Windows Server 2003 Ağ Kurulum ve Yönetimi Cilt 1

SİSTEM VE AĞ TEKNOLOJİLERİ
Windows Server 2003
Ağ Kurulum ve Yönetimi
Cilt 1
Steve Suehring, James Chellis, Matthew Sheltz
Çeviren Ali Samay
Editör C. Banu Üçüncüoğlu
23-7
Windows Server 2003 Ağ Kurulum ve Yönetimi
Cilt 1
Lisa Donald, James Chellis
MCSA/MCSE: Windows Server 2003 Network Infrastructure Implementation, Management, and
Maintenance Study Guide: Exam 70-291, 2nd Edition
Çeviren: Ali Samay
Çeviri Editörü: C. Banu Üçüncüoğlu
Çeviri Danışmanları: Fikri Bülent Çelik – Erdoğan Bilici
Kapak Tasarımı: Melih Sancar
Grafik Uygulama: Tuna Erkan
Genel Yayın Yönetmeni: Mehmet Çömlekçi
1. Basım: Mayıs 2008
Rev: 00
Bilge Adam Yayınları: 25
Eğitim Yayınları Dizisi: 25
ISBN: 978-605-5987-23-7
Yayıncı Sertifika No: 1107-34-009150
Copyright © 2008, Bilge Adam Bilgisayar ve Eğitim Hizmetleri San. ve Tic. A.Ş.
Copyright © 2006 by Wiley Publishing, Inc., Hoboken, New Jersey.. All Rights Reserved. This translation published under
license with original publisher John Wiley & Sons, Inc.
The Sybex brand trade dress logo is a trademark of John Wiley & Sons, Inc. in the United States and other countries.
Used with permission. Wiley, the Wiley logo, and the Sybex logo are trademarks or registered trademarks of John Wiley
& Sons, Inc. and/or its affiliates, in the United States and other countries, and may not be used without written permission.
All other trademarks are the property of their respective owners. Wiley Publishing, Inc., is not associated with any product
or vendor mentioned in this book.
Eserin tüm yayın hakları Bilge Adam Bilgisayar ve Eğitim Hizmetleri San. ve Tic. A.Ş.’ye aittir. Yayınevinden yazılı izin
alınmadan kısmen ya da tamamen alıntı yapılamaz, hiçbir şekilde kopya edilemez, çoğaltılamaz ve tekrar yayımlanamaz. Bilge Adam’ın öğrencilerine ücretsiz armağanıdır, para ile satılamaz. Sybex logosu Wiley Publishing, Inc. firmasının
ABD’de ve diğer ülkelerde tescilli markasıdır. Kullanımı izne tabidir. Wiley Publishing, Inc. ve Bilge Adam A.Ş. bu eserde
bahsi geçen hiçbir ürün veya üretici ile herhangi bir şekilde bağlantılı değildir.
Bilge Adam Bilgisayar ve Eğitim Hizmetleri San. ve Tic. A.Ş.
19 Mayıs Mahallesi, 19 Mayıs Caddesi, UBM Plaza, No: 59-61, Kat: 4-7; Şişli, İstanbul
Telefon: (212) 272 76 00 – (212) 217 05 55 Faks: (212) 272 76 01
www.bilgeadam.com - info@bilgeadam.com
Tanıtım nüshasıdır, para ile satılamaz.
Teşekkür
Bu kitap birçok nedenden dolayı ilgi çekici ve heyecanlandırıcıdır. Windows 2000 Server, Active
Directory ve ileriye düzey yönetim özellikleri ile Windows işletim sistemine devrim yapmış iken,
Windows Server 2003 ile de çalıştığı kanıtlanmış önceki formüle yeni bir açılım getirmiştir. Bu
arada Microsoft dikkati çeker bir şekilde Windows Server 2003 MCSA ve MCSE programlarını
değiştirmiştir. Bu yüzden yazarlar ve eğitmenler, çok çabuk değişen sertifikasyon pazarına ayak
uydurmak için taktiklerini değiştirmek zorunda kaldılar. Service Pack 1 ve ardından R2’nin piyasaya sunulması ile Microsoft bir firewall ekledi ve işletim sisteminin network’le etkileşimine etki
eden diğer değişiklikleri yaptı. Bununla birlikte, bu kitap yazılırken sınav esasları R2 tabanında
değiştirilmemişti.
Rebecca’ya, aileme, Chris Tuescher’a, Tim McKeown, Rob Konkol, Jackie Vetter’a teşekkürler.
Tiffany, Stony, Pearl & Moff. Aynı zamanda, Pat Dunn, Kent & Amy Laabs, Duff Damos, Jim
Oliva, John Eckendorf, Andy Hale, Angie Vetrone, Eliot Irons, Keith Imlach, Nick Garigliano,
Aaron Deering, Suzi Limberg, Jeff Sanner, Greg Pfluger, Mike Wrzinski, Kevin Barnes-Schmidt,
Jill Brown, Steve Hannan ve geri kalan herkese teşekkür ederim. Windows Server ile ilgili tüm
yardımları için Tony Falduto’ya da teşekkür ederim! Elbetteki Jim, Jer, John, Berky, Justin, Dan
Noah, Mark, Erich, Jay & Deb Schrank, Brian Page ve diğer CORE çalışanlarına, Denise, Meek,
Jake, Aaron, Aj, James ve Voyager/CoreComm’daki herkese (ya da önceki çalışanlara). Studio
B’deki temsilcim Laura Lewin’e çok teşekkür ederim. Ayrıca Bill Hlavac’a bu yılki önemli tavsiyesi
için teşekkür ederim.
–Steve Suchring
IV
İçindekiler
İçindekiler
Bölüm 1: Windows Server 2003 Network’ünü Anlamak�� 3
OSI Modeli��3
Protokol Takımları��4
Physical Katman��5
Data-Link Katmanı��6
Network Katmanı��7
Transport Katmanı��8
Session Katmanı��9
Presentation Katmanı��9
Application Katmanı��10
Stack’ler Arasında İletişim��11
Microsoft’un Network Bileşenleri ve OSI Modeli��12
Aygıt Sürücüleri ve OSI Modeli��12
Network Protokollerinin Temelleri��12
NWLink��15
TCP/IP��16
IP Adreslemesini Anlamak��18
Hiyerarşik IP Adresleme Şeması��18
Bir Network’ü Subnet’lere Ayırmak��21
Subnetting Uygulamak ��22
Subnetting Nasıl Uygulanır?��22
Subnet Sayıları Nasıl Hesaplanır?��25
Subnetting’i Uygulamak��26
Subnet Karakteristiklerini Hızlı Bir Şekilde Tanımlamak��31
Subnet ve Host’ların Miktarlarını Saptamak��32
Özet��33
Sınav İçin Bilinmesi Gerekenler��33
Gözden Geçirme Soruları��34
Gözden Geçirme Sorularının Cevapları��41
İçindekiler
Bölüm 2: TCP/IP Kurulum ve Yapılandırması�� 47
Temel TCP/IP Ayarlarının Yapılandırılması��47
Default Gateway ve DNS Ayarları��47
Otomatik TCP/IP Ayarlarının Otomatik Yapılandırılması��49
TCP/IP Ayarlarını Manuel Olarak Yapılandırmak��51
Gelişmiş TCP/IP Ayarlarını Yapılandırmak��52
Temel Ayarları Genişletmek��52
Gelişmiş DNS Ayarlarını Yapılandırmak��53
WINS İstemcilerini Yapılandırmak��54
Node Tipleri��54
WINS İstemci Bilgilerini Yapılandırmak��55
Network Bindings Yapılandırmak��56
Network Trafiğini Monitor Etmek��58
Network Monitor Driver ve Application Kurulumu��60
Network Monitor Nasıl Kullanılır?��60
Verileri Yakalamak ��61
Verileri Görüntülemek��61
Filtreler Kullanmak��63
Network Aktivitelerini System Monitor ile İzlemek��65
Sayaç Eklemek��66
Network Protokollerinde Sorun Gidermek��68
En Son Değişiklikleri Analiz Etmek��68
Problemin Gerçek Nedenini Bulmak��68
Ne Çeşit Bir Problem?��69
Bu Problemi Kimler Yaşıyor?��69
Fiziksel Bağlantıları Kontrol Etmek��70
Ipconfig Aracını Kullanmak��70
Ping, Tracert ve Pathping Komutlarını Kullanmak��71
Ping Aracı��72
Pathping Aracı��73
Nslookup Kullanmak��74
Özet��77
Sınav Esasları��77
Gözden Geçirme Soruları��79
Gözden Geçirme Sorularının Cevapları��85
VI
İçindekiler
Bölüm 3: Security Policy’lerini Yönetmek�� 91
Kullanıcı ve Grup Hesaplarına Genel Bakış��91
Kullanıcı Hesapları��91
Grup Hesapları��92
Security Policy Tipleri ve Araçları��93
Active Directory’de Group Policy’ler��93
Group Policy Uygulamaları��97
Group Policy Objeleri ve Active Directory��97
Farklı Network İstemcileri İçin Policy’ler Uygulamak��98
Local Computer Policy’lerini Yönetmek��99
Güvenlik Ayarlarını Yapılandırmak��100
Local Computer System Policy’leri��108
User Profile Policy’leri��109
Logon Policy’leri��109
Disk Quota Policy’leri��110
Group Policy Policy’leri��110
Windows File Protection Policy’leri��111
Security Configuration and Analysis Aracı ile Güvenlik Yapılandırmalarının Analizi��111
Güvenlik Veritabanını Belirlemek��111
Bir Güvenlik Şablonu Import Etmek��112
Bir Güvenlik Şablonu Oluşturmak��112
Güvenlik Analizi Gerçekleştirmek��114
Güvenlik Analizini Gözden Geçirmek ve Uyumsuzlukları Çözmek��114
Yazılım Yüklemek ve Bakım Yönetimi��116
Windows Update��116
Windows Automatic Updates��118
Windows Server Update Services Kullanmak��119
WSUS Kullanımının Avantajları��120
WSUS Sunucu Gereksinimleri��120
WSUS İstemci Gereksinimleri��127
WSUS İstemcilerini Yapılandırmak��127
Microsoft Baseline Security Analyzer Aracını Kullanmak��130
Windows Server 2003 Servislerini Yönetmek��133
İçindekiler
Genel Servis Özelliklerini Yapılandırmak��133
Servis Log On Özelliklerini Yapılandırmak��134
Servis Recovery Özellikleri��134
Servis Bağımlılığını Kontrol Etmek��134
Özet��135
Sınav Esasları��136
Gözden Geçirme Soruları��137
Gözden Geçirme Sorularının Cevapları��143
Bölüm 4: IP Seviyesinde Güvenlik Yönetimi�� 147
IPSec’in Çalışmasını Anlamak��147
IPSec Esasları��148
IPSec Kimlik Doğrulama ��153
IPSec Kurulumu��154
IP Security Policy Management Snap-In��154
IPSec Yapılandırma��155
Yeni Bir Policy Oluşturmak��156
Policy’leri Atamak ve Atamayı Kaldırmak��158
Diğer Policy Yönetim Özellikleri��158
IPSec Policy’lerini Yapılandırmak��159
IPSec’i Tunnel Mode İçin Yapılandırmak��166
IPSec Yönetimi ve İzleme��168
IP Security Monitor’ü Kullanmak��168
IPSec Yönetimi İçin Netsh��172
Event Logging’i Kullanmak��172
IPSec Aktivitelerini Network Monitor’de İzlemek��173
IPSec Sorun Giderme Teknikleri��174
Sıkça Karşılaşılan IPSec Sorunlarını Tanımlamak��174
Doğru Policy’nin Atandığından Emin Olmak��175
Policy Uyumsuzluklarını Kontrol Etmek��175
Özet��175
Sınav Esasları��175
Pratik Laboratuvar Çalışması: IPSec Bağlantılarında Sorun Gidermek İçin Event Viewer’ı
Kullanmak��176
Gözden Geçirme Soruları��178
Gözden Geçirme Sorularının Cevaplar��184
VII
VIII
Giriş
Giriş
Windows Server 2003 Microsoft Certified Systems Administrator (MCSA) ve Microsoft Certified
Systems Engineer (MCSE) sertifikasyonları bilgisayar endüstrisi uzmanları için en önemli sertifikasyonlardır. MCP programı, gelecekte geliştirilecek Microsoft teknolojilerini kapsayarak kariyerde ilerlemek için güçlü bir kimlik sağlar.
Bu kitap size, MCSA ve MCSE sertifikasyonlarının her ikisi içinde esas olan bir sınava hazırlanmanız için gereken beceri ve bilgiyi vermek amacıyla geliştirilmiştir: Windows Server 2003 Ağ
Kurulum ve Yönetimi (Exam 70-291).
Microsoft Certified Professional Program
Bu sertifikasyon programı başladığından beri Microsoft milyonlarca kişiyi sertifikalandırdı. Bilgisayar network’leri endüstrisi hem boyut hem de karmaşıklık bakımından büyüdükçe elbette bu sayı
da arttı – ve aynı zamanda yetenekleri ispatlamaya olan ihtiyaç da artacaktır. Şirketler çalışanların ve yüklenicilerin muhtemel becerilerini saptama işleminde sertifikasyonlara güveniyorlar.
Microsoft, Microsoft Certified Professional (MCP) programını, sizin Microsoft ürünleri ile etkin
ve profesyonel olarak çalışabildiğinizi kanıtlar. MCP sertifikasyonunu alabilmeniz için Microsoft
sertifikasyon sınavlarının birinden geçmenizi gerekir. Belirli sınavlara göre çeşitli seviyelerde sertifikalar vardır. İlginizi çeken ya da tecrübe sahibi olduğunuz alanlara göre MCSA ya da MCSE
sertifikalarına sahip olabilirsiniz.
Microsoft Certified Systems Administrator (MCAS) on Windows Server 2003: MCSA sertifikasyonu Microsoft’un en son sertifikasyonudur. Bu sertifikasyon, masaüstü ve network yönetimi
konularında aşağı yukarı 6 ila 12 ay arasında bir tecrübeye sahip sistem ve network yöneticilerini
hedef alır. MCSA giriş düzeyi sertifikası olarak düşünülebilir. MCSA sertifikasına sahip olmak için
toplamda 4 adet sınavdan geçmelisiniz. Eğer Windows 2000 üzerinden bir MCSA iseniz Windows
Server 2003 üzerinden MCSA olmanız için bir adet Upgrade sınavına girebilirsiniz.
Microsoft Certified Systems Engineer (MCSE) on Windows Server 2003: Bu sertifikasyon Microsoft Windows XP ve Server 2003 yazılmları ile çalışan network ve sistem yöneticileri, network
ve sistem analistleri ve teknik danışmanlar için tasarlanmıştır. MCSE sertifikasyonu almak için
yedi sınavı geçmeniz gerekir. Eğer Windows 2000 üzerinden bir MCSE iseniz Windows Server
2003 üzerinden MCSE olmanız için iki adet Upgrade sınavına girebilirsiniz.
Windows Server 2003 Üzerinden Nasıl Sertifikalı Olursunuz?
Bir MCSA ya da MCSE sertifikasına erişmek her zaman uğraştırıcıdır. Geçmişte, öğrenciler sınavla ilgili detaylara – hatta çoğu sınav sorusuna bile – çevrim içi “brain dumps” ve 3. parti “cram”
kitaplar ya da yazılım ürünleri ile erişebiliyorlardı. Bu durum yeni sınavlar için söz konusu değildir.
MCSE - MCSA
Microsoft, belirli bir efor sarf ederek IT dünyasında kendi becerilerini kanıtlama şansı sunan
Microsoft Certified Systems Administrator (MCSA) programını duyurdu.
Bir yıldan daha az tecrübeye sahip kişileri hedefleyen MCSA programı birincil olarak IT profesyoneli görevlerinin, yönetim kısmına odaklanır. Bu yüzden hem MCSA hem de MCSE için gerekli
belli ortak sınavlar vardır, bunlar, 70-270, 70-290 ve 70-291 olarak adlandırılan sınavlardır.
Elbetteki, herhangi bir MCSA’nın sonraki hedefi MCSE olmak olabilir. Bununla birlikte, MCSA’nın
MCSE gereksinimini karşılayacak iki sınava girmek zorunda olduğunu düşünmeyin, bu iki program benzerdir. Bir MCSE aynı zamanda bir network’ün nasıl tasarlandığını bilmelidir. Geriye
kalan gerekli MCSE sınavları için bir adayın daha fazla pratik uygulamaya ihtiyacı olacaktır.
Giriş
Microsoft sertifikasyonun güvenliği ve bütünlüğünü korumak için ciddi adımlar atmıştır. Artık adaylar çok geniş konuları içeren detaylı bir kursu tamamlamalıdır. Bu adaylara Windows XP, Server
2003 ve ilgili yazılım ürünleri ile çalışırken ihtiyaç duyulan becerileri sağlar.
Şükür ki, eğer Windows XP ve Server 2003 öğrenmek için belirli zaman ayırmaya ve efor sarf
etmeye istekli iseniz, kendi kendinize uygun araçları kullanarak da iyi bir şekilde sınava hazırlanabilirsiniz. Bu kitapla çalışarak Windows Server 2003 network alt yapısı yönetimi sınavını geçmek
için gerekli sınav gereksinimlerini başarılı bir şekilde karşılayabilirsiniz.
Bu kitap Sybex Inc. tarafından yayınlanan ve esas MCSA ve MCSE işletim sistemi gereksinimlerini kapsadığı gibi MCSE’yi tamamlamak için gerekli tasarım gereksinimlerini de kapsayan MCSA
and MCSE Study Guides serisinin bir parçasıdır. Lütfen, programın tamamı ve ürün detayları için
Sybex’in www.sybex.com sitesini ziyaret edin.
MCSA Sınav Gereksinimleri
Windows 2000 ya da Windows 2003 MCSA sertifikasyonu adayları dört sınavı geçmek zorundadır. Microsoft sertikasyon programı hakkında daha detaylı açıklamalar ve sınav listesi için Microsoft Learning www.microsoft.com/learning web sitesini ziyaret edin.
R2!
Windows Server 2003 R2 ya da Release 2, Windows işletim sisteminin bir ara güncellemesidir.
Windows Server 2003 ilk başta Nisan 2003’de duyuruldu. R2 Service Pack 1 ve diğer özellikleri
Windows Server işletim sisteminin yeni release’ini beklemeye gerek kalmaksızın Windows Server
2003 ile birlikte kullanmanızı sağlar. Bu kitap Windows Server 2003 R2’nin içerdiği yeni özellikleride kapsar.
Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network
Infrastructure Sınavı
Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure sınavı bir Windows Server 2003 network alt yapısının kurulumu, yönetimi ve bakımı ile ilgili
kavram ve gereksinimleri kapsar. Bu sınav aşağıdaki network alt yapısı desteği ile ilgili şu unsurların üzerinde durur:

IP Adreslemenin Uygulanması, Yönetimi ve Bakımı

İsim Çözümlemenin Uygulanması, Yönetimi ve Bakımı

Network Güvenliğinin Uygulanması, Yönetimi ve Bakımı

Yönlendirme ve Uzaktan Erişimin Uygulanması, Yönetimi ve Bakımı

Bir Network Altyapısının Bakımı
Microsoft size, Microsoft sınavlarının kapsamındaki muhtemel alanlara göz gezdirmenizi sağlayan
sınav hedefleri sağlar. Bununla birlikte bu sınav hedeflerinin herhangi bir zamanda bir bildirimde
bulunmaksızın Microsoft tarafından değiştirilebileceğini aklınızda bulundurun. Lütfen, en güncel sınav hedefleri için Microsoft’un Learning web sitesini (www.microsoft.com/learning) ziyaret edin.
Sınav Sorularının Tipleri
Test sürecine incelik kazandırmak ve kendi sertifikasyonunun kalitesini korumak için harcadığı
bir çaba ile Microsoft Windows 2000, XP ve Server 2003 sınavlarını gerçek tecrübe ve pratik yeterliliği üzerine odaklamıştır. Önceden çalıştığınız ortam ve sorumlulukların önemi, ezberde nasıl
olduğunuzdan çok daha fazladır. Aslında, Microsoft bir MCSE adayının en azından bir yıl pratik
tecrübeye sahip olması gerektiğini söyler.
Microsoft düzenli olarak sınav sorularını ekleyerek ve çıkararak, her bireyin bir beta sınavında göreceği soruların
sayısını sınırlandırarak, uyarlanabilen test yönteminin kullanımı ve yeni sınav elementleri ile eklenmesi aracılığıyla bir adaya gönderilen soruların sayısını sınırlandırarak sınavların bütünlüğünü koruma hedefine ulaşmaktadır.
IX
Giriş
Sınav soruları çok çeşitli formatlarda olabilir: Hangi sınavı aldığınıza bağlı olarak, seç ve yerleştir
soruları olabileceği gibi çoktan seçmeli soruları da göreceksiniz. Bazı sınavlar simulasyon ve senaryo tabanlı formatları da içerir. Şimdi sınav sınav sorularının tiplerine bir göz atalım, bu sayede
tüm ihtimallere hazır olmuş olacaksınız.
Windows 2000’in ortaya çıkışıyla, Microsoft sonuçları detaylı analizini sunmayı durdurdu. Bu daha çok
çeşitli ve karmaşık soru formatlarından kaynaklanıyor. Önceleri, herbir soru tek bir hedef üzerine yoğunlaşıyordu. Windows 2000, XP ve Server 2003 sınavları bir şekilde bir ya da daha fazla hedef kümesi içinden
bir ya da daha fazla konuyla ilgili olabiliyor. Bu yüzden konulara göre derecelendirmek neredeyse imkânsız. Aynı zamanda Microsoft artık puan sunmuyor. Artık size sadece başarılı olup olmadığınız bildiriliyor.
Çoktan Seçmeli Sorular
Çoktan seçmeli sorular iki formda karşımıza çıkar. Bir tanesi açık bir soru ile birlikte gelen muhtemel cevaplardan birinin daha doğru olduğu soru formudur. Diğer çoktan seçmeli soru tipi ise
daha karmaşıktır ve spesifik bir senaryoya dayalıdır. Bu senaryo farklı alanlara ya da hedeflere
odaklanmış olabilir.
Seç ve Yerleştir Soruları
Seç ve yerleştir sınav soruları, soruyu doğru bir şekilde cevaplamanız için kullanmanız gereken
grafik unsurları içerir. Örneğin, bir bilgisayar network’ü diyagramı görebilirsiniz. Tipik bir diyagram yanlarında üzerlerinde “Place here” yazılı kutular bulunan bilgisayarlar ve diğer bileşenleri
gösterir. Kutuların üzerindeki etiketler bir yazdırma sunucusu ve bir dosya sunucusu gibi çeşitli
bilgisayar rollerini gösterir. Herbir bilgisayar için verilen bilgilere göre sizden etiketleri uygun kutulara yerleştirmeniz istenir. Bu etiketlerin hepsini doğru bir şekilde yerleştirmelisiniz. Sadece bazı
kutular için doğru şekilde yerleştirmek size puan kazandırmayacaktır.
Karşınıza çıkabilecek diğer bir seç ve yerleştir problemi ise öğeleri sol taraftaki kutulardan sağ
tarafa sürüklemek suretiyle bunları bir adımlar serisi şeklinde sıralamanızın istendiği sorular olabilir. Başka bir soru tipi ise bir öğeyi sol taraftan alıp sağ taraftaki doğru kolonun altına taşımanızı
gerektirir.
Simulasyonlar
Simulasyon soruları, gerçek duruma yakın bir durumu sunarak sizin Microsoft yazılım arayüzlerini
kullanım becerinizi test eden soru çeşididir. Microsoft, şimdi sınavlarında bu tip sorulara daha
fazla önem vermektedir. Bu sınav soruları, üzerinde, verilen bir senaryo ile ilgili belirli eylemleri
gerçekleştirmeniz istenen taklit bir arayüz içerir. Bu simüle edilmiş arayüz neredeyse gerçek üründe gördüğünüzle aynıdır.
Simulasyonlarda yapılabilecek muhtemel hataların çokluğundan dolayı Microsoft’un aşağıdaki
tavsiyelerini göz önünde bulundurduğunuzdan emin olun.

Çözümle direkt ilgisi olmayan herhangi bir simulasyon ayarını değiştirmeyin.

İlgili bilgiler verilmediğinde varsayılan ayarların kullanıldığını kabul edin.

Girdilerinizi doğru şekilde yazdığınızdan emin olun.

Simülasyondaki tüm görevler bittiğinde tüm simülasyon uygulama pencerelerini kapatın.
Simülasyon sorularına hazırlanmanın en iyi yolu, teste tabi tutulacağınız ürünün grafik arayüzü ile
çalışmaya zaman ayırmaktır.
Senaryo Tabanlı Sorular
Senaryo tabanlı sorular ilk olarak MCSD programında ortaya çıktı. Bu sorular bir dizi gereksinim
ile bir senaryo sunar. Verilen bilgilere dayanarak, bir takım çoktan seçmeli ve seç ve yerleştir sorularına cevap verirsiniz. Senaryo tabanlı sorular için her biri senaryo ile ilgili bilgiler içeren birden
çok sekmeye sahiptir. Bu tip sorular şu anda sadece tasarım sınavlarının bir çoğunda karşımıza
çıkar.
Giriş
Microsoft düzenli olarak sınava yeni sorular ekleyip çıkartacaktır. Bu item seeding olarak adlandırılır. Bu kişilerin sınava önceden girenlerden edindikleri
sınav sorularını ezberlemelerini zorlaştırmak için yapılan işin bir parçasıdır.
Windows Server 2003 Network Infrastructure Administration Sınavını Geçmek İçin
İpuçları
Sertifika sınavını başarıyla sonuçlandırmak için bazı genel ipuçları:

Sınav merkezine erken gidin, bu sayede rahatlar ve çalışma materyallerinizi gözden geçirebilirsiniz. Bu son gözden geçirme sırasında, sınavla ilgili bilgileri ve tabloları gözden geçirebilirsiniz.

Soruları dikkatlice okuyun. Çok çabuk karar vermekten kaçının. Sorunun tam olarak ne sorduğundan emin olun.

Simülasyonlarda, sorularla direkt olarak ilgisi olmayan ayarları değiştirmeyin. Aynı zamanda,
soruda belirtilmeyen ya da işaret edilmeyen ayarlar için varsayılan ayarları kullanın.

Tam olarak emin olmadığınız sorular için ilk olarak açıkça belli olan yanlış sorulardan başlayarak cevapları eleyin. Bu sizin mantıklı bir tahmin yürütmeye ihtiyacınız olduğunda doğru
cevabı seçme ihtimalinizi artıracaktır.
Sınav Kaydı
Microsot sınavlarına dünya çapında 1000 üzerindeki Authorized Prometric Testing Center’larda
(APTC’ler) girebilirsiniz. Yakınlarınızdaki sınav merkezlerinden biri için Prometric’i 800-EXAM
(755-3926) arayın. Birleşik Devletler ve Kanada dışında lokal Prometric kayıt merkezi ile iletişime
geçin.
Girmek istediğiniz sınavlara karar verdikten sonra size en yakın olan Prometric kayıt merkezine
kayıt olun. Bu noktada sınav için sizden ücret istenecektir. Sınavları altı hafta öncesine kadar
ya da sınav gününden bir iş günü öncesine kadar planlayabilirsiniz. Sınavdan iki iş günü öncesine kadar merkezle iletişime geçerek sınavı iptal edebilir ya
Sınavlar için aynı zamanda
da yeniden planlayabilirsiniz. Bazı lokasyonlarda mevcut duruma
www.prometric.com sitesinden
göre aynı gün içinde kayıt yaptırabilirsiniz. Aynı gün içinde kaydın
çevrim içi kayıt olabilirsiniz.
mümkün olduğu lokasyonlarda test saatinden en az iki saat öncesinden kayıt olmalısınız.
Bir sınavın zamanlamasını yaptığınızda, size randevu ve iptal işlemleriyle ilgili hakkında talimatlar, ID gereksinimi ve sınav merkezi lokasyonu hakkında bilgiler verilecektir. Buna ek olarak
Prometric’den bir kayıt ve ödeme makbuzu alacaksınız.
Microsoft sınava girmeden önce adayların Non-Disclosure Aggrement’ın koşullarını kabul etmelerini ister.
Bu Kitapta Ne Var?
Bu kitap, sınavdan geçmeniz için bilmeniz gerekenlerden başka öğrendiklerinizi ve uygulamaları gerçek
dünyada hayata geçirmek için bilmeniz gerekenleri de
içerir Her kitap aşağıdakileri içerir:
Bu Study Guide’ın kapsadığı konular direkt olarak
Microsoft’un resmi sınav hedefleri ile örtüşür.
Herbir sınav hedefi tamamıyla kapsanmaktadır.
“Bilmeniz gereken konuların madde madde kapsamı.” Her bölüm, o bölümün kapsadığı hedefleri listeler.
Değerlendirme testi: Bu giriş bölümünün ardından hemen çözmeniz gereken bir Değerlendirme
Testi vardır. Bu sınav Windows Server 2003 network alt yapısı yönetimi ile ilgili mevcut bilgilerinizi
saptamanıza yardımcı olmak için tasarlanmıştır. Buradaki her bir soru kitap boyunca ele alınan
bir konu ile bağlanmıştır. Değerlendirme Testinin sonuçlarını kullanarak çalışmanızı odaklamanız
gereken alanları ortaya çıkarabilirsiniz. Ebetteki kitabın tamamını okumanızı tavsiye ederiz.
XI
XII
Giriş
Sınav Esasları: Herbir bölümün sonunda ne öğrendiğinizi vurgulamak için Sınav Esaslarının bir
listesini bulacaksınız. Sınav Esasları kısmı, siz sınava hazırlanırken özel olarak dikkatinizi gerektiren konuları kısaca vurgular.
Sözlük: Herbir bölüm boyunca, sınav için bilmeniz gerekecek önemli terim ve kavramlarla karşılaşacaksınız. Bölümler içerisinde bu terimler italik olarak ifade edilir ve kitabın sonunda genel
terimlerle birlikte bu terimlere ilişkin tanımlamalar içeren detaylı bir sözlük vardır.
Detaylı açıklamaları ile Gözden Geçirme Soruları: Her bir bölümün ardından, o bölümde öğrendiklerinizi test eden gözden geçirme soruları gelir. Bu sorular sınav göz önünde tutularak
hazırlanmıştır, bu da sınavda göreceğiniz sorularla benzerlik gösterecek şekilde tasarlandıkları
anlamına gelir. Soru tipleri, çoktan seçmeli, resimli ve seç ve yerleştir gibi sınavdaki muhtemel
soru tipleri ile aynıdır.
Pratik alıştırmalar: Her bölümde, sınav hazırlığınız için kritik önem taşıyan pratik tecrübe kazanmanız için tasarlanmış alıştırmalar bulacaksınız. Bu alıştırmalar bölümdeki konuları destekler ve
bir fonksiyonu gerçekleştirmek için gerekli adımlar boyunca sizi yönlendirir.
Gerçek Dünya Senaryoları: Bir kitap okumak, bu konuların günlük işlerinizde nasıl uygulanacağını öğrenmeniz için yeterli olmadığından özel başlıklar altında Gerçek Dünya Senaryoları sunduk. Bunlar, gerçekten karşı karşıya kalacağınız bir çalışma ortamında belirli bir çözümün ne
zaman ve nasıl anlam taşıyacağını açıklar.
Bu Kitabı Nasıl Kullanacaksınız?
Bu kitap, ciddi bir şekilde sınava hazırlanmak için sağlam bir alt yapı sağlar. Bu kitaptan en iyi
şekilde faydalanmak için aşağıdaki çalışma metodunu kullanmak isteyebilirsiniz:
1. Değerlendirme testini çözerek zayıf olduğunuz alanları belirleyin.
2. Tüm bölümleri dikkatlice çalışın. Bilgileri tam olarak anlamak için elinizden gelenin en iyisini
yapın.
3. Tüm pratik alıştırmaları tamamlayın, bunu yaparken gerektiğinde metne geri dönün, bu sayede alıştırma sırasında uyguladığınız her adımı öğrenirsiniz.
Bu kitaptaki alıştırmalar için donanımınız Windows Server 2003’ün minimum donanım gereksinimlerini karşılayacak düzeyde olmalıdır. Sonraki “Donanım ve Yazılım Gereksinimleri” kısmına sizin ev laboratuvarınızda olması gerektiğini düşündüğümüz tavsiye edilen donanım ve yazılım listesine bakın.
4. Bu kitapta öğrendiklerinizin gerçek hayatta nasıl kullanıldığını daha iyi kavramanız için gerçek
dünya senaryolarını okuyun.
5. Sınav esaslarına çalışarak odaklanmanız gereken alanlara aşina olduğunuzdan emin olun.
6. Her bölümün sonundaki gözden geçirme sorularını cevaplayın.
7. Anlamadığınız soruların notunu alın ve kitabın ilgili kısımlarına tekrar çalışın.
8. Her bölümün sonundaki sınav esaslarına geri dönün.
Bu kitabın kapsadığı tüm materyalleri öğrenmek için düzenli ve disiplinli bir şekilde çalışmanız
gerekecek. Çalışmak için her günün aynı saatini buna ayırın ve çalışmak için rahat ve sessiz bir
yer seçin. Eğer yoğun bir şekilde çalışırsanız, bu materyali ne kadar kısa sürede öğrendiğinize
şaşıracaksınız. İyi şanslar!
Donanım ve Yazılım Gereksinimleri
Bilgisayarınızın Windows Server 2003 kurulumu için minimum gereksinimlerini sağladığını doğrulamanı gerekir. Daha keyifli tecrübe için bilgisayarınızın tavsiye edilen gereksinimleri sağlamasını
ya da aşmasını öneririz.
Giriş
Bu kitaptaki alıştırmalar için bilgisayarınızın spesifik olarak yapılandırıldığı varsayılıyor. Bilgisayarınız minimum alan gereksinimi ve bölümler ile yapılandırılımış en azından 3GB’lık bir sürücüye
sahip olmalıdır.
XIII
XIV
Değerlendirme Soruları
Değerlendirme Testi
1. Bir DNS kaydına iliştirilmiş time to live değeri ___________________.
A. Bir resolver tarafından kullanılamaz, sadece sucunular tarafından recursive sorgular için
kullanılır.
B. Sadece resolver’lar tarafından kullanılır.
C. Sonuçların önbellekten ne kadarlık bir zaman aralığı için getirileceğini belirlemek için kullanılır.
D. Kaydın her değişiminde yenilenir.
2. RIP kullanırken aşağıdakilerden hangisi ayarlanamaz?
A. Herbir arayüzdeki gelen ve giden trafik için kullanılabilecek RIP versiyonu
B. Yolların kabul edileceği eş router seti
C. Bildirim mesajları için varsayılan zaman aralığı
D. Alınan RIP yollarının tutulduğu yer.
3. 30 kullanıcı için VPN erişimi kurmak istiyorsunuz ve bağlantı şifrelenmiş olmalı. Kullanıcılarınız için merkezi bir Windows Server 2003 domain’i var. Bu senaryo için aşağıdakilerden
hangisi en uygun VPN çözümüdür?
A. L2TP + IPSec
B. PPTP
C. A ya da B
D. Yukarıdakilerden hiçbiri
4. DHCP-DNS entegrasyonunu etkinleştirmek için aşağıdakilerden hangisini yapmalısınız?
A. Scope’u sadece Dynamic DNS kullanımına izin verecek şekilde yapılandırmak.
B. Sunucuyu sadece Dynamic DNS kullanımına izin verecek şekilde yapılandırmak.
C. Scope ve sunucuyu yapılandırmak.
D. Scope ya da sunucuyu yapılandırmak.
5. RRAS, yönlendirme ile ilgili hangi tip filtreler oluşturmanıza izin verir?
A. Sadece yol filtreleri
B. Sadece eş filtreleri
C. Yol ve eş filtreleri
D. Sadece paket filtreleri
6. IPSec Policy Agent nedir?
A. IPSec’in Active Directory ile birlikte kullanımında gerekli bir opsiyonel bileşen.
B. IPSec’in Active Directory olmadan kullanımında gerekli bir opsiyonel bileşen.
C. IPSec’in L2TP ile birlikte kullanımında gerekli opsiyonel bileşen.
D. IPSec kullanımı için zorunlu bir bileşen.
7. OSI’nin yedi katmanı aşağıdakilerden hangisini yapar?
A. Tam olarak Windows 2000 networking servisleri ve bileşenleri ile uyuşur.
B. Benzer servisleri gruplama için güçlü bir kavramsal çatı sağlar.
Değerlendirme Soruları
C. A ve B
D. Yukardakilerin hiçbiri.
8. Bir DNS sunucunun sorguları düzgün şekilde cevaplayıp cevaplayamadığını test etmek için
aşağıdaki araçlardan hangisini kullanabilirsiniz?
A. ping aracı
B. nslookup aracı
C. tracert aracı
D. ipconfig aracı
9. RIP router’lar hangi iki modda güncellemelerini gönderir?
A. Link-state database mod
B. Auto-static update mod
C. Periodic Update Mode
D. Border mod
10. Domain’inizdeki bir member sunucu üzerinde DHCP Server servisini yüklediniz ve bir scope
yapılandırdınız; fakat istemciler bir adres kiralayamıyorlar. Bu soruna neden olan en muhtemel sebep nedir?
A. Scope aktive edilmemiştir.
B. Birden fazla DHCP sunucusu var.
C. DHCP sunucu yetkilendirilmemiş.
D. DHCP sunucu başka bir subnet’te.
11. Windows Server 2003 Dynamic DNS ile ilgili ifadelerden hangisi doğrudur?
A. DDNS çalışması için bir Microsoft DHCP sunucu gerektirir.
B. Windows Server 2003 DDNS sunucu BIND’ın yeni versiyonlarıyla birlikte çalışabilir.
C. DDNS istemcileri kendi adreslerini kayıt ettirmeyebilirler.
D. DDNS sadece Microsoft istemcileri ve sunucularıyla birlikte çalışır.
12. VPN bağlantıları aşağıdakilerden hangilerini gerektirir? (İki seçenek işaretleyin)
A. Windows Server 2003 VPN - add-on
B. VPN sunucunun adı ya da IP adresi
C. VPN sunucunun telefon numarası
D. Mevcut bir TCP/IP bağlantısı
13. Spesifik bir şifreleme düzeyi kullanamayan bir istemciden gelen aramaları reddetmek için
aşağıdakilerden hangisini yaparsınız?
A. Remote access policy profilin Encryption sekmesindeki No Encryption onay kutusunun
işaretini kaldırın.
B. Sunucunun Properties diyalog kutusu Security sekmesinde No Encryption onay kutusunun işaretini kaldırın.
C. Require Encryption adında yeni bir remote access profile oluşturun.
D. Her kullanıcı profilinde Require Encryption onay kutusunu işaretleyin.
XV
XVI
Değerlendirme Soruları
14. Aşağıdakilerden hangisi bir OSI katmanı değildir?
A. Oturum
B. Uygulama
C. Sunum
D. Servis
15. DHCP’de dışarda tutulacak belirli bir adres aralığı hangi düzeyde atanır?
A. Server düzeyinde
B. Scope düzeyinde
C. Superscope düzeyinde
D. Multicast scope düzeyinde
16. IPSec ile ilgili aşağıdakilerden hangisi doğrudur?
A. Tek başına kullanılabilir.
B. Sadece L2TP ile birlikte kullanılabilir.
C. L2TP ile birlikte kullanılamaz.
D. Windows 2000 ve üstü işletim sistemleri için üçünçü parti yazılım gerektirir.
17. Dinamik olarak işlenen yönlendirme tabloları ile ilgili aşağıdakilerden hangisi doğrudur? (Uygun olan tümünü seçin.)
A. Otomatik olarak yönlendirme protokolleri tarafından işlenir.
B. Normalde yeniden başlamalar arasında işlenmez.
C. Komut satırından manuel olarak düzenlenebilir.
D. Herbiri bir network ID, bir iletim adresi ve bir metric değeri içeren çoklu girdilerden oluşur.
18. DHCP relay agent network’te hangi fonksiyonu yerine getirir?
A. Bir network’teki DHCP mesajlarını dinler ve bunları başka bir network’teki bir DHCP sunucusuna iletir.
B. Birden fazla network’ten DHCP mesajlarını kabul eder ve bunları bir DHCP sunucusu için
birleştirir.
C. DHCP istemcilerinin WINS servislerini kullanmalarına izin verir.
D. DHCP taleplerini bir Dynamic DNS sunucusuna iletir.
19. Aşağıdaki protokol ya da servislerden hangisi Active Directory kurulumu için zorunlu değildir?
A. TCP/IP
B. DNS
C. LDAP
D. NetBEUI
20. VPN erişimini aşağıdaki mekanizmalardan hangisi aracılığıyla kontrol edebilirsiniz? (İki seçenek işaretleyin.)
A. Ayrı ayrı kullanıcı hesap özelliklerinden.
B. Remote access policy’leri
Değerlendirme Soruları
C. Remote access profilleri
D. Group policy objeleri
21. Mirrored rule nedir?
A. Farklı iki protokol için aynı kaynak ve hedefleri belirleyen tek bir rule.
B. Gelen ve giden trafik için aynı kaynak ve hedefleri belirleyen bir rule.
C. Farklı iki protokol için aynı kaynak ve hedef belirten bir çift rule.
D. Aynı protokol için farklı kaynak ve hedef adresler belirten bir çift rule.
22. Bir sunucudan diğerine DNS verilerinin replikasyonuna ne ad verilir?
A. Replication pass
B. Zone transfer
C. Replication transfer
D. Zone replication
23. Lokal bir makinenin ayarları ile bir DHCP sunucu ile atanan ayarların çakışması durumunda
aşağıdaki ifadelerden hangileri doğrudur? (Uygun olan tümünü işaretleyin.)
A. Çakışan hiçbir ayar uygulanmaz.
B. DHCP ile atanan ayarlar, lokal olarak atanan ayarları ezer.
C. İlk olarak uygulanan ayarlar etkisini gösterir.
D. Lokal olarak atanan ayarlar, DHCP ile atanan ayarları ezer.
24. Dial-up kullanıcılarının havuzdan bir IP adresi almalarını etkinleştirmek için aşağıdakilerden
hangisini yapmalısınız?
A. Sunucunun Properties diyalog kutusu IP sekmesinde bir adres havuzu tanımlayın.
B. Remote access policy’de bir adres havuzu tanımlayın.
C. Dial-up kullanıcıları için bir DHCP adres aralığı ekleyin.
D. DHCP address allocator’ı devre dışı bırakın.
25. Aşağıdaki seçeneklerden hangisi mevcut güvenlik ayarlarınız ile sizin istediğiniz güvenlik
ayarlarını karşılaştırmanızı sağlayan bir araç olarak kullanılır?
A. Security template
B. Security database
C. Security profile
D. Security analyst
26. Hangi policy tipleri kullanıcı ve gruplar yerine bilgisayarlara uygulanır? (Uygun olan tüm seçenekleri işaretleyin.)
A. Password policy’leri
B. Account lockout policy’leri
C. User rights assignment poilcy’leri
D. Security options
27. Windows Server 2003’de IP Security Monitor’ü nasıl açarsınız?
A. Start > Run seçin ve ipsecmon yazın
B. Start > Administrative Tools > IP Security Monitor
XVII
XVIII
Değerlendirme Soruları
C. Start > Accessories > IP Security Monitor
D. MMC’ye IP Security Monitor snap-in’ini ekleyin
28. Bir DNS zone’u için bilgileri tutan dosyanın adı nedir?
A. domain_name.dns
B. LMHOSTS
C. ZONES
D. SERVERS
29. Caching-only sunucular ile ilgili aşağıdaki ifadelerden hangisi doğrudur?
A. Bir domain için yetkilidir.
B. Sorgu gerçekleştirir.
C. Zone dosyalarını içerir.
D. Zone transferlerine katılırlar.
30. Aşağıdaki seçeneklerden hangisi kullanıcılar için bir uzaktan erişim sunucusunu çevirme izin
ve kısıtlarını belirler?
A. Remote access policy’leri
B. Remote access profilleri
C. Filtre listeleri
D. Kimlik doğrulama metodları
Değerlendirme Soruları
Değerlendirme Testinin Cevapları
1. C. TTL değeri, kaydın tehlikesiz bir şekilde ne kadarlık bir süre için önbellekte tutulabileceğini
belirler. TTL hakkında daha fazla bilgi için Bölüm 6’ya bakın.
2. D. Windows Server 2003’te Routing Information Protocol (RIP) uygulamaları RIP versiyonlarının bir karışımını kullanmanıza izin verir. Bu sayede hangi eş router’ların size güncelleme
gönderebileceğini ve router’ınızın güncellemeleri hangi sıklıkta diğer router’lara göndereceğini kontrol edebilirsiniz. Bununla birlikte, yönlendirme verilerinin tutulduğu yeri değiştirmenize
izin vermez. Daha fazla bilgi için Bölüm 9’a bakın.
3. C. L2TP + IPSec ve PPTP’nin her ikisi de şifrelenebilir ve bunlardan herhangi biri soruda verilen yönergeyi yerine getirir. Daha fazla bilgi için Bölüm 7’ye bakın.
4. D. Sadece bir scope ya da sunucu üzerindeki tüm scope’ları için entegrasyonu etkinleştirebilirsiniz. Daha fazla bilgi için Bölüm 5’e bakın.
5. Route filtreleri yolları ayrı ayrı kabul etmenizi ya da yok saymanıza izin verir. Peer filtreleri, router’ınızın yönlendirme bilgilerini kabul edeceği diğer router’ları kontrol etmenizi sağlar.
Daha fazla bilgi için Bölüm 9’a bakın.
6. D. IPSec Policy Agent, IPSec policy ayarlarını lokal bilgisayardan ya da Active Directory’den
indiren bir bileşendir. O yüzden IPSec’in çalışması için bunun varlığı zorunludur. Daha fazla
bilgi için Bölüm 4’e bakın.
7. B. OSI modeli, farklı üreticilerin uygulamalarını karşılaştırmak ve farklarını görmek için kullanılabilen stilize edilmiş bir network modelidir. OSI modeli hakkında daha fazla bilgi için Bölüm
1’e bakın.
8. B. nslookup sizin isim ve adres bilgileri aramanızı sağlar. Daha fazla bilgi için Bölüm 6’ya
bakın.
9. B, C. Periodic update modda, bir RIP router bildiği yolların listesini periyodik bir zaman aralığı
(sizin belirlediğiniz) ile gönderir. Auto-statik modda, RRAS router kendi yönlendirme tablosunun içeriğini sadece uzak bir router istekte bulunduğunda broadcast eder. Daha fazla bilgi için
Bölüm 9’a bakın.
10. C. DHCP sunucu yetkilendirilmediyse, lease taleplerine cevap vermeyecektir; bu yüzden istemci herhangi bir IP adresi alamayacaktır. Daha fazla bilgi için Bölüm 5’e bakın.
11. B. DDNS, BIND 8.2 ve sonrasıyla çalışır. DDNS ile ilgili daha fazla bilgi için Bölüm 6’ya bakın.
12. B, D. VPN bağlantıları, standart dial-up ya da dedicated TCP/IP bağlantıları üzerinden gerçekleşir. Aradığınız sunucunun adresi ya da ismini belirtmelisiniz. Daha fazla bilgi için Bölüm
7’ye bakın.
13. A. Her bir remote access policy’ye ilişkin profil, policy’nin require, allow ya da disallow şifreleme yapılıp yapılmayacağını kontrol etmenizi sağlar. Şifrelemeyi zorlamak için, şifresiz kullanıma izin vermeyen bir policy oluşturun. Daha fazla bilgi için Bölüm 8’e bakın.
14. D. Oturum, Uygulama ve Sunum katmanlarının tamamı OSI modelinin parçalarıdır, fakat Servis katmanı değildir. OSI katmanları hakkında daha fazla bilgi için Bölüm 1’e bakın.
15. B. Scope’lar ya da adres aralıkları sadece scope düzeyinde atanabilir. Scope aralığı exclusion aralığını da içerir. Daha fazla bilgi için Bölüm 5’e bakın.
16. A. IPSec Windows Server 2003’deki bir stand-alone protokoldür. Bu protokol tek başına ya
da Layer 2 Tunneling Protokol’ü (L2TP) ile birlikte kullanılabilir. Daha fazla bilgi için Bölüm
4’e bakın.
XIX
XX
Değerlendirme Soruları
17. A, C, D. Yönlendirme motorları, girdileri manuel olarak ekleyip çıkartabileceğiniz gibi yönlendirme tablolarının içeriğininin bakımını yapar. Varsayılan kalıcı yolların manuel olarak siz
silene kadar otomatik olarak bakımı sağlanır. Daha fazla bilgi için Bölüm 9’a bakın.
18. A. DHCP relay agent bir network’teki bir DHCP sunucunun farklı bir network’teki istemcilerle
ileşime girmesini sağlar. Daha fazla bilgi için Bölüm 7’ye bakın.
19. NetBEUI terkedilmeye başlanmıştır, fakat diğer üç protokol AD için gereklidir. Daha fazla bilgi
için Bölüm 2’ye bakın.
20. A, B. Kullanıcıların hesap özelliklerini değiştirerek VPN bağlantıları yapmalarına izin verebilirsiniz. Eğer Windows Server 2003 native mode domain kullanıyorsanız aynı zamanda remote
access policy’leri kullanabilirsiniz. Daha fazla bilgi için Bölüm 8’e bakın.
21. B. Bir mirrored rule, A’nın bir kaynak adresi ve B’nin bir hedef adresini işaret eden bir rule’u iki
rule şekline dönüştürür: Giden trafik için kaynak A/hedef B ve gelen trafik için kaynak B/hedef
A. Daha fazla bilgi için Bölüm 4’e bakın.
22. B. Zone transferi resoource record’ların bir zone’dan diğerine transfer işlemi için kullanılan bir
terimdir. Daha fazla bilgi için Bölüm 6’ya bakın.
23. A, B, C. Lokal ayarlar her zaman DHCP sunucu ile belirlenen ayarları ezer. Daha fazla bilgi
için Bölüm 7’ye bakın.
24. Dial-up istemcilerine statik IP adresleri atamak için sunucu üzerinde bir adres havuzu tanımlamak zorundasınız. Bu havuz, istemcilere DHCP atamaları yerine kullanılır. Daha fazla bilgi
için Bölüm 7’ye bakın.
25. A. Security Configuration and Analysis aracını kullanarak bir bilgisayarın mevcut spesifik güvenlik ayarları ile bir güvenlik şablonunda belirlenen güvenlik ayarlarını karşılaştırabilirsiniz.
Daha fazla bilgi için Bölüm 3’e bakın.
26. A, B, D. Güvenlik seçenekleri kullanıcılar ve gruplar yerine bilgisayarlara uygulanır. Daha
fazla bilgi için Bölüm 3’e bakın.
27. D. Windows Server 2003’te, IP Security Monitor bir MMC snap-in’i olarak karşımıza çıkar.
Daha fazla bilgi için Bölüm 4’e bakın.
28. A. domain_name.dns dosyası DNS için isim adres ikililerini tutar. LMHOSTS, WINS için
kullanılır ve diğer iki seçenek geçerli değildir. Daha fazla bilgi için Bölüm 6’ya bakın.
29. B. DNS caching-only sunucular sorguları gerçekleştirir ve sonuçları önbellekler, fakat bunlar
hiçbir domain için yetkili değildirler ve zone dosyaları içermezler ya da zone transferlerine
katılmazlar. Daha fazla bilgi için Bölüm 6’ya bakın.
30. A. Remote access policy’leri remote access sunucuya kimin logon olabileceğini ve geri arama, gün zaman gibi bazı kısıtlar belirlemenizi sağlar. Profiller, bir kullanıcının başarılı bir
şekilde logon olmasının ardından uygulanan ayarları belirler. Diğer iki seçenek RAS’a değil
IPSec’e uygulanır. Daha fazla bilgi için Bölüm 8’e bakın.
1
Windows
Server 2003
Network’ünü
Anlamak
1 Windows Server 2003
Network’ünü Anlamak
• OSI Modeli
• Microsoft’un Network Bileşenleri ve OSI
Modeli
• IP Adreslemesini Anlamak
• Bir Network’ü Subnet’lere Ayırmak
• Özet
• Sınav İçin Bilinmesi Gerekenler
• Gözden Geçirme Soruları
• Gözden Geçirme Sorularının Cevapları
Windows Server 2003 Network’ünü
Anlamak
Microsoft, Windows Server 2003’ü geliştirirken büyük bir zaman ve çaba ortaya koymuştur. Bu
işletim sisteminin, Windows 2000 hatta Windows NT, Internet Information Server ve Exchange
Server’a ait çok miktarda çekirdek kodu içerdiğinden dolayı yeni bir ürün olduğunu söylemek pek
de adil olmayacaktır. Windows 2003 büyük, kompleks ve çok güçlü bir işletim sistemidir. Windows
2003 Server işletim sistemini etkin bir şekilde kullanabilmek için, Windows 2003 Server’ın nasıl
çalıştığını ve bu işletim sistemi üzerinde istenen işlemlerin nasıl yapılacağını bilmek zorundasınız.
Bu kitap Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network
Infrastructure sınavı için bir rehber niteliğindedir, bu yüzden Windows Server 2003’ün de kapsamına aldığı network protokolleri ile başlamak daha anlamlı olacaktır - neden varlar, nasıl çalışırlar
ve onlarla neler yapılabilir.
Bu protokollere iyi bir bakış açısına sahip olmak, network protokollerini karşılaştırmada yardımcı olur. Bu bölüm, bu şekilde bir bakış açısı
Bu bölüm 70–291 sınavında başarılı olabilmek için geoluşturmak amacıyla, farklı protokoller için rerekli ön bilgileri içerdiği gibi Windows Server 2003 ile bir
ferans teşkil eden Open Systems Interconnecnetwork ortamında çalışmak için gerekli bilgileri de kapsar.
tion (OSI) network modeli ile başlayacaktır.
OSI Modeli
International Organization for Standardization (ISO), Open Systems Interconnection (OSI) referans modelini 1977’de geliştirmeye başladı. Network iletişimini anlamada geniş çapta kabul gören
bir model olduğu için; bu modelin nasıl çalıştığını anladığınızda, bunu farklı sistemler üzerindeki
network uygulamalarını karşılaştırmada kullanabilirsiniz.
Bir kişiyle iletişim kurmak istediğinizde genel olarak iki şeye ihtiyacınız olur: iletişim dili ve iletişim
aracı. Bilgisayar network’leri de farklı değildir; farklı network aygıtlarının olduğu bir network’de
iletişimin kurulması için dil ve iletişim aracı açık bir şekilde tanımlanmalıdır. OSI modeli (ve diğer
organizasyonlar tarafından geliştirilen network modelleri), network’lerin genel ve spesifik özelliklerini içeren bir takım kuralları tanımlamaya çalışır:

Network aygıtlarının birbirleriyle nasıl irtibat kurdukları ve bu aygıtların farklı dillere sahip olmaları durumunda birbirleriyle nasıl haberleştikleri

Bir aygıtın veri iletimini ne zaman yapıp ne zaman yapmayacağını bileceği metot.

Network iletişimlerinin doğru olarak ve doğru alıcı tarafından alınmasını garanti edecek metot.

Fiziksel iletim ortamının nasıl düzenleneceği

Network aygıtlarının uygun veri akış hızını nasıl devam ettirecekleri

Network araçlarında bit’lerin ne şekilde temsil edileceği
OSI modeli bir son ürün değildir. Sadece network üzerindeki çeşitli aygıtların aralarındaki karmaşık etkileşimlerini anlamak için kullanılabilecek kavramsal bir çatıdır. Bu model, iletişim süreci
içerisinde hiçbir şey yapmaz, gerçek işi tahsis edilen yazılım ve donanım gerçekleştirir.
OSI modeli basit olarak hangi işlerin yapılması gerektiğini ve bu model içerisindeki her bir yedi
katmanda, hangi protokollerin bu işleri yöneteceğini tanımlamaktadır. OSI modelinin yedi katmanı
şu şekildedir:

Uygulama (layer 7 – Application)

Sunum (layer 6 – Presentation)
Bölüm 1

Oturum (layer 5 – Session)

İletim (layer 4 – Transport)

Network (layer 3 – Ağ)

Veri bağlantı (layer 2 – Data-Link)

Fiziksel (layer 1 – Physical)
Bu yedi katmanı pratik olarak hafızanızda tutmak
için “Acele Posta Servisi Türkiye’de Neden Pahalı” gibi anımsatıcı cümleler kullanabilirsiniz.
Bu yedi katmanın her biri, bu bölümün sonraki konularında inceleyeceğimiz farklı fonksiyonlara sahiptir.
Gerçek Dünya Senaryosu
Gerçek IP Protocol Yapısı
Tüm bu konsepti kapsayan ve Internet’in temelinde yatan başka bir model daha vardır. United
States Department of Defense tarafından geliştirilen bu model TCP/IP, IP modeli veya DoD gibi
bir takım isimlerle anılır. IP modeli daha sonra bahsedeceğimiz gibi sadece dört katman içerir:
Link (Network Access), Network ya da Internet, Transport (Host to Host) ve Application. Bu model internetin dizaynında temel alınmıştır. Bu model ile 70–291 sınavında karşılaşmayacaksınız;
fakat bir network yöneticisi olarak bu modelin sürekli karşınıza çıkacağını bilmeniz gerekir.
Protokol Takımları
OSI modeli, haberleşme işlemlerini, alt görevler şeklinde adlandırılan küçük parçalara böler. Protokol uygulamaları, bu bahsi geçen alt görevleri yöneten bilgisayar süreçleridir. Spesifik protokoller, bu alt görevleri OSI modelinin spesifik katmanlarında gerçekleştirir. Tüm bu alt görevlerin, bir
ana görevi gerçekleştirebilmek için gruplandığı (alt görevlerin kodlarının bir araya getirilmesi ile
oluşan) yapıya protokol takımı adı verilir. Takım bütün iletişim sürecini gerçekleştiren katmanlı yapıda planlanmış protokoller grubudur. OSI modelindeki her bir katman, kendisi ile ilişkilendirilmiş
farklı bir protokole sahiptir. İletişimin gerçekleşebilmesi için birden fazla protokole ihtiyaç duyulduğunda, bu protokoller bir takım içerisinde gruplanırlar. Protokol takımına örnek olarak, Unix ve
internet ortamında çok geniş kullanım alanına sahip TCP/IP (TCP ve IP protokolleri OSI’nin farklı
katmanlarında yer alır) verilebilir.
Gerçek Dünya Senaryosu
Protokol Takımlarıyla İlgilenmemizin Nedeni
Şu an protokol takımları ve OSI modeli ile neden ilgilendiğiniz tam anlamıyla kavranamamış olabilir. Ancak, 70–291 sınavı Internet iletişimi için temel oluşturan OSI modeli ve protokol takımları
üzerine kurulmuştur. Bugünün modern network dünyasındaki hemen herşeyin temelinde OSI ya
da IP modeli esas alınmıştır.
OSI modelini bilmek, bir network’de sorun gidermenin temelini oluşturmaktadır. Windows
network’ünü yönetmede size yardımcı olacaktır. Bu bölüm boyunca, sorun giderme aşamasında
OSI modelini bilmenin bize nasıl yardımcı olabileceği konusunda örnekler verilecektir.
OSI modelindeki her bir katman, bir alt katmandan bir hizmet alırken, üst katmana da bir hizmet
sağlar. Şu şekilde açıklamak daha iyi olabilir: Katman N, bir altındaki katmanın (katman N – 1)
servisini kullanır ve bir üst katmana (katman N + 1) servis sağlar.
İki bilgisayarın iletişim kurabilmesi için her iki bilgisayarda da aynı protokol takımının çalışıyor
olması gereklidir. Yine bu iki bilgisayarın iletişim kurabilmesi için, bilgisayarların protokol takımlarının her bir katmanı da uyumlu protokolleri kullanıyor olmalıdır. Farklı işletim sistemlerine sahip
bilgisayarlar, eğer aynı protokol takımını kullanıyorlarsa iletişim kurabilirler. Örnek olarak IP kul-
Windows Server 2003 Network’ünü Anlamak
lanan bir DOS makinesi, yine IP kullanan bir Macintosh makinesi ile iletişim kurabilir (Bkz. Şekil
1.1)
Şekil 1.1: Her bir katman diğer host’lardaki aynı katmanla iletişim kurar.
Veri gönderileceği zaman, OSI modelindeki her bir katman, kendisine ait bilgiyi de bu veriye dahil ederek bir alt katmana gönderir. Bu işleme enkapsülasyon adı verilir. Enkapsülasyon, her bir
katman kendi başlık bilgisini (header) ve bazen trailer bilgisini veri üstüne eklediğinde meydana
gelir. Veri alındığı zaman, bu işlemin tersi gerçekleşir ve protokol takımındaki uygun katman bu
bilgiyi okur.
Physical Katman
Physical katman, elektriksel (bazen diğer tip) sinyalleri kullanarak bit’lerin bir bilgisayardan başka
bir bilgisayara ulaşmasından sorumludur. Physical katmandaki bileşenler bit’lerin içeriği ve anlamlarıyla ilgilenmez. Bit’lerin, optik, elektriksel ya da kablosuz bağlantı üzerinden A noktasından
B noktasına ulaşmasını sağlar. Bu seviye, bit’lerin ne şekilde temsil edileceği, network konnektörlerinin kaç adet pin’e sahip olacağı, network adaptörlerinin ne zaman veri iletimi gerçekleştirebileceği ya da gerçekleştiremeyeceği gibi fiziksel ve elektriksel detayları tanımlar.
Şekil 1.2: Physical katman, elektriksel, optik ya da radyo sinyalleri ile fiziksel bir devre meydana getirir.
Physical katman, bilgisayarlar ve network ortamı arasındaki fiziksel bağlantı ile ilgili tüm ayrıntılarla ilgilenmektedir. Örnek olarak:

Network bağlantı tipleri, multipoint ve point-to-point bağlantılar.

Fiziksel topolojiler veya network’ün ne şekilde dizildiği (Örn: bus, star veya ring topolojileri)

Dijital ve analog verileri kodlamak için, kullanılacak dijital ve analog sinyalleme metotları.

Gönderici ve alıcının düzgün bir şekilde veriyi yazması ve okuması için bit senkronizasyonunun sağlanması.

Multiplexing ya da farklı veri kanallarının tek bir kanal dahilinde birleştirilmesi.

Sinyallerin yansıyarak, sinyal ve paketlerde hata oluşmasına engel olmak için sonlandırma
yapmak. Sonlandırma aynı zamanda bir network segment’indeki son düğümü işaret eder.
Bölüm 1
Data-Link Katmanı
Data-Link katmanı, bir aygıttan diğerine tek bir fiziksel hat üzerinde veri akışını sağlar. Network
katmanından aldığı paketleri, frame adı verilen birimler şeklinde paketleyerek iletilmek üzere Physical katmana teslim eder. Data-Link katmanı frame tipi gibi bir takım kontrol bilgilerini de ekler.
Bu katman aynı zamanda frame’lerin hatasız olarak bir bilgisayardan diğerine iletimini sağlar.
Bozulan frame’leri tespit etmek için, frame’lere CRC (Cyclic Redundancy Check) bilgilerini ekler.
Alıcı bilgisayar, gelen frame’e ait CRC bilgisi ile o anki CRC değerini kontrol ederek o frame’in
bozulup bozulmadığını kontrol edebilir. Data-Link katmanı aynı zamanda frame’lerin kaybolma
durumlarını tespit edebilir ve bu frame’ler için göndericiden tekrar gönderilmesini isteyebilir.
Ethernet gibi broadcast network’lerde, LAN’deki tüm aygıtlar, herhangi bir aygıtın ilettiği verileri
alır. (Network’ün broadcast ya da point-to-point olması iletişimin gerçekleştiği network protokolü
tarafından belirlenir) Bir aygıt üzerindeki Data-Link katmanı, gelen frame’in tanımlanmasından
(kendisine ait mi değil mi) sorumludur. Şekil 1-3, Data-Link katmanının iki aygıt arasında hatasız
bir bağlantıyı nasıl kurduğunu gösterir.
Şekil 1.3: Data-Link katmanı iki aygıt arasında bir hatasız (Error-free) bağlantı kurar.
Uluslararası Elektrik ve Elektronik Mühendisleri Enstitüsü (Institue of Electrical and Electronics
Engineers - IEEE), IEEE 802.X olarak bilinen bir protokol spesifikasyonu geliştirdi. (802.2 bu katmanı, iki alt katmana ayıran bir standarttır. Yaygınca MAC olarak bilinen Media Access Control
katmanı, farklı network tipleri için çeşitlilik gösterir ve 802.3’den 802.5’e kadar tanımlanır.)
Bu spesifikasyonun bir parçası olarak (günümüzde Ethernet olarak bildiğimiz), Data-Link katmanı
iki alt katmana ayrılır.

Logical Link Control (LLC) katmanı, iletişim halindeki aygıtlar arasında mantıksal bir bağlantı kurar ve bu bağlantının korunmasını sağlar.

Media Access Control (MAC) katmanı, hava alanı kontrol kulesi gibi çalışır – birçok aygıtın
paylaştığı iletişim kanalını, tıpkı kontrol kulesinin, hava alanına iniş kalkış trafik akışını düzene
soktuğu gibi kontrol eder.
Şekil 1.4 Data-Link katmanının, LLC ve MAC katmanlarını gösterir.
LLC alt katmanı, OSI’nin üst katmanlarına, diğer bilgisayarların kullanabileceği transfer bilgilerinin
LLC alt katmanından OSI’nin üst katmanlarına transferi için Service Access Points (SAPs) sağlar.
Bu 802.2 standardı içinde tanımlanmıştır.
Bu iki alt katmandan alttaki olan MAC alt katmanı, network adaptörü için paylaşımlı bir erişim sağlar ve direkt olarak network kartı ile haberleşir. Genelde 12 digit hexadecimal şeklinde gösterilen
MAC adresi (sıklıkla Hardware Ethernet Address olarak bilinir), 48 bitlik unique bir adrestir ve
network kartına üretildiği fabrikada atanır. LLC alt katmanı, MAC adreslerini, aynı LAN içerisindeki
aygıtlar arasında mantıksal bağlantılar kurmak için kullanır. Ethernet, Data-Link katmanında yer
alan protokole bir örnektir.
Windows Server 2003 Network’ünü Anlamak
Şekil 1.4: IEEE, ISO Data-Link katmanını LLC ve MAC katmanlarına ayırmıştır.
Network Katmanı
Network katmanı, paketlerin aygıtlar arasında taşınması işlemini idare eder. Yönlendirme için karar verir ve paketlerin bir noktadan başka bir noktaya iletilmesi için istenen network’e ulaşılmasına
yardımcı olur.
Gerçek Dünya Senaryosu
MAC Adres Çakışma ve Sınırlamaları
Genel olarak, bir network’de iki (ya da daha fazla) MAC adres çakışmasını tanılamak ve düzeltmek en büyük problemlerden birisidir. MAC adresi donanıma özgü olduğundan, bazen burnedin adres olarak da söz edilir. MAC, 12-digit onaltılık düzende temsil edilen 48 bitten oluşur. Bu
12 digit’in 6’sı kartın üreticisine özgüdür. Örneğin, Intel tarafından üretilen bir network kartındaki
bu ilk altı numara 00AA00 iken Cisco aygıtlarda 00000C’dir.
Birçok network kartında fabrika çıkışında ayarlanan bu numarayı değiştirmenin bir yolu olmamasına rağmen bazı kartlar sistem yöneticisinin MAC adresini değiştirilebilmesine imkan verir.
Bir network segmentinde, aynı MAC adresine sahip iki aygıt bulunduğu zaman, teşhisi oldukça
zor olabilen bir çakışma meydana gelir. Çoğu zaman normal sorun giderme teknikleri çalışmayacak, örneğin ping normal cevap verecektir. MAC adreslerinin çakışması problemini çözmek
bazen her bir aygıt için MAC adreslerine teker teker bakıp raporlamaya kalır. İleride göreceğimiz
gibi bu işlem Windows işletim sistemlerinde ipconfig /all komutuyla yapılır.
MAC adresleri, network sınırları dışına çıkamaz. Bu yüzden MAC adresi ile ilgili bir sorun çözmek için sniffer adı verilen bir araç kullanırken bir MAC adresini diğerlerinden daha fazla görürsünüz. Bu router’ın ya da ağ geçidinin MAC adresidir. Dışarıdan network’e gelen tüm trafik akışı
router aracılığıyla olduğundan, router kendi MAC adresini network’e gelen tüm trafik akışı için
atayacaktır. Bu durum, birçok intrusion analisti ve sistem yöneticisi için büyük çapta bir trafiğin
bir MAC kaynağından geldiğinin görülmesi anlamına geldiği için kafa karıştırıcı olur.
Büyük network’lerde, iki uç sistem arasında ara aygıtlar ya da alt network’ler olabilir. Network
katmanı, Transport katmanı (ve üstündeki katmanlar) için, ulaşılmak istenen sistemin network
kablosunun hemen diğer ucunda olması ya da büyük bir Wide Area Network’de olması durumu
ile ilgilenmesine gerek kalmadan paketlerin gönderimini mümkün kılar.
Bu işi yapmak için network katmanı, mantıksal network adreslerini, fiziksel makine adreslerine
(Data-Link katmanı seviyesinde çalışan MAC adreslerine) çevirir. Network katmanı aynı zamanda servis kalitesini (Quality of Service – örnek olarak mesajın önceliğini) belirler ve eğer mesajın
hedefe ulaşabilmesi için birden fazla yolu varsa yönlendirir.
Bölüm 1
Network katmanı aynı zamanda, eğer paketin boyutu, Data-Link katmanının kabul edebileceği en
büyük data frame’in boyutundan daha büyük ise, bu paketi küçük parçalara böler. Alıcı tarafında,
Network katmanı bu küçük parçaları yine paketler içerisine toplar.
Sadece yönlendirme ve network fonksiyonlarının iletimini sağlayan ve kullanıcı programlarının
çalıştırılabilmesi için ortam sağlamayan ara aygıtlar, OSI network katmanlarının sadece ilk üç
katmanında çalışır. Şekil 1.5 Network katmanının paketleri çoklu link’ler arasında nasıl taşıdığını
gösterir.
Şekil 1.5: Network katmanı, paketleri linkler arasından hedeflerine taşır.
Network katmanı, verinin hedefine ulaşabilmesi için birçok önemli fonksiyonu yerine getirir. Bu
katmanda çalışan protokoller, verinin ulaşmasının gerek olmadığı segment veya network’lere veri
gönderimi sonucunda gerçekleşen aşırı trafiği engelleyecek şekilde özel bir yol seçebilir. Network
katmanı mantıksal olarak ayrılmış network’ler arasında iletişim desteği verir. Bu katman şunlarla
ilgilidir:

Adresleme, mantıksal network adresleri ve servis adresleri

Devre, mesaj ve paket anahtarlama

Yol keşfi ve yol seçimi

Bağlantı servisleri, network katmanı akış denetimi, network katmanı hata kontrolü ve paket
sıra kontrolü.

Gateway servisleri
Windows Server 2003’de, Network katmanı servislerini gerçekleştirebilmek için, TCP/IP, AppleTalk ve Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) için birçok çeşitli
yönlendirme servisleri bulunur (Bkz Bölüm 9 “IP Yönlendirme Yönetimi). Buna ek olarak, TCP/IP,
AppleTalk ve IPX protokol takımları, bu protokoller için yönlendirme kapasitesine sahiptir.
Internet Protocol (IP) network katmanında bulunur.
Transport Katmanı
Transport katmanı, verinin hatasız, sıralı, kayıp veya tekrarlanmadan teslim edilmesini temin
eder. Bu katman ayrıca, Session katmanından gelen büyük mesajları Network katmanının anlayabileceği şekilde daha küçük segment’lere böler. Hedef bilgisayarda bu segment’ler tekrar birleştirilerek Session katmanına sunulanacak olan mesajlara dönüştürülür. Alıcı Transport katmanı,
mesajın kaynağına bir Acknowledgment mesajı gönderebilir (Şekil 1.6’daki gibi). Bu servislerin
çoğu, Transport katmanı protokolleri için seçimlidir ve zaruri değildir. Tüm Transport katmanı protokolleri için ortak olan bir özellik, üst katman protokollerinin eş zamanlı olarak işleyebilmesi için,
üst katman protokollerine multiplexing yapmasıdır. Örnek olarak TCP/IP’de aynı anda bir web
sayfasında gezinme ve bir dosyayı download etme işlemi.
Transmission Control Protocol (TCP) ve User Datagram Protocol (UDP), Transport katmanında
çalışan örnek protokollerdir.
Windows Server 2003 Network’ünü Anlamak
Şekil 1.6: Transport Layer veri bütünlüğü ve performans garantisi ile uçtan uca iletişim sağlar.
Session Katmanı
Session katmanı, farklı bilgisayarlarda çalışan uygulamalar için session – oturum adı verilen ortak bir bağlantıyı mümkün kılar. Bu katman, iki programın birbirlerini bulabilmeleri ve aralarında
bağlantı link’i kurabilmeleri için isim çözümlesi ve güvenlik gibi servisler sağlar. Aynı zamanda
veri senkronizasyonu sağlar ve network’de meydana gelebilecek bir problemden dolayı yarım
kalan veri aktarımının tamamen tekrarlanmaması için checkpoint oluşturur. Bu sayede, veri aktarımı sırasında meydana gelebilecek bir problemde tüm iletişimin tekrar edilmesi yerine, sadece,
oluşturulan checkpoint’den itibaren yapılan veri aktarımının tekrarlanması yeterli olmaktadır. Aynı
zamanda bu katman iletişim esnasında, iki süreç arasındaki iletişimi kontrol ederek, kimlerin hangi noktada iletim yapabileceği ve veri kabul edebileceğine karar verir.
NetBIOS, RPC ve SQL, Session katmanındaki protokollere örnektir.
Presentation Katmanı
Presentation katmanı, veriyi network’ün gereksinimlerine ve bilgisayarın beklentilerine uygun olan
formatlara dönüştürür. Presentation katmanı protokol çevrimini; veri dönüşümü, sıkıştırma ve şifreleme; karakter seti değişimi ve grafik komutlarının yorumlanması işlemlerini gerçekleştirir.
Windows Networking’in bir parçası olan network redirector bu seviyede çalışır. Network redirector bir dosya sunucusundaki dosyanın, istemci bilgisayarlardan görünmesini sağlayan yapıdır.
Network redirector aynı zamanda uzak bir yazıcının yerel bilgisayara bağlıymış gibi düşünülmesini sağlar. Şekil 1.8 protokol takımı içerisinde Presentation katmanının rolünü gösterir.
PICT, TIFF ve JPEG gibi grafik formatları, Presentation katmanındaki protokollere örnek olarak
verilebilir.
Şekil 1.7: Session katmanı, uygulamaların birbirleri arasında iletişim session’ları
ile bağlantı kurabilmelerine imkan sağlar.
10
Bölüm 1
Şekil 1.8: Presentation katmanı, uygulamaların birbirleri arasında iletişim session’ları ile bağlantı
kurabilmelerine imkan sağlar.
Application Katmanı
Application katmanı, OSI modelinde en üstteki katmandır. Veritabanı erişimi, e-posta ve dosya
transferi gibi kullanıcı uygulamalarını direk olarak destekleyen servisleri sağlar. Aynı zamanda
farklı bilgisayarlarda çalışan uygulamaların sanki aynı bilgisayarda çalışıyormuş gibi iletişim kurmalarına izin verir. Bir programcı network servisleri kullanan bir uygulama geliştirirken, uygulama
yazılımının bu servislere eriştiği katman bu katman olacaktır. Örneğin, Internet Explorer web sayfası ya da dosya isteklerini Application katmanını kullanarak gerçekleştirir. Ardından Application
katmanı bu istekleri alttaki
katmanlara aktarır ve diğer
katmanlar da kendi işlerini
gerçekleştirir (Şekil 1.9’da
görüldüğü gibi).
File Transfer Protocol (FTP),
Hypertext Transfer Protocol
(HTTP), Simple Mail Transfer Protocol (SMTP) Application katmanındaki protokollere örnektir.
Şekil 1.9: Uygulama fonksiyonlarının yer aldığı Application katmanı alt katmanları kullanır.
Windows Server 2003 Network’ünü Anlamak
Stack’ler Arasında İletişim
Bir mesaj bir makineden başka bir makineye gönderildiğinde, bu mesaj Şekil 1.10’da görüldüğü
gibi bir makinede üst katmandan alt katmanlara doğru, diğer makinede de alt katmandan üst katmanlara doğru gezmektedir.
Bir mesaj alt katmanlara doğru ilerdedikçe, her bir katman (physical katman dışında) kendi header
(başlık) bilgisini ekleyerek mesajı alt katmana iletir. Bu header’lar, alıcıda karşılık gelen katman
tarafından okunup işlenen bir takım kontrol bilgileri içermektedir. Mesaj alıcı tarafında katmanlar
arasında yukarı doğru ilerlerken her bir katman emsal katmanı tarafından eklenen header bilgisini
çıkarır ve bu bilgiyi mesajın içeriği ile ne yapılacağını anlamak için kullanır (Bkz. Şekil 1.11).
Örnek olarak bu kitabı yazarken kullandığımız network’ü düşünün. Bu network, Ethernet ve IP
protokolü ile birbirine bağlanmış birçok Windows 2000, Windows Server 2003, Macintosh ve
Windows NT makinelerini içeren bir TCP/IP network’üdür. Mac masa üstüne bir Windows Server 2003 paylaşımını bağladığımızda, Application katmanında (Layer 7) Mac Finder, Windows
Server 2003 bilgisayarından bir talepte bulunur. Bu talep Mac’in, talepler veri paketi olarak alıp
kendi header bilgisini bunun üzerine ekleyerek Layer 5’e gönderen Layer 6’sına gönderilir. Bu
paket Layer 5’e iletilir. Layer 5’de bu süreç tekrar eder ve paket Physical katmana ulaşana kadar
sürer. Physical katman, aslen bit’lerin ofisteki network kabloları üzerinden iletilmesinden sorumludur. Physical katman, bu talep paketini Windows Server 2003 makinesinin
“duyabileceği” bir yere taşır. Bu noktada, bu talep paketinin Windows Server
2003 dosya sunucusundaki üst katmanlara doğru yolculuğu başlar. Mac
OS’nin Data-Link katmanında eklenen
header, Windows Server 2003 makinasının Data-Link katmanında çıkartılır.
Windows Data-Link katmanı sürücüleri bu header üzerinde gerekli işlemleri
yaparak isteği bir üst katmana iletir. Bu
süreç Windows Server 2003’ün paketi
almasına ve isteği yorumlamasına ka- Şekil 1.10: Trafik akışı bir bilgisayarın protokol takımında yukarıdan aşağı
dar tekrar eder. Windows Server 2003 doğru, diğer bilgisayarda aşağıdan yukarıya doğru gerçekleşir.
dosya sunucusu uygun cevabı formülize ederek Mac’e gönderir.
Şekil 1.11: Paketler protokol takımları arasında dolaştıkça, her bir katman gerekli kontrol bilgilerini
ekler ya da çıkartır.
11
12
Bölüm 1
Microsoft’un Network Bileşenleri ve OSI Modeli
OSI modelinin soyut bir kavram olmasından dolayı, OSI’nin genel yapısı çerçevesinde gerçek
dünyadaki network yazılım ve donanımlarının iyi anlaşılabileceğini söylemek zordur. Bu bölüm
aradaki bağlantıyı kolay anlaşılabilir hale getirecektir. Bu bölümde size Windows Server 2003’teki
spesifik protokolleri tanıtacağız ve bu protokollerin OSI modelindeki çeşitli katmanlarda nasıl uygulandığını göreceğiz.
Aygıt Sürücüleri ve OSI Modeli
Bilgisayardaki tüm donanım aygıtları çalışabilmek için yazılım tabanlı aygıt sürücülerine ihtiyaç
duyarlar. Bazı sürücüler – örneğin Integrated Device Electronics (IDE) harddisk veya klavye sürücüsü – işletim sistemi bünyesindedir. Diğer aygıtların sürücüleri, o aygıt sisteme takıldığında
ya da yüklendiğinde gereklidir. Windows Server 2003 yüzlerce farklı network kartı için sürücüler
içerir; fakat sizin kartınız listede yoksa kartın üreticisi tarafından sağlanan sürücüleri yüklemeniz
gerekir.
Önceleri (Örn. Windows 3.11 ortaya çıktığında), network sürücüleri hem işletim sistemi hem de
kart için üreticiye özeldi. Örneğin bir sunucuda aynı anda 3Com Ethernet kartı ve IBM Token Ring
kartını kullanmak çok zordu.
Daha da kötüsü, çoğu sürücü sadece tek bir protokol takımına ve tek bir karta özel oluyordu; bu
yüzden bir sunucu üzerinde TCP/IP kullanan iki network kartını kullanamıyordunuz.
Birçok üretici bu problemi çözmek için sürücü arabirimleri geliştirerek birden fazla kartın, birden
fazla protokolle kullanılmasını sağlamaya çalıştı. Apple ve Novell Open Datalink Interface (ODI)’i
geliştirdi ve Microsoft Network Driver Interface Specification (NDIS) ile ilgilendi. O zamandan beri
Microsoft işletim sistemleri bir kartta çoklu protokol kullanımını ya da bir protokolün birden fazla
kartta kullanımını destekler.
Network kartları ve sürücüleri OSI’nin Data-Link katmanı ile ilgili servisleri sağlar. IEEE modeli,
Data-Link katmanını, Logical Link Control alt katmanı (LLC - yazılım sürücüleri ile ilgili) ve Media
Access Control Layer alt katmanı (MAC – network adaptörü ile ilgili) şeklinde ayırır. Sürücüleri üst
katmanlar ile kart arasında aracı, kart donanımını da paketlerin biçimlendirilmesi ve bir kabloya
aktarılması ile alakalı olduğunu düşünebilirsiniz.
Network Protokollerinin Temelleri
Protokoller iki nesnenin (insanlar, bilgisayarlar, ev aletleri v.s) bilgi alışverişi yapabilmesi için ortak
kabul görmüş kurallar topluluğundan farklı bir şey değildirler. OSI modelinin çeşitli seviyelerinde
protokoller vardır. Doğrusu, OSI modeli her bir seviyenin fonksiyonlarını yerine getiren o seviyeye
özgü protokoller kümesidir. OSI modelindeki bir ya da birden fazla katmana fonksiyon sağlamak
için beraber çalışan protokollere, protokol takımı ya da protokol suit adı verilir. Sonraki bölüm
network protokollerinin makineler arasında veri transferini nasıl yaptıklarını açıklamaktadır.
Protokoller Nasıl Çalışır?
Bir protokol iki ya da daha fazla grup için önceden tanımlanmış ya da üzerinde mutabık olunmuş
basit adımlar ve standartlar topluluğudur. Örneğin telefon görüşmesi, yazılı olmayan fakat geniş
anlamda kabul görmüş bir standarttır. Bir kişi telefon görüşmesi yapmak istediğinde karşı tarafın
numarasını çevirir. Karşı taraftaki kişi telefonu “Alo” diyerek cevaplar, arayan kişi de benzer şekilde yanıtlar. Sohbet bu şekilde başlar. Sohbet bittiği sırada (genellikle) her iki taraf “Hoşçakal” gibi
bir sözcük ile bu durumu karşı tarafa iletir. Telefon görüşmesi “Alo” ve “Hoşçakal” sözcüklerinden
oluşan rutin bir protokole dönüşür.
Bilgisayarların gerçek dünyasında bir protokol benzer konsepti takip eder. Bir protokol her iki bilgisayarlar tarafından da doğru dizilişte gerçekleştirilen önceden tanımlanmış standartlar kümesidir.
Örneğin, bir bilgisayarın diğer bir bilgisayara mesaj göndermesi için, mesajı gönderen bilgisayarın
gerçekleştirmesi gereken adımlar genel olarak aşağıdaki gibidir:
Windows Server 2003 Network’ünü Anlamak
1. Veriyi daha küçük paketlere (veya bulunduğu katmana göre segment, frame v.s) bölmek.
2. Pakete adres bilgisini koyarak alıcı bilgisayarı tanımlamak.
3. Verinin network’te iletimi için veriyi network kartına iletmek.
Alıcı bilgisayar şu adımları gerçekleştirmelidir:
1. Network adaptöründen gelen veriyi kabul etmek.
2. Gönderen bilgisayar tarafından eklenmiş olan iletişim bilgilerini çıkarmak.
3. Veri paketlerini tekrar bir araya getirerek orijinal mesajı oluşturmak.
Verinin hedefe ulaşabilmesi ve doğru bir şekilde tekrar bir araya getirilebilmesi için her bir bilgisayar aynı adımları, aynı şekilde ve düzgün sırada gerçekleştirmelidir. Bilgisayarlardan biri farklı
adımlara sahip bir protokolü kullanırsa hatta aynı adımları farklı parametrelerle (örnek olarak farklı
sıralama, zamanlama ya da hata düzeltimi) gerçekleştirirse bu iki bilgisayar birbirleriyle haberleşemezler.
Network Paketleri
Ethernet network’leri IP koşar ve transport protokolü olarak TCP kullanarak paket adı verilen
küçük veri parçalarını gönderip alır. Network protokolleri bu paketleri, gönderici bilgisayarında
protokol takımına gönderirken, network üzerinde dolaştırırken alıcı tarafında oluşturur, değiştirir
ve yeniden monte eder. Bir IP paketi şu bileşenlere sahiptir:

Veriyi gönderen bilgisayarı belirten kaynak adres

Verinin gönderildiği bilgisayarı belirten hedef adres

Bilgisayara verinin nasıl gönderileceğini anlatan talimatlar

Yeniden kurma bilgisi (paket daha büyük bir mesajın parçası ise)

Uzaktaki bilgisayara gönderilecek veri (genelde paket payload olarak adlandırılır)

Verinin bozulmamış olarak karşı tarafa ulaştığından emin olmak için hata denetimi bilgisi
Bu bileşenler daha büyük parçalar içerisinde toplanır; her bir paket (burada listelenen ve Şekil
1.12’de görülen) üç farklı parçadan oluşur ve bu her bir parça da daha önceden bahsi geçen
bileşenleri içerir.
Header (Başlık): Tipik olarak bir header, tanımlayıcı bilgi, kaynak ve hedef adresler ve protokole
özgü diğer seçenekleri içerir.
Data (Veri): Gönderilmek istenen asıl veri.
Trailer: Trailer’in içeriği, farklı network tipleri için değişiklik göstermekle birlikte tipik olarak CRC
bilgisini içerir. CRC, bir paketin iletişim sırasında bozulup bozulmadığını anlamaya yardımcı
olur.
Şekil 1.12: Bir paket, header, veri ve trailer içerir.
Protokoller ve Bind İşlemi
Birçok farklı protokol takımı network fonksiyonlarını yerine getirir ve birçok farklı tipteki network
kartı bir bilgisayara monte edilebilir. Bir bilgisayar birden fazla karta sahip olabileceği gibi, birden
fazla protokol takımını aynı anda kullanıyor da olabilir.
13
14
Bölüm 1
Bind etme, protokol takımı ile network interface kartının network aygıt sürücüleri arasında bağ
oluşturma işlemidir. Çeşitli protokoller aynı karta bind edilebilir. Örneğin TCP/IP ve AppleTalk
aynı Ethernet adaptörüne bind edilebilir. Buna ek olarak, birden fazla interface adaptörüne sahip
bir bilgisayar – örneğin hem yerel network’le hem de network omurgasıyla iletişim kurmak durumunda olan bir sunucu – aynı protokolün bind edildiği iki ya da daha fazla sayıda network kartına
sahip olabilir.
Bind işlemi, OSI katmanları boyunca bir protokol takımı ile bir diğeri arasında bağ kurma amacıyla kullanılabilir. Aygıt sürücüleri (Data-Link katmanında çalışan) ile network kartları (Physical
katmanda çalışan) bind edilir. TCP/IP ve NWLink Session katmanı da aygıt sürücülerine bind
edilebilir.
Windows Server 2003 için bind işlemi özellikle önemlidir. Çünkü sıklıkla bir network’te ihtiyaç
duymadığınız protokolleri unbind etmek isteyeceksiniz. Örneğin, bir web sunucunun Internet bağlantısının olduğu network kartından NWLink protokolünün unbind edilmesi sıklıkla uygulanır.
Bağlantıları Belirlemek
Bilgisayarlar arasındaki iletişim iki yolla düzenlenebilir; bağlantıdan bağımsız ve bağlantı tabanlı
protokoller. Farklı Windows Server 2003 servisleri farklı bağlantı türlerini kullanabildikleri için, bu
iki bağlantı türü arasındaki farkı anlamak önemlidir.
Bağlantıdan Bağımsız Protokoller
Bağlantıdan bağımsız protokolden bahsetmek garip gelebilir; fakat bu tür protokollerden en az
ikisini hemen her gün kullanırsınız: radyo ve televizyon. Bağlantıdan bağımsız protokoller, paketlerin doğru sırada teslim edilmesini garanti etmez. Pencerenizden yoldan geçmekte olan bir kişiye
seslendiğinizi düşünün. Bu kişinin sizi duyması garanti değildir; fakat hızlı ve kolaydır. İyimser
bir varsayımla bu bağlantı türünün protokol üzerine getirdiği ek bir yük söz konusu değildir. Bu
yüzden daha hızlı olmaya yatkındır. IP protokol suitinin bir parçası olan User Datagram Protokol
(UDP) örnek bir bağlantı temelsiz Internet Transport protokolüdür. Aslında IP’nin kendisi bağlantı
temelsiz bir protokoldür ve TCP gibi üst katmanların sağladığı bağlantıya dayanır.
Bağlantı Temelli Protokoller
Bağlantı temelli sistemler telefonunuz gibi çalışır. Mesaj göndermeden önce telefon numarasını
çevirip karşı tarafla bir bağlantı kurmanız gerekir. Bağlantı temelli protokoller kötümser bir yaklaşımla bazı verilerin network’te kaybolabileceği ya da düzensiz olarak iletilebileceğini varsayar. Bu
protokol transfer işleminin hedefine, uygun sırada ve tamamıyla ulaşacağını garanti eder. Bunu
gerçekleştirmek için, bağlantı temelli protokoller verinin güvenli bir şekilde ve gerektiğinde yeniden gönderilmesi durumunu göz önünde bulundurur. Gereken veri uzaktaki uca ulaştıktan sonra
uygun sırada yeniden birleştirilir ve üst katmanlara pas edilir. Bu demek oluyor ki, bazı uygulamalar verinin tamamıyla gönderildiği şekilde teslim edilmesini garanti etmek için bağlantı temelli
Transport protokolüne ihtiyaç duyarlar. Transmission Control Protocol (TCP), güvenilir bağlantı
temelli Internet protokolüne bir örnektir. Frame Relay ise güvensiz bağlantı temelli protokole bir
örnektir.
Güvensiz protokol paketlerin kaybolmasında ya da hatalı ulaşmasında verinin yeniden gönderilmesini desteklemez. Örneğin DNS, bağlantı temelsiz bir protocol olan UDP kullanır.
Verinin teslim edilememesinin pek de muhtemel olmadığı yerel sistemler için, verinin sıralanması
ve üst katman protokollerine iletilmesinin garanti edilmesi pek de etkin bir yöntem olarak düşünülmez, çünkü bu aktiviteler sıklıkla kullanılmaz. Fakat Wide Area Network’lerde, hangi verinin
gönderildiği, hangi verinin kaybolduğu ile ilgilenmek üst katman protokolleri için oldukça zaman
alır. Bu yüzden Transport protokolleri basit bir şekilde tüm verinin düzgün bir sıra dahilinde iletimi
için bir önlemdir.
Windows Server 2003 Network’ünü Anlamak
Network Protokolleri ve Windows Server 2003
Şimdiye kadar Windows Server 2003 için geçerli olmayabilecek gibi görünen birçok soyut materyal okudunuz. Şimdi size, Windows Server 2003’ün network protokollerini, bu noktaya kadar
okuduğunuz modellerle her bir protokolün nasıl uygun olduğunu göstereceğiz.
Günümüz network’lerinde birçok protokol takımı kullanılır. NetWare, AppleTalk, NetBIOS ve TCP/
IP’nin yanı sıra IBM’in System Network Architecture (SNA), Digital’in (şimdi HP/Compaq) DECnet
ve diğer protokoller gibi bir grup özel protokoller de vardır. Bu protokoller gerçekte OSI modelinin
farklı katmanlarında çalışmalarına rağmen aşağıdaki listede ve Şekil 1.13’te görüldüğü gibi üç
farklı grup içine denk gelirler.

