ve aynı veriye sahip olmaları) domain içinde gerçekleşir.

Replike edilenler değişimler, silinmeler ve eklentilerdir.

Domain AD Administrative Center yazılımı ile yönetilebilir. Bu nispeten yeni bir tooldur ancak uzun zamandır mevcut olan ve kullanılan “Active directory user and computers” da etkili bir tooldur. Bazı durumlarda birini diğerine tercih edebiliriz.

Domain ayrıca authentication ve authorization sağlar. Yani bir kullanıcı yada bilgisayarın domain e girmesine ve kaynakları kullanmasına izin verilmesi ve hangiş kaynakları kullanabileceğinin tanımlanmasıdır.

Sistemde teknik olarak tek bir DC yeterlidir ancak o tek DC nin gayri faal olması durumunda tüm domain kaybedilebilir. bu nedenle minimum 2 DC olması önerilir. Bu DC’ler read-write DC’lerdir. Böylece replikasyon mümkün olur.

]]>

Active Directory Forest

Forest dendiği zaman AD networkunde en üst seviye containerden bahsediyoruz demektir. Eğer bir AD kurmak (install etmek) istiyorsak forest install etmek zorundayız.

Forest içindeki domainler her zaman aynı domain adlarını kullanmak zorunda değiliz.

Forest oluştururken planlama gerekir. En üsteki “Forest Root” olur. Forest root ta “Entreprıse Admin” adında bir kullanıcı olacaktır. Linux dünyasında ki root gibi. Entreprise admin Forest içinde ki herşeyi yönetebilir.

Yine forest root ta olan bir diğer özel kullanıcı “Schema admin” vardır. Bu kullanıcı Schema ekleyip değiştirebilir. Schemalar AD veri tabanında ki objeler ve onların attributelarıdır (özellikleri).

Bu iki userı oluşturduktan sonra istediğimiz gibi domainleri ve diğer objeleri oluşturabiliriz.

]]>

Active Directory Üzerine

Active Directory (AD) mantıksal ve fiziksel bileşenlerden oluşmaktadır.

Mantıksal bileşenler

  • Partitionlar
  • Schema
  • Domains
  • Domain Trees
  • Forests
  • Sites
  • OUs
  • Container

Fiziksel Bileşenler

  • Domain Controllers
  • Data Stores
  • Global Catalog Servers
  • RODCs

Partition lar

  • Configuration Partition : bunun içinde subnetler ve site information gibi bilgiler olur.
  • Schema Partition : Schema nın kendisi hakkında bilgileri tutacaktır.
  • Domain Partition : Users, groups, computers ve domain içinde ki tüm objectler ile ilgili bilgiler olacaktır.

Bu üç partition hep beraber bir partition ı oluştururlar. Optional olan ayrıca birde application partition vardır.

  • Application Partition : AD DNS ile entegre olduğu zaman (AD integrated with DNS) kullanılır.

Schema

Tüm objelerin ve onların özelliklerinin Master list idir. AD içinde bulunan tüm komponentler kullanıcılar, gruplar, bilgisayarlar… hepsi Schema dadır. Schema master kullanarak değiştirebiliriz veya applicationlara göre ayarlayabiliriz (mesela exchange). Bazı applicationlar Schemada değişiklik gerektirir buna Schema Extension denir.

Domain

Domain aslında yönetimsel bir birimdir (administrative unit). Örneğin yönetmek istediğimiz bir network bir domainin parçası olabilir.

Domain Tree

Aslında bir domain in child lari (subdomainleri) olması durumudur. İsim devamlılık arz eder.

Örneğin:
contoso.com –> Parent Domain
atlanta.contoso.com –>Child Domain
gibi.

Forest

Bir veya daha çok domainin bilgi, kaynak paylaşımı yapabildiği yapıdır.

Site

Fiziksel bir lokasyona bağlı mantıksal yapıdır.

OUs

OU (Organizational Unit) bunları kullanarak networkümüzü yöneteceğiz. OUlar sadece adminler tarafından görülebilen kavramlardır. çeşitli şekillerde organize olabilirler, lokasyon, domain, application …etc.
OU lar ile Group Policy leri kullanabiliriz. Dolayısıyla Group Policy leri nasıl kullanacaksak OUları da o şekilde organize ederiz.

