magnify
formats

Windows Server 2012 staging

Dynamic Access Control bileşenlerinden olan central access policy olası değişikliklerde sorun yaşanmaması için test imkanı sunar. Bazı durumlarda DAC elementlerinde (claim veya conditional expressions) değişiklik yapmanız gerekebilir, ancak bunların yansımalarını da görmek istersiniz. Yani yapacağınız değişiklikler file server ve üzerindeki kaynakları etkileyeceği için birden telefonlarınız sürekli çalmaya başlayabilir. Bunun önüne geçmek için Windows Server 2012 hazırladığınız kuralı sadece Audit amaçlı olarak dağıtabilir. Yani sizin yeni hazırladığınız izinler gerçekten klasörler için ACL olarak uygulanmaz, ama Audit için uygulanır. Sizde Windows olay günlüğünden 4818 event numarası ile olan biteni izler ve olası bir sorun var ise izinlerde veya elementlerde tekrar değişiklik yapabilirsiniz. Bu özelliğe staging denmektedir.

(107)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Dynamic Access Control DAC – Reference Resource Properties

Windows Server 2012 ile hayatımıza giren Dynamic Access Control – DAC özelliğinin temelinde claim dediğimiz değişkenler yatmaktadır. Örneğin bir kullanıcı için geçerli olan kimlik bilgisi – SID yanında onun çalıştığı departman, yaşadığı ülke, dahil olduğu projeler, unvan ve benzeri seçeceğiniz attiribute – öznitelik bazında erişim kuralı yazabiliyoruz. Ancak bunu dosya sisteminde karşılık bulması için dosyalarında sınıflandırılması gereklidir. Sınıflandırma için ise tabiki öncelikle bir takım değişkenler tanımlamamız gerekli.

Resource properties ismini verdiğimiz bu değişkenler aslında Windows Server 2012 ile beraber gelmektedir. Varsayılan olarak in aktif olan bu özellikleri aktif hale getirdikten sonra dosya veya klasörlerin özelliklerinde değişiklik yapabiliyoruz. Bu özellikler için Company, Compliancy, Department, Impact, Personel Use, Project, Confidentiality gibi pek çok seçenek mevcut olup bunlardan birini korumak veya sınıflandırmak istediğimizi dosya – klasör için seçebileceğimiz gibi yenilerini de oluşturabiliriz.

Yeni oluşturacağımız içerik özellikleri, claim’ ler de olduğu gibi mevcut attiribute tablosunu referans almadığı için bazen claim ile beraber kullanılmasında sorunlar olabilir.

Örneğin kullanıcı tarafında “Country” isminde bir claim oluşturdunuz, yani kullanıcıların AD üzerinde country bilgisine göre erişim kuralı yazmak gibi bir amacınız var. Daha sonra dosya sistemindeki dosyaları da sınıflandırırken ülke detayını kullanmak isterseniz eğer resource properties menüsünde yeni bir RP oluşturmak yerine bir tane Reference Resource Properties oluştururuz. Bu tam olarak aslında mevcut olan bir Claim’ in dosya sistemi için kullanılmasını sağlayan bir linkleme işlemidir. Yani elle yeni bir RP oluşturup klasörlerin bunu kullanması yerine, hali hazırda claim olan bir bilgiyi RP olarak tanımlamış oluyoruz.

Peki, bunu neden yaptık? Aslında Country bilgisini de ayrıca RP olarak tanımlayıp bunları klasörlere atayabilirdik, ancak bu durumda caim altında, TR, US, JP, UK gibi tanımları yaparken birde RP altında bu tanımları yapmak ve bunların sürekli eşleşmesini bekliyor olacaktır. Bu tür alt kırılımlardaki hatalar ise pek çok kez dosya erişim sorunları olarak karşımıza çıkmaktadır. Bu nedenle böyle durumlarda RRP oluşturmak daha mantıklıdır.

