Fine-Grained Password Policy (Politikaları)

28 Eki
2009
Yorum
Yap

Windows 2000 Server ve Windows Server 2003 ortamında password politikaları domain bazında yapılabiliyordu. Örneğin parolanın uzunluğu, değiştirme süresi vb bilgiler tüm domain için düzenlenebiliyordu. Diğer bir deyişle yapılan düzenlemeler tüm domain’i etkiliyordu.

Windows Server 2008 işletim sistemi kullanıcı bazında farklı parola politikaları ve hesabın kilitlenmesi (account lockout) düzenlemeleri yapılabilmektedir. İşte “fine-grained” password politikaları, bir domain içerisinde istenen bir gruba ya da kullanıcıya farklı bir password düzenlememizi sağlıyor. Örneğin ceyhun.local domaini içerisindeki yönetim grubuna gelişmiş bir password politikası uygulanması.

İlk olarak Adsiedit’i çalıştırıyoruz.

Start => Run => Adsiedit.msc

Acılan konsolda ADSI Edit’i sağ tıklıyoruz ve Connect to komutunu seçerek Name kutusuna domainimizin adını yazıyoruz. Ardından önce domain adını sonra DC=Ceyhun,DC=local kısmını çift tıklayarak genişlettikten sonra CN=System’i de aynı şekilde genişletiyoruz. CN=Password Settings Container bölümünü sağ tıklayıp New ve Object komutunu seçiyoruz.

adsiedit

Sırasıyla;

Create object diyalog kutusunda “msDS-PasswordSettings” seçeneğinin seçili olduğunu doğrulayıp ilerliyoruz.

Create Object sayfasında Value kutusunda  yaratacağımız nesne için bir ad belirtiyoruz.

“msDS-PasswordSettingsPredence” kutusuna normal bir değer olarak 10 yazıp ilerliyorum.

“msDS-PasswordReversibleEncryptionEnabled” kutusuna bu seçenek kullanılmayacağı için “FALSE” yazıyorum.

“”msDS-PasswordHistoryLength” kutusuna parolanın hatırlanacağı sayıyı yazıyoruz. Örneğin : 24

“msDS-PasswordComplexityEnabled” kutusuna kompleks parola için TRUE yazıp ilerliyoruz.

“msDS-MinumumPasswordAge” kutusuna 7:00:00:00 (7 gün)  yazarak parolanın minimum kaç gün geçerli olacağını belirtiyorum. (GG:SS:DD:SS)

“msDS-MaximumPasswordAge” kutusuna 24:00:00:00 (24 gün) yazarak parolanın maksimum kaç gün geçerli olacağını belirtiyorum.

“msDS-LockoutThreshold” kısmına 3 yazarak kullanıcıların parolalarını 3 kez yanlış girmeleri durumunda hesaplarının kilitmesini istediğimi belirtiyorum.

“msDS-LockoutObservationWindows” kutusuna 0:0:10:00 değerini girerek parolasını 3 kez yanlış giren kullanıcının hesabının 10 dakika kilitli kalmasını istediğimi belirtiyorum.

“msDS-LockoutDuration” kısmına ise 0:0:10:00 değerini girerek kullanıcının hesabının 10 dakika kilitli kaldıktan sonra açılmasını istediğimi belirtip buradaki işlemlerimi tamamlıyorum.

 fine-grained1

fine-grained2

 fine-grained3

fine-grained5

Şimdi Active Directory Users and Computers aracını başlatalım ve view menüsünden Advanced Features komutunu seçelim. Ardından System bölümünü genişletip ve “Password Settings Container” seçeneğini tıklıyoruz.

Biraz önce yarattığımız psswd1 nesnesini sağ tıklayıp properties diyoruz ve Attirbute Editör tabından bu policy’den etkilenmesini istediğimiz kullanıcıyı “Add Windows Account” seçeneğini kullanarak ekliyoruz.

adsiedit2

fine-grained6

Ok diyerek tüm diyalog kutularını kapatabiliriz.

Bu makalemde Windows Server 2008 ile gelen yeniliklerden Fine-Grained Password Policy işlemini anlatmaya çalıştım. Umarım yararlı olmuştur.

