WINDOWS 2000 VE NETWORK ORTAMINI TANIMAK Ders sonunda yapabilecekleriniz: -Windows 2000 İşletim Sistemlerini Açıklamak. -Windows 2000 Network Yapısını Açıklamak. -Windows 2000 Server İşletim Sisteminin Rollerini Açıklamak. -Network Kavramlarını Açıklamak. I. GİRİŞ İşletim sistemi (operating system), bilgisayar donanımının fonksiyonlarını kullanmamızı sağlayan, ayrıca yazılımların geliştirileceği ve üzerinde çalıştırılabileceği bir sistem programıdır. İşletim sistemleri günümüz koşullarında artık network (ağ) işletim sistemi haline gelmiştir. Yani işletim sistemleri kendi özellikleriyle network oluşturmayı desteklemektedir. Örneğin Microsoft DOS'dan sonra çıkan Windows işletim sistemlerinin hepsi network işletim sistemidir. A. NETWORK İŞLETİM SİSTEMLERİ Network İşletim Sistemleri (Network Operating Systems /NOS), network özelliklerine sahip işletim sistemidir. Network işletim sistemleri, network donanımını kullanarak bilgisayarları birbirine bağlar. Network işletim sistemlerini listelerken Server (sunucu) temelli olan networkleri sağlayan işletim sistemleri ve peer-to-peer networkleri oluşturan işletim sistemleri olarak ayırabiliriz: Novell’in Personel Netware’i, Windows 9x bügün yaygın kullanılan peer network işletim sistemlerindendir. Windows 2000 Server ile kurulan networkler ise istenirse bir workgroup (çalışma grubu) mantığıyla bir peer network oluşturabilir ya da bir network server olarak server temelli networkleri oluşturabilir. Bunun dışında LINUX ve UNIX gibi işletim sistemleri de genellikle server temelli networkler oluşturmak için kullanılır. II. WİNDOWS 2000 İŞLETİM SİSTEMLERİ Windows 2000 platformunun yapabileceklerini anlamak için en uygun Windows 2000 platformunun seçilmesi gerekir. Windows 2000 işletim sistemi dört ayrı ölçekte pazara sunulmuştur: -Windows 2000 Professional -Windows 2000 Server -Windows 2000 Advanced Server -Windows 2000 Datacenter Server A. WİNDOWS 2000 PROFESSİONAL Windows 2000 Professional, Windows NT Workstation yerine geçecek bir üründür. Yüksek performansa ve güvenliğe gereksinim duyacak kişisel kullanımlar için ve kurumsal alanda sunucu ürünlere client (istemci) olabilecek bir masaüstü işletim sistemi aynı zamanda workgroup kurulabilecek bir network işletim sistemidir. B. WİNDOWS 2000 SERVER Windows 2000 Professional ile gelen bütün yenilikleri kapsamaktadır. Network yönetimi için çok sayıda servise sahiptir. File, print, application (uygulama) ve Web sunucusu (server) olarak kullanılmak üzere geliştirilmiştir. Windows 2000 Server işletim sisteminin en önemli özelliği Active Directory servisidir. Active Directory, Windows 2000 ağı içinde bir servistir. Bu servis özellikle kullanıcı ve grupların oluşturulmasında ve sunucu temelli bir network yaratılıp yönetilmesini sağlar. Network kaynaklarına erişmek ve onları yönetmek Active Directory Servisinin arabirimi olan programlar aracılığıyla yapılır. Windows 2000 Active Directory servisi, sistem konfigürasyonu, kullanıcı düzenlemeleri, uygulamalar hakkında bilgi saklar. Policy düzenlemeleriyle birlikte sistem yöneticileri kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), ağ servislerini ve yazılımlarını (uygulamaları) merkezi olarak bir noktadan yönetebilir. C. WİNDOWS 2000 ADVANCED SERVER Windows 2000 Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş bellek yönetimi ve clustering (kümeleme) gibi teknolojilere sahiptir. Windows 2000 Advanced Server büyük ağları yönetmek için geliştirilmiştir. Clustering (kümeleme) ağ üzerindeki sunucuları bir birine bağlayarak sistemin (disk kaynakları ve uygulamalar) kesintisiz olarak kullanılmasını sağlar. D. WİNDOWS 2000 DATACENTER SERVER Windows 2000 Server ve Advanced Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş ve büyük kapasiteli bellek yönetimi ve daha fazla işlemci desteği gibi teknolojilere sahiptir. Windows 2000 Datacenter Server büyük database uygulamaları için geliştirilmiştir. OLAP, OLTP uygulamaları, ISP ve Web sunucusu olarak da kullanılabilecek özelliklere sahip olan Datacenter Server 32 işlemci ve 64 GB ana belleği (maksimum) destekler. İPUCU: Microsoft, DataCenter Server ürününü yalnızca partner programıyla satmaktadır. Danışman firmalara gereksinim duyulmakta ve fiyat olarak yüksek olduğu için ancak büyük kuruluşlar tarafından kullanılmaktadır. E. WİNDOWS 2000 İŞLETİM SİSTEMLERİNİN NETWORK ÖZELLİKLERİ Kullanıcıların network üzerindeki kaynakları daha kolay bulabilmesi için My Network Places simgesi kullanılır. Bunun dışında Recently Visited Places Computers Near Me ve Add Network Place seçeneği ağ üzerindeki diğer sunuculara daha kolay bağlantı yapmayı sağlar. -Computers Near Me: Windows NT 4.0 Server ortamında Computers Near Me ile aynı domaindeki (ağ alanı) bilgisayarlar görülür. Domain olmayan ortamda (workgroup) ise Computers Near Me ile aynı Wokgroup içinde yer alan bilgisayarlar görülür. -Windows Explorer: Bilgisayar üzerindeki dosyaların, klasörlerin ve sürücülerin hiyerarşik olarak yapısını gösterir. Bunun dışında map edilmiş network sürücülerini de gösterir. Burası ayrıca My Network Places’i görmek için de kullanılır. Windows Explorer, klasörleri ve dosyaları copy, move, rename ve search için kullanılır. -Windows Shortcuts: Bir network kaynağına ya da dosyaya kısayol oluşturur. Windows Shortcuts (.lnk dosyaları) dosyaların üzerinde sağ tuşa tıklayarak, sürükleyerek yaratılır ya da File mönüsünden Create Shortcut komutu ile yaratılır. -My Network Places: Burası sürücü harfleri yerine network kaynaklarını daha kolayca (arkadaşça) görmek için kullanılır. Add Network Place seçeneği ile network üzerindeki diğer serverlara bağlantı kurulur. Bunun dışında kullanıcılar server bağlantılarının adını değiştirebilirler. My Network Places bunun dışında Windows NT Server 4.0 ortamındaki birçok işlemi daha gelişmiş şekilde yapar. Network places bir server paylaşımındaki alt klasörlere de eşleştirilebilir. Böylece bağlantıların daha anlaşılabilir olması sağlanır: \\server\paylaşım\dir\subdir\subdir gibi. F. DEĞİŞİK BAĞLANMA TÜRLERİ Bağlanma işlemindeki yeniliklerden birisi Make New Connection Wizard’dır. Bu sihirbaz ile yöneticileri Windows temelli ağlara uzaktan bağlantı yapabilirler. Bu sihirbaz ile uzaktan bağlantı için beş seçenek vardır: -Dial-up to private network. Dial-up to private network seçeneği bir Microsoft Connection Manager bağlantı ile bir Remote Access Server (RAS)’a bağlantı sağlar. Bu bağlantı Windows NT Domain’ine erişim ve güvenlik sağlar. -Dial-up to the Internet. Dial-up to the Internet seçeneği ise bir LAN bağlantısı için Internet seçeneklerini düzenler ve yeni Dial-Up Networking bağlantıları yaratır. Bu seçenek ile yaratılan Dial-up bağlantılar aynı Windows 95, Windows 98 ve Windows NT Workstation Dial-up Networking bağlantıları gibidir. -Internet üzerinden bir private network’e bağlanma. Bu seçenek ile bir Virtual Private Network(VPN) bağlantısı bir uzak LAN’a bağlanır. Client-to-Server VPN bağlantıları Pointto-Point Tunneling Protocol (PPTP) ya da daha güvenli olan Layer 2 Tunneling Protocol (L2TP) protokolü ile yapılır. -Gelen bağlantıların kabulü. Bu seçenek ile bilgisayarın bir RAS server olması sağlanır. Windows 2000 Professional aynı anda sadece bir bağlantıyı kabul eder. -Diğer bir bilgisayara direkt bağlanma. Bu seçenek ile Windows 2000 Professional-temelli bilgisayarlar bir host ya da guest bilgisayar olarak direkt-kablo bağlantıları yapar. II. WINDOWS 2000 SERVER KULLANIM SENARYOLARI Windows 2000 Server gelişmiş özellikleriyle aşağıdaki senaryolarda kullanılır: -File server -Print server -Web server -Application server -Network ve İletişim Server -Infrastructure server File Server (Dosya Sunucusu) Windows 2000 Server bir file server olarak kullanılabilir. Aşağıdaki özellikler bir file server için sağlanan özelliklerdir: -Active Directory Directory servisi: Dosyaları bulmayı kolaylaştırır. -Dynamic Volume Management:Disk alanlarının sistemi kapatmadan değiştirilmesini sağlar. -Disk quota: her kullanıcı için bir disk kapasitesi sınırı. Print Server (Yazıcı Sunucusu) Windows 2000 Server bir print server olarak kullanılabilir. Aşağıdaki özellikler bir print server için sağlanan özelliklerdir: -Active Directory servisleri sayesinde printerleri daha kolay bulma. -Daha geniş printer ve protokol desteği. -Gelişmiş kullanıcı arabirimi ve daha düşük toplam sahip olma maliyeti. -Internet Printing Protocol desteği ile kullanıcıların Internet üzerindeki yazıcıları kullanması. Web Server (Web Sunucusu) Windows 2000 Server bir Web server olarak kullanılabilir. Aşağıdaki özellikler bir Web server için sağlanan özelliklerdir: -CPU kaynaklarını site bazında dağıtabilmek. -Dağıtılmış yetki ve versiyon (WebDAV) özellikleriyle kullanıcıların Web üzerindeki bilgilere daha kolay erişmesi ve yönetmesi. -Ek sihirbazlarla güvenlik yönetimi. Application Server (Uygulama Sunucusu) Windows 2000 Server bir application server olarak kullanılabilir. Aşağıdaki özellikler bir application server için sağlanan özelliklerdir: -64 GB’a kadar bellek desteği. -Clustering desteği ve çöken servislerin otomatik olarak yeniden başlatılması. -Bütünleşik uygulama servisleri; uygulamaların daha kısa zamanda geliştirilmesini sağlamak için scripting, transaction ve queuing servisleri. -Web için yazılacak uygulamalar için gelişmiş Internet servisleri. Advanced Server ile yaratılan clustering (kümeleme) ortamıyla, ağ üzerindeki sunucuları bir birine bağlayarak sistemin (disk kaynakları ve uygulamalar) kesintisiz olarak kullanılmasını sağlar. Network ve İletişim Server Windows 2000 Server bir network ve iletişim server olarak kullanılabilir. Aşağıdaki özellikler bir network ve iletişim server için sağlanan özelliklerdir: -Encriyption ve authentication ile sağlanan gelişmiş bir güvenlik. -Dial-Up bağlantılar için yeni kullanıcı arabirimi. -Gelişmiş TCP/IP performansı ile yüksek bant genişliği olan ağlardan yararlanma. -Dinamik DNS sayesinde network yönetiminin daha kolay yapılması. -Multimedia alt yapısı ile ses ve data iletiminin daha iyi yapılması. Infrastructure Server Windows 2000 Server bir infrastructure server olarak kullanılabilir. Aşağıdaki özellikler bir ınfrastructure server için sağlanan özelliklerdir: -Active Directory servisi ile global yönetim ve ticari uygulamalarla bütünleşme. -Dağıtılmış güvenlik servisleriyle kuruluş, Internet ve extranet üzerinde daha fazla güvenlik. -Windows yönetim servisleriyle merkezi olarak daha gelişmiş bir yönetim sağlama. -IntelliMirror ile kullanıcı verilerinin ve düzenlemelerinin merkezi olarak yönetimi. III. NETWORK KAVRAMLARI Bir network (ağ) oluşturmanın ana nedeni kaynaklara erişimdir. Kaynaklar (resources), bilgisayarlara bağlı yazıcılar, sabit diskler üzerindeki dizinler ve dosyalardır. A. NETWORK'ÜN YARARLARI Bilgisayarları bir ağ oluşturmak üzere birbirine bağlanması şu yararları sağlar: -Bilgilerin paylaşımı. -Merkezi yönetim ve desteği. -Kurumsal çalışma, güvenlik, Bir şirket ortamında bilgilerin bölümler, şubeler arasında paylaşımı o şirket için çok önemlidir. Bunun dışında elektronik posta göndermek, belgeleri birlikte oluşturmak gibi olanaklar kullanıcılara büyük faydalar sağlar. Bilgisayarlar arasında network kurulması ayrıca yönetim ve destek görevlerinin de kolaylaşmasını sağlar. Network yöneticisi tek bir yerden network üzerindeki diğer bilgisayarları yönetebilir. Örneğin bir programı yüklemek ya da kullanıcının bir sorunu gidermek için kullanıcının bilgisayarına gitmeye gerek kalmadan network üzerinden müdahale edilebilir. IV. NETWORK TÜRLERI Network üzerinde bilgisayarların nasıl yapılandırıldığına ve bilgilere nasıl erişildiğine göre networkler ikiye ayrılır: -Peer-to-peer Network -Server-Based (client/server) Network Eşler-arası (peer-to-peer) network’lerde genellikle sınırlı sayıda PC birbirine bağlıdır. Bu bilgisayarlar düzey olarak aynıdır. Yani içlerinden birisinin ana bilgisayar olarak kullanılması söz konusu değildir. Bir bağlantı aracılığıyla isteyen kullanıcılar birbirleriyle iletişim kurar ya da dosya alışverişi yapabilirler. Genellikle az sayıda kullanıcı olması durumunda ve kullanıcıların yazıcıları ve dosyaları paylaşması gerektiğinde bu tür networkler yararlı olur. Ancak büyük şirketlerde networke giren kullanıcının kimlik bilgilerinin de denetlenmesi durumunda Server-based networklerin seçilmesi gerekir. İPUCU: Windows 2000 ortamında eşler arası networkler workgroup olarak, server temelli olan networkler de domain olarak bilinir. Server-based (client/server) networklerde bir ana bilgisayar vardır. Buna ana makine (dedicated server) denir. Ana makine üzerinde network yönetimi yapılır. Ayrıca networke girecek (login) ya da bağlanacak herkes bu ana makine üzerinde yer alan kullanıcı hesaplarına göre kontrol edilerek bağlantı gerçekleştirilir. Böylece kullanıcı ve dosya temelinde güvenlik sağlanmış olur. Bunun dışında kullanıcının girişinde kimlik bilgilerinin kontrolü (authentication) işlemi yapılmış olur. V. WINDOWS 2000 İLE NETWORK KURMAK Windows 2000 Professional işletim sistemi, bilgisayarlar arasında workgroup olarak networklerin düzenlenmesi sağlar. Bunun dışında Windows 2000 Server işletim sistemi ile kurulan domainlere de istemci olarak katılabilir. Windows 2000 Server kullanılarak domain (etki alanı) olarak adlandırılan networkler kurulur. Domain yapısı tam adıyla Active Directory domainidir. Çünkü bu yapı Active Directory servisiyle sağlanır. Diğer bir deyişle kurumsal ortamlarda Windows 2000 Server ya da Advanced Server kurularak domain yapısı oluşturulur. Windows 2000 Professional, Windows 98 gibi diğer bilgisayarlar bu domain yapısına istemci olarak katılırlar. Domain yapısının faydaları şunlardır: -Sisteme bir kere giriş. -Tek bir kullanıcı hesabı. -Merkezi yönetim. -Ölçeklenebilirlik. -Güvenlik. Kullanıcılar kendi bilgisayarlarından domain olarak düzenlenmiş networke bir kere giriş yaparlar ve domain üyesi bütün bilgisayarlar üzerindeki kaynaklara (izinleri temelinde) erişebilirler. Örneğin bir domaine giriş: Kullanıcı adı: al Parolası: xxxxx Domain: bizimsirket.com Kullanıcılar kendi bilgisayarları ve domain üzerindeki bilgisayarlara erişim için tek bir kullanıcı hesabı kullanırlar. Domainlerin oluşturulmasındaki ana nedenlerden birisi merkezi yönetimdir. Hem kullanıcı hesaplarını hem de hem de kaynaklara erişim için izinlerin düzenlenmesi merkezi olarak yönetilir. Domain yapısının diğer önemli bir özelliği de güvenliktir (security). Kullanıcıların domain içine girmeleri ve kaynaklardan yararlanmaları Active Directory dizin sistemiyle kontrol edilir. A. DOMAİN YAPISININ (MODELİNİN) YARARI Network türünün domain olarak düzenlenmesinin yararları: -Nesnelerin düzenli olarak organize edilmesi. -Bilgilerin kolayca bulunması. -Yetki delegasyonu. -Güvenlik. -İlkelerin uygulanması. Domain yapısının yararı nesnelerin hiyerarşik olarak organize edilmesi ve yönetiminin kolayca yapılmasıdır. Active Directory domaini içinde nesneler OU (Organization Unit) adı verilen birimler halinde yapılır. Network içindeki bütün nesneler Active Directory dizin sistemine tanıtılır. Bu işlme publish denir. Kullanıcılar, dosyalar, yazıcılar gibi bütün nesneler bu dizin sisteminde kayıtlı olduğu için büyük bir organizasyonda bulunmaları da kolay olur. Active Directory domain sistemi nesnelerin (OU) yönetiminin sistem yöneticisi (administrator) dışında diğer kullanıcılara delege edilmesine olanak tanır. Active Directory bir ilkeler, güvenlik ve adlandırma sınırını ifade eder. Yani domaine giriş için belli bir kullanıcı adını kullanmanız gerekir. Bunun dışında her domain için farklı ilkeler (policy) düzenlemeleri yapılabilir. Örneğin her bir domain için farklı parola düzenlemeleri uygulanabilir. VI. GÖZDEN GEÇİRME SORULARI 1. Networklerin faydaları nelerdir? 2. Networkler merkezi yönetimini daha kolay hale nasıl getirirler? 3. İşletim sistemleri ne yapar? 4. On bin kullanıcısı olan bir network kurmak istiyorsunuz. Bilgilerin kesintisiz olarak kullanıcılara erişmesi gerekmektedir. Bunun dışında yüksek güvenlik ve performans gereksinimleri var. Hangi işletim sistemini seçersiniz? Neden? 5. Bir workgroup içinde kullanıcı hesapları nerede saklanır? 6. Bir domain içinde kullanıcı hesapları nerede saklanır? 7. Windows 2000 Active Directory domain yapısının yararları nelerdir? WINDOWS 2000 NETWORKLERİNİ YÖNETMEK Ders sonunda yapabilecekleriniz: -Windows 2000 Help'i açıklamak. -Yönetim Görevlerini açıklamak. -Windows 2000 yönetim görevleri ve araçlarını tanımak. I. GİRİŞ Network kurulduktan sonra, özellikle kurumsal ortamda network güvenliği, kullanıcı hesapları, grup hesapları, yazıcıların yönetimi gibi yönetim işlemleri gündeme gelir. Bu haftaki konularımızda Windows 2000 network ortamını yönetmek için yapılacak işlere genel olarak bakacağız. II. WINDOWS 2000 HELP Windows 2000'de Help, yalnızca bilgi vermek amaçlı bir yer olmanın yanı sıra daha gelişmiş özelliklere sahiptir. Bir işin nasıl yapılacağını öğrenmek ya da işi yaptırmak istiyorsanız Help mönüsünü kullanabilirsiniz. Bunun dışında Index ve Search bölümlerinden istediğiniz bir konuyu arayarak onun ne olduğu ve nasıl kullanıldığı hakkında bilgi alabileceğiniz bölümlerdir. Help’e ulaşmak için: 1. Start düğmesine tıklanır. 2. Help seçeneğine tıklanır. 3. Search sekmesine tıklanır. 4. İstenilen konu yazılır. Yardım almanın bir diğer yolu da indeks sayesinde konuları görmektir. Index ya da Search sekmesine tıklandıktan sonra kaydırma çubuğundan istenilen konu aranır. Windows 2000 Professional’de yeni bir yardım biçimi vardır. Buna Web Help denir. Web Help, Internet bağlantılarıyla geniş kaynaklara erişerek daha fazla ve güncel bilgi almanızı sağlayan bir sistemdir. Yardımı Internet’ten almak (Web Help): 1. Start düğmesine tıklanır. 2. Help seçeneğine tıklanır. 3. Web Help düğmesine tıklayın. 4. Support Online’a tıklayın. www.Microsoft.com sitesinden Support (yardım / destek) sayfası karşınıza gelir. Favorites’e Eklemek Windows 2000 Help'inde sık başvurduğunuz bir konuyu Help'te yer alan Favorites listesine ekleyebilirsiniz. Böylece bir sonraki başvuru zamanında vakit kaybetmeden eski konuya erişebilirsiniz. III. YÖNETIM GÖREVLERI Bir ya da daha çok Windows 2000 Server ve onlara bağlı çok sayıda istemci bilgisayar (Windows 2000 Professional ya da Win 9x) ortamı, network yönetim görevini doğurur. Aslında yapılan temel yönetim görevlerinden birisi çok sayıda kullanıcının network üzerindeki disk kaynaklarına, yazıcı ve diğer bilgisayarlara erişimiyle ilgili düzenlemelerin yapılmasıdır. Birinci haftadan hatırlarsanız, bir workgroup ortamında network yönetimi olarak pek fazla görev oluşmaz. Nedeni de Workgroup türü networklerde kullanıcıların kimlik bilgileri olmaz. Oyda ideal Windows networkleri birer domain olarak kurulur ve networke girecek kullanıcıların kimlik bilgileri kontrol edilir. Bu anlamda şirkette çalışan kişilerin networke (Windows 2000 Domain'ine) giriş için kullanacakları bir kullanıcı hesap adına gereksinimleri vardır. Böylece sistem yöneticisinin görevleri başlar: Sistem yöneticisi kullanıcı ve grup hesaplarını oluşturur. Bunun dışında kimlerin hangi kaynaklara erişeceklerini ayarlar. A. DÜZENLİ YAPILAN NETWORK GÖREVLERİ Sistem yöneticilerinin ya da network yöneticilerinin yaptıkları rutin network görevleri şu alanlardadır: Kullanıcı ve Grup Hesaplarının Yönetimi Netwrokü kullanacak bütün kullanıcılar için bir kullanıcı hesabı (user account) yaratılır. Bu kullanıcı hesabı sayesinde o kullanıcı networke girer ve kaynaklara erişir. Adı geçen kaynakları disk üzerindeki dosyalar, yazıcılar vb. gibi düşünebilirsiniz. Kullanıcı sayısının çok olması durumunda gereksinimleri ya da bölümleri göz önüne alınarak gruplar oluşturulur. Grup hesapları birden çok kullanıcı hesabını içerir. Windows 2000 Server'da Active Directory araçları kullanılarak kullanıcı ve grup hesapları yaratılır. Ayrıntılarını daha sonra ele alacağız. Network Yazıcılarının Yönetimi Network yazıcısı Server üzerine bağlı ya da networke bağlı olan bir yazıcıdır. Network yöneticisi yazıcı sürücüsünün kurulumunu yapar. Ardından yazıcıyı kullanmak üzere kullanıcılara izinler verir. Güvenlik Yönetimi Güvenlik (security) kavramı, diskler, dizinler, dosyalar, yazıcılar gibi network kaynaklarına erişimi güvenli hale getirmektir. Network yöneticisi bu kaynaklara kimin hangi izinlerle erişim yapacağını belirler. Yedekleme ve Geri Yükleme Yedekleme (backup) ve geri yükleme (restore) işlemi, server üzerindeki bilgilerin teyp ya da diğer bir disk gibi ortamlara düzenli olarak kopyalanarak bir arıza durumunda geri yüklenebilmesini mümkün hale getirebilmektir. Özellikle önemli verileri içeren bilgisayarlarda yedekleme ve geri yükleme işlemi daha hayati önem taşır ve bu nedenle network yöneticilerinin düzenli olarak yapmaları gereken bir iştir. Bakım Görevleri Bakım görevlerinin başında disk üzerinde yapılan birleştirme ve diğer kontrol işlemleri gelir. Bu işlemler disk cleanup ve disk defragmenter gibi işlemlerdir ve diskin performansın artırır. Yönetim Görevlerinin Otomatik Başlatılması Özellikle disk bakım görevleri ve yedekleme gibi görevler belli zamanlarda otomatik olarak yapılabilir. Bu işlem için Scheduled Tasks programı kullanılır. Scheduled Task programını çalıştırmak için: 1. Start düğmesine tıklanır. 2. Programs/Accessories/System Tools/Scheduled Tasks seçeneğine tıklanır. Görevlerin otomatikleştirilmesi, o işi yapacak programın .exe dosyasının belli bir zamanda (bir kere) ya da zaman aralığında (düzenli olarak) çalıştırılmasının sağlanmasıdır. Örneğin hergün (daily) yedek almak ya da ayda bir disk birleştirme (Disk Defragmenter) programının çalıştırılması gibi. IV. YÖNETIM ARAÇLARI Network yönetim görevlerini yerine getirmek için Windows 2000 Server üzerindeki belli programlar (araçlar) kullanılır. Bu araçların başında şunlar gelir: -Control Panel. -System Information -Event Viewer -Windows Task Manager -Performance -Disk Management -Backup -MMC (Microsoft Management Console) A. CONTROL PANEL Yönetim araçlarının bir çoğu, Windows işletim sistemlerinde çok yaygın kullandığımız (ya da iyi bildiğimiz) Control Panel aracılığıyla yapılır. Control Panel içinde Klavye, Dil gib ayarların yanı sıra program ekleme/kaldırma, yönetim araçları ve birçok yönetim ve yapılandırma amaçlı program yer alır. Control Panel'e erişmek için: Start menüsünden Settings/Control Panel seçilir. Birçok yönetim aracına burada erişebilirsiniz. Bunun dışında başta Regional Settings, Keyboard ayarları gibi yerel düzenlemeler buradan yapılır. 1. System Programı Control Panel içinde yaygın olarak kullanılan yönetim araçlarından birisi System programdır. System içinde Hardware, Network Identification ve Advanced sekmesinde yer alan bölümler kullanılır. Hardware bölümünde Device Manager düğmesinde bilgisayarın şu andaki donanım görünümü ve yüklü sürücülerini görebilirsiniz. Yeni bir donanım eklemek ya da mevcut aygıtları değiştirmek için bu bölüm kullanılır. 2. Computer Management Sistem yönetiminde yaygın olarak başvurduğumuz diğer bir bölüm Bununla birlikte Computer Management konsolu da bu işlemler için kullanılabilir. Bir partition yaratmak için: 1. Administrative Tools’dan Computer Management seçilir. 2. Konsol ağacında Storage açılır. 3. Disk Management açılır. 4. Partition yaratılacak boş disk alanı üzerinde sağ tuşa tıklanır ve Create Partition komutu seçilir. 3. System Information System Tools bölümünde Event Viewer, System Information, Performance, Shared Folders, Device Manager ve Local Users gibi programlar yer alır. Event Viewer, Windows 2000 içinde sistem ve uygulamalarla ilgili logları tutan bir programdır. Application, Security, System ve Directory servisi ile ilgili logları ayrı ayrı tutar. Sistem yöneticisi donanım bileşenleri ve Windows 2000 servisleri ile ilgili bütün hataları (sorunları) system loguna bakarak görebilir. Bir şekilde başlayamamış bir servis, tanımayan bir donanım birimine ait hata ya da uyarı mesajları bu logda tutulur. Sistem araçları içinde Event Viewer içinde yer alan Security logu ise sistem düzeyinde ve NTFS disk bölümleri üzerinde yapılan dosya ve klasör Auditing düzenlemeleri sonucunda yapılan aktiviteleri tutar. Örneğin kullanıcıların logon saatleri ya da bir dosyaya yapılan erişimlerin zamanı ve diğer bilgileri gibi. 4. Aygıt Yöneticisi Sistem Araçları içinde yer alan en yararlı araçlardan birisi de Device Manager’dır. Device Manager’ın en önemli işlevi bilgisayara takılı bulunan bileşenleri listelemesidir. Bu arada eğer bir sorun varsa onun da işaretleyerek belirtmesidir. Böylece hatalı bir ağ adaptörünün ya da ses kartının görülmesi sağlanır. B. DİSK YÖNETİMİ ARAÇLARI Disk yönetimi araçları ise bilgisayarda yer alan sabit disk birimlerinin izlenmesini ve formatlama, partition yaratma gibi işlemlerin yapılmasını sağlar. Ayrıca Disk Defragmenter ile zaman içinde dosyaların dağıldığı disk alanının birleştirmesi sağlanır. Disk yönetimi araçlarının içinde yer alan Disk Management bölümünde bilgisayara takılı disk alanlarını yönetimi yapılır. Örneğin partition yaratma ya da silme, formatlama gibi işlemler. Bunun dışında bu bölümde yer alan Disk Defragmenter aracı ise disk alanının birleştirilmesi sağlayarak bir bakım işlemini (performansı artırmak için) gerçekleştirir. Bu bölümde yer alan diğer bir görünüm ise Logical Drives’dır. Bu bölüm sistemdeki kullanılabilir sürücüleri gösterir. 1. Sabit Diskin Defrag (Birleştirme) Edilmesi Windows 2000 dosya ve klasörleri sabit disk üzerine kaydederken ilk uygun yeri kullanır. Bu durumda zaman içinde dosya ve klasörlerin disk üzerinde dağılmasına neden olunur. Böylece disk erişim performansı da düşer. Windows 2000 Disk Defragmenter, gelişmiş bir disk birleştirme programıdır. FAT, FAT32 ve NTFS volümleri üzerinde çalışır. Bu program parçalanan dosya ve klasörleri birleştirir. Böylece bir dosya ya da klasör bitişik bir yer kaplar. Disk Defragmenter önce sabit diski analiz eder ve birleştirilecek dosya sayısını belirler. Bu analiz sonuçlarına göre kullanıcı da isterse birleştirme işlemine karar verir ya da vermez. Bu işlem için: 1. Disk Defragmenter çalıştırılır. 2. Analyze düğmesine tıklanarak dosyaların durumları izlenir. 3. Defragment düğmesine tıklanarak birleştirme işlemi yapılır. C. SERVİSLERİN YÖNETİMİ Computer Management içinde yer alan diğer bir ana bölüm ise servisler ve uygulamalar (Services and Applications) dır. Windows 2000 mimarisinde servisler önemli bir yere sahiptir. Windows 2000’in çalışmasını sağlayan birçok ana bileşen servis olarak çalışır. Bunun dışında çok sayıda server uygulaması (SQL server gibi) da servislere sahiptir. Bu durumda servislerin çalışıp çalışmaması ve konfigürasyonu önemli bir yere sahiptir. DHCP ya da Task Scheduler gibi birçok Windows 2000 bileşenleri birer servis olarak çalışırlar. Servisin çalışıp çalışmadığı (başlatılması-start, durdurulması-pause ya da stop gibi işlemler), bunun dışında servis kullanıcısının ve diğer servis düzenlemeleri bu bölümden yapılır. İPUCU: Windows 2000 Server ile çalışırken çok sayıda servis devrededir. Bunun dışında bir de Exchange Server, SQL Server gibi yazılımlar da kurulunca Server üzerinde çalışan servis sayısı artır. Bütün bu servislerin yapılandırılması ve çalışıp çalışmadıklarının kontrolü sistem yöneticisinin görevidir. Böylece servis yönetiminin önemi bir kere daha ortaya çıkmış olur. V. UYGULAMA Uygulama 1: Control Panel'i tanımak. Adımlar: 1. Sisteme Administrator olarak giriş yapın. Ctrl+Alt+Del tuşlarına basın ve Administrator kullanıcı adı ve parolası ile giriş yapın. 2. Start mönüsünden Settings/Control Panel'i seçin. 3. Kontrol programlarını görün. System simgesini tıklayın. Network Identification sekmesinde ne görüyorsunuz. Bilgisayarın adı (computer account) ne?. Hangi Workgroup ya da Domain içinde bulunuyor?. Keyboard simgesini tıklayın. Uygulama 2: Computer Managemet'ı tanımak. 1. Masaüstünde My Computer üzerinde sağ tıklayın. 2. Manage'ı seçin. Computer Management içinde hangi araçlar yer alıyor? System Information, Disk Managemet'i, Event Viewer'ı ve Services bölümlerini genişletin. System Information bölümünde bilgisayarınız hakkında bilgi veren bölümleri inceleyin. VI. GÖZDEN GEÇİRME SORULARI 1. Windows Help'in yenilikleri nelerdir? 2. Kullanıcı ve grup hesaplarının amacı nedir? 3. Network üzerindeki kaynaklar nelerdir? Bu kaynaklara erişimin düzenlemesi nasıl yapılır? 4. Event Viewer üzerinde kaç log vardır. Bu loglar ne işe yarar. 5. Bilgisayardaki sabit diskin kapasitesi ve format türü nasıl öğrenilir? NETWORK (AĞ) YAPILARINI İNCELEMEK Ders sonunda yapabilecekleriniz: -Network Türlerini Açıklamak. -Bağlantı Bileşenlerini Açıklamak. -Network Yerleşim Biçimleri (Topologies) Açıklamak. -Network Teknolojilerini Açıklamak. I. GİRİŞ Microsoft Windows 2000 networklerini (ağlarını) anlamak için bir networkü oluşturan temelleri ve yapıları bilmek gerekir. Bu bölümde temel network teknolojilerini ve yerleşim biçimlerini (topology) ele alacağız. II. TEMEL BAĞLANTI ELEMANLARI Bir networkün temel bağlantı elemanları kablolar, network adaptörleri (network kartları) gibi birimlerden oluşur. Bu elemanlar sayesinde network üzerindeki bilgisayarlar birbiriyle bağlantı kurarlar. A. NETWORK ADAPTÖRLERİ Network adaptörleri (network kartı diye de söylenir) bilgisayarla network kablosu arasında fiziksel bağlantıyı sağlayan donanım birimleridir. Network adaptörü bilgisayara takılır ya da hazır takılıdır. Ardından kablo bağlantısı yapılır. Bunun yanı sıra network adaptörünün doğru çalışması için onun işletim sistemi tarafından tanınması gerekir. Bu işlem işletim sisteminin kuruluşunda otomatik olarak yapılabileceği gibi daha sonra da yapılabilir. Bu işlem genellikle Device Manager programı aracılığıyla yapılır. İşletim sisteminin bu network adaptörünün sürücüsünü (driver) kurması gerekir. Network adresinin bir paketi hedefe ulaştırmasında kendi adresini kullanır. Bu adrese MAC adresi denir. Yaygın networklerinde her bilgisayarı tek bir adresi vardır. Ethernet networkünde bu bilgi 48-bitlik MAC (Media Access Control) adresidir. Her network kartı (network adaptör) tek bir MAC adresine sahiptir. İPUCU: Bilgisayarın network kartının MAC adresini görmek için Windows 9x ortamında Winipcfg.exe, Windows NT/2000 ortamında ise ipconfig.exe programlarını Run mönüsünden çalıştırmanız yeterlidir. 1. Network Adaptörün Görevleri Bir network adaptörü şu görevleri yerine getirir: -Bilgisayardaki verileri alır ve kabloya iletir. -Aynı şekilde, kablodaki verileri alır ve bilgisayara iletir. -Kablodan alınan verinin bilgisayar için olup olmadığını belirler. -Bilgisayarla kablo arasında veri akışını kontrol eder. B. Kablolama Bilgisayarlar kablo aracılığıyla birbirine bağlanırlar. Değişik kablolama teknikleri ve kablo türleri vardır. -Koaksiyel (Coaxial) -Twisted-Pair -UTP (Unshielded Twisted-Pair / Koruyucusuz Dolanmış-Çift) -STP (Shielded Twisted-Pair / Koruyuculu Dolanmış-Çift) -Fiber-Optik 1. Koaksiyel Kablolar Koaksiyerl (eş eksenli) kablolar yaygın olarak kullanılan network kablolarıdır. Bu kabloların yaygın olarak kullanılmasının başlıca nedenleri uygun fiyatı, hafifliği, esnekliği ve kolay kullanılmasıdır. Bir koaksiyel kablo bir iletken metal telin önce plastik bir koruyucu ile, ardından bir metal örgü ve dış bir kaplamadan oluşur. Bu koruma katları iletilen verinin dış etkenlerden korunmasını amaçlar. Koaksiyel kablonun içindeki tel iletken verileri oluşturan elektronik sinyallerin taşınmasını sağlar. İç tel genellikle bakırdır. Tek parça ya da ipli olabilir. Koaksiyel kablonun iki tipi vardır: -Thin (thinnet) -Thick (thicknet) Thinnet koaksiyel kablo .25 inç genişliğindedir. Yaygın olarak network’lerde thinnet kullanılır. Verileri sağlıklı olarak 185 metre uzağa iletebilirler. Thinnet koaksiyel kablolar RG-58 standardı olarak değişik biçimde üretilmektedir. Koaksiyel kablo tipleri: Kablo Açıklama RG-58 /U Tekli bakır tel RG-58 A/U İpli tel RG-58 C/U RG-58 A/U’nun askeri amaçlısı RG-59 Broadband iletim için (kablolu televizyon) RG-6 Broadband iletim için RG-62 ArcNet networkleri için Thicknet ise daha kalın bir koaksiyel kablodur. Thicknet kablolar 0.5 inç kalınlığındadır. Bu nedenler thicknet kablolar daha uzun mesafe veri iletiminde kullanılırlar. 500 m mesafe için kullanılan thicknet koaksiyel kablolar tipik olarak thinnet networkler için bir backbone oluşturmada kullanılır. Mesafe Koaksiyel kablo 185 m Thinnet 500 m Thicknet Bir thinnet koaksiyel kabloyu thicknet kabloya bağlamak için ise transceiver denilen ara birim kullanılır. Transceiver’ın network adaptörüne bağlanması için AUI ya da DIX adı verilen çıkış kullanılır. AUI (Attachment Unit Interface) anlamındadır. DIX (Digital Intel Xerox) anlamına gelir. Koaksiyel kabloların network adaptörüne bağlanması için, ayrıca iki kablonun birbirine eklenmesi için değişik birimler kullanılır. Bu birimler şunlardır: -BNC kablo konnektörü -BNC T konnektör -BNC Barrel konnektörü -BNC Sonlandırıcı BNC kablo konnektörü kablonun ucunda yer alır. T konnektör ise koaksiyel kabloyu network adaptörüne bağlamak için kullanılır. Barrel konnektör ise iki koaksiye kablonun birbirine bağlanmasını sağlar. Sonlandırıcılar ise kablonun sonunda yer alırlar. Bus yerleşim biçiminde kurulan network’lerde kullanılan koaksiyel kablonun iki ucunda sonlandırıcı kullanılır. Bu sonlandırıcılar kablonun sonuna gelen sinyali yok ederler. 2. Twisted-Pair Kablolar LAN’larda ve sınırlı veri iletiminde kullanılan bir diğer kablolama türü de twisted-pair kablolardır. Twisted-Pair (Dolanmış-çift) kablo iki telden oluşan bir kablodur. Twisted-pair kablolar iki türdür: -UTP (Unshielded Twisted-Pair) -STP (Shielded Twisted-Pair) 10BaseT network’lerde ve diğer LAN ortamlarında yaygın olarak UTP kablolar kullanılır. Maksimum UTP kablo uzunluğu 100 m dir. UTP kablo iki izoleli bakır kablodan oluşur. UTP kablolar ayrıca telefon sistemlerinde de kullanılır. UTP kabloların beş standardı vardır: Katagori Açıklama Katagori 1 Ses iletiminde kullanılır Katagori 2 4 Mbps veri iletiminde kullanılır Katagori 3 10 Mbps veri iletiminde kullanılır Katagori 4 16 Mbps veri iletiminde kullanılır Katagori 5 100 Mbps veri iletiminde kullanılır 3. Fiber-Optik Kablolar Fiber-optik kablolar verileri ışık olarak ileten yüksek teknoloji iletim ortamlarıdır. Fiber-optik kablolar hızlı ve yüksek kapasiteli veri iletimi için uygundur. Özellikler 100 Mbps hızında veri iletimi için kullanılır. Verilerin güvenliği açısından daha iyidir. Çünkü ışık olarak temsil edilen veriler başka bir ortama alınamazlar. 4. Ethernet Kablolama Sistemi Ethernet network’lerinde dört çeşit kablolama sistemi kullanılır: -Thick coaxial -Thin coaxial -Unshielded Twisted Pair -Fiber-optic Tablo: Etnernet networlerinde kullanılan kablo türleri ve topoloji Özellik Kablo tipi Kablo tipi Kablo tipi Yerleşim Bus Kablo tipi Thick coaxial Thin coaxial Ushielded Twisted Pair Sinyal tekniği Baseband Bus Star Baseband Baseband Maksimum segment 500 185 100 Maksimum network 2500 1000 2500 (Thick coaxial backbone) Her segment’te bağl. 100 30 Ara boşluğu 2.5 m 0.5 m Konnektör tipi DB-15 BNC-T RJ-45 Network’teki istasyon1024 1024 1024 Epmedans 50 ohms 75-150 ohms 50 ohms 5. Kablosuz İletişim Kablosuz iletişim kablonun bir iletim medyası olarak kullanılmadığı bir network türüdür. Network’ler kısmen kablolu ve kablosuz olabilir. Kablosuz network’ler bazı durumlarda çok kullanışlıdır: -Girişler vb işlek alanlarda. -İzole edilmiş alanlarda. -Çok sık değiştirilen mekanlarda. -Tarihi binalar gibi kablo delikleri açılamayacak olan yapılarda. -Güvenlik gerektiğinde. Kablosuz network’ler üç katagoriye ayrılırlar: -LAN’lar için. -LAN genişletmeleri için. -Mobil bilgisayar kullanımı için. Bu katagriler arasındaki fark iletişim yöntemleridir. LAN’lardaki kablosuz iletişim genellikle bilgisayarlara takılan bir transceiver birimi ile sağlanır. Bu aygıtlar sinyalleri yayınlar ve alırlar. Kablosuz iletişimde dört teknik kullanılır: -İnfrared -Laser -Dar-bant radyo (tek frekens) -Geniş-spektrum radyo İnfrared kablosuz network’lerde verileri taşımak için infrared ışık kullanılır. Bu yöntemde sinyal gönderme hızı yüksektir. Genellikle 10 Mbps. Laser teknolojisi de infrared kullanımına benzer. Dar-bant radyo ise veriler bir radyo istasyonundan yayınlanıyormuş gibi yayınlanır. Aynı frekanstan gönderen ve alıcı verileri birbirine iletir. Geniş-spektrum radyo yayını ise geniş bir frekans aralığı kullanır. Bu yöntem özellikle darbant sorunlarını çözmek için geliştirilmiştir. Gönderimde güvenlik için kodlama yapılır. Tipik hız 250 Kbps dir. III. NETWORK TOPOLOJİLERİ Topology (yerleşim ve bağlantı biçimi), bilgisayarların birbirine nasıl bağlandıklarını tanımlayan genel bir terimdir. Yaygın olarak kullanılan topology türleri şunlardır: -Bus -Ring -Star -Mesh Bus topology, bilgisayarların bir ana kablo ile birbirine bağlandığı şekildir. Ring topology ise bir halka biçiminde bilgisayarların birbirine bağlanmasıdır. Star topology ise bilgisayarların bir merkezi aygıt aracılığıyla birbirine bağlandığı şekildir. Mesh topology ise bütün bilgisayarların birbirine bağlandığı bir bağlantı biçimidir. Mesh topology'nin yaygın olarak kullanılmadığını görüyoruz. Bunun nedeni gereksiz yere çok sayıda bağlantının yapılmasıdır. Günümüzde en yaygın olarak Star topology türünün seçildiğini görüyoruz. Bunun başlıca nedeni merkezi bir aygıttan dağıtılan kablolama şekli, fiyat ve performans gibi özelliklerdir. A. BUS TOPOLOJİ Bus yerleşim biçimi doğrusal bir hat olarak bilinir. Bütün makinelerin tek bir kabloya bağlı oldukları bir ağ türüdür. Bus topology için söylenebilecek bütün teknik ayrıntılar Ethernet teknolojine bağlıdır. B. STAR TOPOLOJİ Star yerleşim biçiminde bilgisayarlar merkezi biçimde konuşlandırılan bir hub’a bağlı olarak çalışırlar. Bilgisayarlar tarafından üretilen sinyaller önce hub’a ulaşırlar ardından diğer bilgisayarlara ulaştırılırlar. Star yerleşim biçimde bütün bilgisayarlar bir hub’a bağlıdır. Diğer bir deyişle bütün bilgisayarlara hub’tan bir kablo çekilir. Bu merkezi dağıtım sistemi yıldız yerleşim biçimde her bilgisayara özel bir kablo çekilmesini böylece herhangi bir kablo arızasının sadece o bilgisayarı etkilemesi sağlar. Böylece tüm network çökmez. Ancak merkezi dağıtım birim hub’ın bozulması durumunda ise bütün network çöker. Star, en eski yerleşim biçimlerindendir. İlk olarak PBX (private Branch Exchanges) olarak adlandırılan analog ve sayısal anatharlama aygıtları olarak karşımız çıkmışlardır. Star yerleşim biçiminde bütün istasyonlar merkezi bir noktaya bağlıdırlar. Buna “hub” denir. Star topoloji bugün bus’in yerine geçmiş ve UTP (genellikle Twisted-Pair kablo) kablo ile birlikte yaygın olarak kullanılmaktadır. Fiziksel Star-Wired Ring yerleşim biçiminde ise birden çok hub kullanılır. Hub’a bağlı bilgisayarlar Star yerleşim biçimini oluştururlar. Bu yerleşim biçimin şu üstünlükleri vardır: -Tek bir kablo sorununun bütün network’ü etkilememesi. -Daha iyi bir network yönetimi. -Network’e PC eklemek ve çıkarmak kolay. Bu yerleşim biçiminin zayıf yönleri ise şunlardır: -Bütün birimlerin bağlı olduğu hub’ın bir sorunu bütün network’ü etkiler. -Bütün birimler için tek bir kablo hattının çekilmesi maliyeti C. RİNG TOPOLOJİ Ring (halka) yerleşim biçiminde bilgisayarlar bir halka biçiminde birbirine bağlıdır. Herhangi bir sonlandırma işlemi yapılmaz. Sinyaller bir döngü içinde dönerler. Bununla birlikte halka yerleşim biçimi aktif bir network’tür. Diğer bir deyişle halka üzerinde yer alan bilgisayarlar verinin ve sinyallerin iletilmesinden sorumludurlar. Bu nedenle halkada yer alan bir bilgisayarın arızalanması bütün network’ün çökmesi anlamına gelir. Halka yerleşim biçiminde sinyallerin dolaşımını kontrol etmek için token adı verilen bir bilgi kullanılır. Token bilgisayarlar arasında dolaşır. Sinyal gönderecek bilgisayar bulunduğunda token o bilgisayar tarafından değiştirilir ve diğer bilgisayarı bulması için sinyalle birlikte yollanır. Ring yerleşim biçimi fiziksel olarak bir Star biçimindedir. Ama network mantıksal olarak Ring olarak çalışır. Bu işlem merkezi bir MAU (Multistation Access Unit) aygıt tarafından yapılır. D. MESH Her noktanın birbirine bağlandığı çok güvenli bir network sistemi olan mesh yerleşim biçimi tamamen ya da kısmen oluşturulabilir. Mesh yerleşim biçimine pek rastlanmaz E. KARIŞIK YERLEŞİM BİÇİMLERİ Birçok durumda yerleşim biçimleri birlikte gerçekleşirler. Örneğin çok sayıda star network bir bus hat üzerinden birbirine bağlanır. Bu tür birleşimler “star bus” ya da “star ring” olarak adlandırılır. Bir network bilgisayarlar, adaptörler, konnektörler ve diğer birimlerden oluşur. Bu birimler fiziksel bağlantılarıyla ve mantıksal görünümüyle kullanıcıların karşısına çıkarlar. IV. NETWORK TEKNOLOJİLERİ LAN (Local Area Network- Yerel Bilgisayar Ağları) ve WAN (Wide Area Network-Büyük Alan Ağları) gibi network ortamlarında değişik network teknolojileri kullanılır. Yaygın network teknolojileri şunlardır: -Ethernet -Token Ring -ATM -FDDI -Frame Relay A. ETHERNET En yaygın kullanılan LAN teknolojidir. Öyle ki network kartları Ethernet kartı diye adlandırılır. Ethernet teknolojisi bugün LAN ortamındaki teknolojiyi ifade eder. Böylece birimleri, hızları ve diğer standartları belirler. CSMA/CD Ethernet networkleri belli bir anda kabloyu hangi bilgisayarın kullanacağını CSMA (Carrier Sense, Multiple Access/Collision Detection) tekniğiyle belirler. Bu teknikte paket gönderilmeden önce kablo kontrol edilir. Diğer bir iletişimin oluşturduğu trafik yoksa iletişime izin verilir. İki bilgisayarın birden kabloyu kullanmaya çalışması collision olarak adlandırılır. Her ikisinin de trafiği kaybolur. Bu durumda; sabah bilgisayarının başına gelen yüz kişinin oluşturduğu trafik nasıl karşılanacak. Bu durumda CSMA sistemi beklemelere yol açacak. Network adaptörleri veri gönderimini sürekli yenileyerek (ve bant genişliğinin büyük bir kısmını adı geçen çakışma işlemleriyle harcayarak) iletimi sürdürür. B. TOKEN RİNG Token Ring network IBM tarafından geliştirilmiştir. Daha sonra ANSI/IEEE standardı olmuştur. Token Ring IEEE 802.5 standardıdır. Token passing erişim yöntemini kullanır. Token Ring network’ler bir yıldız yerleşim biçimi olarak kurulurlar. Bilgisayarlar merkezi bir hub’a bağlanırlar. Ancak bilgisayarlar bir halka üzerinde yerleşmiş gibi birbirleriyle ardışık iletişim kurarlar. Buna mantıksal olarak halka denir. Bir bilgisayarın veri iletimi ile ilk token network üzerinde dolaşmaya başlar. Network üzerinde aynı anda bir token dolaşabilir. Veri iletecek bilgisayar kendi token’ını network üzerinde dolaştırarak verisini iletir. Alıcı bilgisayar veri frame’ini yakarlar. Ardından yeni bir token network üzerinde dolaşmaya başlar. C. ATM Asynchronous Transfer Mode (ATM) paket anahtalama temeline göre çalışan bir teknolojidir. Genellikle WAN'larda kullanılır. Ancak LAN'larda da kullanılır. ATM ile uzak ofislerin iletişimi sağlanır ya da ATM bir omurga (bacbone) oluşturmada kullanılır. Geniş kapasitesiyle (bant genişliği) ATM şu işleri gerçekleştirmede kullanılır: -Ses, video -Resim -Megabit hızında veri transferi. D. FDDI Yüksek hıza gerekinim duyan networklerde kullanılır. 