Containers

Built-in olarak hazır olanları olduğu gibi bizde yaratabiliriz. Örnek vermek gerekirse bir OU Container olarak kabul edilebilir. Ama Container OU dan farklıdır. Yani OU container olabilirken tersi mümkün değildir. Container a Group Policy eklemek mümkün değildir.

FİZİKSEL BİLEŞENLER

Domain Controllers

Normalde bir domain içinde 2 adet Domain Controller (DC) olur. (Redundancy)

  • Authentication ve authorization (Authentication sen kimsin, authorization senin yetkilerin neler.)

Data Stores

AD bir JET veri tabanıdır. Veri tabanı “ntds.dit” dosyasıdır.

Global catalog Servers

Bir çeşit DC dir. Forest ımızda multiple domainler olur. Login olan userın DC sini bulmasında, ortamlarda printer gibi servisleri bulunmasında yardımcı olur. Bazı applicationlar catalog serverin olmasını beklerler.

RODC (Read Only Domain Controller)

adında belli olduğu gibi sadece okunabilir bir DC dir. Diğer DC lerden replication yapmaz. Secure olmayan senaryolarda DC nin açık vermemesi için kullanılır.

]]>

Windows Server 2016 Notlar -2

  • Sysprep.exe –> driverlar ve identification bilgileri ayıklanmış bir image oluşturur.
  • C:\Windows\System32\sysprep\sysprep.exe
  • [PS]>sysprep /oobe /generalize 

    oluşturulan bu image bir şablon olabilir. Bu şablon image kullanılarak differential diskler ile VM’ler oluşturulabilir.

    Böylece bir VM normalde mesela 20Gb yer kaplarken bu VM lerde hacim daha küçük oluyor çünkü Şablon önemli kısmını tutuyor. Dezavantajı herşey bir şablon a bağlı..

    ]]>

    Windows Server 2016 Notlar

  • Sanallaştırma için SLAT (Second Level Address Translation) enabled olmalı.
  • İşlemcide sanallaştırma enabled olmalı.
  • Min 512 Mb Ram ve 8 GB disk olmalı ama önerilen 16 GB
  • İşletim sistemi kurulumu esnasında disk seçimi ekranında shift+F10 yapıldığında gelen konsoldan diskpart gibi işlemler yapılabilir.
  • Thin installation : Sadece çıplak işletim sistemi kuruluşudur.
  • Thick installation : İşletim sistemi ve bazı uygulamalarında beraber kurulmasıdır. Anti-virus, Office vs vs.
  • Windows sanallaştırma disk yapısı vhdx ‘ten fiziksel ortama da kurulum yapmak mümkündür boot edilebilir.
  • GPT disk boyu 2 TB’dan büyük olunca kullanılmak zorundadır.
  • Diskler 2 tiptir. Basic ve Dynamic. Basic disk boot edilebilir.
  • Dynamic diskler RAID de kullanılır. Bu diskleri başka bilgisayara takınca Foreign olarak gözükürler ama sağ click import yapılarak (disk manager da) kullanılabilir.
  • Windos lisanslandırması maalesef çok karmaşıktır. Çoğu zaman bir lisans partneri ile çalışmak mantıklı olabilir.
  • Scale-out : Aynı tipten bir sürü makina ve bunların çoğaltılmasıdır.
  • Scale-up : Mevcut sistemde hardware eklenmesidir. Ram işlemci vs vs
  • Migrationlar iki tiptir. Biri side-by-side diğeride in-place.
  • Side-by-side : 1 yeni bir eski makina bir süre beraber çalışır ve eski makinadan yeni makinaya sistem ve veriler kopyalanır. Yeni makina yeini işletim sistemi vs ile göreve başlar eski makina susturulur.
  • In-Place : Eski makina gerekli şekilde backup yapılır. Makina formatlanır ve yeni işletim sistemi kurulur. Backuplanmış veriler geri getirilir.
  • Local Group Policy –> gpedit.msc
  • AD Group Policy –> gpmc.msc
  • 389 -> LDAP portu
  • 3389-> RDP Portu
  • Remote management için :
  • 1 – Enabled olacak
  • 2-Firewall da izinler verilmiş olacak
  • 3- Framework kurulu olacak.
  • IPAM –> IP Address Management. IPAM serverları birbirleri ile itelişim kurmazlar.
  • Same Sign-on : AD useri lokal user ile eşitlenir böylece AD userı şifre değiştirince lokal userinde şifresi değişir.
  • PAM –>Priviledged Access Management
  • PIM –> Priviledged Identity Management
  • MIM –> Microsoft Identity Management
  • Nano Server group policy desteklemez ayrıca server 2019 da Nano server yok.
  • Server Core da ve Server 2016 da sconfig ile pek çok ayarı yapmak mümkün.
  • MDT (Microsoft Deployment Toolkit. Bununla ağa yeni katılan sistemlere PXE boot imagı gönderebiliriz .
  • MAP Toolkit sistemlerimiz hakkında inventory bilgisi ve uyumluluk bilgisi sağlar bunu excel dosyaları halinde sunar. Baya çok bilgiyi sistemlerden toplamak mümkündür.
  • KMS Server ile 25 adet lisansın Onaylanması yapılabilir. Ancak onaylamayı aslında KMS serveri yapmaz. O sadece aracı olarak çalışır.
  • ]]>