Yazar: ceyhun çamlı Kategoriler | Etiketler: , , , ,

Reliability and Performance Monitor III ( Data Collector Set)

20 Ağu
2009
Yorum
Yap

Data Collector Set

İkinci bölümde sizlere perfomans izlemedeki en önemli yeniliklerden birisinin data collector set olduğunu söylemiştim. Data Collector Setler performans izleme sayıcılarının ve sistemin izlerinin bir arada toplandığı ve özel amaçları olan yapılardır. Bu kısımda onların nasıl çalıştığını göstereceğim.
Windows NT Performans izleme ile Windows Server 2003 Performans izleme işlemleri birbirleriyle benzerdir. Her iki versiyonda da zorluklar vardır, çünkü counter’ların  ürettikleri değerleri yorumlamak zordur. Bunun yanında  Windows NT’de Counter’lar oldukça azdır. O zamandan bu yana yüzlerce counter üretildi. Windows Server 2003 ve Windows Server 2008’de Performans izlemede zorlayıcı olan taraflardan biri de hangi counter’ları kullanmanız gerektiğini bilmenizi gerektirmesidir.
Hemen hemen bütün durumlara karşı kullanabileceğimiz bir counter mevcuttur. Yalnızca belli başlı counter’ları kullanmak, sisteminizle ilgili tüm durumları izlemenize yardımcı olmaz. Bu yüzden çözmek istediğiniz sistemin belli başlı kısımları için o kısımla ilgili counterları kullanmalısınız. Fakat hangi counter’ları kullanacağını nasıl bileceksiniz? Bazı durumlarda belli bir olay için yüzlerce counter olabilir. Bazı counter’lar çok önemliyken bazıları ise kıyıda köşede kalmıştır ve sadece microsoft yardım personeli tarafından kullanılır.
Data collector setleri belirli sorun çözme görevlerinde kullanılan gruplanmış counter’lardan oluşur. Windows Vista ve Windows Server 2008 dört adet data collector setine sahiptir :
·         LAN Diagnostics
·         System Diagnostics
·         System Performance
·         Wireless Diagnostics
Siz de ayrıca kendinize özel data collector seti yaratabilirsiniz.
Data Collector Set’in Anatomisi
Data collector setlerine Reliability and Performance Monitor aracılığıyla erişebilir ve aynı konsoldan yönetebilirsiniz. System container’ı genişlettiğinizde, daha önce bahsettiğim dört adet gömülmüş olan data collector setini göreceksiniz. Eğer bunlardan birisini seçerseniz, aşağıdaki gibi onunla ilgili olan ve data collector seti oluşturan elemanları göreceksiniz.

Herhangi bir data collector set’i seçtiğinizde, Windows o data collector seti oluşturan elemanları listeleyecektir. Yukarıdaki şekile baktığınızda,o data collector seti oluşturan elemanlardan sadece birisinin performans counter olduğunu farketmişsinizdir. Geri kalanlar trace yada Configuration olarak sınıflandırılmıştır.  İlerleyen bölümlerde Trace ve Configuration’dan bahsedeceğim.

Performance Counter listing’e iki kez tıklarsanız, aşağıdaki gibi Performans Counter özellikleri ekranı karşınıza çıkar. Şekilde gördüğünüz gibi  , Performance Counter özellikleri ekranı data collector setini oluşturan birçok performans counter’ını içerir. Counter’ların rastgele sıralandığını görürsünüz. Listedeki ilk counter Network Interface’tir. Onun altındaki counter’ların hepsi network interface ait counter’lardır.

Gördüğünüz gibi data collector set’ler hangi performans counter’larını kullanılması gerektiğini Windows’a söylerler ve sizin seçmenize gerek kalmaz. Tabi ki siz yine de elde ettiğiniz değerleri yorumlamayı bilmelisiniz. Data Collector setleri bu yorumlama sürecinde size yardımcı olacaktır. Bu konuyla ilgili 4. ve son makalemde ise Data Collector Set’i nasıl yorumlayacağınızı anlatacağım.

Yazar: ceyhun çamlı Windows Server 2008 | Etiketler: , , , , ,

Reliability and Performance Monitor I

18 Ağu
2009
Yorum
Yap

Windows NT ‘den bu yana Windows Performance Monitor fazla değişikliğe uğramadı. Buna rağmen bu aracı kullanan birilerini gördüm desem yalan olur. Bu durumun sebebi sanırım Performance Monitor’ün kullanımının zor ve sıkıcı olması. Ayrıca sonuçları yorumlamayı bilmiyorsanız kullanmanız Performans Monitor’ü kullanmak anlamsız hale geliyor.  Çok sayıda performance monitor sayacı vardır ve birçok windows uygulaması da kendi sayaçlarını performans monitorun içerisine ekler.

