Category Archives: Windows Server

Domainden Düşen Makineler için NLTEST Aracının Kullanımı

Active Directory yapısında bazı sıkıntılardan dolayı istemci makineler domainden düşebilirler.  Bu durum istemci makinler ile domain kontroller arasında Secure Channel olarak bilinen güvenli iletişimin kaybedilmesi sonucunda gerçekleşir.

Genel olarak alınan hatalar trust relationship between a workstation and domain ya da secure channels chec between client and domain controller  şeklinde olur.

Bu sorun birçok sebepten oluşabileceği gibi genelde çakışan SID numaraları, secure channel ın istemci ve domain controller arasında kaybolması veya  DNS ya da SPN de bilgisayar isimlerine atanmış attribute lerın silinmesi olabilir.

NLtest aracı istemci makinenizdeki sorunu test etmek için kullanılır. Örneğin secure channel bozulması aşağıdaki komut ile test edilebilir.

C:\windows\system32 >nltest /server:sql1 /sc_query:ortacdemirel.com

Flags: 30 HAS_IP  HAS_TIMESERV

Trusted DC Name \\ortacdemirel.com

Trusted DC Connection Status Status = 0 0x0 NERR_Success

The command completed successfully

 

 

Eğer başarılı bir şekilde rapor dönüyor ise istemci makinesi domain controller iletişime geçebiliyor demektir.

Windows İşletim Sistemlerinde Quality Of Service Uygulaması ile İnterneti Sınırlama

Quality Of Service (hizmet önceliği) ağ üzerindeki uygulamalara öncelik verilmesini sağlayan bir hizmet uygulamasıdır. QoS sayesinde bazı uygulamalara, portlara ya da hizmetlere (ses, video vb) öncelik verilerek istemci makinelerin bunları daha verimli kullanması sağlanabilir.

QoS yapılandırması ağ cihazları ya da işletim sistemi seviyesinde yapılabilir.

İşletim sistemi seviyesinde yapmak için domain ortamında group policy ler, yerel ortamda ise local policy ler kullanılabilir.

Bu makalemde QoS u internet Explorer için yapılandırarak kullanıcıların internet hızını nasıl sınırlayabileceğimize değineceğim.

Domain ortamında group policy yönetim aracından yeni bir group ilkesi yaratıyorum.

Group ilkesini açarak Computer Configuration > Policies > Windows Settings  bölümüne geliyorum. Aynı ayar kullanıcı bazlı da yapılabilir.

“Policy-based QoS” üzerine sağ tıklayıp “Create new policy” seçeneğini seçiyorum.

 

Politikama yeni bir isim veriyorum. Politika da ki en önemli ayarlardan ikisi DSCP ve outbound throttle rate dir.

Differentiated Services Code Point (DSCP), ağ trafiğine farklı düzeylerde hizmet atanmasını sağlayan bir IP paketi alanıdır. Bu da ağ da ki her pakete bir DSCP kodu atanarak sağlanır. Aynı zamanda buna bir hizmet düzeyi atanır.

Örneğin LYNC yazılımı için ve lync paketleri için ayrı bir değer atanırken, Skype için farklı bir değer atanabilir.

DSCP aşağıdaki varsayılan değerleri alabilir:

Network Control (Ağ denetimi), DSCP değeri 30, IP önceliği 6.

Guaranteed (garantili), DSCP değeri 28, IP önceliği 5. Bu hizmet yüksek kalite ve sınırlı gecikme ile ölçülebilir garanti sağlar.

Controlled load (denetlenen yük), DSCP değeri 18, Ip önceliği 3. Yüksel kalite ve gecikme olmadan ölçülebilir garanti sağlar.

Ayrıntılı bilgi:

https://technet.microsoft.com/en-us/library/cc787218(v=ws.10).aspx

Kısacası bir uygulamayı eğer kısıtlamak istiyorsak önce onu bir DSCP değeri ile işaretlememiz (marked) gerekmektedir. Örneğin ben internet Explorer için 18 değerini seçiyorum.

Alttaki bölümden den ağ trafiğini sınırlamak için Mbps ya da Kbps cinsinden değer giriyorum.