    Windows Eğitimi

    Nihayet yoğunlaştırılmış ders programını bitirdim. Sınavı da başarıyla geçtim. Sınavın bana öğrettiği şey deneyim olmadan lisans saçmalıktır. Yoğun ezbere dayalı. Öğrenmeyi içermeyen Windows sınavlarındansa uygulamalı RedHat sınavlarının ne değerli olduğunu biraz daha anladım. Ve tabii ki udemy eğitimleri ile iyi bir eğitmen arasında ki farkıda görmüş oldum.

    İyi bir eğitmen kursta ihtiyaçlarınızı biliyor . ek bilgiler ve test ortamı sağlıyorken Udemy de maalesef ABD’liden aynısını göremedim. Bakalım 2 eğitim daha aldım başka kullanıcılardan biri active directory yine yabancı diğeri ise exchange eğitimi bu sefer Türkçe olacak.

    Zaman buldukça eğitim notlarımı paylaşacağım.

    ]]>

    Azcık Windows Failover Cluster

    Failover cluster for VM (Virtual machines)

    İki host makina cluster landiktan sonra artik VM (sanal makinalar) birer kaynaktır (resource).

    VM in calistigi makina digger cluster uyelerine heartbeat (kalp atisi) sinyallerini gondermekten sorumludur.

    Heartbeat kesilince (5 sn, tipik port 3343) failover işlemi başlar. Burada önemli nokta disk ortak olduğu icin aslında sadece işlemci gücü diğer makinaya gecer.

    Failover planli bir sekilde de gerceklestirilebilir. Amaç hizmet veren VM in hizmetlerinde kesinti olmadan bakım vs diğer faaliyetlerin yapılması ve donanımsal arıza olması durumunda da otomatik hizmetlerin devamlılığının sağlanması amaçlanmaktadır.

    ailover islemi heartbeat gelmeyince baslar.

    Birden çok node varsa hiyerarşik bir sıra olmalı ve failover bu sıraya göre gerçekleşmelidir.

    Hatta bazen bazıları failover da üzerine bazi sistemleri almamak üzerede ayarlanabilir.

    Genelde failover cluster da birden cok VM hostlar üzerinde koşar. Failover oldugunda bir hosta aşırı yüklenilmesi yerine yükün dagitilmasi daha iyi olur.

    Failback ise üzerindeki VM leri atarak cluster dan çıkan node un geri gelmesi durumunda eski VM lerini geri almasi durumudur.

    ]]>

    Sistemler burası ve düşünceler

    Bir kaç ay önce başladığım Windows adminliği maceramda notlarımı burada yazıyorum ama sanki burası giderek karmaşaya dönüyor.Bir şekilde daha iyi düzenlemem ve hatta belki farklı sub-domainler ile devam etmem iyi olacak.

    Tabii zaman bulup kurmakta lazım…

    Aslında seneye benim firmaya taşısam mı? Hosting hacmi daha büyük.

    ]]>

    Windows HyperV cluster Storage

    THIS IS A DRAFT PAGE NEEDS TO BE UPDATED A LOT 🙂

    Create a storage. 