Performans Monitor’ü çok az sayıda insanın kullanmasının diğer bir sebebi de performance monitor’un ürettiği değerleri yorumlayan kullanışlı araçların var olmasıdır.
Buna rağmen, performans izleme günümüzde büyük önem kazanıyor. Bunu söylememin sebebi günümüzde sanal makinelerin (Virtual machines) kullanımının artması. Sanal Server ortamında birçok sanal makine tek bir fiziksel makine üzerinde yer alıyor. Eminim sanallaştırmanın bu kadar popüler olmasının gerçek sebebinin server donanımınından ekonomik olarak gerçek değerinin altında yararlanılması olduğunu duymuşsunuzdur. Sanallaştırma, şirketlere fiziksel donanımlarını daha etkin kullanma imkanı sağlar ve server’ların sağlamlaştırılmasına  olanak tanır.
Buna rağmen dikkat çekici bir nokta ise, sanal server’ların fiziksel serverlardan daha fazla kaynağa ihtiyaç duymalarıdır. Bunun sebebi ise zaten fiziksel kaynakları kullanan bir işletim sisteminin var olması ve sanal serverın bunun üzerinde kurulu olmasıdır.  Microsoft’un sanallaştırma alanında yeni ürünlerinden birisi olan Hyper-V ,donanım isteklerini kullanıcı işletim sistemi aracılığıyla karşılayan sanallaştırma ürünlerine oranla direk donanımla bağlantıya geçmesi nedeniyle daha verimli çalışmaktadır. Buna rağmen kullanıcı işletim sistemi hala önemli miktarda sistem kaynaklarını tüketmektedir. Örneğin bir Hyper-V sisteminde disk giriş çıkış işlemleri kullanıcı işletim sistemi vasıtasıyla koordine edilir. 
Değinmek istediğim nokta, sanallaştırma gerçekten iyi çalışıyor gibi gözükmesine rağmen, server’ları sanallaştırmaya başladığınız anda sistem kaynaklarını boşa harcamamanız kritik derecede önem taşıyor. Hepsinden öte sanal bir server tarafından boşa harcanan sistem kaynakları diğer bir sanal server tarafından kullanılıyor olabilir.  Performance monitoring size hangi serverın kaynakları aşırı kullandığını ve hangi serverların kaynakları idareli kullandığını gösteriyor. Bu bilgi bize bütün sanal serverlarımızı daha verimli kullanmak için yapmamız gereken işlemleri bize gösteriyor.
Siz sanal server ortamınızı optimize etme endişesinde olmasanız bile, fiziksel serverınızı sanallaştırmayı düşünüyorsanız performance monitoring kesinlikle önemlidir. Çünkü sadece performance monitoring aracılığıyla serverın  kaynaklarınızı ne kadar verimli kullandığını görebilirsiniz.
Performance Monitoring İşlemi
Asıl Performance Monitoring işlemine bir sonraki makalede değineceğim. Şimdilik sizi verimli olmaya yönlendiren hızlı optimizasyonun püf noktasını göstereceğim.  Eğer Windows Server 2008 Reliability and Performance Monitor konsolunu açarsanız, ve Reliability and Performance container’ına tıklarsanız ağağıdakine benzer bir ekranla karşılaşırsınız.
Dikkatinizi çekmek istediğim nokta, her nekadar bu ekran kaynakların tüketimine ilişkin toplam değerleri yansıtsa da siz CPU, Disk, Network yada Memory’ye tıklayarak her bir işlemin ayrı ayrı kaynakları ne kadar tükettiklerine ulaşabilirsiniz.Aşağıdaki şekilde bunun bir örneğini görüyorsunuz.

Her bir prosesin ne kadar sistem kaynağı kullandığına bakarak, o prosesin çalışmasının gerçekten gerekli olup olmadığını belirlememiz gerektiğini düşünüyorum.  Google’da yapacağınız bir arama ile her bir prosesi ve ne için kullanıldığını bularak o prosesin sisteminiz için gerekli olup olmadığına karar verebilirsiniz.
Bu makalede fiziksel serverların yerinini sanal server’lara  bırakmaya başlamasıyla birlikte performans izlemenin her zamankinden daha fazla önem arz etmeye başladığını anlatmaya çalıştım.  İkinci makalede performans görüntüleme işleminden bahsedeceğim.
Yazar: ceyhun çamlı Windows Server 2008 | Etiketler: , , ,

Windows Server 2008 Domain Controller’ın İsmini Değiştirmek

05 Ağu
2009
Yorum
Yap

Yeni bir network tasarlarken , yada yeni server’ları dağıtırken Server için doğru ismi seçmek dikkat edilmesi gereken adımlardan birisidir. Bazı durumlarda  dökümantasyondaki yazım hataları ya da server’a isim verirken yapabileceğimiz  hatalı adlandırmalar  server’ın yanlış isimlendirilmesine sebep olabilir. Oysa server’ların düzenli bir şekilde anlaşması için, Domain Controller’lar farklı bir methodla yeniden adlandırılmalıdır.