(93)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Video-HP E Serisi cihazlarda LACP Uygulaması

Tarih 30 Haziran 2015 yazar içinde HP

HP E Serisi cihazlarda LACP protokolünün detayları ve uygulama alanlarının anlatılması konulu videomuzu izlemek için lütfen TIKLAYINIZ

(124)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Kerberos armoring – Flexible Authentication Secure Tunneling (FAST) Nedir?

Flexible Authentication Secure Tunneling (FAST), Windows Server 2012 ile beraber gelen Kerberos yeniliklerinden biridir. Bu yenilik sayesinde KDC ile Kerberos client arasında güvenli bir tünel kurulur. Bu özellik Server 2012 de Kerberos armoring olarak uygulanır ve sadece authentication service (AS) ve ticket-granting service (TGS) değişimlerinde geçerlidir.

(115)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Compound authentication Nedir?

Compound authentication, Windows Server 2012 ile beraber gelen Kerberos yeniliklerinden biri olan Flexible Authentication Secure Tunneling (FAST) uzantılarından biridir. Compound authentication, kerberos istemcilerine aygıtları için TGT sunar. Windows Server 2012 KDCleri Dynamic Access Control mekanizamasının sağlıklı çalışması için aygıtlar içinde servis biletleri üretir. Windows 8 ve sonrası işlemti sistemleri için GPO ayarı yapıldıktan sonra desteklenmektir. Bahsi geçen servis biletleri – service tickets aygıtlar için grup ve claim bilgisi taşır, bu sayede service tickets tarafından oluşturulan access token’ lar ile DAC sistemi üyesi olarak kaynaklara erişebilir.

(116)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

ÇözümPark Haftalık Bülten–29.06.2015

Duyurular

Webcast – Active Directory Domain Service & DNS – 1 Temmuz

Webcast – Hybridizing the Solution with Azure BizTalk Services – 2 Temmuz

Eğitimler

20412D-Configuring Advanced Windows Server 2012 Services – 6-10 Temmuz

Yeni Makaleler

vCenter 6.0–Yeni Sanal Makina Oluşturma

vCenter 5.5 to vCenter 6.0 Upgrade

vRealize Operations Manager 6.x Kurulumu – Bölüm 2

vRealize Operations Manager 6.x Kurulumu – Bölüm 1

Windows Server Nano – Bölüm 3

Yeni Videolar

HP E Serisi Cihazlarda Temel Erişim ve Güvenlik Ayarları

HP E Serisi Ürünlerde VLAN-Gateway-Syslog Yapılandırması

HP Provision ASIC Firmware İşlemleri

HP E Serisi Ürünlerin İşletim Sistemi

HP Network Genel Tanıtım Product Portfolio

(131)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Video – HP E Serisi cihazlarda STP-MSTP Konfigurasyonu

Tarih 29 Haziran 2015 yazar içinde HP
E Serisi cihazlarda STP-MSTP protokolü kullanımı ve uygulama alanlarının anlatılması konulu videomuza erişmek için lütfen TIKLAYINIZ

(136)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Dynamic Access Control–DAC ve Claim Mantığı

Dynamic Access Control DAC, Windows Server 2012 ile hayatımıza giren dosya sistemi için yeni bir erişim kontrol mekanizamasıdır.
Bu yeni mekanizama sayesinde dosya sistemi için merkezi kurallar tanımlayabiliyoruz.( tüm dosya sunucuları için tek policy belirleme şansımız vardır)

DAC, mevcut dosya izinleri ile birlikte çalışabildiği gibi (ACL) bundan bağımsızda dosya erişim yönetimi yapabilmektedir.

Temel olarak Domain tabanlı dosya sunucuları için yönetim ve izleme (Audit) esnekliği sağlamak için tasarlanmıştır.

DAC, kimlik doğrulama tokenlarında, kaynak özelliklerinde ve izleme – erişim işlemlerinin duruma göre gerçekleştirilmesi için claim isimini verdiğimiz bir değişken kullanır.

