T.C. ARDAHAN ÜNİVERSİTESİ ARDAHAN TEKNİK BİLİMLER MESLEK YÜKSEKOKULU SERVER 2003 KURULUM VE ANLATIM SLAYT’I HAZIRLAYANLAR ÖNDER EDEMİR DENİZ OBALI CEYLAN UYSAL CEM ENES ÖZTÜRK CEM AVŞAR 1. Server nedir? 2. Windows 2003 server tarihi nedir? 3. Neden Windows 2003? 4. Windows server 2003 yenilikleri 5. Windows 2003 server sürümleri ve arasındaki farklar nelerdir? 6. Windows serverda sunucu rolleri nelerdir? 7. Adım adım kurulumu ve dikkat edilmesi gereken noktalar nelerdir? 8. Kullanıcı işlemleri ve yetkilendirme 9. IIS kurulumu ve ayarlamalar 10. Hangi servislere hizmet verebileceğinin anlatılması 11. DNS server kurulumu ve ayarlamaları 12. Active Directory kurulumu ve anlatımı 13. Dosya nasıl paylaşılır? 14.Windows server da Güvenlik 2 SERVER NEDİR ? • Ana Bilgisayar (Sunucu Bilgisayar) • Üzerinde tüm bilgilerin saklandığı ve genellikle diğer bilgisayarlara oranla daha hızlı ve kapasitesi yüksek bilgisayar • Sadece Donanım olarak değil üzerinde çalışan yazılımlar olarak ta yönetici durumunda olan bilgisayar • Bilgileri paylaştıran ve istemcilere sunan bilgisayar 3 Windows 2003 server tarihi nedir? • 'Windows Server 2003, Nisan 2003'te piyasaya çıkan, Windows 2000 gibi, küçük ve merkezi yönetimli kuruluşlardan geniş çaplı kuruluşlara kadar her çapta kuruluşun gereksinimlerine yanıt vermek üzere tasarlanmış, ayrıca kuruluşların Microsoft .NET özelliğinden tam olarak yararlanabilmesini sağlayacak biçimde geliştirmiş sunucudur. 4 Neden Windows 2003 ? • • • • • Daha güvenilir; Windows server 2003 secure Windows update özelliğine sahiptir.Bu özellik gerektiğinde işletim sistemi dosyalarının kritik güncellemeleri yapmasını sağlar.Windows server 2003 geliştirilmiş kümeleme desteği ile kesintisiz çalışabilme konusunda da oldukça ileridir.Windows server 2003ailesi sekiz düğüme kadar olan sunucu kümelerini destekler.Bir kümede bulunan sunuculardan birisi herhangi bir nedenden dolayı devre dışı kalırsa diğer küme içindeki bir sunucu devreye girer.Yeniden düzenlenen Active Directory performansı ve esnekliği de server 2003 ü daha hızlı ve sağlam yapmıştır. Daha güvenli; Güvenlik anlamında yenilikler ağırlıklı olarak Windows server 2003 içinde yer alan Internet Informatıon server üzerinde toplanmıştır. Sunucunun internet de açık kapısı olan IIS 6.0 yeni baştan yazılmış ve çok sayıda uygulamayı güvenli ortamda çalıştıracak hale getirmiştir. PKI, kerberos, Smart kartla oturum açmak gibi güvenlik düzenlemeleri de geliştirilmiştir. Daha kolay; Windows server 2003 daha kolay bir sunucu işletim sistemidir dedik .Çünkü çok sayıda yönetim aracına sahiptir.Görsel hazırlanmış bu araçlar ağın ve servislerin yönetimini kolaylaştırır.Kolay yönetime örnek olarak ; Daha verimli; Microsoft verilerine göre Windows server 2003 dosya sunucusu olarak Linux sunucularından %50 daha hızlıdır. Windows NT 4.0 sunucularından % 100 hızlıdır. IIS 6.0 ile web sunucusu olarak yine Linux sunucularından %50 Windows NT 4.0 sunucularından %60 daha hızlıdır. 5 6 Windows server 2003 yenilikleri **Öncelikle Windows 2000 sunucu ailesinin bir devamı niteliğindedir. **Active Directory, grup ilkeleri, yönetim araçları ve güvenlik adına çok sayıda yeniliğe sahiptir. **64-bit donanım desteği vardır. **Sekiz sunucuya kadar gelişmiş kümeleme(cluster) desteğine sahiptir. **Yerleşik olarak. NET Framework’e sahiptir.Bu. NET uygulamalarını destelemek ve Web servislerini barındırmak için ideal bir ortam anlamına gelir. ** ASP.NET uygulamalarının en iyi şekilde çalıştırılmasını sağlayan mimari. **Güvenli sanal özel ağ bağlantısı (VPN) **Yeni özellikleriyle dizin sistemi(ACTİVE DIRECTORY) **Dosyaların şifrelenmesini sağlayan şifreleme sistemi (EFS) **6 bölümlü yeni IP adreslerinin desteklenmesi (IPv6) **Kullanıcı verilerinin yedeklenmesi ve gerektiğinde istenilen sürümünün geri yüklenmesini sağlayan araç. (Shadow Copy Restore) 7 Windows 2003 server sürümleri ve arasındaki farklar nelerdir? • Windows 2003 işletim sistemi tek bir ürün değil bir çok üründen oluşan bir işletim sistemidir. • Windows server 2003’ün dört üyesi vardır; *** Windows server 2003,standart edition: ***Windows server 2003,enterprıse edition ***Windows server 2003,datacenter edition ***Windows server 2003,web edition 8 • Windows server 2003,standart edition Kurumların gereksinimlerini karşılamak için geliştirilmiş bir sunucudur. Yazıcıların ve dosyaların paylaşımını, İnternet bağlantısı ve uygulamaların dağıtılmasını sağlar. Güvenilir bir ağ işletim sistemidir. Genel olarak şirketlerde(kurumsal)alanda kullanılmak üzere tasarlanmıştır. **Dosya ve yazıcı paylaşımını destekler **Güvenli internet bağlantısını sağlar **Merkezi masa üstü uygulaması kullanımını olanak verir **Çalışanlar, ortaklar ve müşteriler arasında kapsamlı iş birliği yapılmasını sağlar. **İki yönlü simetrik çoklu işlemi ve en fazla 4 GB belleği destekler. **Gelişmiş ağ özelliklerine sahiptir. • Windows server 2003,enterprıse edition; Orta büyüklükte şirketler için tasarlanmıştır. Uygulamalar, XML, Web servisleri ve alt yapı için önerilen bir işletim sistemidir. Yüksek güvenilirlik ve performans sağlar. **32 GB RAM desteği **8 CPU **Cluster Servisi: Önemli uygulamalar, mesaj sistemleri ve genel ticari işlemler için yüksek dayanıklılık sağlar. Sekiz node clustering desteği vardır. **64 bit desteği sağlar. **Microsft Metadirectory Service desteği sağlar. **Hot Add Memory: Bu özellik sayesinde çalışırken bilgisayara bellek eklemek ve uygulamalar için kullanılabilir hale getirmek mümkündür. **Terminal Services Session Directory: Yük dengeleme özelliğidir. Kullanıcının bağlanmış sunucuya yeniden bağlanmasını sağlar. 