    1- install iSCSI target service 

        a-  Click file and storage services –> iSCSI it shall prompt you to install it. If not install iSCSI virtual disk can not be created

    2- file and storage services –> iSCSI –> Select Create –> go through the Wizard and select a system(most of the time the host that we already use) as target 

        a- systems should be in a domain (AD) before hand. and in iSCSI disk creation process when it comes to the “Select a method to identify the initiator” use browse to add cluster nodes  to it.

        b- those are the nodes which are allowed to connect to iSCSI virtual disk.

        c- authentification if required.

        d- systems will look as if they are not connected.

    3- Find (in services) “Microsoft iSCSI initiator Service” and set it to automatic. if not started start. Do it for all nodes.

        a- powershell commands :

            I – enter-pssession cluster1

                A- First establish an iSCSI target portal-

                    a)  New-IscsiTargetPortal -TargetPortalAddress lab-dc1

                B- then  list iSCSI targets.

                    b) Get-IscsiTarget

                        1) this show address and that it is not connected so we will connect

                    c) Get-Iscssitarget | Connect-IscsiTarget

                        1) now when we do “Get-IscsiTarget” we should see connected.

                        2) We can also use “Get-IscsiConnection”

                        3) also “Get-IscsiSession” shows details of the connection. Like addresses, authentications, persistence…..etc

                        4) If we do “Get-IscsiConnection|Get-Disk” then we see the 3 disks we have created see their status online-offline etc.

                    ​    5) we want our iSCSI sesssion is persistent. And it looks false so we want to change it to persistent. (it should always be persistent)

                            a- Get-iscsiTarget | Connect-IscsiTarget -IsPersistent $True

            II- enter-pssession cluster1

                A- Connect to IscsitargetPortal

                    a) New-IscsiTargetPortal -TargetPortalAddress lab-dc1

                    b) Get-iscsiTarget | Connect-IscsiTarget -IsPersistent $True

                    c)  Get-IscsiConnection|Get-Disk     –> see the disk are same

            Getting the disks online

            III- enter-pssession -ComputerName cluster1

                A- get-disk -Number 1 |fl

                B- Initialize-Disk -Number 1 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                C- Initialize-Disk -Number 2 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                D- Initialize-Disk -Number 3 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                    a) Get-Partition  —> to see partitions

                    b) Install-WindowsFeature Multipath-IO –> not done

                E- Exit-Pssession

                F- Enter-Pssession cluster2

                G- Get-partition

                    a) will list one actual partition (the others are for system recovery ..etc)

                H- Get-Disk 

                    a) will show disks and will show them offline (we are int he second note)

    4- go to GUI and add “Failover Cluster” role on the AD node (because we will use AD machine to manage it)

        Powershell

        ​a) Get-WindowsFeature failover-clustering   —> if not install 

    TIME 18:44

    (        -PassThru (if I am not mistaken) is used to add commands not that much related one after another .  In the example left side of it causes no output and with passthru it makes (hey lets take the disk we had been working on and pass it to ) the right side next command in the pipe. )

      II- Start-Service msiscsi

    * Failover cluster management is the tool we will use to validate configuration

    * launch wizard.

    * Click validate configuration and add the names of the servers that you want to use then it verifies the servers exists and can communicate with them

    * And then run tests.. Run all test will list thest and perform them. And give information about the process. Click on the errors and warnings and click view report so you can see the details 

    * After that create the cluster will create the cluster.

    * the IP address it show in a specific network is the administrative access point . Basically the ip address of the cluster itsself.

    * you can unclick “add all eligible storage to the cluster” so you can manage the disks

    * While the process goes you can see the cluster being formed in AD

    * Later on the failover cluster manager on storage menu –> disks (left click) –> add disk and you can add disks.

    * After disks selection should set the roles example is a standard general ile server . 

        * to do that on failover cluster manager rightclick on the top line where the name of the cluster is shown. and select “Configure Role”

        * this will start “High Availability wizard”

        * then give it a name TestlabsFS and an IP adres which will be used for the actual file server.

        ​*TIME 24 :62

    select disks (decide 1 or more )

        * finish the process  it will create online cluster

        * 

    so first we configured Iscsi than failover cluster



    ]]>

    Lesson 223 Creating failolver cluster

    reate a storage. 

