Category Archives: Windows Server

Windows Audit Event ID Listesi

Audit account logon events

Event ID Description
4776 The domain controller attempted to validate the credentials for an account
4777 The domain controller failed to validate the credentials for an account
4768 A Kerberos authentication ticket (TGT) was requested
4769 A Kerberos service ticket was requested
4770 A Kerberos service ticket was renewed

PowerShell Web Access

Sunucu ve istemcilerde yer alan powershell aracı ile rahatlıkla yönetim yapabiliyoruz.

Uzaktan yönetim de sağlayan powershell aracı Windows işletim sistemi dışında da yönetim yapabilmek için Powershell Web Access rolüne ihtiyaç duyuyor.

PWA rolü web ara yüzünde powershell aracını çalıştırmamızı ve  sunuculara ya da istemcilere bağlanıp yönetim yapabilmemizi sağlıyor. Bu sayede mobile cihazlardan da yönetim sağlanabiliyor.

Desteklenen tarayıcılar:

  • Windows® Internet Explorer® for Microsoft Windows® 8.0, 9.0, 10.0, and 11.0
  • Mozilla Firefox® 10.0.2
  • Google Chrome™ 17.0.963.56m for Windows
  • Apple Safari® 5.1.2 for Windows
  • Apple Safari 5.1.2 for Mac OS®

 

Mobile tarayıcılar:

  • Windows Phone 7 and 7.5
  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
  • Apple Safari for iPhone operating system 5.0.1
  • Apple Safari for iPad 2 operating system 5.0.1

 

 

PWA rolü Windows Server 2012, Windows Server 2012 R2 ve Windows Server 2016 sunucularına kurulabiliyor. Bu sunuculara rolü kurup sertifika ayarı yaptıktan sonra hangi kullanıcı ya da kullanıcıların hangi sunucu ya da sunuculara bağlanabileceğini belirliyoruz.

Windows Server 2016 Domain Yapısında Geçici Grup Üyeliği Oluşturma

Windows Server 2016 sunucularda active directory yapısında yeni gelen bir özellik ile artık kullanıcı ya da kullanıcılara daha kolay bir şekilde geçici grup üyeliği verebiliyorsunuz.

Örneğin bir kullanıcıyı geçici olarak domain admin grubuna dahil ediyorsunuz. Kullanıcı belirtilen süre sonrasında otomatik olarak kendiliğinden bu gruptan ayrılıyor.

Eskiden de bu tür işlemleri yapabiliyorduk fakat kullanımı biraz karmaşıktı. Server 2016 ile powershell üzerinden rahatlıkla yapabilmekteyiz.

İlk olarak “Privileged Access Management Feature” özelliğini domainimiz için etkin hale getiriyoruz.

Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target ortacdemirel.com

 

Ardından da kullanıcımızı istediğimiz gruba geçici olarak eklediğimizi belirtiyoruz.

Add-ADGroupMember  -Identity  ‘Domain Admins’  -Members  ‘ortac’  -MemberTimeToLive (New-TimeSpan -Days 5)

 

Komutun sonunda yer alan “New-TimeSpan” sadece güç için değil dakika, saat gibi değişkenler içinde kullanılabilir.

Ayrıntıları:

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/new-timespan?view=powershell-5.1

 

Active Directory Users and Computers konsolundan kontrol edebiliriz.

 

Ayrıca powershell üzerinden de hem bu ayarı hem de kalan süreyi görebiliriz.

Get-ADGroup ‘Domain Admins’ -Property member -ShowMemberTimeToLive

 

Member bölümünde yazan TTL değeri kalan süreyi göstermektedir.

Windows Sunucu İşletim Sistemlerinde Slab Consolidation Hatası

Windows XP den sonraki tüm istemci ve sunucu işletim sistemlerinde işletim sistemi disklere otomatik olarak birleştirme (defrag) işlemi uygular.  Bunu da görev zamanlayıcısına atanmış görevler ile yapar.

Windows Server 2012 ve 2012 R2 işletim sistemleri ile birlikte yeni bir defrag özelliği de gelmiş bulunmaktadır. Bu da slab consolidation özelliği. Bu özellik storage sistemlerden verilen thin-provisioned disklerin defrag edilmesini sağlar.

Thin-provisioned olarak yapılandırılmış diskleri Windows sunucunuza atadığında bu diklere format atıp bir harf vermeniz gerekmektedir. Fakat hatalı ya da eksik yapılandırma sonucunda Windows server işletim sisteminiz bu disk alanlarını defrag edemeyecektir.

Örneğin sürücü harfi vermek yerine bir ntfs klasörüne mount etmek gibi;

 

Veya disk alanın 8 mb dan daha küçük yapılması gibi.

Alınan hata ise 257 numaralı event id dir.

“The volume Index Data (F:) was not optimized because an error was encountered: The slab consolidation / trim operation cannot be performed because the volume alignment is invalid. (0x89000029)”

 

Bu tur bir durumda hatadan kurtulmak için görev zamanlayıcısına geliyoruz. Microsoft > Windows > defrag bölümünü açıyoruz.

 

Bu bölümde Windows sunucunuz tarafından otomatik olarak atanmış bir görev zamanlayıcısı bulacaksınız. Özelliklerine geliyoruz.

