"Windows Server" etiketi için bulunan tüm sonuçlar:

Windows RDP Güvenliği için Öneriler

27.09.2015 | 16:00 Güvenlik , Windows Server 7 Yorum

Ağa bağlı Windows tabanlı sunucuları farklı bilgisayarlar üzerinden yönetirken kullanabileceğiniz servislerden birisi de Uzak Masaüstü Hizmetleridir (Remore Desktop Services). İnsanlar çeşitli uzak masaüstü araçları kullanarak hem yönetici seviyesinde işlemler gerçekleştirmek üzere (administrative mode), hem de son kullanıcı oturum/masaüstü/uygulama sanallaştırma hizmetlerinden faydalanmak için Microsoft Remote Desktop Services çalıştıran sunuculara bağlanırlar.

Genellikle RDP olarak anılan bu uzaktan erişim yöntemin asıl ismi Remote Desktop Connection yani Uzak Masaüstü Bağlantısı’dır. RDP ise uzak masaüstü bağlantısı sırasında istemci ve sunucu arasında kullanılan protokolün ismi yani Remote Desktop Protocol. Ama Windows sistem yöneticileri arasında o kadar yer etmiş ki RDP deyince herkes aynı şeyi anlıyor; protokol değil uzak masaüstü bağlantısı :)

guvenli-rdp-secure

Bir sistem yöneticisi olarak RDP bağlantısıyla eriştiğiniz sunucuda oturum açtığınızda genellikle doğrudan masaüstüne ulaşırsınız ve hesap yetkileri dahilinde neredeyse tüm yönetimsel işlemleri gerçekleştirebilirsiniz. Bu yüzden RDP güvenliği oldukça önemlidir. Bu açıdan bakıldığında iç ağdaki sunucular nispetten daha korunaklıdır çünkü -beklenmedik durumlar dışında- genellikle sadece belirli bir grup istemciyle iletişim halindedirler ve muhtemelen kuruluşun güvenlik çemberi içinde yer alırlar. Ama mesela internete üzerinde ulaşılabilen, servis sağlayıcılarda veya korunaksız uzak şubelerde çalışan RDP erişimi açık sunucular daha fazla risk altındadır ve güvenliği artırmak için özel tedbirler alınması gerekir.

Bu yazıda özellikle sistem yöneticilerini ilgilendiren Windows RDP güvenliğiyle ilgili bir grup öneri bulabilirsiniz.

Devamını oku…

RDP – The Local Security Authority Cannot Be Contacted

30.03.2015 | 23:23 Çözümler , Windows , Windows Server 3 Yorum

Uzak masaüstü bağlantısı (remote desktop connection, rdp) Windows tabanlı sunucuları yönetme amaçlı desktop’a erişmek için kullandığımız öncelikli yöntemler arasındadır. Genelde sorunsuzdur ve sık tercih edilir. Uzak masaüstü bağlantısı ile her zaman sorunsuz bir şekilde bağlandığınız Windows Server 2008, Windows Server 2012 veya üst sürüm sunuculara erişirken beklenmedik bir şekilde This could be due to an expired password durumuna işaret eden bir The Local Security Authority Cannot Be Contacted hatası alabilirsiniz.

Remote Desktop Connectionremote-desktop-connection

An authentication error has occured.
The Local Security Authority cannot be contacted

Remote computer: 78.XXX.XXX.XXX
This could be due to an expired password.
Please update your password if it has expired.
For assistance, contact your administrator or technical support.

Bu hatayı aldığınızda uzak masaüstü bağlantı denemesi sonlanır ve problemi çözene rdp ile Windows tabanlı sunucunun desktop’ına erişemeyebilirsiniz.

Devamını oku…

GPO ile Local Group’lara yeni kullanıcı ekleme – AD

Çeşitli nedenlerden ötürü Active Directory (AD) etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki local (yerel) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün. Ama bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır.

Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak üzere ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı (domain user account) oluşturmak istiyorsunuz. Bu operasyonel işler için domain administrator hesabını kullanmayı da tercih edebilirsiniz ama Domain Admins grubuna üye bir hesap muhtemelen gereğinden fazla yetkili olacak ve daha önemlisi bir güvenlik tedbiri olarak bu seviyede yetkili hesapları bu gibi operasyonel işlerde kullanmamalısınız.

Öncelikle Active Directory Users and Computers yönetim konsolunu kullanarak bir kullanıcı hesabı (user account) oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar (clients) üzerinde yetkili olması.

