Slayt 1 - WordPress.com

advertisement
T.C.
ARDAHAN ÜNİVERSİTESİ
ARDAHAN TEKNİK BİLİMLER MESLEK YÜKSEKOKULU
SERVER 2003 KURULUM VE ANLATIM SLAYT’I
HAZIRLAYANLAR
ÖNDER EDEMİR
DENİZ OBALI
CEYLAN UYSAL
CEM ENES ÖZTÜRK
CEM AVŞAR
1. Server nedir?
2. Windows 2003 server tarihi nedir?
3. Neden Windows 2003?
4. Windows server 2003 yenilikleri
5. Windows 2003 server sürümleri ve arasındaki farklar nelerdir?
6. Windows serverda sunucu rolleri nelerdir?
7. Adım adım kurulumu ve dikkat edilmesi gereken noktalar nelerdir?
8. Kullanıcı işlemleri ve yetkilendirme
9. IIS kurulumu ve ayarlamalar
10. Hangi servislere hizmet verebileceğinin anlatılması
11. DNS server kurulumu ve ayarlamaları
12. Active Directory kurulumu ve anlatımı
13. Dosya nasıl paylaşılır?
14.Windows server da Güvenlik
2
SERVER NEDİR ?
• Ana Bilgisayar (Sunucu Bilgisayar)
• Üzerinde tüm bilgilerin saklandığı ve genellikle diğer bilgisayarlara oranla
daha hızlı ve kapasitesi yüksek bilgisayar
• Sadece Donanım olarak değil üzerinde çalışan yazılımlar olarak ta yönetici
durumunda olan bilgisayar
• Bilgileri paylaştıran ve istemcilere sunan bilgisayar
3
Windows 2003 server tarihi nedir?
• 'Windows Server 2003, Nisan 2003'te piyasaya çıkan, Windows 2000
gibi, küçük ve merkezi yönetimli kuruluşlardan geniş çaplı kuruluşlara
kadar her çapta kuruluşun gereksinimlerine yanıt vermek üzere
tasarlanmış, ayrıca kuruluşların Microsoft .NET özelliğinden tam olarak
yararlanabilmesini sağlayacak biçimde geliştirmiş sunucudur.
4
Neden Windows 2003 ?
•
•
•
•
•
Daha güvenilir; Windows server 2003 secure Windows update özelliğine
sahiptir.Bu özellik gerektiğinde işletim sistemi dosyalarının kritik güncellemeleri
yapmasını sağlar.Windows server 2003 geliştirilmiş kümeleme desteği ile
kesintisiz çalışabilme konusunda da oldukça ileridir.Windows server 2003ailesi
sekiz düğüme kadar olan sunucu kümelerini destekler.Bir kümede bulunan
sunuculardan birisi herhangi bir nedenden dolayı devre dışı kalırsa diğer küme
içindeki bir sunucu devreye girer.Yeniden düzenlenen Active Directory
performansı ve esnekliği de server 2003 ü daha hızlı ve sağlam yapmıştır.
Daha güvenli; Güvenlik anlamında yenilikler ağırlıklı olarak Windows server
2003 içinde yer alan Internet Informatıon server üzerinde toplanmıştır.
Sunucunun internet de açık kapısı olan IIS 6.0 yeni baştan yazılmış ve çok sayıda
uygulamayı güvenli ortamda çalıştıracak hale getirmiştir. PKI, kerberos, Smart
kartla oturum açmak gibi güvenlik düzenlemeleri de geliştirilmiştir.
Daha kolay; Windows server 2003 daha kolay bir sunucu işletim sistemidir dedik
.Çünkü çok sayıda yönetim aracına sahiptir.Görsel hazırlanmış bu araçlar ağın ve
servislerin yönetimini kolaylaştırır.Kolay yönetime örnek olarak ;
Daha verimli; Microsoft verilerine göre Windows server 2003 dosya sunucusu
olarak Linux sunucularından %50 daha hızlıdır. Windows NT 4.0 sunucularından
% 100 hızlıdır. IIS 6.0 ile web sunucusu olarak yine Linux sunucularından %50
Windows NT 4.0 sunucularından %60 daha hızlıdır.
5
6
Windows server 2003 yenilikleri
**Öncelikle Windows 2000 sunucu ailesinin bir devamı niteliğindedir.
**Active Directory, grup ilkeleri, yönetim araçları ve güvenlik adına çok
sayıda yeniliğe sahiptir.
**64-bit donanım desteği vardır.
**Sekiz sunucuya kadar gelişmiş kümeleme(cluster) desteğine sahiptir.
**Yerleşik olarak. NET Framework’e sahiptir.Bu. NET uygulamalarını
destelemek ve Web servislerini barındırmak için ideal bir ortam anlamına
gelir.
** ASP.NET uygulamalarının en iyi şekilde çalıştırılmasını sağlayan mimari.
**Güvenli sanal özel ağ bağlantısı (VPN)
**Yeni özellikleriyle dizin sistemi(ACTİVE DIRECTORY)
**Dosyaların şifrelenmesini sağlayan şifreleme sistemi (EFS)
**6 bölümlü yeni IP adreslerinin desteklenmesi (IPv6)
**Kullanıcı verilerinin yedeklenmesi ve gerektiğinde istenilen sürümünün geri
yüklenmesini sağlayan araç. (Shadow Copy Restore)
7
Windows 2003 server
sürümleri ve arasındaki farklar
nelerdir?
• Windows 2003 işletim sistemi tek bir ürün değil bir
çok üründen oluşan bir işletim sistemidir.
• Windows server 2003’ün dört üyesi vardır;
*** Windows server 2003,standart edition:
***Windows server 2003,enterprıse edition
***Windows server 2003,datacenter edition
***Windows server 2003,web edition
8
•
Windows server 2003,standart edition
Kurumların gereksinimlerini karşılamak için
geliştirilmiş bir sunucudur. Yazıcıların ve
dosyaların paylaşımını, İnternet bağlantısı ve
uygulamaların dağıtılmasını sağlar. Güvenilir
bir ağ işletim sistemidir. Genel olarak
şirketlerde(kurumsal)alanda kullanılmak üzere
tasarlanmıştır.
**Dosya ve yazıcı paylaşımını destekler
**Güvenli internet bağlantısını sağlar
**Merkezi masa üstü uygulaması kullanımını
olanak verir
**Çalışanlar, ortaklar ve müşteriler arasında
kapsamlı iş birliği yapılmasını sağlar.
**İki yönlü simetrik çoklu işlemi ve en fazla 4 GB
belleği destekler.
**Gelişmiş ağ özelliklerine sahiptir.
•
Windows server 2003,enterprıse edition;
Orta büyüklükte şirketler için
tasarlanmıştır. Uygulamalar, XML, Web
servisleri ve alt yapı için önerilen bir
işletim sistemidir. Yüksek güvenilirlik ve
performans sağlar.
**32 GB RAM desteği
**8 CPU
**Cluster Servisi: Önemli uygulamalar, mesaj
sistemleri ve genel ticari işlemler için
yüksek dayanıklılık sağlar. Sekiz node
clustering desteği vardır.
**64 bit desteği sağlar.
**Microsft Metadirectory Service desteği
sağlar.
**Hot Add Memory: Bu özellik sayesinde
çalışırken bilgisayara bellek eklemek ve
uygulamalar için kullanılabilir hale
getirmek mümkündür.
**Terminal Services Session Directory: Yük
dengeleme özelliğidir. Kullanıcının
bağlanmış sunucuya yeniden
bağlanmasını sağlar.
