SİSTEM DOKTORU

Microsoft SQL Server 2005 Otomatik Yedekleme (Microsoft SQL Server 2005 Scheduled Backup)

Murat YUKSEK — Fri, 19 Sep 2008 05:04:47 GMT

Bu makalenin amacı okurlara SQL Server 2005 veritabanlarının nasıl günlük otomatik backup’larını alabileceklerini göstermektir. Bu amaçla SQL Server’ın “Maintenance Plan” özelliğini kullanacağız.

Maintenance Plan özelliğini yönetebilmek için SQL Server’a sistem admini olarak ve Windows Authentication’da bağlanmayı unutmayın!

Resim 1 (sistemdoktoru.com)

Management > Maintenance Plans > Maintenance Plan Wizard 'dan sihirbazımızı açıyoruz.

Resim 2 (sistemdoktoru.com)

Next diyerek ilerliyoruz.

Resim 3 (sistemdoktoru.com)

Karşımıza gelen ekranda Maintenance Planımız için uygun bir isim berliyoruz ve “Use Windows Authentication” seçili biçimde “Next” diyoruz.

Resim 4

Maintenance Plan Wizard ile full veritabanı yedekleme kuralı oluşturmak dışında gerekli ve daha sonraki makalelerimizde anlatacağımız başka işlem kuralları da oluşturabiliriz. Dilersek birden fazla işlemi de seçebiliriz. Bu ekranda bunların listesini görebiliyorsunuz. Biz sadece “Back UP Database (Full)” işaretleyerek devam ediyoruz.

Resim 5 (sistemdoktoru.com)

Burada bir sonraki adımda planlanmasını istediğimiz görevlerin sırasını belirlememiz isteniyor. Bir önceki adımda tek görev seçtiğimizden bu adım bizi ilgilendirmiyor. “Next” diyerek ilerleyebiliriz.

Resim 6 (sistemdoktoru.com)

Karşımıza gelen erkanda, Databases kısmında, günlük otomatik yedeği alınacak veritabanlarını seçmemiz isteniyor. Sadece belirli veritabanlarının yedeklerini alacaksak bunları seçebilir veya örneğimizdeki gibi tüm veritabanlarının yedeğini aldıracaksak (tavsiye edilir!) “All databases” seçebiliriz. “OK” diyelim. “Folder” kısmında ise yedeklerin hangi dizine alınacağını belirleyebiliriz. “NEXT” diyoruz.

Resim 7

Bu adımda Maintenance Plan’ımızın otomatik zamanlanmadığını belirtiyor ve otomatik zamanlama kurup kuracaksak belirlememiz isteniyor. “Change” butonuna basıyoruz.

( Hemen şunu belirteyim, SQL Server 2005’in farklı versiyonlarında bu adım olmayabilir. Bu durumda bu adımı atlayın. Zira makalemin sonunda bu adım için alternatif bir adımın bilgisini vereceğim.
Bkz: Resim 13 )

Resim 8 (sistemdoktoru.com)

Karşımıza gelen ekranda veritabanlarımızın ne sıklıkta yedeklerinin alınacağını belirliyoruz. İhtiyaçlarımıza göre saatlik, günlük, haftalık .. Yedekler aldırabiliriz. Biz örneğimizde her gün 12.00 da yedeklerin alınması talimatını verdik. Bunun için seçenekleri lütfen Resim 8’deki gibi ayarlayın ve “OK” deyin.

Resim 9 (sistemdoktoru.com)

Maintenance Plan’ımız gerçekleştiği zamanlarda bir rapor yazılmasını istiyorsak “Write a report to a text file” seçerek raporun yazılacağı dizini belirliyoruz. Ayrıca “E-mail report” seçerek ilgili raporun eposta adresimize gelmesini de sağlayabiliriz. “Next” diyoruz.

Resim 10 (sistemdoktoru.com)

“Finish “ butonuna basıyoruz ve listelenen işlemler gerçekleşmeye başlıyor.

Resim 11 (sistemdoktoru.com)

Tüm işlemler başarıyla bitiyor ve “Close” butonuna basıyoruz.

Resim 12 (sistemdoktoru.com)

Management Studio’da Maintenance Plans kısmına baktığımızda yarattığımız görevi görebiliriz. Yine SQL Server Agent Jobs ‘da zamanlanmış görevimiz listelenmiş durumda.

Resim 13 (sistemdoktoru.com)

Resim 7 deyken bu adımın bazı versiyonlarda (developer v.b.) olmayacağını belirtmiştim. Buraya kadar resim 7 deki adımı atlayarak gelmişseniz, lütfen şimdi listelenmiş olan maintenance planınızın üzerinde sağ tıklayın ve “Modify” a basın.

( Eğer Resim 7 deki adımı atlamadıysanız işlemi burada sonlandırabilir veya Resim 7 de oluşturduğunuz otomatik zamanlama görevinde değişiklik yapmak için devam edebilirsiniz. )

Resim 14 (sistemdoktoru.com)

Buradan maintenance planımıza ait tüm özellikleri yönetebiliriz. Otomatik zamanlama ayarları için Kırmızı okla gösterdiğim butona tıklayın. Böylece aşağıdaki ekranla kaşılaşıyoruz.

Resim 15 (sistemdoktoru.com)

Değişikliklerin geçerli olması için resim 14 deki kırmızı daire içinde belirttiğim kaydetme butonuna basmayı unutmamalısınız.

Teşekkürler,

Murat Yüksek.

Untangle Site To Site OpenVPN Konfigürasyonu

Gökhan KOCA — Thu, 10 Jul 2008 20:17:02 GMT

Kurulum (Server side)

Kurulum tamamlandıktan sonra VPN bağlantısı sağlanması için VPN modülü kurulmalıdır. Kurulum tamamlandıkan sonra OpenVPN aktif olabilmesi için ayarlanması gerekmektiğini bildiren bir ekran gelecektir.OpenVPN i kurabilmek için show settings kısmında bulunan sihirbaz ekranı gelecektir. Bu ekranda kurulumun Server modunda olması gerektiğinden dolayı "Configure As Server" seçilir.

Bir sonraki aşama bizi kurulum sihirbazına götürecektir. Karşılama ekranı geçildikten sonra OpenVPN sertifikasını oluşturacağımız ekrana geliriz. Burada gereken bilgiler doldurarak sonraki aşamaya geçeriz.

Bir sonraki basamakta bölge ofislerimizin bağlanması için VPN IP havuzlarının oluşturulması gerekecektir. Burada önemli husus oluşturulan havuzların hiç bir şekilde internal veya external networkler ile aynı olmamasıdır.Bu havuzla VPN Clients veya VPN sites ekranında yeniden karşılacağız.

Daha sonra geçeceğimiz "Add Exports" menüsünde Untangle server arkasından publish edilecek networkümüzü belirleriz. Bu network direk olarak Untangle server internal interface network ID sinde olmasına gerek yoktur. İstenilirse sadece tek makinada 255.255.255.255 maskeleme ile publish edilebilir.

Eğer "Client to Side" yapacak isek "Add VPN Clients" Site - Site yapacak isek "Add VPN Sites" menüsü ile ilerleriz. Örnekte Site - Site yapacağız. Bu nedenle benzesiz bir bir "Site Name" oluştururuz. Aynı menüden Adress Pool olarak bağlanacak hardware clientların IP alacağı havuzlar belirlenecektir. Bu noktada Network ID olarak branch ofisimizde bulunan Untangle sunucusunun internal interface network ID sini atarız.

İşlem sonlandıktan sonra open VPN miz hazırdır.İşlem tamamlanınca OpenVPN server portu eğer başka bir firewall arkasında ise yönlendirilmesi gerekecektir. Varsayılan olarak OpenVPN UDP 1194 kullanacaktır. Sistem başlangıçta "Off" konumunda gelmektedir Bu nedenle open vpn i power butonuna basmak suretiyle aktive ederiz.

Server kurulumu bitince artık branch office client kurulumunu yapabiliriz. Settings tıklanıldığında karşımıza gelen ekranda "Next" ile ilerleriz.

İkinci basamakta karşımıza konfigürasyonun nereden alıncağı sorulmaktadır. Biz konfigürasyonu Mail veya USB üzerinden iki sekilde alabiliyoruz.

İlk önce serverdan konfigürasyonu export etmemiz gerekecektir. Bunun için Server tarafında bulunan VPN Clients/Sites tabında VPN Sites alt tabına geçeriz. Bu menüde "Secure Key Distribution" kolonu altındaki "Distribute Client" butonuna tıklarız.

Sistem bize E-mail veya USB ile dağıtımlardan bir tanesi seçmemizi isteyecektir.E-Mail ile seçtiğimizde bizden geçerli bir e-mail adresi girmemizi isteyecek ve maili o adrese gönderecektir.

Mail adresimizin mutlaka SPAM mail kısmını kontrol etmemiz gerekecektir. Sistem bize server IP si ve paroladan oluşan bir mail gönderecektir.

Mailimize gelen bilgileri VPN client tarafında ilgili alanlara doldururuz.

Next ile download işlemini gerçekleştiririz.

İşlem bittiğinde Power Butonu ile sistem çalıştırılabilir. Server tarafında OpenVPN modül konsolunda bulunan EventLog ile sistemin bağlantısını kontrol ederiz.

NOT: Open VPN Programı kurulduktan sonra branş ofisimizden merkez LAN interface i pingleyemeyeceğiz bunun nedeni packet filterin devrede olması ve Block All olarak işaretli olmasıdır. Bu sorunu çözebilmek için sol konsolda bulunan config tabı altında "Networking" Butonunu tıklarız.

Bu buton bize networking ayarlamalarını açacaktır. Ekranın sağ tarafında advanced butonuna tıklayarak ileri ayarlamları yapabileceğimiz "Advanced" moda geçiş yaparız. Buradan paket filtrelerine ek kural oluşturmak için "Packet Filter" menüsüne ulaşırız.

"Add" butonu ile yeni bir kural ekleyerek VPN bacağına izin veririz

Artık uzaklardaki bölge ofisleri sisteme bağlanabilecektir.

WINDOWS XP UNATTEND (KATILIMSIZ) KURULUM

Mon, 14 Apr 2008 07:11:49 GMT

Windows Xp Kurulumu artık birçok kullanıcının kendisinin yaptığı bir işlemdir. Sahşi olarak devamlı farklı donanımlara xp kuranlar için en sıkıcı olan işlem xp kurulumu sırasında eline bir fincan kahve alıp önünde xp kurulumu için gerekli bilgileri zaman geldikce girmek gerekli ve bu bayağı bir zaman almaktadır. İşte burada microsoft firması devreye girerek önceden bütün bilgileri bir dosyada topluyarak kurulum sırasında işletim sisteminin sorularına cevapları alacağı bir dosya oluşturup bizi bu süreden kurtaracak olan setup manager aracını yazmışlardır.

Katılımsız kuruluma başlamamız için İşletim cd’sinin içinde supporttools klasörü içindeki Deploy. cab dosyasını bilgisayarımıza kopyalıyarak açıyoruz ve setupmgr. exe bularak, çalıştırıyoruz.

Setupmgr. exe dosyasını çalıştırarak Katılımsız kurulum sihirbazını çalıştırıyoruz. İleri diyerek devam ediyoruz.

Burada (Create New) yeni bir cevap dosyası veya (modify existing) varolan bir dosyanın üzerinde değişiklik yapmamız için iki seçenek görülecektir. Biz yeni bir cevap dosyası oluşturacağımız için Create New ile ileri diyerek devam ediyoruz.

Setup türünü seçeceğimiz bölüm gelecektir. Biz burada 1. seçenek olan Unattended setup’ı katılımsız kurulumu seçerek devam edeceğiz fakat diğerleri hakkında kısaca bilgi vermek gerekirse;

Sysprep Setup: Windows XP işletim sistemini birden çok bilgisayara dağıtmak isteyenler için tasarlanmış bir araçtır. Tek bir sistemde ilk kurulum adımlarını gerçekleştirdikten sonra sysprep.exe dosyası ile xp’nin imajını alarak, Sysprep cevap dosyası ile başka bilgisayarlara dağıtım yapmamızı sağlar.

Remote Installation Services (RIS) Setup: İstemci bilgisayarların merkezi bir yerden kurulmasını sağlar.

Kurulum yapacağımız işletim sistemini seçiyoruz. Biz xp professional kurulumu yapacağımız için ileri diyerek devam ediyoruz. Fakat burada görülen Net Serverlar şu anki Windows Server 2003 sürümlerini temsil etmektedir.

Windows kurulumu sırasında kurulum ile ilgili müdahale şeklimizi seçiyoruz biz tamamen otomatik olarak kurulmasını istediğimiz için fully outomated diyoruz diğer seçenekler ise

User Controlled: Windows varsayılan ayarları vererek kullanıcıdan bilgilerin girilmesini bekler.

Hidden Pages: Kurulum sihirbaz sayfasını kullanıcıdan gizler kurulum yanıtlarını gösterir ancak değiştirilmesine izin vermez

Read Only: Gerekli cevapları sağladıktan sonra kullanıcı ayarları görebilir fakat değişiklik yapamaz.

GUI attended: İlk kuıulum sırasında ki text modunu otomatik olarak yapar grafiksel alan olan mouse kullanmaya başladığımız kısımda ki bilgileri kendimizin doldurması gerekmektedir.

Xp’yi nereden kurmak istediğimizi belirlediğimiz ekran karşımıza gelecektir. Biz CD üzerinden kuracağımız için set up from a CD diyerek ileri devam ediyoruz. Ve artık kurulum için gerekli bilgileri gireceğimiz kısma geldik…

Lisans sözleşmesini kabul ederek ileri diyoruz.

Ve artık normal windows kurulumu yaparken bize sorulan soruların hepsini burada kendimize göre derliyerek kurulum işini daha da basitleştirebiliriz. Burada genel bir isim ve şirket ismimizi belirliyoruz ve ileri diyerek devam ediyoruz.

Görüntü ayarları kısmına geçerek pc’nin kurulumdan sonra ilk açılım sırasında ki ekran ayarlarını ayarlıyoruz. Burayı default olarak bırakmak en iyisi ki siz frekansı 85 ayarlarsanız normalde monitorunuz desteklese bile açılmayabilir. Daha sonra ekran kartını tanıtımından sonra ayarlamak en uygun olanıdır ve ileri diyerek devam ediyoruz

Bilgisayarımızın zaman bölgesini seçiyoruz burada +02:00 istanbulunda olduğu listeyi seçiyoruz ve ileri diyerek devam ediyoruz.

Windows xp ürün anahtarını giriyoruz burada girilen anahtarın doğru olduğunu kontrol ediniz ve ileri diyerek devam ediyoruz.

Bilgisayarlar ismini belirlediğimiz kısma geldik burada bir isim ve isimler kümesi verebiliriz veya isimlerle uğraşmak istemiyorsanız ve bilgisayar isminin önemi yoksa otomatik olarak bilgisayar isimleri oluşturmak için aşağıdaki kutuçuğu işaretliyerek default olarak girilen isim veya organizasyon ismine uygun karmaşık bir isim vermektedir.

Yönetici şifresini belirlediğimiz bu kısımı boş bırakmamak en uygunudur. Burada dikkat edilmesi gereken husus admin şifresini şifrelememiz gerekli ve ilk kurulum yapıldıktan sonra administrator kullanıcısı ile kaç defa otomatik açılmasını istediğimiz sayıyı belirliyoruz.

Değişiklik yapmadan ileri diyerek devam ediyoruz

Kurulum yapacağımız Pc’yi çalışma grubunda mı yoksa bir etki alnına dahil edecekseniz bu bilgileri girmemiz gerekiyor. Etki alanını denetleyicisini seçersek yetkili bir kullanıcı adı ve şifresini girilmesi gerekmektedir fakat çalışma alanında kalması daha uygundur ve ileri diyerek devam ediyoruz

Pc’ye bağlı bir modem varsa ve ayarlamamız gerekiyorsa telefon ayarlarını girmemiz gerekiyor istenirse boş bırakılabilir.

Bölge ayarlarının Klavye ve seçimini yaptığımız kısımdır. Default olarak bırakırsak ingilizceye göre ayarlayacaktır. Specify kısmından türkçeyi seçiyoruz ve ileri diyerek devam ediyoruz

Türkçeyi seçtikten sonra burasıda aynı zamanda türkçe geliyor ileri diyerek devam ediyoruz

İnternet explorer ayarlarını yaptığımız kısım karşımıza geliyor herhangi bir proxy server kullanıyorsak kurulumda bu bilgileride girerek internet explorer ayarlarımızı yapabiliriz.

Windows Xp sistem dosyalarının nereye yükleneceğini belirtiyoruz standart olarak windows ismi ile kurulur otomatik farklı bir isim istenirse ikinci seçenek kullanılır farklı bir adres ve bizim belirlediğimiz bir isim için üçüncü seçenek kullanılır.

Kurulumdan sonraki ilk logon işleminde otomatik olarak printer kurulması için printerın \\adres\printerismi gibi yol girdikten sonra ekle dememiz lazım ve printer kurulumu için gerekli izinlerin olması gereklidir.

Kurulumdan sonra ilk logon işleminden sonra belirlediğimiz bir komutu ekleyebiliriz.

Bir önce ki komut satırından bir farkı yoktur. Ek komutlar vermek için kullanılır. Finish düğmesine basıyoruz.

Artık işlemlerimiz bitmiş oluşturulacak dosyaların adresini belirterek evet diyoruz.

Oluşturulan dosyaların adres ve isimlerini bildiren bir ekranla karşılaşıyoruz Cancel diyerek ekranı kapatıyoruz.

Kurulum için gerekli bilgilerimizi girdikten sonra unattend. txt ve unattend. bat dosyalarımız oluştuktan sonra yapmamız gereken en önemli işlemlerden birisi unattend. txt dosyamızı açarak [Data] kısmında ki AutoPartition değerini “1” ise “0” olarak ayarlanması gerekmektedir. Bu değer “1” olursa windows xp partitionları kendi oluşturarak “c:\” sürücüsüne otomatik yükleme işlemine başlayacaktır. “0” olarak ayarladığımızda partition ayarlarını ve xp’yi hangi sürücüye yükleyeceğimize biz karar verebiliriz.

Ayrıca dikkat ederseniz [Guiunattended] kısmında adminpasswordun karşısında garip harf ve sayıların bulunduğu bir şifreleme kullanıldığını göreceksiniz. Unattended hazırlarken admin şifresi olarak girdiğimiz ve altında işaretlediğimiz encryption sekmesini işaretlediğimiz için bu şekilde gözükmektedir eğer bunu işaretlemez ve admin şifresini girersek bu dosyanın birisinin eline geçmesi durumunda şifremizi öğrenebilirler.

En son ayarımıza geldi bunu yapmadan önce sisteminizde herhangi bir klasörü açararak Araçlar > Klasör Seçenekleri kısmına girerek oradan Görünüm sekmesine geliyoruz burada da “Bilinen dosya türleri için uzantıları gizle” ayarı işaretli ise bu tiki kaldırınız. Böylece dosyaların uzantılarını artık görebiliyoruz.

Bu işlemden sonra oluşturduğumuz “unattend. txt” dosyasının ismini “winnt.sif” olarak değiştiriyoruz. Burada dikkat edilmesi gereken husus dosyanın uzantısının doğru değiştirilmesidir. Zira bazen winnt. sif. txt olarak değiştirilmektedir.

Değiştirdiğimiz winnt. sif dosyasını windows xp cd’si imajını bir programla (winiso, magiciso veya nero gibi) bilgisayarınıza oluşturarak bu imajın içerisinde ki i386 klasörünün içerisine kopyalıyoruz. İmajımızı cd’ye yazdırdığımızda artık katılımsız kurulum cd’miz hazırlanmış olacaktır.

Dikkat edilmesi gereken bir husus var katılımsız kurulum alışkanlık yapmaktadır. :-))

Aynı işlemleri windows 2003 serverlar içinde otomatik kurulum yapabilirsiniz bunun için yapmanız gereken iki şey var.

Windows server 2003 için windows .NET Enterprise Server veya Standart Serverdan birini seçmemiz gerekli

Lisans Modunu seçmemiz gerekmektedir.

Not: Burada anlatılan uygulamayı Görsel olarak Dosyalar kısmında unattendedinstall.zip dosyasını indirerek uygulamayı flash olarak katılımlı bir şekilde uygulayabilirsiniz.

Ayrıca SetupMgr.exe ve unattended.bat, unattended.txt ve winnt.sif dosyalarını içeren unattendedinstalltools.rar dosyasınıda aynı yerden indirebilirsiniz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

DELEGATE CONTROL USER (Domain ortamında Kullanıcı Yetkilendirme)

Mon, 14 Apr 2008 06:54:41 GMT

Sorumlu olduğumuz bilgi işlem departmanında sistem sorumlusu olarak büyük veya büyüyen bir firmada ya da açılan veya açık olan şubelerimizde yapmamız veya takip etmemiz gereken birçok işin arasında bir de gün içerisinde çıkan yeni işe başlayan bir çalışan için kullanıcı oluşturma veya var olan kullanıcıların şifrelerini değiştirme, hesap kilitlerini kaldırma, izne çıktı hesabını devre dışı bırakma gibi takip etmemiz gerekli olan birçok işler çıkmakta bunlar aslında çok kolay görünen fakat zaman alan işlemlerdir.

Özellikle sistem sorumlusu olarak tek veya az bir çalışanla bunu idare etmeye çalışıyorsak veya uzaktan şubemize de desteği biz veriyorsak bu işler zamanla bir angarya’ya dönüşmekte veya bilgi işlemde çalışan kişiler için sunuculara domain admin gibi tam yetkiler vermekten çekiniyorsak güvenlik, sistemde oluşabilecek bir hatayı önlemek için hem kendi bünyemizde hem de istediğimiz kullanıcılarımıza istediğimiz yetkileri vererek bu yetkileri sınırlandırarak hem kendiişlerimizi hafifletmiş hem de gerekli güvenliğimizden ödün vermemiş olabiliriz. İşte biz buna kullanıcı yetkilendirme diyoruz.

Not: Burada vereceğimiz yetkiler kullanıcılara domain admins gibi yetki vermek değildir.

Yetkilendirme işlemine başlıyoruz.

Resim 1

Bunun için ilk önce yetkili kullanıcılarımız için active directory user and computer kısmında bir ou oluşturuyoruz

Resim 2

Ve isim olarak Delegation ismini veriyoruz ki burada yetki vereceğimiz kişiler için gruplar oluşturarak onları kontrol altında tutarak yönetebilmeyi kolaylaştıracağız.

Resim 3

Şimdi ise oluşturduğumuz ou içerisine yeni bir grup koyuyoruz ve ismini anlaşılabilmesi için delega_muhasebe diyoruz. Biz burada muhasebe departmanında bulunan adem kılıç adlı kullanıcıya yetki vererek muhasebe departmanı kısmı için şifre değiştirme ve hesap kilitleme gibi yetkiler vereceğiz. Grubumuzu oluşturduktan sonra âdem kılıç adlı kullanıcıyı gruba ekliyoruz.

Resim 4

Daha sonra active directory’deki muhasebe ou’su üzerinde sağa tıklayarak delegate control bölümünü seçerek yetkilendirmeye başlıyoruz.

Resim 5

Karşımıza delegate control ayarlamaları için bir sihirbaz çıkacaktır ve burayı ileri diyerek devam ediyoruz.

Resim 6

Delegation yetkilerini vereceğimiz kullanıcı(ları) ve Grup(ları) ekle kısmından ekleyerek ileri düğmesi ile devam ediyoruz yetkilendirmeye

Resim 7

İster 1. seçenekten hızlı bir şekilde kullanıcı oluşturma silme ve yönetme ile birlikte kullanıcı şifrelerini değiştirme seçenekleri işaretleyerek ileri diyerek bitirebiliriz. Veya yetkilendirme olayını biraz daha derinlemesine inmek için ise 2. seçenekle devam ederiz. Biz 1. seçenekle devam ediyoruz. Kullanıcılar için yönetme yeni kullanıcı oluşturma ve şifre değiştirme yetkilerini veriyoruz. Ve ileri diyoruz.

Resim 8

Ve en son yaptığımız işlemleri gösteren bir pencere ile Bitti düğmesi ile işlemimizi bitiriyoruz. Ve böylece Muhasebe ou'su için yetkili bir kullanıcı atamış olduk.

Resim 9

Şimdi ise yaptığımız ayarları denemek amaçlı âdem kılıç kullanıcısı ile giriş yapıyoruz.

Yönetimsel araçlar ekranda olmadığı için

Başlat > Çalıştır > Mmc yazarak managment konsolu açarak add\remove snap-in sekmesinden active directory user and computer kısmını ekliyoruz.

Resim 10

Ve Genel MD ou’su içerisindeki Ahmet YALCINKAYA adlı kullanıcın şifresini değiştirmeye çalıştığımızda yeni şifrelerini yazdıktan sonra

Resim 11

Karşımıza erişimin engellendiğine dair bir uyarı mesajı ile karşılaşıyoruz.

Resim 12

Şimdi ise muhasebe ou’su içerisinde ki Hasan Bakan beyin şifresini değiştirmeye çalışıyoruz ve yeni şifrelerini girdikten sonra tamam düğmesine tıkladığımızda değiştirebildiğimizi göreceğiz. (Resim 13)

Resim 13

Bu işlemlerden sonra yetki verdiğimiz kullanıcıya bu yetkilerini kullanacağı bir pencere ayarlamak gerekiyor zira bütün active directory yapımızı göz önüne sermiş olacağız. Ve

Resim 14

Demin oluşturduğumuz mmc konsolunun üzerinde eklemelerimizi yaptıktan sonra muhasebe üzerinde sağa tıklayarak new taskpad view diyoruz.

Resim 15

Karşımıza gelen sihirbaza ileri diyerek devam ediyoruz. Böylece sadece muhasebe ou’sunu âdem kılıç adlı kullanıcı için mmc konsolumuzu değiştirerek kullanıcıya kolay bir kullanım penceresi ayarlamış olacağız.

Resim 16

Gelen pencerede görev penceresinin görünümünü ayarlıyoruz. Ve ileri diyerek devam ediyoruz.

Resim 17

Burada da gelen pencerede all tree items that are the same type ad the selected tree item diyerek devam ediyoruz.

Resim 18

Oluşturduğumuz görünüme bir isim ve açıklama girerek ileri diyoruz

Resim 19

Görünüm penceresi ayarlarımızı tamamladığımızı gösteren bir uyarı ile karşılaşıyoruz ve burada görev penceresine görev eklemek için ekle sekmesini işaretliyerek Bitti diyerek görev yolunun görünümünü ayarladıktan sonra buraya görevleri eklemek kaldı

Resim 20

Gelen pencereden menü command seçerek ileri diyoruz.

Resim 21

Âdem kılıç beyin kullanacağı özellikleri tek tek ekliyoruz. Zira birer tane seçme durumumuz var.

Resim 22

Eklediğimiz araçın ismini ve açıklamasını giriyoruz.

Resim 23

Ve aracımız için bir ikon seçiyoruz.

Resim 24

Eklediğimiz görevleri bitti diyerek ayarlarımızı sonlandırıyoruz.

Resim 25

Mmc konsolumuzdan muhasebe ou’su üzerinde sağ tıklayarak new Windows from here diyerek sadece muhasebe ou’sunu görünümünü ayarlamış oldu ve artık âdem bey için gerekli kullanıcı yetkilendirmeleri ve kullanım penceresi hazır.

Resim 26

Artık âdem bey muhasebe ou’su içinde ki kullanıcıların şifrelerini ister üzerlerinde sağa tıklayarak isterse de aşağıda ki hızlı butonlarla değiştirebilir bunun için muhasebe ou’su içindeki kullanıcılardan birini işaretlemesi yeterli olacaktır.

Resim 27

Eğer ki bu görünümü ve araçları değiştirmek istenirse muhasebe ou’su üzerinde sağa tıklanılarak edit taskpad view denilerek hem görünüm hem de işlem araçları için pencereler gelecektir.

Resim 28

Resim 29

Artık çalışanlarımızdan birine ve departman bazında bu şekilde yetkiler vererek kullanıcılarımıza daha hızlı problemlerini giderirken bizlerde yoğunluğumuzu bu şekilde düşürebiliriz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

ADDITIONAL DOMAIN CONTROLLER KURULUMU

Tue, 01 Apr 2008 21:38:14 GMT

(EK ETKİ ALANI DENETLEYİCİSİ)

Additional domain controller “Not: Bazı yerlerde kısaca ADC diyeceğiz” “Ek etki alanı denetleyicisi” sistemimizde kurulu olan domain controller serverımızın çalışan bir yedeğidir. Büyüyen bir yapıda veya oluşabilecek bir hata sonucu domain controllerımızın çalışmaması gibi durumlarda kısa bir sürede FSMO Rollerinin taşıma işlemini yaparak sistemimizi ayağa kaldırabiliriz. Domain controllerın kontrol ettiği kullanıcı, bilgisayar, policy ve active directory database’in iki farklı veya yapımıza göre daha fazla sunucu üzerinde paylaştırılması için kullanılır.

Aynı network üzerinde ADC’nin kullanım amacı daha cok DC’mizin bir yedeği gibi algılanabir.

Fakat farklı network yapılarında ise yani şubemizdeki çalışanların logon olma policy gibi active directory işlemleri için domain controllerımıza bağlanarak işlem yapılmaktadır. Şube hatlarımızın bant genişlikleri yereldeki active directory işlemlerinden küçük olması her sabah şubemizin bağlanması ve aktif olarak işleme geçmesi bant genişliğinin yetersiz kalma gibi durumlarda zaman ve para kaybına sebebiyet verecektir. İşte burada devreye ADC devreye girerek şube ADC’si ile merkez DC arasında belli aralıklarla replikasyon yaparak kullanıcılarımızın logon gibi işlemlerini hızlı bir şekilde gerçekleştirebiliriz.

Kuruluma başlamak için

Resim 1

(Resim 1) Başlat > Çalıştır > dcpromo yazıyoruz.

Resim 2

(Resim 2) Yazdıktan sonra karşımıza active directory kurulum sihirbazı açılacaktır.

Resim 3

(Resim 3) Karşımıza active directory kurulumu için gerekli uyumluluk bilgilerini içiren bir yazı gelecek burada ileri (Next) diyerek kuruluma devam ediyoruz.

Resim 4

(Resim 4) Etki alanı denetleyicisi’nin rolunu seçeceğimiz kısım gelecektir. İki seçenek gelen ekranımızda

Domain Controller for a new domain: Yeni bir domain yapısı oluşturmamızı sağlar
Additional domain controller for an existing domain: Varolan bir etki alanı denetleyicisi ne yardımcı bir additional domain controllereklemek için kullanılır. Biz burada 2. seçeneği seçerek devam ediyoruz.

Resim 5

(Resim 5) İleri diyerek devam ettiğimizde karşımıza dâhil olacağımız domain’in yetkili bir kullanıcı adı “Burada dahil olacağımız domainde Domain admins Administrator veya Enterprise Admin yetkilerine sahip bir kullanıcı” şifre ve domain’e dâhil edeğimiz domain’in ismini yazıyoruz. İleri (Next) diyerek devam ediyoruz.

Resim 6

(Resim 6) Bilgisayarın ek Domain Controller olacağı Domain’in tam DNS ismini yazabilir veya yandaki Browse (Gözat) butonu ile Domain Ağacımızın yapısını görerek ve ek Domain Controller olarak katılmak istediğiniz Domain’i Browse (Gözat) görünümünden de seçebilirsiniz. Domain name’i tanımladıktan sonra ileri (Next) diyerek devam ediyoruz

Resim 7

(Resim 7) Bu ekranda Active Directory veritabanı ve log dosyalarının nerede tutulacağını belirleriz. Varsayılan olarak veritabanı ve loglar da “%SystemRoot%\NTDS” klasörüne yerleştirilir. Bu dizinin farklı bir bölüm veya hdd’ye ayarlanması Active directory Performansında daha iyi bir sonuç verecektir.

Resim 8

(Resim 8) Bu ekranda SYSVOL olarak bilinen Active Directory paylaşım klasörünün yeri belirlenmelidir. Bu klasörün yolu NTFS olarak biçimlendirilmiş bir bölüm veya hdd üzerine oluşturtulmalı. Varsayılan olarak bu klasör “%SystemRoot\SYSVOL” şeklinde oluşturulur. SYSVOL nedir? Oluşturduğumuz Group Policy’ler ya da başlangıç scriptleri bu klasör altında depolanır. Aynı zamanda organizasyondaki diğer dcler’lede sürekli replike halindedir.

Resim 9

(Resim 9) Active directory üzerinde bir sorun oluştuğunda elimizdeki bir yedekten geri dönmemiz gerektiği gibi bir durumda F8 ile directory services restore mode kısmına girdiğimizde kullanıcağımız şifredir. Not: Genelde birçok kişi bu şifreyi kullanılmadığı için unutur veya eski sistem sorumlusu tarafından söylenmediği veya bir yere yazılmadığı için sorun çıktığında aranan bir şifre durumuna gelir. Bu sebeple sistem standartlarımızda bu şifreyi bir yere yazmak gerekmektedir.

Resim 10

(Resim 10) Son olarak buraya kadar yaptığımız kurulum ayarlarının bir özeti ile karşılaşarak ileri (Next) dediğimizde kurulum işlemleri başlayacaktır.

Resim 11

(Resim 11) Additional domain controllerkurulumuna başlıyor.

Resim 12

(Resim 12) Yükleme işlemleri bittiğini ve hangi etki alanı denetleyicisi’ne additional domain controllerolarak kurulum yaptığımızı belirten sihirbaz ile kurulumu bitiriyoruz. Finish (Bitti) düğmesine tıklıyoruz.

Resim 13

(Resim 13) Windows Serverımızın restart ederek değişikliklerin aktif olmasını sağlıyoruz.

Sistemimiz açıldıktan sonra additional domain controllernin doğru şekilde yüklendiğini kontrol etmemizde fayda vardır bunun için

SYSVOL klasörünün oluşturulduğunu ve paylaşımda olması gerektiğini
Active directory veritabanı ve Log dosyalarının oluştuğuna, NTDS. DIT klasörün altında Ntds. Dit, Edb.*, Res*.log dosyalarının oluşması gerekmektedir.
Olay görüntüleyicisi kontrolü yapılarak additional domain controllerkurulumu sırasında oluşabilecek hatalar buraya kaydedileceği için incelemek lazım.
DNS kayıtlarının doğru şekilde oluşup oluşmadığını incelemek gerekli.

DC ve ADC arasında belli sürelerde replikasyonlar yapılmaktadır. Active directory’de belli bir değişiklik olduğunda kullanıcı eklenmesi silinmesi gibi işlemlerde iki dc arasında replikasyon işlemi gerçekleştirerek dc ile adc arasında bilgi alış verişi yapılır. Kullanıcı kilitlenmeleri gibi önemli durumlarda replikasyonlar anlık yapılmaktadır.

Elle (Manuel) replikasyonu başlatmak için Başlat >Yönetimsel araçlar > Active Directory Site and Services kısmına geliniz. Buradan konsol ağacından sites > default first site name > servers altında replikasyona sokacağımız diğer dc’yi seçiyoruz. Sağ tarafta connection’a sağ tıklıyoruz ve replicate now diyoruz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

Outlook ve OWA Üzerinden Silinen Maillerin Exchange 2003 Yardımı ile Kurtarılması

Tue, 01 Apr 2008 21:27:31 GMT

Microsoft Outlook 2003 Üzerinde Kurtarılması

Gün geçtikçe yaygınlaşan bir teknolji olan Microsoft Exchange Server ile Şirketi içi ve şirketler arası mesajlaşmalar çok kolaylaştı. Hemem hemen her şirkette bulunan ve maillerin merkezi olarak yönetilmesini sağlayan Exchange Server’dan kullanıcılarımız kendilerine ait olan posta kutularını yönetebilir vemail gönderip alabilirler. Bunu gerçekleştirmek kullancılarımızın bizim Exchange Server’ımıza bağlanması gerekir. Bu bağlantıyı sağlayabilcekleri araçlardan bazıları;

1-) Microsoft Office Outlook

2-) OWA(Outlook Web Access)

Exchange Server’ımızın Maillerin merkezi olarak yönetilebilmesinin dışında önemli bir özelliğide kullanıcı Posta Kutularından silinen mailleri daha sonra kurtarılabilmesidir. Exchange Server’ımız bunu başarabilmesi flag(Bayrak)lar yardımı ile olur.Eğer biz kullanıcımızın silinen maillerinin tutulmasını istersek Exchange Server’ımız silinen maili kendi veritabanından silmez fakat bunun silinmiş oldugunu analaybilmek ve biz posta kutumuzda Send/Receive yaptığımız takdirde bunu bizim karşımıza getirmemek için arka planda bu mailin basına silindi diye bir flag koyar.

Öncelikle Exchange Server’ımızda silinen maillerin ne kadar süreyle tutulacağnı nerden ayarlayabileceğimize bakalım.

Öncelikle StartàAll Programsà Exchange System Manager (ESM) yolunu takip edelim. Karşımıza gelen Ekranın sağ kısmında bulunan panelden Administrative Group - First Administrative Group’u seçtikten sonra Serverımızın adı altında bulunan First Storage Group tabını genişletip Mailbox Store üzerinde sağ tılayıp Properties ekranını açıyoruz.

Properties ekranında bulunana Limits tabına geliyoruz.

Burada sarı kutucuk içene alınmış olan Keep deleted items for (days ) sayısı bize posta kutumuzdan silinen maillerin Exchange Server veritabanında ne kadar süreyle(gün olarak) ne kadar tutulacağını belirtir. Burada dikkat edilemesi gereken özellik bunun organizasyon içinde bulunan tüm kullanıcı posta kutularını etkileyeceği ve bunun sonucu olarak da bu değeri çok arttırmak yer sıkıntısı çekmenize sebep olacaktır.

Son olarak OK butonuna basarak çıkalım. Buraya kadar Exchange Server üzerinde gerekli olan ayarları yapmış olduk. Şimdi sırasıyla Outlook ve OWA programında silinen bir maili nasıl getireceğimizi görelim.

İlk olarak deneme amaçlı posta kutumuzdaki maillerimizden bir kaçını silelim.

Silnmiş Öğeler klasörünü boşaltalım.

Silinmiş öğeler klasörünü boşaltıktan sonra sildiiğimiz öğeleri geri almak(kurtarmak) için Outlook 2003 üzerinde silinmiş öğeler klasörünü seçtikten sonra Araçlar menüsünden . Silinmiş Öğeleri Kurtar seçeneğini seçmeliyiz.

Gelen ekranda silinen maillerimiz bulunmaktadır. Bunlardan istediklerimizi seçtikten sonra Seçili öğeleri kurtar yani ortadaki butonu tıklıyarak seçili öğelerimizi kurtarabiliriz. Bu işlem bize sadece bir mail için yedekten dönme işlemi için geçen zamanı kazandırır..

Not: Dikkat edilmesi gereken bir nokta da kurtarma işleminin yapılabilmesi için maillerin silindikten sonra Silinmiş öğeler klasöründe olması gerekliliğidir. Fakat kullanıcılar maillerini Shift+Del tuş kombinasyonu ile silmişlerse mailler Silinmiş öğeler klasörüne gitmeden silinir. Böyle bir durumda mailleri kurtarabilmek amacıyla küöçük bir registry değişikliği yapılmalıdır. Bu değişiklik;

HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Exchange\Client\Options

Anahatarı altına bir tane DWORD value eklemeliyiz ve adını DumpsterAlwaysOn vererek değerini 1 yapmalıyız.Bunu yaptıktan sonra Microsoft outlook programı yeniden başlatılmalıdır.

Şimdi de aynı kurtarma işlemini OWA(Outlook Web Access) üzerinde yapalım.

OWA 2003 Üzerinde Silinen Öğelerin Kurtarılması

Excahange Serverımız üzerinde yapmamız gerekenleri bir önceki adımda acıkladığım için bu adımda tekrarlamak istemiyorum ama ama hem Outlook hem de OWA üzerinden silinen mailleri kurtarmak istiyorsak Keep Deleted Items for days seçili olmak zorundadır.

İlk olarak OWA üzerinde silinen bir maili kuratrmak için öncelikle OWA arayüzünü açıp

Deleted Items folder’ı secmeliyiz. Bu değer seçili iken üst tarafda bulunan çubukta recover Deleted Items(ikinci çöp kutusuJ) butonunu tıklamalıyız.

Bu adımda karsımıza gelecek olan pencerden kurtarmak istediğimiz öğeleri secip Recover butonuna basarak öğeleri tekrar Silinmiş öğeler kalsörüne göderebiliriz. Daha sonra yapmamız gereken ise öğeleri istediğimiz yere taşımak…

Exchange Server’ın bize sağladığı özellik ayrıca 3.Party yazılımlarla da yapılabilmesine karşın bilinmesi ve gerektiği zaman kullanılması için bu makaleyi hazırladım. Kolay gelsin

Check Point Temel Network Tanımları

inetdetc — Mon, 24 Mar 2008 21:45:29 GMT

Merhaba;

Hiyerarşik olarak devam eden makale serimizde Check Point kurulumu, Smart Dashboard kurulumundan sonra sıra Smart Dashboard üzerinden kural tanımlama öncesi temel yapılandırmalara geldi.

Check Point ilk kurulduğunda yapınızla uyum sağlaması, policylere imkan vermesi için network üzerinde dizaynı gerekmektedir. Bu aşamada Check Pointe vereceğiniz roller, şube yapılarınız, DMZ planlarınız, iç – dış paket akış durumları, firewall önü ve arkası gibi geleneksel seçenekler masaya yatırılmalı ve en uygun pozisyon belirlenmelidir.

Şu an Check Point Firewall kurulumu tamamlandı fakat henüz hiçbir kural yazmaya ve policy install etmeye başlamadık. Bunları yapabilmemiz için öncelikle firewall yapımızın netwoktümüzdeki rolu ve networkümüzde bulunan sunucuların yada client yapılarının tanıtılması geremektedir.

Ben bu anlatım için 2 lokasyonlu bir yapı tasarladım. Birisi şirketin genel müdürlüğü bir diğer lokasyon ise şubemizdir. Öncelikle bir takım tanımlamalar ile;

1 – Check Point ağacına genel bakış

2 – Genel Müdürlük firewall tanımı

3 – Şube firewall tanımı

4 – Genel Müdürlük host tanımı

5 – Şube host tanımı

6 – Network tanımları

7 – Tanımlama görünümü

Şimdi adım adım kuruluma geçmeden önce Check Point ağacının yapısına bir bakalım. Çünkü bu yapı tüm tanımlamalarda kullanılacaktır.

Check point konsol ağacında ilk olarak Network Objects bölümü görülür. Network ile ilgili tüm ayarlar bu sekmede yapılır. Yeni Gateway tanıtımları, VPN ve Network tanıtımları, Host eklemeleri bunların bir kaçıdır.

Resim – 1

Sonraki sekme ise Check point servislerini olduğu sekmedir. TCP – UDP – RPC vs gibi servisler burada toparlanmıştır. İsterseniz sağ tuş ile yeni servisler ekleyebilirsiniz.

Resim – 2

Bir diğer sekme ise Server and OPSEC Applications sekmesidir. Bu sekmede sayesinde Authentication için RADIUS serverlar, Tacacs yapısı, LDAP Account Unit gibi seçenekler ekleyebilirsiniz.

Resim – 3

Users sekmesinden ise template oluşturabilir, yeni user (VPN Client) yada gruplar ekleyebilir, Administrator Groups lar oluşturabilirsiniz. Bu dört sekme sizin sürekli kullanacağınız en belirgin Check Point ürünleridir.

Resim – 4

Check Point ağacından sonra Genel müdrülük ve bir Şube yapımızın olduğu konfigurasyonumuza başlayalım.

İlk olarak kendi gateway yapımızı Check point üzerinde tanıtmalıyız. Buna Genel müdürlükte diyebiliriz. Çünkü şube yapımızda olduğu için iki firewall yapısının konuşması gerekmekte. İlk olarak Check Point adımına sağ tıklayarak yeni bir GATEWAY ekliyoruz. Bu bizim şu an üstünde işlem yaptığımız GENEL MÜDÜRLÜĞÜMÜZDE bulunan firewall.

Resim – 5

Yukarıda ki ekrana tıkladığımızda yapımız için gerekli bilgileri girmeliyiz. Bu bilgiler network yapınızla doğru orantılı olmalı yoksa sorunla karşılaşabilirsiniz.

Resim – 6

Ben Genel Müdürlük için gerekli network ve ürün tanımlarını aşağıdaki gibi yaptım. Unutmamalı ki IP adres sizin dışarı bakan bacağınız.

Resim – 7

Bu işlemden iki şubeli bir yapımız olduğu için ve karşı şubemizde de bir Check point olduğu için tekrar Check point sekmesinden karşı şubemizin GATEWAY tanımını yukarıdaki gibi yapmalıyız. Böylece karşı şubemizin firewall üzerinde ilk tanımı yapılmış olur. Aşağıda bu tanımın yapılmış hali mevcut. Yukarıdaki iki adımı tekrarlayarak uzak şubemizin firewall tanımını Genel Müdürlük şubemize yaptım. Ekran görüntüsünden de anlaşılacağı gibi uzak şubemize Remote-1-GW adını verdim.

Resim – 8

Bu işlemlerden sonra network arkasında kalan hostlarımızı gerekli şekilde eklemeye geldi. Network arkasıdan yada uzak network arkasında hostlarımız, web server, mail server, file server gibi yapılarımız olabilir. Bunları firewall üzerine Nodes adımından New Node – Host diyerek tanıtıyoruz. Host dediğimizde aşağıdaki ekran görüntüsü bizi karşılar.

Resim – 9

Bu ekranda Web server yada kendi hostunuzla ilgili bilgileri girmeniz gerekmektedir. Ben kendi yapıma uygun bilgileri girdim.

Resim – 10

Yine bu şekilde yapımda şube mevcut olduğu için uzak şube netwokünde bulunan host tanımlarınıda yapabilirsiniz. Tekrar hatırlatmakta fayda var. İki lokasyona birden Check Point kurulumu yapıyorum. Siz isterseiz bu adımları tek seferde tek lokasyon için yapabilirsiniz. Uzak hostlarda eklenince ilgili ekran görüntüsü aşağıdadır. Anlaşılacağı gibi yapımız gittikçe genişliyor. Ben Mail server ve Web server için Genel Müdürlük tanımlarını aşşağıdaki gibi yaptım. Her iki Server da Genel müdrülüğümde. Sizde başka farklı lokasyonlarda da olabilir.

Resim - 11

Sıra geldi firewall yapımızın arkasında bulunan netwokleri tanıtmaya. Bu sayede network erişmleri ileride yazılacak bir kural ile sağlanacak. Unutmamalı ki kuralı yazmadan önce bu ayarların yapılamsı ŞART. Ben hem Check Point arkasındaki local networku, DMZ yapısını ve Uzak network tanıtımını yaptım. Tanım için Network üzerinde sağ tuş seçerek New Network dememiz gerekli

Resim – 12

Bu ekranıda yapımıza uygun şekilde dolduruyoruz.

Resim – 13

Tüm bunlardan sonra Check point ağacımız aşağıdaki gibi görünecektir.

Resim – 14

Anlaşılacağı gibi biz bu makalede henüz kural yazımına ve policy belirlemeye başlamadık. Bu ilk makalemizde Check point yapısını kurduk. Sonraki makalemizde ise Check pointin yönetim konsolu olan Smart Dashboard kurulumunu adım adım inceledik. Şimdi ise kurulum sonrası ilk konfigurasyonu bitirdik. Check Point ilk kurulduğunda siz network tanımlarını, dizayn işlemlerini bitirene kadar hiçbirşey vermez. Hiçbir firewall vermez. Şu an 2 şubeli bir yapıda ilk olarak kendi merkesimize Check Point tanımlarını daha sonra uzaktaki gateway tanımını yaptık. Firewall arkasında kalan ve güvenliği sağlanacak loglanacak olan bir kaç hostumuzu ( web, mail server) Firewall üzerine ekledik. Son olarakta bunların bağlı olduğu network tanımlarını yaptık ki Check point iletişimi sağlaren nerde ne var bilsin.

Bu aşamada henüz tanımlarımız yeni bitti. Bundan sonra kurallar yazacak, trafik oluşumlarını engelleyecek yada izin vereceğiz. Loglama yapısını görecek ve SmartView Tracker kullanımını göreceğiz. Makale serüvnimiz Check point konularının tamamlanmsı ile son bulacak.

Önümüzdeki makalemizde ise kurallar yazmaya başlayacak ve detaylı kural analizlerine bakacağız.

TERMİNAL SERVER KURULUM VE KONFİGÜRASYON

Mon, 24 Mar 2008 06:20:12 GMT

Terminal Server günümüzde bütün şirketlerin kullanmaya başladığı bir server hizmetidir. Microsoft tarafında Terminal Server teknolojisini incelersek NT 4,0’dan başlayan bir süreç karşımıza çıkar. İlk olarak Windows NT 4,0 Terminal Server Edition adıyla farklı bir sürüm olarak son kullanıcıya sunulan bu teknoloji Windows 2000 ve 2003 Server işletim sistemleriyle bütünleşmiş sunulmuştur.

Windows NT 4,0 ile RDP 4,0 sürümü kullanılırken Windows 2000 server da RDP 5,0 ve 2003 Serverlarda ise RDP 5,2 sürümleri kullanılmaya başlandı. Microsoft Windows XP sürümünde 5,1 (Yeni bir güncelleme ile bu 6,0) sürümü kullanılmaktadır.

RDP Nedir?

Remote Desktop Protokol (RDP) Kullanıcı bilgisayarın Terminal Server üzerinde oturum açabilmesi için kullandığı RDP, default olarak TCP 3389 portunu kullanan bir protokoldür.

Windows server 2000 ve 2003’lerde iki tür erişim modu vardır.

1. Uzaktan yönetim modu lisans gerektirmez ve aynı anda yalnızca 2 oturum açılmasına izin verir.

Windows 2003 Serverımızı sadece uzaktan yönetmek için Control Panel (Denetim Masası) > System (Sistem) > Remote (Uzak) sekmesindeki Remote Desktop (Uzak Masaüstü) sekmesini işaretlemek gerekmektedir. Select Remote Users kısmından bağlanmasını istediğimiz kullanıcıları belirliyebiliriz. (Şekil 1)

Şekil 1

2. Uygulama dağıtmak olunca kullanıcı sayısı artacağı için daha fazla oturum açmaya ihtiyaç duyacağız. Bu durumda 120 günlük deneme süresinden sonra oturum açacak her kullanıcı veya bağlantı yapacak her aygıt başına Terminal Server CAL (Client Access License) temin etmemiz gerekecektir. Terminal Serverın kullanım süresinden sonra da hizmet verebilmesi için ortamda Lisans dağıtımından sorumlu olan bir Lisans Server olmalıdır. Bu hizmeti verecek bilgisayara Terminal Server Licensing hizmeti kurulmalıdır ve çevrimiçi olarak etkinleştirilmelidir. Ardından bağlantı yapan her kullanıcıya ya da aygıta Lisans Server tarafından bir lisans atanacaktır. Terminal Server Lisanslama ile ilgili daha ayrıntılı bilgi için http://technet2.microsoft.com/WindowsServer/tr/Library/ed83c01f-8937-4cab-9191-9228a821ee9f1055.mspx?mfr=true adresiniz ziyaret edebilirsiniz.

Terminal Server Hizmetinin bize getirdiği faydaları sıralarsak

1. Şirket bazında hem donanımsal hem de yazılımsal olarak maliyetleri düşürmesi

2. Sistemde çıkabilecek problemlere hızlı müdahele etmek.

3. Sistemi daha kontrollü ve daha yapısal yönetmek

4. Uygulamaları yükleme ve kullanma.

5. Sistem yöneticilerinin iş yüklerinin azalmasına

6. Kullanıcılara uzaktan bağlanabilme ve yönetebilme

7. Merkezi bir veritabanına sahip uygulamalara erişip kullanabilme ve verilerin yedeklenmesi ve güncellenmesi gibi birçok avantajları vardır.

Terminal Hizmetleri Windows kurulumu sırasında default olarak kurulmaz.

Kurmadan önce Terminal serverdan daha iyi yararlanamabilmek ve performans almak için

a. Terminal serverı Tek başına bir server olarak kurmak, herhangi bir DC veya başka bir Server üzerine yüklememek.

b. Terminal server’ı NTFS dosya sistemi üzerine kurmak ki zira güvenlik açısından gerekli

c. Lisans server’ınızı düzenli olarak yedeklemek

d. Terminal serversunu kapatırken Başlat > Kapat yerine tsshutdn komutunu kullanarak kapatmak lazım ki zira böylece daha kontrollü kapatmış oluruz.

e. Terminal server’a program yüklemek için Denetim Masasi > Program Ekle Kaldır’ı kullanılması ki bu sayede çoklu oturumlara programı kurabiliriz.

f. Bir veya daha çok terminal serversunu yapılandırmak veya Terminal Server kullanıcı ayarlarını yönetmek için Terminal Hizmetleri Grup İlkesi'ni kullanın

g. Terminal Hizmetleri'ne özgü gruplar kullanma: Terminal Hizmetleri kullanıcılarına özgü Kullanıcı Grupları oluşturun

h. Terminal Hizmetleri'ne özgü profiller kullanma: Terminal Hizmetleri'nde oturum açmak için ayrı bir profil atayın. Profillerde saklanan ekran koruyucu ve canlandırmalı menü etkileri gibi ortak seçeneklerin çoğu, Terminal Hizmetleri kullanılırken istenmez

i. Süre sınırları ayarlama: İstemci bağlantılarının süreleri için sınırlamalar belirlemek server performansını artırabilir. Bir oturumun süresini, bağlantısı kesilmiş bir oturumun serverda etkin durumda ne kadar kalacağını ve bir oturumun boş durumda ne kadar bağlı kalacağını ayarlayabilirsiniz.

j. Programı başlatırken seçeneğini kullanma: Terminal serverındaki tek bir uygulamaya erişmesi gereken kullanıcılarıınz varsa, kullanıcıların o uygulamaya erişimlerini kolaylaştırmak için Programı başlatırken seçeneğini kullanın

k. Kullanıcılar veya kullanıcı grupları için önceden yapılandırılmış bağlantı dosyaları oluşturma

l. Terminal Hizmetlerine bağlanmayı kolaylaştırmak için, kullanıcılara önceden yapılandırılmış bağlantı dosyaları sağlayabilirsiniz. Kuruluşunuz içindeki farklı bölümler veya farklı görev tanımları için de bağlantı dosyası grupları oluşturulabilir.

m. Terminal Server kullanıcılarının profillerinin oluştuğu Document and Settings kısmında ki yeri değiştirme.

n. Kuruluma aşağıdaki yolu izyerek başlıyoruz.

Başlat (Start) > Denetim Masası (Control Panel) > Program Ekle Kaldır (Add or Remove Programs) > Windows Component Wizard’ı seçeriz.

www.sistemdoktoru.com

Harun KORKMAZ

Şekil 2

Buradan Terminal Serverı ve Terminal Server Licensing işaretleyerek kuruluma başlıyabiliriz ve İleri diyerek devam ediyoruz. Network’ta ilk terminal server olacağı için buraya terminal server licensing hizmetini de kuruyorum. Sadece Terminal Server dediğimizde security ayarlarından sonra yüklemeye geçecektir.

Şekil 3

Karşımıza Terminal server kurulumu ve lisansız olarak 120 gün -ki bu süre Windows 2000 Terminal Hizmeti için 90 gündür- kullanabileceğimizi belirten yazı ile karşılaşıyoruz ve ileri diyerek devam ediyoruz.

Şekil 4

Karşımıza Güvenlik ayarlarını sececeğimiz bir pencere gelecektir. Bunlar Full Security ve Relaxed Securitydir kısaca bahsedecek olursak;

Full Security: Windows serverına bağlanan Kullanıcıların sistem dosyalarına, regedit ve windows yapılandırmalarına erişimini engeller. Kullanıcıların verebilecekleri hata ve zararlara engel olur. Ve eskiye dönük özellikle registry erişimi gerektiren uygulamarda çalışmayacaklardır.

Relaxed Security: Windows server ayarlarına kullanıcıların ulaşmasını ve yapılandırmalarına erişimi sağlar ve sistem için açık bir tehlike meydana getirmektedir ve registry erişimi gerektiren uygulamalar çalışmaktadır. Full Security diyerek devam ediyoruz.

Şekil 5

Güvenlik ayarlarını seçtikten sonra karşımıza Lisans server seçeneği gelir. Sistemimiz üzerinde Lisans Servermız varsa elle ip’sini yazarak veya otomatik olarak arattırarak terminal serverımız için lisans serverı atayabiliriz. Biz ilk defa kurulum yaptığımızdan 120 günlük olarak ayarlayacağız daha sonra elle de terminal server lisansını elle girebiliriz. 120 günlük süreç terminal servera yapılan ilk bağlantı ile başlar ve 120 gün sonunda biter ve lisans girmemiz gerekecektir.

Şekil 6

İleri diyerek Lisanslama yapılandırmasını yaparız. Burada Per Device (Cihaz Başına) ve Per User (Kullanıcı Başına) mode’ları görülmektedir. Aralarında ki farklar

Cihaz Başına yaparsak her istemciye ve aygıta terminal servera erişim hakkı verilir.

Kullanıcı Başına ise kullanıcıya sınırsız sayıda aygıttan terminal servera bağlanma hakkı verilir. Kullanıcı başına yapılandırmak daha doğru olacaktır.

Şekil 7

Lisans serverımızı nereye kurmak istediğinizi belirtiyor. Biz Burada 1.sini secerek devam ediyoruz. Lisans serverı başka bir bilgisayara kurmak için altaki secenek secilir.

Şekil 8

Terminal serverımız yüklenmeye başladı.

Şekil 9

Yükleme işleminden sonra Finish Düğmesine tıkladıktan sonra bizden restart etmemizi isteyecektir.

Şekil 10

Resetleme işleminden sonra Manage Your Server ekranında terminal server bölümünü ve bu hizmeti yönetmek için kullanacağımız Terminal Hizmetleri Yapılandırma ve Terminal Hizmetleri Yönetim konsolları eklenmiş olacaktır.

Şekil 11

Terminal Hizmetleri Yönetici ekranı Networkte terminal hizmeti veren tüm serverların ve onların üzerinde hesap açan terminal servera bağlanan kullanıcılarımızı görebileceğimiz ve bunların sisteme Giriş saatlerini görebilir, üzerinde sağa tıkladığımızda ise gelen menuden ekranına bağlantı yapabilir, terminal bağlantısını kesebilir, Tek veya seçtiğimiz kullanıcılara mesaj gönderebilir, Uzaktan denetim ve resetleme menuleri gelmektedir ve yönetici ekranında sağ taraftan kullanıcıların üzerine tıkladığımızda çalıştırdıkları programları görebiliriz. Terminal hizmetleri yönetici ekranını açmak için komut satırından tsadmin dememiz yeterli olacaktır.

Şekil 12

Evet, şimdi ise Terminal Hizmetleri Yapılandırma penceresini inceleyelim.

Şekil 13

Terminal hizmetleri yapılandırma penceresi kullanıcılar ile server arasında ki iletişimin güvenlik ve oturum açma bilgilerini ve yetkilerini ayarladığımız konsolumuzdur. Terminal hizmetleri yapılandırma girdiğimizde Connections ve Server Settings ayarları görünmektedir. Connections da bağlantı ile ilgili ayarlarımızı olan kullanıcıların oturum açmadan kapamaya kadar ekran ve ses ayarlarını düzenliyoruz.

Şekil 14

8 farklı sekmeden oluşan RDP-Tcp üzerinde sağa tıklayıp özelliklere giriyoruz.

Şekil 15

Genel kısımda Bağlantılarımızın Güvenlik ile ilgili ayarlarını istersen Uzak bağlantılarda Sertifika kullanarak bağlanmamız için gerekli ayarlar yapılıyor. Kullanıcılar ile server arasında ki iletişimin şifreleme seviyesini belirliyebiliriz. 56 bit şifrelemeden başlayan 4 faklı şifreleme sistemi vardır. Dikkat edilmesi gereken şey ise kullanıcı tarafından desteklenmesi gerekmektedir.

Şekil 16

Logon Settings (Oturum açma ayarları) Sekmesi oturum açarken kimlik doğrulaması yapılacak kullanıcının bağlanması gerektiği durumlarda kullanılır. Buraya gireceğiniz kullanıcı bilgileri uzaktan erişmek isteyen herkes için geçerli olacaktır. Burada kullanıcı adı şifresi domain bilgilerinin girilmesi gerekmektedir. Kullanıcıların hepsi kendi hesapları ile açılması gerektiği için kullanılmaması gerekmektedir.

Şekil 17

Sessions (Oturumlar) Terminal servera bağlanan kullanıcıların kullanıcıların bağlantıları koptuğu halde kullanıcının hesabının aktif kaldığı zaman ne zaman bağlantının kesileceğini ayarlayabiliriz. Burada yapılan ayarlamalar bütün bağlantı yapan kullanıcıları etkileyecektir.

Şekil 18

Ortam ise terminal servera bağlanacak kullanıcıların tek bir uygulamayı çalıştırmasını istiyorsak çalıştıracağı programı ayarlayabiliriz.

Şekil 19

Terminal servera bağlanan kullanıcılara uzak masaüstü yapabilmemiz için gerekli ayarları yapıyoruz.

Şekil 20

Client Settings (İstemci ayarları): Kullanıcıların bağlandıklarında ki ekran rengi ayarları bağlandıkları terminal üzerinde ses çaldıklarında duymak için ayarlarını buradan düzenleyebiliriz. Ses kullanılmayacaksa kapatılması uygundur.

Şekil 21

Network Adaptor (Ağ Bağdaştırıcısı): terminal bağlantısının hangi network kartı üzerinden ve kaç kullanıcının bağlanabileceğini ayarlayabiliriz.

Şekil 22

Permisisions (İzinler) : Terminal serverına bağlanacak kullanıcıların izinlerini ayarlayabiliriz. Buraya Domain Users, Remeto desktop users gibi veya bağlanmasını istediğimiz kullanıcı ve grupları ekleyebiliriz.

Burada üç farklı yetkilendirme bulunmaktadır.

Guest: Kullanıcılara sadece oturum açma yetkisini verir

User: Oturum açtıktan sonra oturumlara mesaj gönderme diğer oturumlara bağlanabilme yetkilerine sahip olurlar.

Full Control: User ayarlarına ek olarak oturum açmış kullanıcılara uzaktan yönetme ve resetleme gibi işlemleri yapabilirler

Şekil 23

Terminal Hizmetleri yapılandırmada connectios (Bağlantılar) yapılandırmasından sonra server ayarları kısmında ise

Olarak ayarlarız.

GROUP POLICY ÜZERİNDEKİ TERMİNAL SERVER AYARLARI

Group Policy üzerinde terminal serverla ilgili Bilgisayar yapılandırma yapabiliriz.

Bunun için Başlat > Çalıştır > gpedit.msc diyerek gelen group policy object editor penceresi gelecektir. Buradab Computer Settings > Adminisrative Templates > Terminal Services kısmında gerekli bağlantılarla alakalı ayarları yapabilirsiniz.

Şekil 24

ve aynı zaman da aynı kullanıcı yapılandırması kısmında da administrative templates > Terminal Services kısmından da ayarları yapabiliriz.

Şekil 25

Client(istemci) : Kullanıcınn terminal hizmetleri istemcisi kullanarak parolaları kaydedip kaydedemeyeceğini denetler

Sessions(Oturumlar): Terminal hizmetleri için bağlantı sınırı, bağlantısı kesilmiş oturumların zaman sınırı, sınıra ulaştığında oturumları sonlandırma gibi ayarlamalar yapılabilir.

Start a program on connections: Terminal hizmetlerine bağlanıldığında program çalıştırır.

Sets rules for remote control of terminal services user sessions: Terminal hizmetlerinde yetkisi kullanıcıların diğer kullanıcılara uzaktan bağlanıp oturuma uzaktan katılabilir.

TERMİNAL HİZMETLERİ'Nİ KOMUT İSTEMİNDEN YÖNETME

Komut satırı yardımcı programlarını kullanarak kullanıcıları, oturumları, işlemleri ve terminal sunucularını yönetebilirsiniz. Aşağıdaki tabloda, komut satırından çağırabileceğiniz Terminal Hizmetleri yönetim yardımcı programları listelenmektedir.

Not: Tablo Microsoft Sitesinden Alınmıştır.

· Kullanıcı Profilleri normalde sistemi hangi partition’a kurduysanız oradaki Documents and Settings klasörünün altına oluşturulmaktadır. Oluşan profilları birkaç ayarla farklı bir partitionda oluşturarak hem bilgilerin yedeklenmesi hemde herhangi bir sistem arızasında kurtarma imkânımızı daha yükseltir. Bunun için aşağıdaki yolu izlemeyerek yapabiliriz.

Başlat > Çalıştır > Regedit dedikten sonra

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList’e gelip Sağa ekranda ki ProfileDirectory’de tanımlı olan adresi istediğiniz şekilde değiştirerek düzenliyoruz. Ve yönlendirdiğimiz adrese documents and settings deki Default ve All user klasörlerini kopyalamamız gerekmektedir.

Terminal hizmetleri konusunda çalışma prensibi, bileşenleri, kurulum ve yönetimi konusunda yeterli bilgiyi edindiğimize inanaraktan bu konumuzun sonuna da geldik.

Ayrıca aşağıda ki adresten de terminal hizmetleri konusunda bilgi alabilirsiniz.

http://technet2.microsoft.com/windowsserver/tr/library/c8788dd5-5fae-453e-84df-efdd1dce8f5a1055.mspx?mfr=true

Saygılarımla…

Fortinet Fortigate Firewall ile Ipsec Vpn Nasıl Yapılır ?

Thu, 20 Mar 2008 22:37:33 GMT

Merhaba ; Öncelikle Fortigate Ipsec Vpn yapısı ile ilgili bilgi verelim.Ipsec vpn yaparak merkez ağımıza bir şubeden yada mobil bir kullanıcının bağlanmasını sağlayarak sanki ofisimizdeymiş gibi çalışırız.Bu konu ile ilgili olarak Ip sec vpn bize merkez networkümüze izin verilen kurallar içerisinde bağlanmamızı sağlayan yapıdır.Güvenliği diğer bağlantı şekillerine nazaran daha güçlü olduğu için en çok rağbet gören sanal özel ağ yapılandırmasıdır.Ipsec vpn iki şekilde yapılır.Side to Side (Fortigate’ten Fortigate cihazına) Client to Side (Mobil bir pc (notebook,pc vs’den Fortigate cihaza)Bu makalede Client to Side ipsec vpn’i göreceğiz.
Öncelikle Fortigate Firewalla bağlanıyoruz ve sırası ile resimdeki adımları gerçekleştiriyoruz.

IPSEC Resim 1

Var olan bir yapıyı inceleyelim.

Burda yapılması gereken create phase1 diyerek aşağıdaki resimdeki gibi yapımızı ayarlıyoruz.

Preshared Key kısmına güvendiğimiz sağlam bir şifre veriyoruz.3 aşamalı encryption sağlayabiliriz.Ama yapılan encryptiona göre performans kaybı yaşanabilir.Bu yüzden önerilen 2 aşamalı encryptiondır.

IPSEC Resim 2

Resimde görüldüğü üzere remote gateway kısmında dialup user seçilmiştir.

Şimdi Phase2 oluşturulmalı ve Phase 1 entegre edilmelidir.

IPSEC Resim 3

Şimdi Ipsec vpn kullananlar için servis tanımlamamız gerekmektedir.Buna network adminler karar vermeli.Bundan sonraki aşama Policy uygulamaktır.

Policy resmi

IPSEC Resim 4

Ipsec servis gurubumuzda neler var.Örneğin http,https,pop3,rdp,ftp gibi servislerimiz bulunmakta.Ipsec profile ile ftp de virus taraması yapabiliriz.Bunlar ile ilgili örnek vermek gerekirse;Merkezimizde word,excel,autocad vb çalışmalar olmakta.Kullanıcımız şehir dışından ftp sunucumuza Kullanıcı adı ve şifre ile bağlanarak ipsec vpn ile transfer edeceği dosyalarda, merkezde koruma sağlamış olacağız.Bu da ağımıza viruslerin bulaşmasını engelleyecektir.Ayrıca kullanıcıların farkında olmadan yapabileceği atakları Fortigate karşılayacak ve karşı hareket ile güvenliğimizi sağlayacaktr.

Merkez ofisimizi ayarladık.Şimdi kullanıcımızı ayarlamamız gerekmekte.Bunun için forticlient yazılımı var.Ipsec vpn modulu ücretsizdir.Download linki ftp://mail.f1bilgisayar.com/fortıclıent/mr6_forticlientsetup_3.0.534.zip

Yazılımını indiriniz.Kurulum esnasında custom seçeneği ile sadece vpn modülünü yükleyiniz.Yükleme tamamlandır ise aşağıdaki resimdeki görüntü olucaktır.Ben full kurduğum için sizde sadece ipsec vpn modülü ve maintanence,logs kısmı görünecektir.

IPSEC Resim 5

Resimdeki gibi tıklayarak aşağıdaki ekranı alırız.

IPSEC Resim 6

Resimde görüldüğü gibi bağlantımız sağlandı.Fortigate izin verilen kurallar ölçüsünde merkezimiz ile haberleşebiliriz.

IPSEC Resim 7

Peki bağlantımız olduğu zaman Fortigate bağlanan kullanıcı görülüyor mu ? Yanıtı aşağıda.

IPSEC Resim 8

Resimde görüldüğü üzere merkez ile bağlantımız yapılmış durumdadır.Benim bilgisayarımın modemden almış olduğu ip monitörde görülmektedir.Merkeze Ping atalım ve smtp için telnet çekelim.Servislerimizde ping yasak iken telnete izin verdim denemek için.

IPSEC Resim 9

İlgili policymiz yukarıdaki gibi servisleri gördük.

Şimdi testleri göreceğiz.

IPSEC Resim 10

Gördüğünüz üzere Vpn yapılandırmamız tamamlanmıştır.

Örnek bir proje aşağıdaki gibi yapılandırılmıştır.

Saygılar İyi Çalışmalar

Fortigate Antispam

Thu, 20 Mar 2008 20:33:06 GMT

Fortinet Fortigate ANTISPAM Servisi Nasıl Kullanılır?

Merhaba;

Bu makalede elimizdeki Fortigate cihazımız ile istenmeyen mailleri engellemek için spam servisimizi kullanmayı anlatacağım. Fortigate üzerinde spam maillerin % 70 e yakınını engellememiz mümkün. Standart korumaya ek tanımlamalar nasıl yapılır bunları da resim resim anlatacağım.

Mail serverımız var ve artık mailleri kendi bünyemizde kullanmak istiyorsak sırası ile aşağıdakileri uygulayacağız.
Öncelikle mail server için mx kayıtlarımızı kendi kullanmış olduğumuz ip adresimize transfer işlemini gerçekleştirmeliyiz.Dsl kullanıcıları mutlaka ilk önce reverse dns kayıtlarını düzeltmeliler.Bunun için öncelikle ip adresimizi dnsadmin@turktelekom.com.tr adresine aşağıdaki gibi bir önek mail atmalıyız.
Merhaba Sayın Yetkili
Mail Server Adımız mail.sunucum.com
Mail Server İp Adresimiz 213.243.12.xxx
Lütfen ters dns kaydı açarmısınız.
Bu işlemi yapmazsanız Hotmail gibi bazı mail sunucuları maillerinizi engeller. Reverse dns kayıtlarını tutan
Rbl veya Dns-Bl sunucuların listelerinde bulunabiliriz. Antispam kullanan reverse dns isteyen yerlere maillerimiz ulaşmaz.

Öncelikle Fortigate cihazımıza bağlanıyoruz. Sırası ile yapılması gerekenler.

1 Adım Servis Aktif Etme
Aşağıdaki adımda sekmelerin işretlerini kontrol ediyoruz.

Şu an servisimizi aktif ettik ve system status ekranından antispam servisimizin yeşil check li olduğunu görüyoruz. Şayet servis aktif edildiği halde hala Yeşil olmadı ise Test Availability kısmına tıklayarak servis güncelleme isteği yapıyoruz.

2. Adım Dışarıdan İçeri Port Yönlendirme
Mail serverımıza maillerin gelmesi için 25 (smtp) yönlendirmemiz gerekmektedir istenirse diğer portlar 110(pop3),443(https),80(http),143(imap) yönlendirilebilir.

Fortigate cihazımızda firewall kısmına tıklarız. Resimdeki adımları sırası ile uygulayınız.

Mail serverımızın ipsine 25 nolu portu yönlendirdik. Şimdi mail serverımızın güvenliğini sağlamak için sırası ile aşağıdaki işlemi yapıyoruz. Gerekli korumayı sağladıktan sonra Policy kısmında kural yazılışını göreceğiz.

Virus korumamızı sağlamak için kutucukları seçiyoruz.

Şimdi dosyaların filtrelenmesini göreceğiz. Fortigate uzantı bazında dosyaları ağ girişinde durdurur. Dosya engellemek için yapılması gereken create new *.dosya_uzantısı yaparak istemediklerimizi engelleriz.

Şimdi gelen maillerin içinde istemediğimiz sözcükler geçiyorsa nasıl engelleyeceğiz bunu göreceğiz. Klasik bilinen ve de fazlası ile bıktıran kelimeleri engellememiz mümkün. Bunun için aşağıdaki adımları tamamlıyoruz.

Şimdi domain bazında engelleme yâda izin vermeyi göreceğiz. Tavsiyemiz aşağıdaki resimdeki gibi bir yapılandırmada bulunmanız. Şirketinize yurt dışından mesela taywandan mail gelmesini istemiyorsanız domain bazında engelleme şansınız bulunmakta.

Ip bazında engellemek için

Şimdi koruma profilimizde yapmış olduğumuz hazırlığı birleştiriyoruz. Tanımlamaları bir araya getirdikçe spam koruma gücüde artacaktır. Lütfen dikkatle uygulayınız. Virus, spam ve saldırı korumasını bu kısımdan sağlıyoruz.

ÖNEMLİ: Bu kısımda mailler Discard ile sisteme alınmayacak. İstenirse maillerin başlığına spam yazılarak içeri alınabilinir.

Şimdi bu yaptığımız hazırlığı policymizde birleştiriyoruz.

Örnek resim aşağıdaki gibidir.

Dışarıdan içeri yaptığımız yönlendirmeyi tanımlıyoruz. Loglamak istiyorsak Log Allowed Traffic kutucuğuna tıklıyoruz. Şu anda sistemimiz spam mailleri engellemeye başlayacak. Cihazımızın system status ekranından spam maillerin durumunu görebiliriz.

Mail serverımızı hem spam maillerden hem virüslerden hem saldırılardan bu şekilde koruruz. Rbl ve Dnsbl tanımlamaları console ekranından yapılmaktadır. Bu işlem için yapılması gerekenler. Console ekranına telnet veya hyperterminal ile bağlanıp aşağıdaki komutları yazıyoruz.

config spamfilter dnsbl

edit 1

set name Mail

config entries

edit 1

set action reject

set server xxx.xxx.com

edit 2

set action reject

set server xxx.xxx.com

end

config firewall profile

edit "Mail_Profile

set smtp block scan bannedword fragmail spamemailbwl spamfsip spamfschksum spamfsurl spamipbwl spamrbl splice

end

bu ilsem ile atamış olduğumuz koruma profili'ne rbl server tanımlamasını eklemiş oluyoruz

rbl adresler bunları firewall a girip antispam desteğini güçlendirebiliriz

bl.spamcop.net sbl-xbl.spamhaus.org blacklist.spambag.org list.dsbl.org unconfirmed.dsbl.org

multihop.dsbl.org rbl-plus.mail-abuse.org dul.dnsbl.sorbs.net ubl.unsubscore.com combined.njabl.org relays.ordb.org

Bir sonraki makalede görüşmek üzere
İyi günler iyi çalışmalar.

Smart Dashboard Kurulumu

inetdetc — Thu, 20 Mar 2008 17:36:28 GMT

Merhaba;

Firewall’ın ne olduğunu anlatarak ( Firewall Nedir? ) başladığımız makale yolculuğumuz Check Point Kurulumu ile devam etmişti. Şimdi ise Check Pointe bağlanıp managament işlemlerini yapabileceğimiz,kurallar oluşturup politikalar install edebileceğimiz Smart Dashboard kurulumuna geldi.

Peki nedir Smart Dashboard?

Smart Dashboard Check Point ürünü ile gelen ve tüm yönetimsel işlemleri yapabileceğiniz bir konsoldur. Bu konsolda Check Point ürünü için kurallar tanımlayabilir, VPN domainler oluşturabilir, SSL-VPN yapılarını yönetebilir, Userlar açabilirsiniz. Kısacası Smart Dashboard Check Point firewall ürününün eli ayağıdır.

Kuruluma geçmeden önce kurulum sonunda elde edeceğimiz Smart Dashboard ekran görüntüsüne bir bakalım.

Resim – 1

Kurulum kolay olduğu için kurulum adımlarını tek tek numaralandırarak yazmayacağım. Direk olarak ekran görüntüleri ile kuruluma başlayalım.

-CD takıldıktan sonra ilk olarak aşağıdki ekran görüntüsü gelir. Bu ekranda istersek Evaluation Seçeneklerine bakabilir, installation hakkında daha fazla bilgi alabiliriz.

Resim – 2

-Next ile ilerlediğimizde ise artık tüm yazılımların vazgeçilmezi olan lisans anlaşmasını onaylamamız gerekir. Lisans anlaşmasını onaylayarak geçebiliriz.

Resim – 3

-Lisans anlaşmasından sonra Check Point product options ekranı ile karşılaşırız. Check Point Express seçeneği minimum alan ve configurasyon demektir. 15 günlük deneme sürümünde dahi Check Point Enterprise Pro seçeneğini seçebilirsiniz. Merkez ve şube gibi lokasyonlarınız varsa bu seçimi yapmalısınız. Check Point Enterprise Pro’yu seçerek next diyoruz.

Resim – 4

-Check Point Enterprise Pro seçiminden sonra aşağıdaki ekran görüntüsü gelecektir. Burada ister demo ürünü kurabilir, isterseniz varolan konfigurasyondan import export yapabilirsiniz. Yeni bir kurulum yapıyorsanız New Installation diyerek devam etmelsiniz.

Resim – 5

-New installation ile yeni kuruluma başladığımızda bize hangi ürünleri kullanmak istediğimiz soran ekran gelir. Bu ekrandadaki ürünler sizin lisanslama yapınız ile direk ilgilidir. Örneğin, Eventia reporter bir raporlama ürünüdür. Ben VPN-1 Pro, SmartCenter ve SmartConsole diyerek kuruluma devam ediyorum.

Resim – 6

-Next diyerek ilerleidğimizde ise SmartCenter tipini belirlememiz gerekiyor. Bu ekranda ilk kurulumumuz olduğu için Primary SmartCenter diyerek yola devam ediyoruz. Ayrıca LOG Server kurlumu da bu ekranda belirtiliyor.

Resim -7

-Next dediğimizde ise aşağıda göreceğiniz ekran götüntüsü gelecek. Bu ekranlarda yaptığımız işlemlerin özeti ve kurulum dosyalarının lokasyonlarını görebilirsiniz.

Resim – 8

-İlk olarak VPN-1 Pro kurulumu gerçekleşecek. New Installation da seçimi yaptığımızı hatırlayın. Daha sonra kurulum, dosyalarının lokasyonlarını gösteren ekran ile devam edecek.

Resim – 9

Resim – 10

-Bu kurulumdan sonra ise Smart Console kurulumu yapılacak. Kurulum için lokasyon belirtmemiz istenecek. Next diyerek kuruluma başlıyoruz.

Resim – 11

-Next diyerek devam ettiğimizde ise Client tarafında için seçimleri yapmamız gerekli. Buradaki tüm ürünleri kurabileceğiniz gibi seçimde yapabilrsiniz. En önemli ürünler ise;

1 – Smart Dashboard ( Yönetim Konsolu )

2 – SmartView Tracker ( Loglama ve izleme sistemi )

3 – SmartView Monitor ( Check Point monitoring ) dir.

Resim – 12

-Bu seçimlerden sonra next ile devam ettiğimizde ise kurulum dosyaları kopyalanacak, kurulum lokasyonu seçilecek ve kurulum tamamlanacaktır. Sıralı ekran görüntüleri aşağıdadır.

Resim – 13

Resim – 14

-Kurulum böylece tamamlandı. Smart Dashboard, SmartView Tracker ve SmartView Monitor simgeleri masa üstünde belirecektir.

Resim – 15

-Sıra artık Smart Dashboard ile Check Pointe logon olmaya geldi. Smart Dashboard simgesini tıkladığınızda aşağıaki ekran görüntüsü gelir. Daha önceki makalede belirttiğimiz gibi bağlantı için internal IP adresi yazmamız gerekli.

Resim – 1

-Kurulum sonrası Smard Dashboard aracını OK diyerek açtığımızda ilk açtğınızda yine lisanslama ile ilgili ekranlar bizi karşılayacak. Burada lisans bilgilerini girebilirsiniz.

Resim – 16

-Tüm bu işlmerden sonra kurulumu tamamlamış ve aşağıdaki ekran görüntüsünü elde etmiş oluruz. Bu ekran bizim tüm yönetimleri yapacağımız Smart Dashboard ekranıdır.

Resim – 17

-Böylece firewall tanımı ile başladğımız ve Check Point kurulumu ile devam ettiğimiz makalemizde Check Pointe logon olmak ve yönetim işlmlerini yapmak için gerekli Smart Dashboard, kurulumunu tamamladık. Tekrar hatırlatmak gerekirse Smart Dashboard bizim Check Point üzerinde tüm yönetimleri yapabileceğimiz yönetim konsolumuzdur. Bu konsol sayesinde kurallar yazabilecek, ilkeler belirleyebilecek ve gerekli loglamaları sağlayabileceğiz.

Kurulum sonrası ve Smart Dashboard logon sonrası makalemizden sonra sıra Check Point ürününü sağlıklı highlevel şekilde kullanmaya geldi. Sırası ile kural yazmayı, SmartView Tracker kullanmayı, NAT configurasyonu, VPN konfigurasyonu gibi gelişmiş makalelerle Check Point ürününü tanımaya devam edeceğiz.

*Ben bu kurulumda R60 serinisini kullandım. Check Point ürününün şu an R65 versiyonu çıktı. Unutulmamsı gereken kurulumun hepsinde aynı olduğudur.

**VMWare gibi sanal makinalarda Chack Point kurulumunu tamamne kendiniz yapabilrsiniz. Yapmanız gereken tek şey Vmware Bridge modda kullanmak ve bir interface (ethernet) daha eklemek. Test etme ve kendinizi geliştirme imkanını bu şekilde bulabilirsiniz.

Fortinet FortiGate Temel Kurulum

Thu, 20 Mar 2008 08:06:01 GMT

Fortinet FortiGate Temel Kurulum

1 – System - Ana Menu

2 – Router - Yönlendirme

3 – Firewall - Güvenlik Tanımlamaları

4 – Vpn - Özel Ağ Yapılandırması (Ipsec, Pptp, Ssl)

5 – Ips&Idp - Saldırı Tespiti Ve Durdurma

6 – Web Filter - Web Ve İçerik kısıtlamalar

7 – Antivirus & File Block - Virus Koruması-Dosya Engelleme - Grayware Koruması

8 – Antispam BWL List - İstenmeyen Maillerden Kurtulma

9 – Log - Report İzleme ve Raporlama

10-Fortinet Ek Donanım

Merhaba;

Fortinet Ürünlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracağım.
Kuruluma başlamadan bilinmesi gereken bazı konular var. Önce bunlara cevap verelim.
U.T.M. Nedir? Unified Threat Management – Bütünleşik Tehdit Yönetimi

U.T.M. Neden Tercih Ediliyor? Günümüz bilgisayar teknolojileri fazlası ile ilerledi. Sadece bir firewall ya da antivirus sistemi korumamızda güçsüz kalıyor. Çoklu tehditler her an karşımıza çıkabilir. Örneğin bir web sayfasından bulasan virüs bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasına çeşitli kayıplara sebep olmaktadır. Tehlikeler ağ girişinde daha ağa girmeden tespit edilip savuşturulabilir. Gereksiz yere bilgi kaybı, zaman kaybı ve firmaların maddi kayıpları bu sayede engellenmektedir. Fortinet bu konuda firewall, ips&idp, antivirus (malware, spyware, grayware),Web Category Filter, Antispam Koruması, IM&P2P Koruması, Vpn Desteği (SSL, IPSEC, PPTP) ile günümüz kullanıcılarına en üst seviyede güvenlik çözümü sağlamaktadır.

Kurulum – Giriş

SYSTEM

Fortigate cihazımız fabrika değeri olarak 192.168.1.99 ip adresi ile set edilmiştir.Cihaza ulamsak için HTTP,HTTPS,TELNET,SSH,SNMP ile erişebilir yönetimini ve ayarlarını yapabiliriz.Öncelikle bilgisayarımızın ip adresini 192.168.1.250 veriyoruz.Web Browser adres kısmına https://192.168.1.99 yazıyoruz.Sertifika uyarısına devam ederek kullanıcı adi admin password kısmını bos bırakarak cihaza giriyoruz.karşımıza gelen ana ekran aşağıdaki gibidir.

Resimde gorulen cihaz register edilmiş tüm servisleri kullanılan bir cihazdır.Cihazımızı öncelikle https://support.fortinet.com/Login/UserRegistration.aspx linkinden kayıt ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin üzerinde yeşil check işreti olacaktır.Register edildikten sonra 15 ile 30 dk arasında servisler aktif olur.Kısaca menüler hakkında bilgi vermek gerekirse
Status Ekranı =

* Sessionlar – cihazımız üzerinden gecen networkteki gelen giden tcp, udp paketlerini görebiliriz.

* İstatistik bilgileri – Saldırılar, virüsler, spamlar ve yapılan itekleri görebiliriz.

* Lisans Durumu – Cihazımızın register başlangıç ve bitiş suresini servis durumunu görebiliriz.

* Tarih zaman

* Log bilgileri

* Komut satiri yönetimi – Web ara yüzünden yapamadığımız işlemler için kullandığımız alan.

* Memory ve Cpu durumunu görebiliriz. Resimdeki sürüm FORTI OS MR 6.

Network Ekranı = Ağ geçidi ip adresimiz, Wan bağlantılarımız,Dns ayarımız,vlan trunk oluşturma,Secondary Ip yapılandırma,Yönetim portlari (https,http,telnet vs) Bu kısımdan modemimizi bridge moduna alarak internet bağlantılarımızı sağlarız.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from sunucu kutucuklarının dolu olması gerekmektedir.Dışarıdan cihaza bağlanıp yönetim yapılacaksa http,https e izin vermek gerekir.

Örnek Resim

Dhcp sunucu yapılandırma

Config - Bu bolümden mesajların içeriğine müdahale edebiliriz. Default İngilizcedir.

Admin – Bu kısımdan admin veya user yaratarak cihaza girişleri kontrol altına alırız.
Certificates – Kısmından cihazımızın sertifika üretmesini sağlarız.
Maintanance kısmından backup, restore ve fortiguard antivirus, antispam ve web category filter servisimizi aktif ederiz.

Router
Statick ve Policy Route yaptığımız kısım.

Örnek Resim

Ben daha çok policy üzerinde duracağım. Bu yüzden diğer kısımlar için yakin zamanda yeni makaleler hazırlayacağım.

Policy – Kural
Sistemimizdeki kullanıcıların hangi haklar ile hangi servise erişeceğine karar verdiğimiz kişimdir.
Aşağıdaki ekranda görebileceğiniz gibi çeşitli senaryolar uygulayabiliriz.
Örnek: Finansman, Muhasebe, Yönetim guruplarımız var.
Kullanıcı Hakları hakkında Bilgi
Finansman Hakları: gov.tr,org.tr,net.tr,edu.tr sitelerde filtre uygulanmayacak. ips,idp koruması sağlanacak.Antivirus (Malware,spyware,grayware) koruması olacak.2 MB üzerindeki dosyaları ftp den geçebilirken,mail veya web ara yüzünden 2 MB üzeri dosyalar engellenecek.Zip,Rar için hiç bir kısıtlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanıcıların banka ve finans sitelerine erişimlerinde garanti olarak 30 KB hız verilecek,mail vs diğer web sitelerinde 10 KB üzerine çıkamayacak.Http,https,pop3,SMTP,NTV,im portlari,acık olacak.diğer tüm portlara erişimi kapatılacak.

Kelime engellenecek örneğin google’da çocuk pornosu gibi.

Muhasebe Hakları: gov.tr,org.tr sitelerde filtre uygulanmayacak.Antivirus (Malware,spyware,grayware) koruması olacak.1 MB üzerindeki dosyaları web,ftp,pop3,SMTP den engellenecek. Web filter uygulanarak tüm web siteleri engellenecek. Msn, icq, aol, yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek. Sadece öğlen tatilinde 30 dk im,p2p veya izin verilen tüm siteler açılacak. ips, idp koruması sağlanacak. Http,https,pop3,SMTP,NTV,im portlari,acık olacak.
Yönetim Hakları: Her turlu siteye erişim olacak. Antivirus koruması sağlanarak malware, spyware, grayware’ler engellenecek. Kandırmaca şifre sayfaları engellenecek. IM,P2P acık olacak. IM ’ de gelen giden dosyalarda virüs taraması sağlanacak. Ips, idp koruması sağlanacak. Tüm portlar izinli olacak.

Bu kurallarımız içerden dışarı çalışacak. Mail serverımız kendi ofisimizde ise ya da terminal server bağlantımız var ise yapılması gerekenler. Didardan içeri policy oluşturulmalı. Sabit portlar kullanılmamalı. Örneğin Uzak masa ustu için 3389 kullanılır. Bunun yerine dışarıdan 45345 isteklerini içeriye 3389 olarak al ve Terminal Server’a yönlendir demeliyiz. Fortigate firewall da en önemli yer Protection Profile (Koruma Profili) kısmıdır.

Aklımıza gelen her turlu kısıtlama bu bolümden yapılır.Örneğin proxyleri,web chat sitelerini,youtube tarzı multi medya download sitelerini,hacking ile ilgili siteleri gibi birçok siteyi engelleyebiliriz.Su an dünya üzerinde 98.000.000 web sitesi bulunmaktadır.Fortinet firması Fortiguard Center’da 49.000.000 web sitesini kategorize etmiş durumda.Antivirus koruması http,https,ftp,SMTP,pop3,IM,imap,Nntp koruması ve dosya transferi engelleme yapabiliriz.

Kullanıcıların web, antivirus, ips, idp, fileblock gibi haklarını tamamen bu kısımdan ayarlarız.

Fortigate firewall ipsec, ssl, pptp vpn’de de virüs koruması, port engellemesi gibi güvenlik sağlar. Şayet istenirse authentication yapılabilinir. Token cihazlar ile tümleşik çalışabilir. Active directory ile birlikte çalışabilir.
Gelecek Makale Fortigate üzerinde spam ayarları, dmz mail server kullanmak, dnsbl, rbl, email bwl, ip bwl, banned word konuları hakkında bilgi vereceğim. Türkçe karakter kullanmadan yazdığım için üzgünüm.
Saygılarımla.

Roaming User Profile

Thu, 20 Mar 2008 07:24:58 GMT

Kullanıcı Profili (User Profile); bir bilgisayarda ilk kez oturum açıldığında otomatik olarak yaratılan ve oturum açtığımız bilgisayarım Document and Settings\%username% Klasörü altında saklanan ntuser.dat isimli bir dosyadır. Oturum açtıktan sonra profilimizde yaptığımız tüm değişiklikler (görüntü ayarları, masa üstü ayarları vb.) bu dosya içine kaydedilir. Bu dosya Lokal makinenin sabit diskinde tutulduğu için profil ayarları sadece daha önce bu bilgisayarda oturum açmış kullanıcıların profil ayarlarını içerir. Bu yüzden bu profile local user profile denir.

Roaming User Profile (Gezici Kullanıcı Profili) ise her kullanıcının kendine ait profilinin merkezi bir sunucuda oluşturduğumuz paylaştırılmış bir klasörde tutulması ve kullanıcının bir sonraki oturum acışında bu profil dosyasını kullanmasıdır. Arka planda Roaming User Profile sahip bir kullanıcı ilk kez bir bilgisayardan oturum açtığında oturum açtığı bilgisayarda bulunan Default User Profile kullanarak oturum açar ve oturum kapattığında ise profil dosyası sunucu üzerindeki paylaştırılmış klasöre kopyalanır. Daha sonra kullanıcı her oturum açtığında profil dosyasına Sunucu üzerinden kullanıcını oturum açmak istediği bilgisayarın sabit diskine kopyalanır ve kullanıcı kendi profiline ait ayarlar ve dosyalara erişir.

Roaming User Profile’ın avantajlarından bazıları ise kullanıcılara ait bilgi ve belgelerin merkezi bir yerde tutulduğu için yedeğinin kolay alınmasıdır. Ayrıca herhangi bir kullanıcının bilgisayarı arızalandığında ona yeni tahsis edilen bilgisayara kullanıcı profil bilgilerini kopyalamak zorunda kalmayız.

Bunun yanında Roaming User Profile’ın dezavantajı ise kullanıcın ayarlarının tutulduğu profile dosyasının boyutunun büyük olması halinde kullanıcının otur açma ve kapatma sürelerinin uzaması ve buna bağlı olarak oluşan network trafiğidir.

Adım Adım Roaming User Profile Oluşturulması:

1. adımda Öncelikle Profilleri tutmak istediğimiz sunucuda profillerin tutulacağı bir Klasör oluşturulur ve bu klasör paylaşıma açılır. Bunun için: Profiller klasörüne sağ tıklanarak “Sharing and Security” Seçilir.

Aşağıdaki ekranda ise Klasörü paylaşıma açmak için “Share this Folder” Seçilir. Ayrıca burada bulunan ve opsiyonel olan “Comment” bölümüne klasöre ait bir açıklama yazılabilir. “User Limit” Bölümüyle ise aynı anda bu klasöre erişebilecek kullanıcı sayısını belirleyebiliriz.

“Permissions” butonuna basarak Roaming User profile oluşturmak istediğimiz kullanıcıya bu klasör için Full Control (Tam Denetim) hakkı vermek için Add butonuna basarak kullanıcımızı ekliyoruz.

Sonraki adımda eklediğimiz kullanıcı için bu klasörde Full Control hakkı veriyoruz.

2. Adım olarak;

StartàProgramsàAdministrative Toolsà Active Directory Users and Computers programı açılır. Burada hangi kullanıcının profilini Roaming User profile yapmak istiyorsak o kullanıcıyı seçeriz.

Kullanıcı adı üzerine çift tıklayarak kullanıcı özelliklerine eriştikten sonra Profile Tabına geçilir ve kullanıcı profilinin depolanacağı yeri gösteren “Profile Path” kısmına daha önce paylaştırdığımız klasörün yolu yazılır. Yolun sonuna yazılan %username% bir system değişkeni olup hangi kullanıcı için bu işlem yapılırsa default olarak o kullanıcının adı anlamına gelir.

Son olarak Apply ve Ok basılarak Ekran kapatılır. Kullanıcı ilk otur açtığında artık profili Roaming User Profile olacaktır.

Not:

1-) Roaming User Profile genelde kullanılmaz çünkü her sabah oturum açan 200 kullanıcımız olursa network trafiği gözle görünür derecede artar ve oturum açma süresi çok uzar ama illaki Roaming User Profile kullanmanız gerekiyorsa profillerin ayrı bir Dosya sunucusunda tutulması tavsiye olunur.

2-) Roaming User profile sahip bir kullanıcı oturumu kapattığı zaman profilinin bir kopyası kendi local hard diskinde kalır. Bu da sabit diskin kullanım alanının azalması anlamına gelecektir. Oturum kapatıldığı zaman sabit diskte kopyalanmış olan profilleri silmek için:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon ‘a giderek DeleteRoamingCache değerini 1’e çekin. Eğer bu değer yoksa oluşturup değerini 1 yapın.

Check Point Kurulumu

inetdetc — Sat, 15 Mar 2008 21:47:38 GMT

Merhaba;

Bir önceki makalemizde Firewall’ın ne olduğunu, temel firewall yapılarını, nelere dikkat edilmesi gerektiğini anlatan bir makale yazmıştım. Bu makalede ise firewall denince akla ilk gelen ürün olan Check Point kurulumunu ve temel yapılandırmasını anlatacağım. Herşeyden önce şu bilinmeli ki, ardı sıra gelen makaleler de birbirini izleyen ve tamamlayıcı bir yapıda olacaktır. Sadece kurulumla Check Point sonlandırılmayacak. Nat yapısından Office Mod VNP kurulumuna kadar herşey en detaylı hali ile yazıya çevrilecektir.

Check Point günümüz firewall sistemlerinin en bilineni ve piyasanın hakim ürünüdür. Oldukça kapsamlı bir ürün olan Check Point ile bir şirketin tüm ihtiyacları karşılanabilir. Aynı zamanda firewall yapılarında bir çok standardında öncüsü olmuştur. Kolay yönetilebilir olması, birçok sistemi ve protokolü desteklemesi, ürün sonrası desteğinin yaygın olması Check Pointi diğer ürünlerden avantajlı kılmıştır.

Bu makale de adım adım kurulum ve yapılandırmayı gerçekleştireceğiz. En son makalemizde ise Check Point ürününün bütün özelliklerini görmüş olacağız.

*Check Point sürüm bilgilerini (R61 – R62 vs) gibi vermeyeceğim. Çünkü kurulum temelde hepsinde aynıdır.

**Bu anlatımda Check Point kurulumu Red Hat Linux üzerine gerçekleştirildi.

Check Point kurulum adımları:

1 – Welcome ekranı

2 – Hardware işlemlerin seçilebileceği ekran

3 – Secure Platform Modül ekranı

4 – Keybord Seçimi

5 – Network Interface Konfigurasyonu

6 – HTTPS arayüz yapılandırması

7 – Harddisk Biçimlendirme

8 – Dosyaların kopyalanması

9 – Reboot sonrası temel yapılandırmalar. (Hostname – Time zone – User vs..)

Kurulum:

-Check Point Secure Platform Cd nizi boot ettiğinizde önümüze ilk olarak welcome ekranı çıkar. 90 saniye içinde bu ekranda bir tuşa basıp devam etmemiz gerekmektedir.

Resim - 1

- Sonraki adımda ise Check Point kurulumu ile ilgili kısa bir bilgilendirme ve device list düzenlemelerini görebileceğimiz ekran gelmektedir. Burada kuruluma OK diyerek devam ediyoruz.

Resim – 2

-OK dedikten sonra ise Check Point ürünü Secure Platform seçimini soruyor. Secure Platform içinde birçok paket mevcuttur ve hepsinin lisanslama yapısı farklıdır. Şirket yapınıza en uygun lisanslama ile buradaki seçimi istekleriniz doğrultusunda yapabilirisiniz. Ben uygulama için Secure Platform Pro’yu seçiyorum. 15 gün deneme sürümü olarak kullanabiliyoruz.

Resim – 3

-Secure Platform Pro seçiminden sonra ilk gelen ekran Klavye ayarlarımızı içermekte. Türkçe klavye seçerek işleme devam edebiliriz.

Resim – 4

-Klavye seçiminden sonra ise bize Secure Platformun iç bacak ip adresini soran ekran gelmektedir. Bu içeriye bakan interface olacaktır. Gateway ve subnet ayarlarını girerek devam ediyoruz. İstersek bu ayarları daha sonrada girebiliriz.

Resim – 5

-Bildiğiniz gibi genelde Firewall yapıları Web arayüzünden de yönetilebilmektedir. Bu ekranımızda ise web arayüzü yapılandırması bilgileri girilir. Listen port default olarak 443 ssl portudur. Burayı aynen bırakıyorum.

Resim – 6

-Web arayüz yapılandırmasından sonra kurulumun yapılacağı harddisk biçimlendirlecektir. Check Point diski belirli bölümlere ayıracak ve loglama, işletim sistemi kurulumunu için yapılandıracaktır. Kurulum için 5 GB alan Check Point için yeterlidir. Fakat daha büyük olması her açıdaın daha iyidir. OK diyerek formatlama işlemini başlatıyoruz.

Resim – 7

-OK dediikten sonra ise diskimiz formatlanacak ve gerekli yapılandırma dosyaları kopyalanmaya başlayacaktır.

Resim – 8

-Kurulum sonrasında check ponit CD otomatik olarak çıkacaktır. Sistem kendini reboot edecek ve aşşağıdaki ekran görüntüsü gelecektir. Önemli olan reboot sırasında sürücülerin boş olmasına dikkat etmenizdir.

Resim – 9

-Reboot sonrasında ise login ekranı gelir. Login ekranında ilk olarak şifre değiştirmemiz gerekmektedir. İlk açılışta User ve şifreler Admin’dir. Check Point yeni şifre seçimlerinde kompleks şifrelere sizi yönlendirir.

Resim – 10

-Admin şifre değişikliğinden sonra ise Check Point için user oluşturma ekranı gelmektedir. Burada istersek user oluşturabilir istersek Enter basarak geçebiliriz.

Resim – 11

-Buraya kadar Check Point üzerinde ilk kurulum ayaralarını yaptık. Buradan sonra ise kurulum sonrası temel sistem yapılandırmaları aşaması gelmektedir. Biraz linux bilginiz varsa zorlanmadan bu aşamaları geçebilirsiniz. İlk olarak kurulumdan sonra expert moda geçmeliyiz. Tabi ki bu aşamada da şifre değiştirmemiz istenecek. Expert mod Check Point’te birçok konfigürasyonu yapacağınız moddur.

Resim – 12

-Expert moda geçtikten sonra ise hostname, time—zone gibi temel ayarların yapılacağı ekrana geçmemiz gerekli. Bu ekranda N ile ileri geçebilir Q ile çıkış yapabiliriz. Gerekli bilgiler ekranda görülmektedir.

Resim – 13

-Next dediğimizde ise aşşağıdaki ekran bizi karşılar. Bu ekranda Hostname – Domain Name– Domain Name servers – Network Connections ve Routing gibi temel yapılandırmaları düzenleyebiliriz. İlgili düzenleme için belirtilen sayıyı Your Choice kısmında girmemiz yeterlidir. Ben ilk olarak hostname yapıladırmasını seçtim ve ilgili ekran görüntülerini ekledim.

Resim – 14

Resim – 15

Resim – 16

-Bu işlemlerden sonra network ayarlarını yapmamız gerekmetedir. Bunun için 4 nolu Network Connections seçeneğini açtığımızda karşımıza aşşağıdaki ekran gelir. Bu ekranda yeni connection ekleyebilir, management seçimlerini düzenleyebiliriz.

Resim – 17

-Bu işlemlerden Next ile geçtilten sonra karşımıza lisans anlaşmaları gelir. Bunlarıda N ile geçtiğinizde kurulum tamamlaması için iligli ekran gelir. Burada seçim sizin yapınızla ve ürününüzle iligili. Ben 1 nolu seçeneği seçerek devam edeceğim ki management kısmıda karşımıza gelsin.

Resim – 18

-1 nolu seçeneği seçtiğinizde ise karşınıza install seçenekleri gelecektir. Burada yeni kurulum yapacaksanız New Installation seçeneğini seçmeniz gerekmete. Ben 1 diyerek devam ediyorum.

Resim – 19

-Daha sonraki ekranda ise yapımızda nelerin olacağını seçiyoruz. Ben VPN-1 Pro ve yönetim için Smart Center seçeneklerini seçerek devam ediyorum. Bir sonraki ekranda ise ilk kurulum olduğu için Primary Smart Center seçenei ile yola devam edebilirsiniz.

Resim – 20

Resim – 21

-Tüm bu işlmelerden sonra lisanslama ile ilgili ekran görüntüsü gelir. Burada istersek lisan bilgilerini girebilir istersen 15 günlük deneme sürümünü kullanabiliriz. Ben No diyerek bu aşamayı geçiyorum.

Resim – 22

-Lisans aşamasını No diyerek geçtikten sonra ise Administrator seçenekleri konfigürasyonu bizi bekliyor. Gerekli ayarlamaları yapmak için bir admin kullanıcısı tanımlamalıyız. Bu admin hesabı, Smart Dashboard (GUI) üzerinden gerekli kuralları yazmamızı, policyleri install etmemizi sağlayacaktır. Kısacası her türlü management bu user ile yapılabilir.

Resim – 23

-Son olarak sıra Gui’nin bağlanacağı IP adreslerini belirlemeye geldi. Bu sayade Smart Dashboard ile Check Point yönetimi gerçekleştirilebilecek ve kural ve tanımlarımızı yapabileceğiz. Ben belirli IP adreslerinden ziyede burada network tanımlamayı tercih ettim ki, ilgili networkten gelen talepler kabul edilsin. Bunu da 192.168.10.* şeklinde belirtebilirsiniz.

Resim – 24

-Yine diğer tüm local ayarlarını yapabileceğiniz ekran görüntüsü ise aşşağıdadır. Bu ekrandan istediğiniz tüm yönetimsel yarları network ve lisansınıza uygun olarak girebilirsiniz. Bütün ayarlarınız bittikten sonra REBOOT işlemi ile sistemi yeniden başlattığınızda Check Point hazır demektir.

Resim – 25

Günümüzün vazgeçilmez network ürünlerinden olan firewall için bu makalemizde Check Point’in temel anlamda kurulumunu gördük. İç bacak IP adresini, admin adımlarını yapılandırdık. GUI Client için yapılması gerekenleri irdeledik. Fakat henüz yolun başında olduğumuzu bilmemiz gerekli. Çünkü firewall bundan sonra yapacağımız kuralarla önem kazanmaktadır. Gördüğünüz gibi kurulum o kadar da zor değildir. Hatta VMware gibi sanal bir makinaya kurarak test edebilirsiniz. Temel anlamda kurulum firewall yapısının install kısmını ve yönetimsel bir kaç işlemi kapsar. İlerleyen bölümlerde Check Point firewall temel komutlarını, kural yazmayı, nat opsiyonlarını, VPN Client yapsını göreceğiz.

***Bir sonraki makalemiz ise Check Point’e bağlanıp tüm managementi kapsayan Smart Dashboar kurulumu olacaktır. Adım adım Smart Dashboard kurulumu anlatılacak ve ilk kurallarımızı yazmaya başlayacağız.

Exchange 2007 Kurulumu

Murat YUKSEK — Sat, 15 Mar 2008 21:03:00 GMT

Microsoft Exchange Server 2007 bir domaine bağlı kullanıcıların e-posta alıp göndermesine, görüşmeler zamanlayabilmesine faks ve sesli mesaj almasına olan sağlayan, güçlü spam ve virus korumları ile öne çıkan iletişim servisidir.

Yeni nesil Microsoft Yazılımların çoğunda olduğu gibi burada da sistemizde öncelikle .NET Framework 2.0'ın yüklü olması gerektiğini görüyoruz.

Bundan başka eğer Windows 2003 üstüne kurulum yapıyorsanız SP1 ve Windows Power Shell 1.0 yüklü olmalıdır.

Kurulum için gerekli donanım ve yazılım bileşenlerinin daha detaylı ayrıntısına

http://technet.microsoft.com/en-us/library/aa996719.aspx adresinden ulaşabilirsiniz

Setup ilk olarak kurulum için gerekli yazılım vebileşenlerin listesini sunuyor ve eksik olanları kurmamızı sağlamaya çalışıyor. Örneğimizde Step1, Step2 ve Step3 aktif değil, çünkü kurulum yaptığımız makinede bunlar daha önceden kurulmuş vaziyette.

Ayrıca Denetim Masası’ndaki Program Ekle/Kaldır’da bulunan Windows Bileşeni ekle kaldırdan ulaşacağımız aşağıdaki ekranda işaretlenmiş bileşenlerin yüklü olduğundan emin olun, yüklü değillerse bunları yükleyin

Kurulum yaptığım sunucuda tümü daha önceden eksiksiz kurulu olduğundan artık Step4'e basabilirim.

Giriş ekranı ile karşılaşıyoruz ve "Next" diyoruz.

Sözleşmeyi kabul ederek "Next" diyoruz.

Burada karşılaşılan hataları Microsoft'a bildirmek istiyorsanız "Yes" işaretleyerek "Next" diyorsunuz.

Bu ekranda da çoğu yazılımdaki gibi Tipik Kurulum (Typical Exchange Server Installation) seçebiliyor veya "Custom Exchange Server Installation" ile kurulmasını istediğimiz detayları kendimiz belirliyebiliyoruz. Biz ilkini yani "Typical.." seçiyoruz ve "Next" diyoruz. ( Ancak kurulum bittikten sonra kurulmamış olanları ek olarak istersek Setup'ı tekrar çalıştırarak daha sonra da kurabiliriz. )

Burada firma ismimizi yazarak ilerliyoruz.

Burada da eğer sistemimizde daha önceden kurulmuş Outlook 2003 ve öncesi yapılar varsa "Yes" diyoruz ve Setup bu yapıları bizim için Exchange Server 2007'ye uyumlu hale getiriyor (Public Folder Database'i oluşturuluyor). Bu uyumluluğu daha sonra da sağlayabilirsiniz ama hazır burada karşımıza çıkmışken biz "Yes" diyerek yolumuza devam ediyoruz.

Burada kurulum için gerekli ön şartlar kontrol ediliyor.

Kontrol işlemi bittiğinde bir hata aldım. Sistemimde daha önceden Domain Functional Level olarak Windows Server 2003 seviyesine yükseltmediğimden kuruluma izin verilmiyor. O halde bu yükseltmeyi gerçekleştirelim.

Bunun için "Active Directory Users and Computers" ı açıyoruz. { Burada bir not düşelim. Exchange Server 2007 kurabilmeniz için önceden sistemde Active Directory Kurulumu (Start>Run>dcpromo) yapılmış olmalıdır! Exchange Kurulumu var olan Active Directory domain yapınızı algılayacak ve gerekli tüm ayarları sizin için yapacaktır. }

Sonra domainimizin üzerinde sağ tıklayıp "Raise Domain Functional Level" e tıklıyoruz.

Şekilde görüldüğü gibi açılan listeden "Windows Server 2003" seçerek "Raise" butonuna basıyoruz ve kurulum için gerekli yükseltme işlemini gerçekleştirmiş oluyoruz.

Bu işlemin geri dönüşsüz olduğu uyarısı alıyoruz ve "Ok" diyerek işlemi tamamlıyoruz.

Yeniden kontrol ettirdiğimzde artık kurulum için eksik kalmadığından "Install" butonu çıkıyor. Buna basarak bekliyoruz.

Kurulum 20-30 dakika zaman alabilir.

Kurulumumuz tamamlandı. "Finish" diyoruz.

Şimdi bir test yapalım.

İnternet Explorer'dan

https://localhost/owa

adresine gitmeye çalşıyoruz.

Karşımıza gelen ekrandan admin kullanıcı ad ve şifremizi yazarak "Oturum Aç" diyoruz.

Dil ve Geçerli saat dilimini seçerek "Tamam" diyoruz.

Evet artık karşımdaki arayüzden e-posta alıp göndermeye başlayabilirim!

Firewall Nedir?

inetdetc — Wed, 12 Mar 2008 13:42:34 GMT

Firewall Temelleri

Bilgiye ulaşmanın gittikçe kolaylaştığı günümüz yapısında hiç şüphesiz Security en önemli yeri kaplamaktadır. Günümüz teknolojilerinde mekan bağımlılığı ortadan kalkmıştır. Bilgiye ve local lokasyonlarımıza ulaşmak bir kaç hareketle mümkün hale gelmiştir. Gelişimin başdöndürcü şekilde aktığı bu okyanusta hiç şüphesiz en büyük atılımı Firewall yapısı gerçekleştirmiştir. Şurasıda bir gerçek ki, gelecek teknolojiler ne kadar yeni olursa olsun Security onlardan her zaman bir adım önde olmak, varlığını her zaman gelişime paralel sürdürmek zorundadır. Son yıllarda Security gittikçe daha fazla değer kazanmaktadır. Artık büyük şirketler dışında orta ve küçük ölçekli şirketler bile firewall ürünlerine yatırım yapmaya başlamış ve network yapısında ciddi bir departman olarak görmeye yönelmişlerdir.

Nedir Firewall?

İngilizce anlamıdan ziyade hepimiz için firewall güvenlik duvarı ile özdeşleşir. İnternet son derece açık, büyük ve güvensiz bir yapıdır. Aynı zamanda gün geçtikçe büyümektedir. Her geçen gün daha kullanışlı, paralelinde güvensiz hale gelmektedir. Firewall bir yada daha fazla network yapısı arasına kurulan, bu ağlardaki geçişi denetleyen ve sürdüren sistemlerin bütününe verilen isimdir.

İlk anda hepimizin aklına local networklerimizi dış dünyaya kapatmak, dış dünya erişimlerini engellemek, kontrol altında tutmak olarak algılanabilir firewall. Fakat artık bilgi o kadar değerli bir duruma gelmiştir ki, büyük şirketler iç netwoklerine dahi firewall yapısı kurmakta, erişmleri sınırlamakta ve izin verilen erişimleri kontrol altında tutmak istemektedir. Yapılan araştırmalar göstermiştir ki en az dış tehlikeler kadar iç tehlikelere de dikkat etmeliyiz.

Çok sayıda network arasına yada internet ile lokal network yapımız arasına firewall kurularak izolasyon yapılabilir. Bir çok kişi firewall deyince zaten bunu anlamaktadır. Local network ile internet ortamını ayırmayı. Fakat firewall kullanımı internet , müşteri ağları , hizmet alınan 3rd şirketler, destek verdiğiniz şirketler olmasının yanında Local network lokasyonlarımızı da kapsamalıdır. Örneğin serverlarınız ve clientlerınız için ayrı ayrı birer subnetiniz olabilir. Bu sabnetlere bağlı DMZ yapılarınız olabilir. Tüm bunların denetimlerini local network akışını takip edecek bir firewall ile rahatlıkla kontrol altına alabilirsiniz ki kanımca oması gereknde budur.

Firewall Yapısı Örneği

Firewall sadece internet ile local network ayrımı için düşünülmemelidir. Local network yapısı içinde de mutlaka bir adet firewall bulundurulmalıdır. Çeşitli kurallarla erişemler denetlenmeli, loglanmalı ve bilginin güvenliğini korumayı hedef almalıdır. Çümkü bilgi artık o kadar önemli ve değerlidir ki yanlış kişilerin eline geçmesi her açıdan engellenmelidir..

Firewallın yönetilmesi bir kaç kural yazarak yada bir kaç portun erişmini sınırlayarak yapılmamalıdır. Herşeyden önce Highlevel yapılar planlanmalıdır. Firewall dizayn yapıları iyi hesaplanmalıdır. Trafik yoğunluğuna sebep vermemelidir. Ürün seçimi herşeyden önce kendi yapınıza uygun olmalıdır. Adı olan ürün değil yapıya uygun ürün seçilmeldir.

Günümüzde ürün çeşitliliği ve gelişimi o kadar artmıştır ki firewall yapısını software ve hardware olarak rahatlıkla iki kısma ayırabiliriz.

Firewall yapılarını ise şu üç başlıkta topalayabiliriz.

1 – Statik filitreleme

2 – Dinamik filitreleme

3 – Proxy yapısı

1 - Statik Filitreleme

Linux gibi bazı açık kaynak kodlu firewall sistemlerinde kullanılmaktadır. Paketleri sadece source ve destination port adreslerine göre inceler. Örneğin siz bir telnet isteğinde bulunduğunuzda firewall bunun 23 nolu port için bir istek olduğunu ve geldiği adresi bilerek hareket eder ve session için izin verir. En büyük eksikiliği oturumu açan yeri tespi edemiyor olmasıdır.

2 – Dinamik Filitreleme

CheckPoint tarafından üretilmiştir. CheckPoint ürünlerini temelini oluşturur. Stateful Inspection adı ile tescillemiştir. Bilinmesi gereken şudur ki TCP oturumlarının başı ve sonu vardır. Ayrıca giden paketlerin doğruluğu kontrol edilir. Dolayısı ile pakaetlerin doğru oturumdan gelip gelmediği kontrol edilerek hareket eder. Kaynak host bir istekte bulunduğunda Statik Filitrelemedeki gibi geri dönüş yolu ve portu firewall üzerinden geçmez. Bir nevi oturumun nerden hangi hosttan açıldığı bilinir ve iletişime izin verilir.ICMP ve UDP paketlerini de kapsar. En belirgin zayıflığı ise Proxy yappılardaki gibi paketlerin içeriğini kontrol etmez. Oturum bazlı haeket eder.

3 – Proxy Firewall

Paketlerin içeriğine ve IP adreslerine müdahale edebilme en büyük özellğidir. Tüm oturum istekleri Firewall ile istemci arasında gerçekleşir. Yani bir oturum açıldığında bu paket önce firewalla gelir. Bu paketi firewall hedefe gönderir. Yanıt ise tekrar firewall tarafından istemciye gönderilir. Oturum açıldıktan sonra da bu işlem aynı şekilde devam eder. Her yapı gibi proxy yapınında eksileri vardır. En belirgin zayıflıkları ise ciddi bir yavaşlık sorunu yaratır. Çok büyük ve yoğunluğun olduğu ağlarda sorunlar çıkarabilir.

Bu makalede kısaca firewallın ne olduğu ve yapıları hakkında bilgiler vermeye çalıştım. Unutulmaması gereken firewallın artık vazgeçilmez bir network ürünü olduğudur. Firewall bir yada daha fazla network yapısı arasına kurulan, bu ağlardaki geçişi denetleyen ve sürdüren sistemlerin bütününe verilen isimdir. Doğru yapılandırma ile highlevel yapılar elde edilebilir.

Not:Bu makalenin hazırlanmasında bizleri yetiştiren yol gösteren Fatih Özavcı’ya teşekkürler.

Active Directory GPO ile masaüstünde kısayol oluşuturulması

Azim Y. Özdemir — Wed, 12 Mar 2008 13:14:00 GMT

Azim Y. Özdemir

Önşartlar: En asgari w2000 veya XP client kullanıcıları.

Şirkette çoğu zaman eski tarzda çalışan server proğramları vardır, yani linklerini UNC-kısayolu ile serverde çalışan bir proğrama yönlendirirsiniz ve kullanacak kişilerin masasstüne bırakırsınız. Ve sadece intranetinizdeki önemli bir bilgiye yönlendiren bir link oluşturmak isteyebilirsiniz. Masadan masaya koşup herkesin masaüstünde link oluşturmaktansa, bunu kolayca GPO ile yapabilirsiniz.

Öncelikle bunu lokal bilgisayarınızda denemenizi tavsiye ediyorum. Bunun için bilgisayarınızda öncelikle herhangi bir yerde farenin sağ tuşuna tıklayıp, yeni bir text-dosyası oluşturun ve ismini ‘link.bat’ olarak değiştirin. Dosya isminin uzantısını değiştirince kıyamet kopacak diyor, aldırmayın ve ‘evet’ diyin. Simgenin değiştiğini göreceksiniz.

Sonra yeni oluşturduğumuz dosyanın üzerinde yine sağ tıklayıp ‘edit’, yani ‘değiştir’ diyorsunuz. Karşınıza Windows editörü boş bir dosya olarak çıkacaktır. Şimdi birazcık kod yazacağız. Çekinmenize gerek yok, çok kolaydır:

@echo off & setlocal

set "gecicibellek=c:\temp"

if not exist "%gecicibellek%" md "%gecicibellek%"

set "kayityeri=%ALLUSERSPROFILE%\Desktop"

Şimdi ilk önce kayıt yerlerimizi belirledik: ‘gecicibellek’ diye bir yer tanımladık. Burada %temp% de kullanılabilir, fakat skriptimizin çalıştığını görmek böyle daha kolay oluyor. Sonra c:\ altında temp diye bir klasör yoksa, onu oluştur dedik. En sonunda ise kısayolumuzu kayıt edeceğimiz yeri belirledik. Burada tabiiki ‘%userprofile%\Desktop’ da kullanabilirsiniz, fakat kullanıcılarınız isimlerinde türkçe harf kullanıyorlarsa sorun çıkabilir.

Evet skriptimize devam edelim:

:: kısayolumuzun ismi ‘programimiz’ ismini değiştirebilirsiniz

set "kisayolismi=programimiz"

::programınızın kayıtlı olduğu yer

set "programyeri=\\serverimiz\programimiz$"

::kısayolumuzun çağıracağı nesne

set "programexe=programimiz.exe"

::Kısayolu inceleyince karşınıza çıkaca kısa bir tanım

set "notlar=Sirketimizin sahane programi"

Burada dikkat etmeniz gereken, sadece ‘=’ işaretinin sağındaki bilgileri değiştirin ve türkçe harf kullanmamaya gayret edin.

İpucu: Kayıtlı olduğu yer kısmında UNC tanımının arkasında ‘$’ işareti koyarsanız, bu klasörü ağınızda kimse göremez. Yalnız bunu paylaşırken bu isim altında tanımlamış olmanız gerekir.

Şimdi gelelim önemli kısıma. (Biraz VB kullanacağız):

echo Set objShell=WScript.CreateObject("Wscript.Shell")>%gecicibellek%\kisayol.vbs

echo Set bjShortcut=objShell.CreateShortcut("%kayityeri%\%kisayolismi%.lnk")>>
%gecicibellek%\kisayol.vbs

echo objShortcut.TargetPath="%programyeri%\%programexe%">>%gecicibellek%\kisayol.vbs

echo objShortcut.Description="%notlar%">>%gecicibellek%\kisayol.vbs

echo objShortcut.WorkingDirectory="%programyeri%">>%gecicibellek%\kisayol.vbs

echo objShortcut.Save>>%gecicibellek%\kisayol.vbs

Burada birşey değiştirmeyin lütfen. Bu kısımda aslında yaptığımız, yukarıda geçici bellek olarak tanımladığımız yerde ‘kısayol.vbs’ adında bir VB-skripti oluşturmak oldu.

Ve sonunda skriptimizi çalıştırıp, arkasından silelim:

cscript %gecicibellek%\kisayol.vbs

del %gecicibellek%\kisayol.vbs

İşte bu kadar! Skriptimizi kaydedip windows editörünü kapatabiliriz artık. Yaptığımız bu skripti ilk önce kendi masaüstünüzde denemenizde fayda vardır (Dikkat: %alluserprofiles% için administratörlük haklarınız olması gerekir).

Eğer skriptimiz çalışıyorsa, artık şirkete dağıtmanın zamanı geldi. Bunun için artık serverimize geçelim (mstsc, remotedesktop). İlk önce yukarıdaki skripti serverimizde active directorymizin olşuturduğu ‘SYSVOL’ isimli klasörde bulunan ‘scripts’ klasörüne kopyalamamız gerekmektedir (Bende ‘c:\activedirectory\sysvol’, standart olarak: ‘c:\windows\sysvol’):

Sonra Active Directory’i yönetim programını açıyorsunuz (Windows+’R’ tuş kombinasyonu ve ‘dsa.msc’). Eğer daha önce GPO ile çalıştıysanız bundan sonrası kolay. Çalışmadıysanız, belki şirketinizi daha organize etmeniz gerekir. Size bir örnek göstereyim:

Bu örnekte şirketiniz ‘organisational units’ yani ‘kurumsal üniteler’ içerisinde organize edilmiş. Yani şirketteki tüm bilgisayarlar ve kullanıcılar buraya toplanmış. Acemi gençlerimiz bu çoğu zaman ihmal etse de büyük şirketler için vazgeçilmezdir. Şimdi örnek olarak gösterdiğimiz ‘şirketimiz’ üzerine sağ tıklıyorsunuz ve ‘özellikler’ (properties)’e giriyorsunuz. En sağda ‘Group Policy’e giriyorsunuz. Eğer daha önce tanımladığınız bir nesne yoksa burada, yeni bir GPO oluşturuyorsunuz:

‘Edit’ veya ‘Uyarla’ kısmına girmemiz gerekiyor şimdi. Orada ‘Computer Confıguration’a giriyoruz, çünkü her bilgisayarda gene masastüne bir tane kısayol oluşturacağız. (Kullanıcı başına yapmak isterseniz tabiiiki ‘User Configuration’a girmeniz gerekir).

‘Windows settings’de startup nesnesine çift tıklıyorsunuz. Burada tüm açılış skripteri listelenmiştir, yani bilgisayarlar açılınca çalıştırılacak skriptlerimiz. Tabiiki yeni girdiyseniz liste boştur. Devam etmek için ‘Add...’ veya ‘Ekle’ diyorsunuz.

Burada artık ‘Browse...’a tılayıp biraz önce kaydettiğimiz dosyayı seçiyorsunuz. ‘Parametreler’, boş bırakabilirsiniz, çünküü bizim skriptimiz parametre kullanmıyor. Eğer sabit tanımlamasaydık burada parametre verebilirdik (Örneğin ‘kısayolismi=bizimkısayol’).

Artık kaydedip çıktığımız zaman, şirketteki bilgisayarlar kapatılıp açıldığında masaüstünde inşallah sizin oluşturduğunuz kısayolu bulacaklardır.

link.bat dosyasının tam olarak yazılmış ve indirilebilir haline ulşamka için tıklayın!

**************************************************************

Bu eser Creative Commons-Lizenz lisansı ile tescil altındadır.

SQL Server 2005 Kurulum

Murat YUKSEK — Sat, 01 Mar 2008 00:30:00 GMT

MS SQL SERVER , büyük ölçekde verilerin yüksek performansla ve enterprise olanakları barındıracak biçimde istiflenmesi, sorgulanması ve diğer bir dizi işleme tabi tutulabilmesi için geliştirilmiş bir veritabanı sunucusudur. Bu kulvarda diğer veritabanı sunucusu örnekleri olarak Oracle, PostgreSQL, MySql... v.b. sayılabilir.

Kurulum için ilk CD mizi sürücümüze yerleştiriyoruz ve aşağıdaki ekranla karşılaşıyoruz.

Bu ekranda "Review hardware and software requirements" e tıkladığınızda sisteminizde IIS, IE6 veya üstü bir browser ve Windows Installer 3.1 yüklü olması gerektiğini göreceksiniz. Eğer bunlarda eksiklik varsa öncelikle ilgili kurulumları yapmanız gerekmektedir.

Eksik yoksa, Install altından “Server component , tools, Books Online, and samples“ yazan linke tıklıyoruz.

sözleşmeyi kabul ediyoruz ve "Next" diyoruz.

Ardından bize sırasıyla yapılacak ön kurulumların listesi getiriliyor. Eğer sistemimizde daha önce .NET Framework 2.0 yüklenmemişse listeye bu kurulumda dahil edilyor. "Install" dememiz yeterli.

"Next" diyerek devam ediyoruz.

Setup ön hazırlıkları tamamladı ve artık veritabanı sunucumuzu kurabilir. "Next" diyerek sonraki aşamaya geçiyoruz.

Setup burada kurulum için gerekli tüm gereksinimlerin bilgisayarınızda bulunup bulunmadığını kontrol ediyor. Eksiklik uyarısı verirse kuruluma bu eksiklikleri gidererek devam etmeniz gerekir.

"Next" diyerek ilerliyoruz.

Adımızı, firmamızı ve CD üstündeki ürün numaramızı girerek "Next" diyoruz.

Burada yüklenmesini isetdiğimiz servisleri seçiyoruz. Biz asıl olarak Veritabanı Sunucusu'nu kurmak istediğimizden "SQL Server Database Services"'i işaretliyoruz. Diğer servisleri de yüklemek istiyorsak örneğimizdeki gibi hepsini de işaretliyebiliriz. Ardından "Next" diyoruz.

Burada "Named Instance" seçip Veritabanı Sunucunuza bir isim atıyoruz. "Next" diyoruz.

Bu kısımda ise daha önceki aşamalarda kurulmasını istediğimiz servislerin windows altında hangi hesaplar dahilinde çalışacağını ayrı ayrı belirtebiliyoruz. Biz bu kurulumda "Use the built-in System account" dan "Local System" seçiyoruz.

Ayrıca, bu ekranın alt kısmında "Start services at the end of setup" altında kurulum tamamlanır tamamlanmaz çalıştırılmaya başlanacak servisleri işaretliyoruz. Bizim için asıl olan "SQL Server" servisinin mutlaka çalışır olması. Tabiki kurumunuzun ihityaçlarına göre hangi servislerin hemen çalışıp çalışmayacağına siz karar vermelisiniz. Daha sonraki makalelerimizde her servisin ne işe yaradığını daha ayrıntılı izleyebileceksiniz.

İlgili seçimlerin ardından "Next" diyerek ilerliyoruz.

Veritabanı Sunucumuzun bu kurulumda kullanacağı kimlik doğrualaması olarak "Windows Authentication Mode" seçerek ilerliyoruz.

SQL Serverda kullanılacak dil setini seçerek ilerliyoruz.

Raporlama servisi ayarlarımızı standartta bırakarak ileriyoruz.

İlk kutucuğu işaretlersek, hata aldığımızda bunu Microsoft'a gönderir. İkinci kutuk ise deneyimlerimizi ve konfigürasyon bilgimizi Microsoft'a gönderir. Ben işaretsiz bırkarak ilerliyorum.

Tüm ön hazırlıklar tamam artık kuruluma başlayabiliriz. "Install" diyoruz.

Kurulum başladı ve 10-15 dakika sürebilir. Bu sürede beklemeniz gerekiyor.

Tüm seçimlerimize göre kurulum hatasız tamamlandı. İlerliyoruz.

Kurulum tamamlandı "Finish" diyoruz. kurulum sırasında hemen çalışmasını seçtiğimiz servisler çalışmaya başladılar. SQL Server'ınızı kullanmaya başlayabilirsiniz.

Sharing Design

Kenan DUZDAS — Sun, 07 Oct 2007 18:28:27 GMT

Merhaba bu Yazımızda Paylaşımla ilgili hassas konulara ve paylaşım esnasında birde dizayn ile ilgili örnekler vermeye çalışacağım...

Diyelim ki; Şirket profiliniz çok geniş (muhasebe, finans, operasyon, satış) gibi bölümleriniz var.

Burada mantıklı bir strateji geliştirirseniz kullanım rahatlığını elde edersiniz... Benim size burada göstermek istediğim örneğin bir dosyayı tıklayacağımızda ve burada şirketinize ait bölümlerle ilgili olan folder’ları göreceksiniz permissions hakkınız varsa buraya ulaşacaksınız.

Ben test amaçlı file server’ımda shared diye folder açıp Sharing edeceğim bunun için;

Shared folder üzerine sağ click yapı Sharing and security tıklayalım sonra=>share this folder tıklayıp

Permissions acın everyone grubuna full hak verelim bu verdiğimiz hak Ntfs izni idi...

bunu da yaptıktan sonra bu folder içine muhasebe ve satış folder larını yerleştirelim. Bu kısımdaki işimiz bu kadar dı!

Şimdi Domain Cont.olan sistemimde gurup yaratalım;

Muhasebe ve Satış adı altında iki grup ve grupların içine kullanıcıları yerleştirelim;

Grupları açtıktan sonra Şimdi bu grupların içine kullanıcılarımızı members edelim.Bu grupları nasıl oluştururuz v.s gibilerinden adım adım anlatmıyorum bunları bildiğinizi düşünerek yüzeysel geçiyorum..

Şimdi grup’larımızı da yarattıktan sonra asıl işimize gecelim..

File server üzerinde paylaşıma vermek istediğim folder ‘im(shared) idi benim (d ) partition üzerinde

Buradaki security’i düzenleyeceğim;

Bu sürücünün üzerindeki Everyone ve users gruplarını kaldıralım bunu yaptıktan sonra en önemli ve hassas noktaya dikkat edelim buraya Authenticated Users grubunu ekleyip sadece read hakkını verip

Apply ok!sonra advanced tıklayalım permissions tabın’da görüldüğü üzere Authenticated users tıklayalım special permissions ekranın açılacak! Dikkat burada gördüğünüz ekranda read permissions kaldıralım aşağıdaki resimden anlaşılacağı gibi üç seçeneğimiz kaldı bunlara dokunmayalım

Bunu da yaptıktan sonra ok yapıp ,çıkalım!Buraya kadar neler oldu? Tepeden uyguladığımız security gruplar folder içindeki tüm file ve folder miras bırakacak(inherit).Dikkat ederseniz hala hangi grupların buraya ulaşıp ulaşmayacağını belirlemedik.. Şimdi shared altındaki (Muhasebe ve Satış )Klasörüne bu security gruplarından Authenticated users grubunun inmesini(inherit)keselim! Bu çok önemli.

Shared folder içine girip muhasebe dosyanın üzerine gelip sağ click properties tıklayalım,security tıkladığımızda grupları görüyoruz

Buradan advanced tabını tıklayalım permission ekranı acılıyor karsımıza

Muhasebe folder Authenticated user grubundan aldığı mirası reddedelim J

Alttan ikinci seçeneği (inherit from parent the permission entires that apply to child objects) devam eden satırdaki butonu tıklayalım alttaki ekran karsımıza çıkacak

Cancel dersek işlemi iptal ederiz.Remove derseniz tepeden gelen izinleri silersiniz Bunu yapmayacağız Copy dersek ki diyelim lütfen J burada şunu yapıyorsunuz;Ya ben muhasebe folder ile ilgili degişiklik yapacağım ama tepeden gelen izinleri sen bozma

ben buradan silmek istediğim security gurubu sileyim.Benim altımdaki folder veya file uygula!Sanırım anlaşıldı copy tıklayalım

Şimdi değişiklik yapabiliriz Authenticated user a tıklayın Remove edelim görüldüğü üzere üç gurup kaldı (Local administrator grubu-Creator owner-system) ok yapıp onaylayalım!

Sıra geldi muhasebe gurubunu eklemeye

Muhasebe grubunu da ekledim

Dipnot: Arkadaşlar gruplara hiç bir zaman Full Kontrol hakkı vermeyin bunu yaparsanız bu gruba üye olan kullanıcıların folder üzerinde security hakları ile oynama hakkını vermiş olusunuz bu çok tehlikeli...

Grubuda ekledikten sonra haklarımızıda verdik bu işlemin aynısını Satış folder için de yapın!

Neler olmuş bakalım;

Ben file server ulaştığımda shared görüyorum domain de Authenticated olduğum için shared

İçine girebiliyorum istediğimiz Shared Design buydu düzenli bir dizayn seklimiz oldu...Ben muhasebe grubuna dahil değilim aldığım hata mesajı tahmin edelecegi üzere

Erişim engellendi!

Satış gurubuna dahilim buraya girebiliyorum

Dip Not; Authenticated users grubunu inherit (miras) etseydik eğer; yaptıklarımızın hiç bir önemi kalmayacaktı sanırım önemini kavradık.. Aslına bakarsanız Authenticated user grubu shared folder için acık kapı yaptı buradan herken girebilir ama hakkınız varsa nimetlerden yararlanırsınız

Enhanced Interior Gateway Routing Protocol

Tue, 25 Sep 2007 15:47:27 GMT

Enhanced Interior Gateway Routing Protocol

Hepimiz küçük veya büyük ağlarımızda, yönlendirme cihazları kullandığımız yerlerde, yönlendirici cihazlara doğrudan bağlı olmayan networklere erişim için yönlendirme protokolleri kullanırız. Yönlendirici cihazlara router adı verilir.

1982 yılında Dynamic routing protokol grubundan olan Ripv1 ‘ in geliştirilmesi routerların capability’ lerinde çok önemli gelişmelerin olacağına bir işaretti.

Yönlendirme protokolleri statik ve dinamik routing protokolleri olarak 2 kısımda incelenir. Statik routing protokolünde networklerin bilgileri sistem yönetici tarafından oluşturulur ve manuel olarak yönetici el ile bunu değiştirmiyorsa bilgiler değişmeden kalacaktır.

Static routing protokolleri yönlendirici sayısının çok fazla olmadığ, topolojideki değişikliklerin çok sık yaşanmadığı ağlarda tercih edilmelidir. Static routing protokollerinde ağ üzerinde meydana gelecek değişiklikleri algılayacak bir algoritma çalışmamaktadır.

Eğer tüm bunları manuel olarak sistem yöneticisine değilde routera otomatik olarak yaptırmak istiyorsanız, topolojinizde meydana gelecek değişiklikleri sezinleyip bunun doğrultusunda yedek bir bağlantıya otomatik olarak geçiş yaptırmak istiyorsanız artık EIGRP’ ninde içinde bulunduğu dinamik routing protokollerin özelliklerinden bahsedebiliriz.

Üzerinde dinamik routing çalıştırdığımız routerlar, routing bilgilerini üzerlerinde bir tabloda bulundururlar ve topolojide bir değişiklik meydana geldiğinde tablo üzerinde gerekli değişiklikleri birbirleriyle haberleşerek yaparlar. Tablolarında bulunan bilgileri birbirlerine gönderir. Çalışan dynamic routing protokolun yeteneğine göre ve calısma yapısına göre paylaşılan bilgiler değişiklik gösterir. Sık değişen topolojimiz, iki nokta arasında birden fazla yol ve büyük sayılabilecek bir networkumuz varsa dynamic routing protokolllerini tercih etmeliyiz.

Static routing ile iki nokta arasında birden fazla yol var ise bunları çalıştıramayız şeklinde anlaşılmasın, hatları track yaptırıp bir hat down olduğunda diğerinin up olmasını vereceğimiz metric değeri vasıtasıyla sağlayabiliriz. Ancak EIGRP başlığı altında bu işlemi anlatmayacağım.

Dünya genelinde kullanılan yönlendirici cihazların %70 ‘ inden fazlasının cisco cihazlar olduğunu biliyoruz. Ayrıca Cisco kendi geliştirdiği, sadece kendi cihazlarına özel IGRP ve EIGRP protokollerinede sahiptir.

Bu protokoller dinamik routing için cisco tarafından geliştirilmiş olup farklı üreticilerin cihazlarıyla çalışmayacaktır. CCNA sınavların dada bu bilgi soru olarak çok sık karşımıza çıkacaktır.

İlk olarak Cisco tarafından IGRP geliştirildi. EIGRP ye temel ve ön bir hazırlık olabileceğini düşündüğüm için IGRP protokolunden ana hatlarıyla bahsetmek isterim.

IGRP ( Interior Gateway Routing Protocol ) protokolu Rıpv1 protokulunun yerini almak ve eksiklerini gidermek için geliştirilmiştir. IGRP’de Rip’teki 16 hop sayısı sınırının 255 e çıkarıldığını söyleyebiliriz.Ripv1 ve Rip v2 deki 120 olan administrative distance değeri burada 100’dür.Yani router üzerinde Rip veya IGRP çalıştırsak en iyi yol seçiminde IGRP protokolünün seçimine göre hareket edilecektir. Periyodik olarak 90 saniyede bir komşularına hello paketi gönderir.Ayrıca bu süre içinde topolojide bir değişiklik olursa yine bu değişikliği komşu router’larına bildirecektir.Yani gerektiğin dede update paketi yollayabilir.

Rip protokolünde load balance ( Yük paylaşımı ) için eşit metrikli yollar gerekirken, burada böyle bir problem ile karşılaşmıyoruz. Rip protokolünde metric hesabında hop sayısı, yani paketin ulaştığı router sayısı baz alınıyordu, IGRP de ise metric hesabı için 5 parametre kullanılmaktadır, Bunlar;

1-K1 : Band Genişliği

2-K2 : Gecikme

3-K3 : Güvenilirlik

4-K4 : Yük

5-K4 : MTU ( Maximum Transmission Unit )

Burada Metric hesabındaki en önemli etken K1: Band Genişliği değeridir. Aşağıdaki tabloda routerımızın serial interface’i üzerinde #show interfaces komutu cıktısında K1-K5 arasındaki değerleri görebilirsiniz. Igrp default olarak ( bunu değiştirebiliriz ) 90 sn de bir komşu routerlarına routing table’ını update eder, ve haberleşmesini 255.255.255.255 broadcast adresi üzerinden gerçekleştirir.

Igrp çalışan routerlar 3x90=270 sn içinde update göndermeyen networkleri invalid sayar, ancak bu süre içerisinde buradan daha büyük metricle gelecek update paketlerini kabul etmez. 280 sn sonra ise kabul eder ve bu süreye Hold Down Timers adı verilir. 280 sn süresi içerisinde update almadığı networkleri routing table’ından silmez, bu sürede 630 sn dir ve Flush Timers olarak adlandırılmaktadır.

Router’lar Metric hesabı yaparken seri interface’ lerindeki Band genişliğini değerini anlayamazlar, bizim verdiğimiz değeri kullanırlar. Biz herhangi bir şey belirtmemişsek default olan 1.5 Mbit değerini kullanır.

Router’a global konfigurasyon modundayken band genişliğini belirtecegemiz interface’in altında “bandwidth bandgenisligi” komutuyla değer atayabiliriz.

Igrp de Rip gibi classfull bir protokoldür. Konfigürasyonsal olarak’ da Rip’e büyük ölçüde benzer. Buradaki fark aynı otonom sistemde çalıştığımızı belirtmek için kullandığımız Otonom Sistem numarasıdır. Haberleşecek bütün routerlarda aynı olmalıdır.

Bu kadar ön bilgiden sonra Cisco’nun son olarak geliştirdiği, Rip’in geliştirilmiş versiyonu Ripv2 ye birçok yönden benzeyen ve makalemizin konusu olan Eigrp protokolune başlayabiliriz.

EIGRP (Enhanced Interrior Gateway Router Protocol )

Igrp’nin birçok yerde yetersiz kalması sonucu, Cisco Eigrp protokolünü geliştirmiştir. Igrp protokolüne birçok yönden benzemesinin dışında Distance Vektor ve Link State özelliğini taşımasından dolayı birçok yerde Hybrid olarakda anılmaktadır.

Eigrp Cisco ya özel bir protokoldür ve diğer üreticilerin cihazlarıyla birlikte kullanamazsınız.

Eigrp maximum 224 router’a kadar destek verebilir. Eigrp’de diğer tüm routing protokolleri gibi Routing table’ını update etme mantığıyla çalışır. Rip ve Igrp belirli periyotlarla tüm netowrk bilgilerini komşularına yolluyordu. Eigrp’de ise bütün network bilgilerini yollamıyor ve band genişliğini verimli şekilde kullanabiliyoruz. Bunun yerine boyutları çok daha küçük hello paketlerini komşu routerlarına gönderiyor ve up olup olmadıklarını öğrenebiliyor. Bunuda komşu routerlardan hello karşılığında gönderilen Acknowledgement paketleri sayesinde yapıyor.

Bu işlemleri RTP ( Reliable Transport Protocol ) protokolunu kullanarak yapıyor. Bu protokol’de Cisco tarafından geliştirilmiştir. Network’e yeni bir router eklendiğinde, router Query paketleri gönderir ve karşılığında aldığı Reply paketleriyle topolojisini oluşturur.

Eigrp çalışma mantığı içerisinde 5 çeşit paket vardır.

1. Hello

2. Acknowledgement

3. Update

4. Query

5. Reply

Igrp de update’ler 255.255.255.255 Broadcast adresi üzerinden gönderiliyordu, Eigrp ise hello paketleriyle gerçekleştirdiği haberleşmesini Broadcast olarak değil, Multicast gerçekleştiriyor. Kullandığı adres ; “ 224.0.0.10 “ .

Hello paketleri’nin Multicast çalıştığını söyledik, birde Acknowledgement paketlerimiz vardı, bunlar data içermeyen sadece güvenli iletişimin sağlanması için kullanılan paketlerdir ve Unicast çalışırlar.

Broadcast, Multicast ve Unicast kavramlarına açıklık getirirsek makalemizin ilerleyen kısımların dada faydalı olabilir.

Bunları bir örnekle açıklamaya çalışacağım;

Kalabalık bir ortama giriyorsunuz ve herkesin duyabileceği bir ses tonuyla ilgili, ilgisiz herkesin duyabileceği şekilde bir konudan bahsediyorsunuz, yani herkese yayın yapıyorsunuz bu durum; Broadcast’i açıklamaya yetecektir. Broadcast’in Türkçe karşılığı da yayın kelimesidir.

Yine topluluk dayız ve yine yüksek sesle aynı konudan bahsediyorsunuz fakat bu defa sadece ilgilenen kişileri çevremize toplamış konuşmalarımızı onlara yapıyoruz, konuyla ilgisi olmayanları rahatsız etmiyoruz, evet Multicast haberleşiyoruz.

Sesimizi giderek alçaltıyoruz ve artık sadece tek bir kişiyle özel olarak konuşuyoruz ve diğer kişiler bundan etkilenmiyor, baş başa Unicast bir haberleşme gerçekleştiriyoruz.

Broadcast çalışma şekli her zaman bir güvenlik açığı olduğu unutulmamalıdır. Birçok atak çeşidinin çalışması esnasında cihazların Broadcast çalışmalarından doğan güvenlik açıkları kullanılır. Örnek: Man in the Middle atakları

İsmi geçen Update paketleri; Bir router yeni bir network bulduğunda yada table’ındaki network bilgisi silindiğinde, metric hesabında bir değişiklik olduğunda veya Successor değiştiğinde gönderilen paketlerdir ve daha öncede belirttiğim gibi “ 224.0.0.10 “ Multicast adresini kullanır.

Metric hesaplarken IGRP ile aynı parametreleri kullanır. IGRP’nin üzerine eklenen özelliklerden biri authentication yeteneğidir. EIGRP diğer routerlarla haberleşmesinde ortak belirlenen bir şifre ile kimlik doğrulaması yapabilir. MD5 authentication desteği bulunmaktadır.

Eigrp Metric Hesaplanması;

Eigrp metric hesabı yaparken İgrp’de olduğu gibi K1 –K5 arası değerleri kullanır, ancak K2-K4-K5 default olarak 0 olduğu için hesaplamada etkisi olmaz. Buradaki K değerleri Igrp ‘de bahsettiğimiz değerlerin aynısıdır. Bir kez daha hatırlatacak olursak;

K1 : Band Genişliği ( Bandwidth )

K2 : Gecikme ( Delay )

K3 : Güvenilirlik ( Reliability )

K4: Yük ( Load )

K5 : MTU ( Maximum Transmisson Unit )

Şekil 1

Igrp ‘ de metric hesaplamasını Eigrp nin aynı şekilde ve aşağıdaki formul ile yapar

Metric = [ K1 * Bandwidth + ( K2 * Bandwidth ) / (256 –Load )+ (K3*Delay)]*[K5/ (Reliability + K4 ) ] .

Şekil 2

Eigrp çalışan routerlar bütün komşularını Neighboor routerında ve hedef networke giden bütün yollarıda Topoloji table’larında tutarlar. Bu bilgilere göre en iyi ol ( best path selection ) seçimini yaparlar.

Dilerseniz şimdi serial interfacelerinden bağlanmış 3 router’ı eigrp konfigürasyonunda görelim. Çalışma Dynamips ile yapılmış ve konfigürasyonlarda buradan alınmıştır.

Şekil 3

Resimde serial interfacelerinden bağlanmış 3 adet routerımız üzerinde loopback interfacelerde tanımlanmış durumda. 3 routerda Eigrp çalışmasına uygun olarak aynı AS ; ki burada 99 içinde yer almaktadırlar. Açıklamalarda routerların running config, neighboor table, topology table ve hedef networkler için routing table larını inceleyeceğiz.

Konfigürasyonların altlarında router’da neler yapıldığıyla ilgili olarak açıklamalar bulacaksanız.

Konfigürasyonlarda auto-summarization özelliği kapatılmıştır. “ no auto-summary “ komutu kullanılmıştır. Böylece network bilgileri update edilirken özetlenmesi engellenmiş olur.

Sizde bu çalışmayı 3 router üzerinde incelerseniz eigrp’nin çalışma yapısını pekiştirmiş olacaksınız, bunun için edinmeniz gereken dynagen programı ve üzerinde çalışacak ios temin etmeniz. Ben konfigurasyonu 7206 router ios uyla yaptım ancak eigrp için ios olarak ne çalıştırdığınız önemli değildir.

Şekil 4

Şekil 5

Sh run çıktısını incelediğimizde R1 routerına ait fa 0/0 , serial 1/0 ve serial 1/1 interface inin bilgileri interfacelerin altında belirtildiği gibi aynı zamanda “ router eigrp 99 “ komutunun altında da yazılmıştır. Buradaki 99 komutu 99 numaralı AS ( Otonom Sistem ) ‘ de çalıştığımızı belirtmektedir.
No Auto-summary özelliğinin bu konfigürasyonumuz için enable olduğunu daha öncede belirtmiştik, bura dada görüyoruz.
R1 router’ının neighbors yani komşuluk table’ına baktığımızda kendisine seri interfalerinden bağlı routerları görebiliyoruz.

Şekil 6

Burada da topoloji ve Routing table larını görüyoruz. Topoloji table’ ı için routerda “sh ip eigrp topology “ komutunu kullandık ve hedef networke olan bütün yol bilgilerini görebiliyoruz.
Routing table’ı için “sh ip route “ komutunu kullandık ve hedef networkler için en iyi yolları görüntülemiş olduk.
Routing table’da “ C “ ile belirtilen karakterlerin directly connected; yani router’a direk bağlı olduğunu ve “ D “ ile belirtilen karakterlerinde “ Eigrp “ networku olduğunuda unutmamalıyız. Codes kısmında bu karakterlerin router’da neye karşılık geldiği belirtilmiştir.

Şekil 7

Şekil 8

Sh run çıktısını incelediğimizde R2 routerına ait fa 0/0 ve serial 1/1 interface inin bilgileri interfacelerin altında belirtildiği gibi aynı zamanda “ router eigrp 99 “ komutunun altında da yazılmıştır. Buradaki 99 komutu 99 numaralı AS ( Otonom Sistem ) ‘ de çalıştığımızı belirtmektedir.
No Auto-summary özelliğinin bu konfigürasyonumuz için enable olduğunu daha öncede belirtmiştik, buradada görüyoruz.
R2 router’ının neighbors yani komşuluk table’ına baktığımızda kendisine seri interfalerinden bağlı routerları görebiliyoruz.

Şekil 9

Burada da topoloji ve Routing table larını görüyoruz. Topoloji table’ ı için routerda “sh ip eigrp topology “ komutunu kullandık ve hedef networke olan bütün yol bilgilerini görebiliyoruz.
Routing table’ı için “sh ip route “ komutunu kullandık ve hedef networkler için en iyi yolları görüntülemiş olduk.
Routing table’da “ C “ ile belirtilen karakterlerin directly connected; yani router’a direk bağlı olduğunu ve “ D “ ile belirtilen karakterlerinde “ Eigrp “ networku olduğunuda unutmamalıyız. Codes kısmında bu karakterlerin router’da neye karşılık geldiği belirtilmiştir.

Şekil 10

Şekil 11

Sh run çıktısını incelediğimizde R1 routerına ait fa 0/0 , serial 1/0 ve serial 1/1 interface inin bilgileri interfacelerin altında belirtildiği gibi aynı zamanda “ router eigrp 99 “ komutunun altında da yazılmıştır.Buradaki 99 komutu 99 numaralı AS ( Otonom Sistem ) ‘ de çalıştığımızı belirtmektedir.
No Auto-summary özelliğinin bu konfigürasyonumuz için enable olduğunu daha öncede belirtmiştik, buradada görüyoruz.
R1 router’ının neighbors yani komşuluk table’ına baktığımızda kendisine seri interfalerinden bağlı routerları görebiliyoruz.

Şekil 12

Burada da topoloji ve Routing table larını görüyoruz. Topoloji table’ ı için routerda “sh ip eigrp topology “ komutunu kullandık ve hedef networke olan bütün yol bilgilerini görebiliyoruz.
Routing table’ı için “sh ip route “ komutunu kullandık ve hedef networkler için en iyi yolları görüntülemiş olduk.
Routing table’da “ C “ ile belirtilen karakterlerin directly connected; yani router’a direk bağlı olduğunu ve “ D “ ile belirtilen karakterlerinde “ Eigrp “ networku olduğunuda unutmamalıyız. Codes kısmında bu karakterlerin router’da neye karşılık geldiği belirtilmiştir.

Gördüğümüz gibi Konfigurasyonda zor hiç bir taraf yok, Eigrp tüm dynamic routing protokoller arasında en hızlı çalışan protokoldur. Yeni kuracağımız bir network yapısında Eigrp kullanmak bize yararlar getireceği gibi , Static olarak ayarlanmış bir network yapısında Eigrp’ye geçmek ipv4 den ipv6 ya geçişimiz kadar zor olabilir.

Konfigürasyona başlamadan önce Eigrp çalışan routerların authentication ile kimlik doğrulaması yapabildiğinden bahsetmiştik, Eigrp de Igrp gibi Load balance yapabilir. Hedef networke giden birden fazla yol arasında yük paylaşımı yapabiliriz.

Bir sonraki makalemizde Eigrp’nin bu 2 özelliğini, konfigürasyonlarını yaparak açıklamaya çalışacağım.

Saygılarımla görüşmek üzere…..

Disaster Recovery for Exchange

Kenan DUZDAS — Wed, 05 Sep 2007 20:36:00 GMT

Merhaba bu yazımızda başımıza gelebilecek en korkunç senaryodan bahsedeceğim ve bu senaryodan yola çıkarak çözümünü adım adım anlatacağım.

Hepimiz biliriz ki log'lar her şeyimizdir. Log’ları incelemediğimizde zamanla büyük sorunlarla karşılaşabiliriz. Log lar insan beynindeki tümörlere benzer, tümör ün erkenden farkına varamaz isek kötü sonuçlara maruz kalırız. Log larda aynen buna benzer erkenden teşhisi yapıp ciddi problemlere mahal vermemeliyiz... Diyelim ki; Bir sabah sisteminiz çökmüş o esnada logları incelesekte bu pekte çözüm olmuyor çünkü hata hatayı doğurduğu için hatanın hangi log dan kaynaklandığını bulmak artık bilgi değil de tecrübeye bakacaktır. Bu sunucu ınızın üzerinde DC ve Exchange Mail sunucu kurulu ve o esnada yaşananlar tam bir kargaşa gözükse de bir kaç çalışma ile ayağa kaldırma şansımız vardır. Burada şunu da unutmamak gereklidir bir sistemcinin asla ve asla unutmayacağı bir kural vardır ki : (Ne yaparsan yap BACKUP almayı kesinlikle unutma!) bilinci ile hareket ederek bir kaç yöntemden bahsedeceğim. Elimizde System State ve Information store backupları mevcut (Sistemin crash olmandan önceki backupları) bu yoldan hareket ederek yapmak istediğim sunucu ı yeniden kurup system state ve information store dönüp sistemi sağlıklı hale çevirmek istiyorum.

Not: Bahsedeceğim yöntem en son yapılması gereken yöntemdir çünkü bu yapılacak işlemin öncesinde

Farklı bir yöntemle de çalışabilirsiniz.

Windows 2003 sunucu Recovery

Adım adım işlemler;

Not: Exchange ve Windows2003 server kurarken aynı product key kullanmalısınız!

-Server formatlayıp yeniden kurduktan sonra workgroup modunda açılıcak hiç bir şekilde machine name ve IP yapılandırması için ayar yapılmayacak.

-Ntbakcup açalım restore sekmesini tıklayın.Catalog file seçin buradan almış olduğunuz system state backup yolunu gösterin

-Start restore tıklayın.

-Windows2003 Cd ni isteyen Windows file protection iletişim kutusunu çıkarsa cd yi takıp retry tıklayın.

-İşlem bittikten sonra restart isteyecektir

-Sunucunun başarılı bir şekilde açıldığını gözlemleyin. Domain ve domaine ait bilgilerin döndüğünü göreceksiniz.

Not: System state işlemini başarılı bir şekilde döndükten sonra dikkat ederseniz administrative tools ta : (Active directory users and computers) - (Dns) v.s gibi Snap-in olmadığını göreceksiniz bu normal bir durumdur. Bu consele ulaşmak için start => Run =>mmc ENTER yapıp acılan console çağırabilirisiniz.

Domaini ayağa kaldırdıktan sonra şimdide Exchange mail server ı ayağa kaldırmamız gereklidir. Bunun için;

Exchage Mail Server Recovery

-Exchange cd takıp Start => Run => D:\Setup\I386\SETUP.EXE /disasterRecovery swicth kullanarak kurluma başlayabiliriz!

-Aşağıdaki ekrana dikkat ederseniz Action kısmındaki görevi disaster recovery modundadır.Bu ekranı next ile geçelim

-Recovery işlemini tamamladıktan sonra veri tabanını geri yükleyip sistemi yeniden önyüklemeniz ile alakalı wizard ok tıklayın.

-Son adımda finish ile sonlandırın.

Yapmış olduğumuz işlemlerden söz edecek olursak:

1)System state kurarak etki alanını ve nesneleri restore ettik.

2)Exchange disaster switch ile kurarak hazır hale getirdik.

Burada sorulması gereken soru şu : Neden Exchange kurarken normal kurulum değilde disaster swicth ile kurduk?

Konuyu iki madde altında toplamamın nedeni dikkatinizi bir yere çekmek istedim! Exchange disaster switch ile kurmamızın sebebi: Information store ları restore edebilmemiz içindi.Temelden bir Exchange server a Information store restore edemeyiz!Restore işlemi gerçekleşirken Information store lar bileşenleri arar Temelden kurulan Exchange server da bileşenlerini bulamayacağı için restore işlemini gerçekleştiremez!

Information Store Restore

- Ntbakcup açalım restore sekmesini tıklayın.Catalog file seçin buradan almış olduğunuz Information store backup yolunu gösterin

- Start restore tıklayın.

- Restoring iletişim kutusunda Temporary location for log and patch files altınan c:\TEMP yazın.

-Restore to kısmında mail serverın adından emin olun.

-Restore işlemi bittikten sonra işlemi bittikten sonra restart olmasına izin verin.

-Sistem açıldığında Administrative groups,First administrative group ve tüm sunucu nesnelerini genişletelim.

-İlgili server ın mailbox mount etmeye çalışalım

-mount ederken aşağıdakine benzer hata ile karşılaşırsanız.

-Bu problemi aşmak için Mailbox repair etmemiz gereklidir.

Örnek: Start=>Run=>Cmd=>program files\exchsrvr\bin klasorüne ulaşıp ESEUTIL aracını kullanmamız gereklidir.

- C:\Program Files\Exchsrvr\bin>eseutil /p "C:\Program Files\Exchsrvr\mdbdata\priv

1.edb"

-Bu parametreyi kullandığımızda aşağıdaki warning ile karşılaşırız

-Yansızca bozuk database bu repair işlemini yapacağımızı bildiren uyarı ekranını OK ile geçelim.

-İşlemi başarı ile bitirdikten sonra Exchange manager açarak database başarılı bir şekilde mount edebiliriz

Not: ESEUTIL ile repair işlemlerini mailbox store uyguladık puplic store içinde aynı işlemi yapmamız gerekmektedir!

-İşlemlerimizi bitirdikten sonra mapi client outlook açarak maillerimi check edebiliriz.

Uzun ve yorucu bir çalışma görülebilir ama buna ihtiyaç duymaktayız.Tabi bu gibi disaster düşmemek içinde system için hayati önem taşıyan logları inceleyip gerekli müdahaleleri o esnada yapmalıyız.

Bir sonraki yazımızda görüşmek dileğiyle…

Kenan DUZDAS

MCT-MCSE-HpAIS-HpASE-HpAIS-CCNA-CCSA

Team Information Technology

Kenan.duzdas@team.com.tr

Sertifika Kullanılarak Uzak Masa Üstü Uygulaması

cterden — Wed, 30 May 2007 13:21:00 GMT

Yaygın tehditler

Önce bazı yaygın tehditlere göz atarak başlayalım. Hiçbirimiz sunucularımıza yetkisiz kişilerin erişmesini istemeyiz. Ama sunucularımızda uzak masaüstünü etkinleştirdiğimizde http://sistemdoktoru.com/blogs/ceh/archive/2007/04/25/terminal-server-hacking-and-vulnerability-scanning.aspx ilgili linkinde anlatıldığı gibi bu saldırılara karşı korunmak gerçekten zor bir hale gelir.

Eğer domain’inizdeki password policy, belli bir oturum açma girişiminden sonra kullanıcı hesaplarını kilitlemek üzere konfigure edilmemişse o zaman uzak masaüstü etkinleştirilmiş sunucunuz kullanıcı bazlı Dos atakları için uygun bir ortam teşkil etmiş olur. İp’nizi bilen herhangi biri kolaylıkla terminal sunucunuza bağlanabilir ve çeşitli kullanıcı adı ve parolalarla oturum açma girişiminde bulunabilir. Password policy’lerine bağlı olarak, denenen kullanıcının hesabı kilitlenebilir böylece gerçek kullanıcının oturum açması engellenebilir.

Buna ek olarak eğer zayıf parolalar kullanılıyorsa, üzerinde Windows terminal Hizmetleri çalışan sunuculara karşı hacking toolları kullanılarak dictionary saldırıları yapılabilir. Bu toollar aynı zamanda daha önce bahsedilen Dos saldırılarını da gerçekleştirebilirler.

Bu tehlike eğer internetten bu sunucuya 3389 nolu porttan ulaşılabiliyorsa çok daha büyük bir hale gelir.

Ama tabi ki bu tehlikeye de bir çözüm var çok şükür. Bu çözüm sertifika bazlı bilgisayar kimlik doğrulamasıdır. Eğer bilgisayar, bağlanmaya çalıştığı terminal sunucuya geçerli bir sertifika sunarak kimliğini doğrulayamazsa kullanıcı oturum açmaya fırsat bulamadan RDP bağlantısı düşecektir.

TLS/SSL Bazlı Kimlik Doğrulama nasıl etkinleştirilir?

Başlamadan önce dikkat etmemiz gereken bazı hususlara değinelim;

Sunucu tarafında aşağıdaki şartlar yerine getirilmelidir;

Terminal Sunucunuzda Windows Server 2003 SP1 yüklü olduğundan emin olun.

Ayrıca aşağıdaki özelliklere sahip bir TLS/SSL sertifikasına ihtiyacınız olacak:

Sertifika bilgisayar bazlı olmalı

Sertifikanın amacı sunucu kimlik doğrulaması olmalı

Sertifikanın private key’i mevcut olmalı.

Bilgisayar bazlı sertifika olduğundan terminal sunucunun bilgisayar hesabının sertifika deposunda saklanmalı.

İstemci tarafında aşağıdakiler gerekmektedir:

● İstemci bilgisayarda Microsoft Windows 2000, Windows XP, Windows Server 2003 veya Windows Vista yüklü olmalı.

● Windows 2000, XP ve Windows Server 2003 için, uzak masaüstü versiyon 5.2 veya daha yeni bir sürüm kullanılmalı. Bu versiyon bir Windows 2003 SP1 sunucuda şu klasörde bulunabilir:

%systemroot%\system32\clients\tsclient\win32\msrdpcli.msi

● Son bir önemli şart da sadece yetkili istemcilerin Terminal sunucuda bulunan bilgisayar bazlı sertifikayı basan Kök Sertifikasyon Otoritesine güvenebilmesi gerektiğidir.

Şartları gördüğümüze göre şimdi nasıl yapılması gerektiğine gelelim.

BİR TLS/SSL SERTİFİKASI TALEP ETMEK

Yapmamız gereken ilk şey terminal sunucumuza bilgisayar bazlı bir TLS/SSL sertifikası yüklemek.

Yapımızda daha önceden Microsoft Sertifika Hizmetlerinin kurulmuş olduğunu varsayıyoruz. TLS/SSL bazlı sertifikamızı Active Directory’ye entegre bir enterprise CA veya stand-alone bir CA’dan talep etmeyi seçebiliriz. Biz bu makale için enterprise CA kullanmayı seçiyoruz.

1.Terminal Sunucumuzun Start menüsünden Run’ı tıklayıp mmc yazıyor sonra da OK’i tıklıyoruz.

2.File Menu’den Add/Remove Snap-in’i tıklıyoruz.

3.Add’i tıklayıp Add Standalone snap-in penceresinde Certificates’i tıklayıp Add diyoruz.

4. Computer Account’ı seçip sonra Next’i tıklıyoruz.

5. Local Computer’i seçip sonra Finish’i tıklıyoruz.

6. Add Standalone Snap-in penceresinde Close’u tıklayıp sonra OK’i tıklıyoruz.

7. MMC konsolünde Certificates’in üzerine geliyoruz.

8. View Menu’den Options’ı seçiyoruz.

9. View Options kutusunda Certificate Purpose’ı seçip OK’i tıklıyoruz.

10. Server Authentication’a sağ tıklayıp All Tasks’den Request New Certificate’i tıklıyoruz.

11. Certificate Request Wizard başlıyor, Next’i tıklıyoruz.

12. Certificate Types Listesinde Server Authentication veya Computer sertifikasını seçmemiz gerekiyor ama bizim sunucumuz aynı zamanda bir domain controller olduğu için biz Domain Controller Authentication’i seçiyoruz. Advanced kutucuğunu da işaretleyip Next diyoruz.

13. (Bu adım ve seçenekleri sertifika çeşidine göre farklılık gösterebilir.)

Bir sonraki pencerede Cryptographic Service Providers listesini görüyoruz. Burada Microsoft RSA SChannel Cryptographic Provider’ı seçiyoruz. Key Length’i varsayılan 1024’te bırakıyoruz. Ve gerektiğinde sertifikayı başka bir bilgisayara kopyalamak için Mark this key as exportable kutusunu işaretliyoruz. Next diyoruz.

14. Sertifikasyon Otoritemizi seçip, sertifikamıza bir isim belirliyoruz Next ve Finish diyerek bitiriyoruz.

Terminal Hizmetler Konfigurasyonu

Şimdi de terminal hizmetlerde TLS/SSL’i etkinleştirelim.

Administrative Tools menüsünden Terminal Services Configuration’ı başlatıyoruz. Sol tarafta Connections’ı tıklıyoruz. Sağ bölmede RDP-Tcp’ye sağ tıklayıp Properties’i seçiyoruz.

Öncelikle bir önceki bölümde yarattığımız sertifikayı seçmemiz gerekecek.

1. General sekmesinde Edit düğmesini tıklıyoruz.

2. Sertifikayı seçip OK diyoruz.

3. Yine General sekmesinde security layer olarak SSL’i seçip, encryption level’ı High’a getirip OK’i tıklıyoruz.

Sunucumuz artık hazır şimdi istemci bilgisayara geçelim.

İstemci Konfigürasyonu

İlk yapmamız gereken şey istemciyi terminal sunucunun sunucu sertifikasını basan CA’e güvenecek şekilde konfigüre etmek. Bunu yapmanın en iyi yolu grup policy ama basitlik adına güvenilen kök CA’i bir web tarayıcısı kullanarak istemcimize yükleyeceğiz.

İstemcinin tarayıcısından aşağıdaki URL’yi giriyoruz:

http://server/certsrv

sunucu adı CA’in yüklü olduğu bilgisayar ismi olmalı.

Download a CA certificate, certificate chain, or CRL’ye tıklıyoruz.
Ekranın sağ üst köşesindeki Install this CA certificate chain’e tıklıyoruz.

Bu web sitesine güvenip güvenmediğiniz uyarı çıkacaktır, Yes’i seçin ve sertifikayı yüklemek için bir daha Yes’i seçin.

Bir sonraki yapmamız gereken şey remote desktop client’ımızı versiyon 5.2 veya daha yüksek bir sürüme yükseltmek.

Ön şartlarda da daha önce belirtildiği gibi desteklenen remote desktop client’ımızı terminal sunucuda şu lokasyonda bulabiliriz:

%systemroot%\system32\clients\tsclient\win32\msrdpcli.msi

Yeni remote desktop’umuzu basitçe bu lokasyondan istemci bilgisayarımıza kuralım.

Not: Yeni remote desktop’umuz XP içinde önceden var olan remote desktop’umuzu yükseltmeyecektir. Bilgisayarımızda iki ayrı versiyon remote desktop olmasını istemiyorsak %ProgramFiles%\Remote Desktop içinde bulunan iki dosyayı aşağıdaki lokasyonlara kopyalamamız gerekmektedir.

%systemdrive%\Windows\System32\dllcache

%systemdrive%\Windows\System32

Bir sonraki adımda yeni Remote Desktop’umuzu başlatıyor ve eski versiyonda bulunmayan Security sekmemizi seçiyoruz.

Authentication(Kimlik Doğrulama) Listesinde Attempt Authentication(tesviye edilen) veya Require Authentication’ı seçiyoruz.

Bu uyarı ekranını Yes diyerek geçiyoruz.

Artık terminal sunucumuza bağlanıp oturum açabiliriz. Sol üst köşedeki küçük kilit ikonu, bağlantımızın güvenli olduğunu göstermektedir.
Eğer isterseniz CA’imizin sertifika zincirini, bilgisayarına yüklememiş bir istemciyle test yapabilirsiniz. Bu istemcinin kesinlikle bağlanamadığını göreceksiniz…

Kaynaklar:

http://www.windowsecurity.com/articles/Secure-remote-desktop-connections-TLS-SSL-based-authentication.html

http://support.microsoft.com/kb/895433/en-us

Cisco Pix arasında Site to Site VPN

linux1371 — Sat, 26 May 2007 17:32:00 GMT

Günümüzde ADSL teknolojisinin yaygın bir şekilde kullanılması ile firmaların şubeleri ile mecut internet baglantıları üzerinden baglantı saglama istekleri çok sık karşılaştıgımız bir durumdur. Mevcut bu baglantının üzerinden site to site bir çözüm saglamak hem fiyat hemde admistrative açıdan avantaj saglamaktadır. Gönderilecek yada alınacak verilerin boyutları çok olmadıkça ve şube sayısı artmadıkça site to site en çok kullanılan tekniklerden biridir. Biz burda Cisco PIX device ile site to site bir network yapısı oluşturacaz.

Cisco PIX SDM ile Site-to-Site VPN

Sahip olduğunuz iki adet Cisco PIX ile şubeleriniz arasında VPN trafiğinin nasıl kurulacağını PDM arayüzünü kullanarak anlatacağım .

Bir merkez birde şubemizin bulunduğunu düşünürsek , öncelikle merkez ofisteki Cisco PIX ten konfigürasyona başlayalım .

Cisco PIX te diğer Cisco cihazları gibi consol dan konfigüre edilir . PIX ın bir artısı ise arayüzede sahip olmasıdır. Satın aldığınız PIX ın ethernet interface i için atanmış bir ip adresi olmadığı için bu ara yüze erişmek için öncelikle consol kablosu ile ethernet interface i up yapmalı ve bir ip atamalısınız . Benim pix in ethernet interface inin ip adresi 192.168.1.1 dir.

İnternet Explorer da bu ip adresini yazdığımda ise karşıma PDM yazılımı çıkmaktadır . Ancak PDM in çalışabilmesi için ise bilgisayarınızda Java yüklü olmalıdır.

Açılan menüden “Wizards” bölümüne geliyor ve “VPN Wizard” sekmesine tıklıyoruz.

Şekil 1

Şekil 2

Cisco PIX üzerinde VPN Server ve Site to Site VPN seçenekleri vardır. Yani merkez ofisteki PIX i isterseniz aynı bir ISA Server gibi VPN Server haline getirebilir ve PIX Vpn Client yazılımı yüklü herhangi bir makineden VPN tüneli açabilirsiniz . Bizim amacımız ise iki PIX arasında VPN kurmak olduğu için ilk seçeneği seçiyor. Hemen altta bulunan interface seçeneği ise VPN özelliğinin hangi interface için açılacağını seçiyoruz .

Şekil 3

Bu bölümde ise öncelikle uzak noktanın sabit olan Real ip adresini yazıyoruz. Aramızdaki kimlik doğrulama için ise Pre-shared key veya sertifika kullanabiliriz. Ben ortak anahtar yöntemini kullanacağım . Yani her iki PIX üzerine de aynı Key değerlerini girerek kimlik doğrulamayı sağlayacağım .

Şekil 4

Bu ekranda ise açılacak olan VPN Tunelinin şifreleme ve kimlik doğrulama algoritmalarını seçiyoruz. 3DES yeterli bir güvenlik sağlayacaktır.

Şekil 5

[LOCAL SITE ]

Bu ekranda ise şirket içi network ip adresimizi tanımlamamız gerekmektedir. Interface kısmından “inside” seçili iken iç network ID sini yazıyoruz ve işaretli olan butona basıyoruz.

Şekil 6

Karşımıza çıkan ekranda ise bu kayıt için bir isim veriyoruz ve tanımlamayı bitiriyoruz. Bundan sonra çıkacak ekranları da “next” butonu yardımı ile geçiyoruz ve aşağıdaki ekranı görmüş oluyoruz.

Şekil 7

[ REMOTE SITE ]

Burada da uzak ofisimizin iç network ID sini belirtiyoruz.. Yine aynı butonu kullanarak tanımlama ekranını görüyouz.

Şekil 8

Burada da iç network ID mizi belirlerken verdiğimiz isim gibi dış network için de bir isim vermeliyiz. Ama şu önemli konuya dikkat etmelisiniz , iki isimde aynı olmamalı. Aynı verirseniz zaten size uyarı verecektir.

Şekil 9

Burada da seçme butonuna tıklayarak dış network’ü de seçtikten sonra finish diyerek kurulum işlemimizi bitiriyoruz.

Bu wizard sayesinde iki adet cisco PIX device ile VPN Tüneli kurmuş oluyoruz. Bundan sonra yazacağınız kurallar çerçevesinde iki şubenizi güvenli bir şekilde bağlayabilirsiniz.