9 Windows Server 2003 Web Edition • Windows Server 2003 DataCenter Edition Ölçeklendirilebilir veri tabanlarının çoğunu ve yüklü miktarda işlem yapılmasını gerektiren işletme açısından kritik çözümleri bulmak üzere tasarlanmış Windows server 2003 datacenter edition aynı zaman da sunucu güçlendirmesi için ideal bir platformdur. **32 yollu SMP **Sekiz düğümlü kümeleme **64 GB RAM desteği **NUMA desteği : İşletim sisteminin etkinliğini arttırır. Web sitelerinin yayınlanmasına odaklı bir web sunucusudur.Kullanımı ve yönetimi kolay olan Web sunucusu hizmetleri güçlü bir platform sağlamak amacıyla daha ii bir duruma getirilmiştir. **Dağıtılması ve yönetilmesi kolaydır. **İki yollu SMP desteği **2 GB ram desteği **Tarayıcı tabanlı ara birimle uzak iş istasyonundan yönetile bilir. 10 Nitelik Web Server Server Enterprise Server Datacenter Server Kümeleme Hayır Hayır 2 yol 4 yol Virtual Private Network – VPN (Sanal Özel Ağ) desteği Sınırlı Evet Evet İnternet Kimlik Denetimi Hizmeti Hayır Evet Evet Ağ köprülemesi Hayır Evet Evet Active Directory desteği Bir Etki Alanı Üyesi OlabilirBir etki alanı üyesi veya etki alanı denetleyicisi olabilir Bir Etki Alanı Üyesi OlabilirBir etki alanı üyesi veya etki alanı denetleyicisiola bilir. Bir Etki Alanı Üyesi OlabilirBir etki alanı üyesi veya etki alanı denetleyicisi olabilir. Bir Etki Alanı Üyesi OlabilirBir etki alanı üyesi veya etki alanı denetleyicisiola 11 bilir. Metadirectory Services desteği Hayır Hayır Evet Hayır SharePoint Team Services desteği Hayır Evet Evet Evet Çıkartılabilir ve Uzaktan Depolama Hayır Evet Evet Evet Faks Hizmetleri Hayır Evet Evet Evet Remote Installation Sevices – RIS Hayır Evet Evet Evet Itanum bilgisayarlar için 64 bit sürüm uygunluğu Hayır Hayır Evet Evet Çalışma anında bellek ekleme Hayır Hayır Evet Evet Internet Connection Firewall dahil Hayır Hayır Evet Evet 12 Public Key Infrastructure (PKI) desteğiTermina l Services (Aplication Server kipi) Hayır Evet Evet Evet En fazla Ram 2 GB 4 GB 32 GB 64 GB İşlemciler 1-2 1-2 1-8 8-32 13 Windows serverde sunucu rolleri nelerdir? • Windows server 2003 farklı sunucu rollerini gereksinimlerinize göre merkezi biçimde yerine getirebilecek çok amaçlı bir işletim sistemidir. Sunucu işlevlerinden bazıları; **Dosya ve yazdırma sunucusu **Web sunucusu ve web uygulaması sunucusu **Posta sunucusu **Terminal sunucu **Uzaktan erişim/sanal ağ(VPN) sunucusu **Dizin hizmetleri **Veri akışı ortam sunucusu 14 • • File server (dosya sunucusu):**Active directory servisi:dosyaları bulmayı kolaylaştırır. **Dynamic Volume Management:Disk alanlarının sistemi kapatmadan değiştirilmesini sağlar. **Disk quota:Her kullanıcı için bir disk kapasitesi sınırı koymayı sağlar. **Primary Server(Yazıcı sunucusu); Active Directory servisleri sayesinde printerları daha kolay bulma **Daha geniş printer ve protokol desteği **Gelişmiş kullanıcı ara birimi ve daha düşük toplam sahip olma maliyeti **Kullanıcıların internet üzerindeki yazıcıları kullanması • Web server (Web sunucusu):**CPU kaynaklarını site bazında dağıtabilmek **Dağıtılmış yetki ve versiyon özellikleriyle kullanıcıların Web üzerindeki bilgilere daha kolay erişmesi ve yönetmesi **Ek sihirbazlarla güvenlik yönetimi • Application (Uygulama sunucusu):**64 GB’a kadar bellek desteği **Clustering desteği ve çöken servislerin otomatik olarak yeniden başlatılması **Bütünleşik uygulama servisleri **Web için yazılacak uygulamalar için gelişmiş internet servisleri Network ve iletişim sunucusu:**Dial-up bağlantılar için yeni kullanıcı ara birimi **Dinamik DNS sayesinde network yönetiminin daha kolay yapılması **Multimedia alt yapısı ile ses ve data iletiminin daha iyi yapılması • Infrastructure Server: **Active Directory servisi ile global yönetim ve ticari uygulamalarla bütünleşme **Dağıtılmış güvenlik servisleriyle kuruluş **Windows management servisleriyle merkezi olarak daha gelişmiş bir yönetim sağlama 15 Kurulum çeşitleri şunlardır; **CD den kurulum **Ağ ve üzerinden kurulum **Katılımsız kurulum **Uzaktan kurulum Adım adım kurulumu ve dikkat edilmesi gereken noktalar nelerdir? • 1-Minimum donanım gereksinimlerinin sağlanması, 2-Bütün donanımlarının Windows Server 2003 ile uyumlu olup olmadığının kontrol edilmesi 3-Disk üzerindeki bölümleme yapısının belirlenmesi 4-Server lisans modunun belirlenmesi 5-Kullanılacak dosya sisteminin belirlenmesi 6-Bilgisayarın çalışacağı network ortamının belirlenmesi 7-Kurulumun; yeni bir kurulum mu yoksa eski sürümden yapılan bir upgrade mi olacağının belirlenmesi ve buna göre hazırlıkların yapılması 8-Kurulacak servislerin belirlenmesi 16 1. Bilgisayarınızı Server 2003 CD sinden Boot ederek başlatalım. 2. Karşımıza gelecek ilk ekranda eğer SCSI ya da Serial ATA disk kullanıyorsak F6 ya basarak bu disk in driver ını tanımlamamız gerekiyor. Bu yazımızda PATA 17 disk kullanacağımız için bu adıma ihtiyacımız kalmadan devam ediyoruz. 3. Şekil-2 de daha öncesinde aldığımız bir ASR yedeği var ise ve Restore işlemi gerçekleştireceksek F2 ye basarak Media mızdaki yedeği restore edebiliriz. Bu yazımızda bu adıma ihtiyacımız kalmadan devam ediyoruz. 4. ENTER=Continue diyerek devam ediyoruz. 5. Şekil-4 te Lisans Sözleşmesi ni okuduktan sonra kabul etmek için F8=I agree deriz 6. Şekil-5 te varolan disk i formatlayabilir ya da disk alanını istediğimiz kadar partition a (bölüme) atayabiliriz. varolan disk alanının tamamını bir partition a (bölüme) atayacağız. 7. Şekil-6 da disk alanını FAT32 ya da NTFS dosya sistemi ile oluşturabiliriz. Burda NTFS dosya sistemini tercih ederiz. Server 2003 FAT32 dosya sistemi ile kurulursa dosya bazlı bir çok özelliğini yitiriyor. Buda sonraki zamanlarda bir çok sıkıntı anlamını taşıyor. 8. Şekil-7 de artık seçtiğimiz dosya sistemine göre formatlama başlayacak. 9. Şekil-8 de Server 2003 CD sinden kurulum için gerekli dosyaların kopyalanmasına başlanıyor. 10. Kopyalama işleminin ardından sistem restart için size 15 saniye süre tanır bu aşamada Enter a basarak aynı işlemi manual gerçekleştirebilirsiniz. 