April 26th, 2007
16:14
Cisco
Bir bilgisayar diğer bilgisayar ile bağlantı kurmak isterse,ona bir paket yollamak isterse ilk önce hedefteki bilgisayarın kendi localindemi yoksa başka bir networktemi olduğunu kontrol eder.
Farzedelimki hedefteki bilgisayar baÅŸka bir networkte.O zaman bilgisayarımız kendi routing table’ını kontrol ederek paketi ulaÅŸtırmaya çalışır.
Buda işe yaramazsa bilgisayarımız paketi ulaştırması için gatewayinde belirtilen routera gönderir.
Router aynı ÅŸekilde kendi table’ını kontrol eder.Sonuç yoksa kendi gatewayine paketi gönderir.
Routing en basit anlamda bir networkten diğerine geçiş için bir yol haritasıdır.Bu yol haritaları routerlarımıza dinamik olarak başka bir router tarafından yada statik olarak bir admin tarafından hazırlanmış olabilirler.
Bir admin gireceği statik route için bir çok şeyi gözden geçirmesi gerekir.Networkün büyüklüğü,bandwidth,diğer routerların sayısı-modeli,kullanılan hali hazırda protokoller.Tüm bunları static route girmeden önce gözden geçirmeliyiz.
Bir router kendisine gelen paketin hedef ip adresine göre ,yönlendirmeyle ilgili kararı verir.Aslında bu trafik içerisinde bulunan tüm aygıtlar ip paketleri üzerindeki hedef ip adresine göre davranışlarını belirlerler.
Route 3 bölüme ayrılabilir.
1-Static Route
2-Default Route
3-Dynamic Route
Herhangi bir yönlendirme yoksa admin ,router üzerinde static route tanımlamak için ip route komutunu kullanır.
AÅŸağıdaki resimde iÅŸleyiÅŸi daha rahat kavrayabiliriz. Devamini oku »
April 25th, 2007
13:18
Cisco
Exchange 2003 ile birlikte artık kullanıcılar ÅŸirket dışında http üzerinden exchange server’a direk baÄŸlantı saÄŸlayabiliyor.Bunun gerçekleÅŸmesini saplayan component RPC over HTTP’dir.ISS üzerinden RPC ile ilgili dizinler açılarak ve port konfigurasyonları yapılarak enson olarakda Mail client programında gerekli düzenlemeler yapılarak kullanıcı exchange server üzerindeki mailbox’ına ulaÅŸabilir.
RPC over HTTP’yi aktifleÅŸtirmek için ilk önce Program Ekle kaldır/windows bileÅŸeni ekle kaldırdan networking altında RPC over HTTP’yi seçerek yüklemeyi gerçekleÅŸtirirz.
Ardından exchange server özelliklerinden Devamini oku »
FBA(Form Based Authentication) yazısında nasıl FBA kullanımını hayata sokabileceğimizi gördük.Yalnız bu işlem sırasından ssl konfigurasyonunu yapmamız gerekiyordu.Yani kullanıcılar https ile mailboxlarına bağlanabiliyorlar.Bu gerekliliği istersek ortadan kaldırabiliriz.Bunun için ilk önce regeditte ilgili anahtarı oluştururuz.
HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeWeb altına AllowRetailHTTPAuth DWORD anahtarını 1 değeri vererek oluştururuz.Ardından
ISS üzerindende default web site özelliklerinden dizin güvenliği altında güvenli iletişim özelliklerinden SSL iptal ederiz.
Exchange standart kurulumundan sonra kullanıcılar default olarak 80 portunu kullanarak http://serverismi/exchange/kullanıcıismi adresini kullanarak OWA üzerinden kendi hesaplarına erişebilirler.
Ä°lk baÅŸta iÅŸimizi gören bir konfigurasyondur.Ama güvenliÄŸe önem veriyorsak,mail kullanımı sırasında networkte gidip-gelen bilgiler bizim için önemliyse bu baÄŸlantıyı biraz daha güvenli hale getirebiliriz.Bunun için FBA kullanıcaz.FBA uzun adıyla form based authentication sayesinde yukarıdaki OWA eriÅŸim sayfasına girdiÄŸimizde bizi bir asp logon ekranı karşılar.Yani standart kullanıcı adı – ÅŸifre ekranından kurtulmuÅŸ oluruz.Ayrıca asp sayfalardaki özellikler buradada aynı ÅŸekilde geçerli olduÄŸundan belli bir time out süresinden sonra hesabımızdan otomatik logout olunur.Buda bilinçsiz son kullanıcıların hesaplarının kötü emeller için kullanılmasını bir nebze azaltır.
Exchange üzerinde FBA aktifleştirmek için;
-Ä°lk önce ISS üzerinde Default Web Site özelliklerinden Devamini oku »
AD içinde uyguladığımız Group Policyler kimi zaman client makinada anında çalışmayabilir.Bildiğimiz gbi client tarafında policylerin hemen etkisini göstermesi için Gpupdate /force komutunu kullanabiliriz.Eğer restart isteyen bir policy ise zaten bu komuttan sonra yeniden başlatma işleminide gerçekleştirecektir.Peki bu işlemide merkezi olarak gerçekleştirebilirmiyiz.Evet.