100 Mbps hızında token-passing erişim tekniğine sahiptir ve fiber-optik kablo üzerinden iletişim sağlar. Erişim yöntemi olarak token geçirme tekniği kullanılır. E. FRAME RELAY ATM gibi paket anahtarlama tekniğini kullanan bir network türüdür. Genellikle WAN networklerinde ve fiber optik bağlantılar üzerinde kullanılır. Geniş alanda gönderilen paketlerin yolunun en kısa şekilde bulabilecek özelliktedir. Frame Relay networklerinde point-to-point yöntemi kullanılır. Bu yöntem değişken büyüklükte olan paketlerin bir bilgisayardan diğerine gönderilmesine izin verir. Birçok bilgisayar arasında gezilmenin önüne geçilir. V. NETWORKÜN GENİŞLETİLMESİ Değişik aygıtlar networklerin genişletilmesini ve diğer networklerle iletişim kurulmasını sağlar. Bu işlem için repeater, bridges, router ve switch gibi aygıtlar kullanılır. A. REPEATER Repeater’lar elektronik sinyalleri güçlendiren aygıtlardır. Repeater bir sinyali aldığında onu orijinal gücüne ve durumuna getirir. Repeater’lar fiziksel olarak çalışan aygıtlardır. OSI fiziksel katmanda çalışırlar. Repeater’lar şu görevleri yerine getirirler: -Sinyallerin zayıflamasını giderir. -Çarpışmayı önler. -Segmentleri izole eder. Sinyaller belli bir mesafe yol katettiğinde zayıflarlar. Bu duruma “attennuation” denir. Anlaşılmaz hale gelen bu sinyaller daha uzak yerler gönderilmek üzere repeater’dan geçirilirler. B. BRİDGE Bridge’ler data-link katmanında çalışırlar. Fazla karmaşık aygıtlar olmayan bridge’ler gelen frame’leri alır ve yönlendirirler. Bridge’ler fiziksel bağlantının yanı sıra network trafiğini kontrol eden aygıtlardır. Bir segment’teki trafiği o segment içinde yerel yaparak sinyallerin daha uzun zamanda yerine gitmesini engellerler. C. ROUTER Routing verilerin network’ler arasında taşınması işlemidir. Bu işlem brigde’ler tarafından da yapılır. Aralarındaki fark ise bridging işlemi OSI 2. katmanında (data-link) gerçekleşirken, routing işlemi OSI 3. katmanında (network) gerçekleşir. Router’ler network’leri birbirine bağlayan aygıtlardır. Router ile bağlanacak network’ler aynı üst düzey protokolü kullanıyor olmalıdırlar. TCP/IP, IPX gibi. Router’lar köprüler gibi MAC adreslerini kullanmazlar. Network’leri bir network numarası ile numaralandırırlar. Network numarası mantıksal bir network’e verilen bir numaradır. Router aygıtları OSI network ve transport katmanında çalışırlar. Router’lar görevi network’ler arasındaki iletişimi yönlendirmektir. Router’lar internetworking’de şu görevleri üstlenirler: -Adresleme -Bağlantı protokolleri -Paket yönetimi -Hata kontrolü -Yönlendirme Router’lar verinin iletiminde en uygun yolu bulurlar. Network trafiğini düzenlerler ve herhangi bit segment’in fazla yüklenmesini engellerler. Bu işleme “load balancing” denir. Bir router’in görevleri şunlardır: -Bir veri paketini okumak. -Paketin protokollerini çıkarmak. -Gideceğin network adresini yerleştirmek. -Routing bilgisini eklemek. -Paketi alıcısına en uygun yolla göndermek Router’lar en iyi yolu seçmek için “routing protocols” olarak adlandırılan özel bir yazılım kullanırlar. Router’lar RIP (Router Information Protocol) paketleri aracılığıyla bütün network bilgilerini yayınlarlar. Network adreslerini bilmedikleri için bütün protokoller route edilemezler. TCP/IP, IPX gibi protokoller route edilebilirler. Yaygın olarak kullanılan routing protokollerinden bazıları şunlardır: Kısa adı Uzun adı Kullanıldığı transport protokolü BGP Border Gateway Protocol TCP/IP EGP Exterior Gateway Protocol TCP/IP RIP Routing Information ProtocolTCP/IP OSPF Open Shortest Path First TCP/IP Router’ın yönetiminde aşağıdaki konulara yer verilir: -Router’ın adresi, adı vb. bilgileri ile ilk kurulum. -SNMP ile network’ün kontrolü -Güvenlik. -Hata giderme D. GATEWAYS Bridge ve router’lar bir OSI katmanında çalışmalarına rağmen gateway’ler birden çok OSI katmanında çalışırlar. Bu nedenle gateway’ler değişik mimarili ve farklı protokollere sahip bilgisayarların kullanıldığı alt network’lerde kullanılırlar. E. MULTİPLEXER Multiplexing birçok kesikli sinyalin tek bir iletişim kanalı üzerinde birleştirilerek iletilmesi tekniğidir. İletişim maliyetlerini azaltmak için kullanılır. Multiplexing herhangi bir OSI düzeyinde yapılabilir. Multiplexing sayesinde fiziksel ortamdan daha fazla yararlanılır. F. HUB Bir hub aygıtı LAN’ın mimarisini değiştirmez. Kullanıcıların LAN’a katılmasını sağlar. Hub aygıtı genellikle LAN istasyonlarının bağlandığı bir kutudur. Hub’ların bir kısmı sadece bağlantıyı sağlarken, bir kısmı gelişmiş sorun giderme yeteneklerine sahiptir. Bazıları da sinyalleri güçlendirerek network’ün hızını artırırlar. VI. GÖZDEN GEÇİRME 1. MAC adresi nedir? 2. Network adaptörlerinin görevleri nelerdir? 3. Şirketinizdeki bilgisayarlar merkezi bir birime bağlı olarak birbiriyle iletişim kurmaktadır. Bu durumda hangi topoloji kullanılmaktadır? 4. Bridge ile Router arasındaki fark nedir? 5. Network topolojileri açıklayın. Netwok teknolojilerini sayın. Hangi teknoloji hangi topolojilerde mümkündür. Bir tablo yaparak açıklayın. 6. Router protokolleri nelerdir? NETWORK PROTOKOLLERİ Ders sonunda yapabilecekleriniz: -Protokol kavramını açıklamak. -Protokol türlerini tanımlamak. -Windows 2000 uyumlu protokolleri tanımlamak. I. PROTOKOL Protokoller iletişimin kurallarıdır. Bir network’teki iletişim kuralları protokoller tarafından düzenlenir. Diğer bir deyişle bilgisayarlar aynı ya da uyumlu protokolleri kullanıyorlarsa birbirleriyle iletişim kurabilirler. Çok sayıda protokol vardır. Ancak her birinin değişik amaçları vardır. OSI modeline göre veri iletiminde birçok protokol birlikte çalışır. Bu bileşime protokol kümesi (protocol stack) denir. Böylece bir protokol kümesinde farklı protokoller bulunabilir. OSI katmanı protokolün fonksiyonunu da belirler. Örneğin bir protokol fiziksel katmanda çalışıyorsa onun görevi verinin kablo ile iki network kartı arasında iletimidir. NOT: OSI ve katmanları hakkında daha fazla bilgi için önceki haftalara ve diğer Network sitemizdeki diğer network kurslarına bakınız. A. STANDART PROTOKOL KÜMELERİ (STACKS) Network dünyasında belli protokol kümeleri standart hale gelmiştir. Bunlar: OSI protokol kümesi: -IBM System Network Architecture (SNA) -Digital DECnet -Novell Netware -Apple AppleTalk -TCP/IP B. PROTOKOL TÜRLERİ Protokollerin türleri değişik şekillerde tanımlanabilir: Açık protokoller ve firmaya bağlı olan protokoller olmak üzere. Açık protokoller TCP/IP gibi herhangi bir firma tarafından değil de geniş toplulukların oluşturdukları komiteler tarafından yönetilirler. Bu protokoller diğer protokollerle uyumlu çalışırlar. Firma protokolleri ise bir firma tarafından özellikle kendi işletim sistemi ve ürünleri için tasarlanmış protokollerdir Örneğin Novell'in IPX/SXP ve Banyan firmasını protokolleri bu sınıfa girer. C. OSI MODELİ VE PROTOKOL KÜMELERİ OSI modeli daha önceki derslerde de öğrendiğimiz gibi katmanlı bir iletişim modelini kullanmaktadır. Gerçekte katmanlara ayrılmış bir dizi protokol networkü gerçekleştirir. Katmanlara ayrılmış protokollere ise protokol kümesi denir. Küme içindeki protokoller iletişimdeki paketleme, gönderme ve alma gibi işlemleri yerine getirirler. Uygulama kümesinde uygulamadan-uygulamaya verilerin iletimini sağlar. Örneğin SMTP protokolü. Gönderme kümesinde ise bilgisayarlar arasındaki iletişim oturumunu başlatır ve güvenilir bir şekilde verileri gönderilmesine zemin hazırlar. Network kümesinde ise bağlantı servislerini oluşturur. Bu protokoller adresleme ve yönlendirme (routing) bilgilerini işlerler. Protokollerin görevi iki bilgisayar arasındaki iletişim kurallarını düzenlemek ve verilerin gönderilmesini sağlamaktır. Bu anlamda OSI modeli içindeki yedi katmandaki görevleri yerine getirmek için gereken protokoller katmanı üç bölümden oluşur: -Application (uygulama) -Transport (gönderme) -Network Application protokolleri OSI Application katmanında çalışır. Bu protokol uygulamadan-uygulamaya veriler iletimini sağlar. Örneğin SMTP protokolü. Bu alanda yaygın olarak kullanılan protokoller şunlardır: NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. Uygulama Protokolleri: -APPC (Advanced Program-to-Program Communication). -FTAM (File Transfer and Management). -X.400 (e-mail için CCITT protokolü). -X.500 (dosya ve dizin servisi için CCITT protokolü) -SMTP (Simple Mail Transfer Protocol) Internet’de kullanılan bir e-mail protokolü. -FTP (File Transfer Protocol): Internet’de kullanılan bir protokol. -SNMP (Simple Network Management Protocol) Network’ü izlemek için bir protokol. -Telnet: Internet’de erişim ve işlem için bir protokol. -Microsoft SMB (Server Message Block): İstemci arabirimi. -NCP (Novell Core Protocol): İstemci arabirimi. -AppleTalk ve Apple Share: Apple’in network protokolü kümesi. -AFB (AppleTalk Filing Protocol): Uzak dosya erişimi için Apple’ın bir protokolü. -DAP (Data Access Protocol): DECnet erişim protokolü. Gönderme (iletme) Protokolleri: Gönderme protokolleri ise bilgisayarlar arasındaki iletişim oturumunu başlatır ve güvenilir bir şekilde verilerin gönderilmesine zemin hazırlar. Yaygın kullanılan veri gönderim protokolü TCP'dir. Yaygın kullanılan iletim protokolleri şunlardır: -TCP -SPX (IPX/SPX) -NWlink (Novell’in IPX/SPX protokolünün Microsoft tarafından geliştirilmişi) -NetBEUI -ATP Network Protokolleri: Network protokolleri ise bağlantı servislerini oluşturur. Bu protokoller adresleme ve yönlendirme (routing) bilgilerini işlerler. Bu protokoller ayrıca Ethernet ve Token Ring olmak üzere network ortamlarında iletişimi kurallarını da tanımlarlar. Yaygın olarak kullanılan network protokolleri şunlardır: -IP (Internet Protocol) -IPX (Internetwork Packet Exchange) -NWLink -NetBEUI -DDP (Datagram Delivery Protocol) D. YÖNLENDİRİLEBİR (ROUTABLE) VE YÖNLENDİRİLEMEZ (NON-ROUTABLE) PROTOKOLLE 1980’li yıllarda LAN’lar daha küçüktü ve bir segment (network kablosu) ile network oluşturmak mümkündü Ancak günümüzde LAN’lar diğer LAN’larla iletişim kurmaktadırlar. Bu durumda birden çok networkü birbirine bağlayacak ve farklı network’lerle iletişim kurabilecek protokollere gereksinim duyulmuştur. İşte bu durumda routable ve nonroutable protokoller ortaya çıkmıştır. Örneğin TCP/IP protokolü routable protokoldür ve bu özelliğiyle LAN'larda ve LAN, WAN networklerinde kullanılır. E. YAYGIN KULLANILAN PROTOKOLLER Çok sayıda protokol vardır. Bunları bir çoğu Windows 2000 tarafından da desteklenmektedir: Windows 2000 ile desteklenen protokoller: -Transmission Control Protocol/Internet Protocol (TCP/IP) -Asynchronous Transfer Mode (ATM) -NetWare Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) -NetBIOS Enhanced User Interface (NetBEUI) -AppleTalk -Data Link Control (DLC) -Infrared Data Association (IrDA) Protokolleri, diğer bir sınıflamayla; LAN (Local Area Networks), WAN (Wide Area Network), Dial-Up ve VPN olmak üzere RAS (Remote Access Protocols-Uzaktan Erişim Protokolleri) protokolleri olarak gruplamak mümkündür: 1. LAN Protokolleri TCP/IP TCP/IP (Transmission Control Protocol/Internet Protocol) endüstri standardı olan bir iletişim protokolüdür. TCP/IP, yerel networkler (LAN) ve geniş alan networkleri (WAN) için geliştirilmiştir. Standart olarak routable (yöneltilebilir) olan TCP/IP protokolü, özellikle Internet ve Intranet ortamlarının temelidir. TCP/IP’nin bazı tasarım özellikleri: -Hata düzeltme olanakları. -Alt networklere (subnet) bağlanma. -Belli bir sahibi olmaması. -Minimum veri kullanımı. NWLink NWLink, Microsoft-uyumlu IPX/SPX protokolüdür. Sadece NWLink ile Windows 2000 bilgisayarların NetWare server üzerindeki dosyalara ve yazıcılara ulaşması mümkün değildir. Bu durumda sadece client/server uygulamalar çalıştırılır. Dosyalara ve yazıcılara erişmek için bir redirector’ın da yüklenmesi gerekir. Bu düzenleme Client Service for NetWare ile yapılır. Windows 2000 Server üzerinde de Gateway Service for NetWare servisi vardır. NetBEUI NetBEUI (NetBIOS Extended User Interface) küçük LAN networkleri için geliştirilmiştir. Windows 3.11 ve Windows 9x gibi ortamlar için idealdir. Routable (yönlendirilebilir) olmadığı için büyük network altyapılarında kullanılmamaktadır. AppleTalk AppleTalk protokolü Apple Computer Corporation tarafından geliştirilmiştir. AppleTalk, Macintosh bilgisayarlarla iletişim kurmak için kullanılır. AppleTalk ile Windows 2000, router ve dial-up server olabilir Ayrıca dosya ve yazıcı desteği sağlar. DLC Data Link Control (DLC) IBM mainframe bilgisayarları ile iletişim için geliştirilmiştir. DLC protokolü PC’l ardındaki veri iletişimi için geliştirilmemiştir. Bunun yanı sıra ağa doğrudan bağlı olan Hewlett-Packard yazıcıları için de DLC protokolü kullanılır. IrDA Infrared Data Association (IrDA) yüksek hızlı kablosuz infrared protokolüdür. IrDA değişik aygıtların iletişi kurmasını sağlar. Kameralar, yazıcılar, bilgisayarlar iletişim için bu teknolojiyi kullanabilirler. 2. Diğer Protokoller ATM Asynchronous Transfer Mode (ATM) protokolü bağlantı temelli (connection-oriented) çalışan bir protokoldü Özellikle ses, video ve veri iletişimi için kullanılır. ATM, verileri sabit uzunluklu hücreler halinde taşıyan yüksek hızlı bir network teknolojisidir. RAS Protokolleri: SLIP İstemcilerin modem aracılığıyla bir RAS Server'a bağlanmasını sağlar. Kısıtlamalarından doyalı PPP protokolü kullanılır. PPP İstemcilerin modem aracılığıyla bir RAS Server'a bağlanmasını sağlar. SLIP protokolünün gelişmiş şeklidir denilebilir. PPP ile Windows 2000 bilgisayarları uzak networklere bağlanabilirler. PPTP PPTP istemci ile PPTP sunucu arasında şifrelenmiş veri iletimini sağlayan bir protokoldür. Bu işleme "tunnelling" denir. L2TP Aynı PPTP gibi istemci ile PPTP sunucu arasında şifrelenmiş veri iletimini sağlayan bir protokoldür. Bu Ancak L2TP protokolünde şifreleme olarak IPSec adı verilen şifreleme teknolojisi de kullanılabilir. IPSec TCP/IP iletişiminde verilerin şifrelenerek gönderildiği bir tekniktir. IPSec, Windows 2000 networklerinin Internet ve Intranet ortamlarındaki güvenliğini oluşturmaktadır. Ayrıca PPTP ve L2TP gibi VPN (Virtual Private Networks) protokolleri de IPSec ile şifrelenerek güvenli hale gelirler. II. UYGULAMA Bir Windows 2000 yüklü bilgisayarın network özelliklerini inceleyin. 1. Masaüstünde My Network Places'i sağ tıklayın, ardından Properties'i tıklayın. 2. Local Area Network'ü sağ tıklayın, ardından Properties'i tıklayın. 3. Local Area Network iletişim kutusunda; kullanılan servis ve protokolleri inceleyin. 4. TCP/IP protokolünü seçin ve Properties düğmesini tıklayın. IP adresinin nasıl elde edildiğine bakın: 5. TCP/IP Properties iletişim kutusunda; "obtain IP adress automatically" ya da "use falloving IP address" seçeneğinin hangisinin seçili olduğuna bakın. 6. Advanced düğmesini tıklayın. Buradaki seçeneklere bakın. III. GÖZDEN GEÇİRME 1. Protokol kümesi (protocol stack) nedir? Uygulama protokol kümesine kullanılan bir protokole örnek verin 2. Hızlı bir video transferi için hangi protokolü seçerdiniz? 3. Küçük bir Windows workgroup (çalışma grubu) kurmak için hangi protokolü seçerdiniz. Nedeni? 4. Routable (yönlendirilebilir) protokol nedir? 5. Windows 2000 hangi protokolleri destekler? IP ADRESİ Ders sonunda yapabilecekleriniz: TCP/IP iletişimini açıklamak. IP adresi bilgisini açıklamak. IP adresi yapılandırmasını açıklamak. CIDR tekniğiyle Network adreslemesi yapmak. I. TCP/IP PROTOKOLÜ Microsoft Windows 2000 standart (varsayım) olarak TCP/IP protokolünü kullanır. TCP/IP farklı sistemleri (aygıtları) ve teknolojileri bağlamayı sağlayan bir protokoldür. Ayrıca Internet'e, Web servislerine ve e-mail servislerine bağlanmanın ana yoludur. Windows 2000 kuruluşunda varsayım olarak TCP/IP protokolü yüklenmeye çalışılır. Ancak TCP/IP protoko kullanılarak bir ağ oluşturmak için bir uygun bir IP adresine ve subnet mask bilgisine gereksinim duyulur. Bunun dışında sistem yöneticisi gereksinim duyduğu diğer protokolleri de yükleyebilir. Windows 2000 Server konfigürasyonuna TCP/IP protokolünün eklenmesinin yararları şunlardır: -Routeable (yönlendirilebilir) bir protokol’e sahip olmuştur. Diğer LAN ve WAN ağlarlara iletişim kurmayı sağlar. -FTP ve Telnet protokollerini içerir. Farklı sistemler ve platformlar (UNIX) arasında veri alışverişi sağlar. -Internet’e erişim sağlar. TCP/IP sayesinde Windows 2000 Server Microsoft Network dışında aşağıdaki sistemlerle de iletişim kurabilir: -Internet hostları -Apple Macintosh sistemleri -UNIX sistemleri -IBM mainframe’leri -DEC pathworks sistemler -Doğrudan networke bağlanmış olan yazıcılar A. TCP/IP PROTOKOL KÜMESİ TCP/IP protokol kümesi Windows 2000 networkünün oluşmasını sağlar. TCP/IP protokol kümesi altı çekirdek protokol ve bir dizi yardımcı program (utility) içerir. Altı çekirdek protokol: -TCP (Transmission Control Protocol) -UDP (User Datagram Protocol) -IP (Internet Protocol) -ICMP (Internet Control Message Protocol) -IGMP (Internet Group Management Protocol) -ARP (Address Resolution Protocol) Yardımcı programlar: Tablo: Yardımcı programlar Program İşlevi Ping Konfigürasyonu kontrol eder ve bağlantıyı test eder. Ping 131.140.1.1 şeklinde kullanılır. FTP transferini sağlar. Windows bilgisayarlar ile TCP/IP hostları arasında tek yönlü dosya TFTP (Trivial File Transfer Protocol) Windows bilgisayarlar ile TCP/IP hostları arasında UDP kullanarak tek yönlü dosya transferini sağlar. Telnet RPC (Remote Copy Protocol) kopyalar. Terminal öykünümü sağlar. UNIX host bilgisayar ile Windows bilgisayar arasında dosya RSH (Remote Shell) UNIX hostundaki komutları çalıştırır. REXEC (Remote Execution) Uzak bir bilgisayardaki bir işlemi çalıştırır. Finger Uzak bilgisayar hakkında bilgi sağlar. ARP Yerel olarak düzenlenmiş IP adreslerinin ön belleğini hazırlar. IPCONFIG Mevcut TCP/IP konfigürasyonunu gösterir. NBTSTAT IP adresleriyle düzenlenmiş NetBIOS bilgisayar adlarını görüntüler. Netstat TCP/IP protokolünün çalışması ilgili bilgileri görüntüler. Route Yerel yönlendirme tablosunu gösterir ve değiştirilmesini sağlar. Hostname RCP, RSH ve REXEC programlarının kimlik denetimini yaparak yerel bilgisayarın adını döndürür. B. TCP (TRANSMİSSİON CONTROL PROTOCOL) TCP protokolü connection-oriented olarak adlandırılan ve iki bilgisayar arasında veri transferi yapılmadan önce bağlantının kurulması ve veri iletiminin garantili olarak yapıldığı bir protokoldür. TCP iletişiminde ver paketleri kullanılır. Ayrıca gönderen ve alan uygulamalarda da port bilgisi eklenir. Port (çıkış), kaynak ve hedef uygulamanın iletişimini sağlar. TCP, güvenilir ve bağlantı (connection-oriented) temelli bir servistir. Bağlanı temelli olması bağlantının bilgisayarlar arasında veri değişiminden önce yapılması anlamına gelir. Güvenilir olması ise iletimin kontrolünün yapılması ile ilgilidir. Belli aralıklarla ACK bilgisi ile veri gönderimi kontrol edilir. TCP byte-stream iletişimi kullanır. Bu yöntemde TCP segmentlerindeki datalar bir bayt dizisi olarak işlenir. Aşağıdaki tabloda TCP header içindeki ana alanlar yer almaktadır: Tablo: TCP Header içindeki ana alanlar Alan İşlevi Source Port Göderenin TCP portu. Destination Port Alanın (hedefin) TCP portu. Sequence Number TCP segmenti içindeki birinci baytın sıra numarası. Window TCP ara bellek (buffer) alanının şu anki mevcut büyüklüğü. TCP Checksum TCP header ve TCP datanın bütünlüğünü kontrol etmek için kullanılır. C. UDP (USER DATAGRAM PROTOCOL) UDP'de bir gönderim katmanı protokoldür. Ancak UDP iletiminde sağlama yapılmadığı için gönderim garantisi olmaz. Broadcast iletiminde, az miktardaki verilerin iletiminde UDP paketleri kullanılır. UDP iletimi, gönderimin garanti edilmediği connectionless türü bir iletişim kurar. UDP Servisi UDP bağlantısız (connectionless) datagram servisidir. UDP kaybolan verilerin kurtarılması konusunda herhangi bir garanti vermez. Bu nedenle güvenilir bir protokol olarak nitelendirilmez. UDP alınan verilerin garantisine gereksinim duymayan uygulamalar tarafından kullanılır. NetBIOS name servisleri, NetBIOS datagram servisi ve SNMP servisleri UDP kullanan uygulamalara örnektir. Aşağıdaki tabloda UDP header içindeki ana alanlar yer almaktadır: Tablo : UDP Header içindeki ana alanlar Alan İşlevi Source Port Gönderen bilgisayarın UDP portu. Destination Port Alıcı bilgisayarın UDP portu. UDP Checksum UDP header ve UDP datasının kontrolü için kullanılır. D. IP (INTERNET PROTOCOL) Hedef bilgisayarın network üzerindeki yerini bulur. Paketlerin adreslenmesi ve network üzerindeki bilgisayarlar arasında yönlendirilmesini sağlar. IP iletimi de UPD gibi gönderimin garanti edilmediği connectionless türü bir iletişim kurar. IP, iki bilgisayar (aygıt) paketlerin yönlendirilmesini sağlayan bağlantısız bir protokoldür. Bağlantısız (connectionless) olması oturumun iletişimden önce kurulmamasıyla ilgilidir. Bununla birlikte veri iletiminde başarı da garantili olmaz. İletimin garantisi daha üst düzey protokol olan TCP ile sağlanır. Bir IP paketi bir IP Header (başlık bilgisi) ve bir IP payload’tan oluşur. Aşağıdaki tabloda IP header paketini alanları yer almaktadır: Tablo: IP Header içindeki alanlar IP Header alanı İşlevi Kaynak IP Adresi Kaynak verinin IP adresi. Hedef IP Adresi Gideceği yerin IP adresi. Tanımlama Bir spesifik IP datagramını tanımlamak için kullanılır. Protokol Paketlerin TCP, UDP, ICMP ya da diğer protokollerle iletişimi ile ilgili. Checksum hesaplama. IP header’ın bütünlüğünü kontrol etmek için kullanılan basit bir matematiksel Time-to-Live (TTL) Datagramın dolaşacağı network sayısını belirler. TTL sayesinde paketlerin sürekli olarak dolaşması engellenir. E. ICMP (INTERNET CONTROL MESSAGE PROTOCOL) Gönderilemeyen paketlerin hata olarak bildirilmesini sağlayan bir protokoldür. IP protokolü veriyi hedefine ulaştıramadığında ICMP hatayı raporlama görevini üstlenir. F. IGMP (INTERNET GROUP MANAGEMENT PROTOCOL) TCP/IP networkünde multicasting olarak adlandırılan bir grup bilgisayar arasındaki iletişimi düzenlemek içi kullanılır. IGMP multicast gruplarına üyelik işlemlerini yönetir. Internet Group Management Protocol (IGMP) ise IP multicast içindeki üyeliği kontrol eden bir protokoldür. Bir IP multicast grubu IP trafiğindeki hostları (bilgisayarları) belirtir. IP multicast trafiği bir MAC adresine gönderilir ancak birçok IP host tarafından işlenir. G. ARP (Address Resolution Protocol) Giden paketlerin adreslerinin çözümlenmesini (address resolution) sağlar. Hedef bir bilgisayara gönderilen veri paketi, IP adresinin MAC (network kartının özel bir numarası) bilgisinin bulunmasıyla teslim edilir. AR protokolü bağlantıların MAC adreslerini (fiziksel adreslerini) biriktirir ve IP iletişimine yardımdı olur. ARP ile MAC (media access control-network kartının adresi) düzeyinde bir yayın yapılarak IP adresinin MAC adresi bulunur. Internet Control Message Protocol (ICMP) ise hataların giderilmesi için kullanılır. Eğe paket IP tarafından gönderilemiyorsa ICMP, kaynağa bir mesaj gönderir. Bazı ICMP mesajları aşağıdaki tabloda yer almaktadır: NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. Tablo: Yaygın ICMP Mesajları ICMP Mesajları İşlevi Echo Request IP bağlantısını kontrol etmek için hata giderme mesajıdır. Ping programı da ICMP Ech Request mesajı gönderir. Echo Reply Bir ICMP Echo Request’e yanıt vermek için kullanılır. Redirect Router tarafından gönderilir. Hedef IP adresinin daha iyi route edilmesi için. Destination Unreachable belirtir. Router ya da hedef aygıt tarafından gönderilir ve datagramın ulaştırılamadığını Not: Giden ve gelen IP paketlerine datagram denir. H. VERİ AKIŞI Bir bilgisayardan diğer bir bilgisayara transfer edilen veri paketleri TCP/IP protokol kümesi katmanları aracılığıyla yapılır. Veri paketleri katmanlar arasında geçtikçe paketlerin başlığına bir kontrol bilgisi (checksum) eklenir. Paket yerine vardığında bu bilgileri CRC ile karşılaştırılarak teslimatın garantisi sağlanı Veri transferi TCP/IP protokol kümesinin uygulama katmanında başlar. Uygulama (Application) katmanında veri transport katmanına geçer. Bu katmanda TCP ve UDP protokolleri vardır. Uygulama hangi protokolü kullanacağını bu katmanda seçer.. Internet katmanı IP bilgisini pakete ekler. Bu katmanda MAC bilgisi kullanılarak hedefin IP adresi çözülür. Ardından network arabirimi katmanına geçilerek verinin teslimi yapılır. BAKINIZ: ŞEKİL: TCP/IP PROTOKOL KÜMESİ KATMANLARI I. IP ROUTİNG Büyük networkler segment adı verilen küçük parçalara bölünerek daha etkin hale getirilirler. Bu (küçük) networkleri birbirine bağlamak için kullanılan aygıtlara Router denir. Router aygıtları özel olarak bu iş için tasarlanmış bir aygıt ya da bu işe için kullanılan bir bilgisayar olabilir. Router'lar IP paketlerini bir networkte diğerine geçirirler. Router’ler network’leri birbirine bağlayan aygıtlardır. Router ile bağlanacak network’ler aynı üst düzey protokolü kullanıyor olmalıdırlar. Router aygıtları OSI network ve transport katmanında çalışırlar. Router’la görevi network’ler arasındaki iletişimi yönlendirmektir. Router’lar internetworking’de şu görevleri üstlenirle -Adresleme -Bağlantı protokolleri -Paket yönetimi -Hata kontrolü -Yönlendirme Router’lar verinin iletiminde en uygun yolu bulurlar. Network trafiğini düzenlerler ve herhangi bit segment’i fazla yüklenmesini engellerler. Daha fazla bilgi için, önceki haftalara bakınız. BAKINIZ: ŞEKİL: ROUTİNG İŞLEMİ II. TCP/IP KONFİGÜRASYONU TCP/IP protokolünün konfigürasyonunda üç parametreye gereksinim duyulur. -IP adresi -Subnet Mask -Default gateway (geçit) A. IP ADRESİ Network üzerindeki bilgisayarlar Ethernet kartları aracılığıyla bir biriyle iletişim kurarlar. Her bir Ethernet kartının iki adresi vardır: -IP adresi -Host adresi (ethernet adresi) IP adresleri bir bilgisayarı adreslemeyi amaçlayan 32 bitlik bir bilgidir. Aynı cadde ve sokak adları gibi bölümlüdür ve tek bir kapı sadece tek bir IP adresi ile gösterilir. IP adresleri her biri onlu sayı 0 ila 255 arasında olan 4 gruptan oluşur. Bu gruplar w,x,y,z harfleriyle temsil edilir. Örneğin: 123.45.35.122. Dörtlü gruplardan her biri 8-bitlik bir Internet adresini belirtir. Desimal gösterim : 123. 45 . 35 .122 İkili Gösterim : 11001010. 00101010 . 00100101 . 11010010 Sonuç olarak network içinde her bilgisayar bir network kartına sahiptir. Her network kartı da tanımlanmış bi adrese sahiptir. Network yöneticisi TCP/IP yazılımını yükleyerek her bir kartın IP adreslerini tanımlar. Bu arada bölümün ileriki kısmında görüleceği gibi DHCP gibi olanaklar IP adreslerinin belirlenmesini kolaylaştırır. Her IP adresi iki kısımdan oluşur. Network ID ve Host ID. Network ID değeri bilgisayarın bulunduğu netwo (segment) numarasını, Host ID ise bilgisayarın ya da diğer aygıtın numarasını gösterir. Yani mahalle içinde e numaraları gibi. Bir şehirde 500 mahalle olabilir. Bu beş yüz tane network ID anlamına gelir. Her mahallede binlerce kapı numarası olabilir. Onlarda host ID anlamına gelir. Bir IP adresi 32 bit uzunluğundadır. Diğer bir deyişle 8-bitlik 4 kısımda oluşur. Herbir kısım binary (ikili) olarak da ifade edileceğinden desimal olarak 0-255 arasında, ikili olarak da 0000000 ile 11111111 arasında değer alır. B. ADRES SINIFLARI Değişik büyüklüklerden networklerin tasarımı için IP adresleri sınıflandırılmıştır. A, B ve C sınıfları olan IP adresleri değişik aralıklardaki Network ID ve Host ID değerlerini desteklerler. Sınıf İlk bölüm sayıları A 1-126 B 128-191 C 192-223 Örneğin: 111.192.110.1 bir A class IP adresidir. 131.192.110.1 bir B class IP adresidir. 194.192.110.1 ise bir C class IP adresidir. Hangi sınıftaki adreslerin kaç network sayısını ve kaç host (bilgisayar ya da aygıt) sayısını içerebildikleri aşağıdaki tabloda açıklanmıştır: Sınıf Network sayısı Her networkteki host sayısı Aralık A 126 16,777,214 1-126 B 16,384 65,534 128-191 C 2,097,152 254 192-223 Adres sınıfları içinde adreslerin Network ID değerleri ile Host ID değerlerini birbirinden ayıracak olan diğer bir bilgi vardır. Bu bilgiye subnet mask denir. Her IP adresinin bir subnet mask değeri vardır. Bu değer varsayım olarak ya da özel olarak verilir. Eğer network üzerinde tek bir segment varsa ya da diğer bir deyişle tek bir subnet varsa o zaman varsayım olan subnet değeri kullanılır. Varsayım subnet değerleri: Sınıf Aralık Subnet Mask A 1-126 255.0.0.0 B 128-191 255.255.0.0 C 192-223 255.255.255.0 AND İşlemi Bir kaynak IP ve hedef IP adresleri gönderilmeden önce subnet masklarıyla AND işlemine tabi tutulurlar. Eğer sonuç aynı ise o zaman paketin lokal subnet içinde olduğu anlaşılır. AND işleminde sadece 1 AND 1 işleminin sonucu 1 dir. Diğer bileşimlerin hepsinin sonucu 0 dır. Örnek: Subnet mask hesaplama IP adresi: 192.168.2.1 İkili değer: 11000000 10101001 00000010 00000001 Subnet Mask: 11111111 11111111 11111111 00000000 10101001 00000010 00000000 11000000 10101001 00000010 00000010 Subnet Mask: 11111111 11111111 11111111 00000000 10101001 00000010 00000000 AND işlemi Sonuç: 11000000 İkinci IP adresi:192.168.2.2 İkili değer: AND işlemi Sonuç: 11000000 Sonuçlar aynıdır !: Sonuç: 11000000 10101001 00000010 00000000 Sonuç: 11000000 10101001 00000010 00000000 Bu durumda iki host da aynı subnet içindedir. İpucu: Bu hesaplamalar için Windows Calculator’ü kullanabilirsiniz. C. Subnet Mask Subnet mask IP adresinin mask kısmını oluşturur. Böylece TCP/IP, Network adresi ile TCP/IP adresini birbirinden ayırır. Bu sayede Network ID ve Host ID birbirinden ayırt edilir. Örneğin: 255.255.0.0 TCP/IP host’u iletişime başladığında; subnet mask host’un yerel mi yoksa uzak (remote) olduğunu belirtir. Subnet mask network sınıfına göre düzenlenir. Varsayım subnet değerleri: Sınıf Adresi A 255.0.0.0 B 255.255.0.0. C 255.255.255.0 1. Özel Subnet Mask Yaratma Network ID ve Host ID değerlerinden oluşan IP adreslerinde özel subnet masklar yaratılarak networklerin bölümlenmesi ve daha etkin çalışması sağlanır. Peki bu durumda networkü kısımlara ayırmak için özel subn masklar nasıl yaratılacak? Öncelikle network üzerinde kaç tane subnet yaratılacak ona karar verilir. Örneğin şirket networkü üzerinde 3 ya da 5 subnet yaratılacaktır. Network (subnet) sayısı: 6 Binary değeri: 00000110 Yukarıdaki binary (ikili) değer 00000110 üç bit uzunluğundadır (110). Bu durumda gereken sayı sol baştan ü bitin oluşturduğu iki değerdir. Sonuç: 11100000 Bu ikili değerin desimal karşılığı ise 224 dür. Böylece B sınıfı bir adresi için özel subnet mask değeri 255.255.255.224 olarak hesaplanır. Bu durumda temel subnet yaratma tablosu şu şeklinde olacaktır: Tablo: A sınıf adresler için özel subnet masklar: Subnet sayısı Bit sayısı Subnet Mask Her Subnetteki host sayısı 0 1 Yok Yok 2 2 255.192.0.0 4,194,302 6 3 255.224.0.0. 2,097,150 14 4 255.240.0.0 1,048,574 30 5 255.248.0.0 524,286 62 6 255.252.0.0 262,142 126 7 255.254.0.0 131,070 254 8 255.255.0.0 65,534 Tablo: B sınıf adresler için özel subnet masklar: Subnet sayısı Bit sayısı Subnet Mask Her Subnetteki host sayısı 0 1 Yok Yok 2 2 255.255.192.0 16,382 6 3 255. 255.224.0 8,190 14 4 255. 255.240.0 4,094 30 5 255. 255.248.0 2,046 62 6 255. 255.252.0 1,022 126 7 255. 255.254.0 510 254 8 255. 255.255.0 254 Tablo: C sınıf adresler için özel subnet masklar: Subnet sayısı Bit sayısı Subnet Mask Her Subnetteki host sayısı 0 1 Yok Yok 1-2 2 255. 255. 255.192 62 3-6 3 255. 255. 255.224 30 7-14 4 255. 255. 255.240 14 15-30 5 255. 255. 255.248 6 31-62 6 255. 255. 255.252 2 Yok 7 Yok Yok Yok 8 Yok Yok Tablo: Özet olarak subnet tablosu: Bit sayısı Maskeli Subnet Subnet Mask C sınıfı host sayısı B sınıfı host sayısı A sınıfı host 11000000 2 2 192 62 16,382 4,194,302 11100000 3 6 224 30 8,190 2,097,150 11110000 4 14 240 14 4,094 1,048,574 11111000 5 30 248 6 2,046 524,286 11111100 6 62 252 2 1,022 262,142 11111110 7 126 254 0 510 131,070 III. CIDR (Classless Inter-Domain Routing) CIDR, Internet için yeni bir adresleme yöntemidir. IP adreslerinin daha etkin kullanımını sağlar. Bir anlamda 8 bitlik subnetleme sistemi yerine her bir bitin kullanıldığı daha esnek bir subnetleme sağlar. Bu arada bir terim daha var: Supernetting. Supernetting ise CIDR ile yapılabilen bir sınıfsız bir subnetleme anlamına geli CIDR ve supernetting, birçok kaynakta aynı anlamda kullanılmaktadır. CIDR, RFCs 1518 ve 1519 ile tanımlanmıştır. Subnetting kısıtlamalarını ortadan kaldırmak için Supernetting diye bir yaklaşım geliştirilmiş. Özellikle A ve B sınıfı adreslemede ortaya çıkan gereksiz host sayısı (adreslenebilen) ve C sınıfında da host adresinin kısıtlı olması bu tekniğin geliştirilmesini sağlamıştır. CIDR IP adresleme ile yapılan adreslemeden bir networkü tanımlamak için destekleyeceğiniz host sayısına göre istediğiniz kadar (bitişik) bit kullanabilirsiniz. Böylece artık bit kullanımı ortadan kalkar. Örneğin 1000 kadar host (bilgisayar) için bir network oluşturdunuz. Classful IP adreslemede 4 tane C sınıfı adres ya da bir sınıfı IP adresine gereksiniminiz var. Eğer B sınıfı IP adresi kullanılırsa 65534 maksimum sayıda host adreslenebilir. Bu durumda (65534 - 1000) kadar IP adresi boşta kalır. C sınıfı IP adresi kullanılması ise uygun değildir, çünkü C sınıfı networkler maksimum 255 hostu destekleyebilirler. Gelin bir de konuya CIDR ile bakalım: Örneğin networke 22 bit atayalım. /22 ile. Bu durumda 24 bitin 2 tanesi ne host tarafına geçer ve hostları adreslemek için 10 bit kullanılır. Bu da 1024 tane hosta IP adresi verilebileceği anlamına gelir. Mevcut durum: Adres Sınıfı # Network Bitleri # Bilgisayar (host) Bitleri Desimal Adres Aralığı Class A 8 bit 24 bit 1-126 Class B 16 bit 16 bit 128-191 Class C 24 bit 8 bit 192-223 Bildiğimiz Class A, B ve C adresleme sisteminde Internet şu sayıları destekler: 126 Class A networkü vardır ve her birinde 16,777,214 bilgisayar (aygıt) bulunabilir. Artı 65,000 Class B networkü ve her biri 65,534 bilgisayar içerir. Artı 2 milyondan fazla Class C networkü ve her birinde 254 bilgisayar bulunabilir. Internet adresleri bu sistemle atanır. Eğer 100 IP adresine (100 host) gereksiniminiz varsa, en küçük adres sınıfı olan Class C kullanılır. C sınıfında da 100 adresi kullandığınızda 145 adres artar. İşte CIDR ile bu artan adresler de etkin şekilde kullanılabilmektedir. Supernetting olmadan üç ayrı networkün orijinal tanımlamaları: 199.199.5.0 (1100 0111 . 1100 0111 . 0000 0101 . 0000 0000) 199.199.6.0 (1100 0111 . 1100 0111 . 0000 0110 . 0000 0000) 199.199.7.0 (1100 0111 . 1100 0111 . 0000 0111 . 0000 0000) Subnet musk: 255.255.255.0 (1111 1111 . 1111 1111 . 1111 1111 . 0000 0000) Supernetting ile maske sola iki bit kaydırılır ve üç adres de tekbir Network ID’ye sahip olur: 199.199.4.0 (11000111.11000111.00000100.00000000), böylece routing tablosu kayıtları üçten bire iner: 199.199.5.0 (1100 0111 . 1100 0111 . 0000 0101 . 0000 0000) 199.199.6.0 (1100 0111 . 1100 0111 . 0000 0110 . 0000 0000) 199.199.7.0 (1100 0111 . 1100 0111 . 0000 0111 . 0000 0000) 255.255.252.0 (1111 1111 . 1111 1111 . 1111 1100 . 0000 0000) NOT: Router’lar CIDR destelemeli. A. IP ADRES ATAMASININ YENİDEN YAPILANDIRILMASI Classless Inter-Domain Routing (CIDR) eski Class A, B ve C adreslerinin yeni bir prefix (ön ek) ile yeniden yapılandırılması anlamına gelir. 8, 16, 24 gibi bilinen prefixlerin yerine CIDR 13 ila 27 arasında bu prefixler kullanır. Bu nedenle adres blokları 32 bilgisayar (ya da aygıt) olan küçük ağlara ya da 500000'den fazla bilgisayar olan büyük ağlara uygulanabilir. İPUCU: Amaç şirketlerin özel gereksinimlerine en uygun adres atamasını yapmak. CIDR adresleri de standart 32-bit IP adreslerini kullanır, ayrıca network prefiksi olarak kaç bit kullanılacağı belirtilir. Örneğin 206.13.01.48/25 CIDR adresindeki "/25" sayısı, ilk 25 bitin networkü belirtmek için kullanılacağını belirtir. Kalan bitler ise belli bir bilgisayarı (aygıtı) belirtir. Böylece 8’in katları olan adreslem yerine bit sayısı bazında adreslemeye geçilmiş olur. CIDR Blok Öneki # Karşılığı Class (Sınıf) C # Bilgisayar Adresi Sayısı /27 Class C'nin 1/8'i 32 bilgisayar (host) /26 Class C'nin 1/4'ü 64 bilgisayar (host) /25 Class C'nin 1/2 si. 128 bilgisayar (host) /24 1 Class C 256 bilgisayar (host) /23 2 Class C 512 bilgisayar (host) /22 4 Class C 1,024 bilgisayar (host) /21 8 Class C 2,048 bilgisayar (host) /20 16 Class C 4,096 bilgisayar (host) /19 32 Class C 8,192 bilgisayar (host) /18 64 Class C 16,384 bilgisayar (host) /17 128 Class C 32,768 bilgisayar (host) /16 256 Class C 65,536 bilgisayar (host) (= 1 Class B) /15 512 Class C 131,072 host /14 1,024 Class C 262,144 host /13 2,048 Class C 524,288 host B. CIDR GÖSTERİMİ CIDR gösterimi subnet maskı oluşturan 1'ler sayısıdır. Örneğin 192.168.2.1/20 IP adresinin subnet mask bilgisinde 20 tane 1 vardır. Geriye kalan 12 bit ise 0 değerine sahiptir. BAKINIZ: ŞEKİL: CIDR GÖSTERİMİ 1. CIDR İle Network ID'nin Hesaplanması Windows 2000'de IP adresi yapılandırırken TCP/IP ayarlarına IP adresi ve Subnet mask noktalı biçimde girilir. Windows 2000 CIDR gösterimli bir adresin girilmesine izin vermez. Aşağıdaki örnekte Network ID binary (ikili) işlemle hesaplanmıştır: IP Adresi 11000000 10101000 00000010 00000001 Subnet Mask 11111111 11111111 11110000 00000000 AND işlemi Network ID 11000000 10101000 00000000 00000000 CIDR Gösterimi: 192.168.0.0/20 Tablo: IP Adreslerinin CIDR Gösterimi: CIDR Gösterimi (1 sayısı) Subnet Mask Host Sayısı (2^2-2) w.x.y.z/1 128.0.0.0 2,147,483,646 w.x.y.z/2 192.0.0.0 1,073,741,822 w.x.y.z/3 224,0,0,0 536,870,910 w.x.y.z/4 240,0,0,0 268,435,454 w.x.y.z/5 248,0,0,0 134,217,726 w.x.y.z/6 252,0,0,0 67,108,862 w.x.y.z/7 254,0,0,0 33,554,430 w.x.y.z/8 255,0,0,0 16,777,214 w.x.y.z/9 255,128,0,0 8,388,306 w.x.y.z/10 255,192,0,0 4,194,302 w.x.y.z/11 255,224,0,0 2,097,150 w.x.y.z/12 255,240,0,0 1,048,574 w.x.y.z/13 255,248,0,0 534,286 w.x.y.z/14 255,252,0,0 262,142 w.x.y.z/15 255,254,0,0 131,070 w.x.y.z/16 255,255,0,0 65,534 w.x.y.z/17 255,255,128,0 32,766 w.x.y.z/18 255,255,192,0 6,382 w.x.y.z/19 255,255,224,0 8,190 w.x.y.z/20 255,255,240,0 4,094 w.x.y.z/21 255,255,248,0 2,046 w.x.y.z/22 255,255,252,0 1,022 w.x.y.z/23 255,255,254,0 510 w.x.y.z/24 255,255,255,0 254 w.x.y.z/25 255,255,255,128 126 w.x.y.z/26 255,255,255,192 62 w.x.y.z/27 255,255,255,224 30 w.x.y.z/28 255,255,255,240 14 w.x.y.z/29 255,255,255,248 6 w.x.y.z/30 255,255,255,252 2 w.x.y.z/31 255,255,255,254 uygun değil w.x.y.z/32 255,255,255,255 uygun değil IV. TCP/IP PROTOKOLÜNÜ KURMAK ve YAPILANDIRMAK Windows 2000 (ve Windows 9x) kuruluşu sırasında network bileşenleri yüklenirken varsayım olarak TCP/IP protokolü kurulur. Bu protokolün kullanılabilmesi için geçerli bir IP adresine ve ilgili diğer bilgilere (subnet mask gibi) gereksinim vardır. TCPI/IP’yi kuracak ve yönetecek olan network yöneticisinin görevi her makineye farklı bir IP adresini verebilmektir. TCP/IP protokolünü kurup bir IP adreslerini düzenlemek için aşağıdaki işlemler yapılır: 1. TCP/IP protokolü kurulur. 2. Subnet, default gateway ve DNS server için IP adresleri düzenlenir. 3. İstenirse PING programı ile bağlantı kontrol edilir. TCP/IP’yi kurmak için: 1. Masaüstünde yer alan My Network Place üzerinde sağ tuşa tıklanır. 2. Local Area Connection üzerinde sağ tuşa tıklanır. 3. Buradan Install düğmesine tıklanarak Protocols bölümünde Internet Protocol (TCP/IP ) seçilir. Mevcut TCP/IP konfigürasyonunu değiştirmek için ise aşağıdaki yol izlenir: 1. My Network Place üzerinde sağ tuşa tıklanır. 2. Local Area Connection üzerinde sağ tuşa tıklanır. 3. Internet Protocol (TCP/IP ) seçilir. 4. Properties düğmesine tıklanır. TCP/IP kuruluşunun ardından kendi kuruluşumuzu ya da diğerleriyle bağlantıyı test etmek için Ping programını kullanırız. Bu programı Run mönüsünden ya da Command Prompt’tan kullanabilirsiniz: Örnek: Ping 192.168.1.1 gibi A. MANUEL YAPILANDIRMA Manuel konfigürasyonda IP adresi ve subnet mask bilgisi sistem yöneticisi tarafından düzenlenir. Bu işleme statik IP adresi atamak denir. Düzenlenecek bilgiler: -IP adresi kutusuna ana iletişim birimine atanan IP adresleri yazılır. -Subnet Mask kutusuna subnet’e atanan subnet mask yazılır. -Default Gateway kutusuna router (yönlendiricinin) IP adresi yazılır. B. OTOMATİK YAPILANDIRMA Microsoft Windows 2000 Server, Dynamic Host Configuration Protocol (DHCP) servisi ile DHCP servisini destekleyen istemcilerde TCP/IP konfigürasyonunun otomatik olarak (dinamik) yapar. 