Application protokolleri uygulamalar arasındaki etkileşimi ve veri değişimini gerçekler.

Transport protokolleri bilgisayarlar arasında bağlantı oturumları kurar.

Network protokolleri, yönlendirme, adresleme, hata denetimi ve yeniden veri gönderimi talepleri gibi konularla ilgilenir.
Microsoft networking ürünleri, herbiri farklı öngereksinimlere sahip farklı ölçekteki network’leri
hedefleyen üç network transportu – NWLink IPX/SPX, AppleTalk, ve TCP/IP – ile gelir. Herbir
transport protokolünün farklı güçlü ve zayıflıkları vardır. NWLink orta ölçekteki network’ler için ya
da Novel Netware dosya sunucularına erişmeyi gerektiren network’ler için düşünülmüştür. AppleTalk birincil olarak Macintosh bilgisayarlar (burada tartışmak için oldukça farklı – uzman bir konu)
için kullanılır. TCP/IP, Internet gibi oldukça geniş ölçekteki network’ler için uygun bir protokoldür.
Microsoft her şeyi TCP/IP ile uyumlu
Windows Server 2003 geçerliliğini yitirmiş olan NetBEUI protokol desolacak şekilde yapar. Active Directory
teğini içermez. NetBEUI yönlendirilebilir bir protokol değildi ve Microkullanımı için TCP/IP bir öngereksisoft için bu protokol kurumsal ölçekli network’ler için uygun değildir.
nimdir ve Windows Server 2003 için
varsayılan protokol’dür.
NWLink
NWLink IPX/SPX, Novel Netware’de kullanılan Novel
IPX/SPX protokol takımının Microsoft uygulamasıdır.
Gerçekte NWLink IPX/SPX’in, Windows için IPX’ten fazlası olduğunu söylemek doğru olur.
NWLink IPX Windows Server 2003’e, Windows Server
2003’lerin Novel NetWare sunucu ve istemcilerle birbirine bağlanabilmesi için eklenmiştir. Böylece, Microsoft
istemci ve sunucular var olan network alt yapısına dahil
edilebilirler, platformlar arasında migration’ı oldukça kolaylaştırır ve bir network standardından bir diğerine geçişte komple değişim ihtiyacının önüne geçer.
NWLink IPX/SPX’in avantajları şu şekildedir:

Kurulumu ve yönetimi kolaydır.

Yönlendirilebilir bir protokoldür.

NetWare sunucu ve istemcilerine bağlanmak kolaydır.
Şekil 1.13: OSI protokol takımı, katmanları üç yeni
kategori dahilinde gruplandırılacak şekilde sadeleştirilebilir.
Bununla birlikte, NWLink IPX/SPX bazı dezavantajlara da sahiptir:

NWLink IPX/SPX ile diğer organizasyonlarla trafik değişimi yapmak zordur.

Windows Server 2003’te kısıtlı bir desteğe sahiptir.

Standart network yönetim protokollerini desteklemez.
15
16
Bölüm 1
Tam olarak geniş network’lerde (birçok organizasyonu birbirine bağlayan) NWLink IPX/SPX kullanımı zordur, çünkü iki network’ün aynı adres numaralarını kullanmamasını sağlayan (TCP/IP’de
olduğu gibi) etkin bir merkezi IPX adresleme şeması yoktur. IPX, TCP/IP için mevcut olan kapsamlı network yönetim araçlarını desteklemez.
TCP/IP
TCP/IP gerçekte iki protokol kümesinin toplamıdır: Transmission Control Protocol (TCP) ve Internet Protocol (IP). TCP/IP, Department of Defense’s Advanced Research Projects Agency (ARPA,
önceleri DARPA) tarafından 1969 yılında geliştirilmeye başlanan bir protokol takımıdır. Başlarda
nükleer savaş ortamında bile iletişimin devam ettirilebilmesi amacıyla gerçekleştirildi. Bu dizaynın
amacı hiç bir zaman test edilmedi; fakat bu dizaynın genel görünümü günümüzde internet adını
verdiğimiz dağıtık yapıya yol göstermiştir.
IP Internet’in protokolüdür ve birbirine bağlanan bilgisayarlar için en geniş çapta kullanım alanına sahip protokoldür. ARPA IP’yi askeri network’leri birbirine bağlamak için geliştirmesine rağmen, devlet kurumları ve üniversiteler için ücretsiz bir protokol standartı sağladı. Akademik dünya
network’lerini sağlam bir protokolle birbirine bağlama şansına erişti ve Internet bu şekilde doğdu.
Birçok organizasyon ve işbirliği içerisindeki kişiler
Windows’ta ve bu kitap boyunca genel olarak TCP/
daha üst katman protokolleri geliştirdiler. Haber grupIP şeklinde ima edilen TCP/IP ya da IP protokol taları, e-posta transferi, dosya transferi, remote booting
kımıdır, Transport katmanı protokolü değildir.
ve doküman tarayıcı.
IP, hızlı ve geniş çapta benimsenmesinden dolayı birçok network için kullanılan bir protokoldür.
IP, birçok network’te birden fazla metropolitan area network’ün birleştirilmesi veya Internet’e bağlanmasında kullanılır.
IP, bazı önemli avantajlara sahiptir:

Bütün farklı bilgisayarlar ve sunucular arasında ve direkt olarak Internet’e erişimi de kapsayan
geniş çapta bağlanabilirlik.

Esnek yönlendirme protokollerini kullanarak yönlendirme için güçlü destek (daha fazlası için
Bölüm 9’a bakın).

Gelişmiş (bu kitabın sonraki kısımlarında ayrıntılı olarak incelenecek olan) isim ve adres çözünürlüğü hizmet desteği: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) ve Windows Internet Name Service (WINS).

E-posta iletişimi, web sayfalarında dolaşma ve dosya yazıcı paylaşımı gibi standart Internet
protokollerine destek.

Organizasyon ağları arasında iletişimi kolaylaştırmak amacıyla network numaraları ve isim
atamalarının merkezileştirilmesi.
IP bazı dezavantajlara da sahiptir.

IPX’e göre kurulumu daha zordur.

Yönlendirme ve bağlanabilirlik özellikleri nispeten ek yük getirir.

IPX’den daha yavaştır.
Bu dezavantajları olmasına rağmen, Windows Server 2003’de tüm network servisleri için esas
protokoldür. Gerçekte bu kitabın büyük bir bölümü TCP/IP ve bağlantılı servisleri üzerinde yoğunlaşır.
TCP (ve UDP), veri paketlerini uygun uygulama işlemine iletmek için, Internet Assigned Numbers
Authority (IANA) tarafından atanan port numaralarına dayanır. Port numaraları, mesajın header
kısmında yer alıp paketin ilişkilendirilmiş uygulama yazılımı işlemini tanımlayan 16-bit’lik tam sayılardır.
Windows Server 2003 Network’ünü Anlamak
Örnek olarak bir istemci aynı anda açık olan bir Internet Explorer ve bir de Outlook Express uygulamasını çalıştırıyor olsun. Her iki uygulama da Internet üzerinden e-posta ve web sayfalarını getirmek için sırasıyla TCP istekleri gönderirler. Bilgisayar gelen hangi paketin Internet Explorer’a,
hangi paketin Outlook Express’e iletileceğini nasıl bilir? Bir istemci bağlantı kurarken 1024 ile
65535 arasında (1 ile 65535 arasında olabilirdi) bir kaynak portu seçer. Bu kaynak port’u, hedefteki 80 veya 110 numaralı port ile haberleşir. Internet Explorer için yönlendirilmiş her paket
header’ında 80 ve Outlook Express için yönlendirilmiş her paket 110 kaynak port numaralarına
sahiptir.
Tablo 1.1, sınav için de bilmeniz gerekebilecek, sıklıkla kullanılan port numaralarını içerir. Ayrıca
www.iana.org web sitesini ziyaret ederek geçerli tüm port numaralarının listesine ulaşabilirsiniz.
Bir firewall üzerinde spesifik protokollere ait port numaralarına izin verilebilir ya da bloklanabilir.
Sadece 80 numaralı port’a izin vermek ile tüm web trafiğine izin vermiş olmazsınız. Aynı zamanda
secure web trafiği için 443 numaralı port’a da izin vermelisiniz.
Tablo 1.1: Sıklıkla Kullanılan Port Numaraları
Port Numaraları
Açıklama
20
File Transfer Protocol (FTP) data
21
File Transfer Protocol (FTP) control
23
Telnet
25
Simple Mail Transfer Protocol (SMTP)
53
Domain Name System (DNS)
80
Hypertext Transfer Protocol (HTTP), Web
88
Kerberos
110
Post Office Protocol v3 (POP3)
443
Secure HTTP (HTTPS)
Gerçek Dünya Senaryosu
Port’lar
Bazı servisler için port numaralarının sık kullanılan port numaraları olması o servis için mutlaka
o numara üzerinden hizmet vermek zorunda olduğu anlamına gelmez. Teknik olarak herhangi
bir servisin herhangi bir port üzerinden hizmet vermesi mümkün olmasına rağmen bunu yapmak
genellikle iyi bir fikir değildir. Örneğin, eğer web sunucunuz TCP 25 numaralı port üzerinden
hizmet verseydi, müşterileriniz bu web sitenize ulaşmak için web tarayıcılarında www.example.
com:25 şeklinde yazmaları gerekecekti.
Gerçek Dünya Senaryosu
OSI Modelini Anlamak ve Sorun Gidermek
Çalıştığınız firma ülke çapında yayılmış birçok bölgesel ofislere sahip. Sizin göreviniz Windows
Server 2003 network’ünde üretim, envanter ve satış bilgilerinden oluşan kaynakların her an için
ulaşılabilir olmasını sağlamak. Eğer bölgesel ofislerdeki satış bilgileri, üretim ve envanter programları tarafından toplanamaz ve güncellenemez ise firma müşterilerine etkin bir şekilde tedarik
hizmeti sunamayacaktır. Network’deki kullanıcılar işin teknik boyutuyla ayrıntılı olarak ilgilenmezler; fakat sistem çöktüğünde bundan etkileneceklerdir. Aynı zamanda MCSE için çalışıyor
ve OSI Modeli’nin soyut yapısının sizin işinizle nasıl bir ilgisi olduğunu merak ediyorsunuz. Bir
kullanıcıdan, yönetim kurulu toplantısının yapıldığı başka bir bölgedeki Windows Server 2003
sunucusuna bağlı bir yazıcıya bağlanamadığını öğreniyorsunuz. Kullanıcı bu sorunu çözmenizi
bekliyor ve siz bütün işinizi bırakıp bu probleme bakıyorsunuz.OSI modeli ile probleme yaklaşımınız katmanların fonksiyonelliği açısından olacaktır. Router’ınıza ping atıyorsunuz ve router’ın
çalıştığını görüyorsunuz. Artık Physical, Data-Link ve Network katmanlarının düzgün çalıştığını
17
18
Bölüm 1
anlıyor kablo ve basit protokol problemlerini elimine etmiş oluyorsunuz. Aynı web tarayıcı yazılımınızın düzgün çalıştığını görüyorsunuz, çünkü rastgele web sayfalarına ulaşabiliyorsunuz.
Yazıcıyı host eden Windows Server 2003 makinesini ismiyle ping ettiğinizde “Request Time
Out” mesajı alıyorsunuz. Fakat aynı bilgisayarı IP adresi ile ping ettiğinizde bağlantının sağlıklı
olduğunu gösteren cevap size bir isim çözümleme probleminizin olduğunu gösterir. Net use
komutunu kullanarak IP adresiyle yazıcıya bağlanıp WINS server‘ınıza göz atmaya başlıyorsunuz.
Sorun çözme taktiklerinizi OSI katmanlarına göre uyarlamak, problemin OSI’nin hangi katmanında gözüktüğüne bağlı olarak, problemin nerede olduğu ve hangi servislere bakılacağı konusunda size daha iyi fikir verecektir. OSI modeli oldukça soyut bir kavram olmasına rağmen
uygun bir şekilde tatbik edildiğinde size tüm network’ünüz hakkında bir yapısal düşünce sistemi
verir ve sistemli bir sorun çözme taktiği sağlar.
IP Adreslemesini Anlamak
IP adreslemesini anlamak, IP’nin nasıl çalıştığını anlamak açısından kritiktir. IP adresi, bir IP
network’ünde her bir makineye atanan sayısal bir tanımlayıcıdır. IP, o aygıtın bulunduğu network
lokasyonuna işaret eder. Bu adres network kartı üzerinde ya da donanımsal olarak makinaya
özgü bir adres değil, bir çeşit mantıksal adres tipidir.
Konunun kalan kısmı için ikili sayı sistemi
ve matematiksel işlemler yönünden bir sıkıntınız olmadığını varsayacağız.
Sonraki bölümde, IP adreslerinin bir network’de her bir
makineyi eşsiz olarak tanımlamada nasıl kullanılacağını
göreceksiniz.
Hiyerarşik IP Adresleme Şeması
Bir IP adresi 32 bit’lik bilgiden meydana gelir. Bu bit’ler, 1’er byte’tan (8 bit) oluşan dört bölüme
(octet ya da quad olarak da adlandırılır) ayrılmıştır. Bir IP adresini göstermek için üç genel metot
vardır.

Dotted-decimal, 130.57.30.56 gibi

Binary, 10000010.00111001.00011110.00111000 gibi

Hexadecimal, 82 39 1E 38 gibi
Tüm bu örnekler aynı IP adresini işaret eder.
Bu 32-bit IP adresleme, yapısal, hiyerarşik adresleme yapısıdır. Flat adresleme hiyerarşik adreslemeden farklıdır. IP, flat veya hiyerarşik olmayan adresleme yapısını da kullanabileceği gibi,
tasarımcıları daha sonra göreceğimiz bir nedenden dolayı hiyerarşik adresleme yapısını seçmişlerdir.
Bu iki tip adresleme yapısı arasındaki fark nedir? Flat adres yapısına güzel bir örnek sürücü
ehliyet numarasıdır. Bu numara anlamlı alt parçalara (ikamet edilen ülke, verilme tarihi gibi) bölebileceğimiz bir yapıda değildir. Eğer bu metot IP için kullanılmış olsaydı, Internet üzerindeki her
bilgisayarın, aynen ehliyet numaraları gibi tamamıyla eşsiz bir numaraya sahip olması gerekirdi.
Bu adresleme yapısı ile çok geniş bir adres havuzunu (yaklaşık olarak 4.3 milyar – 32-bit’lik yapıda, her bitin 0 ve 1 olma durumu ile 232 bir adres havuzu) kullanabilir. Kötü haber ve IP’de flat
adresleme yapısının kullanılmamasının ana nedeni, yönlendirmedir. Eğer tüm adresler tamamıyla eşsiz birer numara olsalardı, Internet üzerindeki tüm router’lar Internet üzerindeki tüm diğer
router’ların ve makinelerin adreslerini depolamaya ihtiyaç duyacaktı. Bu da muhtemel adreslerin
küçük bir bölümü için bile etkin yönlendirme işlemini imkansız hale getirecekti.
Bu sorunu çözmek için, adres havuzunu düzenli - anlamlı küçük parçalara ayıran bir hiyerarşik
adresleme yapısı kullanılır. Telefon numaraları bu tip bir adreslemeye güzel bir örnektir. Telefon
numarasının ilk bölümü geniş bir alan için ayrılmış alan kodudur. Alan kodunun ardından yerel
santralin kapsamını daraltan ön ek gelir. Adresin son segmenti ise müşteri numarasıdır. 212-
Windows Server 2003 Network’ünü Anlamak
227-xxx gibi bir numara bakarak, bu numaranın İstanbul (alan kodu 212) Beşiktaş’ta olduğunu
anlayabilirsiniz.
IP adresleme yapısı aynı şekilde çalışır. 32-bit’lik adresin tamamını unique bir adres olarak ele
almak yerine, IP adresinin bir bölümünü network adresi (network ID), diğer bölümünü node adresi
(host ID) olarak hiyerarşik bir yapıda ele alır. Network adresi her network’ü benzersiz bir şekilde
tanımlar. Bir network’teki tüm makineler, sahip oldukları IP adresinin bir parçası olan aynı network
adresini paylaşırlar, tıpkı aynı sokaktaki tüm ev adreslerinin aynı sokak ismine sahip olması gibi.
Örneğin, 130.57.30.56 IP adresi için 130.57 network adresidir.
Node adresi ise, network’teki tüm makineler için unique olarak tanımlanmış bir numaradır, tıpkı
aynı sokaktaki tüm evlerin numaralarının farklı olması gibi. IP adresinin bu bölümü unique olmalıdır; çünkü tek bir makineyi tanımlamaktadır. 130.57.30.56 IP adresi için .30.56 node adresidir.
Node adresi, network adresi ile birlikte ağlararasında spesifik bir aygıtı işaret eder.
Internet’i tasarlayanlar, network büyüklüklerine göre sınıflar oluşturmuşlardır. Çok fazla sayıda
node’a sahip olan az sayıda network için Class A network sınıfını oluşturdular. Az sayıda node’a
sahip olan çok fazla sayıda network için Class C network sınıfını oluşturdular. Tahmin edileceği
gibi çok geniş ya da çok küçük network’ler arasında Class B network’ler vardır. Network’ünüzün
hangi Class yapısına sahip olduğu, IP adresinin, network adresi ve node adresi şeklinde iki bölüme ayrılmasına karar verir. Bununla birlikte Classless Inter-Domain Routing (CIDR) bu classfull
tasarımını etkin bir şekilde ortadan kaldırmaktadır. IP adresleme yapısını anlayabilmek için Classfull tasarımın arkasındaki anlamı kavramanız gerekecektir. Bununla birlikte IP adresleme yapısı
ile çalışırken CIDR’i anlamak daha önemlidir. Tablo 1.2 daha sonra detaylı olarak inceleyeceğimiz üç network sınıfının özetini içerir.
Tablo 1.2: Network Adres Sınıfları
Sınıf
Mask
Bit’leri
Başlangıç
Bit’leri
IP adresinin
ilk oktedinin
aralığı
Network’ler
Her bir
network’teki max
node sayısı
A
8
0
1-126
126
16,777,214
B
16
10
128-191
16,384
65,534
C
24
110
192-223
2,097,152
254
Tasarımcılar, etkin bir yönlendirme amacıyla, her bir network sınıfı için başlangıç bit’leri bölümü tanımlamışlardır. Router, bir A sınıfı adresin 0 bitiyle başladığını bildiğinden, eğer gerekliyse
adresin sadece ilk bit’ini okuduktan sonra default mask’ı hızlı bir şekilde uygular. Tablo 1.2 başlangıç bit’lerinin ne şekilde tanımlandığını gösterir. Network ve host adreslerini maskelerken kaç
bit’in maskeleneceğini göz önünde bulundurmak önemlidir. Örneğin, bir A sınıfı network’te 8 bit
maskelenir varsayılan subnet mask 255.0.0.0 olur. C sınıfı bir network’te 24 bit maskelenir ve
varsayılan subnet mask 255.255.255.0 olacaktır.
Bazı IP adresleri özel amaçlar için rezervedir ve network yöneticileri tarafından node’lara atanmamalıdır. Tablo 1.3 bazı rezerve edilmiş IP adreslerini listelemektedir. Diğerleri için RFC 3330’a
bakınız.
19
20
Bölüm 1
Tablo 1.3: Özel Network Adresleri
Adres
Fonksiyonu
Tüm bit’lerinin 0 olduğu IP
adresi
Maskeye bağlı olarak (network ya da bunun bir alt network’ü) bu
network ya da bu network üzerindeki bu host
Yönlendirme tablosundaki, tüm
bit’lerinin 0 olduğu IP adresi ve
maskesi girdisi
Default gateway adresi olarak kullanılır. Tüm bit’lerinin 0 ile
maskelendiği herhangi bir hedef adres yine tüm bit’lerinin 0 olduğu
bir referans adresi üretir. Maske herhangi bir 1 bit’i içermediğinden
arzu edilen bir girdi değildir; fakat diğer girdiler uyuşmadığında
kullanılır.
127 Network adresi
Loopback testi için rezervedir. Lokal node’u işaret eder ve herhangi
bir network trafiği yaratmadan o noda test paketleri göndermeye izin
verir.
Tüm bit’leri 0 olan node adresi
Bir network’deki herhangi bir node’u kastetmeden, o network’e
referans vermek için genelde yönlendirme tablolarında kullanılır.
Tüm bit’leri 1 olan node adresi
O network için broadcast adresi. Örneğin 128.2.255.255 128.2 B
sınıfı network’ünde tüm node’ları işaret eder. Bu broadcast mesajını
yönlendirmek bazı router’larda yapılandırılabilir.
169.254.0.0 – 255.255.0.0
Single link’te aygıtlar arasında otomatik yapılandırma ve iletişim için
kullanılır. Router’lar üzerinden iletişim gerçekleşemez. Microsoft bu
yapıyı Automatic Private IP Addressing (APIPA) için kullanır.
Tüm bit’lerinin 1 olduğu IP
adresi (255.255.255.255 gibi)
O network’teki tüm node’lar için broadcast. Bazen “limited
broadcast” olarak adlandırılır. Bu broadcast yönlendirilebilir değildir.
10.0.0.0/8
172.16.0.0 – 172.31.255.255
192.168.0.0/16
A, B ve C sınıfları için RFC 1918’de tanımlanmış özel kullanım
bloklarıdır. Bu bloklardaki adresler direkt olarak internete izinli
değildirler. NAT sunucuların arkasında ya da Internet bağlantısı
olmayan internetwork’lerde kullanılabilir.
Devam eden bölümlerde, üç farklı network tipine bakacağız.
A Sınıfı Network’ler
A sınıfı network’de ilk byte network adresini, kalan üç byte node adresleri olarak kullanılır. A sınıfı
adres formatı Network.Node.Node.Node şeklindedir.
Örneğin 49.22.102.70 IP adresi için 49 network adresi ve 22.102.70 node adresidir. Bu network’deki
her makinenin 49’dan farklı bir network adresine sahip olması gerekmesine rağmen yine de o
network için çok fazla sayıda makineye sahip olabilirsiniz.
A sınıfı için network adresi 1 byte uzunluğundadır, bunun ilk 1 bit’i rezervedir ve böylece geriye
kullanmak için 7 bit kalır. Bu da oluşturulabilecek A sınıfı network sayısının en fazla 128 olabileği
anlamına gelir. Neden? Kullanılabilen 7 bit’in her biri 0 ya da 1 olabilir, bu da size toplamda 27
(128) alternatif verir. Buna ilave olarak network adresinin tüm bit’lerinin 0 olduğu adres (0000
0000) rezervedir. Bu da kullanılabilir A sınıfı network adresi sayısının 127 (128 – 1) olduğu anlamına gelir. Aslında bir tane daha rezerve edilmiş adres daha vardır 127 (0111 1111). Rezerve
edilen iki adresten dolayı, size geriye 126 adet makul A sınıfı network adresi kalır.
Her A sınıfı network, bir makinenin node adresi için 3 byte (24 bit pozisyonu)’a sahiptir. Bu da
224 (16,777,216) kombinasyona sahip olunduğu anlamına gelir. Tüm bitlerinin 0 ya da 1 olması
durumu rezerve edildiğinden kullanılabilir node sayısı 224 – 2 yani 16,777,214’tür.
B Sınıfı Network’ler
B sınıfı network’te ilk 2 byte network adresleri için atanır ve kalan iki byte node adresleri için kullanılır. Formatı Network.Network.Node.Node’dur.
Örneğin 130.57.30.56 IP numarası için network adresi 130.57, node adresi 30.56’dır.
Windows Server 2003 Network’ünü Anlamak
Network adresi 2 byte’dır. Böyle 216 kombinasyon olabilecektir. Fakat Internet’i tasarlayanlar tüm
B sınıfı network’lerin 10 binary digit’leriyle başlaması gerektiğine karar verdiler. Bu, geriye kullanılabilir 14 bit pozisyonu bırakır, bu yüzden 16,384 (214) B sınıfı network vardır.
B sınıfı network’lerin 10 binary digit’leriyle başlaması bu network’leri tanımak için size kolay bir yol
sağlar. B sınıfı bir IP adresinin ilk oktetinin ilk 2 biti 10 (decimal olarak adres aralığı 128’den 191’e
kadar) olduğu için sadece ilk byte’ına bakarak bu adresin bir B sınıfı adres olduğunu kolaylıkla
görebilirsiniz.
Bir B sınıfı network node adresleri için 2 byte içerir. B sınıfı bir network için, 216 – 2 (rezerve edilmiş – tümünün 1 ya da 0 olduğu – adresler) yani 65,534 node adresi vardır.
C Sınıfı Network’ler
Bir C sınıfı network’ün ilk 3 byte’ı network kısmına, geriye kalan 1 byte’ı node’lara ayrılmıştır.
Formatı Network.Network.Network.Node şeklindedir.
198.21.74.102 IP adresi için, network adresi 198.21.74 ve node adresi 102’dir.
Bir C sınıfı network’de ilk 3 bit pozisyonu her zaman 110 şeklindedir. Hesaplama şu şekildedir: 3
byte, 24 bit – 3 (rezerve edilen 110 için) 21 pozisyon. Bu nedenle 221 yani 2,097,152 muhtemel C
sınıfı network vardır.
C sınıfı bir IP’nin ilk üç biti 110 (decimal karşılığı 192 – 223’tür)’dur. 2,097,152 muhtemel C sınıfı
network mevcuttur. Bir IP adresinin ilk byte’ı 192 ile 223 arasında ise, sonraki byte’larına bakmadan bu IP’nin bir C sınıfı IP olduğunu kolaylıkla görebilirsiniz.
Her C sınıfı network, node’ları adreslemek için 1 byte’a sahiptir. O halde her
bir C sınıfı network için 28 – 2 (rezerve
edilen adresler için) 254 node adresi bulunur.
D sınıfı network’ler 224.0.0.0’dan 239.255.255.255 aralığında multicasting amacıyla kullanılır. Muticasting, broadcast gibi aynı anda
fakat sadece hedef bilgisayarlara veri göndermek için kullanılır.
Bir Network’ü Subnet’lere Ayırmak
Eğer bir organizasyon çok büyük ve çok sayıda bilgisayara sahipse ya da bilgisayarları coğrafi olarak dağılmışlarsa, bu büyük network’ü birbirlerine router’lar aracılığıyla bağlanan küçük network’lere ayırmak akıllıca olur. Bu küçük network’ler subnet (alt ağ) olarak adlandırılır.
Subnet’leri kullanmanın faydaları şu şekildedir:
Network Trafiğini Azaltır: Router’lar olmadan, paketler tüm network içerisinde boğulabilirdi.
Trafiğin çoğu yerel network içerisinde kalır, sadece diğer network’lere gönderilecek paketler
router’lar aracılığıyla diğer network’lere iletilir. Bu sayede azalacak olan trafik aynı zamanda tüm
performansı da artırır.
Yönetimin Kolaylaştırılması: Birbirlerine bağlanmış küçük network gruplarından oluşan bir
network’de network problemlerini teşhis etmek ve ayırmak, büyük bir network’dekinden daha
kolaydır.
IP protokolünün tasarımcıları sadece onlarca network ve yüzlerce host’tan oluşan küçük bir Internet tahayyül etmişlerdi. Onların adresleme şeması her bir fiziksel network için network adresi kullanırdı. Hayal edebileceğiniz gibi, bu şema ve Internet’in beklenmedik büyümesi bir takım
problemlere neden oldu.
Buna karşın, bir network adresi birçok fiziksel network’e referans vermek için kullanılabilir, fakat
bir organizasyon her bir fiziksel network’ü için ayrı bir network adresi isteyebilirdi. Eğer bu istekler
karşılanırsa, ortada yeterli adres sayısı kalmayabilirdi. Bir başka problem router’larla ilgilidir. Eğer
Internet’teki tüm router’lar tüm fiziksel network’lerle ilgili adres bilgilerini bilmek zorunda olsalar,
yönlendirme tabloları çok büyük olurdu. Bu tabloları muhafaza etmek için çok büyük bir yöne-
21
22
Bölüm 1
timsel efor ve router’lar için ağır bir fiziksel yük (CPU cycles, bellek, disk alanı v.s) getirecekti.
Router’lar, yönlendirme bilgilerini kendi aralarında değişirler, sonuç olarak aşırı derecede network
trafiği meydana gelirdi.
Bu probleme yaklaşımda birden fazla yol olmasına rağmen, başlıca çözüm (bu kitabın da kapsadığı) - subnetting’dir. Tahmin edebileceğiniz gibi, subnetting bir IP network’ünü daha küçük mantıksal network’lere bölme işlemidir. Bu işlem IP adresinin host için ayrılan kısmını tekrar bölerek
subnet adresler oluşturularak gerçekleştirilir. Gerçek alt bölümlere ayırma subnet mask kullanılarak gerçekleştirilir.
Sonraki bölümlerde, tam olarak subnetting işleminin nasıl hesaplanacağını ve uygulanacağını
göreceksiniz.
Subnetting Uygulamak
Subnetting uygulamadan önce, şu anki gereksinimlerinize karar vermeniz ve subnet şemanızı en
iyi şekilde uygulamak için plan yapmanız gerekir. Şu yönergeleri takip edin:

Gerekli network ID sayısını belirleyin: her subnet için bir adet ve her WAN bağlantısı için bir
adet.

Her bir subnet için gerekli host ID sayısını belirleyin: her TCP/IP aygıtı için bir adet, örneğin
bilgisayarlar, network yazıcıları ve router arabimleri için.
Bu iki noktayı esas alarak aşağıdakileri oluşturun:

Tüm network için bir subnet mask

Her bir fiziksel segment için unique subnet ID’leri

Her subnet için host ID aralıkları
Bir network adresine sahip bir organizasyon her bir ayrı fiziksel network’ü için subnet adrese
sahip olabilir. Şunu hatırlamak önemlidir ki her bir subnet hala paylaşılan network adresinin bir
parçasıdır buna ek olarak bulunduğu subnet’i gösteren bir tanımlayıcıya sahiptir. Bu tanımlayıcı
subnet olarak adlandırılır. Örneğin bir otel ya da bir ofis binasını düşünün. Otelin her bir katında
75 olmak üzere toplamda 1000 odasının olduğunu söyleyelim. İlk kattaki ilk odadan başlayarak
numaralandırma yaparsanız ikinci kattaki ilk odaya geldinizde numaranız 76’dır ve 1000. odaya
gelinceye kadar devam edersiniz. Şimdi herhangi birisi 521. oda için baktığında, odanın hangi
katta olduğunu yaklaşık olarak tahmin etmek zorunda kalacaktı. Eğer otel’de “subnet” yapsaydınız, ilk kattaki ilk odayı 101 (1=Kat ve 1=Oda) olarak, ikinci kattaki ilk odayı 201 (2=Kat, 1=Oda)
şeklinde tanımlayacaktınız. 521. Odaya bakan bir ziyaretçi 5. Kata gidip 21. Odaya bakacaktı.
Subnetting birçok adresleme problemini çözer. İlk olarak, sadece bir IP adresine ve birçok fiziksel
network’e sahip bir organizasyon bu durumun üstesinden subnet’ler oluşturarak gelebilir. İkincisi,
subnetting birden fazla fiziksel adresin bir grup içerisine dahil edilmesine izin verdiği için, yönlendirme tablosunda daha az girdilere ihtiyaç olacaktır bu da network trafiğini epeyce azaltır. Son
olarak tüm bunların bir araya gelmesiyle network’ün verimliliği büyük oranda geliştirilmiş olur.
Daha sonra, network’ünüzde subnetting’in özelliklerinden nasıl yararlanacağınızı göreceksiniz.
Subnetting Nasıl Uygulanır?
Subnetting, fiziksel network’teki her bir makineye bir subnet adresinin atanmasıyla gerçekleştirilir.
Örneğin, Şekil 1.14’de, Subnet 1’deki her bir makine 1 subnet adresine sahiptir.
Atanan adres havuzu kullanımının etkinliğini en üst düzeye çıkarmak için farklı network’lerdeki
makineler ortak bir network adresini paylaşırlar. Şekil 1.14’te göreceğiniz üzere Widget Inc.’ın makinelerinin hepsi 130.57 network adresine sahiptir. Bu ilke sabittir. Subnetting’de host adresi ile
oynanabilir fakat network adresi değiştirilemez. Host adresinden bit’ler çalınarak subnet identifier
için kullanılır. Şekil 1.15
Windows Server 2003 Network’ünü Anlamak
Şekil 1.14: Örnek bir subnet.
Widget Inc. Network’ü B sınıfı olduğu için, network
adresini belirten ilk 2 byte network’deki tüm makineler tarafından paylaşılır – hangi network’te
bulunduğuna aldırmadan. Subnet’teki her makinanın adresinin üçüncü byte’ı 0000 0001 olmalıdır. Dördüncü byte, o subnet’teki bir bilgisayarı
tanımlayan unique host adresidir. Şekil 1.16 bir
network adresi ile bir subnet adresinin beraber
nasıl kullanılabileceğini gösterir.
Subnet Mask Nasıl Kullanılır?
Subnet adres düzeninin çalışması için,
network’deki her makine, IP adresinin hangi kısmının host adresi olarak, hangi kısmının network adresi olarak kullanılacağını bilmelidirler. Bu işlem her bir
makineye bir subnet mask atanması
ile gerçeklenir.
Şekil 1.15: Network vs. Host adresleri.
Network yöneticisi, 1 ve 0’lardan oluşan 32-bitlik bir subnet mask oluşturur. Subnet mask’taki 1’ler, IP adresindeki network ve subnet adresini
gösterir. 0’lar adresin host kısmını
temsil eder. Bu kombinasyon Şekil
1.17’de gösterilmiştir.
Şekil 1.16: Network Adresi ve Subnet’i.
23
24
Bölüm 1
Bizim Widget, Inc, örneğimizde, ilk subnet mask’ın ilk iki byte’ı 1’lerden oluşur, çünkü Network.
Network.Node.Node formatında bir B sınıfı adrestir. Üçüncü byte normal olarak host adresinin bir
parçasıdır fakat şimdi subnet adreslerini temsil
etmek için kullanıyor. Bundan dolayı bu bit pozisyonları, subnet mask’ta 1’lerle temsil edilir. Bizim
örneğimizde sadece dördüncü byte host adreslerini temsil eder.
Subnet mask aynı zamanda ikili düzenin onluk
karşılığı şeklinde de temsil edilebilir. İkili düzendeki 1111 1111’in onluk düzendeki karşılığı
255’dir. Sonuç olarak, bizim örneğimizdeki subnet
mask Şekil 1.18’de görüldüğü gibi iki farklı şekilde
gösterilir.
Şekil 1.17: Subnet mask gösterimi.
Şekil 1.18: Aynı subnet mask’ın farklı şekillerde gösterimi.
Bazı network’ler alt ağlara sahip olmaya ihtiyaç duymazlar, bu yüzden özel bir subnet mask kullanmaya ihtiyaçları yoktur. Bu durumda bir default subnet mask’a sahip olurlar. Bu aslında o
network’lerin subnet adreslerine sahip olmadığını söylemekle aynı şeydir. Farklı network sınıfları
için varsayılan subnet mask adresleri Tablo 1.4 gösterilmektedir.
Tablo 1.4: Özel Network Adresleri
Sınıf
Format
Default Subnet Mask
A
Network.Node.Node.Node
255.0.0.0
B
Network.Network.Node.Node
255.255.0.0
C
Network.Network.Network.Node
255.255.255.0
Şekil 1.19: Subnet mask uygulamak.
Windows Server 2003 Network’ünü Anlamak
Bir network yöneticisi bir subnet mask oluşturup tüm makinelere atadığında, IP yazılımı subnet
adresini belirlemek için bunu IP adresine uygular. IP yazılımı kendi IP adresine subnet mask’ının
merceğinden bakarak subnet adresini görür. Şekil 1.19’da bir IP adresinin subnet mask adresi
aracılığıyla görüntüsü görülür.
Bu örnekte, IP yazılımı subnet mask ile IP adresinin üçüncü byte’ının subnet adres olarak kullanılacağını öğrenir. Sonra IP yazılımı, IP adresinin mask ile uyuşan bit pozisyonlarına (0000 0001)
bakar.
Son adım olarak Şekil 1.20’de görüldüğü gibi Widget, Inc. örneğinde
binary’den decimal’e çevrim basittir.
Bir B Sınıfı adresin üçüncü byte’ının
tamamını subnet adresi olarak kullanarak subnet adresini belirlemek ve
atamak kolaydır. Örneğin, Widget,
Inc. 6 subnet’e sahip olmak isterse,
o subnet’teki tüm makinelerin üçüncü
byte’ları 0000 0110 (decimal olarak 6)
olur.
Şekil 1.20: Subnet mask’ın decimal’e çevrilmesi.
B sınıfı network adresinin üçüncü byte’ının tamamının subnet için kullanılması yeterli sayıda kullanılabilir subnet adresine izin verir. Subnet için adanmış bir byte sekiz bit pozisyonu sağlar. Her
bir pozisyon 1 ya da 0 olabilir, hesap sonucu böylece 28, 256’dır. Bu yüzden Widget, Inc. Her biri
254’e kadar host içeren toplamda 256 subnet’e sahip olabilir.
RFC 950 subnet adreslerinde tüm 1 ve tüm 0 kullanımını yasaklamasına rağmen, hemen hemen
tüm ürünler bu kullanıma izin verir. Microsoft’un TCP/IP takımı da birçok router yazılımı gibi buna
izin verir (bu özellik varsayılan olarak geçerli değilse, etkinleştirebilirsiniz). Bu size iki ek subnet
sağlar. Bununla birlikte network’ünüzdeki tüm yazılımlar bu kullanımı desteklemiyorsa bunu kullanmamanız gerekir.
Subnet Sayıları Nasıl Hesaplanır?
Maksimum subnet sayısı ve her bir subnet’teki maksimum host sayılarını hesaplayan formüller
şöyledir:

2X subnet mask’taki maskelenen bit sayısı = maksimum subnet sayısı

2X subnet mask’taki maskelenmeyen bit sayısı – 2 = her bir subnet’teki maksimum host sayısı
Formüllerde, maskelenen bit derken 1’lerin pozisyonu, maskelenmeyen bit derken 0’ların pozisyonu kastedilmektedir. Node adres byte’ının tamamının subnet adresi olarak kullanılması her bir
subnette kullanılabilir node adres sayısını azaltır. Önceden açıklandığı gibi, subnetsiz bir B sınıfı
adres node’ları adreslemek için 1 ve 0’ların 65,534 kombinasyonuna sahiptir. Neden tek bir fiziksel network’te 65,534 host istenir? Bu soruyu kendi kendinize sormanız oldukça doğaldır.
Eğer node adresleri byte’ını subnet için kullanırsanız, geriye sadece 254 kombinasyon kalacak
şekilde kullanabileceğiniz 1 byte’lık host adresi kalır. Eğer subnet’lerinizden herhangi biri 254’ten
fazla makinaya sahip olurlarsa bu sizin için bir problemdir. Bu sorunu çözmek için subnet mask’ı
kısaltıp host bit’lerini artırarak host adreslerinin sayısını artırmaya ihtiyaç duyarsınız. Bu size her
bir subnet için daha fazla uygun host adresi sağlar. Bu çözümün sonucu olarak muhtemel subnet
sayınız küçülür.
Şekil 1.21 daha küçük subnet adreslerinin kullanımı ile ilgili bir örnek gösterir. Acme, Inc. şirketi
maksimum 14 subnet’e ihtiyacı olduğunu düşünüyor. Bu durumda Acme, host adres bit’lerinin
tamamını subnet adresleri için kullanmaya ihtiyaç duymaz. 14 farklı subnet adresi için, host adres
25
26
Bölüm 1
bit’lerinden sadece 4’ünü (2^4=16) alır. Adresin host kısmı için 12 kullanılabilir bit kalır (2^12 –
2=4094). Her bir 16 Acme subnet için 4094 host adresi kullanılabilir durumdadır. Her bir subnet’in
4094 makine için yeterli olacaktır.
Şekil 1.21: Daha küçük subnet adres örneği.
Subnetting’i Uygulamak
Subnetting bazen kafa karıştırıcı olabilir. Tüm bu numaraları hatırlamak oldukça zor olabilir. Geriye dönüp temel network sınıflarına ve her birinin nasıl subnet’lere ayrıldığına göz atabilirsiniz. C
sınıfı ile başlayabilirsiniz, çünkü C sınıfı node adresleri için sadece 8 bit kullanır. Sonraki bölümde
farklı network tiplerinin nasıl subnet’lere ayrıldığına göz atacağız.
C Sınıfı
Hatırlayacak olursak bir C sınıfı network, network adresini tanımlamak için ilk 3 byte’ı (24 bit) kullanır. Bu size host’ları adreslemek için 1 byte (8 bit) bırakır. Bu yüzden eğer subnet’ler oluşturmak
isterseniz, geriye kalan kullanılabilir bit sayısı küçük olduğundan seçenekleriniz sınırlıdır.
Eğer subnet’lerinizi varsayılan C sınıfı subnet’lerinden daha küçük parçalara bölmek isterseniz
subnet mask, network numarası, broadcast adresi ve router adreslerini hesaplamak kafa karıştırıcı olabilir. Subnetting için daha sağlam bir temel kurmak istiyorsanız göreceğimiz her bir
subnet için özel değerleri tanımlama tekniklerini çalışın ve anlayın. Fakat bu bölümün sonrasında
“Subnet Karakteristiklerini Hızlı Bir Şekilde Tanımlama” kısmında tanımlanan daha etkin teknikleri
Windows Server 2003 Network’ünü Anlamak
öğrenip kullanmanız gerekir. Tablo 1.5 C sınıfı bir network’ü bir, iki, dört ve sekiz küçük subnet’e
nasıl böleceğinizi subnet mask’ları, network numaraları, broadcast adresleri ve router adresleri ile
özetler. İlk üç byte basit olarak x.y.z şeklinde gösterilmiştir. (Bu tablonun subnet’ler de tamamıyla
0 ve tamamıyla 1 kullanabileceğinizi varsaydığına dikkat edin.)
Tablo 1.5: C Sınıfı Subnet’ler
İstenen
Subnet
Sayısı
Subnet Mask
Network
Numarası
Router
Adresi
Broadcast
Adresi
Kalan IP Adres
Sayısı
1
255.255.255.0
x.y.z.0
x.y.z.1
x.y.z.255
253
2
255.255.255.128
255.255.255.128
x.y.z.0
x.y.z.128
x.y.z.1
x.y.z.129
x.y.z.127
x.y.z.255
125
125
4
255.255.255.192
255.255.255.192
255.255.255.192
255.255.255.192
x.y.z.0
x.y.z.64
x.y.z.128
x.y.z.192
x.y.z.1
x.y.z.65
x.y.z.129
x.y.z.193
x.y.z.63
x.y.z.127
x.y.z.191
x.y.z.255
61
61
61
61
8
255.255.255.224
255.255.255.224
255.255.255.224
255.255.255.224
255.255.255.224
255.255.255.224
255.255.255.224
255.255.255.224
x.y.z.0
x.y.z.32
x.y.z.64
x.y.z.96
x.y.z.128
x.y.z.160
x.y.z.192
x.y.z.224
x.y.z.1
x.y.z.33
x.y.z.65
x.y.z.97
x.y.z.129
x.y.z.161
x.y.z.193
x.y.z.225
x.y.z.31
x.y.z.63
x.y.z.95
x.y.z.127
x.y.z.159
x.y.z.191
x.y.z.223
x.y.z.255
29
29
29
29
29
29
29
29
Örneğin, 200.211.192.x bir C sınıfı network’ü iki subnet’e bölmek istiyorsunuz. Tabloda görebildiğiniz gibi her bir subnet için 255.255.255.128 subnet mask’ını kullanırsınız. İlk subnet 200.211.192.0
network numarasına, 200.211.192.1 router adresine ve 200.211.192.127 broadcast adresine sahip olurdu. 200.211.192.2’den 200.211.192.126’ya kadar IP adreslerini atayabilirdiniz. (Network’ü
çok fazla sayıda subnet’lere bölerseniz broadcast adresi, router adresi ve network adresi olmak
üzere çok fazla sayıda adresi kaybedersiniz.) İkinci subnet 200.211.192.128 network numarasına, 200.211.192.129 router adresine ve 200.211.192.255 broadcast adresine sahip olurdu.
Tablo 1.5’deki metodu kullanarak C sınıfı bir network’ü subnet’lere ayırdığınızda eğer 2x-2 hesaplamasını kullanırsanız tablodaki 128 subnet’i anlamlı gelmez. Burada bu işlemi bu şekilde
yapmak için mantıklı ve popüler bir neden vardır,
1. RFC’ye göre subnet zero kullanımına izin verilmediğini hatırlayın, fakat bunu kullanarak C
sınıfı network’ünüzü 128 subnet mask’ı ile subnet’lere ayırabilirsiniz. Bu sadece 1 bit kullanır
ve 21-2=0 ve zero subnet.
2. Subnet zero’yu destekleyen router’lar kullanarak, 1–126 ve 129-254 aralığını host’lara atayabilirsiniz (tabloda görüldüğü gibi). Bu bir grup adresimizi korur. Eğer RFC standartlarında
tanımlanan metodu kullansaydınız sadece iki (22 – 2 = 2) subnet’iniz olabilirdi.
Subnet mask’taki ilginç bir artış değerine sahip olan (0 ve 255’den farklı) oktet değerini tespit
etmek için bu değeri 256’dan çıkarın. Yine 255.255.255.192 subnet mask’a sahip 200.211.192.x
network’ü için yapacağımız hesaplama şu sonucu verir: 256-192=64. 64, dördüncü oktetteki sizin
artış değerinizdir. Neden dördüncü oktet? Çünkü mask’taki 192 değerine sahip oktet dördüncü
oktetdir.
Her zaman ilk subnet’teki önemli oktet 200.211.192.0 olacak şekilde bir tane 0 içerir, aynı orjinal
subnet’lere ayrılmamış network adresindeki gibi.
İkinci subnet’in network adresini belirlerken artış değerini, ilk subnet’in dördüncü oktetine ekleyin.
Üçüncü subnet numarasını belirlemek için, artış değerini ikinci subnet numarasının ilgili oktetine
27
28
Bölüm 1
ekleyin. Dördüncü subnet numarasını belirlemek için de artış değerini üçüncü subnet’in ilgili oktetine ekleyin. Artış değerini bu şekilde asıl subnet numarasına ulaşıncaya kadar eklemeye devam
edin. Örneğin, 0 + 64 = 64’tür ve ikinci subnetiniz 64’tür. 64 + 64 = 128 yani üçüncü subnet’iniz
128’dir. 128 + 64 = 192 ve dördüncü subnet’iniz 192’dir. 192 subnet mask olduğundan bu son
subnet’inizdir. Yine 64 eklemeye çalışsanız bile 256 çıkacaktır. Bu da sizin geçerli subnet’lerinizin
0, 64, 128 ve 192 olduğu anlamına gelir.
Subnet’ler arasındaki numaralar sizin geçerli host ve broadcast adreslerinizdir. Örneğin, aşağıdakiler 192 subnet mask’ına sahip bir C sınıfı network’ündeki 2 subnet için geçerli host’lardır.

64 subnet’i için geçerli aralık size subnet başına 62 host veren 65–126 aralığıdır. (bir host için
127 kullanmak, bütün host bit’lerinin 1 olduğu anlamına gelir.)