 

Actions bölümünden “-k” komutunu kaldırıyoruz.

Active Directory de Custom Arttribute Oluşturma

 

Active Directory Users and Computers konsolunda yer alan tüm nesnelerin özellikleri Schema içerisinde yer almaktadır. Forest kurulduğundan bu nesne özellikleri de otomatik olarak oluşturulmaktadır. Bu özelliklere attribute ismi verilmektedir. Kullanıcı nesnesinin adı, soyadı, hesap ismi, son oturum açma tarihi gibi birçok özellikte bu attribute larda yer alır.

Hazır gelen attributelerden extensionAttribute ler ise istediğimiz bilgileri girmemizi sağlar. Yaklaşık 15 adet  extensionAttribute vardır. Bunlara hazır gelen bilgilerden farklı bilgiler girebiliriz. Örneğin TC kimlik numarası.

İstersek kendimizde attribute oluşturup Active Directory yapısında kullanabiliriz. Bu makalede TC kimlik numarası isimli bir attribute oluşturacağız ve kullanıcılarımıza bu atrribute u atayacağız. Kullanımını kolaylaştırmak içinde birtakım ayarlar yapacağız.

Önemli notlar:

  • Bu uygulamayı yapmadan önce mutlaka bir test yapısında deneyiniz.
  • Uygulamaya başlamadan önce DC lerinizin yedeğini mutlaka alın.
  • Oluşturulan attribute leri silmek zordur. Haberiniz olsun. Yanlış olursa sıkıntı yaşayabilirsiniz.

 

Atrribute lerin ayarları görmek ve yenisini oluşturmak için Active Directory Schema konsoluna ihtiyacımız var. Bu konsol ise varsayılan olarak görünüz halde değildir.

DC makinemizden schema master yüklü olana bağlanıyoruz ve çalıştıra “regsvr32 schmmgmt.dll”  yazarak konsolu görünür hale getiriyoruz.

 

Windows Server 2016 Güncelleme Alımının Kapatılması

Windows Server 2016 işletim sistemlerinde Windows güncellemeleri eski sürüm işletim sistemleri gibi kontrol edilmemektedir.

Güncelleme konsolundan sadece alınan güncellemelerin yüklenmesi, denetlenmesi ve yüklenme zamanları gibi ayarlar yapılmaktadır. Tavsiye edilmese de tamamen güncelleme kapatılması işlemini artık bu bölümden yapamıyoruz.

Application Request Routing – IIS de Yük Dengeleme

Web sunucularınız için birçok yük dengeleme çözümü mevcut.

DNS round robin gibi kolay ve ücretsiz bir çözümden tutunda ihtiyaca göre donanımsal load balanced cihazlara kadar birçok çözüm ile web sunucu ortamınızı (web farm) hem yedekli hem de yük dağıtımlı olarak yapılandırabilirsiniz.

Application Request Routing (ARR) ise IIS sunucularınız üzerine kurulabilen Microsoft’un sağladığı ücretsiz bir çözüm.

ARR, IIS 7.0, 7.5, 8, 8.5 ve 10 sürümleri üzerinden kullanılabilir.

Web sunucularınızın önünde, ayrı bir IIS sunucusu üzerine kurulması gereken bu eklenti ile sunucularınıza gelen istekleri istediğiniz gibi yönlendirebilir, dağıtabilir ve gözlemleyebilirsiniz.

Windows Server 2016 Kurulumu

Microsoft yeni sunucu işletim sistemi olan Windows Server 2016’yı yayınladı. Birçok yeni özelliğe sahip olan işletim sisteminin kurulumu önceki sunucu işletim sistemleri ile benzerlik göstermektedir.

Kurulum medyasını takıp sistemi başlattığınız da ilk olarak ürün anahtarı girebileceğiniz ekran gelmektedir. En altta bulunan “I don’t have a product key” seçeneği ile ürün anahtarı girmeden devam edebilirsiniz.

Bilgisayarların Domain’e Alınma İşlemlerinin Denetlenmesi

Active Directory yapısında normal kullanıcılar, yetkilendirilmiş kullanıcılar ve domain yöneticileri bilgisayarları domain e katabilirler.

Normal kullanıcılarda bilgisayarları domain e katma sayısı sınırı varsayılan olarak on kez iken (adsiedit üzerinden arttırıp azaltılabilir) yetkilendirilmiş kullanıcılar ve yöneticiler için bir sayı sınırı yoktur.

Domain e katılan bilgisayar active directory users and computers konsolunda “computers” kabının içerisine düşer.

Domain yapısında istersek domain e alınma işlemlerinin denetlenmesini sağlayabiliriz. Örneğin sadece yetkili hesapların domain e alma işlemlerini yapabilmesini ve daha önceden active directory users and computers konsolunda elle oluşturulan bilgisayarların domain e alınabilmesini sağlamak gibi.

İlk olarak group policy yönetimi den “Default Domain Controller Poilcy” politikamızı açıyoruz. Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies User Right Assignments bölümüne geliyoruz.

Bu bölümde yer alan “Add Workstation to Domain” politikası kimlerin bilgisayarları domain e alabileceğini göstermektedir.