1. My Network Place üzerinde sağ tuşa tıklanır. 2. Local Area Connection üzerinde sağ tuşa tıklanır. 3. Internet Protocol (TCP/IP ) seçilir. 4. Properties düğmesine tıklanır. Bu düzenlemede IP adresi “Obtain an IP address Automatically” seçeneği seçilir. Bu seçimin ardından Windows 2000, IP adresinin DHCP’den alınması için gerekli düzenlemeyi başlatır ve mevcut DHCP server’dan IP adresini alarak bilgisayarın ağa girmesini sağlar. NOT: DHCP ile ilgi olarak, sitemizdeki bu ve diğer kurslardaki dokümanlara bakınız. V. UYGULAMA 1. IP Adreslerinin Network ID ve Host ID'lerini bulmak: IP Adresi Sınıfı Subnet Mask Network ID Host ID 192.168.1.1 C 1 255.255.255.0 192.168.1 10.10.10.10 131.1.33.22 34.44.55.101 234.45.1.1 156.1.1.1. 221.221.221.221 15.3.3.1 98.34.67.124 2. Bir Windows 2000 yüklü bilgisayarın network özelliklerini inceleyin. Sisteme Administrator olarak girin. 1. Masaüstünde My Network Places'i sağ tıklayın, ardından Properties'i tıklayın. 2. Local Area Network'ü sağ tıklayın, ardından Properties'i tıklayın. 3. Local Area Network iletişim kutusunda; kullanılan servis ve protokolleri inceleyin. 4. TCP/IP protokolünü seçin ve Properties düğmesini tıklayın. IP adresinin nasıl elde edildiğine bakın: 5. TCP/IP Properties iletişim kutusunda; "obtain IP adress automatically" ya da "use falloving IP address" seçeneğinin hangisinin seçili olduğuna bakın. 6. Advanced düğmesini tıklayın. Buradaki seçeneklere bakın. 3. Bilgisayarın IP adresini öğrenmek: 1. Start menüsünden Run komutunu çalıştırın: Ipconfig /All Komutunu yazın. Bu komut bilgisayarın şu an sahip olduğu IP adresini verir. IV. GÖZDEN GEÇİRME 1. Neden TCP/IP yaygın kullanılan bir protokoldür? 2. Connection-oriented ve connectionless bağlantı ne demektir? Hangi protokoller bu tür bağlantılara örnek verilebilir. 3. TCP/IP protokol kümesi içindeki altı çekirdek protokol hangileridir? 4. TCP/IP'nin kullandığı katmanlı modelindeki katmanlar nelerdir? 5. Bir bilgisayarın şu anki IP adresi bilgisi hangi yöntemlerle öğrenilebilir? 6. Aşağıdaki adresler hangi sınıflardadır: 111.192.110.1 131.122.13.45 194.192.110.1 7. CIDR nedir? Hangi RFC’lerle tanımlanmıştır? VI. KAYNAKLAR Dokümanlar, ürün tanıtım kitaplarından, Faruk Çubukçu’nun kendi kitaplarından ve Internet üzerindeki kaynardan yararlanarak hazırlanmıştır. Bu konuda ve bilgisayar ile ilgili diğer konularında kitaplar için: www.alfakitap.com Microsoft Pres kitapları için: www.arkadas.com.tr Kurslar, kitaplar ve diğer Internet siteleri gibi kaynaklar için sitedeki Linkler kısmına bakınız. DERSİMİZE KATILDIĞINIZ İÇİN TEŞEKKÜR EDERİZ! WİNDOWS 2000 KURMAK Ders sonunda yapabilecekleriniz: -Windows 2000 platformunu tanıtmak. -Windows 2000’in kuruluşunu hazırlamak. -Windows 2000’i kurmak. -Kuruluşu otomatikleştirmek. I. WİNDOWS 2000 PLATFORMU Windows 2000 platformunun yapabileceklerini anlamak için en uygun Windows 2000 platformunun seçilmesi gerekir. Windows 2000 işletim sistemi dört ayrı pakette pazara sunulmuştur: -Windows 2000 Professional -Windows 2000 Server -Windows 2000 Advanced Server -Windows 2000 Datacenter Server Windows 2000 Professional Windows 2000 Professional, Windows NT Workstation yerine geçecek bir üründür. Yüksek performansa ve güvenliğe gereksinim duyacak kişisel kullanımlar için ve kurumsal alanda sunucu ürünlere client (istemci) olabilecek bir masaüstü işletim sistemidir. Diğer bir deyişle Windows 2000 ağlarının doğal bir istemcisi olarak kullanılır. Windows 2000, Windows 98 ile gelen bütün teknolojileri desteklemekle birlikte özellikle mobil kullanıcıları desteklemek için yeniliklere sahiptir. İletişim, donanım uyumluluğu ve yazılım kuruluşlarında kullanılmak üzere yeni teknolojilere sahiptir. Windows 2000 Server Windows 2000 Professional ile gelen bütün yenilikleri kapsamaktadır. Ağ yönetimi için çok sayıda servise sahiptir. File, print, application (uygulama) ve Web sunucusu (server) olarak kullanılmak üzere geliştirilmiştir. En önemli özelliği Active Directory servisidir. Active Directory, Windows 2000 ağı içinde yönetim için kullanılan bir servistir. Bu servis ağ kaynakları (kullanıcılar, gruplar, bilgisayarlar vb.) hakkında bilgi saklar. Ağ kaynaklarına erişmek ve onları yönetmek artık Active Directory Servisinin arabirimi olan programlar aracılığıyla yapılır. Windows 2000 Active Directory servisi, sistem konfigürasyonu, kullanıcı düzenlemeleri, uygulamalar hakkında bilgi saklar. Windows 2000 Advanced Server Windows 2000 Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş bellek yönetimi ve clustering (kümeleme) gibi teknolojilere sahiptir. Windows 2000 Advanced Server büyük ağları yönetmek için geliştirilmiştir. Clustering (kümeleme) ağ üzerindeki sunucuları bir birine bağlayarak sistemin (disk kaynakları ve uygulamalar) kesintisiz olarak kullanılmasını sağlar. Windows 2000 Datacenter Server Windows 2000 Server ve Advanced Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş ve büyük kapasiteli bellek yönetimi ve daha fazla işlemci desteği gibi teknolojilere sahiptir. Windows 2000 Datacenter Server büyük database uygulamaları için geliştirilmiştir. OLAP, OLTP uygulamaları, ISP ve Web sunucusu olarak da kullanılabilecek özelliklere sahip olan Datacenter Server 32 işlemci ve 64 GB ana belleği (maksimum) destekler. NOT: Windows 2000 platformunda yer alan ürünler için daha fazla bilgiye ihtiyaç var. Bu konuda sitede yer alan Link'lere bakarak ek kaynaklara başvurun. II. WİNDOWS 2000 KURULUMU Bir bilgisayar Windows 2000 kurmadan önce kuruluş işlemi planlanmalıdır. Bu aşamada donanım, network gibi alt yapı ve sistemin yönetimiyle ilgili çalışmaların yapılması gerekir. Kuruluş için kritik bilgiler şunlardır: Bilgisayar yeni ise (yani daha önce hiçbir işletim sistemi yüklenmemişse), bu durumda kuruluş belirtilen disk yapısına göre yapılır. Donanım Windows 2000 için uygunsa sorun çıkmaz. Bilgisayarda daha önce Windows NT, Windows 9x gibi bir (eski) işletim sistemi varsa o zaman karşımıza upgrade, dual boot ya da üzerindeki ezerek yeniden kurulum (clean install) seçeneği çıkar. Upgrade (terfi) işleminde dikkat edilmesi gerekenler mevcut disk formatı, uygulamalarında da bu terfiyi desteklemesi gibi konulardır. Dual boot işlemi mevcut işletim sisteminin yanı sıra sisteme ikinci bir işletim sisteminin kurulumunun yapılmasını sağlamaktır. Bu durumda işletim sistemleri C ve D gibi ayrı disk bölümlerini kullanabilecekleri gibi aynı disk üzerinde de olabilir. Bu durumda diskin formatını her iki işletim sisteminin de desteklemesi gerekir. Clean install olarak adlandırılan kurulum seçeneği ise, var olan işletim sisteminden yararlanıp kurulumu başlattıktan sonra diski formatlayarak (altındaki ezerek) yapılan kurulum işlemidir. A. DONANIM GEREKSİNİMLERİ Windows 2000 Server kuruluşu için gerekli olan minimum donanım gereksinimi şu şekildedir: Tablo: Donanım gereksinimleri Birim Gereksinim CPU – İşlemci Pentium 166 ya da daha yüksek Bellek 64 MB ya da daha yüksek (önerilen 128) Server ve Advanced Server için. Sabit disk alanı 700-800 MB (yaklaşık 1 GB). Network (ağ) Network adaptörü (network kartı). Diğer CD-ROM: 12X ya da daha hızlı, fare ve klavye NOT: Bunların dışında Windows 2000’i kurmadan önce diğer bir konu da HCL’dir. HCL (Hardware Compatibility List) Microsoft tarafından desteklenen aygıtların listesini içerir. HCL listesinin en son şeklini bulmak için: www.microsoft.com/hwtest/hcl adresine bakabilirsiniz. B. WİNDOWS 2000 PROFESSİONAL KURULUMU Windows 2000 Professional tek başına ya da network üzerinde bir Windows 2000 Server'a istemci olacak şekilde kurulabilir. Temel Kuruluş İşlemi: 1. Windows 2000 Professional CD'sini takın ve bilgisayarı CD-ROM'dan açılacak şekilde yeniden başlatın. NOT: Bilgisayarların açılış (boot) sırasında nereye bakacakları (A disk sürücüsü, C sabit disk sürücüsü ya da CD-ROM gibi) bilgisayarın BIOS ayarlarından yapılır. Bu ayarlara girmek için bilgisayarın açılışında genellikle DEL tuşuna basılır. 2. Yeni Windows 2000 kuruluşu seçilir. (New Copy). 3. Windows 2000'in kurulacağı disk ya da bölüm (partition) seçilir. Mevcut FAT ya da FAT32 bölümler seçilebilir. İstenirse kuruluş sırasında NTFS'e çevrilir. 4. Kuruluşun metin kısmı bittikten sonra, bölgesel ayarlar (Regional Settings) seçilir. 5. Kuruluşun adı girilir. 6. Network bileşenleri yüklenir. Bu aşamada Typical ve Custom olmak üzere iki seçim ekrana gelir: Düzenleme Açıklama Typical Client for Microsoft Networks, File and Printer Sharing for Microsoft Networks servisini ve TCP/IP protokolünü yükler. Custom Diğer network servislerinin yüklenmesini ve yapılandırılmasını sağlar. 7. Bilgisayar için yönetici kullanıcı (user name) ve parolası (password) girilir. Kuruluşun ardından yeniden başlatılan bilgisayarda kuruluşun testi yapılır. Ardından network ayarlamaları ve varsa yüklenecek yazılımlar yüklenir. Bir Windows 2000 Server üzerinde çalışan DHCP servisini sayesinde bir IP adresi alınmamışsa, bilgisayara diğer bilgisayarlarla iletişim kurabileceği bir IP adresi verilir. NOT: IP adresi konusunda daha geniş bilgi için Hafta 5'e bakınız. B. WİNDOWS 2000 SERVER KURULUMU Windows 2000 Server kurulumu da Windows 2000 Professional gibi yapılır. Ancak daha fazla servis ve Active Directory servisinin yüklenmesi yapılır. Kurulum işlemi yine Windows 2000 CD’sinin otomatik başlatılmasıyla ya da Winnt.exe ya da winnt32.exe programı ile başlatılır. Eğer bilgisayar üzerinde herhangi bir işletim sistemi yoksa, kuruluş bilgisayara takılı CD-ROM sürücüye takılan Windows 2000 CD’sinden başlatılır. Windows 2000 kuruluşunda Setup Wizard devreye girer ve seçeneklere göre işletim sistemini kurar. Dil düzenlemeleri (language options) ve klavye düzenlemeleri yapılır. Ardından sabit disk üzerindeki alanların kullanımıyla ilgili olan partition (disk bölümleme) konusu karşımıza gelir. Eğer yepyeni bir bilgisayara Windows 2000 kuruluşu yapılıyorsa Unpartitioned space üzerinde C tuşuna basılarak istenilen büyüklükte bir ya da daha çok partition yaratılır. Partition büyüklüğü KB olarak belirtilir. Yani 4 GB için 4000 yazmak gerekir. Var olan bir partition D tuşa basılarak silinebilir. Enter tuşuna basılarak istenilen partition üzerine kuruluşa geçilir. Bu durumda üç seçenek karşımıza çıkar: -Format partition using the NTFS file system. -Format partition using the FAT file system. -Leave the current file system intact (no changes) İlk iki seçenekte seçilen disk alanı (partition) seçilen dosya sistemi ile formatlanır. Eğer varsa mevcut bilgiler silinir. Üçüncü seçenekte ise mevcut dosya sistemine müdahale edilmez ve önceki büyüklük ve format korunur. Kuruluş sırasında bilgisayara bir ad verilir. Bu ad o bilgisayarı network üzerinde temsil edecek bir addır. Bu ada computer name denir. Ardından uzun sürebilen bir aşama Installing Devices aşamasına geçilir. Ardından Regional Settings (Bölgesel Ayarlar) düzenlenir. Ardından ek olarak yüklenecek istenilen Windows 2000 bileşenleri seçilir. Windows 2000 network bileşenlerinin kurulmasına geçer. Bu aşamada network adapter’ı kontrol edilir. Bu aşamada network adaptörü tanınmazsa, network adaptörünün kendi disketinden sürücüsü yüklenir. Kuruluş sırasında Windows 2000 ağ ayarlarının yapılmasında iki seçenek vardır. Typical ve Custom. Eğer TCP/IP adresi girilecekse ve diğer ağ servisleri de kontrol edilecekse o zaman Custom seçeneği seçilmelidir. Örnek IP adresi: IP adresi: 192.168.1.1 Subnet mask: 255.255.255.0 Ardından domain ya da workgroup olarak düzenleyeceğimiz ağa giriş yapılır. Varsayım olarak WORKGROUP adlı bir workgroup için düzenleme yapılır. Network Ayarlarının Yapılması Windows 2000 kuruluşu ya da kuruluştan sonra yapılan network ayarlarının başında TCP/P ayarları gelir. TCP/IP Yapılandırması: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. 4. TCP/IP genel özellikleri iletişim kutusunda IP adresinin düzenlenmesiyle ilgili düzenleme yapılır: Seçenekler: -Obtain IP address automatically. -Use Following IP Address. "Obtain IP address automatically" seçeneği bilgisayarın IP adresinin daha önce kurulmuş olan bir DHCP serverdan geleceğini belirtir. Bu servisin daha önceden diğer bir Windows 2000 Server üzerinde kurulmuş olması gerekir. "Use Following IP Address" seçeneği ise bilgisayarın IP adresinin sabit olarak verileceği (verildiği) anlamına gelir. Örneğin bilgisayara diğer bilgisayarlarla uygun olmak üzere 192.168.1.1 adresi verilir. III. OTOMATİK KURULUM Network üzerindeki çok sayıda bilgisayara Windows 2000 kurma işlemi benzerlikler taşır. Bu nedenle kuruluş için scriptler hazırlanarak işlemler otomatikleştirilebilir. Kurumsal ortamda Windows 2000 işletim sistemlerini her bilgisayarın başında birer birer kurmak etkin olmayabilir. Toplam sahip olma maliyetini de göz önünde bulundurarak Windows 2000 çok sayıda bilgisayara kesintisiz (unattended) kuruluş işlemi yapabilir. Windows 2000’in kesintisiz kuruluşu Windows 2000 Setup programının özel bir script ile çalıştırılmasıyla yapılır. Bu dosya answer dosyası olarak anılır. Answer dosyası Setup programının isteklerine yanıt verir. Kesintisiz (unattended) kuruluş şu adımları kapsar: 1. Bir answer dosyasının yaratılması. Genellikle Unattend.txt 2. Bilgisayarlara özel bilgilerin tanımlanması ve kullanılması. 3. Dağıtım yönteminin seçilmesi ve kullanılması. Sabit diskin duplication işlemi ya da network üzerinde dağıtma yöntemi olabilir. Setup Manager Kullanımı Windows 2000’in yeniliklerinden birisi özel Windows 2000 kuruluşu için script yaratmaktır. Bu işlem için Resource Kit içinde bulunan Setup Manager kullanılarak bir answer dosyası yaratılabilir ya da değiştirilebilir. Answer dosyası kuruluş sırasında sorulacak soruların yanıtlarını içeren bir dosyadır. Bununla birlikte herhangi bir text editör ile yaratılan unattend.txt dosyası da kullanılabilir. Answer Dosyası İle Kuruluş Yaratılan answer (yanıtlar ya da bilgiler) dosyası genellikle Unattend.txt olarak adlandırılır. Ancak başka adlar da verilebilir. Windows 2000 CD’si içinde örnek answer dosyalarını bulabilirsiniz. Bu dosyayı değiştirerek ve değişik adlarla kaydederek kullanabilirsiniz. Yaratılan ya da hazırlanan answer dosyası Winnt.exe programı ile şu şekilde kullanılır: Winnt /B /S:Z:\I386 /U:Z:\unattend.txt Not: Anahtarların anlamı için Winnt.exe /? komutu ile kullanımına bakınız. IV. UYGULAMA Bir bilgisayar üzerine Windows 2000 Server ya da Advanced Server kurun. 1. Windows 2000 Server CD'sini takın. 2. Kuruluma başlayın. Üzerinde daha önce Windows NT ya da 98 işletim sistemi olan bir bilgisayara kuracaksanız, Upgrade seçeneğini seçin. 3. İstediğiniz dil (Turkish) seçeneklerini seçin. Language ve Keyboard. Turkish dilinin seçilmesi için alt bölümden Turkic'i seçin. 4. Lisanslama kurallarını kabul edin. 5. Ürünün key numarasını girin. 6. Disk düzenlemelerini yapın: Boş disk alanı üzerinde Windows 2000 için belli bir yer ayırın. Örneğin 4 GB. Bu bölümü NTFS olarak formatlayın. 7. Bilgisayar ve kuruluş için bir ad girin: Örneğin: makine1 ornek şirket 8. Network düzenlemelerini yapın. TCP/IP ayarlarını yapacak ya da network adaptörünün sürücüsünü yükleyecekseniz Custom düğmesini tıklayın. 9. En son tarih ve saat düzenlemelerini yaparak kuruluşu bitirin. V. GÖZDEN GEÇİRME 1. Windows 2000 Server kuruluşu için gerekli olan donanımı belirtiniz? 2. Windows 2000 Server için ne kadar boş sabit disk alanı gerekir? 3. Yeni makine, mevcut işletim sistemi üzerine kuruluş arasında ne gibi farklar vardır? Bu kuruluşlar sırasında hangi potansiyel sorunlar bizi bekliyor? 4. Setup Manager ile hangi işlemler yapılır? 5. Windows 2000 Server kuruluşunun ardından bir domain’e katılma nasıl olur? 6. Typycal kuruluşta Network düzenlemelerinde hangi servisler yüklenir? WİNDOWS 2000 KURMAK Ders sonunda yapabilecekleriniz: -Windows 2000 platformunu tanıtmak. -Windows 2000’in kuruluşunu hazırlamak. -Windows 2000’i kurmak. -Kuruluşu otomatikleştirmek. I. WİNDOWS 2000 PLATFORMU Windows 2000 platformunun yapabileceklerini anlamak için en uygun Windows 2000 platformunun seçilmesi gerekir. Windows 2000 işletim sistemi dört ayrı pakette pazara sunulmuştur: -Windows 2000 Professional -Windows 2000 Server -Windows 2000 Advanced Server -Windows 2000 Datacenter Server Windows 2000 Professional Windows 2000 Professional, Windows NT Workstation yerine geçecek bir üründür. Yüksek performansa ve güvenliğe gereksinim duyacak kişisel kullanımlar için ve kurumsal alanda sunucu ürünlere client (istemci) olabilecek bir masaüstü işletim sistemidir. Diğer bir deyişle Windows 2000 ağlarının doğal bir istemcisi olarak kullanılır. Windows 2000, Windows 98 ile gelen bütün teknolojileri desteklemekle birlikte özellikle mobil kullanıcıları desteklemek için yeniliklere sahiptir. İletişim, donanım uyumluluğu ve yazılım kuruluşlarında kullanılmak üzere yeni teknolojilere sahiptir. Windows 2000 Server Windows 2000 Professional ile gelen bütün yenilikleri kapsamaktadır. Ağ yönetimi için çok sayıda servise sahiptir. File, print, application (uygulama) ve Web sunucusu (server) olarak kullanılmak üzere geliştirilmiştir. En önemli özelliği Active Directory servisidir. Active Directory, Windows 2000 ağı içinde yönetim için kullanılan bir servistir. Bu servis ağ kaynakları (kullanıcılar, gruplar, bilgisayarlar vb.) hakkında bilgi saklar. Ağ kaynaklarına erişmek ve onları yönetmek artık Active Directory Servisinin arabirimi olan programlar aracılığıyla yapılır. Windows 2000 Active Directory servisi, sistem konfigürasyonu, kullanıcı düzenlemeleri, uygulamalar hakkında bilgi saklar. Windows 2000 Advanced Server Windows 2000 Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş bellek yönetimi ve clustering (kümeleme) gibi teknolojilere sahiptir. Windows 2000 Advanced Server büyük ağları yönetmek için geliştirilmiştir. Clustering (kümeleme) ağ üzerindeki sunucuları bir birine bağlayarak sistemin (disk kaynakları ve uygulamalar) kesintisiz olarak kullanılmasını sağlar. Windows 2000 Datacenter Server Windows 2000 Server ve Advanced Server ile gelen bütün özellikleri kapsamanın yanı sıra gelişmiş ve büyük kapasiteli bellek yönetimi ve daha fazla işlemci desteği gibi teknolojilere sahiptir. Windows 2000 Datacenter Server büyük database uygulamaları için geliştirilmiştir. OLAP, OLTP uygulamaları, ISP ve Web sunucusu olarak da kullanılabilecek özelliklere sahip olan Datacenter Server 32 işlemci ve 64 GB ana belleği (maksimum) destekler. II. WİNDOWS 2000 KURULUMU Bir bilgisayar Windows 2000 kurmadan önce kuruluş işlemi planlanmalıdır. Bu aşamada donanım, network gibi alt yapı ve sistemin yönetimiyle ilgili çalışmaların yapılması gerekir. Kuruluş için kritik bilgiler şunlardır: Bilgisayar yeni ise (yani daha önce hiçbir işletim sistemi yüklenmemişse), bu durumda kuruluş belirtilen disk yapısına göre yapılır. Donanım Windows 2000 için uygunsa sorun çıkmaz. Bilgisayarda daha önce Windows NT, Windows 9x gibi bir (eski) işletim sistemi varsa o zaman karşımıza upgrade, dual boot ya da üzerindeki ezerek yeniden kurulum (clean install) seçeneği çıkar. Upgrade (terfi) işleminde dikkat edilmesi gerekenler mevcut disk formatı, uygulamalarında da bu terfiyi desteklemesi gibi konulardır. Dual boot işlemi mevcut işletim sisteminin yanı sıra sisteme ikinci bir işletim sisteminin kurulumunun yapılmasını sağlamaktır. Bu durumda işletim sistemleri C ve D gibi ayrı disk bölümlerini kullanabilecekleri gibi aynı disk üzerinde de olabilir. Bu durumda diskin formatını her iki işletim sisteminin de desteklemesi gerekir. Clean install olarak adlandırılan kurulum seçeneği ise, var olan işletim sisteminden yararlanıp kurulumu başlattıktan sonra diski formatlayarak (altındaki ezerek) yapılan kurulum işlemidir. A. DONANIM GEREKSİNİMLERİ Windows 2000 Server kuruluşu için gerekli olan minimum donanım gereksinimi şu şekildedir: Tablo: Donanım gereksinimleri Birim Gereksinim CPU – İşlemci Pentium 166 ya da daha yüksek Bellek 64 MB ya da daha yüksek (önerilen 128) Server ve Advanced Server için. Sabit disk alanı 700-800 MB (yaklaşık 1 GB). Network (ağ) Network adaptörü (network kartı). Diğer CD-ROM: 12X ya da daha hızlı, fare ve klavye NOT: Bunların dışında Windows 2000’i kurmadan önce diğer bir konu da HCL’dir. HCL (Hardware Compatibility List) Microsoft tarafından desteklenen aygıtların listesini içerir. HCL listesinin en son şeklini bulmak için: www.microsoft.com/hwtest/hcl adresine bakabilirsiniz. B. WİNDOWS 2000 PROFESSİONAL KURULUMU Windows 2000 Professional tek başına ya da network üzerinde bir Windows 2000 Server'a istemci olacak şekilde kurulabilir. Temel Kuruluş İşlemi: 1. Windows 2000 Professional CD'sini takın ve bilgisayarı CD-ROM'dan açılacak şekilde yeniden başlatın. NOT: Bilgisayarların açılış (boot) sırasında nereye bakacakları (A disk sürücüsü, C sabit disk sürücüsü ya da CD-ROM gibi) bilgisayarın BIOS ayarlarından yapılır. Bu ayarlara girmek için bilgisayarın açılışında genellikle DEL tuşuna basılır. 2. Yeni Windows 2000 kuruluşu seçilir. (New Copy). 3. Windows 2000'in kurulacağı disk ya da bölüm (partition) seçilir. Mevcut FAT ya da FAT32 bölümler seçilebilir. İstenirse kuruluş sırasında NTFS'e çevrilir. 4. Kuruluşun metin kısmı bittikten sonra, bölgesel ayarlar (Regional Settings) seçilir. 5. Kuruluşun adı girilir. 6. Network bileşenleri yüklenir. Bu aşamada Typical ve Custom olmak üzere iki seçim ekrana gelir: Düzenleme Açıklama Typical Client for Microsoft Networks, File and Printer Sharing for Microsoft Networks servisini ve TCP/IP protokolünü yükler. Custom Diğer network servislerinin yüklenmesini ve yapılandırılmasını sağlar. 7. Bilgisayar için yönetici kullanıcı (user name) ve parolası (password) girilir. Kuruluşun ardından yeniden başlatılan bilgisayarda kuruluşun testi yapılır. Ardından network ayarlamaları ve varsa yüklenecek yazılımlar yüklenir. Bir Windows 2000 Server üzerinde çalışan DHCP servisini sayesinde bir IP adresi alınmamışsa, bilgisayara diğer bilgisayarlarla iletişim kurabileceği bir IP adresi verilir. B. WİNDOWS 2000 SERVER KURULUMU Windows 2000 Server kurulumu da Windows 2000 Professional gibi yapılır. Ancak daha fazla servis ve Active Directory servisinin yüklenmesi yapılır. Kurulum işlemi yine Windows 2000 CD’sinin otomatik başlatılmasıyla ya da Winnt.exe ya da winnt32.exe programı ile başlatılır. Eğer bilgisayar üzerinde herhangi bir işletim sistemi yoksa, kuruluş bilgisayara takılı CD-ROM sürücüye takılan Windows 2000 CD’sinden başlatılır. Windows 2000 kuruluşunda Setup Wizard devreye girer ve seçeneklere göre işletim sistemini kurar. Dil düzenlemeleri (language options) ve klavye düzenlemeleri yapılır. Ardından sabit disk üzerindeki alanların kullanımıyla ilgili olan partition (disk bölümleme) konusu karşımıza gelir. Eğer yepyeni bir bilgisayara Windows 2000 kuruluşu yapılıyorsa Unpartitioned space üzerinde C tuşuna basılarak istenilen büyüklükte bir ya da daha çok partition yaratılır. Partition büyüklüğü KB olarak belirtilir. Yani 4 GB için 4000 yazmak gerekir. Var olan bir partition D tuşa basılarak silinebilir. Enter tuşuna basılarak istenilen partition üzerine kuruluşa geçilir. Bu durumda üç seçenek karşımıza çıkar: -Format partition using the NTFS file system. -Format partition using the FAT file system. -Leave the current file system intact (no changes) İlk iki seçenekte seçilen disk alanı (partition) seçilen dosya sistemi ile formatlanır. Eğer varsa mevcut bilgiler silinir. Üçüncü seçenekte ise mevcut dosya sistemine müdahale edilmez ve önceki büyüklük ve format korunur. Kuruluş sırasında bilgisayara bir ad verilir. Bu ad o bilgisayarı network üzerinde temsil edecek bir addır. Bu ada computer name denir. Örneğin: Makine1 Ardından uzun sürebilen bir aşama Installing Devices aşamasına geçilir. Ardından Regional Settings (Bölgesel Ayarlar) düzenlenir. Ardından ek olarak yüklenecek istenilen Windows 2000 bileşenleri seçilir. Windows 2000 network bileşenlerinin kurulmasına geçer. Bu aşamada network adapter’ı kontrol edilir. Bu aşamada network adaptörü tanınmazsa, network adaptörünün kendi disketinden sürücüsü yüklenir. Kuruluş sırasında Windows 2000 ağ ayarlarının yapılmasında iki seçenek vardır. Typical ve Custom. Eğer TCP/IP adresi girilecekse ve diğer ağ servisleri de kontrol edilecekse o zaman Custom seçeneği seçilmelidir. Örnek IP adresi: IP adresi: 192.168.1.1 Subnet mask: 255.255.255.0 Ardından domain ya da workgroup olarak düzenleyeceğimiz ağa giriş yapılır. Varsayım olarak WORKGROUP adlı bir workgroup için düzenleme yapılır. Network Ayarlarının Yapılması Windows 2000 kuruluşu ya da kuruluştan sonra yapılan network ayarlarının başında TCP/P ayarları gelir. TCP/IP Yapılandırması: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. 4. TCP/IP genel özellikleri iletişim kutusunda IP adresinin düzenlenmesiyle ilgili düzenleme yapılır: Seçenekler: -Obtain IP address automatically. Use Following IP Address. "Obtain IP address automatically" seçeneği bilgisayarın IP adresinin daha önce kurulmuş olan bir DHCP serverdan geleceğini belirtir. Bu servisin daha önceden diğer bir Windows 2000 Server üzerinde kurulmuş olması gerekir. "Use Following IP Address" seçeneği ise bilgisayarın IP adresinin sabit olarak verileceği (verildiği) anlamına gelir. Örneğin bilgisayara diğer bilgisayarlarla uygun olmak üzere 192.168.1.1 adresi verilir. III. OTOMATİK KURULUM Network üzerindeki çok sayıda bilgisayara Windows 2000 kurma işlemi benzerlikler taşır. Bu nedenle kuruluş için scriptler hazırlanarak işlemler otomatikleştirilebilir. Kurumsal ortamda Windows 2000 işletim sistemlerini her bilgisayarın başında birer birer kurmak etkin olmayabilir. Toplam sahip olma maliyetini de göz önünde bulundurarak Windows 2000 çok sayıda bilgisayara kesintisiz (unattended) kuruluş işlemi yapabilir. Windows 2000’in kesintisiz kuruluşu Windows 2000 Setup programının özel bir script ile çalıştırılmasıyla yapılır. Bu dosya answer dosyası olarak anılır. Answer dosyası Setup programının isteklerine yanıt verir. Kesintisiz (unattended) kuruluş şu adımları kapsar: 1. Bir answer dosyasının yaratılması. Genellikle Unattend.txt 2. Bilgisayarlara özel bilgilerin tanımlanması ve kullanılması. 3. Dağıtım yönteminin seçilmesi ve kullanılması. Sabit diskin duplication işlemi ya da network üzerinde dağıtma yöntemi olabilir. Setup Manager Kullanımı Windows 2000’in yeniliklerinden birisi özel Windows 2000 kuruluşu için script yaratmaktır. Bu işlem için Resource Kit içinde bulunan Setup Manager kullanılarak bir answer dosyası yaratılabilir ya da değiştirilebilir. Answer dosyası kuruluş sırasında sorulacak soruların yanıtlarını içeren bir dosyadır. Bununla birlikte herhangi bir text editör ile yaratılan unattend.txt dosyası da kullanılabilir. Answer Dosyası İle Kuruluş Yaratılan answer (yanıtlar ya da bilgiler) dosyası genellikle Unattend.txt olarak adlandırılır. Ancak başka adlar da verilebilir. Windows 2000 CD’si içinde örnek answer dosyalarını bulabilirsiniz. Bu dosyayı değiştirerek ve değişik adlarla kaydederek kullanabilirsiniz. Yaratılan ya da hazırlanan answer dosyası Winnt.exe programı ile şu şekilde kullanılır: Winnt /B /S:Z:\I386 /U:Z:\unattend.txt Not: Anahtarların anlamı için Winnt.exe /? komutu ile kullanımına bakınız. IV. UYGULAMA Bir bilgisayar üzerine Windows 2000 Server ya da Advanced Server kurun. 1. Windows 2000 Server CD'sini takın. 2. Kuruluma başlayın. Üzerinde daha önce Windows NT ya da 98 işletim sistemi olan bir bilgisayara kuracaksanız, Upgrade seçeneğini seçin. 3. İstediğiniz dil (Turkish) seçeneklerini seçin. Language ve Keyboard. Turkish dilinin seçilmesi için alt bölümden Turkic'i seçin. 4. Lisanslama kurallarını kabul edin. 5. Ürünün key numarasını girin. 6. Disk düzenlemelerini yapın: Boş disk alanı üzerinde Windows 2000 için belli bir yer ayırın. Örneğin 4 GB. Bu bölümü NTFS olarak formatlayın. 7. Bilgisayar ve kuruluş için bir ad girin: Örneğin: makine1 ornek şirket 8. Network düzenlemelerini yapın. TCP/IP ayarlarını yapacak ya da network adaptörünün sürücüsünü yükleyecekseniz Custom düğmesini tıklayın. 9. En son tarih ve saat düzenlemelerini yaparak kuruluşu bitirin. V. GÖZDEN GEÇİRME 1. Windows 2000 Server kuruluşu için gerekli olan donanımı belirtiniz? 2. Windows 2000 Server için ne kadar boş sabit disk alanı gerekir? 3. Yeni makine, mevcut işletim sistemi üzerine kuruluş arasında ne gibi farklar vardır? Bu kuruluşlar sırasında hangi potansiyel sorunlar bizi bekliyor? 4. Setup Manager ile hangi işlemler yapılır? 5. Windows 2000 Server kuruluşunun ardından bir domain’e katılma nasıl olur? 6. Typycal kuruluşta Network düzenlemelerinde hangi servisler yükle WİNDOWS 2000 ORTAMINI YAPILANDIRMAK Ders sonunda yapabilecekleriniz: -Yönetim araçlarıyla yapılandırma işlemlerini açıklamak. -Donanımı yapılandırmak. -Sistem ayarlarını yapmak. -Masaüstü ortamını yapılandırmak. I. YAPILANDIRMA İŞLEMİ Yapılandırmak (configuration), kuruluşun ardından yapılan düzenleme işlemlerini kapsar. Örneğin ek bileşenler eklemek ya da kaldırmak, network ayarlarını değiştirmek, kullanıcılar yaratmak ya da diğer Control Panel düzenlemeleri gibi. Windows 2000, çok sayıda yeni aracıyla konfigürasyon işlemlerinin kolayca yapılmasını sağlar. Control Panel, Add/Remove Programs ile programların kurulması ve kaldırılması kolaylaştırılmıştır. Bunun dışında Computer Management sayesinde çok sayıda araç bir araya getirilmiş ve disk yönetimi, aygıt yönetimi, servis yönetimi gibi konulara bu araçla kolayca yapılmıştır. A. BİR DONANIMI YAPILANDIRMAK Bilgisayar üzerindeki ve takılı bütün donanım birimlerinin çalışabilmesi için, o aygıt için olan Windows 2000 sürücüsünün (driver) yüklenmiş olması gerekir. Bu işlemin yapılması değişik şekiller olabilir: 1. Windows 2000 aygıtı otomatik olarak tanır. Plug-and-Play özelliğiyle yapılan bu tanımlama birçok aygıtı kapsar. 2. Aygıtın kendi CD ve disketleri aracılığıyla tanımlamalar yapılır. Bir Aygıtı Eklemek/Güncelleştirmek: 1. Masaüstünde MyComputer simgesini sağ tıklayın. 2. Properties seçeneğini tıklayın. 3. İletişim kutusunda Hardware sekmesini seçin. 4. Device Manager düğmesine tıklayın. 5. Device Manager ekranında istediğiniz aygıtı seçebilir, yükleyebilir (install) ya da kaldırabilirsiniz (uninstall). 6. İstediğiniz aygıtın üzerinde sağ tıklayın Properties'i seçin. 7. Driver sekmesine geçin. 8. Buradan aygıtın sürücüsünü yeniden yüklemek için Update Driver düğmesini seçin. B. DONANIM PROFİLLERİ Hardware Profiles (donanım profilleri) düzenlemeleri bir Windows 2000 bilgisayarının farklı düzenlemelerde kullanılmasını sağlar. Bilgisayarımız normalde varsayım profil dosyasını kullanır. Eğer isterse ek profiller düzenleyip bilgisayarı network içinde ya da değişik aygıtları destekleyecek şekilde yapılar için profil dosyalarından yararlanabiliriz. Örneğin bir notebook bilgisayarın tek başına (evde) ve şirkette (networkte) kullanıldığını düşünelim. Bu durumda bilgisayar iki ayrı donanım seti ile çalışıyor gibi düşünülebilir. Tek kullanımında network kartı yoktur. Şirketteki açılışında ise network kartını tanımalı ve networke giriş yapmalıdır. İşte bu durum yeni düzenlenecek bir Hardware Profil dosyasıyla sağlanır. Kullanıcı şirkette bilgisayarını açarken bu profilden açar ve bu yapıyla bilgisayarını kullanır. Yeni bir donanım profili yaratmak ve seçmek için: 1. Start menüsünü tıklayın, Settings'i işaret edin ve Control Panel'i tıklayın. 2. Control Panel'de, System simgesini çift tıklayın. Ardından Hardware sekmesini seçin ve Hardware Profiles'ı tıklayın. 3. "Available hardware profiles" listesinde kopyalamak (yeni yaratmak için) istediğiniz profili seçin ve Copy'i tıklayın. 4. Copy Profile iletişim kutusunda yeni profilin adını yazın ve OK'i tıklayın. 5. Bilgisayarı yeniden başlatın ya da başlattığınızda Hardware Profile menüsünden yeni profili seçin. II. CONTROL PANEL Kullanıcı ve Bilgisayar (User ve Computer) Düzenlemelerini üstünlüğü bu işlemin merkezi olarak yapılmasıdır. Bu düzenlemeleri policy’ler, yazılım kuruluşu, özel kullanıcı düzenlemeleri ve güvenlik düzenlemeleri ile yapılır. Control Panel Programı (simgesi) Görevi Add/Remove Hardware Sisteme eklenen bir donanımın sisteme tanıtılmasını (sürücüsünün yüklenmesini) sağlar. Add/Remove Programs Windows 2000 bileşenlerinin yüklenip/kaldırılmasını sağlar. Ayrıca diğer programlarında da yüklenmesini ve kaldırılmasını sağlar. Administrative Tools Start/Programs/Administrative Tools bölümünde yer alan programlara erişmeyi sağlar. Date/Time Sistemin tarihini ve saatini ayarlar. Display Ekran çözünürlük ve Windows ekran ayarlarının yapılmasını sağlar. Keyboard Klavyenin başta dil olmak üzere ayarlarının yapılmasını sağlar. Mouse Mouse (fare) aygıtının hız ve düğmelerin kullanılması gibi ayarların yapılmasını sağlar. Power Options Bilgisayarın elektrik kullanımını düzenleyen ayarların yapılmasını sağlar. Printers Yazıcı ekleme, yazıcı kuyruklarını görerek yazdırma işlemlerinin yönetilmesini sağlar. Regional Settings Bölgesel sayı, tarih gibi ayarların yapılmasını sağlar. SystemNetwork, donanım, profile gibi düzenlemelerin yapılmasını sağlar. Virtual Memory (Sanal Bellek) ayarları da buradan yapılır. A. BİR WİNDOWS 2000 PROFESSİONAL BİLEŞENİNİ EKLEMEK/KALDIRMAK Mevcut Windows 2000 Professional programları arasında bazı programlar eksik olabilir. Ya da kuruluş sırasında kurulmamış programlar vardır. Eksik Windows 2000 Professional programlarını yüklemek (kuruluşlarını yapmak) ya da var olanlardan bazılarını kaldırmak için Control Panel’den Add/Remove Programs kullanılır. Bir Windows 2000 Professional bileşenini eklemek ve kaldırmak: 1. Start düğmesine tıklanır. 2. Settings işaret edilir ve Control Panel’e tıklanır. 3. Add/Remove Programs simgesine çift tıklanır. 4. Add/Remove Programs iletişim kutusundan Windows Components sekmesine tıklanır. 5. Components’ler altında listelenen eklenecek ya da çıkarılacak bileşene tıklanır. 6. Details düğmesi ile alt bileşenler görüntülenir. 7. İstenilen bileşenler işaretlenir. 8. OK düğmesine basılarak yapılan değişikler yapılır. Not: Bir program birimini yüklemek için Windows 2000 Professional CD-ROM’una gereksinim duyulur. Bu nedenle Windows 2000 Professional CD-ROM’unu CD-ROM sürücüsünü takmak ya da Windows 2000 Professional sistem dosyalarını sabit disk üzerinde bir yerde (ya da network üzerinde) bulundurmak gerekir. B. BİLGİSAYARIN TARİHİNİ VE SAATİNİ DEĞİŞTİRMEK Bilgisayarınızın içinde bil destekli bir saat çalışır. Bütün yapılan işlemlerin sabit diske kaydı zaman olarak tutulur. Ancak bazı durumlarda saatin ayarı bozulur ya da değiştirilir. İşte bu durumlarda bilgisayarın tarih ve saatinin değiştirilmesi (ayarlanması) gerekir. Bilgisayarın tarih ve saatini değiştirmek için: 1. Start düğmesine tıklanır. Ardından Settings işaret edilir ve Control Panel’e tıklanır. 2. Date/Time simesine çift tıklanarak Date/Time iletişim kutusu ekrana gelir. 3. Saat ya da tarih alanı üzerinde ilgili alan üzerine tıklanarak düzenleme yapılır. 4. OK düğmesine basılarak düzenleme onaylanır. Saat (zaman) dilimini değiştirmek: “Time Zone” düzenlemeleri de saat farklarının ve saat ayarlamalarının (yaz saati, kış saati uygulamaları) otomatik olarak yapılması için düzenlenir: 1. Start düğmesine tıklanır. Ardından Settings işaret edilir ve Control Panel’e tıklanır. 2. Date/Time simesine çift tıklanarak Date/Time iletişim kutusu ekrana gelir. 3. Time Zone sekmesine tıklanır. 4. İlgili alan üzerine tıklanarak düzenleme yapılır. İpucu: GMT+02:00 Athens, İstanbul, Minsk seçeneği seçilir. C. VİRTUAL MEMORY (SANAL BELLEK) AYARI Windows 2000 kurulduğunda ana bellek (RAM) büyüklüğünden biraz fazla (12 MB fazla) bellek alanı disk üzerinde sanal bellek olarak atanır. Bu bellek alanı Windows 2000 tarafından fiziksel ana belleğin yetmediği durumlarda ek bellek alanı olarak kullanılır. Ancak daha sonra duyulan gereksinimlere göre sanal bellek alanı büyütülebilir ya da küçültülebilir. Bu disk alanı ve performansla ilgili bir konudur. Sanal bellek alanını düzenlemek için: 1. My Computer simgesini sağ tıklayın ve Properties'i seçin. 2. My Computer iletişim kutusunda Advanced sekmesini seçin. 3. Burada Performance Options'ı tıklayın. 4. Burada Virtual Memory için Change düğmesini tıklayın. 5. Virtual Memory için Initial Size (ilk büyüklük) ve Maximum Size (en büyük boyut) olmak üzere değerlerini MB olarak değiştirin. NOT: Sanal bellek alanın her bir disk için ayrı ayrı düzenlenebileceğine dikkat edin. Sistemde birden çok disk varsa daha iyi bir performans için her disk için sanal disk alanı düzenlenebilir. Ancak tek bir disk üzerinde C: ve D: gibi iki bölümün (partition) olması iki disk kullanılıyor anlamına gelmez ve her biri içinde ayrı ayrı sanal bellek yaratmaya gerek kalmaz. III. COMPUTER MANAGEMENT Windows 2000’de klasörlerin paylaştırılması, servislerin yönetimi ve diğer araçları başlatmak için Computer Management konsolu kullanılır. Computer Management aracı sistem yöneticisinin kullanacağı ana konfigürasyon araçlarından birisidir. Computer Management'i başlatmak için: 1. Start menüsünden Programs'ı seçin. Ardından Administrative Tools'u seçin. 2. Computer Management'ı tıklayın. ya da 1. My Computer üzerinde sağ tıklayın. 2. Properties seçeneğini seçin. 3. Computer Management'ı seçin. Computer Management içindeki yönetim araçları: -Sistem Araçları -Disk Yönetimi -Server Uygulamaları ve Servisler Sistem Araçları Windows 2000’in bütün versiyonlarında yönetim aracı olarak vardır. Bu araçlar içinde: Event Viewer, Services, Device Manager gibi araçlar yer alır. Storage Disk Management ve Logical Drivers gibi disk yönetimi araçlarını içerir. Server Uygulamaları ve Servisleri Sadece Windows 2000 Server içinde yer alır. Bilgisayarın konfigürasyonuna uygun olarak çeşitli araçları dinamik olarak içerir. Bu araçlar içinde DHCP, Internet Information Services ve Indexing Service gibi araçlar yer alır. İzleme Araçları Performans yönetimi sistem performansının görünümünü yansıtır. İlk başta bir temel (baseline) belirlendikten sonra gelecekteki performans ve kapasite gereksinimleri belirlenir. Windows 2000 performans bilgilerinin gösterilmesi için birçok özelliğe sahiptir. Windows 2000 kernel ve servisleri işlemci, bellek, disk ve network kullanımı hakkında detaylı bilgi verirler. SNMP ve BackOffice® bileşenleri gibi Add-on servisler de elde ettikleri özel bilgileri bu bilgilere katarlar. Bu datalar bir System Monitor Control ile görüntülenebilir: Bir MMC snap-in bilgileri toplayabilir ve grafik olarak görüntüleyebilir. IV. UYGULAMA Sisteme giriş yapın. Ardından bilgisayar üzerindeki yapılandırmayı kontrol etmek için aşağıdaki işlemleri yerine getirin: 1) Device Manager ile bilgisayarın mevcut aygıt yapısını görün: 1. My Computer üzerinde sağ tıklayın. 2. Properties seçeneğini seçin. 3. Hardware sekmesini seçin. 4. Device Manager düğmesini tıklayın. Bunun dışında Computer Management programını çalıştırarak yüklü sürücüleri, Disk Manager ile diskin görünümünü, ayrıca Event Viewer ile hataları kontrol edin. Computer Management'i başlatmak için: 1. Start menüsünden Programs'ı seçin. Ardından Administrative Tools'u seçin. 2. Computer Management'ı tıklayın. ya da 1. My Computer üzerinde sağ tıklayın. 2. Properties seçeneğini seçin. 3. Computer Management'ı seçin. 2) Bir Windows 2000 Bileşenini Eklemek/Kaldırmak DNS Servisini yüklemek. 1. Start düğmesine tıklanır. 2. Settings işaret edilir ve Control Panel’e tıklanır. 3. Add/Remove Programs simgesine çift tıklanır. 4. Add/Remove Programs iletişim kutusundan Windows Components sekmesine tıklanır. 5. Components’ler altında listelenen Networking Services bileşenine tıklanır. 6. Details düğmesi ile alt bileşenler görüntülenir ve DNS seçilir. 7. OK düğmesine basılarak yapılan değişikler yapılır. V. GÖZDEN GEÇİRME 1. Sanal Bellek (Virtual Memory) nedir? Nasıl yaratılır ya da genişletilir? 2. Bölgesel ayarların önemini vurgulayın. 3. Varsayım olarak yüklenen Windows bileşenleri nelerdir? DNS servisi varsayım olarak yüklenir mi? Yüklenmiyorsa daha sonradan nasıl yüklenir? 4. Windows 2000'in açılış sırasında bekleme süresi (varsayım 30 sn. ) nasıl değiştirilir? 5. Sanal bellek hangi durumlarda genişletilir? Hangi durumlarda daraltılır? WİNDOWS 2000 İSTEMCİLERİNİ NETWORKLERE BAĞLAMAK Ders sonunda yapabileceklerimiz: -Windows 2000 ortamında yer alan bağlantı bileşenlerini açıklamak. -Microsoft Networklerine ve Novell Netware networklerine bağlanmak. I. MİCROSOFT NETWORKLERİNE BAĞLANMAK Microsoft networklerine bağlanmak için öncelikle gerekli protokollerin yüklenmesi ve yapılandırılması gelir Microsoft Networklerine bağlanmak için gerekli servisler kuruluş sırasında Client for Microsoft Networks servisinin kurulmasıyla minimuma indirilmiştir. Windows 2000 kuruluşunda Microsoft Networklerine bağlanmak için yüklenen servisler şunlardır: -Client for Microsoft Networks -File and Print Sharing for Microsoft Networks -TCP/IP Mevcut Microsoft bağlantı servislerini görmek için: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. A. TCP/IP PROTOKOLÜNÜN YAPILANDIRILMASI TCP/IP protokolünün yapılandırılması için özellikle Ders 5 ve protokollerle ve networkle ilgili hafta belgelerine bakınız. B. DHCP SERVER SERVİSİ DHCP (Dynamic Host Configuration Protocol), TCP/IP konfigürasyonunun yapılmasını, istemci bilgisayarlara IP adreslerinin otomatik olarak atanmasını merkezi biçimde sağlayan bir araçtır. DHCP Servis bir Windows 2000 Server üzerine kurulur. DHCP servisi diğer ağ servisleri gibi Control Panel, Add/Remove Programs’tan Windows Component bölümünden Network Services’in Detail bölümünden seçilir. Ardından Administrative Tools menüsünden DHCP seçeneği ile başlatılır. DHCP Server DHCP server üzerinde bir kapsam alanı (scope) oluşturulur. Bu kapsama alanında IP adresleri havuzu yer alı Örneğin 197.101.47.91 den 197.101.47.98’e kadar bu numaralar DHCP sunucusu tarafından istemcilere atan ya da kiralanır. Bir DHCP istemcisi DHCP sunucusundan bir IP adresi istediğinde, DHCP sunucusu kullanılmamış bir IP adresini adres havuzundan seçer ve DHCP istemcisine sunar. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. C. DNS SERVİSİ Domain Name System (DNS), TCP/IP ağlarında client/server iletişiminin tamamlayıcı bir parçasıdır. DNS (Domain Name System), ağ içindeki bilgisayarların adlandırılmasını ya da adlarının elde edilmesini sağlayan bir sistemdir. Internet üzerinde yaygın olarak kullanılan DNS sistemi özel ağlar (intranet) içinde de kullanılabilir. Bildiğimiz gibi TCP/IP ağlarında bilgisayarların birer IP adresi vardır ve ağ içindeki iletişim bununla sağlanı Ancak ağ içindeki çok sayıda bilgisayarların IP adresini bulmak ve kullanmak zor olur. Bu nedenle ağ bölümlerine (domain) ve bilgisayarlara belli bir hiyerarşi içinde adlar verilir. TCP/IP ağlarında bilgisayar adlarını IP adreslerine çeviren dağıtık bir veritabanı olan DNS, Windows 2000’deki ad çözümlemesi (name resolution) için kullanılır. Windows 2000 domaini yaratmak için yerel ya remote (uzak) olmak üzere bir DNS kuruluşuna gereksinim vardır. Bir Windows 2000 Server’a DNS servisinin kurarak DNS server’ın aktif hale getirilmesinin ardından diğer istemci bilgisayarlar TCP/IP konfigürasyonlarında DNS Server’ın adını belirterek DNS’ten yararlanırlar. Bir domain adı (FQDN-Fully Qualified Domain Name) soldan sağa doğru okunur. Örnek: bizimsirket.com ya da daha hiyerarşik olarak bir sunucuyu belirtmek için: server.bizimsirket.com Açıklama: com ticari domain grubu. bizimsirket domain adı. server bir bilgisayar adı olabilir. II. NOVELL NETWARE NETWORKLERİNE BAĞLANMAK Windows 2000 Professional yüklü bilgisayarların bir Novell Netware networküne bağlanabilmesi için Netware Link protokolünün ve Client Service for Netware servisinin yüklenmesi gerekir. NWLink, Microsoft-uyumlu IPX/SPX protokolüdür. Sadece NWLink ile Windows 2000 bilgisayarların NetWare server üzerindeki dosyalara ve yazıcılara ulaşması mümkün değildir. Bu durumda sadece client/server uygulamalar çalıştırılır. Dosyalara ve yazıcılara erişmek için bir redirector’ün de yüklenmesi gerekir. Bu düzenleme Client Service for NetWare ile yapılır. Windows 2000 Server üzerinde de Gateway Service for NetWare servisi vardır. Üzerinde Windows 2000 çalışan bilgisayar NWLink, Client Service for NetWare ve Gateway (and Client) Services for Netware servisini kullanarak IPX/SPX kullanan Novell Netware Server'a bağlanır. NWLink protokolü Windows 2000 bilgisayarının Netware üzerinde çalışan uygulamalara erişmesini sağlar. Client Service for Netware ise Windows 2000 Professional çalıştıran istemci bilgisayarların Netware üzerindeki dosya ve yazdırma kaynaklarına erişmesini sağlar. Gateway Service servisi olan Gateway (and Client) Services for Netware ise Windows 2000 istemcilerinin Novell Netware kaynaklarına Windows 2000 Server üzerinden erişmelerini sağlayan bir servistir. Bu servis Windows 2000 Server üzerine yüklenir. NWLink Servisinin Kurulması 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. 4. Install düğmesini tıklayın. 5. Protocol'ü seçin ve Add düğmesini tıklayın. 6. NWLink'i seçin. NWLink protokolü bir network numarası ve frame type bilgisine gereksinim duyar. Bu bilgileri bağlanılacak Netware networkünün yapısına göre manuel olarak verilebileceği gibi, otomatik olarak seçilir. Bu anlamda NWLink varsayım olarak bir network numarası ve frame type bilgisine sahip olur. III. UYGULAMA TCP/IP Yapılandırmanızı kontrol edin: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. İstediğiniz bağlantıyı seçin ve sağ tıklayıp Properties iletişim kutusunu açın. TCP/IP yapılandırması bu iletişim kutusundan yönetilir. Ping’i kullanın: Ping 192.168.1.2 gibi bir adresi Ping ile test ederek, bağlantının olup olmadığını kontrol edin. Ping’i çalıştırmak için Start menüsünden Run kutusunu çalıştırın: Mevcut Microsoft bağlantı servislerini görmek için: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. NWLink Servisini Kurun: 1. Masaüstünde My Network Places simgesini sağ tıklayın. 2. Properties’i seçin. 3. Local Area Network bağlantısını seçin ve sağ tıklayıp Properties iletişim kutusunu açın. 4. Install düğmesini tıklayın. 5. Protocol'ü seçin ve Add düğmesini tıklayın. 6. NWLink'i seçin. IV. GÖZDEN GEÇİRME 1. Windows 2000 ile gelen yeni network (ağ) özellikleri nelerdir? 2. Ping çok kullanılan bir yardımcı programdır. Ping ne yapar? Sizce neden yaygındır. Ping 127.0.0.1 ne anlama gelir. 3. DHCP Server’ın görevi nedir? 4. NWLink protokolünün yapılandırılmasında hangi bilgiler kullanılır? KULLANICI VE GRUP HESAPLARINI YÖNETMEK Ders sonunda yapabilecekleriniz: -Active Directory nesnelerinin yönetimini açıklamak. -Organizational unit, kullanıcı kayıtları, grup kayıtları gibi Active Directory nesnelerini yaratmak. I. ACTİVE DIRECTORY KURULUMU Windows 2000 network yapısı, domain ya da workgroup olarak düzenlenir. Windows 2000 domain yapısı, Active Directory'nin Windows 2000 Server üzerine kurulmasıyla gerçekleştirilir. Ancak bir Windows 2000 Server'ın Active Directory Server (Domain Controller) olabilmesi için gerekli adlandırma, network düzenlemeleri ve DNS düzenlemeleri gerekir. Ardından dcpromo.exe ile Windows 2000 Server bir Domain Controller olur. Active Directory kurulumu için önce DNS servisinin kurulması gerekir. Bu işlem için DNS servisinin kurulması ve yapılandırılması gerekir. DNS Servisini yüklemek. 1. Start düğmesine tıklanır. 2. Settings işaret edilir ve Control Panel’e tıklanır. 3. Add/Remove Programs simgesine çift tıklanır. 4. Add/Remove Programs iletişim kutusundan Windows Components sekmesine tıklanır. 5. Components’ler altında listelenen Networking Services bileşenine tıklanır. 6. Details düğmesi ile alt bileşenler görüntülenir ve DNS seçilir. 7. OK düğmesine basılarak yapılan değişikler yapılır. A. DNS YAPILANDIRMASI DNS servisi kurulduktan sonra DNS Manager programı aracılığıyla DNS yapılandırılır. Bu süreçte yapılan ana işlem bir zone yaratılmasıdır. Genellikle kurulacak Active Directory domaini adında bir zone yaratılır. Örneğin, bizimsirket.com ya da sirket.com adlı bir zone gibi. DNS Manager programı Start menüsünden Programs, Administrative Tools grubundan çalıştırılır. DNS Server (Windows 2000 bilgisayarıyla aynı adlı) üzerinde sağ tıkla Configure Server seçeneği seçilir. Burada yaratılacak zone için standart primary seçilir. Zone adı olarak bizimsirket.com ya da Active Directory domain adı girilir. B. ACTİVE DİRECTORY KURULUMU Start, Run ile dcpromo.exe programı çalıştırılır. Windows 2000 Server, dcpromo.exe programı ile Domain Controller olurken, daha önce DNS servisi ile yapılandırılmış domain adını kullanır. Domain adı: bizimsirket.com Administrator şifresiyle yapılan kontrollerin ardından Active Directory kuruluşu tamamlanır ve Windows 2000 Server artı bir Active Directory Domain Controller (DC) olur. II. ACTİVE DİRECTORY YÖNETİMİ Active Directory'nın kurulmasını ardından, şu Active Directory yönetim araçları yüklenir: -Active Directory Users and Computers -Active Directory Sites and Services -Active Directory Domain and Trusts Active Directory Users and Computers programı Windows 2000 Server Domain Controller (DC) olacak bilgisayarın dcpromo.exe ile terfi edilmesiyle Programs, Administrative Tools grubuna eklenen bir programdır. Daha önce işletim sistemi yönetim programları içinde yer alan kullanıcı ekleme ve domain yönetimi gibi işlemler şimdi Windows 2000’de tamamıyla Active Directory başlığı altında yapılmaktadır. Bu arada MMC yaratarak bu programlar snapin olarak eklenirler. Kullanıcı ve grup gibi domain elemanlarının yaratılması için Active Directory Users and Computers programı kullanılır. Ancak kullanıcı ve grupların yaratmak için genellikle domain içindeki belli bölümleri ifade eden OU'lar kullanılır. Yani, OU'lar için kullanıcı ve grup yaratılır. A. ORGANIZATIONAL UNIT YARATMAK Windows 2000 içindeki Active Directory servisi, kullanıcılar (users), bilgisayarlar (computers) ve yazıcılar gibi ağ kaynaklarını belirten nesnelerden oluşur. Bu Active Directory nesneleri Organizational Unit (OU) adı verilen nesnelerin içinde organize edilirler. Active Directory’nin mantıksal tasarımı içinde, hiyerarşik OU’lar tasarlanır. Örneğin şirketin departmanları birer OU olarak tasarlanır. OU’lar birer konteynırdır (container). Konteynır tanımlaması diğer nesneleri içerdiği için yapılmaktadır. OU’lar kullanıcılar (users), gruplar ve bilgisayar kayıtları gibi nesneleri içerir. Bu arada OU’lar bir OU da içerebilir. Böylece hiyerarşik bir yapı ortaya çıkar. OU kullanımının en önemli özelliği OU’ların yönetiminin delege edilmesidir. Delegasyon bir OU’nun yönetimi için bir kullanıcıya izin vermek anlamına gelir. Böylece o kullanıcı, sanki şirketin bir kısmını yönetir gibi, OU'yu yönetir. O OU için kullanıcı tanımlar, grup tanımlar ve izinleri düzenler. Bir OU yaratmak için: 1. Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İçinde OU yaratılacak OU ya da domain üzerinde sağ tuşa tıklanır. 3. New seçeneği ardından Organizational Unit seçeneği seçilir. 4. OU’nun adı yazılır. B. KULLANICI KAYITLARI YARATMAK Kullanıcı kayıtları (user account), kullanıcıların sisteme girdikleri adlardır. Bu adlar kullanıcının kimlik denetiminin (authentication) yapılmasını ve kullanıcıların sistem içinde temsil edilmesini sağlar. Bir kullanıcı kaydı yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından User seçeneği seçilir. Kullanıcı yaratılırken Create User iletişim kutusunda kullanıcı için çeşitli bilgiler düzenlenir: Name bilgisi kullanıcının tam adını ifade eder. Name bilgisi Active Directory içinde kullnıcının adını belirtir. Bu bilgi konteyner içinde tekdir (unique). First Name ve Last Name bilgileri kullanıcı bilgisinin özellikleridir (attribute). Bu bilgiler kullanıcı bilgilerinin aranmasaında kullanılır. Bu özellikler herhangi bir forest düzeyinde tek (unique) olmak zorunda değildir. Her kullanıcı adının bir UPN (User Principal Name) adı vardır. User Principal Name (Kullanıcının Ana Adı) kullanıcını logon adı ve domain adından oluşur. Örneğin sirket.com domaini içindeki ahmet yılmaz’ın adı [email protected] olabilir. User principal name network’e logon etmek için kullanılır. Bir forest içinde principal adlar tek (unique) olmayabilir. C. GRUP KAYITLARI YARATMAK Gruplar çok sayıda kullanıcıyı ifade ederler ve çok sayıda kullanıcının daha kolay yönetimini sağlayan birimlerdir. Özellikle ortak gereksinimleri olan kullanıcılar, örneğin muhasebe departmanındaki kullanıcılar bir grup olarak organize edilirler. Active Directory içinde iki tür grup oluşturulur:. Security grupları ve distribution grupları. Bunun yanı sıra bir de grupların kapsamları vardır. Her iki grup türü içinde geçerli olan kapsam özellikleri grupları üçe ayırır: -Universal gruplar -Global gruplar -Domain lokal gruplar Domain Local Gruplar Domain local gruplar, aynı domaindeki diğer domain lokal gruplarını da içerebilirler. Asıl amaç kaynakların bu gruplara paylaştırılmasıdır. Ardında kendi domaininden ya da diğer domainlerden global grupların bu local gruba üye yapılmasıyla gruplama işlemi yapılır. Global Gruplar Global grupların amacı kullanıcıları gruplamaktır. Global gruplar, local gruplara üye olarak belli izinlerden yararlanırlar. Universal Gruplar Üniversal gruplar sadece native modda kullanılabilirler. Üniversal gruplar, Windows 2000 networkünde herhangi bir Windows 2000 domain kullanıcılarını ve global gruplarını içerebilirler. Grup Yaratmak Active Directory yönetiminde grup kayıtlarını yaratmak için şu yol izlenir: Grup yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından Group seçeneği seçilir. 3. Create New Object (Group) seçilir. . Grup bilgileri girilir: Seçenek Açıklama Name of new group Yaratılacak grubun adı. Grup adı konteynır içinde tek olmalıdır. Downlevel name of new group Grubun Windows NT için adı. Domain içinde tek olmalıdır. Group type Grubun türü. Security ya da distribution Group scope Grubun kapsamı. Domain Local, Global, Universal gibi. III. UYGULAMA Bu bölümde egzersizlere geçmeden önce iyi uygulamalar olarak kullanabileceğimiz işlemler aşağıda verilmiştir. 1) Active Directory tasarımınızdaki domainleriniz içindeki Organizational Unit'leri planlayın. Bu işlem için yönetilebilecek ve yönetimi delege edilebilecek birimleri düşünün. Örneğin sirket.com domaini için; şirket içindeki mevcut departmanlar düşünülebilir ya da organizasyon şeması düşünülebilir. • Domain ve OU için kullanıcılar yaratın. • Domain ve OU içinde gruplar yaratın. • Kullanıcıları değişik gruplara üye yapın. 2) ahmet adlı bir kullanıcı yaratın. Administrator grubuna ekleyin. Parolasını belirleyin. IV. GÖZDEN GEÇİRME 1. Domain nedir? Bir Active Directory domaini nasıl yaratılır? 2. DC nedir. Normal bir Windows 2000 Server'dan farkı nedir? 3. Bir OU neleri içerir? 4. Grup türleri nelerdir? Bir şirket içindeki kullanıcılar için değişik gruplar yaratmanın yararları nelerdir? 5. Bir domain içinde aynı kullanıcı adından iki tane olabilir mi? Tartışın. : DOSYALARA NETWORK ÜZERİNDEN ERİŞMEK Ders sonunda yapabilecekleriniz: -Shared Folder (paylaşıltırılmış klasör) yaratmak. -Shared Folder'ları Active Directory'ye yayınlamak. -Dfs kurmak. I. DOSYALARI PAYLAŞTIRMAK Windows 2000 ortamında bir dosyayı ya da klasörü paylaştırmak için en kolay yol Windows Explorer kullanmaktır. Windows Explorer aracılığıyla seçilen bir dosya ya da klasör üzerinde sağ tıklanarak Sharing seçilir. Ardından Share This Folder seçeneği seçilerek dosya ya da dizinin paylaşımı sağlanır. Paylaştırma işlemi diğer kullanıcıların bu dosya ya da dizine erişebilecekleri anlamına gelir. Bu nedenle belli bir izin (permission) sistemi vardır. Bu durumda paylaştırılan dosya ya da dizin üzerinde izin olarak Full, Change ve Read izinlerinden birisi verilir. Sistem araçları içinde bir diğer bölüm ise Shared Folder’dır. Bu bölümde bilgisayar üzerinde yapılan paylaşımlar yönetilir. Örneğin mevcut paylaşımlar izlenir ya da yeni bir paylaşım yaratılır. Bu bölümde Shares bölümünde paylaşılan dosyaları, bağlantıları ve açılan dosyaları görmek mümkündür. Klasörlerin paylaştırılması için şu işlemler yapılır: 1. Administrative Tools mönüsünden Computer Management açılır. 2. Computer Management konsol ağacında Systems Tools altında Shared Folders seçeneğine tıklanır. 3. Shares seçilir. 4. Sağ taraftaki ayrıntılar alanında sağ tuşa tıklanır ve New File Share seçilir. 5. Create Shared Folder sihirbazındaki işlemler izlenir. II. KLASÖRLERİN PUBLİSH EDİLMESİ Klasörlerin paylaştırılmasının ardından iki sorunla karşılaşılır: Paylaşılan klasörlerin korunması ve paylaşılan klasörlerin kolayca bulunması. Windows 2000 içinde bu gereksinimler Active Directory ile karşılanır. Active Directory ağ nesnelerini saklayarak onlara daha hızlı erişimi ve güvenliği sağlar. Active Directory içindeki users, computers, printers, dosyalar (files) ve network (ağ) servisleri gibi nesneler yayınlanarak kullanıcıların bunları daha kolay bulması sağlanır. Bu işlem için Active Directory Users and Computers konsolu içinde paylaşılan klasörler hakkında bilgiler yayınlanır. Bir klasörü publish etmek için: 1. Administrative Tools mönüsünden Active Directory and Computers açılır. 2. Active Directory and Computers konsol ağacında klasörün yayınlanacağı domain üzerinde sağ tuşa tıklanır ve New ve Shared Folder seçilir. 3. Shared Folder Name kutusunda klasörün Active Directory içinde yer alacak adı yazılır. 4. Network Path kutusunda paylaşılan klasörün yolu yazılır. \\istanbul\data gibi. 5. OK düğmesine tıklanır. Ardından paylaşılan klasör domain içinde görülür. Yayınlanan nesneleri görmek için: Active Directory içindeki nesneler değişik şekillerde aranabilirler. Değişik Active Directory nesnelerini aramak için Find iletişim kutusu kullanılır. 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. Action mönüsünden Find seçeneği seçilir. Find kutusundan aranacak bilginin türünün seçtikten sonra tam adı ya da adının başından belli bir kısım yazılır Find Now düğmesine tıklanarak arama başlatılır. Bunun dışında nesneler yaratılırken verilen anahtar sözcükler (Keywords) temelinde de arama yapılabilir. Bu işlem için Keywords alanı kullanılır. Arama yaparken daha gelişmiş kriterlerin de kullanılması sağlanır. Not: Nesneleri aramak için MMC ekranları da kullanılabilir. MMC içinde Action mönüsünden Find komutu değişik nesne türleri aranabilir. (MMC’ler mmc komutunun Start, Run mönüsünde yazılmasıyla başlatılırlar. Ardından Add snap-in komutuyla istenilen uygulamalar MMC içine eklenirler.). III. DFS DOSYA YÖNETİM SİSTEMİ Distributed File System (Dfs), değişik dosya sistemlerinin tek bir mantıksal directory yapısı altında toplanmasını sağlar. Daha önceki Windows işletim sistemlerinde de kullanılan bu sistem Windows 2000 içinde geliştirilmiş ve hata toleransı özelliklerine sahip olmuştur. Dfs dosya sisteminin amacı ağ üzerindeki paylaşımların fiziksel yerlerinin izlenmesidir. Bu düzenlemeler kaynaklara tek bir ağaç altında merkezi olarak erişimi sağlar. Windows 2000 içinde iki tür Dfs yaratılabilir: -Stand-alone Dfs -Domain (Fault-tolerant) Dfs Stand-alone Dfs konfigürasyonunda Dfs sistemi tek bir bilgisayar üzerinde yer alır. Bu seçimde herhangi bir hata toleransı yoktur. Domain Dfs konfigürasyonunda ise Dfs sistemi Active Directory içinde saklanır. Bu sistemde alt düzeydeki klasörlerin aynı adlı birden çok paylaşılan klasörü işaret etmesi sağlanır. Bunun dışında bu seçimde DNS adları, alt volümlerin birden çok düzeyi ve dosya replikasyonu desteklenir. Distributed file system (Dfs) şu olanakları sağlar. Dosyalara kolay erişim: Dfs sisteminde kullanıcılar dosyalara daha kolay erişirler. Kullanıcılar ağ üzerinde sadece bir yere erişerek, ağ üzerinde yayılmış değişik yerlerde (değişik bilgisayarlarda) duran dosyalara erişebilirler. Bunun dışında paylaşılan bir klasörün yerinin fiziksel olarak değişmesi durumunda kullanıcılar bu klasöre erişmeyi sürdürürler. Kullanışlı: Domain düzeyinde yaratılan Dfs sistemi kullanıcıların kendi dosyalarına erişimi sürdürmelerini sağlar. Bu işlem iki şekilde sağlanır: Birincisi, Windows 2000 Dfs yerleşimini Active Directory’ye otomatik olarak yayınlar. Bu özellik sayesinde Dfs düzeni domain içinde yer alan bütün serverlar üzerinde (bütün kullanıcılar için) görülebilir. İkincisi ise sistem yöneticisi Dfs rootların ve Dfs paylaşılan klasörlerini replike edebilir. Replikasyon işlemi Dfs rootlarını ve Dfs paylaşılan klasörlerini domain içindeki çok sayıda server’a kopyalanmasını sağlar. Bu durumda kullanıcılar serverlardan birisi çalışmasa da kullanıcıların dosyalara erişimi devam eder. Load balancing Server’lar üzerindeki yüklerin dengelenmesi. Dfs root birçok Dfs paylaşılan klasörü (shared folder) ağ üzerine dağıtarak kullanıcıların bir server üzerindeki bir dosya üzerinde yoğunlaşmasını engeller. A. STAND-ALONE BİR DFS ROOT YARATMAK Bir Dfs paylaşım yaratmak için yapılacak ilk işlem bir Dfs root yaratmaktır. Windows 2000 işletim sisteminde FAT ya da NTFS disk bölümleri (partition) üzerinde Dfs root yaratılabilir. Dfs root yaratılırken stand-alone (tek bir bilgisayar üzerinde) ya da hata toleranslı olarak yaratılabilir. Stand-alone root kullanıcıların ilk olarak bağlandıkları bilgisayarda yaratılır. Stand-alone bir Dfs root yaratabilmek için Distributed File System konsolu kullanılarak Create New Dfs Root sihirbazı kullanılır. Aşağıdaki tabloda Create New Dfs Root sihirbazının seçenekleri yer almaktadır: Seçenek Açıklama Select Dfs Type Yaratılacak Dfs sisteminin türü. Specify Server to Host Dfs Dfs ağacı içindeki bütün kaynaklar için ilk bağlantı noktası ya da host (ev sahibi) domain. Bir Dfs root sistemini herhangi bir Windows 2000 Server üzerinde yaratılabilir. Select Share fo Dfs Root Volume Select Dfs Name Dfs root’un bulunacağı bir paylaşılan klasör. Dfs root için açık bir ad. B. DOMAİN BİR DFS ROOT YARATMAK Hata toleranslı Dfs rootlar bir domain member serverda yaratılabilirler. Active Directory her Dfs root ağacını saklar ve diğer Dfs root serverlara replike eder. Hata toleransı işlemi child noktaların replikalarının alınmasıyla gerçekleştirilir. Herhangi bir client bilgisayardan bir child noktaya bağlanamadığında diğerine bağlanmaya çalışır. Bir hata toleranslı Dfs root yaratabilmek için Distributed File System konsolu kullanılarak Create New Dfs Root sihirbazı kullanılır. Aşağıdaki tabloda Create New Dfs Root sihirbazının seçenekleri yer almaktadır: Seçenek Açıklama Select Dfs Type Yaratılacak Dfs sisteminin türü. Select Domain to Host Dfs Dfs ağacı içindeki bütün kaynaklar için ilk bağlantı noktası ya da host (ev sahibi) domain. Bir domain birçok Dfs root’una ev sahipliği yapabilir. Specify Server to Host Dfs Dfs ağacı içindeki bütün kaynaklar için ilk bağlantı noktası ya da host (ev sahibi) domain. Bir Dfs root sistemini herhangi bir Windows 2000 Server üzerinde yaratılabilir. Select Share fo Dfs Root Volume Select Dfs Name Dfs root’un bulunacağı bir paylaşılan klasör. Dfs root için açık bir ad. Ardından Dfs sistemi üzerinde sağ tuşa tıklanarak New Dfs Root seçilir ve sihirbaz aracılığıyla root yaratılır. Not: Bir bilgisayarda bir Dfs root olur. Ardından Dfs root’un türü seçilir. Ardından Dfs root’un kullanılacağı domain seçilir. Ardından Root’a bağlanacak olan child nodlar belirlenir. Bu işlem için daha önceden paylaştırılmış klasörler seçilir. Örneğin: Olası yollar. \\makine2\datalar : makine2 adlı serverda yer alan datalar adlı klasör. C. DFS CHİLD NODLARI (BAĞLANTI NOKTASI) YARATMAK Dfs ağacı içinde bir Dfs paylaşımını root düzeyinde ya da herhangi bir alt düzeyde yaratabilirsiniz. Eğer belirtilen kaynak bir Windows 2000 kaynağı değilse paylaşım bir uç yaprak (leaf) olarak ağaca eklenir. Bu uca herhangi bir alt kaynak eklenemez. Bir Dfs root yaratıldıktan sonra paylaşılan klasörleri göstermek için Dfs child nodlar da yaratabilirsiniz. Bir Dfs child nodu yaratmak için şu işlemler yerine getirilir: 1. Distributed File System konsolunda child node eklenecek Dfs root seçilir. 2. Action mönüsünden New Dfs Child Node seçilir. 3. Add to Dfs iletişim kutusunda aşağıdaki bilgiler seçilir: Seçenek Açıklama Child node Kullanıcıların bağlandıklarında görecekleri Dfs adı. Send the user to this network path Comment Child node için UNC yolu. \data gibi. Paylaşılan klasörleri izlemek için tutulan ek bilgi. Clients Cache this Dfs referral for x seconds Client cache bilgisinin Dfs child nodu gösterme süresi. Referral süresi aştığında client Dfs serverın yereini arar. Child node yaratıldıktan sonra, Distributed File System konsolunda Dfs volüm içinde görülür. IV. UYGULAMA 1) Bir dizini (folder) paylaştırın. 1. Windows Explorer aracılığıyla bilgisayarınızda yer alan bir klasörün (C:\data gibi) üzerinde sağ tıklayın ve Sharing seçeneğini seçin. 2 Everyone için Read izniyle paylaştırın. 2) Computer Managemet ile bir klasörü paylaştırın: 1. Administrative Tools mönüsünden Computer Management açılır. 2. Computer Management konsol ağacında Systems Tools altında Shared Folders seçeneğine tıklanır. 3. Shares seçilir. 4. Sağ taraftaki ayrıntılar alanında sağ tuşa tıklanır ve New File Share seçilir. 5. Create Shared Folder sihirbazındaki işlemler izlenir. 3) Bir DFS Root Yaratın: 1. Administrative Tools mönüsünden Distributed File System seçilir. 2. Distributed File System üzerinde sağ tıklanır ve New DFS Root seçilir. 3. Sihirbaz takip edilerek root için bir ad verilir. Ardından her biri ayrı birer paylaşım olan klasörler child node olarak DFS rootuna bağlanarak DFS içinden diğer kullanıcılara paylaştırılacak kaynaklar düzenlenir. V. GÖZGEN GEÇİRME 1. Windows 2000'de bir dizinin paylaştırılmasında uygulanacak izinler nelerdir? 2. Stand-Alone DFS ile Domain DFS arasındaki farklar nelerdir? 3. Bir klasörü Active Directory'ye publish etmenin yararlarını sayın. NTFS DOSYA SİSTEMİ Ders sonunda yapabilecekleriniz: -NTFS disklerini tanımak. -NTFS izinlerini tanımak ve düzenlemek. -Özel NTFS izinlerini tanımak. -EFS teknolojisini tanımak. I. DOSYA SİSTEMİNİ SEÇMEK Kuruluş sırasında yapılan ilk düzenlemelerden birisi de sabit diskin düzenlenmesidir. Bu aşamada disk üzerinde partition (disk bölümü- boş disk üzerinde, formatlamadan önce yaratılan bir alan) yaratılabilir. Aynı şekilde mevcut partitionlar görülebilir, silinebilir ya da büyüklükleri yeniden (silerek) değiştirilebilir. Bütün bu işlemler Windows 2000 kuruluşu sırasında Windows 2000 setup program olan Winnt.exe ya da Winn32.exe ile yapılır. Not: Yeni bilgisayar kuruluşlarında kuruluş cd-rom sürücüsünden başlatılır ve disk üzerindeki bölümleme Windows 2000 kuruluşu sırasında yapılabilir. Bununla birlikte bir açılış disketi ile açılan bilgisayar FDISK programı kullanılarak ta disk bölümleme işlemi yapılabilir. Genellikle Windows 98, Windows 95 ortamında bu işlemler böyle yapılmaktaydı. Windows 2000 mevcut bir partition’a (disk bölümü) ya da kuruluş sırasında yaratacağınız bir partition’a kurulabilir. Bu durumda Windows 2000, NTFS, FAT ve FAT32 olarak bilinen dosya sistemlerini destekler. Diğer bir deyişle bu dosya sistemleriyle yaratılmış partitionlara kurulabilir ya da bu dosya sistemleriyle formatlanmış partitionlar yaratılabilir. A. NTFS DİSK YAPISI Windows 2000 için geliştirilmiş bir dosya sistemi. Gelişmiş özelliklere sahip olan NTFS dosya sistemi kurtarma, geniş disk alanını destekleme, uzun dosya adlarını destekleme gibi özelliklere sahiptir. NTFS dosya sisteminin özellikleri şunlardır: -Active Directory. Active Directory ile network kaynaklarını daha iyi yönetme. Bunun dışında Active Directory için bir gerekliliktir. -Domain’ler. Active Directory’nin parçası olan domainler güvenlik ayarlamalarının daha kolay yapılmasını sağlar. Bu nedenle Domain Controller olan bilgisayarlar NTFS dosya sistemine gereksinim duyarlar. -File encryption (dosya şifreleme). Daha fazla güvenlik için dosyaların şifrelenmesi. -Dosya ve kullanıcı bazında güvenlik düzenleme. -Remote storage ile taşınabilir saklama alanlarının yönetimi. -Disk aktivitelerinin loglanması ve elektriklerin kesilmesi durumunda bilgilere erişim. -Disk kotaları. Her kullanıcı için sınırlı disk alanı kullanımı. -Büyük alanlara verilen destek. Daha büyük disklerin NTFS ile formatlanması performansı düşürmez. Windows 2000 kuruluşunda mevcut dosya sistemi ne olursa olsun sabit diskinizi yeni NTFS ile formatlayabilirsiniz. Kuruluş sırasında setup programı diski inceler. Eğer disk eski NTFS ise otomatik olarak çevrilir. Eğer FAT ya da FAT32 ise çevirmek ya da formatlamak seçeneğine sahipsiniz. Formatlamakla, çevirme işlemine göre daha performanslı bir disk kullanımı sağlarsınız. Ancak formatlama işlemi mevcut bilgileri siler. Çevirme işlemi ise silmez. Çevirme işlemi kuruluştan sonra da yapılabilir. Bu işlem için Convert.exe programı kullanılır. Convert d: /fs: ntfs B. FAT DOSYA YAPISI MS-DOS ile birlikte kullanıma başlayan eski bir dosya sistemi. Kısıtlı bir disk alanının tek bir partition olarak kullanılmasına izin verir (sadece 2 GB). C. FAT32 DOSYA YAPISI FAT dosya sistemine göre daha küçük cluster size kullanan FAT32 dosya sistemi daha etkin (performanslı) kullanıma sahiptir. D. FAT VE FAT32 DOSYA SİSTEMLERİ FAT ve FAT32 diğer alternatif dosya sistemleridir. Bu dosya sistemlerinin kullanımı özellikle dual-boot olarak adlandırdığımız diğer (eski) işletim sistemleriyle birlikle kullanım içindir. Yani bilgisayarda halen kullanılan Windows NT ya da Windows 95/98 gibi işletim sistemlerinin kullanımına devam etmek gibi. Not: Windows 2000, Windows 95 ya da Windows 98’in desteklemiş olduğu maksimum 32 GB disk partition’ununda daha fazlasını destekler. Eğer kuruluş sırasında 2GB’tan daha fazla olan bir alanı FAT ile formatlamaya kalkarsanız Windows 2000 onu FAT32 dosya sistemi ile formatlar. E. NTFS, FAT VE FAT32 DOSYA SİSTEMLERİ ARASINDA SEÇİM Windows 2000 kurarken NTFS, FAT ve FAT32 dosya sistemlerinden birisini kullanabilirsiniz. Önerilen dosya sistemi NTFS’tir. NTFS dosya sistemi FAT ve FAT32 dosya sistemine göre daha güçlüdür. Windows 2000 yeni versiyon bir NTFS dosya sistemine sahiptir. Yeni NTFS dosya sistemi Active Directory gibi birçok yeni özelliklere sahiptir. Windows 2000 kuruluşunda NTFS, FAT ve FAT32 dosya sistemlerini seçebileceğiniz gibi eski mevcut dosya sistemine dokunmadan (intact) da kurabilirsiniz. Ancak yeni dosya sistemine geçecekseniz tercihiniz NTFS olarak yapmanızda yarar var. Bu işlem için mevcut partition’u NFTS dosya sistem ile formatlamanız gerekir. Formatlamak mı yoksa çevirmek (convert) mi? Bir FAT ya da FAT32 partition’u NTFS ile formatlamak mevcut bilgilerin silinmesi anlamına gelir. Ancak fragmantasyon (bölünme) ve performans çevirmeye göre daha iyi olur. Çevirmek (convert) işlemi mevcut bilgileri bozmadan dosya sistemini değiştirme anlamına gelir. Çevirme işlemi kuruluşun ardından Convert.exe programı ile yapılır. Bu durumda eski bilgilere bir şey olmaz. FAT ya da FAT32 dosya sistemini kullanabileceğiniz tek durum dual-boot olarak bilinen bilgisayarda birden çok işletim sisteminin bulunmasıdır. Eğer diskinizi yeni Windows 2000 ile gelen yeni NTFS ile formatlamışsanız ona Windows NT 4.0-Service Pack 4 dışında diğer işletim sistemleriyle ulaşmanız söz konusu değildir. II. NTFS İZİNLERİNİ DÜZENLEMEK Disk alanlarının daha güvenli bir şekilde korunması ve yetkilendirilmesi için NTFS disk formatının seçilmesi ve NTFS izinlerinin verilmesi gerekir. Birçok düzenlemenin olması için, örneğin Active Directory kuruluşu, disk kotaları düzenlemek için diskin NTFS olması gerekir. Sabit diskin NTFS ya da FAT olması kuruluş sırasında düzenlenir ya da Computer Management aracılığıyla yapılır. A. NTFS DOSYA İZİNLERİ Dosya izinleri Full Control, Modify, Read & Execute, Read ve Write izinlerinden (ya da birleşimlerinden) oluşur. Aşağıdaki tabloda temel izinlerin bir araya gelmesiyle oluşan özel izinler yer almaktadır: Özel İzinler Full Control Modify Read & Execute Read Write Traverse Folder/Execute File X x x List Folder/Read Data X x x x Read Attributes X x x x Read Extended Attributes X x x x Create Files/Write Data X x x Create Folders/Append Data x x x Write Attributes x x x Write Extended Attributes x x x Delete Subfolders and Files x Delete x x Read Permissions x x x x x Change Permissions x Take Ownership x Synchronize x x x x x Full Control iznine sahip olan kullanıcılar ya da gruplar izine bakılmaksızın dosyalar üzerinde bütün işlemleri (silme, değiştirme) yapabilirler. B. Folder İzinleri Folder izinleri (klasör izinleri) Full Control, Modify, Read & Execute, List Folder Contents, Read ve Write izinlerinden oluşur. Bu izinler de bir araya gelerek özel izinleri oluştururlar. Aşağıdaki tabloda temel izinlerin bir araya gelerek yarattığı özel izinler yer almaktadır: Özel İzinler Full Control Modify Read & Execute List F. RW Traverse Folder/Execute File x x x x List Folder/Read Data x x x x x Read Attributes x x x x x Read Extended Attributes x x x x Create Files/Write Data x x x Create Folders/Append Data x x x Write Attributes x x x Write Extended Attributes x x x x Delete Subfolders and Files x Delete x x Read Permissions x x x x Change Permissions x Take Ownership x Synchronize x X x x x NTFS izinleri vermek için de Windows Explorer kullanılabilir. Önce Windows Explorer'ı çalıştırın. 1. İstenilen dizin seçilir. 2. Dizin üzerinde sağ tıklanır Properties seçilir. Ardından Security sekmesi seçilir. 3. Add düğmesiyle istenilen kullanıcılar seçilir. 4. İstenilen izinler düzenlenir. III. UYGULAMA 1) NTFS bir disk bölümü/volüm üzerinde bir dizine NTFS izni verin: Windows Explorer'ı başlatın: 1. İstenilen dizin seçilir. 2. Dizin üzerinde sağ tıklayın Properties ve oradan Security sekmesi seçilir. 3. Add düğmesi tıklanarak istenilen kullanıcıyı seçin. 4. Read izni verin. IV. Gözden Geçirme 1. Temel NTFS izinleri nelerdir? 2. FAT dosya sisteminin kötü tarafları nelerdir? 3. NTFS dosya sisteminin üstünlükleri nelerdir? 4. Bir Windows 2000 kurulumundaki disk yapısının NTFS olup olmadığı nasıl anlaşılır (görülür) ? 5. Bir Windows 2000 bilgisayarındaki diskin NTFS olması nasıl sağlanır. YAZDIRMA İŞLEMİ Ders sonunda yapabilecekleriniz: -Windows 2000'de yazdırma işlemlerini açıklamak. -Internet/Intranet yazıcılarını tanımlamak. -Lokal ve Ağ yazıcılarını tanımlamak. -Yazdırma işlemlerini yönetmek. I. WINDOWS 2000'DE YAZDIRMA İŞLEMİ Windows 2000'de yazdırma (printing) işlemi, Windows 98 ve Windows NT'de temel işlemlere benzer. Bu işlemlere bakmadan önce Windows 2000'de yazdırma alanında yapılan önemli bir özelliğe değinelim: Internet Printer'ı kavramı. Internet printer'ı, Internet Explorer aracılığıyla Internet ya da Intranet üzerindeki yazıcılara yazdırmak anlamına gelir. Böylece kullanıcılar tarayıcıları aracılığıyla yazıcının URL'ini yazarak çıktılarını yazıcıya gönderebilecekler ya da yazıcıyı yönetebilecekler. Tarayıcı aracılığıyla yazdırabilmek için gerekenler: -Yazıcı paylaştırılmalıdır. -Yazıcı sunucusu Windows 2000 Server ve IIS yüklü ya da Windows 2000 Professional ve Peer Web Services (PWS) yüklü olmalıdır. -İstemcide Internet Explorer 4.0 ya da üzeri yüklü olmalıdır. Tarayıcıdan yazıcıya bağlanmak için: Adres çubuğunda şu ifade yazılır: http://sunucu/printers Örnek: http://sirket-server/printers Bunun dışında bir Internet ya da Intranet yazıcısının bir ağ yazıcısı gibi tanımlamak için ise şu işlemler yapılır: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Ardından Network Printer seçeneği ve Next seçilir. 4. Connect to a printer on the Internet or on your intranet. seçeneğini seçin ve Address kutusunda http://sunucu/printers/paylaşımadı/.printer formatında yazıcıyı belirtin. 5. Next'i tıklayın. Formatı: http://sunucu/printers/paylaşımadı/.printer Örnek: http://sirket-server/printers/HPLaser5/.printer II. YAZICILARININ YÖNETİMİ Sistem yöneticisinin görevlerinden birisi yerel ve ağ yazıcılarının (network printers) kurulmasıdır. Windows 2000’de bir yazıcı printing device olarak tanımlar. Printer ise yazıcı aygıtı ile uygulama arasındaki arabirimdir. Yazdırma kuyruğu (print queue) ise yazdırılmak üzere bekleyen dokümanlardır. Yazdırma sunucusu (Print Server) ise yazıcıların bağlı olduğu ve sürücülerin (drivers) yüklü olduğu bilgisayardır. Windows 2000 için şu yazıcıların tanımlanması olanağı vardır: -Lokal yazıcılar. -Ağ yazıcıları. -Internet/Intranet yazıcıları. Lokal yazıcı bilgisayara bağlı olarak kullanılan ya da diğer kullanıcılar için paylaştırılan yazıcıdır. Ağ yazıcısı ise bilgisayara bağlı değildir. Diğer bir bilgisayara ya da ağa doğrudan bağlıdır. Internet/Intranet yazıcısı ise, Internet ya da Intranet üzerindeki yazıcılara Internet tarayıcıları (Internet Explorer) arayıcılarıyla yazdırmaktır. Bir lokal yazıcının kurulması: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Local Printer seçilir. 4. Ardından istenilen yazıcı seçilir ve kuruluş tamamlanır. Ağ üzerinde daha önce yaratılmış olan bir yazıcıya bağlanmak ve onu sürekli kullanmak için ise aşağıdaki yollar izlenir: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Ardından Network Printer seçeneği seçilir. 4. Locate your printer iletişim kutusunda şu seçenekler vardır: Find a printer in the directory seçeneği ile yazıcı Active Directory servisi ile aranır. Windows 2000’de paylaştırılan bütün yazıcılar Active Directory içinde yayınlanır. Type the printer name or click next to browse for a printer seçeneği ise ağ üzerinde daha önce paylaştırılmış olan yazının adresi (yolu) yazılır. A. Bir Yazıcının Özelliklerini Düzenlemek Printers klasöründen seçilen bir yazıcının özellikleri yazıcının çalışmasını düzenler. Bu düzenlemeler şunlardır: -Çalışma zamanları. -Separator (ayırıcı) dosyalarının düzenlenmesi. -Çıkışın (port) seçilmesi. -Yazıcı işlemcisinin (processor) seçilmesi. -İşlerin önceliklerinin düzenlenmesi. -Paylaşımın düzenlenmesi. -Kullanım izinlerinin düzenlenmesi. -Yazıcı ile ilgili sayfa, çözünürlük vb. düzenlemeleri. Yazıcının özellikleri File mönüsünden ya da üzerinde sağ tuşa basarak elde edilir: Advanced tabında New Driver düğmesi ile yazıcı sürücüsü değiştirilir. Separator Page düğmesi ile ayırıcı sayfa düzenlenir. Print Processor düğmesi ile de yazdırma işleminin tipi seçilir. Ports bölümünde çıkışlar düzenlenir. Sharing (paylaşım) bölümünde ise yazıcının paylaşıma açık olup olmaması düzenlenir. Not Shared bir yazıcı paylaşılmayan bir yerel yazıcıdır. Shared yazıcı ise kendisine verilen bir adla diğer kullanıcılar tarafından (yine verilen izinler çerçevesinde) kullanılır. Security (Güvenlik) bölümünde Permissions (izinler), Auditing (denetim) ve Ownership (sahiplik) düğmeleri vardır. Permissions bölümünde yazıcıyı kullanacak kullanıcılar ve gruplar belirlenir ve izinleri verilir. Security bölümünde yer alan Auditing düğmesinde ise yazıcıyı kullanacak kullanıcıların yaptığı işlemler takip edilir. Daha sonra bu işlemler (success ya da failure) olarak Event Viewer’den takip edilir. Device Setting (Aygıt Ayarları) bölümünde ise yazıcıya özel sayfa büyüklükleri, çözünürlük vb ileri ayarlamalar yapılır. B. YAZDIRMA İZNİ Tanımlanan bir yazıcıya Everyone, Print iziniyle kullanır. Adminstrator ve Power Users grubu da yazıcı yaratımını (düzenlemesini) yapar ve Full Control izinine sahiptir. Bunun dışında yazıcıyı yaratan kullanıcı (owner) yazıcı üzerinde Full Control iznine sahiptir. Yazıcı yönetiminde dört düzey izin vardır. Tablo : Yazıcı yönetimi izinleri İşlem No Access Print Yazdırma yok x x x Düzenleme Yok x x x Yok x x x Manage Documents Full Control Durdurma, başlatma ve kendi işini silme Bütün işler için düzenleme Yok x x Durdurma, başlatma ve bütün işleri silme Yok x Yazıcıyı paylaştırma Yok x x Yazıcı özelliklerini değiştirme Yok x Yazıcı silme Yok x İzinlerini değiştirme Yok x C. YAZDIRMA İŞİNİN YÖNETİMİ Yazdırma işinin bir diğer konusu ise yazıcıdan yazdırılmakta olan işin takibidir. Uygulama programında yazıcıya yollanan iş yazıcı tarafından yazdırılırken Windows’un spool’unda bekler. Bu aşamada işler görüntülenebilir. İptal (cancel) edilebilir ya da durdurulabilir (pause). -Cancel -Pause -Restart Yollanan işlemleri yönetmek için önce Start, Settings, Printers klasörü seçilir. Burada istenilen yazıcının üzerine fare ile çift tıklayarak yazıcıya yollanan işlerin durumu görülür. Bu işlemler Adminstrator ve diğer yönetim izni olan kişiler tarafından yapılır. Yazıcıya yollana işin adı (name), durumu (status), sahibi (owner), kaç sayfa (pages) olduğu, büyüklüğü (size) vb bilgiler yer alır. Kullanıcı ya da sistem yöneticisi istediği işi seçerek durdurma, iptal ve diğer işlemleri yapabilir. Bu işlem için Document mönüsü ya da seçilen iş üzerinde farenin sağ tuşuna basılır. III. UYGULAMA Bunun dışında bir Internet ya da Intranet yazıcısının bir ağ yazıcısı gibi tanımlamak için ise şu işlemler yapılır: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Ardından Network Printer seçeneği ve Next seçilir. 4. Connect to a printer on the Internet or on your intranet. seçeneğini seçin ve Address kutusunda http://sunucu/printers/paylaşımadı/.printer formatında yazıcıyı belirtin. 5. Next'i tıklayın. Bir lokal yazıcının kurulması: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Local Printer seçilir. 4. Ardından istenilen yazıcı seçilir ve kuruluş tamamlanır. Ağ üzerinde daha önce yaratılmış olan bir yazıcıya bağlanmak ve onu sürekli kullanmak için ise aşağıdaki yollar izlenir: 1. Start mönüsünden Settings bölümünden Printers klasörüne ulaşılır. 2. Add Printer simgesi üzerine tıklanır. 3. Ardından Network Printer seçeneği seçilir. 4. Locate your printer iletişim kutusunda şu seçenekler vardır: IV. GÖZDEN GEÇİRME 1. Windows 2000'le gelen Internet/Intranet yazıcısı nedir? Yararları ne olabilir? 2. Bir Internet/Intranet yazıcısı oluşturmanın koşulları nelerdir? 3. Yazıcı izinleri nelerdir? 4. Bir yazıcı kuyruğunda bekleyen diğer kullanıcıların dokümanlarını silmek için hangi izne gereksinim duyulur? DİSK YÖNETİMİ Ders sonunda yapabilecekleriniz: -Windows 2000 Disk türleri. -Bir Basic Disk üzerinde partition yaratmak. -Bir Dynamic Disk üzerinde volüm yaratmak. -Disk yönetim görevleri. I. DİSK KAYNAKLARININ YÖNETİMİ Bir bilgisayar sistemi ya da network yönetiminin görevlerinden birisi diskleri yönetmektir. Diskleri bölümlemek, formatlamak, disk kümeleri oluşturmak, paylaşımlar yaratmak ve izinleri düzenlemek temel disk işlemleridir. Windows 2000 iki tür sabit disk kullanımını destekler. Basic diskler ve dinamik diskler. Basic diskler daha önceki Windows işletim sistemlerinde bulunan disk partitionlarından oluşur. Dinamik diskler ise gelişmiş disk kullanımını ifade eder. Bir ya da daha çok disk üzerinde oluşturulan volümleri destekler. Disk kullanım türleri disk üzerindeki alanların kullanımını belirler. Dinamik diskler sadece Windows 2000 tarafından kullanılır. Basic disk kullanımı: Basic diskler primary ve extended partitionlardan oluşurlar. Extended partition mantıksal sürücüler içerir. Dinamik diskler ise basit volümler, spanned volümler, mirror volümler, striped volümler ve RAID-5 volümlerinden oluşur. Dinamik disk kullanımının üstünlükleri şunlardır: -Volümler değişik disklerdeki bitişik olmayan boşlukları içerebilir. -Her disk üzerindeki yaratılacak volüm sayısında limit yoktur. -Disk konfigürasyon bilgileri disk üzerinde saklanır. Bu bilgi diğer disklere de replike edilir ve böylece bir disk arızasından diğer diskler etkilenmez. İPUCU: Varsayım disk türü Basic'dir. Bunun dışında yeni disklere Windows 2000'in kuruluşunda da diskler Basic disk olarak düzenlenir. Dinamik diskler elde etmek için özellikle yapılan bir upgrade (terfi) işlemi gerekir. Disk yönetimi işlemlerinin hemen hepsi Disk Administrator aracılığıyla yapılır. Disk Administrator'a ulaşmak için şu adımlar izlenir: 1. Administrative Tools’dan Computer Management seçilir. 