9
Windows Server 2003 Web Edition
• Windows Server 2003 DataCenter Edition
Ölçeklendirilebilir veri tabanlarının
çoğunu ve yüklü miktarda işlem
yapılmasını gerektiren işletme
açısından kritik çözümleri bulmak
üzere tasarlanmış Windows server
2003 datacenter edition aynı zaman
da sunucu güçlendirmesi için ideal bir
platformdur.
**32 yollu SMP
**Sekiz düğümlü kümeleme
**64 GB RAM desteği
**NUMA desteği : İşletim sisteminin
etkinliğini arttırır.
Web sitelerinin yayınlanmasına
odaklı bir web
sunucusudur.Kullanımı ve yönetimi
kolay olan Web sunucusu
hizmetleri güçlü bir platform
sağlamak amacıyla daha ii bir
duruma getirilmiştir.
**Dağıtılması ve yönetilmesi
kolaydır.
**İki yollu SMP desteği
**2 GB ram desteği
**Tarayıcı tabanlı ara birimle uzak
iş istasyonundan yönetile bilir.
10
Nitelik
Web Server
Server
Enterprise
Server
Datacenter
Server
Kümeleme
Hayır
Hayır
2 yol
4 yol
Virtual
Private
Network –
VPN (Sanal
Özel Ağ)
desteği
Sınırlı
Evet
Evet
İnternet
Kimlik
Denetimi
Hizmeti
Hayır
Evet
Evet
Ağ
köprülemesi
Hayır
Evet
Evet
Active
Directory
desteği
Bir Etki Alanı
Üyesi
OlabilirBir etki
alanı üyesi
veya etki alanı
denetleyicisi
olabilir
Bir Etki Alanı
Üyesi
OlabilirBir etki
alanı üyesi
veya etki alanı
denetleyicisiola
bilir.
Bir Etki Alanı
Üyesi
OlabilirBir etki
alanı üyesi
veya etki alanı
denetleyicisi
olabilir.
Bir Etki Alanı
Üyesi
OlabilirBir etki
alanı üyesi
veya etki alanı
denetleyicisiola
11
bilir.
Metadirectory
Services
desteği
Hayır
Hayır
Evet
Hayır
SharePoint
Team Services
desteği
Hayır
Evet
Evet
Evet
Çıkartılabilir ve
Uzaktan
Depolama
Hayır
Evet
Evet
Evet
Faks Hizmetleri
Hayır
Evet
Evet
Evet
Remote
Installation
Sevices – RIS
Hayır
Evet
Evet
Evet
Itanum
bilgisayarlar
için 64 bit
sürüm
uygunluğu
Hayır
Hayır
Evet
Evet
Çalışma anında
bellek ekleme
Hayır
Hayır
Evet
Evet
Internet
Connection
Firewall dahil
Hayır
Hayır
Evet
Evet
12
Public Key
Infrastructure
(PKI)
desteğiTermina
l Services
(Aplication
Server kipi)
Hayır
Evet
Evet
Evet
En fazla Ram
2 GB
4 GB
32 GB
64 GB
İşlemciler
1-2
1-2
1-8
8-32
13
Windows serverde sunucu rolleri nelerdir?
•
Windows server 2003 farklı sunucu rollerini gereksinimlerinize göre merkezi
biçimde yerine getirebilecek çok amaçlı bir işletim sistemidir.
Sunucu işlevlerinden bazıları;
**Dosya ve yazdırma sunucusu
**Web sunucusu ve web uygulaması sunucusu
**Posta sunucusu
**Terminal sunucu
**Uzaktan erişim/sanal ağ(VPN) sunucusu
**Dizin hizmetleri
**Veri akışı ortam sunucusu
14
•
•
File server (dosya sunucusu):**Active directory servisi:dosyaları bulmayı
kolaylaştırır.
**Dynamic Volume Management:Disk alanlarının sistemi kapatmadan
değiştirilmesini sağlar.
**Disk quota:Her kullanıcı için bir disk kapasitesi sınırı koymayı sağlar.
**Primary Server(Yazıcı sunucusu); Active Directory servisleri sayesinde
printerları daha kolay bulma
**Daha geniş printer ve protokol desteği
**Gelişmiş kullanıcı ara birimi ve daha düşük toplam sahip olma maliyeti
**Kullanıcıların internet üzerindeki yazıcıları kullanması
•
Web server (Web sunucusu):**CPU kaynaklarını site bazında dağıtabilmek
**Dağıtılmış yetki ve versiyon özellikleriyle kullanıcıların Web üzerindeki
bilgilere daha kolay erişmesi ve yönetmesi
**Ek sihirbazlarla güvenlik yönetimi
•
Application (Uygulama sunucusu):**64 GB’a kadar bellek desteği
**Clustering desteği ve çöken servislerin otomatik olarak yeniden
başlatılması
**Bütünleşik uygulama servisleri
**Web için yazılacak uygulamalar için gelişmiş internet servisleri
Network ve iletişim sunucusu:**Dial-up bağlantılar için yeni kullanıcı ara birimi
**Dinamik DNS sayesinde network yönetiminin daha kolay yapılması
**Multimedia alt yapısı ile ses ve data iletiminin daha iyi yapılması
•
Infrastructure Server: **Active Directory servisi ile global yönetim ve ticari
uygulamalarla bütünleşme
**Dağıtılmış güvenlik servisleriyle kuruluş
**Windows management servisleriyle merkezi olarak daha gelişmiş bir
yönetim sağlama
15
Kurulum çeşitleri şunlardır;
**CD den kurulum
**Ağ ve üzerinden kurulum
**Katılımsız kurulum
**Uzaktan kurulum
Adım adım kurulumu ve dikkat
edilmesi gereken noktalar nelerdir?
• 1-Minimum donanım gereksinimlerinin sağlanması,
2-Bütün donanımlarının Windows Server 2003 ile uyumlu
olup olmadığının kontrol edilmesi
3-Disk üzerindeki bölümleme yapısının belirlenmesi
4-Server lisans modunun belirlenmesi
5-Kullanılacak dosya sisteminin belirlenmesi
6-Bilgisayarın çalışacağı network ortamının belirlenmesi
7-Kurulumun; yeni bir kurulum mu yoksa eski sürümden
yapılan bir upgrade mi olacağının belirlenmesi ve buna
göre hazırlıkların yapılması
8-Kurulacak servislerin belirlenmesi
16
1. Bilgisayarınızı Server 2003 CD sinden Boot ederek başlatalım.
2. Karşımıza gelecek ilk ekranda eğer SCSI ya da Serial ATA disk kullanıyorsak
F6 ya basarak bu disk in driver ını tanımlamamız gerekiyor. Bu yazımızda PATA
17
disk kullanacağımız için bu adıma ihtiyacımız kalmadan devam ediyoruz.
3. Şekil-2 de daha öncesinde aldığımız bir ASR yedeği var ise ve
Restore işlemi gerçekleştireceksek F2 ye basarak Media mızdaki
yedeği restore edebiliriz. Bu yazımızda bu adıma ihtiyacımız
kalmadan devam ediyoruz.
4. ENTER=Continue diyerek devam ediyoruz.
5. Şekil-4 te Lisans Sözleşmesi ni okuduktan sonra
kabul etmek için F8=I agree deriz
6. Şekil-5 te varolan disk i formatlayabilir ya da
disk alanını istediğimiz kadar partition a (bölüme)
atayabiliriz. varolan disk alanının tamamını bir
partition a (bölüme) atayacağız.