 

Tüm uygulamaları değil de sadece internet Explorer ı sınırlamak istediğimden iexplorer.exe nin çalışma yolunu kutuya giriyorum. İstenirse % işareti de burada kullanılabilir. Windows işletim sistemlerinde varsayılan olarak Internet Explorer 32 bit olarak çalıştırılır.

 

Tüm giden ve gelen IP adresleri için bu ayarı yapacağım.

 

TCP, UDP ya da hem TCP hem de UDP  protoklü seçilebilir. Ayrıca portta belirleyebiliriz.

 

Group policy ayarları bu kadar. Bu aşamadan sonra istemci makiner internet tarayıcını açtıklarında ve internette gezinmek istediklerinde belirlediğimiz hız sınırının üzerine geçemeyeceklerdir.

Atamış olduğunuz DSCP değerini network monitör yazılımı ile görebilirsiniz.

Windows Server 2012 R2 ve Windows 8.1 İşletim Sisteminde WinSXS Klasörünü Küçültme

Windows işletim sistemlerinde yer alan WinSXS alanı güncellemelerin, düzeltme paketlerinin ve bir takım sürücülerin tutulduğu klasördür. Bu paketler sayesinde Windows bir takım geri kurtarma ve sürücülerden geri dönme gibi senaryoları gerçekleştirir.

Birçok işletim sistemi ve sürücü güncellemesi sonucunda bu klasörün de boyutu artar. Microsoft tarafından silinmesi kesinlikle önerilmez ve son kullanıcıların erişimi de mümkün değildir.

Tamamının silinmesi önerilmemesine rağmen sizler her otuz günde bir boyutunu azaltabilirsiniz.

Boyut küçültme işlemi komut satırından yapılmaktadır. Öncelikle komut satırını yönetici olarak açıyoruz ve aşağıdaki komutu veriyoruz.

Dism.exe  /online  /Cleanup-Image  /AnalyzeComponentStore

 

Bu komut WinSXS klasörü için öncelikle bir analiz gerçekleştiriyor.

Windows Explorer Reported Size of the Component Store: Yukarda bahsettiğimiz güncellemelerin işletim sisteminde tuttuğu alanın raporudur. Aslında gerçek alan bu kadar değildir.

Actual Size of the Component Store : Gerçekte paketlerin tuttuğu alandır.

Shared with Windows: Windows kurulumunda bu paketlerin ne kadarının kullanılıp kullanılmadığı bilgisidir.

Backups and Disable Features: Önceki sürümlerin tutulduğu alandır. Örneğin bir önceki ekran kartı sürücüsü gibi.

Cache and Temporary Data: Adından da anlaşılacağı gibi kaşe ve geçici verinin alanıdır.

Analiz işlemi bittikten sonra temizleme için aşağıdaki komutu verebiliriz.

Dism.exe  /online  /cleanup-image  /StartComponentCleanup

 

Sabit diskinizin hızına göre bu işlem uzun sürebilir. Ayrıca bu işlemi başlatmadan önce tüm pencerelerinizin ve uygulamalarınızın da kapalı olmasını öneririm.

İşlem bir süre sonra başarılı bir şekilde sonuçlanıyor.

 

Tekrar analiz komutunu çalıştırırsak eğer WinSXS klasöründe küçültme olduğunu görmekteyiz.

Client machines whose IP address don’t map to any of existing sites in the enterprise

Active Directory Site and Services yapılandırması yapmış iseniz istemci makineler belirlemiş olduğunuz subnet lere göre IP adresi almalıdır. Subnet ler dışında IP aldıklarında DNS sunucu bu istemcileri belirli bir bölgeye yönlendirme yapamaz.

Bu durum DC ler üzerinde bir uyarı kaydının üretilmesine sebep olur.

5807 olay günlüğü ile belirtilen durum aşağıdaki resimdeki gibidir:

 

Son birkaç saatte binlerce bağlantı açılmış olabilir. Bu binlerce bağlantı iki ya da üç makinenin bölgeler dışında kalmasından kaynaklanabilir. İstemciler sürekli bağlantı isteği gönderdiklerinde bağlantı sayısı çok artmaktadır.

DCDIAG komutu verdiğimizde DC ler üzerinde de aynı mesaja ulaşabiliriz.