11. İlk restart tan sonra Şekil-10 ile devam ediyoruz. Bu aşamada bir süre beklememiz gerekiyor. 12. Şekil-11 de karşımıza Regional and Language Options gelecek. Customize a tıklayalım. 13. Şekil-12 de Customize a tıkladıktan sonra önümüze gelen Regional Options penceresinde Turkish i seçelim. Eğer Türkçe bir Server 2003 CD si ile kurulum gerçekleştiriyorsak buradaki seçenekler otomatik olarak ayarlanacaktır. 14. Aynı pencerede Location a tıklayıp sonrasında Turkey i seçelim. 15. Aynı pencerede Advanced tabına geçelim ve yine Turkish i seçelim. 16. Aynı pencerede Language tabına geçelim. Eğer Asya Dil Desteğini istiyorsak burdaki iki kutucuğu işaretleyebiliriz. OK e klikleyerek ilk pencereye geri dönelim. 17. Regional and Language Options penceresinde Details ekliyelim ve Turkish Q klavye seçeneğini default olarak atayalım. OK e klikleyelim. İlk pencereye döndükten sonra Next e klikleyelim. 18. bilgileri Şekil-17 deki gibi girelim ve Next ekleyelim. 19. 25 karakterden oluşan Ürün Anahtarını yazalım. 20. Lisanslama modelimize göre Per-server ya da Per Device/Per User ı seçelim. 21. Şekil-20 deki gibi bilgisayarımıza bir Bilgisayar Adı verelim. 22. Administrator hesabı için bir şifre belirleyelim ve Next e klikleyelim. 23. Şekil-21 de kendi Time Zone umuzu seçelim. Türkiye +2 de yer almaktadır. 24. Next e tıkladıktan bir süre sonra karşımıza Networking Setup gelecek. Burdaki önerim kurulum sırasında Typical Settings ile Workgroup ta kurmak olacak. 25. Next e klikledikten sonra artık bizim yapacağımız işlemler sona eriyor. Yaklaşık 30 dakika sonra Server 2003 Welcome to Windows ekranı şekil-24 teki gibi önümüze gelecek. Kullanıcı işlemleri ve yetkilendirme Server'larda kullanıcı ekleme, yetkilendirme işlemlerinin temel amacı ağda güvenliğin sağlanmasıdır. Kullanıcı, şifresini bilmediği taktirde sisteme giriş yapamayacaktır. Bazı kullanıcılar, yetki olarak ortak özellikler bulundurduklarından bu kişiler bir grupa eklenebilir. Bu şekilde ortak özellikleri olan kullanıcıları bir yerde toplama imkanı vardır. Grubun yetki ayarları değiştiğinde o grupta bulunan tüm kullanıcıların yetkileri de değişir. Kullanıcılar ve Gruplar, Active Directory denen sistemle denetlenir ve ayarlanır. 41 Üst menüde "yeni kullanıcı yarat"a basarak yeni bir kullanıcı ekleyebilirsiniz Gerekli alanları doldurduktan sonra kullanıcı adı girin **Yarattığınız kullanıcı için şifre girin ve alttaki seçeneklerden kullanıcı sisteme giriş yaptığında şifresini değiştirebilmesini sağlayın. **Kullanıcı yaratıldıktan sonra üzerine çift tıklayarak yetki ve diğer ayarları yapın **Kullanıcıya çift tıkladıktan sonra member of kısmından altta add diyerek karşınıza çıkan ekrandan kullanıcıyı bir gruba ekleyin 44 Karşınıza çıkan ekranda grup için bir isim yazın Yeni bir grup oluşturmak için Active Directory listesinden yeni grup ekleye tıklayın Grup sisteme eklenmiştir Bu gruba çift tıklayarak gruba kişileri ve grubun ortak yetkilerini ayarlayın 47 IIS kurulumu ve ayarlamaları Web sayfalarının yayınlanmasını ve web uygulamalarının çalışmasını sağlayan, istemcilerden HTTP ve FTP üzerinden gelen talepleri Microsoft Windows sunucu tabanlı işletim sistemlerinde karşılayan birim Internet Information Services (IIS)’dir. Windows Sunucu şletim sistemlerinin en önemli parçalarından birisi olan IIS, HTTP ve FTP protokollerini başarılı bir şekilde kullanarak önemli bir görevi yerine getirir Windows XP Home Edition işletim sisteminde IIS bulunmamaktadır. .NET ortamında yazılım geliştiren yazılım geliştiriciler, eğer Web servisleri ya da ASP.NET Web uygulamaları geliştireceklerse sunucu tabanlı bir işletim sistemi üzerinde çalışmak zorundalar. Windows XP Pro işletim sistemi, Windows 2000 Pro/Advanced Server ya da Windows Server 2003 tercih edilebilir Peki bu IIS Server nasıl kurulur görelim... 48 Start---> Control Panel---> Add or Remove Programs tıklıyoruz... Add / Remove Windows Components altında "Application Server" seciyoruz ve Next diyoruz Kurulum başlıyor (Kurulum esnasında Isletım Sıstemımızın CD 'sıne ıhtıyac olacaktır) Kurulum bu kadar şimdi standart ayarlarına bir göz atalım IIS yönetim paneline Start--->Run---> " inetmgr " yazarak erişebiliriz Default olarak bir web site kurulmus durumda Sag clıck yapıp Browse edersek IIS 'ın Default Web sitesini Goruntuleyebiliriz yayınlayacagımız sayfaları default olarak c:\inetpub\wwwroot klasörü altına atamız gerekiyor.(denemek için ben bir html sayfası olusturup buraya kopyaladım) Tekrar IIS yonetım panelıne donduk burda Defaul Web Site uzerınde sag clıck yapıp Propertıes dıyoruz Web Site sekmesinde "Description" bu kısıma sayfamızın ismini verebiliriz.Default olarak 80 numaralı port uzerınden bu sıteye erısım olucaktır IIS yınetım panelı uzerındekı Advanced ayarlar'ı bır sonrakı makalemde anlatacagım şimdilik sadece sayfamıza erişim için gerekli Basic ayarlarla devam ediyorum Home Directory önemli...Default ayarlarda az önce bahsettiğimiz gibi root dizin olarak c:\inetpub\wwwroot 'a bakar arzu edersek değişiklik yapabiliriz Ben Default devam ediyorum Burası çok önemli "Documents" sitemiz bir istemci tarafından cagrıldıgında ilk açılacak sayfamız neyse onun adını buraya yazıyoruz ( Ornegın Index.htm,defaul.asp..) Ben Index.htm ısımlı bır dosya olusturup root dızıne atmıstım burayada ındex.htm olarak bıldırıorum lokal ıp numaramı browser'da yazdıgımda sayfamızın goruntulendıgını goruyoruz Web sayfamızı dış dunyaya acmayı dusunuyorsak Lokal DNS uzerınde bır CNAME acmak zorundayız bunun ıcın DNS kontrol panelını acıyoruz ve New Alıas CNAME dıyoruz Web sayfamızı sunan makınamızı secıp yukarıdakı sekılde WWW ekımızı yazıyoruz Şimdi lokal 'de browser'ımızdan domaın ısmımızle sayfamızı goruntuleyebılırız Modem'iniz uzerınden