7. Şekil-6 da disk alanını FAT32 ya da NTFS dosya sistemi
ile oluşturabiliriz. Burda NTFS dosya sistemini tercih ederiz.
Server 2003 FAT32 dosya sistemi ile kurulursa dosya bazlı
bir çok özelliğini yitiriyor. Buda sonraki zamanlarda bir çok
sıkıntı anlamını taşıyor.
8. Şekil-7 de artık seçtiğimiz dosya sistemine göre
formatlama başlayacak.
9. Şekil-8 de Server 2003 CD sinden kurulum için gerekli
dosyaların kopyalanmasına başlanıyor.
10. Kopyalama işleminin ardından sistem restart için
size 15 saniye süre tanır bu aşamada Enter a
basarak aynı işlemi manual gerçekleştirebilirsiniz.
11. İlk restart tan sonra Şekil-10 ile devam ediyoruz. Bu
aşamada bir süre beklememiz gerekiyor.
12. Şekil-11 de karşımıza Regional and Language Options
gelecek. Customize a tıklayalım.
13. Şekil-12 de Customize a tıkladıktan sonra önümüze gelen
Regional Options penceresinde Turkish i seçelim. Eğer Türkçe bir
Server 2003 CD si ile kurulum gerçekleştiriyorsak buradaki
seçenekler otomatik olarak ayarlanacaktır.
14. Aynı pencerede Location a tıklayıp sonrasında Turkey i
seçelim.
15. Aynı pencerede Advanced tabına geçelim ve yine
Turkish i seçelim.
16. Aynı pencerede Language tabına geçelim. Eğer Asya Dil
Desteğini istiyorsak burdaki iki kutucuğu işaretleyebiliriz. OK e
klikleyerek ilk pencereye geri dönelim.
17. Regional and Language Options penceresinde Details ekliyelim ve
Turkish Q klavye seçeneğini default olarak atayalım. OK e klikleyelim. İlk
pencereye döndükten sonra Next e klikleyelim.
18. bilgileri Şekil-17 deki gibi girelim ve Next ekleyelim.
19. 25 karakterden oluşan Ürün Anahtarını yazalım.
20. Lisanslama modelimize göre Per-server ya da Per Device/Per
User ı seçelim.
21. Şekil-20 deki gibi bilgisayarımıza bir
Bilgisayar Adı verelim.
22. Administrator hesabı için bir şifre
belirleyelim ve Next e klikleyelim.
23. Şekil-21 de kendi Time Zone umuzu seçelim. Türkiye +2
de yer almaktadır.
24. Next e tıkladıktan bir süre sonra karşımıza Networking
Setup gelecek. Burdaki önerim kurulum sırasında Typical
Settings ile Workgroup ta kurmak olacak.
25. Next e klikledikten sonra artık bizim yapacağımız işlemler sona
eriyor. Yaklaşık 30 dakika sonra Server 2003 Welcome to
Windows ekranı şekil-24 teki gibi önümüze gelecek.
Kullanıcı işlemleri ve yetkilendirme
Server'larda kullanıcı ekleme,
yetkilendirme işlemlerinin temel
amacı ağda güvenliğin sağlanmasıdır.
Kullanıcı, şifresini bilmediği taktirde
sisteme giriş yapamayacaktır. Bazı
kullanıcılar, yetki olarak ortak
özellikler bulundurduklarından bu
kişiler bir grupa eklenebilir. Bu
şekilde ortak özellikleri olan
kullanıcıları bir yerde toplama imkanı
vardır. Grubun yetki ayarları
değiştiğinde o grupta bulunan tüm
kullanıcıların yetkileri de değişir.
Kullanıcılar ve Gruplar, Active
Directory denen sistemle denetlenir
ve ayarlanır.
41
Üst menüde "yeni kullanıcı yarat"a basarak yeni bir kullanıcı ekleyebilirsiniz
Gerekli alanları doldurduktan sonra kullanıcı adı girin
**Yarattığınız kullanıcı için şifre girin ve alttaki seçeneklerden kullanıcı sisteme giriş yaptığında
şifresini değiştirebilmesini sağlayın.
**Kullanıcı yaratıldıktan sonra üzerine çift tıklayarak yetki ve diğer ayarları yapın
**Kullanıcıya çift tıkladıktan sonra member of kısmından altta add diyerek karşınıza çıkan
ekrandan kullanıcıyı bir gruba ekleyin
44
Karşınıza çıkan ekranda grup için bir
isim yazın
Yeni bir grup oluşturmak için Active
Directory listesinden yeni grup ekleye
tıklayın
Grup sisteme eklenmiştir
Bu gruba çift tıklayarak gruba kişileri ve grubun ortak yetkilerini
ayarlayın
47
IIS kurulumu ve ayarlamaları
Web sayfalarının yayınlanmasını ve web uygulamalarının çalışmasını
sağlayan, istemcilerden HTTP ve FTP üzerinden gelen talepleri Microsoft
Windows sunucu tabanlı işletim sistemlerinde karşılayan birim Internet
Information Services (IIS)’dir.
Windows Sunucu şletim sistemlerinin en önemli parçalarından birisi olan IIS,
HTTP ve FTP protokollerini başarılı bir şekilde kullanarak önemli bir görevi
yerine getirir
Windows XP Home Edition işletim sisteminde IIS bulunmamaktadır. .NET
ortamında yazılım geliştiren yazılım geliştiriciler, eğer Web servisleri ya da
ASP.NET Web uygulamaları geliştireceklerse sunucu tabanlı bir işletim
sistemi üzerinde çalışmak zorundalar. Windows XP Pro işletim sistemi,
Windows 2000 Pro/Advanced Server ya da Windows Server 2003 tercih
edilebilir
Peki bu IIS Server nasıl kurulur görelim...
48
Start---> Control Panel---> Add or Remove Programs tıklıyoruz...
Add / Remove Windows Components altında "Application Server"
seciyoruz ve Next diyoruz
Kurulum başlıyor (Kurulum esnasında Isletım Sıstemımızın CD
'sıne ıhtıyac olacaktır)
Kurulum bu kadar şimdi standart ayarlarına bir göz atalım
IIS yönetim paneline Start--->Run---> " inetmgr " yazarak
erişebiliriz
Default olarak bir web site kurulmus durumda
Sag clıck yapıp Browse edersek IIS 'ın Default Web sitesini
Goruntuleyebiliriz
yayınlayacagımız sayfaları default olarak c:\inetpub\wwwroot klasörü altına
atamız gerekiyor.(denemek için ben bir html sayfası olusturup buraya
kopyaladım)
Tekrar IIS yonetım panelıne donduk burda Defaul Web Site
uzerınde sag clıck yapıp Propertıes dıyoruz
Web Site sekmesinde "Description" bu kısıma sayfamızın ismini
verebiliriz.Default olarak 80 numaralı port uzerınden bu sıteye erısım
olucaktır IIS yınetım panelı uzerındekı Advanced ayarlar'ı bır sonrakı
makalemde anlatacagım şimdilik sadece sayfamıza erişim için gerekli
Basic ayarlarla devam ediyorum
Home Directory önemli...Default ayarlarda az önce
bahsettiğimiz gibi root dizin olarak c:\inetpub\wwwroot 'a
bakar arzu edersek değişiklik yapabiliriz Ben Default devam
ediyorum
Burası çok önemli "Documents" sitemiz bir istemci tarafından
cagrıldıgında ilk açılacak sayfamız neyse onun adını buraya
yazıyoruz ( Ornegın Index.htm,defaul.asp..) Ben Index.htm ısımlı
bır dosya olusturup root dızıne atmıstım burayada ındex.htm olarak
bıldırıorum
lokal ıp numaramı browser'da yazdıgımda sayfamızın
goruntulendıgını goruyoruz
Web sayfamızı dış dunyaya acmayı dusunuyorsak Lokal
DNS uzerınde bır CNAME acmak zorundayız bunun ıcın
DNS kontrol panelını acıyoruz ve New Alıas CNAME
dıyoruz
Web sayfamızı sunan makınamızı secıp yukarıdakı
sekılde WWW ekımızı yazıyoruz
Şimdi lokal 'de browser'ımızdan domaın ısmımızle sayfamızı
goruntuleyebılırız Modem'iniz uzerınden NAT yaparak 80 portundan
gelen ısteklerı ıcerıdekı web sunucunuz olan makınaya yonlendırırsenız
sonuc assagıdakı gıbı olucaktır
WAN IP numarama 80 numaralı port uzerınden sorgu
cekıldıgı anda WEB sayfaı goruntulenmekte.
