Hayatımıza yeni giren forefront ailesininde yeni sürümü olan stirling içerisindeki tüm ürünleri denemek istiyorsanız aÅŸağıdaki linkte toplam 16gb’lık bir VHD bulunuyor.Bu VHD içerisinde;
Forefront for exchange
Forefront Thread Management Gateway
Forefront Code Name Stirling
Vista Client
Forefront for Sharepoint
makinaları hazır olarak gelmekte.Harika bir lab ortamı oluÅŸturabilirsiniz.VHD’leri download için
Eğer Forefront Client Security Evaluation versiyonu deneyip kullanmaya karar verdiyseniz retail versiyona upgrade işlemini gerçekleştirmeniz gereklidir.Öncelikle varolan Client Security yüklemesinin Evaluation versiyon olduğunu doğrulamak için;
-Collection Server üzerinde regedite girerek : HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Operations Manager\2.0\Setup dizini altına ineriz.
-Burada InstalledServerSKU anahtarı bizim için önemli.Eğer evaluation versiyon kullanıyorsak bu anahtarın değeri Eval olacaktır.
EÄŸer upgrade iÅŸlemine karar verdiysek öncelikle Client Security Installation Tool’u indiririz. http://go.microsoft.com/fwlink/?LinkId=93631
Bu msi dosyası bir upgrade dosyası oluşturarak gerekli dosyaları buraya kopyalayacaktır.Upgarde işlemini gerçekleştirmek için önceliğimiz 3 component olacak.Bunlar Collection Database,collection ve management server.Yani bunların dışındaki componentleri değiştirmemize gerek yok.Sırasıyla gidersek;
Collection Database’i upgrade etmek için run’a gelerek aÅŸağıdaki komutu gireriz.
Msiexec /i kaynak\server\momserver.msi
Buradaki kaynak değişkeni bizim Retail yükleme dosyasının dizini olucaktır.Açılan sihirbazla varsayılan değerleri kullanarak kurulumu tamamlarız.
Collection Server’ı upgrade etmek için öncelikle upgrade dosyası oluÅŸturduÄŸumuz dizindeki FCScs-kb939366-x86-enu.msi dosyasını collection servera taşıyarak çalıştırırız ve hotfixi yükleriz.Ardından aynı ÅŸekilde yukarıdaki momserver.msi dosyasını çalıştırırız.Kurulum bittiÄŸinde ekstra olarak
sourcefilelocation\server\Q913801.msp komutunu run’dan çalıştırırız.
Management Server upgrade işlemi için Upgrade dosyasından FCSInstall.exe dosyasını servera kopyalarız.Sonra aynı şekilde momserver.msi dosyasını çalıştırıp sihirbazı tamamladıktan sonra komut satırına inerek aşağıdaki komutu gireriz.
FCSInstall.exe fcsms.msi
Böylece upgrade işlemini sancısız ve kayıpsız bir biçimde gerçekleştirmiş olduk.
Henüz Forefront ailesi ile yeni tanışmışken Microsoft yeni nesil Forefront ailesini tanıttı.2009 baÅŸlarında piyasaya sürülmesi planlanan bu sürümün kod ismi “stirling”
Forefront stirling ile birlikte birçok yenilikte bizi bekliyor.Aynı ÅŸekilde Client security server security ve edge security partları korunuyor.Fakat ISA 2006′nın geliÅŸtirilmiÅŸ versiyonu olarak Forefront Threat Management Gateway sunuluyor.Eminim çoÄŸu kiÅŸi henüz forefront ailesi ile tanışmamış olsada aÅŸağıdaki adresten deneme sürümünü indirip kullanmaya baÅŸlayabilirsiniz.
http://technet.microsoft.com/tr-tr/evalcenter/cc339029(en-us).aspx
Forefront kurulumunda karşılaÅŸabileceÄŸiniz bir hata daha farkettim.EÄŸer sunucunuz üzerinde SQL Server’ı kurduktan sonra suncunuzun bilgisayar ismini deÄŸiÅŸtirdiyseniz Forefront Client Security kurulumu devam etmeyecektir.Yalnız loglara baktığınızda size sebebini söylemiyor.Sebebini ise şöyle anlıyoruz.Cd’nin içerisindeki MOMServer,msi dosyasını çalıştırdığımızda kurulum baÅŸlamadan hata oluÅŸtuÄŸunu söyleyecek ve sebep olarak yukarıdaki isim deÄŸiÅŸkliÄŸini bildiricek.
EÄŸer böyle bir durumla karşı karşıyaysak SQL Server’ı reinstall etmemiz gereklidir.
Forefront Client Security kurulumu sırasında iki hata ile karşılaştım.Çözümleri oldukça kolay olan bu hataların ikiside reporting server yani sql üzerinde kaynaklanan hatalar.