Claim kelimesi aslında bir nesne için (çoğunlukla kullanıcı ve bilgisayar nesneleri için) nitelik (attribute, property) anlamı taşımaktadır. Örneğin bir kullanıcının muhasebe grubunda olması, telefonun 5555 olması, ofis adresinin İstanbul, yaşadığı ülkenin Türkiye, çalıştığı proje isminin “2013 yılı projesi” olması veya bir bilgisayarın ortamdaki NAP – Network Access Protection servisi için sağlıklı (health state) durumda olması gibi Dynamic Access Control mekanizmasında bu kullanıcı veya makineyi tanımlayacak bilgilere claim diyoruz.

Windows Server 2012 ve daha yeni işletim sistemlerinde kimlik doğrulama mekanizması da claim desteği sağladığı için artık klasör veya dosya erişimlerinde NTFS izileri yanında yani SID temeline ek olarak AD DS özniteliklerini de kullanabiliyoruz. Tabiki bu durum hala grup üyeliği veya SID temelli dosya veya klasör erişiminin çalışmadığı manasına gelmiyor. Yani DAC uygulanmadığı durumlarda hala eskisi gibi kullanıcı veya üyesi olduğu grubun SID numarası ile erişmek istediği dosya üzerindeki ACL SID numaralarının eşleşmesi mantığı devam etmektedir.( eşleşmesi tabiki erişim için şart ancak eşleştikten sonra da yazma mı okuma mı yekkileri olduğu önemlidir)

Özetle claim özelliği sayesinde artık dosya ve klasörlerin izlenemesi – erişilmesi için AD-DS öz niteliklerini baz alarak kural yazabiliriz.

User Claim ve Computer Claim kavramları aslında AD üzerindeki kullanıcı öz nitelikleri ve makine öz nitelikleridir. Kullanıcı için bir kaç örnek vermek gerekir ise, üye olduğu gruplar, telefonun numarası, ofis adresi, yaşadığı şehir gösterilebilir. Bilgisayar için ise örneğin NAP – Network Access Protection servisi için “sağlıklı” (health state) durumda olması yani “sağlıklı” veya “sağlıksız” nitelikleri bilgisayar için bir claimdir.

Claim forest içerisindeki tüm domainler için kullanılabildiği gibi ek olarak trust yapmanzı halinde geçiş desteğide sunmaktadır

Resource Properties

Eğer kaynaklarınızın yönetimini daha esnek olarak gerçekleştirmek istiyorsanız öncelikle bu kaynakların özelliklerini sistemin iyi bir şekilde ayrıştırması için belirlemeniz gereklidir.

Resource properties aynı zamanda resource property object olarak bilinir. Bu obje dosya veya klasöre ek olarak eklenen bir nitelik olup daha çok Windows Server Resource Manager desteği olan dosya sınıflandırma işlemi sırasında eklenir. Örneğin bir klasör veya dosya için sınıflandırma görevi çalışır ve bu klasör veya dosya için uygulanan kurala göre bu niteliği “Gizli”, “Şirkete Özel”, “Genele Açık”, “Kişisel” ve benzeri sınıflandırır.

Yukarıdaki örneklerden bu obje için kendinize ait nitelikler tanımlayabildiğinizi görebilirsiniz. Ben bir kaç örnek paylaştım sadece. Örneğin siz proje isimlerini de bu öznitelik için kullanabilirsiniz.

Peki DAC ile dosya erişimi nasıl gerçekleşir?