Hangi servislere hizmet verebileceğinin anlatılması
• Background Intelligent Transfer Service
Arka planda client ve server arasında data transferini gerçekleştirir.
COM+ Event System
System Event Notification servisini (SENS) destekler.Bu servis Component
Object Model (COM) componentini onaylayan eventların otomatik
dağtımının yapılmasını sağlar.
COM+ System Application
COM+ tabanlı componentlerin konfigurasyonu ve izlenmesinin
yönetiminden sorumludur.
Cryptographic Services
Üç yönetimsel servis sağlar: Catalog Database Service, Windows
dosyalarının imzalanmasını onaylar; Protected Root Service, bu
bilgisayardan Trusted Root Certification Authority sertifikaları eklenmesini
yada kaldırılmasını sağlar; Key Service, bu bilgisayarın bir sertifika enroll
etmesini sağlar.
DHCP Server
DHC clientları için TCP/IP konfigurasyonunu sağlar.
DNS Server
DNS clientlarının DNS sorgularını cevaplayarak DNS isimlerini çözmesini
sağlar.
Error Reporting Service
Beklenmeyen uygulama hatalarının toplanması ve Microsoft’a
gönderilmesinden sorumludur.
66
• File Replication Service
Dosyaların diğer serverlar üzerine otomatik olarak kopylanmasını sağlar.
Help and Support
Yardım ve destek merkesinin çalışmasını sağlar.
Indexing Service
Local yada uzak bilgisayardaki dosyaların özelliklerini ve içeriklerini
indexleyerek sorgulamalara daha hızlı cevap verilmesini sağlar.
IPSec Services
Client ve server arasında TCP/IP networkü üzerinde noktadan noktaya
güvenlik sağlar.
Kerberos Key Distribution Center
Domain controller üzerinde kullanıcıların Kerberos Authentication
protocolünü kullanarak oturum açmasını sağlar.
•
Logical Disk Manager
Yeni hard-disk aygıtlarını algılar ve izler.Disk Volume bilgisini
konfigurasyon için Logical Disk Manager Servisine gönderir.
Logical Disk Manager Administrative Service
Hard-disk aygıtlarını ve volumlerini konfigure eder.
Messenger
Client ve server arasında net send mesajını yayımlar.
67
•
Microsoft Software Shadow Copy Provider
Volume Shadow Copy servisi tarafından alınan yazılım tabanlı volume shadow
copy’leri yönetir.
Print Spooler
Localdeki ve networkdeki tüm yazıcı görevlerini ve kuyruklarını yönetir.
Remote Desktop Help Session Manager
Uzaktan Yardım’ı yönetir.
Remote Registry
Uzaktan registry yönetimini sağlar.
Removable Storage
Çıkarılabilinir sürücüleri yönetir.
Routing and Remote Access
Multi-protocol LAN-to-LAN, LAN-to-wide area network (WAN), virtual private
network (VPN), ve network address translation (NAT) routing servislerinden
sorumludur.
Task Scheduler
Bilgisayar üzerinde zamanlanmış görevlerin oluşturulmasını sağlar.
Telephony
Ip tabanlı ses bağlantıları ve telefon sürücülerini kullanan programlara Telephony
API (TAPI) desteği verir.
Telnet
Uzak bir kullanıcının bu bilgisayara bağlanarak belirki komutları
çalıştırmasına,programları başlatmasına olanak sağlar.
Terminal Services
Kullanıcıların uzak bir bilgisayara interaktif olarak bağlanmalarını sağlar.
68
• Upload Manager
Client ve server arasında network üzerindeki data transferinden
sorumludur.
Windows Audio
Windows tabanlı programlar için ses aygıtlarını yönetir.
Windows Image Acquisition (WIA)
Kamera ve scannerlar için resim kazancı sağlar.
Windows Installer
.MSI dosyalarının yüklenmesi ,onarılması ve kaldırılmasından sorumludur.
Windows Internet Name Service (WINS)
TCP/IP clientlarının Netbios isimlerinin çözülmesini sağlar.
Windows Management Instrumentation
Ortak bir arayüz sağlayarak işletim sistemi hakkında,aygıtlarr ,uygulamalar
ve servisler hakkında bilgi edinebilmeyi sağlar.
Wireless Configuration
IEEE 802.11 adapter leri için otomatik konfigurasyonu etkinleştirir.
69
DNS server kurulumu ve ayarlamaları
Windows platfromlarında DNS hizmeti ilk kurulumda varsayılan
servisler arasında gelmemektedir.Dns servisini kurmak için Control
Panel (Denetim Masası) de bulunan Add or Remove Programs
(Program Ekle Kaldır) menüsünden Add Remove Windows
Components (Windows Bileşenleri Ekle Kaldır) seçeneği ile kuruluma
başlıyoruz.
70
Windows Components penceresinden Networking Services
seçeneği çift tıklanarak Domain Name Systems (DNS)
seçerek OK butonu ile seçimi onaylıyor, Next butonu ile
kuruluma devam ediyoruz ve Finish butonu ile kurulumu
tamamlıyoruz.
72
Kurulum işlemi tamamlanmasının ardından Resim – 4 ‘ teki
standart ekran karşımıza çıkacaktır.Forward Lookup Zone
seçeneğine mouse sağ tuşuna basarak New Zone menüsünden Alan
adımız için bir zone kayıdı yaratmamız gerekmektedir.
.Zone kayıt için Resim – 5’ teki karşılama ekranını Next
butonu ile geçiyoruz.
Resim – 6’ da Primary zone seçeneğini işaretleyerek
yapılanırma ayarlarına Next butonu ile devam ediyoruz ve
Resim – 7 ‘ de zone kaydımız için alan adımızı www
olmayacak şekilde yazıyoruz ve next butonu ile devam
ediyoruz.
Zone yaratma sihirbazımızı Next butonu ile sunulan ayarları
değiştirmeden devam ediyor ve alan adımız için Zone kayıt
işlemini tamamlıyoruz. Dns üzeride web sitelerinin çalışması için
gerekli olan NS, Host A, MX ve CNAME gibi kayıtlar
bulunmaktadır.Zone yaratma sihirbazımız ile kbh.com.tr zone
kaydını yaratmamızın ardından Resim – 8 deki ekran bizi
karşılayacaktır. Son aşamada DNS üzerindeki kayıtları yaratıyoruz.