128 subnet’i için geçerli aralık 191 broadcast adresi ile 129–190 aralığıdır.
Görebildiğiniz gibi, bu çözüm bazı adresleri boşa harcar: Subnetting yapmadan öncekinden altı
fazla. Bir C sınıfı network için, bu durumu savunmak çok da zor olmaz. Subnet mask olarak
255.255.255.128’i kullanmak bile sadece iki subnet’e ve her subnet’te yaklaşık 126 host’a ihtiyacınızın olduğu durumda daha iyi çözüm olur.
Fakat eğer C sınıfı network’ünüzde sekiz subnet’e ihitiyacınız varsa neler olur?
x subnet numarası olmak üzere, 2x hesaplamasını kullanarak sekiz subnet için 3 subnet bit’ine
ihtiyacınız olacağını söyleyebiliriz (23=8). Her bir subnet için geçerli subnet’ler ve geçerli host’lar
nedir? Hesaplayalım.
Subnet mask’ın dördüncü oktetindeki ilgili değer 11100000 (224) olacaktır. Bu bütün iş istasyonlarında aynı olmalıdır.
Verilen bir konfigürasyonla ilgili problemi tanımlama ile ilgili testleriyle karşılaşmanız muhtemeldir Eğer yanlış bir iş istasyonu
yanlış bir subnet mask’a sahip ise, router bu iş istasyonunun bulunduğu subnet’ten farklı bir subnet’te olduğunu “düşünür”.
Bu saptırılmış router sorudaki iş istasyonuna paketleri iletmeyecektir. Benzer şekilde, eğer mask iş istasyonu yapılandırmasında
yanlış şekilde tanımlanırsa o iş istasyonu o mask’a uygun hareket ederek uygun olmayan default gateway’e paketleri gönderir.
Geçerli subnet’leri hesaplamak için 256’dan ilgili oktet değerini çıkarın; 256–224=32, böylece sizin
dördüncü oktet için artış değeriniz 32’dir. Elbetteki 0 subnet, her zaman sizin ilk subnet’inizdir. Diğer subnet’ler 32, 64, 96, 128, 160, 192 ve 224 olacaktır. Geçerli host’lar bu subnet’ler arasındaki
host bit’lerinin tümüyle 1 olduğu host numaraları dışındaki numaralardır. Bu numaralar 31, 63, 95,
127, 159, 191, 223 ve 255 olacaktır. Host bit’lerinin tamamının 1’lerden oluştuğu numaraların her
bir subnet için broadcast adresleri olarak rezerve edildiğini hatırlayın.
Geçerli subnet’ler, host’lar ve broadcast’ler aşağıdaki gibidir:
Subnet
Host’lar
Broadcast
0
1-30
31
32
32-62
63
64
65-94
95
96
97-126
127
128
129-158
159
160
161-190
191
192
193-222
223
224
225-254
255
Subnet mask’a sadece denemek için bir tane daha bit ekleyebilirsiniz. 224 olacak şekilde 3 bit
kullanıyordunuz. Bir bit daha ekleyerek mask 240 olacaktır (1110000).
Windows Server 2003 Network’ünü Anlamak
Subnet mask için 4 bit kullanarak 14 subnet elde edersiniz, çünkü 24 = 16’dır. Bu subnet mask
aynı zamanda host adresleri için sadece 4 bit, diğer bir deyişle her subnet için 24 – 2= 14 host
verir. Görebileceğiniz gibi, her subnet için host miktarı, her bir host bit’inin subnet kullanımı için
tahsis edilmesi ile oldukça hızlı bir şekilde azalır.
Subnet 240 için ilk kullanılabilir subnet her zaman olduğu gibi 0’dır. 256–240=16 olduğundan, size
kalan subnet’ler 16, 32, 48, 64, 80, 96, 12, 128, 144, 160, 176, 192, 208, 224 ve 240’dır. Geçerli
ilgili oktet değerinin aynı zamanda geçerli son subnet’i işaret ettiğini hatırlayın, bu yüzden 240,
geçerli son subnet numaranızdır. Geçerli host’lar bu subnet’ler arasındaki host bit’lerinin tümüyle
1 olduğu host numaraları (broadcast adresleri) dışındaki numaralardır.
Aşağıdakiler geçerli subnet’ler, host’lar ve broadcast’lerdir:
Subnet
Hosts
Broadcast
0
1-14
15
16
17-30
31
32
33-46
47
48
49-62
63
64
65-78
79
80
81-94
95
96
97-110
111
112
113-126
127
128
129-142
143
144
145-158
159
160
161-174
175
176
177-190
191
192
193-206
207
208
209-222
223
224
225-238
239
240
241-254
255
B Sınıfı
B sınıfı bir network host adresleri için 16 bit’e sahip olduğundan, subnet mask’ı hesaplamak istediğinizde oynayabileceğiniz oldukça fazla bit’e sahip olursunuz. En soldaki bit’ten başlayarak en
sağdaki bit’e doğru çalışmak zorunda olduğunuzu hatırlayın. Örneğin 255.255.0.0 default subnet
mask ile bir B sınıfı network x.y.0.0. şeklinde olacaktır. Varsayılan subnet mask’ı kullanmak size
65,534 host’luk bir subnet verecektir.
Binary formatta default subnet mask 11111111.11111111.00000000.00000000 şeklindedir. 1’ler
IP adresindeki uygun network bit’lerini işaret ederken, 0’lar host bit’lerini gösterir. Bu yüzden,
subnet mask oluşturulurken en soldaki bit ya da bit’ler host bit’lerinden ödünç alınarak (0’lar 1’e
dönüştürülür) subnet mask haline getirilir. Hala 0 olan geriye kalan bit’leri host adresleri olarak
kullanırsınız.
Eğer sadece bir bit kullanırsanız subnet mask’ınız 255.255.128.0 olur. Eğer 2 bit kullanırsanız,
255.255.192.0 (11111111.11111111.11000000.00000000)
C sınıfı bir adresi subnet’lere ayırırken, IP adresinin üç parçası vardır: network adresi, subnet
adresi ve host adresi. Bir 192 mask’ı, C sınıfı bir subnet mask’ın dördüncü oktetinde bulunduğu
şekilde hesaplanır; fakat bu sefer size subnet başına daha fazla host kalır
22 = 4 olduğundan dört subnet vardır. Üçüncü oktet için geçerli değerler 0, 64 128 ve 192’dir (256
– 192 = 64 olduğundan üçüncü oktetin artış değeri 64’tür). Bununla birlikte host adreslemesi için
geriye 14 bit (0’lar) kalır. Bu da size her bir subnet için 16,382 host sağlar (214 – 2 = 16,382)
29
30
Bölüm 1
Geçerli subnet ve host’lar aşağıdaki gibidir.
Subnet
Host’lar
Broadcast
X.Y.0.0
X.Y.0.1’den X.Y.63.254’e kadar
X.Y.63.255
X.Y.64.0
X.Y.64.1’den X.Y.127.254’e kadar
X.Y.127.255
X.Y.128.0
X.Y.128.1’den X.Y.191.254’e kadar
X.Y.191.255
X.Y.192.0
X.Y.192.1’den X.Y.255.254’e kadar
X.Y.255.255
Subnet mask’a 11111111.11111111.11100000.00000000 ya da decimal olarak 255.255.224.0
olacak şekilde bir bit daha ekleyebilirsiniz. Sekiz subnet vardır (23=8). Geçerli subnet’ler 0, 32,
64, 96, 128, 160, 192 ve 224’tür (256–224=32). Subnet’ler, geçerli host’lar ve broadcast’ler şu
şekildedir:
Subnet
Host’lar
Broadcast
X.Y.0.0
X.Y.0.1’den X.Y.31.254’e kadar
X.Y.31.255
X.Y.32.0
X.Y.32.1’den X.Y.63.254’e kadar
X.Y.63.255
X.Y.64.0
X.Y.64.1’den X.Y.95.254’e kadar
X.Y.95.255
X.Y.96.0
X.Y.96.1’den X.Y.127.254’e kadar
X.Y.127.255
X.Y.128.0
X.Y.128.1’den X.Y.159.254’e kadar
X.Y.159.255
X.Y.160.0
X.Y.160.1’den X.Y.191.254’e kadar
X.Y.191.255
X.Y.192.0
X.Y.192.1’den X.Y.223.254’e kadar
X.Y.223.255
X.Y.224.0
X.Y.254.1’den X.Y.255.254’e kadar
X.Y.255.255
Bu yüzden, eğer 255.255.224.0 subnet mask’ını kullanırsanız, her biri 8190 host’luk 8 subnet
oluşturabilirsiniz.
Neler olduğunu görmek için subnet mask’a bir kaç tane daha bit ekleyebilirsiniz. Eğer subnet
mask için 9 bit kullanırsanız, bu durumda 512 subnet (29) ve host’lar için sadece 7 bit ile subnet
başına 126 (27-2) host’unuz olacaktır. Subnet mask şu şekildedir:
11111111.11111111.11111111.10000000 ya da 255.255.255.128
Daha da fazla bit ekleyerek sonuçları görebilirsiniz. Eğer subnet mask için 14 bit kullanırsanız
16,384 (214) subnet ile subnet başına sadece 2 (22 – 2) host’unuz olabilir. Subnet mask şu şekilde
görülebilir:
11111111.11111111.11111111.1111100 ya da 255.255.255.252
Bir B sınıfı network’te neden 14-bit subnet mask kullandığınızı merak edebilirsiniz. 255.255.255.0
subnet mask adresini kullanan bir B sınıfı network’ü düşünün. Subnet başına 254 host olacak şekilde 256 subnet’iniz olacaktır. Aynı zamanda, her bir müşterinizle aranızda ayrı birçok
WAN bağlantısı bulunan bir ISP olduğunuzu düşünün. Tipik olarak her bir site ile aranızda direkt bağlantı olacaktır. Bu link’lerin her biri kendi subnet’inde ya da network’ünde olmalıdır. Bu
subnet’lerde iki host olacaktır – her router port’u için bir adres. Eğer önceden kullandığınız subnet’i
(255.255.255.0) kullanmış olsaydınız her bir subnet için 252 host adresini boşa harcamış olurdunuz. 255.255.255.252 subnet mask’ını kullanarak daha fazla kullanılabilir subnet’iniz yani daha
fazla müşteriniz olur – her biri sadece iki host’tan oluşan subnet’ler için maksimum sayıda point
– to – point bağlantıya izin verecek şekilde.
Bu yaklaşımı, sadece, kitabın daha sonraki konularında göreceğimiz Enhanced Interior Gateway
Routing Protocol (EIGRP) ya da Open Shortest Path First (OSPF) gibi algoritmaları çalıştıran bir
sistemde kullanabilirsiniz. Bu yönlendirme protokolleri Variable Length Subnet Masking (VLSM)
‘e izin verir. VLSM, tüm subnet’lerde aynı classful network adresini kullanırken, router’un WAN
interface’inde 255.255.255.252, LAN interface’inde 255.255.255.0 koşmasına izin verir. EIGRP
ve OSPF gibi yönlendirme protokolleri diğer router’lara subnet mask bilgilerini de update paket-
Windows Server 2003 Network’ünü Anlamak
leri içerisinde gönderir. RIP version 1 gibi Classful yönlendirme protokolleri subnet mask bilgisini
göndermediğinden VLSM kullanamazlar.
A Sınıfı
A sınıfı network’ler daha fazla kullanılabilir bitlere sahiptir. A sınıfı bir network için varsayılan subnet mask sadece 8 bittir (255.0.0.0). Bu subnet mask size host’lar için 24 bit sunar.
Eğer subnet mask olarak 11111111.11111111.00000000.00000000 (255.255.0.0) kullanırsanız,
subnet’ler için 8 bit’iniz yani toplamda adresleyebileceğiniz 256 (28) subnetiniz olur. Host’lar için
geriye 16 bit kalır, bu da subnet başına 65,534 (216 – 2) host adresleyebileceğiniz anlamına gelir.
Bunun yerine 24 bit’i host’lar ve subnet’ler arasında eşit bir şekilde ayırırsanız subnet mask’ın
yeni görünümü 11111111.11111111.11110000.00000000 (255.255.240.0) şeklinde olur. Böyle
bir durumda kaç adet geçerli subnet ve host’unuz olacaktı?
Her birinde 4094 (212 – 2 = 2094) host olacak şekilde toplamda 4096 subnet’iniz olurdu. B ya da C
sınıfı network’lere oranla hangi host ve subnet’lerin geçerli olduğunu bilmek daha karmaşıktır.
İkinci oktet 0 ile 255 arasında olabilir. Bununla birlikte üçüncü okteti hesaplamaya ihtiyacınız
olacaktır. Subnet mask’ın üçüncü okteti 240 olduğundan, üçüncü oktet için artış değeri 16 (256240=16) olur. Üçüncü oktet ilk subnet için 0’dan başlamalıdır, ikinci oktet 16 olacak ve bu şekilde
devam edecektir. Bu da sizin geçerli subnet’lerinizin aşağıdaki gibi olacağı anlamına gelir (sırayla
değil):
Subnet
Hostlar
Broadcast
X.0-255.0.0
X.0-255.0.1’den X.0-255.15.254’e kadar
X.0-255.15.255
X.0-255.16.0
X.0-255.16.1’den X.0-255.31.254’e kadar
X.0-255.31.255
X.0-255.32.0
X.0-255.32.1’den X.0-255.47.254’e kadar
X.0-255.47.255
X.0-255.48.0
X.0-255.48.1’den X.0-255.63.254’e kadar
X.0-255.63.255
Subnet’in üçüncü okteti 224 olana kadar bu şekilde devam eder.
Microsoft adres aralıklarını yazarken farklı bir alternatif kullanır. Örneğin 255.255.255.0 subnet mask’ı ile 131.107.2.0
adresi 131.107.2.0/24 şeklinde gösterilir. Çünkü subnet mask 24 adet 1 içerir. 141.10.32.0/19 şeklinde gösterilen bir
adres 255.255.224.0 subnet mask’ına sahip olacaktır (B sınıfı varsayılan subnet mask bit’lerinin 3 fazlası) Bu terminoloji tüm Microsoft sınavlarında kullanılır ve Classless Inter-Domain Routing (CIDR) notasyonu olarak söz edilir.
Subnet Karakteristiklerini Hızlı Bir Şekilde Tanımlamak
Verilen kısıtlı zamanda bir takım kısa yollar kullanarak soruların doğru cevaplarına ulaşmak bir
avantajdır. Burada bir kez öğrendiğinizde size zaman kazandıracak, bazen bir sorunun tamamıyla çözümü için yardımcı olabilecek CIDR notasyonunu kullanan bir metottan bahsedilecektir.
Buraya kadar binary aritmetiğinin, subnetting işleminin temelinde yattığını gördünüz. Şimdi aşağıdaki kısa yolları dikkate alarak her bir adres sınıfı için binary aritmetiği kullanmadan doğru sonuca
nasıl ulaşabileceğimizi görelim.
C Sınıfı
192.168.10.50/27 host adresini düşünün. Aşağıdaki adımlar bu adresin üyesi olduğu subnet ile
ilgili tüm detayları açıklamaktadır:
1. Adresin CIDR notasyon ön ek uzunluğunu bulun. Bu adım decimal mask’ı CIDR notasyonuna
çevirmek kadar kolaydır. Bu sorudaki subnet mask 255.255.255.224’tür.
2. Ön ek uzunluğuna eşit ya da büyük 8’in katlarını kullanarak bir subnetten diğer subnet’e geçişde 1 ya da 0 dışında artış değeri kadar artan ilgili okteti hesaplayın. Bu 8 örnekte, 27’den
büyük 8’in ilk katı 32’dir. 32’nin 8’e bölümü ile 4’ü verecektir. Bu da ilgili oktetin 4. oktet olduğu
anlamına gelir.
31
32
Bölüm 1
3. İlgili oktetteki artış değerini hesaplamak için ön ek uzunluğunu, 8’in bir sonraki katından (bu
örnekte 32) çıkarın. Sonuç değeri 32 – 27 = 5’dir. Sonuç olarak 25 = 32 bu örneğimizdeki
dördüncü oktetin artış değeridir.
4. Soruda ilgili oktetin değeri 50 idi. 0’dan başlayarak artış değeri ile ilgili değeri yani 50’yi geçene kadar artırın. Değerler, 0, 32, 64, şeklinde olacaktır.
5. Örnekteki subnet, ilgili oktetteki bir önceki artış değerinden küçük ya da eşit olur. Bu örneğimizde 192.168.10.50/27, 192.168.10.32 subnet’indedir. Bu subnet, 192.168.10.32’den
192.168.10.64’e kadar devam eder, broadcast adresi de 192.168.10.63’dür. Subnet adresi
için eğer ilgili oktet dördüncü oktet olmasaydı, ilgili oktetten sonraki diğer oktetler 0 olacaktı
6. Sorudaki subnet için kullanılabilir adres aralığı subnet adresinin bir fazlası ile broadcast adresinin bir eksiği aralığıdır, yani 192.168.10.33’den 192.168.10.62’ye kadar. Görebildiğiniz gibi
192.168.10.50/27 bu aralık içerisindedir.
B sınıfı
Önceki adımları kullanarak 255.255.240.0 subnet mask’ı ile 172.16.76.12 adresinin hangi
subnet’te bulunduğunu bulun:
1. CIDR notasyonundaki ön eki /20’dir.
2. 20’den büyük olmak üzere 8’in katı olan ilk sayı 24’tür. 24÷8 = 3 olduğundan üçüncü oktet
ilgili oktetimizdir.
3. 24 – 20 = 4 olduğundan artış değeri 24 = 16’dır.
4. Üçüncü oktetteki değerler 0, 16, 32, 48, 64, 80,… şeklinde olacaktır.
5. Soruda verilen adresin üçüncü okteti olan 76, 64 ile 80 arasına denk geldiğinden bu adresin
bulunduğu subnet 172.16.64.0 subnetidir. Bu subnet’in broadcast adresi bir sonraki subnet
adresi 172.16.80.0’dan hemen önceki adres olan 172.16.79.255’dir.
6. Kullanılabilir adres aralığı 172.16.64.1 ile 172.16.79.254 aralığıdır.
A Sınıfı
10.6.127.255/14 adresi için ilgili adımları uygulayarak bir kez daha deneyin:
1. Ön ek uzunluğu 14 olarak verilmiş. 14’den büyük 8’in katı 16’dır. 16 ÷ 8 = 2 olduğundan, ikinci
oktet ilgili oktetdir.
2. 16 – 14 = 2, bu yüzden artış değeri 22 = 4’tür.
3. 4. ve 5. adımları birlikte kullanırsanız adresin ikinci oktetindeki 6 değerinin 4 ile 8 arasına
geldiğini görürsünüz. Bu da bu adresin 10.4.0.0 (ikinci oktetten sonraki oktetleri 0 yaparak)
olduğu anlamına gelir. Broadcast adresi ise 10.7.255.255’dir.
4. Kullanılabilir adres aralığı 10.4.0.1’den 10.7.255.254’e kadardır.
Subnet ve Host’ların Miktarlarını Saptamak
Verilen bir mask ile toplamda kaç adet subnet ve host olduğunu saptamak için kullanışlı bir teknik
vardır. Örneğin 255.255.254.0 subnet mask’ı ile B sınıfı 172.16.0.0 adresini düşünün.
Ön ek uzunluğu 23 bit’tir. Bir B sınıfı adresin varsayılan ön ek uzunluğu olan 16’yı 23’ten çıkarırsak sonuç 7 olur. 27 = 128 olacağından, bir B sınıfı adresi 255.255.254.0 mask’ı ile subnet’lere
ayırdığınzda toplamda 128 adet subnet’iniz olacaktır.
Bu durumda 128 subnet’teki kullanılabilir host sayısını saptamak daha kolaydır. Çünkü 32 – 23
(23 ön ek uzunluğu idi) = 9, subnet mask’ta kalan host bit’lerinin sayısıdır. Subnet adresi ve broadcast adresi için ayrılmış olan adresleri çıkardıktan sonra her bir subnet için kullanılabilir host ID
sayısı 29 – 2= 510 olacaktır.
Windows Server 2003 Network’ünü Anlamak
Bu tekniği kullanarak pratik yaptığınızda istenen cevabı bulmak için kullanacağınız zamanı azaltacaksınız ve bu sayede her bir sorudaki daha zor görevleri yerine getirmek için size daha fazla
zaman kalacaktır. Bu bölümde çokça örnek, senaryo olduğu gibi tekniklerinizi deneyebileceğiniz
gözden geçirme soruları bulunmaktadır.
Özet
Bu bölüm Physical, Data-Link, Network, Transport, Session, Presentation ve Application katmanlarını barındıran OSI referans modeli ve OSI takımındaki her bir katmanın tanımlanması gibi
önemli konuları kapsar. Aynı zamanda bu bölümde Windows Server 2003’ün AppleTalk, NWLink
ve TCP/IP’yi desteklediğini öğrendiniz. TCP/IP günümüzde kullanılan başlıca protokoldür. Microsoft eğer mümkünse sadece TCP/IP kullanmanızı tavsiye eder. Son olarak, 32 bit’lik IP adresinin
yapısal ve hiyerarşik bir adresleme yapısı olduğunu ve bir network’te her bir makineyi benzersiz
olarak tanımlamak için kullanıldığını öğrendiniz. Kullanılabilir IP adreslerinin nasıl belirlendiğini ve
subnetting uygulamalarını öğrendiniz.
Sınav İçin Bilinmesi Gerekenler
Subnetting’in ne olduğunu ve ne zaman kullanıldığını anlayın. Eğer bir organizasyon çok büyük ve birçok bilgisayara sahipse ya da bu bilgisayarlar coğrafi olarak ayrılmış ise, bu network’ü,
birbirleriyle router’la bağlanan daha küçük network’lere bölmek mantıklı olacaktır. Bu küçük
network’ler subnet olarak adlandırılır. Subnetting bir IP network’ünü küçük mantıksal network’lere
bölme işlemidir.
Subnet mask’ı anlayın. Subnet adres şemasının çalışabilmesi için, network’deki her makinenin
host adresinin hangi bölümünün subnet adresi olarak kullanılacağı bilinmelidir. Network yöneticisi 1 ve 0’lardan oluşacak şekilde 32-bitlik bir subnet mask oluşturur. Subnet mask’taki 1’lerin
pozisyonu network ya da subnet adresini işaret eder. 0’ların pozisyonu ise adresin host kısmını
gösterir.
33
34
Bölüm 1
Gözden Geçirme Soruları
1. 137.25.0.0. adresine sahip büyük bir IP ağınız var. Bu network her birinde en fazla 300 makinenin bulunduğu 20 subnet’ten oluşmuş. Şirketiniz birleşmeye devam ediyor ve müdürünüz
size subnet’lerin sayısının 50’ye çıkarılması için hazırlanmanızı ve bu subnet’lerden bazılarının 600’den fazla host’a sahip olacağını söylüyor. Aşağıdaki subnet mask’lardan hangisi,
mevcut network adresini kullanarak müdürünüzün bahsettiği gereksinimleri karşılar?
A. 255.255.252.0
B. 255.255.254.0
C. 255.255.248.0
D. 255.255.240.0
2. Bir binanın iki katında çalışan küçük bir şirkete getirildiniz. Bu iki kat ayrı network’lere sahip.
Şirket bu iki ağın doküman, elektronik tablo ve database gibi bazı bilgileri paylaşmasını istiyor. Bu networklerden birinin NetWare 3.x LAN, diğerinin NetBEUI çalıştıran bir Windwos NT
peer-to-peer network’ü olduğunu saptıyorsunuz. NetWare LAN, NT network’ündeki kullanıcıların kullanabilmesini istediğiniz bir yazıcıya sahip. İstemci yazılımlarından başka, Windows
NT iş istasyonlarınızın, NetWare yazıcısına erişebilmesi için hangi protokolü kullanmak zorundasınız?
A. NetBEUI
B. TCP/IP
C. AppleTalk
D. NWLink
E. DLC
3. Çalıştığınız şirket çok hızlı bir şekilde diğer şirketleri satın alarak büyümekte. Network yöneticisi olarak, iş istasyonlarınız bu değişimden etkilenmekte bu yüzden bu değişime ayak uydurmanız ve bunları desteklemeniz gerekiyor. Başladığınızda router’larla birbirine bağlanan
15 konum varken, şu anda 25 ayrı bölgeniz var. Yeni şirketler satın alındıkça, bu şirketler
Windows Server 2003’e migrate edilerek aynı domain’e farklı bir site olarak dahil ediliyor.
Yönetim 2 yıl içerisinde en azından 10 şirketin daha satın alınacağını söylüyor. Aynı zamanda
mühendisler size, şirketin B sınıfı adresini yeni bir IP adres planı ile bu yeni gereksinimleri
destekleyecek şekilde ve hiçbir subnet’te 1000’den fazla aygıt bulunmayacak şekilde yeniden
düzenleyeceklerini söylüyorlar. Değişim tamamlandıktan sonra, bu yeni network’ü destekleyecek uygun subnet ne olacaktır?
A. 255.255.252.0
B. 255.255.248.0
C. 255.255.255.0
D. 255.255.255.128
4. 75 iş istasyonu olan küçük bir baskı şirketi için çalışıyorsunuz. Bu iş istasyonlarından çoğu
kelime işlem, elektronik tablolama ve muhasebe programları gibi standart ofis yazılımları çalıştırıyor. Bu iş istasyonlarından on beş tanesi sürekli olarak büyük grafik dosyalarını işliyor ve
endüstriyel boyutta lazer yazıcılardan yazdırıyor. Network’ün performansı henüz bilemediginiz bir nedenden dolayı sürekli sorun oluyor. Networkünüzü Windows XP ve Windows Server
2003’e migrate ettiniz ve Windows Server 2003’ün yönlendirme kapasitesinin avantajlarından
faydalanmaya karar verdiniz. Uygun bir sunucu seçip bu makineye iki adet NIC taktınız. Fakat
yıllar önce aldığınız sadece bir adet network adresinizin (201.102.34.0) olduğunu fark ettiniz.
Bu adresi network’ün geri kalanını bant genişliğini çok yoğun olarak işgal eden aygıtlardan
Windows Server 2003 Network’ünü Anlamak
ayıracak şekilde ve tüm network’teki herkese internet erişimi vererek nasıl segment’lere ayırırsınız?
A. 255.255.255.192
B. 255.255.255.224
C. 255.255.255.252
D. 255.255.255.240
5. Bir network’te bir makinadan diğerine bir paket gönderilir. Türlü protokoller veri paketini gönderen bilgisayarda OSI takımının alt katmanlarına doğru ve alıcı bilgisayarda ise üst katmanlarına doğru taşır. Protokoller paketin nereden gönderildiğini nasıl bilirler?
A. Her bir paket kaynak ve hedef adresleri içeren bir trailer içerir.
B. Her bir paket alarm sinyali, kaynak ve hedef adresleri içeren bir header’a sahiptir.
C. Her bir paketin veri kısmı kaynak ve hedef adres bilgilerini tutar.
D. Sadece kaynak ve hedef adresleri içeren header paketi adı verilen özel paketler ilk önce
gönderilir. Header paketinin ardından gönderilen tüm paketler header paketindeki hedef
adrese gönderilir.
6. Büyük bir otomobil üretim şirketinde, çalışanların aşırı network trafik değerlerini anlamasına
ve düşürmesine yardımcı olmakla meşgulsünüz. Ağ yöneticisi ile yaptığınız görüşmelerden
sonra, organizasyonun başlangıçta sadece TCP/IP kullanacak şekilde yapılandırılmasına
rağmen yakın zamanda NetBEUI protokolünün de yüklendiğini fark ediyorsunuz. Araştırmalarınızdan sonra network’te neden iki farklı protokol kullanıldığı size söyleniyor: Network yöneticisi, network’teki bazı NetBIOS uygulamalarını destekleyeceklerini söylediler. NetBIOS
desteğine izin vermek için, sistem yöneticisi birkaç tane memuru, iş istasyonlarına NetBEUI
takımını eklemek ve NetBEUI’yü ilk sırada bind etmek için görevlendirmiş. Şu anda yaşadığı
network performans probleminde sistem yöneticisinin yaptığı hata nedir?
A. İş istasyonları sadece TCP/IP kullanılarak bağlanılabilecek kaynaklara bile, NetBEUI’nün
bind listesinin en üst sırasında olmasından dolayı ilk olarak NetBEUI üzerinden bağlanmaya çalışıyor.
B. NetBEUI’ın bind listesinin en üst sırasında olmasından dolayı, NetBEUI TCP/IP tabanlı
sunuculara bağlanmak için kullanılıyor ve farklı bir protokolle bağlanmak daha düşük randıman veriyor.
C. NetBEUI, istemcilerin bir NetBIOS program ile iletişimi için gereksizdir.
D. Her ne kadar TCP/IP bir NetBIOS program ile iletişime geçebilmesi için NetBEUI’ye ihtiyaç duysa da NetBEUI’ın, beraber düzgün bir şekilde çalışabilmek için TCP/IP protokol
takımına direk olarak bağlanması gerekir.
7. Integrated Network Computing firması, çok çeşitli network’ler için küçük yardımcı programlar
yazan yazılım geliştirme firmasıdır. Bu şirketin Windows Server 2003 network’ünü destekleme
görevinin yanında, geliştirilen bazı uygulamaların görevlerini gereği gibi yerine getirdiklerini
doğrulamaktan sorumlusunuz. Bu testler sırasında başka bir yazılım geliştirme firmasının çeşitli sistemler tarafından kullanılan transport protokollerini yüklemek zorundasınız. Windows
Server 2003 üzerinde farklı protokollerin bir arada çalışmasını sağlamakla görevli olduğunuzu düşündüğünüzde, protokol geliştiricilerin ortaya çıkardıkları protokollerin hangi standarda
göre geliştirilmesi gerekir?
A. ODI
B. DLC
C. NDIS
D. NetBIOS
35
36
Bölüm 1
8. Carpathian Worldwide Enterprises için çalışıyorsunuz. Bu şirket dünyada 50’den fazla idari
ve üretim lokasyonuna sahip. Bu organizasyonların boyutları çok farklılık gösteriyor ve lokasyonlardaki bilgisayar sayıları 15 ile 100 arasında değişiyor. Satış operasyonları ise sayısı her birinde 2 ile 5 arası bilgisayar bulunan 1000’den fazla tesis kullanıyor. Carphatian
aynı zamanda büyük bir organizasyonla birleşme aşamasında. Eğer birleşme planlandığı gibi
gerçekleşirse, her birinde en fazla 600’er bilgisayarın bulunduğu 100 tane daha üretim ve
yönetim lokasyonunu ve 2000 ek satış tesisini barındırmak zorunda kalacaksınız. Şirketin
gelecekteki büyüklüğü ile ilgili elinizde herhangi bir sayı yok; fakat size şirketin büyümekte olduğunu dikkate almanız gerektiği söyleniyor. Organizasyonun tamamı için private adresleme
planı uygulamaya karar veriyorsunuz. Router’larınızın yarıdan fazlası Variable Length Subnet
Masking (VLSM) desteklemiyor. Bu durumda hangi subnet mask’ları kullanırdınız? (Uygun
olanların tümünü seçin.)
A. 255.255.224.0
B. 255.255.240.0
C. 255.255.248.0
D. 255.255.252.0
E. 255.255.254.0
9. Windows 2000, Windows XP Professional ve Windows Server 2003 bilgisayarlarından oluşan oldukça büyük bir network’ü yönetiyorsunuz. Bu yapı içerisinde DNS, DHCP ve WINS
kullanmak istiyorsunuz. Ayrıca tüm bilgisayarların internete ve Windows olmayan makinelerin
servislerine erişebilmeleri gerekiyor. Network’ü merkezi bir lokasyondan yapılandırabilmeyi
istiyorsunuz. Hangi network protokolü tüm bunları sağlayabilir?
A. NetBEUI
B. NWLink
C. TCP
D. TCP/IP
10. Basit dosya yazıcı servisleri üzerine odaklanmış bir Windows NT network’ünün sistem yöneticisisiniz. Network’ünüzü Windows Server 2003’e upgrade etmek ve kullanıcılara Internet
erişimi sağlamakla yükümlüsünüz. Şu anda network’ünüz, iki lokasyon arasında yönlendirme
gerektirdiğinden ve IP network tecrübe eksikliğinden NWLink üzerinden çalışıyor. İnternet erişimi için network protokolünüzü TCP/IP olarak değiştirmek istiyorsunuz. İş istasyonlarından
web sayfalarına ulaşabilmek amacıyla internet erişimi sağlamak için OSI modelindeki hangi
katmanları göz önünde bulundurmalısınız?
A. Network katmanı
B. Application katmanı
C. Presentation katmanı
D. Transport katmanı
11. Asansör motorları tamir eden ve üreten bir şirketin oldukça eski bir network’ünde aralıklarla meydana gelen iletişim sorunlarını gidermeniz isteniyor. Bu network’ün TCP/IP üzerinde
çalışan thin-coax bir Ethernet Windows NT LAN olduğunu saptadınız. Şirket yeni stabil platformun bu problemleri çözeceğini umarak sizden sistemi Windows Server 2003’e upgrade
etmenizi istiyor. Upgrade işlemini rahatça gerçekleştirdiniz ve başlangıçta her şeyin düzgün
şekilde işlediği görülüyor. Bununla birlikte iletişimde yaşanan kesilme problemi yeniden ortaya çıkıyor. Bu problem büyük olasılıkla OSI’nin hangi katmanında ortaya çıkıyor?
A. Physical katman
B. Data-Link katmanı
Windows Server 2003 Network’ünü Anlamak
C. Network katmanı
D. Transport katmanı
E. Session katmanı
12. Geniş bir alan işgal eden bir üretim şirketinde çalışıyorsunuz. Yönetim size, daha önceden
tedarik sağlayıcısı olarak hizmet veren, şehrin diğer tarafındaki bir şirketin satın alındığını
söylüyor. Sizin Windows Server 2003 network’ünüzün router aracılığıyla yeni lokasyona bağlanması gerekiyor. Aynı zamanda çalışmasına devam etmesini isteğiniz bir kaç adet NetBIOS
uygulamanız var. Bu kriterlerin karşılanmasını sağlamak için hangi protokolleri kullanabilirsiniz?
A. NWLink
B. TCP/IP
C. XNS
D. NetBEUI
13. Hentbol topu üreten ve Intel PC tabanlı bir Windows Server 2003 network’üne sahip bir şirkette çalışıyorsunuz. Paketleme maliyetlerini düşürmek için, şirket yönetimi bir grafik tasarım firmasını satın aldı. Yeni satın alınan şirket Macintosh tabanlı ve kendi aralarında haberleşmek
için AppleTalk protokolünü kullanan bir network’e sahip. Bu iki network’ü, bilgilerin kolaylıkla
paylaşılabilmesi için entegre etmek zorundasınız. Bu network’teki tüm iş istasyonlarının iletişim kurabilmesi için hangi protokolü kullanmanız gerekir?
A. AppleTalk
B. TCP/IP
C. NWLink
D. NetBEUI
14. 175 makineden oluşan bir network’ü yönetiyorsunuz. Müdürünüz bu network’e 192.168.11.0
IP adresini ve varsayılan subnet mask olarak 255.255.255.0’ı atadı. Bir adet WAN arabirimi
ve sekiz adet LAN arabirimi olan bir router bu network’ü organizasyonun WAN’ına bağlıyor.
Bu network’ü üç alt network’e ayırmak ve bir kaç tane adresi de ileride ihtiyaç duyulabilme
olasılığına karşın dördüncü subnet’e ayırmak istiyorsunuz. Subnet A’nın 25, Subnet B’nin 50,
Subnet C’nin 100 bilgisayardan oluşmasına karar verdiniz. Aşağıdaki resimde, Seçenekler
kolonundan network adresleri ve subnet mask’leri seçerek uygun kutular içerisine yerleştirin.
Her bir öğe sadece bir kez kullanılabilir.
37
38
Bölüm 1
15. Çalıştığınız çok uluslu şirketin bir kaç subnetten oluşan Windows NT ve Novell NetWare
bir network’ü var. Birlikte çalışabilirliği sağlamak için, NT network’ünde NWLink ve NetWare
network’ü için IPX kullanıyorsunuz. Windows NT network’ünü, yönetimin daha az masraflı
olması açısından Windows Server 2003’e migrate etmeniz söylendi. Yönetimsel açıdan maliyetin düşmesinin Active Directory kullanımının sonucu olduğunu biliyorsunuz. Bu yüzden
migration planınıza bu servisi de dahil ediyorsunuz. Bu network’te Active Directory kurup
kullanabilmek için öncelikli olarak ne yapmanız gerekecek?
A. Protokolü TCP/IP ile değiştirin.
B. Active Directory’nin bir kopyasını Windows 2003 Server bilgisayarlarına yüklediğiniz gibi
NetWare sunucularına yüklediğinizden emin olun.
C. Windows NT sunucuları upgrade ederken bazılarına Active Directory yükleyebilmek için
domain controller olarak seçin.
D. Windows Server 2003’ün NetBIOS bileşenleri ile bağlanabilirliği sağlamak için NetBEUI’ı
yükleyin.
16. Windows Server 2003 ve Windows XP bilgisayarlarından oluşan büyük bir internetwork’ün
sistem yöneticisisiniz. Bu network’de IP adresleri statik olarak verilmiş. Sunucularınızdan bir
tanesinin IP bağlantı problemi var. Aynı LAN’de sunucu olarak çalışan diğer iki bilgisayar
daha var. Bu iki bilgisayar sunucuya ve intrenetwork’deki diğer bilgisayarlara erişmede herhangi bir sorun yaşamıyor. Aşağıdaki diagram, sorudaki LAN düzenini gösteriyor. Sunucunun
IP adresi 10.89.155.14’dür. (İki seçenek işaretleyin.)
Aşağıdaki çıktı, sunucu tarafından üretilmiştir ve bu sunucunun yönlendirme sırasında karar
vermek için kullandığı yönlendirme tablosunu göstermektedir.
Windows Server 2003 Network’ünü Anlamak
Aşağıdaki seçeneklerden hangi ikisi birlikte LAN’ın diğer bölümlerini etkilemeyecek şekilde
sunucunun tüm internetwork boyunca bağlanabilirliğini sağlar?
A. Sunucunun IP adresini 10.89.155.66 şeklinde değiştirin.
B. Sunucunun default gateway’ini 10.89.155.65 şeklinde değiştirin.
C. Router’ın lokal IP adresini 10.89.155.1 şeklinde değiştirin.
D. Sunucunun subnet mask’ini 255.255.255.128 şeklinde değiştirin.
E. Sunucunun subnet mask’ini 255.255.255.0 şeklinde değiştirin.
F. Router’ın lokal subnet mask’ini 255.255.255.192 şeklinde değiştirin.
G. Dizüstü bilgisayarın IP adresini 10.89.155.67 şeklinde değiştirin.
17. Windows XP Professional ve Windows Server 2003 bilgisayarından oluşan bir internetwork’ün
sistem yöneticisisiniz. Kısmi olarak IP bağlantı problemi yaşıyorsunuz. Aşağıdaki diyagrama
bakın.
Hiçbir sunucuda ya da diğer bilgisayarlarda herhangi bir statik yapılandırılmış yönlendirme
bilgisi yok. 10.250.12.10 adresine sahip sunucu, default gateway’i 10.250.12.1 olacak şekilde yapılandırılmış. 172.16.45.0 subnet’indeki host’lar default gateway’leri 172.16.45.1 olacak
şekilde yapılandırılmış. Birkaç ping ve trace route komutu çalıştırdığınızda şunları fark ediyorsunuz: 10.250.12.10 adresli host ve 172.16.45.0 subnet’inde bulunan host’lar 192.168.1.100
host’una ulaşabiliyorlar. 172.16.45.0 subnet’indeki host’lar birbirlerine ulaşabiliyor. 172.16.45.0
subnet’indeki host’lar 10.250.12.10 host’una ulaşamıyor. 10.250.12.1 router’ına Telnet oturumu ile bağlandığınızda bu router’ın statik olarak 172.16.45.0/24 subnet’ine yönledirecek şekilde yapılandırıldığını fark ediyorsunuz. Aşağıdaki adımlardan hangisi yaşanan bu bağlantı
problemini büyük olasılıkla çözer?
A. Router üzerindeki statik route’ı silin.
B. 172.16.45.0 subnet’indeki host’larda, 10.250.12.0/24 subnet’ine statik route ekleyin.
C. Diğer router üzerinde, 10.250.12.0/24 subnet’ine statik route ekleyin.
D. 192.168.1.100 host’una her biri iki subnet’ten birine doğru yönlendirilmiş iki statik route
ekleyin.
E. 172.16.45.0 subnet’indeki host’ları doğru default gateway ile yapılandırın.
18. Aşağıdaki subnet mask’lardan hangileri C sınıfı bir network için 8 subnet ve her subnet başına
30 host sağlar? (Uygun olan tüm seçenekleri seçin.)
A. /27
B. /28
C. 255.255.255.240
39
40
Bölüm 1
D. 255.255.255.192
E. 255.255.255.224
19. /28 mask’ı ile aşağıdaki adreslerden hangileri aynı subnet’teki host’lara atanabilir? (Uygun
olan tüm seçenekleri seçin.)
A. 192.168.1.0
B. 192.168.1.17
C. 192.168.1.31
D. 192.168.1.16
E. 192.168.1.25
20. Aşağıdakilerden hangileri /29 mask kullanımının sonucu subnet sınır adreslerindendir? (Uygun olan tüm seçenekleri seçin.)
A. 172.20.73.12
B. 10.8.1.212
C. 192.168.0.0
D. 192.168.1.16
E. 192.168.164.208
Windows Server 2003 Network’ünü Anlamak
Gözden Geçirme Sorularının Cevapları
1. A. B sınıfı bir adres 255.255.0.0 varsayılan subnet mask’ı ile 65,534’e kadar host’u destekler. Bu network’ün destekleyebileceği network sayısını artırmak için, adresin host kısmındaki
bitleri ödünç alarak network’ü subnet’lere ayırmanız gerekir. 255.255.252.0 subnet mask’ı,
host kısmının 6 bit’ini kullanır ve her bir subnet başına 1022 host kullanmaya yetecek şekilde
64 subnet’i destekler. 255.255.248.0 subnet mask’ı, host kısmının 5 bit’ini kullanır ve her bir
subnet başına 2046 host kullanmaya yetecek şekilde 32 subnet’i destekler. 255.255.252.0
büyük ihtimalle daha iyi bir cevap olur. Çünkü gelişmekte olan bir network için subnet başına
1000’den fazla adres kullanılabilir olması epeyce yeterli bit bırakır ki 1000 aygıt bir subnet’de
bulunabilecek aygıt sayısı için oldukça fazladır. 255.255.254.0 host kısmının 7 bit’ini kullanarak 120’den fazla network’ü destekleyebilir; fakat host’lar için geriye sadece subnet başına 500 host’u destekleyecek kadar bit kalır. 255.255.240.0 subnet mask’i host’un 4 bit’ini
kullanarak subnet başına 4000’den fazla host’u desteklemesine rağmen sadece 16 subnet’i
destekler.
2. D. Eski NetWare network’leri IPX protokol tabanlıdır. İki network aygıtının iletişim kurabilmesi
için ortak bir protokol olmalıdır. Çünkü NetWare servisleri için gateway olarak çalışan bir sunucu yok. Tüm NT iş istasyonlarında NWLink yüklenmiş olmalıdır. Aynı zamanda iş istasyonlarında, yazıcıya bağlanabilmeleri için NetWare client yüklenmelidir.
3. A. Bir network mask bir adrese uygulanarak bu adresin hangi kısmının o network’de bulunabilecek host sayısına etki edeceğini belirler. Subnet’lere ayırmadaki denge her zaman
host sayıları ve subnet sayıları arasındadır. Host ve network sayıları kendilerini temsil eden
bit’lerin sayılarına bağlıdır. Soruda belirtilen senaryo gereği 35’den fazla network ve bu her
network’te 1000’e yakın host olmak durumunda. Eğer subnet mask’ı bu bölümde anlatıldığı
şekilde çevirirseniz, A seçeneğindeki mask’ın her birinde 1000’in üzerinde host olacak şekilde
60’dan fazla network’ü desteklediğini görürsünüz. Diğer tüm seçenekler network ya da host
sayıları açısından yetersizdir.
4. A. 255.255.255.192 subnet mask’ı, Windows sunucu aracığıyla yönlendirebileceğiniz dört
ayrı network oluşturmanızı sağlayacak şekilde host tarafından iki bit çalar. Bu sizin her bir
segment’te 62 host’a sahip olmanıza izin verir. Bir 255.255.255.128 subnet mask’ı daha iyi
bir çözüm (her birinde 126 host olacak şekilde iki subnet) olabilirdi. Fakat böyle şıklarda böyle bir seçenek yok. 255.255.255.224 subnet mask’ı host kısmından 3 bit çalarak sizin her
birinde sadece 30 host için yeterli olabilecek şekilde (ihtiyacınız olmayacak kadar) 8 network
oluşturmanıza izin verir. 255.255.255.252 subnet mask’ı host’tan 6 bit çalarak her birinde
sadece 2 host’a izin verecek şekilde (ihtiyacınızdan fazla) 60 subnet yaratmanıza izin verir.
255.255.255.240 subnet mask’ı host kısmından 4 bit çalarak her birinde 14 host bulunan (ihtiyacınızdan fazla) 16 subnet yaratmanızı sağlar.
5. B. Her bir paket bir header ve data kısmına sahiptir. Ayrıca her bir paket tipik olarak header,
data ve trailer içeren bir frame içerisine yerleştirilmiştir. Paket header’ı kaynak ve hedef mantıksal adreslerini içerir.
6. C. NetBEUI ve NetBIOS birbirinden farklı şeylerdir. NetBEUI, bir NetBIOS arabirimine sahip bir transport protokolüdür. Bununla birlikte, Windows Server 2003’le birlikte gelen her bir
protokol NetBIOS bileşenine sahiptir ve NetBIOS programlarıyla haberleşebilmek için kullanılabilir. Protokollerin bind edilme sırasının performansa bir etkisi olsa bile burada belirtilen
problemle ilgili etkili değildir. Ekstra protokol, sadece network bant genişliğini gereksiz olarak
kullanır.
7. C. Windows Server 2003’de Network Driver Interface Specification (NDIS) protokollerin data
link sürücülerine bağlanmaları için standart bir yol sağlar. Bu Windows Server 2003’ün birçok protokolü desteklemesini sağlar. Eğer geliştiricisi NDIS’i desteklerse, o protokol Windows
Server 2003’e yüklenebilir. Ancak bu, bu protokolün Windows Server 2003 servisleriyle birlikte çalışmasını sağlamaz. Uygulamalar, özel bir protokol için yazılmış olmak zorundadır.
41
42
Bölüm 1
8. B, C, D. Şu an için network adresi verilmesi gereken lokasyon sayısının toplamı 3150’dir. Bu
lokasyonların herhangi birindeki maksimum host sayısı ise 1000’den az. Subnet mask’in bu
gereksinimleri desteklemesi gerekir. Bir A sınıfı private adres havuzunu seçtiğinizi varsayalım,
10.0.0.0/8. B, C ve D seçeneklerinde verilen subnet mask’lar özetlenen gereksinimleri karşılayacak şekilde bir adres havuzu sağlar. 255.255.240.0 subnet mask’ı 4000’den fazla subnet’i
ve 4000’den fazla host’u destekler. 255.255.248.0 subnet mask’i 8000’den fazla subnet’i ve
2000’den fazla host’u destekler. 255.255.252.0 subnet mask’ı, 16,000’den fazla subnet’i ve
1000’den fazla host’u destekler. Bu subnet mask’ların hepsinin de sonuç vermesine rağmen
şirketin büyümekte olduğunu göz önünde bulundurursak gelecek için hazırlanmak adına büyük olasılıkla en iyi seçim 255.255.255.252 subnet mask’ı olacaktır. Belirtilen herhangi bir
network’te 1000’den fazla host’un bulunması pek de muhtemel değildir. Aslında, bir subnet’te
bu kadar sayıda host’un bulunması, o subnet’te performans problemlerine yol açabilir. Bu
yüzden şirket büyüdüğü için elde yayabileceğimiz daha fazla subnet’in bulunması daha iyidir.
255.255.224.0 subnet mask’i yaklaşık olarak 2000 subnet’i destekler ki bu sayı tüm network
için yetersiz kalacaktır. 255.255.254.0, 32,000’den fazla subnet’i desteklemesine rağmen her
subnet’te sadece 500 host’u destekleyebileceğinden yetersiz kalacaktır.
9. D. TCP/IP, bilgisayarların ve network’lerin birbirleriyle bağlanması için en geniş çapta kullanılan protokoldür. İnternette kullanılan tek protokoldür ve soruda bahsi geçen protokoller ile
uyumlu tek protokoldür. Çok büyük internetwork’lerde oldukça iyi çalışır.
10. A, B, C, D. TCP Transport katmanında, IP Network katmanındadır ve ikisi birlikte İnternette
yönlendirme talepleri için gereklidir. Bununla birlikte, aynı zamanda web sitelerine bağlanmak
için HTTP çağrıları sağlayan Internet Explorer ve Netscape gibi web tarayıcılarına ihtiyaç
duyarsınız. Web tarayıcıları Application katmanındadır. Fakat herhangi bir uçtan uca iletişim
OSI modelinin tüm katmanlarını bazı noktalarda kullanır. Çünkü her bir katman zinciri tamamlamak için altındaki ve üstündeki katmanla iletişim kurar.
11. A. Physical katman spesifik olarak elektik, optik ve radyo sinyalleme ile ilgilidir. Yüksek voltaj
koaksiyel kablo üzerindeki sinyallerde kolaylıkla kesintiye sebep olabilir. Diğer katmanlar yazılımla ilgili olduğundan, tüm iş istasyonuna etki etmedikçe elektriksel parazitten etkilenmez.
12. A, B. NWLink ve TCP/IP yönlendirilebilir protokollerdir ve NetBIOS uygulamaları ile birlikte
çalışabilirler. Çünkü her ikisi de Microsoft versiyonlarıdır ve uygun iletişim arabirimine sahiptir.
XNS yönlendirilebilir bir protokoldür; fakat Windows Server 2003’de desteklenmez. TCP/IP’nin
karşı konulamaz popülerliğinden dolayı network’lerde XNS artık genel olarak kullanılmamaktadır. NetBEUI, NetBIOS programlarını desteklemesine rağmen yönlendirilebilir değildir.
13. B. Macintosh bilgisayarlar kendi aralarında iletişim kurabilmek için AppleTalk kullansalar bile,
bu bilgisayarlar aynı zamanda TCP/IP de çalıştırabilirler. Bu yüzden bu iki network birleştirilirken AppleTalk’a ihtiyaç olmaz. AppleTalk’u sunuculara ekleyebilirsiniz ve bu iki farklı tipteki
makine dosyaları paylaşabilir. Fakat herhangi bir network için mümkün olduğunca kullanılan
protokol sayısını düşürmek performans açısından önemlidir.
14. 192.168.11.192 network adresi, 255.255.255.224 subnet mask’ı ile Subnet A için çok uygundur, çünkü 30 host’a kadar destek verir. 192.168.11.128 network adresi, 255.255.255.192
subnet mask’ı ile Subnet B için uygundur, çünkü 62 host’a kadar destek verir. 192.168.11.0
network adresi, 255.255.255.128 subnet mask’ı ile Subnet C için uygundur, çünkü 126 host’a
kadar destekler.
Windows Server 2003 Network’ünü Anlamak
15. A. Active Directory, işlevini yerine getirebilmek için TCP/IP’ye ihtiyaç duyar. Aynı anda aynı
network’te TCP/IP ve IPX kullanabilmenize rağmen çoklu protokol kullanımı çok da faydalı
değildir. Çünkü network için daha fazla destek gerektirir. Active Directory NetWare üzerinde
çalışmaz ve NetBIOS uygulamaları için NetBEUI gerekli değildir. Sonuç olarak Active Directory herhangi bir Windows Server 2003 bilgisayarına yüklenebilir ve kaldırılabilir. Bir çeşit
sunucu değil bir servistir.
16. B, D. Soruda verilen parametrelerle bu problemi çözmenin en iyi yolu, sunucuya uygun bir
adres verip (10.89.155.65) internetwork’ün kalan kısmına erişmesini sağlamaktır. Bunun çalışması için, sunucunun bu adresin kendi subnet’inde olduğuna inanması gerekir. Sunucunun
/26 subnet mask’ıyla, dördüncü oktetlerinde 1 ile 62 arasında olan host’lar ile dördüncü okteti
65 ile 126 arasında olan host’lar farklı subnet’lerdedir. Eğer sunucu bu mask’i kullanırsa, default gateway’in farklı bir subnet’te olduğunu düşünür. Router aynı layer-2 segment’inde, bu yüzden aynı network segment’inde olması da gerekir. Sunucunun subnet mask’ını 255.255.255.0
(E seçeneği) olarak değiştirmek router ile aynı subnet’te bulunacağından çözüm olarak görülse bile, router’ın diğer tarafındaki Ethernet segment’ine bağlanabilirliğine etki yapacaktır.
Böyle bir durumda sunucu router’ın diğer tarafındaki segment’te bulunan host’lara, router
yoluyla değil de direk olarak ulaşmaya çalışacaktır. Router’ın lokal subnet mask’ını F seçeneğindeki gibi değiştirmek ve sunucunun dördüncü oktetini 65 ile 126 aralığına çekmek (A
seçeneği), sunucunun internetwork’ün geri kalan tüm kısımlarına erişebilmesini sağlamasına
rağmen, router’ın lokal subnet’teki diğer iki host ile bağlantısını kesecektir. Bu yüzden, sunucu için en iyi subnet mask 255.255.255.128’dir. Çünkü tüm host’lar dördüncü oktetlerinin
1 ile 126 arasında olması ile aynı subnet’te yer alacaktır. Sunucuyla aynı subnet’te bulunan
LAN’deki diğer aygıtlar router aracılığıyla iletişim kurabildiklerinden dolayı, diyagramı analiz
ettikten sonra bu host’ların /25 mask’i ile default gateway olarak 10.89.155.65’i kullandıklarını
görürsünüz. Aynı subnet’teki tüm host’ların aynı subnet mask’a sahip olmaları gerekir. C ve F
seçeneğindeki gibi sunucu ayarları ile router’ın sunucuyla bağlantısı sağlanabiliyor olmasına
rağmen LAN’deki diğer iki host’un default gateway adresi 10.89.155.1 olacak şekilde yeniden
yapılandırılması gerekecektir. Sunucuyla dizüstü bilgisayarı dördüncü oktetleri 65 ile 126 arasına (A ve G seçeneği) getirilmesi suretiyle birbirleriyle olan ve sunucunun internetwork’ün
kalan kısmı ile olan bağlantısına etki etmemesine rağmen, sunucunun 10.89.155.16 adresli
bilgisayar ile bağlantısını kesecektir.
17. C. 172.16.45/0 subneti’ndeki host’ların default gateway’leri zaten lokal router için ayarlanmış
olduğundan, uzak network için statik yönlendirme eklemek bu host’ların bağlantısına etki etmez. Üstelik bu subnet’teki iki host’un default gateway yapılandırılmasının doğru olduğunu
biliyorsunuz, çünkü bu iki host 191.168.1.100 host’una herhangi bir statik yönlendirme olmadan ulaşabiliyor. Sol taraftaki router 172.16.45.0 subnet’ine ulaşabilecek şekilde yapılandırıldığından, problem sağ taraftaki router’ın 10.250.12.0 subnet’ine ulaşamamasına dayanıyor.
Sağ taraftaki router üzerinde bu amaçla bir statik yönlendirme yapılandırmak, tam anlamıyla
bağlanabilirliği sağlayacaktır.
18. A, E. Bir C sınıfı adres için 255.255.255.224 ve /27 her birinde 30’ar host’tan toplamda 8
subnet’i meydana getiren subnet mask’ı gösterir.
19. B, E. /28 mask’i tüm beş adrese uygulandığında, 192.168.1.0 bir host adresi olarak kullanılamayacak bir subnet aralığında görünür. Sadece 192.168.1.7 ve 192.168.1.25 adresleri /28
mask’ı uygulandığında aynı subnet’teki geçerli host adresleridir. 192.168.1.16 ve 192.169.1.31
adresleri aynı subnet’te olmalarına rağmen sırasıyla subnet sınır adresi ve subnet broadcast
adreslerini temsil eder ve bu yüzden host adresleri ataması için geçersizdirler.
20. C, D, E. Her zaman için 0 subnet kullanabileceğinizi hatırlayın (C). 32 – 29 = 3 ve 2^3=8 olduğundan, dördüncü oktetteki subnet sınırları (32, 29’dan büyük ilk 8’in katı sayıdır ve 32 ÷
8=4’tür) 8’in katları olur (D ve E seçenekleri).
43
2
TCP/IP
Kurulum ve
Yapılandırması
2 TCP/IP Kurulum ve
Yapılandırması
• Temel TCP/IP Ayarlarının Yapılandırılması
• Gelişmiş TCP/IP Ayarlarını Yapılandırmak
• Network Bindings Yapılandırmak
• Network Trafiğini Monitor Etmek
• Network Protokollerinde Sorun Gidermek
• Özet
• Sınav Esasları
• Gözden Geçirme Soruları
• Gözden Geçirme Sorularının Cevapları
TCP/IP Kurulum ve Yapılandırması
Windows Server 2003, Windows 2000 ve Windows NT 4 ile aynı protokollere destek verir. TCP/
IP gibi protokollerden bazıları daha büyük önem taşır. NetBEUI gibi diğer protokoller, yavaş ve
aşamalı olarak önemini yitirmektedir. Bu bölümde TCP/IP’nin nasıl yapılandırıldığı ve TCP/IP’de
nasıl sorun çözüldüğü üzerinde durulacak. Bu bölümü bitirine kadar, TCP/IP yapılandırma parametrelerinin nasıl ayarlanacağını, network kartlarıyla (NICs) protokolleri ilişkilendirme işlemi olan
binding’in nasıl yapılandırılacağını öğreneceksiniz. Aynı zamanda Network Monitor, ping, ipconfig
ve tracert gibi yerleşik araçları kullanarak TCP/IP ve internet bağlanabilirliğinin nasıl izleneceğini
ve nasıl sorun giderileceğini öğreneceksiniz.
Temel TCP/IP Ayarlarının Yapılandırılması
TCP/IP Windows Server 2003 kurulum işleminin bir parçası olarak yüklenir ve kaldırılamaz. Keza
manuel olarak da yüklenemez. Bilgisayar açıldıktan sonra otomatik olarak gelen Configure Your
Server Wizard ile TCP/IP ayarlarını yapılandırabilirsiniz. TCP/IP yüklendikten sonra varsayılan
olarak, otomatik yapılandırma için sonraki kısımda ve kitabın ilerleyen bölümlerinde açıklanacak olan Dynamic Host Configuration Protocol (DHCP) kullanır. Eğer otomatik yapılandırma için
DHCP kullanmak isterseniz – sunucular genellikle statik adresleme kullanır – elbette yapabilirsiniz, ancak bir network yöneticisi olarak (bununla ilgili sorularla kaşılacaksınız) bir TCP/IP bağlantısının manuel olarak nasıl yapılandırıldığını bilmeniz gerekir.
Eğer TCP/IP’nin yapılandırmasının zor olduğunu düşünüyorsanız, Windows Server 2003’ün Internet Protocol (TCP/IP) Properties diyalog kutusu kullanılarak bunun yapılandırılması sizi şaşırtabilir. Aslında TCP/IP, görevini yapabilmek için sadece iki bilgiye ihtiyaç duyar:

Bu sistem için kullanmak istediğiniz IP adresi.

İstemcinin bulunduğu network subnet’i ile uyuşacak şekilde subnet mask.
Şekil 2.1 Internet Protocol (TCP/IP) Properties diyalog kutusunu gösterir. Bu diyalog kutusunu getirmek için Start > Control Panel > Network Connections > Local Area Connection’da Properties
butonuna tıklayıp gelen ekrandan Internet Protocol (TCP/IP) seçip Properties butonuna tıklayın.
Bilgisayarınızda birden fazla network kartı varsa, her kart için TCP/IP özelliklerini birbirinden bağımsız olarak ayarlayabilirsiniz. Ne yapmak istediğinize bağlı olarak otomatik yapılandırmayı ya
da metin alanlarını kullanırsınız.
Default Gateway ve DNS Ayarları
Şekil 2.1’de, DNS ve default gateway için ayarları görebilirsiniz. Devam etmeden önce bu terimlerin anlamları ve default gateway ve DNS’in niçin kullanıldığını
bilmeniz gerekir.
Default gateway bilgisayarınızla, farklı bir subnet’teki
bir bilgisayar arasındaki trafiği yönlendirmek için kullanılır. Gateway terimi ilk internet terimlerinden birisidir ve bu terimin yerini başka terimler almasına rağmen hala kullanılır. IETF RFC’lerin orijinal diline göre
gateway ile router kastedilmektedir. Her router bir IP
adresine sahiptir. Bu IP adresi, istemcilerin dışarıya
gönderilen paketlerin layer 2’de gönderileceği MAC
adresini elde etmede kullandığı IP adresidir. Paketlerin diğer network’ler için nereye gönderileceğine karar
verilirken, Windows Server 2003 kendi yönlendirme
Şekil 2.1: Temel TCP/IP Properties diyalog kutusu.
48
Bölüm 2
tablosunu kullanarak istenen alıcının hedef adresi ile bu tablodaki hangi kaydın en iyi şekilde
örtüştüğüne karar verir.
Komut satırında route print komutunu kullanın ve bunu default gateway’in nasıl kullanıldığı
açıklanırken takip edin. IP adresi 192.168.1.100 olan bir sunucuya ait aşağıdaki örnek çıktıyı göz
önüne alalım.
Windows sunucunun yönlendirme tablosunu kullanma işlemini, hedef adres (giden IP paketinin
header’ında yer alır) ile her satırının netmask kolonunu bit bazında AND işlemine (AND’leme işlemi de denir) sokarak gerçekleştirir. Ardından sonuç aynı satırın Network Destination kolonu ile
karşılaştırılır. Eğer bir eşleşme bulunursa, o satır kullanıma aday olarak düşünülebilir. Sadece tek
bir aday bir hedef adres için kullanılabilir. Eğer birden fazla satır bu iletişim için uygun durumda
görünürse, netmask kolonundaki değerlerden binary 1 bit sayısı en büyük olan ve metric kolonundaki değeri en düşük olan kullanılır.
AND’leme işlemine aşina değilseniz, şu şekilde yapıldığını söyleyebiliriz: Bir binary 1 biti sadece
ve sadece iki binary 1 bitinin AND’lenmesiyle meydana gelebilir. Diğer üç kombinasyon da 0 sonucunu üretir. Bu temel prensibin sonucu olarak kullandığınız mask’in herhangi bir yerindeki 1 bitinin, hedef adresteki aynı pozisyona karşılık gelen 1 biti ile sonucun aynı pozisyon biti 1 olacaktır.
Buna ek olarak mask’ta 0 olan bit pozisyonlarına, hedef adresin o bit pozisyonuna karşılık gelen
değeri ne olursa olsun sonucun aynı bit pozisyonundaki değerini 0 yapacaktır.
Bir paketin 192.168.1.200 adresine yöneltilmiş olduğunu varsayalım. Bizim örnek yönlendirme
tablomuzda, sunucu ilk satırın Netmask değeri ile 192.168.1.200’ü AND’leyecektir. Sonuç 0.0.0.0
olacaktır. O satırın Network Destination kolonu ile karşılaştırıldığında AND işleminin sonucuyla
eşleşecektir. Aslında, 0.0.0.0 ile AND’lendiğinde farklı bir sonuç üreten bir adres yoktur. Bu da
demek oluyor ki, yönlendirme tablosundaki ilk satır her zaman bir eşleşme üretir ve kullanıma
adaydır. Bu sizin default route’unuzdur. Bu satır için Gateway kolonunun altındaki adres bu sunucu için default gateway’dir.
Aynı adımlar yönlendirme tablosundaki diğer satırlar için de uygulanır. Her bir satır için hedef
adres ile mask değerinin AND’lenmesi sonucu üretilen değerle aynı satırın Network Destination
kolonu karşılaştırılır. Bu örnekte sadece üçüncü satır ek bir aday üretecektir. Bunu 192.168.1.200
ve 255.255.255.0 değerlerinin binary karşılıklarını bit bazında AND’leyerek doğrulayın (kendi kafanızdan ya da bir hesap makinesi ile decimal sayıları AND’leyebilirsiniz; fakat işin temelinde yatan matematik hala binary matematiğidir). Sonuç olarak yönlendirme tablosunun üçüncü satırının
Network Destination kolonundaki 192.168.1.0 değerini elde edersiniz. Yönlendirme tablosundaki
diğer tüm kayıtlar Netmask kolonundaki değerle hedef adres değerinin AND’lenmesi sonucu istenen sonucu vermeyecektir.
TCP/IP Kurulum ve Yapılandırması
Şu anda hedef adrese yönelmek için iki adet kullanılabilir yönlendirme girdimiz mevcut. Bu her
iki kayıt için Netmask kolonlarındaki değerde bulunan binary 1’lerinin sayıları karşılaştırılır. İlk
kayıt, mask’ında hiçbir 1 bitine sahip değilken, üçüncü kayıt 24 adet 1 bitine sahip olduğundan bu
üçüncü kayıt kullanılabilir yönlendirme girdimiz olacaktır. Üçüncü kaydın Gateway kolonunun değerinin sunucunun kendi IP adresi olduğuna dikkat edin, bu durumda hedef aygıt lokal subnet’te
ve sunucu ile hedef default gateway aracılığıyla değil de layer 2’de iletişime geçeceklerdir diyebiliriz.
Örnek olarak 10.10.10.1 bir hedef adresini düşünün. Bu değer ile yönlendirme tablosundaki her
bir kaydın Netmask kolonu AND’lendiğinde, sonuc sadece ilk kaydın Network Destination kolonu
ile eşleşir. Sonuç olarak sunucu layer 2’de ilk kaydın Gateway kolonundaki IP adresli default
gateway’i ile eğer gerekirse router’ın MAC adresi için ARP talebinde bulunarak iletişime geçecektir. Bir uzak subnet’te yer alıyor ise hedef aygıtın MAC adresi sunucu tarafından kullanılamaz.
Çünkü router network’ten sadece layer 2 header’ında kendi MAC adresini gördüğü frame’leri
okur. Bundan dolayı, uzak bir aygıtın MAC adresi için adreslenmiş olan bir frame router tarafından
yok edilebilir. Ancak hedef aygıt için layer 3 adresi gereklidir. Default gateway’in, paketleri kendi
yönlendirme tablosundaki hedef IP adresine bakarak, hedef aygıtın subnet’ine doğru göndermesi
beklenir. Böylece, (diğer kayıtlar bir ya da daha fazla 1 biti içerdiğinden) diğer hiç bir kayıt eşleşmediğinde kullanım için default route seçilir.
Domain Name System (DNS), kullanıcılar için network kaynaklarına ulaşmaya çalışırken IP adresleri yerine hiyerarşik, kullanıcı dostu isimler kullanmasını sağlayan bir protokol ve servisler
kümesidir. Bu sistem geniş ölçüde internette ve özel kuruluşlarda kullanılır. Eğer internet üzerinde
bir web tarayıcısı, Telnet uygulaması, FTP yardımcı aracı ya da benzer TCP/IP yardımcı araçları
kullandıysanız mutlaka DNS sunucu kullandığınızı rahatlıkla söyleyebiliriz.
DNS protokolünün en iyi bilinen görevi kullanıcı dostu isimleri IP adresleri ile eşleştirmesidir. Örneğin, IP adresi 157.55.100.1 olan Microsoft’a ait bir FTP sitesi olduğunu varsayalım. Çoğu kullanıcı bu bilgisayara IP adresi ile değil de ftp.microsoft.com şeklinde ulaşırlar. Akılda tutulmasının
kolay olmasının yanı sıra, isimler daha güvenilirdir. Sayısal adresler birçok nedenden dolayı değişebilir, fakat bulunduğu IP adresinin değişmesine rağmen bu ismin aynı kalması gerekir. Eğer
istemcilerinizin DNS kullanmasını istiyorsanız, TCP/IP Properties diyalog kutusunda bir ya da
daha fazla DNS sunucu belirtmelisiniz. DNS sunucuları isim adres kayıtlarını tutar ve istemcilere
adres bilgileri ile etkin bir şekilde iletişim kurmak için ihtiyaç duydukları DNS servis’ini sağlar. DNS
ile ilgili daha fazla bilgiyi ve DNS sunucuların nasıl yapılandırılacağını Bölüm 6’da göreceksiniz.
Internet Protocol (TCP/
IP) Properties diyalog kutusunun temel
öğelerini biliyorsunuz,
şimdi çeşitli ayarların
nasıl yapılandırıldığını
göstereceğiz.
DNS’i görmezden gelmek ya da DNS’e sadece üst seviyede göz atmak gibi genel bir yaklaşım
vardır. Bununla birlikte, 70-291 sınavı DNS ile ilgili zone’lar, resolver’lar ve protokolün diğer
temellerini kapsayacak şekilde belirli bir düzeyde bilgi sahibi olmayı gerektirir. DNS’i öğrenmek size sadece sınavda değil bir IT profesyoneli olarak kariyerinizde de yardımcı olacaktır.
Otomatik TCP/IP Ayarlarının Yapılandırılması
Dynamic Host Configuration Protocol, TCP/IP istemcilerinin yapılandırmasının otomatikleştirilmesi için tasarlanmış sunucu tabanlı bir servistir. Network’ünüze bir ya da daha fazla DHCP sunucu
kurabilirsiniz. DHCP sunucularınızı adres aralıkları ve diğer yapılandırma parametreleri ile programlayıp istemcilerinizin herhangi bir manuel etkileşime gerek kalmadan otomatik olarak IP adres
bilgilerini almasını sağlayabilirsiniz. Uygun DHCP yapılandırması ile – DHCP desteğine sahip
olan herhangi bir işletim sistemi çalıştıran – istemcileriniz hiçbir müdahaleye gerek kalmadan ya
da çok az bir müdahale ile yapılandırılabilir.
Eğer bir Windows 2000 Professional ya da XP Professional yapılandırıyorsanız, varsayılan TCP/
IP ayarları düzgün çalışacaktır, çünkü bu işletim sistemlerinin TCP/IP takımı, yapılandırma para-
49
50
Bölüm 2
metrelerini mevcut bir DHCP sunucudan alacak şekilde yapılandırılmıştır. Aynı subnet aralığında
adreslere sahip DHCP kullanan ve DHCP kullanmayan makineleriniz olabilir. Bir istemciyi, DNS
adresleri dışında diğer istediğiniz tüm parametreleri DHCP’den alacak şekilde de yapılandırabilirsiniz. Internet Protocol (TCP/IP) Properties diyalog kutusunda bir bilgisayarı otomatik adresleme
için yapılandırmak amacıyla iki seçeneğiniz vardır:

Bir bilgisayarı TCP/IP yapılandırma bilgilerini DHCP sunucudan alacak şekilde yapılandırmak
için Obtain An IP Address Automatically radyo butonunu seçin.

Eğer DHCP’yi temel IP adresleme için kullanıyor ve aynı zamanda DHCP’den DNS sunucu
adreslerini almak istiyorsanız Obtain DNS Server Address Automatically radyo butonunu seçin.
DHCP istemciler için bu yapılandırmayı yapmadan önce ortamda istemcilerin konuşabileceği bir
DHCP sunucuya ihtiyacınız var. Windows 98, 2000, XP ve Server 2003 bilgisayarları yerleşik olarak Automatic Private IP Addressing (APIPA) adı verilen bir özelliğe sahiptir. Örneğin, ortamda bir
DHCP sunucu olmadan, istemcinizi DHCP kullanacak şekilde yapılandırdığınızda bu bilgisayar
B sınıfı 169.254.x.y formatında bir adres alacaktır. İstemcinin bulunduğu network bu adres havuzunda olmadığı müddetçe, istemci diğer makinelerle iletişimde zorluk yaşayacaktır. Kesinlikle
sadece DHCP sunucuya erişemeyen istemci bilgisayarlar aynı adres aralığından adreslere sahip
olacak ve sadece kendi aralarında iletişim kurabileceklerdir. DHCP sunucuya bağlanamayan her
bir istemci 169.254 aralığından bir adres alıp broadcast eder. Eğer, diğer istemciler bu broadcast
mesajına cevap vermezse, istemci manuel olarak yapılandırılmış gibi bu adresi kullanır. Bununla
birlikte istemci bu adresin gerçek bir DHCP adresi olmadığını bilir ve her 5 dakikada bir bu adresi yenilemeye çalışır (Bölüm 5’de adreslerin kiralanması hakkında daha ayrıntılı tartışılacaktır,
“Dynamic Host Configuration Protocol’ün Yönetilmesi”). İstemci başarılı olduğu anda transparan
olarak DHCP adresine geçer.
Windows Server 2003’de Alternate Configuration adı verilen yeni bir özellik vardır. Alternate
Configuration’ı kullanarak, DHCP sunucunun uygun olmadığı bir durumda bilgisayarınızın 169.254
aralığından bir adres alması yerine alternatif statik yapılandırmaya geçmesini sağlayabilirsiniz.
Bu yapılandırmaya bakalım. Internet Protocol (TCP/IP) Properties diyalog kutusunu açın. Bilgisayarın otomatik olarak bir IP adresi alacak şekilde yapılandırıldığından emin olun. Eğer bu şekilde
yapılandırıldıysa, Alternate Configuration sekmesine tıklayın. Varsayılan olarak Automatic private
IP address radyo butonunun seçilmiş olduğuna dikkat edin. User Configuration radyo butonunu
seçin. Artık alternatif statik yapılandırma bilgilerini default gateway, iki DNS ve WINS sunucu da
dahil olacak şekilde girebilirsiniz. Şekil 2.2 Alternate Configuration sekmesini gösterir.
Bir alternatif yapılandırmayı ne zaman kullanacağınızı merak etmiş olabilirsiniz. İki ihtimal var: Birinci
ihtimal; örneğin Windows Server 2003 yüklü taşınabilir bir bilgisayarınız var ve DHCP desteği vermeyen bir ISP’ye çevirmeli bağlantı ile bağlanmak
istiyorsunuz. Diğer bir olasılık ise yedek amaçlıdır.
Maliyeti çok yüksek olmasına rağmen DHCP sunucunun çalışmadığı durumlar için alternatif adres
şemasına sahip ikinci bir sunucuyu talepleri kabul
edecek şekilde çevrimiçi tutmak mümkündür. Burada birinci ve ikinci sunucuları senkronize bir şekilde çalıştırmak problem olacaktır. Her iki durumda da Alternate Configuration yeni ve uygulanabilir
bir özelliktir.
Şekil 2.2: Alternate Configuration sekmesi.
Eğer DHCP sunucularınız varsa, bunlardan en
az bir tanesinin yetkilendirilmiş (authorized) olduğundan emin olun. Microsoft dokümanlarına göre:
TCP/IP Kurulum ve Yapılandırması
DHCP sunucu servisini çalıştıran bir Windows 2000 Server ya da bir Windows Server 2003 statik
bir IP adresine sahip olmalıdır. DHCP ya da DNS servisleri çalıştıran sunucularınızın DHCP istemci olmalarını beklemeyin.
Alıştırma 2.1’de bir Windows Server 2003 bilgisayarının DHCP kullanan bir istemci olarak nasıl
yapılandırılacağını öğreneceksiniz.
Alıştırma 2.1: Bir Windows İstemcisini DHCP Kullanacak Şekilde Yapılandırmak
1. Start > Control Panel > Network Connections seçin.
2. Local Area Connection simgesi üzerinde sağ tıklayarak Properties seçin. Eğer birden fazla
LAN adaptörünüz varsa, yapılandırmak istediğinizi seçin.
3. Local Area Connection Properties diyalog kutusu görüntülenir. This Connection Uses The
Following Items listesinden Internet Protocol (TCP/IP)’yi seçin.
4. Properties butonuna tıklayın. Internet Protocol (TCP/IP) Properties diyalog kutusu görüntülenir.
5. DHCP özelliğini aktif hale getirmek için, Obtain An IP Address Automatically radyo butonuna
tıklayın.
6. İstemcinizin DHCP sunucudan DNS bilgisini alabilmesini sağlamak için, Obtain DNS Server
Address Automatically radyo butonunu seçin.
7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
8. Local Area Connection Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
TCP/IP Ayarlarını Manuel Olarak Yapılandırmak
Sunucularda DHCP kullanmamanızı öneriyoruz, çünkü sunucular istemciler kadar dinamik değildir. İdeal olarak sunucular ihtiyaç duymadıkça onları yeniden başlatmazsınız ve yerlerini değiştirmezsiniz. Bu yüzden DHCP’deki dinamik özelliği sunucular için pek de faydalı değildir. Ayrıca bu
sunucunun sabit ve doğru bir IP yapılandırmasına sahip olduğunun bilinmesi avantajını ortadan
kaldırır. Eğer TCP/IP ayarlarını kendiniz yapılandırmak istiyorsanız Internet Protocol (TCP/IP)
Properties diyalog kutusundaki Use The Following IP Address radyo butonunu seçerek başlayın
ve aşağıdaki şekilde diğer alanları doldurun:

IP address alanına, bilgisayar için kullanmak istediğiniz IP adresini girin. Windows Server
2003’ün bu adresin unique olduğunu veya lokal subnet ile uyuştuğunu doğrulamayacağını
hatırlayın. Kullanıcıların bu alanla ilgili yaptığı en genel hatalar kendi network’lerinde kullan-
51
52
Bölüm 2
dıkları adres havuzu dışından bir adresin ya da network’te başka bir bilgisayar tarafından
kullanılmakta olan bir adresin girilmesidir.

Subnet Mask alanına, network’ünüz için uygun subnet mask değerini girin.

Eğer bu makinenin diğer network’lere ulaşabilmesini istiyorsanız, bu bilgisayarın kullanacağı
gateway ya da router’ın adresini Default Gateway alanına girin.

Network’ünüzde DNS kullanıyorsanız, Use The Following DNS Server Addresses radyo butonunu seçip, Preferred DNS Server alanına, istemcinizin konuşmasını istediği ilk DNS sunucunun adresini girin. Bunun doğru olarak yapılması bir Windows Server 2003 network’ü
için kritiktir. Çünkü Active Directory servisleri DNS’e ihtiyaç duyar (Bakın, Active Directory ile
ilgili daha fazla bilgi için Bölüm 3, “Security Policy Yönetimi”). Preferred DNS sunucu uygun
olmadığında ya da bir DNS sorgusunu çözümleyemediğinde kullanılmak üzere başka bir sunucuyu tanımlamak istiyorsanız (ki biz tavsiye ediyoruz), bu sunucunun adresini Alternate
DNS Server alanına girin. (Ek sunucuları sonraki kısımda göreceğimiz gibi Advanced TCP/IP
Settings diyalog kutusundan da tanımlayabilirsiniz.) Preferred DNS sunucunun istemciye fiziksel olarak en yakın DNS sunucu olması gerekir. Manuel DNS ayarları, DHCP sunucudan
alınan DNS ayarlarını geçersiz kılar.
Alıştırma 2.2’yi network’ünüzde denemeden önce
network’ünüzde diğer host ve aygıtlar tarafından kullanılmayan bir IP adresi seçtiğinizden emin olun.
Alıştırma 2.2 herhangi bir Windows Server 2003
bilgisayarı üzerinde bir IP adresinin manuel olarak
nasıl yapılandırıldığını gösterir.
Alıştırma 2.2: TCP/IP’yi Manuel Olarak Yapılandırmak
1. Start > Control Panel > Network Connections seçin.
2. Local Area Connection simgesi üzerinde sağ tıklayın ve Properties’i seçin. Eğer birden fazla
LAN adaptörünüz varsa, yapılandırmak istediğinizi seçin.
3. Local Area Connection Properties diyalog kutusu görüntülenir. This Connection Uses The
Following Items listesinden Internet Protocol (TCP/IP)’yi seçin.
4. Properties butonuna tıklayın. Internet Protocol (TCP/IP) Properties diyalog kutusu görüntülenir.
5. Manuel olarak bir IP adresi girmek için, Use The Following IP Address radyo butonuna tıklayın. İlgili alanlara IP adresini, subnet mask’ı ve default gateway’i girin.
6. Bilgisayarınızın DNS sunucu ayarlarını manuel olarak yapılandırmak için, Use The Following
DNS Server Addresses radyo butonunu seçin. İlgili alanlara DNS sunucu adreslerini girin.
7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
8. Local Area Connection Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
Gelişmiş TCP/IP Ayarlarını Yapılandırmak
TCP/IP diyalog kutusu Advanced butonu başka bir yerden ulaşılamayan birçok ayarı görüntüler.
Advanced TCP/IP Settings diyalog kutusu, Şekil 2.1’de görülen daha basit diyalog kutusundaki
ayarları genişletmek için ya da bu ayarların üzerine yazmak için kullanabileceğiniz dört adet sekme içerir.
Sonraki kısımlarda, standart TCP/IP diyalog kutusunda bulunmayan gelişmiş TCP/IP ayarlarının
nasıl yapılandırıldığını göreceksiniz.
Temel Ayarları Genişletmek
Daha önceden gördüğünüz temel yapılandırma diyalog kutusunda, bir IP adresi, bir subnet mask
ve bir default gateway girebilirsiniz. Birçok sistem için bu yeterlidir. Fakat bir makineyi çoklu IP
adresleriyle iletişim kurabilecek şekilde yapılandırmak isterseniz? Örneğin, bir IIS kuruyorsunuz,
tek bir fiziksel network bağlantısı üzerinden (örneğin sunucunuzun internet ile olan bağlantısı)
TCP/IP Kurulum ve Yapılandırması
birden fazla IP adresine cevap vermek isteyebilirsiniz. Bu şekilde çoklu IP adreslerini ekleme işlemi multihoming olarak adlandırılır. Aynı zamanda çoklu default gateway adresleri tanımlayarak
sisteminiz tarafından gönderilen bir paketin en etkin gateway’e iletilmesini isteyebilirsiniz. Her iki
işlemi de Advanced TCP/IP Settings diyalog kutusundaki IP Settings sekmesinden yapabilirsiniz.
Şekil 2.3 bu sekmeyi gösterir.
IP Settings sekmesindeki seçenekleriniz aşağıdaki
şekildedir:
IP Address: IP Address listesi, şu anda bu network
adaptörü için tanımlanmış olan IP adreslerini listeler.
Bu listenin altındaki butonlar ile yeni adresleri ekleyebilir, önceden eklenmiş adresleri düzenleyebilir ya
da eklenmiş olanları kaldırabilirsiniz. Buraya yeni bir
adres ekleyip tüm network özellikleri diyalog kutularını (Local Area Connection diyalog kutusu da dahil
olmak üzere) kapattıktan sonra burada yaptığınız
değişiklikler etkin hale gelecektir.
Default Gateways: Default Gateways listesi çalışmakta olduğunuz bilgisayarda tanımlanmış olan
yönlendirme gateway’lerinin listesini gösterir. Eğer
birden fazla gateway belirtirseniz, sistem en düşük (sizin belirleyebileceğiniz) maliyete sahip olan
gateway’i seçer. Eğer o gateway çalışmıyorsa ya da
paketleri hedef sisteme ulaştıramıyorsa, Windows
Server 2003 bir sonraki en düşük maliyetli gateway’i
dener. Bu işlem paket hedefine ulaşıncaya kadar ya
da sistemde denebilecek gateway kalmayana kadar
tekrar edilir. Eğer iki farklı gateway için maliyetler
(metric) aynı ise, sunucu bağlantı yükünü paylaştıracaktır.
Şekil 2.3: Advanced TCP/IP Settings diyalog kutusundaki
IP Settings sekmesi.
Gelişmiş DNS Ayarlarını Yapılandırmak
Şekil 2.4’de gösterilen DNS sekmesi biraz karmaşık
görülebilir; fakat bu sekmedeki kontroller kolay bir
şekilde anlaşılabilir.
İlk olarak DNS Server Adresses, In Order Of Use listesini anlamanız gerekir. Bu liste, bu istemci için tanımlı tüm DNS sunucuları listeler. Herhangi bir DNS
sorgusu ilk sunucuya gönderilir. Eğer bu sunucu bir
cevap üretmezse, sorgu listedeki bir sonraki sunucuya 1 saniye gecikmeyle gönderilir. Bu işlem bir sunucu geçerli bir cevap üretene ya da tüm sunucular
denenene kadar devam eder. Bu liste 20 farklı DNS
sunucu adresini içerebilir.
Listenin altındaki butonları kullanarak yeni sunucu ekleyebilir, düzenleyebilir ya da listeden
kaldırabilirsiniz ve sunucuların listedeki sırasını sunucuyu seçip listenin sağındaki yukarı ve
aşağı okları kullanarak değiştirebilirsiniz.
Şekil 2.4: Advanced TCP/IP Settings diyalog kutusu DNS
sekmesi.
DNS sunucu listesi sadece yapılandırdığınız network arabirimi tarafından kullanılır. Bu sizin farklı network’lere bağlı
NIC’ler için farklı DNS sunucular kullanabilmenizi sağlar.
Geriye kalan ayarlar sadece bu bağlantı (ya da network adaptörü) içindir:
53
54
Bölüm 2
Append Primary And Connection Specific DNS Suffixes: Bu radyo butonu, bir DNS isteğinde bulunulduğunda primary DNS son ekinin ve herhangi bir bağlantıya özel son ekinin otomatik
olarak eklenip eklenmeyeceğini kontrol eder. Bu şu şekilde açıklanabilir: Sizin primary DNS son
ekiniz hsv.chellis.net ve bağlantıya özel son ekiniz ise eng.hsv.chellis.net olsun.
Bu radyo butonu aktif iken hawk isimli bir makinesi için bir DNS sorgusu başlattığınızda, DNS ilk
olarak hawk.hsv.chellis.net ve sonra hawk.eng.hsv.chellis.net için bakacaktır.
Append Parent Suffixes Of The Primary DNS Suffix: Bu onay kutusu (sadece Append Primary
And Connection Specific DNS Suffixes seçili iken aktifdir) resolver’ı birincil son eke parent son
ekini eklemeye zorlar. Bir önceki örnekte hawk, eng.hsv.chellis.net ve hsv.chellis.
net için bulunamazsa, DNS’i, hawk’ı chellis.net için aramaya zorlayacaktır.
Append These DNS Suffixes (In Order): Bu radyo butonu ve ilişkili kontroller size DNS için bir
son ek listesi sağlar. Bunlar birincil ve bağlantıya özel son eklerdir. Bunlar DHCP sunucu tarafından verilen son ekleri bastırır.
DNS Suffix For This Connection: Bu alan, sizin DNS sorgularınıza eklemek istediğiniz varsayılan bağlantı son ekini tanımlamanızı sağlar. Bu DHCP tarafından tanımlanabilecek olan herhangi
bir son eki bastırır.
Register This Connection’s Addresses In DNS: Başlangıçta işaretli olan bu buton DHCP istemciye kendi adı ve IP numarasını en yakın Dynamic DNS (DDNS) sunucuya kayıt ettirmesini
söyler. (Dynamic DNS hakkında daha fazla bilgi için Bölüm 6’ya bakın)
Use This Connection’s DNS Suffix In DNS Registration: Bu onay kutusu, istemcinizin kendisini DDNS sevisine kaydederken birincil ya da bağlantıya özel DNS son eklerinin kullanılıp kullanılmayacağını kontrol eder.
WINS İstemcilerini Yapılandırmak
Bir önceki bölümde, NetBIOS’un network kaynak bilgilerini – örneğin bir sunucunun sunduğu paylaşımlar ve domain master browser’ın nerede olduğu gibi -broadcast yoluyla bulmaya çalıştığını
öğrendiniz. Broadcast küçük network’ler için düzgün çalışır, fakat büyük network’lerde çok fazla
gereksiz ve istenmeyen bir karışıklık meydana getirir. NetBIOS paketleri yönlendirilebilir olmadığından daha büyük bir problem oluşur. Broadcast trafiği, network’te gereksiz trafiğe yol açtığı gibi
sadece lokal subnet’teki bilgisayarların birbirlerini duyabilmesini sağlayabilir.
Microsoft yönlendirilebilirlik problemini NetBIOS over TCP/IP (aynı zamanda NBT olarak da bilinir)’yi
tavsiye ederek çözümledi. Fakat NBT hala broadcast göndermektedir. NBT broadcast’lerinin TCP/
IP network’lerinde NetBIOS stili isim çözümlemesine izin vermesine rağmen, Microsoft’un tasarımcıları, daha iyi bir çözüm olması adına Windows Internet Name Service (WINS)’i geliştirdiler.
WINS NBT broadcast’lerini dinler ve bunları merkezi bir kaynakta sıraya koyar. Bu rolde WINS
etkin olarak NetBIOS adlandırma bilgisi için bir takas odası olarak hizmet verir. Eğer istemcileriniz
WINS sunucu kullanacak şekilde yapılandırıldıysa, bu istemcileriniz NBT adreslerini broadcast
kullanmadan çözebilir. Bu network’ün üzerindeki yükü önemli ölçüde azaltır ve aslında büyük
network’lerde NBT’nin uygulanabilirliğini sağlar.
Sonraki kısımlarda, WINS istemci bilgilerinin nasıl yapılandırıldığını göreceksiniz.
Node Tipleri
Bir WINS istemcisinin nasıl yapılandırıldığına geçmeden önce, bilmeniz gereken bazı kavramlar
olduğu söylenebilir. NBT’nin, istemcileriniz bir WINS sunucu kullanacak şekilde yapılandırılmadıkça tipik olarak broadcast kullandığını biliyorsunuz. Daha belirgin bir şekilde, istemcinin, istemci
node tipine bağlı olarak kullandığı metot Tablo 2.1’de görülmektedir. Node tipi, WINS sekmesindeki NBT ayarları tarafından belirlenir. Bir istemcinin node tipi Registry içinden değiştirilebilir,
fakat siz mümkün olduğunca DHCP ya da varsayılan ayarları kullanın.
TCP/IP Kurulum ve Yapılandırması
Tablo 2.1: NetBIOS Node Tipleri
Note Tipi
b-node (broadcast)
p-node (peer-peer node)
m-node (mixed)
h-node (hybrid)
Tanım
İsim kaydı ve çözümleme için NBT sorgularını broadcast eder. WINS
ile yapılandırılmamış Windows 2000, XP, Windows Server 2003 istemci
makineleri için varsayılan node tipi.
NetBIOS isimlerini çözmek için broadcast değil de NetBIOS isim
sunucusu (ya da bir WINS) kullanır.
Varsayılan olarak b-node’a benzer. Eğer bir ismi çözemezse p-node’a
döner.
Varsayılan olarak p-node’a benzer ve eğer bir ismi çözemezse b-node’a
döner. WINS için yapılandırılan Windows 2000, XP ve Windows Server
2003 istemci makinlerindeki varsayılan node tipi.
WINS İstemci Bilgilerini Yapılandırmak
WINS sekmesi (Bakın Şekil 2.5) istemcilerinizi isim çözümleme için WINS’i nasıl kullanacaklarını
yapılandırabileceğiniz bir grup kontrol sağlar.
Bu kontroller aşağıdaki gibidir:
WINS Addresses: Bu liste ve ilgili kontroller bu
istemci için tanımladığınız WINS sunucuları gösterir. Başlangıçta bu liste boştur ve eğer WINS
kullanmak isterseniz manuel olarak WINS sunucularını eklemeniz gerekir.
DNS’teki gibi, WINS kodu, WINS isim çözümleme
sorgusunu listedeki sıralarına göre sunuculara
gönderir. Listenin altındaki butonları kullanarak
yeni sunucu ekleyebilir, düzenleyebilir ya da listeden kaldırabilirsiniz ve sunucuların listedeki sırasını sunucuyu seçip listenin sağındaki yukarı ve
aşağı okları kullanarak değiştirebilirsiniz. Bu listeye en fazla 12 WINS sunucuyu ekleyebilirsiniz.
LMHOSTS: WINS sunucu adres listesinin hemen
altında yer alan bir kontroldür. Eski tip LMHOSTS
dosyasının adres çözümleme bilgisi için kaynak
olarak kullanılıp kullanılmayacağını belirtmek
Şekil 2.5: Advanced TCP/IP Settings diyalog kutusu WINS
amacıyla kullanılır. LMHOSTS dosyası, NetBIOS sekmesi.
isim ve adres eşlemelerinin bulunduğu bir metin
dosyasıdır. Bilgisayarlar isimleri çözümlemek için bu dosyaya başvurabilir ya da broadcast mesajları veya WINS’i kullanabilir. Enable LMHOSTS Lookup onay kutusu, Windows Server 2003’ün bir
WINS sunucuyu sorgulamadan önce LMHOSTS dosyasındaki bilgisayar ismi IP adresi eşlemelerini kullanıp kullanmayacağını kontrol eder. Bu onay kutusunu işaretlediğinizde sadece özelliklerini düzenlediğiniz bağlantı için değil tüm TCP/IP kullanan bağlantılar için LMHOSTS dosyasına
başvurma etkinleştirilir. Import LMHOSTS butonu, size bir takım isim eşlemelerini yüklemek istediğinizde, WINS isim önbelleğine bir dosyanın içeriğini okutmanıza izin veren kolay ve kullanışlı
bir metot sağlar.
NetBIOS Settings: Son kontroller, diyalog kutusunun altındaki üç radyo butonudur. Bu radyo
butonları IP üzerinden NetBIOS hizmetini kontrol eder. NetBEUI önceleri NetBIOS trafiğini taşıyabilen tek transport protokolüydü. Fakat NetBEUI yönlendirilebilir değildi ve büyük network’lerde
düşük peformansa sahipti. Daha önceden gördüğünüz gibi, network’ler saf TCP/IP’ye geçtikçe
kullanımının azalacağını beklemekle birlikte Windows Server 2003 NBT desteğine sahiptir,
55
56
Bölüm 2

Default: Use NetBIOS Setting From The DHCP Server radyo butonu bu istemci için manuel
WINS ayarları ya da LMHOSTS dosyası yerine DHCP sunucusunun ayarlarının kullanılmasını zorlar. Eğer bu buton seçilmemişse geçerli herhangi bir ayar DHCP sunucusunun ayarlarını bastırır.

Enable NetBIOS Over TCP/IP radyo butonu bir DHCP ayarını geçersiz kılmak için seçilir. Bu,
istemcinin sunucularla transport olarak TCP/IP kullanarak NetBIOS trafiğini karşılıklı olarak
değiştirmesini sağlar.
İstemcinin NBT adını başlangıçta Windows Setup
sırasında girebilirsiniz.

Disable NetBIOS Over TCP/IP butonu NBT’yi kapatır. Enkapsüle
edilse bile network’ünüzü tamamıyla NetBIOS trafiğinden temizlemek istediğinizde kullanışlıdır.
Alıştırma 2.3’de bir Windows Server 2003 makinesinin bir WINS istemcisi olarak yapılandırılması
detaylandırılmıştır.
Alıştırma 2.3: Bir Windows Server 2003 Makinesinin Bir WINS İstemcisi Olarak Yapılandırılması
1. Start >Control Panel >Network Connections seçin.
2. Local Area Connection simgesi üzerinde sağ tıklayın ve Properties’i seçin. Eğer birden fazla
LAN adaptörünüz varsa, yapılandırmak istediğinizi seçin.
3. Local Area Connection Properties diyalog kutusu görüntülenir. This Connection Uses The
Following Items listesinden Internet Protocol (TCP/IP)’ü seçin.
4. Properties butonuna tıklayın. Internet Protocol (TCP/IP) Properties diyalog kutusu görüntülenir.
5. Advanced butonuna tklayın. Advanced TCP/IP Settings diyalog kutusu görüntülenir.
6. WINS sekmesine tıklayın.
7. Add butonuna tıklayın. TCP/IP WINS Server diyalog kutusu görüntülendiğinde, WINS sunucunuzun IP adresini girin ve Add butonuna tıklayın. Listedeki ilk WINS sunucu, istemci makinesine fiziksel olarak en yakın WINS sunucu olmalıdır. Ek WINS sunucu adresleri ekleyebilir
gerekirse sunucuların sıralarını istediğiniz şekilde değiştirebilirsiniz.
8. Advanced TCP/IP Settings diyalog kutusunu kapatmak için OK butonuna tıklayın.
9. Internet Protocol (TP/IP) Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
10. Local Area Connection Properties diyalog kutusunu kapatmak için OK butonuna tıklayın.
Network Binding İşlemini Yapılandırmak
Bir network binding, bir protokolün bir adaptöre bağlanması ve o adaptörün o protokolü kullanarak
trafik taşıyabilmesidir. Örneğin, “TCP/IP diz üstü bilgisayarımızın yerleşik Ethernet port’una eklendi” ile size bir kaç şey söylemiş oluyoruz: TCP/IP yüklü, yerleşik ethernet port’umuz TCP/IP’yi
destekleyen bir sürücüye sahip, adaptör TCP/IP trafiği alıp gönderecek şekilde yapılandırılmış.
Bölüm 1’de “Windows Server 2003 Network’ünü Anlamak” NDIS sürücü spesifikasyonlarını ve
yararlarını okudunuz. Bu yararlardan bir tanesi bir NIC’ye birden fazla protokolün eklenebilmesidir. Bu, Windows Server 2003 makinenizin sadece bir adet network kartı olmasına rağmen aynı
anda TCP/IP, NetBEUI ve AppleTalk çalıştırabilmesini sağlar.
Gerçek Dünya Senaryosu
Çoklu Protokoller Caziptir fakat Verimsizdir
Şirketiniz Windows NT, Novell NetWare ve hatta Banyan çalıştıran, durağan olmayan bir
network’e sahip. Aynı zamanda mainframe denetçilerine hala Data Link Control (DLC) bağlan-
TCP/IP Kurulum ve Yapılandırması
tılar var.Yıllarca, bu farklı işletim sistemlerine yapılan bağlantılar her bir iş istasyonunda yeni
istemcilerin ve protokollerin eklenmesiyle parça parça bir yapı meydana getirdi. Genel bir yaklaşım olarak network’lerde network geliştikçe özel bir grup, network’ün bir parçasının kontrolünü
eline alır. Windows Server 2003’ün birlikte çalışabilirlik özellikleri (Windows NT’nin daha önceden yaptığı gibi), belirli bir biçimde çoklu protokolleri çalıştırabilme yeteneğine sahiptir. Network
Driver Interface Specificaion (NDIS) ve benzeri Transport Driver Interface (TDI, Network katmanı yerine Transport katmanında uygulanır) ile istediğiniz kadar protokolü çalıştırabilirsiniz. Fakat
bu kolaylık diğer taraftan bir takım problemlere yol açabilir. Çünkü çoklu protokol kullanımı bant
genişliği tüketiminin artmasına sebep olur ve farklı noktalardan yönetim ihtiyaçları doğurur.
Diğer sistemleri devre dışı bırakamayağınız gibi, bu probleme, birlikte çalışabilirliği sağlayan
yaklaşım yolları vardır. Global olarak kabul edildiğinden, tüm büyük işletim sistemleri bugün
TCP/IP’yi destekler. Bu, network’ten IPX ve NetBEUI gibi yavaş yavaş gözden kaybolmakta olan
protokolleri çıkarmanızı sağlayacak elverişli bir durum sağlar. Her bir protokol takımı network
üzerine kendi yükünü getirir. Network’ünüzde çoklu protokollerle Windows NT veya Windows 9.x
makineleri varsa, servislerin her bir protokole özgü örneklerini bu protokoller üzerinde çalıştıran
mekanizmaya ihtiyaç vardır. Örneğin, NWLink veya TCP/IP çalıştırıyorsanız NetBIOS taleplerini
karşılayacak komple bir tarayıcı (internet tarayıcısı değil) vardır. Bu çeşit fazlalık verimli değildir,
sadece ek destek gerektirecek bir şeylerin yanlış gidebileceği yeni bir karmaşıklık getirir.
Gelecekte OSI takımının diğer tarafındaki protokol birlikte çalışabilirliğini göreceksiniz. XML ve
HTTP gibi teknolojileri kullanarak, bir network istemcisi farklı platformlar temelindeki kaynaklara
erişebilir. En iyi uygulama, mümkün olduğunca aynı türden istemciler ile network’ünüzde minimum sayıda protokol ve istemci kullanımını amaçlar. Her ne kadar daha çok protokol ve daha
çok istemciyi destekleme fonksiyonelliği olsa da buna gereksinim duymayacak bir yapılandırma
daha iyidir.
Windows Server 2003, bir protokol yüklediğinizde ya da bir NIC için Properties diyalog kutusundaki onay kutularını işaretlediğinizde otomatik olarak binding oluşturur. Bu binding’leri manuel
olarak değiştirebilirsiniz; örneğin, internete bağlı adaptörlerden NetBEUI ve NWLink protokollerinin unbind edilmesi genel olarak iyi bir uygulama olarak dikkate alınır. Windows Server 2003
binding listesine Network Connections klasörü
içinden ulaşabilirsiniz. Network Connections klasörünü açmak için Start > Control Panel’e tıklayın
ve Network Connections üzerinde sağ tıklayarak
Open komutunu verin. Lokal NIC’i (Local Area
Connections simgesi gibi) seçip Advanced menusünden Advanced Settings’i seçin. Şekil 2.6’daki
Advanced Settings diyalog kutusunu göreceksiniz. Bu diyalog kutusu iki ayrı alana ayrılır.
Connections listesi bilgisayarınızdaki mevcut
bağlantıları gösterir. Bunlar, servisler tarafından
kullanılma sırasına göre listelenir. Örneğin, Şekil 2.6’da TCP/IP servisleri ilk olarak Local Area
Connection’ı kullanacaktır. Eğer istenen işlem
bu bağlantı üzerinden gerçekleşmezse, servisler Remote Access connections’ı kullanacaklardır. Bu bağlantıları seçip listenin sağ tarafındaki
yukarı ve aşağı ok tuşlarını kullanarak sıralarını
değiştirebilirsiniz.
Şekil 2.6: Advanced Settings diyalog kutusu ile binding’leri
ayarlamak.
Binding listesi size, hangi protokol ve servislerin seçilen bağlantıya eklendiğini gösterir. Örneğin, Şekil 2.6 File and Printer Sharing for Microsoft Networks ve Client for Microsoft Networks
57
58
Bölüm 2
servislerinin LAN adaptörüne eklendiğini ve NWLink ve TCP/IP protokollerinin, File and Printer
Sharing for Microsoft Networks ve Clients for Microsoft Network servislerine eklendiğini gösterir.
Bu diyalog kutusu size bir bağlantı üzerinde hangi servislerin mevcut olduğunu söyler. Her bir
servisin altında bu servisin kullanabileceği protokolleri görebilirsiniz. Servislerdeki onay kutularını
onaylamak ya da onay işaretlerini kaldırmak, bu işlemi Adapter Properties diyalog kutusundan
yapmakla aynı şeydir.
Burada herhangi bir bir protokolü her bir servis bazında ayrı ayrı açabilir ya da kapatabilirsiniz.
Aynı zamanda kullanılan protokollerin sırasını kontrol edebilirsiniz. Bu değerli bir optimizasyondur
çünkü birçok protokol bir çeşit tekrarlama davranışına sahiptir. Herbir servis için en sıklıkta kullanılan protokolleri listenin en üstüne yerleştirecek şekilde binding’i değiştirmek, servislerin yanlış
bir protokol için asla zaman harcamaması anlamına gelir; bunun yerine bu servisler en muhtemel
seçeneği deneyecekler, sadece ilk protokolün başarız olduğu durumda diğer protokoller deneneceklerdir.
Network Trafiğini Monitor Etmek
Bazen network’ünüzde neler olup bittiğini görmek için en iyi yol network’teki trafiği gözetlemektir. Windows Server 2003 Network Monitor adındaki bir aracı ihtiva eder. Bu araç Windows NT
Network Monitor aracından gelir. Systems Management Server (SMS) ile birlikte gelen aynı isimli
araca dayanır. Network Monitor bir network analiz aracıdır (ya da “sniffer” Network General Sniffer araç setinden sonra). Network analiz araçları network’ten ham trafiği yakalar ve ardından
protokol takımının yaptığı şekilde çözer. Bir protokol takımına bağlı olmadıklarından, bir analiz
aracını yüklemediğiniz protokol trafiğini izlemek için bile kullanabilirsiniz. Bir Mac bağlantı sorununu giderirken, AppleTalk protokolü yüklü olmayan bir iş istasyonunda bile Network Monitor’ü,
AppleTalk paketlerini yakalamak ve çözmek için kullanabilirsiniz.
Network Monitor iki parça halinde gelir: Windows Server 2003’e yüklediğiniz application ve Windows 2000 ya da XP Professional istemci makineleri (çoğu Windows işletim sistemi Network Monitor driver kullanabildiği halde) üzerine yüklediğiniz driver. Bir makinede trafiği izleyebilmek için o
makine driver’a sahip olmak zorundadır (application’ı yüklerken otomatik olarak yüklenir). Driver
gereklidir, çünkü driver network kartını kendisi için adreslenmeyen paketleri bile kabul edebileceği
promiscuous mode’a geçirir ki bu tüm network boyunca trafiği izleyebilmek için gereklidir.
Basit olarak NIC’ın promiscous mode’da çalışacak şekilde yapılandırılması bunun tüm network’teki
trafiği göreceği anlamına gelmez. Gerçekte, sadece kendi sunucusuna yöneltilmiş trafiği ve
network’teki tüm aygıtlar tarafından işlenebilen broadcast trafiğini görür. Günümüz network’lerinde,
özellikle büyük organizasyonlarda switch’ler kullanılır. Tüm port’lardan broadcast göndermenin
yanısıra, bir network switch’i frame’leri bir aygıtın bağlı olduğu spesifik bir port’a gönderir. Diğer
taraftan bir network hub’ı, tüm frame’leri tüm port’larından gönderir. Bu da bir hub network’ündeki
her bir aygıtın tüm network’teki her paketi işleyerek kendisi için adreslenip adreslenmediğine bakmasını gerektirir. Hub network’leri trafik yükünü kaldırmada oldukça etkisizdir ve hızlı bir şekilde
yavaşlarlar.
Switch frame’leri belirli aygıta göndermekle sorumlu olduğundan, Network Monitor çalıştıran sunucu hala sadece kendisine gönderilen paketleri görecektir. Bazı switch’ler tüm frame’lerin bir
kopyasının belirli bir port’a gönderilebilmesini sağlayan bir seçeneğe sahiptir. Örnek olarak Cisco
aygıtları bu özelliği Span Port şeklinde adlandırır. Sunucunun switch port’una her bir frame’in
kopyasının gönderilmesi ile o switch aracılığıyla gönderilen tüm trafik izlenebilir. Bu performans
düşüşüne ve bazı durumlarda network’ün çökmesine sebep olabilir. Bu nedenle, sadece gerekli
port’ların izlenmesi iyi bir fikirdir.
Network Monitor, RAM belleğin bir bölümünü capture buffer’a ayırır. Network Monitor’e network
paketlerini yakalamasını söylediğinizde, belirli bir NIC üzerinde gördüğü her paketi buffer’a kopyalar, çalışmaya devam ettikçe istatistiksel verileri bir araya getirir. Yakalama işlemini sonlan-
TCP/IP Kurulum ve Yapılandırması
dırdığınızda, buffer’daki verileri, ilgilenmediklerinizi capture filters uygulayıp filtreleyerek değişik
yollarla analiz edebilirsiniz.
Gerçek Dünya Senaryosu
Intrusion Detection
Pratikte, intrusion detection aygıt ve yazılımları, örnek olarak Snort monitor gibi programlar span
port’lar kullanarak network’ün değişik noktalarından Ethernet frame’lerini kopyalar. Genellikle izlemek istediğiniz switch port’larına karar vermek, tüm network trafiğini izlemeyi istemek
ile network performansını olumsuz yönde etkilememek arasında bir değerlendirme gerektirir.
Internet’ten giriş noktalarını ve LAN’den internete çıkış noktalarını izlemek tipik bir senaryodur.
Bu da DMZ’in iç tarafını, firewall’ın iç tarafını ve firewall’ın dış tarafını ya da bu üçünün kobinasyonunu izlemek anlamına gelebilir. Bir network için, giriş ve çıkış noktaları Intrusion Detection
yazılımına bir intrusion girişimi olup olmadığını belirlemek için gelen ve giden trafikle ilgili iyi bir
bakış açısı sağlar.
Intrusion detection yazılımları bilinen kuraldışı durumlar için, bir IP paketi header’ının, data’nın,
transport protokolü header’ının (TCP, UDP ve ilgili) spesifik görünüşüne bakar, bir signature
ile eşleşen bir durum olduğunda bir alarm gönderir ya da o signature için önceden tanımlanan
bir şeyi gerçekleştirir. Intrusion detection yazılımları aynı zamanda sıklıkla bir atak girişimi olup
olmadığını çözmek için OSI modelinin diğer katmanlarına bakabilir. Network Monitor günlük ve
kısa dönemli izleme için kullanılırken, intrusion detection yazılımları 24/7 kesintisiz ve bir kural
dışı durum görülene kadar otomatik ve sessizce arka planda çalışır.
Network Monitor’ü kurup kullanmadan önce bilmeniz gereken bir kaç şey var: İlk olarak, Windows
Server 2003 Network Monitor sadece Windows 2000 ve XP istemcileri ile birlikte çalışır. Eğer
Network Monitor’ü Windows NT, 95, ya da 98 istemcileri izlemek için de kullanmak istiyorsanız,
SMS CD’si içindeki Network Monitor driver’larına ihtiyacınız olacaktır. Daha önemlisi, Network
Nonitor’un Windows Server 2003 versiyonu sadece kurulduğu sunucuya gelen ve o sunucudan
giden trafiği gözetleyebilir. Network Monitor’ün SMS versiyonu network’ünüzün herhangi bir yerindeki trafiği gözetlemeyi destekler.
Şekil 2.7: Network Monitor ana penceresi.
59
60
Bölüm 2
Windows Server 2003 aynı zamanda System Monitor adı verilen bir aracı içerir. Bu araç bilgisayardaki hemen herşeyle ilgili izleme yapar. İşlemci, bellek, disk ve en önemlisi network, System
Monitor yardımcı aracı tarafından izlenebilir. System Monitor, network trafiği ile ilgili Network Monitor kadar fazla bilgi sağlamaz; fakat network’ünüzün durumu ile ilgili hızlı ve grafiksel bir sunum
elde edebileceğiniz harika bir araçtır. Birçok durumda Network Monitor’ün sunduğu karmaşık
bilgileri çözmekten çok daha kolay ve hızlıdır.
Sonraki bölümlerde, network trafiğini izlemek için Network Monitor ve System Monitor’ün nasıl
yüklendiğini ve kullanıldığını göreceksiniz.
Network Monitor Driver ve Application Kurulumu
Eğer Network Monitor’ü kullanarak, üzerinde Network Monitor yüklü olmayan bir makineden paketleri yakalamak istiyorsanız, hedef makineye Network Monitor driver yüklemeniz gerekir. Network
Monitor driver’ı en azından bir farklı makineye yükledikten sonra Network Monitor application’ı
yükleyebilir ve izlemeye başlayabilirsiniz. Alıştırma 2.4 bu işlemi açıklar. Bu alıştırmada Network
Monitor driver ve Network Monitor application yükleyeceksiniz.
Network Monitor Nasıl Kullanılır?
Network Monitor karmaşık görevler için yapılmış komplike bir araçtır. Bu bölüm size network sorunlarını Network Monitor ile çözmeyi öğretmeyecek, fakat sınavı geçmeniz için kullanabileceğiniz bazı basit görevlerin yeBirçok organizasyon kendi network’lerini çok sıkı bir şekilde gözetler, bu yüzden bu
rine getirilmesi için Network
alıştırmayı yapmak IT departmanınızda bir alarma yol açabilir. Alıştırma sırasında sizMonitor’ün nasıl kullanıldıden Windows Server 2003 CD’si istenebilir, bu yüzden elinizin altında bulundurun.
ğını açıklayacaktır.
Alıştırma 2.4: Network Monitor Driver ve Application Kurulumu
Network Monitor Driver Kurulumu
1. Start > Control Panel > Network Connections > Local Area Connection seçerek Network
Connections klasörünü açın.
2. Local Area Connection Status penceresi göründüğünde Properties butonuna tıklayın.
3. Properties diyalog kutusu göründüğünde Install butonuna tıklayın. Select Network Component Type diyalog kutusu görünür. Component listesinden Protocol’e tıklayın ve Add butonuna tıklayın.
4. Select Network Protocol diyalog kutusu görüntülenir. Network Monitor Driver’ı seçip OK butonuna tıklayın.
5. Driver yüklendikten sonra, Properties diyalog kutusu görüntülenir. Close butonuna tıklayın.
Local Area Connection Status diyalog kutusunda Close butonuna tıklayın.
Network Monitor Application Kurulumu
6. Start > Control Panel > Add or Remove Programs seçin.
7. Add or Remove Programs diyalog kutusu göründüğünde, Windows Components Wizard’ı
açan Add/Remove Windows Component butonuna tıklayın.
8. Management And Monitoring Tools öğesini seçip Detail butonuna tıklayın.
9. Network Monitor öğesinin yanındaki onay kutusunu işaretleyin ve Windows Components Wizard penceresine dönmek için OK butonuna tıklayın.
10. Windows Components Wizard’da Next butonuna tıklayın.
11. Gerekli dosyalar kopyalandıktan sonra wizard’ı kapatmak için Finish butonuna tıklayın.
12. Add Or Remove Programs diyalog kutusunu kapatın.
TCP/IP Kurulum ve Yapılandırması
Network Monitor’ü ilk çalıştırdığınızda, sizden monitor etmek istediğiniz network’ü seçmenizi isteyecektir. Göreceğiniz network listesi yüklediğiniz NIC sayısına bağlıdır. Eğer sadece bir NIC’iniz
varsa, Network Monitor sizin için otomatik olarak doğru network’ü seçer ve Network Monitor penceresini görürsünüz.
Aşağıdaki liste Network Monitor ana ekranında (Windows menüsünü kullanarak özel bölümleri
ekleyip kaldırabilirsiniz) göreceklerinizi açıklar:

En üst sol köşedeki Graph bölümü, saniyede yakalanan frame, byte, broadcast, multicast sayılarını ve network utilizasyonunu çubuk grafik şeklinde gösterir. Bu bölüm sadece bir capture
işlemi devam ederken güncellenir.