 

Claim kullanılmayan bir durumda, bir kullanıcı bir kaynağa erişmek için öncelikle KDC üzerinden aldığı token içerisindeki kendi kullanıcı SID ve yine üyesi olduğu grup SID leri ile ilgili sunucuya gider ve klasör – dosyada ki ACL ile karşılaştırma yapılırdı, eğer kullanıcı veya üyesi olduğu gruplardan birinin SID numarası dosya üzerindeki ACL içerisindeki SID lerden biri ile eşleşir ise dosyaya erişim sağlanmaktaydı. ( Tabiki kerberos süreci birazdaha detaylı bir süreç olup, lsa, session key ve benzeri kavramları bilerek anlatımdan çıkardım ki claim mantığındaki değişiklikler daha sade bir şekilde anlaşılsın )

Server 2012 sonrasında Kerberos v5 Key Distribution Center – KDC  claim desteği sunduğu için yukarıdaki şekilde görüldüğü gibi sistem biraz değişiyor. Yine kullanıcı DC üzerinden aldığı kerberos token içerisinde SID bilgileri yanında claim dediğimiz kullanıcı öz niteliklerinden tanımlanmış olanları da alır ve bu bilgiler ile dosya sunucusuna gider, dosya sunucusu üzerindeki dosya için ACL şartı sağlanmasına karşın eğer DAC aktif ve policy uygulanmış ise ilgili dosyada SID benzerliğinin yanında claim benzerliğide talep edebilir. Örneğin klasör “Mayasoft” projesi için ise bu durumda gelen kullanıcı company bilgisinde “Mayasoft” yazmasını da ek olarak talep edebilir. Bu bilgide eğer policy ile eşleşiyorsa bu durumda dosya erişimi sağlanır.

Benzer şekilde bu sürece aygıt yani bilgisayar içinde claim ekleyebiliriz. Yani ilgili kullanıcı SID bilgisi tutacak, user claim tutacak birde makine claim olarak NAP için sağlıklı bilgisi olacak ki bu da bir öznitelik olup claim olarak kullanılır. Yani sadece bir kullanıcının SID ve claim bilgisi ile o kullanıcı ilgili dosyaya erişsin AMA güvenli bir bilgisayardan erişsin diyebiliriz.

Bu tür ayarları isterseniz klasör üzerinden “Advanced Security Settings Editor” ile yapabileceğiniz gibi tüm organizasyonunuz için yani birden çok file server ve üzerindeki tüm klasörler – dosyalar için policy yazabilirsiniz.
İlk olarak Central Access Rule yazıp bunu Central Access Policy ‘ ye bağlayabiliriz.

(340)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

BranchCache Client Cache Temizleme

BranchCache uygulamalarınızda özellikle ilk kurulum sonrası temel kontrollerde sizi yoracak sorunlardan birisi sürekli test yaptığınız için bunun sonucunun network üzerinde, event loglarda sağlıklı göremiyor olmanız olacaktır. Sistemin sağlıklı çalışıyor olmasını test etmek için öncelikle önceki testlerden kalan cache bilgisini istemci tarafında temizlemenizi öneririm. Bunun için aşağıdaki komutu kullanabilirsiniz

netsh branchcache flush

BranchCache Nedir ve Nasıl Çalışır?

(175)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

BranchCache Nasıl Çalışır?

Windows Server 2008R2 ve Windows 7 ile hayatımıza giren BranchCache temel olarak şube lokasyonunda çok sık kullanılan dosyaların o lokasyonda saklanmasını içerir.

Desteklenen protokoller

HTTP-HTTPS – Web browser ve diğer uygulamalar
SMB – Dosya paylaşımı
BITS – Bir Windows bileşenidir. Temel amacı bir içeriğin parçalara ayrılacak network kullanımının düşük olduğu zamanlarda sunucudan istemciye doğru gönderilmesini sağlar.

BranchCache için ek bir yatırıma gerek yoktur, Windows 7 veya daha üstü bir veya birden çok client bu iş için kullanılabilir. Benzer şekilde şube lokasyonundaki bir veya birden çok Windows Server 2008R2 veya daha yeni işletim sistemi bize hizmet etmek için yeterlidir.

BranchCache ile şube lokasyonunda saklanan dosyalar yine güvenlik amaçlı sadece yetkili olan kullanıcılar için erişlebilir durumdadır. Yani A kullanıcısının çok kullandığı bir dosyanın cache de olması onu B kullanıcısının görebileceği anlamına gelmez.