Resim – 8’ de yaratmış olduğumuz zone kaydımız
görütülenmektedir.Sıra zone içerisindeki kayıtların düzenlenmesine
gelmiştir.
İlk olarak Resim – 9’ da görüldüğü üzere Name Server (NS)
kaydının üzerinde sağ tuşa basarak Properties seçeneği
tıklanarak mevcut NS kayıtları gözlemlenir.
Resim – 10’ da görüldüğü gibi standart gelen ns kaydı
işaretlenerek Remove butonu yardımı ile kayıt silinir.
Resim – 11 de görüldüğü şekilde Add butonuna basılarak NS adreslerimiz
DNS içerisine kayıt edilir.Bu işlem sırasında Makalemin başında belirtmiş
olduğum Name server adreslerinizin yaratılmış ve aktif olması gerekmektedir.
Yaratmış olduğunuz NS adresi aktif ise name server adresinizi yazarak
Resolve butonuna bastığınızda NS adresinizin karşılığı olan ip adresi
çözümlenerek ip hanesine otomatik olarak girecektir ve ok butonu ile ilk Ns
adresimiz kayıt edilir.Aynı adımlar takip edilerek var ise ikinci ve üçüncü Ns
adreslerimiz de dns içerisine kayıt edilir.
Resim – 12 te görüldüğü şekilde Zone kayıdı üzerinde sağ tuş
yaparak Host A (web sitemizin yayınlandığı sunucu ip adresi)
kaydı yaratma işlemine geçebiliriz.Resim – 13’ te Host A kaydı
değerlerimizi gireceğimiz pencere görüntülenmektedir. İp Address
kısmına web sitemizin yayınlandığı sunucu ip adresi kayıt edilir ve
sırası ile Add Host, Ok ve Done butonları tıklanır.
Bir sonraki Adımda MX kaydımızı yaratmaya
geçebiliriz.Mx kaydı yayınlamak istediğimiz web sitemizin
Mail hizmetinin yayınlanacağı sunucunun belirlenmesi
görevini üstlenmektedir.
Mx kaydı yaratma işlemi için Resim – 14 ve Resim – 15’ deki adımları
izleyebiliriz.
MX kaydı işlemlerinde Resim – 15’ de göreceğiniz üzere Host or child
domain adı boş bırakılmaktadır. FQDN ismine mail.kbh.tr yazıyor ve Mail
server Priority kısmına 10 yazıyoruz. Mail server Priority kısmı mail
server önceliğini belirtmekte olup 10 önceliği yüksek bir değerdir.
84
Bu aşamaya kadar Host (A) ve MX kaydı tanımlamalarını bitirmiş durumdayız.MX kaydı tanımı
için 1 Adet Host (A) kaydı ve web sitemizin yayını için 2 adet CNAME kaydı girilmesi ile
birlikte Dns yapılandırma işlemimiz tamamlanmış olacaktır.
Yaratmış olduğumuz mail.kbh.com.tr isimli MX kaydımız için bir Host (A) kaydı yaratmamız
gerekmektedir.Bunun nedeni dns üzerinde mail.kbh.com.tr kaydına karşılık gelecek ip adresi ile
mail hizmetinin barındırılacağı sunucuyu belirlemektedir. Bir önceki Host (A) kaydı işleminde
olduğu şekilde Resim – 16’ da görüleceği üzere Zone kaydı üzerinde sağ tuşa basarak New Host
(A) seçeneği ile Resim – 17’ deki şekilde görüldüğü gibi Name kısmına mail yazıyor ve
IP Address kısmına Mail sunucumuzun ip adresini yazarak sırası ile Add Host, Ok ve Done
butonlarına tıklıyoruz.
2 adet CNAME kaydı işlemi ile dns yapılandırmamızı
tamamlayabiliriz.Zone kayıdı üzerinde sağ tuşa basarak New Alias
(CNAME) seçeneği ile CNAME kayıt ekranı açılır ve Resim – 19’
da görüldüğü üzere Alias name kısmına www yazılır ve FQDN
kısmına kbh.com.tr yazarak ilk CNAME kayıt işlemi
gerçekleştirilir.Ftp kaydı için yaratılacak CNAME işlemlerinde de
aynı adımlar izlenerek Alias kısmına ftp yazarak Dns yapılandırma
işlemlerimizi tamamlamış oluruz.
87
Active Directory kurulumu ve anlatımı
•
Ağ işletim sistemleri kaynakların
yönetimi görevini yerine getirirken ,
ağ nesnelerini kaydetmek ve erişimini
kontrol etmek için dizin
(directory)servisine gereksinim
duyarlar. Birde kullanıcıların ağa
girişi ve kimlik denetimleri
gereksinimleri vardır.Bu işlemler
active directory gibi dizin sistemleri
tarafından yerine getirile bilir.Bu
servis ağ kaynaklarının yönetimi
dışında sistem yapısı,kullanıcı,ve grup
bilgileri ve uygulamalar hakkında da
bilgi saklar.Bütün bu nesneleri daha
sonra düzenlenen grup ilkeleriyle
belli kurallara uygun olarak
davranmasını sağlar.Grup ilkeleri
kullanıcıların masa üstlerini ağ
servislerini ve uygulamaları merkezi
olarak bir noktadan yönetmeyi sağlar
•
•
•
•
•
•
•
•
•
Active Directory’nin özellikleri;
**Ölçeklenebilirlik: Az sayı da
nesne içerebildiği gibi milyonlarca
nesnede içerebilir.
**Genişletilebilirlik: Sahip olduğu
şema üzerinde değişiklik yapabilmesi
anlamına gelmektedir
**İnternet-standartlarında
adlandırma: Ad çözümlemeyi sağlar
**Esnek sorgulama: İnternet ile
bağlantı yapmayı sağlar.
**Tek bir noktadan erişim:
Administrator’ın bir yerden yapacağı
logon işlemi ile bütün network’ü
yönetmesi
**Hata toleransı: Beklenmedik
olaylara karşı bilgilerin çoğaltılması
**Güvenlik kontrolü: Kullanıcıların
erişim kontrollerinin dağıtılabilmesi
**Birlikte çalışma: Diğer işletim
sistemleriyle bütünleşebilmesi
anlamına gelir
88
KURULUMU;
•
1. Start > Run menüsü içerisine
dcpromo komutunu yazın ve
çalıştırmak için onaylayın.
89
Karşımıza Active Directory kurulum sihirbazı ana ekranı
gelecek, bu ekranda Next butonuna basarak devam edeceğiz.
Bir sonraki ekranda kurulumdan önce bir uyarı ekranı mevcut. Windows
Server 2003’de güvenlik yapılandırmaları ve gerek istemci gerekse de diğer
serverlarla iletişim daha güvenli yöntemlerle gerçekleştiği için bazı
Windows işletim sistemlerinin kullanılamayacağı belirtiliyor. Windows NT
4.0 SP3 (veya öncesi) ve Windows 95 istemciler Windows Server 2003 etki
alanına katılamazlar ve etki alanı kaynaklarına erişemezler. Windows XP
Home edition etki alanına katılamaz ancak etki alanı kaynaklarına erişebilir.
Bir sonraki ekranda Domain Controller(Etki Alanı Denetleyicisi)
türünü belirleyeceğiz. Eğer zaten varolan bir domain’e katılacaksak
Additional domain controller for an existing domain seçeneğini
seçip katılacağımız etki alanını belirtip kurulumu tamamlayabiliriz.