 

Bu tür durumda bölge dışında kalan makinelerin IP adreslerine uyan subnet leri Active Directory Site and Services konsolundan yaratmamız gerekmektedir. Fakat işin zor yanı hangi IP adreslerinin ve istemcilerinin bu duruma sebep olduğunu bulmaktır.

DC üzerinde C:\Windows\Debug klasörüne gelirseniz eğer netlogon.log isimli bir dosya olduğunu göreceksiniz.

 

Bu dosyayı notepad ile açtığınızda aramış olduğunuz IP adresleri, istemciler ve tarihler yer almaktadır.

Bu aşamadan sonra istemci makinelerin doğru IP adresi almasını sağlayabilir ya da bu istemciler için subnet yaratabiliriz.

Windows Server 2012 Access-Based Enumeration

Windows işletim sistemlerinde çok yaygın olarak kullanılan dosya paylaşımı uygulamasında kullanıcılar yetkileri olmayan klasörlerin içerisine giremezler fakat bu klasörleri görebilirler ve listeleyebilirler.

Windows 2003’den beri kullanılan Access-Based Enumeration hizmeti yetkisiz kullanıcıların klasörleri de görmelerini engeller. Bu kullanıcılar için klasörleri gizli hale getirir.

DFS alt yapısı için kullanılabilen ABE özelliği aynı zamanda file server lar içinde rahatlıkla kullanılabilir.

ABE özelliğini kullanmak için öncelikle Windows Server 2012 sunucu işletim sistemine File Server özelliği kazandırmamız gerekmektedir.

Sunucu yönetiminden bu özelliği kurabiliriz.

Windows Uzaktan Yardım Aracı – Windows Remote Assistance

Windows platformunda kullanıcıların bilgisayarlarına bağlanarak sorunlarına yardımcı olabileceğiniz birkaç araç mevcuttur. Bunlar; uzak masa üstü bağlantı aracı (RDP), uzak bağlantı aracı (remote tools) ve uzaktan yardım aracı (remote assistance) dır.

RDP hepimizin iyi bildiği uzak masa üstü bağlantı aracıdır. Bu araç ile yapılan bağlantılarda kendi oturumunuzu açarak karşıdaki istemci ya da sunucuyu yönetebilirsiniz.

Uzak bağlantı aracı SCCM ile entegre gelebilmektedir. Kullanıcının bilgisayarına bağlanıp onu izlememizi ve kontrol etmemizi sağlar. Kullanıcının oturumunu kapatmasına gerek yoktur.

Kullanıcının oturumunu kapatmasına gerek duymadan bağlanılmayı sağlayan bir araçta Remote Assistance aracıdır. Bu araç sayesinde kullanıcının açmış olduğu oturuma bağlanabilir, oturumu yönetebilir ve kendi mesajlaşma ara yüzünden kullanıcıya mesaj gönderebiliriz.

VSS Writers Hizmetleri

Windows 2003’ler de sıklıkla karşımıza çıkan VSS hizmetlerinin başlamaması durumunda hizmetleri elle başlatmamız gerekebilir.

vssadmin list writers komutu ile görebileceğimiz hizmetlerin açıklaması aşağıdaki tabloda yer almaktadır.

 

VSS Writer Service Name Service Display Name
ASR Writer VSS Volume Shadow Copy
BITS Writer BITS Background Intelligent Transfer Service
COM+ REGDB Writer VSS Volume Shadow Copy
DFS Replication service writer DFSR DFS Replication
DHCP Jet Writer DHCPServer DHCP Server
FRS Writer NtFrs File Replication
FSRM writer srmsvc File Server Resource Manager
IIS Config Writer AppHostSvc Application Host Helper Service
IIS Metabase Writer IISADMIN IIS Admin Service
Microsoft Exchange Writer MSExchangeIS Microsoft Exchange Information Store
Microsoft Hyper-V VSS Writer vmms Hyper-V Virtual Machine Management
NTDS NTDS Active Directory Domain Services
OSearch VSS Writer OSearch Office SharePoint Server Search
OSearch14 VSS Writer OSearch14 SharePoint Server Search 14
Registry Writer VSS Volume Shadow Copy
Shadow Copy Optimization Writer VSS Volume Shadow Copy
SPSearch VSS Writer SPSearch Windows SharePoint Services Search
SPSearch4 VSS Writer SPSearch4 SharePoint Foundation Search V4
SqlServerWriter SQLWriter SQL Server VSS Writer
System Writer CryptSvc Cryptographic Services
TermServLicensing TermServLicensing Remote Desktop Licensing
WINS Jet Writer WINS Windows Internet Name Service (WINS)
WMI Writer Winmgmt Windows Management Instrumentation