NAT yaparak 80 portundan gelen ısteklerı ıcerıdekı web sunucunuz olan makınaya yonlendırırsenız sonuc assagıdakı gıbı olucaktır WAN IP numarama 80 numaralı port uzerınden sorgu cekıldıgı anda WEB sayfaı goruntulenmekte. Hangi servislere hizmet verebileceğinin anlatılması • Background Intelligent Transfer Service Arka planda client ve server arasında data transferini gerçekleştirir. COM+ Event System System Event Notification servisini (SENS) destekler.Bu servis Component Object Model (COM) componentini onaylayan eventların otomatik dağtımının yapılmasını sağlar. COM+ System Application COM+ tabanlı componentlerin konfigurasyonu ve izlenmesinin yönetiminden sorumludur. Cryptographic Services Üç yönetimsel servis sağlar: Catalog Database Service, Windows dosyalarının imzalanmasını onaylar; Protected Root Service, bu bilgisayardan Trusted Root Certification Authority sertifikaları eklenmesini yada kaldırılmasını sağlar; Key Service, bu bilgisayarın bir sertifika enroll etmesini sağlar. DHCP Server DHC clientları için TCP/IP konfigurasyonunu sağlar. DNS Server DNS clientlarının DNS sorgularını cevaplayarak DNS isimlerini çözmesini sağlar. Error Reporting Service Beklenmeyen uygulama hatalarının toplanması ve Microsoft’a gönderilmesinden sorumludur. 66 • File Replication Service Dosyaların diğer serverlar üzerine otomatik olarak kopylanmasını sağlar. Help and Support Yardım ve destek merkesinin çalışmasını sağlar. Indexing Service Local yada uzak bilgisayardaki dosyaların özelliklerini ve içeriklerini indexleyerek sorgulamalara daha hızlı cevap verilmesini sağlar. IPSec Services Client ve server arasında TCP/IP networkü üzerinde noktadan noktaya güvenlik sağlar. Kerberos Key Distribution Center Domain controller üzerinde kullanıcıların Kerberos Authentication protocolünü kullanarak oturum açmasını sağlar. • Logical Disk Manager Yeni hard-disk aygıtlarını algılar ve izler.Disk Volume bilgisini konfigurasyon için Logical Disk Manager Servisine gönderir. Logical Disk Manager Administrative Service Hard-disk aygıtlarını ve volumlerini konfigure eder. Messenger Client ve server arasında net send mesajını yayımlar. 67 • Microsoft Software Shadow Copy Provider Volume Shadow Copy servisi tarafından alınan yazılım tabanlı volume shadow copy’leri yönetir. Print Spooler Localdeki ve networkdeki tüm yazıcı görevlerini ve kuyruklarını yönetir. Remote Desktop Help Session Manager Uzaktan Yardım’ı yönetir. Remote Registry Uzaktan registry yönetimini sağlar. Removable Storage Çıkarılabilinir sürücüleri yönetir. Routing and Remote Access Multi-protocol LAN-to-LAN, LAN-to-wide area network (WAN), virtual private network (VPN), ve network address translation (NAT) routing servislerinden sorumludur. Task Scheduler Bilgisayar üzerinde zamanlanmış görevlerin oluşturulmasını sağlar. Telephony Ip tabanlı ses bağlantıları ve telefon sürücülerini kullanan programlara Telephony API (TAPI) desteği verir. Telnet Uzak bir kullanıcının bu bilgisayara bağlanarak belirki komutları çalıştırmasına,programları başlatmasına olanak sağlar. Terminal Services Kullanıcıların uzak bir bilgisayara interaktif olarak bağlanmalarını sağlar. 68 • Upload Manager Client ve server arasında network üzerindeki data transferinden sorumludur. Windows Audio Windows tabanlı programlar için ses aygıtlarını yönetir. Windows Image Acquisition (WIA) Kamera ve scannerlar için resim kazancı sağlar. Windows Installer .MSI dosyalarının yüklenmesi ,onarılması ve kaldırılmasından sorumludur. Windows Internet Name Service (WINS) TCP/IP clientlarının Netbios isimlerinin çözülmesini sağlar. Windows Management Instrumentation Ortak bir arayüz sağlayarak işletim sistemi hakkında,aygıtlarr ,uygulamalar ve servisler hakkında bilgi edinebilmeyi sağlar. Wireless Configuration IEEE 802.11 adapter leri için otomatik konfigurasyonu etkinleştirir. 69 DNS server kurulumu ve ayarlamaları Windows platfromlarında DNS hizmeti ilk kurulumda varsayılan servisler arasında gelmemektedir.Dns servisini kurmak için Control Panel (Denetim Masası) de bulunan Add or Remove Programs (Program Ekle Kaldır) menüsünden Add Remove Windows Components (Windows Bileşenleri Ekle Kaldır) seçeneği ile kuruluma başlıyoruz. 70 Windows Components penceresinden Networking Services seçeneği çift tıklanarak Domain Name Systems (DNS) seçerek OK butonu ile seçimi onaylıyor, Next butonu ile kuruluma devam ediyoruz ve Finish butonu ile kurulumu tamamlıyoruz. 72 Kurulum işlemi tamamlanmasının ardından Resim – 4 ‘ teki standart ekran karşımıza çıkacaktır.Forward Lookup Zone seçeneğine mouse sağ tuşuna basarak New Zone menüsünden Alan adımız için bir zone kayıdı yaratmamız gerekmektedir. .Zone kayıt için Resim – 5’ teki karşılama ekranını Next butonu ile geçiyoruz. Resim – 6’ da Primary zone seçeneğini işaretleyerek yapılanırma ayarlarına Next butonu ile devam ediyoruz ve Resim – 7 ‘ de zone kaydımız için alan adımızı www olmayacak şekilde yazıyoruz ve next butonu ile devam ediyoruz. Zone yaratma sihirbazımızı Next butonu ile sunulan ayarları değiştirmeden devam ediyor ve alan adımız için Zone kayıt işlemini tamamlıyoruz. Dns üzeride web sitelerinin çalışması için gerekli olan NS, Host A, MX ve CNAME gibi kayıtlar bulunmaktadır.Zone yaratma sihirbazımız ile kbh.com.tr zone kaydını yaratmamızın ardından Resim – 8 deki ekran bizi karşılayacaktır. Son aşamada DNS üzerindeki kayıtları yaratıyoruz. Resim – 8’ de yaratmış olduğumuz zone kaydımız görütülenmektedir.Sıra zone içerisindeki kayıtların düzenlenmesine gelmiştir. İlk olarak Resim – 9’ da görüldüğü üzere Name Server (NS) kaydının üzerinde sağ tuşa basarak Properties seçeneği tıklanarak mevcut NS kayıtları gözlemlenir. Resim – 10’ da görüldüğü gibi standart gelen ns kaydı işaretlenerek Remove butonu yardımı ile kayıt