Aşağıda logon name’i clientadmin olan ve Domain Users üyesi bir hesap görebilirsiniz.

ad-kullanci-hesabi-uyelik

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators (yerel yöneticiler) grubuna topluca üye yapmak için birkaç şansınız var. Bunlar arasında en kolayı ise hiç şüphesiz Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Devamını oku…

SQL Server 2014 Gereksinimleri – Donanım ve Yazılım

12.08.2014 | 20:10 Dokümanlar , SQL Server 0 Yorum

SQL Server 2014 kurulumu öncesinde doğru bir planlama yapmak ve gereksinimleri eksiksiz sağlamak, hem kurulum sürecinin problemsiz bir şekilde tamamlanması hem de kurulum sonrasında veri platformunuzun düzgün çalışması için oldukça önemlidir.

sql-server-2014-donanim-yazilim-gereksinimler

SQL Server sürümleriyle bir veri platformu inşa etmeye başlamadan önce ölçeklenebilirlik, performans, güvenlik, yüksek erişilebilirlik, bulut entegrasyonları, yönetim gibi çeşitli açılardan beklentilerinizi karşılayan doğru SQL Server 2014 sürümünü belirlemeniz ve tercih etmeniz gerekir. Örneğin veri platformunuzda Online Indexing gibi, AlwaysOn Availability Groups gibi, Data compression gibi, In-Memory OLTP gibi özelliklere ihtiyacınız varsa tercih etmeniz gereken sürüm mutlaka SQL Server 2014 Enterprise olmalıdır çünkü diğer sürümlerden hiçbiri bu özelliklere sahip değildir. Ya da hedefiniz temel veri yönetimi yanında yüksek erişilebilirlik ve düşük maliyet ise, örneğin 2 Node’a kadar AlwaysOn Failover Cluster Instances destekleyen SQL Server 2014 Standard sürümü sizin için doğru bir tercih olur.

Bu seçimi yaparken hangi SQL Server 2014 sürümünün hangi özelliklere sahip olduğunu anlamak için SQL Server 2014 Sürümleri ve Özellikler dokümanını okuyabilirsiniz. Ancak şunu unutmayın: Geniş ölçekli yapılarda konumlandırılması gereken SQL Server görevlerini planlamak, burada yer veremediğim birçok farklı parametreyle de bağlantılıdır.

Öte yandan belirlediğiniz SQL Server 2014 sürümünün doğru lisanslanması da ayrıca önemlidir. Tercih ettiğiniz veya edeceğiniz SQL Server sürümünün nasıl lisanslandığı, erişecek istemciler için SQL Server CAL gerekip gerekmediği gibi konularda lisanslama bilgilerine ihtiyacınız varsa SQL Server 2014 Lisanslama ve Satın Alma Modelleri yazısına mutlaka göz atın.

Devamını oku…

Kullanıcı oturumlarında servis durdurma başlatma ve yeniden başlatma yetkisi

23.06.2012 | 13:04 Çözümler , Windows , Windows Server 3 Yorum

Bazı durumlarda User (kullanıcı/kısıtlı) yetkiler ile çalışan oturumlara belirli bir servis için durdurma, başlatma veya yeniden başlatma hakkı vermek isteyebilirsiniz. Normal şartlarda Users grubu üye kullanıcılar işletim sistemi servislerini yönetemezler ve genelde bu ihtiyacı karşılamak için kullanıcı grup üyeliği değiştirilerek daha yüksek yetkiler atanır. Bu pratik bir yöntem olmasına karşın, genelde kullanıcı oturumuna vermek istemeyeceğiniz birçok yetkiyi de beraberinde getirir.

Belirli bir Windows işletim sistemi servisi yönetimi için bir kullanıcıya veya bir gruba, administrators üyesi yapmadan veya benzeri bir yöntem kullanmadan nasıl yetki verebilirsiniz?

Bu iş için genelde Sc.exe aracını kullanıyoruz. Sc.exe, Windows işletim sistemi üzerinde çalışan veya bundan sonra çalışacak olan servislerle ve tüm bu mekanizmayı yöneten Service Controller ile konuşmanızı sağlayan bir komut satırı aracıdır. Sc.exe, Services.msc gibi UI üzerinden yapabileceğiniz tüm işleri yerine getirebildiği gibi, UI’dan yapmanın mümkün olmadığı birçok şeyi de sağlayabiliyor.

Sc.exe ‘yi şuralarda bulabilirsiniz:

Windows XP ve Windows Server 2003 sürümleri için Resource Kit içerisinden alınır.