Biz yeni bir etki alanı oluşturacağımız için Domain controller for a
new domain seçeneğini işaretliyoruz.
Yeni domain yaratma ekranında bizlere
yaratacağımız domain türünü soracaktır.
Üç seçeneğimiz var. Çok basitçe
açıklamak gerekirse bunlar;
Forest: Forest bir domainler
topluluğudur. İçerisinde birden fazla
domain yapısı mevcuttur.
Domain Tree: Bir Forest içerisinde
bulunan, diğer domainlerden bağımsız
yapısı bulunan etki alanı.
Child Domain: Bir Domain tree
içerisinde bulunan ve DNS yapısını bu
domain Tree’den alan alt domain.
5. Biz yeni bir etki alanı oluşturduğumuz
için ilk seçenek olan Domain in a new
forest seçeneğini işaretleyeceğiz. Bu
seçenekle birlikte ayrıca yeni bir Forest
yaratılmış olacak ve bizim
oluşturduğumuz etki alanı bu forest’in ilk
domain’i olacak. İstenirse yine bu
ekrandan Forest içerisine Child domainler
ya da domainler eklenebilecektir.
. Sıra geldi yeni domainimizi adlandırmaya. Etki alanı isimlerini
belirtirken bir uzantı kullanma zorunluluğu olmamasına rağmen
daha sonra yapının büyüme ve genişleme durumu göz önünde
bulundurulacaksa kullanılması uygun olacaktır. (Ayrıca kurulacak
Exchange sunucuları da isim planlamasına dahil edilmelidir.)
.COM , .NET gibi uzantılar kullanılacağı gibi örnekte uygulanan
local uzantısı da kullanılabilir.
• Bir sonraki ekranda eski
Windows sürümlerinin
(Windows 98, Windows
ME) Etki alanımızı
tanımlayabilmesi ve
konumlandırabilmesi için
etki alanının NETBIOS
ismini tanımlamalıyız.
Varsayılan olarak
domainin uzantıdan
önceki isim alanı
gelecektir ancak
değişitirilebilir. Genel
kullanım içerisinde
değiştirilmemesi tercih ve
tavsiye edilir.
95
Bu aşamada Active Directoy üzerinde ki tüm bilginin (Kullanıcılar,
Bilgisayarlar, Yazıcılar, OU’lar vs.) depolanacağı NTDS.dit
veritabanı dosyasını ve tüm transactionların kayıt edileceği
NTDS.log dosyalarının saklanacağı konumları belirlememiz
gerekiyor. En iyi performansını almak ve veri kaybını mümkün
olduğunca önleyebilmek amaçlı veritabanı ve log dosyalarının ayrı
ayrı disklerde depolanması önerilir.
•
Bu adımda paylaştırılmış
Sistem bilgisinin tutulacağı
SYSVOL klasörünün
konumunu belirleyeceğiz.
SYSVOL klasörü domainin
public dosya ve klasörlerinin
bilgisinin tutulduğu
klasördür ve bu klasör
içeriği eğer var ise etki alanı
içindeki diğer domain
controller ile replike olur.
97
Kurulum sihirbazının bir sonra ki
aşamasında DNS kurulumu ve/veya
ayarlanması ile ilgili bölümdeyiz. Bu
aşamada sistemde DNS sunucusu kurulu
olup olmadığına göre biraz daha farklı bir
ekranla karşılaşabiliriz. Örnek
sistemimizde DNS sunucusu kurulu değil
ve DNS sunucusundan response
alamadığına dair uyarı bildiriyor. DNS
kısaca Active Directory etki alanında ki
her objenin isim ve ağ protokol bilgisini
depolayan ve istemci isteklerine yanıt
verip yönlendiren bir sunucu türü.
Dolayısıyla Active Directory yapısını
DNS sunucusu olmadan düşünemeyiz.
Kuruluma sistemimizde DNS sunucusu
bulunmadığı için ikinci seçenek ile devam
ediyoruz. Bu seçenekle bir DNS sunucusu
kurulacak ve Server’ımız için tercih edilen
DNS olarak atanacak.
98
•
•
Permissions compatible only with
Windows 2000 or Windows Server 2003
operating systems: Bu seçenek ise ilkinin
tam aksi olarak Windows 2000 ya da
Windows Server 2003 etki alanlarına üye
olan server uyumlu yazılımlar
kullanılacaksa seçilebilir. Sadece kimlik
doğrulaması yapılmış kullanıcılar domain
bilgilerine erişebilir.
Kurulumum sonuna
yaklaşıyoruz, bu aşama kullanıcı
ve grup nesneleri için izinleri
tanımlayacağız. Seçenekleri
kısaca incelemek gerekirse;
Permissions compatible with
pre-Windows 2000 server
operating systems: Bu seçenek
eğer Windows 2000 öncesi
sistemlerde çalışan Server
uygulamalarımız mevcut ise
(Örneğin windows NT Remote
Access Service) seçilmelidir. Bu
seçenek ile devam edilebilirse
geriye dönük uyumluluk
sağlanabilecek ancak
anonymous kullacılar domain
bilgilerine erişebileceklerdir.
99
•
Bu bölümde herhangi bir şekilde Active Directory etki alanı zarar görürse
Directory Services Restore Mode da onarım ve bakım için sunucunun açılması
gerekir. Bu noktada işlem yapacak administrator hesabının parolasını
belirleyeceğiz. Restore Mode Administrator kullanıcısı Domain Administrator
hesabından farklı olup istenirse parolaları birbirinden farklı verilebilir.
100
Bu bölümde artık sihirbazın tüm adımları tamamlandı ve istediğimiz
ayarların bir özeti bize sunuluyor. Son bir kontrolden sonra devam edelim.
. Next ile bu son ekranı da geçtiğimizde Active Dircetory etki alanı
kurulumuna geçilecek ve istediğimiz seçeneklerin kurulumunu
göreceğiz.
. Sihirbaz hatasız tamamlandığında bildirim ekranı
gelecektir.
. Gerçekleştirilen işlemlerin bir özetinin bulunduğu bu
ekranda Finish ile kurulumu sonlandırıp sistemimizi yeniden
başlatacağız.
Windows Server 2003 sistemimiz yeniden açıldığında artık
oluşturduğumuz domain ortamına logon olacaktır.
Sonrasında istemci bilgisayarları etki alanına katabilir,
kullanıcılar yaratıp OU’lar tanımlayabilir, etki alanı üzerinde
GPO kullanarak kısıtlamalar ya da yönlendirmeler
yapabiliriz.
Dosya nasıl paylaşılır ?
•
Windows Server 2003 işletim sisteminin bize sunduğu klasör paylaştırma ve NTFS dosya
sisteminin özelliği olan NTFS izinlerini doğru ayarlayarak kaynak erişimini denetleyebiliriz.
Windows server 2003 NTFS olan ortamlarda , farklı kullanıcılara veya gruplara farklı haklar
verebiliyoruz . Örneğin Read hakkı kullanıcıya sadece dosyayı okuma hakkı verirken Modify
dosyayı okuma , silme , hakkı da verebiliyor .
Folder Sharing ( Klasör Paylaştırma )
Paylaştırmak istediğimiz klasöre sağ tık > Sharing > Share this folder Tıklarsak klasör network
üzerinden paylaşıma açılmış olur .
Do not share this folder : ( Bu klasörü paylaştırma ) : Klasörün paylaşımını durdurur .
