Category Archives: Windows Server

Bilgisayarların Domain’e Alınma İşlemlerinin Denetlenmesi

Active Directory yapısında normal kullanıcılar, yetkilendirilmiş kullanıcılar ve domain yöneticileri bilgisayarları domain e katabilirler.

Normal kullanıcılarda bilgisayarları domain e katma sayısı sınırı varsayılan olarak on kez iken (adsiedit üzerinden arttırıp azaltılabilir) yetkilendirilmiş kullanıcılar ve yöneticiler için bir sayı sınırı yoktur.

Domain e katılan bilgisayar active directory users and computers konsolunda “computers” kabının içerisine düşer.

Domain yapısında istersek domain e alınma işlemlerinin denetlenmesini sağlayabiliriz. Örneğin sadece yetkili hesapların domain e alma işlemlerini yapabilmesini ve daha önceden active directory users and computers konsolunda elle oluşturulan bilgisayarların domain e alınabilmesini sağlamak gibi.

İlk olarak group policy yönetimi den “Default Domain Controller Poilcy” politikamızı açıyoruz. Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies User Right Assignments bölümüne geliyoruz.

Bu bölümde yer alan “Add Workstation to Domain” politikası kimlerin bilgisayarları domain e alabileceğini göstermektedir.

Windows Server 2016 Workgroup ve Multi-Domain Cluster

Microsoft’un yeni sunucu işletim sistemi Windows Server 2016 önemli bir değişiklikle birlikte geliyor. Artık cluster yapılandırılması için sunucular active directory e katılmak zorunlu değil.

Şimdilik sınırlı desteğe (bu destek makalenin sonunda belirtilmiştir)  sahip olsa da Windows Server 2016 ile workgroup da ya da farklı domain ler de çalışan sunucularınız arasında cluster kurabilirsiniz.

Böylelikle Windows sunucuların desteklediği cluster yapısı artık üç çeşittir.

Single-domain Cluster: Tüm node ların domain de olduğu yapı.

Multi-domain Cluster: Node ların farklı domain ler de olduğu yapı.

Workgroup Cluster: Node ların workgroup ta yer aldığı yapı.

Ön gereksinimler:

  • Cluster içindeki tüm nod lar tabi ki de Windows Server 2016 işletim sistemi olmalıdır.
  • Cluster kurulumunu yapacak kullanıcı tüm node lar da local administrators grubuna dahil olmalıdır.
  • Kurulumu yapacak kullanıcı adı ve parolası tüm node lar da aynı olmalıdır.

Kurulum için her iki sunucumuzda da IP adresi, DNS, ve Gateway yapılandırılması yapıyoruz.

Güncellemeleri Kontrol Etme Ekranında Takılma Sorunu

Windows güncellemelerini istemci ya da sunucu yazılımlarınıza yüklemek istediğinizde “güncellemeler kontrol ediliyor” (checking for updates) ekranında sisteminiz bazen takılır.

 

WSUS Sunucuda İstemcilerin Gözükmemesi Sorunu

Microsoft’un güncelleme dağıtım hizmeti sağlayan Windows Server Update Service, Windows güncellemelerini çekerek istemce ve sunuculara bu güncellemelerin dağıtım işini yapar.

İstemci ve sunucuların WSUS hizmeti sağlayan sunucuyu görebilmesi ve ayarları alabilmesi için bir takım group ilkesi ayarları yapılmaktadır. Fakat buna rağmen bazen bilgisayarların WSUS sunucusu ile haberleşmesinde problemler olabilir. Bu tür durumda yapabileceğiniz bir takım ayarlar ve kontroller vardır. Bunlar;

  • Group Policy lerin kontrolü.

Bilgisayarlar için yaptığınız politikaları kontrol etmek ile başlayabilirsiniz. WSUS ayarları Computer Configuration > Administrative Templates > Windows Components Altında yer alan “Windows Update” bölümünde yer alır.

Bu bölümde ilk kontrol etmeniz gereken politika “Specify intranet Microsoft update service location” dır. Bu politikada WSUS sunucunun yeri istemcilere gösterilmektedir. http ile başlayan adres WSUS 2012 sunucularının kullandığı 8530 portu (ya da 8531) ile bitmelidir. WSUS sunucusunun bilgisayar adı bu alanda yer almalıdır.

Windows da Elle Event ID Yaratma

Windows işletim sistemlerinde olay kimliklerini isterseniz elle yaratabilirsiniz.

