• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Windows Server 2008 (Active Directory Yenilikleri)
 

Windows Server 2008 (Active Directory Yenilikleri)

on

  • 6,656 views

Windows Server 2008 (Active Directory Yenilikleri)

Windows Server 2008 (Active Directory Yenilikleri)

Statistics

Views

Total Views
6,656
Views on SlideShare
6,547
Embed Views
109

Actions

Likes
1
Downloads
7
Comments
0

3 Embeds 109

http://www.hakanuzuner.com 97
http://www.slideshare.net 11
http://webcache.googleusercontent.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • 1999-Nisan ayında çıkan Windows 2000 Server işletim sistemi ile Microsoft dünyaya Active Directory’yü tanıttı. Ve Windows NT 4.0 Domain yapısından tamamen yeni bir mimari üzerine oturtulmuş olan Active Directory Domain yapısına keskin bir geçiş gerçekleştirildi. 2003 yılında Windows Server 2003 ile Active Directory’nin ikinci versiyonu daha da geliştirilmiş, güvenliği artırılmış önemli yeniliklerle karşımıza gelmişti. Microsoft Windows Server 2003 R2 ile de özellikle şube ofislerine yönelik getirdiği yeni özelliklerle Windows Server 2003 üzerindeki Active Directory yapısını biraz daha geliştirdi. İlk Active Directory ürününün dünyaya tanıtılmasından bugüne yaklaşık 8 sene, Windows Server 2003 Active Directory ürününün çıkışının üzerinden de 5 sene geçmiş. Dile kolay. Bugün geldiğimiz noktada Windows Server 2008 ile Active Directory artık tamamen oturmuş, olgunlaşmış, çok daha güçlü, çok daha güvenli, çok daha sağlam hizmet veren Microsoft’un directory servisi olarak karşımızda. Şu ana kadar çok sayıda enterprise yapıda çalışan Windows NT 4.0, Windows 2000 Active Directory, Windows Server 2003 ve R2 Active Directory yapısında çalışan sistemlerin Windows 2008 Active Directory geçişlerini ve eğitimlerini gerçekleştirdik. Ve elde ettiğimiz tecrübelerle gördük ki, Microsoft Active Directory geliştirme ekibi Windows Server 2008 ile özellikle çekirdeği oluşturan ağ servislerinin güvenlik ve yönetim tarafında çok sağlam çalışıldığını ve son derece sağlam geliştirmeler yapıldığını kullanarak, uygulayarak ve yaşayarak gördük. Şimdiye kadar Active Directory biz sadece Windows 2000 ile gelen domain yapılarının oluşturulması ve yönetimini sağlayan bir servis olarak tanıdık. Windows Server 2008 ile artık Active Directory spesifik bir teknoloji olmanın ötesinde Windows kimlik kontrolü ve erişim mekanizmalarını tek şemsiye altında toplayan bir marka. Bugünkü webcastimizde sizlerle Windows Server 2008 ile Active Directory çatısı altında gelen yenilikleri inceleyeceğiz. Ve özellikle Active Directory çatısı altındaki Domain Servisleri ile gelen yenilikleri detaylı ve uygulamalı olarak ele alacağız. Şimdi ilk olarak ajandamıza bir göz atarak sunumumuza başlayalım.
  • Active Directory Domain Services – AD DS Şimdiye kadar Active Directory olarak kullandığımız teknik ifadenin yerini Windows 2008 ile beraber Active Directory Domain Services (AD DS) almıştır. Bu isimsel değişiklik yine arka planda Windows 2000 ve Windows Server 2003′den alışık olduğumuz mimari ve araçları kullanmaktadır. Active Directory Lightweight Directory Services (AD LDS) Eski Active Directory in Application Mode (ADAM) ifadesinin yerini Active Directory Lightweight Directory Services (AD LDS) almıştır. ADAM, Windows Server 2003′e eklenti olarak sonradan Microsoft’un web sitesinden indirilip kurulabilen bir uygulamaydı. Ve kullanım amacı şirketinizde dışardan çalışan sözleşmeli elemanlara, danışmanlara, bayilerinize kendi active directory veritabanınız yerine ADAM veritabanında hesaplar açıp, bu hesaplara da ağ kaynakları, sharepoint kütüphaneleri ve web servisleri üzerinde yetkinin tanımlanmasını sağlayan bileşen olarak kullanmaktı. AD LDS, fonksiyonellik olarak ADAM ile aynıdır ve organizasyon dışındaki kullanıcılara kaynakların kullanımını açmayı sağlayan bileşendir. Active Directory Federation Services (AD FS) Windows 2008 içerisinde active directory servislerinden en önemli bir diğer servis de Active Directory Federation Services (AD FS)’dir. AD FS, Windows Server 2003 R2 ile tanıştığımız ve amacı çoklu active directory forest yapılarının birbirine bağlanarak bir federasyon yapısının kurulmasını sağlayan servistir. Windows 2008 ile gelen Active Directory Federation Services sayesinde de farklı Active Directory Domain Service sistemleri arasında federasyon oluşumunun yapılması sağlanacaktır. Böylece farklı active directory domain servislerinin birbirleri arasında active directory bilgilerini paylaşmaları sağlanmış olacaktır. Özellikle ticari alanda faaliyet gösteren tedarikçi ve dağıtıcı firmaların bayi ağları için karşılıklı dizin servisleri bilgilerini paylaşarak bilgi paylaşımı, özgürce haberleşme ve kolaylıkla yardımlaşmalarını sağlayan servislerdir. Active Directory Rights Management Services (AD RMS) Windows Server 2008 ister çevrimiçi isterse çevrimdışı olunsun, güvenlik duvarının içinde veya dışındayken dijital bilgilerin korunmasına yardımcı olmak üzere RMS etkin – uygulamalarla çalışan bilgi korumalı teknolojidir. Active Directory Certificate Services (AD CS) : Kullanıcılar, bilgisayarlar ve organizasyon için dijital sertifikalar üretmek oluşturmak amacıyla kullandığımız bir servistir. Windows Server 2003 yapısında hatırlarsanız Certificate Services olarak geçmekteydi. Süremiz sınırlı olduğu için biz bu sunumda daha çok Active Directory Domain Servislerindeki yenilikleri ele alacağız. Önümüzdeki webcastlerde Active Directory Şemsiyesi altında bulunan diğer servisler için WebCast’ler düzenlemeyi planlıyoruz.
  • Çalışanın az olduğu Active Directory uzmanının olmadığı Standart veri Trafiğin yoğun olduğu, Sağlam bağlantıların olmadığı Bantgenişliğinin düşük olduğu Genel AD bilgilerine sahip Sistem Yöneticilerinin olduğu son derece tehlikeye açık, alanlar
  • Peki bu tip şube ofisleri için bu tip problemlerin üstesinden Nasıl geleceğiz: Çözüm – 1 : Şubeye bir Additional DC kuracağız. Ve orada yönetimi yapacak kişiye de o şube OU’su üzerinde delegasyonla yönetimsel yetkileri vereceğiz. Fakat DC’nin çalınma vb. gibi durumlarda bütün active directory bilgilerimiz çalınmış olacaktır. Çözüm – 2: Ya oraya DC koymayacaksınız, bu durumda WAN bağlantısı koparsa, kullanıcılarınız authenticate olamayacak, kaynaklara erişimi sağlayamayacak vb. çoğu servis duracaktır. Peki bu tip güvensiz ofislere hem DC koyup hem de güvenli hale nasıl getireceğiz? İşte bütün bu sorunlara ve güvenlik açıklarına Windows Server 2008 ile muhteşem bir çözüm geldi : RODC.
  • Windows Server 2008 ile Active Directory servisleri tarafında çok sayıda yeni özellik gelmektedir. Bunlar arasında en göze çarpan değişiklik Read Only Domain Controller (RODC) – Yalnızca Okunabilir Etki Alanı Denetleyicisi olmaktadır. İsminden de tahmin edebileceğiniz gibi bu yeni rol bize yalnızca okunabilir modda çalışan, active directory veritabanına yazma yeteneği kısıtlanmış, etki alanı denetleyicilerini sunmaktadır. RODC olarak kurulan sunucular için replikasyon da tek yönlü gerçekleşmektedir. RODC sunucuları sadece kendine gelen bilgiyi alan bir yapıda replikasyon faaliyetini yerine getirmektedir. Esasında RODC bizleri Windows NT 4.0 zamanlarını hatırlatıyor. Windows NT 4.0 domain yapısında hatırlarsanız PDC ve BDC olmak üzere iki farklı etki alanı denetleyicisi (domain controller) rolü kullanıyorduk. Bir domaini ilk kuran ve yöneten ana etki alanı denetleyicisine PDC, onun yanına yedek ve yardımcı olarak sonradan ilave edilen etki alanı denetleyicilerine de BDC adını veriyorduk. PDC her domainde bir tane olabilirken BDC birden fazla da kurulabiliyordu. Ve BDC’de yapılan bir domain veritabanına ait değişiklik PDC’ye güncellenmeden devreye girmiyordu. İşte Windows Server 2008 ile gelen RODC rolünü de kısmi olarak BDC’ye benzetebiliriz. RODC’un en önemli farkı sadece bizim belirlediğimiz kullanıcıların kullanıcı bilgilerini ve şifre bilgilerini cache’inde depolayabilme özelliğidir. Eğer RODC rolünün kurulduğu konumda 15 kullanıcı varsa, bütün active directory veritabanının RODC’a replikasyon yapılması yerine sadece o lokasyondaki 15 kullanıcıya ait bilgilerin RODC üzerinde cache yapılması çok daha performanslı ve güvenli olacaktır. Windows Server 2003 ile tanıştığımız cache-global catalog server rolünün fonksiyonelliğine benzerlik göstermektedir. Bu özellikle RODC’un çalınması durumunda oluşabilecek güvenlik riski de minimuma düşürülmüş olacaktır. RODC herhangi bir nedenle kapatıldığında cache içerisindeki bilgiler silineceği ve kullanılamaz hale geleceği için kullanıcı veritabanının da güvenliği sağlanmış olacaktır. Windows 2008 ile gelen RODC rolü sayesinde güvenliği yetersiz olan şube ofis noktaları ile DMZ gibi güvenliğin daha düşük seviyede olduğu noktalar için kurulan etki alanı denetleyici rolleri daha da güvenli hale getirilmiştir.
  • One needs at least one writable Windows Server 2008 domain controller to which the RODC can forward authentication requests. RODC domain updatelerini Windows Server 2008’de çalışan DC’den alır. Dolayisiyla RODC kurmaya başlamadan önce mutlaka Windows Server 2008’de çalışan bir DC bilgisayarına sahip olmanız gerekiyor. Buradaki Windows 2008 DC makinesi, Windows Server 2008 Standart/Enterprise Server olabilecegi gibi, Windows Server 2008 Core sürümü de olabilir. Ayrıca bu Windows 2008 DC olacak bilgisayarın PDC Emulator rolüne sahip olma zorunluluğu da yoktur. Yani eğer Windows 2003’den migration yaptıysanız, ve roller Windows 2003 üzerinde ise hala, yine bu yapiya RODC ekleyebilirsiniz. RODC bilgisayarının domain bilgilerini alması için ortamda Windows 2008 DC zorunludur, fakat GC ve diger uygulamalara ait application partition bilgilerini Windows Server 2003’de çalışan DC’lerden de alabilir. RODC herhangi başka bir DC ya da Domain icin kaynak Domain Controller olamaz. Çünkü replikasyon tamamen inbound olarak gerçekleşir, outbound replikasyon desteği yoktur. RODC olan site’a kesinlikle Writeable Windows Server 2008 DC konumlandırmayın. Çünkü RODC çalınınca YAZILABİLİR olan DC ve diğer kaynaklar da çalınma ihtimaliyle risk altına girmiş olacaktır. Burada özellikle çoklu AD Site yapıları kullanıyorsanız, RODC olan site’larin yakınındaki site’lara Windows Server 2008 DC’ler koymanizda fayda var. Özellikle cost degerinin düşük olduğu site’a Windows Server 2008 DC koymanizi kesinlikle öneriyoruz. Çünkü RODC kendi site’i icerisinde Windows Server 2008 DC yoksa replikasyon için öncelikle cost’u en düşük olan site’a gidecektir. The functional level of the domain and the forest must be Windows Server 2003 or higher. If your domain level is Windows Server 2003 you have to run adprep /rodcprep before you install the first RODC. Ya da Windows 2003 DC’si Windows 2008’e upgrade edilen yapılarda çalıştırılmalıdır. Forest içerisindeki herhangi bir bilgisayardan çalıştırılabilir. Enterprise Admins grubunun üyesi olunmalıdır. Bu komutla her domain içerisindeki Infrastructure Master rolune sahip DC’lerle baglantiya gecilerek, RODC replikasyonu için gerekli yetkilendirmeler domain ve application directory (DNS gibi) partitionlarda yapılır. Bu komutu forest içerisinde 1 defa çalıştırmak yeterlidir. Eğer Inf. Master makinesine ulasamama vb. problemlerden dolayı kurulum tamamlanamazsa, tekrar tekrar baslatabilirsiniz. Biten aşamaları bir daha yapmaz. Eğer forest yapınız yeni kurulan bir Windows Server 2008 yapısı ise, adprep komutunu çalıştırmanıza gerek yoktur. You can use a standard Windows Server 2008 or Server Core as an RODC. To install an RODC run dcpromo . The wizard lets you choose to install the DC as RODC. Domain Admins grubu üyesi olanlar sadece RODC kurulumu yapabilirler. NOT: Domaine join etmeden direkt Workgroup’dan da gerekli DNS ayarlarınızı yaparak mevcut bir Windows 2008 Server’ı RODC yükseltebilirsiniz. İllaki önce domaine join olmak zorunda değilsiniz.
  • 10/11/09 13:35
  • Domain Admins Kullanıcısı İle Standart RODC Kurulumu Bu kurulumda Domain Admins üyesi olan kullanıcı ile logon olunur. Ve standart DCPROMO komutunu çalıştırıp, kurulum aşamalarını tamamlayarak RODC kurulumunu yapıyoruz. Dolayısıyla RODC kurulumunu yapacak Domain Admin kullanıcısının ya atlayıp, server’ın olduğu yere gitmesi gerekiyor. Ya da merkezde bunu kendisi kurup, hazırlayıp şubeye göndermesi gerekiyor. Şube site’ina varinca da oraya özgü IP yapılandırmasının yapılması gerekiyor. Kısacası işi merkezdeki Domain Admin kullanıcısı yapıyor. Birazdan bunun uygulamasını yapacağız. Delegasyonlu RODC Kurulumu Bu tip RODC kurulumuna aynı zamanda 2-aşamalı RODC kurulumu da diyoruz. Ve her iki aşama da farklı kullanıcılar tarafından gerçekleştirilir. Burada amaç şube ofisindeki sıradan bir kullanıcı hesabı ile, teknik olarak işten anlayan bir teknik elemana RODC kurulumunu başlatma yetkisini verip, RODC kurulumunun yapılmasını sağlamak. Böylece Domain Admins kullanıcısının şube lokasyonuna gitme gereksinimi ortadan kalkmış oluyor. Kurulumun birinci aşamasını gerçekleştirecek kullanıcı Domain Admins grubunun üyesi olmalıdır. Domain Admins kullanıcısı bu aşamada öncelikle RODC bilgisayarına ait bilgisayar hesabını Active Directory içerisinde tanımlayacak ve bu bilgisayar hesabını RODC kurulumu için hazır hale getirecektir. Ayrıca şube ofisinde RODC kurulumunu başlatacak olan kişinin hesabına da gerekli RODC kurulumu başlatma yetkisi verecektir. Ve yapılan bu ayarlar (bilgisayar hesabı, AD site bilgisi, yetkilendirilen kullanıcı bilgisi gibi bilgiler) active directory veritabanında kayıtlı olarak tutulur. Bu kurulumdaki ikinci aşama ise şube ofisinde ve şube ofisindeki yetkilendirilen kullanıcı tarafından gerçekleştirilir. Kullanıcının yapması gereken tekşey, kendi hesabı ile logon olup, RODC kurulumu başlatmaktır. Bu işlem sonrası önceden açılan RODC bilgisayar hesabı, artık fiziksel olarak da bir sunucuya RODC olarak ilişkilendirilmiş olacaktır. Bu ilişkilendirmeyi yapacak hesabı ilk adımda Domain Admins kullanıcısı tarafından gerekli yetkinin verilmiş olması gerekiyor. Bu aşama sonrasında gerekli active directory veritabani dosyaları, log dosyaları RODC bilgisayarının lokalinde oluşur. RODC bilgisayarına DC’den gerekli bilgiler iki yolla senkronize edilebilir : Network üzerinden gerçek zamanlı olarak , IFM (Install From Media) seçeneği yani merkezden alınmış active directory bilgilerini içerisinde barındıran bir CD-DVD ya da USB’den de alınabilir. IFM seçeneğinin kullanılabilmesi için öncelikle NTDSUtil.exe aracı ile kurulum medyasının oluşturulması gerekiyor. İlerleyen başlıklarda IFM oluşturma konusunun üzerinden tekrar geçeceğiz. RODC kurulumunun yapıldığı makineyi öncelikle domaine join etme gibi bir zorunluluk söz konusu değil. Direkt Workgroup’dan da kurulum başlatılabilir. Eğer bilgisayar adi ve kullanici adi match edilirse, kurulum başlayacaktır. Burada en önemli nokta gerek Standart kurulum gerekse de Delegasyonlu kurulumda DNS ayarlarının mevcut Active Directory DNS sunucularına göre düzgün yapılandırılmış olması gerekiyor .Aksi halde isim çözümlenmesinde sıkıntılar yaşarsınız.
  • Kurulum guiden dan kurulumu yaptır Kurulum sonrası değişikliklere bak Event Viewer da 1128 nolu olayi kontrol ederek replikasyonun duzgun çalıştığından emin olun. RODC DC’sine ADUC baglan ve bir User acmayi dene acmaz, cunku read only, Mevcut group uzerinde degisiklik yapmayi dene acmaz cunku read-only.
  • Windows Server 2003 Active Directory yapısında ntbackup.exe ile bir DC üzerinden active directory yedeğini alıpi bu yedekle de başka bir Windows Server 2003 bilgisayarını Domain Controller’a yükseltebiliyorduk. Bu işlem için de dcpromo /adv parametresiyle çalıştırmamız yetiyordu. Bu bize neyi sağlıyordu : DC’ye yükseltme esnasında network kaynaklarının daha az kullanılması sağlanmış oluyordu. Yeni kurulan bilgisayar üzerinde active directory servisinin ve global katalog bilgilerinin çok daha hızlı kurulumu ve oluşumunu sağlıyordu. Bir de bir Domain Controller’ın yazılımsal ya da donanımsal nedenlerden dolayı çökmesi ya da servislerin devre dışı kalması durumunda, yeniden kurup, elimizdeki AD yedeğinden geri dönebiliyorduk. Windows Server 2008’de bu medyayı oluşturma işlemini artık NTDSUTIL.exe aracı ile yapıyoruz. NTDSUTIL.exe aracına girdikten sonra IFM alt komutunu çalıştırarak RODC kurulumu için kullanılacak medya icerisinden cachelenmiş kullanıcı şifrelerini temizleyebiliyoruz. NTBackup.exe bu cache’lenmiş gizli bilgileri temizleyemiyordu. IFM ile RODC Kurulumu Installation method Action required to specify the IFM option Active Directory Domain Services Installation Wizard Select the Use advanced mode installation check box on the Welcome page (for both delegated and nondelegated installations). Command-line installation Type dcpromo /unattend /ReplicationSourcePath:" path to installation media " Add other parameters as required to complete the installation. Answer file Create an answer file that includes an entry for ReplicationSourcePath=" path to installation media " Specify dcpromo /unattend:" path to answer file " at a command prompt.
  • Active Directory yapısındaki Site tasarımınız RODC çalışmasında çok önemli bir etkiye sahiptir. Yukarıdaki şekilde de görüldüğü üzere 3 farklı site yapısı mevcut. Site A (Windows Server 2008 writeable DC VE Windows Server 2003 DC), Site B (Windows Server 2003 DC), Site C (Windows Server 2008 RODC) içermektedir. Burada RODC’un doğrudan replikasyon yapacabileceği site olan Site B içerisinde sadece Windows Server 2003 DC mevcut, Writeable Windows Server 2008 DC yok. Dolayısıyla böyle bir site tasarımında RODC’un replikasyonu tamamen sizin RODC bilgisayarınızın bulunduğu site ile Writeable Windows Server 2008 Site’iniz arasındaki site linklerini kapsayacak şekilde yaptığınız Site Link Bridge özelliğine göre çalışacaktır. Windows Server 2008’de default olarak Bridge all site links özelliği aktif olarak geliyor. Böylece oluşan tüm site linkler birbiri ile bağlantılı çalışıyor. Bu özelliği Active Directory Site and Services konsolundan Inter-Site Transports özelliklerinden ayarlayabilirsiniz. Birazdan göstereceğim. Fakat Windows Server 2003 üzerinde çalışan şube ofis siteleri üzerinde Bridge all site links özelliği kapalı olarak geliyor. Böyle bir durumda yukarıdaki şekle göre RODC kurulan site’a en yakın site içerisinde Windows Server 2008 Writeable DC yoksa RODC nasıl bir çalışma gösterecek? İşte burası çok hassas ve son derece önemli. Şimdi bu çalışma mantığını ve burada izlemeniz gereken yol ve yöntemi biraz açalım. Eğer yukarıdaki şekildeki gibi bir yapınız varsa ve Bridge all site links özelliği aktif ise, Site A ve Site C dolaylı olarak Site-Link-Bridge üzerinden birbirine bağlantılı olduğundan Site C içerisindeki RODC Site B’den domain partition replikasyonunu Site A içerisindeki Writeable Windows Server 2008 DC ile yapabilecektir. Eğer yukarıdaki şekildeki gibi bir yapınız varsa ve Bridge all site links özelliği aktif değilse, Site C içerisindeki RODC doğrudan bağlantılı olduğu Site B’de password replikasyon için bir Writeable Windows Server 2008 olmadığı için domain partition bilgileri için replikasyon yapamayacaktır. Fakat schema, configuration, ve application directory partition bilgilerini Site B içerisindeki Windows Server 2003’den alabilecektir. Peki bu durumda ne olacak? Bu durumdaki çözümü bir sonraki slaytta görüyoruz.
  • Eğer Bridge all site links özelliği kapalı ise, bu durumlarda RODC’un olduğu Site’a en yakın olan Site içerisine mutlaka bir Windows Server 2008 DC konumlandırın ki, RODC sunucusuna Domain Partition bilgileri de replikasyona tabi tutulsun. Genelde RODC sunucularında gerçekleşen replikasyon trafiği genelde çok düşük seviyelerde seyredir. Bu tabii ki biraz da o lokasyondaki replikasyona tabi olan obje sayısına göre değişiklik gösterir. Şimdi farklı bir senaryoyu farklı bir slayt içerisinde farklı bir senaryoyu ele alalım :
  • The Bridge all site links option is disabled. RODCs are placed in edge (or spoke) sites (Site C and Site D). A writable domain controller running Windows Server 2008 is placed in a hub site (Site A). A domain controller running Windows Server 2003 is placed in an intermediary site (Site B). Bu tip bir yapıda RODC’un doğrudan Windows Server 2008 ile replikasyon yapması için Site A ile Site C arasına , bir de Site A ile Site D arasında ayrı bir site link oluşturursunuz, ya da A-B, B-C, B-D Site Linklerini içeren bir Site Link Bridge yapabilirsiniz, ya da Site B içerisine bir Writeable Window Server 2008 konumlandırabilirsiniz.
  • RODC üzerinde cachelenen şifrelerin temizlenmesi için belirli bir mekanizma yok. RODC üzerinde cache’lenmiş bir şifreyi temizlemenin yolu, Writeable DC’nin bulunduğu Merkez Hub Site içerisinde Administrator’ın şifreyi resetlemesi ile sağlanır. Bu yolla, RODC üzerinde cache’lenmiş şifre artık geçerliliğini kaybettiği için, gerek merkez hub site içerisindeki gerekse de diğer şube siteler içerisindeki kaynaklara erişim de otomatik olarak engellenmiş olacaktır. RODC’un bulunduğu site içerisinde ise bir sonraki replikasyon saykılına kadar mevcut password geçerli olacaktır. Ve ilk replikasyon saykılından sonra kullanıcı bir sonraki ilk kimlik doğrulamasında yani authentication sürecinde şifre yeni haliyle RODC’da tekrar cache’lenecektir. Ya da sizin manuel olarak Repopulate işlemi ile değişen şifrenin cache’lenmesini tetiklemeniz de mümkündür. RODC çalındığında güvenlik açısından mevcut AD içerisindeki RODC hesabı silinerek, hem kullanici hesaplarının şifreleri resetlenmelidir. Böylece RODC ait bilgisayar hesabı da silinmiş olacağından mevcut sisteme gelebilecek zararlar da önlenmiş olacaktır. Ve çalınan RODC bulunursa, yeniden kurulması gerekir. 10/11/09 13:35
  • RODC sunucusu üzerine DNS Servisini de kurabilirsiniz. RODC DNS sunucusu ForestDNSZones ve DomainDNSZones application partition bilgilerini de içerecek şekilde kendisine replikasyonu gerçekleştirir. RODC üzerinde çalışan DNS servisini kullanıcılar aynen normal DNS Sunucularını sorgular gibi isim çözümlenmesi için sorgularlar. Fakat RODC üzerindeki DNS Servisi sadece Read-Only olarak çalışır. Dolayısıyla clientlardan gelen güncellemeler, gerçekleştiremez. Böyle bir durumda RODC DNS Sunucusu güncelleme isteğinde bulunan client sistemini Writeable DNS veritabanını tutan DNS Server’a yönlendirir. Bu işleyiş Active Directory Integrated Zone ile Standart Secondary Zone arasındaki çalışma yapısına çok benzerlik göstermektedir.
  • Windows Server 2008’de SYSVOL içeriğinin senkronizasyonu artık DFS Servisi üzerinden gerçekleştiriliyor. Eskiden FRS (File Replication Service) hizmetinin yaptığı görev artık DFS üzerinden gerçekleştiriliyor. Tabii bu şekilde sistemin çalışabilmesi için Domain Modunun Windows Server 2008 Domain Functional Level’da olması gerekir. Eski SYSVOL klasörlerinizi FRS’den DFS içerisine taşımayı bu iş için kullanabileceğiniz bir araçla gerçekleştirebilirsiniz.
  • Change auditing is not enabled by default. To do so: 1) Turn on change auditing by auditpol /set /subcategory:"directory service changes" /success:enable 2) Set up auditing in object SACLS through ADUC > Security (Advanced) > Auditing 3) Filter out excessive events by modifying schema (by setting bit 9 in searchFlags to turn off auditing) Windows Server 2008 ile Auditing’de yeni bir alt kategori geldi. Böylece AD objelerinde ve attributelerinde yapılan değer değişimleri artık loglanarak eski ve yeni değerlerin karşılaştırması ya da izlenmesi çok daha detaylı ve kolaylıkla yapılabiliyor. Windows 2000 Server ve Windows Server 2003’de Audit log icerisinde sadece degisiklik yapilan obje, degisikligi yapan kisi ve zaman bilgisi ve degisikligin yapıldığı attribute bilgisi vardı. Attribute’deki eski ve yeni değeler loglanmıyordu. Örneğin; Ali ismli kullanıcının Web adresi www.ali.com olsun, ali web adresini www.aliyeni.com olarak web adresini değiştirdiğinde değişen bilginin eski ve yeni değerleri ile ilgili bir log tutulmuyordu. Windows Server 2008 ile gelen yeni Auditing özellikleri sayesinden belli değerler arasında yapılmış değişikliklerde o attribute’un hangi değerleri aldığını izleyebiliyorsunuz. Windows Server 2003’de sadece 1 adet active directory ile ilgili audit ayarı vardı : Audit directory service access Windows 2008’de bu yapı 4 kategoriye ayrıldı: Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication Ve Directory Service Changes alt kategorisinden aktifleştirebilirsiniz.
  • Windows Server 2008’de Directory Service Changes audit kategorisini 3 yolla gerçekleştirebilirsiniz. Global audit policy System access control list (SACL) Schema Default Domain Controllers Group Policy (under Security SettingsLocal PoliciesAudit Policy). In Windows Server 2008, this global audit policy is not enabled by default. Although the subcategory Directory Service Access is enabled for success events by default, the other subcategories are not enabled by default. Windows 2003’de obje değişikliklerinde tutulan 566 Event, Windows 2008 ile 4662 Event’ına dönüştü. Aynı olayları logluyor, fakat Event ID numarası değişti. Bir objenin bir attribute’une birden fazla değer girilebiliyorsa ya da değiştirilebiliyorsa, Directory Service Auditing ile sadece değeri değişen bilgiler loglanır. Bir objeyi bir yerden başka bir konuma taşıdığınızda yeri değiştiği için yine hem eski hem yeni konuma ait bilgilere ulaşabilirsiniz. Bütün bu yapılanlarla ilgili olaylar Security Loglari altinda toplanır. Audit Policy alt kategorilerini görüntülemek ve set etme işlemeleri için Auditpol.exe komut satırı aracını kullanıyoruz. /get Displays the current audit policy. All categories and subcategories can be specified by the GUID or name enclosed by quotation marks. Users can be specified by SID or name.   /set Sets the per-user audit policy, system audit policy, or auditing options. Can be used to create success and failure auditing.   /list Displays selectable categories and subcategories. Lists audit policy categories and/or subcategories, or lists users for whom a per-user audit policy is defined.   /backup Backs up system audit policy settings, per-user audit policy settings for all users, and all auditing options to a comma-separated value (CSV) text file.   /restore Restores the settings from a backed up CSV file.   /clear Deletes the per-user audit policy for all users, resets (disables) the system audit policy for all subcategories, and sets all the auditing options to disabled.   /remove Removes the per-user audit policy for a specified account or all accounts. SACL özelliği ile kaynaklar üzerindeki Auditing özellikleri aktif hale getirilebilir.
  • Domain ortamında çok fazla sayıda olay üretilmesini engellemek için, şema içerisinde ilave bir kontrol mekanizması mevcut. Bu kontrol sayesinden nelerin audit edilip, nelerin edilmeyeceğine karar verebiliyoruz. Ve Audit edilmeyecek olaylari hariç tutabiliyoruz. Böylece gereksiz log üretimini de engellemiş oluyoruz. Örneğin bir User nesnesi üzerinde tüm attributelerdeki değişikliklerin loglanması yerine, ihtiyaç duymayacağımız attributelerin loglarının tutulmasını engelleyebilirsiniz.Bu attributelerden attributeSchema sınıfında searchFlags attribute değerini 8 bit olarak ayarlayabiliriz. searchFlags attribute’ü nesnenin indekslenip indekslenmeyeceğine karar vermeyi sağlar. Eğer 8 bit ayarlı ise (değer olarak 256), AD bu attribute için yapılacak değişiklikleri loglamayacaktır. Bu değişiklik bu attribute’e sahip tüm objeler için geçerli olmuş olacaktır.
  • Windows Server 2008 ile, çok daha açık ve net bir biçimde objeler üzerindeki değişiklikleri loglardan takip edebiliyoruz. AD DS içerisinde bir objede değişiklik yapıldığında otomatik olarak Security loglar içerisinde 5136 numaralı olay oluşur. Burada obje için değişiklik meydana gelince 2 adet 5136 log oluşur. İlk oluşan log eski bilginin silinmesi bilgisini içerirken, ikinci log dosyasi da yeni girilen bilgiyi içerecektir. AD DS içerisinde bir obje create edildiğinde otomatik olarak Security loglar içerisinde 5137 numaralı olay oluşur. AD DS içerisinde bir obje silindiğinde değişiklik olayı olan 5136 üretilmez. Silme işlemi geri alındığında ise 5138 olayı Security loglar içerisinde oluşur. AD DS içerisinde bir obje bir yerden başka bir yere taşındığında yani move işlemi yapıldığında 5139 olayı otomatik olarak Security Loglar içerisinde oluşacaktır.
  • Exercise 1: Set-up AD DS Auditing 1…..Enable the Audit directory service access policy • Open Group Policy Management. • In the console tree, expand Forest: Contoso.com | Domains | Contoso.com • Right-click Default Domain Policy, and then click Edit • In the console tree, expand Computer Configuration | Windows Settings | Security Settings | Local Policies, and then click Audit Policy • Set the Audit directory service access Properties to log Failures and Successes 2…..Enable the Audit object access policy Set the Audit object access Properties to log Failures and Successes 3…..Enable subcategories using Auditpol.exe Open a Command Prompt • Type auditpol /set /subcategory:”directory service changes” /success:enable --------------------------------------------------------------------------------------------
  • Exercise 2: Create and View Auditing Events 1…..Create a user object Open Active Directory Users and Computers • In the Marketing OU, create the following user: • Full Name: Sarah Johnson • User ID: sjohnson 2…..Modify a user object In the Marketing OU, change the user AHill’s telephone number to 425-555-5555 3…..Move a user object Move FMiller from the Marketing to the Finance OU 4…..Delete a user object Delete Kmyer 5…..View AD DS auditing events In Event Viewer locate AD DS auditing events in the Security log: 4662
  • Event Log içerisine yazılan loglar içerisindeki değerlerin uzunlukları birbirinden farklılık gösterebilir. Özellikle string değerler için tutulan bilgi için byte olarak belli bir kapasite limiti vardır. Bu limit sayesinden yüksek boyutlarda log dosyası oluşumu da engellenmiş olur. HKLMSystemCurrentControlSetServicesNTDSParameters • Setting name: MaximumStringBytesToAudit • Type: REG_DWORD • Values • Default registry value: 1000 • Minimum registry value: 0 • Maximum registry value 64000
  • Server 2008 öncesi işletim sistemlerinde active domain yapısı için yalnızca tek bir password policy ve account lockout policy uygulanabiliyordu, ve onu da domain seviyesinden uygulayabiliyorduk. Ve bu uygulanan policy’de domain içerisindeki tüm kullanıcılara etki ediyordu. Password policy ayarları içerisinde kullanıcıların kullanacakları şifrenin minimum karakter sayısı (minimum password length) , yenilenme süresi (maximum password age), kompleks olma özelliği (Password Complexity), account’un kilitlenmesi için tanınan yanlış girme sayısı (account lockout threshold), account kilitli kalma süresi (account lockout duration) gibi kuralları içermektedir. FGPP sayesinde artık kullanıcı ve grup seviyesinde birden fazla Account Policy ve Password Policy uygulayabiliyoruz. FGPP yeteneği sadece password policy kuralları değil aynı zamanda hesap kilitlenme (account lockout) ayarlamaları yapmaya da imkan vermektedir. Böylece hassas hesaplar için daha az sayıda yanlış giriş denemesi ayarlanarak, hesapları daha hızlı kilitlenebilmektedir. Windows 2008′de bilgisayarlara uygulanan policy ayarları administrator yetkisine sahip kullanıcılar için farklı, administrator yetkisine sahip olmayanlar için de farklı uygulanabiliyor artık.
  • FGPP sadece kullanıcılara ve Global scope’da oluşturulmuş Security gruplara uygulanabilir. Yönetim açısında policylerin kullanıcı seviyesi yerine grup seviyesinde uygulanmasında fayda var. Sektörde çok karşılaştığımız bir yanlışlığı burada ifade etmeden geçemeyeceğim. Projelerde karşılaştığımız bazı sistem yöneticisi olan arkadaşlarımız password ve account lockout policy ayarlarının OU seviyesinden de uygulanarak sadece o OU içerisindeki domain kullanıcılarını etkilediğini düşünürler ki, bu düşünce tamamen yanlıştır. Domain altındaki OU’lar üzerinden uygulanan password policy ayarları sadece o OU içerisinde bulunan bilgisayarların yerel kullanıcı hesaplarını(local user account) etkilemektedir. Fakat aman dikkat, DFL3 seviyesi domain içerisindeki kullanıcılar için farklı password policy uygulamalarının OU seviyesinde yapılabilmesine hala imkan vermemektedir. Eğer bu tip bir yapıda OU içerisindeki tüm kullanıcılar için ortak bir Password ya da Account Policy uygulacaksanız, Shadow Group yapılarını kullanıyoruz. Shadow group, bir OU’ya ilişkilendirilerek o OU içerisindeki kullanıcılara FGGP uygulanmasını sağlayan bir Global Security gruptur. Bu shadow group içerisine FGPP’den etkilenecek kullanıcılar üye yapılır ve gruba da FGGP uygulanır. Eğer kullanıcıları farklı bir OU içerisine taşırsanız, gittiği yerde Shadow grup üyeliğini tekrar düzenlemeniz gerekecektir.
  • Eğer kullanıcı birden fazla gruba üyeyse ve her gruptan farklı policy geliyorsa, Windows 2008 kendi içerisinde kullanıcı için hangi policy’nin geçerli olacağına karar verebilme yeteneğine sahiptir. Eğer gerek kullanıcı için, gerekse de kullanıcının üye olduğu gruplar için herhangi bir password policy uygulanmamışsa, bu durumda kullanıcı için domain seviyesinden uygulanan password policy geçerli olacaktır. Bu özellikler sayesinde şirketler esnek bir yapıda password policy tanımlaması yapabilirler. Çoğu şirket Windows 2008 öncesi sistemlerdeki tek seviyeden tek bir password policy sınırlamasıyla yaşamaya alışmış olmasına rağmen, bazı şirketler de farklı password policy uygulamaları için ayrı domain yapıları kurarak ya da yüksek maliyetli üçüncü parti yazılımlar satın alarak çözüme gitmişlerdir. Server 2008 ile artık bütün bunların yerini FGPP yeteneği aldı. Dolayısıyla sırf farklı password policy uygulamasından dolayı farklı domain kuran organizasyonlar mevcut yapılarını konsolide ederek tek bir domain içerisinde toplayarak hem yönetimsel yüklerini hem de donanımsal maliyet yüklerini azaltmış olacaklardır.
  • FGPP yeteneği nin kullanılabilmesi için domain içerisindeki tüm domain controller bilgisayarları Windows 2008 versiyonunda olmalı ve domain fonksiyonel seviyesi DFL3′e (Server 2008) yükseltilmelidir.
  • Sadece Domain Admins grubunun üyesi olanlar FGPP oluşturabilirler. Sunumda Domain Admins grubunun Password Settings Container nesnesinde ve oluşturulan PSO objeleri üzerinde otomatik olarak sahip olduğu yetkileri görmektesiniz. Tabii active directory delegation ile bu yetkileri başka kullanıcılara da atayarak onlara da FGPP oluşturma yetkisi verebilirsiniz. FGPP uygulanması active directory system kabı içerisindeki Password Settings Container içerisinde Password Settings Objects (PSOs) nesneleri kullanılarak gerçekleştirilmektedir. PSOs yönetimi için şu anda Microsoft tarafından çıkarılan bir grafiksel araç mevcut değil. PSOs uygulaması şu an itibariyle ADSIEDIT aracı kullanılarak gerçekleştirilmektedir. ADISEDIT PSOs uygulaması için çok kullanışlı bir grafiksel araç olmamasına rağmen, her domain controller üzerinde otomatik olarak yüklendiği için şu an ADSIEDIT aracı ile yetinmek durumundayız. Tabii internet üzerinde PSOs yönetimi için üçüncü parti ücretsiz yazılımları da indirip kullanabilirsiniz : POWERGUI (http://powergui.org) - Fine-Grained Password Policies  Pack . Zaman içerisinde Microsoft da PSOs için bir grafiksel arayüz ya da Powershell komut satırı ile daha kullanışlı bir araç sağlayacaktır. FGPP oluşturma işlemini aynı zamanda LDIFDE import/export komut satırı aracını kullanarak bir LDF dosyası içerisine PSO değerleri girilerek de oluşturulabilir.
  • FGPP bilgileri AD schema içerisinde iki farklı attribute’de saklanır. Password Settings Container (PSC) Password Settings Password Settings Container (PSC) Systems kabı içerisinde default olarak oluşmuş olarak gelir. ADUC konsolundan Advanced Features özelliğini aktifleştirerek PSC kabını görüntüleyebilirsiniz. Bu kap içerisinde Password Settings Objects yani PSOs bilgileri saklanır. Bu kabın ismi değiştirilemez, başka bir yere taşınamaz ve silinemez. Siz de kendi ihtiyacınıza göre ilave Password Settings Container (PSC) kabı oluşturabilirsiniz. Bir PSO nesnesi içerisinde Domain Seviyesinden uygulanan Account Policy Ayarlarından Kerberos Ayarları haricindeki Password Policy ve Account Lockout Policy ayarlarını içerir. İçerdiği ayarlar: Enforce password history Maximum password age Minimum password age Minimum password length Passwords must meet complexity requirements Store passwords using reversible encryption Account lockout duration Account lockout threshold Reset account lockout after Ayrıca bir PSO’i için ilave olarak 2 adet attribute daha vardır: PSO link . : PSO’nin kullanıcı ve gruplara bağlantısını sağlar. Precedence : Integer value. Bir kullanıcı ya da gruba birden fazla PSO uygulandiginda meydana gelebilecek cakışmayı önlemek amacıyla verdiğimiz PSO öncelik sırasıdır. Bu yukarda bahsettiğimiz 9 adet attribute’ler için mutlaka değer tanımı yapmalısınız. Yani bu attribute’lere değer girmek bir MUST zorunluluğudur. Burada bir diğer önemli nokta da birden fazla PSO objesinden gelen bilgiler MERGE yapılamaz. PSO tanımlamasını kullanıcı ve Global Security gruplar dışındaki gruplara da uygulayabilirsiniz. Fakat bu gruplara bağlanan PSO’ler değerlendirmeye alınmazlar. Kısacası tekrar etmek gerekirse, PSO ayarları sadece kullanıcı hesapları ve Global-Security gruplara uygulanmalıdır. NOT: Eğer domain içerisinde hiç FGPP oluşturmazsanız, tüm kullanıcılar için Domain seviyesinden uygulanan Password ve Account Lockout Policy ayarları etki eder. Aynen Windows 2000 ve Windows 2003 Active Directory yapılarında olduğu gibi. FGPP bilgileri Windows Server 2008’in tüm sürümlerinde uygulanabilir.
  • To create a new PSO, open ADSIEdit from the Administrative Tools menu and point it to the fully qualified domain name (FQDN) of the domain where the PSO will be created. 1. Under the container for the domain, navigate to CN=System, CN=Password Settings Container. 2. Right-click on the CN=Password Settings Container, and choose New, Object. 3. Select msDS-PasswordSettings, and click Next to continue. 4. From the Create Object dialog box, shown in Figure 4.10, enter in the attributes, using Table 4.1 as a guide. 5. When on the final screen of the wizard, click the More Attributes button. 6. Click the Select a Property to View drop-down list arrow, and then select msDSPSOAppliesTo. 7. In the Edit Attribute field, enter the DN of the group or user to which the PSO will apply. Be sure to click the Add button, or the setting will not be applied. The value should be displayed, similar to what is shown in Figure 4.11. 8. Click OK and then click Finish. ADUC içerisinde OU altındaki kullanıcı için şifre değiştirerek test et.
  • Burada 4 adet time-related attribute değeri giriyoruz. msDS-MaximumPasswordAge , msDS-MinimumPasswordAge , msDS-LockoutObservationWindow , and msDS-LockoutDuration ) Bunları ya d:hh:mm:ss format (recommended) or the I8 format ında girebilirsiniz. the d:hh:mm:ss format is only available in the Windows Server 2008 version of ADSI Edit. msDS-PasswordSettingsPrecedence : Greater than 0 - Örnek 10 msDS-PasswordHistoryLength : 0 through 1024 - Örnek 24 msDS-MinimumPasswordLength : 0 through 255 - Örnek 8 msDS-MinimumPasswordAge : 00:00:00:00 through msDS-MaximumPasswordAge value - örnek 1:00:00:00 (1 day) msDS-MaximumPasswordAge : (Never) msDS-MinimumPasswordAge value through (Never) msDS-MaximumPasswordAge cannot be set to zero - örnek 42:00:00:00 (42 days) msDS-LockoutThreshold : 0 through 65535 - örnek 10 msDS-PSOAppliesTo : “CN=u1,CN=Users,DC=DC1,DC=contoso,DC=com” When you use ldifde to create PSOs, values for the four time-related PSO attributes (msDS-MaximumPasswordAge, msDS-MinimumPasswordAge, msDS-LockoutObservationWindow, and msDS-LockoutDuration) must be entered in the I8 format. For more information about how to convert time unit values into I8 values, see "Negative PSO Attribute Values" in Appendix B: PSO Attribute Constraints. http://technet.microsoft.com/en-us/library/cc753858.aspx - Bu siteyi aç – bu siteye bağlan ve göster I8 format hesabını For example, if you want to set the msDS-MaximumPasswordAge to 10 days, multiply 10 by -864000000000 and apply the resulting I8 value to the msDS-MaximumPasswordAge attribute (in this example, -8640000000000). If you want to set msDS-LockoutDuration to 30 minutes, multiply 30 by -600000000 to get the corresponding I8 value (in this example, -18000000000). Saat için de -36000000000 .
  • The value of msDS-MinimumPasswordAge must be smaller than or equal to the value of msDS-MaximumPasswordAge . The value of msDS-LockoutObservationWindow cannot be smaller than the value of msDS-LockoutDuration . The value of msDS-MaximumPasswordAge cannot be set to zero. ADUC konsolundan Advanced Features acip, buradan uygulamayi dene. Note If you do not see msDS-PsoAppliesTo attribute in the Attributes list, click Filter , and then click Show attributes / Optional . Also, clear the Show only attributes that have values check box. To create a PSO using ldifde Define the settings of a new PSO by saving the following sample code as a file, for example, pso.ldf: dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com ldifde –i –f pso.ldf Viewing the resultant PSO for users from the command line using dsget dsget user "CN=u1,CN=Users,DC=corp,DC=contoso,DC=com" –effectivepso Note If the PSO name is not returned by the dsget command, the Default Domain Policy is applied to the specified user account.
  • Windows 2008 ile beraber gelen active directory tarafındaki yeniliklerden biri de active directory servislerinin standart servisler gibi normal modda çalışırken durdurulup, başlatılabilmesidir. Bu yenilik sayesinde artık domain controller bilgisayarlarını bakım operasyonları için Directory Service Restore Mode açılışı yapmanıza gerek kalmayacaktır. Update’lerin DC sunucularına uygulanması, active directory veritabanında offline defragmantasyon gibi işlemler için DC’yi yeniden başlatıp DSRM açılışı yapmanıza gerek kalmadan AD DS durdurmanız yeterlidir. Böylelikle DC üzerinde active directory servislerinden bağımsız olarak çalışan DHCP gibi servislerin de hizmet vermeye devam etmelerini sağlayabiliyoruz. Fakat AD Servislerine bağımlı çalışan File Replication Service (FRS), Kerberos Key Distribution Center (KDC), ve Intersite Messaging gibi servisler AD Servisleri durunca otomatik olarak duracaklardır. Eğer herhangi bir anda AD Servislerini restart ederseniz, AD Servislerine bağımlı olarak çalışan diğer servisler de otomatik olarak restart olacaktır. Tabii AD Domain Servisleri durunca DNS Servisi içerisindeki ADIZ DNS zone’larına gelen sorgulara da yanıt verilmeyecektir. Bu tip durumlara karşın mutlaka mevcut clientlarınız üzerinde yedekleme açısında ikinci bir DNS adresi tanımı mutlaka olsun. AD DS’lerinin durdurma-başlatma ya da yeniden başlatma özelliği Windows Server 2008’de çalışan tüm DC’ler üzerinde uygulanabilir. AD DS’lerinin durdurma-başlatma ya da yeniden başlatma özelliğinin kullanılabilmesi için domain ya da forest modu için bir gereksinim yoktur. Eskiden Windows 2000 Server ve Windows Server 2003 DC’ler üzerinde AD veritabanının offline defragmantasyonunu yapmak için DC’yi yeniden başlatmamız gerekiyordu. Artık bu işlemi sadece AD DS durdurarak, hızlı bir biçimde gerçekleştirebiliyoruz. Windows Server 2008 DC olan bilgisayarlarda Services konsolunda Active Directory Domain Services isimli bir servis mevcuttur. Bu servisi durdurarak işlemlerinizi gerçekleştirmeniz mümkün. Burada servis fonksiyonelliği olarak 3 durum söz konusu : AD DS Started : Bu servis durumunda tüm AD hizmetleri çalışır durumdadır. AD DS Stopped : Bu servis durumunda tüm AD hizmetleri durdurulmuştur. DC bilgisayarı DSRM’da çalışan bir DC ya da domaine join olmuş bir member server gibi davranış gösterir. DC üzerindeki AD veritabanı yani ntds.dit offline moda geçmiştir. Bu esnada kullanıcılardan logon isteği gelirse, eğer sistemde Additional DC varsa istekler oraya yönlendirilecektir. GPO ve diğer ayarlara hala bu modda olan DC’ye uygulanmaya devam eder. Bu modda çalışan DC’ye DSRM Password ve Administrator hesabı ile erişilebilir. Bu modda çalışan DC replikasyon isteklerine de cevap vermez, replikasyonlar Started Moda geçene kadar yapılamaz. Bu modda çalışan DC üzerinde active directory kaldırmak için standart DCPromo komutu çalıştırılamaz. Fakat dcpromo /forceremoval komutu ile DC’nin kaldırılması zorunlu olarak yapılabilir. Directory Services Restore Mode : Windows Server 2003 ve Windows 2000 Server’da kullandığımız DSRM modundan bir farkı yoktur. DC bilgisayarını bakıma almak istediğimiz zaman bu modda açılışı yaparak, gerekli bakımı (örneğin, AD veritabanının offline defragmantasyonu, veritabanının taşınması vb. gibi operasyonları) gerçekleştirebiliriz.
  • Stopping and restarting AD DS To stop and restart AD DS Click Start , click Administrative Tools , and then click Computer Management . Double-click Services and Applications , and then click Services . To stop AD DS, in the details pane, right-click Active Directory Domain Services , and then click Stop . In Stop Other Services , review the list of dependent services that will also stop when you stop AD DS, and then click Yes . If you right-click Active Directory Domain Services , and then click Properties , you see a list of the other services that depend on AD DS to function and another list of services that AD DS depends on to function. All dependent services stop before AD DS stops. Right-click Active Directory Domain Services again, and then click Start . Dependent services start before AD DS starts. Compact the directory database file (offline defragmentation) Type the following command at a command prompt, and then press ENTER: ntdsutil At the ntdsutil: prompt, type files , and then press ENTER. At the file maintenance: prompt, type compact to drive: LocalDirectoryPath (where drive: LocalDirectoryPath is the path to a location on the local computer), and then press ENTER. type quit , and then press ENTER to quit the file maintenance: prompt. Type quit again, and then press ENTER to quit Ntdsutil.exe.
  • One thing you can't do by default is stop AD DS and then perform an authoritative restore.  I say by default because this can change in Server 2008.   This all changes with Server 2008 and you now have the ability to change the DSRM logon behavior.  By modifying the following registry key you can select when you want to allow the DRSM administrator to log on: HKLMSystemCurrentControlSetControlLsaDSRMAdminLogonBehavior There are three values that can be selected: Value 0 (default) : DSRM Administrator can log on using DRSM boot option 1 : DSRM Administrator can log on while AD DS is stopped 2 : DSRM Administrator can log on at all times I'm personally a fan of Value 1.  Value 0 has to big of an impact for restores and maintenance and Value 2 is a little too liberal for my likings. Finally some commands that can be used for those Server Core Admins:  net start ntds (starts AD DS service) net stop ntds (stops AD DS service) sc \ < DC Name> query ntds (queries AD DS service)
  • It is enabled by ticking a check box on the Object tab of the particular object you wish to protect. The Object tab is only visible when the Advanced Features option is selected from the View menu of Active Directory Users and Computers . When the tick box is checked the permissions on the object are changed . A “Deny” permission is created which stops deletion of the object. This is good because we can now stop the object from being subject to an accidental deletion. If an administrator tries to delete the object from within the MMC an error message is displayed . Attempting to circumvent the MMC and delete the object from the command line will also fail Remove-QADObject “CozumPark.local/Test” There are a number of points to note about using the protection from accidental deletion functionality. The first is that the protection does not get automatically applied to any existing child objects in the OU to which protection is applied. This means that in an OU with existing child OUs, users, groups or computers only the parent OU is protected from accidental deletion. The second point regards creation of new objects in a protected OU. Only some objects automatically have protection applied: ·         New OUs are automatically set to be protected ·         New users are not protected ·         New groups are not protected ·         New computers are not protected
  • Active Directory® database mounting tool (Dsamain.exe) organizasyonunuzdaki Active Directory Recovery süreçlerini son derece kolaylaştıran ve daha güvenli hale getiren önemli yeniliklerden bir tanesi. Farklı zamanlarda alınan snapshotları ya da yedekleri kullanarak istediğiniz noktaya çok daha kısa sürede geri dönüş yapabilirsiniz. Böylelikle eskiden tek tek alınan AD yedeklerinin geri dönülmesi için geçen zaman kaybı da önlenmiş olacaktır. Snapshot is a point-in-time copy of data. Database Mountining Tool özelliği ürün geliştirme aşamasında Snapshot Viewer ve Active Directory data mining tool kod isimleriyle tanıtıldı. Ürün çıktıktan sonra da Database Mountining Tool olarak son halini aldı. AD DMT kullanılarak AD DS içerisindeki bir veride yapılmış değişiklikleri kontrol edebilirsiniz. Örneğin bir obje üzerinde farkında olmadan, ya da kazara bazı değişiklikler yapılmışssa Database Mountining Tool kullanılarak yapılan değişiklik sürecini kontrol edip, nasıl tekrar geriye dönüş yapacağınız konusunda bilgi alabilirsiniz. Database Mountining Tool tam olarak silinen objelerin kurtarılması işlevini yerine getirmez, size sadece kazara silinmiş objeleri nasıl kurtaracağınız konusunda yardımcı olur. Windows Server 2008 öncesi sistemlerde silinen bir OU ya da objeyi geri getirmek için yapmanız gereken işlem, aldığınız yedekelerden geri dönmek idi. Bu işlemi gerçekleştirmek için de DC’yi DSRM modunda açıp, authoritative restore yapmanız gerekiyordu. Ayrıca aldığınız yedeklerde kaybettiğiniz objenin hangi backup setinde olduğundan emin olmanız için bir DC’ye bunları dönmeniz ve kontrol etmeniz gerekiyordu. Database Mountining Tool sayesinde alınan snapshotlar ve online yedekler içerisindeki veriler gözlemlenebilmektedir. Ve böylece sistem yöneticilerinin alınan snapshotları karşılaştırıp, hangi noktaya geri dönmeleri gerektiği konusunda daha kesin ve hızlı bir karar vermelerini sağlayacaktır. Database Mountining Tool aracı silinen AD DS ya da AD LDS verilerinin Volume Shadow Copy Service (VSS) vasıtasıyla alınmış snapshotlarda saklanması sağlayan son derece muhteşem bir araçtır. AD Sistem Yöneticileri bu datayı isterlerse snapshottan geri çağırabilirler. Lightweight Directory Access Protocol (LDAP) araçları ile örneğin Ldp.exe ile snapshot alınan verileri gözlemleyebilirsiniz. Buradaki veri read-only moddadır. Bu snapshotlar içerisinde hassas AD verileri bulunduğundan dolayı bu snapshotların içini sadece Domain Admins ve Enterprise Admins gruplarının üyeleri görüntüleyebilirler. Aldığınız AD Snapshot verilerini mutlaka şifreleme araçları ile güvenli halde saklamanız gerekiyor. Zira, snapshotlarınızı ele geçiren bir saldırgan, bu snapshotları başka bir forest içerisinde açarak, kullanıcı bilgilerinize ulaşabilir.
  • Step 1: Take a Snapshot So first, you need a VSS snapshot of the volume that the DIT is on. For our purposes, we&apos;ll take the snap using NTDSUTIL. So log on to your WS08 DC and open up a command prompt. Run the following command: ntdsutil &quot;Activate Instance NTDS&quot; snapshot create quit quit You could also run NTDSUTIL and run each command separately to drill down through the menus, but you can schedule the above one-liner to run every night in a scheduled task. Step 2: Mount the Snapshot Now that you have a snapshot, you need to mount it so you can have access to NTDS.DIT. To mount the snapshot that we took in the previous step, we&apos;ll use NTDSUTIL again. First, you can list the snapshots that you have available: ntdsutil snapshot &quot;list all&quot; quit quit After you target which snapshot you want to mount, you can reference it using the snapshot index. FYI - NTDSUTIL requires that the &quot;list&quot; command be run in the same session that you mount the snapshot. So in order to mount the snapshot with a one-liner, you will need to run &quot;list all&quot; first. ntdsutil snapshot &quot;list all&quot; &quot;mount 11&quot; quit quit Note the path that it was mounted under: &quot;C:$SNAP_200803060936_VOLUMEC$&quot;. This coincides with the date and time that the snapshot was taken, as well as the volume that was snapped. Step 3: Mount the DIT In the last two steps, we&apos;ve just been making the actual NTDS.DIT backup available to us. We can now access the DIT with the following path (assuming you used the default database path when running DCPROMO): &quot;C:$SNAP_200803060936_VOLUMEC$WindowsNTDSNTDS.DIT. Now, we&apos;ll use DSAMAIN.EXE (the Database Mount Tool - DBMT) to mount the DIT. There are a couple of things to note here. First, ensure that you put in the correct path to the NTDS.DIT file that you are mounting. Second, you have to give the DBMT a unique port to service LDAP requests on. In this example, we&apos;ll use 10389. What actually happens here is that the DBMT will expose the directory on LDAP, LDAP/SSL, GC, and GC/SSL. If can feed the command the different ports that you want to use for each protocol connection, but if you just give it one port (i.e. 10389), it will mount the subsequent listeners numerically. So if you specific 10389 for the LDAP port, this is what you end up with: LDAP: 10389 LDAP/SSL: 10390 GC: 10391 GC/SSL: 10392 Here&apos;s the command to mount the DIT: dsamain -dbpath C:$SNAP_20080306_VOLUMEC$WindowsNTDS <br /> tds.dit -ldapport 10389 A funny thing happens next. The only thing that will actually indicate that the DIT is mounted is the message &quot;Microsoft Active Directory Domain Services startup complete&quot;: Do not close the command prompt. As long as the DBMT is running, you can access the directory over LDAP on the port you specified. To prove it, let&apos;s run ADSIEdit.
  • Step 4: Grab the Data Now that we have access to a snapshot of the DIT, we can just export the data that we need. There are a million ways to do this. I&apos;m a big fan of VBScript, so let&apos;s use the following script to pull the data out and write it to TSV (Tab Separated Values) file. We&apos;ll go through each user account and export the samAccountName and displayName attributes to the TSV. Remember, we&apos;re connecting to port 10389. Step 5: Dismount the DIT Now that we have the data, we can get out and reverse everything we just did. To dismount the DIT, its simply a matter of pressing CTRL-C at the command window for the DBMT. You&apos;ll get a message indicating that the DS shut down successfully. Step 6: Unmount the Snapshot The last thing we need to do is to unmount the snapshot. Again, this can be done through NTDSUTIL. The same concept as step 2 applies here, so you are required to perform a &quot;list mounted&quot; before we can actually perform the unmount command. ntdsutil snapshot &quot;list mounted&quot; &quot;unmount 1&quot; quit quit And that&apos;s it. I know this process may seem a little confusing at first, but after running through it a few times in the lab, you&apos;ll get the hang of it. Besides, it&apos;s MUCH better than the alternative - taking down the DC (or standing up an offline DC), restoring from a backup, rebooting into DSRM, and then exporting the attributes. At least with the DBMT, you can use a snapshot and perform it on a live DC using an alternate port - and the DC remains functional the entire time. http://blogs.technet.com/kenstcyr/archive/2008/03/06/ws08-ad-database-mounting-tool.aspx
  • If you enable Advanced Features, the Properties dialog for each object displays an additional tab titled Attribute Editor. This is the same attribute editor tab used by ADSIEdit, which lets you inspect and edit all of the attributes of the object. The tab itself now offers better decoding of encoded attributes, such as the userAccountControl attribute
  • Windows Server 2008 Group Policy yönetiminde de birçok yeniliği beraberinde getiriyor : Policy ile yönetimde yeni kategoriler Administrative template dosyaları için yeni bir format : ADMX S tarter Group Policy Objeleri GPOs ve policy ayarlarına yorumlar ve açıklamalar N etwork Location Awareness Ve diğer seçenekler Windows Server 2008 ile özellikle sistemlerinizde tasarrufa gitmenizi sağlayacak birçok yeni group policy kategorisi kullanımınıza sunuluyor. Özellikle dünya çapında şu anda devam eden Global Kriz ortamında yüzlerce bilgisayarın kullanılmadığı saatlerce zaman içerisinde boşa tükettikleri güç sarfiyatı vb. gibi seçenekleri Windows 2008 GPO ayarları kontrol altına alabiliyoruz. Güç Seçenekleri , Harici aygıtların bloklanabilmesi ( USB drives, CD-RW drives, DVD-RW drives, and other removable media ) , Geliştirilmiş güvenlik ayarları (Birleşik IPSec ve Windows Firewall Güvenlik AYARLARI) , Geliştirilmiş Internet Explorer ayar yönetimi , Site lokasyonuna göre printer atama seçenekleri (Böylece kullanıcı site değiştirince otomatik olarak o site içerisindeki printer’i otomatik tanıyacaktır, kendi site’larına dönünce de kendi default printerlarını kullanmaları sağlanacaktır.) ve printer driverlarını yükleyebilmeleri için kullanıcılara yetkilendirebilme yeteneği (böylece administrator yetkisi verme gereksinimi ortadan kalkmış oluyor.) gibi çok sayıda yeni kategori bizlerin kullanımına sunulmuştur.
  • Deploying power options Computer Configuration    └ Administrative Templates       └ System          └ Power Management Blocking device installation Computer Configuration    └ Administrative Templates       └ System          └ Device Installation Security settings Computer Configuration    └ Windows Settings       └ Security Settings          └ Windows Firewall with Advance Security Internet Explorer settings management Computer Configuration    └ Administrative Templates       └ Windows Components          └ Internet Explorer User Configuration    └ Administrative Templates       └ Windows Components          └ Internet Explorer Assigning printers based on location Computer Configuration    └ Windows Settings       └ Deployed Printers User Configuration    └ Windows Settings       └ Deployed Printers Note : Group Policy will not automatically refresh the printer policy settings when a computer moves to a new site location. New printer assignments will be available after a Group Policy refresh following the site location change. Delegating printer driver installation to users Computer Configuration    └ Administrative Templates       └ System          └ Driver Installation Administrative template dosyaları için yeni bir format : ADMX Registry tabanlı group policy ayarları olan Administrative Template ayarları yani yönetimsel şablonlar artık XML-tabanlı dosya formatı olan ADMX formatında geliyor. Windows NT 4.0 ile başlayan ADM formatındaki Administrative Template ayarları, yıllar sonra Windows Server 2008 ile ADMX formatına dönüştü. Bu yeni format sayesinde Windows Server 2008 ve Windows Vista clientlarının registry tabanlı policy yönetimleri son derece kolaylıkla yapılabilmektedir. Bu yeni ADMX formatının çokludil desteği, versiyon kontrol etme yeteneği gibi daha birçok üstünlüğü bulunmaktadır. Windows Server 2008’de İngilizce dilinde olan bir sistemden oluşturulan bir GPO ayarı, kaydedilip, gerekli birime bağlandıktan sonra; başka bir dilde örneğin Fransızca’da çalışan başka bir sistemden GPMC ile açıldğınde Fransızca dilinde görüntülenebilmektedir. Ve Fransızca olarak açan kullanıcının yaptığı değişiklikler diğer İngilizce kullanan kullanıcı tekrar açtığında aynen uygulanmış olarak gelecektir. Bu özellik ADMX dosya formatının getirmiş olduğu en önemli yeniliklerden. Yine ADMX dosyaları merkezi olarak SYSVOL dizininde depolanarak çok daha hızlı ve sağlıklı bir biçimde replikasyonu da sağlanmış olacaktır. Windows 2008 ile 800’ün üzerinde yeni GPO nesnesi özellikle Windows 2008 ve Windows Vista sistemlerde kullanım için karşımıza çıkmaktadır. Group Policy’nin temel fonksiyonelliği aynen korunmasının yanında Group Policy Editor (GPEDIT) ve Group Policy Management Console (GPMC) konsolları da işlevselliği daha da geliştirilerek korunmaktadır. GPMC, ayrı bir konsol olarak çalıştırılabileceği gibi, Server Manager içerisinden Features altından da açılabilir. Windows 2008&apos;de bilgisayarlara uygulanan group policy ayarları administrator yetkisine sahip kullanıcılar için farklı, administrator yetkisine sahip olmayanlar için de farklı uygulanabiliyor. NOT: Windows 2008’de group policy yönetimi konsolunu Windows 2008’de ya da Windows Vista sisteminde çalışan bir sistem üzerinden çalıştırmalısınız. Windows Server 2003 ya da Windows XP işletim sisteminde çalışan bir bilgisayardan Windows 2008 group policy ayarlarının tamamını konfigüre etme desteği yoktur. Çünkü Windows 2008 ile group policy ayarları için ADMX ve ADML uzantılı yeni bir şablon dosya formatı gelmiştir ve bu formata sadece Windows 2008 ve Windows Vista sistemlerden ulaşabilirsiniz. Mevcut ADM dosyalarınızı ADMX formatına ADMX Migrator Tool ile kolaylıkla dönüştürebilirsiniz. Bu araçla aynı zamanda mevcut ADMX dosyalarınızı edit edebilirsiniz. S tarter Group Policy Objeleri WindowS Server 2008 ile gelen yeni özelliklerden biri de Starter Group Policy nesneleridir. Bu nesnelerle Administrative Template ayarlarını içeren bir Starter GPO oluşturup, aynı ayarı kullanacak yeni GPO’ları bu Starter GPO’dan oluşturduğumuzda aynı ayarların yeni GPO’da da kullanılmasını sağlamış olacağız. Starter GPO’ları farklı ortamlarda kullanmak için bunları bir CAB dosyasına export edip, karşı ortama da import ederek taşıyabilirsiniz. GPOs ve policy ayarlarına yorumlar ve açıklamalar Windows Server 2008 İle oluşturulan GPO’lara yorum ve açıklama eklenebiliyor. Bu özellik sayesinde özellikle kompleks ortamlar için oluşturulmuş çok sayıda GPO ve GPO ayarının niçin oluşturulduğu da dökümente edilmiş olacaktır. Açıklama ve yorum eklemeyi GPO ayarlarına girince Comment tabından yapabiliyoruz. N etwork Location Awareness Windows Server 2008 ile gelen bu servis sayesinde clientların network yapılarındaki değişimi kolaylıkla algılamalarını sağlar. Client bilgisayarının firewall özelliğinin açık olması/kapalı olması, ethernetin enable/disable olması, VPN ya da LAN bağlantının aktif olması gibi değişen network şartı özelliklere göre uygulayacağı GPO ayarlarını belirleyebiliyor.
  • In-Place Upgrade Windows Server 2008 DVD’sini komut satırından sourcesadprep adprep/ forestprep (Forest&apos;ın ilk DC&apos;si üzerinde) adprep/ domainprep (Varolan tüm Domainlerde ilk DC&apos;ler üzerinde) adprep/ rodcprep (opsiyonel) komutlarını çalıştırın. Yukarıdaki komutları başarılı bir şekilde çalıştırdıktan sonra setup.exe’e tıklayın. Install Now tuşuna basarak kurulumu başlatın. Get important updates for installation penceresinde kurulum öncesi Windows update’lerinin yapılmasını istiyorsanız Go online to get the latest updates ile başlayan seçeneğe tıklayın. Type your product key for activation penceresinde Product Key’i girip Next tuşuna basın Lisans Anlaşmasını kabul edip Next tuşuna basın ve Which Type of installation do you want penceresinde UPGRADE seçeneğini tıklayın. Kurulum tamamlandığında server yeniden başlayacak ve Windows Server 2003 sunucunuz başarılı bir şekilde Windows Server 2008’e upgrade edebilirsiniz Migration W2k8 kurulum DVD’sini W2K3 master DC’nin DVD-ROM’una takın ve komut satırını açın ve sourcesadprepadprep.exe /forestprep komutunu yazıp Enter tuşuna basın. “C” tuşuna basın ve Enter tuşuna basın. Forestprep başlayacaktır. Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit. Forestprep işlemi tamamlandıktan sonra domain’inizin Functional Level’ini en az Windows 2000 native mod’a almanız gerekmektedir. Functional Level’i en az Windows 2000 Native’e yükselttikten sonra tekrar komut satırını açın ve D:sourcesadprepadprep.exe /domainprep satırını yazın ve Enter tuşuna basın. Komut satırında iken D:sourcesadprepadprep.exe /rodcprep komutunu çalıştırmadık. Bunu w2k8’i, var olan domain’imize active directory kurarken soracaktır. Forestprep ve domainprep işlemlerini tamamladıktan sonra w2k8 server’ımıza geçip dcpromo komutunu çalıştırabiliriz. Start, Run, dcpromo yazdıktan sonra Active Directory Domain Services Installation Wizard ekranı çıkacaktır. Use Advanced mode Installation kutucuğunu işaretleyip Next tuşuna basın. Choose a Deployment Configuration penceresinde Existing Forest kutucuğunu işaretleyin ve altındaki Add a domain controller to an existing domain kutucuğunu işaretleyip Next tuşuna basın. Network credentials penceresinde kurulumun hangi kullanıcı ya da kullanıcılar ile yapılacağını seçip Next tuşuna basın. Select a Domain penceresinde Domain’inizi seçip Next tuşuna basın. Önceden adprep /rodcprep komutunu çalıştırmadığınızı, bunun çalıştırılmaması durumunda kurulumun yapılamayacağını bildiren bir uyarı mesajı gelecektir. Yes tuşuna basarak devam edin. Select a Site penceresinde ADC’nizin kurulmasını istediğiniz Site’i seçip Next tuşuna basın. Additonal Domain Controller Options penceresinde DC’nizin hangi rolleri içereceğinizi (DNS, GC,RODC) seçip Next tuşuna basın. Install from Media penceresinde Domain Controller’ın replikasyonunun domain’deki var olan DC’lerle ya da sizin belirttiğiniz bir lokasyondaki active directory yedeğinden kurulumu yapılacağını seçin ve Next tuşuna basın. Source Domain Controller penceresinde kurulum partneri olacak Domain Controller’i seçin ve Next tuşuna basın. Summary penceresini geçtikten sonra ADC kurulumu başlayacaktır. Kurulum tamamlandıktan sonra Server’ı yeniden başlatın ve her iki DC’deki AD kaynaklarının aynı olduğunu doğrulayın. DNS Servisini 2008 üzerine kur ve DNS’i aktar Forest Rollerini Aktar Domain Rollerini Aktar Artık DC rolu Windows 2008 Active Direc. Tasinmis oldu. İsterseniz Windows 2003 ADC’yi sistemden çıkartabilirsiniz. Fakat mutlaka Windows 2008 DC yanına 1 adet ADC kurun. Eger ortamda Exchange Server varsa Exchange uzerinde de DC olarak öncelikle Windows Server 2008 DC’nin ayarlı olduğundan emin olun. (RUS Servisi üzerinde vb.) Dosya kaynakları varsa da Robocopy ya da XCOPY aracı ile yetkileriyle beraber taşıyın.
  • In-Place Upgrade Windows Server 2008 DVD’sini komut satırından sourcesadprep adprep/ forestprep (Forest&apos;ın ilk DC&apos;si üzerinde) adprep/ domainprep (Varolan tüm Domainlerde ilk DC&apos;ler üzerinde) adprep/ rodcprep (opsiyonel) komutlarını çalıştırın. Yukarıdaki komutları başarılı bir şekilde çalıştırdıktan sonra setup.exe’e tıklayın. Install Now tuşuna basarak kurulumu başlatın. Get important updates for installation penceresinde kurulum öncesi Windows update’lerinin yapılmasını istiyorsanız Go online to get the latest updates ile başlayan seçeneğe tıklayın. Type your product key for activation penceresinde Product Key’i girip Next tuşuna basın Lisans Anlaşmasını kabul edip Next tuşuna basın ve Which Type of installation do you want penceresinde UPGRADE seçeneğini tıklayın. Kurulum tamamlandığında server yeniden başlayacak ve Windows Server 2003 sunucunuz başarılı bir şekilde Windows Server 2008’e upgrade edebilirsiniz Migration W2k8 kurulum DVD’sini W2K3 master DC’nin DVD-ROM’una takın ve komut satırını açın ve sourcesadprepadprep.exe /forestprep komutunu yazıp Enter tuşuna basın. “C” tuşuna basın ve Enter tuşuna basın. Forestprep başlayacaktır. Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit. Forestprep işlemi tamamlandıktan sonra domain’inizin Functional Level’ini en az Windows 2000 native mod’a almanız gerekmektedir. Functional Level’i en az Windows 2000 Native’e yükselttikten sonra tekrar komut satırını açın ve D:sourcesadprepadprep.exe /domainprep satırını yazın ve Enter tuşuna basın. Komut satırında iken D:sourcesadprepadprep.exe /rodcprep komutunu çalıştırmadık. Bunu w2k8’i, var olan domain’imize active directory kurarken soracaktır. Forestprep ve domainprep işlemlerini tamamladıktan sonra w2k8 server’ımıza geçip dcpromo komutunu çalıştırabiliriz. Start, Run, dcpromo yazdıktan sonra Active Directory Domain Services Installation Wizard ekranı çıkacaktır. Use Advanced mode Installation kutucuğunu işaretleyip Next tuşuna basın. Choose a Deployment Configuration penceresinde Existing Forest kutucuğunu işaretleyin ve altındaki Add a domain controller to an existing domain kutucuğunu işaretleyip Next tuşuna basın. Network credentials penceresinde kurulumun hangi kullanıcı ya da kullanıcılar ile yapılacağını seçip Next tuşuna basın. Select a Domain penceresinde Domain’inizi seçip Next tuşuna basın. Önceden adprep /rodcprep komutunu çalıştırmadığınızı, bunun çalıştırılmaması durumunda kurulumun yapılamayacağını bildiren bir uyarı mesajı gelecektir. Yes tuşuna basarak devam edin. Select a Site penceresinde ADC’nizin kurulmasını istediğiniz Site’i seçip Next tuşuna basın. Additonal Domain Controller Options penceresinde DC’nizin hangi rolleri içereceğinizi (DNS, GC,RODC) seçip Next tuşuna basın. Install from Media penceresinde Domain Controller’ın replikasyonunun domain’deki var olan DC’lerle ya da sizin belirttiğiniz bir lokasyondaki active directory yedeğinden kurulumu yapılacağını seçin ve Next tuşuna basın. Source Domain Controller penceresinde kurulum partneri olacak Domain Controller’i seçin ve Next tuşuna basın. Summary penceresini geçtikten sonra ADC kurulumu başlayacaktır. Kurulum tamamlandıktan sonra Server’ı yeniden başlatın ve her iki DC’deki AD kaynaklarının aynı olduğunu doğrulayın. DNS Servisini 2008 üzerine kur ve DNS’i aktar Forest Rollerini Aktar Domain Rollerini Aktar Artık DC rolu Windows 2008 Active Direc. Tasinmis oldu. İsterseniz Windows 2003 ADC’yi sistemden çıkartabilirsiniz. Fakat mutlaka Windows 2008 DC yanına 1 adet ADC kurun. Eger ortamda Exchange Server varsa Exchange uzerinde de DC olarak öncelikle Windows Server 2008 DC’nin ayarlı olduğundan emin olun. (RUS Servisi üzerinde vb.) Dosya kaynakları varsa da Robocopy ya da XCOPY aracı ile yetkileriyle beraber taşıyın.

Windows Server 2008 (Active Directory Yenilikleri) Windows Server 2008 (Active Directory Yenilikleri) Presentation Transcript

  • { Active Directory Yenilikleri } Mesut ALADAĞ Teknoloji Direktörü / MCT [email_address]
  • Ajanda
    • Active Directory 2008 Yenilikleri
    • Active Directory 2008’e Geçiş
    • Sorular
  • Kavramsal Yenilikler ILM Active Directory Domain Services Active Directory ILM Windows Rights Management ILM Active Directory Federation Services ILM Windows Certificate Services Active Directory Right Management Services Active Directory Federation Services Active Directory Certificate Services ILM Active Directory Application Mode (ADAM) Active Directory Lightweight Directory Services (AD LDS) YENİ
  • Geliştirilen – Yenilenen Alanlar Güvenlik Yönetilebilirlik Şube Ofisleri
  • Şube Ofislerinde Gelen Yenilikler Güvenlik Yönetilebilirlik Şube Ofisleri
  • Şube Ofislerinde Gelen Yenilikler Merkez Site Şube Ofisi
  • Şube Ofisi Karakteristikleri HQ Data Center Hub Network Branch Office
    • Small Number of Employees
    • WAN: Congested, Unreliable
    • Security: Not Sure
    • Admin Proficiency: Generalist
  • Şube Ofisi Çıkmazları Branch Office HQ Data Center Hub Network
    • Option 1:
    • Consolidate and remove DCs from branch
    • Branch authentication & authorization fails when WAN goes down
    • Option 2:
    • Put full DC in branch
    • Either give branch admin privilege or manage remotely
    • Branch DC being compromised jeopardizes security of corporate AD!!!
  • Güvensiz Şube Ofisleri
  • Çözüm : Read-Only Domain Controller
    • RODC Server Admin does NOT need to be a Domain Admin
    • Prevents Branch Admin from accidentally causing harm to the AD
    • Delegated promotion
    Admin Role Separation
    • Policy to configure caching branch specific passwords (secrets) on RODC
    • Policy to filter schema attributes from replicating to RODC
    Passwords not cached by-default
    • No replication from RODC to Full-DC
    1-Way Replication
    • Attack on RODC does not propagate to the AD
  • Read-Only Domain Controller Öngereksinimleri
    • Windows Server 2008 DC
    • Domain ve Forest, Windows Server 2003 Level
    • Windows 2003 Domain için (adprep /rodcprep) ( D:sourcesadprep altında)
    • Windows Server 2008 veya Server Core
    • Kurulum için DCPromo çalıştır
  • Read-Only Domain Controller Upgrade path from Windows 2003 Domain
    • Deployment steps:
      • ADPREP /ForestPrep
      • ADPREP /DomainPrep
      • Promote a Windows Server 2008 DC
      • Verify Forest Functional Mode is Windows 2003
      • ADPREP /RodcPrep
      • Promote RODC
    Not RODC specific RODC Specific task
  • Read-Only Domain Controller Kurulumu
    • Domain Admins Kullanıcısı İle Standart RODC Kurulumu
    • Delegasyonlu RODC Kurulumu
    • Domain Admins Kullanıcısı İle READ ONLY DOMAIN CONTROLLER KURUYORUZ...
    DEMO
    • Delegasyonlu RODC Kurulumu Yapıyoruz...
    DEMO
    • Windows 2003’de dcpromo /adv
    • Windows 2008’de “Use advanced mode installation ”
    • dcpromo /unattend /ReplicationSourcePath:&quot; path to installation media “
    • dcpromo /unattend:&quot; path to answer file &quot;
      • (Answer file içinde ReplicationSourcePath=&quot; path to installation media “ bilgisi olmalı)
    Install RODC from media
  • Read-Only Domain Controller Çalışma Mantığı ?
    • RODC: Looks in DB &quot;I don't have the users secrets&quot;
    • Forwards Request to Full DC
    • Full DC authenticates user
    • Returns authentication response and TGT back to the RODC
    • RODC gives TGT to User and Queues a replication request for the secrets
    • Merkez DC checks Password Replication Policy to see if Password can be replicated
    • Logon request sent to RODC
    Full DC RODC Şube Merkez
  • RODC İçin Site Tasarımları
  • RODC İçin Site Tasarımları
  • RODC İçin Site Tasarımları
  • RODC İçin Site Tasarımları
  • RODC İle Çalınan DC’nin Zararlarını Hafifletmek Merkez Admin Kontrolünde
  • ÇALINAN RODC SONRASI ZARARI MİNİMUMA İNDİRMEK DEMO
  • Read-only DNS
    • DNS Server service on an RODC
  • Branch Office Replication Optimization
    • DFS-R replication provides more robust and detailed replication of SYSVOL contents
      • Requires Windows Server 2008 Domain Mode
  • Güvenlik Tarafında Gelen Yenilikler Güvenlik Yönetilebilirlik Şube Ofisleri
  • Directory Service Auditing New Directory Service Changes Events
    • Event logs tell you exactly:
      • Who made a change
      • When the change was made
      • What object/attribute was changed
      • The beginning & end values
    • Auditing controlled by
      • Global audit policy
      • SACL
      • Schema
  • Directory Service Auditing New Directory Service Changes Events
  • Global Audit Policy generic object operation took place. 566A Description Directory service access events generic object operation took place. 4662 Description Directory service access events Windows Server 2000 and Windows Server 2003 Windows Server 2008
  • Schema Schema Event Type 1 Event Type 2 Event Type 3 Event Type 4 Event Type 5 Audited
  • New AD DS Auditing Events Modify 5136 Create 5137 Undelete 5138 Move 5139
  • DEMO-I
    • Directory Service Auditing
  • DEMO-II
    • Directory Service Auditing
  • Attribute Syntaxes
    • Registry setting information is as follows:
    • Location: HKLMSystemCurrentControlSetServicesNTDSSetting name: MaximumStringBytesToAudit
    • Type: REG_DWORD
    • Values
      • Default registry value: 1000
      • Minimum registry value: 0
      • Maximum registry value 64000
  • Fine-Grained Password Policies
    • Granular administration of password and lockout policies within a domain
    • Usage Examples:
      • Administrators
        • Strict setting (passwords expire every 14 days)
      • Service accounts
        • Moderate settings (passwords expire every 31 days, minimum password length 32 characters)
      • Average User
        • “ light” setting (passwords expire every 90 days)
  • Fine-Grained Password Policies
    • Policies can be applied to:
      • Users
      • Global security groups
    • Does NOT apply to:
      • Computer objects
      • Organizational Units
    • Multiple policies can be associated with the user, but only one applies
  • Fine-Grained Password Policies Example Password Settings Object PSO 1 Password Settings Object PSO 2 Precedence = 20 Applies To Resultant PSO = PSO1 Precedence = 10 Resultant PSO = PSO1 Applies To Applies To
  • Fine-Grained Password Policies Design Step-by-Step
    • Requires Windows Server 2008 Domain Functional Mode
  • Fine-Grained Password Policies Administration
    • Feature itself can be delegated
      • By default, only Domain Admins can:
        • Create and read PSOs
        • Apply a PSO to a group or user
  • Fine-Grained Password Policies Administration
  • DEMO-I
    • Fine-Grained Password Policies
  • DEMO-II
    • Fine-Grained Password Policies
  • DEMO-III
    • Fine-Grained Password Policies
  • Yönetim Tarafında Gelen Yenilikler Güvenlik Yönetilebilirlik Şube Ofisleri
  • Restartable AD DS
    • Without a reboot you can now perform offline defragmentation
    • DS stopped similar to member server:
      • NTDS.dit is offline
      • Can log on locally with DSRM password
  • DEMO-I
    • Restartable AD DS and Defrag
  • DEMO-II
    • Restartable AD DS and Defrag
  • ADUC: Prevent Object Deletion Existing Object/OU New Organizational Unit
  • DEMO
    • Prevent Object Deletion
  • Bonus Information
    • This can be done in current versions of AD
      • Set DENY ACEs on the object you want to protect:
        • Everyone – Delete
        • Everyone – Delete Subtree
  • Database Mounting Tool Backup/Recovery
    • Allows administrator to choose best backup
        • Best Practice: Schedule NTDSUtil.exe to take regular snapshots of AD DS
    • Note: Tool is not used for restoring objects
  • DEMO-I
    • Database SnapShot
  • DEMO-II
    • Database SnapShot
  • Attribute Editor in Active Directory Users and Computers
    • T he KDC uses the 256-bit Advanced Encryption Standard (AES-256) if the domain is in Windows Server 2008 domain functional level.
    256-bit Advanced Encryption Standard (AES-256)
  • Group Policy Enhancements
    • Over 700 new settings
      • Power options, Removable media, Windows Firewall configuration, Printer management …
    • Transition to ADMX files
    • Additional management features
      • Add comments to individual GPOs and settings
      • Search and filter on settings and comments
    • Create Starter GPOs for easier reuse
  • Group Policy Enhancements
    • Over 700 new settings
      • Power options, Removable media, Windows Firewall configuration, Printer management …
    • Transition to ADMX files
    • Additional management features
      • Add comments to individual GPOs and settings
      • Search and filter on settings and comments
    • Create Starter GPOs for easier reuse
  • DEMO
    • GPMC İLE YENİLİKLERE GENEL BAKIŞ
    • In-Place Upgrade
    • Migration
    Active Directory 2008’e Geçiş
    • In-Place Upgrade
      • Adprep/ forestprep (Forest Root DC’de)
      • adprep/ domainprep (Tüm domainlerde)
      • adprep/ rodcprep (RODC kurulacaksa)
      • Setup.exe – Lisans Anlasmasi  Upgrade
    • Migration
      • Adprep/ forestprep (Forest Root DC’de)
      • Domain Fonk. Level  Win2000 native minimum
      • adprep/ domainprep (Tüm domainlerde)
      • ADC olarak Win2008 kur
      • adprep/ rodcprep (RODC kurulacaksa)
      • Rolleri, GC, DNS Windows 2008 üzerine taşı
    Active Directory 2008’e Geçiş
  • Bir Bakışta Active Directory Windows Server 2008 Yenilikleri
    • Read-Only Domain Controller (RODC)
    • Fine Grained Password Policies
    • Enhanced Auditing Capabilities
    • Restartable AD DS
    • Prevent Object Deletion
    • AD DS Database Mounting Tool
    • DFS-R Sysvol Replication
    • Enhanced Group Policy Settings
    • Sorularınız ?
    • Teşekkürler
    www.cozumpark.com | www.mesutaladag.com Mesut ALADAĞ Teknoloji Direktörü / MCT [email_address]