Sıradan bir server’ı(Windows 2000/2003/2008) yeniden adlandırmak oldukça basittir. Bilgisayarın özelliklerinden yapılılır, ve yeniden başlatmayı gerektirir. Fakat, DC’ı yeniden adlandırmak için farklı bir işlem  gerektirir .

NOT: Microsoft’s Certificate Authority Services (CA)’i çalışan Domain Controllers asla yeniden adlandırılamaz.

Bütün Domain’i yeniden adlandırmakla aynı şey değil yaptığımız! Bunu yapmak için Active Directory’nin parçası olan RENDOM utility’i kullanıyoruz.  (Directory Services installed files).

DC’yi yeniden adlandırmak için NETDOM komutunu kullanacağız. Windows Server 2008’de, bu komut işletim sisteminin bir parçası olarak geliyor , yani önceki versiyonlardaki gibi ayrı bir yükleme gerektirmiyor. NETDOM komutunu kullanarak, domain’de karışıklık olup olmadığından ve client eylemlerinden haberdar olabiliriz.

Domain Controller’ı yeniden adlandırmak , domain controller için yeni bir bilgisayar ismi olarak bir FQDN gerektiriyor . Domain Controller için bütün bilgisayar hesapları update edilmiş SPN özelliği gerektiriyor  ve domain ismi için bütün yetkili DNS serverların yeni bilgisayar ismi için host (A) kaynak kaydı içermesi gerekiyor. Eski bilgisayar ismi silinene dek , eski ve yeni bilgisayar isimleri korunmalıdır. Bunun sebebi Domain Controller’ın yeniden başlatılması haricinde,kullanıcıların yeniden adlandırdığımız  Domain Controller’da yer alması ve  belgelendirilmesi durumlarında hiçbir kesintinin olmamasını sağlıyor.

Önemli: NETDOM komutunu kullanarak Domain Controller’ı yeniden adlandırmak için, domain’in functional  level’ının minimum Windows Server 2003 olması gerekiyor.

Domain Controller’ın adını değiştirme sırasında bir iyi bir de kötü haberim var. J

Önce iyi haberi vereyim , adını değiştirmek istediğiniz DC’ın yanında olmamıza gerek yok,. NETDOM bulunan herhangi bir bilgisayardan bu işlemi gerçekleştirebiliyoruz. (Tabii ki bu işlemi gerçekleştirebilmek için gereken şartları sağlıyorsak).

Kötü haber ise Domain Controller’ımızı bu işlemden sonra yeniden başlatmamız gerekiyor.

NOT : Bu işlemleri yapabilmek için Domain Admins grubuna üye bi kullanıcı ile logon olmalısınız.

CEYHUN.LOCAL domainde yer alan WIN-745WS439Q ismini   SRV1  olarak değiştirmek için:

1. Komut Satırını açıp aşağıdaki komutu yazıyoruz:

NETDOM computername WIN-8K5SAI2YMNU.CEYHUN.LOCAL  /add:SRV1.CEYHUN.LOCAL

Bu komut Active Directory’deki service principal name (SPN) özelliklerini bu bilgisayar hesabı için update edecek, yeni bilgisayar ismi için DNS kaynak kayıtlarını  kayda geçirecektir. Bilgisayar hesabının SPN değeri domain için bütün DC’lere kopyalanmalı, ve DNS kaynak kayıtları yeni bilgisayar ismi için bütün yetkili DNS serverlarına dağıtılmalıdır. Öncelikli olarak update’ler ve kayıtlar oluşmadıysa ve eski ismi silersek, bazı kullanıcılar eski ismi veya yeni ismi kullanarak bu bilgisayarda yer alamazlar. Bu yüzden Active Directory kopyalama döngüsünü tam olarak bitirene dek beklemeliyiz. REPADMIN and REPLMON tool’larını kullanarak bunu kontrol edebiliriz.