Sol tarafında ortasında yer alan Session Stats bölümü o anki oturum sırasında izlenen bağlantılar hakkındaki bilgileri gösterir. Bu bilgiler kaynak, hedef network adresleri ve iki uç nokta
arasında her iki yöne gönderilen paket sayıları bilgilerini içerir.

Pencerenin sağ tarafında yer alan Total Stats bölümü, Network Monitor’un yakaladığı ve cature buffer’ında yer alan toplam unicast, broadcast ve multicast frame sayıları gibi ilginç istatiskleri listeler. Session Stats bölümü gibi bu bölümün içeriği de izleme sırasında devamlı
güncellenir.

Pencerenin en altında yer alan Station Stats çerçevesi Network Monitor çalışan bilgisayarda
neler olduğunu anlatır.
Şimdi Network Monitor penceresindeki farklı bölümlerle ilgili bir fikriniz var, sonraki kısımda göreceğiniz gibi veri yakalamaya başlayabilirsiniz.
Verileri Yakalamak
Verileri yakalarken (capture ederken) (Alıştırma 2.5’de detaylandırılan işlem), aslında sadece
büyük bir buffer’ı gelen paketlerle doldurursunuz. Bu noktada Network Monitor bu verileri analiz
etmeye çalışmaz. Capture işlemini kontrol etmek için araç çubuğu butonlarını (standart start, stop
ve pause sembollerini kullanan butonlar ile) ya da Capture menüsündeki Start, Stop, Stop and
View, Pause ve Continue komutlarını kullanabilirsiniz.
Bir capture’ı başlatmak ve durdurmak oldukça basit olduğu halde, buffer’ın varsayılan boyutu olan
1Mb’ı artırma ihtiyacı duyabilirsiniz. Bunu Capture > Buffer Settings komutunu kullanarak yaparsınız. Bir capture işlemini başlatınca, Network Monitor, buffer dolana kadar ya da capture işlemi
durdurulana kadar çalışmaya devam eder. Bu noktada verileri görebilir ya da daha sonra analiz
etmek üzere File > Save As komutuyla diske kaydedebilirsiniz.
Alıştırma 2.5’te, bir sonraki alıştırmada görüntü filtrelerini denemek için Network Monitor’ü capture
buffer’ı doldurmak için kullanacaksınız.
Nvidia’nın ürettiği video kartı olan bilgisayarlarda Network Monitor çalışırken bazı problemler yaşanabilir. Belirli Nvidia GeForce sürücü uygulamaları, Network Monitor’ün de kullandığı aynı isimde nview.dll
dosyasını yükler. Bu problemi çözmek için Windows Server 2003 Study Guide by Lisa Donald ve James
Chellis (Sybex, 2003)’de tarif edildiği gibi, boot.ini dosyasında /basevideo switch’ini kullanın.
Verileri Görüntülemek
Bir capture işlemini sonlandırdıktan sonra, Capture > Display Captured Data komutuyla, toplanan verileri görüntüleyebilirsiniz. Bu komut yeni bir pencere açar: Frame Viewer (Şekil 2.8). Bu
pencere yakalanan tüm frame’leri, kaynak ve hedef adresleri, ne zaman yakalandıkları (capture
işleminin başlangıcı ile ilgili olarak), network tipleri ve kullandığı protokolü özetleyecek şekilde
listeler. Tüm bu verilerin listelenmesi ilginç olmasına rağmen sadece istediğiniz verileri seçecek
şekilde Network Monitor filtreleme fonksiyonlarını kullanmaya ihtiyacınız olacaktır.
61
62
Bölüm 2
Alıştırma 2.5: Network Monitor ile Verileri Yakalamak (Capture Etmek)
1. Alıştırma 2.4’de tarif edildiği gibi Network Monitor’ü yükleyin. Start > Administrative Tools >
Network Monitor’ü seçerek Network Monitor uygulamasını açın. Network Monitor uygulamasını ilk kez kullandığınızdan, izlemek istediğiniz arabirimi seçmeniz istenecektir. Bu alıştırmaya devam etmek için Local Area Connection’ı seçin.
2. Capture > Buffer Settings komutunu kullanarak capture buffer’ın boyutunu 2Mb’a çıkarın. Bu
size 4096 frame’lik veri için alan sağlar.
3. Capture > Start komutuyla bir capture başlatın. Capture devam ederken Network Monitor
çalıştırdığınız bilgisayarda bir web tarayıcı kullanarak bir web sayfasına istekte bulunun.
(Bu adım bir sonraki alıştırma için gerekli.)
4. Buffer dolana kadar network Monitor’ün çalışmasına izin verin. Total Stats bölümünün Captured Statistics kısmında yer alan “# Frames in Buffer” satırında bunu görebilirsiniz. Ardından
Stop butonuna tıklayarak capture’ı durdurun.
5. File > Save As komutuyla capture buffer’ı kaydedin. Sonraki alıştırma için buna ihtiyacınız
olacak.
Şekil 2.8: Frame Viewer penceresi.
Herhangi bir frame’in içeriğine bakmak isterseniz, o frame üzerine çift tıklayın. Bu Frame Viewer
penceresi içinde iki yeni bölümün görüntülenmesine yol açar: Ortada Detail bölümü ve alt tarafta
Hex bölümü (Şekil 2.9). Bu size herhangi bir yakalanmış frame içeriğini bit bit kontrol edebileceğiniz kolay bir yol sağlar.
Şekil 2.9: Detail ve Hex bölümleri ile Frame Viewer penceresi.
TCP/IP Kurulum ve Yapılandırması
Filtreler Kullanmak
Network Monitor’de iki filtre tipi oluşturabilirsiniz:

Capture filtreleri istenmeyen paketleri cature buffer’a kaydedilmeden önce eler.

Display filtreleri bazı paketleri görüntülerken diğerlerini görüntülemez.
Takip eden kısımlarda bu filtre tiplerine bakacağız.
Capture Filtreleriyle Çalışmak
Standart Network Monitor penceresindeki Capture > Filters komutu kullanarak capture filtreleri oluşturabilir ve yönetebilirsiniz. Bu komut Capture Filter diyalog kutusunu görüntüler (Şekil
2.10).
Capture Filter diyalog kutusu kullanılırken filtrelerin bir ağaç yapısı içinde gruplandığını unutmayın. Varsayılan filtre herhangi bir SAP/ETYPE (Service Access Point ya da Ethernet Type
– bunların her ikisi paketleri kullandıkları protokoller ile işaretler) paketlerini yakalayacak şekilde ayarlanmıştır. Bu yüzden ağaç yapısının en
üstündeki üç koşul AND tanımlayıcısını kullanır.
Kendi filtreleriniz için AND, OR ve NOT tanımlayıcılarını kullanabilirken orjinal ağaç dallarını
silemezsiniz.
Örneğin; belirli bir makineye 80 port’undan gitmekte olan trafiği yakalamak için bir filtre oluş- Şekil 2.10: Capture Filter diyalog kutusu.
turmak istiyorsunuz. Capture filtreleri port’larla
ilgilenmez; fakat SAP/ETYPE kollarını seçip Edit butonunu kullanarak sadece IP paketlerini yakalayacak şekilde adres bazında bir filtre oluşturabilirsiniz. Sonra, Address Pairs öğesini uygun hedef adresini belirtecek şekilde düzenleyin. Özel bir payload’a sahip paketleri bulmak için, Pattern
Matches dalını kullanarak o trafiğin yakalanması amacıyla bir desen belirleyin. (Maalesef, Windows Server 2003 versiyonu Network Monitor’de capture filtreleri ile yapabileceklerinizin hepsi bu
kadardır. Network Monitor’ün sadece SMS versiyonunda çalışan birçok ek özelliği vardır.)
Display Filtreleriyle Çalışmak
Biraz veri yakaladıktan sonra, gördüğünüz
veriler hakkında size daha fazla kontrol şansı sağlayan display filtreleri oluşturabilirsiniz.
Bu kullanışlıdır, çünkü dolu bir capture buffer
içerisinden aradığınız bir kaç frame’i ayırt etmek oldukça zordur. Frame Viewer penceresinden display filtrelerini oluşturabilirsiniz.
Display > Filter komutunu kullanarak Display
Filter diyalog kutusunu görüntüleyin. (Şekil
2.11)
Bu diyalog kutusu Capture Filter diyalog kutusu gibi çalışır, fakat sonraki alıştırmada
göreceğiniz gibi ek bir takım şeyler de yapabilirsiniz.
Şekil 2.11: Display Filter diyalog kutusu.
Alıştırma 2.5’deki capture buffer’ı kullanarak, Frame Viewer’da görüntülenen verileri kısıtlamak
için display filtreleri oluşturabilirsiniz.
63
64
Bölüm 2
Alıştırma 2.6: Bir Display Filtresi Oluşturmak
1. Bir önceki alıştırmadan sonra Network Monitor’ü kapattıysanız, tekrar açın ve kaydettiğiniz
capture buffer’ı File > Open komutuyla tekrar açın. Bunun dışında Capture > Display Captured Data komutunu seçerek Frame Viewer penceresini açın. Capture bilgisi önceki alıştırmadaki ile aynı olmalıdır.
2. Frame Viewer penceresi açıldığında, Display > Filter komutuyla Display Filter diyalog kutusunu açın.
3. Protocol == Any satırını seçerek Edit Expression butonuna tıklayın. Expression diyalog kutusunun Protocol sekmesini göreceksiniz.
4. Disable All butonuna tıklayarak tüm protokolleri kaldırın. Filtre disable edilen protokolleri
eler.
5. Disabled Protocols listesinden HTTP’yi seçip Enable butonuna tıklayın. Şu anda etkinleştirilen tek protokolün HTTP olması gerekir. İsteğe bağlı olarak ANY <--> filtresini seçip Edit
Expression butonunu kullanarak filtreye bir adres kuralı ekleyin. Normalde buna ihtiyacınız
olmaz, çünkü Network Monitor’ün Windows Server 2003 versiyonu bir anda sadece sizin
bilgisayarınızla bir diğer bilgisayar arasındaki trafiği izler.
6. İşinizi bitirdiğinizde Display Filter diyalog kutusunu OK butonuna tıklayarak kapatın. Frame Viewer penceresi yeniden görünür, fakat frame numaralarının (en soldaki kolon) birbirlerini takip
etmediklerine dikkat edin - filtre, istediğiniz ölçütlerle uyuşmayan herhangi bir trafiği eliyor.
7. Bir frame’in içeriğini görüntülemek için üzerinde çift tıklayın. Şifrelenmemiş HTTP paketlerine
baktığınız için açık bir biçimde istek ve cevapları görebilirsiniz.
Gerçek Dünya Senaryosu
Network Sistemlerinin Birlikte Çalışabilirliği
Şirketiniz yıllardır LAN teknolojileri konuşlandırmaktadır. Herbir departmanın kendi favori teknoloji ürünlerini seçmesi konusunda serbest olması şirketiniz için bir problemdir. Bu aşırı serbestlik
sistemli ve uygun maliyetli destek açısından bir kargaşaya sebep olmuştur. Sizin, network yöneticisi olarak tüm bu birbirinden bağımsız teknoloji adalarını, tüm bu farklı teknolojilerin hepsini bir
yere birleştirmek için toplamaksızın birbirlerine köprüleme göreviniz var.
Windows Server 2003’ün (hatta Windows 2000 ve NT’nin) en esnek taraflarından birisi arka
uçtaki farklı tip sistemler için bağlanabilirlik ve birlikte çalışabilirlik kabiliyetidir. Macintosh’lar,
mainframe’ler, küçük bilgisayarlar, Linux ve Unix iş istasyonları, NetWare ve hatta Banyan sistemlere, Windows Server 2003 oldukça kolay bir şekilde bağlanabilir. Birbirinden farklı sistemlerin bağlanabilirliği ile ilgili birkaç problem vardı; bu problemler yavaş yavaş ortadan yok olmaktadır; buna rağmen bazı kalıntılar hala bazı network’lerde bulunmaktadır. Örneğin, geçmişte farklı
sistemlerin transport protokolleri arasında büyük bir problem vardı. IP bu savaşı kazandı ve tüm
işletim sistemleri IP desteklemektedir. Şimdi geriye istemcilerin sorunu kaldı. Eğer NetWare,
Unix ve Windows 2000 bilgisayarlarıyla haberleşmeye ihtiyacınız varsa, ortak bir protokolünüzün olması gerekir, fakat herbir sisteme erişebilmek için hala özel istemcilere ihtiyacınız olabilir.
Bu sorun neredeyse sorun olmaktan çıkmaya başladı. Windows Server 2003 tüm istemcilerin,
bu farklı sistemler arasında iletişim için gerekli tüm ihtiyaçlarıyla birlikte gelir.
Ortak protokol ve istemcilerin kabul görmesi bir basitlik oluşturuyor görünümü vermesine rağmen, bunun yerine tüm internetworking’in kendi başına bir bütün olarak büyümesi tarafından
bir karmaşıklık oluşturur. Fakat burada gerçek sorun tüm bu istemcilerin nasıl yönetileceğidir.
Windows 2000 ve XP masaüstü bilgisayarları, cep telefonları, PDA’lar ve geliştirilmekte olan
diğer tüm aygıtlar tüm bilgi sistemi içerisinde entegre olmaya ihtiyaç duyarlar. Bu yüzden DHCP,
DNS, IPSec, Active Directory ve virtual private network’ler (VPNler) gibi servislerin anlaşılması
kritiktir. Windows 2000 ve XP istemcilerini destekleyen sağlam ve düzgün tasarlanmış Windows
Server 2003 servisleri, gelişim süreci içerisinde gelmekte olan istemciler için desteklenebilir bir
alt yapı oluşturur.
TCP/IP Kurulum ve Yapılandırması
Network Aktivitelerini System Monitor ile İzlemek
System Monitor yardımcı aracı yerel ya da uzak bir bilgisayara ait gerçek zamanlı performans
verilerini toplamak ve ölçmek için kullanılır. System Monitor ile hali hazırdaki veriyi ya da bir
log dosyasındaki veriyi görüntüleyebilirsiniz. Hali hazırdaki veriyi görüntülerken gerçek zamanlı
aktiviteleri izlersiniz. Önceki bir oturuma ait verileri içeren bir log dosyasını import ederek verileri
görüntüleyebilirsiniz.
System Monitor aşağıdaki görevleri yapmanızı sağlar:

Yerel bilgisayarınızdan ya da network’ünüzdeki uzak bir bilgisayardan veri toplamak. Tek bir
bilgisayardan veri toplayabildiğiniz gibi aynı zamanda birçok bilgisayardan da veri toplayabilirsiniz.

Verileri topladıkça gerçek zamanlı olarak görüntüleyebilirsiniz ya da veriler topladıktan sonra
görüntüleyebilirsiniz.

Toplanacak verinin seçiminde spesifik nesne ve sayaçlar ile tam kontrol sağlar.

Veri toplamak için kullanılacak zaman aralığı ve kullanılacak zaman periyodu gibi örnekleme
parametrelerini seçme.

Verinin hangi formatta görüntüleneceğine karar verme – grafik, histogram ya da rapor görüntüsü.

Veriyi görüntülemek için HTML sayfaları oluşturmak.

İzlenen verinin başka bilgisayarlara performans izlemek için export edilmesi amacıyla özel
yapılandırma oluşturmak.
System Monitor’ü ilk çalıştırdığınızda Şekil 2.12’de görüldüğü gibi varsayılan olarak üç sayacın
izlendiğini görürsünüz (System Monitor’un önceki versiyonu başlangıçta varsayılan olarak hiçbir
sayacı izlemezdi). Bazı kullanışlı performans verilerini izleyen varsayılan sayaçlar:

Memory > Pages/Sec

PhysicalDisk > Avg. Disk Queu Length

Processor > % Processor Time
Bu kitapta performans nesnesi > sayaç şeklinde bir format
kullanıyoruz. Örneğin Memory > Page/Sec, Memory performans nesnesini ve Page/Sec sayacı temsil eder.
Şekil 2.12: System Monitor.
Sayaçları bu bölümün “System Monitor’un Organizasyonu” kısmında öğreneceksiniz.
Her bir sayaç System Monitor yardımcı aracının alt kısmında listelenir. Sayaç listesinin hemen
üzerindeki alanlar listede vurgulanan sayaçla ilgili aşağıdaki verileri içerir:
65
66
Bölüm 2

Last alanı en güncel veriyi görüntüler.

Average alanı sayaçın ortalama değerini gösterir.

Minimum alanı sayaç için kaydedilen en küçük değeri gösterir.

Maximum alanı sayaç için kaydedilen en büyük değeri gösterir.

Duration alanı, sayacın ne kadar zamandır veriyi izlediğini gösterir.
İzleyen kısım System Monitor’un nasıl organize edildiğini, veri izlemek için sayacın nasıl eklendiğini ve network’le ilgili sayaçların nasıl yapılandırıldığını açıklar.
System Monitor’ün Organizasyonu
System Monitor hiyerarşik bir yapıda nelerin izleneceğini belirterek bilgisayarınızın performansı
ile ilişkili verileri izlemenizi sağlar. System Monitor araç çubuğunda Add butonuna tıkladığınızda
Add Counters diyalog kutusu görüntülenir. Şekil 2.13’de görebileceğiniz gibi sayaçlar aşağıdakilere göre eklenir:

Yerel bilgisayar ya da diğer bilgisayar için sayaçlar.

Performans nesneleri.

Tüm sayaçlar ya da özel sayaçlar.

Tüm örnekler ya da seçilen örnekler.
Varsayılan olarak System Monitor’e eklenen her sayaç, yerel bilgisayarı izler. Bununla birlikte bir
uzak bilgisayardaki bilgisayarda sayaçları izlemek istediğinizi belirtebilirsiniz. Bu seçenek size tek
bir System Monitor oturumu ile birkaç bilgisayara ait
performans verilerini izleyebilmenizi sağlar.
Windows Server 2003 sistem performansına etki
eden sistem kaynaklarını performans nesneleri adı
verilen kategorilere ayırmıştır. Tüm bu performans
nesnelerinin toplamı sizin sisteminizi temsil eder.
Sunucunuzun yapılandırmasına bağlı olarak, farklı
performans nesnelerinin listelendiğini görürsünüz.
Performans nesnelerine örnek olarak Paging File,
Memory, Process ve Processor verilebilir.
Şekil 2.13 Add Counters diyalog kutusu.
Her bir performans nesnesi kendisi ile ilişkilendirilmiş bir grup sayaca sahiptir. Sayaçlar, performans
nesnesi ile ilgili spesifik bir bilgiyi izlemek için kullanılır. Örneğin Memory performans nesnesi size
Page Reads/Sec ve Page Writes/Sec gibi sayaçları
izleme olanağı sağlar.
Instance
Her bir performans nesnesi bir ya da birden fazla örnek içerir. Memory ve Cache gibi performans
nesneleri her zaman bir instanece’a (örneğe) sahiptir. Print Queue ya da Processor gibi performans nesneleri eğer bilgisayarınızda birden fazla yazıcı kuyruğu ya da işlemci yüklü ise çoklu
örneklere sahip olabilir. Instance seçeneğini kullanarak, tüm örnekler için tüm verileri – örneğin
tüm yazıcı kuyrukları- ya da Laser yazıcı kuyruğu gibi spesifik örnekleri izleyebilirsiniz.
Sayaç Eklemek
System Monitor’e ek sayaçlar eklemek için aşağıdaki adımları kullanın:
1. System Monitor’de, araç çubuğundan Add butonuna tıklayın. Bu Add Counters diyalog kutusunu getirir.
TCP/IP Kurulum ve Yapılandırması
2. Add Counters diyalog kutusunda,
Özel bir sayaçla ilgili bilgi görmek için, sayacı seçip Add Counter
yerel bilgisayarı izlemek için Use Lodiyalog kutusunun sol alt köşesindeki Explain butonuna tıklayın.
System Monitor seçilen sayaçla ilgili bir metin görüntüleyecektir.
cal Computer Counters radyo butonunu seçin. Alternatif olarak, Select
Counters From Computer radyo butonunu seçtikten sonra bir bilgisayar için spesifik sayaçlar belirlemek için açılır pencereden o bilgisayarı seçin. Yönetimsel izinlere sahip olduğunuz
uzak bilgisayarları da izleyebilirsiniz. Bu seçenek izlemeye çalıştığınız bilgisayara System
Monitor’ün ek yük getirmesini istemediğiniz durumlarda kullanışlıdır.
3. Performans nesnesini açılır pencereden seçin.
4. Tüm ilgili sayaçları takip etmek için All
Counters radyo butonunu seçin ya da spesifik sayaçları aşağıdaki listeden seçmek için
Select Counters From List radyo butonunu
seçin.
Aynı performans nesnesine ait birden fazla sayacı seçerken, ard arda gelen sayaçlar için Shift ya da ard arda gelmeyen sayaçlar için CTRL tuşunu kullanabilirsiniz.
5. Tüm ilgili örnekleri takip etmek için All Instances radyo butonunu seçin ya da spesifik örnekleri
aşağıdaki listeden seçmek için Select Instances From List radyo butonunu seçin.
6. Performans nesneleri için Add butonuna tıklayarak sayaçlar ekleyin.
7. 2’den 6’ya kadar olan adımları izlemek istediğiniz ek sayaç için tekrarlayın. Bitirdiğinizde Close butonuna tıklayın.
System Monitor’u kullanarak, herhangi bir Windows Server 2003 makinesi tarafından oluşturulan
trafiği izleyebilir ve optimize edebilirsiniz. Network arabimini (sizin network kartınızı) ve bilgisayarınıza yüklediğiniz network protokollerini izleyebilirsiniz.
Network Subsystem’ı İzlemek İçin Anahtar Sayaçlar
Aşağıdaki iki sayaç network subsystem’ı izlemek için kullanışlıdır:
Network Interface > Bytes Total/Sec: Network kartının tüm network protokolleri ile gönderip
aldığı toplam byte’ı ölçer.
TCPv4 > Segments/Sec: Network kartının sadece TCP ile gönderip aldığı byte’ları ölçer.
Normal olarak bir network subsystem’ı izleme ve optimize etme işlemi tek bir bilgisayar yerine network perspektifinden yapılır. Örneğin, tüm network trafiğinizi, bant genişliği gereksinimlerinizi karşılayabilecek ölçüde kabul
edilebilir bir değerde olup olmadığını öğrenmek için bir network protokol çözümleyici kullanarak izleyebilirsiniz.
Network Subsystem’i Düzenlemek ve Güncellemek
Aşağıdaki öneriler network trafiğini optimize ve minimize etmeye yardımcı olabilir:

Sadece ihtiyacınız olan protokolleri kullanın. Örneğin TCP/IP kullanın, NWLink ve NetBEUI
kullanmayın.

Eğer birden fazla protokol kullanmaya ihtiyacınız varsa, en sıklıkta kullanılan protokolleri bind
listesinin en üst sırasına getirin.

Bandwidth’i etkin şekilde kullanabilecek network kartları kullanın. Örneğin 16-bit kartlar yerine
32-bit kartlar kullanın.

Daha hızlı network kartları kullanın. Örneğin, akıllı (CPU tabanlı) ve/veya daha geniş buffer’a
sahip network kartları kullanın.
Alıştırma 2.7’de network subsystem’inizi izleyeceksiniz.
67
68
Bölüm 2
Alıştırma 2.7: Network Subsystem’ı İzlemek
1. Eğer Network Monitor açık değilse Start > Administrative Tools > Performance komutuyla
açın.
2. System Monitor penceresinde, araç çubuğundan Add butonuna tıklayın.
3. Add Counters diyalog kutusunda, aşağıdaki performans nesnelerini ve sayaçları seçin:

Performans Objects açılır penceresinden Network Interface’i seçin, Counter liste kutusundan Bytes Total/Sec seçip Add butonuna tıklayın.

Performance Object açılır pencere kutusundan TCPv4 seçin, Counter liste kutusundan
Segments/Sec seçip Add butonuna tıklayın.
4. Close butonuna tıklayın. Bu sayaçların grafiğe eklendiğini görmeniz gerekir.
5. Domain Controller’ınızdan bir member sunucuya dosyalar kopyalayarak bir aktivite meydana
getirin.
6. Network Interface > Bytes Total/Sec ve TCPv4 > Segments/Sec sayaçlarına dikkat edin. Bu
sayılar kümülatif değerlerdir. Bu değerleri network aktivitenizi belirlemek için referans olarak
kullanın.
Network Protokollerinde Sorun Gidermek
Network sorunlarının nasıl giderildiğini bilmek küçük network’lerin yönetimin de bile esas bölümdür
ve Microsoft sizden temel sorun giderme ilkelerini ve bunların Windows Server 2003 networking’e
nasıl uygulandığını anlamanızı bekler. Belki de şu an neyin kontrol edileceğini biliyorsunuz; şimdi
network’ünüzün düzgün bir şekilde çalıştığını doğrulamak için kullanabileceğiniz bir takım araçlar
hakkında bilgiler okuyacaksınız. Daha da önemlisi, bu araçların doğru zamanda ve doğru yolla
nasıl kullanıldığını öğreneceksiniz.
En Son Değişiklikleri Analiz Etmek
Bir kişi network’lerinin çöktüğünden şikayet ettiğinde ilk tepkiniz, ne değiştiğini sormak olmalıdır.
Bu garip görünebilir; fakat gerçekten çok faydalıdır. Eğer çalışan bir sistem sonradan çalışmasını
durdurursa bir yerlerde bir şeylerin - doğrudan ya da bir kaza sonucu - değiştiği açıktır. Bir kez
neyin değişip neyin değişmediğini tanımlayabildikten sonra artık değişikliğin etkilerine ve yanlış
giden şeyleri düzeltme yollarına bakabilirsiniz.
Örneğin ev ofisimizdeki sunuculardan biri güvenli eski Integraph TD-30’dur. Bu sunucu beta sürümünden beri Windows Server 2003 kullanıyor ve hiçbir sorun çıkarmadan çalışmaya devam
ediyor. Bu sunucu ile bağlantı kuramadığımızda, ilk olarak sunucunun kapalı olduğundan şüpheleniriz.
Network sorununun ilk işareti de genellikle oldukça açıktır: Bir makine diğer bir makine ile haberleşemiyor. Eğer Bölüm 1’deki OSI modelini düşünürseniz, bilgisayarların farklı katmanlarda
haberleştiklerini hatırlayacaksınız. Önceki örneği düşünürsek, eğer hawk bilgisayarının arka paneline bakarsak, bizim birinci Windows Server 2003 makinemizin NIC’ının network aktivitesini
gösteren bazı LED ışıklarına sahip olduğunu görebiliriz. Bu yanıp sönen ışıklar Transport, Application, Session ya da Presentation katmanları tarafından ne tip bir veri taşındığı ile ilgili bir
şey söylemez. Buradan anlayabileceğimiz tek şey Physical katmanı bileşenlerinin bir şeyler alıp
gönderdiğidir. Bazen kabloda gerçekten bir problem olsa bile bu ışıklar yanabilir ve aktif durumda
olabilir. Problemin gerçekten ne olduğunu anlamak için, izleyen bölümlerde göreceğimiz gibi çeşitli sorun giderme araçlarını kullanmak zorunda olabiliriz.
Problemin Gerçek Nedenini Bulmak
Bir sorunu giderirken, sıklıkla gereksiz zaman ve çaba harcamaktan basit bir şeyler yaparak kendinizi korursunuz: Problemi düşünmeyi durdurmak. Network’ünüzle ilgili bir şeylerin yolunda gitmediği ve son kullanıcıların bunun neden olduğunu sorduğu sırada, mantıklı düşünebilmek ger-
TCP/IP Kurulum ve Yapılandırması
çekten zordur. Fakat problemin kaynağını net olarak tanımlayabilirseniz, zaman kaybetmenize
yol açacak dolambaçlı yollara girmeden etkin bir şekilde problemi çözebilirsiniz.
İzleyen kısımlarda, network problemlerinin nasıl tanımlanacağını ve toplanan verilere dayanan bir
planın nasıl hazırlanacağını öğreneceksiniz.
Ne Çeşit Bir Problem?
Bazen ilgilendiğiniz problemin ne çeşit bir problem olduğunu ortaya koymak sorun gidermenin en
sinir bozucu safhası olabilir. “Network çöktü” şeklinde gelen bir telefon ya da çağrı cihazı mesajı
size problem hakkında çok fazla şey söylemez. Internet’e olan bağlantınız mı? E-posta sunucusu
mu? Yerel network’ünüzdeki bir dosya sunucusu mu? Hangi servis ya da bağlantının kullanılamaz olduğunu bilmeden problemi çözmeye nereden başlayacağınızı bilemezsiniz.
Bazı tip problemler size anında bir çözüm önerir. Örneğin, bir müşteri arayıp bir web sitesine
bağlanmaya çalışırken bir DNS hatası aldığını söylerse, bizim ilk iki düşüncemiz birilerinin bu istemciye ait DNS ayarlarını değiştirdiği ya da DNS sunucularının çöktüğü olacaktır. Aynı şekilde bir
kullanıcı bir sunucu üzerindeki bir paylaşıma ulaşma ile ilgili bir problemi rapor ederse, bu problem belki sadece o istemci, belki sunucu, belki de tüm network ile alakalıdır. Eğer yapabilirseniz,
problemin ne olduğunu kavramadan önce mümkün olduğunca problemin kendisini ortaya koyan
ne zaman başladı, sürekliliği olan bir problem olup olmadığı gibi detayları toplayın. Tüm bunları
önceden bilmek, eğer daha önceden karşılaşıp çözdüğünüz bir problem ise size hızlı ve kolay bir
çözüm için rehberlik edebilir – fakat sadece daha önceden karşılaştığınızı biliyorsanız!
Bu Problemi Kimler Yaşıyor?
Bir problemin kimleri ya da hangi bilgisayarları etkilediğini bilmek çok önemlidir. Çünkü bu size
olayın iç yüzündeki muhtemel nedenleri (kullanıcı hataları da dahil olmak üzere) verir ve harekete
geçmek için bir gidiş yolu seçmenize yardımcı olur. Bu kısımda, kullanıcıların rapor ettiği problemlerin nasıl tanımlanacağını öğreneceksiniz.
Eğer Problemi Sadece Bir Kullanıcı Rapor Ettiyse
Eğer network’ünüzde bir problemi sadece bir kullanıcı yaşıyorsa, problemin kullanıcının yaptığı
bazı değişikliklerden kaynaklanma ihtimali çok yüksektir. Windows birbirleriyle alakalı birçok bileşen içerir ve birçok kişi için bir A bileşeninde yapılacak küçük bir değişikliğin B bileşeninde beklenmeyen bir yan etkiye sebep olabileceği kolay bir şekilde anlaşılabilir değildir. Bir son kullanıcı
problemini çözmeye çalışırken ilk sorunuz her zaman o makinede herhangi bir değişiklik yapıp
yapmadıklarını içermelidir. Bu sorular, Control Panel ayarlarını değiştirmek, yazılım yükleme ve
kaldırma, yeniden başlatma ya da sistemi direkt ya da endirekt etkileyebilecek diğer eylemleri içerebilir. Eğer neyin değiştiğini bulabilirseniz bu size bakmaya başlamak için potansiyel bir konum
listesi verir.
Örneğin bir şirketteki yeni bir sistem yöneticisi bir sunucuda yaptığı bazı işlerden sonra artık
network’ü göremediğinden şikayetçi. Daha sonra kendi makinesini denerken DHCP sunucuya
dönüştürdüğünü öğreniyorsunuz. Bu demek oluyor ki kendisine atanan eski DHCP adresi artık
kullanılamıyor. Rastgele şirketin network yapılandırması ile çalışamayacak olan yeni bir IP adresi
almış. Neyin değiştiğini bilmek problemi tam olarak saptamaya ve çözmeye yardımcı olur.
Aynı Sorunu Birkaç Kullanıcı Rapor Ederse
Çok kullanıcılı sorunu çözmek, tek kullanıcılı sorunu çözmekten paradoksal olarak hem daha
kolaydır hem de daha zordur. Çoğu zaman bir kullanıcı diğer kullanıcılara etkileyebilecek bir
değişiklik yapamaz, bu yüzden genel olarak bununla ilgili endişe etmenize gerek yoktur. Diğer
taraftan kazara diğer kullanıcıların bağlanabilirliğine etki edebilen bir takım değişikliklerin network
yöneticisinin yaptığı değişikliklerden kaynaklanma ihtimali çok daha yüksektir. Bu çeşit problemleri düzeltmenin ilk adımı problemin kapsamını belirlemektir. Network’deki herkes bu problemden
etkilendi mi? Sadece bir çalışma grubundaki kişiler mi ya da bir binanın bir katındaki kişiler mi
etkilenmiş? Problem önemli bir servisin (örneğin DNS) eksikliğinden mi kaynaklanıyor yoksa tüm
69
70
Bölüm 2
network trafiğini mi etkiliyor? Bu çeşit soruları cevaplamak problemin gerçekleştiği yeri ayırmada
yardımcı olur, böylece siz de tüm çabanızı o alana yoğunlaştırabilirsiniz.
Örneğin Texas’ta bir danışmanlık hizmeti verirken, o bölgede ziyaret ettiğimiz kullanıcılar
Internet’ten gelmesini bekledikleri e-posta’larının gelmediklerinden şikayet etmeye başlamışlardı.
Exchange sunucuyu kontrol ettiğimizde herhangi bir problemin olmadığını gördük. Bunun dışında
ne değişmiş olabilirdi? Posta sunucusu için DNS kaydının ISP’deki bir kişi tarafından yanlış bir
şekilde değiştirilmiş olduğu, bu yüzden bu kayıtlar düzeltilmeden e-posta alamayacakları sonucu
ortaya çıktı. Problemin herkesi etkilediğini bilmek başka bir sebebi düşünmek yerine doğru çözümü bulmakta bize yardım etmişti.
Fiziksel Bağlantıları Kontrol Etmek
Physical katman bağlanabilirliği kesinlikle önemlidir. Eğer konuşmak istediğiniz network’e fiziksel
bir bağlantınız yoksa o network’e paket gönderemezsiniz. Bir network problemi ile karşılaştığınız
ilk anda, network kablolarınızın doğru bir şekilde bağlı olduğundan ve hub, router ve switch gibi
aygıtların elektrik bağlantılarının olduğundan emin olmalısınız. Physical katmanın anlattığı herhangi bir etkinliği görmek için network kartınızın, hub veya switch’inizin aktivitesine ya da “heartbeat” ışıklarına göz atın.
Aynı zamanda hizmet dışı kalan kapsam ile ilgili bilgiye sahip olmak da yardımcı olur. Eğer network
çöktüğünde tüm kullanıcılar şikayet etmeye başlarsa, bu durumun bir kullanıcının network kablosundan kaynaklanan bir problem olma ihtimali düşüktür. Diğer taraftan, eğer tek bir kullanıcı
network ile ilgili bir sorun yaşıyorsa, bu sorundan router ya da switch’in sorumlu olma ihtimali
düşüktür. Eğer düzgün bir şekilde, problem yaşayan kullanıcıları teşhis edebilirseniz sizin fiziksel
topoloji hakkındaki bilginize dayanan bir fikir verebilir.
Eğer tüm fiziksel bağlantılarınızın, enerji ve kablolamaların düzgün çalıştığını doğrulamanıza rağmen hala bağlanabilirlik problemi yaşıyorsanız bu durum, sorunun daha üst katmanlarda olduğunu işaret eder.
Ipconfig Aracını Kullanmak
Windows Server 2003 ipconfig adında bir araç içerir. Adından da anlaşılacağı gibi lokal makineninizin TCP/IP arabirimlerini yapılandırmak ve görüntülemek amacıyla kullanılır. Windows
Server 2003 komut satırında ipconfig, bilgisayardaki tüm adaptörler için lokal DNS sunucusu,
IP adresleri ve subnet mask’ları içerecek şekilde bir özet bilgi sunar. Şekil 2.14 bu çıktının bir
örneğini gösterir.
Şekil 2.14:
ipconfig komutunun çıktısı.
ipconfig komutunu bu modda kullanarak, DHCP kullanıyor olsanız bile hızlı bir şekilde bilgisayarınızın IP yapılandırma bilgilerini görüntülemek için kullanabilirsiniz. Örneğin ortamda bir DHCP
sunucu olmasına rağmen bir makinenin IP adresinin olmadığını görürseniz, bu durum DHCP
sunucunun Active Directory’de authorize edilmemiş olma ihtimalini gösterir.
TCP/IP Kurulum ve Yapılandırması
Sorun çözücüleri özel olarak ilgilendirecek bir switch var: /all. /all switch’i ipconfig aracının
tüm adaptörlerle ilgili bildiği tüm IP yapılandırma bilgilerini görüntülemeye yarar. Normalde listelenen DNS bilgisi ve IP adresi yanında, aynı zamanda her bir NIC’in MAC adresini, (eğer varsa)
WINS yapılandırmasını ve DNS sunucu adreslerini de listeler. Şekil 2.15 örnek ipconfig/all
çıktısı görüntüler.
Şekil 2.15: ipconfig/all çıktısı.
Eğer network’ünüzün IP yapılandırmasının ne şekilde olması gerektiği konusunda yeterli derecede bilgi sahibiyseniz basit bir ipconfig komutu genelde problemin nerede var olduğunu size
söyleyecektir. Örneğin, DHCP’den otomatik olarak IP alması gereken bir bilgisayarın DHCP’yi
kullanacak şekilde yapılandırılmadığını ya da tam tersini görebilirsiniz. Network’ünüzün detayları
hakkında bilgi sahibi değilseniz bile, buna rağmen bilgisayarınızın kullandığı IP adreslerinin ve
subnet mask’inin nasıl bulunduğunu bilmek yararlı olabilir.
Alıştırma 2.8’de ipconfig aracını kullanarak şu andaki IP konfigürasyonunuzu görüntüleyeceksiniz.
Alıştırma 2.8: Ipconfig ile Yapılandırmaları İncelemek
1. Start > Run seçtikten sonra Run diyalog kutusunda cmd yazıp OK butonuna tıklayarak bir
komut satırı penceresi açın.
2. Komut satırında ipconfig yazın. Bağlantı spesifik DNS suffix, IP adresi, subnet mask ve
default gateway adreslerini içeren kısaltılmış bir bilgi göreceksiniz.
3. ipconfig/all yazın. Tüm adaptörlere ait bilgileri de (eğer birden fazla adaptörünüz varsa)
içerecek şekilde daha fazla bilginin görüntülendiğine dikkat edin.
Ping, Tracert ve Pathping Komutlarını Kullanmak
Physical katman sorun giderme tekniklerinden bir sonraki adım kaynak ve hedef arasında paketlerin gittiği ya da gitmeye çalıştığı yolu izlemektir. Tüm fiziksel bağlantılarınızın iyi durumda olduğunu doğruladıktan sonra, bir sonraki adım, herhangi bir paketi bir A noktasından B noktasına
gönderip gönderemediğinizi görmek olacaktır.
Internet Control Message Protocol (ICMP), IP protokol takımı içerisinde, sorun giderme teknikleri
ve bazen network operasyonları için olmazsa olmaz bir protokoldür. ICMP, IP aygıtları arasında
kontrol ve durum bilgilerinin iletilmesi için tasarlanmıştır. Genelde bir ping paketi (teknik olarak
bir ICMP echo request) olarak bilinen bir çeşit ICMP paketi, alıcı sisteme bir ICMP cevabı (teknik olarak ICMP echo reply) göndermesini söyler. Bu size ICMP ping paketlerinin hedefe ulaşıp
ulaşmadığını, dolayısıyla bir yerden başka bir yere paketleri gönderip gönderemediğinizi söyler.
İsim çözümleme ve uygulama servisleri alt seviye protokollere bağlı olduğundan, fiziksel bağlantı
testinden sonraki mantıksal adım olan bir çeşit “Bu şey açık mı?” testidir. Ping ve tracert araçları
ICMP kullanarak network problemlerini bulmaya yardımcı olur. Bu test maalesef kusursuz bir test
71
72
Bölüm 2
Windows tracert komutunun Linux/Unix
karşılığı traceroute’dır. traceroute komutu
ICMP yerine UDP kullanır.
değildir. Çünkü birçok router, denial of service ve diğer
ataklar için kullanılabilen ICMP trafiğini bilerek bloklar.
Gerçek Dünya Senaryosu
ICMP Filtreleme
Birçok firma ICMP paketlerinin sağlıklı bir network operasyonu için echo request ve echo reply
paketlerinin sorun giderme teknikleri tarafından faydalarını göz önünde bulundurmadan ICMP
paketlerini bloklar. ICMP geçmişte denial of service (DoS) atakları için kullanılmıştı ve aynı zamanda diğer tip ataklar için de kullanılabilir. Bununla birlikte bu ataklar bir DoS saldırı başlangıcında ICMP’nin geçici olarak bloke edilmesi ya da sınırlandırılması ile kolayca azaltılabilir.
Sınırlandırma, belirlenen bir kaynaktan belirli bir sayıda pakete izin verilmesi ya da belirlenen bir
zaman aralığında belirli sayıda pakete izin verilmesi işlemidir. Örneğin, ICMP için tüm kaynaklardan gelebilecek ICMP paketlerinin dakikada 10 paket ile sınırlandırılması, aksi takdirde bloke
edilmesi şeklinde yapılabilir. Bu şekilde bir plan tehlikesiz bir şekilde network aktivitelerinin teşhis edilmesini etkinleştirir, aynı zamanda ICMP kullanan atakları durdurur.
ICMP 15 farklı mesaj tipi içerir. echo request ve echo reply bunlardan sadece ikisidir. Diğer
ICMP tipleri etkin network operasyonlarına, kaynak bastırmak ve internette iletişim için yararlı
olan diğer öğeler gibi şeyleri göndererek yardım eder.
ICMP kullanan atakların sayısının gittikçe azalmasıyla birlikte, OSI modelinin daha üst katmanlarına karşı atak sayıları (Örneğin Application katmana karşı ataklar) ve ICMP’nin yararlılığı,
ICMP’nin bloklanması bu tür sorunların giderilmesi tarafında sıkıntı meydana getirir.
Ping Aracı
Ping yardımcı aracını varsayılan modda kullanarak uzak bir bilgisayarı test etmek istediğinizde
bilgisayarınız dört adet ICMP ping paketi gönderir ve her bir pakete ilişkin cevap paketinin ulaşmasından önce gerekli zamanı hesaplar. Bittiğinde, minimum, maksimum ve ortalama gidiş dönüş süreleri ve cevap alınmayan ping paketlerinin yüzdesini gösterecek şekilde size kullanışlı bir
özet sunar. Şekil 2.16 206.13.28.12 IP adresine sahip bir makineye ping atılmasını gösteriyor.
Şekil 2.16: ping komutunun çıktısı.
Bu size ne anlatıyor? İlk olarak gönderdiğiniz tüm paketlerin ulaşmış olduğunu ve bu makine ile
hedef makine arasında yaklaşık olarak 5 hop bulunduğunu görebilirsiniz. Time to live ya da TTL
değeri 250 olduğundan bu makine ile hedef makine arasında 5 host olduğunu söyleyebiliyoruz.
Ping’in gönderdiği paketler için TTL değeri varsayılan olaak 255’e ayarlanmıştır. Paketleri yönlendiren her bir router TTL değerinden 1 çıkarır. Bir paketin TTL değeri 0 (sıfır) olduğunda o paket
atılır.
TCP/IP Kurulum ve Yapılandırması
Daha da önemlisi bu ping oturumu, verinin sizin makineniz ile hedef makine arasında normal olarak aktığını gösterir. Çünkü tüm ping paketleri geldi (“0% loss” olduğuna dikkat edin). Bu iki link
arasındaki herhangi bir network probleminin sebebinin yönlendirme problemi olmadığını rahatlıkla söyleyebilirsiniz. Paketler normal bir şekilde burası ile karşı taraf arasında akıyor.
Bu veriyi kullanarak bir problemi nasıl tespit edersiniz? Uzak makineden herhangi bir paket geri
gelmeden ping’in time out (zaman aşımı) olduğu durumda en açık bir şekilde bunu söyleyebilirsiniz. Girdiğiniz IP adresinin yanlış olması ya da bağlantının iki uç noktası arasında bir şeylerin trafiği bloke etme durumu olabilir. Benzer şekilde yüksek paket kayıp sinyali, makineler arasındaki
yolda herhangi bir yerde bir hatanın olduğunu söyler.
Tracert Aracı
Lavabonuz ya da duşunuz çalışmadığında su tesisatınızın bozulduğunu söyleyebilirsiniz, fakat
suyun akmaması size tıkanıklığın nerde olduğunu söylemez. Aynı şekilde, ping yardımcı aracı
paketlerin akıp akmadığını size söyler fakat problemin nerde olduğunu söylemez. Windows Server 2003’de tracert (orijinal Unix sürümünden sonra “traceroute” şeklinde telaffuz edilir) adında bir
araç vardır. Bu araç her bir IP paketinin TTL değerini kullanarak paketlerin uzak sisteme giderken
geçtiği yolu haritalandırır. Hatırlayacak olursak bir paketi yönlendiren her aygıt o paketin TTL
değerini düşürür. Tracert TTL değeri 1 olan bir ICMP ping paketi göndererek başlar. Bu paketle
karşılaşan ilk router ya da gateway bir ICMP cevabı gönderir, ping paketinin TTL değerini bir azaltır, dikkat edin şu anda TTL değeri 0 ve paket atılır. Bu noktada tracert TTL değeri 2 olan ikinci
paketi gönderir. İlk aygıt bu paketi cevaplar ve TTL değerini bir düşürdükten sonra paketi bir sonraki hop’a yönlendirir. Zincirdeki sonraki aygıt ping paketini cevaplar ve TTL değerini bir düşürür
ve orijinal paketi atar. Bu tracert’ın kademeli olarak TTL değerini artırmasıyla, paket istenen son
hedef host’a ulaşıncaya kadar devam eder.
Paketleri gönderdikçe, tracert yol boyunca cevap veren ve vermeyen host’ları içeren bir log tutar.
Bu bilgiyi tıkanmanın nerde olduğunu ortaya koymak için kullanabilirsiniz. Örneğin Şekil 2.17’deki
tracert oturumuna göz atın. Görebildiğiniz gibi tracert başarılı bir şekilde tamamlandı. Bir hata
olursa, yol üzerindeki ilgili hop’da bir time-out göreceksiniz.
Şekil 2.17: tracert komutunun çıktısı.
Pathping Aracı
Pathping aracı ping ve tracert araçlarının tüm fonksiyonelliğini sağlar, bunun yanında kendine has
özelliklerini bu karışıma ekler. Şekil 2.18’de örnek bir pathping çıktısı gösterilmektedir. Çıktıdaki
ilk liste, paketin hedefine ulaşırken geçtiği yoldur. Bu tracert komutunun çıktısı ile benzerlik
gösterir. Sonraki listenin görüntülenmesi için belli bir süre beklemek zorundasınız (hop başına 25
saniye). En sağdaki iki kolon en önemli bilgileri sağlar. Address kolonu node adresini ya da ulaşılan hope’un link adresini gösterir. This Node/Link LAST/Sent % kolonu yolda o noktada meydana
gelen paket kaybını işaret eder. Tipik olarak paket kaybının 0 olması gerekir, eğer yönlendirme
problemleriniz varsa hat boyunca paketleri kaybettiğiniz noktalara bakarak hatalı çalışan router’ı
tespit edebilirsiniz.
73
74
Bölüm 2
Bu komutun bilmeniz gereken en önemli switch’i her bir hop’un isimlerini çözümlemek yerine sadece IP adreslerini görüntüleyen –n switch’idir.
Şekil 2.18: Pathping çıktısı.
Nslookup Kullanmak
Tracert oturumu size DNS çözümleme işleminin düzgün olarak yapıldığını gösterir, Microsoft’un
sunucusunun DNS adını girdiğinizde sizin DNS sunucunuz bunu IP adresine dönüştürebildi.
Çoğu zaman, ping ve tracert gibi araçları IP adresleriyle kullanacaksınız, çünkü DNS gibi daha
üst katman servislerini kullanmayı denemeden paketlerin IP seviyesinde iletilebildiğini doğrulamaya ihtiyaç duyarsınız. Windows Server 2003 network kaynaklarının yerini belirlemek için DNS
servis kayıtlarını kullandığından dolayı isim çözümleme Windows Server 2003 için çok önemlidir.
Buna ek olarak kullanıcılar IP adreslerini değil de hatırlaması kolay UNC path’lerini kullanmak
isteyeceklerdir.
Network problemlerinin sorun giderme tekniklerinin bir parçası olarak network isim çözümleme,
ne zaman ve nasıl kullanıldığı, düzgün çalışıp çalışmadığı ve nasıl test edildiğini içerir. Şimdiye
kadar DNS sunucu adresinin doğru olarak ayarladığından emin olmanın önemini öğrendiniz. Doğal olarak, bir istemcinin DNS ile ilgili hata mesajları aldığını farkettiğinizde ilk kontrol etmeniz
gereken DNS sunucu ayarlarıdır. Genel olarak diğer istemcilerin de benzer bir problem yaşayıp
yaşamadıklarını kontrol etmek iyi bir fikirdir. Çünkü DNS sunucularınızı kaybetmenizle birlikte
ortaya çıkacak olan problem aynı anda kendisini göstermeyecektir. Windows Server 2003 DNS,
adresler için bir cache tutar, bu sayede adresler cache’ye alındıktan sonra DNS sunucu çökse
bile, cache kayıtları TTL değerlerine ulaşıp, geçerliliğini yitirip silinene kadar istemci bir sorun
yaşamayacaktır.
nslookup aracı, bir DNS sunucuyu bir host kaydı için tuttuğu bilgileri görmek amacıyla sorgulamanızı sağlar. Bu örnekteki gibi, komut satırından küçük bir bilgi için sorgulayabilirsiniz.
F:\nslookup mail.chellis.net
Server: hawk.chellis.net
Address: 192.168.0.144
TCP/IP Kurulum ve Yapılandırması
Name: mail.chellis.net
Address: 209.68.1.225
Bu oturumun, sizin sorgunuza cevap veren DNS sunucuyu ve bununla birlikte cevabını söylediğine dikkat edin. Eğer hiçbir komut satırı değişkeni kullanmadan nslookup’ı çalıştırırsanız, bir
sırada birçok sorgulama yapabilmenizi sağlayan interaktif moda geçer:
F:\nslookup
Default Server: hawk.chellis.net
Address: 192.168.0.144
> www.naisimith-engineering.com
Server: hawk.chellis.net
Address: 192.168.0.144
Non-authoritative answer:
Name: www.hosting.swbell.net
Addresses: 216.100.99.6, 216.100.98.4, 216.100.98.6
Aliases: www.naismith-engineering.com
> fly.hiwaay.net
Server: hawk.chellis.net
Address: 192.168.0.144
Non-authoritative answer:
Name: fly.hiwaay.net
Address: 208.147.154.56
> www.apple.com
Server: hawk.chellis.net
Address: 192.168.0.144
Non-authoritative answer:
Name: www.apple.com
Address: 17.254.0.91
server ipAddress komutunu, verilen IP adresindeki sunucunun isim çözümlemesini test etmek için kullanabilirsiniz. Her zaman kulandığınız DNS sunucunuz çöktüğü ya da belirli bir adresi
çözemediği durumlar için oldukça kullanışlıdır. Örneğin, aşağıdaki nslookup oturumuna göz atın.
Bu örnekte nslookup oturumu minuteman isimli bir (düzgün bir şekilde yapılandırılmamış) DNS
sunucu üzerinden gerçekleşiyor:
75
76
Bölüm 2
> server minuteman
Default Server: minuteman.chellis.net
Address: 192.168.0.201
> www.chellis.net
Server: minuteman.chellis.net
Address: 192.168.0.201
DNS request timed out.
Timeout was 2 seconds.
DNS request timed out.
Timeout was 2 seconds
*** Request to minuteman.chellis.net timed-out
Sonuç olarak minuteman cevabı bulamaz. Problem değil, hawk isimli başka bir sunucuya geçin:
> server hawk
DNS request timed out.
Timeout was 2 seconds.
*** Can’t find address for server hawk: Timed out.
Minuteman düzgün yapılandırılmadığı için, hawk’ın adresini bulamaz. IP adresiyle deneyin:
> server 192.1680.144
DNS request timed out
Times out was 2 seconds.
Default Server: [192.168.0.144]
Address: 192.168.0.144
> www.chellis.net
Server: [192.168.0.144]
Address: 192.168.0.144
Name: www.chellis.net
Address: 209.68.1.225
TCP/IP Kurulum ve Yapılandırması
Sizin de görebildiğiniz gibi, hawk sunucusunu kullanarak www.chellis.net’in IP adresini çözebiliyorsunuz.
Nslookup aynı zamanda farklı tipte adresleri aramak için de kullanılabilir. Örneğin posta sunucuları bir MX DNS kaydı kullanırlar. Nslookup’ı interaktif modda set type=mx komutunu kullandıktan sonra cevap almak istediğiniz domain’i yazarak MX kayıtlarını aramak için kullanabilirsiniz.
> set type=mx
> example.com
Server: netserver.example.com
Address: 192.168.1.10
example.com MX preference = 0, mail exchanger = mail.example.com
example.com nameserver = ns0.example.com
mail.example
internet address = 192.168.1.20
Bu örnekte type’ın, MX olarak ayarlandğını ve sonra example.com domain’inin kendi posta sunucusu için sorgulandığını görebilirsiniz. Geriye gelen cevap bu domain için mail.example.
com’un MX kaydı olduğunu, preference değerinin 0 ve IP adresinin 192.168.1.20 olduğuna işaret
eder.
Özet
Bu bölümde network protokollerinin nasıl yapılandırıldığını ve sorunlarının nasıl çözüldüğünü
gösterdik. Spesifik olarak; istemci ve sunucu makinelerinin dinamik ve statik olarak nasıl yapılandırıldığını, istemci ve sunucu makinelerinin Windows Server 2003 tarafından sunulan DNS, WINS
ve DHCP servislerini kullanacak şekilde, Advanced TCP/IP Settings diyalog kutusu gelişmiş yapılandırma seçenekleri de dahil olmak üzere nasıl yapılandırıldığını, protokollerin servislere bind
ve unbind edilecek şekilde ve sıralarının yeniden düzenlenecek şekilde network bind’larının nasıl yapılandırıldığını, hedef makineye Network Monitor driver’ın ve sunucuya Network Monitor
Application’ın nasıl yüklendiklerini ve kullanıldıklarını, System Monitor’de network aktivitelerinin
nasıl görüntülendiğini öğrendiniz.
Sınav Esasları
TCP/IP ayarlarının nasıl yapılandırıldığını bilin. TCP/IP fonksiyonunu yerine getirmek için iki
bilgiye ihtiyaç duyar: Sistem için kullanmak istediğiniz IP adresi ve istemcinin bulunduğu network
subnet’ine tekabül eden subnet mask. Eğer bir Windows XP Professional makineyi yapılandırıyorsanız, muhtemelen DHCP kullanıyorsunuzdur. Bu noktada, varsayılan TCP/IP ayarları düzgün çalışacaktır, çünkü varsayılan ayarlar TCP/IP takımını yapılandırma parametrelerini otomatik
olarak herhangi bir uygun DHCP sunucudan alacak şekilde yapılandırılmıştır.
Network istemcilerinde DNS’in nasıl yapılandırıldığını öğrenin. Internet Protocol (TCP/IP)
Properties diyalog kutusunda Obtain DNS Server Addresses Automatically (sadece DHCP etkin
ise seçilebilir) radyo butonunu ya da DNS sunucu adresini manuel olarak girmenizi gerektiren
Use The Following DNS Server Addresses butonunu kullanabilirsiniz. Gelişmiş DNS ayarlarını,
TCP/IP diyalog kutusunda Advanced butonuna tıklayarak yapılandırabilirsiniz.
WINS istemcilerinin nasıl yapılandırıldığını bilin. WINS istemci yapılandırma seçeneği Windows Server 2003’de Advanced TCP/IP Settings diyalog kutusundadır. WINS sekmesinde WINS
Addresses, In Order Of Use listesi ve ilgili kontroller yapılandırdığınız istemci için tanımladığınız
WINS sunucuları gösterir. Enable LMHOSTS Lookup onay kutusu Windows Server 2003’ün bilgisayar adı IP adresi eşlemeleri için WINS sunucuyu sorgulamadan önce LMHOST dosyasını kullanıp kullanmayacağını kontrol eder. Diyalog kutusunun altındaki üç radyo butonu TCP/IP üzerinde
NetBIOS kullanımını yapılandırır.
77
78
Bölüm 2
Network binding işlemini anlayın. Bir bind işlemi, bir protokolün bir adaptöre, bu adaptörün o
protokolü kullanarak trafik taşıyabilmesini sağlamak için bağlanması işlemidir. Windows Server
2003 bir protokol yüklediğinde ya da Properties diyalog kutusunda onay kutuları seçildiğinde otomatik olarak o NIC için binding’ler oluşturur.
Network Monitor’ün, network’ü izlemek için nasıl kullanıldığını bilin. Network Monitor
RAM’nin bir parçasını capture buffer’a tahsis eder. Network Monitor’e network’deki paketleri capture etmeye başla dediğinizde, bir NIC üzerindeki her paketi capture buffer’a kopyalar, veriler
geçtikçe istatistiksel veriler toplanır. Capture işlemini durdurduğunuzda, artık buffer’a alınmış verileri farklı yollarla analiz edebilirsiniz.
System Monitor’ü kullanarak network trafiğinin nasıl izlendiğini bilin. System Monitor yardımcı aracı, bir network’te lokal ya da uzak bir bilgisayar için gerçek zamanlı performans verilerini
toplamak ve ölçmek amacıyla kullanılır. System Monitor eklediğiniz sayaçlar ile ilgili network aktivitelerini grafiksel olarak sunar. Mesela, Network Interface > Bytes Total/Sec sayacı bir network
arabirimi için tüm network protokolleri ile alıp gönderdiği toplam byte’ı ölçer.
Network protokolleri sorun giderme adımlarını bilin. İlk olarak problemin ne olduğunu anlayın.
Problemin kendisini nasıl gösterdiği ile ilgili mümkün olduğunca fazla bilgi (hata mesajları da dahil
olmak üzere) toplayın, ne zaman başladığı, tutarlı olup olmadığı gibi. Problemden kimlerin ya da
hangi bilgisayarların etkilendiğini bilmek çok önemlidir, çünkü bu sizin muhtemel nedenlerin iç
yüzünü kavramanızı sağlar ve harekete geçmek için bir gidiş yolu seçmenize yardımcı olur. Bir
network sorunuyla ilk karşılaştığınızda, tüm network kablolarının düzgün bir şekilde bağlı olduğundan emin olun; hub, router ya da switch’lerinizin enerji kablolarının takılı olduğundan emin
olun.
Ipconfig aracının nasıl kullanıldığını bilin. Ipconfig yerel makinenizde TCP/IP arabirimlerinizin
yapılandırma bilgilerini görüntülemek için kullanılır. Windows Server 2003 komut satırı penceresinde ipconfig yazıp çalıştırmak o bilgisayardaki tüm adaptörler için lokal DNS adı, IP adresleri
ve subnet mask yapılandırma bilgilerini içerek şekilde düzgün bir IP yapılandırma bilgileri özeti
oluşturur.
Ping aracının nasıl kullanıldığını bilin. Uzak bir bilgisayarı ping yardımcı aracını varsayılan
modda kullanarak ping’lediğinizde, bilgisayarınız dört adet ICMP ping paketi gönderir ve her bir
paketle ilişkili cevabın gelmesinden önce gerekli zamanı ölçer. Bittiğinde ping size, gönderilen ve
alınan paket sayılarını, minimum, maksimum ve ortalama gidiş dönüş sürelerini ve cevap alınamayan ping paketlerinin yüzdesini gösterecek şekilde yardımcı bir özet sunar.
Tracert aracının nasıl kullanıldığını bilin. Tracert aracı, her bir IP paketindeki TTL değerini
kullanarak paketlerin bir uzak sisteme giderken geçtiği yolları haritalandırır. Tracert, TTL değeri
1 olan bir ICMP ping paketi göndererek başlar. Bu da bu paket ile karşılaşan ilk router ya da
gateway’in bir ICMP response paketi gönderip ve TTL değerini bir düşüreceği anlamına gelir. TTL
değeri şu anda 0 olacağı için paket yok edilecektir. O aşamada, tracert TTL değeri 2 olan ikinci bir
paketi gönderir. İlk aygıt paketi cevaplar ve TTL değerini bir düşürür ve sonraki hop’a yönlendirir.
Bu zincirdeki sonraki aygıt ping’i cevaplar, TTL değerini bir azaltır ve orijinal paketi yok eder. Bu
işlem tracert’ın kademeli olarak TTL değerini artırmasıyla, paket istenen son hedef host’a ulaşıncaya kadar devam eder.
Pathping aracının nasıl kullanıldığını bilin. Pathping aracı ping ve tracert araçlarının tüm fonksiyonelliğinin yanında kayıp paket bilgilerini sağlar. Bilmeniz gereken en kullanışlı switch’i her bir
hop’un isimlerini çözümlemek yerine sadece IP adreslerini görüntüleyen –n switch’idir.
Nslookup aracının nasıl kullanıldığını bilin. Nslookup aracı bir DNS sunucuyu, bir host için
tuttuğu bilgileri görmek amacıyla sorgulamanızı sağlar. Komut satırından sadece küçük bir bilgiyi
sorgulamak için kullanabilirsiniz ya da herhangi bir değişken kullanmadan bir satırda birden fazla
sorgulama yapabileceğiniz interaktif modda çalışabilirsiniz.
TCP/IP Kurulum ve Yapılandırması
Gözden Geçirme Soruları
1. Birçok Windows XP iş istasyonu ve iki adet Windows Server 2003 makinelerini barındıran bir
network’ü yönetiyorsunuz. Bir XP kullanıcısının network problemlerini teşhis etmekte zorlanıyorsunuz ve Network Monitor’u kullanarak o makinenin alıp gönderdiği paketleri sniff etmeye
karar veriyorsunuz. Sizin Windows Server 2003 makinenizde Network Monitor’ü açıyorsunuz;
fakat hedef makineye gönderilen ya da gelen hiçbir paketi göremediğinizi fark ediyorsunuz.
Olası en muhtemel problem nedir?
A. Sorudaki XP makinesindeki paketler istenilen hedefe ulaşmıyor.
B. Network Monitor application lokal bilgisayarda kullanılmalıdır.
C. Diğer Windows Server 2003 makinesindeki bir Network Monitor kopyası XP makinelerinin
çıktılarını geçersiz kılıyor.
D. Hedef bilgisayar’da Network Monitor driver yüklü değil.
2. Bir binayı kapsayan küçük bir network’ü birkaç senedir yönetiyorsunuz. Windows 2000’den
Windows Server 2003’e migrasyonu henüz tamamladınız ve protokolü NetBEUI’den TCP/
IP’ye değiştirdiniz. Birbirine router’larla bağlanan birkaç subnet’ten oluşan büyük bir firmanın sizin firmanızı satın aldığını öğrendiniz. TCP/IP’nin tüm detaylarına hakim olmadığınız
için, sizin firmanızı satın alan firmanın IT departmanı size, sizin verdiğiniz network adresi
ile önceden yapılandırılmış bir router gönderiyor. Hat kurulduktan sonra, router’ı alıyor ve
çalıştırıyorsunuz. Yeni IT bölümünün network yöneticisi router’ın bağlantısını kontrol ediyor
ve her şey düzgün gözüküyor. Her nasılsa, siz diğer network’lerdeki kaynaklara bağlanmaya
çalıştığınızda bağlantı girişiminiz başarısız oluyor. Lokal iş istasyonlarınızın hepsi de düzgün
çalışıyor fakat hiçbiri router aracılığıyla hiçbir yere ulaşamıyor. Router arabirimine ping attığınızda düzgün bir cevap alıyorsunuz. Olası en muhtemel problem nedir?
A. Geçersiz bir subnet mask kullanıyorsunuz.
B. TCP/IP’nin yanlış versiyonunu kullanıyorsunuz.
C. Bir default gateway adresi sağlamadınız.
D. Herhangi bir DNS bilgisine sahip değilsiniz.
E. Hatalı bir IP adresi sağladınız.
3. Bir binayı kapsayan küçük bir network’ü birkaç senedir yönetiyorsunuz. Windows 2000’den
Windows Server 2003’e migrasyonu henüz tamamladınız ve protokolü NetBEUI’den TCP/
IP’ye değiştirdiniz. Birbirine router’larla bağlanan birkaç subnet’ten oluşan büyük bir firmanın sizin firmanızı satın aldığını öğrendiniz. TCP/IP’nin tüm detaylarına hakim olmadığınız
için, sizin firmanızı satın alan firmanın IT departmanı size, sizin verdiğiniz network adresi
ile önceden yapılandırılmış bir router gönderiyor. Hat kurulduktan sonra, router’ı alıyor ve
çalıştırıyorsunuz. Yeni IT bölümünün network yöneticisi router’ın bağlantısını kontrol ediyor
ve her şey düzgün gözüküyor. Her nasılsa, siz diğer network’lerdeki kaynaklara bağlanmaya
çalıştığınızda bağlantı girişiminiz başarısız oluyor. Lokal iş istasyonlarınızın hepsi de düzgün
çalışıyor fakat hiçbiri router aracılığıyla hiçbir yere ulaşamıyor. Router arabirimine ping attığınızda düzgün bir cevap alıyorsunuz. Bu sorunu çözmek için ne yapardınız?
A. İş istasyonlarının birinden yeni router’a ping atmak.
B. Yeni router’a nslookup çalıştırmak.
C. İş istasyonlarında ipconfig komutunu çalıştırmak.
D. İş istasyonlarında winipcfg çalıştırmak.
E. Bir sunucuda nbtstat çalıştırmak.
79
80
Bölüm 2
4. Şirketiniz iki lokasyona sahip, kaynaklarının çoğu Chicago’da. Bir Windows NT network’ünü
yönetiyorsunuz. Bu network router’lar arasında, servisler için NetBIOS isteklerini karşılamak
amacıyla LMHOSTS dosyalarını kullanarak adres bilgilerini sağlıyor. WINS hakkında çok şey
duydunuz fakat henüz uygulamadınız, çünkü LMHOSTS dosyaları düzgün çalışıyor ve WINS
kurulumu sizin için henüz yüksek öncelikte değil. Şu anda Windows NT network’ünüzün, Windows Server 2003’e upgrade işleminin sonundasınız ve WINS kurmaya karar verdiniz. Bir
test makinesi alıp, LMHOST dosyasının adını değiştiriyorsunuz. Makine daha önceden ulaşabildiği hiçbir sunucuya şimdi ulaşamıyor. Bu probleme neden olan olası en muhtemel sorun
nedir?
A. WINS sunucuda bu istemciyi girerek o istemciyi etkinleştirmeniz gerekir.
B. DHCP çalıştırıp bu istemciyi girerek o istemciyi etkinleştirmeniz gerekir.
C. İstemcide WINS sunucuyu girerek, istemciyi etkinleştirmeniz gerekir.
D. LMHOSTS dosyasına WINS sunucu adresini girmeli ve düzgün bir şekilde adını değiştirip
WINS sunucuda istemci için bir kayıt girmelisiniz.
E. İstemciyi eski isim/adres ikililerinin temizlenmesi için yeniden başlatmanız gerekir.
5. Bir bilgisayara iki adet network kartı monte etmek istiyorsunuz. Bu kartlardan birisi için IP adresini manuel olarak yapılandırmak istiyorsunuz. Diğer kartı nasıl yapılandırmalısınız?
A. Her iki kart da manuel olarak yapılandırılmalıdır.
B. Her iki kart da dinamik olarak yapılandırılmalıdır.
C. Bir kart manuel olarak, diğeri dinamik olarak yapılandırılmalıdır.
D. Her iki kart da manuel olarak ya da dinamik olarak yapılandırılabilir.
6. İki farklı bölümden oluşan bir şirket için çalışıyorsunuz. Bu bölümlerden biri spor etkinlikleri
için bilet satmakta, diğeri toplantı salonu kiralama işi ile ilgilenmektedir. Bu bölümler finansal
operasyon perspektifinde tamamen birbirinden ayrı; fakat aynı binada yer alıp tek bir router’la
birbirine bağlanmaktadırlar. Her iki bölümün de network yöneticisisiniz. Bu iki şirket birbirinden bağımsız olarak yönetilmelerine rağmen bazı IT kaynaklarını paylaşıyorlar. Örneğin
Internet bağlantısı ve fiziksel olarak şirketin bilet satış bölümünde yer alan bir IIS sunucusu.
Şirketin toplantı salonu kiralama bölümündeki bir iş istasyonu, Internet de dahil olmak üzere
diğer taraftaki hiçbir kaynağa bağlanamıyor. Makineler aşağıdaki şekilde yapılandırıldılar:
IIS sunucu:
Node adresi
192.23.64.23/24
Gateway
192.123.64.1/24
Router:
Bilet satış arabirimi
192.23.64.1/24
ISP arabirimi
10.2.223.23/28
Toplantı arabirimi
204.45.36.1/24
Problemli iş istasyonu:
Node adresi
204.45.36.2/24
Gateway
10.2.223.23/28
İş istasyonunun Internet’e erişebilmesi için ne yapmanız gerekir?
TCP/IP Kurulum ve Yapılandırması
A. ISS sunucunun gateway adresini 10.2.223.23/28 olacak şekilde değiştirin.
B. ISP arabirimi adresini 192.23.64.1/24 olacak şekilde değiştirin.
C. İş istasyonu gateway adresini 204.45.36.1/24 olacak şekilde değiştirin.
D. İş istasyonu gateway adresini 192.23.64.1/24 olacak şekilde değiştirin.
7. Şirketiniz Windows 2000 network’ünüzü Windows Server 2003 network’üne yükseltmeye karar verdi. Sunucularla başladınız, Windows 2000 sunucu ve servislerinizin Windows Server
2003’e migrasyon işlemini herhangi bir sorun yaşamadan tamamladınız. DHCP ve WINS sunucuları bir iki sorun dışında servislerini düzgün bir şekilde veriyorlar. WINS yapılandırmalarını ve DHCP scope’larını eskiden olduğu şekilde bıraktınız. Windows 2000 DHCP sunucunuz
gateway adreslerini dağıtacak şekilde yapılandırılmıştı, fakat DNS sunucular manuel olarak
yapılandırılmaktaydı. Sizin destek teknisyenleriniz Windows 2000 iş istasyonları Windows XP
Professional’lara yükseltmeye başladı. Bu işlem sırasında teknisyenleriniz “Obtain DNS server address automatically” seçeneğini görüp, Obtain An IP Address Automatically seçeneği
ile uyuşması için seçtiler. İnternete ulaşmaya çalıştıklarında herhangi bir kaynağa erişemediler. Bu probleme neden olan olası en muhtemel sorun nedir?
A. Teknisyenlerinizin, değişikliklerin etkin hale gelmesi için makineyi yeniden başlatması gerekir.
B. DHCP sunucu herhangi bir DNS bilgisine sahip değil.
C. Migrasyon işleminden sonra Windows 2000 sunucudaki DHCP yapılandırması, Windows
XP Professional iş istasyonları için uygun hizmeti sunmayacaktır.
D. Advanced sekmesindeki eski DNS kayıtlarını manuel olarak silmeniz gerekir.
8. Küçük bir organizasyonun network’le ilgili problemlerini araştırmak için danışman olarak kiralandınız. Ortam düzgün dokümante edilmemiş özel hazırlanmış birçok uygulamayı destekliyor.
Bir yönetici network’teki bir ya da daha fazla bilgisayarın aşırı miktarda bir trafik oluşturarak
network’ün çökmesine sebep olduğundan şüpheleniyor. Aşağıdakileri yapmak istiyorsunuz:

Problemlere neden olan bilgisayar ya da bilgisayarları belirlemek.

Spesifik makinelerin aldığı ya da gönderdiği network paketlerini kaydetmek ve incelemek.