2. Konsol ağacında Storage açılır. 3. Disk Management açılır. 4. Computer Management açılır. Bilgisayardaki diskler, büyüklükleri ve format türleri (NTFS ya da FAT) ve partititon/volüm türleri görünür. A. BASİC DİSKLER ÜZERİNDE PARTİTİON TÜRLERİ Basic diskler eski Windows NT işletim sistemlerinde olduğu gibi maksimum dört primary partition ya da üç primary partition ve bir extended partition’dan (çok sayıda mantıksal sürücü) oluşur. Disk partitionlarını görmek için: 1. Administrative Tools’dan Computer Management seçilir. 2. Konsol ağacında Storage açılır. 3. Disk Management açılır. 4. Computer Management açılır. Burada diskler ve düzenlemeleri görünür. B. DİNAMİK DİSKLER ÜZERİNDEKİ VOLÜM TÜRLERİ Basic diskleri dinamik haline dönüştürdüğümüzde partition (disk bölümü) terimi yerini volüm kavramına bırakır. Volüm değişik düzenleme olanakları olan bir bölümüdür. Dinamik disklerde şu volüm türleri olabilir: -Simple volüm -Spanned volüm -Mirrored volüm -Striped volüm -RAID-5 volüm Bir simple volüm tek bir disk üzerinde oluşur. Spanned volüm ise 2 ila 32 disk arasında çok sayıda disk üzerindeki alanlardan oluşur. Spanned volümler, Windows NT 4.0 içindeki volüm setlere benzerler. Mirrored volümler ayrı disklerde bulunan simple volümlere benzerler. Mirrored volümler sabit disklerden birisinin çökmesi durumunda da çalışmayı sürdürür. Bu düzenleme de Windows NT 4.0 içindeki mirror setlere benzer. Striped volümler ise 2 ila 32 diskin tek bir volüm olarak bir araya getirilmesini sağlar. RAID-5 volümleri ise fault-tolerant özelliğine sahiptir. C. BASİC DİSKLERİ DİNAMİK HALE GETİRMEK Windows 2000 içinde basic diskler herhangi bir zamanda dinamik disk olarak değiştirilebilirler. Bu dönüşümde herhangi bir bilgi kaybı olmaz. Bu işlem için Disk Management kullanılır: Basic disk üzerinde sağ tuşa tıklanarak Upgrade to Dynamic Disk seçilir. Dönüşümün ardından basic disk elemanlarının yeni yapısı şu şekilde olur: Basic disk(Dönüşümden önce) Dinamik disk (Dönüşümden sonra) System ve boot partition Simple volüm Primary partition Simple volüm Extended partition ve mantıksal sürücü Herhangi bir mantıksal sürücü bir simple volüm olur. Boş alanlar ise “unallocated space” olur. Volüme Set Spanned volüm Stripe set Striped volüm Mirror set Mirrored volüm Stripe set with parity RAID-5 volüm NOT: Basic diskler dinamik disk haline çevrilebilir, ancak dinamik diskler Basic haline çevrilemez. Bu ancak dinamik disklerin silinmesiyle oluşur. Bir Basic diski Dynamik (dinamik) hale çevirin: Basic disk üzerinde sağ tuşa tıklanarak Upgrade to Dynamic Disk seçilir. İşlem sistemin Restart'ından sonra gerçekleşir. D. SİMPLE VOLÜMLERİN YARATILMASI Bir simple volüm bir disk üzerinde yaratılan bir alandır. Simple volüm ayanı partition gibi bir disk üzerindeki belli bir alanı ifade eder. Ancak simple volümlerin boyut ve sayı sınırı yoktur. Bunun dışında basic volümlere daha sonra ekleme yapılarak genişletilebilir. Bir simple volüm FAT, FAT32 ya da NTFS formatlı olabilir. Ancak bir simple volümü genişletmek için NTFS formatlı olması gerekir. Bir simple volüm yaratamak için: 1. Administrative Tools’dan Computer Management seçilir. 2. Konsol ağacında Storage açılır. 3. Disk Management açılır. 4. Disk üzerindeki boş alan üzerinde sağ tuşa tıklanır. 5. Create Volume seçilir. 6. Yaratılacak volümün büyüklüğü ve format türü seçilir. II. RUTİN DİSK YÖNETİM İŞLEMLERİ Disk yönetimi sistemdeki sabit disk ya da diskler üzerindeki partition/volüm alanlarını yönetmenin yanı sıra, disklerdeki dosyaları paylaştırılması, diskin birleştirilmesi (defrag), disk üzerinde NTFS izinlerinin düzenlenmesi gibi rutin disk işlemleri de vardır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. A. DOSYALARIN PAYLAŞTIRILMASI Sistem araçları içinde bir diğer bölüm ise Shared Folder’dır. Bu bölümde bilgisayar üzerinde yapılan paylaşımlar yönetilir. Örneğin mevcut paylaşımlar izlenir ya da yeni bir paylaşım yaratılır. Bir paylaşım yaratmanın en kolay yolu Windows Explorer'dır. Önce Windows Explorer'ı çalıştırın. 1. İstenilen dizin seçilir. 2. Dizin üzerinde sağ tıklanır ve Sharing seçilir. 3. Paylaşıma bir ad verilir. 4. Permissions düğmesi tıklanarak izinler düzenlenir. B. DİSKİN BİRLEŞTİRİLMESİ Windows 2000 bulunan Disk Defragmenter, gelişmiş bir disk birleştirme programıdır. FAT, FAT32 ve NTFS volümleri üzerinde çalışır. Bu program parçalanan dosya ve klasörleri birleştirir. Böylece bir dosya ya da klasör bitişik bir yer kaplar. Diski birleştirmek için: 1. Accessories bölümünde System Tools seçilir. 2. Disk Defragmenter çalıştırılır. 3. Analyze düğmesine tıklanarak dosyaların durumları izlenir. 4. Defragment düğmesine tıklanarak birleştirme işlemi yapılır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. III. UYGULAMA 1) Mevcut Windows 2000 sisteminizdeki diskleri ve düzenlemelerini görün: 1. Administrative Tools’dan Computer Management seçilir. 2. Konsol ağacında Storage açılır. 3. Disk Management açılır. 4. Computer Management açılır. 2) Bir Basic diski Dynamik (dinamik) hale çevirin: Basic disk üzerinde sağ tuşa tıklanarak Upgrade to Dynamic Disk seçilir. İşlem sistemin Restart'ından sonra gerçekleşir. 3) Bir paylaşım yaratın: Windows Explorer'ı başlatın: 1. İstenilen dizin seçilir. 2. Dizin üzerinde sağ tıklanır ve Sharing seçilir. 3. Paylaşıma bir ad verilir. 4. Permissions düğmesi tıklanarak izinler düzenlenir. 4) NTFS bir disk bölümü/volüm üzerinde bir dizine NTFS izni verin: Windows Explorer'ı başlatın: 1. İstenilen dizin seçilir. 2. Dizin üzerinde sağ tıklayın, Properties'i ve Security sekmesi seçilir. 3. Add düğmesi tıklanarak istenilen kullanıcıyı seçin. 4. Read izni verin. IV. Gözden Geçirme 1. Basic disk ile Dynamic diskler arasında ne fark vardır? 2. Sistem yeni eklenen bir diskin varsayım türü nedir? 3. NTFS izinleri ile paylaşım izinleri arasındaki fark nedir? 4. Rutin disk yönetim görevleri nelerdir? FAULT TOLERANCE (HATAYA DAYANIKLILIK) Ders sonunda yapabilecekleriniz: -RAID'i yapılandırmak. -Disaster Recovery araçlarını tanımak. -Windows 2000’de yer alan sorun giderme yöntemlerini ve araçlarını açıklamak. I. YIKIMDAN KURTARMAK (DİSASTER RECOVERY) Disaster Recovery ifadesiyle bilgisayarın çalışamadığı, arızalandığı ve sorunlarından dolayı açılış (boot) yapamadığını durumlardan kurtulmak için yapılacak çalışmalar açıklanır. Bu çalışmalar sorun giderme (troubleshooting) olarak tanımlanır ve başlıca RAID'li disk sistemlerinin kurulması gibi hataya dayanıklılık (fault tolerance) ve kurtarma çalışmalarını içerir. A. RAID RAID disk sistemleri, herhangi bir arızadan dolayı arızalanan bir disk biriminin sistemin tünümün çökmesine izin vermemesini sağlar. Windows 2000 üç tür RAID yapısını destekler: RAID 0: Striped Volume RAID 1: Mirrored Volume RAID 5: Striped Volume With Parity RAID 0 sistemi, disk şeritleme olarak da adlandırılır. Bu düzenleme 2 ila 32 disk arasında yapılır. Ancak hataya karşı dayanıklılığı yoktur. RAID 1 sistemi, disk mirroring (ikizleme) olarak da adlandırılır. Bu düzenleme bir diskin aynı bir kopyasının daha sistem tarafından tutulmasını sağlar. Böylece disklerden birisi arızalandığında ikinci disk devreye sokularak veri kaybı önlenir. RAID 5 sistemi, pariteli disk şeritleme olarak da adlandırılır. Bu düzenleme 3 ila 32 disk arasında yapılır. RAID 5, diğer RAID düzenlemelerine göre en gelişmiş olanıdır. Özellikle okuma işleminde olmak üzere disk işlemlerindeki performansı da artırır. Birçok disk içeren RAID 5 sistemlerinde bir disk arıza oluştuğunda, disk yenisiyle değiştirilir ve sistem yeni diskin içeriğini diğerlerinden oluşturur. Bu durumda hiçbir veri kaybına neden olunmaz. B. MİRRORED VOLÜM YARATMAK Bir mirrored volüm yaratmak için şu adımlar izlenir: 1. Start, Programs'da Administrative Tools menüsünden Computer Management seçilir. 2. Konsol ağacı içinde Storage açılır ve Disk Management seçilir. 3. Atanmamış boş disk alanı üzerinde sağ tıklanır ve Create Volume seçilir. 4. Ardından Next ile ilerlenir ve Volume Type olarak Mirrored Volume seçilir. 5. Next'in ardından Select Disk sayfasında iki disk seçilir ve yaratılacak mirror setinin özellikleri düzenlenir. 6. Format Volume sayfasında ise mirror disk için FAT, FAT32 ya da NTFS seçilir. C. RAID–5 VOLÜM YARATMAK Bir RAID-5 volüm yaratmak için ise şu adımlar izlenir: 1. Start, Programs'da Administrative Tools menüsünden Computer Management seçilir. 2. Konsol ağacı içinde Storage açılır ve Disk Management seçilir. 3. Atanmamış boş disk alanı üzerinde sağ tıklanır ve Create Volume seçilir. 4. Ardından Next ile ilerlenir ve Volume Type olarak RAID-5 Volume seçilir. 5. Next'in ardından Select Disk sayfasında diskler (en az üç disk) seçilir ve yaratılacak RAID 5 setinin özellikleri düzenlenir. 6. Format Volume sayfasında ise mirror disk için FAT, FAT32 ya da NTFS seçilir. II. SORUN GİDERME Sorun giderme (troubleshooting), bilgisayarda yazılım ve donanım olarak oluşan hataların bulunmasını (teşhis) ve giderilmesini sağlayan bir alandır. Windows 2000 işletim sistemi olası sorunların bulunması ve giderilmesi için bize yardımcı olacak çok sayıda araca sahiptir. Bu araçları başında Troubleshooter gelir. Windows 2000 Help’i içinde sorunların belirlenmesi ve çözümüne yönelik olarak Troubleshooter, adım adım sorunun tanılanmasını sağlar. Önemli bir hata tanılama aracı Event Viewer'dır. Bu araç, hataların sistem tarafından kaydedilmesini sağlar ve tutulan kayıtlara bakılarak sorunlar belirlenir. Bunun dışında Windows 2000 Resource Kit, Techet CD’leri, Microsoft.com sitesinde yer alan yardım ve destek bölümleriyle Windows 2000 sorunlarının çözülmesine çalışılır. NOT: Computer Management içinde yer alan Event Viewer programını çalıştır ve loglarda yer alan hataları kontrol edin. A. SORUN GİDERME YÖNTEMLERİ Sorunların teşhis edilmesi ve çözülmesi için değişik teknikler kullanılır. Bu teknikler sadece donanım arızalarının giderilmesi ve yazılım sorunlarının giderilmesi şeklinde değildir. Bu teknikler çeşitli araçların kullanımını ve hata mesajlarının analiz edilmesini de kapsar. Eğer sorun yeni yapılan bir düzenleme sonucunda oluştuysa, yapılan son düzenlemeler geri alınır. Örneğin yüklenen bir yazılım, sistem bileşenlerinden birisinin çalışmasını engellemişse o geri alınır. Eğer sistemde yapılan güncelleme sistemde hataya yol açtıysa, sistem yeniden başlatılır. Açılışta F8 tuşuna basılarak Windows 2000 Advanced Options mönüsünden Last Known Good Configuration seçilir. Bu işlem sayesinde sistemde son yüklenen sürücüler iptal edilir ve bir önceki (sağlam) konfigürasyon kullanılır. B. SORUN GİDERME ARAÇLARI Windows 2000 içinde ve Microsoft tarafından sağlanan diğer olanaklarla karşılaşılan sorunların giderilmesi için çok sayıda araç vardır. 1. Computer Management Konsolu Windows 2000’de klasörlerin paylaştırılması, servislerin yönetimi ve diğer araçları başlatmak için Computer Management konsolu kullanılır. Computer Management, sabit disk yönetimi yapacak olan sistem yöneticisinin kullanacağı ana yönetim araçlarından birisidir. Tek bir bilgisayar üzerindeki konfigürasyon işlemlerini üstlendiği gibi, ağ üzerindeki diğer bilgisayarları da yönetebilir. Bu olanaklarının yanı sıra içindeki sistem araçları ve servisler bölümü aracılığıyla sorunların teşhis edilmesi ve giderilmesi konusunda da yardımcı olur. Computer Management konsolu açmak için: Computer Management programına ulaşmak için Programs bölümünden Administrative Tools seçilir. Computer Management içindeki yönetim araçları: -System Tools (Sistem Araçları) -Storage (Disk saklama alanları) -Services and Applications (Servisler ve Uygulamalar) System Tools Windows 2000’in bütün versiyonlarında yönetim aracı olarak vardır. Bu araçlar içinde: Event Viewer, Services, Device Manager gibi araçlar yer alır. Storage Disk Management ve Logical Drivers gibi disk yönetimi araçlarını içerir. Services and Applications Sadece Windows 2000 Server içinde yer alır. Bilgisayarın konfigürasyonuna uygun olarak çeşitli araçları dinamik olarak içerir. Bu araçlar içinde DHCP, Internet Information Services ve Indexing Service gibi araçlar yer alır. System Tools bölümünde, özellikle sorunların teşhisinde kullanabileceğimiz Event Viewer, System Information.programları yer alır. Event Viewer, Windows 2000 içinde sistem ve uygulamalarla ilgili logları tutan bir programdır. Application, Security, System ve Directory servisi ile ilgili logları ayrı ayrı tutar. Sistem yöneticisi donanım bileşenleri ve Windows 2000 servisleri ile ilgili bütün hataları (sorunları) system loguna bakarak 2. Sistem Bilgileri Sistem araçları içinde en çok kullanılan diğer bir araç ise System Information bölümüdür. Bu bölümde kullanılan bilgisayar hakkında bilgi elde edilir. Bu bölüde system summary, hardware resources, components, software environments gibi bölümler yer alır. Hardware resources bölümünde donanım bileşenleri ile ilgili bilgiler yer alır. Bunların içinde bellek (memory), IRQ ve I/O gibi bilgiler yer alır. IRQ değerleri PC mimarisine dayanır. PC’ye donanım olarak takılan birimler için kullanılan belli numaralar vardır. Örneğin yazıcı, ses kartı ya da network adaptörü gibi. Zaman zaman “IRQ çakışması” şeklinde duyduğumuz sorunları gidermek için mevcut IRQ ayarlarının kontrol edilmesinde bu bölüm kullanılır. 3. Aygıt Yöneticisi Sistem Araçları içinde yer alan en yararlı araçlardan birisi de Device Manager’dır. Device Manager’ın en önemli işlevi bilgisayara takılı bulunan bileşenleri listelemesidir. Bu arada eğer bir sorun varsa onun da işaretleyerek belirtmesidir. Böylece hatalı bir ağ adaptörünün ya da ses kartının görülmesi sağlanır. Aygıt Yöneticisi (Device Manager) görünümüne ulaşmak için My Computer simgesi üzerinde sağ tuşa tıklanır ve Hardware bölümü seçilir. Burada çalışmayan aygıtlar ! işaretiyle gösterilir. C. AÇILIŞ MODLARI Windows 95/98’den alıştığımız F8 tuşu, Windows 2000'de de açılışta boot seçeneklerinin kullanılmasını sağlar. Bu seçenekler şunlardır: F8 tuşu ile ekrana gelen açılış seçenekleri: Windows 2000 Advanced Options Menu Please select an option: Safe Mode Safe Mode with Networking Safe Mode With Command Prompt Enable Boot Logging Enable VGA Mode Last Known Good Configuration Directory Services Restore Mode (Windows 2000 domain controllers only) Debugging Mode Boot Normally Use and to move the highlight to your choice. Press Enter to choose. Bu durumda bir seçenek seçilerek ENTER tuşuna basılır. Safe Mode: Bu seçenek ile açılış yapıldığında sadece temel aygıt sürüleri yüklenir ve sistemin mouse, keyboard, disk kaynakları, temel video ve standart sistem servislerinin çalışması sağlanır. Safe Mode with Command Prompt: Bu seçenek Safe Mode ile aynıdır. Ancak Windows Explorer yerine komut satırının çalışması sağlanır ve network yeteneği de vardır. Safe modda sadece gerekli aygıt sürücüleri yüklendiği için sorunların izole edilmesi ve çözülmesi sağlanır. Bu modu şu durumlarda kullanabiliriz: -Windows 2000 açılışta uzun süre bekliyor ya da kilitleniyorsa. -Windows 2000 doğru çalışmıyor ya da beklenmedik sonuçlar veriyorsa. -Video (ekran) kartı doğru çalışmıyorsa. Table :Windows 2000 Açılış Seçenekleri Seçenek Açıklama Safe Mode (Safeboot_Option=Minimal) Windows 2000’in sadece temel dosya ve sürücülerle başlatılmasını sağlar. Bu sürücüler fare, ekran, disk ve ekran için kullanılır. Safe Mode with Networking (Safeboot_Option=Network) Safe moda ek olarak networkü başlatmak için gerekli sürücüler de yüklenir. Safe Mode with Command Prompt (Safeboot_Option=Minimal) Safe moda ek olarak komut satırının kullanılmasını sağlar. Enable Boot Logging Açılışta Ntbtlog.txt dosyasını yaratır. Bu dosyada bütün sürücülerin adı ve durumu yer alır. Log dosyası %SystemRoot% klasöründe saklanır. Enable VGA Mode Bilgisayarın VGA modunda açılmasını sağlar. Last Known Good Configuration Windows 2000’in son kaydedilen aygıt setiyle açılmasını sağlar. Eğer yeni yüklenen bir sürücüden dolayı bir hata ile karşılaşıldıysa bu seçenek kullanılır. Directory Service Restore Mode Active Directory’nin restore edilmesini sağlar. Bu seçenek sadece Windows 2000 DC’larda vardır. Debugging Mode Windows 2000’in kernel debug modda açılmasını sağlar. Bu modda debugger ile kernel dosyalara erişilerek sorunun analizi yapılır. Normal Boot Windows 2000’in bütün başlangıç dosyalarını ve registry’sini yüklemesini sağlar. II. UYGULAMA Açılış sırasında F8 tuşuna basarak Windows 2000 açılış seçeneklerini görün. III. GÖZDEN GEÇİRME 1. Event Viewer’ın ve System Information bölümünde hangi hatalar loglanır? 2. Last Known Good Configuration mönüsü nedir ? Hangi durumlarda kullanılır ? Bir örnek verin. 3. Açılış seçeneklerini görmek için hangi tuş kullanılır? 4. Yüklenen sürücülerin Windows 2000 üzerinde hataya yol açmaması için ne tür önlemler alırsınız? TERMİNAL SERVİSLERİ Ders sonunda yapabilecekleriniz: -Terminal servislerini tanıtmak. -Terminal servisini kurmak. -Terminal servisini yapılandırmak. -Terminal oturum yönetimi. -İstemci servisini kurmak. I. TERMİNAL SERVİSLERİ Bir uygulama sunucusu üzerinde çok sayıda program çalışmaktadır. Değişik istemcileriniz herhangi bir kuruluş yapmadan bu programları sunucu üzerinde çalıştırabilir mi? İşte terminal server bu işi yapıyor. Terminal server servisi, server üzerinde çalışan bir uygulamasının genellikle daha düşük donanım özelliklerine sahip bir client bilgisayar tarafından erişilip çalıştırılmasını sağlar. Bu kullanımda yönetim ve işletim merkezidir. İstemciler sunucunun olanaklarını kullanılırlar: RAM ve işlemci olarak. Terminal server servisi her kullanıcı için bir client ortamı (session) yaratır. Terminal serverı clientın fare ve klavye hareketlerini alır ve işler. Terminal servis serverı TCP/IP protokolü üzerinde RDP (Remote Desktop Protocol) protokolünü kullanır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. A. TERMİNAL SERVİSİNİN KURULMASI Terminal Servisinin kurulması, Windows 2000 Server kuruluşu sırasında ya da daha sonra Control Panel’den Add/Remove Programs ile yapılır. Terminal servisin kurulması sırasında şu işlemler yapılır: 1. Windows Component Wizard’da Terminal Services ve Terminal Services Licensing onay kutusu işaretlenir. 2. Kuruluşun tamamlanmasının ardından Administrative Tools gurubu altına şu programlar eklenir: Tablo : Yüklenen Terminal Server programları: Program İşlevi Terminal Services Client Creator Terminal Servisinin client yazılımını disketlere kurar. Bu disketler sayesinde Terminal Services client yazılımı yüklenir. Terminal Services Configuration Terminal Servisi protokolü ve server düzenlemeleri yapılır. Terminal Services Licensing Terminal servisi için client erişim lisanslarını yönetir. Terminal Services Manager Oturumları izler ve yönetir. Çok sayıda kullanıcı bağlanacak ve uygulamayı sunucudan çalıştıracak. Bu sunucu için bir ek yük getireceği için sunucunun RAM ve işlemci bakımından yeterli olması gerekir: Kullanıcı başına ortalama ek 20 MB RAM'a gereksinim duyulur. Bu kullanıcının çalışmalarına göre daha fazla ya da daha az olabilir. B. CLİENT YAZILIMINI KURMAK Terminal servisinin client yazılımının kurulması için bir network paylaşımı kullanılır ya da disketler hazırlanır. Terminal Services Client Creator programı kullanılarak kuruluş disketleri hazırlanır. Client bilgisayara bu disketler aracılığıyla client servisi kurulduktan sonra Terminal server’a bağlanılır. Client (sitemci) yazılımı, istemciden sunucuya bağlanılarak Windows sistem dizinin altında Tsclient.exe programının kurulmasıyla yapılır. Ayrıca istenirse daha esnek koşullarda kullanmak için istemcilerin bağlanmasını sağlayacak disketler de hazırlanabilir: Disket hazırlamak için: 1. Terminal Services Client Creator çalıştırılır. 2. Yaratılacak client yazılım için aşağıdaki seçeneklerden birisi seçilir: -Terminal Services for 16-bit Windows (3 disket) -Terminal Services for 32-bit Windows (1 disket) -Terminal Services for 32-bit Alpha Windows (3 disket) Ardından client bilgisayarda birinci disket takılarak Setup.exe programı çalıştırılır. Kuruluşun ardından server üzerinde bir terminal oturumu başlatılabilir. C. BİR TERMİNAL OTURUMU AÇMAK Client bilgisayar üzerinde Terminal server client programının çalıştırılmasının ardından istenilen server seçilir ve terminal oturumu başlatılır. Terminal oturumunun en önemli özelliği, server’a bağlanılarak oradaki bir uygulamayı server üzerindeymiş gibi çalıştırabilmektir. Bu işlem sırasında server kaynakları kullanılır. Ancak uygulamayı kullanan kişi client bilgisayardadır. Bu işlem sürecinde terminal server RDP (Remote Desktop Protocol) protokolünü kullanarak kullanıcını fare ve klavye hareketlerinin ve sadece ekran yenilikleriyle client bilgisayara taşır. Bir Terminal Server’a bağlanmak: 1. Terminal Services Client programı başlatılır. Terminal Services Client iletişim kutusunda şu seçenekler yer alır: Tablo: L2TP ve PPTP arasındaki farklar: Seçenek İşlevi Server Terminal serverın adı girilir ya da IP adresi girilir. Screen area İstenilen ekran çözünülürlüğü seçilir. Available servers İstenilen server seçilir. Low-speed connection Modem ya da yavaş bir network kullanılıyorsa seçilir. Cache bitmaps to disk Bu seçenek ile ekran değişiklikleri lokal bir ön bellek alanında saklanarak performansın artırılması sağlanır. 2. Ardından Connect düğmesine tıklanır ve Terminal server’a logon olunır. Terminal oturumunda sistem kaynaklarının kullanımını kontrol altına almak için oturum üzerinde değişik ayarlar yapılır. Terminal oturumu istenildiği zaman kesilebilir (disconnect) ya da oturum için süre verilebilir. D. DESTEKLENEN UYGULAMALAR Terminal server birçok uygulamayı çalıştırır. Ancak bazı uygulamaların çalışması için Terminal server ortamında küçük ayarlamalar yapmak gerekir. Bu nedenle uygulamaların kullanıcıların kullanımlarına açılmasından önce test edilmesi gerekir. -Windows Uygulamaları -MS-DOS Uygulamaları -Diğer Uygulamaları 32-bit Windows uygulamaları çok kullanıcı olarak çalıştırılır. MS-DOS uygulamaları ise 32bit ortam için hazırlanmadıkları için daha düşük performansla çalışırlar. Bunun dışında diğer uygulamalar için Terminal server’da ayarlamalar gerekebilir. Text tabanlı tek-kullanıcı uygulamalar ise Terminal server üzerinde çalışmazlar. E. CLİENT DONANIM GEREKSİNİMLERİ Terminal servisinin client üzerinde çalıştırılması için çok fazla donanım özelliklerine gereksinim duyulmaz. Terminal server şu platformları destekler: Tablo: Terminal server’dan yararlanabilecek platformlar İşletim Sistemi Ana Bellek İşlemciVideo Adaptör Windows for Workgroups 3.11 16 MB 386 VGA Windows 95 16 MB 386 VGA Windows 98 16 MB 486 VGA Windows NT 4.0 16 MB 486 VGA Windows 2000 32 MB Pentium VGA Bununla birlikte Terminal Services Client yazılımının üç versiyonu vardır: -Windows 2000 için 32-bit -Windows NT için 32-bit -Windows 98 için 32-bit -Windows 95 için 32-bit -Alpha-temelli bilgisayarlar için 32-bit -Windows for Workgroups için 16-bit. II. UYGULAMA Terminal Server servisini kurun. Control Panel, Add/Remove Programs bölümünden Windows Component Wizard’da Terminal Services seçilerek yüklenir. Client bilgisaryardan bağlantı için disket hazırlamak: 1. Terminal Services Client Creator çalıştırılır. 2. Yaratılacak client yazılım için aşağıdaki seçeneklerden birisi seçilir: 3. Disketler takılır ve yaratılması beklenir. Client bilgisaryardan bağlantı istemci yazılımını yüklemek: Windows sistem dizini içinde TSClient.exe programını bulun ve çalıştırın. Terminal servera bağlanın: 1. Kuruluşun ardından Terminal server’a bağlantı: 2. Terminal Services Client programı çalıştırılır. 3. Terminal server seçilir ve Connect düğmesine tıklanır. 4. Logon To Windows iletişim kutusundan kullanıcının adı ve parolası girilir. III. GÖZDEN GEÇİRME 1. Bir kullanıcı bir terminal server'a ortalama ne kadar RAM yükü getirir. 2. Terminal server ile sağlanan üstünlükleri açıklayınız? 3. Terminal servisinin client yazılımının client bilgisayara yüklenmesi yollar nedir? PERFORMANSIN İNCELENMESİ Ders sonunda yapabilecekleriniz: -Sistem işlemlerini loglamak. -Sistem kaynaklarını izlemek için Task Manager'ı kullanmak. -Sistem performansını izlemek için System Monitor'u kullanmak. I. EVENT LOGLARI İZLEMEK Windows 2000 kullanıcılardan, uygulamalardan ve sistem işlemlerinden dolayı oluşan olayları (events) bir log sisteminde kaydeder. Windows 2000 bu olayları Event Viewer programında takip eder. Event Viewer içinde değişik olayları tutmak için birçok log vardır: Güvenlik düzenlemeleri ve denetim (audit) kayıtları Security logunda tutulur. Sistem düzeyinde oluşan genel hatalar ise System logunda, uygulamalar tarafından oluşan hatalar ise Application logda tutulur. Olaylar bu loglara kaydedildikten sonra; düzenli olarak ya da belli bir sorun oluştuğunda hatanın belirlenmesi için incelenir. Windows 2000 Logları: System Log: Windows 2000 sistem bileşenleri tarafından neden olunan hatalar bu loga yazılır. Örneğin bir network kartının tanınmaması, bir servisin çalışmaması gibi genel hatalar bu loga yazılır. Application Log: Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır. Security Log: Sistem kaynaklarının kullanımında karşılaşılan hatalar bu loga yazılır. Event Loglarını görmek için çeşitli araçlar kullanılır: A. COMPUTER MANAGEMENT KONSOLU Windows 2000’de klasörlerin paylaştırılması, servislerin yönetimi ve diğer araçları başlatmak için Computer Management konsolu kullanılır. Computer Management, sabit disk yönetimi yapacak olan sistem yöneticisinin kullanacağı ana yönetim araçlarından birisidir. Tek bir bilgisayar üzerindeki konfigürasyon işlemlerini üstlendiği gibi, ağ üzerindeki diğer bilgisayarları da yönetebilir. Computer Management içindeki yönetim araçları: -System Tools (Sistem Araçları) -Storage (Disk saklama alanları) -Services and Applications (Servisler ve Uygulamalar) System Tools Windows 2000’in bütün versiyonlarında yönetim aracı olarak vardır. Bu araçlar içinde: Event Viewer, Services, Device Manager gibi araçlar yer alır. Storage Disk Management ve Logical Drivers gibi disk yönetimi araçlarını içerir. Services and Applications Sadece Windows 2000 Server içinde yer alır. Bilgisayarın konfigürasyonuna uygun olarak çeşitli araçları dinamik olarak içerir. Bu araçlar içinde DHCP, Internet Information Services ve Indexing Service gibi araçlar yer alır. B. SİSTEM ARAÇLARININ KULLANIMI System Tools bölümünde Event Viewer, System Information, Performance, Shared Folders, Device Manager ve Local Users gibi programlar yer alır. Event Viewer, Windows 2000 içinde sistem ve uygulamalarla ilgili logları tutan bir programdır. Application, Security, System ve Directory servisi ile ilgili logları ayrı ayrı tutar. Sistem yöneticisi donanım bileşenleri ve Windows 2000 servisleri ile ilgili bütün hataları (sorunları) system loguna bakarak görebilir. Bir şekilde başlayamamış bir servis, tanımayan bir donanım birimine ait hata ya da uyarı mesajları bu logda tutulur. Sistem araçları içinde Event Viewer içinde yer alan Security logu ise sistem düzeyinde ve NTFS disk bölümleri üzerinde yapılan dosya ve klasör Auditing düzenlemeleri sonucunda yapılan aktiviteleri tutar. Örneğin kullanıcıların logon saatleri ya da bir dosyaya yapılan erişimlerin zamanı ve diğer bilgileri gibi. Windows 2000, Security logunda şu olaylarla ilgili aktivitelerin kayıtlarının tutulmasını sağlar: -Sistemin başlatılması -Sistemin kapatılması -Yapılan başarılı ve başarısız logon işlemleri -Bilinmeyen kullanıcıların adları ve parolaları -Account yönetimi ile ilgili işlemler -Password süresinin aşması -Bir nesnenin (dosyanın) açılması -İzin düzenlemeleri -Domain düzenlemeleri -Kullanıcı bilgilerinin düzenlenmesi -Grup üyeliklerinin düzenlenmesi Windows 2000’de varsayım olarak Security Log düzenlemeleri kapalıdır. Log işlemlerinin başlatılması için Group Policy düzenlemelerinin yapılması gerekir. C. LOG DOSYALARINI BÜYÜKLÜKLERİNİ AYARLAMAK Sistem çok fazla hata üretiyor ve onlarda loglanıyorsa; bir süre sonra logların kontrol edilmesi gerekir. Log dosyalarının mevcut büyüklükleri ne kadardır? Olaylar ne kadar süre saklanmalı? Event Viewer penceresinde Properties düğmesi tıklanarak her bir log için kapasite ve üzerine yazma (overwriting) durumları düzenlenebilir. Burada overwrite as needed ya da overwrite events older than x days ile belirtilen gün kadar saklama yapılıp ondan sonra silinmeye başlar. Ya da logun manuel olarak silinmesi düzenlenir. D. TASK MANAGER Task Manager, hepimizin bildiği ancak performansın kontrolü için kullanmadığı bir araçtır. Sistemin şu anki durumu hakkında; işlemler (processes) ve ana bellek (memory) olarak bilgi verir. Bilgiler kapasiteyi, sistem performansını ve uygulamaların sistem kullanımını görmeyi sağlar. Task Manager'ı başlatmak için en pratik yol CTRL+ALT+DEL tuş bileşimine basmak ve Task Manager'ı seçmektir. Task Manager'ın üç sekmesi vardır: -Applications -Processess -Performance Application sekmesi bilgisayarda şu anda çalışan uygulamalar hakkında bilgi verir. Ayrıca uygulamaların hangi işlemle (process) ilişkilendirildiğini de görebilirsiniz. Bir application bilgisi üzerinde sağ tıklayıp Go to Process komutunu seçtiğinizde o uygulamayla ilgili olan işleme (process) gidilir. 1. Processes (İşlemler) Processes sekmesi de şu anda çalışmakta olan işlemlerin listesini ve işlemlerin sayısal bilgilerini (measures) gösterir. Bu bilgileri işlemin kullandığı ana bellek (memory) ve işlemci (CPU) miktarını verir. İşlem Hakkında Bilgiler: İşlemler sekmesinde her bir işlem hakkında numarası ve kaynak kullanımıyla ilgili bilgiler de görüntülenir: Özellik Açıklama CPU İşlem tarafından kullanılan bellek oranı. CPU Time İşlem tarafından kullanılan toplam işlemci zamanı. Mem Usage İşlem tarafından kullanılan toplam ana bellek miktarı (KB olarak). II. PERFORMANSI İZLEMEK Bilgisayarın mevcut performansını izlemek için de Performance sekmesi kullanılır. Bu sekmede işlemci (CPU ya da micro processor) ve ana bellek (memory) kullanımını grafik ve sayısal olarak gösterilir. Performans sekmesinin görünümünde özet olarak şu bölümler yer alır: İşlem Ölçümleri Açıklama Totals Bilgisayardaki işlem (process) ve iş parçası (thread) sayısı toplamıç. Physical Memory Bilgisayardaki toplam fiziksel ana bellek miktarı. Available değeriyle işlemler tarafından kullanılabilir miktar görüntülenir. Commit Charge Sanal bellek (virtual memory) miktarı. Limit değeriyle bütün işlemler tarafından kullanılabilecek sanal bellek miktarı. Peak değeriyle oturumda kullanılabilecek maksimum sanal bellek miktarı. Kernel Memory Paged (sanal bellekten kullanılmış) ve nonpaged olmak üzere bellek alanını gösterir. A. SYSTEM MONİTOR (PERFORMANCE) PROGRAMI Sistem Monitor (Performans) aracı daha spesifik olarak sistemin izlenmesini sağlar. Örneğin diskte kullanılabilir alanın , ana bellekteki kullanılabilir alanların ya da network kullanımının grafik olarak izlenmesi gibi. Sistem Monitor grafik, histogram ya da rapor formatında çıktı sağlar. System Monitor programını başlatmak için: 1. Start menüsünden Programs, ardından Administrative Tools işaret edilir. 2. Performance tıklanır. B. NESNELER (OBJECTS) VE SAYAÇLAR (COUNTERS) System Monitor, sistem üzerindeki olayları (performansı) belli nesneler ve onların belli özellikleri (counter) aracılığıyla görüntüler. Nesneler (Object): Sistem üzerindeki donanım ve yazılım bileşenleri ifade eder. Örneğin Memory, Processor, Hard Disk gibi bileşenler birer nesnedir. Onlarında örneğin Memory nesnesinin Available Bytes (kullanılabilir byte) değeri de counter bilgisidir. III. UYGULAMA Aşağıdaki nesne ve sayaçları izleyin ve sonucu yorumlamaya çalışın: -Processor, %Processor Time -Memory, Available Bytes -PhysicalDisk, %Disk Read Time -PhysicalDisk, %Disk Write Time Sistem üzerinde değişik uygulamaları çalıştırarak ve üzerinde işlemler yaparak, yapılan işlemlerin sistem üzerindeki yüklerini izlemeye çalışın. IV. GÖZDEN GEÇİRME 1. Kullanıcılara destek veren bir sistem destek uzmanı Task Manager'dan nasıl yararlabilir? 2. Event Viewer'a nasıl ulaşılır? 3. Security logunda hangi olayların kaydı bulunur? OTOMATİK IP ADRESİ ATAMAK Ders sonunda yapabilecekleriniz: -DHCP servisi açıklamak. -DHCP servisini kurmak. -DHCP servisinin yetkilendirmek. -Kapsam yaratmak ve yapılandırmak. -DHCP servisini birden çok subnet için yapılandırmak. I. DHCP SERVER SERVİSİ DHCP (Dynamic Host Configuration Protocol), TCP/IP konfigürasyonunun yapılmasını, istemci bilgisayarlara IP adreslerinin otomatik olarak atanmasını merkezi ve otomatik biçimde sağlayan bir programdır. DHCP servisi diğer ağ servisleri gibi Control Panel, Add/Remove Programs’tan Windows Component bölümünden Network Services’in Detail bölümünden seçilir. Ardından Administrative Tools menüsünden DHCP seçeneği ile başlatılır. A. NEDEN DHCP KULLANILIR ? TCP/IP networklerinde bir bilgisayarın diğer istemci ya da sunucu bilgisayarla iletişim kurabilmesi için bir I adresinin ve onunla ilgili olarak, subnet mask’ının ve default gateway’in (varsayılan ağ geçidinin) olması gerekir. IP adreslerinin, subnet maskların ya da DNS server adresi ve gateway gibi adreslerinin manuel olarak girilirken yanlış değerler girilmesi problemlere yol açabilir. Bu nedenle DHCP sayesinde IP adreslerinin dinamik olarak verilmesi özellikle büyük networklerde çok kullanışlıdır. Windows 2000’de DHCP server ve DNS serverlar beraber çalışırlar. DNS server Active Directory domain adlarının çözülmesini sağlar. Bu arada DNS update protokolü ile DHCP istemcilerini otomatik olarak DNS veritabanına kayıt eder. Böylece daha önce Windows NT’de olduğu gibi DCHP istemcilerinin dinamik olara DNS kaydedilmesi için başka düzenlemelere gerek kalmaz. BAKINIZ: ŞEKİL: DHCP İLE ADRES ALMA (ATAMA) İŞLEMİ B. DHCP SERVER Genelde her subnet’te bir DHCP server bulunur. DHCP sunucusunun statik bir IP adresi vardır. DHCP serve üzerinde IP adreslerinden oluşan bir havuz oluşturulur. Buna kapsam alanı (scope) denir. Örneğin 197.101.47.91 den 197.101.47.98’e kadar bu numaralar DHCP sunucusu tarafından istemcilere atanır ya da kiralanır. Bir DHCP istemcisi DHCP sunucusundan bir IP adresi istediğinde, DHCP sunucusu kullanılmamış bir IP adresini adres havuzundan seçer ve DHCP istemcisine sunar. DHCP Server’ı Kurmak: DHCP server’ın kurulması için şu yollar takip edilir: 1. Start mönüsünden Settings seçilir. 2. Control Panel, Add/Remove Programs’tan Windows Component bölümünden Network Services’in Detail bölümünden ten DHCP seçilir. NOT: DHCP Server servisinin kurulması için bilgisayarda sabit bir IP adresinin olması gerekir. C. DHCP İSTEMCİLERİ TCP/IP’nin bir istemci üzerine kurulması için TCP/IP konfigürasyon bilgisine gereksinim duyulmaz. Bunun yerine DHCP düzenlemeleri otomatik olarak yapılır. Aşağıdaki işletim sistemleri DHCP istemcisi olabilir: -Windows 2000 Server ve Professional -Windows NT Server 4.0, 3.5x -Windows NT Workstation 4.0, 3.5x -Windows for Workgroups 3.11 (32-bit) (NT CD’sinden) -Windows 9x -Microsoft Network Client 3.0 for MS-DOS (NT CD’sinden) -LAN Manager 2.2c for MS-DOS (NT CD’sinden) DHCP-uyumlu olmayan diğer istemciler için ise IP adresleri manuel olarak verilmelidir. Bir istemcinin IP adresini DHCP sunucudan alması için TCP/IP düzenlemesinde "Obtain IP address automatically" seçeneğini seçmesi gerekir. Böylece istemciye statik bir IP adresi girilmeyecek, IP adresi DHCP sunucusundan gelecektir. Not: Bunun dışında Windows 2000, IP adresinin DHCP’den alınması şeklinde konfigüre edilmiş bilgisayarların bir DHCP server bulamadığı durumda adres alması için otomatik IP adresi konfigürasyonu sistemine sahiptir. Bu adresler 169.x.x.x ile başlar. Buna APIPA (Otomatik IP Adresi Atama) denir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. D. DHCP Scope’ları (Kapsam) DHCP server servisinin kurulmasının ardından istemci bilgisayarların kullanacağı (alacağı) IP adreslerinin belirlenmesi gerekir. Bu işlemler Programs, Administrative Tools, DHCP programıyla yapılır. Dağıtılacak IP adreslerine scope (kapsam alanı) denir. Bu işlem için IP adresleri örneğin .10 dan .50’ye kada düzenlenir. Scope (kapsam) bir subnet içinde bir yaratılır. Windows 2000 DHCP konsolunda Superscope ve normal scope olmak üzere iki tür scope yaratılabilir. Superscope’lar network üzerinde çok sayıda scope anlamına gelir. Normal bir kapsam aralığı yaratmak için: 1. Start mönüsünden Programs, Administrative Tools ve DHCP seçilir. 2. DHCP konsolunda scope yaratılacak olan server üzerinde sağ tuşa tıklanır. 3. New Scope seçilir. 4. Scope için bir ad verilir ve Next düğmesine tıklanır. 5. Scope için bir açıklama girilir ve Next tuşu ile ilerlenir. 6. Start Address ve End Address alanlarına istenilen IP adresi aralığı tanımlanır. Örneğin: 195.160.1.1 den 195.160.1.200’e kadar 200 IP adresi İPUCU: Yaratılan bir adres aralığı (kapsam) değiştirilemez. Silinir ve yeniden yaratılır. Kapsam alanı yaratmada kullanılan seçenekler şunlardır: Tablo: Seçenekler Seçenek İşlevi IP Adress Pool Start Address DHCP istemcisine atanabilecek adreslerin başı. IP Adress Pool End Address DHCP istemcisine atanabilecek adreslerin sonu. Subnet Mask Kapsam alanı içindeki bütün istemcilere uygulanacak subnet mask. Exclusion Range Start Address IP adres havuzundan çıkartılacak adreslerin başlangıç aralığı. Exclusion Range End Address IP adres havuzundan çıkartılacak adreslerin bitiş aralığı. Lease Duration Unlimited Atamaların süresiz olmasını sağlar. Lease Duration Unlimited To Days (gün), hours (saat) ve minute (dakika) olarak adres atamanını kısıtlanması. Name Adres kapsamına verilen bir ad. Comment Kapsam için bir açıklama. II. DHCP İŞLEMİ Bir DHCP istemcisi her açıldığında bir DHCP sunucusundan bir IP adresi ister (request). DHCP sunucusu bu isteği aldığında, veritabanındaki adres listesinden bir adres seçer ve istemciye adresi sunar (offer) . İstemci b sunuşu kabul ettiğinde DHCP sunucusu IP adresini istemciye belli bir süre kiralar (leases). Varsayılan kiralama süresi 8 gündür. Alınan IP adresi bilgisi yalnızca bir IP adresini değil, diğer ek bilgileri de içerir. Bu bilgiler: -Subnet mask. -Default Gateway. -DNS Server. -WINS Server. A. DHCP SERVİSİNİ YETKİLENDİRMEK Windows NT'de bir DHCP Server'ı kurduğunuzda ve kapsamını ayarladığınızda hemen devreye girerdi. Windows 2000 networklerinde ise DHCP Server'ın istemciye bir IP adresi vermeden önce yetkilendirilmesi (authorize) gerekir. Bu yetkilendirmenin nedeni yetkisiniz DHCP Server'ları olası istemcilere IP adresi vermesi ve network üzerinde sorunların oluşmasıdır. B. BİR DHCP SERVER'I YETKİLENDİRMEK Bir DHCP Server'ı yetkilendirmek için ortamda Active Directory domain controller olması gerekir. Bunun dışında yetkilendirme işlemini yapacak olan kişi Enterprise Admins grubunun üyesi olmalıdır. Bir DHCP Server'ı yetkilendirmek için: 1. Administrative Tools menüsünden DHCP'yi seçin. 2. Konsol üzerinde DHCP üzerinde sağ tıklayın ve Manage authorized servers'ı seçin. 3. Manage Authorized Server iletişim kutusundan Authorize'ı seçin. 4. Bu iletişim kutusunda DHCP Server'ın IP adresini ya da adını yazın. C. ROUTE EDİLEN NETWORLER DHCP KULLANIMI DHCP Server'ın çalışmasında subnet içinde bir broadcast iletişimi yapılır. Bu iletişimde istemci ve sunucu bulunur. Bununla birlikte, Router aygıtları büyük networklerde subnetleri birbirinden ayırmak için kullanılır. Router'ların bir görevi de subnetler içindeki broadcastleri diğer subnetlere geçirmemesidir. Bu durumda routed networklerde DHCP kullanımı üç şekilde yapılır: 1. Her subnet'e bir DHCP Server kurmak. 2. DHCP mesajlarını iletmek için subnetler arasında 1542-compliant router kullanmak. 3. her subnet üzerinde, DHCP mesajlarını subnetler arasında yönlendirmek için bir DHCP relay agent yapılandırmak. Bu yöntemlerden en kullanışlısı DHCP relay agent kullanımıdır. Hem broadcast mesajlarını önler, hem de te bir DHCP Server tarafından sağlanan IP adreslerinin birçok subnet tarafından kullanılmasını sağlar. D. DHCP RELAY AGENT KURMAK DHCP Relay Agent servisi DHCP'nin bulunmadığı diğer subnetlerdeki bir Windows 2000 Server üzerine kurulur. Böylece diğer subnetlerdeki IP adresi isteği DHCP'nin bulunduğu subnet'e (orijinal DHCP Server'a) yönlendirilmiş olur. DHCP Relay Agent servisini kurmak için: 1. Administrative Tools menüsünden Routing and Remote Access'i seçin. 2. Konsol üzerinde IP Routing'i seçin. 3. Ayrıntı bölümünde General'e sağ tıklayın ve New Routing Protocol'u seçin. 4. Burada DHCP Relay Agent'i seçin. 5. Ardından DHCP Relay Agent için Properties iletişim kutusunu açın ve Server Address kutusuna DHCP Server'ın IP adresini yazın. NOT: Hemen hemen bütün sınavlarda TCP/IP ile ilgili soru vardır. TCP/IP ile ilgili sınavların çoğunda da DHCP Relay Agent’ı görebilirsiniz. Özellikle birden çok Subnet varsa, ikinci bir DHCP kurmak karmaşık olabilir. Bu durumda diğer subnet’in DHCP serverını kullanmak durumu oluşur… III. UYGULAMA 1. DHCP Server servisini kurun. 2. İstemci üzerinde IP adresinin DHCP sunucusundan otomatik olarak alınmasını sağlayın. TCP/IP düzenlemesinde "Obtain IP address automatically" 3. DHCP Server'ı yetkilendirin. Authorize. 4. Bir kapsam aralığı (scope) yaratın. IV. GÖZDEN GEÇİRME 1. DHCP Server'lar neden yetkilendirilirler? 2. DHCP kiralama işleminin aşamaları nelerdir? 3. DHCP Relay Agent nedir? Nasıl yapılandırılır? 