Elle olay kimliği yaratmak için EventCreate aracı kullanılır. Bu araç Windows işletim sistemlerinde hazır gelir ve komut satırı üzerinden kullanılır.

Komutun kullanımı;

EventCreate  /S <Computer>  /ID <Event ID>  /L <Log Name>  /SO <Source name>  /T <Type>  /D <Event log Description>

Switchler den sonraki ifadeler;

/S: Bilgisayarınızın ismi

/ID: Yaratacağınız olay kimliğine vermek istediğiniz kimlik numarası. 0 ile 1000 arasında bir sayı seçmeniz gerekmektedir.

/L:  Olay kimliği yaratacağınız bölüm. Sadece System ve Application da yaratabilirsiniz

/SO: Olay kimliğinin kaynak ismi.

/T: Olay türü. Sucess, Warning, Information ve Error seçenebilirsiniz.

/D: Açıklama. Yaratacağını olay kimliği için açıklama yazabilirsiniz.

Örnek kullanımı:

İsterseniz /U  ve /P switchleri ile farklı kullanıcı hesapları adına da oluşturabilirsiniz.

Java Ayarlarının Group Policy İle Dağıtımı

Java tabanlı kurumsal uygulamalara erişecek kullanıcılar bazı durumlarda kendi makinelerine java yazılımını indirmek ve kurmak zorunda kalırlar. Fakat bazı durumlarda kurumsal uygulamanın çalışabilmesi ya da düzgün çalışabilmesi için bir takım ayarlarda gerekmektedir. Bu ayarlar güncelleme, güvenlik ya da birçok gelişmiş ayar olabilir.

 

Domainden Düşen Makineler için NLTEST Aracının Kullanımı

Active Directory yapısında bazı sıkıntılardan dolayı istemci makineler domainden düşebilirler.  Bu durum istemci makinler ile domain kontroller arasında Secure Channel olarak bilinen güvenli iletişimin kaybedilmesi sonucunda gerçekleşir.

Genel olarak alınan hatalar trust relationship between a workstation and domain ya da secure channels chec between client and domain controller  şeklinde olur.

Bu sorun birçok sebepten oluşabileceği gibi genelde çakışan SID numaraları, secure channel ın istemci ve domain controller arasında kaybolması veya  DNS ya da SPN de bilgisayar isimlerine atanmış attribute lerın silinmesi olabilir.

NLtest aracı istemci makinenizdeki sorunu test etmek için kullanılır. Örneğin secure channel bozulması aşağıdaki komut ile test edilebilir.

C:\windows\system32 >nltest /server:sql1 /sc_query:ortacdemirel.com

Flags: 30 HAS_IP  HAS_TIMESERV

Trusted DC Name \\ortacdemirel.com

Trusted DC Connection Status Status = 0 0x0 NERR_Success

The command completed successfully

 

 

Eğer başarılı bir şekilde rapor dönüyor ise istemci makinesi domain controller iletişime geçebiliyor demektir.

Windows İşletim Sistemlerinde Quality Of Service Uygulaması ile İnterneti Sınırlama

Quality Of Service (hizmet önceliği) ağ üzerindeki uygulamalara öncelik verilmesini sağlayan bir hizmet uygulamasıdır. QoS sayesinde bazı uygulamalara, portlara ya da hizmetlere (ses, video vb) öncelik verilerek istemci makinelerin bunları daha verimli kullanması sağlanabilir.

QoS yapılandırması ağ cihazları ya da işletim sistemi seviyesinde yapılabilir.

İşletim sistemi seviyesinde yapmak için domain ortamında group policy ler, yerel ortamda ise local policy ler kullanılabilir.

Bu makalemde QoS u internet Explorer için yapılandırarak kullanıcıların internet hızını nasıl sınırlayabileceğimize değineceğim.

Domain ortamında group policy yönetim aracından yeni bir group ilkesi yaratıyorum.

Group ilkesini açarak Computer Configuration > Policies > Windows Settings  bölümüne geliyorum. Aynı ayar kullanıcı bazlı da yapılabilir.

“Policy-based QoS” üzerine sağ tıklayıp “Create new policy” seçeneğini seçiyorum.

 

Politikama yeni bir isim veriyorum. Politika da ki en önemli ayarlardan ikisi DSCP ve outbound throttle rate dir.

Differentiated Services Code Point (DSCP), ağ trafiğine farklı düzeylerde hizmet atanmasını sağlayan bir IP paketi alanıdır. Bu da ağ da ki her pakete bir DSCP kodu atanarak sağlanır. Aynı zamanda buna bir hizmet düzeyi atanır.