Sadece spesifik network paket tiplerini görüntülemek.
Hangi aracı kullanmalısınız?
A. Tracert
B. Pathping
C. Nslookup
D. Network Monitor
9. Küçük bir şirkette network yöneticisi olarak çalışıyorsunuz. Şirketin network’ü 100 adet iş
istasyonu ve 2 adet Windows Server 2003’den oluşuyor. İş istasyonlarının tümü TCP/IP kullanıyor fakat sunucular bazı eski NetWare servislerine bağlanmaları gerektiğinden TCP/IP ve
NWLink kullanıyorlar. İş istasyonları kullanıcıları için destek veriyorsunuz, fakat neredeyse
NetWare sistem yöneticileriyle iletişim kurmadan bunu gerçekleştiriyorsunuz. Bir gün iş istasyonu kullanıcıları Windows Server 2003 sunucularından birindeki kaynaklara erişemediklerinden şikayet ediyor. NetWare sistem yöneticilerine bir bağlantı problemi olup olmadığını
öğrenmek için ulaşamıyorsunuz. Problemi teşhis etmeye başlamak için ne yapmanız gerekir?
En iyi cevabı seçin.
81
82
Bölüm 2
A. System Monitor’de görüntülemek için Network Interface > Bytes/Total/Sec sayacını ekleyin.
B. System Monitor’de görüntülemek için TCPv4 > Segments/Sec sayacını ekleyin.
C. İş istasyonlarından birinde Network Monitor driver’ı ve Windows Server 2003 üzerinde
de Network Monitor application’ı yükleyin. İş istasyonu üzerindeki network aktivitelerini
izleyin.
D. System Monitor’ü iş istasyonlarından birine yükleyin ve görüntülemek için Network Interface > Bytes Total/Sec sayacını ekleyin.
10. 500 node’luk Windows 2000 network’ünüzü, Windows XP ve Windows Server 2003’e yükseltmekle oldukça büyük bir zaman harcadınız. Sonunda DHCP’nin, IP subnet’lerinizin yeniden
tasarlanması ve tüm iş istasyonlarınızı içerecek şekilde scope’lar oluşturulmasıyla getirdiği
TCP/IP’nin merkezi yönetim avantajını elde ettiniz. Scope’u aktive ettiniz. Active Directory’yi
henüz uygulamadınız; fakat bunu her şeyin düzgün olarak çalıştığını doğruladıktan sonra
yapmayı planlıyorsunuz. Bu geçiş süreci hafta sonunda, her bir iş istasyonunda IP yapılandırmasını statik IP adreslemeden, DHCP kullanacak şekilde çevirecek bir script çalıştırdınız ve
tüm iş istasyonlarını yeniden başlattınız. Rastgele birkaç makineyi test ettiniz ve router’larınız
aracılığıyla kaynaklara bağlandılar ve tümü sunuculara uygun bir şekilde bağlandı. Pazartesi
sabahı, Internet bağlantılarının çöktüğünden şikayet eden kullanıcılardan telefonlar aldınız.
Kendi Windows Server 2003 makinenizden Internet bağlatınız kontrol ettiniz ve bağlantıda
herhangi bir problem olmadığını gördünüz. Bu probleme neden olan olası muhtemel sorun
nedir?
A. Bazı iş istasyonlarında subnet mask hatalı.
B. Default gateway hatalı.
C. İş istasyonlarındaki DNS yapılandırması, DHCP sunucudaki yapılandırmayı geçersiz kılıyor.
D. Oluşturduğunuz IP adres planı geçerli değil.
E. WINS sunucu uygun şekilde yapılandırılmamış.
11. Bilgisayarların tutulduğu odadan gürültü duyulduktan kısa bir süre sonra bir makine ani bir
şekilde Ethernet network bağlantısını kaybetti. Makine üzerinde bunun dışındaki her şeyin
normal çalıştığı gözüküyor. TCP/IP özelliklerini kontrol ediyor ve bunlar da olması gerektiği
şekilde bu probleme neden olan olası en muhtemel sorun nedir?
A. Network kartı hasar görmüştür.
B. DNS özellikleri yeniden ayarlanmalıdır.
C. Network’teki diğer makinelerden birisi bozulmuştur.
D. Makinenin network kablosu kırılmış ya da yerinden çıkmıştır.
12. Kullanıcılarınız çeşitli web sitelerinde aralıklarla meydana gelen problemlerden şikayet ediyor. Farklı web siteleri için defalarca tracert’ı çalıştırdınız ve herhangi bir problemle karşılaşmadınız. Aralıklarla meydana gelen router operasyonlarını saptamak için kullanabileceğiniz
en iyi komut nedir?
A. nbtstat –n
B. netstat
C. ping –a
D. pathping
TCP/IP Kurulum ve Yapılandırması
13. Network’ünüzde adresini dinamik olarak alan bir Windows Server 2003 bilgisayarı, DHCP
çökene kadar düzgün bir şekilde çalışıyordu. DHCP sunucu çöktükten sonra, bu bilgisayar
network’teki APIPA’ya dönen hiçbir bilgisayarla haberleşemedi. ipconfig komutunu kullanarak bilgisayarın 208.41.13.2 adresine sahip olduğunu gördünüz. Dahili network’ünüz normalde 10.x.y.z aralığını kullanır. Problemin ne olabileceğinden şüphelenirsiniz?
A. APIPA tekrarlanan adresten dolayı başarısız oldu.
B. Bilgisayar manuel olarak yanlış bir şekilde yapılandırıldı.
C. Sadece bu bilgisayar 208.41.13.2 IP adresini içeren bir alternatif yapılandırmaya sahip.
D. Bilgisayarın network’ten bağlantısı kesilmiş.
14. Aşağıdaki resimde, ikiden fazla DNS sunucu adresini yapılandırmak için nereye tıklardınız?
A. Use The Following IP Address
B. Obtain DNS Server Address Automatically
C. OK
D. Advanced
15. Network’ünüzdeki bir bilgisayarın sadece bir network adaptörü var. Sunucu kendi üzerinde,
yaklaşan birleşme süreci ardından oldukça yüksek düzeyde kullanımı idare etmeye ihtiyaç
duyacak. Sunucuda şu anki kullanım düzeyini (utilizasyonu) saptamak için System Monitor’ü
kullanmaya karar verdiniz. Bunu gerçekleştirebilmek için neyi izlemeniz gerekir?
A. Server nesnesinin Bytes Total/Sec sayacı
B. Network Interface nesnesinin Bytes Total/Sec sayacı
C. TCPv4 nesnesinin Segments/Sec sayacı
D. Network Interface nesnesindeki Current Bandwith sayacı
16. Network’ünüzde bir Windows Server 2003 bilgisayarınızın iki adet network adaptörü var. System Monitor’ü kullanarak bu arabirimlerden birinin veri giriş seviyesini ölçmek istiyorsunuz,
fakat çıktı sadece sabit sıfır düzeyini gösteriyor. Bu sonucun muhtemel sebebi aşağıdakilerden hangisidir?
83
84
Bölüm 2
A. Network Interface nesnesinin Byte Received/sec sayacını seçtiniz.
B. Counter için yanlış örnek seçtiniz.
C. Capture işlemini başlatmayı ihmal ettiniz.
D. Giriş düzeyini okuyabilmek için View Histogram seçmeniz gerekir.
17. Aşağıdakilerden hangisi internetwork boyunca hatanın meydana geldiği noktayı saptamak
için kullanılan en iyi araçtır?
A. Ping
B. Nbtstat
C. Tracert
D. Netstat
18. Bir Windows Server 2003 bilgisayarını bir DHCP istemcisi olarak yapılandırmaya çalışıyorsunuz, fakat sunucu buna karşı koyuyor. Aşağıdakilerden hangisi bunun olası en muhtemel
sebebidir?
A. DHCP sunucu sizin subnet’inizde olmayan bir adres ile cevap vermiştir.
B. DHCP sunucunun IP adres yapılandırmasını ihmal etmişsiniz.
C. Bilgisayar DHCP sunucu olarak çalışıyor.
D. Bilgisayar WINS sunucu olarak çalışıyor.
19. Aşağıdakilerden hangisi System Monitor’ün bir fonksiyonu değildir?
A. Yakalanan paketlerin ayrıntılarının gösterir.
B. Aynı anda bir network’te lokal bilgisayarınızdan ve uzak bilgisayarlardan veri toplamanızı
sağlar.
C. Spesifik nesne ve sayaçları seçerek, toplanacak verinin seçimi üzerinde size tam kontrol
sağlar.
D. Diğer bilgisayarlara aktarılabilecek şekilde veriyi izlemek için özel yapılandırma oluşturur.
20. WINS istemci olarak etkinleştirilmiş bir Windows Server 2003 bilgisayarı için varsayılan NetBIOS tipi aşapıdakilerden hangisidir?
A. p-node
B. h-node
C. b-node
D. m-node
TCP/IP Kurulum ve Yapılandırması
Gözden Geçirme Sorularının Cevapları
1. D. Network Monitor’u kullanmak için, hedef bilgisayarda Network Monitor driver’ı, sunucuda da Network Monitor application’ı yüklemeniz gerekir. İlk seçeneği Network Monitor’ü ilk
bölgede çalıştırıyor olsaydınız düşünebilirdiniz. B seçeneği doğru değildir. Çünkü Network
Monitor tipik olarak bir makine tarafından diğer makinenin aktivitelerini izlemek için kullanılır.
C seçeneği doğru değildir, tek bir sunucu tipik olarak network’teki diğer bilgisayarların network
çıktılarını bozmaz.
2. C. Bilgisayarın, paketleri diğer subnet ve network’lere gönderebilmesi için bir default gateway
adresi vermeniz gerekir. Bir paket farklı bir subnet için hazırlanıp adreslendiğinde, lokal IP
takımı, kendi yapılandırması içinde paketi iletmek için özel bir adres için bakar. Bu default gateway olarak adlandırılır. Eğer default gateway adresi yapılandırılmazsa, tüm lokal IP
trafiği düzgün çalışır fakat gateway yapılandırılması olmayan makineler diğer network’lere
erişemezler. Eğer subnet mask ya da IP adresleri doğru olmasaydı, lokal iletişim düzgün
gerçekleşmezdi. DNS yapılandırması isim çözümlemesi için kullanılır ve bu tip bir hatanın
oluşumuna sebep değildir.
3. A. Çünkü yeni bir router eklediniz ve makinelerden hiçbiri router’ın diğer tarafına erişemiyor.
İlk yapmanız gereken iş istasyonlarının router’la haberleşip haberleşemediğini kontrol etmek
olacaktır. Eğer haberleşebiliyorlarsa, problem yeni router’la bir sonraki nokta arasındaki bağlantıda ya da router’ın kendisinde bir problem vardır. Eğer iş istasyonları yeni router’a ping
atamıyorlarsa, ipconfig komutuyla tekrar iş istasyonlarının yapılandırmalarına bakmak isteyebilirsiniz.
4. C. Varsayılan olarak, istemcinin kullanacağı WINS sunucu listesi boştur. WINS merkezi bir
veritabanı olduğundan ulaşılabilir olması ve her bir istemcinin sunucunun IP adresini bilmesi gerekir. Bu adrese ek olarak, istemci WINS kullanmak üzere etkinleştirilmeli yani WINS
sunucuyu bulmaya çalışmayı bilmesi için NetBIOS p-node ya da h-node’a sahip olmalıdır.
WINS sunucuda makinenin girdisi o istemciyle haberleşme vasıtasıyla yapılır. WINS sunucuya statik girdi yapabilirsiniz, fakat istemci hala düzgün çalışabilmek için WINS kullanacak
şekilde yapılandırılmaya ihtiyaç duyar. DHCP’yi, WINS sunucu adreslerini taşıması, NetBIOS
node tiplerini değiştirmesi için kullanabilirsiniz, fakat WINS’i çalıştırmak için DHCP çalıştırmak
zorunda değilsiniz. WINS sunucu LMHOSTS dosyaları ihtiyacını doldurur, LMHOSTS dosyaları WINS sunucuların yerini belirlemek için kullanılmaz. İstemcileri eski isim adres ikililerinin
temizlenmesi için yeniden başlatmanıza gerek yoktur.
5. D. DHCP ya da manuel adresleme kullanan hiçbir adaptör diğer adaptörlerin kullandığı yapılandırmaya bakmaz.
6. C. İş istasyonunun gateway adresi IP’nin network dışına paketleri göndermek için kullandığı
adrestir. Nihai hedef, gerek diğer LAN’daki IIS sunucu gerekse Internet’te herhangi bir yerdeki
bir adres olsun paketlerin bu hedefe ulaşabilmesi için tek yol ilk olarak, diğer router’larla iletişim kurarak paketleri iletebilen gateway’dir. Ulaşmak istediğiniz özel bir makinenin adresini
gateway adresi yapmazsınız.
7. B. Bir önceki DHCP yapılandırması DNS bilgisine sahip değildi, çünkü istemcilerde DNS adresleri manuel olarak girilmişti. Obtain DNS Server Addresses Automatically seçeneğini işaretlediğinizde önceki manuel olarak girdiğiniz yapılandırma bilgileri kaybolur – sadece Obtain
an IP address Automatically seçtiğinizde standart IP bilgileri ile birlikte. Windows 2000 ya da
Windows Server 2003’de DNS adreslerini değiştirdiğinizde bilgisayarı yeniden başlatmanıza
gerek yoktur. Windows 2000 versiyonu DHCP yapılandırma bilgileri Windows Server 2003’e
yükseltilirken korunur.
8. Network Monitor application’ı kullanırken lokal sunucu tarafından alınan ya da gönderilen tüm
network paketlerini görebilirsiniz. Bu bilgiyi temel alarak belli network tipleri için kaynakları
tanımlayabilirsiniz, ping paketleri gibi. Diğer araçlar da kullanışlı bilgiler verir; fakat bir network
85
86
Bölüm 2
paketi ile ilgi spesifik detaylara erişim sağlamanıza ya da hakkında bilgi topladığınız veri ile
ilgili filtre yapmanıza imkan vermezler.
9. B. Burada TCPv4 > Segment/Sec sayacını görüntülemek için System Monitor eklemek isterdiniz. Bu size sunucuda TCP/IP’nin herhangi bir trafik oluşturup oluşturmadığı hakkında bilgi
sağlayacaktır. Network Interface > Bytes/Total/Sec sayacını eklemek, NWLink trafiğini de
görüntüye ekleyecektir (bildiğiniz kadarıyla hala düzgün çalışıyor) ve TCP/IP’nin hatalı olma
gerçeğini gizleyebilecekti. Kötü bir sunucuda Network Monitor çözümü problemleri teşhis etmede yardımcı olmayacaktır ve son seçenek problemi çözmek için yardımcı olmayacaktır.
10. Statik DNS yapılandırması, DHCP istemci ile tertip edilen DHCP yapılandırmasını etkisiz kılar. Çünkü Registry statik IP’den DHCP’ye geçecek şekilde düzenlenmiştir. DNS bilgisi statik
bilgi olarak kalır değiştirilmez ve DHCP yapılandırmasıyla gelen DNS bilgisini yok sayar. Hatalı DNS yapılandırmasıyla, iş istasyonları Web kaynaklarına bağlanmak için gerekli olan bir
URL’i IP adresine çözümleyemezler. Eğer subnet mask ve IP adresleri hatalı olsaydı, lokal
network içinde de iletişim kuramazlardı. Router’lar aracılığıyla bağlantılar kurabildiğinizden
dolayı default gateway düzgün çalışıyor. WINS web hizmetleri ile ilgili değildir.
11. D. Fiziksel bağlantıların hızlı bir şekilde kontrol edilmesi, sizi var olmayan problemlerle vakit
kaybetmekten korur. Network problemlerinin büyük çoğunluğu Physical katmanda gerçekleşir.
12. D. Pathping, işlevini belirli bir zaman periyodu üzerinden gerçekleştirdiği için aralıklarla
meydana gelen problemlerin teşhisinde kullanışlı olabilir. Örneğin, sizin network’ünüz dışındaki aralıklarla problem yaşayan bir router için, pathping paket kayıplarını gösterecektir.
Aynı şekilde pathping router düzgün çalıştığında paket kaybı göstermeyecektir, böylece
problemin neden kesikli bir problem olarak tanımladığını göreceksiniz.
13. Windows Server 2003 bir DHCP sunucuya erişemediğinde kullanılmak üzere alternatif bir
APIPA yapılandırması sağlar. Bu durumda, network’teki tüm bilgisayarlar varsayılan APIPA
adres aralığına geçmişler, fakat sorudaki bilgisayar muhtemel olarak bu alternatif adreslerden
biri ile yapılandırılmıştır.
14. D. Advanced TCP/IP Settings diyalog kutusunu görüntülemek için Advanced butonuna tıklayın. Bu diyalog kutusunun DNS sekmesinden ek DNS sunucuları yapılandırabilirsiniz.
15. A. Sunucunun network bağlantısıyla değil de kullanım değerini ölçmek ile ilgilendiğinizden,
Server nesnesi doğru seçim olacaktır. Aynı şekilde, saniyedeki TCP segment’lerini ölçmek
sunucunun kullanım düzeyini (utilizasyon) ortaya çıkarmaz. Son olarak, Current Bandwith
sayacı genelde network arabiriminin nominal bant genişliği değerinde kullanım düzeyini çok
az miktarda ortaya koyar.
16. B. Her bir network adaptörü bir Network Interface nesnesinin Bytes/Sec sayacının bir örneği
olarak görünür- izlemeniz gereken nesne ve sayaç. C seçeneği geçersizdir, çünkü yakalama
işlemini System Monitor’de değil, Network Monitor’de başlatırsınız. D seçeneği doğru değildir,
çünkü histogram görünüşü aynı veriyi daha sade bir şekilde gösterir, verinin kendisine etki
etmez.
17. C. ping doğru cevaba yakındır, fakat tracert izlenen yoldaki hataları tespit etmede daha
iyi bir yardımcı araçtır. ping potansiyel olarak birden fazla işletim gerektirirken, tracert
internetwork’teki aygıtlar boyunca hatalı router’ı bulana kadar ilerleyerek devam eder.
18. C. Nadiren de olsa sunucularda DHCP istemciyi etkinleştirmek, bunu DHCP ya da DNS sunucu üzerinde yapmadıkça imkansız ya da yanlış değildir. Bu bilgisayarların IP adresleri statik
olarak yapılandırılmak zorundadır. DHCP sunucu isteğin geldiği subnet’i bilir, böylece yanlış
bir subnet’in adresini vermeyi önler. Kendi adresini bile bilmeyen DHCP istemcide, DHCP
sunucu adresini yapılandırmaya gerek yoktur.
19. A. Yakalanan paketlerin detaylı bir şekilde gösterimi System Monitor’ün değil Network
Monitor’ün bir fonksiyonudur. System Monitor ile sadece kendi bilgisayarınızdan değil, aynı
TCP/IP Kurulum ve Yapılandırması
anda diğer bir bilgisayardan da veri toplayabilirsiniz. Spesifik nesne ve sayaçları seçmek suretiyle toplanacak olan veri üzerinde tam bir kontrolünüz vardır. Aynı zamanda, izlenen veri
için özel yapılandırmalar oluşturup performans izleme için diğer bilgisayarlara export edebilirsiniz.
20. B. b-node tipi bir WINS istemcisi olarak yapılandırılmamış Windows Server 2003 bilgisayarları için varsayılan ayar iken, WINS istemci etkinleştirildiğinde varsayılan node tipi h-node
olacaktır.
87
3
Security
Policy’lerini
Yönetmek
3 Security Policy’lerini
Yönetmek
• Kullanıcı ve Grup Hesaplarına Genel Bakış
• Security Policy Tipleri ve Araçları
• Local Computer System Policy’leri
• Security Configuration and Analysis Aracı
ile Güvenlik Yapılandırmalarının Analizi
• Yazılım Yüklemek ve Bakım Yönetimi
• Windows Server 2003 Servislerini Yönetmek
• Özet
• Sınav Esasları
• Gözden Geçirme Soruları
• Gözden Geçirme Sorularının Cevapları
Security Policy’lerini Yönetmek
Önceki versiyonlarda olduğu gibi, Windows 2000 Server ve Windows Server 2003 işletim sistemlerinde de kullanıcı hakları, uygulamaların çalışmaları ve işletim sisteminin kendisi için çeşitli
seçenekler sunarak farklı seviyelerde güvenliği yönetmenize imkan sağlar. Bu işlem lokal ya da
domain seviyesinde security policy’leri kullanılarak gerçekleştirilir.
Güvenlik ayarları Group Policy ile site, domain, OU ya da lokal düzeyde yapılandırılabilir. Account
Policy’ler, hesap kilitleme ve parola yapılandırması gibi logon işlemlerini kontrol etmek için kullanılır. Local Policy’ler, denetleme, kullanıcı hakları ve güvenlik seçenekleri gibi security policy’lerini
tanımlamak için kullanılır.
Security Configuration and Analysis aracı güvenlik yapılandırmanızı analiz etmek için kullanabileceğiniz bir Windows Server 2003 yardımcı aracıdır. Bu yardımcı araç bir takım güvenlik şablonlarını kullanarak sizin şu anki güvenlik yapılandırmanız ile arzu ettiğiniz yapılandırmayı karşılaştırır.
Bu bölümde, bu farklı güvenlik tiplerini ve güvenlik araçlarını öğreneceğiniz gibi, Windows Server
2003 ortamında güvenliğin Group Policy ve local security policy’leri kullanılarak nasıl yönetildiğini
ve Security Analysis and Configuration yardımcı aracının nasıl kullanıldığını da öğreneceksiniz.
Bunun yanında, Windows Server 2003’de yazılım güncelleştirme araçlarını öğreneceksiniz. Windows zaman içerisinde güncelleştirmeleri çalıştırmayı gerektiren sürekli değişen bir işletim sistemidir. En önemli güncelleştirmeler, Microsoft ürünlerinin herhangi birinde bir zayıflık bulduğu
anda çıkardığı güvenlik güncelleştirmeleridir. Microsoft mümkün olan en kısa zamanda, genelde
fark ettikleri andan itibaren 24 saat içinde, bu zayıflıkları çözmeye çalışır. Sisteminizi korumak
için güncelleştirmeleri mümkün olan en kısa sürede uyguladığınızdan emin olmalısınız. Windows
Server 2003 güncelleştirme araçları bunu gerçekleştirmenizi sağlar.
Son olarak Windows Server 2003 servislerine bakacağız. Print spooler’dan DNS servisine kadar
mevcut birçok servis işletim sistemine fonksiyonellik kazandırır. Services yardımcı aracı ile sunucunuzdaki servisleri nasıl başlatıp durdurabileceğinizi ve servisleri nasıl gözden geçireceğinizi
öğreneceksiniz.
Kullanıcı ve Grup Hesaplarına Genel Bakış
70-290 sınavından henüz geçmediyseniz (Windows Server 2003 İşletim Sistemine Genel Bakış)
Windows Server 2003 ortamında kullanıcı ve grup hesaplarının nasıl çalıştığına hızlı bir şekilde
göz atmak faydalı olacaktır. Bu kısım, lokal ve domain hesapların her ikisini de kapsayacaktır,
fakat 70-291 sınavı öncelikli olarak domain hesapları üzerine odaklanır.
Kullanıcı Hesapları
Windows XP Professional ya da Windows Server 2003 (üye sunucu olarak yapılandırılmış) çalıştıran bir bilgisayar kendi kullanıcı hesapları veritabanını tutma yeteneğine sahiptir. Lokal bilgisayarda tutulan bu kullanıcılar local users olarak bilinir.
Active Directory Windows 2000 Server ve Windows Server 2003 platformları ile kullanılabilen
bir directory hizmetidir. Active Directory, bilgileri merkezi bir veritabanında tutarak kullanıcının
enterprise çapında kaynakları tek bir kullanıcı hesabı ile payActive Directory ile ilgili daha fazlasını
laşmasını sağlar. Active Directory’nin merkezi veritabanında
daha sonra “Active Directory’ye Hızlı
tutulan kullanıcı ve gruplar Active Directory users ya da doBakış” kısmında öğreneceksiniz.
main users olarak adlandırılır.
Eğer network’ünüzde yerel kullanıcı hesaplarını kullanıyorsanız, kullanıcıların tüm network’te erişiminin olması için her bir bilgisayarda bu hesapların oluşturulması gerekir. Bu nedenle, orta ve
büyük network’lerde kullanıcıları yönetmek için genellikle domain kullanıcı hesapları kullanılır.
92
Bölüm 3
Windows XP Professional bilgisayarlarında ya da Windows Server 2003 üye sunucularında, Local Users and Groups yardımcı aracı ile yerel kullanıcılar oluşturursunuz. Windows Server 2003
domain controller bilgisayarında kullanıcıları Active Directory Users and Computers (ADUC) yardımcı aracı ile yönetirsiniz.
MCSE: Windows Server 2003 Active Directory ile Sistem Yönetimi (Sybex, 2003) Active
Directory’yi detaylı olarak kapsamaktadır.
Windows Server 2003 yüklediğinizde, birkaç yerleşik
kullanıcı hesabı varsayılan olarak oluşturulur. Oluşturulan bu kullanıcı hesaplarından en önemli ikisi şunlardır:

Administrator hesabı, bilgisayar üzerinde tam kontrole sahip özel bir hesaptır. Bu hesabın parolasını, Windows Server 2003 kurulumu sırasında verirsiniz. Administrator hesabı, kullanıcı
ve grup oluşturmak, dosya sistemini yönetmek ve yazdırma işlemlerini ayarlamak gibi tüm
görevleri yerine getirebilir.

Guest hesabı; kullanıcıların, kendilerine ait bir parola ve kullanıcı adları olmasa da bilgisayara
erişebilmelerini sağlayan hesaptır. Bu tip bir kullanıcının getirebileceği güvenlik riskleri nedeniyle bu hesap varsayılan olarak etkinleştirilmemiştir. Bu hesap etkinleştirildiğinde, Guest
kullanıcısına çok kısıtlı haklar sağlar.
Varsayılan olarak Administrator hesabı bilgisayar üzerinde tam yetkiye sahiptir. Administrator heabının adını değiştirip, Administrator adında herhangi bir yetkiye sahip olmayan bir hesap oluşturarak, bilgisayarın güvenlik düzeyini artırabilirsiniz. Bu
sayede, bir hacker Administrator olarak sisteme giriş yapsa bile herhangi bir sistem kaynağına erişim sağlayamayacaktır.
Microsoft güvenlik riskleri ortaya çıkabileceğinden dolayı administrator yetkileriyle sisteme girmemenizi tavsiye eder. Birçok virus bilgisayarda Trojan şeklinde kendisini gizler. Tipik olarak
Windows Server 2003’de izinlerin işleyebilmesi için administrator hesabı ile sisteme giriş yapmadıkça herhangi bir zarar vermezler. Bu problemden kurtulmak için en iyi yol, bir sistem mühendisi
olarak günlük işlerinizi sınırlı bir hesapla yapmak ve
Microsoft tüm parolaların bir büyük harf, bir küçük
yönetimsel olarak görevlerin yerine getirilmesi geharf, bir simge ve bir sayı içermesini tavsiye eder.
rektiği durumlarda runas komutuyla administrator
Örneğin; osman yerine 0sm@n kullanabilirsiniz.
hesabını kullanmaktır.
runas komutu, çalıştırılabilir dosyaları, Control Panel öğelerini ve Microsoft Management Console (MMC)’u administrator yetkilerini tek bir işleme atayacak şekilde çalıştırmanızı sağlar. Tipik
olarak runas komutunu, öğe üzerinde sağ tıklayıp, pop-up menüden Run As seçerek kullanabilirsiniz. Ardından geçerli bir kullanıcı ve parola girerek, o kullanıcının erişim ayarlarının o dosyaya
ya da çalıştırılan işleme uygulanmasını sağlayabilirsiniz.
Grup Hesapları
Bir Windows Server 2003 üye sunucu üzerinde sadece lokal grupları kullanabilirsiniz. Bir lokal
grup Windows Server 2003 üye sunucusunun lokal veritabanındadır.
Active Directory’deki bir Windows Server 2003 domain controller bilgisayarında security ve distribution gruplarına sahip olabilirsiniz. Bir security grubu belirli kaynaklara erişme ihtiyacı olan
kullanıcıların mantıksal bir grubudur. Security gruplarını kaynaklara izin ataması yapmak için kullanabilirsiniz. Bir distribution grup ise ortak karakteristiğe sahip kullanıcılardan oluşan bir gruptur.
Distribution gruplar, uygulamalar tarafından ve e-posta programları (Örneğin Microsoft Exchange) tarafından kullanılabilir. Distribution gruplar access control list’e (ACLs) ve dolayısıyla herhangi bir izne sahip değillerdir. Windows Server 2003 domain controller’lar lokal, global ya da
universal olmak üzere farklı grup scope’ları seçmenize imkan verir. Bu scope tipleri aşağıdaki gibi
kullanılır:

Domain local grupları kaynaklara izin atamak amacıyla kullanılır. Lokal gruplar, tree ya da
forest’taki herhangi bir domain’den kullanıcı hesaplarını, universal gruplarını ve global gruplarını içerebilir. Bir domain local grup aynı zamanda diğer domain’lerdeki domain local grupları
da içerebilir.
Security Policy’lerini Yönetmek

Global gruplar benzer network erişim gereksinimlerine sahip kullanıcıları organize etmek için
kullanılır. Global gruplar lokal domain’den kullanıcıları ve global grupları barındırabilir.

Universal gruplar global catalog (Active Directory’deki tüm nesnelerle ilgili kısıtlı bilgileri içerir)
içerisinde görüntülenir ve global grupları mantıksal olarak organize etmek amacıyla kullanılır.
Universal gruplar domain tree ya da forest’ın herhangi bir yerinden kullanıcıları (tavsiye edilmez), diğer universal grupları ve global grupları barındırabilir.
Windows XP Professional bilgisayarlarda ve Windows Server 2003 üye sunucularda, Local Users
and Groups yardımcı aracıyla lokal grupları oluşturabilir ve yönetebilirsiniz. Windows Server 2003
domain controller’larda grupları Active Directory Users and Computers (ADUC) yardımcı aracıyla
yönetebilirsiniz.
Security Policy Tipleri ve Araçları
Windows Server 2003 güvenlik ayarlarını yerel bilgisayar düzeyinde ya da site, domain ve OU
düzeyinde yönetebilmenizi sağlar. Domain security policy’leri local policy’leri geçersiz kılar.
Policy’leri Group Policy ve uygun objelerle yönetirsiniz:

Local policy’leri yönetmek için, Group Policy’yi Local Group Policy Objects (GPOs) ile kullanırsınız.

Domain policy’leri yönetmek için, Group Policy’yi Active Directory Domain Controller GPO’ları
ile kullanırsınız.
İlk olarak Active Directory group policy’leri ile GPO’larının directory içerisinde farklı seviyelerde
nasıl uygulandığı ile başlayacağız. Ardından yerel bilgisayar seviyesinde group policy’lere göz
atacağız.
Active Directory’de Group Policy’ler
Eğer bir Windows Server 2003’de Active Directory yüklü ise, group policy’ler Group Policy
Object’leri (GPOs) olarak uygulanır. Group policy’ler aşağıdaki seçenekler için yapılandırma ayarları içerir:
Software: Software policy’leri sistem servislerini yapılandırmak için kullanılır, masaüstünün görünümü ve uygulama ayarları gibi.
Scripts: Script’ler, kullanıcının sistem girişinde ya da sistemden çıkışında çalışacak şekilde yapılandırılabilen özel komutlardır.
Security: Security policy’leri, Active Directory’de ya da lokal bilgisayarda güvenliğin nasıl yapılandırılıp uygulanacağını tanımlar.
Application and file deployment: Application and file deployment policy’ler uygulamaları assign ve publish etmek için ya da dosyaları kullanıcının masa üstüne, özel bir klasörüne (örneğin
Start Menu klasörüne) ya da Favorites klasörü içine yerleştirmek için kullanılır.
GPO’ların site, domain ve OU’lara
nasıl uygulandığına geçmeden önce
sonraki kısımda göreceğimiz Active
Directory ile ilgili temel prensipleri bilmeye ihtiyacınız olacak.
Active Directory Users and Computers MMC snap-in’i ile GPO’ları domain ve OU bazında oluşturursunuz. Site bazında GPO’ları oluşturmak
için Active Directory Sites and Services MMC snap-in’i kullanılır.
Active Directory’ye Hızlı Bakış
Active Directory’de farklı seviyelerde hiyerarşik yapılarınız vardır. Bir tip yapı domain’leri, organizational unit’leri (OU) ve site’ları içerir. Active Directory’de farklı seviyeler de vardır, fakat bu
bölüm GPO’ların kullanımı bağlamında domain, organizational unit ve site’lara odaklanmıştır.
93
94
Bölüm 3
Domain’ler
Active Directory’deki ana birim domain’dir. Bir domain içinde birçok domain nesneleri (kullanıcılar,
gruplar ve GPO’lar) vardır. Güvenlik her bir domain nesnesine kimin hangi seviyede erişebileceğini belirlemek için uygulanabilir. Her bir domain’in Active Directory verileri bir ya da daha fazla
domain controller olarak yapılandırılan Windows 2000 Server veya Server 2003 bilgisayarlarında
tutulur. Eğer birden fazla domain controller kullanıyorsanız (redundancy ya da farklı fiziksel lokasyonlar için), Active Directory verilerini veri tabanının tutarlılığı açısından birbirleri arasında düzenli
bir şekilde replike etmeniz gerekir.
Domain Functional Level’ı Belirlemek
Windows Server 2003 Active Directory, domain ve forest fonksiyonelliği olarak tanımlanan yeni
bir kavram ortaya koymuştur. Bu Windows 2000 Active Directory’deki mixed mode ve native
mode’a benzer bir yaklaşımdır, bu yüzden bu iki mod aslında domain ve forest fonksiyonelliğinin
bir parçasıdır. Microsoft functional level olarak refere ettiği bu modlara üçüncü bir functional level
olarak Windows Server 2003 functional level’ı eklemiştir. Bir Windows Server 2003 domain controller yüklerken hangi functional level’ı destekleyeceğinizi belirlemeniz gerekir: Windows 2000
mixed, Windows 2000 native, Windows Server 2003.
Bir domain controller kurulumu yaparken Windows 2000 mixed domain functional level varsayılan
seçenektir. Bu functional level Windows NT 4 ve önceki domain modelleri ile geriye dönük uyumluluk açısından tasarlanmıştır. Eğer ortamda, bir ya da daha fazla domain için Windows NT domain controller’ları destekleme ihtiyacınız varsa bu domain’ler için Windows 2000 mixed domain
functional level seçmeniz gerekir. Bununla birlikte, Windows 2000 mixed domain functional level
kullandığınız müddetçe, bazı Active Directory özellikleri (universal gruplar, grup nesting) mevcut
olmayacaktır.
Eğer ortamınızdaki domain’lerinizden herhangi birinde Windows NT domain controller’ı değil de
Windows 2000 domain controller’ları desteklemeniz gerekiyorsa domain’leriniz için Windows
2000 native domain functional level’ı seçebilirsiniz. Windows 2000 native domain functional level
tüm domain controller’lar için Active Directory’nin çoğu fonksiyonelliğini sağlar fakat Windows
NT 4 için geriye dönük uyumluluk sağlamaz. Windows 2000 native domain functional level’da
Windows NT domain controller’ların kullanılamayacağı anlamına geldiğinden bu önemli bir ayrıntıdır. Aynı zamanda Windows 2000 native domain functional level’dan, Windows 2000 mixed
functional level’a dönüşümün mümkün olmadığına dikkat edin. Windows 2000 native domain
functional level, Windows Server 2003’ün desteklediği Active Directory’nin tüm fonksiyonelliğini
sağlamaz, bu yüzden eğer Active Directory’nin bazı yeni özelliklerini kullanmak istiyorsanız domain controller’larınızı upgrade etmeyi düşünmeniz gerekir.
Eğer sadece Windows Server 2003 domain controller’ları çalıştıracağınızdan eminseniz, Active
Directory’yi Windows Server 2003 domain functional level’da yükleyebilirsiniz. Bu functional level,
Tablo 3.1’de görüldüğü gibi Active Directory’nin tüm fonksiyonelliğini destekler.
Tablo 3.1: Domain Functional Level’ların Karşılaştırması
Domain Functional
Özelliği
Windows 2000
Mixed
Windows 2000
Native
Windows Server
2003
Domain controller’ların
isimlerini değiştirebilmek
Etkin değil
Etkin değil
Etkin
Logon Timestamp
güncelleştirmek
Etkin değil
Etkin değil
Etkin
Kerberos KDC key versiyon
numaraları
Etkin değil
Etkin değil
Etkin
InetOrgPerson nesneleri için
password kullanılabilirliği
Etkin değil
Etkin değil
Etkin
NT grupları domain local ve
global gruplara dönüştürmek
Etkin değil
Etkin değil
Etkin
Security Policy’lerini Yönetmek
Tablo 3.1: Domain Functional Level’ların Karşılaştırması (devam)
Domain Functional
Özelliği
Windows 2000 Mixed
Windows 2000
Native
Windows
Server 2003
SID geçmişi
Etkin değil
Etkin
Etkin
Grup nesting
Distribution gruplar için
etkin, security gruplar için
etkin değil (domain local
security grupları hala global
grupları üye olarak alabilir)
Etkin
Etkin
Universal gruplar
Distribution gruplar için
etkin, security gruplar için
etkin değil
Etkin
Etkin
Domain functional level’lara ek olarak, Windows Server 2003 forest fonksiyonelliğini de içerir.
Forest fonksiyonelliği bir forest’taki tüm domain’lere uygulanır. İki forest functional level’ı vardır:
Windows 2000 ve Windows 2003. Windows 2000 forest functional level varsayılan seçimdir ve
Windows NT 4, Windows 2000 ve Windows Server 2003 domain controller’larını destekler. Windows Server 2003 yeni forest functional level’ın tüm özellikleri sadece Windows Server 2003
tarafından desteklenir. Bu yeni özellikler şöyledir:
Global catalog replikasyon iyileştirmesi: Bir sistem yöneticisi global catalog’a yeni bir nitelik
eklediğinde, değişiklikler sadece forest içindeki diğer global catalog’lar arasında replike edilir. Bu
replikasyon tarafından oluşturulan trafik miktarını önemli bir şekilde düşürebilir.
Geçersiz schema class ve attribute’ler: Active Directory schema üzerinden class’ları kalıcı
olarak kaldıramazsınız fakat bu class’ları geçersiz olarak işaretleyebilirsiniz ve bu şekilde kullanılamaz olurlar. Forest functional level Windows Server 2003’e yükseltildiğinde defunct schema
attribute’larını yeniden tanımlayıp schema’da yeni bir rol almasını sağlayabilirsiniz.
Forest trust: Önceden sistem yöneticileri için farklı forest’lardaki kaynaklara izin vermek amacıyla kullanılabilecek kolay bir yol yoktu. Windows Server 2003 bu sorunları, farklı Active Directory
forest’ları arasında güven ilişkileri (trust relationships) sağlayarak çözer. Forest trust’lar, iki forest
arasındaki tüm domain’lere genişletilebilir olması dışında domain trust’lar gibi çalışır. Tüm forest
trust’ların geçişsiz (intransitive) olduğunu unutmayın.
Linked value replication: Windows Server 2003 linked value replication adında yeni bir kavram
ortaya çıkarmıştır. Windows 2000’de bir grubun üyelerinden birinde değişiklik olduysa, replikasyon işleminde tüm grup replike edilirdi. Linked value replication ile sadece değiştirilen kullanıcı
kaydı replike edilir. Bu özellik replikasyonla ilişkili network trafiğini önemli ölçüde azaltır.
Domain’lerin yeniden adlandırılması: Active Directory domain yapısı esnek olarak tasarlanmasına rağmen bazı kısıtlamalar da söz konusudur. Birleşme, şirket yönetiminin ya da şirket organizasyonun yeninden yapılandırılması ve diğer iş ile ilgili değişikliklerden dolayı domain isimlerini
değiştirmeye ihtiyaç duyabilirsiniz. Şu anda herhangi bir domain’in NetBIOS ve DNS isimlerini
değiştirebildiğiniz gibi, forest içerisindeki pozisyonunu da yeniden belirleyebilirsiniz. Bu işlemin
sadece rename komutunun girilmesi kadar basit bir işlem olmadığını unutmayın. Bunun yerine
operasyonun başarılı bir şekilde sonuçlanmasından emin olmak için takip etmeniz gereken spesifik işlemler vardır. Microsoft prosedürleri uygun bir şekilde takip ettiğinizde domain’lerin yeniden
adlandırılmasını destekler.
Diğer özellikler: Burada listelenen Windows Server 2003 forest functional özelliklerine ek olarak
Windows Server 2003 aynı zamanda geliştirilmiş replikasyon algoritmalarını ve dinamik yardımcı/destek class’ları destekler.
95
96
Bölüm 3
Organizational Unit’ler
Bir domain içinde organizational unit’leri (OUs) kullanarak domain objelerini alt bölümlere ayırabilir ve organize edebilirsiniz. Bu Windows NT domain’leri ile Windows 2000 ve 2003 domain’leri
arasındaki en temel farklardan birisidir: NT domain’leri bilgileri hiyerarşik olarak tutamazdı. Windows 2003 domain’leri OU’lar ile birlikte objeleri tipik olarak fonksiyonlarına ya da coğrafi dağılımlarına göre hiyerarşik olarak barındırmanızı sağlar.
Örneğin çalıştığınız şirketin adının ABCCORP olduğunu varsayalım. Şirketiniz New York, San
Jose ve Belfast’ta yer alıyor. ABCCORP.COM adında bir domain ve içinde NY, SJ ve Belfast
adında OU’lar oluşturabilirsiniz. Büyük organizasyonlarda OU’ları fonksiyonlarına göre organize
edebilirsiniz. Örneğin, ABCCORP.COM adındaki domain’iniz içinde SALES, ACCT ve TECHSUPP adında OU’lar oluşturabilirsiniz. Organizasyonunuzun boyutlarına ve güvenlik ihtiyaçlarına
bağlı olarak iç içe OU’larınız olabilir. Diğer OU’ları içinde barındıran OU’lara parent ve parent
OU’ların içindeki OU’lara da children adı verilir. İçi içe OU’lar arasındaki ilişki parent-child ilişkisi
olarak adlandırılır. Genel bir kural olarak Active Directory yapınızı mümkün olduğunca basit tutmak isteyeceksiniz.
Site’lar
Domain ve OU’lar mantıksal olarak network kaynaklarının gruplanması olarak düşünülebilir. Önceki örnekte, OU’ları önceliklerinize ya da network’ün gereksinimlerine göre lokasyonlara ya da
departmanlara göre organize etmenin anlamlı olabileceğini gördünüz. Buna karşı siteler Active
Directory’yi farklı fiziksel lokasyonlara ayırır. Siteler öncelikli olarak replikasyon amacıyla kullanılır. Aynı directory’yi paylaşan iki ayrı fiziksel lokasyonunuz olduğunda neler olabileceğini düşünün. Belirli peryotta replikasyon yapılmadığı durumda iki farklı directory tutarsız olarak işe yaramaz hale gelebilir. Bununla birlikte, eğer her bir lokasyonda site oluşturduğunuz takdirde, tutarlı
bir veri tabanı için düzenli bir replikasyonu planlayabilirsiniz.
Yönetimsel Kontrollerin Delegasyonu
OU’lar, domain içinde izinlerin ve Group Policy’lerin atanabileceği en küçük bileşendir. Spesifik
olarak yönetimsel kontrollerin OU’lar üzerine nasıl ayarlanabileceğine bakalım.
Delegasyon fikri yüksek güvenlik yetkisine sahip bir otoritenin yetkilerini başkalarına verebilmesi
anlamına gelir. Gerçek dünya örneği olarak, büyük bir organizasyonun IT müdürü olduğunuzu
varsayın. Tüm işleri kendi başınıza yapmak yerine, bazı görev ve sorumlulukları diğerlerine atamak isteyebilirsiniz. Örneğin, bir sistem yöneticisini Sales domain’indeki, bir diğerini Engineering
domain’indeki tüm operasyonlardan sorumlu yapabilirsiniz. Benzer olarak, organizasyondaki tüm
yazıcı ve yazıcı kuyruklarının yönetimi yetkisini bir kişiye atarken, diğer bir kişiye kullanıcı ve
gruplarla ilgili tüm izinlerin yönetimi yetkisini atayabilirsiniz.
Böylece, IT personelinin farklı görev ve sorumlulukları organizasyon boyunca dağıtılabilir. Görevler şirketin network’ünü ayakta tutmak için gerekli tüm iş güçlerini bölümlendirir. Network işletim
sistemleri çoğu zaman doğru izinlerin atanmasını zorlaştırır. Çoğu zaman sadece doğru izinlerin
atandığından emin olmak karmaşık bir işlem gerektirebilir. Sistem yöneticilerine ve kullanıcılara
kendi işlerini yapabilmeleri için yetecek olan minimum izinleri vermek genel bir pratik kuraldır.
Kaza ile ya da kasten ya da bunların dışında istenmeyen değişikliklerin olmamasını garantiye
alır.
Active Directory dünyasında delegasyon işlemi, sistem yöneticilerine OU’lar için izin delegasyonu tanımlama amacıyla kullanılır. Delegasyon uygulamayı düşünürken unutmamanız gereken iki
ana nokta vardır: Parent-child ilişkisi ve inheritance ayarları.
Parent-Child İlişkileri
Güvenlik izinlerinin bakım ve korunabilirliğini göz önünde bulundururken oluşturduğunuz OU hiyerarşisi çok önemli olacaktır. Daha önceden bahsettiğimiz gibi OU’larda parent-child ilişkileri olabilir. Yetkileri delege edeceğiniz zaman bu nokta çok önemlidir. Child OU’ları, parent OU’lar üze-
Security Policy’lerini Yönetmek
rinde atanmış yetkileri otomatik olarak almasını sağlayacak şekilde yapılandırabilirsiniz. Örneğin,
organizasyonunuzun Kuzey Amerika bölümü 12 adet child OU barındırmakta. Güvenlik yetkilerini
Kuzey Amerika bölümü üzerine yerleştirerek tüm bu OU’lar için
Kontrolü OU içindeki bir obje seyetkileri delege edebilirsiniz. Bu özellik, özellikle büyük organizasviyesinde değil, sadece OU seviyonlarda yönetimi oldukça kolaylaştırır, fakat bu aynı zamanda bir
yesinde delege edebilirsiniz.
domain içinde OU yapısını düzgün bir şekilde planlamanın önemini göstermektedir.
Inheritance Ayarları
Şimdiye kadar parent-child ilişkilerinin yönetimsel anlamda nasıl yararlı olabileceğini gördünüz.
İzinlerin inherit edilmesi işlemini dikkate almanız gerekir. Mantıksal olarak bu işlem inheritance
olarak bilinir. İzinler parent üzerinde ayarlandığında, tüm child objeleri aynı izinleri inherit edecek
şekilde yapılandırılırlar. Gereken durumlarda child objelerin parent’tan izinleri inherit etme işlemi
iptal edilebilir.
Group Policy Uygulamaları
Windows işletim sistemlerinin en güçlü özelliklerinden birisi, kullanıcılara önemli derecede güç ve
esneklik sunmasıdır. Yeni bir yazılım yüklemekten, aygıt sürücüleri eklemeye kadar kullanıcılar
kendi iş istasyonlarının konfigurasyonunda birçok değişiklik yapabilme yeteneğine sahiptir. Bu
düzey bir esneklik aynı zamanda potansiyel bir problemdir. Deneyimsiz kullanıcılar, istemeden
ayarları değiştirebilir ve bu da düzeltilmesi için saatler gerektirecek problemlemlere yol açabilir.
Birçok durumda (özellikle iş ortamında) kullanıcılar işletim sisteminin sağladığı fonksiyonelliğin
sadece bir kısmına ihtiyaç duyarlar. Önceleri, güvenlik ve policy ayarlarının yöenetimi ve uygulamaları ile ilgili zorluk security policy’lerinin ihmal edilmesine yol açmaktaydı. Bunun bazı teknik nedenleri vardı – güvenlik kısıtlamalarını uygulamak ve yönetmek oldukça zor ve can sıkıcı
olabiliyordu. Diğer problemler politik nedenlerdi – kullanıcı ve yöneticiler lokal bilgisayarlarında
bütün izinlere sahip olmaları gerektiğini aksi durumun potansiyel problemlere neden olabileceğini
düşünürler.
Windows Server 2003 platformları (spesifik olarak Active Directory) için esas tasarım amacı yönetilebilirlikti. İşletim sisteminin sunduğu geniş özellik ve fonksiyonellik oldukça faydalı olmasına
rağmen, bazı fonksiyonların bloke edilebilmesi çok önemlidir.
Bu noktada group policy fikri ortaya çıktı. Basit bir şekilde tanımlanabilen group policy’ler Active
Directory içerisinde bir objeye atanabilen izinlerin bir koleksiyonudur. Spesifik olarak group policy ayarları site, domain ve OU’lara atanabilir ve kullanıcı hesaplarına, bilgisayar hesaplarına ve
gruplara uygulanabilir. Bir sistem yöneticisinin group policy kullanarak yapabileceği ayarlara şu
örnekler verilebilir:

Start menu’ye erişimi kısıtlamak.

Control Panel kullanımına engel olmak.

Görüntü ve masaüstü ayar seçeneklerini sınırlandırmak.
Group Policy Objeleri ve Active Directory
GPO’lar Active Directory’de tüm domain controller’larda varsayılan olarak \systemroot\Sysvol klasöründe bulunur. Her bir root klasörün altında group policy hakkında bilgiler içeren Gpt.
ini adında bir policy dosyası vardır.
Active Directory’de GPO’ları oluştururken spesifik bir inheritance sırası vardır (Bu Active
Directory’nin hiyerarşik yapısı içerisinde policy’lerin nasıl uygulanacağı anlamına gelir). Bir kullanıcı bir Active Directory domain’inde log on olduğunda, GPO’ların Active Directory hiyerarşik
yapısı içinde uygulandığı yerlere bağlı olarak, uygulamaların sırası aşağıdaki gibidir:
97
98
Bölüm 3
1. Local Computer Policy
2. Site (domain grupları)
3. Domain
4. OU
Ayarlar arasında herhangi bir çakışma varsa, site policy, local policy ayarlarını ezer. Sonrasında,
domain policy’ler uygulanır. Eğer domain policy ek ayarlar içeriyorsa, bu ayarlar yapılandırmaya
uygulanır. Daha sonra, OU policy’leri uygulanır. Yine ek ayarlar uygulanacaktır. Ayarlar arasında
herhangi bir çakışma olursa, OU policy, domain policy ayarlarını yok sayar. Son olarak, kullanıcı
ve bilgisayar ayarları arasında çakışma varsa kullanıcı ayarları uygulanır.
Aşağıdaki seçenekler GPO’ların varsayılan uygulanma yaklaşımını değiştirmek için kullanılır:
No Override: No Override seçeneği, child konteynerlerin daha üst seviyedeki GPO’lerinin policy
ayarlarını ezememesi için kullanılır. Bu durumda No Overrides seçeneğinin her seviyede seçilmiş olduğunu varsayarsak öncelik sırası şu şekilde olacaktır: Site ayarları domain ayarlarını yok
sayar, domain ayarları OU ayarlarını ezer. No Override seçeneğini, hiyerarşide alt seviye sistem
yöneticilerinin sizin ayarlarınızı ezmesine izin vermeden
Hem sınav için hem de gerçek dünyada
tüm şirket kapsamında policy’leri uygulamak istediğinizde
sorun çözmek için GPO’lar için policy’lerin
kullanabilirsiniz. Bu seçenek ihtiyaç duyulduğunda konteyuygulanma sırasını anlamak önemlidir.
ner bazında ayarlanabilir.
Block Inheritance: Block Inheritance seçeneği child konteynerin, parent konteynerden uygulanan GPO’yu bloklaması için kullanılır. Bu seçeneği, eğer child konteynerin GPO ayarlarını parent konteynerlerden inherit etmesini engellemek ve sadece sizin o konteyner için ayarladığınız
GPO’ların uygulanmasını istediğiniz durumda kullanabilirsiniz.
Eğer No Override ve Block Inheritance ayarları arasında çakışma varsa No Override seçeneği
uygulanır.
Farklı Network İstemcileri İçin Policy’ler Uygulamak
Eğer network’ünüz sadece Windows Server 2003 ve 2000 Server bilgisayarlarından oluşuyorsa,
bilgisayarlarınızın yapılandırma ayarlarını yönetmek için GPO’ları kullanabilirsiniz. Geriye dönük
uyumluluk açısından NT 4 Windows Server 2003’te desteklenmektedir. Eğer domain’inizdeki NT
4 kullanıcıları için yapılandırma ayarlarını yönetmek istiyorsanız, System Policy Editor adındaki
poledit yardımcı aracıyla yapılandırılabilen NT System Policy dosyalarını kullanabilirsiniz.
Varsayılan olarak, Group Policy ayarlarını Registry’ye uygulamak için Windows Server 2003 tarafından kullanılan yönetimsel şablonlar aşağıdaki gibidir:

System.adm

Inetres.adm

Winnt.adm

Windows.adm

Common.adm
Her bir şablonun fonksiyonu Tablo 3.2’de tanımlanmıştır.
Tablo 3.2: Yönetimsel Şablonların (Administrative Templates) Tanımları
Yönetimsel Şablon
Açıklama
System.adm
Windows 2000 ve daha üstü istemciler tarafından kullanılan şablon.
Inetres.adm
Windows 2000 ve daha üstü istemciler için Internet Explorer (IE)
ayarlarını yapılandırmak amacıyla kullanılan şablon.
Security Policy’lerini Yönetmek
Tablo 3.2: Yönetimsel Şablonların (Administrative Templates) Tanımları (devam)
Yönetimsel Şablon
Açıklama
Winnt.adm
Windows NT istemcileri tarafından kullanılan kullanıcı arayüz
seçenekleri. Seçenekleri Windows NT istemcileri için yapılandırmak için
System Policy Editor’ü (Poledit.exe) kullanın.
Windows.adm
Windows 95/98 istemcileri tarafından kullanılan kullanıcı arayüz
seçenekleri. Seçenekleri Windows 95/98 istemcileri için yapılandırmak
için System Policy Editor’ü (Poledit.exe) kullanın.
Common.adm
Windows NT 4 ve Windows 95/98 istemcileri için ortak olan kullanıcı
arayüz seçenekleri.
Local Computer Policy’lerini Yönetmek
Local computer policy’lerini, MMC’ye Group Policy snap-in’ini ekleyerek yönetebilirsiniz. Snap-in
eklediğinizde Local Computer Policy adında bir seçenek göreceksiniz. Burada local computer
policy’leri yapılandırabilmek için birçok seçenek vardır. Şekil 3.1 Password Policy seçeneklerini
gösterir.
Şekil 3.1: Local computer policy’leri.
Local Computer Policy için en yaygın olarak yapılandırabileceğiniz seçenekler sonraki kısımda
tanımlanmıştır. Hiyerarşi içerisinde belirli policy ayarlarının nerede bulunabileceğini daha iyi anlamak için bu resme geri dönmek isteyebilirsiniz.
Policy yönetim görevlerinizi idare etmek için Local Computer Policy snap-in’ini Microsoft Management Console’a (MMC) ekleyebilirsiniz. Bir domain controller üzerinde domain policy’lerine Start
> Administrative Tools > Domain Security Policy yoluyla ulaşabilirsiniz.
Alıştırma 3.1’de Local Computer Policy ve Event Viewer snap-in’lerini
üye sunucunuza ekleyeceksiniz.
Bu bölümdeki Alıştırma 3.7
dışındaki tüm alıştırmalar bir
üye sunucuda yapılmalıdır.
Alıştırma 3.1: Güvenlik Ayarları için Yönetim Konsolu Oluşturmak
1. Start > Run seçip, Run diyalog kutusunda MMC yazın ve OK butonuna basarak MMC’yi
açın.
2. Ana menüde File > Add/Remove Snap-In seçin
3. Add/Remove Snap-In diyalog kutusunda Add butonuna tıklayın.
4. Group Policy Object Editor seçeneğini seçerek Add butonuna tıklayın.
5. Varsayılan olarak Group Policy Object, Local Computer’ı tanımlar. Finish butonuna tıklayın.
6. Event Viewer seçeneğini seçip Add butonuna tıklayın.
99
100
Bölüm 3
7. Select Computer diyalog kutusu varsayılan olarak Local Computer seçili olarak görüntülenir.
Finish butonuna tıklayın, ardından Close butonuna tıklayın.
8. Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
9. File > Save As seçin. Konsolu Security adıyla sürücü:\Documents and Settings\All
Users\Start Menu\Programs\Administrative Tools klasörüne Save butonuna tıklayarak kaydedin.
Artık bu konsola Start > Administrative Tools > Security komutuyla ulaşabilirsiniz.
Aynı zamanda Local Computer Policy ayarlarını Gpedit.msc komut satırı yardımcı
aracı ile de düzenleyebilirsiniz. Bu yardımcı aracı kullanmak için, Start > Run komutunu verin ve Run diyalog kutusunda Gpedit.msc yazıp OK butonuna tıklayın.
Güvenlik Ayarlarını Yapılandırmak
Güvenlik ayarlarını Computer Configuration > Windows Settings > Security Settings aracılığıyla
yapılandırabilirsiniz. Windows Settings için yapılandırabileceğiniz üç ana seçenek vardır.

Account policy’ler

Local policy’ler

Public key policy’ler
Account Policy’leri Kullanmak
Account policy’ler, logon işlemi ile ilgili kullanıcı hesabı özelliklerini tanımlamak amacıyla kullanılır. Bunlar sizin bir domain içinde parolalar, account lockout tanımlamaları ve Kerberos authentication gibi bilgisayarın güvenlik ayarlarını yapılandırmanızı sağlar.
Group Policy için MMC snap-in’i yükledikten sonra Local Computer Policy için bir seçenek göreceksiniz. Account Policy alt klasörüne erişmek için, Local Computer Policy, Computer Configuration, Windows Settings, Security Settings ve Account Policy yolunu takip edin.
Eğer bir Windows Server 2003 üye sunucu üzerinde çalışıyorsanız iki klasör göreceksiniz: Password Policy ve Account Lockout Policy. Eğer bir domain controller olarak yapılandırılmış bir
Windows Server 2003 üzerinde çalışıyorsanız üç klasör göreceksiniz: Password Policy, Account
Lockout Policy ve Kerberos Policy. Üye sunucular ve domain controller’lar için kullanılabilir olan
account policy’leri sonraki kısımda tanımlanmıştır.
Password Policy’lerini Ayarlamak
Password policy’leri güvenlik gereksinimlerinin bilgisayarda zorunlu kılınmasını sağlar. Unutulmaması gereken önemli bir nokta Password policy’lerinin bilgisayarlara uygulandığı ve spesifik
kullanıcılar için yapılandırılamayacağıdır.
Windows Server 2003 üye sunucuları üzerinde tanımlanan password policy’leri Tablo 3.3’de tanımlanmıştır.
Tablo 3.3: Password Policy Seçenekleri
Policy
Açıklama
Varsayılan değer
Minimum
Maksimum
Enforce
Password Policy
Kullanıcının password
geçmişini izler.
3 password’ü anımsa
0
24
password’ü
anımsa
Maximum
Password Age
Kullanıcının
password’ünün en
fazla kaç gün geçerli
olabileceğini tanımlar.
Password’ü 42 gün
için tut geçerli say
Password’ü 1 gün
için geçerli say
Password’ü
999 gün için
geçerli say
Minimum
Password Age
Password’ün
değiştirilebilmesi için
geçmesi gereken
süre.
0 gün (password
hemen değiştirilebilir)
Varsayılan değerle
aynı
999 gün
Security Policy’lerini Yönetmek
Tablo 3.3: Password Policy Seçenekleri (devam)
Policy
Açıklama
Varsayılan değer
Minimum
Maksimum
Minimum
Password
Length
Password’ün içermesi
gereken minimum
karakter sayısını
belirler.
0 karakter (password
zorunlu değildir)
Varsayılan değerle
aynı
14 karakter
Password
Must Meet
Complexity
Requirements
Password filtreleme
kurmanızı sağlar.
Etkin değil
Varsayılan değerle
aynı
Etkin
Store Password
Using
Reversible
Encryption For
All Users In
The Domain
Kullanıcı parolasına
kimlik doğrulama
sebebi ile ihtiyaç
duyan uygulama
ve protokoller için
güvensiz bir depolama
yöntemi sağlar.
Etkin değil
Varsayılan değerle
aynı
Etkin
Password policy’ler aşağıdaki şekilde kullanılır:

Enforce Password History seçeneği: Kullanıcıların aynı password’leri tekrar kullanamamalarını sağlamak amacıyla kullanılır. Kullanıcılar password’lerinin süresi dolduğunda ya da değiştirdiklerinde yeni bir password oluşturmak zorundadır.

Maximum Password Age seçeneği: Kullanıcıları belirlenen bir gün sonunda password’lerini
değiştirmeye zorlar.

Minimum Password Age seçeneği: Kullanıcıların, kendi password’lerini Enforce Password
History policy kullanım amacını boşa çıkaracak şekilde sürekli değiştirebilmelerini engeller.

Minimum Password Length seçeneği: Kullanıcıların belirli bir uzunluk gereksinimini karşılayacak şekilde parola oluşturmalarını zorlamak amacıyla kullanılır. Bu seçenek seçili değilse
kullanıcılar password oluşturmak zorunda kalmazlar.

Password Must Meet Complexity seçeneği: Kullanıcıların yaygın kullanılan sözcükleri parola
olarak kullanabilmelerini engeller.

Store Password Using Reversible Encryption For All Users In The Domain seçeneği: Bazı
uygulama ve protokoller varsayılan parola depolama yöntemi ile çalışmaz. Bu policy, kullanıcı
parolasına kimlik doğrulama sebebi ile ihtiyaç duyan uygulama ve protokoller için güvensiz
bir depolama yöntemi sağlar. Bu yöntem parolaların korunmasını riske sokacağı için gerekmedikçe tavsiye edilmez
Alıştırma 3.2’de bilgisayarınız için password policy’lerini yapılandıracaksınız. Bu ve bu bölümün
kalan alıştırmaları için Alıştırma 3.1’i tamamlayıp güvenlik yönetim konsolunu oluşturduğunuz
varsayılıyor.
Alıştırma 3.2: Password Policy’lerini Ayarlamak
1. Start > Administrative Tools > Security seçin ve Local Computer Policy snap-in’i genişletin.
2. Klasörleri Computer Configuration, Windows Settings, Security Settings, Account Policies,
Password Policy şeklinde açın.
3. Enforce Password History policy’yi açın. Effective Policy Setting alanını beş password anımsanacak şekilde tanımlayın. OK butonuna tıklayın.
4. Maximum Password Age policy’yi açın. Local Policy Setting alanında password’ün 60 gün
içinde geçerliliğini kaybedeceğini belirleyin.
5. Start > Command Prompt seçin, komut satırında gpupdate yazıp Enter tuşuna basın.
6. Komut satırında exit yazıp Enter tuşuna basın.
101
102
Bölüm 3
Gerçek Dünya Senaryosu
Group Policy’lerinizi Güncellemek
Büyük bir network’ün sistem yöneticisisiniz. Üye sunucunuzun local computer policy’lerinde değişiklikler yaptınız ve bunlardan hiçbirinin uygulanmadığını fark ettiniz. 30 dakikadan daha fazla
bekliyorsunuz ve değişiklikler hala ortada yok. Bu noktada bazı şeyleri yanlış bir şekilde düzenlediğinizi düşünmeye başlıyorsunuz.
Group policy’leri düzenlediğiniz halde hala yaptığınız değişikliklerin gerçekleşmemesinin nedeni
group policiy’lerin varsayılan olarak bilgisayarlara sadece her 90 dakikada bir uygulanmasıdır.
Policy’lerinizin güncelleştirilmesini zorlamak için komut satırında gpupdate komutunu kullanın.
Account Lockout Policy’leri Ayarlamak
Account lockout policy’ler kaç adet geçersiz logon girişimine izin verileceğini belirlemek amacıyla
kullanılır. Account lockout policy’lerini, y dakika içerisinde x kadar başarısız logon girişiminden
sonra hesabın belirli bir zaman için ya da sistem yöneticisi çözene kadar kilitli kalmasını sağlayacak şekilde yapılandırabilirsiniz. Account lockout policy’leri Tablo 3.4’teki gibi tanımlanmıştır.
Tablo 3.4: Account Lockout Policy Seçenekleri
Policy
Tanım
Varsayılan değer
Minimum
Maksimum
Önerilen
Account
Lockout
Threshold
Hesabın
kilitlenmesinden
önce kaç adet
geçersiz logon
işlemine izin
verileceğini
belirler.
0 (etkin değil, hesap
kilitlenmeyecek)
Varsayılan
değerle aynı
999 deneme
5 deneme
Account
Lockout
Duration
Account Lockout
Threshold
aşıldıysa hesabın
ne kadar bir
süre için kilitli
kalacağını
belirler.
0 (fakat Acount
Lockout Threshold
etkin ise 30 dakika)
Varsayılan
değerle aynı
99,999
dakika
5 dakika
Reset
Account
Lockout
Counter
After
Sayacın
başarısız logon
girişimlerini ne
kadar zaman için
hatırlayacağını
belirler.
0 (fakat Account
Lockout Threshold
etkin ise 30 dakika)
Varsayılan
değerle aynı
99,9999
dakika
5 dakika
Account lockout policy’leri bankaların ATM erişim kodu güvenliğini sağlamak için kullandıkları sisteme benzer. Doğru erişim
kodunu girmek için belirli bir deneme şansınız vardır. Bu sayede, birisi kartınızı çaldığında çalan kişi doğrusunu bulana kadar
erişim kodunu tahmin etme girişimine devam edemeyecektir. Tipik olarak üç başarısız girişimden sonra ATM makinesi kartı
alır. Ardından bankadan yeni bir kart için istekte bulunmanız gerekir. Account lockout policy’leri de aynı şekilde çalışır.
Alıştırma 3.3’de, account lockout policy’lerini yapılandıracak ve etkilerini test edeceksiniz. Bu ve
kalan alıştırmalarda policy’leri yapılandırmak için bozulması durumunda silinebilecek Administrator hesabından başka en az iki adet
Kullanıcı hesaplarını oluşturmak ve yönetmek bu kitabın kapsamı dışında olan bir konudur. Daha fazla bilgi için MCSA/MCSE: Windows
kullanıcı hesabınızın olduğu varsayılıServer 2003 İşletim Sistemine Genel Bakış (70-290) kitabına bakın.
yor.
Alıştırma 3.3: Account Lockout Policy’lerini Ayarlamak
1. Start > Administrative Tools > Securty’i seçin ve Local Computer Security snap-in’ini genişletin.
2. Klasörleri Computer Configuration, Windows Settings, Security Settings, Account Policies,
Account Lockout Policy şeklinde açın.
Security Policy’lerini Yönetmek
3. Account Lockout Threshold Policy’yi açın. Local Policy Setting alanında, hesabın üç başarısız
logon girişimi sonrasında kilitleneceğini belirleyin. OK butonuna tıklayın.
4. Suggested Value Changes diyalog kutusu görüntülenir. OK butonuna tıklayarak Account Lockout Duration ve Reset Account Lockout Counter’larının varsayılan değerlerini kabul edin.
5. Administrator hesabınızdan log off olun. Administrator dışındaki herhangi bir hesaptan hatalı
parola ile üç kez logon olmayı deneyin.
6. Hesabın kilitlendiğini belirten hata mesajını gördükten sonra Administrator olarak logon olun.
7. Kullanıcının hesabını unlock etmek için, MMC’da Local Users and Groups snap-in’ini açın,
Users klasörünü genişletin ve kilitlenen kullanıcı üzerinde çift tıklayın. Properties diyalog kutusunun Account sekmesindeki Account Is Locked Out onay kutusunu temizleyin. Ardından
OK butonuna tıklayın.
Kerberos Policy’lerini Ayarlamak
Kerberos policy’leri Kerberos kimlik doğrulama ayarları için kullanılır. Kerberos version 5, Windows Server 2003’de kullanıcı ve network servislerinin kimliklerini doğrulamak için kullanılır. Bu
aynı zamanda dual verification ya da mutual authentication olarak da adlandırılır.
Bir Windows Server 2003 bilgisayarı bir domain controller olarak yüklendiğinde, otomatik olarak
key distribution center (KDC) şekline dönüşür. KDC kullanıcıların parolarını ve hesap bilgilerini
tutmak ile sorumludur. Kerberos servisleri aynı zamanda her bir Windows Server 2003 istemci ve
sunucularına yüklenir.
Kerberos kimlik doğrulama aşağıdaki adımları gerektirir.
1. İstemci KDC’den parola ya da smart card kullanarak kimlik doğrulama talebinde bulunur.
2. KDC istemciye bir ticket-granting ticket (TGT) yayınlar. İstemci TGT’i kullanarak ticket-granting service’e (TGS) erişebilir. Bu servis kullanıcının domain içindeki servislere kimlik doğrulamasını gerçekleştirmesini sağlar. TGS istemcilere service ticket’ları yayınlar.
3. İstemci istekte bulunan network servisine ticket’ı sunar. Bu service ticket mutual authentication için, kullanıcının servise ve aynı zamanda servisin kullanıcıya kimliklerinin doğrulamasını
sağlar.
Kerberos policy’leri Tablo 3.5’deki tanımlanmıştır.
Tablo 3.5: Kerberos Policy Seçenekleri
Policy
Açıklama
Enforce User Logon
Restrictions
Zorlanacak logon
kısıtlamalarının belirler.
Servisin yenilenmeden
önceki maksimum yaşam
süresini belirler.
Maximum Lifetime
For Service Ticket
Default Local Setting
Effective Setting
Tanımlı değil
Etkin
Tanımlı değil
600 dakika
Maximum Lifetime
For User Ticket
Bir ticket’ın yenilenmeden
önceki maksimum yaşam
süresini belirler.
Tanımlı değil
10 saat
Maximum Lifetime
For User Ticket
Renewal
Bir ticket’ın yeniden
oluşturulmadan önce
en fazla kaç kez
yenilenebileceğini belirler.
Tanımlı değil
7 gün
Maximum Tolerance
For Computer Clock
Synchronization
İstemci ve KDC arasındaki
maksimum saat
senkronizasyonunu belirler.
Tanımlı değil
5 dakika
Local Policy’leri Kullanmak
Önceki kısımda öğrendiğiniz gibi, account policy’ler logon işlemlerini kontrol etmek amacıyla kullanılır. Bir kullanıcının logon olduktan sonra o kullanıcının neler yapabileceğini kontrol etmek
103
104
Bölüm 3
istediğinizde local policy’leri kullanırsınız. Local policy’ler ile denetleme, kullanıcı haklarını ve
güvenlik seçeneklerini belirleme işlemlerini uygulayabilirsiniz.
Local policy’leri kullanmak için ilk olarak MMC’ye Local Computer Policy snap-in’ini ekleyin (Bakın
Alıştırma 3.1). Ardından, MMC’da Local Policy klasörlerine erişmek için şu yolu takip edin: Local
Computer Policy, Computer Configuration, Windows Settings, Security Settings, Local Policies.
Local Policies altında üç klasör vardır: Audit Policy, User Right Assignment ve Security Options.
Bu policy’ler sonraki aşağıdaki kısımlarda açıklanmıştır.
Audit Policy’leri Ayarlamak
Audit policy’ler kullanıcı yönetimiyle ilgili olayların izlenmesi amacıyla kullanılır. Bir takım olayları
izleyerek, örneğin kullanıcı oluşturma, başarılı ya da başarısız logon girişimleri gibi spesifik görevlerle ilgili bir geçmiş oluşturabilirsiniz. Aynı zamanda bir çeşit güvenlik ihlali olarak tanımlanabilecek kullanıcıların erişim yetkisi olmayan sistem yönetim görevlerine erişme girişimlerini tespit
edebilirsiniz.
Bir audit policy tanımlayarak, spesifik olayların başarılı ya da başarısız olma durumlarını izlemeyi
seçebilirsiniz. Bir olayın başarılı olması (success) görevin başarılı bir şekilde tamamlanmış olduğu anlamına gelir. Bir olayın başarısız olması (failure) görevin başarılı bir şekilde tamamlanmamış
olduğu anlamına gelir.
Varsayılan olarak, izleme etkin değildir ve manuel olarak yapılandırılmalıdır. İzlemeyi yapılandırdığınızda, izleme işleminin sonuçlarını Event Viewer yardımcı aracı ile görebilirsiniz. Audit
policy’leri Tablo 3.6’da tanımlanmıştır.
Tablo 3.6: Audit Policy Seçenekleri
Policy
Açıklama
Audit Account Logon Events
Bir kullanıcının logon, log off olma ya da bir network bağlantısı
yapma işlemlerini izler.
Audit Account Management
Kullanıcı ve grup hesaplarının oluşturulma, silinme ve yönetim
işlemlerini izler.
Audit Directory Service Access
Dizin servisi erişimlerini izler
Audit Logon Events
Bir logon script’inin çalışması ya da bir romaing profile’a erişim
gibi logon işlemiyle ilgili olayları izler.
Audit Object Access
Dosya, klasör ya da yazıcılara erişimi izler.
Audit Policy Change
Audit policy’deki değişiklikleri izler.
Audit Privilege Use
Bir kullanıcının kendisine verilen hakları ile yaptığı işlemleri izler.
Audit Process Tracking
Bir programın aktive edilmesi, bir objeye erişim ve bir sürecin
sonlanması gibi olayların izlenmesi.
Audit System Events
Bilgisayarın kapatılması ya da yeniden başlatılması gibi sistem
olayları ve Event Viewer’daki security log’larını izler.
Birçok olayı izlemek yüksek işlem gücü gerektirdiğinden dolayı sistem performansını düşürebilir. İzleme aynı zamanda log dosyaları için büyük bir disk
alanını kullanabilir. Bu yardımcı aracı mantıklı bir şekilde kullanmalısınız.
Alıştırma 3.4’te auditing policy’leri
yapılandıracak ve sonuçlarını görüntüleyeceksiniz.
Alıştırma 3.4: Audit Policy’leri Ayarlamak
1. Start > Administrative Tools > Security seçin ve Local Computer Policy snap-in’ini genişletin.
2. Klasörleri: Computer Configuration, Windows Settings, Security Settings, Audit Policy şeklinde açın.
3. Audit Account Logon Events policy’yi açın. Local Policy Setting alanında Audit These Attempts altındaki Success ve Failure onay kutularını işaretleyin. OK butonuna tıklayın.
Security Policy’lerini Yönetmek
4. Audit Account Management policy’yi açın. Local Security Setting alanında, Audit These Attempts altında Success ve Failure onay kutularını işaretleyin. OK butonuna tıklayın.
5. Administrator hesabınızdan log off olun. Sistemde var olmayan bir hesap adıyla logon olmayı
deneyin. Bu logon işlemi başarısız olacaktır (çünkü o kullanıcı adıyla bir hesap yok).
6. Administrator olarak logon olun. MMC’yi açın ve Event Viewer snap-in’i genişletin (Alıştırma
3.1’de eklediğiniz )
7. Event Viewer’dan security log’unu açın. Bu log içinde audit event’lerinin listelendiğini görmeniz gerekiyor.
User Rights Assignments
Kullanıcı hakları, bir kullanıcı ya da grubun bilgisayar üzerindeki haklarını belirler. Kullanıcı hakları sisteme uygulanır. Spesifik objelere uygulanan izinlerle aynı değildir.
Kullanıcı haklarına bir örnek olarak Back Up Files And Directories hakkı verilebilir. Bu hak kullanıcının sistem üzerinde yetkisi olmayan dosya ve klasörleri bile yedeklemesine izin verir. Diğer
kullanıcı hakları da benzer şekilde kaynak erişimi ile ilgili değil sistem erişimi ile ilgilidir. User rights
assignment policy’leri Tablo 3.7’de tanımlanmıştır.
Tablo 3.7: User Rights Assignments Policy Seçenekleri
Hak
Açıklama
Access This Computer From The Network
Kullanıcının bilgisayara network üzerinden erişebilmesine
izin verir.
Act As Part Of The Operating System
Alt seviye kimlik doğrulama servislerinin herhangi bir
kullanıcı olarak kimlik doğrulamalarını sağlar.
Add Workstation To Domain
Kullanıcının domain’de bir bilgisayar hesabı
oluşturabilmesine izin verir.
Adjust Memory Quotas For A Process
Kullanıcının bir process tarafından kullanılabilecek
maksimum bellek miktarını değiştirebilmesine izin verir.
Allow Log On Locally
Kullanıcının bu bilgisayara interaktif olarak logon
olmasına izin verir. Bu Ctrl+Alt+Del tuş kombinasyonu
ile sisteme logon olabilmek için gereklidir. Aynı zamanda
bir kullanıcı olarak logon olabilen bazı servisler ya da
yönetimsel uygulamalar için gerekli olabilir. Bu policy’yi
bir kullanıcı ya da grup için tanımlarsanız Administrator
grubunun da bu yetkiye sahip olduğundan emin
olmalısınız.
Allow Log On Through Terminal Services
Bir kullanıcının Terminal Services istemcisi olarak logon
olmasına izin verir.
Back Up Files And Directories
Dosya ve klasör izinleri ne şekilde atanmış olursa olsun
bir kullanıcının tüm dosya ve klasörleri yedeklemesine
izin verir.
Bypass Traverse Checking
Bir kullanıcının bir klasör içeriğini listeleme hakkı olmasa
bile klasör yapısı içerisinde geçiş yapmasına izin verir.
Change The System Time
Bir kullanıcının bilgisayarın dahili zaman ayarını
değiştirebilmesine izin verir.
Create A Pagefile
Bir kullanıcının page dosyasını oluşturabilme ya da
boyutunu değiştirebilmesine izin verir.
Create A Token Object
Bir process eğer NtCreateToken API kullanıyorsa bir
token oluşturmasına izin verir.
Create Permanent Shared Objects
Bir process’in Windows Server 2003 Object Manager
aracılığıyla bir directory objesi oluşturmasına izin verir.
Debug Programs
Bir kullanıcının herhangi bir process ile bir hata ayıklama
programını ilişkilendirmesine izin verir.
Deny Access To This Computer From The
Network
Bu bilgisayara belirli kullanıcıların ya da grupların
network’ten erişebilmelerini yasaklar.
105
106
Bölüm 3
Tablo 3.7: User Rights Assignments Policy Seçenekleri (devam)
Hak
Açıklama
Deny Logon As A Batch Job
Spesifik kullanıcı ya da grupların bir batch job olarak
sisteme logon olmalarını engeller.
Deny Logon As A Service
Spesifik kullanıcı ya da grupların bir servis olarak logon
olmalarını engeller.
Deny Logon Locally
Spesifik kullanıcı ve grupların bilgisayara lokalden logon
olmalarını engeller.
Deny Log On Through Terminal Services
Spesifik kullanıcı ya da grupların bilgisayara bir Terminal
Service istemcisi olarak logon olmalarını engeller.
Enable Computer And User Accounts To Be
Trusted For Delegation
Bir kullanıcı ya da grubun, bir kullanıcı ya da
bilgisayar objesi için Trusted For Delegation ayarlarını
yapılandırabilmesine izin verir.
Force Shutdown From A Remote System
Sistemin uzak bir lokasyondaki bir kullanıcı tarafından
kapatılabilmesine izin verir.
Generate Security Audits
Bir kullanıcı, grup ya da işlemin güvenlik log’una kayıt
girebilmesine izin verir.
Increase Scheduling Priority
Bir işlemin diğer bir işlemin önceliğini artırıp
azaltabilmesini belirler.
Load And Unload Device Drivers
Bir kullanıcının dinamik olarak Plug and Play aygıt
sürücülerini yükleyip kaldırabilmesine izin verir.
Lock Pages In Memory
Bu kullanıcı hakkı Windows Server 2003’de artık
kullanılmamaktadır (orjinal olarak verinin page file
üzerinde değil de fiziksel bellek üzerinde tutulmasını
zorlamak amacıyla kullanılırdı)
Log On As A Batch Job
Bir sisteme logon olmasına ve bir ya da birden
fazla işletim sistemi komutları içeren bir dosyayı
çalıştırabilmesine izin verir.
Log On As A Service
Bir servisin spesifik bir servisi çalıştırmak için logon
olmasına izin verir.
Manage Auditing And Security Log
Bir kullanıcının güvenlik log’larını yönetmesine izin verir.
Modify Firmware Environment Variables
Bir kullanıcı ya da process’in sistem çevresel
değişkenlerini değiştirebilmesine izin verir.
Perform Volume Maintenance Tasks
Bir kullanıcı ya da grubun bir volume üzerinde bakım
görevlerini (örneğin, remote defragmantation)
çalıştırabilmesine izin verir. Bu seçeneğin dosya sistemine
erişim sağladığını ve bunun da bir güvenlik riski
olduğuna dikkat edin.
Profile Single Process
Bir kullanıcının sistem işlemleri dışındaki işlemleri,
Performance Logs and Alerts gibi yardımcı araçlar lle
izlemesine izin verir.
Remove Computer From Docking Station
Bir kullanıcının Windows Server 2003 kullanıcı ara yüzü
ile bir laptop’ı undock etmesine izin verir.
Replace A Process Level Token
Bir işlem için, belirlenen token ile alt process’i tarafından
oluşturulan varsayılan token’ı değiştirmeye izin verir.
Restore Files And Directories
Bir kullanıcının dosya ve klasör izinlerine bakmaksızın
dosya ve klasörleri geri yüklemesine izin verir.
Shut Down The System
Bir kullanıcının lokal bir Windows Server 2003
bilgisayarını kapatmasına izin verir.
Synchronize Directory Service Data
Bir kullanıcının bir directory servisi ile ilişkilendirilmiş
verileri senkronize etmesine izin verir.
Take Ownership Of Files Or Other Objects
Bir kullanıcının sistem objelerinin sahipliğini almasına izin
verir.
Alıştırma 3.5’te bir local user rights assignment policy uygulayacaksınız.
Security Policy’lerini Yönetmek
Alıştırma 3.5: Local User Rights Ayarları
1. Start > Administrative Tools > Security seçin ve Local Computer Policy snap-in’ini genişletin.
2. Klasörleri: Computer Configuration, Windows Settings, Security Settings, Local Policies, User
Rights Assignments şeklinde genişletin.
3. Log On As A Service kullanıcı hakkını açın. Local Security Policy Settings diyalog kutusu
görüntülenir.
4. Add User Or Group butonuna tıklayın. Select Users Or Groups diyalog kutusu görüntülenir.
5. Geçerli bir kullanıcı adı girin ve Add butonuna tıklayın. Ardından OK butonuna tıklayın.
Security Options Tanımlamak
Security options, bilgisayarın güvenlik yapılandırması için kullanılır. Security options, bir kullanıcı
ya da gruba uygulanan kullanıcı haklarından farklı olarak bilgisayara uygulanır.
Windows Server 2003 özellikleri sunucunuzu nasıl yapılandırdığınıza bağlı olarak 70’in üzerinde
potansiyel security seçeneği sunar. Bir parça halinde yaklaşık 40 seçeneği barındıran önceki
versiyonlarından farklı olarak, Windows Server 2003 security option’ları alt kategoriler halinde
organize eder. Security options için yeni kategoriler Tablo 3.8’de tanımlanmıştır.
Alıştırma 3.6’da, bir kaç security options tanımlayacak ve nasıl çalıştıklarını göreceksiniz. Bu alıştırma için, bu bölümün içindeki tüm ön alıştırmaları tamamladığınız var sayılıyor.
Tablo 3.8: Security Options Kategorileri
Kategori
Açıklama
Accounts
Administrator ve Guest hesaplarının durumlarını (enable/disable) ve yeniden
adlandırılmalarını kontrol eden seçenek olduğu gibi, lokal hesapların sadece
lokal log on için boş parola kullanımını kontrol eder.
Audit
Güvenlik izlemeleri (auditing) log’lanamadığı durumda sistemin hemen
kapatılma seçeneği de dahil olmak üzere izleme ile ilgili güvenliği kontrol
seçenekleri.
Devices
Çıkarılabilir aygıtları, yazıcı ve docking station’ları ve imzasız sürücü
kurulumu hareketlerini kontrol eden seçenek.
Domain Controller
Domain controller’lar üzerinde spesifik güvenlik ayarları uygulama
seçenekleri.
Domain Member
Sayısal imzalar, makine hesap parolaları ve oturum anahtarları için
seçenekler.
Interactive Logon
İnteraktif olarak logon olma seçenekleri. Bunlar, son kullanıcı adının
görüntülenip görüntülenmemesi, Ctrl+Alt+Del tuş kombinasyonu
gerektirip gerektirmemesi, kullancılar için log on sırasında özel bir mesajın
görüntülenip görünülenmemesini ve bir domain controller ulaşılabilir
olmadığında önceki logon işlemlerinden kaç adetinin cache’e alınacağı gibi
seçeneklerdir.
Microsoft Network Client
Microsoft Network Server
Sayısal olarak imzalanmış iletişimin ve şifrelenmemiş parolaların
yapılandırılması seçenekleri
Sayısal olarak imzalanmış iletişimi, oturum boşta kalma zamanını, log on
saatlerinin sona ermesi durumunda istemcilerinin bağlantılarının kesilip
kesilmeyeceğini belirleyen yapılandırma seçenekleri.
Network Access
10 anonim network erişimi ayarlarını yapılandırma seçenekleri.
Network Security
Network güvenliğini ayrı seviyelerde yapılandırma seçenekleri.
Recovery Console
Recovery Console hareketlerini, floopy erişim ve otomatik administrative log
on gibi işlemleri yapılandırma seçenekleri.
Shutdown
Logon gerektirmeden sistemin kapatılması ve/veya virtual memory page
file’ın kapatılma sırasında temizlenmesini sağlayan seçenekler.
System Cryptography
Şifreleme, hash’leme ve imzalama ile ilgili seçenekler.
107
108
Bölüm 3
Tablo 3.8: Security Options Kategorileri (devam)
Kategori
Açıklama
System Objects
Sistem objelerinin davranışlarını yapılandırma. Örneğin Windows olmayan
sistemler için karakter duyarlılığı gerektirip gerektirmediği gibi seçenekler.
System Settings
Ek ayarların yapılandırması seçenekleri (bunları değiştirmeye ihtiyaç
duymanız pek olası değildir).
Alıştırma 3.6: Security Options Tanımlamak
1. Start > Administrative Tools > Security seçin ve Local Computer Policy snap-in’inini genişletin.
2. Klasörleri Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options şeklinde genişletin:
3. Interactive Logon: Message Text For Users Attempting To Log On policy’sini açın. Local Policy Setting alanına Welcome to all authorized users girin. OK butonuna tıklayın.
4. Interactive Logon: Prompt User To Change Password Before Expiration policy’sini açın. Local
Policy Setting alanını üç gün olarak belirleyin. OK butonuna tıklayın.
5. Start > Command Prompt tıklayın. Komut satırında gpupdate yazıp Enter’a basın.
6. Komut satırında exit yazıp Enter tuşuna basın.
7. Administrator hesabınızdan log off olun ve diğer bir kullanıcı ile log on olun.
8. Log off olun ve Adminitrator olarak log on olun.
Public Key Policy’lerini Kullanmak
Public key policy’lerini kullanarak bilgisayarların sertifika otoritelerine kriptografi ile ilgili kurulum
ve public key erişim taleplerinin otomatik olarak iletebilmesini sağlayan seçenekleri ayarlayabilirsiniz.
EFS çok daha detaylı olarak MCSA/MCSE:
Windows Server 2003 İşletim Sistemine Genel Bakış (70-290) içerisinde ele alınmıştır.
Aynı zamanda Encrypting File System (EFS) ile birleştirmede kullanılan data recovery agent’ları belirlemek
amacıyla kullanabilirsiniz.
Local Computer System Policy’leri
System policy’leri Local Computer Policy MMC snap-in içinde Computer Configuration, Administrative Templates, System altından ulaşılabilir.
System Policies aracılığıyla aşağıdaki policy ayarlarını yapılandırmanız muhtemeldir:

User profile policy’leri

Logon policy’leri

Disk quota policy’leri

Group Policy policy’leri

Windows file protection policy’leri
Policy’yi düzenlemek için, policy adının üzerinde çift tıklayın. Çoğu kısımda sadece iki seçeneğiniz olacaktır: enable ya da disable. Time Out For Dialog Boxes policy gibi bir kaçında sayısal
değerler belirtmeniz gerekir. Fakat policy’leri yapılandırmak bundan daha karmaşık değildir. Bunların herbiri ilerleyen bölümlerde ele alınacaktır.
Security Policy’lerini Yönetmek
User Profile Policy’leri
Windows 2000 Server’da user profile policy ayarları logon policy ayarları ile gruplanmıştır. Windows Server 2003 bunları daha temiz bir yönetimsel arayüz için yeni bir kategori altına ayırmıştır,
User Profiles. Tablo 3.9 sık kullanılan yapılandırma seçeneklerini tanımlamaktadır.
Tablo 3.9: User Profile Policy Seçenekleri
User Profile Policy’leri
Açıklama
Delete Cached Copies Of Roaming
Profiles
Roaming profile’ın bir lokal kopyasının lokal bilgisayara
kaydedilmemesi gerektiğini belirler. Normal olarak, bir roaming
profile’ın bir lokal kopyasını kaydetmeyi istersiniz çünkü lokal bir
kopyayı yüklemek bir network sürücüsünden yüklemekten daha
hızlıdır.
Do Not Detect Slow Network
Connections
Varsayılan olarak sistem yavaş bağlantıları tespit etmeyi
deneyecektir ve yavaş bağlantılara daha hızlı bağlantılardan
farklı bir şekilde yanıt verecektir. Bu policy’nin ayarlanması yavaş
bağlantıların tespit edilmesini devre dışı bırakır.
Slow Network Connection Timeout
For User Profiles
Yavaş network bağlantılarını belirlemenizi sağlar.
Wait For Remote User Profile
Bir roaming profile kullanılıyorsa, lokal olarak cache edilmiş
profile kopyasının yerine roaming (network) profile’ın kopyasının
kullanılacağını belirler.
Prompt User When Slow Link Is
Detected
Kullanıcılara yavaş bağlantıları bildirir ve kullanıcıya user profile’in
local cache’e alınmış kopyasını mı yoksa roaming (network)
kopyasını mı kullanacağını sorar.
Timeout For Dialog Boxes
Diyalog kutularının görüntülenmesi için kullanılan varsayılan timeout değerini yapılandırmanıza izin verir.
Log Users Off When Roaming
Profile Fails
Roaming profile kullanılabilir durumda olmadığında kullanıcının
log off olması gerektiğini belirler. Eğer bu seçeneği etkin hale
getirmezseniz ve bir roaming profile yüklenirken hata oluşursa,
kullanıcı lokal olarak cache’e alınmış kopyayı ya da varsayılan user
profile’ı kullanacaktır.
Maximum Retries To Unload And
Update User Profile
User profile bilgileri içinde bulunan Registry’nin parçalarını update
etmeye çalışırken update işlemi başarısız olduğunda sistemin bunu
kaç kez deneyeceğini belirler.
Logon Policy’leri
Logon policy’leri logon script’leri ve user profile erişimleri gibi logon olaylarının nasıl yapılandırılacağını belirlemek için kullanılır. Logon policy seçenekleri Tablo 3.10’da tanımlanmıştır.
Tablo 3.10: Logon Policy Seçenekleri
Logon Policy
Açıklama
Run Logon Scripts Synchronously
Logon script’lerin Windows Explorer arayüzü çalışmadan çalışmasını
bitirmesi gerektiğini belirler. Bu seçeneği yapılandırmak Desktop’ın
görünümünde bir gecikmeye neden olabilir.
Run Startup Scripts
Asynchronously
Sistemin startup script’lerini asenkron olarak eş zamanlı
çalıştırmasına izin verir. Aksi halde eğer birden fazla startup
script’iniz varsa bir startup script’i önceki script’in çalışması
bitmeden başlayamaz.
Run Startup Scripts Visible
Startup script komutlarını çalışırken ekranda görüntüler.
Run Shutdown Scripts Visible
Shutdown script komutlarını çalışırken ekranda görüntüler.
Maximum Wait Time For Group
Policy Scripts
Script’lerin işlemini tamamlamadan ve bir hata kaydı oluşturmadan
önce, sistemin script’ler (logon, startup ve shutdown) için en fazla
ne kadar süre bekleyeceğini belirler. Bu değer varsayılan olarak 600
saniyedir (10 dakika).
109
110
Bölüm 3
Disk kotaları MCSA/MCSE: Windows Server
2003 İşletim Sistemine Genel Bakış kitabında da daha detaylı olarak ele alınmıştır.
Disk Quota Policy’leri
Disk quota policy’leri bilgisayarın disk kota yapılandırmasının nasıl kullanılacağını belirlemede kullanılır. Disk quota policy seçenekleri Tablo 3.11’de tanımlanmıştır.
Tablo 3.11: Disk Quota Seçenekleri
Disk Quota Policy
Açıklama
Enable Disk Quotas
Sistemi bilgisayardaki tüm NTFS volume’leri için disk
kota yönetimini etkin hale getirmeye zorlar.
Enforce Disk Quota Limit
Eğer disk kota yapılandırıldıysa kotanın zorlanacağını
belirler.
Default Quota Limit And Warning Level
Quota yönetimi için varsayılan kota sınırını ve
kullanıcıların bir uyarı mesajı göreceği disk kullanım
sınırını yapılandırmanızı sağlar.
Log Event When Quota Limit Exceeded
Kullanıcılar kota sınırlarına ulaştıklarında Event Viewer
application log’una bir kayıt ekleneceğini belirler.
Log Event When Quota Warning Level
Exceeded
Kullanıcılar uyarı sınırlarına ulaştıklarında Event Viewer
application log’una bir kayıt ekleneceğini belirler.
Apply Policy To Removable Media
Disk quota policy’lerinin uygulamasını sabit disklerden
NTFS ile biçimlendirilmiş çıkarılabilir ortamlara kadar
genişletir.
Group Policy Policy’leri
Group Policy policy’leri, group policy’lerin bilgisayara ne şekilde uygulanacağını belirlemek amacıyla kullanılır. Genel olarak sıkça yapılandırılan Group Policy policy seçenekleri Tablo 3.12’de
tanımlanmıştır.
Tablo 3.12: Group Policy Seçenekleri
Group Policy
Açıklama
Turn Off Background Refresh Of
Group Policy
Eğer bilgisayar kullanımda ise group policy’lerin güncellenmesini
engeller.
Apply Group Policy For Users
Asynchronously During Startup
Bilgisayar Group Policy ayarlarının güncelleştirmesi bitmeden önce
Windows Desktop’ın görüntülenebilmesini sağlar.
Group Policy Refresh Intervals For
Computers
Bilgisayarın Group Policy güncelleştirmeleri için kullanılacak olan
zaman aralığını belirler. Varsayılan olarak, arka plandaki operasyonlar
her 90 dakikada bir, rastgele 0-30 dakika offsetleriyle gerçekleşir.
Group Policy Refresh Intervals For
Domain Computers
Domain controller Group Policy güncelleştirmeleri için kullanılacak
zaman aralığını belirler. Varsayılan olarak bu arka plan
operasyonları her 5 dakikada bir gerçekleşir.
User Group Policy Loopback
Processing Mode
Bir kullanıcı bir bilgisayara logon olurken bu seçenek ile group
policy’lerin ne şekilde uygulanacağı belirlenir. Bu seçenekle
group policy’nin diğer policy ayarları ile yer değiştirmesini ya da
birleştirilmesini belirleyebilirsiniz.
Group Policy Slow Link Detection
Group policy’lerin uygulanması ve güncelleştirilmesi için yavaş
bağlantıyı tanımlar.
Registry Policy Processing
Registry policy’lerin periyodik arka plan işlemleri esnasında
uygulanıp uygulanmayacağını belirler.
Internet Explorer Maintenance
Policy Processing
Internet Explorer Maintenance policy’lerinin ne zaman
uygulanabileceğini belirler.
Software Installation Policy
Yazılım yükleme policy’lerinin ne sıklıkta güncelleştirileceğini
belirler. Bu seçenek lokal policy’lere uygulanmaz
Folder Redirection Policy
Processing
Folder redirection policy’lerin nasıl güncelleştirileğini belirler.
Scripts Policy Processing
Shared scripts policy’lerinin nasıl güncelleştirileceğini belirler.
Security Policy’lerini Yönetmek
Tablo 3.12: Group Policy Seçenekleri (devam)
Group Policy
Açıklama
Security Policy Processing
Security policy’lerinin nasıl güncelleştirileceğini belirler.
IP Security Policy Processing
IP security policy’lerinin nasıl güncelleştirileceğini belirler.
EFS Recovery Policy Processing
Encryption policy’lerinin nasıl güncelleştirileceğini belirler.
Disk Quota Policy Processing
Disk quota policy’lerinin nasıl güncelleştirileceğini belirler.
Windows File Protection Policy’leri
Windows file protection policy’leri Windows dosya korumasının nasıl yapılandırılacağını belirlemek içi kullanılır. Windows file protection policy seçenekleri Tablo 3.13’teki gibi tanımlanmıştır.
Tablo 3.13: Windows File Protection Policy Seçenekleri
Windows File Protection Policy
Açıklama
Hide the File Scan Progress Window
File Scan Progress penceresinin görüntülenmesini önler.
Limit Windows File Protection Cache Size
Windows File Protection tarafından kullanılabilecek
maksimum disk alanını belirler.
Specify Windows File Protection Cache
Location
Windows File Protection cache tarafından kullanılan bir
alternatif lokasyon belirler.
Security Configuration and Analysis Aracı ile Güvenlik
Yapılandırmalarının Analizi
Windows Server 2003’te, bilgisayarın lokal güvenlik ayarlarını analiz etmek için ve yapılandırmaya yardımcı olması için kullanabileceğiniz Security Configuration and Analysis adında bir yardımcı araç vardır. Bu yardımcı araç sizin hali hazırdaki güvenlik yapılandırmanız ile arzu ettiğiniz
ayarlar ile yapılandırdığınız bir güvenlik şablonunu karşılaştırmanızı sağlar.
Güvenlik analiz işlemi aşağıdaki adımları içerir:
1. Security Configuration and Analysis yardımcı aracını kullanarak, güvenlik analizi sırasında
kullanılacak olan bir güvenlik veritabanı belirleyin.
2. Bir güvenlik şablonunu import edip güvenliğinizi buna göre yapılandırabilirsiniz.
3. Güvenlik analizlerini uygulayın. Bu sizin yapılandırmanızla, 2. adımda belirlediğiniz şablonu
karşılaştırır.
4. Güvenlik analizinin sonuçlarını gözden geçirin.
5. Güvenlik analizi sonucunda gösterilen uyumsuzlukları çözün.
Security Configuration and Analysis yardımcı aracı bir MMC snap-in’idir. Bu yardımcı aracı
MMC’ye ekledikten sonra, bunu sonraki kısımda tanımlandığı gibi güvenlik analizi işlemini çalıştırmak için kullanabilirsiniz.
Güvenlik Veritabanını Belirlemek
Güvenlik veritabanı, güvenlik analiz sonuçlarınızı barındırmak için kullanılır. Bir güvenlik veritabanı belirlemek için aşağıdaki adımları uygulayın:
1. MMC’da, Security Configuration and Analysis snap-in’i üzerinde sağ tıklayıp pop-up menüden Open Database seçeneğini seçin. Eğer MMC’da Security Configuration and Analysis
snap-in’i seçerseniz Şekil 3.2’deki gibi sağ panelin içeriği size var olan bir veritabanının nasıl
açılacağını ve yeni bir veri tabanının nasıl oluşturulacağını açıklar.
111
112
Bölüm 3
Şekil 3.2: Bir güvenlik veritabanı açmak.
2. Open Database diyalog kutusu görüntülenir. File Name metin kutusunda, oluşturacağınız veritabanının adını girin. Varsayılan olarak bu dosya .sdb (güvenlik veritabanı için) uzantısına
sahip olur. Ardından Open butonuna tıklayın.
3. Import Template diyalog kutusu görüntülenir. Import etmek istediğiniz şablonu seçin. Bu diyalog kutusu ile önceden tanımlı bir şablonu da import edebilirsiniz. Sonraki kısımda, özelleştirilmiş bir şablon dosyasının nasıl oluşturulduğunu ve kullanıldığını öğreneceksiniz. Seçiminizi
yapın ve Open butonuna tıklayın.
Gerçek Dünya Senaryosu
IIS’i Korumak
Burada tanımlanan araçlardan başka, IIS Lockdown aracı Internet Information Services (IIS)
çalıştıran bir sunucuyu korumaya yardımcı olabilir. IIS Lockdown aracı IIS sunucuyu koruma
işlemini sistemde kendisini gizleyerek otomatik hale getirir. IIS ile gereksiz servislerin devre dışı
bırakılması ve IIS’in sunacağı uygulama tipleri için tam olarak yapılandırılmasını sağlaması bu
araç ile yapılabileceklerden sadece ikisidir. IIS Lockdown aynı zamanda bir hacker’ın IIS sunucuya başarılı exploit saldırıları yapma şansını düşürmeye yardımcı URLscan filtresi kullanır.
www.microsoft.com/technet/security/tools/locktool.mspx web sitesinden IIS
Lockdown aracı hakkında daha fazla bilgi alabilir ve bu aracı indirebilirsiniz.
Bir Güvenlik Şablonu Import Etmek
Güvenlik analizi işleminin bir sonraki adımı bir güvenlik şablonu import etmektir. Güvenlik şablonu bir karşılaştırma aracı olarak kullanılır. Security and Configuration Analysis yardımcı aracı
güvenlik şablonundaki güvenlik ayarları ile şu anki güvenlik ayarlarınızı karşılaştırır. Güvenlik
şablonu ile güvenliğinizi ayarlamak yerine bunu
Bir sistem yöneticisi olarak bir bilgisayar üzerinde temel bir güvenlik şablonu oluşturabilir ve ardından bunu
bütün güvenlik attribute’lerinizi tek bir lokasyonda
network’ünüzdeki tüm sunuculara export edebilirsiniz.
organize etmek için kullanırsınız.
Aşağıdaki kısımlarda bir güvenlik şablonunun nasıl import edileceğini göreceksiniz, aslında bu
işlem iki adımdan oluşur: bir şablon oluşturma ve daha detaylı bir analiz için açma.
Bir Güvenlik Şablonu Oluşturmak
Varsayılan olarak, Windows Server 2003 önceden tanımlanmış çeşitli güvenlik şablonlarına sahiptir. Bunlar systemroot\Security\Templates klasöründe bulunur. Bu şablonların her biri sizin
ortamınızın ihtiyaçlarına bağlı olarak bir standart güvenlik kümesi tanımlar. Varsayılan şablon
grupları Tablo 3.14’de tanımlanmıştır.
Security Policy’lerini Yönetmek
Tablo 3.14: Varsayılan Güvenlik Şablonları
Standart Güvenlik
Şablonu
Açıklama
Varsayılan
Şablonlar
Default security
(Setup security.
inf)
Her bir bilgisayar için kurulum sırasında oluşturulur.
Kullanıcı hakları dışındaki kurulum sırasındaki
varsayılan diğer ayarlara dönmek için kullanılır.
Bazı uygulamalar tarafından uygulamaların düzgün
çalışabilmesi için kullanıcı hakları değiştirilir. Kullanıcı
hakları varsayılan değerlere döndürülürse bilgisayarda
yüklü uygulamalardan bazıları çalışmayabilir.
Setup Security
Compatible
(Compatws.inf)
Geriye dönük uyumluluk için kullanılır. Bu seçenek
Windows 2000 ve daha üstü sistemler tarafından
kullanılan varsayılan güvenlik ayarlarını, Windows
2000 ve sonrası için sertifikalandırılmamış Windows
NT öncesi uygulamaların çalıştırılmasını sağlayacak
şekilde yumuşatır. Bu şablon tipik olarak yeni upgrade
edilmiş ve bazı uygulamaların çalıştırılmasında
problem yaşayan bilgisayarlar üzerinde kullanılır.
Compatws
Secure (Secure*.
inf)
Windows 2000 ve üzeri için dosyalar, klasörler ve
Registry anahtarları dışında tüm alanlarda önerilen
güvenlik ayarlarını uygular.
Securedc, Securews
Highly secure
(Hisec*.inf)
Windows Server 2003 bilgisayarları için yüksek
derecede güvenli network iletişimi belirler. Eğer bu
güvenlik şablonunu uygularsanız, Windows Server
2003 bilgisayarlar sadece diğer Windows Server
2003 bilgisayarları ile iletişim kurabilir. Bu durumda,
bu bilgisayarlar Windows 95/98 hatta Windows NT
bilgisayarları ile iletişim kuramazlar.
Hisecdc, Hisecws
Sadece domain controller rolünü taşıyan sunucular için
daha yüksek bir güvenlik seviyesi sağlar. Bu seçenek
domain controller’ın daha zayıf güvenlik seviyesi
gerektirebilecek olan sunucu tabanlı uygulamaları
çalıştırmayacağını varsayar.
DC security
Root izinlerini tanımlar. Varsayılan olarak bu izinler
sistem sürücüsü için tanımlanır. Bu şablon root
klasörü izinleri istem dışı değiştirildiyse bu izinleri
yeniden uygulamak için kullanılabilir. Ya da şablon root
izinlerinin diğer volume’lere uygulanması amacıyla
değiştirilebilir. Bu şablon child objeler tarafından
inherite edilen izinlere yayılabilir, child objeler üzerinde
açık bir şekilde belirtilen izinleri geçersiz kılamaz.
Rootsec
Dedicated domain
controler (DC
Security.inf)
System root security
(rootsec.inf)
Güvenlik şablonlarını MMC’de Security Templates snap-in’i aracılığıyla oluşturabilirsiniz. Güvenlik şablonlarını Tablo 3.15’de listelenen öğeler ile yapılandırabilirsiniz.
Tablo 3.15: Security Templates Yapılandırma Seçenekleri
Account Policies
Password policy’leri, account lockout policy’leri ve kerberos policy’leri için
kullanılması gereken yapılandırma özelliklerini belirler.
Local Policies
Audit policy’leri, kullanıcı hakları ve güvenlik seçenekleri için kullanılması gereken
yapılandırma özelliklerini belirler.
Event Log
Event Viewer log dosyalarına uygulanan yapılandırmayı ayarlamayı sağlar.
Restricted Groups
Lokal grup üyeliğini yönetmenizi sağlar.
Registry
Lokal Registry ayarları için güvenlik ayarlarını belirler.
File System
Lokal sistem için güvenlik ayarlarını belirler.
Sistem servisleri için ve lokal sistem servislerinin kullanacağı startup mode’u
belirler.
System Services
113
114
Bölüm 3
MMC’ye Security Templates snap-in’i ekledikten sonra aşağıdaki şekilde örnek bir güvenlik şablonunu açabilir ve değiştirebilirsiniz.
1. MMC’de, Security Templates snap-in’ini ve ardından systemroot\Security\Templates
klasörünü genişletin.
2. Düzenlemek istediğiniz örnek bir şablon üzerinde çift tıklayın. Burada securews (güvenli
Windows sunucu için) ve securedc (güvenli domain controller için) gibi birçok örnek şablon
bulunur.
3. Örnek güvenlik şablonu üzerinde istediğiniz değişikliği gerçekleştirin. Şablondaki değişiklikler
varsayılan olarak lokal sisteme uygulanmaz. Sistemin istediğiniz şekilde yapılandırılacağını
belirlemek için bu kolay bir yol sağlar.
4. Örnek şablon üzerinde tüm değişiklikleri yaptıktan sonra şablon üzerinde sağ tıklayarak Save
As seçeneğine tıklayın. Yeni şablon için bir dosya adı ve lokasyon belirleyin. Varsayılan olarak, güvenlik şablonu .inf uzantılı olarak systemroot\Security\Templates klasörüne
kaydedilir.
Bir Güvenlik Şablonunu Açmak
Bir güvenlik şablonu yapılandırdıktan sonra, bunu Security Configuration and Analysis yardımcı
aracı ile kullanmak için önceden yapılandırdığınız bir güvenlik veritabanını import edebilirsiniz.
Bir güvenlik şablonunu import etmek için MMC’da, Security Configuration and Analysis yardımcı
aracına sağ tıklayın ve açılır menüden Import Template seçeneğini seçin. Ardından import etmek
istediğiniz şablon dosyasını seçin ve Open butonuna tıklayın
Güvenlik Analizi Gerçekleştirmek
Sonraki adım güvenlik analizini gerçekleştirmektir. Analizi çalıştırmak için, Security Configuration
and Analysis yardımcı aracı üzerinde sağ tıklayın ve açılan menuden Analyze Computer Now
seçeneğini seçin. Analiz sırasında oluşturulacak olan hata log dosyası için lokasyonu ve dosya
adını belirleyeceğiniz Perform Analysis diyalog kutusunu göreceksiniz. Bu bilgileri yapılandırdıktan sonra OK butonuna tıklayın.
Analiz tamamlandığında, MMC ana penceresine geri döndürüleceksiniz. Buradan güvenlik analizi
sonuçlarına göz atabilirsiniz.
Güvenlik Analizini Gözden Geçirmek ve Uyumsuzlukları Çözmek
Güvenlik analizi sonuçları Security Configuration and Analysis snap-in’inde yapılandırdığınız
güvenlik öğesi altındadır (Tablo 3.15). Örneğin, password policy’lerinin sonuçlarını görmek için
Security Configuration and Analysis snap-in’e çift tıklayın, Account Policies üzerinde çift tıklayın
ve ardından Password Policy üzerinde çift tıklayın. Şekil 3.3 password policy’leri için örnek bir
güvenlik analiz sonucunu göstermektedir.
Analiz edilen policy’lerin yanlarına Şekil 3.3’de görüldüğü gibi x ya da onay işareti gelecektir. Bir x
işareti şablondaki tanımlamalar ile şu andaki policy’nin eşleşmediğini gösterir. Bir onay işareti ise
şablondaki tanımlamalar ile şu andaki policy’nin eşleştiğini gösterir. Eğer bir güvenlik uyumsuzluğu söz konusuysa Group Policy snap-in’i ile güvenlik ihlalini çözümlemeniz gerekir.
Alıştırma 3.7’de Security Configuration and Analysis yardımcı aracını kullanarak güvenlik yapılandırmanızı analiz edeceksiniz. Bu alıştırmada MMC’ye Security and Configuration Analysis
snap-in’i ekleyecek, bir güvenlik şablonu oluşturacak, şablonu import edip analizi gerçekleştirdikten sonra sonuçları gözden geçireceksiniz. Bu alıştırma için bu bölümde önceki tüm alıştırmaları
tamamladığınız varsayılmaktadır.
Security Policy’lerini Yönetmek
Şekil 3.3: Bir güvenlik analizi sonucunu görüntülemek.
Alıştırma 3.7: Security Configuration and Analysis Aracını Kullanmak
Security and Configuration Analysis Snap-In Eklemek
1. Start > Administrative Tools > Security seçin.
2. File > Add/Remove Snap-In seçin.
3. Add/Remove Snap-In diyalog kutusunda Add butonuna tıklayın. Security Configuration And
Analysis snap-in’i seçip Add butonuna tıklayın. Ardından Close butonuna tıklayın.
4. Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
Güvenlik Veritabanını Belirlemek
1. MMC’de Security Configuration And Analysis üzerinde sağ tıklayın ve Open Database’i seçin.
2. Open Database diyalog kutusunda, File Name metin kutusunda sampledb yazın ve Open
butonuna tıklayın.
3. Import Template diyalog kutusunda, securews şablonunu seçin ve Open butonuna tıklayın.
Güvenlik Şablonu Oluşturmak
1. MMC’de File > Add/Remove Snap-In seçin
2. Add/Remove Snap-In diyalog kutusunda Add butonuna tıklayın. Security Templates snap-in’i
seçip Add butonuna tıklayın. Ardından Close butonuna tıklayın.
3. Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
4. Security Templates snap-in’ini genişletin ve ardından systemroot\Security\Templates klasörünü genişletin.
5. securews dosyası üzerinde çift tıklayın.
6. Account Policies ve ardından Password Policy seçin
7. Password policy’lerini aşağıdaki şekilde düzenleyin:

Enforce Password History seçeneğini 10 parola hatırlanacak şekilde ayarlayın.

Password Must Meet Complexity Requirements seçeneğini etkin hale getirin (Enable).

Maximum Password Age seçeneğini 30 güne ayarlayın.
115
116
Bölüm 3
8. Securews dosya adını seçip sağ tıklayın ve Save As seçeneğini seçin.
9. Save As diyalog kutusunda, dosyayı servertest adıyla varsayılan klasöre Save butonuna tıklayarak kaydedin.
Güvenlik Şablonunu Import Etmek
1. Security And Analysis snap-in’i seçin, sağ tıklayarak Import Template seçeneğini seçin.
2. Import Template diyalog kutusunda, servertest dosya adını seçin ve Open butonuna tıklayın.
Güvenlik Analizini Gerçekleştirmek ve Gözden Geçirmek
1. Security Configuration And Analysis snap-in’i seçin, sağ tıklayarak Analyze Computer Now
seçeneğini seçin.
2. Perform Analysis diyalog kutusunda, varsayılan hata log dosyası yolunu kabul edin ve OK
butonuna tıklayın.
3. MMC ana ekranına döndüğünüzde, Security Configuration And Analysis snap-in üzerinde çift
tıklayın.
4. Account Policies ve ardından Password Policy üzerinde çift tıklayın. Yanlarında x ya da onay
işareti ile belirtilmiş şekilde herbir policy’nin analiz sonuçlarını göreceksiniz.
Yazılım Yükleme ve Bakım Yönetimi
Windows işletim sistemlerinizi güncel ve güvenli tutmak için Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Security Analyzer kullanabilirsiniz:

Windows Updates Windows kullanıcılarının Microsoft web sitesi aracılığıyla işletim sistemlerinin güncelleme dosyalarını (kritik ve kritik olmayan yazılım güncellemelerini) indirebilmelerini
sağlar.

Automatic Updates Windows Update’in fonksiyonelliğini kritik dosyaların güncelleştirilmesini
otomatik hale getirerek sunar. Automatic Updates ile güncelleştirmelerin otomatik olarak indirilip yüklenmesini istediğinizi ya da sadece yeni güncelleştirmelerden haberdar olmak istediğinizi belirleyebilirsiniz.

Windows Server Update Services (WSUS) Windows Update’in kısıtlı bir versiyonunu şirketin
sunucusuna kurarak ihtiyaç duyulan güncellemeleri sırasıyla şirket içindeki istemci bilgisayarlara yaymak için kullanılır. Bu bir güvenlik duvarı aracılığıyla internete çıkabilen kısıtlı istemcilerin kendi Windows işletim sistemlerinin güncel kalmasına yardımcı olur.

Microsoft Baseline Security Analyzer (MBSA) en güncel güvenlik güncelleştirmelerine sahip
olduğunuzdan emin olmanıza yardımcı olmak için kullanabileceğiniz ve Microsoft’un web sitesinden indirebileceğiniz bir yardımcı araçtır.
Aşağıdaki kısımlarda, bu araçların nasıl kullanıldığını göreceksiniz.
Windows Update
Windows Update, Microsoft’un web sitesi aracılığıyla, Windows işletim sistemleri için en güncel
dosyaları tedarik etmek için kullanılır. Örnek güncelleştirmeler, güvenlik yamaları ve kritik güvenlik güncelleştirmeleri, güncelleştirilmiş yardım dosyalarını ve güncelleştirilmiş sürücüleri içerir.
Windows Update’e Help and Support sayfası üzerinden Microsoft web sitesi üzerinden ulaşılabilir
(Şekil 3.4). Yeni güncelleştirmeleri aramak için Welcome To Windows Updates ekranında Scan
For Updates link’ine tıklayın (Şekil 3.5).
Security Policy’lerini Yönetmek
Windows Update tarama sonucu Windows Update ekranının sol tarafında görüntülenecektir.
Aşağıdaki seçenekleri göreceksiniz:

Pick Updates To Install, bilgisayarınız için hangi güncelleştirmelerin mevcut olduğunu listeler
ve aşağıdaki kategorileri içerir:

Critical Updates and Service Packs

Windows Server 2003 Family

Driver Updates

Review And Install Updates, yüklemek için seçtiğiniz güncelleştirmeleri görmenizi ve güncelleştirmeleri yüklemenizi sağlar.

View Installation History, sunucunuza uyguladığınız tüm güncelleştirmeleri izlemenizi sağlar.

Personalize Windows Updates, Windows Update’i kullanırken gördüklerinizi özelleştirir.

Get Help and Support, Windows Update ile ilgili yardım ve destek bilgilerini görüntüler.
Bazen yüklenen güncelleştirmelerin etkin hale gelebilmesi için bilgisayarın yeniden başlatılması
gerekir. Bu noktada, Windows Update chained installation adı verilen bir teknoloji kullanır. Chained installation ile bilgisayarın yeniden başlamasını gerektiren tüm güncelleştirmeler bilgisayar
yeniden başlatılmadan önce uygulanır. Bu sayede bilgisayarın birden fazla yeniden başlatılması
gereksinimini ortadan kaldırır.
Şekil 3.4: Help and Support.
Windows Update ile toplanan bilgiler, işletim sistemi ve versiyon numarası, Internet Explorer versiyonu, Windows Update aracılığıyla güncelleştirilebilen tüm yazılımların versiyon bilgileri, yüklü donanıma ait Plug and Play ID numaraları, bölge ve dil ayarları
bilgilerini içerir. Windows Update aynı zamanda kullandığınız Windows işletim sistemi kopyasının lisanslı olduğunu doğrulamak
için ürün ID ve ürün anahtarı bilgisini de toplar. Fakat bu bilgi sadece Windows Update oturumu sırasında tutulur ve bir yerde
saklanmaz. Windows Update servisi kullanıcılarının kişisel bilgilerini tanımlamak amacıyla kullanılabilecek hiç bir bilgi toplamaz.
117
118
Bölüm 3
Şekil 3.5: Windows Update.
Alıştırma 3.8’de Windows Update’i kullanacaksınız.
Alıştırma 3.8: Windows Update’i Kullanmak
1. Start > Help And Support’u seçin.
2. Help And Support diyalog kutusu görüntülenir.
3. Support Task’ın altından Windows Update seçeneğini seçin.
4. Welcome To Windows Update ekranı görüntülenir. Scan For Updates’e tıklayın.
5. Windows Update, bilgisayarınızın yapılandırmasına bağlı olarak mevcut tüm güncelleştirmeleri arar.
6. Bilgisayarınız için tüm güncelleştirmeler listelenir. Critical Updates And Service Packs, Windows Server 2003 Family ve Driver Updates için herbir seçeneğe tıklayın ve yüklemek istediğiniz güncelleştirmeleri işaretleyin.
7. Review And Install Updates’e tıklayın. Total Selected Updates seçeneğinde Install Now butonuna tıklayın.
Windows Automatic Updates
Automatic Updates, Windows Update işlemini otomatikleştirir. Automatic Updates ile Windows
Server 2003, internet bağlantınız olduğunu algılayarak otomatik olarak bilgisayarınız için Windows Update web sitesinden güncelleştirmeleri arar.
Herhangi bir güncelleştirme tanımlanırsa, bu güncelleştirmeler Background Intelligent Transfer
Service (BITS) kullanılarak indirilir. BITS sadece bant genişliği boşta iken indirmeye izin veren bir
bandwidht-throttling teknolojisidir. Bu otomatik güncelleştirmelerin indirilmesinin diğer herhangi
bir internet trafiğine engel olmayacağı anlamına gelir.
Eğer Automatic Updates bilgisayarınız için herhangi bir güncelleştirme tespit ederse, görev çubuğu bildirim alanında bir güncelleştirme simgesi görürsünüz.
Automatic Updates’i yapılandırmak için, Automatic Updates’in yapılandırılacağı bilgisayarda lokal yönetimsel haklara
sahip olmalısınız. Yönetimsel haklara sahip olma gerekliliği, kullanıcıların kritik güvenlik güncelleştirmelerini kurmama opsiyonlarını engeller. Buna ek olarak Microsoft indirilen her güncelleştirmeyi sayısal olarak imzalamalıdır.
Security Policy’lerini Yönetmek
Start > Control Panel > System ve Automatic Updates sekmesine tıklayarak Automatic Updates’i
yapılandırabilirsiniz. Bu diyalog kutusunu Şekil
3.6’da görüyorsunuz.
Automatic Updates’i Keep My Computer Up To
Date seçeneğini işaretleyerek etkin hale getirebilirsiniz. Bu ayarın etkin hale getirilmesiyle, Windows
Update yazılımı diğer güncelleştirmeler uygulanmadan önce güncelleştirilebilir.
Aşağıdaki ayarlar Automatic Updates’e uygulanabilir:

“Notify me before downloading any updates
and notify me again before installing them on
my computer.” Bu seçenek herhangi bir güncelleştirmenin kabul edilmesi için sizden onay
isteyecek ve bu güncelleştirmenin uygulanması için sizin onaylamanız gerekecektir.
Şekil 3.6 System Properties diyalog kutusundaki Automatic
Updates sekmesi.

“Download the updates automatically and notify me when they are ready to installed.” Bu
varsayılan ayardır. Güncelleştirmeler otomatik olarak arka planda indirilecektir, fakat güncelleştirmelerin yüklenmesini onaylamanız gerekecektir.

“Automatically download the updates, and install them on the schedule that I specify.” Bu seçenek size Windows’un güncelleştirmeleri araması için örneğin çalışma saatleri dışında belirli
bir gün ve zaman tanımlayabilmenizi sağlar. Güncelleştirmelerin sunucunuza uygulanmadan
önce güncelleştirmeleri yüklemek istediğinizi onaylamanız gerekecektir.
Automatic Update sekmesinin en altında Declined Updates butonu vardır. Eğer Windows sizi bir
güncelleştirmeden haberdar eder ve siz bunu reddederseniz, daha sonra bu butona tıklayarak bu
güncelleştirmeye erişebilirsiniz.
Alıştırma 3.9’da Automatic Updates’i yapılandıracaksınız.
Alıştırma 3.9: Automatic Updates’i Yapılandırmak
1. Start > Control Panel > System ve Automatic Updates sekmesine tıklayın.
2. Keep My Computer Up To Date seçeneğinin onaylı olduğunu doğrulayın.
3. Settings altında, Automatically download the updates, and install them on the schedule that I
specify seçeneğini işaretleyin. Every Sunday at 2:00 am seçip OK butonuna tıklayın.
Windows Server Update Services Kullanmak
Önceden Software Update Services (SUS) olarak bilinen Windows Server Update Services
(WSUS) şirket içinde Windows Update özelliklerini etkin hale getirmek için kullanılır. WSUS sayesinde Windows güncelleştirmeleri şirketin istemcilerine ulaştırılmak için şirketin bir sunucusuna
indirilir. Bu sistem yöneticilerine test etme şansı ve şirket içerisinde hangi güncelleştirmelerin
uygulanacağı üzerinde tam kontrol sağlar.
WSUS, Systems Management Server (SMS) kullanmayan orta ölçekteki şirket network’leri için
tasarlanmıştır.
Sonraki kısımlarda aşağıdaki konuları ele alacağız:

WSUS kullanımının avantajları

WSUS sunucu gereksinimleri
119
120
Bölüm 3
Bu kitap yazılırken WSUS, SUS
yerine Windows Server 2003’in bir
parçası olarak dağıtılmaktaydı.

WSUS sunucu yapılandırması

WSUS istemci gereksinimleri

WSUS istemcilerini yapılandırmak
WSUS Kullanımının Avantajları
WSUS kullanımının birçok avantajı vardır. Bunlar:

WSUS özel intranet içerisindeki dahili bir sunucunun sanal Windows Update sunucusu olarak
çalışmasını sağlar.

Sistem yöneticileri Windows Update sitesinden gönderilecek ve yayılacak güncelleştirmeler
üzerinde seçimli bir kontrole sahiptir. İlk olarak bir sistem yöneticisi tarafından onaylanmadıkça hiçbir güncelleştirme istemci bilgisayarlara dağıtılmaz.

Sistem yöneticileri Windows Update sitesinden WSUS sunucusuna yapılacak güncelleştirmelerin senkronizasyonunu manuel ya da otomatik olarak kontrol edebilir.

Automatic Updates, istemci bilgisayarları Windows Update sitesi yerine yerel WSUS sunucusuna erişecek şekilde yapılandırılabilir.

WSUS her bir güncelleştirmeyi Microsoft tarafından sayısal olarak imzalanmış olma durumlarına göre kontrol eder. Sayısal olarak imzalanmamış hiçbir güncelleştirme uygulanmaz.

Sistem yöneticileri istemcilerin güncelleştirilmiş dosyalara Microsoft web sitesinden mi yoksa
intranet’ten mi ulaşabileceklerini belirleyebilir.

Güncelleştirmeler istemcilere çoklu dil seçenekleri ile dağıtılabilir.

Sistem yöneticileri bir WSUS istatistik sunucusu yapılandırarak güncelleştirme erişim log’unu
tutabilir, bu sayede istemcilerin yüklediği güncelleştirmeleri takip edebilirler. WSUS sunucu ve
WSUS istatistik sunucusu aynı bilgisayar olabilir.

Sistem yöneticileri eğer web tarayıcıları Internet Explorer 5.5 ya da daha üstü bir tarayıcıya
sahiplerse WSUS sunucularını HTTP ya da HTTPS kullanarak uzaktan yönetebilirler.
WSUS Sunucu Gereksinimleri
Bir sunucu, WSUS sunucu olarak çalışabilmek için aşağıdaki gereksinimleri sağlamalıdır:

Windows 2000 Server Service Pack 4 ve üstü ya da Windows Server 2003 çalıştırıyor olmalı.

Internet Explorer 6.0 Service Pack 1 ya da üstü kullanıyor olmalı.

Tüm en son güvenlik yamaları uygulanmış olmalı.

Internet Information Services (IIS) çalıştırıyor olmalı.

Network’e bağlı olmalı.

WSUS sunucu yazılımı için 100 MB boş alan bulunan bir NTFS bölümü ve tüm güncelleştirme
dosyaları için 6 GB boş alana sahip olmalı.

Background Intelligent Transfer Services (BITS) versiyon 2.0 kullanıyor olmalı.
Eğer sizin WSUS sunucunuz aşağıdaki gereksinimleri sağlayabiliyorsa, 15,000’e kadar istemciyi
destekleyebilir:

Pentium III 700MHZ işlemci

512MB RAM
WSUS Sunucuyu Kurmak ve Yapılandırmak
WSUS’un sadece bu rolü üstlenmiş bir sunucu üzerinde çalışması gerekir. Bu WSUS sunucu
üzerinde gerekli olan IIS dışında diğer uygulamaların çalışmayacağı anlamına gelir. Microsoft si-
Security Policy’lerini Yönetmek
zin temiz bir Windows 2000 veya Windows Server 2003
yüklemenizi ve tüm service pack ve güvenlikle ilgili yamaları uygulamanızı tavsiye eder.
Sunucu üzerinde virüs tarama programı yüklememeniz gerekir. Virüs tarayıcılar WSUS
aktivitelerini bir virüs olarak algılayabilir.
Bir WSUS Sunucu Yüklemek
Aşağıdaki adımlar bir WSUS sunucu yükleme sırasında kullanılır.
1. WSUS yazılımını Microsoft’un web sitesinden indirin. WSUS sayfasına erişmek için www.
microsoft.com/windowsserversystem/updateservices/downloads/WSUS.
mspx ya da http://go.microsoft.com/fwlink/?LinkId=47374 link’lerini kullanabilirsiniz.
2. WSUS sunucuyu yüklemek için WSUSSetup.exe üzerine çift tıklayın.
3. Welcome ekranı görüntülenir.
Next butonuna tıklayın.
4. End-User Licence Agrement
ekranı görüntülenir. Dikkatli
bir şekilde anlaşmayı okuyun
ve I Accept The Terms In The
License Agreement butonuna
tıklayın. Next butonuna tıklayın.
5. Select Update Source diyalog kutusu görüntülenir. Şekil
3.7’de görüldüğü gibi bu diyalog kutusunda güncelleştirme
dosyalarının bulunacağı yeri
seçebilirsiniz. Next butonuna
tıklayarak varsayılan lokasyonu kabul edin, C:\WSUS\.
Şekil 3.7: Select Update Source ekranı.
6. Şekil 3.8’deki Database Options diyalog kutusu görüntülenir. SQL Server Desktop Engine
varsayılan değerdir. Bu varsayılan değeri onaylayıp Next butonuna tıklayın.
7. Ardından güncelleştirmeleri sunacak varsayılan bir IIS kurulumu ya da farklı bir TCP port’undan
dinleyecek spesifik WSUS web sitesi oluşturabileceğiniz Web Site Selections ekranı gelir.
WSUS sunucu sadece WSUS
çalıştıracak şekilde yapılandırılması gerektiğinden buradaki varsayılan değerleri kabul
edebilirsiniz. Eğer IIS sunucuyu zaten web sayfaları için
çalıştırıyorsanız ve bunu değiştirmek istemiyorsanız yeni
bir WSUS web sitesi oluşturma seçeneğini işaretlemeniz
gerekir. Bu ekran Şekil 3.9’da
gösterilmektedir. Bu ekran
önemlidir çünkü WSUS’un
web üzerinden yönetimi sırasında kullanılacak ara yüzüne
erişim URL’ini gösterir. Siteniz için uygun yapılandırmayı
seçtiğinizde Next butonuna Şekil 3.8: Database Options diyalog kutusu.
tıklayın.
121
122
Bölüm 3
Şekil 3.9: Web Site Selection ekranı.
8. Ardından Mirror Update Settings ekranı görüntülenir. Bu ekranla WSUS sunucusunun başka
bir sunucu ile mirror yapılıp yapılmayacağını seçersiniz. Bu yapılandırma yükün bir sunucu
grubu üzerinde paylaşılması için kullanışlı olabilir. Bu ekran Şekil 3.10’da görülmektedir.
Şekil 3.10: Mirror Update Settings ekranı.
9. Ready To Install ekranı görünür, Şekil 3.11’de görüldüğü gibi yönetim için kullanılacak ve
istemciler için gerekli self update URL’ler görüntülenir. Self update yükleme URL’i varsayılan
olarak http://yourservername/selfupdate’dir. Next tuşuna tıklayarak yüklemeyi başlatın.
10. Completing The Windows Server Update Services Setup Wizard ekranı görünür. Finish butonuna tıklayın.
11. WSUS yönetim web sitesi otomatik olarak Internet Explorer içinde açılır.
Bir WSUS Sunucusunu Yapılandırmak
Sonraki kısımlarda WSUS sunucu seçeneklerini nasıl yapılandıracağınızı öğreneceksiniz, senkronizasyonu ayarlamak, güncelleştirmeleri onaylamak, synchronization log’unu görüntülemek,
approval log’unu görüntülemek ve WSUS sunucuyu izlemek.
Security Policy’lerini Yönetmek
Şekil 3.11: Ready To Install ekranı önemli bilgilerin özetini içerir.
WSUS Sunucu Seçeneklerini Ayarlamak
Aşağıdaki adımları kullanarak WSUS sunucuyu yapılandırabilirsiniz:
1. Eğer WSUS yönetim web sitesi açık değilse, bunu Internet Explorer ile http://yourservername/WSUSadmin URL’i ile açabilirsiniz.
2. Windows Server Update Services ekranı görüntülenir (Şekil 3.12). Seçeneklere tıklayın.
Şekil 3.12: Windows Server Update Services ekranı.
3. Options ekranında, Şekil 3.13’de görüldüğü gibi yapılabilecek seçenekler şu şekildedir:

Bir proxy sunucu seçimi.

İstemcilerinizin bu güncelleştirme sunucusuna bağlanabilmeleri için kullanacakları bir
isim tanımlama.

İçeriğin senkronize edileceği sunucuyu seçme (Microsoft Windows Update sunucular ya
da yerel Software Update sunucusu).
123
124
Bölüm 3

Önceden onaylanan güncelleştirmelerin yeni versiyonlarının ne şekilde ele alınacağını,
yani otomatik olarak onaylamak isteyip istemediğinizi seçebilirsiniz.

Güncelleştirmeleri barındıracağınız sunucuyu seçmek (güncelleştirmeleri bir Windows
Server Update Services sunucusunda tutmak ya da güncelleştirmeleri yerel güncelleştirme klasörüne kaydetmek).

Senkronizasyon için spesifik ürün ya da güncelleştirme sınıflandırması seçmek.

Kurulum paketlerini belirli bölgeler için senkronize etmek (tuttuğunuz güncelleştirme paketleri için bölgeleri/dilleri belirlemek).
Şekil 3.13: Options ekranı.
Yapılandırma ayarları ile ilgili işlemleri bitirdikten sonra Save Settings butonuna tıklayın.
Şekil 3.14: Synchronization Options ekranı.
Security Policy’lerini Yönetmek
WSUS Sunucu Senkronizasyonunu Ayarlamak
Varsayılan olarak, WSUS sunucu senkronizasyonu tanımlanmamıştır. Manuel olarak sizin sunucunuzla Windows Update sunucusunu senkronize edebilir ya da bu işlemi otomatikleştirmek için
bir senkronizasyon planı ayarlayabilirsiniz. Aşağıdaki adımlar WSUS sunucu senkronizasyonu
yapılandırmak için kullanılır.
1. Welcome ekranından Synchronize Now seçeneğine tıklayın.
2. Synchronization Options ekranı görünür (Şekil 3.14).
3. Synchronize Manually (manuel senkronizasyona zorlayan) seçebilir ya da bir seknronizasyon
programı ayarlayabilirsiniz. Bir senkronizasyon programı ayarlamak için Synchronization Daily At seçeneğine tıklayın ve bir saat ayarlayın.
Güncelleştirmeleri Onaylamak
Güncelleştirmeler WSUS istemcilere dağıtılmadan önce, sistem yöneticileri güncelleştirmeleri
onaylamalıdır. Güncelleştirmeleri onaylamak için Welcome ekranında sitenin araç çubuğunda
Updates seçeneğine tıklayın. Update ekranı görüntülenir.
Şekil 3.15: Updates ekranı.
Senkronizasyon Log’unu Görüntülemek
Senkronizasyon log’unu görüntülemek için, Welcome ekranında sitenin araç çubuğundaki Reports butonuna tıklayın. Reports sayfası görüntülenir (Şekil 3.16). Sonuçları görüntülemek için
Synchronization Results seçeneğine tıklayın. Şekil 3.17’de görüldüğü gibi Synchronization Results ekranı görüntülenecektir.
125
126
Bölüm 3
Şekil 3.16: Reports ekranı.
Şekil 3.17: Synchronization Results sayfası.
Security Policy’lerini Yönetmek
WSUS İstemci Gereksinimleri
WSUS istemcileri WSUS’u desteklemek için tasarlanmış Automatic Updates’in özel bir versiyonunu çalıştırır. Automatic Updates’e göre aşağıdaki yeni özellikleri içerir:

İstemcinin güncelleştirmeleri Microsoft Windows Update web sitesi yerine bir WSUS sunucudan alabilmesini sağlar.

Sistem yöneticilerinin güncel dosyaların ne zaman indirileceğini planlayabilmesini sağlar.

İstemcilerin Group Policy aracılığıyla ya da Registry’yi düzenleyerek yapılandırılabilmelerini
sağlar.

Güncelleştirmelerin admin hesabıyla ya da başka bir hesapla sisteme girildiğinde yapılabilmesini destekler.
WSUS’u destekleyen istemciler sadece aşağıdaki istemci platformlarıdır:

Windows 2000 Professional (Service Pack 3 ya da daha üstü)

Windows 2000 Server (Service Pack 3 ya da daha üstü)

Windows 2000 Advanced Server (Service Pack 2 ya da daha üstü)

Windows XP Home Edition (Service Pack 1 ya da daha üstü)

Windows XP Professional (Service Pack 1 ya da daha üstü)

Windows Server 2003 (tüm platformlar)
WSUS İstemcilerini Yapılandırmak
WSUS istemcilerini yapılandırmak için iki metot vardır. Kullanacağınız metot network’ünüzde Active Directory kullanıp kullanmadığınıza bağlıdır.
Küçük ölçekte bir network’te (Active Directory ortamında olmayan) Automatic Updates’i Control
Panel aracılığıyla bölümün önceki kısımlarında tanımlanan Windows Automatic Updates ile aynı
şekilde yapılandırabilirsiniz. Ardından her bir istemcinin Registry’si otomatik güncelleştirmeleri
sağlayan sunucuyu gösterecek şekilde düzenlenir.
Active Directory kullanan büyük network’lerde otomatik güncelleştirmelerin Group Policy aracılıyla yapılandırıldığını görebilirsiniz. Group policy’ler Active Directory ile yapılandırmaları ve güvenlik
ayarlarını yönetmek için kullanılır. Group Policy aynı zamanda bir istemcinin Automatic Updates
için kullanacağı sunucuyu belirlemek için kullanılır. Eğer Automatic Updates Group Policy ile
yapılandırılırsa, kullanıcı Automatic Updates ayarlarını, Control Panel > System ve Automatic
Updates sekmesine tıklayarak değiştiremez.
Active Directory Olmayan Bir Network’te Bir İstemciyi Yapılandırmak
İstemciyi Automatic Updates kullanacak şekilde yapılandırmanın en kolay yolu, Control Panel >
System ve Automatic Updates sekmesine tıklamaktır. Bununla birlikte Automatic Updates’i Registry ile de yapılandırabilirsiniz. Registry, sunucunuzla ilgili tüm ayarların bulunduğu bir veritabanıdır ve Run diyalog kutusunda regedit yazarak çalıştırılabilir. Automatic Updates ayarları
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU anahtarı
ile tanımlanır.
Automatic Updates için yapılandırılabilen bazı Registry seçenekleri Tablo 3.16’da belirtilmiştir.
127
128
Bölüm 3
Tablo 3.16: Automatic Updates İçin Registry Anahtar ve Değerleri
Registry Anahtarı
Değerler İçin Seçenekler
NoAutoUpdate
0
1
2
3
4
5
Automatic Updates etkin (varsayılan).
Automatic Updates devre dışı.
İndirme ve yükleme için bilgilendir.
Otomatik olarak indir ve yükleme için bilgilendir.
Otomatik olarak indir ve yüklemeyi planla.
Automatic Updates gerekli fakat son kullanıcılar yapılandırabilir.
AUOptions
1
2
3
4
5
6
7
Pazar
Pazartesi
Salı
Çarşamba
Perşembe
Cuma
Cumartesi
UseWUServer
0 Microsoft Windows Update site’ı kullan.
1 WUServer kaydı içinde belirlenen sunucuyu kullan.
Windows Update sunucusu olarak kullanılacak olan sunucuyu belirlemek için 2 Registry anahtarını düzenlersiniz. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate:

WUServer anahtarı Windows Update sunucusunu, sunucunun HTTP ismini kullanarak ayarlar. Örneğin, http://intranetSUS

WUStatusServer anahtarı Windows Update intranet WSUS istatistik sunucusunu HTTP ismini kullanarak ayarlar. Örneğin, http://intranetSUS.
Active Directory Network’ünde Bir İstemciyi Yapılandırmak
Eğer WSUS istemcisi Active Directory kullanan bir network’ün parçası ise istemciyi Group Policy
ile yapılandırırsınız. Bir Windows Server 2003 domain controller üzerinde Group Policy’yi yapılandırmak için aşağıdaki adımları izleyebilirsiniz:
1. Start > Run seçin. Run diyalog kutusunda MMC yazın.
2. MMC konsolunda File > Add/Remove Snap-In seçin.
3. Add/Remove Snap-In diyalog kutusunda Add butonuna tıklayın.
4. Add Standalone Snap-In diyalog kutusunda Group Policy Object Editor’ü seçin ve Add butonuna tıklayın.
5. Group Policy Object Editor için Browse butonuna tıklayın ve Default Domain Policy’yi seçin
ve OK butonuna tıklayın.
6. Select Group Policy Object diyalog kutusunda Finish butonuna tıklayın. Add Standalone
Snap-In diyalog kutusunda Close butonuna tıklayın. Add/Remove Snap-In diyalog kutusunda
OK butonuna tıklayın.
7. Şekil 3.18’de görüldüğü gibi Default Domain Policy, Computer Configuration, Administrative
Templates, Windows Components, Windows Update şeklinde genişletin ve Windows Update
araçlarına erişin.
8. Configure Automatic Updates seçeneğine çift tıklayın. Configure Automatic Updates Properties diyalog kutusu görünür (Şekil 3.19). Automatic Updates seçeneği Group Policy aracılığıyla
aşağıdaki şekillerde yapılandırılabilir.

Automatic Updates yapılandırılmamış, etkin ya da devre dışı.
Security Policy’lerini Yönetmek

Otomatik güncellemenin ne şekilde yapılandırıldığı. Seçenekler Notify For Download And
Notify For Install, Auto Download And Notify For Install ve Auto Download And Schedule
The Install şeklindedir.

Yüklemenin yapılacağı gün ve saati planlamak.
Şekil 3.18: Windows Update için Group Policy ayarları.
9. Hangi sunucunun otomatik güncelleştirmeleri sağlayacağını yapılandırmak için Configure Automatic Updates Properties diyalog kutusunda Next Settings butonuna tıklayın. Şekil 3.20’de
görüldüğü gibi Specify intranet Microsoft Update Service Location Properties diyalog kutusu
görüntülenir. Goup Policy ile yapılandırılabilecek özellikler şu şekildedir:

Intranet Microsoft güncelleştirme hizmeti lokasyonu yapılandırılmamış, etkin ya da devre
dışı.

Intranet’e güncelleştirmeleri sağlayacak sunucunun HTTP adı.

Intranet’in WSUS istatistik sunucusu olarak çalışacak sunucunun HTTP adı.
Şekil 3.19: Configure Automatic Updates Properties
diyalog kutusu.
Şekil 3.20: Specify Intranet Microsoft Updates Service
Location Properties diyalog kutusu.
129
130
Bölüm 3
10. Otomatik güncelleştirmeleri yeniden zamanlamak için yapılandırmak amacıyla Specify Intranet Microsoft Update Service Location Properties diyalog kutusunda Next Settings butonuna
tıklayın. Şekil 3.21’de görüldüğü gibi Reschedule Automatic Updates Scheduled Installation
Properties diyalog kutusu görüntülenir. Sistem başlatıldıktan sonra Automatic Updates’in önceden atlanan planlanmış bir yüklemenin tekrar denenmesi için beklenilecek süreyi etkin hale
getirebilir ve bunu zamanlayabilirsiniz.
Ardından Enable client-side targeting properties diyalog kutusu gelir. Bu diyalog kutusunu
varsayılan değerleri ile onaylayın.
Şekil 3.21: Reschedule Automatic Updates Scheduled
Installations Properties diyalog kutusu.
Şekil 3.22: No Auto-Restart For Scheduled Automatic
Updates Installations diyalog kutusu.
11. Atomatic Updates kurulumları için auto-restart yapılandırması amacıyla, Reschedule Automatic Updates Scheduled Installation Properties diyalog kutusunda Next Settings butonuna
tıklayın. Bu Şekil 3.22’de görüldüğü gibi No Auto-Restart For Sceduled Automatic Updates
Installation diyalog kutusunu getirir. Bu seçenek eğer bilgisayar bir güncelleştirmenin ardından yeniden başlamaya ihtiyaç duyuyorsa kullanılır. Bilgisayarın bir sonraki yeniden başlatılmasına kadar bekWuau.adm adında bir güvenlik şablonu vardır. Bu şablon Group Policy ayarlarını otomalemeyecek şekilde ya da güncelleştirmenin bir parçası
tik olarak WSUS kullanacak şekilde uygular.
olarak otomatik olarak yeniden başlatılması şeklinde yapılandırılabilir.
12. Değişiklikleri yapıldıktan sonra OK butonuna tıklayın.
Microsoft Baseline Security Analyzer Aracını Kullanmak
Microsoft Baseline Security Analyzer (MBSA) Microsoft web sitesinden indirilebilen bir güvenlik
değerlendirme yardımcı aracıdır. Bu araç bilgisayarınızın son güvenlik güncelleştirmelerine sahip olup olmadığını ve bilgisayarınıza uygulanmış herhangi bir güvenlik ihlaline yol açabilecek
bir yapılandırma olup olmadığını doğrular. Aşağıdaki programlar ve işletim sistemleri MBSA ile
taranabilir:

Windows NT 4

Windows 2000

Windows XP

Windows Server 2003

IIS 4 ve 5

Internet Explorer, versiyonlar 5.01 ve daha üstü
Security Policy’lerini Yönetmek

SQL Server 7 ve SQL Server 2000

Microsoft Office 2000 ve Microsoft Office XP

Windows Media Player, versiyonlar 6.4 ve üstü.
MBSA’i kullanmak için bilgisayar aşağıdaki gereksinimleri sağlamalıdır:

Internet Explorer 5.01 ya da daha üstü.

Tam fonksiyonelliğe sahip olması için bir XML
parser yüklü olmalı.

Workstation ve Server servisleri etkinleştirilmiş olmalı.

Client for Microsoft Networks yüklü olmalı.
MBSA, önceleri bilgisayarda olası güvenlik risklerini
taratmak için kullanılan bir uygulama olan Microsoft
Personal Security Advisor’ın (MPSA) yerini almıştır.
MBSA Start > All Programs > Microsoft Baseline Security Analyzer ya da komut satırında Sürücü:\Program Files\Microsoft Baseline Security Analyzer klasörüne geçip mbsa
(Microsoft’un web sitesinden Mbsasetup.msi’ı indirip yükledikten sonra) veya Mbsacli.exe
komutunu vererek de çalıştırılabilir.
MBSA’ın GUI Versiyonunu Kullanmak
MBSA’ya, yükleme işleminin ardından Start > All Programs > Microsoft Baseline Security Analyzer ile ya da komut satırında Mbsa.exe çalıştırarak erişebilirsiniz. Bu Şekil 3.23’de görüldüğü gibi
Baseline Security Analyzer yardımcı aracını getirir. Buradan Scan A Computer, Scan More Than
One Computer ya da View Existing Security Reports’u seçebilirsiniz.
Scan A Computer’a tıkladığınızda Pick A Computer To Scan diyalog kutusu görüntülenir (Şekil
3.24). Burada taramak istediğiniz bir bilgisayarı, bilgisayar adı ile ya da IP adresi ile belirtebilirsiniz. Aynı zamanda oluşturulacak güvenlik raporunun adını belirleyebilirsiniz. Aşağıda güvenlik
taraması için seçenekleri görebilirsiniz.
Şekil 3.23: Baseline Security Analyzer.

Check For Windows Vulnerabilities

Check For Weak Passwords

Check For IIS Vulnerabilities

Check For SQL Vulnerabilities

Check For Security Updates (eğer bunu seçerseniz ve WSUS’u kullanıyorsanız, güvenlik
güncelleştirmeleri için kontrol edilen WSUS sunucunun adını belirleyebilirsiniz.)
131
132
Bölüm 3
Seçimlerinizi yaptıksan sonra, Start Scan’a tıklayın. Tarama tamamlandığında, güvenlik raporu
otomatik olarak görüntülenir. Şekil 3.25 View Security Report diyalog kutusunu göstermektedir.
Eğer birden fazla bilgisayarı taradıysanız, güvenlik raporlarını issue adına göre, ya da score(warstfirst/last-first) kriterlerine göre sıralayabilirsiniz.
Şekil 3.24: Pick A Computer To Scan diyalog kutusu.
Şekil 3.25: View Security Report diyalog kutusu.
Mbsacli.exe Kullanmak
Eğer MBSA’ı Mbsacli.exe komut satırı yardımcı aracı şeklinde kullanırsanız, tanımlayabileceğiniz birçok seçeneğiniz olacaktır. Mbsacli.exe /hf (Mbsacli.exe’nin bulunduğu Sürücü:\Program Files\Microsoft Baseline Security Analyzer klasöründe) yazdıktan
sonra Tablo 3.17’de tanımlanan seçeneklerle komutun çalışmasını özelleştirebilirsiniz.
Security Policy’lerini Yönetmek
Tablo 3.17: Mbsacli.exe /hf Komut Satırı Seçenekleri.
Seçenek
Açıklama
-h hostname
Belirlenen host’u tarar. Host isimleri arasına virgül koyarak birden fazla
host’u taratabilirsiniz.
-fh filename
Taranacak her bilgisayarın NetBIOS isimlerini tarar ve bilgiyi belirlediğiniz
dosya içine metin olarak kaydeder.
-i
xxxx.xxxx.xxxx.
xxxx
Belirlenen IP adresindeki bilgisayarı tarar. IP adresleri arasına virgul
koyarak birden fazla bilgisayarı taratabilirsiniz.
-fip filename
Verilen bir metin dosyası içindeki IP adreslerine sahip bilgisayarları tarar.
Maksimum 256 IP adresi verebilirsiniz.
-d domainname
Belirlenen domain’i tarar.
-n
Yerel network’deki tüm bilgisayarların taranacağını belirler.
Windows Server 2003 Servislerini Yönetmek
Bir servis, Windows Server 2003 işletim sisteminde, spesifik bir görevi yerine getiren bir program,
rutin ya da işlemdir. Servisleri Şekil 3.26’da görüntülenen Services penceresi aracılığıyla yönetirsiniz. Bu pencereye çok çeşitli yollarla erişebilirsiniz. Örneğin, Computer Management yardımcı
aracı ile (Start menu üzerinde sağ tıklayıp Manage komutu verdikten sonra Services And Applications ve Services klasörlerini genişleterek), Administrative Tools ile ya da bir MMC snap-in’i
kullanarak erişebilirsiniz.
Şekil 3.26: Services penceresi.
Herbir servis için, Services penceresi, isim, kısa açıklama, başlangıç tipi, servisin başlaması için
kullanılan logon hesabı bilgilerini listeler. Bir servisin özelliklerini yapılandırmak için o servis üzerinde çift tıklayarak Properties diyalog kutusunu açın. Bu diyalog kutusu aşağıdaki kısımlarda
açıklanan servis özellikleri ile ilgili dört sekme içerir.
Genel Servis Özelliklerini Yapılandırmak
Servis Properties diyalog kutusu General sekmesi (Şekil 3.27) aşağıdaki şeçenekleri görüntülemenizi ve yapılandırmanızı sağlar:

Servis adı (service display name)

Servisin açıklaması (Description)

Servisin çalıştırılabilir yolu (Path to executable)
133
134
Bölüm 3

Başlangıç tipi, otomatik, manuel ya da devre dışı (Startup type, automatic, manuel, disabled)

Servisin şu anki durumu (Service status)
Diyalog kutusunun Service Status kısmındaki butonları kullanarak bir servisi, başlatabilir, durdurabilir, duraklatabilir ya da yeniden başlatabilirsiniz.
Servis Log On Özelliklerini Yapılandırmak
Şekil 3.28’de görüntülenen servis Properties diyalog kutusu Log On sekmesi servisi başlatmak
için kullanılacak logon hesabını yapılandırmanızı sağlar. Burada local system account’unu ya da
diğer logon hesaplarını seçebilirsiniz.
Şekil 3.27: Servisin Properties diyalog kutusu General sekmesi.
Şekil 3.28: Servis Properties diyalog kutusu Log On
sekmesi.
Log On sekmesinin en altında, bu servis ile ilişkilendirmek için bir hardware profile’ı seçebilirsiniz.
Herbir hardware profile’ı için servisi etkin ya da devre dışı bırakabilirsiniz.
Servis Recovery Özellikleri
Şekil 3.29’da görüntülenen servis Properties diyalog kutusu Recovery sekmesi, servisin yüklenmesi esnasında işlemin başarısız olması durumunda ne yapılacağını yapılandırmak için kullanılır.
İlk, ikinci ya da sonrasındaki hatalar için şu eylemleri seçebilirsiniz:

Take No Action (Hiçbir şey yapma)

Restart The Service (Servisi yeniden başlat)

Run A File (Bir dosya çalıştır)