Forefront Client Security kurulumu için toplojiyi belirleyip ilgili değerleri girdiğimizde kuruluma başlamadan önce tüm bu ayarları ve gereksinimleri kontrol eden bir pencere gelir.
Bu pencerede hataların ilki “Verifying URL’s for reports” kısmında idi.Sql server kurulumu sırasında eriÅŸim izinlerini vermiÅŸ olmama raÄŸmen raporlar için kullanacağı adreslere eriÅŸemediÄŸini söylüyor.Hata metni ÅŸu ÅŸekilde:
The report server cannot open a connection to the report server database. A connection to the database is required for all requests and processing.
Bu durumda iki aşamalı bir çözüm kullandım.İlk önce rsconfig aracı ile(Program files/Microsoft Sql server/80/Tools/Binn) aşağıdaki komutu gireriz.
rsconfig -c -iMSSQLSERVER -s localhost -dReportServer -aWindows
Ardından hatamız şu şekile döndü.
The report server cannot decrypt the symmetric key used to access sensitive or
encrypted data in a report server database
Bu hatayı gidermek için Start/Programs/Sql server/Configuration Tools/Reporting Service Configuration konsolunu açarız.Burada Encryption Keys bölümüne gelerek Delete’e basarız ve içeriÄŸi sileriz.
Bu işlemden sonra setup sihirbazına kontrol işlemini tekrar yaptırdığımızda sorunsuz ilerleyecektir.
Forefront Client Security dağıtımını yapmadan önce topolojimizi iyi belirlememiz gerekiyor.Bunun için Gökhan güzel bir yazı hazırlamış.
http://mshowto.org/index.php?option=com_content&task=view&id=328&Itemid=35
Buradan ilgili deployment planını seçtikten sonra ise eğer her bölüm için ayrı sunucular kullanacaksak bunlar arasındaki trafiğin sorunsuz olması için gerekli iletişim portlarının herhangi bir firewall tarafından engellenmemesi gereklidir.Aşağıdaki tabloda FCS için kullanılan tüm bağlantıların portları verilmiştir.
| Component | Bağlantı | Topoloji | Port (protocols) | Notlar |
|---|---|---|---|---|
| Collection server | collection database ‘e doÄŸru | 5-server ve 6-server | 1433 (TCP ve UDP) | Yok |
| Management server | collection server’e doÄŸru | 4-server, 5-server ve 6-server | 445 (TCP ve UDP), 135 (TCP), ve DCOM port aralığı | Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. |
| Management server | collection database’e doÄŸru | 4-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok |
| reporting server’e doÄŸru | 3-server, 4-server, 5-server ve 6-server | 80 (TCP) veya 443 (TCP) | HTTP için Port 80 , HTTPS için port 443 gereklidir. | |
| collection database’e doÄŸru | 3-server, 4-server, ve 6-server | 1433 (TCP) ve 1434 (UDP) | Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. | |
| Reporting server | collection database’e doÄŸru | 4-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok |
| reporting database’e doÄŸru | 3-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok | |
| Distribution server | Microsoft Update’e doÄŸru | Tümü | 80 (TCP) veya 443 (TCP) | Microsoft Update’den ilgili güncellemeleri almak için 80 ve 443 portları açık olmalıdır. |
Forefront ile birlikte Microsoft en yeni güvenlik çözüm paketini sundu.Genel anlamda Server Security,Client Security ve Edge Security olarak sınıflandırabileceğimiz yapı ile organizasyonumuzdaki güvenlik altyapısını en üst seviyeye çıkarabiliriz.
Forefront Client Security , ismi itibariyle sadece client yani istemci workstationlar üzerinde görev yapmıyor.Aynı zamanda varolan sunucularımızda birer istemci olarak algılandığı için kapsama alanımıza giriyor.
Forefront Client Security, işletmenizdeki sistemleri virus ve casus yazılımlara karşı korurken aynı zamanda sağladığı merkezi yönetim ile birlikte ayrıntılı raporlar oluşturmanızı sağlıyor. Kurulum aşamasında farklı deploy seçenekleri karşımıza çıkıyor.Bununla ilgili aşağıdaki makaleyi inceleyebilirsiniz.
http://technet.microsoft.com/tr-tr/library/bb418915(en-us).aspx
Görüldüğü gibi varolan yapımızı gözönünde buludurarak deÄŸiÅŸik deployment planları yapabiliriz.Bunun dışında önemli bir konuda Forefront Client Security’nin SQL 2005 kullanıyor olması.Client Security ÅŸu veritabanlarını aktif olarak kullanır:
Bu databaselerin boyutları tabiki organizasyona göre farklılık gösterebilir.Örneğin eğer bir işletme tüm güncelleştirmelerini yapmıyor ise sisteme sızan birçok malware yüzünden oldukça fazla event oluşacaktır.Buda daha fazla veritabanı gereksinimi doğurur.Default olarak FCS içerisindeki database boyutları aşağıdaki tabloda gösterilmiştir.