Share this folder : ( Klasörü paylaştır ) : Klasörü paylaşıma açar .
Share name : ( Paylaşım ismi ) : paylaştırılmış klasörün networkten erişirken görünen adını
belirlememiz için alan sağlar .
Description : ( Açıklama ) Paylaştırılmış klasör için açıklayıcı bir bilgi girmemizi sağlar .
User Limit : ( Kullanıcı limiti ) Paylaştırılmış klasöre networkten en fazla kaç kullanıcının
erişebileceğini belirleyebilmemizi sağlar .
Permissions : ( izinler ) Paylaşım izinlerini ayarlamak için kullanılır .
Offline Settings : ( offline ayarlar ) Paylaştırılmış klasörün içeriğinin networke bağlı olmadan
nasıl kullanılabileceğini ayarlamak için kullanılır .
•
OFFLINE FOLDERS :
Klasörlerin network e bağlı değilken de çalışılmasına imkan verir Network e bağlı iken biz
farkında olmadan klasörün replikasyonu gerçekleşir .
Klasör paylaşım penceresinde “Permissions” ı tıklarsak kullanıcı izinleri penceresi karşımıza
gelir .
Read : ( okuma ) : Sadece okuma izni verir .
Change ( Değşişim ) Okuma , yazma ve silme izni verir . Kullanıcı klasör içinde yeni klasör ve
dosya oluşturabilir .
Full Control : ( tam yetki ) : Klasör üzerinde tam denetim iznidir .
105
•
NTFS izinleri - Security
NTFS izinlerini , bir kaynağa hangi kullanıcıların ve grupların erişebileceğini belirlemek için
kullanırız .
Klasör NTFS izinleri :
Read : ( okuma ) Klasörün altındaki diğer klasörleri ve dosyaları görüntüler . Dosyaları açabilir .
Dosyaların özelliklerini görebilir ancak değişikşik yapamaz .
Write ( yazma ) : Klasörün altında yeni klasör ve dosya oluşturabilir . Mevcut dosyaları
değiştirebilir fakat silemez .
List Folder Contents ( Klasör içeriğini listele ) : Klasörün altındaki diğer klasörleri ve dosyaları
listeleyebilir .
Read and execute ( oku ve çalıştır ) : Read ve List Folder Contents izinlerinin toplamıdır .
Ayrıca klasör altındaki programları çalıştırabilir .
Modify ( modifiye et ) : Read and execute ve Write izinlerinin toplamının yanı sıra mevcut dosa
ve klasörleri silebilir .
Full Control ( tam yetki ) : Tam denetimdir . Klasörün erişimini denetleyebilir sahipliğini
alabilir alt klasörleri ve dosyaları silebilir .
Inheritance Management ( miras yönetimi )
Varsayılan olarak , oluşturulan tüm dosya ve klasörler NTFS izinlerini bir üst klasörden
kopyalarlar . Dosya şifrelerken veya sıkıştırırken ki durumdan hatırlayacağımız gibi alt klasörler
kök klasörün sahip olduğu özellikleri devam ettiriyordu . Ancak istemezsek bu durumu
değiştirebiliyoruz .
Bu durum yöneticinin işini kolaylaştırır . Ancak istendiğinde Inheritance ‘ı ( mirası )
Engellemek için .
Security > “Advanced” > “Allow inheritable permissions from the parent to propogate to this
object …” seçeneğini temizliyoruz
Kaynaklara erişim : 2 yolla erişebiliriz :
1. Start > Run
Erişmek istediğimiz \\sunucuadı\kaynak adı yolunu yazarız .
2. My Network Places > Entire network > Microsoft wndows network > karşımıza önce
workgroup veya domain isimleri çıkar …
Daha sonra da bilgisayar isimleri ….
106
Windows server da Güvenlik
• Windows Server 2003 güçlü güvenlik özelliklerine sahip
işletim sistemidir. Güvenlik (security), içte, dışta, network
üzerinde, serverlar üzerinde, uygulamalar üzerinde ya da
daha farklı açılardan ele alınabilecek geniş bir konudur.
Şifreleme ve PKI, temel güvenlik bileşenleri içinde yer
alır. Bunun dışında network üzerindeki güvenliğin
sağlanmasında da IPSEC protokolünün önemi büyüktür.
107
Şifreleme (Encryption)
•
Şifreleme (Encryption)
Internet gibi public (genel)
networklerin yaşamımıza hızla
girmesi, kişisel ve şirket verilerinin
güvenliğini tehdit eder hale gelmiştir.
İki şirket arasında gönderilen bilgi, iki
kişi arasında gönderilen bir mesaj,
aktarım sürecinde bir başka kişi
tarafından görülebilir ya da
değiştirilebilirse, kişiler ve kurumlar
bundan zarar görürler.
Bu anlamda network üzerindeki verileri
çok sayıda risk bekler:
Network monitoring: Network monitor
network paketlerini izleyebilen bir
uygulamadır Paketler
şifrelenmemişse, network izleme
aracı paketin içeriğinin tümünü
görüntüleyebilir.
Data modification: Kötü niyetli bir kişi
taşınan veriyi değiştirerek karşı tarafı
aldatabilir.
Password: Kötü niyetli bir kişi parolayı
(password) çalabilir ve onu
kullanarak sahibine zarar verebilir.
Address spoofing: Kendisini başla
birisinin yerine koymak. Örneğin
birisinden gelen e-mail mesajının
gerçekte o kişiden gelmemiş olmasını
sağlamak.
Man-in-the-middle: Bu saldırı türünde
iletişin kuran iki insanın verileri
izlenir.
Denial-of-service: Bir servisin
kullanımını engellemek. Örneğin mail
kutularını doldurarak mail alınmasını
108
engellemek.
**Güvenliği sağlamak bakımından geniş kabul görmüş bir konu
şifrelemedir. Şifreleme (encryption) verinin belli bir algoritma ile
değiştirilerek içeriğini başkalarından gizlenmesidir. Şifreleme, verilerin
belli bir anahtar (key) değeriyle işlenmesiyle yapılır. Şifrelemede genellikle
56-bit ya da 128-bit uzunluğunda bir anahtar (key) değeri kullanılır. Veri bu
anahtar bilgi ile belli bir matematiksel işlemlere sokularak değiştirilir,
ardından hedefinde yeniden açılır.
**Şifreleme konusunda dünyaca kabul görmüş standartlar vardır. (Data
Encryption Standard – DES), 1970'lı kullarda geliştirilmiş bir 56-bitlik
anahtar şifrelemesidir. Zamanla yetersiz kalan bu şifreleme standardını
yerine daha gelişmiş şifreleme algoritmaları geliştirilmiştir.
**Anahtar tabanlı şifrelemelerin yanı sıra bir de hash algoritması
kullanılarak verilerin doğruluğu kontrol edilir. Hash, kimlik doğrulama
(authentication) ve sayısal imza (digital signing) gibi birçok işlemde
kullanılır
**İyi bir hash algoritmasıyla giriş verilerindeki değişiklikler sonuç
bitindeki bütün bitleri değiştirir. Bu nedenle hash sayesinde verilerin
değiştirilip değiştirilmediği anlaşılır.
109
•
•
•
•
PKI (Public Key Infrastructure)
Modern kriptografide bilginin şifreli
biçimde güvenli hale getirilmesi için
belli bir key değeriyle yapılır.
Şifreleme doğru bir key ile
yapılabilmektedir.