4. APIPA nedir? Hangi durumlarda devreye girer. DNS SERVİSİNİ KURMAK Ders sonunda yapabilecekleriniz: -DNS'in işleyişini açıklamak. -DNS servisinin kurmak. -Zone yaratmak. -DNS ve DHCP'yi bütünleştirmek. I. DNS NEDİR ? Bu derste, Network servislerinden en önemlilerinden birisi olan DNS servisini ile tanışacaksınız. Domain adları diye bir kavram var. Örneğin farukcubukcu.com gibi ad ya da orneksirket.com.tr gibi kullanıcıların kolayca kullanabilecekleri ve aslında bir sunucuyla ilişkilendirilen bir ad olan bilgilerin kullanımını sağlamak için kullanılır. Domain Name System (DNS), TCP/IP ağlarında client/server iletişiminin tamamlayıcı bir parçasıdır. DNS (Domain Name System), ağ içindeki bilgisayarların adlandırılmasını ya da adlarının elde edilmesini sağlayan bir sistemdir. Internet üzerinde yaygın olarak kullanılan DNS sistemi özel ağlar (intranet) içinde de kullanılabilir. Bildiğimiz gibi TCP/IP ağlarında bilgisayarların birer IP adresi vardır ve ağ içindeki iletişim bununla sağlanır. Ancak ağ içindeki çok sayıda bilgisayarların IP adresini bulmak ve kullanmak zor olur. Bu nedenle ağ bölümlerine (domain) ve bilgisayarlara belli bir hiyerarşi içinde adlar verilir. İşte DNS, bu adlandırma sistemidir. TCP/IP ağlarında bilgisayar adlarını IP adreslerine çeviren dağıtık bir veritabanı olan DNS, Windows 2000’deki ad çözümlemesi (name resolution) için kullanılır. Windows 2000 domaini yaratmak için yerel ya da remote (uzak) olmak üzere bir DNS kuruluşuna gereksinim vardır. Bir Windows 2000 Server’a DNS servisinin kurarak DNS server’ın aktif hale getirilmesinin ardından diğer istemci bilgisayarlar TCP/IP konfigürasyonlarında DNS Server’ın adını belirterek DNS’ten yararlanırlar. BAKINIZ: ŞEKİL: DNS SERVER'IN İŞLEVİ: DNS sisteminde ağ içindeki bilgisayarlar düz bir liste olarak değil de hiyerarşik ve mantıksal bir liste olarak tutulur. Düz bilgisayarlar listesi: Server1 Bilgisayar1 Makine23 Hiyerarşik Sistem: Şirket Kullanici1.Şirket Altşirket.Şirket. Kullanici2.altşirket.şirket A. DNS SERVER SERVİSİNİ KURMAK DNS servisi bir server üzerinde kurulabileceği gibi TCP/IP düzenlemelerinden başka bir DNS Server’ın kullanılması da sağlanabilir. Active Directory için aynı bilgisayarda (yerel) ya da diğer bir bilgisayarda (remote) bir DNS server’a gereksinim duyulur. DNS Servisinin kurulması için şu işlemlerin yapılması gerekir: -Control Panel, Add/Remove Programs’tan Windows Component bölümünden Network Services’in Detail bölümünden ten DNS seçilir. DNS Server servisi kurulur. Otomatik olarak başlatılır. Ardından yönetim işlemleri için, Administrative Tools menüsünden DNS için bir kısayol olacak şekilde DNS Console kullanılır. B. İSTEMCİLERİN YAPILANDIRILMASI Bir istemcinin (client) ad çözümleme (name resolution) işlemi için DNS Server'ı kullanması için istemci bilgisayarda TCP/IP düzenlemelerinde, IP adresini ve DNS adresini otomatik olarak alacak şekilde ya da manuel olarak Use the following DNS address automatically seçeneğini seçerek yapılır. Böylece istemci ad çözümleme işleminde belirtile DNS Server'a bakar. NOT: Bu işlem için istemci bilgisayarına IP adresinin nasıl verildiğine ve IP adresi ile ilgili iletişim kutularında yer alan DNS bölümünde DNS sunucusunun adresine bakınız. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. C. DNS Sorguları Nasıl İşler? Buraya kadar güzel! Ancak istemci Internet Explorer aracılığıyla (örnek), www.bizimsirket.com.tr adresini yazdı ve IP adresi ayarlamalarından kendisinin bağlı olduğu DNS sunucusundan bu adresin IP adresini istedi. Şimdi bu iletişime biraz bakalım: Bir DNS client, program içinde geçen bir adı aramak istediğinde; bu ad DNS Server’a sorulur. Bu işleme DNS sorgu (query) denir. Her query mesajı server iki kısımdan oluşan bir bilgi gönderir ve yanıtını ister. -Belirtilen DNS domain adı. (FQDN). -Bir kaynak kaydını ya da query işlemini belirten query türü. Örneğin bir bilgisayarın FQDN adı user1.teknik.sirket.com ise ve query türü A (adres) kaynak kaydına sahipse; DNS client, DNS Server’a şu soruları sorar: Soru: user1.teknik.sirket.com adlı bilgisayar için A kaynak kaydına sahip misin? DNS sorguları (query) değişik şekillerde çözülürler. Bazen bir client sorgusunu yanıtlamak için bir önceki query’den oluşturduğu local cache’den yanıtlar. Normalde DNS server kendi cache kayıtlarına bakarak sorguyu yanıtlar. Bunun dışında bir DNS server client’ın yerine diğer DNS server’larla da ilişki kurarak client’in isteğini sorar. Bu işleme recursion denir. Ayrıca client kendisi de diğer DNS serverlarla kontakt kurabilir. Bu işlem için ayrı bir query kullanılır. Bu işlem ise iteration olarak adlandırılır. Bütün DNS aramalarında DNS adının diğer bilgisayarda araması yapılır ve IP adresi elde edilir. Buna ileri (forward) arama denir. DNS bunun dışında reverse lookup olarak adlandırılan ve IP adresi olan client’in adının aranmasını da gerçekleştirebilir. II. ZONLAR DNS ad alanının bir kısmına zone (bölge) adı verilir. Zonlar bir DNS server üzerinde saklanan kayıtlara karşılık gelir. Her zone genellikle bir domaine bağlıdır. Domainler ise ad alanının bir koludur (branch). Zonlar kayıtlarla ilgilidir. Bir zone çok sayıda domaini içerebilir. DNS sisteminde yer alan bir DNS ad alanı zonlara (zone) bölünür. Zonlar bir ya da daha çok DNS domain’leri hakkında bilgi saklarlar. Zonlarla domainler arasında ne fark vardır? Zone (bölge), tek bir domain adı için yaratılan bir veritabanıyla başlar. Bir zone veritabanı dosyası host adlarının IP adreslerini saklar. Bir alt domain ekleneceği zaman orijinal zon kayıtlarında yer alır ya da diğer bir zona gönderilir. Örneğin sirket.com domaini tek bir zon olarak konfigüre edilmiştir. Bunun dışında alt domainler de aynı zonda olabilir ya da diğer zonlara atanabilirler. Tablo: Zon türleri Zone Türleri Açıklama Standard Primary Zon veritabanı dosyasının master kopyası. Zonun yaratıldığı bilgisayarda yer alır. Standard Secondary Zon veritabanı dosyasının bir kopyası (replikası). Bu dosya ana DNS sunucu üzerinde ya da diğer DNS sunucularında yaratılır. Dosya Readonly dir. Active Directory Integrated Active Directory içinde saklanan bir zon veritabanı dosyası. Active Directory replication işlemi sırasında zon veritabanı da güncellenir. Not: Windows NT 4.0’da yer alan DNS Server servisi standart primary ve secondar zone yaratmayı sağlar. Sadece Windows 2000, active directory integrated (active directory ile bütünleşik) zonların yaratılmasını sağlar. A. ZONE TRANSFERİ Diğer sunucuların zonları içermesi için zon transferi (replication) yapılır. Böylece zon bilgileri bütün sunuculara replike edilir ve eşitlenir. Böylece ortama yeni bir DNS server eklendiği zaman full initial transfer yapılır. Windows 2000 Server ayrıca incremental zone transferini de destekler. Bu düzenleme ise sadece değişine bilgilerin transferi anlamına gelir. Aşağıdaki işlemler zon transferine neden olur: -DNS servisinin ikincil bir sunucuda başlatılması. -Zon için interval (aralık) zamanının bitmesi durumunda ya da ikincil sunucu (secondar server) üzerinde DNS Server servisi başlatıldığında, ikincil sunucu ana sunucuyu değişiklikler için sorgular. -Primary zon üzerinde değişiklik yapıldığında. DNS sunucuları primary ve secondary zonlara ev sahipliği yapar. Primary zonlar lokal olarak yönetilirler. Secondary zonlar ise diğer serverlardan replike edilirler. Zon transferi her zaman secondary server tarafından başlatılır. B. KAYITLAR VE ZONE DOSYALARI DNS serverlar adları çözmek için kendi zone dosyalarına danışılar. Bu dosyalar DNS veritabanı olarak da adlandırılır. Bu dosyalar içinde kaynak kayıtları (resource records) yer alır. Bu kayıtlar da domain bilgileriyle ilişkilendirilir. Kaynak kayıtlarının bazıları IP adreslerine karşılık gelen adları tutarken diğerleri diğer DNS serverların yerini tutar. Kaynak kayıtlarının yapısı aşağıdaki gibidir: Owner TTL Class Type RDATA Alanların bir çoğu seçimliktir. Owner alanı kaynak kaydının ait olduğu host ya da domain adını belirtir. TTL (Time To Live) alanı ise 32-bit bir saniye bilgisidir ve çözücünün bu bilgiyi tutacağı (cahe) zamanı belirtir. Class bilgisi ise kullanılan protokol ailesini tanımlar. RDATA alanı ise kaynak bilgiyi gösterir. Kaynak Kayıtlarının Türü DNS veritabanında değişik kaynak kayıtları yer alır: -SOA -NS -A -PTR -CNAME -MX -SRV Bu liste Windows 2000 kuruluşları içinde bulunan kaynak kayıtlarıdır. Kaynak Kaydı Amacı SOA (start of authority) Domain bilgilerini içeren DNS ad sunucusunu tanımlar. NS (name server) Domain içindeki DNS ad sunucularının adlarını listeler. A (host) Bir host (bilgisayar) adını bir IP adresine çözer. PTR (pointer) Bir IP adresini bir host adına çözer. CNAME (canonical name) Belli bir host için alias adı yaratır. SRV (service) Belli bir servis için belli bir servisin yerini bulur. Örneğin bir istemci DNS sunucuna bir ad sunucusundan SRV kayıtları sayesinde domain controller bilgisayarların (server) IP adreslerini bulur. C. DİNAMİK UPDATE Dinamik update işlemi (güncelleme) DNS client’ın kendi A (address) kaynak bilgisinde bir değişiklik olduğunda DNS Server’a bildirmesi anlamına gelir. Windows 2000 client ve server olarak dinamik update işlemini destekler. DNS dinamik update protokolü, bilgisayarın adresinin yenilenmesi durumunda DHCP kayıtlarının dinamik olarak update edilmesini sağlar. 1. Dinamik Update Düzenlemesi Bir zonun dinamik olarak güncellenmesi (update) edilmesi o zonun Properties iletişim kutusundan Allow Updates seçeneğinin Dynamic Update olarak seçilmesi gerekir. Bununla birlikte DHCP Server’ında DNS dinamik update işlemi için düzenleme yapmak gerekir. Bu işlem için DHCP Server üzerinde Properties iletişim kutusunda Dynamic DNS tabında Enable dynamic update of DNS client information onay kutusu işaretlenir. D. DNS SERVER SERVİSİNİN TEST EDİLMESİ Windows 2000 DNS Server servisi, test ve izlemek amaçlı bir yardımcı programa gereksinimi vardır. Bu işlem için Nslookup programı kullanılır. Bunun dışında DNS Server servisi, belli aralıklarda düzenlenen sorgularla servisin işleyip işlemediğini kontrol eder. Bu düzenleme için Properties iletişim kutusundan Monitoring tabı seçilir. DNS Server servisi, simple query ve recursive query olmak üzere iki tür sorgu (query) ile test edilir. Simple query lokal bir test uygularken, recursive query diğer DNS name serverlarını da test etmeye yarar. III. UYGULAMA 1) makine1 adlı Windows 2000 server’ına DNS servisinin kurulması ve konfigüre edilmesi: 1. DNS servisini ekleyin. 2. DNS servisini çalıştırın ve zonları konfigüre edin. • Forward lookup zone. • Standard Primary. • Zone name: sirket.com 2) İstemcilerin DNS Server'larını düzenleyin. İstemcilerin IP yapılandırmasını yapmak için bilgi ve uygulama olarak Ders 19’a bakınız. IV. GÖZDEN GEÇİRME 1. DNS Server'ın network üzerindeki fonksiyonu nedir? 2. DNS dynamic update protolokü ne işe yarar ? 3. İstemcilerin DNS Server'ı sorgulamaları için ne yapılır? PUBLİC KEY INFRASTRUCTURE KULLANIMI Dersin sonunda yapabilecekleriniz: -Public Key Infrastructure (PKI) tanıtımı. -Certificate servislerini yapılandırmak. I. GİRİŞ Intranet, Internet ya da herhangi bir network ortamındaki bilgisaya bilgilerimizin güvenliğini her zaman tehdit edecek kişiler olabilir. B bilgilerin güvenli bir şekilde saklanması ve gönderilmesi için bir gü yöntemi olarak genel anahtarlama (public key) yöntemi kullanılır. 2000 ise hem kendi PKI özellikleri ve üçüncü parti güvenlik yazım bilgilerinizin daha güvenli saklanmasını sağlar. Kriptografi (Cryptograhy) verileri korumak üzere geliştirilmiş bir b çalışma text metinlerin şifrelenerek (encryption) şifrelenmiş veriler sağlar. Genel anahtarlama iki temel işlem vardır: encryption (şifrel authentication (kimlik denetimi). PK kriptografi işlemini kimlik denetimi (authentication) işlemi sağ Kimlik denetimi işlemi gönderilen ya da alınan verinin alıcıya ulaş olduğunu garanti etmeyi sağlar. Genel anahtarlama için kullanılan çok sayıda algoritma vardır. Bun bazıları RSA (Rivest-Shamir-Adleman) ve ECC (Elliptic Curve Cr dır. Windows 2000, smart kart login işlemi, EFS ve IPSes teknolojileri anahtar kripografisi kullanır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Bu geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullan fazla bilgi için www.farukcubukcu.com adresine bakınız. A. GENEL ANAHTAR ŞİFRELEMESİ Genel anahtarla şifreleme düz (plaintext) metin verisini şifrelenmiş haline getirir. Genel anahtar şifrelenmesinde iki anahtar kullanılır. anahtarla şifrelenir ve hedef yerde açılması için de özel anahtara ge duyulur: -Public Key (Genel anahtar) -Private key (Özel anahtar) Genel anahtarla, özel anahtarlar birbiriyle ilişkilidir ve veri özel an BAKINIZ: ŞEKİL: GENEL ANAHTAR ŞİFRELEMESİ (PUBLİC KEY ENC B. GENEL ANAHTARLA KİMLİK DENETİMİ E-mail, e-ticaret gibi verilerin Internet üzerinde taşındığı durumlard denetimi (authentication) kullanılır. Kimlik denetiminin şifrelenme imzalar kullanılır. Sayısal imzalar, genel anahtarlamanın en önemli sayısal imzaları (digital signatures) yaratması ve değerlendirmeye o Sayısal imzaların kendisi de veridir. II. WİNDOWS 2000 PKI Windows 2000 tarafından sağlanan PKI bir dizi bileşenden oluşur. bileşenler şunlardır: -Sertifika servisleri -Active Directory -PKI-etkin uygulamaları Sertifika servisleri, sayısal sertifikaların kullanılmasını sağlarlar. S sahip olunan özel anahtarla genel anahtar arasındaki ilişkiyi sağlar. kullanılan yaygın sertifika standartlarından birisi ITU-T X.509 stan aynı zamanda teknoloji Windows 2000 PKI' sisteminde kullanılan Active directory, PKI'ın yayınlanmasını sağlar. PKI-etkin uygulam şifreleme ve kimlik denetimini kullanan uygulamalardır. Internet E Outlook, IIS vb. gibi Microsoft uygulamaları ve üçüncü parti uygu kullanırlar. A. PKI NASIL İŞLER? PKI sertifikalara dayanır. Bir sertifika ise bir genel anahtar içeren v olarak imzalanmış bir dosyadır. Sertifika içinde değişik türden adla örneğin e-mail adı ya da dosya adı gibi. Sertifika yetkilisi özel anahtarı ve onunla ilişkili olan genel anahtar Bir sertifika yetkilisi bir üçüncü parti yazılımdır. Ücretsiz dağıtılır. şifrelenmiş verideki genel anahtar, özel anahtar tarafından çözülür. NOT: Genel anahtarlama fikrinin temelinde iki tane ilişkili anahtar Birinci anahtar herkese dağıtılır. Diğeri ise özel kalır. Table : Sayısal Sertifikalar ve Uygulamalar. Uygulama Kullanımı Güvenli Web siteleri Internet Information Services (IIS) W istemci sertifikalarını kullanarak Web ziyaretçilerinin kimlik denetimini yap Dosyaların sayısal olarak imzalanması için kullanılır. Dosyanın orijinalliğini Lokal network Smart Card kimlik den Kerberos login protoklü sertif anahtarları kullanarak kullanıcıların n girişte kimlik denetimini yapar. Uzaktan erişim Smart Card kimlik denetimi Kerberos login sertifkaları ve özel anahtarları kullana kullanıcıların networke girişte kimlik yapar. IPSec kimlik denetimi denetimini yapar. IPSec, IPSec iletişiminde istemcilerin Encrypting File System (EFS) recovery agent Recovery agen başlaları tarafında EFS ile şifrelenmiş açılmasını sağlar. B. PKI'IN UYGULANMASI Windows 2000 kendi sertifikalarıyla EFS ve IPSec güveliğini uygu diğer güvenlik özelliklerine gereksinim duyulduğunda bir CA hiye gerek duyulur. Bir CA (Certificate Authority) hiyeraşisinin planlan Bir CA hiyerarşisinde üç düzey vardır: Bir kök (root) CA, ikinci dü sertifika ilkelerinin uygulanmasını sağlar. Üçüncü düzey CA'lar ise denetimi ve veri bütünlüğü sağlamak için yerel sertifika yetkilileri Windows 2000'de değişik tür CA'lar vardır. Bunlardan birisi Enter Enterprise CA, e-mail, Web kimlik denetimi gibi işlemlerde kullan Enterprise CA, kullanıcı isteğine göre sertifika dağıtır ve Active D gerektirir. Ayrıca bağımsın CA'lar da kullanıcı isteğine göre kullanılır. Bu CA Directory gerektirmez. Windows 2000 Server üzerinde yerel bir sertifika yaratmak: 1. Start'ı tıklayın, Settings'i işareti edin ve ardından Control Panel'i 2. Add/Remove Programs'ı çift tıklayın ve Add Certificate Service enterprise root CA kurun. Yerel CA'yı kurduktan sonra onu şu şekilde görebilirsiniz: 1. Microsoft Internet Explorer'ı açın. 2. Tools menüsünden Internet Options'ı seçin. 3. Content sekmesindeki sertifikalara göz atın. III. GÖZDEN GEÇİRME 1. PKI ne gibi görevleri üstlenir? 2. Genel anahtar ve özel anahtar nedir? 3. PKI sistemi nasıl işler? Active Directory'nün bu süreçteki görevi IV. KAYNAKLAR Dokümanlar, ürün tanıtım kitaplarından, Faruk Çubukçu’nun kend kitaplarından ve Internet üzerindeki kaynardan yararlanarak hazırla Bu konuda ve bilgisayar ile ilgili diğer konularında kitaplar için: www.alfakitap.com Microsoft Pres kitapları için: www.arkadas.com.tr Kurslar, kitaplar ve diğer Internet siteleri gibi kaynaklar için sitede kısmına bakınız. DERSİMİZE KATILDIĞINIZ İÇİN TEŞEKKÜR EDERİZ! PUBLİC KEY INFRASTRUCTURE KULLANIMI Dersin sonunda yapabilecekleriniz: -Public Key Infrastructure (PKI) tanıtımı. -Certificate servislerini yapılandırmak. I. GİRİŞ Intranet, Internet ya da herhangi bir network ortamındaki bilgisayarlardaki bilgilerimizin güvenliğini her zaman tehdit edecek kişiler olabilir. Bu nedenle bilgilerin güvenli bir şe saklanması ve gönderilmesi için bir güvenlik yöntemi olarak genel anahtarlama (public yöntemi kullanılır. Windows 2000 ise hem kendi PKI özellikleri ve üçüncü parti güvenl yazımlarıyla bilgilerinizin daha güvenli saklanmasını sağlar. Kriptografi (Cryptograhy) verileri korumak üzere geliştirilmiş bir bilimdir. Bu çalışma t metinlerin şifrelenerek (encryption) şifrelenmiş verileri yaratmayı sağlar. Genel anahtar temel işlem vardır: encryption (şifreleme) ve authentication (kimlik denetimi). PK kriptografi işlemini kimlik denetimi (authentication) işlemi sağlarlar. Kimlik denetim gönderilen ya da alınan verinin alıcıya ulaşan veri olduğunu garanti etmeyi sağlar. Genel anahtarlama için kullanılan çok sayıda algoritma vardır. Bunlardan bazıları RSA Shamir-Adleman) ve ECC (Elliptic Curve Cryptography) dır. Windows 2000, smart kart login işlemi, EFS ve IPSes teknolojilerinde genel anahtar kri kullanır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu doküma amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakın A. GENEL ANAHTAR ŞİFRELEMESİ Genel anahtarla şifreleme düz (plaintext) metin verisini şifrelenmiş (cipher text) haline g Genel anahtar şifrelenmesinde iki anahtar kullanılır. Veriler genel anahtarla şifrelenir ve yerde açılması için de özel anahtara gereksim duyulur: -Public Key (Genel anahtar) -Private key (Özel anahtar) Genel anahtarla, özel anahtarlar birbiriyle ilişkilidir ve veri özel anahtarla açılır. BAKINIZ: ŞEKİL: GENEL ANAHTAR ŞİFRELEMESİ (PUBLİC KEY ENCRYPTİON) B. GENEL ANAHTARLA KİMLİK DENETİMİ E-mail, e-ticaret gibi verilerin Internet üzerinde taşındığı durumlarda kimlik denetimi (authentication) kullanılır. Kimlik denetiminin şifrelenmesinde sayısal imzalar kullanılır imzalar, genel anahtarlamanın en önemli özelliği sayısal imzaları (digital signatures) ya değerlendirmeye olanak tanır. Sayısal imzaların kendisi de veridir. II. WİNDOWS 2000 PKI Windows 2000 tarafından sağlanan PKI bir dizi bileşenden oluşur. Ana bileşenler şunla -Sertifika servisleri -Active Directory -PKI-etkin uygulamaları Sertifika servisleri, sayısal sertifikaların kullanılmasını sağlarlar. Sertifikalar sahip oluna anahtarla genel anahtar arasındaki ilişkiyi sağlar. Bugün kullanılan yaygın sertifika stan birisi ITU-T X.509 standardıdır. Bu aynı zamanda teknoloji Windows 2000 PKI' sistem kullanılan ana tekniktir. Active directory, PKI'ın yayınlanmasını sağlar. PKI-etkin uygulamalar ise PKI şifrelem denetimini kullanan uygulamalardır. Internet Explorer, Outlook, IIS vb. gibi Microsoft uygulamaları ve üçüncü parti uygulamalar PKI kullanırlar. A. PKI NASIL İŞLER? PKI sertifikalara dayanır. Bir sertifika ise bir genel anahtar içeren ve sayısal olarak imza dosyadır. Sertifika içinde değişik türden adlar olabilir; örneğin e-mail adı ya da dosya ad Sertifika yetkilisi özel anahtarı ve onunla ilişkili olan genel anahtarı doğrular. Bir sertifi bir üçüncü parti yazılımdır. Ücretsiz dağıtılır. Dağıtılan şifrelenmiş verideki genel anaht anahtar tarafından çözülür. NOT: Genel anahtarlama fikrinin temelinde iki tane ilişkili anahtar yatar: Birinci anahta dağıtılır. Diğeri ise özel kalır. Table : Sayısal Sertifikalar ve Uygulamalar. Uygulama Kullanımı Güvenli Web siteleri Internet Information Services (IIS) Web siteleri istemci se kullanarak Web sitesi ziyaretçilerinin kimlik denetimini ya Dosyaların sayısal olarak imzalanması Dosyanın orijinalliğini sağlamak için kullan Lokal network Smart Card kimlik denetimi Kerberos login sertifkaları ve özel anahtarları kullanarak kullanıcıların ne girişte kimlik denetimini yapar. Uzaktan erişim Smart Card kimlik denetimi Kerberos login protoklü sertifkaları anahtarları kullanarak kullanıcıların networke girişte kimli denetimini yapar. IPSec kimlik denetimi IPSec, IPSec iletişiminde istemcilerin kimlik denetimini y Encrypting File System (EFS) recovery agent Recovery agent sertifkaları başlaları EFS ile şifrelenmiş dosyaların açılmasını sağlar. B. PKI'IN UYGULANMASI Windows 2000 kendi sertifikalarıyla EFS ve IPSec güveliğini uygular. Ancak diğer güv özelliklerine gereksinim duyulduğunda bir CA hiyeraşisine gerek duyulur. Bir CA (Cert Authority) hiyeraşisinin planlanması gerekir. Bir CA hiyerarşisinde üç düzey vardır: Bir kök (root) CA, ikinci düzey CA'lar sertifika uygulanmasını sağlar. Üçüncü düzey CA'lar ise kimlik denetimi ve veri bütünlüğü sağla yerel sertifika yetkilileri kullanılır. Windows 2000'de değişik tür CA'lar vardır. Bunlardan birisi Enterprise CA'dır. Enterpri mail, Web kimlik denetimi gibi işlemlerde kullanılır. Enterprise CA, kullanıcı isteğine g sertifika dağıtır ve Active Directory gerektirir. Ayrıca bağımsın CA'lar da kullanıcı isteğine göre kullanılır. Bu CA'lar Active Directory gerektirmez. Windows 2000 Server üzerinde yerel bir sertifika yaratmak: 1. Start'ı tıklayın, Settings'i işareti edin ve ardından Control Panel'i tıklayın. 2. Add/Remove Programs'ı çift tıklayın ve Add Certificate Services'dan bir enterprise ro kurun. Yerel CA'yı kurduktan sonra onu şu şekilde görebilirsiniz: 1. Microsoft Internet Explorer'ı açın. 2. Tools menüsünden Internet Options'ı seçin. 3. Content sekmesindeki sertifikalara göz atın. III. GÖZDEN GEÇİRME 1. PKI ne gibi görevleri üstlenir? 2. Genel anahtar ve özel anahtar nedir? 3. PKI sistemi nasıl işler? Active Directory'nün bu süreçteki görevi nedir? IV. KAYNAKLAR Dokümanlar, ürün tanıtım kitaplarından, Faruk Çubukçu’nun kendi kitaplarından ve Int üzerindeki kaynardan yararlanarak hazırlanmıştır. Bu konuda ve bilgisayar ile ilgili diğer konularında kitaplar için: www.alfakitap.com Microsoft Pres kitapları için: www.arkadas.com.tr Kurslar, kitaplar ve diğer Internet siteleri gibi kaynaklar için sitedeki Linkler kısmına ba DERSİMİZE KATILDIĞINIZ İÇİN TEŞEKKÜR EDERİZ! : IPSEC KULLANIMI Ders sonunda yapabilecekleriniz: -IPSec'i tanımlamak. -IPSec'i kurmak. -IPSec'i yapılandırmak. I. IPSEC NEDİR? Network, verilerin bilgisayarlar arasında alışverişine olanak sağlarken, en önemli konulardan birisi verilerin güvenliğidir. IPSec (Internet Protocol Security), kriptografik güvenlik servislerini kullanarak, IP üzerindeki veri iletişimi güvenli hale getirmeyi sağlayan bir açık standarttır. Windows 2000 networklerinde IPSec'i bilgisayarın kimlik denetimi (authenticate) ve verilerin her türlü networkte şifrelenmesi (encrypt) için kullanabilirsiniz. IPSec, kimlik denetimi (authenticate) ve şifrelenme (encrypt) için protokoller ve servislere sahiptir. A. IPSEC'İN NETWORK ÜZERİNDEKİ GÜVENLİK ROLÜ IPSec teknolojisinin ana amacı network üzerindeki IP paketlerin korunmasını sağlar. Bu nedenle standart IP paketi değiştirilecek farklı paketler olarak yapılandırılır. IPSec teknolojisi bir policy olarak yapılandırılır. Bu işlem Active Directory içinde, workgroup bazında ya da lokal bilgisayar için yapılabilir. B. IPSEC'İ ETKİNLEŞTİRMEK IPSec'i kurmak ve etkinleştirmek için, IP Security Policy Management eklenti programını kullanmak gerekir. Bu program, Windows 2000 ortamında bir MMC programıdır. Start, Run komutundan MMC ile MMC ortamı başlatılır ve buradan IP Security Policy Management eklenti programını ekledikten sonra bu program başlatılır. Ardından IPSec'in etkinleştirileceği bilgisayar seçilir. Bu üzerinde bulunulan bilgisayarsa Local Computer olarak seçilir. NOT: Start, Run komutundan MMC ile MMC ortamı başlatılır ve buradan istenilen eklentiler eklenir. C. BİR IPSEC GÜVENLİK PLANI OLUŞTURMAK Büyük bir Windows 2000 domaini ya da küçük bir workgroup olsun, IPSec kurulumu yapmak için bir planlama yapmak gerekir: Uygun bir planlama için şunları yapmak gerekir: -Şirketin ya da networkün güvenlik gereksinimini belirlemek. -Değerli bilgileri belirlemek. -Bütün kullanıcıların gereksinimlerine göre verilere güvenli bir şekilde erişmesini sağlar. Aşağıdaki IPSec kurulumunda göz önünde bulundurulacak güvenlik düzeyleri şunlardır: 1. Mininum güvenlik (Minimal Security) IPSec varsayım olarak etkinleştirilmez. Bu nedenle IPSec için bir yönetim işlemi yapılmaz. 2. Standard güvenlik (Standard Security) Verileri korumayı sağlar, ancak bilinen kullanıcıların verilere erişimi engellenmez. Bu düzeyde Windows 2000 önceden tanımlanmış IPSec policy uygular, ancak daha üst düzey bir güvenlik uygulamaz. Uygulanabilecek bu üst düzey güvenlik türleri: Client (Respond Only) ve Server (Request Security). 3. Yüksek Güvenlik (High Security) Özellikle sunucular verilerin güvenliğini sağlamak için güvenli olmak zorundadırlar. Bu düzey güvenlik için önceden tanımlanmış IPSec düzenlemeleri kullanılır. Secure Server (Require Security) olarak adlandırılan bu düzenleme bütün veri trafiğinin IPSec ile güvenli hale getirilmesi gerekir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. D. ÖZEL IPSEC DURUMLARI Aşağıdaki özel durumlar IPSec ilkelerinin kolayca yönetilmesini sağlar: Bunlar: 1. IP Fitre Listeleri IP Filtre listeleri için bazı öneriler: Yalnızca bir grup bilgisayar için yapılan genel filtrelemeyle yalnızca bu grup bilgisayarlar arasında iletişime izin verilir. 2. Uzaktan Erişim IPSec Policy içinde yapılan düzenlemelerle uzaktan erişim (remote access) için de gerekli düzenlemeler ve kısıtlamalar yapılabilir. II. VAROLAN IPSEC AYARLARI Windows 2000, Active Directory domaini üyeleri için varsayım olarak bir dizi önceden tanımlanmış IPSec yapısı sağlar. Bu yapılar filtreler ve filtre işlemlerini içerir. Windows 2000 önceden tanımlı ilkeleri: -Client (Respond Only) -Server (Request Security) -Secure Server (Require Security) Client (Respond Only) Bu ilke veri iletişiminde güvenlik sağlamaz. Server (Request Security) Bu ilke güvenli iletişimi sağlar. Güvenli olmayan veri kabul edilir, ancak gönderenden güvenlik bilgisi istenebilir. Bu sistemde diğer bilgisayarlarında IPSec ile korunmaları sonucunda güvenli bir iletişim sağlanır. Secure Server (Require Security) Bu ilke ise sürekli güvenli iletişim sağlar. Güvenli olmayan veriyi kabul eder, ancak her zaman güvenli bilgi gönderir. III. UYGULAMA 1. Bir IPSec İlkesi Yaramak Start, Run komutundan MMC ile MMC ortamı başlatılır ve buradan IP Security Policy Management eklenti programını ekledikten sonra bu program başlatılır. 1. Start, Run'ı tıklayın. 2. Open kutusunda MMC yazın ve OK'i tıklayın. 3. Konsol ortamında Console menüsünden Add/Remove-Snap-in'i seçin. 4. İletişim kutusunda Add'i tıklayın ve IP Security Policy Management'i seçin. 5. Add'i tıklayarak Local Computer'ı seçin. 6. Add Standolone Snap-in iletişim kutusunu kapatın. 7. IP Security Policy Management programını çalıştırın. 8. IP Security Policies On Local Machine'ı tıklayın. 9. Secure Server (Required Security) üzerinde sağ tıklayın ve Properties'i seçin. 10. Add'i tıklayarak güvenlik düzenlemeleri (örneğin IP Filter gibi) yapın. Bir network üzerinde iki bilgisayar üzerinde bu işlemleri yapıp, aralarındaki network'ü test edin. Ping ile karşı tarafından adresini kontrol etmeyi deneyin. IV. GÖZDEN GEÇİRME 1. IPSec güvenliği nasıl sağlar? 2. Önceden tanımlanmış (predefined) güvenlik ilkelerinin farklarını açıklayın? RAS Ders sonunda yapabilecekleriniz: -Windows 2000'de uzaktan erişimi incelemek. -Uzaktan erişim yapılarını ve protokollerini açıklamak. -Routing and Remote Access işlemlerini yapılandırmak. I. RAS (REMOTE ACCESS SERVİCE) Remote access (uzaktan erişim), kullanıcıların networke uzak yerlerden bağlanmasını sağlar. Windows 2000'in bu alandaki düzenlemeleri Routing and Remote Access (RRAS) programı, kullanıcıların uzak yerlerden dial-up bağlantılarla bağlanması, güvenliğin sağlanması ve bağlanan istemci bilgisayarlara DHCP ile IP adresi atanması gibi işlemleri içerir. Windows 2000'in bu alandaki düzenlemeleri Routing and Remote Access, istemcilerin normal telefon hatlarının yanı sıra ISDN, DSL gibi hızlı bağlantıları da kullanmasına olanak tanır. A. UZAKTAN ERİŞİM Uzaktan erişim, kullanıcıların uzak yerleşimlerden dial-up bağlantılar kullanarak Windows 2000 RRAS servisi yüklü olan servera erişmeleridir. RRAS sayesinde uzak kullanıcı şirket networküne bağlanarak verile erişir. Bu anlamda RRAS serverı kullanıcıyı şirket networküne bağlayan bir gateway'dir. B. UZAKTAN ERİŞİM TÜRLERİ Windows 2000, uzaktan erişim için iki tür bağlantıyı destekler: -Dial-up bağlantı. -VPN bağlantı. Dial-up bağlantılar, kendi modemleri ve telefon bağlantıları aracılığıyla RRAS server'a bağlanırlar. Bu bağlantının olabilmesi için, şüphesiz RRAS server üzerinde gerekli düzenlemelerin yapılması gereklidir. VPN ise bir dial-up bağlantı ile yapılan doğrundan bağlantı yerine, bir ISP üzerindeki VNP bağlantısına bağlanılır. Bu VPN gateway'i aracılığıyla şirketteki RRAS server'a bağlanılır. Bu anlamda güvenlik daha önemlidir. C. UZAKTAN ERİŞİM PROTOKOLLERİ Uzaktan erişim (remote access), LAN networklerine göre değişik protokoller tarafından desteklenir. PPP (Point-to-Point Protocol): TCP/IP, IPX, NetBEUI, AppleTalk gibi çok sayıda protokolü destekleyen bir protokoldür. Windows NT PPP sadece TCP/IP, IPX ve NetBEUI protokollerini destekler. PPTP (Point-to-Point Tuneling Protocol): Internet üzerinden erişimi sağlayan protokoldür. PPTP teknolojisi çok prokollü sanal bir network’ü yaratır. RAS Server’larına modem’ler aracılığıyla ulaşılır. PPTP ise RAS server’lara Internet üzerinden erişimi sağlar. PPTP protokolü PPP paketlerinin TCP/IP networkleri üzerinden yönlendirilmesini sağlar. PPTP, TCP/IP, IPX ve NetBUEI protokollerini destekler. Ancak uzak (erişilecek) network bir TCP/IP network’ü olmalıdır. PPTP iletişiminde önce istemcisi Dial-Up Network ile Internet birimini arar. Doğrulama işleminin ardından istemcinin RAS server’a erişimine izin verilir. L2TP (Layer Two Tunneling Protocol): L2TP protokolü PPTP (Point-to-Point Tunneling Protocol) protokolüne benzer. Bu protokollerin amacı genel bir network üzerinde şifrelenmiş (encrypted) bir tünel yaratmakdır. L2TP de bir tünel yaratır ancak kendisi şifreleme yapmaz. L2TP bu şifreleme işlemini IPSec gi şifreleme teknolojileri aracılığıyla yapar. L2TP ve PPTP her ikisi de veri transferi için PPP protokolünü kullanırlar. LwTp ve PPTP arasındaki farklar şunlardır: PPTP L2TP IP Networkü üzerindeIP, Frame Relay, X.25 ya da ATM üzerinde Header compression (sıkıştırma) yapmaz. Yerleşik PPP şifrelemesi Header compression (sıkıştırma) yapar. IPSec şifrelemesi. Tünnel (authentication) Tünel kimlik denetimi yapmaz. yapar. Tünnel (authentication) Tünel kimlik denetimi NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. II. WİNDOWS 2000 YENİ PROTOKOLLERİ Windows 2000 içinde bulunan yeni protokolleri şunlardır: -EAP (Extensible Authentication Protocol) -RADIUS (Remote Authentication Dial-in User Service) -IPSec (Internet Protocol Security) -L2TP (Layer Two Tunneling Protocol) -BAP (Bandwith Allocation Protocol) EAP (Extensible Authentication Protocol) EAP protokolü Windows 2000’e özel ve gelecekteki authentication (kimlik denetimi) yöntemleri için geliştirilmiştir. EAP özellikle dial-in bağlantılarının kimlik denetiminin yapılmasında kullanılır. EAP kimlik denetimi şu araçlar sayesinde sağlanır: -Generic token kartları -MD5-CHAP -TLS Generic token kartları password kullanımını sağlayan fiziksel kartlardır. MD5-CHAP (Message Digest 5 Challenge Handshake Authentication Protocol) ise kullanıcı adlarını ve parola bilgilerini şifreler. TLS (Transport Layer Security) ise smart kartlarla birlikte kullanılır. Bu kartlar kullanıcıya ait özel bilgiler saklar EAP, PPP (Point-to-Point) protokolü için genişletilmiş bir kimik denetimi yöntemidir. API’leri sayesinde bağımsız yazılım geliştricileri de bu sisteme entegre olabilecek yapılımlar geliştirebilirler. RADIUS (Remote Authentication Dial-in User Service) RADIUS geniş bir alanda dağıtılmış dial-up networklerini destekler. RADIUS yüksek derecece ölçeklenebil bir kimlik denetimi sağlar. Windows 2000 bilgisyarı RADIUS client ve server olarak konfigure edilebilir. RADIUS client bir remote access serverdır ve kimlik denetimi isteğini ve kullanıcı bilgisini RADIUS server gönderir. RADIUS server ise kullanıcı bilgilerini saklar ve isteği yerine getirir. IPSec (Internet Protocol Security) IPSec kriptografik servisler sayesinde IP networkleri üzerinde güvenlik sağlar. IPSec özel networkler üzerin ve Internet üzerindeki risklere karşı koruma sağlar. Network yöneticisi IPSec politikalarını yapılandırarak istediği düzeyde ve kapsamda bir güvenlik sağlayabilir. NOT: Windows 2000 IP Security Policy Management için bir yönetim arabirimi sağlar. Bu arabirim MMC içinde bir snap-in olarak kullanılır. L2TP (Layer Two Tunneling Protocol) L2TP protokolü PPTP (Point-to-Point Tunneling Protocol) protokolüne benzer. Bu protokollerin amacı gene bir network üzerinde şifrelenmiş (encrypted) bir tünel yaratmaktır. L2TP de bir tünel yaratır ancak kendisi şifreleme yapmaz. L2TP bu şifreleme işlemini IPSec gibi şifreleme teknolojileri aracılığıyla yapar. BAP (Bandwith Allocation Protocol) BAP multilink serverların dinamik olarak yönetilmesini sağlar. Windows NT’de RAS servisi de multilink yeteneğine sahiptir. Ancak bu düzenleme birden çok fiziksel hattın bir mantıksal hat olarak kullanılması şeklindeydi. Windows 2000’de ise BAP özelliği gerekli bant genişliğini (bandwidth) dinamik olarak ayarlar. Diğer bir deyişle bant genişliği gereksinime göre dinamik olarak atanır. III. INBOUND VE OUTBOUD BAĞLANTILAR Inbound (gelen) ve Outbound (giden) bağlantıları yapılandırmak için Windows 2000 üzerindeki RRAS servi yüklenir ve yapılandırılır. Inbound (gelen)bağlantılar için RRAS server üzerinde modem portları, VPN portları ayarlanır. Onun dışında kullanılacak RAS protokolü ayarlanır. Bunun dışında önemli bir düzenlemede istemcinin bağlantısı olan dial up bağlantının yapılandırılması için yapılır. Bu çalışma şu düzenlemeleri içerir: -Atanacak IP adresi -Call back (geri arama düzenlemeleri) -Kullanacağı protokoler -Routing durumları. A. RRAS SERVER'I YAPILANDIRMAK Windows 2000 üzerinde RRAS servisini yapılandırmak için şu adımları izleyin. 1. Administrative Tools'dan Routing and Remote Access'i seçin. 2. Routing and Remote Access konsolunda server'ın üzerinde sağ tıklayarak Configure and Enable Routing and Remote Access sihirbazını başlatın. BAKINIZ: ŞEKİL: RRAS SERVER'IN YAPILANDIRILMASINDAKİ ANA SEÇENEKLER Görüldüğü gibi Windows 2000 Server, uzaktan erişim istemcileri için değişik rolleri üstlenebilmektedir. B. GELEN DIAL-UP BAĞLANTILAR İÇİN RAS YAPILANDIRMASI RRAS servisi Windows 2000 Server üzerinde varsayım olarak kurulur. Andak RRAS servisini yapılandırabilmek için Administrator ya da Administrator grubunda olmak gerekir. RRAS üzerinde gelen dial-up bağlantılarını yapılandırmak için şu işlemleri yapın: 1. TCP/IP’i kurun ve yapılandırın. (Ders 5). Uzaktan erişim servisinin NWLink, NetBUEI ya da AppleTalk kullanan istemcilerin erişimine de izin verecekse, bu protokolleri de kurun ve yapılandırın. 2. Administrative Tools menüsünden Routing and Remote Access’i açın. 3. Konsol ağacında sunucu adı üzerinde sağ tıklayın ve Configure and Enable Routing and Remote Access’i seçin. 4. Routing and Remote Access Server Setup Wizard’ı başlar. Next ile devam edin. 5. Common Configuration sayfasında Remote access server’ı seçin ve Next ile ilerleyin. 6. Remote Client Protocols sayfasında ise istemcilerin bağlanabilmesi için gerekli tüm protokollerin olduğun kontrol edin. Next ile devam edin. 7. Network Selection sayfasında, istemcilere atanacak olan Network bağlantısını seçin ve Next ile ilerleyin. 8. IP Address Assignment sayfasında “Automatically” ya da “From a specified range of addresses” seçeneklerinden birisini seçenerek dial-in bağlantı ile bağlanacak istemcilere atanacak IP adreslerini düzenleyin. 9. Managing Multiple Remote Access Servers sayfasında RADIUS (Remote Authentication Dial-In User Service) yapılandırmasını seçin ya da seçin ya da daha sonraya bırakın. Next ile devam edin. 10. OK ile DHCP mesaj kutusunu kapatın 11. Ardından Finish ile sihirbazı sonlandırın. IV. RAS POLICY (UZAKTAN ERİŞİM İLKELERİ) Windows 2000 Routing and Remote Access servisi bağlantı isteklerini kabul etmek ya da geri çevirmek için Remote Access Policies (uzaktan erişim ilkeleri) kullanır. Windows 2000’de bu ilkeler RAS sunucu üzerinde saklanır. Active Directory’ye gereksinim duyulmaz. Anc kullanıcıların yapılandırılmasında Active Directory kullanılır. Bir remote access policy (uzaktan erişim ilkesi) üç bileşenden oluşur ve Active Directory ile iletişim kurarak RAS sunuculara güvenli erişim olanağı sağlar. Bu üç bileşen şunlardır: -Conditions (Koşullar) -Permissions (İzinler) -Profile (Profil) Koşullar, yapılacak bağlantını zamanı, IP adresi gibi bilgilerdir. Yani bunlara uyan istemcilerin bağlanmasın izin verilir. İzinler ise kullanıcı hesabı üzerinde düzenlenen Dial-in özellikleridir. Diğer bir deyişle bir kullanıcının uzaktan bağlantı yapacağı kullanıcı adı tanımlanmış ve gerekli özellikleri ayarlanmış olmalıdır. Profil ise bağlantı için belirlenen authenticatio ve encryption protokolleri gibi düzenlemelerdir. Örneğin bağlantı Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) authentication il kimlik denetimi gerektiriyorsa ve bağlantı isteminde bulunan istemci de bu düzenlemeye sahip değilse, bağlantı geri çevrilecektir. A. RAS POLICY’nin DEĞERLENDİRİLMESİ Windows 2000 bağlantı girişimini policy (ilke) temelinde koşullar, izinler ve profile göre değerlendirir. Bu değerlendirmeyi şu şekilde açıklamaya çalışalım: 1. Routing and Remote Access bağlantıya göre koşullar (conditions) bakar. -Bağlantının özelliklerini içeren bir ilke yoksa, bağlantı geri çevrilir. -İlke ile bağlantı uyuyorsa, istemcinin dial-in izinlerine bakılır. 2. Routing and Remote Access, kullanılan dial-in izinlerini kontrol eder. • Eğer izin Deny ise bağlantı yine geri çevrilir. • İzin Allow ise diğer özelliklere bakılır: Verify Caller ID ve Assign a Static IP Address gibi. 3. Ardından Profil değerlendirilir. B. YENİ BİR REMOTE ACCESS POLİCY (UZAKTAN ERİŞİM İLKESİ) YARATMAK Yeni bir remote access policy yaratmak için: RRAS konsolunda Policies bölümüne gidin: 1. Administrative Tools menüsünden Routing and Remote Access’i açın. 2. Remote Access Policies üzerinde sağ tıklayın ve New Remote Access Policy’i seçin. 3. Add Remote Access Policy Wizard sihirbazında Policy friendly name kutusuna ilkenin adını yazın ve Next’i tıklayın. 4. Yeni bir koşul oluşturmak için Add’i tıklayın. 5. Select Attribute iletişim kutusunda eklemek istediğiniz özelliği tıklayın ve ardından Add’i tıklayın. 6. Özellik iletişim kutusunda gerekli bilgileri düzenleyin ve OK’i tıklayın. 7. Diğer bir koşul eklemek için Add’i tıklayın ya da sihirbaza devam etmek için Next’i tıklayın. 8. Koşulları sağlayan kullanıcılara izin vermek için Grant’ı, engellemek için ise Deny’ı seçin. 9. Next ile ilerleyin. 10. İsterseniz, default profili değiştirin ya da Finish ile ilke yaratma işlemini sonlandırın. V. UYGULAMA Windows 2000 üzerinde RRAS servisini yapılandırmak: 1. Administrative Tools'dan Routing and Remote Access'i seçin. 2. Routing and Remote Access konsolunda server'ın üzerinde sağ tıklayarak Configure and Enable Routing and Remote Access sihirbazını başlatın. 3. Common Configurations sayfasından Remote Access Server'ı seçin. 4. RRAS Server'a bağlanacak istemciler için düzenlemeleri yapın. Bir RRAS policy’si yaratmayı deneyin. VI. GÖZDEN GEÇİRME 1. VPN ile dial-up bağlantı arasındaki farkları açıklayın ? 2. L2TP protokolünün PPTP protokolüyle karşılaştırın? 3. Windows 2000'de yeni BAP protokolü ne işe yarar? WINDOWS 2000 SERVER'I ROUTER OLARAK YAPILANDIRMAK Ders sonunda yapabilecekleriniz: -Routers ve Routing Table'ları tanımak. -Routing and Remote Access servisini yapılandırmak. I. ROUTER (YÖNLENDİRİCİ) NEDİR? Router (yönlendirici) aygıtları networklerin ayrılmasını (segmenting) sağlayarak network trafiğinin kontrol edilmesini sağlar. Bunun dışında routerlar netwoklerin ölçeklenmesini sağlarlar, böylece bant genişliği ve diğer bileşenler kontrol altına alınır. Windows 2000 Server, yerel ve uzak (remote) router (yönlendirici) olarak yapılandırılabilir. BAKINIZ: ŞEKİL: WİNDOWS 2000- ROUTER OLARAK YAPILANDIRMAK Routerlar paketlerin yönlendirilmesini sağlarlar. Bu yönlendirme işlemini routing tablosuna göre yaparlar. Routing tabloları, routerların karar vermesini sağlar ve paketlerin diğer networklerde yerine ulaşmasını sağlarlar. Routing işlemi IP (Internet Protocol) işleminin bir parçasıdır. A. ROUTİNG TABLOSU Routerlar networkler (network segmentleri) arasında paketlerin yönlendirilmesini (en etkin bir şekilde) sağlarlar. Bu sırada routing tablosundaki bilgileri kullanırlar. Routing tablosu bağlı olduğu network segmentlerinin IP adreslerine sahiptir. Windows 2000 Server üzerindeki routing tablosunu görüntülemek için aşağıdaki komut kullanılır: c:>route print Bir routing tablosunda şu sütunlar yer alır: Hedef network Subnet Mask Gateway Interface 192.168.1 255.255.255.0 Routerın IP adresi Network kartının IP adresi. Metrik: Route için bir maliyet değeri. Düşük metrik değeri kısa yolu belirtir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. B. STATİK ROUTİNG TABLOLARINI GÖRMEK Bir Windows 2000 Server router olarak yapılandırdıktan sonra, router varsayım olarak birkaç tane statik routing tablosu kullanır. Küçük networklerde bu tablolara manuel olarak değiştirilerek routerın doğru olarak çalışması sağlanır. Statik routing tablolarını görmek: 1. Routing and Remote Access aracını açın. 2. Konsol üzerinde Server'ı ve ardından IP Routing'i genişletin. 