Windows Vista, Windows 7, Windows Server 2008 ve Windows Server 2008 R2 için yerleşik olarak gelir.

Sc.exe sayesinde, herhangi bir SID (security identifier) ‘ye, servis SDDL (security descriptor definition language) string içerisinde istediğiniz yetkiyi tanımlayabilirsiniz.

SID, bazı objeleri (ki bunlardan biri de kullanıcı hesaplarıdır) işletim sistemi içerisinde tanımlayan unique tanımlayıcılardır. SDDL ise özel bir tanımlama dilidir ve bu senaryoda servislerin üzerindeki yetki tanımlarını tutar.

Örnek senaryo şu:

Windows 7 işletim sistemi üzerinde Test isimli ve sadece Users grubuna üye olan, yani kısıtlı yetkiler ile çalışan bir kullanıcı var. Senaryo gereği bu kullanıcıya sadece “HP Quick Synchronization Service” için başlatma/durdurma/yenidenbaşlatma yetkileri atıyorum.

Test kullanıcısının şu an servisi yönetme hakkı yok.

Service Restart 1

1) Öncelikle kullanıcının SID’sini bulun. Bunun çin çok fazla yöntem var. Mesela tek satırlık WMIC sorgusu kullanabilirsiniz.

wmic useraccount get name,sid

image

test kullanıcısı için kullanacağımız SID: S-1-5-21-1771203805-3482426351-2602944862-1001

2) Daha sonra servisin mevcut SDDL String’ini alın.

sc sdshow “HP Quick Synchronization Service”

image

“HP Quick Synchronization Service” gibi display name kullanırsanız hata alırsınız çünkü işletim sistemi açısından bu bir servis adı değildir. Gerçek servis adını şu şekilde bulabilirsiniz:

sc getkeyname “HP Quick Synchronization Service”

image

SDDL String’I almak için doğru service name ile tekrar sdshow yapıyorum.

sc sdshow HPDrvMntSvc.exe

image

Dönen SDDL String:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Bu özel bir dil (SDDL). Eğer buradaki format ve bu dili oluşturan bileşenler hakkında daha detaylı bilgi isterseniz şuralara bakabilirsiniz.

Security Descriptor String Format
http://msdn.microsoft.com/en-us/library/windows/desktop/aa379570%28v=vs.85%29.aspx

Security Descriptor Definition Language for Conditional ACEs
http://msdn.microsoft.com/en-us/library/windows/desktop/dd981030%28v=vs.85%29.aspx

ACE Strings
http://msdn.microsoft.com/en-us/library/windows/desktop/aa374928%28v=vs.85%29.aspx

SID Strings
http://msdn.microsoft.com/en-us/library/windows/desktop/aa379602%28v=vs.85%29.aspx

3) SDDL String’i, Test kullanıcısının SID’si ve gerekli yetkiler ile birleştiriyorum.

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPDTLO;;;S-1-5-21-1771203805-3482426351-2602944862-1001)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Şu iki nokta çok önemli.

– Ekleyeceğiniz yeni String mutlaka S:( ‘den hemen önce yer almalı.

– Start/Stop/Restart için şu sabit ACE String’i SID ile birleştirerek kullanıyoruz: (A;;RPWPDTLO;;;**SID**)

4) Yeni SDDL String’i yine sc.exe ile gönderiyorum.

sc sdset HPDrvMntSvc.exe “D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPDTLO;;;S-1-5-21-1771203805-3482426351-2602944862-1001)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)”

image

SetServiceObjectSecurity SUCCESS gördüğünüz taktirde işiniz bitmiştir.

5) Artık Test kullanıcısı ile servisi yönetebilirsiniz.

image

Bunun yanı sıra Test kullanıcısı diğer servislere müdahale edemez ve hala Users grubu yetkileri ile çalışır.

Bu işi bir user SID yerine bir group SID için yaparak daha genel bir yetkilendirme de yapmak mümkün.

image

Mesela şirketinize ait özel bir servis için kullanıcılarınıza yönetim yetkisi vermek istiyorsunuz. Bu durumda her kullanıcı hesabının SID’si ile uğraşmak yerine, örneğin local Users group SID’sini alıp tüm Client OS’lere uygulayarak topluca ve daha hızlı bir şekilde devreye alabilirsiniz.