BranchCache arka planda güvenlik için Secure Sockets Layer (SSL), SMB signing, ve end-to-end IPsec kullanır

Temel olarak iki modelde uygulanabilir

Hosted cache mode – Cache dosyalarının şube tarafında bir sunucuda tutulması
Distributed cache mode – Cache dosyalarınun şube tarafında bir PC de tutulması. Avantajı sunucu gereksinimi olmamasıdır. Dezavantajı ise ilgili makine uykuya dalar veya kapanır ise sistem çalışmaz. Bu konfigürasyon sadece tek bir subnet için çalışır.

Organizasyonuz içerinde yukarıdaki modları farklı farklı kullanabilirsiniz, yani sunucu olan bir şubede hosted, olmayan da ise distributed kullanılabilir. Ancak bir şube için iki kullanım aynı anda söz konusu değildir.

Peki bir istemci bu sistemi nasıl kullanır?

1 – İstemci makine branchcache hiç yokmuş gibi genel müdürlükte bulunan bir kaynağa erişmek ister.
2 – Kimlik doğrulama adımlarını başarılı bir şekilde geçip içeriğe ulaşır.
3 – Bu aşamada içeriği barındıran sunucu kendi üzerinde tuttuğu hash tablosu ile kullanıcının istemiş olduğu verinin hashlerini kontrol eder. Bu kontrolün amacı bu içerik daha önce istenmiş ve cachelenmiş mi diyedir. Eğer içerik ilk defa isteniyor ise hash halinde istenilen içeriği tanımlayan bir bilgi yollar istemci makineye. Yine içeriği tutan sunucu aynı oturumda istenilen datalarıda normal yollar ile istemciye gönderir. Ancak isteği yapan bu istemcinin istemiş olduğu veri daha önceden istenmiş bir veri olsaydı, merkezdeki sunucu hash tablosundan bunun fark edecek ve verinin orjinali yerine sadece hash bilgisini verecekti.
4 – Merkezdeki sunucudan alınan hash sayesinde istemci bilgisayar şunları yapar;
Eğer istemci makine distributed cache olarak konfigüre edilmiş ise istemci multicast bir çağrı ile bu dosyayı daha önceden indiren bir client arar.
Eğer istemci makine hosted cache olarak konfigüre edilmiş ise, bu durumda içeriği hosted cache sunucusu üzerinde arar
5 – Eğer içerik şube lokasyonunda erişilebilir ise istemci bu veriyi diğer client pclerden veya hosted cache sunucusundan alır ( modele göre kaynak değişiyor). İstemci makine merkezden aldığı hash sayesinde verinin güncel ve bozuk olmadığını doğrular
6 – Eğer içerik şube lokasyonunda erişilebilir durumda değil ise istemci makine veriyi merkezdeki sunucudan çeker. Yine modele göre eğer daha sonra şubeden başka bir istemci benzer şekilde bu veriyi talep eder ise ona sunabileceği gibi, hosted mode olarak ayarlanmış bir şube yapısında ise indirdiği bu içeriği hosted cache sunucusuna gönderir.

Not: Varsayılan olarak istemci ile sunucu arasındaki network gecikmesi 80milisaniyeden düşük ise BranchCache çalışmaz, yani gelen istemciyi hızlı bir network olarak kabul eder, bu varsayılan bir ayar olup bunu değiştirebilirsiniz.

GPO ile bunu kolayca yapabilirsiniz

 

Uygulama ile ilgili makalemizi takip edebilirsiniz

http://www.cozumpark.com/blogs/windows_server/archive/2009/11/14/windows-server-2008-branch-cache.aspx

Daha fazla bilgi için

http://tv.cozumpark.com/video/512/Windows-7-BranchCache

(925)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
© Hakan UZUNER - MVP - RD
credit