ADSIEDIT.MSC (default olarak Windows Server 2008de yüklü)aracını görüntüleyerek bilgisayar nesnesine yeni ismin gerçekten eklendiğini doğrulayabilirsiniz. Bilgisayar nesnesine sağ tıklayın Properties’i seçin:

msDS-AdditionalDnsHostName  özelliğine erişene dek uygun özellikler için listeyi tarıyoruz.

2. Bilgisayar hesabının yenilendiğinden ve  DNS kayıtlarının tamamlandığından emin olduktan sonra;

NETDOM computername WIN-8K5SAI2YMNU.CEYHUN.LOCAL /makeprimary:SRV1.CEYHUN.LOCAL

Yaptığımız değişikliği ADSIEDIT.MSC ile kontrol edebilirsiniz. msDS-AdditionalDnsHostName özelliğine erişene dek  bilgisayar nesnesi için uygun attributeleri listenin aşağısına inerek arayın.(server’ın yeni ismiyle nasıl gözüktüğüne dikkat edin).

Attribute’ün özelliklerinde Domain Controller’ın eski isminin gözüktüğünden emin olduktan sonra;

3. Bilgisayarı yeniden başlatın.

4. Komut satırında aşağıdaki komutu yazıyoruz;

NETDOM computername SRV1.CEYHUN.LOCAL /remove:WIN-8K5SAI2YMNU.CEYHUN.LOCAL

5. Değişikliklerin bütün DC’lere kopyalandığından emin olmalıyız.

Yazar: ceyhun çamlı Windows Server 2008 | Etiketler: ,

Group Policy Ayarları ile Network Printer’larını Deploy Etmek

26 Tem
2009
Yorum
Yap

Başlamadan önce anlatacağım tekniğin sadece Windows Vista ve Windows 7'de çalışacağını belirteyim.  Windows Server 2008 ve Windows Vista – Windows 7  group policy ayarlarını bize sunuyor fakat daha önceki Windows’larda bu özellik yer almıyor. Bu yüzden, siz doğal olarak bu tekniği Windows Xp kullanan bir kullanıcı için kullanamayacaksınız. Buna rağmen network printer’larını kullanıcılara deploy etmek için yapılabilecek başka bir işlem var.  Bu işlemi daha önceki makalelerimden bir tanesinde anlatmıştım.

http://www.ceyhuncamli.com/index.php/2009/04/18/windows-server-2003-r2de-gpo-ile-yazici-dagitilmasi/

Group policy ayarlarıyla  network printer'larını deploy etmek oldukça kolaydır.  Windows Server 2008  Print Server'ımız için  bu yeterli değildir. Group Policy ayarlarından Active Directory’nin haberdar olması gerekir. Bu yüzden Active Directory şemamızın versiyonu ya Windows 2003 R2 yada Windows Server 2008 olmalıdır.

Network printerlarını deploy etmek maksadıyla group policy’i configure ederken ,  Windows Server 2008 print management server içerisinde yer alan  Print Management konsolunu kullanacağız.  Şimdi deploy etmek istediğiniz  netwok printer'ı üzerinde sağ tıklayıp,açılan menüde Deploy With Group Policy komutunu seçelim.

Deploy etmek istediğimiz network printer'ına sağ tıklayın ve daha sonra Deploy With Group Policy linkini seçiyoruz.

Bu noktada, Windows Deploy With Group Policy diyalog kutucuğunu açılacak. İlk yapmamız gereken printer'ı hangi group policy’e eklememiz gerektiğini belirtiyoruz. Bunu yapmak için Browse butonuna tıklayıp listeden bir group policy’i seçiyoruz.

Yazıcının kullanıcı temelli mi bilgisayar temelli mi deploy edileceğini kontrol etmek için GPO Name drop down list altındaki checkbox’ına tıklayın. Son olarak Add butonuna tıklayın,  şekil’de gözüktüğü gibi, deploy edilmek istenen printer GPO’nun altında listelenecektir . Eğer yazıcıyı başka bir Group Policy nesnesine eklemek istiyorsanız, Browse butonuna tekrar tıklayın, başka bir Group Policy nesnesi seçin. OK’ye tıklayın.

 Deployed Printers üzerine geldiğimizde deploy ettiğimiz printer'ı görüntüleyebiliriz.

Print Management aracını kullanarak Printer'larımızı nasıl deploy edebileceğimizi böylece öğrenmiş olduk. Umarım yararlı olmuştur.

Yazar: ceyhun çamlı Windows Server 2008 | Etiketler: ,
« Önceki Yazılar