Etkinlik: ÇözümPark MVP’leri Bursa’da Sizlerle Buluşuyor

10.12.2010 | 13:08 Duyurular , Hyper-V 0 Yorum

MVP'ler Bursa'da Sizlerle Buluşuyor

ÇözümPark Bilişim Portalı olarak seminer aktivitelerimize tüm hızıyla devam ediyoruz. 2008 yılından bu yana toplam 39 adet etkinlik düzenledik ( Seminer, Workshop, Otel Organizasyonu, Üniversite Seminerleri, Sosyal Etkinlikler vb. ).

Etkinlik rüzgarı Bursa ile devam ediyor. ÇözümPark Bilişim Portalının bünyesindeki 8 MVP nin katılımı ile gerçekleşecek olan bu etkinliğe hepiniz davetlisiniz.

Etkinlik Ajandası:

12:30 – 12:50 Kayıt
12:50 – 13:00 Açılış Konuşması
13:00 – 13:45 Cloud Computing – Hakan Uzuner – MVP
13:45 – 14:00 Çay & Kahve Arası
14:00 – 14:45 Sharepoint 2010 – Emre Balcı – MVP
14:45 – 15:00 Çay & Kahve Arası
15:00 – 15:45 Yeni Nesil Sunucu Sanallaştırma: Hyper-V v2 – Serhat Akıncı – MVP
15:45 – 16:00 Çay & Kahve Arası
16:00 – 16:45 Data Protection Manager 2010 ve Koruma Kapsamı  – Fatih Karaalioğlu – MVP
16:45 – 17:00 Çay & Kahve Arası
17:00 – 17:45 Windows Server 2008 R2 Active Directory Yenilikleri – Mesut Aladağ – MVP
17:45 – 18:00 Hediye Çekilişi ve Kapanış Konuşması

Tüm aralarda sunum yapmayacak olan diğer MVP lerimize soru sorabilirsiniz.

LCV: info[at]cozumpark.com

Tarih: 11 Aralık 2010 Cumartesi, 12:30 – 18:00

Yer: Ördekli Kültür & Sanat Merkezi – Haşim İşcan Caddesi üzeri – Demirtaşpaşa/Osmangazi/Bursa

Türkçe Windows Server Kullanmanın Dezavantajları

26.05.2008 | 13:25 Dokümanlar , Windows Server 2 Yorum

Genelde Kobi ve orta ölçekli firmalarda Türkçe Windows Server işletim sistemleriyle karşılaşabiliyoruz. Türkçe sistemlerin, İngilizce ile arası iyi olmayan BT personelleri için daha anlaşılabilir olduğu bir gerçek ama bazı dezavantajları da göz ardı etmemek gerekiyor.

Türkçe Windows Server işletim sistemleri için bazı dezavantajlar

  • Yayımlanan servis paketi, küçük düzeltmeler ve güncelleştirmeler genelde ilk olarak İngilizce sürümler için duyurulur (istisnalar olabilir). Daha sonra diğer diller için kullanılabilir duruma gelir. Bu durumun etkisinin sürümler ilerledikçe hissedilir derecede azaldığının altını çizelim.
  • Olay görüntüleyicisi (Event Viewer) üzerindeki kayıtlar da Türkçe olacağı için arama motorlarında veya haber guruplarında muhtemelen daha az bilgiye ulaşabileceksiniz. Her nekadar Event ID ile arama yapıyor olsanız da bir çok durumda İngilizce açıklama metni olması işinizi kolaylaştıracaktır.
  • Arama motorları ve haber gurupları üzerindeki birçok çözüm ve uygulama makalesi genelde İngilizce olarak yayımlanmaktadır. Gün geçtikte Türkçe kaynak sayısı da artıyor.
  • Üzerine yüklenecek uygulamalar (System Center, Exchange, SQL, vb.) genelde Türkçe olmayacağı için, sistem yarı Türkçe yarı İngilizce şeklinde çalışıyor olacak.
  • IBM ve HP gibi donanım üreticilerinin kurulum medyaları (ServerGuide, Smart Start, vb.) ile kurulum yapılmak istenildiğinde, kurulum sırasında problem çıkma ihtimali var ve kurulumdan sonra bölge ve dil seçeneklerini yeniden düzenlemek gerekebilir.
  • Evrensel bir dil olduğu için daha fazla destek seçeneğiniz olacaktır ve daha fazla sayıda uzmandan yardım alma şansınız olabilir.

Gönül ister ki tamamı Türkçe sistemler ile çalışabilelim ancak şu an için durum maalesef böyle. Dezavantaj olduğunu düşündüğünüz noktalar varsa yorum şeklinde yazarsanız buraya ekleyebilirim.