Reboot The Computer (Bilgisayarı yeniden başlat)
Run A File seçeneğini işaretledikten sonra dosyayı ve komut satırı parametrelerini belirleyebilirsiniz. Eğer Reboot The Computer seçeneğini işaretlerseniz, ardından o bilgisayara bağlı kullanıcılara bilgisayar yeniden başlatılmadan gönderilecek bir mesaj yapılandırabilirsiniz.
Servis Bağımlılığını Kontrol Etmek
Şekil 3.30’da görüntülenen servis Properties diyalog kutusu Dependencies sekmesi, o servisin
başlaması için çalışıyor olması gereken servisleri listeler. Bu bilgiyi bir servisin başlarken başarısız olması durumunda hangi bağımlılıkların olduğunu tespit etmek için ve ardından herbir bağlı
servisin çalıştığından emin olmak için kullanabilirsiniz.
Security Policy’lerini Yönetmek
Şekil 3.29: Servis Properties diyalog kutusu Recovery
sekmesi.
Şekil 3.30: Servis Properties diyalog kutusu Dependencies sekmesi.
Dependencies sekmesinin en altında, eğer varsa bu servise bağlı olan diğer servisleri görebilirsiniz. Durdurmak üzere olduğunuz bir servis için burada herhangi bir bağımlı servisin olup olmadığını kontrol etmelisiniz.
Gerçek Dünya Senaryosu
Windows Server 2003 Servislerini Kullanmak
Çalıştığınız şirket birçok uygulama kullanıyor. Bu uygulamaların çalışması için bir kullanıcının bir
servis olarak log on olmuş olması gerekiyor. Uygulamalardan bazıları spesifik kurulum adımlarına sahip olmakla birlikte diğer uygulamalar bu yapılandırmayı sistem yöneticisine bırakmıştır.
Uygulamaların bir kısmı ile ilgili bir problem servisin yönetimsel haklara sahip bir kullanıcı olarak
sisteme log on olması gerekliliğidir. Bu durum kolaylıkla potansiyel bir güvenlik ihlali olabilir,
fakat sizin sevis hesaplarınızı yönetebileceğiniz adımlar da vardır.
Servis hesaplarını kolaylıkla tanımlayabilmek için bir adlandırma kuralı kullanın. Örneğin, servisler için kullanılan tüm kullanıcı hesaplarının önüne # işareti yerleştirebilirsiniz. Örnek olarak
eğer servis hesabı kullanan bir virus tarayıcınız varsa log on için kullanılacak bir kullanıcı hesabı olarak #VirScan oluşturabilirsiniz. Kullanıcı hakları altında, bu kullanıcı hesabına Logon
As A Service hakkını atayabilirsiniz. Aynı zamanda servis için kullanılan bu kullanıcı hesabının
güçlü bir parolaya (karakter, numaralar ve noktalama işaretleri içeren) sahip olduğundan emin
olmalısınız. Eğer domain’iniz password restriction (parola kısıtlayıcı) kullanıyorsa, servisler için
kullanılan kullanıcı hesap parolalarını asla geçersiz olmayacağı şekilde (Password never expires) yapılandırmanız gerekir.
Özet
Bu bölümde Windows Server 2003 güvenlik özelliklerini öğrendiniz. Bu bölümde lokal ya da
domain seviyesinde uygulanabilecek güvenlik ayarlarına göz atılmıştır. Örneğin, local security
policy’lerinin yönetimi için group policy ile local computer Group Policy Objesi’nin kullanımı, domain security policy’lerini yönetmek için Group Policy ile domain policy GPO’sunun kullanımı.
Aynı zamanda Account policy’leri’nin logon işlemini nasıl kontrol ettiği üzerinde duruldu. Account policy’lerinin üç çeşidi password, account lockout ve Kerberos policy’leridir. Ardından lokal
policy’lerin kullanıcının bilgisayarda neler yapabileceğini nasıl kontrol ettiği üzerinde duruldu. Lokal policy’lerin üç çeşidi, audit, user right assignment ve security options policy’leridir. Bu bölümde göz attığımız başka bir konu güvenlik yapılandırmanızı analiz etmek için kullanılan Security
135
136
Bölüm 3
Configuration and Analysis yardımcı aracıydı. Bu yardımcı aracı var olan güvenlik ayarlarınız ile
arzuladığınız ayarlar ile yapılandırdığınız bir güvenlik şablonunu karşılaştırmak için çalıştırırsınız.
Güncelleştirme metotları örneğin Windows Update, Automatic Updates, Windows Server Update
Services ve Microsoft Baseline Secucirty Analyzer incelendi. Son olarak, servislerin başlangıç seçeneklerini yönetmek, servisleri durdurmak, logon ve servis recovery özelliklerini yapılandırmak
ve servis bağımlıklarını kontrol etmek için kullanılan Services yardımcı aracı incelendi.
Sınav Esasları
Group Policy Objeleri’ni kullanarak güvenlik ayarlarının nasıl yapılandırıldığını anlayın.
GPO’lar aracılığıyla yapılandırılabilecek seçenekleri bilin. GPO’ların Active Directory aracılığıyla
nasıl uygulandığını anlayın. GPO’ların uygulanma sırasını anlayın. Varsayılan GPO çalışma yaklaşımının nasıl değiştirilebileceğini bilin.
Account policy’lerinin nasıl tanımlanıp yapılandırılabileceğini bilin. Password policy’ler, accout policy’ler, account lockout policy’ler ve Kerberos policy’ler için seçeneklerin nasıl yapılandırıldığını anlayın.
Local policy’lerin nasıl tanımlanıp yapılandırıldığını bilin. Audit Policy’leri, User Rights Assignment ve Security Options klasörlerindeki seçeneklerin nasıl yapılandırıldıklarını anlayın.
System policy’lerin nasıl tanımlanıp yapılandırıldığını bilin. User Profile’larının, Logon, Disk
Quota, Group Policy ve Windows File Protection seçeneklerinin nasıl yapılandırıldığını anlayın.
Security Configuration and Analysis Aracını kullanabiliyor olun. Security Configuration and
Analysis yardımcı aracının Windows Server 2003 bilgisayarlarınızın güvenliğini güvenlik şablonları ile analz etmek için nasıl kullanıldığını bilin.
Windows’un güncel kalması için kullanılan farklı yolları anlayın. Windows güncelleştirmeleri gerçekleştirmek için dört araç içerir. Windows Update, Automatic Updates, Windows Server
Update Services ve Microsoft Baseline Security Analyzer. Windows Update Microsoft web sitesi
ile bağlantılı olarak çalışan ve kullanıcı tarafından başlatılan bir işlemdir. Bu işlem Windows kullanıcılarına işletim sistemlerinin güncelleştirme dosyalarını (kritik ve kritik olmayan yazılım güncelleştirmeleri) indirerek işletim sistemlerini güncelleştirmelerini sağlar. Automatic Updates Windows
Uptade’in, kritik dosyaların güncelleştirilmesinin otomatik hale getirilmiş şeklidir. SUS’un yerine
gelen Windows Server Update Services (WSUS) Windows Update’in kısıtlı bir versiyonun şirket
içindeki istemcilere Windows update’lerini sağlamak üzere şirket sunucusuna indirilmesi amacıyla kullanılır. Microsoft Baseline Security Analyzer (MBSA) Microsoft web sitesinden indirilebilen
ve en son güvenlik güncelleştirmelerine sahip olduğunuzdan emin olmanızı sağlayan bir yardımcı
araçtır.
Servislerin nasıl yönetildiğini bilin. Servisleri Services penceresi ile yönetirsiniz. Services penceresi servisleri herbir servis için isim, kısa bir açıklama, başlangıç tipi ve o servisin başlatılması
için kullanılan logon hesabı bilgilerini gösterecek şekilde listeler. Bir servisin özelliklerini yapılandırmak için o servisin üzerinde çift tıklayarak Properties diyalog kutusunu açın.
Security Policy’lerini Yönetmek
Gözden Geçirme Soruları
1. Windows Server 2003 domain controller bilgisayarınızda GPO’larda yakın zamanda değişiklikler yaptınız. Yeni kulanıcılar log on olduğunda yaptığınız değişikliklerin uygulanmadığını
fark ettiniz. Aşağıdaki resmi kullanarak, yeni değişikliklerin network’e log on olan tüm bilgisayarlara 10 dakika içinde uygulanmasını sağlamak amacıyla hangi seçeneği ayarlayabilirsiniz?
A. Group policy’yi Apply Goup Policy For Computers Asynchronously During Startup seçeneğini etkin hale getmek ve yapılandırmak.
B. Group policy’yi Apply Goup Policy For Users Asynchronously During Startup seçeneğini
etkin hale getirmek ve yapılandırmak.
C. Group policy’yi Goup Policy Refresh Interval For Computers seçeneğini 10 dakika olacak
şekilde etkin hale getirmek ve yapılandırmak.
D. Group policy’yi Goup Policy Refresh Interval For Domain Controllers seçeneğini 10 dakika olacak şekilde etkin hale getirmek ve yapılandırmak.
2. TESTCORP.COM domain’inin sistem yöneticisisiniz. Default Domain Policy objesi için Local Security Options’ı yapılandırdınız. DENVER.TESTCORP.COM domain’inin ve BELFAST.
TESTCORP.COM domain’inin yönetimsel kontrolünü ayrı ayrı yerel sistem yöneticilerine delege ettiniz. Sizin belirlediğiniz group policy ayarları ile yerel sistem yöneticilerinin tanımladıkları ayarların çakışmayacağından emin olmak istiyorsunuz. Neyi yapılandırmanız gerekir?
A. TESTCORP.COM domain GPO üzerinde No Override seçeneğini yapılandırmak
B. TESTCORP.COM domain GPO üzerinde Block Inheritance seçeneğini yapılandırmak
C. TESTCORP.COM domain GPO üzerinde Always Apply Root Level GPO seçeneğini yapılandırmak
D. Hiçbirşey. Sizin seçenekleriniz varsayılan olarak tüm yerel seçenekleri yok sayacaktır.
3. Sizin domain’inize birisinin Administrator hesabını kullanarak log on olmayı çalıştığından şüpheleniyorsunuz. Domain içinde kullanıcıların başarılı ve başarısız log on olma durumlarını
izlemek istiyorsunuz. Aşağıdaki şekle göre, hangi denetleme olayını etkin hale getirmeniz
gerekir?
137
138
Bölüm 3
A. Audit Account Logon Events
B. Audit Account Management
C. Audit Logon Events
D. Audit Process Tracking
4. Active Directory kullanan bir Windows Server 2003 network’ünün sistem yöneticisisiniz.
Network’ünüzde Windows Server 2003 domain controller’lar, Windows Server 2003 üye sunucular ve XP Professional bilgisayarlar var. Network’ünüzün güvenliğinin network ataklarına
karşı dayanıksız olduğundan kaygılanıyorsunuz. Security Configuration and Analysis snapin’ini kullanarak network’ün güvenliğini sıkılaştırmak istiyorsunuz. Aşağıdaki seçeneklerden
hangisi bu araç kullanılarak uygulanabilir? (Uygun olan tüm şıkları seçin.)
A. Güvenlik seçeneklerinin değişimini izlemek.
B. Group policy’leri oluşturmak ve uygulamak
C. Güvenlik seçenekleri için bir veritabanı ayarlamak.
D. Var olan bir güvenlik şablonunu import etmek.
5. Bir Fortune 500 şirketinin network sistem yöneticisisiniz. Merkez kampüsteki tüm istemci bilgisayarlarından sorumlusunuz. Tüm istemci bilgisayarlarının güvenli olduğundan emin olmak
istiyorsunuz. MBSA’ı kullanarak muhtemel güvenlik ihlallerine karşı istemcilerinizi taramaya
karar verdiniz. MBSA’ ın komut satırı versiyonu ile bilgisayarınızı IP adreslerine göre taramak
istiyorsunuz. Aşağıdaki komutlardan hangisini kullanmanız gerekir?
A. Mdsacli.exe /hf –i xxxx.xxxx.xxxx.xxxx
B. Mdsacli.exe /ip xxxx.xxxx.xxxx.xxxx
C. Mbsa.exe /hf –ip xxxx.xxxx.xxxx.xxxx
D. Mbsa.exe /ip xxxx.xxxx.xxxx.xxxx
6. Bir Windows Server 2003 üye sunucusu için goup policy’yi hızlı bir şekilde düzenlemeniz
gerekiyor. Aşağıdaki komut satırı yardımcı araçlarından hangisini Local Computer Policy yardımcı aracına erişmek için kullanabilirsiniz?
A. EditGPO.exe
B. GPOEdit.exe
Security Policy’lerini Yönetmek
C. EditGPO.msc
D. Gpedit.msc
7. Services yardımcı aracının en yaygın kullanımlarından birisi yazdırma kuyruğunun durdurulması için Print Spooler servisinin devre dışı bırakılmasıdır. Print Spooler servisini durdurmak
ve ardından yeniden başlatmak için hangi adımları atabilirsiniz? Uygun olan tüm şıkları seçin.
A. Start > All Programs > Accessories > Services seçin.
B. Start > Administrative Tools > Services
C. Print Spooler servisi üzerinde çift tıklayın.
D. Print Spooler servisi üzerinde sağ tıklayın ve pop-up menüden Edit komutunu seçin.
E. Pause butonuna tıklayın ve ardından Start butonuna tıklayın.
F. Stop butonuna tıklayın ve ardından Start butonuna tıklayın.
G. Startup Type listesinden Manual’i seçin.
8. Network’ünüz oldukça yüksek güvenlik seviyesine ihtiyaç duyuyor. Windows Server 2003
domain controller’larınızı, Windows 2000 istemcilerinizin sadece kendi aralarında iletişim kurabilecekleri şekilde yapılandırmak istiyorsunuz. Gereksinimlerinize göre sunucularınıza uygulamanız gereken güvenlik şablonu aşağıdakilerden hangisidir?
A. Securedc.inf
B. Hisecdc.inf
C. Dedicadc.inf
D. W2kdc.inf
9. Network’ünüzün güvenliği ile ilgili bir takım kaygılarınız var. Windows Server 2003 ile birlikte kullanılan güvenlik protokolleri ile olabildiğince bilgi sahibi olmak istiyorsunuz. Aşağıdaki
güvenlik protokollerinden hangisi Windows Server 2003 ile kullanıcı ve network servislerinin
kimliklerini doğrulamak amacıyla kullanılır?
A. Kerberos version 5
B. C2\E2 Security
C. KDS Security
D. MS-CHAP
10. TESTCORP.COM domain’inin sistem yöneticisisiniz. Kullanıcıların her 45 günde kendi parolalarını değiştirmeye zorlayan bir GPO yapılandırdınız. Kullanıcıların eski parolalarını tekrar
hemen kullanmayacaklarından emin olmak istiyorsunuz. Hangi Password policy’si kullanıcıların eski parolaları belirli bir sayıya ulaşmadan bunları tekrar kullanmalarını engeller?
A. Enforce Password History
B. Use Unique Passwords
C. Require C2/E2 Encryption Standards
D. All Passwords Must Use High Level Standards
11. Sistem yöneticilerinizden birinin klasör izlemenin etkinleştirildiği Payroll klasörünün içeriğini
görebilecek şekilde yeni kullanıcılar oluşturduğundan şüpheleniyorsunuz. Bir kullanıcı ya da
grup oluşturma, silme ya da yönetimsel bir eylem gerçekleştirilme durumlarını izleyebilmek
için hangi audit policy’yi etkinleştirmeniz gerekir?
A. Audit Object Access
B. Audit Logon Events
139
140
Bölüm 3
C. Audit Account Management
D. Audit Process Tracking
12. Bir Fortune 500 şirketinin network sistem yöneticisisiniz. Merkez kampüsteki tüm istemci bilgisayarlardan sorumlusunuz. Tüm istemci bilgisayarlarında kendi işletim sistemleri için en son
güncel yazılımların (Critical Updates and Service Packs, Windows Server 2003 Family ve
Driver Updates kategorilerindeki yazılımları içerecek şekilde) yüklü olduğundan emin olmak
istiyorsunuz. Bu işlemi mümkün olduğunca otomatik hale getirmek ve istemci bilgisayarların
güncelleştirmeleri, sizin yönettiğiniz bir merkezi sunucudan indirmelerini istiyorsunuz. Windows Server Update Services kullanmaya karar verdiniz. WSUSServer adında bir sunucuya,
WSUS sunucu yazılımını yüklediniz. WSUS sunucuyu group policy’leri domain içinde ayarlamadan önce denemek istiyorsunuz. Bir test istemci üzerinde Windows XP Professional’ı
en yeni service pack ile birlikte yüklediniz. İstemcinin Windows Update için WSUSServer’ı
kullanması için, o istemcide aşağıdaki Registry kayıtlarından hangisini oluşturmanız gerekir?
(Uygun olan tüm seçenekleri işaretleyin)
A. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
UseWUServer anahtarı ve 0 değeri
B. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
UseWUServer anahtarı ve 1 değeri
C. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
WUServer anahtarı ve http://WSUSServer değeri
D. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
WUServer anahtari ve WSUSServer değeri
E. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtarı ve http://WSUSServer değeri
F. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtarı ve WSUSServer değeri
13. Windows Server 2003 bilgisayarınız aynı zamanda anonim erişime açık bir IIS sunucu olarak
da hizmet veriyor. Güvenlik risklerini mümkün olduğunca en alt düzeye çekmek istiyorsunuz.
Aşağıdaki güvenlik seçeneklerinden hangisi anonim bağlantılar için ek kısıtlar belirleyebilmenizi etkin hale getirecektir?
A. Additional Restriction For Anonymous Users
B. Impose Addtional Security For Anonymous Users
C. Tight Security For Anonymous
D. Audit Access Of Anonymous Users
14. Windows Server 2003 bilgisayarınız için son zamanlarda bir takım güvenlik ayarları uyguladınız. Güvenlik ayarlarını doğrulamaya çalıştığınızda bu ayarların uygulanmamış olduğu görülüyor. Yeni security policy’lerinin güncelleştirilmesini zorlamak için hangi komut satırı yardımcı
aracını kullanabilirsiniz?
A. secupdate
B. gpupdate
C. secrefresh
D. secpol
Security Policy’lerini Yönetmek
15. Windows Server 2003 domain controller’ınızda group policy’leri yapılandırdınız. Windows
2000 istemcileriniz group policy’leri kullanıyor fakat Windows NT 4 istemcilerinizde group
policy’ler uygulanmıyor. Windows Server 2003 üzerinde, Windows NT 4 istemcileri için group
policy oluşturmak ve yönetmek amacıyla aşağıdaki komut satırı yardımcı araçlarından hangisi kullanılır?
A. poleditor
B. syspoled
C. poledit
D. editpol
16. APPSERVER adında bir Windows Server 2003 bilgisayarının sistem yöneticisisiniz. APPSERVER üzerinde yüklü bir uygulama var. Bu uygulama APP1 adında bir servis olarak çalışıyor. APP1 çalışması her an aksayabilecek bir yapıya sahip. Şu gereksinimleri sağlayacak
şekilde APP1 için kurtarma seçeneklerini yapılandırmanız gerekiyor: APP1’in en azından bir
gün çalıştığında servisin başarısız olma durumunda hemen yeniden başlatılmalıdır. Diğer gün
için böyle bir hatadan sonra APP1 başarılı bir şekilde çalışmazsa APPSERVER hemen yeniden başlatılmalıdır. Bu gereksinimleri yapılandırmak için aşağıdakilerden hangilerini yerine
getirmeniz gerekir? (Üç seçeneği işaretleyin)
A. APPSERVER için Reset Fail Count After değerini 1 güne ayarlayın.
B. APP1 için Restart Service After değerini 1440 dakaya ayarlayın.
C. İlk başarısız olma durumunda APP1’i yeniden başayacak şekilde yapılandırın.
D. İlk başarısız olma durumunda APPSERVER yeniden başlayacak şekilde yapılandırın.
E. İkinci başarısız olma durumunda APP1’i yeniden başayacak şekilde yapılandırın.
F. İkinci başarısız olma durumunda APPSERVER yeniden başlayacak şekilde yapılandırın.
17. Şirketinizin network sistem yöneticisisiniz. Network tek bir Active Directory domain’ini içeriyor.
Tüm sunucular Windows Server 2003 çalıştırıyor. Windows Server Update Services (WSUS)
SERVERA ve SERVERB adlarında iki sunucuya yüklü. SERVERA Microsoft Windows Update sunucularından güncelleştirmeleri alıyor. SERVERA’yı manüel olarak Windows Update
sunucuları ile senkronize ettiniz ve SERVERB üzerinde WSUS yapılandırmasını tamamlamanız gerekiyor. Aşağıdakilerden hangisi SERVERB üzerinde WSUS yapılandırması için
tamamlamanız gereken bir adım değildir?
A. Var olan güncelleştirmeleri onaylayın.
B. SERVERB’yi güncelleştirmeleri SERVERA’dan alacak sekilde ve SERVERA’daki onaylanan güncelleştirmeler ile otomatik olarak senkronize olacak şekilde ayarlayın.
C. SERVERB’yi güncelleştirmeleri otomatik olarak SERVERA’nın güncelleştirmeleri aldığı
kaynaklar için ayarlayın.
D. SERVERB’yi günlük güncelleştirmeleri verilen bir zamanda otomatik olarak alacak şekilde ayarlayın.
18. Şirketinizin network sistem yöneticisisiniz. Network tek bir Active Directory domain’ini içeriyor. Tüm sunucular Windows Server 2003 çalıştırıyor. Tüm istemci bilgisayarlar Windows XP
Professional çalıştırıyor. Şirket birçok projeyi eş zamanlı olarak yürütüyor. Çalışanlarınızdan
birinin Active Directory’deki kullanıcı hesap bilgilerini değiştirebilmesini fakat o kişiye sadece
bu işi yapabilmesi için gerekli yetkilerin verildiğinden emin olmak istiyorsunuz. Domain için
Delegation Of Control Wizard’ı çalıştırıyorsunuz. Sonraki adımda aşağıdakilerden hangisini
yapmanız gerekir?
A. Delegate The Following Common Tasks radyo butonunu seçin ve Create, Delete, And
Manage User Accounts onay kutusunu işaretleyin.
B. Create A Custom Task To Delegate radyo butonunu seçin ve Next butonuna tıklayın.
141
142
Bölüm 3
C. Delegate The Following Common Tasks radyo butonunu seçin ve Read All User Information onay kutusunu işaretleyin.
D. Delegate The Following Common Tasks radyo butonunu seçin ve Modify The Membership Of A Group onay kutusunu işaretleyin.
19. Şirketinizin network sistem yöneticisisiniz. Network tek bir Active Directory domain’i içeriyor.
Tüm sunucular Windows Server 2003 çalıştırıyor. Tüm istemci bilgisayarlar Windows XP
Professional çalıştırıyor. Şirket 16 mobil satış görevlisine sahip. Bu satış görevlileri kendi
bilgisayarlarında Power Users yerel grubuna üye. Saat 18:00’dan 7:00’a kadar satış görevlilerinin taşınabilir bilgisayarları genelde kapalı ve şirketin network’üne bağlı değil. Mobil satış
görevlilerinin bilgisayarları her gün yazılım güncelleştirmelerini, minimum kullanıcı etkileşimi
ile alması gerekiyor. Taşınabilir bilgisayarlar üzerinde son güncelleştirmeleri kontrol ederken Windows Update sunucularından güncelleştirmelerin uygulanmadığını fark ediyorsunuz.
Bilgisayara güncelleştirmelerin yüklendiğinden emin olmak için mobil bilgisayarların System
Properties diyalog kutusu Automatic Updates sekmesinde ne yapmanız gerekir? (üç seçeneği işaretleyin)
A. Güncelleştirmeler için planlanan zamanı her gün için saat 00:00’a ayarlayın.
B. “Automatically download the updates, and install them on the schedule that I specify:”
radyo butonunu seçin.
C. “Notify me before downloading any updates and notify me again before installing them on
my computer” radyo butonunu seçin.
D. Keep My Computer Up To Date onay kutusunu işaretleyin.
E. “Download the updates automatically and notify me when they are ready to be installed”
radyo butonunu seçin.
F. Güncelleştirmeler için planlanan zamanı her gün için saat 12:00’a ayarlayın.
20. Şirketinizin network sistem yöneticisisiniz. Network tek bir Active Directory domain’i içeriyor.
Tüm sunucular Windows Server 2003 çalıştırıyor. Tüm istemcileriniz Windows 2000 Professional Service Pack 4 ya da Windows XP Professional çalıştırıyor. SUSSERVER adında bir
bilgisayara Windows Server Update Services (WSUS) yüklediniz. Bir Group Policy Objesi
(GPO) oluşturarak tüm istemci bilgisayarlarını yazılım güncelleştirmelerini SUSSERVER’dan
alacak şekilde yapılandırıyorsunuz. Ardından, tüm istemci bilgisayarlarında güncelleştirmelerin uygulanıp uygulanmadığını görmek için Microsoft Baseline Security Analyzer (MBSA)
çalıştırıyorsunuz. Tüm Windows 2000 Professional bilgisayarların güncelleştirmeleri aldığını fakat Windows XP Professional istemcilerinin hiç bir güncelleştirmeyi almadığını fark
ediyorsunuz. GPO ayarlarının tüm Windows XP Professional bilgisayarlarına uygulandığını doğruluyorsunuz. Windows XP Professional istemci bilgisayarlarının güncelleştirmelerini
SUSSERVER’dan aldıklarından nasıl emin olabilirsiniz?
A. Windows XP Professional istemci bilgisayarları kullanıcılarını yerel Administrators grubuna üye yapın.
B. Tüm Windows XP Professional istemci bilgisayarlarında Service Pack 1 yükleyin.
C. Tüm Windows XP Professional istemci bilgisayarlarında Automatic Updates’i yeniden
başlatın.
D. Windows XP Professional istemci bilgisayarlarında HKEY_LOCAL_MACHINE\SOFTWARE\
Policies\Microsoft\Windows\WindowsUpdate\AU altındaki NoAutoUpdate değerini silin.
Security Policy’lerini Yönetmek
Gözden Geçirme Sorularının Cevapları
1. C. Group Policy Refresh Intervals For Computers bilgisayarların Group Policy’lerinin güncelleştirilmesi için kullanılacak olan bir zaman aralığı belirler. Varsayılan olarak bu arka plan
hizmeti her 90 dakikada bir gerçekleşir.
2. A. No Override seçeneği yüksek düzeylerdeki child konteyner ayarlarının daha yüksek seviyedeki GPO’larını ezememesi için kullanılır. Bu durumda öncelik sırası site ayarları domain
ayarlarını ezecek şekilde ve domain ayarları da OU ayarlarını ezecek şekilde olur. No Override seçeneği şirket bazında diğer alt düzeydeki konteynerlerin sistem yöneticilerinin sizin
ayarlarınızı ezmelerine izin vermeyecek şekilde policy’ler uygulamak istediğinizde kullanılır.
Bu seçenek gerektiğinde her bir konteyner bazında ayarlanabilir.
3. A. Audit Account Logon Events policy, bir kullanıcın log on ya da log off olması ya da bir
network bağlantısı yapması gibi olayları izlemek için kullanılır. Audit Logon Events policy ise
bir logon script’in çalışması ya da bir roaming profile’a ulaşılması gibi olayları izlemek için
kullanılır.
4. C, D. Security Configuration and Analysis snap-in’i ile güvenlik ayarlarınızdaki herhangi bir
zayıflık durumunu belirlemek için var olan bir şablonu sizin yapılandırmanıza karşı analiz
edebilirsiniz.
5. MBSA’ın komut satırı yardımcı aracı Mdsacli.exe’nin bir çok seçeneği vardır. Mdsacli.
exe /hf yazın ve ardından örneğin /i xxxx.xxxx.xxxx.xxxx gibi (taranacak bilgisayarı
IP adresi ile tanımlayabileceğiniz) bir seçenek ile komutun çalışmasını özelleştirin.
6. D. Group policy’leri Group Policy MMC snap-in’i ile ya da Gpedit.msc komut satırı yardımcı
aracı ile düzenleyebilirsiniz. Bu yardımcı aracı kullanmak için Start > Run seçin ve Gpedit.
msc yazın ve OK butonuna tıklayın.
7. B, C, F. İlk önce Start > Administrative Tools > Services seçin. Ardından Print Spooler servisi
üzerinde çift tıklayın. Son olarak Stop butonuna ve ardından Start butonuna tıklayın.
8. B. Hisecdc.inf güvenlik şablonu Windows Server 2003 bilgisayarlar için yüksek derecede
network iletişim güvenliği tanımlar. Eğer bu güvenlik şablonunu uygularsanız, Windows Server 2003 bilgisayarları sadece diğer Windows Server 2003 bilgisayarları ile iletişim kurabilir.
Bu durumda, bu bilgisayarlar Windows 95/98 ve hatta Windows NT bilgisayarları gibi önceki
istemcilerle iletişim kuramayacaklardır.
9. A. Windows Server 2003 kullanıcıları ve servisleri karşılıklı olarak kimliklerini doğrulamak için
Kerberos version 5 protokolünü kullanır.
10. A. Enforce Password History seçeneği belirlendiğinde kullanıcılar aynı parolalarını tekrar kullamazlar. Parolalarının süresi geçtiğinde ya da değiştirildiğinde kullanıcılar yeni bir parola
oluşturmak zorundadırlar.
11. Audit Account Management policy kullanıcı ve grup oluşturma, silme ve yönetim eylemlerini
izlemek için kullanılır.
12. B, E. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsUpdate\AU\UseWUServer Registry anahtarı Windows Update sunucusu kullanımı için 0’a ayarlanabilir. Ya da bu
anahtar 1 olarak ayarlanarak HKEY_LOCAL_MACHINES\Software\Policies\Microsoft\Windows\WindowsUpdate içinde anahtar ile Windows Update için spesifik bir sunucu tanımlanabilir. WUServer anahtarı sunucunun HTTP ismini kullanarak Windows Update sunucuyu
tanımlar, örneğin, http://intranetSUS.
13. A. Additional Restrictions For Anonymous Users güvenlik seçeneği sizin açıkça belirlenmemiş
anonim yetkiler dışında bir erişim izni vermemek gibi ek güvenlik kısıtları koymanızı sağlar.
14. B. Eğer security policy’nizi düzenlediğinizde ve değişikliklerin etkin hale gelmediğini fark ederseniz bu group policy’lerin sadece peryodik olarak uygulanmasından kaynaklanabilir. Bilgisa-
143
144
Bölüm 3
yar ayarları için secedit /refreshpolicy machine_policy ya da kullanıcı ayarları için
secedit /refreshpolicy user_policy komutu ile policy’lerinizin güncelleştirilmesini
zorlayabilirsiniz.
15. C. Windows Server 2003’de poledit komut satırı yardımcı aracı ile System Policy Editor’e
ulaşabilirsiniz. Bu yardımcı araç Windows NT 4 istemcileri için system policy’leri oluşturmanız
ve yönetmeniz için kullanılır.
16. A, C, F. Başarısız olma sayacı sürekli çalışır. Sayaç 0 (sıfır) olduğunda, C seçeneği ilk failure
olma durumunda sadece APP1’in yeniden başladığını belirler. Herbir başarısız olma durumunda failure zamanlayıcısı 0 olacaktır. A seçeneği ile sadece başarılı bir günden sonra failure olma sayacı otomatik olarak 0 olacaktır. Eğer timer 1 güne ulaşmadan önce ikinci başarısız
olma durumu oluşursa APPSERVER yeniden başlayacaktır. Bununla birlikte, timer önceki 24
saatlik periyotta herhangi bir failure durumu olmadığında timer 1 güne ulaştığında failure sayacı resetlenir ve APP1’in sonraki failure olma durumunda yeniden başlamasına neden olur.
17. C. Yapılandırma için C seçeneği dışındaki diğer tüm seçenekler geçerli adımlardır.
18. B. Delege etmek için özel bir görev oluşturmak bu konuda tek çözümdür. Diğer seçenekler
gereğinden fazla yetkinin verilmesine ya da gerekli yetkilerin verilmemesine neden olacaktır.
Next butonuna tıkladığınızda gereksinimleri yerine getirmek için delege edeceğiniz kontrolü
tam olarak saptayabilirsiniz.
19. B, D, F. A seçeneğinde güncelleştirmeler bilgisayarların genel olarak şirket network’üne bağlı
olmadıkları zamana planlanmıştır. Seçenek C ve E bahsedilen miminum kullanıcı etkileşimi
ihtiyacını karşılamamaktadır. Güncelleştirmelerin kullanıcı etkileşimi gerektirmeden öğle vaktinde gerçekleşecek şekilde ayarlanmasıyla bahsi geçen ihtiyaçlar sağlanacaktır.
20. Güncelleştirmeler için bir zamanlama belirlemek amacıyla güncelleştirmeleri çeken sunucunun minimum Windows Server 2003 olması gerektiği gibi istemciler için desteklenen minimum
platformlar Windows Server 2003, Windows XP SP1 ve Windows 2000 SP3’dür.
4
IP Seviyesinde
Güvenlik
Yönetimi
4 IP Seviyesinde Güvenlik
Yönetimi
• IPSec’in Çalışmasını Anlamak
• IPSec Kurulumu
• IPSec Yapılandırma
• IPSec’i Tunnel Mode İçin Yapılandırmak
• IPSec Yönetimi ve İzleme
• IPSec Sorun Giderme Teknikleri
• Özet
• Sınav Esasları
• Pratik Laboratuvar Çalışması: IPSec
Bağlantılarında Sorun Gidermek İçin Event
Viewer’ı Kullanmak
• Gözden Geçirme Soruları
• Gözden Geçirme Sorularının Cevaplar
IP Seviyesinde Güvenlik Yönetimi
Network trafiğini kontrol edebilmek, sistem yönetiminin ana parçalarından birisidir. Birçok organizasyon network trafiklerinin gizlice dinlenmesi ve yetkisiz kişiler tarafından değişiklik yapılması
durumlarından korunmak ister. Fakat bunu yapmak oldukça güçtür çünkü bu işlem bir takım engelleme ve kısıtlamaları beraberinde getirir. Birlikte çalışabilirlik bu engellerin en önemlilerinden
birisidir; fakat network trafiğini istenilen şekilde korurken ilk bakışta göze çarpmayan bir takım
ince taraflar vardır.
Internet Engineering Task Force (IETF) bu problemi bir süre önce gündemine almış ve sonuç
olarak Internet Protocol Security (Ipsec) Extensions ortaya çıkmıştır. IPSec, temel Internet Protocol (IP)’e yapılan bir takım eklentiler kümesidir. IPSec Extensions IP’nin yerine geçmez, sadece
güvensiz Internet Protocol (IP)’ü üzerinden güvenli bir iletişim sağlar.
Bu bölümde, IPSec’in nasıl kurulduğu ve yapılandırıldığı ve varsayılan security policy’lerinin nasıl
kullanıldığını öğreneceksiniz. Aynı zamanda network’ünüzdeki bilgisayarlar için koruma düzeyini
özelleştirmek amacıyla kendi security policy ve filter’larınızı nasıl tanımlayacağınızı öğreneceksiniz.
IPSec’in Çalışmasını Anlamak
IP’nin orjinal spesifikasyonu herhangi bir tip güvenlik getirmiyordu. Bu yanlışlıkla yapılan birşey
değildi, bunun birbirinden tamamen farklı iki nedeni vardı: Birincisi kullanıcı ve sistem yöneticilerinin diğer kişilerin trafiği üzerine atak yapmayacakları ve dürüst davranmaya devam edecekleri
umulmuştu. Diğeri ise, karşılıklı olarak üzerinde uzlaşılan güvenliği sağlayacak kriptografik teknolojilere ihtiyaç duyulmaktaydı ya da bu teknolojiler geniş ölçüde bilinmiyordu.
İnternet genişledikçe güçlü kimlik doğrulama ve privacy koruma yöntemleri ihtiyacı net olarak
ortaya çıkmaya başladı. Fakat bunlar IP spesifikasyonu 4. versiyonunda (şu anda standart olarak
benimsenen) mevcut değildi. IP uyumlu aygıtlar geliştikçe tüm bu aygıtlar arasındaki operasyonlara mani olmayacak bir güvenlik protokolü tasarımı yapıldı. Sonunda, üreticiler
Aralarında Microsoft, Cisco, Nortel ve RSA Security’nin de bulunduğu üreticiler IPSec ürünlerine sahipler. IPSec aralarında RFC 2401,
1990’ların sonlarında IP versiyon 4’e IP
2402, 2406, 2408 ve 2409 gibi bir takım RFC’ler ile tanımlanmıştır.
Security Extensions (daha çok IPSec
olarak bilinir) destekleyen ürünlerini duyurmaya başladılar.
IPSec Network katmanında çalışır ve uygulamaları şeffaf bir şekilde korur. IPSec terminolojisinde
istemci ve sunucu kavramı bu zamana kadar öğrendiğimiz sunucu ve istemci kavramından biraz
farklıdır. Herhangi bir Windows 2000 Server, Windows XP ya da Windows Server 2003 makinesi
bir IPSec istemcisi ya da sunucusu olabilir. Bir IPSec istemcisi, diğer bir bilgisayara bağlantı girişiminde bulunan bir bilgisayardır. IPSec sunucu ise bu bağlantıdaki hedef bilgisayardır. Uygun
istemci ve sunucu ayarlarını seçerek birbirleriyle konuşurken IPSec kullanan bilgisayarları daha
düzgün bir şekilde çalıştırabilirsiniz.
IPSec iki servis sunar: Bilgisayarlar için birbirlerine güvenip güvenmediklerine karar vermeleri
için (authentication - kimlik doğrulama) ve network verilerinin gizli tutulması için (encryption - şifreleme) birer yol sağlar. IPSec süreci bir şifreli bağlantıya başlamadan önce her iki bilgisayarın
birbirlerinin kimliklerini doğrulamasını gerektirir. Bu noktada, iki makine birbirleri arasındaki trafiği
şifrelemek için kullanacakları bir gizli anahtar üzerinde mutabık kalmak adına Internet Key Exchange (IKE) protokolünü kullanır. Bu süreç, bu bölümün sonraki kısımlarında göreceğiniz IPSec
security associations (SAs) bağlamında yer alır.
Bunun yanında Windows Server 2003 IPSec uygulamaları policy tabanlı güvenlik fikrini açık bir
şekilde destekler. Bir domain içindeki her bir makine için güvenlik ayarlarını değiştirmek yerine,
148
Bölüm 4
policy’leri her makine için, bir domain ya da organizational unit içindeki bir grup makine için ya da
network’ünüzdeki tüm Windows 2000, XP veya Server 2003 makineleri için ayarlayabilirsiniz.
İki makine arasındaki bağlantıda şifreleme ya da kimlik doğrulama kullanırken - end-to-end mode
(ya da transport mode) network trafiği orjinal mesaj bırakılmadan güvenli hale getirilir - veri alıcı
makine tarafından alınıp şifresi çözülene kadar güvenli kalır. İkinci bir uygulama daha vardır:
Başkalarının da kullandığı bir hat üzerinden akan trafiği güvenli hale getirmek. IPSec’in bu kullanımına tunnel mode adı verilir, çünkü bu genelde Layer 2 Tunneling Protocol (L2TP) tarafından
kurulan bir tünel içerisinden gönderilmek üzere trafiğin şifrelenmesi için kullanılır.
Bu bölümde ve sınavda “IPSec tunnel mode” gördüğünüzde bu VPN trafiği için değil, tunneling için IPSec anlamına gelir. L2TP’den bahsedildiğini gördüğünüzde bunun rahatlıkla “L2TP + IPSec” anlamına geldiğini düşünebilirsiniz. Farklılıklarla ilgili daha fazla bilgi için Bölüm 7 “Remote Access Servislerinin Yönetimi”ne bakın.
Aşağıdaki kısımlarda, IP iletişiminin korunması için IPSec’in nasıl kullanıldığını göreceksiniz ve
IPSec’in Windows Server 2003’e nasıl entegre edildiğini öğrenmeye başlayacaksınız.
IPSec Esasları
IPSec iki farklı role sahiptir: Kimlik doğrulama (authentication) ve şifreleme (encryption). Bunların
her ikisini birden kullanabileceğiniz gibi, ayrı ayrı da kullanabilirsiniz. Ayrıca bu her iki özelliğin
network’ünüzdeki güvenliği iyileştirmeye yönelik birçok seçeneği ve parametresi vardır.
Kimlik doğrulama network’ünüzü korur ve veri, üzerinde onaysız değişiklik yapılmadan iletilir.
Verinin tahrif edilme işlemi, istemci ile sunucu arasındaki kötü niyetli bir saldırgan tarafından
paketlerin içeriklerinin değiştirilmesi şeklinde (man-in-the-middle attack olarak bilinir), ya da bir
saldırganın network’ünüze girip bir istemci ya da sunucu gibi davranması şeklinde ortaya çıkabilir.
IPSec authentication header (AH) kullanarak paket içeriğinin tamamını sayısal olarak imzalar. Bu
imza üç farklı fayda sağlar:
Replay attack’lara karşı koruma: Eğer saldırgan network’teki veri paketlerini yakalayıp belirli
bir süre sakladıktan sonra makine o network’te yok iken bu paketleri tekrar gönderirse paketleri yakaladığı makineyi taklit edebilir. Bu replay attack olarak adlandırılır. IPSec’in kimlik doğrulama mekanizması tüm paketlerde göndericiye ait imza bilgisinin bulunması sayesinde replay
attack’ları engeller.
Verinin içeriğinin korunması: IPSec imzaları veri bütünlüğü sağlar. Bu, araya giren kişinin paketin anlamını bozmadan içeriğinde istediği bir yerde değişiklik yapabilmesinin engellemesi anlamına gelir.
Spoof ataklarını engelleme: Kimlik doğrulama normalde bir istemci ya da sunucunun diğer makinanın kimliğini tanımlaması anlamına gelir. IPSec authentication header’ları kimlik doğrulama
sağlar, çünkü bağlantının her iki ucundaki makineler diğerinin kimliğini doğrulayabilir.
Kimlik doğrulama veri içeriğinin tahrif edilmesini engeller fakat kişilerin bu verileri görmemesi için
bir şey yapmaz. Bu amaçla şifrelemeye ihtiyaç duyulur. Şifreleme paketin payload içeriğini anlaşılması güç hale getirerek okunamamasını sağlar. Bunu yapabilmek için IPSec, Encapsulating
Security Payload (ESP) sağlar. ESP bir IPSec paketinin payload’unun istenilen alıcı dışındaki kişiler tarafından çözülemeyecek hale getirilmesi amacıyla şifrelenmesi için kullanılır. ESP sadece
gizlilik (confidentiality) sağlar; fakat AH ile birlikte maksimum güvenlik getirir.
Aşağıdaki bölümlerde IPSec’in Windows Server 2003’e nasıl entegre edildiğini ve IPSec negotiation sürecinin spesifik detaylarını göreceksiniz.
IPSec ve Windows Server 2003
Microsoft’un IPSec uygulamaları Cisco tarafından yazılmış ve lisanslanmıştır. Dsiğer standart IPSec tabanlı istemciler ile uyumluluğu garantilemiştir. Özellikle Group Policy gibi IPSec’i daha kul-
IP Seviyesinde Güvenlik Yönetimi
lanışlı hale getiren bazı Windows Server 2003 özellikleri vardır. IPSec çalıştıran bilgisayarlardan
oluşan büyük bir network’ü düşünün. İki bilgisayar iletişim kurmak istediğinde her iki ucun IPSec’i
desteklemesi ve otomatik olarak IPSec avantajlarını kullanabilmesi ideal durumdur. Aynı zamanda uygulamak istediğiniz güvenlik ayarlarının tüm IPSec uyumlu makinelere uygulandığından
emin olmak istersiniz. Windows NT ve diğer birçok işletim sistemine sahip IPSec makinelerinde
kullanmak istediğiniz ayarları elle yapılandırırdınız.
Çözüm Windows Server 2003 Group Policy mekanizmasında yatıyor. İlk olarak network’ünüzde
kullanmak istediğiniz IPSec ayarlarını belirlersiniz. Ardından, her bir Windows 2000, XP ya da
Server 2003 makinesi IPSec Policy Agent adı verilen bir servis çalıştırır. Sistem başladığında
Policy Agent, bir Active Directory sunucusuna bağlanır, IPSec policy’yi indirir ve bunu IPSec servisine iletir. (Policy Agent hakkında daha fazla bilgiyi bu bölümdeki “Security Policy’leri” kısmında
öğreneceksiniz)
Windows Server 2003, Windows 2000’de bulunmayan ya da önemli derecede iyileştirilmiş birçok
IPSec özelliğine sahiptir. Bu özelliklerden bazıları basit olarak IPSec’e güvenlik katmanları ekler,
fakat diğerleri yönetim ve izleme amacıyla kullanacağınız araçların iyileştirmeleri ya da yeniliklerini içerir.
IP Security Monitor: IPSec Monitor Windows Server 2003 için yenidir. Bu araç bir MMC snap-in
olarak kullanılır ve eski versiyona göre birçok iyileştirmeler içerir. Şu anda lokal bir bilgisayardaki
IPSec bilgilerini izleyebildiğiniz gibi uzak makineleri de izleyebilirsiniz. IPSec policy’lerinin tüm
detaylarını, genel ve spesifik filtreleri, istatistikleri, security association’ları görüntüleyebilir, görüntülemeyi özelleştirebilir ve spesifik filter’ları IP adresleriyle aratabilirsiniz.
Daha güçlü kriptografik master key (Diffie-Hellman): IPSec şu anda daha güçlü Group 3
2048-bit Diffie Hellman anahtar değişimini (key exchange) destekler. Bu anahtar değişimi mekanizmasının karmaşıklığı secret key’in hesaplanabilme zorluğunu önemli derecede artırır. Bununla
birlikte, eğer Windows 2000 ve Windows XP bilgisayarlarınız için geriye dönük uyumluluk ihtiyacınız varsa 1024-bit anahtar değişimi sağlayan Group 2 (medium) kullanmalısınız. Hiçbir zaman
Group 1 (low) kullanmamalısınız.
netsh ile komut satırı yönetimi: IPSec’i şu anda güncelleştirilen netsh komutu ile yapılandırabilirsiniz. Bu iş için Windows 2000’de Ipsecpol.exe kullanılırdı. netsh ile IPSec yapılandırmasını script haline getirebilir ve otomatikleştirebilirsiniz.
Persistent policy’ler Eğer lokal ya da Active Directory tabanlı policy’lerin uygulanamadığı bir
makineniz varsa bunun için bir persistent policy oluşturabilirsiniz. Persistent policy her zaman
aktiftir ve diğer hiçbir policy tarafından ezilemez. Persistent policy’ler sadece netsh komutu ile
uygulanabilir.
Varsayılan trafik muafiyet çıkarımı: Önceleri varsayılan olarak tüm broadcast, multicast, Internet Key Exchange (IKE), Kerberos ve Resource Reservation Protocol (RSVP) trafiği IPSec’den
muaftı. Şu anda sadece IKE trafiği muaftır, çünkü IKE IPSec iletişimi kurulumu için gereklidir.
NAT üzerinden IPSec: IPSec ESP paketleri şu anda User Datagram Protocol-Encapsulating
Security Payload (UDP-ESP) enkapsulasyon adı verilen bir özellik ile UDP trafiğinin iletilmesine
izin veren Network Address Translator (NAT)-enabled aygıtlar aracılığıyla iletilebilmektedir.
Resultant Set of Policy (RSoP): Resultant Set of Policy (RsoP) domain içinde spesifik bir bilgisayar ya da kullanıcıya policy’lerin tam olarak nasıl uygulanacağını görmenizi sağlayan Windows
Server 2003’ün yeni bir özelliğidir. IPSec, RSoP konsoluna uygulanmakta olan IPSec policy ayar
detaylarını görüntülemek için kullanabileceğiniz bir uzantı sağlar.
IPSec Negotiation Süreci
Internet Security Association and Key Management Protocol (ISAKMP) ve IKE protokolü iki bilgisayarın güvenlik ayarları üzerinde mutabık olmaları ve iletişimin güvenli bir şekilde gerçekleşmesi
149
150
Bölüm 4
için kullanacakları security key’in kendi aralarında değişimi için bir yol sağlar. IPSec’de, bir security association (SA) iki bilgisayarın güvenli bir şekilde iletişim gerçekleştirebilmesi için gerekli
tüm bilgiyi sağlar. SA iki makinenin kullanacağı algoritma ve key uzunluğunu kontrol eden policy
anlaşmasını ve güvenli veri alışverişi için kullanılan şu anki security key’lerini içerir. Bu anlaşmayı
her bir tarafın ne olduğunu veya olmadığını ve bu anlaşmanın bir parçası olmaya hazır olup olmadığını belirleyen bir kontrat olarak düşünebilirsiniz. Bu sürecin iki adımı vardır: Main mode ve
quick mode.
İlk olarak main mode’da iki bilgisayar bir güvenlik sözleşmesi kurmak için ISAKMP kullanır. Bu
ISAKMP SA olarak adlandırılır. ISAKMP, SA kurmak için iki bilgisayar aşağıdaki üç şey üzerinde
anlaşmalıdır:

Kullanacakları şifreleme algoritması (DES, triple DES, 40-bit DES, ya da hiçbiri)

Mesaj bütünlüğü için kullanacakları algoritma (MD5 ya da SHA-1)

Bağlantının kimlik doğrulaması nasıl gerçekleştirilecek (bir public-key sertifika, secret key ya
da Kerberos)
ISAKMP, SA kullanılırken iki makine paylaşılan bir master key üzerinde güvenli bir şekilde anlaşmak için Oakley protokolünü kullanabilir. ISAKMP master key olarak adlandırılan bu key, ISAKMP
SA içinde negotiation algoritması
Microsoft veri bütünlüğü sağlayan iki algoritmadan daha güçlüsü olarak
ile güvenli bir bağlantı kurmak
SHA-1’ı tavsiye eder. MD5’in 128-bit key uzunluğuna karşı 160-bit key uzunluğu ile SHA-1 key’ini brute force attack ile elde etmek çok daha zordur.
amacıyla kullanılır.
Güvenli bağlantı sağlandıktan sonra, iki makine quick mode adı verilen diğer negotiation sürecine
başlar. Bu negotiation’lar şunları kapsar:

Authentication Header (AH) protokolünün bu bağlantı için kullanılıp kullanılmayacağı

Encapsulating Security Payload (ESP) protokolünün kullanılıp kullanılmayacağı

ESP protokolü için kullanılacak şifreleme algoritması

AH protokolü için kullanılacak kimlik doğrulama protokolü
Bu negotiation’lar tamamlandıktan sonra, bu iki makine iki yeni SA’ya sahip olacaktır: Birisi gelen
trafik için, diğeri giden trafik için. Bu SA’lar ISAKMP SA’larından ayrılmak için IPSec SA’ları olarak
adlandırılır. Bu noktada, yine Oakley protokolü yeni bir set oturum anahtarı oluşturmak için kullanılır. Master ISAKMP anahtarı, yeni SA’lar negotiate edildiğinde kullanılır, bir kez SA negotiation’ı
tamamlandığında o SA’yı kullanan iletişim SA-spesifik anahtarları kullanarak korunur.
AH protokolü veri bütünlüğü (data integrity) ve kimlik doğrulama (authentication) sağlar. AH güvenliğe iki yenilik getirir. Birincisi paketin tamamından - payload ve header - hesaplanan packet
signature (AH’nın kendi içeriğinde yer alır). Bu, bir saldırganın paketin herhangi bir parçasını - IP
ya da TCP/UDP header’ları da dahil – değiştiremeyeceği anlamına gelir. İkincisi AH, IP header
ile TCP ya da UDP header’ı arasında yer alır. Bu içeriğin gizlice karıştırılmamasını güvence altına
alır.
ESP protokolü mesajın gizli bir şekilde iletilmesi için tasarlanmıştır. Bunun nasıl gerçekleştirildiğini
görmek için Şekil 4.1’e göz atın. Bu paketin tertip edilmesi AH paketinden daha karmaşıktır. Çükü
ESP tek başına kimlik doğrulama, replay proofing ve içerik bütünlüğü kontrolü sağlar. Bu işi birbirinden ayrı üç bileşen ekleyerek gerçekleştirir: Bir ESP header’ı, bir ESP trailer’ı ve bir ESP kimlik
doğrulama bloğu. Bu bileşenlerin her biri kimlik doğrulama ve bütünlük kontrolü için gerekli bazı
verileri içerir. İçeriğin değiştirilmesini engellemek için bir ESP istemcisi
ESP header, uygulama verisi ve ESP
trailer’ı bir birim içerisinde imzalamak
zorundadır ve ESP uygulama verisini ve ESP trailer’ı gizliliği sağlamak
Şekil 4.1: Bir ESP paketi.
IP Seviyesinde Güvenlik Yönetimi
üzere şifrelemeyi kullanır. Bu üst üste imzalama ve şifreleme operasyonlarının kombinasyonu iyi
bir düzeyde güvenlik sağlar.
Security Filter’lar
Bir security filter güvenlik protokolünü belirli bir network adresine bağlar. Filtre kaynak ve hedef
adreslerini (spesifik host’lar ya da network’ler için bir netmask kullanılarak) TCP ve UDP trafik için
izin verilen kaynak ve hedef portları içerebilir. Örneğin, domain’inizdeki bir makine, microsoft.
com domain’indeki başka bir makine ile iletişim kurarken tam olarak kullanılmasına izin vermek
istediğiniz IPSec negotiation tipini belirleyen bir filtre (bu bölümün sonraki kısımlarında göreceğiniz gibi) tanımlayabilirsiniz. Hatırlayacak olursak IPSec bağlantıları iki tarafa sahiptir: Inbound ve
outbound. Bu her bağlantı için iki filtreye ihtiyacınız olacağı anlamına gelir: Bir inbound ve bir outbound. Inbound filter uzak makine bağlantı üzerinde güvenlik talebinde bulunduğunda, outbound
filter ise bir uzak makineye trafik gönderilmeden önce uygulanır.
chellis.net domain’indeki herhangi bir makinenin, microsoft.com domain’indeki herhangi
makine ile konuşurken IPSec kullanması için bir rule oluşturmak istediğinizi varsayalım. Bunun
çalışması için aşağıdaki dört filter’a ihtiyacınız vardır:

chellis.net domain’i outbound paketleri için bir *.chellis.net kaynak ve bir *.microsoft.com hedef filtre. (Filter’larda DNS isimleri ya da joker karakterler kullanabilirsiniz.)

chellis.net domain’i inbound paketleri için bir *.microsoft.com kaynak ve bir *.chellis.net hedef filtre.

microsoft.com domain’i için *.chellis.net kaynak ve *.microsoft.com hedefleri
belirleyen bir inbound filter.

microsoft.com domain’i için *.microsoft.com kaynak ve *.chellis.net hedefleri
belirleyen bir outbound filter.
Eğer bu filtrelerden herhangi biri yoksa ya da düzgün yapılandırılmadıysa, IPSec negotiation süreci başarısız olacak ve IPSec kullanılmayacaktır. Eğer bunların tümü tamamsa, hawk.
chellis.net’ten, exchange.microsoft.com’a bir FTP bağlantısı kurmaya çalıştığınızda
domain’inizdeki outbound filter devreye girecek ve Microsoft’un makinesi ile bir güvenlik negotiation talebi için IPSec’i tetikleyecektir. Eğer her şey düzgün gider ve filtreler düzgün çalışırsa,
makinenizde iki IPSec SA olacak ve bağlantı güvenli bir ortamda sağlanacaktır.
Normalde yönetimi kolaylaştırmak için filtreleri filter list’ler içine gruplarsınız. Birçok filtreyi bir
filter list içinde tutarak, karmaşık durumları kolayca oluşturabilir ve gerektiğinde bu kuralları
network’ünüz çapında yayabilirsiniz.
Security Method’lar
Herbir IPSec bağlantısı bir security method kullanır. Bir security method önceden belirlenmiş bir
şifreleme algoritması ile önceden üzerinde mutabık kalınmış bir anahtar uzunluğu (key length)
ve anahtar yaşam süresi (key lifetime) kullanan bir bağlantıdır. Önceden tanımlanan iki güvenlik
metodundan (bu bölümde daha sonra göreceğiniz gibi, High ya da Low) birini kullanabilir ya da
kendiniz güvenlik protokolünü (AH ya da ESP), şifreleme algoritmasını ve key yaşam süresini bir
bağlantı için kullanmak istediğiniz şekilde oluşturabilirsiniz.
Bilgisayarınız uzak bir IPSec eşi ile negotiating yaparken ISAKMP servisi, sizin belirlediğiniz metot listesini ilk başta en güvenli metodu deneyerek çalışır. Sizin makinenizdeki ile diğer taraftaki
ISAKMP’nin bir metot üzerinde
Windows Server 2003 Data Encrytion Standart (DES) ve Triple DES (3DES) şifanlaşmaların ardından bu metoreleme algoritmalarını destekler. 3DES DES’ten çok daha güvenlidir. 3DES’te
du kullanarak iletişim kurarlar.
her veri bloğu üç kez ve her seferinde farklı key’ler kullanılarak işlenir.
151
152
Bölüm 4
Security Filter Action’lar
Filtreler bir kaynak ve hedef belirler; fakat aynı zamanda filtredeki kriterler örtüştüğünde meydana
gelecek eylemi belirlemek zorundadır. IP Security Policy Management snap-in kullanarak (bu
bölümün sonraki kısımlarında göreceğiniz gibi) aşağıdaki beş ayrı security filtre action’ı her bir
filtrede kullanabilirsiniz (fakat bunları tek bir filtre içinde bileştiremezsiniz):

Permit action IPSec filter’a hiç bir eylemde bulunmamasını söyler. Bağlantının security
rule’lara dayanarak kabul ya da red edilmeyeceği yani herhangi bir güvenlik getirmediği anlamına gelir. Bu eylem aynı zamanda passthrough action olarak da adlandırılır, çünkü bu trafiğin herhangi bir modifikasyona uğramadan iletilmesine izin verir. Genelde bunu, güvenliğe
duyarlı bilgilerle ilgili olmayan Windows Internet Name Service (WINS) gibi uygulamalar için
kullanırsınız.

Block action, filter’ın uzak sistemden gelen bir bağlantı isteğinin reddedilmesine neden olur.
Bu uzak sistemin IPSec kullanarak ya da kullanmayarak herhangi bir tip bağlantı yapmasını
engeller.

Accept Unsecured Communication, But Always Respond Using IPSec ve Allow Unsecured
Communication With Non-IPSec Aware Computers eylemleri, IPSec ile yapılandırılmamış
bilgisayarları birlikte çalıştırabilmenizi sağlar. Accept Unsecured Communication, But Always
Respond Using IPSec policy’si güvensiz bağlantıları kabul edecektir fakat makineniz her unsecure bağlantıyı kabul etmeden önce bir IPSec bağlantısını soracaktır. Bu eylem unsecured
(güvensiz) ve secured (güvenli) trafiği mevcut olduğu durumda öncelik IPSec olacak şekilde birlikte çalıştırabilmenizi sağlar. Allow Unsecured Communication With Non-IPSec Aware
Computers eylemi makinelerinizin IPSec kullanımı girişiminde bulunmaksızın güvensiz bağlantıları kabul etmesine izin verir. Bu yüzden bunu kullanmamanızı, bunun yerine Accept
Unsecured Communication, But Always Respond Using IPSec eylemini kullanmanızı tavsiye
ederiz.

Session key (oturum anahtarı) perfect forward secrecy’nin (PFS) etkinleştirilmesi master key
şifreleme materyalinin birden fazla session key’den türetilememesini sağlar.

Use These Security Settings action’ı, bu filtreyi tetikleyen bağlantılar üzerinde kullanılmasını
istediğiniz security method’ları tanımlamanızı sağlar. Bu seçenek, başlı başına bilgisayarlar
için ya da uzak network’ler için özel ayarlar tanımlamanızı sağlar.
“Rules Sekmesiyle Kuralları Yönetmek” bölümü ek filtre eylemleri ve bu eylemlerin her birinin ne
zaman kullanılıp kullanılmayacağı üzerinde durur.
Security Policy’ler
Bir security policy, güvenlik seviyesi sağlayan bir kurallar ve filtreler takımıdır. Microsoft önceden
tanımlanmış bir policy’ye sahiptir ayrıca kendi policy’lerinizi oluşturabilirsiniz. (Aslında Dynamic
Host Configuration Protocol [DHCP] ve remote access sunucularınız için kendi policy’lerinizi oluşturmanız gerekecektir.)
Policy’leri bilgisayarlara farklı yollarla uygulayabilirsiniz. Bunlardan en kolayı policy’yi Active
Directory’de saklamak ve IPSec Policy Agent’a uygun makinelere bunun uygulanması için izin
vermektir. Bir makineye Active Directory aracılığıyla bir IPSec atadığınızda atanan o policy, makine o site, domain ya da o policy’nin uygulandığı OU’den çıksa bile başka bir policy uygulanana
kadar atanmış olarak kalır. Aynı zamanda policy’leri direkt olarak tek tek makinelere atayabilirsiniz. Herhangi bir durumda spesifik bir makinede bir policy’nin yer almasını istemediğinizde
manüel olarak unassign edebilirsiniz.
IP Security Policy Management snap-in’inin içerisinde bilmeniz gereken üç adet policy vardır:

Client (Respond Only) policy bir Windows 2000, XP ya da Server 2003 IPSec istemcisinin
IPSec’i destekleyen herhangi bir makine ile görüşeceğini fakat güvenliği başlatma girişiminde
bulunmayacağını belirler. Bu policy’yi bir Server 2003 bilgisayara uyguladığınızı varsayalım.
IP Seviyesinde Güvenlik Yönetimi
Bu makine outbound network bağlantısını başlattığında IPSec kullanımı girişiminde bulunmayacaktır. Eğer uzaktaki bir makine ile bağlantıya geçtiği sırada, karşıdaki makine talepte
bulunursa IPSec taleplerini kabul edecektir.

Secure Server (Require Security) policy gelen ve giden tüm IP iletişimi için IPSec kullanacağını belirler. Bu noktada tüm DNS, WINS ve web talepleri ve IP iletişimi kullanan tüm uygulamalar IPSec ile güven altına alınmak zorundadır
Bu üç farklı policy arasındaki farkları iyi anladığınızdan
aksi taktirde bloklanacaktır. Bu tüm network
emin olun! Sınavda varsayılan policy’ler ile ilgili bilgi
çapında IPSec uygulama planı yapmadıkça
gerektiren birden fazla soru ile karşılaşabilirsiniz.
uygulamak isteyeceğiniz bir policy olmayabilir.

Server (Request Security) policy diğer iki policy’nin karşımıdır. Bu durumda, makine her zaman uzak makineye bağlanırken ve gelen bağlantı taleplerinde IPSec kullanım girişiminde
bulunur. Bu policy güvenlik ve birlikte çalışabilirlik için en iyi genel dengelemeyi sağlar.
IPSec Kimlik Doğrulama
IPSec üç farklı kimlik doğrulama (authentication) metodu destekler. Kullanacağınız kimlik doğrulama metodu, ne tür bir network’e sahip olduğunuza (örneğin Active Directory ile birlikte ya da
Active Directory ortamı dışında) ve kimlerle görüştüğünüze bağlıdır. İlk olarak bir IPSec istemcisi
ve sunucusu birbirlerinin kimliklerini doğrulamak istediklerinden, bir credentials kümesi üzerinde
mutabık kalacakları bir yola ihtiyaç duyarlar. Windows Server 2003’ün IPSec versiyonu üç farklı
kimlik denetimi metodunu destekler. Bu metodlar şifreleme anahtarlarının oluşturulmasında değil,
sadece SA’nın kurulumunda kimlik doğrulama başlangıç safhasında kullanılır:
Kerberos: Kerberos her Windows 2000/2003/XP bilgisayarları için varsayılan kimlik doğrulama
protokolüdür. Eğer Kerberos başarısız olursa bilgisayar otomatik olarak NT LAN Manager (NTLM)
kimlik doğrulamaya geçer. Kerberos iyi bir güvenlik ve büyük bir esneklik sağlayan geniş çapta
desteklenen bir açık standarttır. Windows Server 2003’de tabi olarak desteklendiğinden Windows
Server 2003’ün varsayılan kimlik doğrulama metodudur. Yine Kerberos’u destekleyen birçok 3.
parti IPSec ürünü vardır. Sadece Windows Server 2003 ya da Windows 2000 native domain functional level’da çalışan Windows 2000 ve Windows Server 2003 domain controller’ların Kerberos
kimlik doğrulamasını desteklediğini, Windows 2000 ve Server 2003 üye sunucularının ve NT 4
sunucularının desteklemediğini unutmayın.
Sertifikalar: Sertifikalar kimlik doğrulama için kullanılan public-key sertifikalarıdır. Sertifika tabanlı
kimlik doğrulama kullanırken bağlantının her iki ucu diğerinin public sertifikasını kullanarak sayısal
olarak imzalanan mesajı doğrular. Bu sisteme ek bir yük ve altyapı gereksinimi getirir fakat yüksek
düzeyde güvenlik sağlar. Makineleri Windows Server 2003 domain’ine ekledikçe, otomatik olarak
makine sertifikalarını alırlar (kullanıcılar yerine bilgisayarlara özel uygulanan) ve ardından kimlik
doğrulama için kullanılabilirler. Eğer diğer domain ya da organizasyonlardaki kullanıcılara sizin
IPSec makinelerinize bağlanmalarına izin vermek istiyorsanız organizasyonlar arası sertifikalara
izin veren sertifika çözümlerini araştırmanız gerekir.
Preshared Key: Preshared key’ler tekrar kullanılabilen parolalardır. Bir preshared key her iki
bilgisayarın da bildigi bir kelime, kod ya da cümledir. İki makine bu parolayı kullanarak bir güven
kurarlar, network üzerinden plain-text ifadeleri göndermezler. Bununla birlikte, şifrelenmemiş key
Active Directory’de tutulur, bu yüzden Microsoft bunu ürünlerde kullanmamanızı tavsiye eder
(çünkü key’i görebilen bir kişi sizi ya da uzak bilgisayarı taklit edebilir). Çoğunlukla bu modu,
sertifika ya da Kerberos kimlik doğrulamayı henüz desteklemeyen bir third-party IPSec ürünüyle
iletişim kurmaya ihtiyaç duyduğunuzda kullanırsınız.
Gerçek Dünya Senaryosu
Uygulamada IPSec
Sally’nin kullandığı bir dosya sunucusu ile bir bağlantı kurmaya çalışıyorsunuz. Siz ve Sally aynı
Windows Server 2003 domain’inin üyelerisiniz, böylece Windows Server 2003 varsayılan Ker-
153
154
Bölüm 4
beros kimlik doğrulama kullanabilirsiniz. Bu sürecin kullanıcı ve bilgisayar için olduğu gibi aracılık yapan router ve diğer aygıt için de tamamen transparan olarak gerçekleştiğini hatırlayın.
Negotiation ve agreement süreçleri kullanıcılara ve bu kullanıcıların kullandığı uygulamalara
transparandır.
Bilgisayarı açıldığında IPSec Policy Agent servisi başlar. Active Directory’ye bağlanıp domain
için şu andaki IPSec policy’yi indirir. Eğer bu bağlantı girişimi başarısız olursa, IPSec takımı IPSec olmadan ne yapacağını bilemeyeceği için bilgisayarınız IPSec policy’yi başarılı bir şekilde
alana kadar denemeye devam eder.
Bir policy ele geçirildiğinde policy ayarları ISAKMP/Oakley alt sistemine ve kernel’daki IPSec
sürücülerine iletilir.
Herhangi bir yabancı makineye bağlantı girişimini başlattığınızda bilgisayarınızın IPSec sürücüsü aktif IPSec policy’yi kontrol ederek herhangi bir tanımlanmış IP filtresi olup olmadığına bakar.
Bu filtreler hedef network’leri, trafik tiplerini ya da hem trafik tipleri hem de hedef network’lerin
her ikisini birden belirler. Filtre aynı zamanda IPSec’in zorunlu, seçimli ya da yasaklanmış olup
olmadıklarını belirler.
Sizin IPSec sürücünüz Sally’nin subnetindeki makineler ile konuşurken IPSec kullanımına izin
verildiğini belirledikten sonra, ISAKMP kullanarak Sally’nin sunucusu ile bir ISAKMP SA kurar.
Şu anda bir ISAKMP SA kuruldu, her iki makine bir IPSec SA çiftiyle bağlantı kurmak için gerekli
herşeye sahip. Negotiation işlemi tamamlandığında her bilgisayar iki adet IPSec SA’ya sahiptir:
Bir tane outbound trafik için, bir tane inbound trafik için.
Sizin talepleriniz ne olursa olsun, bilgisayarınızdaki IPSec takımı tarafından işlenir. Sizin IPSec
kodunuz AH ve/veya ESP kullanarak outbound paketlerinizi korur ve bunları Sally’nin sunucusuna göndermek için IP takımının daha alt seviye parçalarına transfer eder. Sally’nin sunucusu
paketleri aldığında kendi IPSec takımı (eğer gerekliyse) paketlerin şifrelerini çözer, güvenilirliğini kontrol eder ve diğer işlemler için TCP/IP takımının üst katmanlarına iletir.
IPSec Kurulumu
Windows Server 2003’ü kurduğunuzda bir Windows Server 2003 makinesinin bir IPSec istemcisi
olarak çalışması için gerekli tüm bileşenler varsayılan olarak yüklenir. Bununla birlikte – aynı
zamanda varsayılan olarak – IPSec kullanımını gerektirecek bir policy yoktur, bu yüzden Windows Server 2003 makinelerinin varsayılan davranışı IPSec kullanmamaktır. Güzel haber IPSec
kurmak zorunda olmayışınızdır. Sadece bunu yönetmek için kullanacağınız araçları yüklemeniz
gerekir ve ardından istediğiniz etkinin gerçekleşmesi için policy’leri ve filtreleri uygularsınız.
Aşağıdaki bölümde, bir Windows Server 2003 bilgisayarında IP security policy’lerinin nasıl etkinleştirildiğini öğreneceksiniz.
IP Security Policy Management Snap-In
IPSec, IP Security Policy Management snap-in (bu bölüm boyunca IPSec snap-in olarak adlandırılacak) ile yönetilir. Bu snap-in’i içeren önceden oluşturulmuş bir MMC konsolu yoktur bu yüzden
konsolu açıp bu snap-in’i eklemek suretiyle bir tane oluşturmanız gerekir. IPSec snap-in’i yüklediğinizde yönetmek için kullanmak istediğiniz bir lokal IPSec policy, bilgisayarınızın bulunduğu
domain için varsayılan policy, farklı bir domain için varsayılan policy ya da farklı bir bilgisayarın
lokal policy’si seçeneklerinden birini seçmelisiniz. Bu size IPSec policy’leri üzerinde kontrolleri
delege etmek için etkin bir yol sağlar.
Alıştırma 4.1 size, lokal policy’yi yönetmek için snap-in kurulumu ve ardından lokal bilgisayarda
IPSec’in aktif hale getirilmesi işlemleri için yol gösterecektir.
IP Seviyesinde Güvenlik Yönetimi
Alıştırma 4.1: Lokal Bilgisayarda IPSec’i Etkinleştirmek
1. Start > Run tıklayın ve MMC yazdıktan sonra OK butonuna tıklayın. Boş bir MMC konsol
penceresi görüntülenir.
2. File > Add/Remove Snap-In seçin. Add/Remove Snap-In diyalog kutusu görüntülendiğinde
Add butonuna tıklayın.
3. Add Standalone Snap-In diyalog kutusu görüntülendiğinde IP Security Policy Management
seçin ve Add butonuna tıklayın.
4. Select Computer Or Domain diyalog kutusu görüntülenir. Local Computer (varsayılan seçenek) radyo butonunu seçin ve Finish butonuna tıklayın.
5. Add Standalone Snap-In diyalog kutusunda Close butonuna tıklayın.
6. Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
7. MMC’de IP Security Policies On Local Computer’ı seçin. MMC’nin sağ tarafında bu bölümde
önceden bahsettiğimiz önceden tanımlı policy’lerin listelendiğine dikkat edin.
8. Server (Request Security) policy üzerinde sağ tıklayın ve Assign komutunu seçin.
9. Policy Assigned kolonundaki seçilen policy için kaydın Yes olduğunu doğrulayın.
Bu işlem sizin güvenlik durumunuzu yükseltmek adına pek fazla birşey yapmaz. Çünkü bu işlemin
tüm yaptığı sizin lokal bilgisayarınızın diğer bilgisayarlardan gelecek IPSec bağlantılarını kabul
etmesini etkin hale getirmektir. Gerçek sonuç Active Directory’de IPSec policy’leri uygulamaya
başladığınzda gelecektir.
IPSec Yapılandırma
Varsayılan policy’leri değiştirerek, kullanmak istediğiniz kural (rule) ve filtreleri (filters) somutlaştırmak için kendi policy’lerinizi oluşturarak ve yönetim alanınız içinde policy’lerin bilgisayarlara nasıl
uygulanacağını kontrol ederek IPSec‘i yapılandırabilirsiniz.
Policy’leri nerede uygulamak istediğinize bağlı olarak farklı seviyelerde yönetebilirsiniz. Bununla
birlikte bunları yönetmek için her zaman IPSec snap-in’i kullanırsınız. Yeni bir policy oluşturmak
ya da var olan bir policy’yi düzenlemek için kullandığınız araçlar hem lokal hem de Active Directory policy yapısı kullandığınızda aynıdır. Group Policy yönetimi bu kitabın kapsamı dışında
olduğundan aşağıdaki kısımlar daha çok IPSec ayarlarını nasıl özelleştireceğiniz ve kontrol edeceğiniz üzerinde duracaktır.
155
156
Bölüm 4
Yeni Bir Policy Oluşturmak
Yeni bir policy oluşturmak için snap-in içindeki IP Security Policies klasörü üzerinde sağ tıklayın
ve Create IP Security Policy komutunu verin. Bu, yeni bir policy oluşturabileceğiniz IP Security
Policy Wizard’ı açar. Policy ayarlarını oluşturduktan sonra hala manuel olarak düzenlemeniz gerekecektir. Bu sihirbazın ilk iki ekranı kolay anlaşılabilirdir, ilk ekran sihirbazın ne yaptığını söyler,
ikincisi policy için bir isim ve açıklama girmenizi sağlar.
Policy’niz için bir isim ve açıklama girdikten sonra Request For Secure Communications sayfası
(Bakın Şekil 4.2) size default response rule kullanmak isteyip istemediğinizi sorar.
Şekil 4.2: Requests For Secure Communications sayfası.
Default response rule başka filter rule uygulamaları olmadığından güvenliği idare eder.
Örnek olarak, *.microsoft.com, *.cisco.com ve *.apple.com’dan gelecek bağlantıları kabul eden security filter’lar oluşturduğunuzu var sayalım. Sunucunuz hawk.
chellis.net’den bir IPSec talebi aldığında
IPSec’in bu bağlantıyı reddeceğini bekleyebilirsiniz – default response rule’u açmadıkça
bu şekilde olur. Bu rule temel olarak güvenli bir bağlantı talebinde bulunan herhangi bir
kişinin bağlantı talebini kabul eder. Paradoksal olarak, maksimum güvenlik için bu rule’u
kapatabilirsiniz, bu sayede sadece bilinen
host’lardan gelen IPSec bağlantılarını kabul
edecektir. Bununla birlikte default rule ile ilişkili ayarları özelleştirebilirsiniz.
Eğer default response rule kullanmayı seçerseniz, bunun için kullanılacak kimlik doğrulama metodunu yapılandırmanız gerekir. Bunun için Default Response Rule Authentication Method sayfasını
(Bakın Şekil 4.3) kullanacaksınız. Önceden bahsi geçen üç kimlik doğrulama metodundan birini
seçebilirsiniz. Varsayılan olarak, Kerberos seçilidir, fakat bunun yerine bir certificate authority ya
da preshared key seçebilirsiniz. (Eğer preshared key
Eğer default response rule’u kullanmamayı seçerseniz, sihirbaz geri kalan adımları atlayıp sizi
kullanımını seçerseniz, bağlantının her iki ucunda da
direkt olarak sonuç sayfasına yönlendirir.
aynı key’i kullandığınızdan emin olun.)
IP Security Policy Wizard’ın son sayfasında Edit Properties adında bir onay kutusu vardır. Bunu
işaretleyerek sihirbaz sonlandıktan sonra policy içine gömülmüş mevcut ayarlara erişebilirsiniz.
Policy özellikleri ile ilgili daha fazlasını bu bölümün IPSec Policy’lerini Yapılandırmak kısmında
öğreneceksiniz.
Şekil 4.3: Default Response Rule Authentication Method sayfası.
IP Seviyesinde Güvenlik Yönetimi
Policy’leri Active Directory’de Depolama
Şimdiye kadar sadece lokal bilgisayara uygulanan policy’lerin yönetimini okudunuz. IPSec snapin’ini Active Directory’de tutulan ve domain içindeki herhangi bir bilgisayara ya da bilgisayar grubuna uygulanabilen policy’leri oluşturmak ve yönetmek için kullanabilirsiniz. Bu uygulamayı yerine getirmek için üç farklı fakat birbirleriyle ilişkili adımı tamamlamanız gerekiyor:
1. Yetkilendirilmiş bir hesapla logon olduktan sonra Active Directory’de IPSec snap-in’ini seçin.
2. Snap-in’deki araçları kullanarak uygulamak istediğiniz policy’yi düzenleyin ya da oluşturun.
3. Group Policy snap-in’i kullanarak policy’yi bir site, domain ya da organizational unit’e bağlayın.
İlk iki adım bölüm boyunca ele alınmıştı, fakat üçüncü adım ile ilgili bir miktar okumanız gerekir.
Group policy’leri herhangi bir site, domain ya da organizational unit’lere (OU) uygulayabildiğiniz
için IPSec policy’lerinizi, hedeflenen uygun policy’yi kullanarak tüm organizasyon çapında netleştirebilirsiniz.
Örneğin, Active Directory Users and Computers içinde bir OU oluşturabilir ardından sadece bu
OU‘ya uygulanan bir Group Policy Object (GPO) oluşturabilirsiniz. Son olarak, GPO’daki ayarları
değiştirerek OU içindeki bilgisayarlara IPSec policy uygulanacak şekilde zorlayabilirsiniz.
Aslında IPSec snap-in’i policy’leri atamak için kullanmazsınız, bunu Active Directory ortamında policy’leri oluşturmak ve yapılandırmak için kullanırsınız. Directory içindeki bazı gruplara bir
policy’yi uygulamak istediğinizde, Group Policy snap-in’inin kendisini kullanırsınız.
Alıştırma 4.2’de tüm domain controller’lar için varsayılan bir IPSec policy oluşturacaksınız. Bu
alıştırmayı yapabilmek için domain’e yönetimsel anlamda erişebiliyor olmalısınız.
Alıştırma 4.2: Domain Çapında IPSec’i Etkinleştirme
1. Start > Run seçin ve MMC yazarak OK butonuna tıklayın. Boş bir MMC snap-in’i görüntülenir.
2. File > Add/Remove Snap-In seçin. Add/Remove Snap-In diyalog kutusu görüntülendiğinde
Add butonuna tıklayın.
3. Add Standalone Snap-In diyalog kutusunda Group Policy Object Editor seçin ve Add butonuna tıklayın.
4. Select Group Policy Object diyalog kutusu görüntülenir. Browse For A Group Policy Object
diyalog kutusunu açmak için Browse butonuna tıklayın.
5. Default Domain Policy’yi seçip OK butonuna tıklayın.
6. Select Group Policy Object diyalog kutusunda Finish butonuna tıklayın.
7. Add Standalone Snap-In diyalog kutusunda Close butonuna tıklayın ve ardından Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
8. Domain Policy > Computer Configuration > Windows Settings > Security Settings > IP Security Policies On Active Directory DomainName seçin.
9. IP Security Policies On Active Directory DomainName öğesini seçin. MMC penceresinin sağ
tarafı mevcut policy’leri listeler. Bunlar önceden tanımlı policy’ler ve sizin IPSec Policy Wizard
ile eklediğiniz bir yeni policy’den ibarettir.
10. Server (Request Security) policy üzerinde sağ tıklayın ve Assign komutunu seçin. O policy
için Policy Assigned kolonunun Yes olduğuna dikkat edin.
11. Konsolu daha sonra kullanabilmek için kaydedin.
157
158
Bölüm 4
IPSec policy’leri Group Policy tarafından atanan diğer objeler gibi aynı kurallara bağımlıdır. Bu
kitap Group Policy Object’leri ile ilgili olmasa bile, IPSec policy atamasının gerçekten çalışması
için bu kuralları bilmek faydalıdır.
İlk kural basittir: Domain seviyesinde uygulanan bir policy her zaman lokal bilgisayara uygulanan
policy’yi ezer (elbette domain’e logon olduğunuzda).
İkinci kural da benzer şekilde basittir: Bir organizational unit’e uygulanan policy’nin her zaman domain seviyesi policy’lere göre önceliği vardır. Bu eğer domain ve OU seviyelerindeki policy’lerinizde
bir çakışma varsa, override seçeneği olmadıkça OU policy’si kullanılacaktır.
Üçüncü kural biraz daha karmaşıktır: Active Directory içinde bir OU hiyerarşiniz varsa, bu hiyerarşinin en altındaki OU için uygulanan policy diğerlerini yoksayacaktır. Örneğin, Sales adında bir
OU’nuzun olduğunu ve bunların altında North America ve South America adlarında OU’larınızın
olduğunu farz edelim. Eğer Sales ve Noth America OU’larınıza iki farklı IPSec policy’si uygularsanız, North America ayarları önceliğe sahip olacaktır.
Dördüncü kural ince fakat önemlidir: Group Policy ile bir IPSec policy uyguladıktan sonra atamak
için kullandığınız Group Policy Object’i silseniz bile policy etkin olarak kalacaktır. GPO yok iken
IPSec Policy Agent GPO sunucunun geçici olarak kullanılabilir durumda olmadığını varsayar.
Ardından policy’nin önbelleklenmiş bir kopyasını kullanır. Bu da GPO’yu silmeden önce policy’yi
unassign etmeniz ve ardından her bir istemci bilgisayarında policy’i refresh etmeniz ya da otomatik olarak refresh olması için beklemeniz gerektiği anlamına gelir.
Policy’leri Atamak ve Atamayı Kaldırmak
Policy’leri sadece bir bilgisayara etki edecek şekilde tanımlamak ya da uluslararası büyük ölçekte
bir network’e etki edecek şekilde tanımlamak için IPSec policy’leri aynı şekilde - söz konusu policy
üzerinde sağ tıklayıp Assign ve Unassign komutlarını kullanarak - assign ve unassign edersiniz.
Bir policy assign edildiğinde, IPSec bir sonraki policy refresh işleminin ardından etkisini gösterir.
Bir bilgisayar için IPSec Policy Agent’ın policy bilgilerini bilgisayar yeniden başlatılırken indirdiğini
unutmayın. Eğer IPSec ayarlarınızı Group Policy’yi kullanarak dağıtıyorsanız Group Policy snapin’i kullanarak bir policy’nin güncellenmesini zorlayabilirsiniz.
Diğer Policy Yönetim Özellikleri
Yeni policy’lerin nasıl oluşturulduğunu, nasıl atandığını ve özelliklerinin nasıl ayarlandığını biliyorsanız zaten IPSec yönetimi için bilmeniz gereken hemen hemen her şeyi biliyorsunuz demektir
(henüz policy ayarlarını değiştirmeyi incelememiş olsak bile). IPSec uygulamalarınız için yararlı
bulabileceğiniz bir kaç ek özellik vardır.
Bir Policy Güncelleştirmesini Zorlamak
Eğer bir makinenin IPSec policy’sini güncelleştirmesini zorlamak istiyorsanız o makine üzerinde
IPSec Policy Agent servisini durdurup yeniden başlatın. Servis başlarken policy’nin en güncel
halini Active Directory’den ya da lokal policy’den getirme girişiminde bulunur. Policy yüklendikten
hemen sonra uygulanır. Policy Agent’ın yeniden başlatılması güncelleştirmeyi ve doğru policy’nin
yeniden uygulanmasını zorlar. Bu policy ile ilgili bir sorunu çözmeye çalışırken ya da istenen
policy’nin uygulandığından emin olmak istediğiniz durumlarda faydalı olabilir.
Varsayılan olarak, IPSec Policy Agent policy’leri her 180 dakikada bir güncelleştirir; fakat bu ayarı
değiştirebilirsiniz. Alternatif olarak gpupdate /target:computer /force komutu ile lokal
bilgisayar policy ayarlarını refresh edebilirsiniz.
Pop-up Menüler ile Policy Yönetimi
Sağ tuş menüsünü (bir policy üzerinde sağ tıkladığınızda gelir) kullanarak policy’leri yeniden adlandırabilir, silebilir, import ve export edebilirsiniz. Import ve export komutları gereksiz olarak görülebilir fakat eğer Active Directory kullanmıyorsanız bazen pratik olabilir.
IP Seviyesinde Güvenlik Yönetimi
Örneğin, Windows 2000 Professional ve XP Professional bilgisayarlarının kullanıldığı küçük bir
network’e sahip olduğunuzu varsayalım. Bir makine üzerinde lokal IPSec policy’leri oluşturabilir ve kaynak bilgisayardan export ettikten sonra diğer bilgisayarlarda bunu import edebilirsiniz.
Bunu yaparak bir Active Directory domain controller’a ihtiyaç duymadan IPSec policy’lerinin tutarlılığını sağlamış olursunuz.
Gerçek Dünya Senaryosu
Bir Güvenlik Mimarisinde IPSec Kullanımı
Organizasyonunuzda güvenlik her zaman önemlidir, fakat son zamanlarda her zamankinden
daha fazla önem arz ediyor. Size bilgi sistemi ile ilgili her durumu güven altına almanız söylendi.
Aynı zamanda şirketinizin güvenlik kalkanının bir parçasına sahipsiniz. Bununla birlikte, hat boyunca ilerleyen TCP/IP paketleriniz var ve bu paketlerin sizin güvenliğinizi ihlal edecek şekilde
toplanabilir ve görüntülenebilir durumda olduğunun farkındasınız.
IPSec’in firmanızın güvenlik mimarisini tamamlamaya güçlü bir aday olduğunu ve Windows Server 2003’ün IPSec’i çok iyi bir şekilde desteklediğini biliyorsunuz. Aslında iyi bir plan yapmadan
hemen bu işe koyulmak oldukça kolaydır. Bu yapılan genel bir hatadır. Birçok Windows Server
2003 servisinin kurulumu – bu noktada Windows Server 2003’ün kendisi bile – örneğin IPSec
Policy Wizard’ı çalıştırmak birçok kullanıcı için oldukça kolaydır. Bir servis IPSec’in bu şekilde
kurulumunu engelleyebilir. Kurulum sorunsuz bir şekilde gerçekleşebilir fakat belki çalışmayacaktır. Burda küçük bir teknik ayrıntı vardır! IPSec ile ilgili aklınızda tutmanız gereken IPSec’in
bir security policy uygulama aracı olduğudur. IPSec ile ne yapmaya çalışığınıza ve hangi özellik
ve yapılandırma metotlarının bunu yapmak için uygun olduğunu belirleyecek bir security policy
oluşturmalısınız.
IPSec’in organizasyonunuza getirdiği faydaları bilmenize rağmen, uygulamalarınızı yerine getirecek olan IPSec bileşenlerini tam olarak anlamak için biraz zamana ihtiyacınız olacaktır. Bu
bileşenler kimlik doğrulama, şifreleme ve içerik bütünlüğüdür. Bu ya da diğer bileşenlerde problemler varsa IPSec çalışmayacaktır. Aynı zamanda makineler arasındaki iletişim yolunun her iki
tarafında bu yapılandırma bileşenlerinin eşleşmesi gerektiğini unutmayın.
IPSec Policy’lerini Yapılandırmak
IP Security Policy Wizard kullanarak yeni bir policy oluşturduğunuzda hala bunu özelleştirmek
zorundasınız. Bunu rule’ları, filter’ları ve security action’ları ekleyip silebildiğiniz ve yönetebildiğiniz policy Properties diyalog kutusu ile yaparsınız. Properties diyalog kutusunda iki ayrı sekme
vardır: General sekmesi policy adı gibi genel policy ayarlarını içerir, Rules sekmesi ise policy ile
ilişkilendirilmiş rule’ları düzenlemenizi sağlar. Aşağıdaki kısımlarda her iki sekmedeki ayarların
nasıl yapılandırıldığını göreceksiniz.
General Sekmesi ile Genel Özelliklerin Ayarlanması
Policy Properties diyalog kutusunun (Bakın Şekil 4.4) General sekmesinde IPSec snap-in’de görüntülenen policy adı ve açıklamasını değiştirebilirsiniz. Policy’leriniz için her birinin neyle yükümlü olduğunu hatırlatacak şekilde anlamlı isimler kullanmak iyi bir fikirdir. Policy’yi kullanan istemcilerin güncelleştirmeleri kontrol etmesi için kullanacağı zaman aralığını değiştirmek için Check
For Policy Changes Every alanını kullanın. Varsayılan 180 dakika değeri birçok uygulama için
uygundur, çünkü bu policy’leri sıklıkla değiştirmeniz pek olası değildir.
Settings butonu Key Exchange diyalog kutusu üzerinden bu policy tarafından kullanılan anahtar
değişimi ayarlarını değiştirmenizi sağlar (Bakın Şekil 4.5). Bu diyalog kutusundaki kontroller, belirli bir zaman (varsayılan olarak 8 saat) ve belirli bir sayıda oturumdan sonra policy’nin ne sıklıkta
yeni bir anahtar oluşturması gerektiğini kontrol eder. Master Key Perfect Forward Secrecy (PFS)
seçeneği her oturum için SA’nın yeniden authenticate olmasını isteyip istemediğinizi belirler. Bu
seçeneği etkin hale getirmek, devre dışı bırakmaktan daha yüksek seviyede bir güvenlik sağlar
159
160
Bölüm 4
fakat performans tersi yönde etkilenebilir. Methods butonu anahtar değişimi işlemini korumak için
kullanılacak olan security method’larının listesini görüntüler. Policy metod listesinden her zaman
en yüksek düzeydeki güvenliği dener örneğin
Eğer Windows 2000 istemcileriniz var ve 3DES kullanı3DES. Eğer karşı taraf bu metodu işleyemezse
yorsanız Windows 2000 istemciler High Encryption Pack
listedeki daha az güvenli metodları kullanmayı
ya da Service Pack 2 veya daha üstüne sahip olmalıdır.
dener.
Şekil 4.4: Policy Properties diyalog kutusu General sekmesi.
Şekil 4.5: Key Exchange Settings diyalog kutusu.
Rules Sekmesi İle Rule’ları Yönetmek
Policy Properties diyalog kutusu Rules sekmesi IPSec policy’lerle ilgili rule’ları değiştirebilmenizi
sağlar. Şekil 4.6’ya göz atın ve Server (Request Security) policy için ruleset’in ne şekilde olduğunu görün.
Bu sekmede görebileceğiniz en önemli şeyler şu şekildedir:

Burada her biri bir filter list, bir filter action ve authentication metodunu birbirine bağlayan üç
rule vardır. Tek bir policy istediğiniz kadar sayıda rule barındırabilir. Farklı durumlarda uygulanan belirli sayıda rule’a sahip olmak genel bir yaklaşımdır. Aynı zamanda bir Active Directory
domain’inde ya da lokal policy deposunda tanımlanmış birçok farklı policy’nin olması da genel
yaklaşımdır.
Şekil 4.6: Policy Properties diyalog kutusu Rules sekmesi.

Her rule’un yanında, o rule’un aktif olup olmadığını kontrol eden bir onay kutusu bulunur. Bu onay
kutularını kullanarak bir policy içinde rule’ları tek
tek etkin hale getirebilir ya da devre dışı bırakabilirsiniz.

Add, Edit ya da Remove butonları ile bu rule listesini işleyebilirsiniz. Rule’ların, bulundukları sıraya
göre değerlendirilmeyeceğini ve onları tekrar sıralamaya gerek olmadığını hatırlayın.