İki tür key tabanlı şifreleme vardır:
Symmetric Key Encryption
Asymmetric Key Encryption
(Public Key Encryption)
Symmetric Key Encryption işleminde
şifrelemek ve şifrelemeyi çözmek için
aynı key (secret key) anahtar
kullanılır.
Asimetrik şifrelemede ise mesajı
şifrelemek için bir public key, şifreyi
çözmek için ise bir private key
kullanılır.
•
•
•
•
Private Key ve Public Key Kavramları
Şifremele sürecinde kullanılan anahtar
bilgisinin daha kontrollü olması için
gönderen ve alanın private keyleri yerine
gönderen ve alan için ayrı private key ve
bir public key kavramı geliştirilmiştir.
Buna Public Key ve Private Key sistemi
denir.
Örneğin gönderen (sender) ve alıcı
(receiver) arasında bir veri transferini
örnekleyelim. Gönderen, göndereceği
kişinin public keyi ve kendisinin private
keyi ile mesajı şifreler. Alıcı ise bu şifreyi
çözmek için gönderenin public keyini ve
kendisinin private key ini kullanır.
Güvenlik açısından da yalnızca public
keyi bilmek verileri açmaya yetmez.
Ayrıca her iki tarafında private
keylerinin aktarılması önlenmiş olur.
110
•
PKI (Public Key Infrastructure)
Public key kriptografi verileri şifreleyerek güvenlik sağlamanın alt
yapısını sağlar. Public keyler serbest bir şekilde gönderildiği için, birbirini
tanımayan kişiler kendi public keyleriyle public network üzerinde iletişim
kurabilirler.
Şirketlerin PKI kullanmalarını birçok nedeni vardır:
Güçlü güvenlik (Strong security): Smart kartlarla güçlü kimlik denetimi
sağlanır. Public networklerde güvenli veri aktarımı için IPSec kullanılır.
Ayrıca kaydedilen veriler EFS (encrypting file system) sistemiyle şifrelenir.
Kolay yönetim: Sertifikalar sayesinde parola kullanımı azaltılır.
PKI iki temel alanda kullanılır:
** Public Key Encryption
**Public Key Authentication
111
Windows Server 2003 Sertifika Servisleri
•
Bir sertifika bir otorite tarafından yayınlanan sayısal bir tanımlamadır. Sertifika bir
public keyi, özel keye sahip olan bir kişiye, bilgisayara ya da servise bağlar.
Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; ve
Windows Server 2003, Datacenter Edition'da sertifika yetkililerini (certification
authorities (CA) yaratma ve yönetmek için Certificate Services bileşeni kullanılır.
Bir CA sertifikayı kullananın kimliğini belgelemek ya da oluşturmaktan sorumludur.
En basit PKI tasarımında bir root CA vardır. Bununla birlikte birçok organizasyonda
sertifika hiyerarşisi içinde organize edilmiş çok sayıda CA kullanılır.
Sistem yöneticileri Certificate Services'lerini Certification Authority MMC konsoluyla
yönetirler. Certification Authority
Certification authority (CA) şifrelem işleminde kullanılacak keyleri atar. CA keyleri
sertifika kullanarak dağıtır. Bir CA sertifikaları bilgisayar, kullanıcı ya da bir servis
için dağıtabilir.
External ve Internal CA
Bir CA external ya da internal olabilir. Örneğin ticari bir CA tarafından dağıtılan
sertifikalar milyonlarca kişiye dağıtılabilir. Bunun aksine CA'lar internal da olabilir.
Örneğin şirket içindeki bir bölüm, kendi sertifikaları doğrulamak ve dağıtmak için bir
server kurabilir.
Sertifikaları dağıtma süreci:
1. CA sertifika isteğini kabul eder.
2. CA istekte bulunanın bilgilerini kontrol eder.
3. CA sertifikaya sayısal imze uygulama için kendi private key değerini kullanır.
4. CA sertifikaları bir PKI içindeki güvenlik hakkı olarak kullanılır.
112
Control Panel, Add or Remove Programs ile
Certificate Services kurulumu yapılır. Kurulum
sırasında CA type, tanıtıcı bilgiler, sertifika
veritabanı bilgileri düzenlenir.
IPSec (Internet Protocol Security)
• IPSec, private networkleri içerinden ve dışarından
gelen ataklara karşı korumak için kullanılan bir
tekniktir.
IPSec'in iki amacı vardır:
•IP paketlerinin içeriğini korumak.
• Network ataklarına karşı, paket filtreleme ve
güvenli iletişimi zorlayarak savunma sağlamak.
Her iki amaç da cryptography-tabanlı korumayla
sağlanır.
113
Tipik IPSec Senaryoları:
Paket Filtreleme: IPSec uç sistemler (end-systems) arasında güvenlik
duvarı özelliklerini sağlar.
Internet Bağlantısı: Gelen ve giden trafik üzerinde güvenlik önlemleri
sağlar.
Host-to-host arasında güvenlik: Serverlar arasında karşılıklı kimlik
denetimi sağlar.
Örn: sitelere dağılmış domain controller arasında güvenlik, Web
serverlar arasında güvenlik sağlar.
Serverlara erişimde güvenlik: Serverlara erişen client bilgisayarlar için
karşılıklı kimlik denetimi sağlar.
IPSec network verilerinin güvenliğini şu şekilde karşılar:
•Veri alışverişinden önce bilgisayarların karşılıklı olarak kimlik denetimi
yapmak.
•İki bilgisayar arasında güvenlik birliği (security association) oluşturmak.
•Alış verişi yapılan veri üzerinde şifreleme yapmak.
114
IPSec Policy'leri Yapılandırmak
Bilgisayarlar arasında IPSec'i yapılandırma sırasında iki mod seçilir:
• Transport Mode
• Tunnel Mode
IPSec'i Transport Modda Kullanmak
• Transport mod iki bilgisayar arasında kimlik doğrulama ve verilerin şifrelenmesi
işlemini gerçekleştirir. Transport mod varsayım IPSec modudur:
Transport modu belirtmek için:
1. IP Security Policy Management'ı açın.
2. Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties'i
tıklayın.
3. Değiştireceğiniz kuralı seçin ve Edit'i tıklayın.
4. Tunnel Setting tabında "This rule does not specify a tunnel " seçeneğini tıklayın
115
•
Tünel Mode
İki uzak network (remote network) arasında güvenli iletişim yaratmak için
IPSec'i tünel modunda yapılandırmak gerekir. Tünel modunun üstünlüğü
verinin iki tünel ucunda güvenli olmasıdır. IPSec tünel modu
yapılandırıldığında networkler arasındaki bütün iletişim güvenli olur.
IPSec'i Tunnel Modda Kullanmak
**IPSec Tünel modunda iki router arasında yaratılan IP tünel içinde kimlik
denetimi ve veri şifreleme işlemleri yapar.
**Tünel modun kullanılabilmesi için Routing and Remote Access servisinin
yapılandırılması gerekir.
**Tünel modu IP Sec Management içinde etkinleştirilir. Tünel modu
yapılandırıldığında IPSec her tünel sonu için bir IP adresine gereksinim
duyar.
**Bir IPSec tüneli belirtmek için:
1. IP Security Policy Management'ı açın.
2. Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties
iletişim kutusunu açın.
3. Değiştirmek istediğini kuralı seçin ve Edit'i tıklayın.
4. Tunnel Setting tabında "The tunnel endpoint is specified by this IP Address"
seçeneğini seçin ve tünel sonu noktasının IP adresini belirtin.
116
Download