Örneğin LYNC yazılımı için ve lync paketleri için ayrı bir değer atanırken, Skype için farklı bir değer atanabilir.

DSCP aşağıdaki varsayılan değerleri alabilir:

Network Control (Ağ denetimi), DSCP değeri 30, IP önceliği 6.

Guaranteed (garantili), DSCP değeri 28, IP önceliği 5. Bu hizmet yüksek kalite ve sınırlı gecikme ile ölçülebilir garanti sağlar.

Controlled load (denetlenen yük), DSCP değeri 18, Ip önceliği 3. Yüksel kalite ve gecikme olmadan ölçülebilir garanti sağlar.

Ayrıntılı bilgi:

https://technet.microsoft.com/en-us/library/cc787218(v=ws.10).aspx

Kısacası bir uygulamayı eğer kısıtlamak istiyorsak önce onu bir DSCP değeri ile işaretlememiz (marked) gerekmektedir. Örneğin ben internet Explorer için 18 değerini seçiyorum.

Alttaki bölümden den ağ trafiğini sınırlamak için Mbps ya da Kbps cinsinden değer giriyorum.

 

Tüm uygulamaları değil de sadece internet Explorer ı sınırlamak istediğimden iexplorer.exe nin çalışma yolunu kutuya giriyorum. İstenirse % işareti de burada kullanılabilir. Windows işletim sistemlerinde varsayılan olarak Internet Explorer 32 bit olarak çalıştırılır.

 

Tüm giden ve gelen IP adresleri için bu ayarı yapacağım.

 

TCP, UDP ya da hem TCP hem de UDP  protoklü seçilebilir. Ayrıca portta belirleyebiliriz.

 

Group policy ayarları bu kadar. Bu aşamadan sonra istemci makiner internet tarayıcını açtıklarında ve internette gezinmek istediklerinde belirlediğimiz hız sınırının üzerine geçemeyeceklerdir.

Atamış olduğunuz DSCP değerini network monitör yazılımı ile görebilirsiniz.

Windows Server 2012 R2 ve Windows 8.1 İşletim Sisteminde WinSXS Klasörünü Küçültme

Windows işletim sistemlerinde yer alan WinSXS alanı güncellemelerin, düzeltme paketlerinin ve bir takım sürücülerin tutulduğu klasördür. Bu paketler sayesinde Windows bir takım geri kurtarma ve sürücülerden geri dönme gibi senaryoları gerçekleştirir.

Birçok işletim sistemi ve sürücü güncellemesi sonucunda bu klasörün de boyutu artar. Microsoft tarafından silinmesi kesinlikle önerilmez ve son kullanıcıların erişimi de mümkün değildir.

Tamamının silinmesi önerilmemesine rağmen sizler her otuz günde bir boyutunu azaltabilirsiniz.

Boyut küçültme işlemi komut satırından yapılmaktadır. Öncelikle komut satırını yönetici olarak açıyoruz ve aşağıdaki komutu veriyoruz.

Dism.exe  /online  /Cleanup-Image  /AnalyzeComponentStore

 

Bu komut WinSXS klasörü için öncelikle bir analiz gerçekleştiriyor.

Windows Explorer Reported Size of the Component Store: Yukarda bahsettiğimiz güncellemelerin işletim sisteminde tuttuğu alanın raporudur. Aslında gerçek alan bu kadar değildir.

Actual Size of the Component Store : Gerçekte paketlerin tuttuğu alandır.

Shared with Windows: Windows kurulumunda bu paketlerin ne kadarının kullanılıp kullanılmadığı bilgisidir.

Backups and Disable Features: Önceki sürümlerin tutulduğu alandır. Örneğin bir önceki ekran kartı sürücüsü gibi.

Cache and Temporary Data: Adından da anlaşılacağı gibi kaşe ve geçici verinin alanıdır.

Analiz işlemi bittikten sonra temizleme için aşağıdaki komutu verebiliriz.

Dism.exe  /online  /cleanup-image  /StartComponentCleanup

 

Sabit diskinizin hızına göre bu işlem uzun sürebilir. Ayrıca bu işlemi başlatmadan önce tüm pencerelerinizin ve uygulamalarınızın da kapalı olmasını öneririm.

İşlem bir süre sonra başarılı bir şekilde sonuçlanıyor.

 

Tekrar analiz komutunu çalıştırırsak eğer WinSXS klasöründe küçültme olduğunu görmekteyiz.