    1- install iSCSI target service 

        a-  Click file and storage services –> iSCSI it shall prompt you to install it. If not install iSCSI virtual disk can not be created

    2- file and storage services –> iSCSI –> Select Create –> go through the Wizard and select a system(most of the time the host that we already use) as target 

        a- systems should be in a domain (AD) before hand. and in iSCSI disk creation process when it comes to the “Select a method to identify the initiator” use browse to add cluster nodes  to it.

        b- those are the nodes which are allowed to connect to iSCSI virtual disk.

        c- authentification if required.

        d- systems will look as if they are not connected.

    3- Find (in services) “Microsoft iSCSI initiator Service” and set it to automatic. if not started start. Do it for all nodes.

        a- powershell commands :

            I – enter-pssession cluster1

                A- First establish an iSCSI target portal-

                    a)  New-IscsiTargetPortal -TargetPortalAddress lab-dc1

                B- then  list iSCSI targets.

                    b) Get-IscsiTarget

                        1) this show address and that it is not connected so we will connect

                    c) Get-Iscssitarget | Connect-IscsiTarget

                        1) now when we do “Get-IscsiTarget” we should see connected.

                        2) We can also use “Get-IscsiConnection”

                        3) also “Get-IscsiSession” shows details of the connection. Like addresses, authentications, persistence…..etc

                        4) If we do “Get-IscsiConnection|Get-Disk” then we see the 3 disks we have created see their status online-offline etc.

                    ​    5) we want our iSCSI sesssion is persistent. And it looks false so we want to change it to persistent. (it should always be persistent)

                            a- Get-iscsiTarget | Connect-IscsiTarget -IsPersistent $True

            II- enter-pssession cluster1

                A- Connect to IscsitargetPortal

                    a) New-IscsiTargetPortal -TargetPortalAddress lab-dc1

                    b) Get-iscsiTarget | Connect-IscsiTarget -IsPersistent $True

                    c)  Get-IscsiConnection|Get-Disk     –> see the disk are same

            Getting the disks online

            III- enter-pssession -ComputerName cluster1

                A- get-disk -Number 1 |fl

                B- Initialize-Disk -Number 1 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                C- Initialize-Disk -Number 2 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                D- Initialize-Disk -Number 3 -PartitionStyle GPT -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume

                    a) Get-Partition  —> to see partitions

                    b) Install-WindowsFeature Multipath-IO –> not done

                E- Exit-Pssession

                F- Enter-Pssession cluster2

                G- Get-partition

                    a) will list one actual partition (the others are for system recovery ..etc)

                H- Get-Disk 

                    a) will show disks and will show them offline (we are int he second note)

    4- go to GUI and add “Failover Cluster” role on the AD node (because we will use AD machine to manage it)

        Powershell

        ​a) Get-WindowsFeature failover-clustering   —> if not install 

    TIME 18:44

    (        -PassThru (if I am not mistaken) is used to add commands not that much related one after another .  In the example left side of it causes no output and with passthru it makes (hey lets take the disk we had been working on and pass it to ) the right side next command in the pipe. )

      II- Start-Service msiscsi

    * Failover cluster management is the tool we will use to validate configuration

    * launch wizard.

    * Click validate configuration and add the names of the servers that you want to use then it verifies the servers exists and can communicate with them

    * And then run tests.. Run all test will list thest and perform them. And give information about the process. Click on the errors and warnings and click view report so you can see the details 

    * After that create the cluster will create the cluster.

    * the IP address it show in a specific network is the administrative access point . Basically the ip address of the cluster itsself.

    * you can unclick “add all eligible storage to the cluster” so you can manage the disks

    * While the process goes you can see the cluster being formed in AD

    * Later on the failover cluster manager on storage menu –> disks (left click) –> add disk and you can add disks.

    * After disks selection should set the roles example is a standard general ile server . 

        * to do that on failover cluster manager rightclick on the top line where the name of the cluster is shown. and select “Configure Role”

        * this will start “High Availability wizard”

        * then give it a name TestlabsFS and an IP adres which will be used for the actual file server.

        ​*TIME 24 :62

    NOT FINISHED YET

    ]]>