4. Static Routes üzerinde sağ tıklayın ve Show IP Routing'ı seçin. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. II. WİNDOWS 2000 SERVER'IN ROUTER OLARAK YAPILANDIRILMASI Bir Windows 2000 Server'ın router olarak yapılandırılması için öncelikle iki network kartına gereksinim vardır. Netwok kartlarının her biri router olarak bağlanacak networklere ait olacak şekilde tanımlanırlar. A. WİNDOWS 2000'İ ROUTER OLARAK YAPILANDIRMAK Windows 2000’i yönlendirici olarak tanımlamak için: 1. Administrative Tools'dan Routing and Remote Access'i seçin. 2. Routing and Remote Access konsolunda server'ın üzerinde sağ tıklayarak Configure and Enable Routing and Remote Access sihirbazını başlatın. 3. Common Configurations sayfasından Network Router'ı seçin. 4. Routed Protocol olarak TCP/IP protokolünü seçin. 5. Demand-Dial Connection sayfasında No seçeneğini seçin. 6. Finish ile Routing and Remote Access kurulumunu sonlandırın. Ardından router olarak yapılandırmak için: 1. Routing and Remote Access konsolunda Routing and Remote Access üzerinde sağ tıklayın ve Add Server komutunu seçin. 2. Router olacak serverı seçin. 3. Ardından konsol üzerinde Server'ı ve ardından IP Routing'i genişletin. 4. Static Routes üzerinde sağ tıklayın ve New Static Route'ı seçin. 5. Destination kutusuna routerdan yararlanacak network'ün IP adresini yazın. B. BİR ROUTİNG İŞLEMİNİ YAPILANDIRMAK Routing and Remote Access servisi kurulduğunda server üzerindeki bütün network kartları Routing için yapılandırılabilecek duruma gelir. Windows 2000 bu network kartlarını bir routing interface olarak kullanara network üzerindeki IP trafiğini yönlendirir. Router aracılığıyla IP trafiğini kontrol etmek için filtreler kullanılır. Bu işleme "IP Packet Filtering" denir. B filtereleme işlemi sayesinde router üzerinde geçen IP trafiği tanımlanır. Bir Filtre tanımlamak için: 1. Routing and Remote Access konsolunda Router olacak serverı seçin. 2. General'i tıklayın. 3. Input Filters ve Output Filters'ı seçeneklerinden birisini seçin. Ardından değişik network işlemlerini kontrol edebilirsiniz. Örneğin belli portlar üzerinde yapılan trafiği engellemek gibi. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. III. UYGULAMA Windows 2000'i router olarak yapılandırmak: 1. Administrative Tools'dan Routing and Remote Access'i seçin. 2. Routing and Remote Access konsolunda server'ın üzerinde sağ tıklayarak Configure and Enable Routing and Remote Access sihirbazını başlatın. 3. Common Configurations sayfasından Network Router'ı seçin. 4. Routed Protocol olarak TCP/IP protokolünü seçin. 5. Demand-Dial Connection sayfasında No seçeneğini seçin. 6. Finish ile Routing and Remote Access kurulumunu sonlandırın. Ardından router olarak yapılandırmak için: 1. Routing and Remote Access konsolunda Routing and Remote Access üzerinde sağ tıklayın ve Add Server komutunu seçin. 2. Router olacak serverı seçin. 3. Ardından konsol üzerinde Server'ı ve ardından IP Routing'i genişletin. 4. Static Routes üzerinde sağ tıklayın ve New Static Route'ı seçin. 5. Destination kutusuna routerdan yararlanacak network'ün IP adresini yazın. IV. GÖZDEN GEÇİRME 1. RRAS içinde yapılandırılan network interface tanımlamaları nelerdir? 2. Metrik nedir? 3. Hangi protokoller routing protokolü olarak seçilebilir? NETWORK'ÜNÜZÜ INTERNET'E BAĞLAMAK Ders sonunda yapabilecekleriniz: -Internet'e bağlanma seçeneklerini açıklamak. -Router ve NAT servisini yapılandırmak. I. NETWORK'ÜNÜZÜ INTERNET'E BAĞLAMAK Windows 2000, networkünüzü Internet'e bağlamak için çeşitli teknolojilere sahiptir. Bu işlem ayrıca proxy serverların ve firewall'ların kullanımını da içerir. BAKINIZ: ŞEKİL: PROXY SERVER ARACILIĞIYLA INTERNET'E BAĞLANMAK. A. PROXY SERVER KULLANARAK INTERNET'E BAĞLANMAK Proxy Server, yerel network ile Internet üzerindeki serverlar arasındaki network trafiğini yönetir. Böylece istemciler Proxy Server'dan istekte bulunduğunda, bu istek Internet'e gönderilir ve Internet üzerinden gelen yanıt da istemciye geçirilir. Bu süreç içinde özel programlar kullanarak, protokoller ve TCP/UDP portları kullanarak, giden ve gelen bu trafik kontrol edilebilir. Proxy Server'ın bu ana işlevlerinin yanı sıra Internet'den gelen bilgileri saklar. Bu işleme caching denir. Caching işlemi birden çok kişinin aynı Web sitesini ziyaret etmesi durumunda Web sitesinde Internet üzerinde bir kez erişmek anlamına gelir. Diğer bir deyişle bu içeriğin yalnız bir kopyası Proxy Server üzerinde saklanır. 1. Proxy Server Nedir? Proxy Server'ın bu caching özelliği aynı zamanda performansı da artırır. Bunun dışında Proxy Server kurmak için server üzerinde iki network arabirimi kullanılır. Bunlardan en az birisi network kartı, diğeri ise bir network kartı ya da bir modem (ya da bir ISDN adaptör) olabilir. İki network arabirimi, local ağ (LAN) ile Internet bağlantısı arasında bağlantıyı sağlar; network kartı sunucunuzu lokal ağa, diğer adaptör ise sunucuyu Internet'e bağlar. Böylece proxy server sayesinde networkünüz Internet üzerinden gelen saldırılara karşı da izole edilmiş olur. B. ROUTER KULLANARAK INTERNET'E BAĞLANMAK Bir router, bir lokal ağ (LAN) ile geniş ağ (WAN) arasıdaki veri paketlerini geçiren bir aygıttır. Ayrıca routerları lokal ağı Internet'e bağlamak için de kullanabilirsiniz. Böylece router aygıtları ağ üzerindeki bütün kullanıcıların tek bir Internet bağlantısını paylaşmasını sağlarlar. Bir önceki haftadan da bildiğiniz gibi Windows 2000 üzerindeki Routing and Remote Access servisi yerleşik olarak routing servisi sağlar. Bu servis sayesinde de şirketler routed bir bağlantı üzerinde Internet Servis sağlayıcısına (ISP) bağlanırlar. Özellikle ISP ile şirket networkü arasında bir demand-dial routing servisi yapılandırılırsa, yalnızca paket alışverişi sırasında bağlantı kurulur. Bu işlem için Windows Server router olarak yapılandırılması gerekir. Windows 2000'i Router Olarak Yapılandırmak için: 1. Routing and Remote Access konsolunda Routing and Remote Access üzerinde sağ tıklayın ve Add Server komutunu seçin. 2. Router olacak server üzerinde sağ tıklayın ve Properties'i seçin. 3. Ardından LAN and demand-dial routing seçeneğini seçin. 4. Static Routes üzerinde sağ tıklayın ve New Static Route'ı seçin. 5. Destination kutusuna routerdan yararlanacak network'ün IP adresini yazın. NOT: Bir Windows 2000 Server'ın router olarak yapılandırılması için öncelikle iki network kartına gereksinim vardır. Netwok kartlarının her biri router olarak bağlanacak networklere ait olacak şekilde tanımlanırlar. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. C. FİREWALL KULLANARAK INTERNET'E BAĞLANMAK Bir firewall, yazılım ve donanım olarak yapılandırılmış bir güvenlik duvarıdır. Firewall'ların amacı şirket lokal ağına Internet üzerinde gelecek saldırıları önlemektir. Firewall'un kurulmasıyla özellikle belli network trafiği kontrol altına alınır ya da tamamıyla önlenir. Bunların başında portlar ve protokoller gelir. D. NAT KULLANARAK INTERNET'E BAĞLANMAK NAT (Network Address Translator) network trafiğini yönlendirmeyi sağlayan bir aygıt ya da servistir. NAT aygıtı bir IP router olarak IP trafiğinin yönlendirilmesini sağlar. NAT aygıtları ayrıca iç IP adreslerinin dışarıdan görülmesini de engellerler. NAT aygıtı istemcinin IP adresini ve port numaralarını sakladıktan sonra değiştirerek Internet üzerindeki hedef adrese gönderir. NAT aygıtı bu eşleştirme bilgisini tutarak Internet üzerinde gelen yanıt için kullanır. NAT kullanımının özellikleri: -NAT birçok kullanıcının tek bir bağlantıyı kullanarak Internet'e bağlanmasını sağlar. -DHCP ve DNS desteği vardır. -Windows uyumlu olan ya da olmayan bütün IP etkin aygıtları destekler. NAT servisini kurmak: 1. Routing and Remote Access konsolunu açın. 2. Konsol ağacı üzerinde yapılandırılacak sunucu üzerinde çift tıklayın ve IP Routing'i geniletin. 3. General üzerinde sağ tıklayın ve New Routing Protocol'u seçin. 4. New Routing Protocol iletişim kutusunda Network Address Translation (NAT)'ı seçin. E. "CONNECTİON SHARİNG" KULLANARAK INTERNET'E BAĞLANMAK Connection Sharing servisini tek bir Internet bağlantısının birçok kişi tarafından kullanılmasını sağlayan diğer bir çözümdür. Bu servis genellikle küçük ofisler ve ev içinde kullanmak için idealdir. Connection Sharing servisini yapılandırmak için: Network Connection sihirbazında Enable Internet Connection Sharing for this connection onay kutusu işaretlenir. III. UYGULAMA Windows 2000'i Router Olarak Yapılandırmak için: Demand-dial routing düzenlemesi: 1. Routing and Remote Access konsolunu açın. 2. Router olacak server üzerinde sağ tıklayın ve Properties'i seçin. 3. Ardından LAN and demand-dial routing seçeneğini seçin. IV. GÖZDEN GEÇİRME 1. Proxy Server'ların görevleri nelerdir ? 2. Yerel networkünüzü Internet'e bağlamanın yolları nelerdir? 3. Hangi protokoller routing protokolü olarak seçilebilir? 4. NAT denir? Özelliklerini açıklayın. 5. Firewall'ların amacı nedir? 6. Connection Sharing servisinin amacı nedir? V. KAYNAKLAR Dokümanlar, ürün tanıtım kitaplarından, Faruk Çubukçu’nun kendi kitaplarından ve Internet üzerindeki kaynardan yararlanarak hazırlanmıştır. Bu konuda ve bilgisayar ile ilgili diğer konularında kitaplar için: www.alfakitap.com Microsoft Pres kitapları için: www.arkadas.com.tr Kurslar, kitaplar ve diğer Internet siteleri gibi kaynaklar için sitedeki Linkler kısmına bakınız. DERSİMİZE KATILDIĞINIZ İÇİN TEŞEKKÜR EDERİZ! VPN SERVİSİNİ YAPILANDIRMAK Ders sonunda yapabilecekleriniz: -Network içinde VPN'in rolünü açıklamak. -Bir VPN server yapılandırmak. I. VPN NEDİR? VPN (Virtual Private Networks) networkleri Internet gibi yaygın networklerden yararlanmak adına şirket networklerine uzaktan erişim yapılmasına olanak tanır. VPN verileri şifreleyerek (encrypt) sadece yetkililer tarafından kullanılmasını sağlar. VPN şirket kaynaklarına erişimde veri şifreleme ve L2TP protokolünün kullanılmasıyla güvenliği artırır. VPN networkleri özel ya da public network olarak adlandırılan herkese açık olan Internet gibi networkler üzerinde belli iki bilgisayar arasında iletişim kurmayı sağlar. VPN ortamı değişik işletim sistemleri üzerinde ve çok sayıda remote access server (RRAS) ile sağlanır. VPN kullanmanın bir diğer üstünlüğü ise uzak bağlantının yerel bir ISP üzerinden daha kolay ve ucuz yapılabilmesini sağlamaktır. VPN protokolünün ve bağlantı türünün seçilmesinden önce şirketin gereksinimleri ve ortamın özellikleri değerlendirilmelidir. Eğer istemciler bir ISP aracılığıyla şirket sunucusuna bağlanıyorlarsa o zaman VPNtemelli bağlantılar tercih edilebilir. VPN sunucular çok sayıda protokolü desteklerler. Windows 2000 üzerinde bir VPN bağlantısını şifrelemek için şu protokoller (servisler) kullanılır. Tablo: VPN bağlantısında kullanılabilecek servisler. Protokol Kullanılacağı yer MS-CHAP Windows 95, Windows 98 ya da Windows NT için şifreleme sağlar. MS-CHAP v2 Windows 2000 için şifrelenmiş kimlik denetimi (authentication) sağlar. EAP-TLS Smart kartlar için kimlik denetimi sağlar. CHAP Değişik işletim sistemleri kullanan uzak istemciler için şifrelenmiş kimlik denetimi sağlar. SPAP Shiva LAN yazılımı kullanan uzak istemciler için şifrelenmiş kimlik denetimi sağlar. PAP Uzak istemcinin diğer protokolleri desteklememesi durumunda şifrelenmemiş bir kimlik denetimi sağlar. VPN sunucuları değişik şifreleme (encryption) yöntemlerini kullanabilirler. Bunların başında MPPE, IPSec gibi servisler gelir. MPPE (Microsoft Point-to-Point Encryption) verileri PPP ve PPTP bağlantıları için şifreler. MS-CHAP ya da EAP-TLS gibi kimlik denetimi protokolleri kullanılıyorsa o zaman MPPE şifrelem yöntemleri kullanılabilir. Bunun dışında L2TP bağlantılarında verilerin şifrelenmesi için IPSec kullanılır. Özellikle kullanıcı temelli kimlik denetimi yetersiz kaldığında (ağ ataklarına karşı ek bir güvenlik olarak) IPSec ile şifreleme kullanılır. II. VPN SERVER'I YAPILANDIRMAK Bir network bağlantısı yaratmak için public (Internet) ve private (yerel ağlar, LAN) networkleri kullanmak virtual private network (VPN) olarak adlandırılır. VPN teknolojisi bayilerin, satış elemanlarını ve diğer partn bağlantılarının uzak bağlantı (remote access) olarak güvenli bir şekilde yapılmasını sağlar. Bir VPN, yerel bir ağın (LAN) Internet bağlantısı kullanılarak genişletilmesi teknolojidir. VPN aracılığıyla i bilgisayar arasındaki veri gönderiminde bir public ağ (Internet) kullanılabilir. VPN Server paketlerin Intranet paketlerinin Internet üzerindeki belli yerlere yönlendirir. Yaygın VPN server yapılandırma senaryolarına göre aşağıdaki VPN tasarımları yapılabilir: -Çalışanların uzaktan erişimi için VPN Server. -Şubelerin on-demand olarak ya da sürekli bağlanabilecekleri VPN Server. -İş ortaklarının bağlanması için (Extranet) VPN Server. ŞEKİL: VPN SERVER İLE YEREL BİLGİSAYAR AĞININ INTERNET ÜZERİNDE UZAKTAN ERİŞİME AÇILMASI. A. BİR VPN SERVER'I YAPILANDIRMAK VPN Server ile yapılandırılan uzaktan erişimin en önemli özelliği güvenliktir. Bir Windows 2000 Server üzerinde bir VPN Server yapılandırmak için şu adımları yerine getirin: 1. Start|Programs|Administrative tools|Routing and remote access seçeneklerini seçerek RRAS yapılandırma işlemini başlatın. 2. Server adı üzerinde sağ tıklayın ve Configure and Enable Routing and Remote Access seçeneğini seçin. 3. Routing and Remote Access Server (RRAS) Setup sihirbazı devreye girere. Next'i tıklayın. 4. Manually configured server seçeneğini seçin ve Next'i tıklayın. NOT: Ayrıca Virtual private network (VPN) server seçeneği ilede otomatik olarak VPN Server yapılandırma yapabilirsiniz. 5. RRAS Wizard bittiğinde Finish'i tıklayın. 6. Yukarıdaki işlemin ardından RRAS başlatılabilir. 7. Ardından, server üzerinde sağ tıklkayın ve Properties'i seçin ve ardından IP sekmesini seçin. 8. Static address pool'i seçin ve Add'i tıklayın. Burada RRAS server'ın uzak istemciler için kullanaracağı IP adres aralığını girin. Örneğin 20.100.200.1-254. Ardından OK'i tıklayın. NOT: Yukarıdaki IP aralığının anlamı en fazla 254 kullanıcının şirketimizin ağına bağlanabileceği anlamına gelir. 9. Use the following adapter to obtain DHCP, DNS, and WINS addresses for dial-up clients alanında private networkünüze bağlı olan network kartını seçin. OK ile VNP Server yapılandırmaasını bitirin. 10. Ardından PPTP ve L2TP portlarını yapılandırmamız gerekir. Bunun için RRAS arabiriminde Ports'ı seçi Ardından RRAS arabirimi içinde tunel portları listelenir. 11. Ports'ı sağ tıklayın ve Properties'ı seçin. 12. PPTP portlarını yapılandırmak için, "WAN Miniport (PPTP)" seçeneğini seçin ve Configure'ı tıklayın. 13. Güvenlik IPSec kullanmayacaksanız L2TP portlarına gerek yoktur. WAN Miniport (L2TP)'ı seçin ve Configure'a tıklayın. Port sayısını zero yapın ve OK'i tıklayın. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. III. UYGULAMA Windows 2000 Server'ını VPN Server olarak yapılandırın. Bu işlem için: 1. Routing and Remote Access (RRAS) konsolunu açın. 2. VPN Server olacak server üzerinde sağ tıklayın ve Properties'i seçin. Metindekine göre işlemlere devam edin. IV. GÖZDEN GEÇİRME 1. Bir VPN Server'in amacı nedir? 2. Şirket networkü ile ISP arasındaki bağlantıya ne ad verilir? 3. VPN ağlarında hangi güvenlik yöntemleri kullanılır? RIS İLE WİNDOWS 2000 PROFESSİONAL'I KURMAK Ders sonunda yapabilecekleriniz: -RIS'in işlevini tanımlamak. -RIS'i kurmak ve yapılandırmak. I. REMOTE INSTALLATİON SERVİCES (WİNDOWS 2000’İN UZAKTAN KURULMASI) NOT: MCSE testelerinde özellikle 70-210'da çok sayıda RIS sorusu olduğuna hemen burada dikkatinizi çekmek isterim. Windows 2000 Server üzerindeki RIS servisini yapılandırarak netwok üzerindeki Windows 2000 Professional kurma işlemini otomatik olarak yapılabilir. Windows 2000 Server üzerindeki RIS yapılandırma işleminin ardından, özellikle çok sayıda istemci Windows 2000 Professional açılarak otomatik kuruluşa geçmesi sağlanır. Remote Installation Services (RIS) yeni Dynamic Host Configuration Protocol (DHCP)temelli remote boot teknolojisini kullanarak bilgi sistemleri yöneticilerinin Windows 2000’in uzaktan kurmalarını (dağıtmalarını) sağlar. IP adresini alan istemci RIS Server'a bağlandıktan sonra Windows 2000 imajından ve diğer tanımlamalardan yararlanarak Windows 2000 Professional'ın kurulumuna geçer. RIS diğer bazı servislerinde olmasını gerektirir: -Domain Name Service (DNS) Server -Dynamic Host Configuration Protocol (DHCP) Server -Active Directory directory servisi A. TEMEL İŞLEMLER Remote Installation Services seçeneği kuruluş sırasında ya da daha sonra Optional Components listesinden seçilerek kurulabilir. Ayrıca istenirse daha sonra da kurulabilir. Bu işlem için Control Panel’de yer alan Add/Remove Windows Components seçeneği seçilir. Ardından DNS Server Servisi kurulur ve konfigüre edilir. Eğer network üzerinde mevcut bir Windows 2000-destekleyen DNS server varsa bu işleme gerek kalmayabilir. RIS Serverın Active Directory Domain Controller olması gerekir. Ardından DHCP Server Servisi kurulur ve konfigüre edilir. Eğer network üzerinde mevcut bir Windows 2000dektekleyen DHCP server varsa yine bu işleme gereksinim kalmayabilir. NOT: Bu arada DHCP server’ın Active Directory ile authorize edildiğinden emin olmalısınız. DHCP ve DNS serverların kurulmasının ardından domain controller olan server üzerinde Remote Installation Servisi kurulur. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. B. WİNDOWS 2000 REMOTE INSTALLATİON SERVİSİNİ YAPILANDIRMAK Windows 2000 Remote Installation Servisinin kurulması için aşağıdaki adımları izleyin: 1. Start menüsünden Run komutunu seçin. RISetup.exe yazarak RIS Setup wizard’ını çalıştırın. 2. RIS dosyalarının kurulacağı server sürücüsü ve directory’si sorulur. RIS servisinin kurululacağı alan NTFS dosya sistemi olmalıdır. Bunun dışında bu alan Windows 2000 Professional CD’si kadar bilgiyi (yaklaşık 800 MB) alabilmelidir. 3. Respond to clients requesting service seçeneği ile client bilgisayarların isteklerine yanıt verir. Eğer bu seçenek işaretlenmezse RIS server client isteklerine yanıt vermez. “Do not respond to unknown client computers” seçeneği ise server’ın bilinmeyen istemci (unknown client) bilgisayarların isteklerine yanıt verip vermemesini sağlar. 4. Ardından setup wizard Windows 2000 Professional kuruluş dosyalarının yerini sorar. Windows 2000 CD’si ya da network sürücüsünün yolu girilir. D:\i386 gibi. 5. Ardından uzak bilgisayarda kuruluş dosyalarının kopyalanacağı klasör sorulur. 6. Ardından işletim sisteminin imajı için bir ad verilir. Ayrıca Unattend.txt dosyalarının bir benzeri olan .sif dosyası eklenir. RIS kurulduktan sonra RIS server’ın Active Server ile yetkilendirilmesi gerekir. Eğer bu işlem yapılmazsa client bilgisayarın servis isteği başarısızlıkla sonuçlanır. Bu işlem için domain’e domain administrator olarak logon olmak gerekir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. 1. RIS server’ı Active Directory’de Yetkilendirmek RIS sisteminde network üzerindeki hangi client bilgisayarlara hizmet verileceği kontrol edilebilir. RIS serverın çalışması için Active Directory içinde yetkilendirilmesi gerekir. Eğer RIS server Active Directory içinde yetkilendirilmezse, client bilgisayarlar RIS server’a erişmezler. 1. RIS server’ın client bilgisayarlara hizmet vereceği domain’e domain administrator olarak logon olun. 2. DHCP Manager’ı çalıştırın. 3. Browse Authorized Servers kısmında RIS server’ı işaretleyin ya da RIS serverın IP adresini girin. Not: Yönetim işlemleri Administrator Tools Package yüklü olan bir Windows 2000 Professional bilgisayardan da yapılabilir. C. OTOMATİK KURULACAK CLİENT BİLGİSAYARIN ÖZELLİKLERİ Remote Installation işlemini destekleyecek olan client bilgisayarlar şu özelliklere sahip olmalıdırlar: -Network PC (NET PC) spesifikasyonunu karşılamalı. -PXE (Pre-Boot execution Environment) boot ROM’a sahip olan bir network kartı ve BIOS desteği. PXE, bilgisayarın işletim sistemini uzaktan (boot server’dan) yüklemesini sağlar. -Network kartı için uzaktan kuruluş boot disketi. Net PC spesifikasyonunu karşılamayan bilgisayarların RIS server’a erişmesi için şu özelliklerin bulunması gerekir: -Network adaptörüne PXE boot ROM ekleme. -BIOS’un PXE boot ROM’dan açılması. Network Adaptörü PXE boot ROM’a sahip değilse ya da BIOS network üzerinden başlatmaya uygun değilse Windows 2000 Boot Disk Generator ya da Rbfg.exe ile uzaktan kuruluş disketi hazırlanır. Rbfg.exe yardımcı programı RIS Server üzerinde \RemoteInstall\Admin klasöründe bulunur. Dikkat !: Notebook bilgisayarlar RIS tarafından desteklenmezler. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. D. NETWORK KARTININ KONFİGÜRASYONU RIS client bilgisayarının network kartı BIOS ayarlarında primary boot device olarak seçilmiş olmalıdır. Client bilgisayar boot ettiğinde network üzerindeki serverdan servis ister. Ardından RIS server F12 tuşuyla Client installation sihirbazının indirilebileceği uyarısını yapar. İşletim sisteminin RIS tarafından kurulmasının ardından bu tuşa artık basmaya gerek kalmaz. Disketten boot etme durumunda ise network servisinin başlatılması için yine F12 tuşu kullanılır. E. KURULUŞ SEÇENEKLERİ Client kuruluş sihirbazının indirilip çalıştırılmasının ardından kullanıcı karşısında bir Welcome ekranı görür. Kullanıcı daha sonra network’e bir ad ile logon olmalıdır. Ardından kuruluş seçeneklerinden birisi seçilerek kuruluşa devam edilir. -Automatic setup -Custom setup -Restart a previous setup attempt -Maintenance and troubleshooting Seçeneklerin yanı sıra birçok durumda seçilen OS imajlarıyla kuruluş yapılır. F. OTOMATİK SETUP Automatic setup seçeneği varsayılan seçenektir. Eğer kuruluş seçeneği görülmüyorsa bu otomatik setup seçeneğidir. Client Installation sihirbazı doğrudan işletim sistemi imajlarının (OS images) seçildiği bölüme geçer. Buradan istenilen imaj seçilir. Bu arada RIS unattended setup (answer) dosyası kulanılır. Böylece kuruluş kullanıcıya bir soru sorulmadan otomatik olaral yapılır. Bu answer dosyası .sif olarak yer alır. G. CUSTOM SETUP Custom (özel) setup seçeneğinde ise bilgisayar adı gibi bilgilerin kullanıcı tarafından girilmesi sağlanır: “Restart a Previous Setup Attempt” seçeneği ise başarısızlık durumunda restart edildiğinda kalınan yerden devam edilmesini sağlar. “Maintenance and Troubleshooting” seçeneği ise üçüncü parti yazılım ürünlerine ay da OEM Pre-OS bakım ve sorun giderme programlarına erişim sağlanır. Böylece sorunların belirlenmesi ve giderilmesi sağlanır. Not: Windows 2000 Installation Services olanakları ISA olan ya da Plug and Play olmayan aygıtlar üzerinde tam olarak unattended (kesintisiz) bir kuruluş yapamaz. Not: RIS ile Windows 2000 Professional'ları kurduktan sonra kullanıcın yetkili olabilmesi için Administrator account profilinin Default Users profili olarak kopyalanması gerekir. II. REMOTE INSTALLATİON PREPARATİON WİZARD (RIPREP) Remote Installation Preparation wizard (RIPrep.exe), mevcut Windows 2000 Professional kuruluşu ve uygulamaların imajını network üzerindeki RIS serverlara replike eder. Remote Installation Preparation Sihirbazının (RIPrep.exe) Çalıştırılması 1. Windows 2000 Professional işletim sistemi RIS server üzerine yüklenir. 2. Uygulamalar yüklenir. 3. İmajın replike edileceği RIS servera bağlanılır. 4. Start mönüsünden Run ile aşağıdaki şekilde program çalıştırılır: \\RISserver\Reminst\Admin\RIPrep.exe RISserver ile imajın replike edileceği RIS server adı girilir. Reminst Server üzerindeki paylaşım alanını gösterir. Admin Riprep.exe programının durduğu directory. İmajın replike edilmesinin ardından DHCP PXE RIS client bilgisayarlar buna bağlanarak kuruluşa geçebilirler. III. UYGULAMA Windows 2000 Server'da RIS Servisini kurun. Bu işlem için: 1. Control Panel’de yer alan Add/Remove Windows Components 2. Optional Components listesinden Remote Installation Services seçilir. Remote Installation Preparation Sihirbazının (RIPrep.exe) Çalıştırılması 1. Start mönüsünden Run ile riprep.exe çalıştırılır. IV. GÖZDEN GEÇİRME 1. Rbfg.exe programının görevi nedir? 2. RIS ile Windows 2000 Professional'ları kurduktan sonra kullanıcın yetkili olabilmesi için ne yapmak gerekir? 3. PXE uyumlu olmayan bilgisayarlar için açılış disketi nasıl yaratılır? 4. RIS Server çalışabilmesi için hangi servislerin çalışması gerekir? ACTİVE DİRECTORY TEMELLERİ Ders sonunda yapabilecekleriniz: -Windows 2000'de Active Directory'nin tanıtımı yapmak -Active Directory'nin mantıksal yapısını açıklamak. -Active Directory'nin fiziksel yapısını açıklamak. I. ACTİVE DİRECTORY NEDİR? Active Directory, Windows 2000 ağı içinde bir servistir. Bu servis ağ kaynakları (kullanıcılar, aygıtlar, izinle vb.) hakkında bilgi saklar. Windows 2000 Server Active Directory servisi, sistem konfigürasyonu, kullanıcı profilleri, uygulamalar hakkında bilgi saklar. “Group Policy” düzenlemeleriyle birlikte sistem yöneticisi kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), network servislerini ve uygulamaları merkezi olara bir noktadan yönetmeyi sağlar. Active Directory Windows 2000 Server’ın ağ yapısını da ortaya koyan bir sistemdir. Active Directory, DNS (Domain Name System) temellidir. A. DİRECTORY (DİZİN) SERVİSİNİN GÖREVİ Active Directory dizin servisi network kaynaklarının organize edilmesini, yönetilmesini ve denetimini sağlar Bununla birlikte Active Directory networkün yerleşimini (topology) ve protokollerinin yapılandırılmasını da üstlenen bir sistemdir. Active Directory'nin kurulmasıyla birlikte networkün tasarımı ve yönetimi Active Directory temelinde yapılır. B. ACTİVE DİRECTORY'NİN ÖZELLİKLERİ Active Directory aşağıdaki özellikleri ile temel directory servislerinin işlevlerini geliştirmiştir: -Ölçeklenebilirlik. -Genişletilebilirlik. -Internet-standartlarında adlandırma. -Tek bir noktadan erişim. -Hata toleransı. -Güvenlik kontrolü. -Birlikte çalışma Ölçeklenebilirlik özelliği ile Active Directory az sayıda nesne içerebileceği gibi milyonlarca nesne de içerebilir. Genişletilebilirlik özelliği ise Active Directory’nin sahip olduğu şema üzerinde değişiklik yapılabilmesi anlamına gelmektedir. Internet standartlarında adlandırma, ad çözümleme ve query protokoller ise Internet ile bağlantı yapmayı sağlar. Tek bir noktadan erişim özelliği ise Administrator’ün bir yerden yapacağı logon işlemi ile bütün ağları yönetmesi anlamına gelir. Hata toleransı ise beklenmedik olaylara karşı Active Directory bilgilerinin çoğaltılması işlemlerini içerir. Güvenlik kontrolü ise kullanıcıların erişim kontrollerinin dağıtılabilmesi (delege edilmesi) anlamına gelir. Birlikte çalışma ise Active Directory’nin diğer işletim sistemleriyle bütünleşmesi anlamına gelir. LDAP, X.500 standartları gibi. C. ACTİVE DİRECTORY ŞEMASI Active Directory veritabanı içinde nesnelerin saklanması bir şema (schema) ile yapılır. Şema bütün nesneleri tanımlamalarını içerir. Bilgisayarlar, kullanıcılar, yazıcılar ve diğer bütün network nesneleri şemadaki tanımlarıyla ve özellikleriyle saklanır. Şema içinde nesneler için iki temel bilgi tutulur. Class ve attribute. Class bilgisi yaratılacak nesneyi tanımlar Attribute'ler ise birden çok class için kullanılabilen alanlardır. D. LDAP (LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL) LDAP genel olarak kullanılan bir directory servisi protokolüdür. Bu protokol Active Directory nesnelerine erişmek için kullanılır. Diğer bir deyişle Active Directory nesnelerinin saklanması LDAP ile sorgulanacak şekilde düzenlenmiştir. LDAP ile Active Directory nesnelerine erişmek için belli bir adlandırma (naming) sistemi kullanılır: -Distinguished Name -Relative Distinguished Name Active Directory içindeki her nesneni bir distinguished adı vardır. Örnek: CN=Faruk, OU=Bilgi Islem, DC=sirket, DC=com Yukarıdaki LDAP tanımı sirket.com domaininde, bilgi işlem OU'su içindeki Faruk adlı kullanıcıyı belirtmektedir. Relative Distinguished Name ise Distinguished Name içindeki bir kısmı tanımlayan addır. Örnek: Distinguished Name: CN=Faruk, OU=Bilgi Islem, DC=sirket, DC=com Relative Distinguished Name'ler ise: CN=Faruk, OU=Bilgi Islem, DC=sirket, DC=com II. ACTİVE DİRECTORY MANTIKSAL YAPISI Active Directory mantıksal yapısı Active Directory sisteminin hiyerarşik biçimde nesneler olarak tasarlanmasını kapsar. Bu mantıksal bileşenler: -Domain'ler -Organization Unit'ler -Tree'ler -Forest'lar A. DOMAİN Mantıksal yapının ana bileşeni domainlerdir. Bir domain (etki alanı da deniliyor) bir yönetici tarafından tanımlanan bilgisayarlar, yazıcılar, OU'lar vb bileşenleri içerir. Domain kendi içinde özel güvenlik düzenlemelerine sahiptir. Genel olarak düşündüğümüzde küçük ve orta büyüklükteki şirketler için bir domai yapısı yeterlidir. Ancak network üzerindeki nesne sayısı arttıkça güvenlik, adlandırma ve benzeri yönetim gereksinimlerinden dolayı birden çok domainden oluşan Active Directory tasarımlarına geçilir. BAKINIZ: ŞEKİL: HİYERARŞİK ACTİVE DİRECTORY DOMAİNLERİ. Domain bir güvenlik sınırı olmanın yanı sıra, Active Directory'nin en önemli işlemlerinden birisi olan replication için de anlamlıdır. Bir domain içindeki Domain Controller bilgisayarlar kendi aralarında domain nesnelerini alıp vererek domain içindeki replication işlemini oluştururlar. B. ORGANİZATİON UNİT Active Directory bakımından bir domain oldukça büyük bir alanı ifade eder. Bu alanı yönetim amaçlı yapılandırmak için Organization Unit (OU) kullanır. OU'lar tipik olarak şirketin organizasyon yapısında karşılık olarak tasarlanır. OU'lar domain parçası olarak bir domain gibi kendi yönetim ve güvenlik ilkelerine sahiptir ve bir OU içinde bilgisayarlar, kullanıcılar, gruplar ve yazıcılar bulunabilir. Bunun dışında OU'lar da hiyerarşiktir ve diğer OU'ları içerebilir. BAKINIZ: ŞEKİL: HİYERARŞİK ACTİVE DİRECTORY ORGANİZATİON UNİTLERİ. OU' bileşenin Windows 2000 ya da Active Directory olarak en önemli anlamı; yönetim hakkının delege edilebilmesidir. Buna "delegate administrative control" denir. Yani bir domain içindeki çok sayıda OU'nun yönetimi bir kişiye verilebilir. Böylece bu kişi OU'yu yönetir. C. TREE Domainleri aynı adı takip ederek bir ağaç oluşturmasına mantıksal tasarımda tree (ağaç) denir. Domain gibi özel olarak yönetimi yoktur, ancak özellikle Active Directory domainlerinin adlandırılmasında önemli rol oynar. D. FOREST Domainler ve tree'ler bir uzay olarak forest içinde oluşurlar. Forest bu anlamda en geniş Active Directory alanını ifade eder. Active Directory kurulumuna bir forest kurarak başlanmaz, bunun yerine domainler kurulur, tree'ler oluşturulur. Bu işlemlerin ardndan forest kurulmuş olur. E. GÜVEN (TRUST) Active Directory foresti içindeki bütün domainler arasında iki yönlü ve geçişli (transitive) güven (trust) otomatik olarak kurulur. NOT: Windows NT networklerinde bu güvenler manuel olarak verilmekteydi. Güven ilişkileri (trust relationship), bir domain içindeki kullanıcıların diğer domainlerideki kaynaklara erişebileceği ya da oradaki gruplara üye olabileceği anlamına gelir. F. GLOBAL CATALOG Active Directory replikasyonu ve kullanıcıların domainlere logon olmasıyla ilgili bir diğer Active Directory terimi de global katalogdur. Varsayım olarak domainin ilk Domain Controller bilgisayarı global katalogdur. Global Catalog bilgisayar içinde belli özellikler olmak üzere domainin bütün nesneleri yer alır. Bu nedenle bütün sorgulama işlemlerinde Global Katalog'a bakmak yeterlidir. Her Active Directory sitesinde bir Global Catalog olması önerilir. Bunun dışında kullanıcının logon olabilmesi için Global Catalog'a erişebilmesi gerekir. Bir diğer önemli konuda Global Catalog, Universal gru üyeliklerini de takip eder. III.ACTİVE DİRECTORY'NİN FİZİKSEL YAPISI Mantıksal yapı, kullanıcı, grup gibi nesnelerin yönetimiyle ilgiliyken, fiziksel yapı tamamıyla network alt yapısıyla ilgilidir. Mantıksal yapıyla ilgilidir, ancak tamamıyla örtüşmesi zorunlu değildir. Mantıksal yapının tasarımında yönetim konuları ele alınırken, fiziksel yapının tasarımında network yapısı (subnetler), routerler bant genişlikleri vb. gibi konular ele alınır. Active Directory yapısı her zaman bir varsayıla site içindedir. Ancak özellikle şirketin coğrafik olarak yayılması işin içine WAN bağlantılarını ortaya çıkarır. Bu durumda uzak birimlerin site olarak tasarlamak ve aralarında replikasyonu kontrol etmek ana işlemdir. İPUCU: Fiziksel yapının kritik amaçları network performansını ve logon işlemini kontrol etmektir. Fiziksel yapı içinde siteler önemli rol oynarlar. Bir site, yüksek hızda birbirine bağlı bir ya da daha çok IP subnetidir. Bu anlamda site içinde replikasyon işlemi çok hızlı yapılır. BAKINIZ: ŞEKİL: ACTİVE DİRECTORY FİZİKSEL YAPISI IV. UYGULAMA Şirketiniz, ya da network'ünü tasarlayabileceğiniz bir şirket için ou, domain, tree, forest gibi bileşenleri tanımlamaya çalışın. Daha sonra da göreceğiniz gibi, Active Directory'nin planlanmasında, tanımlamalar, adlandırmalar, network alt yapısını tanımak, güvenlik vb. analiz çalışmalarını yapmak çok önemlidir. V. GÖZDEN GEÇİRME 1. Domain nedir? Replicatio olarak ne anlama gelir? 2. Distinguished name denir? 3. OU (Organization Name) nedir? Bir şirket için OU tasarımındaki yaklaşımlarınız ne olabilir. 4. Active Directory'nin mantıksal ve fiziksel tasarımın ne anlama gelir? 5. Dizin hizmeti (directory service) ne işe yarar? 6. Site nedir? 7. Aynı şirket için Site tasarımıyla, domain tasarımı arasında bir ilişki var mıdır? BİR WINDOWS 2000 ACTIVE DIRECTORY DOMAIN'İ YARATMAK Ders sonunda yapabilecekleriniz: -DNS ve Active Directory -Active Directory'yi desteklemesi için DNS'i kurmak. -Bir domain yapısını tanıtmak. -Active Directory kurulumu. I. DNS SERVİSİ Active Directory servisi daha önceden yapılandırılmış DNS tanımını (ad alanını=namespace) kullanır. Bu nedenle Windows 2000 Server kurulumunun ardından DNS servisinin kurulması ve yapılandırılması gerekir. A. DNS Domain Name System (DNS), TCP/IP protokolünün bir tamamlayıcıdır. DNS (Domain Name System), network içindeki bilgisayarların iletişim kurarken, onların adlarından yararlanılmasını esas alır. DNS domain, ad alanı içinde adlandırılmış domainlerden oluşan bir ağaç yapısıdır. Ağacın düzeyleri kaynak gruplarını, en uç düzeyi (yaprakları) ise belli bir kaynağı (bilgisayarları) belirtir. DNS sistemi içinde kullanılan bir domain adı, kurulan bir domain’e karşılık gelir. Domain adları değişik şekillerde kullanılabilir. DNS Adlarının Anlaşılması: Bir domain adı (FQDN-Fully Qualified Domain Name) soldan sağa doğru okunur. Örnek: sirket.com adı, tüm şirketimi için verebileceğimiz bir domain adı olabilir. Örneğin. Yilmazgida.com ya da yerel olarak yilmazgida.local gibi. Domain adlandırmada alt domainler ve domainde yer alan bilgisayarlar da yer alır: Şirketin bir alt domaini: teknik.sirket.com B. ZONLAR DNS ad alanına (bir kısmına) zone (bölge) adı verilir. Zonlar bir DNS server üzerinde depolanan kayıtlara karşılık gelir. Her zone genellikle bir domaine bağlıdır. Genellikle her DNS domainine karşılık gelen bir zone vardır. Bu zone için bir veritabanı tutulur. Bu veritabanında da domain içindeki DNS ve diğer sunucuların IP adresi yer alır. Tablo: Zon türleri Zone Türleri Açıklama Standard Primary Zon veritabanı dosyasının master kopyası. Zonun yaratıldığı bilgisayarda yer alır. Standard Secondary Zon veritabanı dosyasının bir kopyası (replikası). Bu dosya ana DNS sunucu üzerinde ya da diğer DNS sunucularında yaratılır. Dosya Readonly dir. Active Directory Integrated Active Directory içinde saklanan bir zon veritabanı dosyası. Active Directory replication işlemi sırasında zon veritabanı da güncellenir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. 1. Kayıtlar ve Zone Dosyaları: DNS serverlar adları çözmek için kendi zone dosyalarına danışılar. Bu dosyalar DNS veritabanı olarak da adlandırılır. Bu dosyalar içinde kaynak kayıtları (resource records) yer alır. Bu kayıtlar da domain bilgileriyle ilişkilendirilir. Kaynak kayıtlarının bazıları IP adreslerine karşılık gelen adları tutarken diğerleri diğer DNS serverların yerini tutar. Kaynak Kayıtlarının Türü: DNS veritabanında değişik kaynak kayıtları yer alır: -SOA -NS -A -PTR -CNAME -MX -SRV Bu liste Windows 2000 kuruluşları içinde bulunan kaynak kayıtlarıdır. Kaynak Kaydı Amacı SOA (start of authority) Domain bilgilerini içeren DNS ad sunucusunu tanımlar. NS (name server) Domain içindeki DNS ad sunucularının adlarını listeler. A (host) Bir host (bilgisayar) adını bir IP adresine çözer. PTR (pointer) Bir IP adresini bir host adına çözer. CNAME (canonical name) Belli bir host için alias adı yaratır. SRV (service) Belli bir servis için belli bir servisin yerini bulur. Örneğin bir istemci DNS sunucuna bir ad sunucusundan SRV kayıtları sayesinde domain controller bilgisayarların (server) IP adreslerini bulur. C. DİNAMİK UPDATE Dinamik update işlemi (güncelleme) DNS client’ın kendi A (address) kaynak bilgisinde bir değişiklik olduğunda DNS Server’a bildirmesi anlamına gelir. Windows 2000 client ve server olarak dinamik update işlemini destekler. DNS dinamik update protokolü, bilgisayarın adresinin yenilenmesi durumunda DHCP kayıtlarının dinamik olarak update edilmesini sağlar. NOT: Active Directory'nin kurulabilmesi için DNS'in dynamic update protokol düzenlemesinin yapılması gerekir. Dinamik Update Düzenlemesi Bir zonun dinamik olarak güncellenmesi (update) edilmesi o zonun Properties iletişim kutusundan Allow Updates seçeneğinin Dynamic Update olarak seçilmesi gerekir. Bununla birlikte DHCP Server’ında DNS dinamik update işlemi için düzenleme yapmak gerekir. Bu işlem için DHCP Server üzerinde Properties iletişim kutusunda Dynamic DNS tabında Enable dynamic update of DNS client information onay kutusu işaretlenir. D. DNS SERVER SERVİSİNİ KURMAK DNS servisi bir server üzerinde kurulabileceği gibi TCP/IP düzenlemelerinden başka bir DNS Server’ın kullanılması da snetworklanabilir. Active Directory için aynı bilgisayarda (yerel) ya da diğer bir bilgisayarda (remote) bir DNS server’a gereksinim duyulur. NOT: DNS Server servisi Windows 2000 kuruluşu sırasında da yapılabilir. Bu işlem için Windows 2000 Components bölümünden Networking Services kısmında Details düğmesine tıklanarak Domain Name System (DNS) seçilir. DNS Server servisinin Windows 2000 kuruluşunun ardından (daha sonra) yapılması için ise Control Panel’de yer alan Add/Remove Programs simgesi kullanılır. Buradan Windows Components sayfası ve Networking Services seçilir. DNS kuruluşu Windows 2000 Server’ların Active Directory’e terfi edilmesi için de gereken bir yapıdır. Bu nedenle DNS kuruluşu Active Directory kuruluşu sırasında da yapılır. NOT: Bu kursun DNS bölümüne bakınız. II. ACTİVE DİRECTORY KURULUMU Windows 2000 network yapısı, domain ya da workgroup olarak düzenlenir. Windows 2000 domain yapısı, Active Directory'nin Windows 2000 Server üzerine kurulmasıyla gerçekleştirilir. Ancak bir Windows 2000 Server'ın Active Directory Server (Domain Controller) olabilmesi için gerekli adlandırma, network düzenlemeleri ve DNS düzenlemeleri gerekir. Ardından dcpromo.exe ile Windows 2000 Server bir Domain Controller olur. Start, Run ile dcpromo.exe programı çalıştırılır. Windows 2000 Server, dcpromo.exe programı ile Domain Controller olurken, daha önce DNS servisi ile yapılandırılmış domain adını kullanır. Domain adı: sirket.com Ardından Active Directory kuruluşu tamamlanır ve Windows 2000 Server bir Active Directory Domain Controller olur. A. KURULUMUN ARDINDAN OLUŞANLAR Active Directory'nın kurulmasını ardından, Windows 2000 Server üzerine şu Active Directory yönetim araçları yüklenir: • Active Directory Users and Computers • Active Directory Sites and Services • Active Directory Domain and Trusts Active Directory Users and Computers programı Windows 2000 Server Domain Controller (DC) olacak bilgisayarın dcpromo.exe ile terfi edilmesiyle Programs, Administrative Tools grubuna eklenen bir programdır. Daha önce işletim sistemi yönetim programları içinde yer alan kullanıcı ekleme ve domain yönetimi gibi işlemler şimdi Windows 2000’de tamamıyla Active Directory başlığı altında yapılmaktadır. Bu arada MMC yaratarak bu programlar snapin olarak eklenirler. Bunun dışında DC olan bilgisayara yapılan logon işlemi değişir ve domaine logon olunur. NOT: Domainin yönetimi için Active Directory Users and Computers aracı kullanılır. Bu konuları ileriki haftalarda göreceğiz. Kurulumun ardından Windows 2000 Server bilgisayarı DC (Domain COntroller) olur. Artık Network üzerindeki diğer bilgisayarlar istemci olarak bu domaine eklenebilirler ve açıldıklarında bu DC üzerinden onaylanırlar. DERS 29 ve diğer Active Directory bölümlerine bakınız. III. UYGULAMA Bir Windows 2000 server’ına DNS servisinin kurulması ve yapılandırılması: 1. DNS servisini ekleyin. 2. DNS servisini çalıştırın ve zonları konfigüre edin. Zone adı: sirket.com DNS programında, sunucu üzerinde sağ tıklayın ve Configure seçeneğini seçin. Ardından Forward ve Reverse Lookup zonları yaratın. Bir zon ekleyin. Bu ekleme işleminde şu bilgileri göz önünde bulundurun: -Forward lookup zone. -Standard Primary. -Zone name:sirket.com Active Directory kurulumu: dcpromo.exe ile Windows 2000 Server bir Domain Controller olur. Start, Run ile dcpromo.exe programını çalıştırın. Domain adı: sirket.com Yetki olarak: Administrator ve parolasının kullanılması gerekir. Ardından Active Directory kuruluşu tamamlanır ve Windows 2000 Server bir Active Directory Domain Controller olur. NOT: Artık DC olan bilgisayara yapılan logon işlemi değişir ve domaine logon olunur. IV. GÖZDEN GEÇİRME 1. Domain nedir? Bir Active Directory domaini nasıl yaratılır? 2. Bir OU neleri içerir? 3. Grup türleri nelerdir? Bir şirket içindeki kullanıcılar için değişik gruplar yaratmanın yararları nelerdir? 4. OU ile grup arasındaki fark nedir? 5. DNS servisinin yararı nedir? 6. DNS dynamic update protolokü ne işe yarar ? 7. Zone nedir? KULLANICI VE GRUP HESAPLARININ YÖNETİMİ Ders sonunda yapabilecekleriniz: -Kullanıcı ve grup hesaplarını yönetmek. -Active Directory grup stratejilerini açıklamak. I. KULLANICI KAYITLARININ YARATILMASI Kullanıcı kayıtları (user account), kullanıcıların sisteme girdikleri adlardır. Bu adlar kullanıcının kimlik denetiminin (authentication) yapılmasını ve kullanıcıların sistem içinde temsil edilmesini sağlar. Bir kullanıcı kaydı herhangi bir domain kontrolör (DC) bilgisayar üzerinde yaratılır. Ardından bu kayıt domain içindeki bütün domain kontrolör bilgisayarlara replike edilir. Replikasyonla ilgili bölümlere bakınız. Bir kullanıcı kaydı yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından User seçeneği seçilir. A. KULLANICI BİLGİLERİ Kullanıcı yaratılırken Create User iletişim kutusunda kullanıcı için çeşitli bilgiler düzenlenir: Name bilgisi kullanıcının tam adını ifade eder. Name bilgisi Active Directory içinde kullanıcının adını belirtir. First Name ve Last Name bilgileri kullanıcı bilgisinin özellikleridir (attribute). Bu bilgiler kullanıcı bilgilerinin aranmasaında kullanılır. Bu özellikler herhangi bir forest düzeyinde tek (unique) olmak zorunda değildir. Her kullanıcı adının bir UPN (User Principal Name) adı vardır. User Principal Name (Kullanıcının Ana Adı) kullanıcını logon adı ve domain adından oluşur. Örneğin sirket.com domaini içindeki ahmet yılmaz’ın adı [email protected] olabilir. User principal name network’e logon etmek için kullanılır. Bir forest içinde principal adlar tek (unique) olmayabilir. Downlevel logon name ise Windows NT 4.0 ve Windows NT 3.51 gibi önceki versiyon Windows işletim sistemlerinden logon etmeyi sağlar. Bu adlar domain içinde tek (unique) olmalıdır. B. PAROLA BİLGİSİNİ DÜZENLEMEK Kullanıcı bilgilerinin yanı sıra parola (pasword) bilgileri düzenlenir. Bu bilgiler şunları içerir. Seçenek Açıklama Password Kullanıcı adının daha güvenli hale gelmesi için kullanılır. Confirm Password Parolanın ikinci kere girilmesi. User must change password at next logon Kullanıcının kendi parolasını bir sonraki logon işleminde kendisinin girmesi. User cannot change password Parolanın kullanıcı ya da kullanıcılar tarafından değil de Administrator tarafından değiştirilmesi. Password never expires Parolanın süresinin dolmaması. Account disabled Kullanıcı kaydının pasifleştirilmesi. II. GRUP KAYITLARINI YARATMAK Gruplar çok sayıda kullanıcıyı ifade ederler ve çok sayıda kullanıcının daha kolay yönetimini sağlayan birimlerdir. Özellikle ortak gereksinimleri olan kullanıcılar, örneğin muhasebe departmanındaki kullanıcılar bir grup olarak organize edilirler. Active Directory içinde iki tür grup oluşturulur:. Security grupları ve distribution grupları. Bunun yanı sıra bir de grupların kapsamları vardır. Her iki grup türü içinde geçerli olan kapsam özellikleri grupları üçe ayırır: Universal gruplar Global gruplar Domain lokal gruplar Not: Grup türlerinin ve kapsamlarının seçimi domain moduna göre değişir. Universal grup kullanmak için Native domain modunda olmak gerekir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. A. GRUP KAPSAMLARI Security ya da distribution grupları yaratıldıktan sonra bu grupların kapsamı belirlenir. Bu kapsam grubun universal, global ya da domain local olması ile ilgilidir. Domain Local gruplar Global gruplar Universal gruplar B. DOMAİN LOCAL GRUPLAR Domain local gruplar native ve mixed modda kullanılabilirler. Native modda kullanılan domain local gruplar forest içindeki herhangi bir domainden kullanıcı kayıtlarını, global grupları ve universal gruplarını içerebilirler. Domain local gruplar, aynı domaindeki diğer domain lokal gruplarını da içerebilirler. Mixed modda kullanılan domain local gruplar ise Windows NT standartlarında çalıştığı için diğer domainlerden kullanıcı kayıtlarını ve global grupları içerir. Domain local gruplarına, grubun olduğu domain içindeki nesneler için izinler verilir. Not: Global gruplar domain lokal gruplarına üye olarak yetkilenirler. Domain lokal gruplarının amacı, yerel kaynakları organize etmektir. Bir yerel kaynak üzerinde bu gruplara izin verilir. Ardından kendi domaininden ya da diğer domainlerden global gruplar bu lokal gruba üye olarak; kaynakların kullanıcılar tarafından kullanılması ya da yönetilmesi sağlanmış olur. Bu sürece AGDLP sistemi denir. (bakınız, ileriki sayfalar). C. GLOBAL GRUPLAR Global gruplar native ve mixed modda kullanılabilirler. Native modda kullanılan global gruplar bulunduğu domaindeki kullanıcıları ve diğer global grupları içerebilirler. Mixed modda kullanılan domain global gruplar ise Windows NT standartlarında çalıştığı için bulunduğu domaindeki kullanıcı kayıtlarını içerir. Global gruplara, bulunduğu yere bakılmaksızın forest içindeki bütün domainlerden izin verilir. Global grupların amacı, şirket içindeki kullanıcıları organize etmektir. Diğer bir deyişle, aynı organizasyon şeması gibi kullanıcıları belli bir D. UNİVERSAL GRUPLAR Üniversal gruplar sadece native modda kullanılabilirler. Üniversal gruplar, forest içinde herhangi bir Windows 2000 domain kullanıcılarını ve global gruplarını içerebilirler. Bu gruplara, bulunduğu yere bakılmaksızın forest içindeki bütün domainlerden izin verilir. NOT: Ancak universal grup üyelikleri Active Directory üzerinde Global Catalog replikasyonuna konu olur. E. GRUP KAPSAMLARININ SEÇİLMESİ Bütün gruplar global katalog tarafından saklanırlar. Ancak sadece Üniversal grup üyelikleri global katalog içinde düzenlenirler. Global ve domain local grupların üyelikleri global katalog tarafından saklanmazlar. Üniversal grup değişiklikleri diğer global katalog serverlara replike edilir. Bu işlem global katalog server sayısının belirlenmesinde bir faktör olabilir. Bununla birlikte Üniversal grupların bir diğer kötü tarafı da logon sırasında oluşan access token bilgisinin büyüklüğüdür. Çünkü Üniversal gruplar bütün domainleri kapsarlar. Oysa global ve domain lokal gruplar sadece bulundukları domain içinde tanımlanırlar. Tablo: Güvenlik grupları Kapsamı olabilir Mixed Modda İçerdiği Domain Local Herhangi bir domainden domain lokal gruplar Native Modda İçerdiği Herhangi bir domainden Üyesi Aynı domaindeki kullanıcılar, global gruplar ve üniversal gruplar. Bulunduğu domainden Global Aynı domain içindeki domaindeki global gruplar. Aynı domain içindeki kullanıcılar Aynı Üniversal Tanımlı değil domainlerdeki domain lokal ve üniversal Diğer domainlerdeki Kullanıcılar, Diğer gruplar F. GRUPLARI YARATMAK Active Directory yönetiminde grup kayıtlarını yaratmak için şu yol izlenir: Grup yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından Group seçeneği seçilir. 3. Create New Object (Group) seçilir. . Grup bilgileri girilir: Seçenek Açıklama Name of new group Yaratılacak grubun adı. Grup adı konteynır içinde tek olmalıdır. Downlevel name of new group Grubun Windows NT için adı. Domain içinde tek olmalıdır. Group type Grubun türü. Security ya da distribution Group scope Grubun kapsamı. Domain Local, Global, Universal gibi. Bir grup yaratıldıktan soran grubun üyeleri belirlenir. Bu işlem için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. Üye eklenecek grup üzerinde sağ tuşa tıklanır ve Properties seçilir. Buradan Members ve Add seçilir. 3. Look in listesinde kullanıcıların bulunduğu domain seçilir. Ya da Entire Directory seçeneği ile Active Directory içindeki bütün kullanıcılar ve gruplar görüntülenir. 4. Eklenecek grup ve kullanıcılar seçilir ve Add düğmesine tıklanır. AGLP Teorisi Çok domainli ortamlarda lokal ve global grupları nasıl oluşturacağız. İşte yanıtı: AGLP teorisi. Çok kullandığımız bu harfler aslında kullanıcıları gruplamak için kullanılan global grupların değişik domainlerdeki yerel gruplara üye olmasıyla oluşturulan gruplama sistemini tarif eder. Windows NT’de AGLP (Accounts, Global Groups, Local Groups ve Permissions) olarak tanımlanan gruplama ve yetkilendirme formülü Windows 2000 için AGDLP olarak değiştirilmiştir. AGDLP, Accounts-Global Groups-Domain Local Groups-Permissions anlamına gelir. Gruplama işlemi belli bir strateji içinde yapılır. Departmanlara ya da ortak gereksinimlere göre domian kullanıcıları belli gruplar olarak ayrılmalıdır. Ardından kaynakları yönetmek üzere domain lokal grupları yaratılmalıdır. Ardından global gruplar bu lokal gruplara üye edilirler. İzinler ise domain lokal gruplarına verilir. III. UYGULAMA Şirketteki ali, ahmet ve mehmet için birer kullanıcı kaydı yaratın. Bir kullanıcı kaydı yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından User seçeneği seçilir. Muhasebe adlı bir global grup yaratın ve daha önce yarattığınız kullanıcıları bu gruba ekleyin. Grup yaratmak için: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU ya da Users konteynırı üzerinde sağ tuşa tıklanır ve New seçeneği, ardından Group seçeneği seçilir. IV. GÖZDEN GEÇİRME 1. Bir kullanıcı logon adı en çok karakterden oluşur? 2. Lokal gruplarla, global gruplar arasındaki farklar nelerdir? 3. Global gruplar diğer bir global gruba üye olabilirler mi? Yanıtını Evet ise bunun ne yarar sağlayacağını açıklayın. Hayır ise, böyle bir birleşimin başka grup yapılarıyla sağlanıp sağlanamayacağını düşünün. 4. Universal grup yapısının sağladığı üstünlükler nelerdir? 5. Universal grup yaratmak için hangi domain modunun seçilmesi gerekir. 6. AGDLP nedir? AGLP nedir? YÖNETİMİ DELEGE ETMEK Ders sonunda yapabilecekleriniz: -OU Yaratmak -OU tasarımına bir bakış. -Active Directory nesneleri üzerinde yönetim yetkisinin devredilmesi. I. ORGANİZATİONAL UNİTLER Active Directory’nin mantıksal tasarımı için domainler kullanıldıktan sonra, domainler içinde hiyerarşik OU’lar tasarlanır. Hiyerarşik bir yapıda yaratılan OU’ların ardından OU’ların içinde kullanıcılar, yazıcı ve bilgisayarlar gibi nesneler yaratılarak ağ kaynaklarının yönetimi sağlanır. OU’lar birer konteynırdır (container). Konteynır tanımlaması diğer nesneleri içerdiği için yapılmaktadır. OU’lar kullanıcılar (users), gruplar ve bilgisayar kayıtları gibi nesneleri içerir. Bu arada OU’lar bir OU da içerebilir. Böylece hiyerarşik bir yapı ortaya çıkar. BAKINIZ: ŞEKİL: OU (ORGANIZATION) DÜZENLEMELERİ OU’lar şirketin organizasyon yapısına ya da yönetim gereksinimlerine göre tasarlanırlar. OU tasarımının bir diğer kullanım alanı da yönetim kontrolünün (administrative control) bir kullanıcı ya da gruba delege edilmesidir. OU tasarımı mantıksal tasarımı gösterirken iki tür yaklaşım kullanabilirsiniz: -Organizasyon şeması -Network yönetimi Şirketinizin organizasyon şemasına dayalı olarak OU tasarımı departmanlara ya da coğrafik yerleşime göre yapılır. Örneğin şirketin İstanbul, Ankara, İzmir şubeleri için ayrı ayrı OU tasarlanır. Ardından bu OU’lar oralardaki yöneticilere delege edilir. Bir diğer OU tasarımı yaklaşımı ağ (network) yönetimidir. Bu yaklaşımda değişik ağ yöneticileri değişik görevleri üstlenirler. Örneğin bir yönetici kullanıcılarda (users), diğeri ise yazıcılardan sorumlu olur. Bu durumda kullanıcılar ve yazıcılar için ayrı ayrı OU’lar tasarlanır. NOT: Bir OU Administrators grubu tarafından yaratılır. Bir konteyner (domain ya da OU) içinde bir OU yaratmak için Read ve Create Organizational Unit Objects izinlerinin olması gerekir. Ayrıca yeni yaratılan OU’nun görülebilmesi için de List Contents izininin bulunması gerekir. Bir OU yaratmak için: 1. Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İçinde OU yaratılacak OU ya da domain üzerinde sağ tuşa tıklanır. 3. New seçeneği ardından Organizational Unit seçeneği seçilir. 4. OU’nun adı yazılır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. II. YÖNETİMİ DELEGE ETMEK OU içindeki nesneler üzerindeki yönetimsel kontrol bir başka kullanıcıya (yöneticiye) devredilebilir. Bu işleme delege etmek denir. Bir OU üzerindeki yönetimsel kontrolün delege edilmesi için OU ve içindeki nesneler için kullanıcılara ya da gruplara izinler verilir. Çok sayıda OU’nun yönetilmesinde; organizasyon hiyerarşisine bağlı olarak yönetim yerel bir yöneticiye delege edilir. Bu işlem MMC (Microsoft Management Console) içinde yer alan Delegation of Control sihirbazı kullanılır. Delegasyon işlemi: 1. Domain kontrolör bilgisayar üzerinde Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İstenilen OU seçilir ve sağ tuşa tıklanır ve Delegate control başlatılır. Delegate Control sihirbazı seçenekleri: Seçenek Açıklama Users and groups Kontrolün delege edileceği kullanıcı ya da gruplar. Object type (S) to delegate control on Access Rights Selection Belirtilen OU içindeki bütün nesneler ya da bir tür nesne. Nesnelere verilecek izinler: Show general rights ortak izinleri gösterir. Show property rights nesnenin özelliklerine (attributes) verilecek izinleri gösterir. Show creation/deletion of subobjects rights child nesne yaratmak ve silmek için izinleri gösterir. III. UYGULAMA Şirketimizin sirket.com domaininde alt bölümler olara şu OU'lar yaratın: Finans Satis Uretim Bir OU yaratmak için: 1. Administrative Tools mönüsünden Active Directory Users and Computers seçeneği seçilir. 2. İçinde OU yaratılacak OU ya da domain üzerinde sağ tuşa tıklanır. 3. New seçeneği ardından Organizational Unit seçeneği seçilir. 4. OU’nun adı yazılır. IV. GÖZDEN GEÇİRME 1. OU tasarımı bize ne sağlar? 2. OU içinde hangi nesneler bulunabilir? 3. OU ile gruplar arasındaki farklar nelerdir? GROUP POLICY UYGULAMAK Ders sonunda yapabilecekleriniz: -Group Policy'leri tanıtmak. -Group Policy yaratmak. -Group Policy kapsamı (inheritance). I. GROUP POLICY (İLKELER) Bilgi sistemleri yöneticilerinin en çok gereksinim duydukları konulardan birisi de kullanıcıların ortamlarını kısıtlamak ya da onları kısıtlı ortamlarda çalışmaya zorlamaktır. Örneğin Control Panel penceresine erişimi engellemek gibi. Group policy düzenlemeleri, Active Directory araçları ile domain ya da OU gibi nesnelerin üzerinde Properties iletişim kutuları aracılığıyla düzenlenir. Bunun dışında MMC içinde yer alan Group Policy snap-in ile de yapılır. Group policy düzenlemeleri öncelikle iki bölüme ayrılır: -Computer Configuration (Bilgisayar Düzenlemeleri) -User Configuration (Kullanıcı Düzenlemeleri) Ardından bu bölümler içinde şu bileşenlerden oluşan düzenlemeler yapılır: -Administrative Templates (Yönetimsel Düzenlemeler) -Security (Güvenlik düzenlemeleri) -Software Installation (Yazılım kurulması) -Scripts (scriptlerin çalıştırılması). -Folder Redirection (Kullanıcı klasörlerinin yönlendirilmesi) Yönetim amaçlı template’ler registry-temelli grup policy düzenlemeleridir. Bu düzenlemeler uygulamalar, masaüstü ayarları ve sistem servislerini kapsar. Windows bileşenleri, ağ kısıtlamaları ve mönü kısıtlamaları bu bölümde yapılır. Güvenlik (security) düzenlemeleri ise lokal bilgisayar, domain ve ağ için güvenlik düzenlemeleri sağlar. Kullanıcı ve grupların özel haklar temelindeki izinleri ya da kısıtlamaları buradan yapılır. Scriptler ise bilgisayar açıldığında, kapatıldığında ya da kullanıcıların logon ve logoff işleminde bir script’in çalıştırılmasını sağlar. Klasör düzenlemeleri ise kullanıcı klasörlerini ağ üzerinde saklamayı sağlar. A. GRUP POLİCY’LERİN UYGULANMASI GPO’lar bir Active Directory konteynırları ile ilişkilendirilir ya da bağlanır. Örneğin bir OU içindeki kullanıcılar için bir masaüstü kısıtlaması Admistrative Template’ler aracılığıyla yapılır. Grup policy’lerin GPO’ya uygulanması bir Active Directory yönetim işlemidir. Bu süreç içinde GPO’ların inheritance (düzenlemelerin alt nesneleri etkilemesi) özellikleri önemli rol oynar. Interitance (Kalıtım) Bir GPO yaratıldığında seçilen bir Active Directory konteynırı ile ilişkilendirilir. Bu konteynır site, domain ya da bir OU olabilir. GPO düzenlemeleri konteynır ve içinde yer alan child konteynır içindeki bilgisayar ve kullanıcı kayıtlarını da (computer ve users accounts) etkiler. Windows 2000, GPO’ları üstten başlayarak değerlendirir. Grup policy’lerin bu etkilenme sırasına inheritance (miras, etkilenme) denir. Bu sıra site, domain ve OU dur. Bu sıra içinde OU’nun GPO’ları için yapılan düzenlemeler ilgili bilgisayar ve kullanıcılara (en son olarak) uygulanır. Bu düzenleme içinde; bir parent (üst düzey) OU için düzenlenen grup policy, child OU içindeki nesneleri de etkiler. Ancak bununla birlikte parent ve child OU için de grup policy’ler düzenlendiğinde; her iki OU’nun düzenlemeleri de (uyumlu olmak koşulu ile) uygulanır. Eğer parent OU için yapılan düzenlemeler child OU ile çatışırsa bu durumda child OU, parent OU’nun düzenlemelerini almaz. Bu durumda kendi düzenlemeleri devam eder. Varsayım inheritance (miras, etkilenme) kuralları eğer gereksinimlerinizi karşılamıyorsa belli bir GPO için inheritance kuralları değiştirilebilir. Windows 2000 varsayım inheritance kurallarını değiştirmek için iki seçeneğe sahiptir: -No override (üzerine yazma) -Block Inheritance. (etkileme) No override seçeneği üst düzey GPO içindeki düzenlemelerin child konteynırlar tarafından üzerine yazılmasını engeller. Böylece bu seçenek kurumsal politikaların oluşturulmasını sağlar. Block Inheritance seçeneği ise child konteynırın parent konteynırlardan inheritance yapmasını engeller. Bu özellik bir OU için tek (unique) bir grup policy tanımlanması gerektiğinde kullanılır. Diğer bir deyişle no override seçeneği yukarıdan gelen düzenlemelerin bozulmamasını sağlarken. Block seçeneği yukarıdan gelen düzenlemeleri reddeder. NOT: No override seçeneği ile block seçeneği karşılaştığında no override seçeneği önceliklidir. NOT: Ancak bu ilişkileri GPO bazında olduğu gibi GPO içinde yer alan linkler bakımından düşünmek gerekir. Çünkü bloklama OU bazında, ancak override işlemi link bazındadır. Bir GPO içinde çok sayıda GPO linki olabilir… B. GRUP POLİCY NESNELERİNİN ÇALIŞMASI Bir GPO içinde düzenlenen grup policy düzenlemeleri belli bir sırada ve düzen çalışırlar. Bazı düzenlemeler kullanıcılar (users), bazıları da bilgisayarlar (computers) içindir. Grup policy düzenlemeleri şu sırada çalışırlar: 1. Bilgisayar açıldığında: -Bilgisayar için düzenlenen grup policyler işler. -Startup scriptleri işler. -Bilgisayarı etkileyen bütün GPO’lar işler. Ardından kullanıcının logon olacağı ekran devreye girer. 2. Kullanıcı logon olduğunda: -Kullanıcılar için düzenlenen grup policyler işler. -Logon scriptleri işler. -Kullanıcı logon scriptleri işler. C. Bir Grup Policy Yaratmak Bir grup policy uygulamak için önce Active Directory içinde bir GPO yaratılır ya da mevcut bir GPO ile bağlantı kurulur. Yeni bir GPO yaratmak ya da mevcut bir GPO ile bağlantı kurmak için: 1. Active Directory Users and Computers açılır. 2. İstenilen Active Directory konteynırı üzerinde sağ tuşa tıklanır. Bu konteynırlar domain ya da bir OU olabilir. Ardından Properties seçilir. 3. Group Policy tabı üzerinde uygun seçenekler seçilir. 4. Yeni bir GPO yaratmak için New düğmesine tıklanır ve GPO için bir ad girilir. Mevcut bir GPO ile çalışmak için Edit düğmesine tıklanır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. II. UYGULAMA 1. Kullanıcıların Control Panel'i görmelerini engelleyen bir ilke yaratın. 1. Active Directory Users and Computers açılır. 2. İstenilen Active Directory konteynırı üzerinde sağ tuşa tıklanır. Bu konteynırlar domain ya da bir OU olabilir. Ardından Properties seçilir. 3. Group Policy tabı üzerinde uygun seçenekler seçilir. 4. Mevcut GPO ile çalışmak için Edit düğmesine tıklayın. 5. User Configuration bölümünü seçin. III. GÖZDEN GEÇİRME 1. Group Policy ile hangi düzenlemeler yapılır. 2. Group Policy düzenlemeleri nerede saklanır. 3. Inheritance nedir? Domain yönetimini nasıl etkiler? ACTIVE DIRECTORY REPLİKASYONU Ders sonuna yapabilecekleriniz: -Active Directory Replication işlemini tanıtmak. -Replikasyon bileşenleri ve işlemlerini açıklamak. -Replikasyon işleminde sitelerin önemini açıklamak. I. ACTİVE DİRECTORY REPLİKASYONU Windows 2000 Active Directory sistemi içinde domain controller bilgisayarlar domain bilgilerini bir birleri arasında kopyalarlar. Bu işleme replication (replikasyon=çoğaltma) denir. Active Directory sistemi içindeki replikasyon modeline "multi-master replication" denir. Bu replikasyon modeli her domain controller üzerind yer alan directory verisinin güncellenebilmesi özelliğidir. Daha önce Windows NT sisteminde directory veri yalnızca PDC olarak adlandırılan bir DC üzerinde güncellenebiliyordu. Diğerlerinde yalnızca salt okunabilir kopyalar tutuluyordu. A. REPLİKASYON Replikasyon, Active Directory içindeki verilerin bir domain controller ile diğer bir domain controller (DC) arasında güncellenmesi işlemidir. Bu işleme synchronization da denir. Bir kullanıcı eklendiğinde, değiştirildiğinde ya da silindiğinde replikasyon otomatik olarak başlar. BAKINIZ: ŞEKİL: ACTİVE DİRECTORY REPLİKASYONU Replikasyon site içindeki DC'ler arasında otomatik olarak yapılır. Bir DC üzerinde Active Directory director verisinde bir güncelleme olduğunda replikasyon için beş dakikalık bir süre başlatılır. Buna "change notification" denir. Bu beş dakika içinde yapılan diğer değişiklikler de birlikte beş dakikanın dolmasının ardından replikasyon başlar. Replikasyon, DC üzerindeki Active Directory verisinin diğer partner DC'lere gönderilmesiyle yapılır. B. DİRECTORY VERİSİNİN BÖLÜMLERİ Active Directory verisi üç kısım halinde tutulur: -schema partition -configuration partition -domain partition Şema bölümünde Active Directory verilerinin şeması bir metadata gibi saklanır, configuration bölümünde is Active Directory yapısı yer alır. Siteler ve domain controller hakkında bilgiler bu bölümde saklanır. Domain bölümünde ise kullanıcılar, gruplar gibi domain nesneleri tutulur. II. ACTİVE DİRECTORY REPLİKASYONUNUN OPTİMİZE EDİLMESİ İÇİN SİTELERİN KULLANILMASI Siteler replikasyon trafiğinin kontrol edilmesini sağlayan yapılardır. Site önceki haftalardan hatırlayacağınız gibi bir IP subneti olarak düzenlenmiş network yapısıdır. Bu nedenle, büyük networklerde çok sayıda nesne kullanıcı logonu oluşacağından nesne replikasyonu ve logon trafiğinin optimize edilmesi için siteler yaratılır Active Directory Sites and Services aracı kullanılarak siteler yaratıldıktan sonra, siteler arasındaki replikasyo (DC'ler aracılığıyla) kontrol edilir. Kontrol işleminde schedule ve interval gibi değerler kullanılır. Schedule, replikasyon zamanını, interval ise replikasyona izin verilen zamanı ifade eder. A. REPLİKASYON PROTOKOLLERİ İki uzak site arasında kontrollu bir şekilde yapılan replikasyon işleminde iki ayrı protokol kullanılır: -RPC (Remote Procecure Call) -SMTP (Simple Mail Transfer Protocol) RPC replikasyon için kullanılan Windows tabanlı standart bir protokoldür. Ancak SMTP güvenlik ve optimizasyon açısından daha fazla seçenek sunar. B. BİR SİTE YARATMAK Site yaratmak için Active Directory Sites and Services programı kullanılır. Buradan Sites üzerinde sağ tıklan ve New Site seçilir. Ardından Name kutusuna sitenin adı yazılır. Sitenin yaratılmasının ardından, siteyle ilgili subnetin belirtilmesi gerekir. Bu işlem için yine için Active Directory Sites and Services programı kullanılır. Buradan Sites üzerinde sağ tıklanır ve New Subnet seçilir. Ardından Address kutusuna subnetin adresi girilir. NOT: Bu bölümde subnet adresini girerken CIDR belirtimi kullanılabilir. CIDR belirtimi için TCP/IP ile ilgi ilk haftalara bakınız. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. C. SİTE LİNK Siteler arasındaki replikasyonu kontrol etmek için Site Link nesnesi kullanılır. Site link replikasyonun zamanını (schedule) ve aralığını (interval) belirler. Bunun dışında replikasyon için kullanılacak protokol'de Site Link için seçilir. Bu protokol yukarıda belirtildi gibi IP (RPC) ya da SMTP olarak seçilir. III. UYGULAMA Site Yaratın: Default-Site-Name adlı bir sitededir. Ankara adlı bir site yaratın ve subnet mask olarak 192.168.1/24 verin. 1. Active Directory Sites and Services programını çalıştırın. 2. Sites üzerinde sağ tıklayın ve New Site seçin. 3. Name kutusuna sitenin adı yazın. Sitenin yaratılmasının ardından, siteyle ilgili bir subnet belirtin. NOT: IP adresleme seçenekleri konusunda Ders 5 ve ilgili Network bölümlerine bakınız. IV. GÖZDEN GEÇİRME 1. Change Notification nedir? 2. Domain içindeki iki DC arasında hangi Active Directory bilgileri replike olur? 3. Active Directory veritabanındaki hangi bölümler vardır? 4. Site Link nedir? 5. Sitelerin replikasyon işlemindeki önemini açıklayın. OPERATION MASTER'LARI YÖNETMEK Ders sonuna yapabilecekleriniz: -Operations Master'ları tanıtmak. -Operations Master Rolleri. I. OPERATION MASTER'LAR Windows 2000 Active Directory sistemi içinde, Domain Controller olan bilgisayar (Yani Active Directory’nin kurulduğu) önemli görevleri yerine getirirken belli rolleri oynarlar. Bu rollere operation master denir. Active Directory içinde beş ana rol vardır. Bunlara operation master roller denir: -Schema master -Domain naming master -Primary Domain Controller (PDC) emulator -Relative Identifier (RID) master -Infrastructure master Schema master ve Domain naming master rolleri forest bazında roldür ve her forestta bir tane bu işlem masterlerinden yalnız bir tane vardır. Primary Domain Controller (PDC) emulator, Relative Identifier (RID) master, Infrastructure master gibi roller ise domain bazındadır. Ve bu nedenler her domainin bir tane Primary Domain Controller (PDC) emulator, Relative Identifier (RID) master, Infrastructure master'a sahiptir. NOT: Genellikle Active Directory kuruluşunun ilk DC'si bu rolleri üzerinde taşır. A. SCHEMA MASTER Schema master rolünü üstlenen DC, Active Directory şema veritabanını günceller. Şema, bütün Active Directory nesnelerinin ana listesini içerir. Schema Master rolüne sahip olan DC, Active Directory şemasına yazma yetkisine sahiptir. Bu arada şemayı değiştirme yetkisi yalnızca Schema Admin grubuna ait kullanıcılar tarafından yapılır. B. DOMAİN NAMİNG MASTER Domain naming master rolüne sahip olan DC'ler ise yeni domainlerin foreste eklenmesini sağlar. Bu sayede forest içinde eklenen domainlerin adlarının benzersiz olması sağlanır. C. PDC EMULATOR PDC Emulator, network üzerinde Windows NT PDC'si olarak davranır ve ortamdaki Windows NT BDC'leri destekler. Bu bir anlamda Windows NT domain controller bilgisayarlarının hala kullanıldığı networklerde kullanılan bir roldür. D. RID MASTER RID Master, Active Directory içinde bir kullanıcı, grup gibi bir güvenlik kaydı yaratıldığında nesneye bir SID (Security Identifier) eklenir. Bu bilgiler RID Master tarafından üretilir. E. INFRASTRUCTURE MASTER Başka bir domain içindeki nesneyi işaret eden nesnelerin güncelleştirilmesi durumunda kullanılır. Bu durumda SID bilgisinin güncelleştirilmesi Infrastructure Master tarafından yapılır. F. OPERATİON MASTER ROLLERİNİ BELİRLEMEK Hangi domain controller bilgisayarların üstleneceği rolleri belirlemek için şu işlemler yapılır: 1. Active Directory Users and Computers'ı başlatın. 2. Konsol ağacında Active Directory Users and Computers üzerinde sağ tıklayın ve Operations Masters'ı seçin. 3. RID, PDC ve Infrastructure sekmesini tıklayın. II. UYGULAMA Active Directory DC'sinin hangi rolleri üstlendiğini görün. 1. Active Directory Users and Computers'ı başlatın. 2. Konsol ağacında Active Directory Users and Computers üzerinde sağ tıklayın ve Operations Masters'ı seçin. III. GÖZDEN GEÇİRME 1. Forestın ilk domainin ilk DC'si bu işlem rollerinden hangilerine sahiptir. 2. PDC Emulator ne işe yarar? 3. Şema Master rolü ne işe yarar? Active Directory şemasın değiştirmek için başka hangi yetkilere gereksinim duyulur? BİR ACTİVE DİRECTORY ADLANDIRMA STRATEJİSİ GELİŞTİRMEK Ders sonunda yapabilecekleriniz: -Active Directory Domain adlarını planlamak. -Active Directory için bir DNS adlandırma stratejisi geliştirmek. I. DOMAİN NAME Active Directory domainin ilk kök (root) adı Active Directory adlandırma yapısını etkileyen ana addır. Ardından eklenecek domainlerin adları bu ada bağlı olarak geliştirilirler. Bu nedenle domain adlandırılmasın uygun şekilde yapılması gerekir. Active Directory domain adlandırması şu durumları karşılayacak şekilde olmalıdır: -Active Directory tüm organizasyon için mi olacak? -Bu tasarım ileride partnerleri de içerecek mi? -Gelecekte birleşimler olacak mı ? (şirket evliliği gibi). Diğer bir durumda Internet'e açık olmaktır (internet presence). Eğer Active Directory domain adı Internet'e açık olacak ya da Internet üzerinde kullanılabilir olacaksa, o zaman domain adının Internet'e uygun olarak verilmesi gerekir. A. ACTİVE DİRECTORY'NİN KAPSAMI Active Directory'nin kapsamını düşünmek, şirket ya da organizasyon için domain adlandırılmasın kullanılac ana yaklaşımdır. Active Directory yalnız bir kök (root) domain adı kullandığı için bütün şirketi temsil eden bir ad kullanmak gerekir. ornekas.com Active Directory domain adı Internet üzerinde kayıtlı (registered) olmak koşuluyla Internet'e açık olarak da kullanılabilir. B. ADLANDIRMA HİYERARŞİSİNİN TASARIMI Active Directory domainleri birbirleri arasındaki ilişkiyi gösterecek şekilde hiyerarşik yapıya sahiptir. Network içindeki her domain tek bir DNS adına sahiptir ve bu ad Active Directory domain adına karşılık gelir. BAKINIZ: ŞEKİL: DOMAİN'LERİN ADLANDIRMALARI Yaratılan ilk domain Active Directory domainlerinin kökünü (root) oluşturur. Diğer domainlerin adın bu domain adından türetilir. Bu domainin altına eklenen domainler (child domain) aynı tree içinde kalacak şekilde aynı adı kullanırlar. kök domain: ornekas.com alt domain1: istanbul.ornekas.com alt domain2: ankara.ornekas.com C. ACTİVE DİRECTORY DOMAİN ADLANDIRMA KURALLARI Active Directory domain adlarında şu kurallara uyulur: -Active Directory kök domain adı DNS hiyerarşisinde tek olmalıdır. -Internet'e açık bir domain adı olacaksa, adın Internet üzerinde tek olması gerekir. -Domain adları mantıklı ve uygun seçilmelidir. Örneğin yilmazgida şirketi için xdr-22 gibi domain adı yerin yilmazgida.lokal ya da yilmazgida.com gibi domain adları seçilmelidir. D. ACTİVE DİRECTORY İÇİNDE DNS ADLANDIRMA STRATEJİSİ Active Directory kök domaini için bir DNS adlandırma stratejisi tasarlamak için değişik yollar vardır. Bu yollar şirketin gereksinimlerine, planlarına ve Internet'e açıklığına göre değişir. Eğer şirket Internet'e açık bir domain adlandırmasını seçerse, bu durumda iç ve dış olarak networkünü ayırmak isteyebilir. Bu durumda iç kaynaklara dışarıdan erişilemez. DNS adlandırma stratejisini belirlemek için de değişik karar kriterleri vardır: DNS root adının kaydedilmesi. Internet'e açık olacaksa adın kaydedilmesi (register) gerekir. Mevcut bir diğer DNS server'dan yararlanılacaksa onun Active Directory desteğinin olması gerekir. Diğer DNS Server'lar için BIND uyumluluğu aranır. İç ve dış adlandırma stratejisinin belirlenmesi; Domain Internet'e açıksa, iç ve dış kaynakların birbirinden ayrılması gerekir. Bu durumda DNS serverların tasarımı ayır ayrı yapılmalı ve istemcilerin iç ve dış kaynaklara erişimi sağlanmalıdır. II. DNS TASARIMLARI Active Directory adlandırma stratejisi içinde DNS adlandırma stratejilerini belirlemek için üç ana yaklaşım vardır: A. İÇ VE DIŞ NETWORKLER İÇİN TEK AD KULLANMAK Tek bir DNS domain adını iç ve dış network için kullanabilirsiniz. Ancak Bu DNS zonlarını birbirinden ayırmak için Firewall kullanılmalıdır. Güvenliği sağlamanın dışında tek bir DNS ve domain adının kullanılması kolaylığı vardır. BAKINIZ: ŞEKİL: İÇ VE DIŞ NETWORK İÇİN AYNI ADI KULLANMAK B. ALT DOMAİN ADI KULLANMAK Alt domain adı kullanmak "delegated subdomain" olarak bilinir. Dış network için kullanılan domainin alt domaini iç domain olarak kullanılır. ornekas.com DNS domain adının alt domaini olan sirket.ornekas.com domain adı iç domain için kullanılır. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markala bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı olarak kullanılmaz. Daha fazla bilgi için www.farukcubukcu.com adresine bakınız. C. İÇ VE DIŞ NETWORKLER İÇİN FARKLI ADLAR KULLANMAK Diğer bir yaklaşım iç ve dış networkler için ayrı DNS domain adlarının kullanılmasıdır. Bu yöntemde iç kaynaklar daha güvenlidir, çünkü adlandırma olarak tamamıyla farklıdır. III. ADLANDIRMA ÖRNEKLERİ Senaryo 1: Yılmazlar şirketi Internet üzerinde birçok kitap, CD, Video, hediyelik eşya satan bir firmadır. Firma bu süre içinde bir de Data Yazılım firmasını da satın alarak bünyesine katmıştır. Amaçlar: Firmalar Windows 2000 Active Directory'sini kullanmak istemektedirler. İki firmanın networklerinin birlikt olması isteniyor ancak her firma kendisinin networkünü kendisi yönetecek ancak kaynaklar birbirleri arasınd paylaştırılabilecektir. Organizasyon: Yılmazlar firması İstanbul ve Ankarada ana ofisleri vardır. Toplam 1000 kullanıcıları vardır. Ayrıca yurda dağılmış 30'a yakın şubeleri vardır. Data Yazılım ise yalnızca İzmir ve Bursa'da iki ofis olarak çalışmaktadır. WAN Bağlantısı: Ana ofisler birbirleriyle 56 Kbps T1 bağlantısına sahiptir. Kıbrıs'taki şube ise dial-up bağlantıya sahiptir. İstemciler: Ofislerde Windows 2000, Windows 98 istemci bilgisayarlar vardır. Şu anki network yapısı: İki tane domain var. Birisi anadolu domaini. İkincisi Kıbrıs domaini. Yapılacaklar: Tüm bağlantılar 1.5 Mbps T1'e yükseltilecektir. Internet: Yizmazlar firması yilmazlar.com registered adına sahiptir. Datayazilim.com da öyle. Yılmazlar, Internet üzerinden kullanıcıların Inernal domaine erişmesini istememektedir. Sorular: 1. Yılmazlar ve Datayazilim firmalarının domain adlarının belirlenmesinde hangi faktörleri göz önünde tutarsınız: Internet presence (internete hazır) İki ayrı firma olması WAN bağlantısı Kullanıcı sayısı Büyüme 2. Yilmazlar firması internal A.D. domain adı olarak hangi adları kullanmalıdırlar. yilmazlarticaret.com istanbul.yilmazlar.com yilmazlar.com istanbul.yilmazlar.com ankara.yilmazlar.com 3. Yilmazlar ve Datayazilim networklerini birleştirmek için nasıl bir yaklaşım gerekir. bir Active Directory forest, her şirket için bir tree iki forest bir root domain bir child domain IV. GÖZDEN GEÇİRME 1. Active Directory domain ve DNS adları neden planlamaya gereksinim duyar? 2. Tree'lerin adlandırmadaki yerini açıklayın. 3. DNS adlandırma stratejisini belirlemek için kullanılabilecek karar kriterlerini açıklayın ve örnek verin. WİNDOWS 2000 BİLGİSAYARLARIN GÜVENLİĞİNİ SAĞLAMAK Ders sonunda yapabilecekleriniz: -Windows 2000 bilgisayarlara erişimin güvenliğini kontrol etmek. -Windows 2000 dosya sisteminin güvenliğini sağlamak. -Güvenlik planının geliştirilmesi. I. FİZİKSEL GÜVENLİĞİN SAĞLANMASI Network ve bilgisayar üzerindeki güvenlik bilgisayarlar üzerindeki güvenli ayarlarının yapılmasıyla sağlanır. Bir bilgisayar üzerindeki bir açık bütün networkün güvenliğini tehdit eder. A. WİNDOWS 2000 BİLGİSAYARLARDA GÜVENLİĞİN PLANLANMASI Bilgisayar üzerindeki veriler çok değişik risklerin etkisi altındadır. Bu nedenle kritik verilere sahip olan bilgisayarların güvenliğinin sağlanması gerekir. Fiziksel güvenliğin sağlanması, donanım ve yazılımın uygun şekilde kurulması ve yapılandırılmasıyla çok ilgilidir. Windows 2000 bilgisayarlarını fiziksel risklerden korumak için şunlar yapılabilir: -Server'lar kilitli odalara yerleştirilebilir. Böylece yalnızca yetkili kişiler erişebilir. -Router, swtich, bridge ve hub gibi aygıtlar yine herkesin erişebileceği bir yerde olmamalıdır. -Parola ve şifreleme gibi bütün düzenlemelerinin en iyi şekilde yapıldığından emin olunmalıdır. B. SYSKEY ARACI Parolalar (password) özel yazılımlar tarafından çözülebilirler. Bu nedenle Active Directory içindeki bütün parola bilgilerini şifrelemek için SYSKEY programı kullanılır. SYSKEY programı 128 bitlik yeni bir şifreleme anahtarıyla yeniden şifrelenmesini sağlar. C. DONANIMIN GÜVENLİĞİ Windows 2000 bilgisayarlarında donanım güvenliği için aşağıdaki yöntemlerden bir ya da daha çoğunu kullanabilirsiniz: Bilgisayar kilitleri: Bilgisayarların çalınmasını engeller. Power-on Parolalar: Yetkisiz kullanıcıların Start menüsünü görüntülemesini engeller. Smart card logon: Kullanıcıların kendilerine ati smart kartlarla logon etmesi sağlanır. Böylece kullanıcı adları ortalıkta gezmemiş olur. BIOS parolaları: Bilgisayarın BIOS bilgilerinde değişiklik yapılmasını engeller. D. GÜVENLİK GEREKSİNİMLERİNİN DEĞERLENDİRİLMESİ Windows 2000 bilgisayarın network üzerindeki rolüne göre değişik güvenlik düzenlemelerine gereksinim duyarlar. Aşağıdaki tabloda bu bilgisayarlar ve güvenlik gereksinimleri yer almaktadır: Bilgisayar Güvenlik Gereksinimi Domain Controller Maksimum Uygulama Server'ı Özel güvenlik düzenlemeleri File ve Print Server Dosya ve dizinlerin erişim izinlerinin düzenlenmesi İş istasyonları Domainin üyesi oldukları için özel erişim düzenlemeleri. Notebook Çok hareketli kullanıldıkları için kendi içinde ve network üzerinde maksimum güvenlik gerekir. II. NETWORK ÜZERİNDEKİ VERİNİN GÜVENLİĞİ Veri network üzerinde gezerken bir şekilde görülebilir, karıştırılabilir, bozulabilir ya da başkaları tarafından erişilebilir. Network üzerindeki verilerin görünmesi iki faktöre bağlıdır: -Gönderilen verilerin açık metin (clear text) olması. -Tek bir noktadan networkün tümünün görünebilmesi. A. NETWORK İLETİŞİMİNDEKİ RİSKİ TANIMLAMAK Veriler disk üzerinde NTFS bölümlerde güvenle saklanabilirler. Ancak network üzerinde kablo içinde gezerken ne olacak? İşte bu durumda şu riskler verileri beklemektedir: Network Monitoring Bir network sniffer olarak adlandırılan yazılımlar ve donanımlar aracılığıyla network üzerindeki clear-text veriler izlenebilir. Veri Değiştirme Network üzerindeki verilerin değiştirilerek verilere zarar verilmesi. Kimlik Taklidi Yapmak Network üzerindeki paketlerin yapısı incelendikten sonra, network içinde sanki belli bir kullanıcıdan geliyormuş gibi mesajlar göndermek ve kişileri yanıltmak. Araya Girmek Veri alışverişinin arasına girerek bilgileri okumak. Parolaları Okumak Clear-text paroların elde edilerek kaynaklara erişmek. B. IPSec Network, verilerin bilgisayarlar arasında alışverişine olanak sağlarken, en önemli konulardan birisi verilerin güvenliğidir. IPSec (Internet Protocol Security), kriptografik güvenlik servislerini kullanarak, IP üzerindeki veri iletişimi güvenli hale getirmeyi sağlayan bir açık standarttır. Windows 2000 networklerinde IPSec'i bilgisayarın kimlik denetimi (authenticate) ve verilerin her türlü networkte şifrelenmesi (encrypt) için kullanabilirsiniz. IPSec, kimlik denetimi (authenticate) ve şifrelenme (encrypt) için protokoller ve servislere sahiptir. IPSec teknolojisinin ana amacı network üzerindeki IP paketlerin korunmasını sağlar. Bu nedenle standart IP paketi değiştirilecek farklı paketler olarak yapılandırılır. IPSec teknolojisi bir policy olarak yapılandırılır. Bu işlem Active Directory içinde, workgroup bazında ya da lokal bilgisayar için yapılabilir. III. GÜVENLİK PLANININ GELİŞTİRİLMESİ Güvenlik planınızı geliştirmeden önce, şirketinizin ya da organizasyonun kendi güvenlik ilkelerini tanımlaması gerekir. Bu güvenlik ilkeleri kullanıcılar, bilgisayar ve kullanımla ilgili prosedürleri içerir. İyi bir güvenlik ilkesi, en kolay biçimde gelişmiş bir güvenliği sağlamaktır. Örneğin kullanıcılara 15 karakter parola zorunluluğu vermek güvenliğin zor sağlanması anlamına gelir. Şirketinizin güvenlik gereksinimlerini karşılamak için şu tanımlamaları yapmanız gerekir: -Güvenliğin sağlanması için nedenler. -Güvenlik gerektiren kaynaklar. -Kaynaklara saldırı ve hasar olasılığı. A. GÜVENLİK PLANININ KAPSAMI Güvenlik planları bütün riskleri içermeyebilir. Bu nedenle güvenlik planı belli riskleri içerebilir. Örneğin yalnızca bir departman için ya da yalnızca Internet üzerinde gelecek saldırılar için güvenlik düzenlemek gibi. BAKINIZ: ŞEKİL: GÜVENLİK PLANININ KAPSAMI. Güvenlik planın kapsamının belirlenmesinin ardından güvenlik planının içeriği belirlenir: -Güvenlik ilkelerini karşılayacak güvenlik gereksinimleri. -Bir güvenlik projesi oluşturmak. -Plan içinde kullanılacak teknolojileri belirlemek. Bir networkün güvenlik gereksinimi belli kısımlara ayrılır. Her kısım farklı düzeylerde güvenliğe gereksinim duyar: -Lokal network (yerel ağ) -Remote network (uzak ağ) -Public network (genel ağ) -Partner erişimi (ortaklar arası bağlantı) Yerel ağın güvenliğini sağlamak dosyaların güvenliğini sağlamak, uygun network topolojisini sağlamak gibi konular içerirken, uzak networklerin güvenliği ise VPN ve IAS (Internet Authentication Servive) gibi servisleri ilgilendirir. Genel ağların güvenliği ise, Internet üzerinde erişimde yerel kaynakların korunmasını içerir. III. GÖZDEN GEÇİRME 1. Windows 2000 bilgisayarlarını fiziksel risklerden korumak için ne yapılabilir? 2. SYSKEY programının işlevi nedir? 3. Şirketinizdeki bir Domain Controller bilgisayar için hangi güvenlik önlemlerini alırdınız? 4. Bir LAN üzerinde hangi riskler bilgilerimizi tehdit eder? 5. Hacker'lar sizce Internet üzerinde bilgisayarlara nasıl girebilmektedirler? Görülebilir mi, önlemler alınabilir mi? Tartışınız.