silinir. Resim – 11 de görüldüğü şekilde Add butonuna basılarak NS adreslerimiz DNS içerisine kayıt edilir.Bu işlem sırasında Makalemin başında belirtmiş olduğum Name server adreslerinizin yaratılmış ve aktif olması gerekmektedir. Yaratmış olduğunuz NS adresi aktif ise name server adresinizi yazarak Resolve butonuna bastığınızda NS adresinizin karşılığı olan ip adresi çözümlenerek ip hanesine otomatik olarak girecektir ve ok butonu ile ilk Ns adresimiz kayıt edilir.Aynı adımlar takip edilerek var ise ikinci ve üçüncü Ns adreslerimiz de dns içerisine kayıt edilir. Resim – 12 te görüldüğü şekilde Zone kayıdı üzerinde sağ tuş yaparak Host A (web sitemizin yayınlandığı sunucu ip adresi) kaydı yaratma işlemine geçebiliriz.Resim – 13’ te Host A kaydı değerlerimizi gireceğimiz pencere görüntülenmektedir. İp Address kısmına web sitemizin yayınlandığı sunucu ip adresi kayıt edilir ve sırası ile Add Host, Ok ve Done butonları tıklanır. Bir sonraki Adımda MX kaydımızı yaratmaya geçebiliriz.Mx kaydı yayınlamak istediğimiz web sitemizin Mail hizmetinin yayınlanacağı sunucunun belirlenmesi görevini üstlenmektedir. Mx kaydı yaratma işlemi için Resim – 14 ve Resim – 15’ deki adımları izleyebiliriz. MX kaydı işlemlerinde Resim – 15’ de göreceğiniz üzere Host or child domain adı boş bırakılmaktadır. FQDN ismine mail.kbh.tr yazıyor ve Mail server Priority kısmına 10 yazıyoruz. Mail server Priority kısmı mail server önceliğini belirtmekte olup 10 önceliği yüksek bir değerdir. 84 Bu aşamaya kadar Host (A) ve MX kaydı tanımlamalarını bitirmiş durumdayız.MX kaydı tanımı için 1 Adet Host (A) kaydı ve web sitemizin yayını için 2 adet CNAME kaydı girilmesi ile birlikte Dns yapılandırma işlemimiz tamamlanmış olacaktır. Yaratmış olduğumuz mail.kbh.com.tr isimli MX kaydımız için bir Host (A) kaydı yaratmamız gerekmektedir.Bunun nedeni dns üzerinde mail.kbh.com.tr kaydına karşılık gelecek ip adresi ile mail hizmetinin barındırılacağı sunucuyu belirlemektedir. Bir önceki Host (A) kaydı işleminde olduğu şekilde Resim – 16’ da görüleceği üzere Zone kaydı üzerinde sağ tuşa basarak New Host (A) seçeneği ile Resim – 17’ deki şekilde görüldüğü gibi Name kısmına mail yazıyor ve IP Address kısmına Mail sunucumuzun ip adresini yazarak sırası ile Add Host, Ok ve Done butonlarına tıklıyoruz. 2 adet CNAME kaydı işlemi ile dns yapılandırmamızı tamamlayabiliriz.Zone kayıdı üzerinde sağ tuşa basarak New Alias (CNAME) seçeneği ile CNAME kayıt ekranı açılır ve Resim – 19’ da görüldüğü üzere Alias name kısmına www yazılır ve FQDN kısmına kbh.com.tr yazarak ilk CNAME kayıt işlemi gerçekleştirilir.Ftp kaydı için yaratılacak CNAME işlemlerinde de aynı adımlar izlenerek Alias kısmına ftp yazarak Dns yapılandırma işlemlerimizi tamamlamış oluruz. 87 Active Directory kurulumu ve anlatımı • Ağ işletim sistemleri kaynakların yönetimi görevini yerine getirirken , ağ nesnelerini kaydetmek ve erişimini kontrol etmek için dizin (directory)servisine gereksinim duyarlar. Birde kullanıcıların ağa girişi ve kimlik denetimleri gereksinimleri vardır.Bu işlemler active directory gibi dizin sistemleri tarafından yerine getirile bilir.Bu servis ağ kaynaklarının yönetimi dışında sistem yapısı,kullanıcı,ve grup bilgileri ve uygulamalar hakkında da bilgi saklar.Bütün bu nesneleri daha sonra düzenlenen grup ilkeleriyle belli kurallara uygun olarak davranmasını sağlar.Grup ilkeleri kullanıcıların masa üstlerini ağ servislerini ve uygulamaları merkezi olarak bir noktadan yönetmeyi sağlar • • • • • • • • • Active Directory’nin özellikleri; **Ölçeklenebilirlik: Az sayı da nesne içerebildiği gibi milyonlarca nesnede içerebilir. **Genişletilebilirlik: Sahip olduğu şema üzerinde değişiklik yapabilmesi anlamına gelmektedir **İnternet-standartlarında adlandırma: Ad çözümlemeyi sağlar **Esnek sorgulama: İnternet ile bağlantı yapmayı sağlar. **Tek bir noktadan erişim: Administrator’ın bir yerden yapacağı logon işlemi ile bütün network’ü yönetmesi **Hata toleransı: Beklenmedik olaylara karşı bilgilerin çoğaltılması **Güvenlik kontrolü: Kullanıcıların erişim kontrollerinin dağıtılabilmesi **Birlikte çalışma: Diğer işletim sistemleriyle bütünleşebilmesi anlamına gelir 88 KURULUMU; • 1. Start > Run menüsü içerisine dcpromo komutunu yazın ve çalıştırmak için onaylayın. 89 Karşımıza Active Directory kurulum sihirbazı ana ekranı gelecek, bu ekranda Next butonuna basarak devam edeceğiz. Bir sonraki ekranda kurulumdan önce bir uyarı ekranı mevcut. Windows Server 2003’de güvenlik yapılandırmaları ve gerek istemci gerekse de diğer serverlarla iletişim daha güvenli yöntemlerle gerçekleştiği için bazı Windows işletim sistemlerinin kullanılamayacağı belirtiliyor. Windows NT 4.0 SP3 (veya öncesi) ve Windows 95 istemciler Windows Server 2003 etki alanına katılamazlar ve etki alanı kaynaklarına erişemezler. Windows XP Home edition etki alanına katılamaz ancak etki alanı kaynaklarına erişebilir. Bir sonraki ekranda Domain Controller(Etki Alanı Denetleyicisi) türünü belirleyeceğiz. Eğer zaten varolan bir domain’e katılacaksak Additional domain controller for an existing domain seçeneğini seçip katılacağımız etki alanını belirtip kurulumu tamamlayabiliriz. Biz yeni bir etki alanı oluşturacağımız için Domain controller for a new domain seçeneğini işaretliyoruz. Yeni domain yaratma ekranında bizlere yaratacağımız domain türünü soracaktır. Üç seçeneğimiz var. Çok basitçe açıklamak gerekirse bunlar; Forest: Forest bir domainler topluluğudur. İçerisinde birden fazla domain yapısı mevcuttur. Domain Tree: Bir Forest içerisinde bulunan, diğer domainlerden bağımsız yapısı bulunan etki alanı. Child Domain: Bir Domain tree içerisinde bulunan ve DNS yapısını bu domain Tree’den alan alt domain. 5. Biz yeni bir etki alanı oluşturduğumuz için ilk seçenek olan Domain in a new forest seçeneğini işaretleyeceğiz. Bu seçenekle birlikte ayrıca yeni bir Forest yaratılmış olacak ve bizim oluşturduğumuz etki alanı bu forest’in ilk domain’i olacak. İstenirse yine bu ekrandan Forest içerisine Child domainler ya da domainler eklenebilecektir. . Sıra geldi yeni domainimizi adlandırmaya. Etki alanı isimlerini belirtirken bir uzantı kullanma zorunluluğu olmamasına rağmen daha sonra yapının büyüme ve genişleme durumu göz önünde bulundurulacaksa kullanılması uygun olacaktır. (Ayrıca kurulacak Exchange sunucuları da isim planlamasına dahil edilmelidir.) .COM , .NET gibi uzantılar kullanılacağı gibi örnekte uygulanan local uzantısı da kullanılabilir. • Bir sonraki ekranda eski Windows sürümlerinin (Windows 98, Windows ME) Etki alanımızı tanımlayabilmesi ve konumlandırabilmesi için etki alanının NETBIOS ismini tanımlamalıyız. Varsayılan olarak domainin uzantıdan önceki isim alanı gelecektir ancak değişitirilebilir. Genel kullanım içerisinde değiştirilmemesi tercih ve tavsiye edilir. 95 Bu aşamada Active Directoy üzerinde ki tüm bilginin (Kullanıcılar, Bilgisayarlar, Yazıcılar, OU’lar vs.) depolanacağı NTDS.dit veritabanı dosyasını ve tüm transactionların kayıt edileceği NTDS.log dosyalarının saklanacağı konumları belirlememiz gerekiyor. En iyi performansını almak ve veri kaybını mümkün olduğunca önleyebilmek amaçlı veritabanı ve log dosyalarının ayrı ayrı disklerde depolanması önerilir. • Bu adımda paylaştırılmış Sistem bilgisinin tutulacağı SYSVOL klasörünün konumunu belirleyeceğiz. SYSVOL klasörü domainin public dosya ve klasörlerinin bilgisinin tutulduğu klasördür ve bu klasör içeriği eğer var ise etki alanı içindeki diğer domain controller ile replike olur. 97 Kurulum sihirbazının bir sonra ki aşamasında DNS kurulumu ve/veya ayarlanması ile ilgili bölümdeyiz. Bu aşamada sistemde DNS sunucusu kurulu olup olmadığına göre biraz daha farklı bir ekranla karşılaşabiliriz. Örnek sistemimizde DNS sunucusu kurulu değil ve DNS sunucusundan response alamadığına dair uyarı bildiriyor. DNS kısaca Active Directory etki alanında ki her objenin isim ve ağ protokol bilgisini depolayan ve istemci isteklerine yanıt verip yönlendiren bir sunucu türü. Dolayısıyla Active Directory yapısını DNS sunucusu olmadan düşünemeyiz. Kuruluma sistemimizde DNS sunucusu bulunmadığı için ikinci seçenek ile devam ediyoruz. Bu seçenekle bir DNS sunucusu kurulacak ve Server’ımız için tercih edilen DNS olarak atanacak. 98 • • Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems: Bu seçenek ise ilkinin tam aksi olarak Windows 2000 ya da Windows Server 2003 etki alanlarına üye olan server uyumlu yazılımlar kullanılacaksa seçilebilir. Sadece kimlik doğrulaması yapılmış kullanıcılar domain bilgilerine erişebilir. Kurulumum sonuna yaklaşıyoruz, bu aşama kullanıcı ve grup nesneleri için izinleri tanımlayacağız. Seçenekleri kısaca incelemek gerekirse; Permissions compatible with pre-Windows 2000 server operating systems: Bu seçenek eğer Windows 2000 öncesi sistemlerde çalışan Server uygulamalarımız mevcut ise (Örneğin windows NT Remote Access Service) seçilmelidir. Bu seçenek ile devam edilebilirse geriye dönük uyumluluk sağlanabilecek ancak anonymous kullacılar domain bilgilerine erişebileceklerdir. 99 • Bu bölümde herhangi bir şekilde Active Directory etki alanı zarar görürse Directory Services Restore Mode da onarım ve bakım için sunucunun açılması gerekir. Bu noktada işlem yapacak administrator hesabının parolasını belirleyeceğiz. Restore Mode Administrator kullanıcısı Domain Administrator hesabından farklı olup istenirse parolaları birbirinden farklı verilebilir. 100 Bu bölümde artık sihirbazın tüm adımları tamamlandı ve istediğimiz ayarların bir özeti bize sunuluyor. Son bir kontrolden sonra devam edelim. . Next ile bu son ekranı da geçtiğimizde Active Dircetory etki alanı kurulumuna geçilecek ve istediğimiz seçeneklerin kurulumunu göreceğiz. . Sihirbaz hatasız tamamlandığında bildirim ekranı gelecektir. . Gerçekleştirilen işlemlerin bir özetinin bulunduğu bu ekranda Finish ile kurulumu sonlandırıp sistemimizi yeniden başlatacağız. Windows Server 2003 sistemimiz yeniden açıldığında artık oluşturduğumuz domain ortamına logon olacaktır. Sonrasında istemci bilgisayarları etki alanına katabilir, kullanıcılar yaratıp OU’lar tanımlayabilir, etki alanı üzerinde GPO kullanarak kısıtlamalar ya da yönlendirmeler yapabiliriz. Dosya nasıl paylaşılır ? • Windows Server 2003 işletim sisteminin bize sunduğu klasör paylaştırma ve NTFS dosya sisteminin özelliği olan NTFS izinlerini doğru ayarlayarak kaynak erişimini denetleyebiliriz. Windows server 2003 NTFS olan ortamlarda , farklı kullanıcılara veya gruplara farklı haklar verebiliyoruz . Örneğin Read hakkı kullanıcıya sadece dosyayı okuma hakkı verirken Modify dosyayı okuma , silme , hakkı da verebiliyor . Folder Sharing ( Klasör Paylaştırma ) Paylaştırmak istediğimiz klasöre sağ tık > Sharing > Share this folder Tıklarsak klasör network üzerinden paylaşıma açılmış olur . Do not share this folder : ( Bu klasörü paylaştırma ) : Klasörün paylaşımını durdurur . Share this folder : ( Klasörü paylaştır ) : Klasörü paylaşıma açar . Share name : ( Paylaşım ismi ) : paylaştırılmış klasörün networkten erişirken görünen adını belirlememiz için alan sağlar . Description : ( Açıklama ) Paylaştırılmış klasör için açıklayıcı bir bilgi girmemizi sağlar . User Limit : ( Kullanıcı limiti ) Paylaştırılmış klasöre networkten en fazla kaç kullanıcının erişebileceğini belirleyebilmemizi sağlar . Permissions : ( izinler ) Paylaşım izinlerini ayarlamak için kullanılır . Offline Settings : ( offline ayarlar ) Paylaştırılmış klasörün içeriğinin networke bağlı olmadan nasıl kullanılabileceğini ayarlamak için kullanılır . • OFFLINE FOLDERS : Klasörlerin network e bağlı değilken de çalışılmasına imkan verir Network e bağlı iken biz farkında olmadan klasörün replikasyonu gerçekleşir . Klasör paylaşım penceresinde “Permissions” ı tıklarsak kullanıcı izinleri penceresi karşımıza gelir . Read : ( okuma ) : Sadece okuma izni verir . Change ( Değşişim ) Okuma , yazma ve silme izni verir . Kullanıcı klasör içinde yeni klasör ve dosya oluşturabilir . Full Control : ( tam yetki ) : Klasör üzerinde tam denetim iznidir . 105 • NTFS izinleri - Security NTFS izinlerini , bir kaynağa hangi kullanıcıların ve grupların erişebileceğini belirlemek için kullanırız . Klasör NTFS izinleri : Read : ( okuma ) Klasörün altındaki diğer klasörleri ve dosyaları görüntüler . Dosyaları açabilir . Dosyaların özelliklerini görebilir ancak değişikşik yapamaz . Write ( yazma ) : Klasörün altında yeni klasör ve dosya oluşturabilir . Mevcut dosyaları değiştirebilir fakat silemez . List Folder Contents ( Klasör içeriğini listele ) : Klasörün altındaki diğer klasörleri ve dosyaları listeleyebilir . Read and execute ( oku ve çalıştır ) : Read ve List Folder Contents izinlerinin toplamıdır . Ayrıca klasör altındaki programları çalıştırabilir . Modify ( modifiye et ) : Read and execute ve Write izinlerinin toplamının yanı sıra mevcut dosa ve klasörleri silebilir . Full Control ( tam yetki ) : Tam denetimdir . Klasörün erişimini denetleyebilir sahipliğini alabilir alt klasörleri ve dosyaları silebilir . Inheritance Management ( miras yönetimi ) Varsayılan olarak , oluşturulan tüm dosya ve klasörler NTFS izinlerini bir üst klasörden kopyalarlar . Dosya şifrelerken veya sıkıştırırken ki durumdan hatırlayacağımız gibi alt klasörler kök klasörün sahip olduğu özellikleri devam ettiriyordu . Ancak istemezsek bu durumu değiştirebiliyoruz . Bu durum yöneticinin işini kolaylaştırır . Ancak istendiğinde Inheritance ‘ı ( mirası ) Engellemek için . Security > “Advanced” > “Allow inheritable permissions from the parent to propogate to this object …” seçeneğini temizliyoruz Kaynaklara erişim : 2 yolla erişebiliriz : 1. Start > Run Erişmek istediğimiz \\sunucuadı\kaynak adı yolunu yazarız . 2. My Network Places > Entire network > Microsoft wndows network > karşımıza önce workgroup veya domain isimleri çıkar … Daha sonra da bilgisayar isimleri …. 106 Windows server da Güvenlik • Windows Server 2003 güçlü güvenlik özelliklerine sahip işletim sistemidir. Güvenlik (security), içte, dışta, network üzerinde, serverlar üzerinde, uygulamalar üzerinde ya da daha farklı açılardan ele alınabilecek geniş bir konudur. Şifreleme ve PKI, temel güvenlik bileşenleri içinde yer alır. Bunun dışında network üzerindeki güvenliğin sağlanmasında da IPSEC protokolünün önemi büyüktür. 107 Şifreleme (Encryption) • Şifreleme (Encryption) Internet gibi public (genel) networklerin yaşamımıza hızla girmesi, kişisel ve şirket verilerinin güvenliğini tehdit eder hale gelmiştir. İki şirket arasında gönderilen bilgi, iki kişi arasında gönderilen bir mesaj, aktarım sürecinde bir başka kişi tarafından görülebilir ya da değiştirilebilirse, kişiler ve kurumlar bundan zarar görürler. Bu anlamda network üzerindeki verileri çok sayıda risk bekler: Network monitoring: Network monitor network paketlerini izleyebilen bir uygulamadır Paketler şifrelenmemişse, network izleme aracı paketin içeriğinin tümünü görüntüleyebilir. Data modification: Kötü niyetli bir kişi taşınan veriyi değiştirerek karşı tarafı aldatabilir. Password: Kötü niyetli bir kişi parolayı (password) çalabilir ve onu kullanarak sahibine zarar verebilir. Address spoofing: Kendisini başla birisinin yerine koymak. Örneğin birisinden gelen e-mail mesajının gerçekte o kişiden gelmemiş olmasını sağlamak. Man-in-the-middle: Bu saldırı türünde iletişin kuran iki insanın verileri izlenir. Denial-of-service: Bir servisin kullanımını engellemek. Örneğin mail kutularını doldurarak mail alınmasını 108 engellemek. **Güvenliği sağlamak bakımından geniş kabul görmüş bir konu şifrelemedir. Şifreleme (encryption) verinin belli bir algoritma ile değiştirilerek içeriğini başkalarından gizlenmesidir. Şifreleme, verilerin belli bir anahtar (key) değeriyle işlenmesiyle yapılır. Şifrelemede genellikle 56-bit ya da 128-bit uzunluğunda bir anahtar (key) değeri kullanılır. Veri bu anahtar bilgi ile belli bir matematiksel işlemlere sokularak değiştirilir, ardından hedefinde yeniden açılır. **Şifreleme konusunda dünyaca kabul görmüş standartlar vardır. (Data Encryption Standard – DES), 1970'lı kullarda geliştirilmiş bir 56-bitlik anahtar şifrelemesidir. Zamanla yetersiz kalan bu şifreleme standardını yerine daha gelişmiş şifreleme algoritmaları geliştirilmiştir. **Anahtar tabanlı şifrelemelerin yanı sıra bir de hash algoritması kullanılarak verilerin doğruluğu kontrol edilir. Hash, kimlik doğrulama (authentication) ve sayısal imza (digital signing) gibi birçok işlemde kullanılır **İyi bir hash algoritmasıyla giriş verilerindeki değişiklikler sonuç bitindeki bütün bitleri değiştirir. Bu nedenle hash sayesinde verilerin değiştirilip değiştirilmediği anlaşılır. 