Şu adresteki Specops Gpupdate yazılımı ile bunu yapabiliyoruz.Komut satırından yapıcağamız işlem ile Active directory şemasını genişleterek bize ek özellikler sunuyor:
Programı yükledikten sonra çalıştırabilmek için
C:\Program Files\Common Files\Specopssoft\Specops ADUC Extension>specopsaducmenu
extensioninstaller /add komutunu çalıştırırız.
Görüldüğü üzere belli bir OU üzerinde uzaktan Gpupdate komutunu çalıştırabiliyoruz.Ayrıca Devamini oku »
/target:{computer|user}
Yalnızca Bilgisayar ayarlarını veya geçerli Kullanıcı ayarlarını işler. Varsayılan olarak, hem bilgisayar ayarları hem de kullanıcı ayarları işlenir.
/force
Tüm en iyi duruma getirme işlemlerini yok sayar ve tüm ayarları yeniden uygular.
/wait:DeÄŸer
İlke işleminin tamamlanmak üzere beklediği saniye sayısı. Varsayılan 600 saniyedir. 0 değeri bekleme olmadığı anlamına gelirken, -1 belirsiz bir süre bekleme anlamına gelir.
/logoff
Yenileme tamamlandıktan sonra oturumu kapatır. Bu işlem, kullanıcı Grup İlkesi Yazılım Yükleme ve Klasör Yeniden Yönlendirme gibi, arka plan yenileme döngüsünde işlem yapmayan, ancak kullanıcı oturum açtığında işlem yapan Grup İlkesi istemci tarafı uzantıları için gereklidir. Kullanıcının oturumu kapatmasını gerektiren uzantılar yoksa, bu seçeneğin bir etkisi olmaz.
/boot
Yenileme tamamlandıktan sonra bilgisayarı yeniden başlatır. Bu işlem, bilgisayar Grup İlkesi Yazılım Yükleme gibi, arka plan yenileme döngüsünde işlem yapmayan, ancak bilgisayar başlatıldığında işlem yapan Grup İlkesi istemci tarafı uzantıları için gereklidir. Bilgisayarın yeniden başlatılmasını gerektiren uzantılar yoksa, bu seçeneğin bir etkisi olmaz.
/?
Komut isteminde yardımı görüntüler.
microsoft.com
Donanımsal olarak raid yapabileceğimiz gibi Windows Disk yöneticisi içindende yazılımsal raid konfigurasyonları gerçekleştirebiliriz.
Raid0:
Raid0 daha çok performans arttırım iÅŸlemleri için kullanabileceÄŸimiz bir yöntem.En az iki adet diske ihtiyacımız var.Ä°ki diskimizi olduÄŸunu düşünürsek elimizdeki veri bölünerek bu iki diske aynı anda yazılır.Bir elin yapacağı iÅŸi iki el birlikte yaptığı için yazma hızında önemli bir performans artışı görebiliriz.Sahip olacağımız alan iki diskin toplam boyutu kadardır.Fakat asıl handikap Devamini oku »
Windows Server 2003 Resource Kit Tools içindeki cmdhere.inf dosyasını install ettiğimiz takdirde gayet kullanışlı bir özelliğe kavuşuyoruz.
Explorer penceresi üzerinden herhangi bir dizindeyken sağ tıkladığımızda direk cmd here komutuyla komut satırını düşüp dizin olarakda o an bulunduğumuz dizini görüntüleyebiliriz.
http://thelazyadmin.com/blogs/thelazyadmin/archive/2007/04/17/configuring-command-here.aspx
Test amaçlı bir uygulama.
Ipsec ile artık güvenlik anlamında bir adım önde olduğumuz söylenebilir.Clear text dolaşan mail trafiğini yada bilgileri ipsec ile şifreli hale getirebiliyoruz.
RDP kullanarak uzaktan bir clientın server’a ulaÅŸması sırasındada aradaki baÄŸlantıyı ipsec kullanarak tünelleyebiliriz.
Bunun için ilk önce bir ip filter oluÅŸturucaz.Bu filter’da 3389 portları için server’a gelen isteklerde clientların ipsec kullanmasını,aksi takdirde baÄŸlantıyı reddetmesini belirticez.
Sırasıyla; Devamini oku »
Certificate Authority sunucumuzu kurduktan sonra client’lar üzerinden sertifika talebini iki ÅŸekilde gerçekleÅŸtirebiliriz.
1)Web Browser:
Web Browser yöntemiyle sertika talebi için adres çubuğuna
http://sunucu ismi/certsrv yazarak sertifika sunucusu üzerindeki Devamini oku »
Åžirketimizde digital sertifiklar ile güvenlik saÄŸlamak için windows server üzerinde localde kurabilceÄŸimiz Certificate Authority’i kullanabiliriz.Digital sertifikalar sayesinde kullanıcıları güvenlik düzeyinde gruplayabiliriz.Burada sadece windows server 2003 üzerinde CA kurulumunu anlatacağız,ilerki yazıda ise ca server üzerinden digital sertfika ile exchange/owa üzerinden güvenli mail alışveriÅŸini saÄŸlayacağız.
Windows Server 2003 üzerinde CA kurulumu için,ISS kurulu olması gerekmektedir.Ardından; Devamini oku »
Microsoft Group Policy Management Console , group policy yönetimi için microsoftun bize sunduğu kullanışlı araçlardan bir tanesi.
GPMC kullanarak policyleri merkezi bir şekilde tek konsol ekranından yönetebiliriz.
OluÅŸturduÄŸumuz GP’lerin yedeÄŸini alabilir ardından restore iÅŸlemini gerçekleÅŸtirebiliriz.
Import export işlemlerini gerçekleştirebiliriz.
RSoP lar için html raporları görüntüleyebiliriz.
Download Microsoft Group Policy Management Console
Exchange organizasyonumuzda front-end server olarak çalıştırdığımız exchange server sayesinde back-end olarak çalışan ve asıl rolleri üzerinde tutan exchange server’ımız üzerindeki yükü azaltmış oluruz.
Dışarıdan baÄŸlanan client’lar(örneÄŸin owa) ilk önce front-end server’a isteklerini gönderirler ve buradan back-end’e forward edilirler.
Exchange sunucumuz default kurulumda back-end olarak kurulur.Back-end server bildiÄŸimiz exchange server ile aynıdır.İçinde rolleri logları mailboxlar’ı public folder dizinlerini tutar.Front-end exchange server’ımız ise bunların hiçbirini taşımaz.Sadece istekte bulunan client’ı karşılar,merhaba der ve bir gateway mantığıyla asıl arkadaki back-end sunucumuza gönderir.
Front-end sunucumuzu aynı forest yapısında kurmamız gerekir.Ayrıca kurulum sırasında zaten önceden ilk exchange kurulumda forest yapısını genişlettiğimiz için forestprep ve domainprep komutlarını çalıştırmamıza gerek yoktur.
Kurulum ve network dizaynından sonra ise yapmamız gereken ESM içinden bu server’ın front-end olduÄŸunu belirtmemiz.Bunun için;
-Servers/server ismi özelliklerine girerek general tabına geçeriz.
-This is a front-end Server kutucuÄŸunu iÅŸaretleriz.
Onayladığımızda Microsoft bizden reboot etmemizi ve SSL konfigurasyonunu(front-end / back-end arası) yapmamızı ısrarla isteyecektir.
%d@domain.com AnilErduran@domain.com
%r._%d@domain.com Anil_Erduran@domain.com
%g.%s@domain.com Anil.Erduran@domain.com
@domain.com AnilE@domain.com
%1g%s@domain.com AErduran@domain.com
%1g%3s@domain.com AErd@domain.com
Windows server 2003 makinamız üzerinde resource kit ile birlikte gelen acctinfo.dll dosyasını register edersek Active directory üzerinde kullanıcı özelliklerinde logon bilgileriyle ilgili ekstra yararlı bilgileri görüntüleyebiliriz.
Register etmek için;
Komut isteminde regsvr32 acctinfo.dll yazmamız yeterli.
Ardından Additional Account Info Tabını görüntüleyebiliriz.
Exadmin: Public Folder yönetimi için kullanılır.
Exchange:Mailbox dizinlerini barındırır.
Exchweb:C:\Program Files\Exchsrvr\ExchWeb altında OWA ile ilgili grafiklerin tutulduğu alandır.
Microsoft-Server-ActiveSync:C:\Program Files\Exchsrvr\OMA\Sync altında ActiveSync için kullanılan dosyaları barındırır.
OMA:C:\Program Files\Exchsrvr\OMA\Browse dizini altında Outlook Mobile Access tarafından kullanılan tüm dosyaları barındırır.
Public:Public Folders’ın tutulduÄŸu dizindir.
OWAAdmin:OWA yönetim ile ilgili dosyalarını barındırır.
Exchange sunucumuzun relay özelliği açık olduğu müddetçe dışarıdaki kullanıcılar mail serverımızı kullanarak mail gönderimi yapabilirler.Buda en başta kolayca blacklistlere düşmemize sebep olur.Exchange 2003 üzerinde relayı kapatmak için basitçe;
1-Exchange System Manager/Servers/server ismi/Protocols/Smtp altında Default SMTP Virtual Server özelliklerine gireriz.
2-Access sekmesinde Relay kısmına gireriz.
3-Relay Restrictions penceresinde Only The List Below seçili ve boş olduğunu kontrol ederiz.
4-Allow all computers which successfully authenticate to relay, regardless of the list above kutucuÄŸunu kontrol ederiz.
Bu kutucukda bize authenticate işlemi başarılı olan kullanıcıların serverımız üzerinden relay yapabileceğini söylüyor.
ve 248 yorum bulunmaktadir.