Şimdi kullanacağımız bu veritabanları için boyutları gözden geçirelim.
Collection - reporting database boyutları:
Resimde gördüğümüz gibi Collection ve reporting database boyutlarını FCS kurulumu sırasında belirliyoruz.FCS ile yönettiÄŸimiz tüm bilgisayarla belirli kısa aralıklarla Collection Server’a bilgi gönderir.Buradadan ise ,daha uzun süre saklanacağı Reporting Database’e aktarılır.Bu aktarılma iÅŸlemi hergün 01:00 ‘da gerçekleÅŸir.Bu birazcık zaman alabilir.Tabiki buda yapımıza baÄŸlı.ÖrneÄŸin 395 gün tutulma sınırı varsa ve 2000 management edilen computer varsa bu süre yaklaşık 2 saattir.Ama yönetilen pc sayısı 10000′ çıkarsa aktarılma iÅŸlemide yaklaşık 6 saat sürecektir.Dikkat etmemiz gerekn nokta bu sürenin sahip olduÄŸumuz donanımla alakalı olması.ÖrneÄŸin 8GB ramli ve üzerinde AWE etkin olan bir sunucu önemli bu süreyi önemli ölçüde hızlandıracaktır.(AWE ile ilgili bilgi için tıklayın)
Biz kurulum sırasında buradaki veritabanı boyutunu belirtirken birkaç noktaya dikkat etmeliyiz.Öncelikle kullandığımız SQL server sürümü önemlidir.Varolan yapısı nedeniyle SQL Server Standart daha fazla yer kaplayacaktır.Bunun dışında:
gibi faktörleride ,veritabanı boyutumuzu belirlerken göz önünde bulundurmalıyız.Aslında database boyutunu oluşturan yukarıdaki olayların oluşturduğu event sayısı.Ne kadar çok event oluşuyorsa veritabanı boyutu o derece artacaktır.Örneğin temel birkaç işlemin oluşturduğu event sayısı:
| EYLEM | EVENT SAYISI |
|---|---|
| Antimalware scan | Tarama sırasında 2 adet |
| Threat detected | Tehdit bulunduÄŸunda 2 adet |
| Security state assessment (SSA) scan | 1 adet |
| SSA vulnerability detected | 1 adet |
| Definition update | 1 adet |
| Policy update | 1 adet |
| State summary | 1 adet |
Mesela Scan Now butonuna basıp tarama başlattığımızda yularıdaki tabloya göre 4 adet event oluşur.2 tanesi Antimalware scan için, 1 event SSA için, 1 event ise definition update için.
Bunun yanında kullandığımız alert’lerde veritabanında yer tutacaktır.Bunların boyutları eventlardan çok daha büyüktür fakat eventlar kadar sık kullanılmadığı için çok fazla sıkıntı yaratmazlar.
Reporting Database içerisinde bilgileri ne kadar tutarsak o kadar fazla büyüme olucaktır.Yani buradaki konfigurasyon bize bağlı.Eventlar alertler deploy edilen client security agentları buradaki büyümeyi oluşturuyor.Varsayılan olarak reporting databasede bilgilerin tutulacağı süre 395 gündür.Yani 1 sene + 1 ay.Bu süre doldıktan sonra silme işlemi gerçekleşir.Bu süreyi kendimize göre ayarlayabiliriz.Bunun için herhangi bir arayüz bulunmuyor.Biz MOM 2005 Reporting componentini yüklediğimizde SystemCenterReporting database altına p_updategroomdays isimli bir procedure oluşur.Bu precedure üzerinde oynama yaparak 395 olan değeri değiştirebiliriz.Bunun için:
1. Microsoft SQL Server konsolunu açarak Query Analyzer’ı tıklarız.
2. Ä°lgili logon bilgilerini gireriz.
3. Toolbardaki SystemCenterReporting butonuna basarız.
4. Query - ServerName - Untitled1 bölümüne aÅŸağıdaki komutu girip Query ve ardından Execute’a basarız.
exec p_updategroomdays ‘Tabloismi’, istenilengunsayısı
Örneğin aşağıdaki gibi bir komut ile SC_AlertFact tablosu için sınırı 300 gün yapabiliriz.
exec p_updategroomdays ‘SC_AlertFact_Table’, 300
SQL Server tempdb database
Bu veritabanı ise SQL Server tarafından kullanılan sistem veritabanıdır.Yani databse üzerinde işlemler yapılırken sorgular çalıştırılırken kullanılan geçici depodur.Bu veritabanı otomatik olarak max 2Gb kullanacak şekilde ayarlanmıştır.