109 • • • • PKI (Public Key Infrastructure) Modern kriptografide bilginin şifreli biçimde güvenli hale getirilmesi için belli bir key değeriyle yapılır. Şifreleme doğru bir key ile yapılabilmektedir. İki tür key tabanlı şifreleme vardır: Symmetric Key Encryption Asymmetric Key Encryption (Public Key Encryption) Symmetric Key Encryption işleminde şifrelemek ve şifrelemeyi çözmek için aynı key (secret key) anahtar kullanılır. Asimetrik şifrelemede ise mesajı şifrelemek için bir public key, şifreyi çözmek için ise bir private key kullanılır. • • • • Private Key ve Public Key Kavramları Şifremele sürecinde kullanılan anahtar bilgisinin daha kontrollü olması için gönderen ve alanın private keyleri yerine gönderen ve alan için ayrı private key ve bir public key kavramı geliştirilmiştir. Buna Public Key ve Private Key sistemi denir. Örneğin gönderen (sender) ve alıcı (receiver) arasında bir veri transferini örnekleyelim. Gönderen, göndereceği kişinin public keyi ve kendisinin private keyi ile mesajı şifreler. Alıcı ise bu şifreyi çözmek için gönderenin public keyini ve kendisinin private key ini kullanır. Güvenlik açısından da yalnızca public keyi bilmek verileri açmaya yetmez. Ayrıca her iki tarafında private keylerinin aktarılması önlenmiş olur. 110 • PKI (Public Key Infrastructure) Public key kriptografi verileri şifreleyerek güvenlik sağlamanın alt yapısını sağlar. Public keyler serbest bir şekilde gönderildiği için, birbirini tanımayan kişiler kendi public keyleriyle public network üzerinde iletişim kurabilirler. Şirketlerin PKI kullanmalarını birçok nedeni vardır: Güçlü güvenlik (Strong security): Smart kartlarla güçlü kimlik denetimi sağlanır. Public networklerde güvenli veri aktarımı için IPSec kullanılır. Ayrıca kaydedilen veriler EFS (encrypting file system) sistemiyle şifrelenir. Kolay yönetim: Sertifikalar sayesinde parola kullanımı azaltılır. PKI iki temel alanda kullanılır: ** Public Key Encryption **Public Key Authentication 111 Windows Server 2003 Sertifika Servisleri • Bir sertifika bir otorite tarafından yayınlanan sayısal bir tanımlamadır. Sertifika bir public keyi, özel keye sahip olan bir kişiye, bilgisayara ya da servise bağlar. Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; ve Windows Server 2003, Datacenter Edition'da sertifika yetkililerini (certification authorities (CA) yaratma ve yönetmek için Certificate Services bileşeni kullanılır. Bir CA sertifikayı kullananın kimliğini belgelemek ya da oluşturmaktan sorumludur. En basit PKI tasarımında bir root CA vardır. Bununla birlikte birçok organizasyonda sertifika hiyerarşisi içinde organize edilmiş çok sayıda CA kullanılır. Sistem yöneticileri Certificate Services'lerini Certification Authority MMC konsoluyla yönetirler. Certification Authority Certification authority (CA) şifrelem işleminde kullanılacak keyleri atar. CA keyleri sertifika kullanarak dağıtır. Bir CA sertifikaları bilgisayar, kullanıcı ya da bir servis için dağıtabilir. External ve Internal CA Bir CA external ya da internal olabilir. Örneğin ticari bir CA tarafından dağıtılan sertifikalar milyonlarca kişiye dağıtılabilir. Bunun aksine CA'lar internal da olabilir. Örneğin şirket içindeki bir bölüm, kendi sertifikaları doğrulamak ve dağıtmak için bir server kurabilir. Sertifikaları dağıtma süreci: 1. CA sertifika isteğini kabul eder. 2. CA istekte bulunanın bilgilerini kontrol eder. 3. CA sertifikaya sayısal imze uygulama için kendi private key değerini kullanır. 4. CA sertifikaları bir PKI içindeki güvenlik hakkı olarak kullanılır. 112 Control Panel, Add or Remove Programs ile Certificate Services kurulumu yapılır. Kurulum sırasında CA type, tanıtıcı bilgiler, sertifika veritabanı bilgileri düzenlenir. IPSec (Internet Protocol Security) • IPSec, private networkleri içerinden ve dışarından gelen ataklara karşı korumak için kullanılan bir tekniktir. IPSec'in iki amacı vardır: •IP paketlerinin içeriğini korumak. • Network ataklarına karşı, paket filtreleme ve güvenli iletişimi zorlayarak savunma sağlamak. Her iki amaç da cryptography-tabanlı korumayla sağlanır. 113 Tipik IPSec Senaryoları: Paket Filtreleme: IPSec uç sistemler (end-systems) arasında güvenlik duvarı özelliklerini sağlar. Internet Bağlantısı: Gelen ve giden trafik üzerinde güvenlik önlemleri sağlar. Host-to-host arasında güvenlik: Serverlar arasında karşılıklı kimlik denetimi sağlar. Örn: sitelere dağılmış domain controller arasında güvenlik, Web serverlar arasında güvenlik sağlar. Serverlara erişimde güvenlik: Serverlara erişen client bilgisayarlar için karşılıklı kimlik denetimi sağlar. IPSec network verilerinin güvenliğini şu şekilde karşılar: •Veri alışverişinden önce bilgisayarların karşılıklı olarak kimlik denetimi yapmak. •İki bilgisayar arasında güvenlik birliği (security association) oluşturmak. •Alış verişi yapılan veri üzerinde şifreleme yapmak. 114 IPSec Policy'leri Yapılandırmak Bilgisayarlar arasında IPSec'i yapılandırma sırasında iki mod seçilir: • Transport Mode • Tunnel Mode IPSec'i Transport Modda Kullanmak • Transport mod iki bilgisayar arasında kimlik doğrulama ve verilerin şifrelenmesi işlemini gerçekleştirir. Transport mod varsayım IPSec modudur: Transport modu belirtmek için: 1. IP Security Policy Management'ı açın. 2. Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties'i tıklayın. 3. Değiştireceğiniz kuralı seçin ve Edit'i tıklayın. 4. Tunnel Setting tabında "This rule does not specify a tunnel " seçeneğini tıklayın 115 • Tünel Mode İki uzak network (remote network) arasında güvenli iletişim yaratmak için IPSec'i tünel modunda yapılandırmak gerekir. Tünel modunun üstünlüğü verinin iki tünel ucunda güvenli olmasıdır. IPSec tünel modu yapılandırıldığında networkler arasındaki bütün iletişim güvenli olur. IPSec'i Tunnel Modda Kullanmak **IPSec Tünel modunda iki router arasında yaratılan IP tünel içinde kimlik denetimi ve veri şifreleme işlemleri yapar. **Tünel modun kullanılabilmesi için Routing and Remote Access servisinin yapılandırılması gerekir. **Tünel modu IP Sec Management içinde etkinleştirilir. Tünel modu yapılandırıldığında IPSec her tünel sonu için bir IP adresine gereksinim duyar. **Bir IPSec tüneli belirtmek için: 1. IP Security Policy Management'ı açın. 2. Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties iletişim kutusunu açın. 3. Değiştirmek istediğini kuralı seçin ve Edit'i tıklayın. 4. Tunnel Setting tabında "The tunnel endpoint is specified by this IP Address" seçeneğini seçin ve tünel sonu noktasının IP adresini belirtin. 116