Kullanıcının Profil Dosyasının Değiştirilmesi

 

Windows işletim sistemlerinde her bir kullanıcıya bir SID atanır. Bu SID her kullanıcıya özgü yaratılır ve kullanıcı kimliklerini birbirinden ayırır.

Active Directory yapısında da Local yapıda da SID kullanımı mevcuttur. Kullanıcı yaratılırken SID numarası da yaratılır ve aynı kimlik doğrulayıcı başka bir kullanıcıya verilemez.

Örneğin bir kullanıcınızın ad soyad gibi bilgilerini değiştirseniz bile Windows işletim sistemine oturum açınca aynı profil dosyasını kullandığını görürsünüz.

Hangi kullanıcının hangi profil dosyasını kullanacağına SID karar verir.

Bilgisayarını yerel ağda kullanan bir kullanıcının bilgisayarını domain e taşıdığınızda artık farklı bir profil dosyası kullanacaktır. Bu yüzden masa üstü, belgelerim, müziklerim gibi kişisel yerlerdeki dosyalarda eski profilinde kalmaktadır.

Aynı zamanda domainler arasında kullanıcı taşıma işlemlerinde de benzer durum gözükmektedir.

Bu ve benzeri durumlarda kullanıcının eski profil dosyalarını tek tek yeni profile taşıyabilirsiniz fakat bu çoğu zaman uzun süren zahmetli bir iş olabilir.

Bu tür sıkıntılı durumlarda yapabileceğiniz bir işlem olan profile atanmış SID numarasını değiştirmek birçok durumda size kolaylık sağlayacaktır.

Bizim senaryomuzda “ortac” isimli kullanıcı yerel yapıda bilgisayarını kullanmaktadır. “C:users” kabının altında “ortac” isimli bir profil dosyası vardır.

Bilgisayarınız ABC domainine alıyoruz. AD User and Computers de “ortac” isimi ile bir hesap açıyoruz.

İki isimde aynı olmasına rağmen farklı profiller olduğu için “C:users” altında ortac.ABC ismi ile yeni bir profil dosyası hazırlanmaktadır.


 

Ve haliyle kullanıcı eski dosyalarına erişememektedir.

Öncelikle DC üzerinde aşağıdaki komutu çalıştırarak yeni kullanıcının SID numarasına erişiyoruz.

Dsget user "cn=ortac,ou=test,dc=abc,dc=local" -sid


 

Daha sonra domaine aldığımız makineyi domain admin kullanıcımız ile açıyoruz.

Registry editörü açıyoruz ve aşağıdaki lokasyona geliyoruz:

HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList.

Buradan domainde yer alan kullanıcımızın SID numarasını seçiyoruz.


 

Sağ daki bölümden “ProfileImagePath” anahtarına geliyoruz.


 

Üzerine iki kez tıklıyoruz ve o bilgisayarda eskiden kullanılan yerel profili belirtiyoruz.


 

Bu işlemin ardından makineyi domaindeki “ortac” kullanıcı ile açarsanız eğer kullanıcı eskiden kullandığı tüm dosyalara ve ayarlara kavuşacaktır.

Bu yazı sevgili Murat Yıldırımoğlu hocamın bir yazısından esinlenerek hazırlanmıştır.

http://www.muratyildirimoglu.com/articles/ChangingProfileFolderAfterRenamingUser.htm

ADMT Aracı Bölüm 3 Bilgisayar Hesabının Taşınması

 

ADMT aracı ile daha önceki makalemizde kullanıcı hesaplarının taşınmasını görmüştük. Bu yazımızda ise bilgisayar hesaplarını nasıl taşıyacağımızı inceleyeceğiz.

ADMT aracını çalıştırıyoruz. “Active Directory Migration Tool” menüsüne sağ tıklayıp “Computer Migration Wizard” ı seçiyoruz.