Use Add Wizard onay kutusu yeni bir rule oluşturmak için Security Rule Wizard’ın kullanılıp kullanılmayacağını kontrol eder (varsayılan olarak bu
onay kutusu işaretlidir). Bu onay kutusu işaretli değilken Add butonuna tıkladığınızda, bir şeyleri elle
yapılandırabileceğiniz Edit Rule Properties diyalog
kutusu görüntülenir.
IP Seviyesinde Güvenlik Yönetimi
Bir rule seçip Edit butonuna tıkladığınızda ya da Use Add Wizard onay kutusu işaretli değilken
yeni bir rule oluşturduğunuzda Edit Rule Properties diyalog kutusu görüntülenir (her bir rule için
ilişkilendirilmiş bir tane). Edit Rule Properties diyalog kutusunda beş farklı sekme vardır. Create New
IP Security Rule Wizard yaptığınız seçime göre
sekmeleri getirecektir fakat sekmeleri elle doldurabilmek için her bir rule için hangi ayarlara sahip olduğunu bilmeniz gerekir. Bunun için sihirbazın tüm
adımlarını izlemek yerine, her bir sekmedeki ayarlara bakacağız.
IP Filter List Sekmesi
IP Filter List sekmesi (Bakın Şekil 4.7) bu rule ile
ilişkilendirilmiş olan filter list’leri gösterir. Sunucunuzda tanımlanan filter list’ler IP Filter List listesinde
görünür. Bunlardan herhangi bir tanesini bu rule’un
sonucunda uygulanacak şekilde seçebilirsiniz. Eğer
isterseniz filter list’leri burada ya da sonraki kısımda
açıklanan Manage IP Filter Lists And Filter Actions
diyalog kutusunda ekleyebilir ya da kaldırabilirsiniz
Filter Action Sekmesi
Şekil 4.7: Edit Rule Properties diyalog kutusu IP Filter List
sekmesi.
Filter Action sekmesi (Şekil 4.8) policy içinde tanımlananan tüm filtreleri gösterir. Herhangi bir filter action’ı
bir rule’a uygulayabilirsiniz. Bir filter list’i bir filter action ile birleştirdiğinizi hatırlayın, fakat istediğiniz kadar
rule’u bir policy içinde gruplandırabilirsiniz. Add, Edit
ve Remove butonlarını kullanarak filter action’ları ekleyebilir, düzenleyebilir ve silebilirsiniz. Use Add Wizard onay kutusu yeni bir filter action ekleme işleminin IP Security Filter Action Wizard ile başlamasını ya
da Properties diyalog kutusunun açılmasını kontrol
etmek için kullanılır.
Authentication Methods Sekmesi
Authentication Methods sekmesi bir rule’un kullanmasını istediğiniz bir ya da daha fazla kimlik doğrulama metodunu tanımlamanıza izin verir. Burada
birden fazla metodunuz listelenmiş olabilir, eğer öyleyse, IPSec bunları listedeki görüntülenme sıralarına
göre kullanmaya çalışacaktır. Burada önceden bahsi
geçen üç seçenek var: Kerberos, certificates ya da
preshared keys.
Şekil 4.8: Edit Rule Properties diyalog kutusu Filter Action sekmesi.
Tunnel Setting Sekmesi
Tunnel Setting sekmesinde bu rule’u başka bir sistem (ya da tunnel endpoint) ile bir IPSec tunnel
oluşturacak şekilde belirleyebilirsiniz. Bununla ilgili daha fazlasını bu bölümdeki “Tunnel Mode
İçin IPSec Yapılandırması” kısmından okuyabilirsiniz.
Connection Type Sekmesi
Connection Type sekmesi (Şekil 4.10) bu IPSec rule’un uygulandığı bağlantı çeşitlerini tanımlamak için kullanılır. Örnek olarak dial-up ve LAN bağlantılarınız için kullanıcılarınız, bağlandıkları
yer ve bağlı bulunduklarında ne yaptıkları bazında farklı rule’lar tanımlamak isteyebilirsiniz. Temel
seçiminiz kolaydır: Bu rule’un uygulanacağı bağlantı tiplerini seçmek için kullanacağınız üç radyo
butonu vardır. All Network Connections butonu varsayılan olarak seçilidir, bu yüzden yeni bir rule
161
162
Bölüm 4
oluştururken, bu rule hem LAN hem de remote access connection’lar için uygulanacaktır. Eğer
rule’un sadece LAN ve RAS bağlantılarını kapsamasını isterseniz sadece ilgili butonu seçin.
Şekil 4.9: Edit Rule Properties diyalog kutusu Authentication Methods sekmesi.
Şekil 4.10: Edit Rule Properties diyalog kutusu Connection
Type sekmesi.
Filter List ve Action’ların Yönetimi
IP filter list’leri ve filter action’ları Edit Rule Properties diyalog kutusundan yönetebilmenize rağmen snap-in tarafından sağlanan yönetim araçlarını kullanmak daha anlaşılabilir olabilir. Bu yüzden filter list’ler ve action’lar tek başlarına rule içinde değil, policy ile birlikte depolanır. Bir policy
kapsamı içinde (örneğin default domain policy) oluşturulan filter list’ler ve action’lar o kapsam
içindeki tüm policy’ler için kullanılabilirdir.
Filter list ve filter action’ları Edit Rule Properties diyalog kutusundaki ilgili sekmeleri kullanarak yönetebilirsiniz. Fakat gerçek durumu anlaşılmaz hale getirecek şekilde buradaki tüm öğeler aslında
herhangi bir policy içindir. Bunun yerine pop-up menüden (IP Security Policies öğesi üzerinde ya
da IPSec snap-in’inin sağ penceresinde sağ tıklayarak) Manage IP Filter Lists And Filter Actions
komutunu kullanabilirsiniz. Bu komut iki adet sekmesi olan Manage IP Filter Actions diyalog kutusunu görüntüler. Bu sekmedeki öğelerin çoğu kendinden açıklamalıdır. Bilhassa Add, Edit ve
Remove butonlarının (ve Use Add Wizard onay kutusu) fonksiyonlarının bu noktada açık olması
gerekir. Kontrolleri tekrar kullanmak yerine birbirine
uyacak yeni bir filter list ve action tanımlama işlemine göz atabilirsiniz.
IP Filter List’ler ve Yeni Filter’lar Eklemek
Windows Server 2003 kurduğunuzda iki adet varsayılan IP filter vardır: Bir adet tüm IP trafiği için ve bir
adet tüm Internet Control Message Protocol (ICMP)
trafiği için. Biraz dana seçici olduğunuzu düşünelim. Örneğin sizin firmanız ile firmanızın avukatlık
bürosu arasındaki web trafiğini güvenli hale getirmek için bir policy oluşturmak istiyorsunuz. İlk olarak Manage IP Filter Lists And Filter Actions diyalog
kutusundaki Şekil 4.11’de görünen Manage IP Filter
Lists sekmesini açmanız gerekir.
Şekil 4.11: Manage IP Filter Lists And Filter Actions sekmesi.
Filtre listesi buradaki sıraya göre kullanılmadığından, listedeki öğeleri yeniden sıralamaya gerek olmamakla birlikte bu öğeleri ekleyebilir, düzenleyebi-
IP Seviyesinde Güvenlik Yönetimi
lir ve kaldırabilirsiniz. Yeni bir filter list eklerken ya da düzenlerken IP Filter List diyalog kutusunu
göreceksiniz (Bakın Şekil 4.12). Bu diyalog kutusu filter list için ad ve açıklama bilgileri belirleyebilmenizi ve ardından listeyi oluşturmak için filter ekleyebilmenizi, kaldırabilmenizi ve düzenleyebilmenizi sağlar.
Bir filter’ı düzenlerken ya da yeni bir filter eklerken üç kategoride bilmeniz gerekenler vardır:
Filter’ın kullanmasını istediğiniz kaynak ve hedef adresleri: Bu tek bir IP adresi, tek DNS adı
(hawk.chellis.net, chellis.net ve .net gibi herhangi bir seviyede) ya da subnet olabilir.
Aynı zamanda kaynak ve hedef adreslerini göstermek için “my” ve “any” özel adresleri (örneğin
My IP Address, Any IP Address gibi) vardır.
Filter’ın mirror edilmesini isteyip istemediğiniz: Bir mirrored filter otomatik olarak bu filter’ın
tersini filtreler. Örneğin, sizin IP adresinizden uzak bir adrese bir filter ayarladığınız ve bunu sadece 80 numaralı porta izin verecek şekilde yapılandırdığınızda, mirror seçeneği ile uzak adresten
size doğru 80 numaralı port üzerinde gelecek
trafiğe izin veren bir filter elde etmiş olursunuz.
Filter’ın uygulanmasını istediğiniz protokoller ve portlar: Herhangi bir protokol tipini
seçebilirsiniz (örneğin TCP, UDP, ICMP, EGP,
RDP ve RAW gibi) ve özel olarak kaynak ve
hedef portları seçebilir ya da daha sonra ele
alacağımız From Any Port ve To Any Port radyo butonlarını kullanabilirsiniz.
Bu bilgileri filter’a girmek için IP Filter Properties diyalog kutusunu kullanırsınız. IP Filter diyalog kutusu içinde Add ya da Edit butonlarını
kullanırken uygun filter (yeni bir tane ya da Edit Şekil 4.12: IP Filter List diyalog kutusu.
butonuna tıklamadan seçtiğiniz filtre) için Properties diyalog kutusunu göreceksiniz. Diyalog kutusu üç adet sekmeye sahiptir: Description,
Addresses ve Protocol. Description sekmesi filter’ı adlandırmak ve açıklama bilgisi girmek için
kullanılır. Aşağıdaki kısımlarda diğer iki sekmeye göz atacağız.
Addresses Sekmesi
Bu filter’ın eşleşmesini istediğiniz kaynak ve hedef
adreslerini belirlediğiniz yer Addresses sekmesidir
(Bakın Şekil 4.13). Kaynak adresi için IPSec sunucuya atadığınız IP adresini, any IP adresi, spesifik
bir DNS adresi ya da IP adresi ya da spesifik bir IP
subnet’i kullanmayı seçebilirsiniz. Aynı şekilde hedef adres için IPSec sunucu adresi, any IP adresi
ya da spesifik DNS adı, subnet ya da IP adresi seçebilirsiniz. Bunları filter’ın ne şekilde harekete geçmesini istediğinizi belirlemek için bir kombinasyon
içinde kullanırsınız. Örneğin “Benim adresimden
a.b.c.d adresine herhangi bir trafiği eşle” şeklinde
bir rule oluşturabilirsiniz. Aynı zamanda All IP Traffic filter: sizin IP adresinizden (herhangi bir port üzerinden) herhangi bir hedef adrese yönelen trafikle
eşleşecek şekilde bir filter oluşturabilirsiniz.
Aynı zamanda Mirrored onay kutusunu kullanarak bir karşıt rule oluşturabilirsiniz. Örneğin “All IP
Şekil 4.13: IP Filter Properties diyalog kutusu Adresses
sekmesi.
163
164
Bölüm 4
Traffic” rule’unun mirror edilmiş hali herhangi bir IP adresi herhangi bir portu üzerinden sizin IP
adresinize gelen trafik ile eşleşir. Mirror etme işlemi hem gelen hem de giden trafik için filter’ları
ayarlama işlemini kolaylaştırır.
Protocol Sekmesi
Protokol sekmesi belirlenen bir protokolü kullanan özel bir port üzerinden gelen ya da gönderilmekte olan trafiği eşlemenize izin verir. Bu oldukça kullanışlıdır çünkü UDP 80 kaynak portu ile
TCP 80 hedef portu tamamen farklıdır. Select A Protocol Type menüsünü kullanarak Set The IP
Protocol Port kontrol grubu ile bu filter’ın eşleşmesini istediğiniz protokol ve portları belirlersiniz.
Yeni Bir Filter Action Eklemek
Manage Filter Actions sekmesi geçerli IPSec
policy’leri grubunda tanımlanan filter action’ları listeler. İhtiyaçlarınıza göre filter action ekleyebilir, düzenleyebilir ya da kaldırabilirsiniz. Windows Server
2003’ün bir parçası olarak üç filter action’ınız vardır:
Permit, Request Security (Optional) ve Require Security. Bu filter action’lar sizin ihtiyaçlarınızı büyük
olasılıkla karşılayacaktır. Fakat yine de policy’lerin
nasıl oluşturulduğunu bilmek bunu Microsoft’un sizin yerinize yapmasından daha iyi bir fikirdir.
Şekil 4.14: IP Filter Properties Protocol sekmesi.
Add butonunu kullanarak her hangi bir tanımlanmış
policy için kullanılabilecek bir filter action ekleyebilirsiniz. Use Add Wizard onay kutusu normalde seçilidir, bu yüzden varsayılan olarak IP Security Filter
Action Wizard karşınıza gelecektir. Bununla birlikte,
bir filtre ile ilgili özellikler sayfalarına göz atalım.
Use Add Wizard onay kutusu seçili değilken Add butonuna tıkladığınızda ilk göreceğiniz New
Filter Action Properties diyalog kutusu Security Methods sekmesi olacaktır (Bakın Şekil 4.16).
Şekil 4.15: Manage Filter Actions sekmesi.
Şekil 4.16: New Filter Action Properties diyalog kutusu
Security Methods sekmesi.
Bu sekmeyi bu filter action’ın kullanmasını istediğiniz metodları seçmek için kullanırsınız. Permit
ya da Block yerine Negotiate Security radyo butonunu seçerek kendi ihtiyaçlarınıza uygun şekilde
AH ve ESP algoritmalarını seçerek kendi özel security method’larınızı oluşturabilirsiniz. Security
method’ları listesininin hemen altındaki üç onay kutusu IPSec konuşamayan bir bilgisayardan bir
IP Seviyesinde Güvenlik Yönetimi
bağlantı talebi geldiğinde bu bilgisayarın ne yapacağını kontrol eder. Bu aşağıdaki seçenekleri
içerir:

Accept Unsecured Communication, But Always Respond Using IPSec onay kutusu bu action’ı
gelen bağlantı taleplerinin bir IPSec negotiation mesajı ile cevaplanacağı şeklinde tanımlar.
Eğer karşı taraf IPSec kullanamıyorsa, bilgisayar herhangi bir güvenlik içermeyen gelen talepleri kabul edecektir.

Allow Unsecured Communication With Non-IPSec-Aware Computers onay kutusu action’ı
herhangi bir – IPSec kullanabilen ya da kullanamayan – bilgisayarın bağlanmasına izin verecek şekilde yapılandırır. IPSec kullanamayan herhangi bir makine normal olarak güvensiz
bağlantı kullanacaktır. Varsayılan olarak bu onay kutusu seçili değildir; eğer bunu seçerseniz,
IPSec policy’lerinizin kesinlikle uygun olarak ayarlandığından emin olmalısınız. Eğer uygun
şekilde ayarlanmamışlarsa, IPSec kullandığını düşündüğünüz bazı bilgisayarlar güvensiz bir
şekilde bağlanabilirler.

Session Key Perfect Forward Secrecy (PFS), var olan master key şifreleme materyalinin yeni
bir session key elde edilebileceğini belirlemek için kullanılır. Session key PFS etkinleştirildiğinde bir yeni Diffie-Hellman anahtar değişimi, yeni bir session key oluşturulmadan önce yeni
bir master key şifreleme materyali üretme işini yerine getirir. Session key PFS main mode
yeniden kimlik doğrulama gerektirmez ve master key PFS’ten daha az kaynak kullanır.
Alıştırma 4.2’de her zaman kullanılacak şekilde Server (Request Security) policy ataması yapacaksınız. Alıştırma 4.3’de bunu biraz karıştıracaksınız. Oluşturduğunuz tüm IPSec policy’leri var
sayılan olarak transport mode (tunnel mode değil) policy’ler olacaktır. Bu aynı zamanda default
local computer ve domain IPSec policy’leri için de doğrudur. Bu alıştırmada, lokal bilgisayar Server (Request Security) policy ayarlarını birlikte çalışabilirliği artıracak şekilde değiştireceksiniz.
Alıştırma 4.3: Lokal Bilgisayar IPSec Policy ve Rule’larını Transport Mode İçin Özelleştirmek ve
Yapılandırmak
1. Start > Run seçip MMC yazın ve OK butonuna tıklayın. Boş bir MMC konsol penceresi görüntülenecektir.
2. File > Add/Remove Snap-In komutunu seçin. Add/Remoce Snap-In diyalog kutusu görüntülendiğinde Add butonuna tıklayın.
3. Add Standalone Snap-In diyalog kutusunda snap-in listesini işaretli bir IP Security Policy Management görene kadar aşağıya doğru kaydırın ve bunu seçip Add butonuna tıklayın.
4. Select Computer diyalog kutusu görüntülenir. Local Computer radyo butonunu seçip Finish
butonuna tıklayın.
5. Add Standalone Snap-In diyalog kutusunda Close butonuna tıklayın ve ardından Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
6. MMC’de IP Security Policies On Local Computer node’unu seçin MMC’nin sağ bölümünden
Server (Request Security) policy üzerinde sağ tıklayın ve Properties komutunu seçin. Server
(Request Security) diyalog kutusu görüntülenir.
7. All IP Traffic rule’unu seçin ve Edit butonuna tıklayın. Edit Rule Properties diyalog kutusu
görüntülenir.
8. Filter Action sekmesine geçin. Request Security (Optional) filter action’ı seçin ve ardından
Edit butonuna tıklayın. Bu filter action’ın Properties diyalog kutusu görüntülenir.
9. Add butonuna tıklayın. New Security Method diyalog kutusu görüntülendiğinde Custom radyo
butonuna ve ardından Settings butonuna tıklayın.
10. Custom Security Method Settings diyalog kutusunda Data And Address Integrity Without Encryption (AH) onay kutusunu ve ardından listeden SHA1 seçin. Alttaki (ESP) listeyi kullanarak,
Integrity için SHA1 ve Encryption için 3DES ayarlayın.
165
166
Bölüm 4
11. İlk olarak Generate A New Key Every onay kutusunu işaretleyin ve key oluşturma zaman
aralığını 24,000 Kbyte’a ayarlayın (Bu değer 20,480-2,147,483,647 Kb aralığında olmalıdır).
Ardından Generate A New Key Every onay kutusunu seçin ve key oluşturma zaman aralığını
1800 saniye olacak şekilde belirleyin.
12. Custom Security Method Settings diyalog kutusunda OK butonuna tıklayın ve ardından New
Security Method diyalog kutunda OK butonuna tıklayın.
13. IP Filter Properties diyalog kutusu görüntülendiğinde Move Up butonunu kullanarak az önce
tanımladığınız custom filter’ı listenin en başına getirin.
14. IP Filter Properties diyalog kutusunda OK butonuna tıklayın.
15. Edit Rule Properties diyalog kutusunda Close butonuna tıklayın ve ardından Server (Request
Security) Properties diyalog kutusunda OK butonuna tıklayın.
IPSec’i Tunnel Mode İçin Yapılandırmak
Şu ana kadar IPSec’i birincil olarak transport mode’da değerlendirdik. Önceden okuduğunuz gibi
IPSec’i aynı zamanda tunnel mode’da da kullanabilirsiniz. IPSec tunnel’ı birçok yararlı ve ilginç
şeyi yapmak için kullanabilirsiniz. Örneğin, iki subnet arasında – bir internetwork içinde etkin bir
şekilde birbirlerini bağlamak için – birbirlerinin arasında özel bir bağlantıya gerek kalmadan bir
tunnel kurabilirsiniz.
IPSec tunneling istemcilerin remote access VPN bağlantıları kurması amacında değildir. Bunun
yerine Windows Server 2003 network’ünüzü L2TP + IPSec ya da Point-to-Point Tunneling Protocol (PPTP) desteklemeyen uzak aygıtlara (örneğin bir Cisco PIX) bağlamak için kullanırsınız.
Aynı zamanda direk olarak iki IP adresini bağlamak için de tunnel oluşturabilirsiniz.
Her iki yolda da standart transport mode için yaptığınız gibi, kaynak ve hedef IP adresleri ile
eşleşen bir filter oluşturarak bir tunnel kurarsınız. Tunnel üzerinde ESP ve AH kullanmak bir
authenticated tunnel (sadece AH), bir şifrelenmiş tunnel (sadece ESP) ya da bu ikisinin kombinasyonunu sağlar. Bu yaklaşımı bir filter action ve security method belirleyerek kontrol edersiniz.
Bununla birlikte, bir tunnel oluşturduğunuzda bunu port ya da protokol bazında filtreleyemezsiniz,
Windows Server 2003 IPSec takımı bunu desteklemez.
Şekil 4.17: Biasit bir tunnel için filter list’ler.
IP Seviyesinde Güvenlik Yönetimi
Düzgün bir şekilde bir tunnel yapmak için, aslında her iki uç için iki filter’a ihtiyacınız var: Bir adet
inbound trafik için ve bir adet outbound trafik için. Microsoft tunnel rule’larını mirror etmemeniz
yönünde uyarır. Bunun yerine iki network’ü bağlamak isterseniz, ayarları Şekil 4.17’de görüldüğü gibi belirlemeniz gerekecektir. Herbir tarafın rule’u bir adet inbound trafik için ve bir adet
outbound trafik için olmak üzere iki filter’a sahiptir. Atlanta filter giden trafik için Seatle router’ı
bir tunnel endpoint olacak şekilde bir filter ve gelen
trafik için herhangi bir IP subnet’inden gelen Atlanta tunnel endpoint’i işaret eden trafiği belirleyecek
şekilde başka bir filter’ı tanımlar. Bu iki filter list’inin
birleşimi ile bağlantı için istediğiniz güvenlik tipini
sağlayan bir filter belirleyebilirsiniz.
Bir bağlantının tünellenip tünellenmediğini Edit
Rule Properties diyalog kutusu Settings sekmesini
kullanarak bir rule temelinde belirlersiniz. Server’ı
(Request Security) seçtikten sonra sağ tıklayıp Properties seçin. Properties diyalog kutusunda All IP
Traffic rule’u seçin ve Edit Rule Properties diyalog
kutusuna tıklayın. Son olarak Tunnel Settings sekmesini seçin (Bakın Şekil 4.18). İki radyo butonu
bu rule’un bir tunnel kurup kurmayacağı belirler.
Varsayılan buton This Rule Does Not Specify An
IPSec Tunnel radyo butonudur. Bu rule ile tunneling işlemini ekinleştirmek için The Tunnel Endpoint
Is Specified By This IP Address seçin ve remote
endpoint’in IP adresini girin.
Şekil 4.18: Edit Rule Properties diyalog kutusu Tunnel Settings sekmesi.
Alıştırma 4.4’de IPSec tunnel mode için bir policy yapılandıracaksınız.
Alıştırma 4.4: IPSec Tunnel Mode İçin Bir Policy Yapılandırmak
Bu alıştırma Administrator hakları ile erişebildiğiniz iki farklı makine kullanmanızı gerektirmektedir. Bunlara makine A ve makine B adlarını verelim. Başlamadan önce bunların IP adreslerine
ihtiyacınız var ve makinelerin lokal IPSec policy’lerini bir MMC konsolu içinde açmanız gerekir. İlk
olarak A makinesini yapılandıralım:
1. IP Security Polices On Local Computer üzerinde sağ tıklayın, ardından Create IP Security
Policy komutunu seçin. IP Security Policy Wizard görüntülenir. Next butonuna tıklayın.
2. Policy’yi Tunnel To B şeklinde isimlendirin ve Next butonuna tıklayın.
3. Requests For Secure Communication sayfasında, Activate Default Response Rule onay kutusunu temizleyin ve Next butonuna tıklayın.
4. Wizard’ın özet sayfası görüntülendiğinde Edit Properties onay kutusunun seçili olduğundan
emin olun ve ardından Finish butonuna tıklayın. Tunnel To B Properties diyalog kutusu görüntülenir. Rules sekmesi üzerinde Add butonuna tıklayın. Welcome To The Create IP Security
Rule Wizard başlayacaktır. Next butonuna tıklayın.
5. Wizard’ın Tunnel Endpoint sayfasında The Tunnel Endpoint Is Specified By The Following IP
Address’i seçin ve B makinesinin IP adresini girin. Next butonuna tıklayın.
6. Network Type sayfasında, Local Area Network (LAN) seçin ve Next butonuna tıklayın.
7. All IP Traffic radyo butonuna tıklayın ve Next butonuna tıklayın.
8. Filter Action sayfasında Request Security (Optional) radyo butonunu seçin ve Next butonuna
tıklayın.
9. Authentication Method sayfasında Active Directory Default (Kerberos V5 protocol) seçin ve
Next butonuna tıklayın.
167
168
Bölüm 4
10. Edit Properties onay kutusunu temizleyin, Finish ve ardından OK butonlarına tıklayın.
Şimdi 1–10 arasındaki adımları B makinesi için tekrarlayın, 2–5 arasındaki adımlarda uygun IP
adresleri ve isimler (örneğin Tunnel To A, makine A’nın IP adresi) kullanarak rule’lar oluşturun
IPSec Yönetimi ve İzleme
IPSec’in nasıl yapılandırıldığını bildiğinize göre, bunun nasıl yönetildiğini ve izlendiğini öğrenme
vakti geldi. IPSec’in yönetimi oldukça basittir, çünkü işinizin yaklaşık %90’ı korumak istediğiniz
trafik ve host’ları doğru bir şekilde belirlemek için filter list’lerin ve rule’ların oluşturulması ve filter
action’ların oluşturulmasıdır. Geriye kalan %10’luk kısım oluşturduğunuz rule’ların izlenmesi ve
sorun giderme olacaktır.
Bilgisayarınızda IPSec’i izleyebileceğiniz bir çok yol vardır, fakat bunlardan en yararlı olanlar,
aşağıdaki kısımlarda göreceğiniz gibi IP Security Monitor’de spesifik bilgisayarlar arasındaki trafiği ve security association’ları görüntülemek ve IPSec ile ilgili olaylar için event log’ları kontrol
etmektir.
IP Security Monitor’ü Kullanmak
Windows Server 2003’de IP Security Monitor bir MMC snap-in olarak karşımıza gelir. Bu snap-in
sizin domain ya da lokal seviyedeki IPSec policy’lerinizle ilgili detaylara bakabilmenizi ve sizin
main mode ve quick mode istatistiklerini görebilmenizi sağlar. Buna ek olarak aktif SA’ları görüntüleyebilir ve karmaşık filter’ları çalıştırabilirsiniz.
Başlamak için MMC içinde IP Security Monitor snap-in’i kurmalısınız. Alıştırma 4.5 bu snap-in’i
nasıl ekleyeceğinizi gösterir.
Alıştırma 4.5: IP Security Monitor’ü MMC’ye Eklemek
1. Start > Run seçin ve MMC yazıp OK butonuna tıklayın.
2. File menüsünden Add/Remove Snap-In seçin ve Add butonuna tıklayın.
IP Security Monitor’ü sadece
Windows XP ya da Server 2003’ü
izlemek için kullanabilirsiniz.
3. Snap-in listesinden IP Security Monitor’ü seçin ve Add butonuna tıklayın. Close butonuna ardından OK butonuna tıklayın. MMC’ye geri döneceksiniz ve snap-in soldaki pencerede görüntülünecektir.
4. MMC’yi kaydetmek için File > Save seçin ve bir isim ve konsolu kaydedeceğiniz bir lokasyon
belirleyin.
Şekil 4.19: IP Security Monitor snap-in.
IP Seviyesinde Güvenlik Yönetimi
IP Security Monitor snap-in’i Şekil 4.19’da görüntülenmektedir. Varsayılan olarak IP Security Monitor snap-in’i içinde lokal bilgisayar görüntülenir. Eğer network’teki diğer makineleri izlemek isterseniz sol taraftaki pencerede IP Security Monitor üzerinde sağ tıklayıp Add Computer seçerek
onları da kolayca ekleyebilirsiniz. Eğer bir domain ortamındaysanız, uzak bilgisayarları konsol
penceresine eklemek için yönetimsel haklara sahip olmalısınız.
İzlemekte olduğunuz makineye atanmış policy detaylarını görüntülemek için, IP Security Monitor’ü
ServerName, Active Policy şeklinde açın. Bu bölümün önceki kısımlarında tanımlanan policy ayrıntıları Şekil 4.20’de görüldüğü gibi sağ tarafta listelenir.
Şekil 4.20: Active Policy ayrıntıları.
Aynı zamanda IP Security Monitor’ü, main mode ve quick mode negotiation’ları için IP Security
istatistiklerini görüntülemek için de kullanabilirsiniz. Bunun için Main Mode ya da Quick Mode altında Statistics node’a tıklayın. Sağ pencerede çok çeşitli istatistikler görüntülenecektir ve alınan
ve gönderilen toplam byte sayıları, send/receive negotiation ya da authentication başarısızlıkları
gibi bilgiler ve daha fazlası görüntülenir. Main mode istatistikleri Şekil 4.21’de görülmektedir.
Şekil 4.21: Main mode istatistikleri.
Tablo 4.1 main mode istatistiklerini ve açıklamalarını listelemektedir.
169
170
Bölüm 4
Tablo 4.1: Main Mode İstatistikleri
İstatistik
Açıklama
Active Acquire
IPSec-enabled makineler arasında SA’ların kurulumunu başlatan bir IKE
negotiation için gereken taleplerin sayısı. Şu anki talepler ve kuyrukta
bekleyenlerle birlikte (yük özel olarak çok yüksek olmadıkça tipik olarak 0).
Active Receive
İşlenmeyi bekleyen IKE mesajlarının sayısı.
Acquire Failures
Önceki IPSec başlangıcında başarısız olan IPSec uçları arasında SA’ların
kurulması için gerekli talep sayısı.
Receive Failures
IPSec’in son başlagıcından beri IKE mesaj alım süreci sırasında meydana
gelen hata sayısı.
Send Failures
IPSec’in son başlagıcından beri başarısız olan outbund IKE mesajları sayısı.
Acquire Heap Size
IPSec uçları arasındaki SA’lar için başarılı outbound taleplerin sayısı.
Receive Heap Size
Gelen başarılı IKE mesaj sayısı.
Authentication Failures
IPSec’in son çalışmasından itibaren oluşan authentication hatalarının sayısı.
Hatalar, uyumsuz authentication metodlarından ya da yanlış authentication
metod yapılandırmasından kaynaklanıyor olabilir.
Negotiation Failures
IPSec’in son başlamasından itibaren meydana gelen negotiation
hatalarının sayısı. Hatalar uyumsuz authentication metodlarından, yanlış
authentication metod yapılandırmasından ya da uyumsuz güvenlik
yapılandırma veya ayarlarından kaynaklanıyor olabilir.
Invalid Cookies Recevied
Bir aktif main mode SA ile uyuşmayan cookie’lerin sayısı. Cookie’ler gelen
IKE mesajları içinde tutulur ve uygun olan main mode SA’yı tanımlamak
için kullanılır.
Total Acquire
IPSec’in yeniden başlamasından beri bir main mode SA kurma taleplerinin
sayısı.
Total Get SPI
IPSec driver’ına SA’lar ile inbound paketleri eşleştiren bir unique Security
Parameters Index için yapılan talep sayısı.
Key Additions
IPSec driver’ına eklenen outbound quick mode SA sayısı.
Key Updates
IPSec driver’ına eklenen inbound quick mode SA sayısı.
Get SPI Failures
IPSec driver’ına unique bir SPI için yapılan hatalı talep sayısı.
Key Addition Failures
IPSec driver’ına eklenen hatalı outbound quick mode SA sayısı.
Key Update Failures
IPSec driver’ına eklenen hatalı inbound quick mode SA sayısı.
ISADB List Size
Başarılı main mode kayıtlarının, beklemede olan main mode negotiation ve
başarısız ya da expired main mode negotiation sayılarının toplamı.
Connection List Size
Beklemede olan quick mode negotiation sayısı.
IKE Main Mode
IKE Quick Mode
IPSec’in son başlamasından itibaren main mode’da oluşturulan başarılı
SA’ların sayısı.
IPSec’in son başlamasından itibaren quick mode’da oluşturulan başarılı
SA’ların sayısı.
Soft Associations
IPSec etkin olmayan makinelerle oluşturulan fakat bilgisayarın policy’sinin
bağlantıya izin verdiği SA’ların sayısı. Soft associations IPSec secure
değildir.
Invalid Packets Received
Geçersiz header alanları, doğru olmayan payload uzunluğu ya da doğru
olmayan cookie değerleri olan IKE mesajlarının sayısı. Genellikle yeniden
gönderilen IKE mesajlarının ya da uyuşmayan preshared key’lerin
sonucudur.
IP Seviyesinde Güvenlik Yönetimi
Tablo 4.2 quick mode istatistiklerini ve açıklamalarını listelemektedir.
Tablo 4.2: Quick Mode İstatistikleri
İstatistik
Açıklama
Active Security Associations
Aktif quick mode SA’ların sayısı
Offloaded Security Associations
SA hızlandırmayı destekleyen NIC gibi özel donanımlarla
hızlandırılmış aktif quick mode SA’larının sayısı.
Pending Key Operations
Kuyrukta bekleyen fakat tamamlanmamış IPSec key exchange
sayısı.
Key Additions
En son yeniden başlamadan beri eklenen başarılı quick mode
SA’ların sayısı.
Key Deletions
En son yeniden başlamadan beri silinen başarılı quick mode
SA’larının sayıları.
Rekeys
En son yeniden başlamadan beri rekeyed quick mode SA’ların sayısı.
Active Tunnels
Aktif IPSec tunnel sayısı.
Bad SPI Packets
En son yeni başlamadan beri kötü bir SPI’dan etkilenen paket
sayısı. Genellikle bu bir paketi expired olmuş bir SA’ya erişme
girişiminde bulunduğu anlamına gelir. Bu istatistik, rekey zaman
aralığı küçük ise ve SA’ların sayısı çok büyükse ya da bir spoof atak
sırasında söz konusu ise yüksek olabilir.
Packets Not Decrypted
En son yeniden başlatmadan beri şifrelerinin çözülmesinde başarısız
olunan paketlerin sayısı. Bu bir paketin geçerlilik kontrolünde
başarısız olması durumunda gerçekleşebilir.
Packets Not Authenticated
Bilgisayar tarafından kaynağı doğrulanamayan paketlerin sayısı. Bu
değer yüksek ise, paket spoofing, modification atak ya da network
aygıtları tarafından bozulma söz konusu olabilir.
Packets With Replay Detection
En son yeniden başlamadan beri geçersiz sıra numarasına sahip
paketlerin sayısı.
Confidential Bytes Sent
ESP altında şifrelenerek gönderilmiş toplam byte sayısı.
Confidential Bytes Received
ESP altında şifrelenmiş alınan toplam byte sayısı.
Authenticated Bytes Sent
AH ya da ESP altında kimliği doğrulanmış gönderilen toplam byte
sayısı.
Authenticated Bytes Received
AH ya da ESP altında kimliği doğrulanmış alınan toplam byte sayısı.
Transport Bytes Sent
En son yeniden başlamadan beri transport mode’da gönderilen
toplam byte sayısı.
Transport Bytes Received
En son yeniden başlamadan beri transport mode’da alınan toplam
byte sayısı.
Bytes Sent In Tunnels
En son yeniden başlamadan beri tunnel mode’da gönderilen toplam
byte sayısı.
Bytes Received In Tunnels
En son yeniden başlamadan beri tunnel mode’da alınan toplam byte
sayısı.
Offloaded Bytes Sent
En son yeniden başlamadan beri donanıma bırakılarak gönderilen
toplam byte sayısı.
Offloaded Bytes Received
En son yeniden başlamadan beri donanım ile birlikte alınan toplam
byte sayısı.
IP Security Monitor aynı zamanda izlemekte olduğunuz makineye uyguladığınız filter’ları görüntülemek için kullanışlıdır. IP Security Monitor olmadan, hangi makineye hangi filter’ın uygulandığını hatırlamak güç olabilir. Main Mode ve Quick Mode kategorilerinin altında Generic Filters
ve Specific Filters node’larına tıklayarak network’ünüzdeki filter’ların niteliğini kolay bir şekilde
belirleyebilirsiniz. Filter’lar sağ pencerede filter adı, kaynak, hedef ve bunun gibi birçok detayla
171
172
Bölüm 4
birlikte görüntülenir. Bu konularla ilgili görüntülenen detaylar bu bölümdeki IPSec parametrelerinin ayarlanması kısmında tartışılmıştı.
Son olarak IP Security Monitor izlemekte olduğunuz bilgisayarın policy ve SA’larını görüntüler.
Bir policy’ye çift tıklayarak kullanılmakta olan AH ve ESP tiplerini görebildiğiniz gibi her metod için
anahtar yaşam sürelerini ve PFS ayarlarını görebilirsiniz. Security Association node’u iki bilgisayar arasındaki iletişimde sorun gidermek için kullanışlıdır. Sunucunun IP adresinin Me kolonunda
ve istemcinin IP adresinin Peer kolonunda listelendiğinden emin olmanız gerekir. Eğer değilse
SA geçersizdir.
IPSec Yönetimi İçin Netsh
Netsh ile çalışırken iki mod vardır: statik ve dinamik. Statik modu kullanarak policy’lerde değişiklikler yapabilirsiniz, örneğin, mevcut aktif IPSec policy’ye etki etmeden oluşturma ve değiştirme
yapmanız mümkündür. Diğer taraftan dinamik mod eğer servis çalışıyorsa mevcut aktif IPSec
policy’de değişiklik yapmanızı mümkün kılar.
netsh komutu ile erişilebilen bilgilere aynı zamanda bir önceki kısımda gördüğünüz IP Security
Monitor snap-in aracılığıyla da erişilebilir. Örneğin, aşağıdaki komut ile spesifik policy’lere bakabilirsiniz:
netsh ipsec static show policy=<policyname>
<policyname> kısmında bir policy adını kullanmanız gerekecektir. Diğer bir komut mevcut policy hakkındaki tüm bilgileri görüntüleyecektir:
netsh ipsec static show all
Aynı zamanda şunu kullanabilirsiniz:
netsh show <policyname>=all,
İstatistikleri görüntülemek için şu komutu kullanabilirsiniz:
netsh ipsec show stats
netsh aynı zamanda yeni policy’ler eklemek, rule’ları ayarlamak ve IPSec yönetimi ile ilgili diğer
fonksiyonlar için kullanılabilir. netsh hakkında daha fazla bilgi için http://www.microsoft.
com/technet/prodtechnol/windowsserver2003/libraryServerHelp/c30640b719e4-4750-82f6-61ca16e727d8.mspx adresine bakın.
Event Logging’i Kullanmak
Logon event’leri ve object access’ler için izlemeyi etkin hale getirirseniz bir sorunu gidermeye çalışırken oldukça yararlı olabilecek Event Viewer’da log’lanmış bilgilere sahip olacaksınız. Bilhassa, bir security association kurulumu sırasındaki IPSec event’leri. Bu event mesajları kullanılan
policy, filter ve filter action’larını ve ayrıca bağlantı üzerinde aktif olan security method’larını size
söyler. Tablo 4.3 en sık kullanılan event log mesajlarını listelemektedir. Bu listede bu mesajları ve
ne anlama geldiklerini göreceksiniz.
Tablo 4.3: Önemli IPSec Event Log Mesajları
Event ID
Nerede Olduğu
Açıklama
279
System log
IPSec Policy Agent tarafından üretilir; hangi policy’nin
yüklendiğini ve nereden geldiğini gösterir.
284
System log
IPSec Policy Agent tarafından üretilir; agent’ın bir policy’yi
getiremediği zamanlarda ortaya çıkar.
541
Security log
Bir IPSec SA’nın kurulduğuna işaret eder.
IP Seviyesinde Güvenlik Yönetimi
Tablo 4.3: Önemli IPSec Event Log Mesajları (devam)
Event ID
Nerede Olduğu
Açıklama
542
Security log
Bir IPSec SA’nın kapatıldığına işaret eder. Bu uzak makine ile
bağlantıyı kestiğinizde meydana gelir. (Aynı zamanda SA’nın
tipine bağlı olarak 543 event’i olarak da ortaya çıkabilir.)
547
Security log
IPSec SA negotiation’ın başarısız olduğuna işaret eder, bu
yüzden SA kurulamaz.
Alıştırma 4.6’da logon event’leri ve object access’leri için izleme olayını etkin hale getireceksiniz.
Log içinde herhangi bir şey görmek için birbiriyle konuşabilecek IPSec çalıştıran en azından iki
adet makineye ihtiyacınız olacaktır. Bu alıştırma sırasında kullandığınız makinelerin hangisinde
yönetimsel erişim hakkına sahip olduğunuzun önemi yoktur.
Alıştırma 4.6: IPSec Logon Aktivitelerinin İzlenmesi
Eğer bir domain controller kullanıyorsanız, Alıştırma 4.2’de kaydettiğiniz konsolu yükleyip alıştırmanın 2. adımından 5. adımına atlayabilirsiniz. Eğer stand-alone ya da workgroup sunucusu
kullanıyorsanız normal olarak ilerleyin.
1. Start > Run seçip MMC yazın ve OK butonuna tıklayın. Boş bir MMC konsolu görüntülenir.
2. File > Add/Remove Snap-In seçin. Add/Remove Snap-In diyalog kutusu görüntülendiğinde
Add butonuna tıklayın.
3. Add Standalone Snap-In diyalog kutusunda, işaretli bir Group Policy Object Editor görene
kadar snap-in listesini aşağıya doğru kaydırın. Daha sonra seçip Add butonuna tıklayın.
4. Select Group Policy Object diyalog kutusu görüntülenir. Local Computer seçeneğini işaretli
olarak bırakıp Finish butonuna tıklayın.
5. Add Standalone Sanp-In diyalog kutusunda Close butonuna tıklayın ve ardından Add/Remove Snap-In diyalog kutusunda OK butonuna tıklayın.
6. Audit Policy klasörünü arayın ve seçin (Local Computer [ya da domain] Policy, Computer
Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy).
7. Audit Logon Events kaydı üzerinde çift tıklayın. Local Security Settings diyalog kutusu grüntülendiğinde Success ve Failure onay kutularını işaretleyin ve ardından OK butonuna tıklayın.
8. Başka bir makineden az önce local security policy’yi değiştirdiğiniz makineye bir IPSec bağlantısı kurun.
9. Event log’u gözden geçirin ve IPSec negotiation’ın başarılı ya da başarısız olma durumlarını
gözleyin.
IPSec Aktivitelerini Network Monitor’de İzlemek
Bölüm 2’de Network Monitor’ün nasıl kullanıldığını görmüştünüz. O bölümde bilgisayarınızdaki
IP aktivitelerini nasıl gözden geçireceğinizi öğrendiniz. Network Monitor aynı zamanda ISAKMP
(IKE), AH ve ESP protokolleri için derleyiciler içerir. Network Monitor’de yakalanan verileri incelerken protokol kolonunda ISAKMP, AH ya da ESP için bakın. Eğer burda görüntülenmiyorsa,
bilgisayarınızda etkin IPSec policy’lerinin olmadığından emin olabilirsiniz. Eğer protokoller burada
listeleniyorsa, yakaladığınız IPSec aktivitelerini daha detaylı bir şekilde görüntülemek için üzerine
çift tıklayabilirsiniz.
Network Monitor’ün ESP için parser’ları ESP paketini, sadece null şifreleme kullanılmakta olduğunda ve tüm ESP paketi yakalandığında parse edebilir. Network Monitor IPSec güvenli ESP
trafiğinin şifrelenmiş kısmını, şifrelemenin yazılım tarafından gerçekleştirildiği durumda parse
edemez. Bununla birlikte şifreleme eğer bir IPSec donanımı network adaptörü tarafından gerçekleştiriliyorsa, Network Monitor tarafından yakalandıklarında ESP paketlerinin şifreleri çözülür,
sonuç olarak parse edilebilirler ve daha üst katmanlardaki protokoller ile yorumlanabilirler. Eğer
173
174
Bölüm 4
yazılım yoluyla şifreleme kullandığınız ESP iletişiminizi teşhis etmek isterseniz, her iki makinedeki IPSec policy’lerini değiştirerek ESP şifrelemeyi devre dışı bırakmalı ve ESP null şifrelemeyi
kullanmalısınız.
IPSec Sorun Giderme Teknikleri
IPSec’de sorun giderme biraz ustalık isteyen bir iştir. Microsoft çevrim içi yardım bu konuda birçok
açıklama içermektedir, fakat temel prensipleri anlamak çok da zor değildir. Elbette ilk olarak uzak
bilgisayara temel, korunmasız TCP/IP bağlantınızın olduğundan emin olmanız gerekir. Çünkü
IPSec IP ve UDP üzerinde çalışır, eğer hedef makinede düzenli bir şekilde IP datagram’larını
alamıyorsanız, IPSec paketlerini de aynı şekilde alamayacaksınız. Bu da IPSec tarafında sorun
gidermeye geçmeden önce, standart bağlantı ve isim çözümleme testlerini (network kablosunun
takılı olduğundan emin olmak gibi!) yapmanız gerektiği anlamına gelir. Aşağıdaki kısımlarda IPSec problemlerinin teşhisinde kullanabileceğiniz ek adımlara göz atılmaktadır.
Gerçek Dünya Senaryosu
IPSec Problemleri
Windows Server 2003’de IPSec’in çalışmasını sağlamak göreceli olarak kolaydır. Bazen işin zor
tarafı firewall’ları IPSec ile birlikte çalışabilir hale getirmektir. Windows Server 2003’de firewall’a
ek olarak, süreç daha da zor hale gelebilir. Network Address Translation (NAT) çoğu IPSec uygulaması için firewall üzerinden etkin hale getirilemez. Bu IPSec’in header bilgisinin protokolün
bir parçası olarak değiştirilmemiş olmasını beklerken NAT’ın IP header’ında değişiklik yapmasından kaynaklanır.
IPSec’in çalışabilmesi için bir firewall aracılığıyla geçmesine izin verilmesi gereken üç trafik tipi
vardır: IP Protokol ID 50, IP Protokol ID 51 ve UDP port 500. Bu trafik her iki yönde gelen ve
giden trafik için iletilebilmelidir. Bu konu hakkında daha fazla bilgiyi http://support.microsoft.com/kb/233256 adresinde bulabilirsiniz.
Eğer yapılandırmanın temel adımlarında bir IPSec problemi bulursanız ilk olarak firewall’a ve
firewall’ın ürettiği kayıtlara bakın.
Sıkça Karşılaşılan IPSec Sorunlarını Tanımlamak
IPSec ile alakalı en sık karşılaşılan sorun güvenli bir bağlantı üzerinden iki bilgisayarın haberleşememesidir. Ortaya çıkabilecek bazı problemlerin azaltılması için bazı temel adımlar yardımcı
olabilir:

Her iki bilgisayarda da IPSec’i durdurun ve her iki uca da ping atmaya çalışın. Eğer ping başarılı değilse, bağlantı temelinde birşeylerin yanlış olduğunu söyleyebiliriz. Aksi halde problemin
kaynağı büyük olasılıkla IPSec yapılandırması ile ilgilidir.

IPSec Policy Agent servisini yeniden başlatın ve IP Security Monitor’ü kullanarak iki makinenin eşleşen SA’lara sahip olduğunu doğrulayın.

IPSec Policy Management aracını kullanarak IPSec policy’lerinin her iki bilgisayara da atandığından ve birbirleriyle uyumlu olduğundan emin olun.
Gerçek Dünya Senaryosu
Windows 2000 ve IPSec
Windows 2000 istemcilerini içeren bir IPSec problemini çözmeye çalışırken Windows 2000 bilgisayarın servis pack’inin ya da şifreleme ayarlarının kontrol edildiğinden emin olun. 3DES’in,
Windows Server 2000 bilgisayarlar ile birlikte kullanılabilmesi için High Encryption Pack ya da
Service Pack 2 veya üstüne sahip olması gerektiğini hatırlayın.
IP Seviyesinde Güvenlik Yönetimi
Doğru Policy’nin Atandığından Emin Olmak
Eğer atadığınız bir IPSec policy yoksa ya da yanlış bir policy’niz varsa, bağlantınız başarısız olabilir. Policy’nin doğru bir policy olup olmadığını kontrol etmek için birçok farklı yol vardır.

Event log’unu event ID 279 için gözden geçirin. Bu IPSec Policy Agent’ın atanan policy’yi size
söyleme yoludur.

IP Security Monitor’de main mode’u bir security association kurulup kurulmadığını belirlemek
için kontrol edin ve ardından Statistics klasörünü dikkatli bir şekilde herhangi bir hata (negotiation failure, authentication failure, acquire failure, send failure gibi) durumu için kontrol edin.

Uygun Group Policy Object’sine (local computer policy de dahil olmak üzere) bir IPSec policy
atanıp atanmadığına bakın. Bir bilgisayar üzerinde lokal policy’leri düzenlemeyi denerken,
IPSec snap-in’i IPSec policy için atanan group policy için sizi uyarır.
Policy Uyumsuzluklarını Kontrol Etmek
Eğer her iki uçta da uygulanmış policy’leriniz olmasına rağmen hala bir bağlantı kuramıyorsanız, policy’lerinizin uyuşmuyor olması muhtemeldir. Bu durumun olup olmadığını doğrulamak için
event log’u event ID 547 için tekrar gözden geçirin. Eğer bu event ID ile ilgili bir hata bulursanız
hatanın açıklamasını dikkatlice okuyun, çünkü bu size önemli ipuçları verebilir. İki policy’de de
kullanılan authentication ve security method’larının en azından bir ortak ayarlarının olduğundan
emin olun.
Özet
Şu konular bu bölümde ele alınmıştır: Bu bölüm IPSec’in normal IP protokolü üzerinde kimlik doğrulama ve/veya şifrelemeyi sağlayarak ya da zorunlu kılarak network güvenliğini nasıl arttırdığını
inceledi. Bu bölüm aynı zamanda IPSec yönetim snap-in’inin kurulumu ve IPSec policy’lerinin
yapılandırılması üzerinde durdu. Özel security policy’lerin ve filter’ların oluşturulması süreci incelendiği gibi yerleşik security policy’lerin (Server [Request Security], Client [Respond Only] ve
Server [Require Security]) nasıl kullanıldığı da incelendi. Son olarak IP Security Monitor, Event
Viewer ve Network Monitor kullanılarak IPSec ile ilgili sorunları izleme ve giderme üzerinde duruldu, doğru policy’nin atanıp atanmadığını doğrulama ve policy uyuşmazlıklarını kontrol etme
üzerinde duruldu.
Sınav Esasları
IPSec’in nasıl çalıştığını anlayın. IPSec network katmanında çalışır, kullanıcı ve uygulamaların
kullanmakta oldukları trafiğin güvenli bir bağlantı üzerinden taşınıp taşınmadığından haberdar
olmalarına ihtiyaç yoktur. IPSec birincil olarak iki servis sağlar: bilgisayarların birbirlerine güvenip
güvenmemelerine karar verebilecekleri bir yol (authentication) ve network verilerinin gizli tutulmasını sağlayan bir yol (encryption). IPSec’in Windows Server 2003 uygulamaları açık bir şekilde
policy tabanlı güvenlik fikrini destekler.
IPSec’in nasıl yüklendiğini bilin. Bir Windows 2000, XP ya da Server 2003 makinesinin bir
IPSec istemcisi olarak çalışması için gerekli olan bileşenler Windows Server 2003 kurduğunuzda varsayılan olarak gelir. Bununla birlikte - varsayılan olarak – IPSec kullanımını zorunlu kılan
bir policy yoktur, bu yüzden bu Windows makinelerinin varsayılan yaklaşımı IPSec kullanmama
yönünde olacaktır. IPSec yüklemek zorunda değilsiniz; sadece bunu yönetmek için ve istenen
etkiyi sağlamak amacıyla policy’ler ve filter’lar atamak için bir araç kurmaya ihtiyacınız var. IPSec
IPSecurity Policy Management snap-in aracılığıyla yönetilir.
IPSec Policy’lerinin nasıl oluşturulup yapılandırıldığını bilin. IPSec’i default policy’leri değiştirerek, kullanmak istediğiniz rule ve filter’ları kapsayan kendi policy’lerinizi oluşturarak ve sizin
yönetim alanınız içinde policy’lerinizin bilgisayarlara nasıl uygulanacağını kontrol ederek yapılandırabilirsiniz. Snap-in içinde IP Security klasörü üzerinde sağ tıklayıp New IP Security Poli-
175
176
Bölüm 4
cy komutunu seçerek yeni policy’ler oluşturabilirsiniz. Bir policy’nin Properties diyalog kutusu ile
policy’yi özelleştirebilirsiniz. Properties diyalog kutusunda rule, filter list ve security action ekleyebilir, silebilir ve yönetebilirsiniz.
Filter list’lerin nasıl yönetildiğini bilin. Filter list ve filter action’ları Edit Rule Properties diyalog
kutusu içindeki uygun sekmeleri kullanarak yönetebilirsiniz, fakat buradaki öğelerin herhangi bir
policy için mevcut olduğuna dikkat edin. Bunun yerine pop-up menüden Manage IP Filter Lists
And Filter Actions komutunu kullanabilirsiniz. Bu komut Manage IP Filter Lists And Filter Actions
diyalog kutusunu görüntüler.
IPSec’in Tunnel mode için nasıl yapılandırıldığını bilin. Bir tunnel’ı standart bir transport mode
için yapabileceğiniz gibi kaynak ve hedef IP adresleri uyuşan bir filter oluşturarak kurarsınız.
Tunnel üzerinde ESP ve AH kullanmak size bir authenticated tunnel (sadece AH), bir encrypted
tunnel (sadece ESP) ya da bu ikisinin kombinasyonunu verir. Bu hareketi bir filter action ve security method tanımlayarak kontrol edebilirsiniz. Düzgün bir şekilde bir tunnel oluşturmak için her iki
uçta iki rule’a ihtiyacınız var: bir adet gelen trafik için ve bir adet giden trafik için.
IPSec’in nasıl izlendiğini bilin. IP Security Monitor şu anda IPSec’te sorun giderme için tercih
edilen araçtır. Bir security assciation’ın kurulup kurulmadığının nasıl belirlendiğini ve iletişim sırasında association’ın hatalar alıp almadığını ya da kabul edilip edilmediği nasıl belirlendiğini bilin.
IPSec log işleminin nasıl etkinleştirildiğini bilin. IPSec olayları bir security association kurulurken
log’a kaydedilir ve event log’u IPSec istatistiklerini ve izlemeleri için inceleyebilirsiniz. netsh’ta bir
anahtar olarak bulunan IPSec komut satırı aracını bilin.
IPSec’te nasıl sorun giderildiğini bilin. İlk olarak uzak sisteme temel, güvensiz TCP/IP bağlantınızın olduğunu doğrulamanız gerekir. Aynı zamanda eğer atanmış bir IPSec policy’niz yoksa
ya da yanlış bir policy’ye sahipseniz bağlantı çabalarınız sonuç vermeyecektir. Son olarak, her
iki uçta da uygulanmış policy’leriniz var ve hala bağlantı kuramıyorsanız policy’lerin örtüşmemiş
olma ihtimali yüksektir.
Pratik Laboratuvar Çalışması: IPSec Bağlantılarında
Sorun Gidermek İçin Event Viewer’ı Kullanmak
Bu laboratuvar çalışmasında, bir IPSec bağlantısındaki sorunda Event Viewer’ı spesifik olaylara
bakmak için için bir filtre oluşturarak kullanacaksınız. Bu laboratuvar çalışması için bir Windows
Server 2003 sunucuya ihtiyacınız olacak.
1. Start > Administrative Tools > Event Viewer seçerek Event Viewer’ı açın.
2. Event Viewer’da, security node’u üzerinde bir kez tıklayın, ekranınız aşağıdaki grafiktekine
benzeyecektir.
IP Seviyesinde Güvenlik Yönetimi
3. View > Filter seçin. Security Properties diyalog kutusu aşağıdaki grafikte görüldüğü gibi görüntülenir.
4. Event ID metin kutusuna aşağıdaki grafikte görüldüğü gibi 547 yazın. OK butonuna tıklayın.
5. 547 ID’sine sahip tüm olaylar, bir SA negotiation hatasına işaret eder ve Event Viewer’da
görüntüleneceklerdir.
Bonus: Event ID filtre koşulunu IPSec sorun giderme ile ilgili diğer ID’lerle değiştirin. Bu ID’leri
hatırlamak için Tablo 4.3’e bakabilirsiniz.
177
178
Bölüm 4
Gözden Geçirme Soruları
1. 30 mühendis ve aralarında muhasebe, insan kaynakları ve yönetim çalışanlarının da bulunduğu 25 yönetim personelinin olan Miracle Wonder Software and Development Company için
çalışıyorsunuz. Aynı zamanda Miracle ürünlerini müşterilere satmaya çalışan 10 tane satış
personeli var. Yazılım kodlarınızın çok da güvende olmadığından endişe ettiğiniz için tüm
uygulama geliştiriciler ve depolama birimleri için IPSec uyguluyorsunuz. Dosyalara erişimde
herşey oldukça iyi çalışıyor, fakat network’ünüzde IPSec’in düzgün çalıştığından emin olmak
istiyorsunuz. Bunun için ne yapmanız gerekir?
A. IP Security Monitor Main Mode Security Association’ları bir SA’nın kurulduğundan emin
olmak için kontrol edin, ardından Main Mode Statistics’den association’ın hata içermediğini kontrol edin.
B. IPSec trafiğini analiz etmek için System Monitor’ü çalıştırın ve şifreli olduğundan emin
olun.
C. ipsecview’ı, IP Security Viewer’ı çalıştırmak ve IPSec istatistiklerini görünülemek için
çalıştırın.
D. Tünellenen IPSec şifrelemeyi kontrol etmek için L2TP monitor’u çalıştırın.
2. 200 Windows 2000 ve XP Professional ve 10 Windows Server 2003 bilgisayarlarını içeren
bir network’ü yönetiyorsunuz. Windows Server 2003 bilgisayarlardan CLASS1 adındaki bir
bilgisayar oldukça gizli bilgiler içeriyor, bu yüzden o makine üzerinde IPSec uygulamaya karar
verdiniz. Yöneticiler sizden CLASS1’i verilerin başka kişilere ulaşmadığından emin olmak için
sık sık izlemenizi istiyor. Aşağıdaki eylemlerden hangisi CLASS1 üzerinde IPSec’i izlemenizi
sağlar?
A. System Monitor’u kullanarak key exchange trafiğini izleyin.
B. Network Monitor’ü kullanarak network trafiğini analiz edin.
C. MMC’ye IP Security Monitor’ü yükleyin ve CLASS1 isimli bilgisayarı gösterin.
D. Computer Management’ı kullanarak IPSec policy atamalarını doğrulayın.
3. Network’ünüzü firewall’lar, güvenli router’lar ve güçlü remote access kimlik doğrulama kullanarak oldukça güvenli hale getirdiniz. Aynı zamanda sistemin fiziksel güvenliğini de kurdunuz.
Bu sistemde tüm kullanıcıların her odaya girişlerinde kullandıkları birer kimlikleri var ve bu
sayede kullanıcıların hareketleri izlenip raporlanabiliyor. Aynı zamanda network’ünüzün çevresinin güvenli olduğunu düşünüyorsunuz. Network’ünüzde çalışanlar arasında hala oldukça
önemli bilgiler dolaşıyor. Network’ünüzün içinde hiçbir kimsenin hat üzerinden hiç bir veriyi
yakalayamadığından ve okuyamadığından emin olmak istiyorsunuz. Bu amacı gerçekleştirmek için ihtiyacınız olan IPSec bileşeni nedir?
A. AH authentication
B. IPSec paket filtreleme
C. ESP şifreleme
D. AH şifreleme
4. Joanne, domain’inin IPSec policy’lerinin tazelenme zaman aralığını varsayılan ayarı olan 3
saatten, 24 saate çıkarmak istiyor. Bu değişikliği uygulamak için aşağıdakilerden hangisini
yapması gerekir?
A. Policy üzerinde sağ tıklayın ve Change Refresh Time komutunu verin.
B. Policy’nin Properties diyalog kutusu General sekmesini açın ve Check For Policy Changes Every alanını düzenleyin.
IP Seviyesinde Güvenlik Yönetimi
C. Policy’nin Properties diyalog kutusu Schedule sekmesini açın ve Check For Policy Changes alanını düzenleyin.
D. IPSec Policy Agent servisini durdurup başlatmak için bir zamanlanmış görev oluşturun.
5. Şirketiniz raporlar oluşturma ve parlemento raporları içinde kullanılan ekonomik bilgilerin toplanması sözleşmesine sahip. Şirketiniz bu bilgileri birçok farklı ülkedeki anlaşmalı organizasyondan topluyor ve harmanlıyor. Şirketinizin aldığı bilgiler için gönderen organizasyonun
kimliğinin doğrulanması çok önemli. Bilgilerin güvenliğini sağlamak için IPSec uyguladınız.
IPSec’i yapılandırırken, bilgilerin uygun kaynaktan geliyor olmasından nasıl emin olabilirsiniz?
A. AH’yı, her bir IP paketi kaynak adresi için kimlik doğrulaması sağlayacak şekilde yapılandırın.
B. AH’yı, IP paketi için şifreleme sağlayacak şekilde yapılandırın.
C. ESP’yi IP payload için şifreleme sağlayacak şekilde yapılandırın.
D. ESP’yi IP payload için kimlik doğrulama sağlayacak şekilde yapılandırın.
6. Malik’e, bir dış site’a gönderilen tüm HTTP trafiğini koruyacak bir IPSec kuralı oluşturma görevi atandı. Bunu gerçekleştirmek için aşağıdakilerden hangisi en iyi yoldur?
A. Hedef adresi olarak belirtilen dış site’ı tanımlayan All IP Traffic IP filter list ve Require
Security action kullanan yeni bir policy oluşturun.
B. Request Security (Optional) policy’yi etkin hale getirin.
C. Require Security policy’yi etkinleştirin.
D. Hedef adresi olarak dış site’ı tanımlayan ve TCP protokolü 80 portu üzerinde kaynak ve
hedef için bir custom filter list kullanan yeni bir policy oluşturun.
7. Native mode Windows Server 2003 network’ünüzdeki verilerin güvenliği ve bütünlüğü şirketinizin yönetimi açısından oldukça önemlidir. Birbirleriyle sıklıkla iletişim kuran yedi lokasyonunuz var ve bu lokasyonların hepsi Internet için standart bir şekilde kendi erişimlerini
kullanıyorlar. Şirketin müdürleri ve yönetim personelleri arasındaki iletişim trafiğinin güvenlik
altına alınmasından sorumlusunuz. Bunu yapmak için belirlenen iletişim için kimlik doğrulama
ve şifreleme sağlamak amacıyla IPSec uygulamayı planlıyorsunuz. Network’ünüz boyunca
IPSec’in düzgün bir şekilde çalışması için neyi değiştirmeniz gerekecektir?
A. Network’teki uygulamaları müdür ve yönetim personelinin IPSec kullanımını destekleyecek şekilde değiştirin.
B. Müdürlerinizin ve yöneticilerinizin NIC’lerini IPSec kullanacak şekilde yükseltin.
C. Router yazılımını IPSec trafiğini diğer lokasyonlara geçirebilecek şekilde yükseltin.
D. Bilgisayarlarınızda IPSec’i, diğer bilgisayarlardan IPSec bağlantılarını kabul etmesi için
etkinleştirin.
8. Marie başka bir şekilde çalışan bir network’te bir IPSec hatasını çözmeye çalışıyor. Event
log’una baktığında hata kaydını event ID 547 ile buluyor. Bu log’u dikkate alırsak Marie’nin
tespit edebileceği muhtemel sebep hangisidir?
A. İki bilgisayar policy’leri arasındaki uyuşmazlıktan dolayı megotiation başarısız oldu.
B. IPSec Policy Agent bir policy’yi getiremedi.
C. Bir IPSec SA kapatıldı.
D. Bir IPSec SA kurulamadı.
179
180
Bölüm 4
9. Şirketinizin başka bir şirket ile bir Windows Server 2003 uygulama yazılımı geliştirme projesine katılmak için bir sözleşme imzaladığı konusunda bilgilendirildiniz. Bu proje iki organizasyon arasında kaynak kodlarının paylaşılmasını gerektirecektir. İki şirket arasındaki iletişimin
korunması bu noktada çok önemlidir. Her iki şirket de native modda Windows Server 2003 çalıştırıyor ve yine her iki şirkette de veri transferi güvenliğini sağlamak için IPSec etkinleştirilmiş
durumda. Her iki şirket de IPSec güvenlik protokollerini kontrol etmek ve iki şirket network’ü
arasında IPSec iletişimini sınırlandırmak istiyor. Sizin şirketinizin domain’i panacea.com ve
diğer şirketin domain’i hearth.com’dur. Kaynağı panacea.com, hedefi hearth.com olan
bir security filter oluşturdunuz. hearth.com’un sistem yöneticisi kaynak hearth.com ve
hedef panacea.com olan bir security filter oluşturdu. Bağlantıyı test ettiğinizde, IPSec negotiation sürecinin başarısız oluyor ve trafik güvenli değil. Bu probleme sebep olan en muhtemel
sorun nedir?
A. Şirketler IPSec ile ilgili farklı service pack’ler kullanıyor.
B. Hiçbir şey. Kullanıcıların veri transferi yaparken IPSec’i ne zaman kullanacaklarını seçmesi gerekli.
C. inbound ve outbound filter’lar oluşturulmadı.
D. Security filter’larınızın yapılandırması olması gerekenin tam tersi.
10. Windows Server 2003 çalıştıran bir domain controller, remote access server ve dosya sunucusu olarak çalışan bir Windows Server 2003 üye sunucu, 500 adet Windows XP Professional istemcisi ve farklı işletim sistemleri kullanan birçok uzak kullanıcının olduğu küçük bir
domain’i yönetiyorsunuz. DC ile ilgili tüm iletişimi güvenli hale getirmelisiniz ve üye sunucu ile
tüm dâhili iletişimin emniyetli olmasını tercih ediyorsunuz. Lokal istemciler arasındaki ve uzak
kullanıcılar ile üye sunucu arasındaki trafiğin güvenli olmasına gerek yok. Network içerisinde
default IPSec policy’lerini uygun lokasyona getirin. Bazı seçeneklerin birden fazla kullanılabileceğine ve bazılarının kullanılmayabileceğine dikkat edin.
11. İnsan kaynakları departmanınızın personeli çalışan bilgilerinin gizliliği yükümlülüğü ile ilgili artan bir şekilde endişeleniyorlar. İK personeli sağlık, ücret ve kişisel veriler gibi bilgilere erişimi
kontrol etmek için uygun policy’lerin olduğunu biliyorlar fakat bu bilgiler dışarıya gönderildiğinde ve uygun bir şekilde emniyet altına alınmadığında zarardan şirketin sorumlu olacağını
öğrendiler. İK çalışanları bilgileri ortamda dolaştırırken, İK ve muhasebe sistemlerinin güvenliğini sağlamak sizin görevinizdir. Bununla birlikte bu sistemler diğer departmanlardaki çalışanlara açık kalmalıdır. Hemen İK ve muhasebe sunucularında ve bu iki departmanlardaki makinelerde IPSec uyguluyorsunuz. Diğer departmanlardan bu sunuculara düzenli bağlantıların
sağlanması ve aynı zamanda gizli bilgilerle ilgili olan makinelerden trafiğin IPSec bağlantı
gerektirmesini sağlamak istiyorsunuz. Hangi security filter action’ları tanımlamanız gerekir?
A. Permit
IP Seviyesinde Güvenlik Yönetimi
B. Block
C. Accept Unsecured Communication, But Always Respond Using IPSec
D. Allow Unsecured Communication With Non-IPSec Aware Computers
E. Use These Security Settings
12. Farklı şehirlerdeki iki site arasında bir IPSec tunnel kurmak istiyorsunuz. Bu filter list’leri her
bir site’da nasıl kullanmanız gerekir?
A. Her bir site’ın iki adet filter list’e sahip olması gerekir. Bir list’in outbound trafik için kendisini endpoint olarak gösteren bir filter belirlemesi ve diğer list’in inbound trafik için endpoint
olarak karşı site’ı gösteren bir filter belirlemesi gerekir.
B. Her bir site’ın outbound trafik için diğer tarafı endpoint olarak gösteren bir filter ve inbound
trafik için kendisini endpoint olarak gösteren bir filter belirleyecek şekilde bir filter list’e
sahip olması gerekir.
C. Her bir site’ın iki adet filter list’e sahip olması gerekir. Bir list’in outbound trafik için karşı
tarafı bir endpoint olarak gösteren bir filter belirlemesi ve diğer list’in inbound trafik için
endpoint olarak kendisini gösteren bir filter belirlemesi gerekir.
D. Her bir site’ın outbound trafik için kendisini endpoint olarak gösteren bir filter ve inbound
trafik için karşıdaki site’ı endpoint olarak gösteren bir filter belirleyecek şekilde bir filter
list’e sahip olması gerekir.
13. HIPPA mevzuatı gereği hazırlanma süreci içerisinde hastaneniz için güçlü bir güvenlik alt yapısı uygulamanız söylendi. Router’larınızdaki access controller list ve firewall’unuz ile güvenli
bir perimeter network’e sahipsiniz. Bununla birlikte sizin dâhili LAN’ınızdaki tek güvenlik, uygulama ve veri sağlayan Windows Server 2003 makineleri üzerindeki access control list’lerdir.
Buna ek olarak hastanede mainframe’ler ve Unix makineler üzerinde çalışan basit parola
korumalı uygulamalarınız vardır. Network’ünüzdeki kablolar boyunca bir güvenliğiniz yok. Hat
boyunca ilerleyen paketler için şifreleme ve kimlik doğrulama sağlayacak şekilde bir IPSec
uygulama planı ortaya koyuyorsunuz. Hastanedeki tüm platformlar arasında IPSec’in çalıştığını ispat edemeden önce herhangi bir uygulamanın kesilmesini ya da hastanedeki herhangi bir yerden erişimin engellenmesini istemiyorsunuz. Bunu göz önünde bulundurarak, tüm
Window Server 2003 makinelerinizde ve iş istasyonlarınızda IPSec’i etkileştiriyor ve ardından
birlikte çalışabilirliği test etmek için hastane içindeki diğer platformlara da IPSec uygulamaya
başlıyorsunuz. IPSec birlikte çalışabilirliği tam olarak test etmeden önce, Windows Server
2003 makinelerine Microsoft’un hangi yerleşik policy’lerini atamanız gerekir?
A. Client (Respond Only)
B. Secure Server (Require Security)
C. Server (Request Security)
D. Client (Request Only)
14. Çok gizli bir güvenlik organizasyonundaki bir Windows Server 2003 network’ünün sistem yöneticisisiniz. Bu organizasyon diğer bir güvenlik organizasyonuyla yarı halka açık bir network
üzerinden iletişim kuruyor. Diğer organizasyona gönderdiğiniz bilgilerin kimliğinin doğrulanması ve şifrelenmesi gerekiyor. Aynı durum karşı taraftan aldığınız bilgiler için de geçerli. Bunun yanısıra, her iki organizasyon da diğer tarafın kimliği ile ilgili herhangi bir bilginin network
boyunca iletilmesini istemiyor. Organizasyonların teknik personeli, IPSec temelinde iletişim
için güvenlik gereksinimini sağlayan bir plan ortaya koyuyorlar. Gereksinimleri karşılamak için
hangi kimlik doğrulama metodunu kullanmaları gerekir?
A. Kerberos version 5
B. Bir Certificate authority’den Public/private key
C. Preshared key
181
182
Bölüm 4
D. Kerberos version 4
15. Küçük bir şirketin sistem yöneticisi olarak çalışyorsunuz. Bir tanesi bir domain controller olarak yapılandırılmış iki adet Windows Server 2003 bilgisayarı ve 100 adet Windows XP Professional iş istasyonu var. Tüm bilgisayarlar arasındaki tüm iletişimin güvenli olmasını sağlamalısınız. Active Directory’de Group Policy’leri her istemcinin özelleştirilmiş securty policy’leri
kullanacağı şekilde yapılandırıyorsunuz. Bunu yaptıktan sonra, tüm sunucular ve istemciler
arasındaki iletişim başarısız oluyor. Domain controller üzerinde Network Monitor’ü açıyorsunuz ve lokal bir bilgisayardaki network aktivitelerini yakalıyorsunuz. IPSec aktivitelerini teşhis
etmeye başlamak için log’daki hangi protokolleri incelemeniz gerekir?
A. ISAKMP
B. AH
C. NBT
D. ESP
16. IPSec’teki şifreleme için mevcut seçenekleri incelerken, veri bütünlüğünü sağlamak için en
güçlü şifreleme sağlayan algoritma ve anahtar uzunluğu hangisidir?
A. 3DES 256 bit anahtar uzunluğu
B. MD5 128 bit anahtar uzunluğu
C. SHA-1 160 bit anahtar uzunluğu
D. MD5 160 bit anahtar uzunluğu
17. IPSec performansını izlerken bilgilere kolayca erişmek için netsh komutunu kullanırsınız.
Netsh iki bağlamda çalışır: Statik ve dinamik. Şu anda çalışan policy için istatistikleri görüntülemek amacıyla hangi netsh komutunu kullanırsınız?
A. netsh ipsec dynamic show statistics
B. netsh ipsec static show all
C. netsh ipsec static dynamic show all
D. netsh ipsec static show current
18. L2TP, Point-to-Point Protocol (PPP) frame’lerini birleştirir. Bunları ne tip bir paket içerisine
enkapsüle eder?
A. SMP
B. TCP
C. IPX
D. UDP
19. Bir Windows Server 2003 sunucu için iletişimi emniyete almak amacıyla IPSec kullanacaksınız. Oturumu oluşturmak için IPSec tarafından hangi protokol kullanılır?
A. IKE, ISAKMP framework’ün parçası olarak
B. IKE, ESP framework’ün bir parçası olarak
C. ESP, ISAKMP framework’ün bir parçası olarak
D. ESP, L2TP framework’ün bir parçası olarak
IP Seviyesinde Güvenlik Yönetimi
20. IPSec aktivitelerini izlemek için log dosyaları içindeki olayları gözönüne alırken, hangi event
ID’si bir IPSec SA’nın kurulduğuna işaret eder?
A. 547
B. 541
C. 544
D. 542
183
184
Bölüm 4
Gözden Geçirme Sorularının Cevaplar
1. A. IP Security Monitor, IPSec’de ana sorun giderme aracıdır. Bir security association’ın kurulduğunu ve association’ın hatasız olup olmadığını belirleyecektir.
2. C. IPSecurity Monitor bir snap-in olduğu için bir lokal makine için ya da sistem içindeki herhangi bir uzak makine için kullanılabilir. Bu görevlerden herhangi birini yerine getirmek için
yönetimsel yetkilere sahip olmanız gerekir.
3. C. Encapsulating Security Payload (ESP) her bir paketteki payload’u şifreleyerek gizlilik sağlar. ESP aynı zamanda payload’u imzalayarak ve sıra numarası vererek, kimlik doğrulama ve
veri bütünlüğü gibi diğer faydaları da sağlar. Bu senaryodaki ana fayda payload’un görüntülenememesidir. AH kimlik doğrulama gelen paketin umduğunuz kişi ya da makineden gelmesini
sağlamak için spoof atakları önlemek amacıyla kullanılır. AH tek başına şifreleme sağlamaz.
Paket filtreleme, temel iletişimi kontrol etmek ve denial of service ataklarını ya da istenmeyen
yolları önlemek için kullanılır.
4. B. General sekmesindeki Check For Policy Changes Every alanı, IPSec Policy Agent’ın ne
sıklıkta policy ayarlarına bakması ve yeniden indirmesi gerektiğini belirler.
5. A. AH ile birlite ESP kullanımı kimlik doğrulama ve şifreleme sağlayarak, aldığınız verinin
kimliği doğrulanmamış herhangi bir kişi tarafından görülmemesini, herhangi bir kişi tarafından
içeriğinin değiştirilmemesini ve beklediğiniz kişiden gelmesini garantiler. AH kimlik doğrulama
ve bir imza ile verinin tamamı için kabul edilmesini sağlar, fakat şifreleme sağlamaz. ESP paket içindeki veriyi şifreler. ESP aynı zamanda verinin kendisi için de bir imza ve kimlik doğrulama sunar. AH ve ESP birlikte paketin uygun kişiden geldiğini, paketin içindeki verinin o kişiden
geldiğini ve paketin değiştirilmediğini ya da içeriğinin görüntülenmediğini garantiler. Bununla
birlikte, soru size spesifik olarak “bilgilerin uygun kişiden geldiğini” nasıl garanti edeceğinizi
soruyor. Sonuç olarak doğru cevap sadece A seçeneğidir.
6. A seçeneğinde açıklanan metot diğer trafik tiplerini emniyet altına alacaktır. B seçeneğindeki
metod hedef site’a bir bağlantı kurmada başarısız olabilir. C seçeneğindeki metot tüm hedeflerdeki tüm non-IPSec bağlantılarını kapatacaktır. D seçeneği external site’ı tanımlar ve her
iki site arasındaki tüm HTTP trafiğini güvenli hale getirecektir.
7. D. Bir Windows Server 2003 makinesinin bir IPSec istemci olarak çalışması için gerekli bileşenler varsayılan olarak yüklüdür. Bununla birlikte, varsayılan olarak IPSec kullanımı için
zorunlu olan policy etkin halde değildir. IPSec’i, IP Security Policy Management snap-in’i
ile etkileştirisiniz ve bununla lokal IPSec policy’yi, sizin domain’inizi ya da diğer domain’in
policy’sini yönetirsiniz. IPSec Network katmanında çalışır ve uygulamalar IPSec kullanımından bağımsızdır, aynen daha alt düzey OSI bileşenleri gibi. Eğer NIC’ler ya da router’lar IP’yi
destekliyorsa (hemen hemen hepsi destekler) IPSec’i de destekleyeceklerdir.
8. A Event ID 547 negotiation’ın başarısız olduğunu gösterir. Marie iki policy’de kullanılan authentication ve security method’ları en azından bir ortak ayara sahip olduğundan emin olmalıdır.
9. C. Her iki domain için de inbound ve outbound filter’lara ihtiyacınız var ve sadece outbound
filter oluşturulmuş durumda. Aynı zamanda panacea.com için kaynak hearth.com ve hedef
panacea.com olacak şekilde bir inbound security filter oluşturmanız gerekir. Buna ek olarak,
herath.com’un sistem yöneticisinin kaynak panacea.com ve hedef hearth.com olacak
şekilde bir inbound security filter oluşturması gerekir. Service pack’ler gelecekte bir sorun olabilirdi, her zaman dikkate almak gerekir. Fakat service pack’ler bu spesifik durumda bir sorun
değildir ve problemin esas kaynağı değildir. Kullanıcılar ve uygulamalar IPSec’in varlığından
haberdar değillerdir ve kullanmak için herhangi bir eylemde bulunmalarına gerek yoktur. Outbound filter’lar uygun bir şekilde yapılandırılmış.
10. DC her zaman güvenli iletişimi gerektiriyor, bu yüzden DC üzerinde Secure Server (Require
Security) default policy’yi kullanmanız gerekir. Üye sunucunun mümkün olduğu durumlarda
IP Seviyesinde Güvenlik Yönetimi
güvenli bir bağlantı kullanması gerekir, bu yüzden Server (Request Security) default policy’yi
uygulamanız gerekir. İstemcilerin üye sunucu ve DC ile güvenli bir bağlantı kullanması gerekir, fakat birbirileri arasında iletişime geçtiklerinde güvenlik gerekli değildir, bu yüzden Client
(Respond Only) default policy’yi seçmeniz gerekir. Uzak kullanıcılar üzerinde kısıtlı bir kontrole sahipsiniz, bu yüzden onlara has herhangi bir default policy atama üzerinde durmamanız
gerekir.
11. C, E. Bir Accept Unsecured Communication, But Always Respond Using IPSec action’ı bir güvensiz bağlantı talebine izin vermeden önce her zaman bir IPSec bağlantısını talep edecektir.
Gizli bilgileri işleyen tüm makineler IPSec kullanacak şekilde yapılandırıldıysa bu bağlantı
güvenli olacaktır. Use These Security Settings action’ı sunucunun yaklaşımını özelleştirmenize izin verir, elbetteki Accept Unsecured şeklinde yapılandırabilirsiniz. Bir Allow Unsecured
Communication With Non-IPSec Aware Computers action’ı bilgisayarın IPSec’i tercih etmeyeceğini ve istemci tarafından talep edilmedikçe bir IPSec bağlantı talebinde bulunmayacağını söyler. Permit action’ı IPSec filter’a herhangi bir eylemde bulunmayacağını söyler. Block
action uzak sistemlerin herhangi bir tip bağlantı yapmasını engeller.
12. C. Her iki taraf iki adet filter list’e sahip olmalıdır: bir adet inbound trafik için ve bir adet outbound trafik için.
13. C. Server (Request Security) bir Client (Respond Only) ve Secure Server (Require Security)
kombinasyonudur. Bu policy, uzak bir makineye bağlanırken ve gelen bir IPSec bağlantı talebine izin vererek her zaman IPSec kullanma girişiminde bulunur. Bu size esneklik sağlar
çünkü IPSec’den faydalanamadığınız durumlarda bile iletişim kurulmasına izin verir. Client
(Respond Only) diğer makineler talepte bulunduklarında bir IPSec negotiation yapma girişiminde bulunurlar, fakat kendisinden dışa doğru bağlantılarda hiç bir zaman IPSec kullanma girişiminde bulunmaz. Client’ın sadece bir iş istasyonu bağlamında değerlendirilmemesi
gerektiğini aklınızda bulundurun, bu sadece iletişimi başlatan makineyi işaret eder. Secure
Server (Require Security) tüm IP iletişiminin IPSec kullanmak zorunda olduğunu belirler. Bu
tamamıyla IPSec’in etkinleştirilmediği bir network’ü ve birlikte çalışabilirliği açık bir şekilde
etkileyecektir. Client (Request Only) geçerli bir seçenek değildir.
14. B. Geçerli bir CA’den alınan bir sertifika gerekli kimlik doğrulamayı sağlar ve aynı zamanda
bağlantıyı başlatan bilgisayarın kimliğini korur. Teknik çalışanlar arasında, sertifika yapılandırması üzerinde anlaşma için koordinasyon gereklidir. Eğer Kerberos kimlik doğrulama kullanılırsa bilgisayarın kimliği tüm kimlik payload’un şifrelenmesine kadar şifresiz olarak kalır. Bu
şekilde kimlik korunmasız bırakır. Bir preshared key’in birlikte çalışabilirlik testi için kullanılması ve manüel olarak IPSec policy’ye girilmesi ve burda şifresiz olarak tutulması gerekir.
15. A, B, D. Network Monitor’de IPSec aktiviteleri capture display ekranında ISAKMP, AH ya
da ESP protokol kolonlarının altında görünür. Eğer bu protokollerden hiçbiri mevcut değilse
büyük olasılıkla sunucu kendisine atanan bir IPSec policy’ye sahip değildir. Eğer ISAKMP
görüntülendiği halde AH ve ESP yok ise istemci ve sunucu policy’leri uyuşmuyor demektir.
185
186
Bölüm 4
16. C. SHA-1, Secure Hash algoritması, Microsoft’un tavsiye ettiği içerik bütünlüğü için en güçlü
algoritmadır. MD5 128-bit anahtar uzunluğu seçeneği olsa bile, Microsoft bunun iyi bir çözüm
olduğunu düşünmüyor.
17. B. netsh ipsec statistic show all IPSec için tüm istatistikleri gösterir. Soruda gösterilen diğer komutlar gerçek değildir.
18. D. L2TP IPSec bağlantıları UDP kullanır. Tüm IPSec tipleri IP protokol temelini kullanır. TCP
PPTP tarafından kullanılır. IPX ve SMB bu soru için anlamlı değildir.
19. A. IKE, Internet Key Exchange, Internet Security Association and Key Management Protocol’ün
(ISAKMP) bir parçasıdır. IKE, ESP’nin bir parçası değildir, çünkü ESP AH’nın bir parçası değildir. L2TP framework’ün bir parçası olarak ESP bu soru için anlamlı değildir, L2TP bir protokoldür, framework değildir.
20. B. Event ID 541 bir SA kurulumunu işaret eder. Security log’u içinde bulunur. Event ID
542 başarılı (success) bir şekilde kapatılmış bir SA’ya işaret ederken, 547 başarısız bir SA
negotiate’e işaret eder. Event ID 544 bir eşlerden birinin kimliğinin doğrulanamaması yüzünden SA kurulum hatası ile ilişkilidir.

Windows Server 2003 Ağ Kurulum ve Yönetimi Cilt 1

Related documents

Products

Support

Windows Server 2003 Ağ Kurulum ve Yönetimi Cilt 1

Related documents

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib