Aylık arşivler: Ocak 2014

Tracking DNS Record Deletion

günlük yaşamımızdaki internet trafiğinden tutunda kullandığımız pek çok sistem için vazgeçilmez bir hizmettir.

 

Ancak DNS çok önemli bir servis olduğu kadar çok kritik bir servis olup sorun olması durumunda bu sorunun analizinin yapılması da son derece önemlidir.

 

DNS konusunda aslında yazılacak çok fazla konu başlığı var ancak zaman en büyük düşmanımız ve vaktim olduğu sürece bende yazmaya gayret ediyorum.

 

Bu makalemde geçenlerde bir sorun durumunda ihtiyacım olan ve araştırmamın sonucunda bulduğum bir makaledeki DNS kayıtlarının silinmesinin nasıl takip edileceğini detaylandıracağım.

 

Öncelikle loglama olarak bildiğimiz bu Audit işinde bazı 3 party çözümler bulunmaktadır. Bunlar her daim bizim logları takip etmemizi kolaylaştıracaktır.

 

Ancak burada ince bir detay var. Loglama yazılımlarının bir kısmı mevcut system olay günlüklerini alırlar ve bunları kendi veri tabanlarında ( veya dosya sistemlerinde ) saklarlar. Size bir ara yüz sunar ve bu ara yüz üzerinden olay günlüğü içerisindeki bileşenlere göre ( olay numarası, kaynağı ve benzeri ) arama yapmanıza imkân sunarlar. Bu noktada bildiğiniz gibi olay günlüklerinin boyutu sınırlıdır. Benim sunumda çok yer var, loglama yazılımı almak yerine ben olay günlüklerinin boyutunun büyütürüm demek bir çözüm olmuyor. Neden derseniz Microsoft tarafından olay günlükleri için ideal boyutlar yayınlanmıştır. Yani özellikle kritik olan sunucularda bu olay günlüklerinin önerilen boyutların üstüne çıkarılması sorunlara neden olabilir.

Okumaya devam et

Kritik Sunucu Sistemleri İçin Active Directory Domain Controller Dizaynı

Active Directory domain ortamlarında kimlik doğrulama ve isim çözümleme servisleri olarak Kerberos – NTLM ve DNS hizmetlerini kullanan istemci sunucuların üzerindeki servisler için ( SQL, Oracle, Exchange, Sharepoint, Biztalk vb ) Directory ve DNS hizmetlerindeki kesintiler ciddi sonuçlar doğurmaktadır.

 

DNS hali hazırda zaten directory de dâhil tüm alt yapı için vaz geçilmez bir servis olup genellikle iyi yönetildiği sürece kesintilere sebebiyet vermemektedir. Directory hizmeti ise daha karışık olduğu için sürekli takip ediliyor ve inceleniyor olması gerekmektedir.

 

Genellikle her ne kadar kararlı bir hizmet sunuyor olsanız da sizden hizmet alan istemcilerin size ulaşması noktasında da kararlı bir yapıya sahip olmanız gerekmektedir. Yani DC ler sağlıklı çalışıyor olsa bile istemcilerin veya diğer sunucuların DC lere sağlıklı bir şekilde ulaşması gerekmektedir.

 

Yaygın bir kullanım olmamak ile beraber Banka, Telekom veya veri güvenliğinin önemli olduğu kurumsal firmalarda segmentasyon dediğimiz istemci ve sunucu ürünlerinin arasına güvenlik cihazlarının konulması ile oluşturulan bölgeler bulunmaktadır.

 

Burada ilk olarak network uzun süre izlenerek gerekli olan izinler tespit edilir ve adım adım bunların dışında kalanlar kapatılır.

 

Bu yapının en önemli amacı güvenliği üst seviyeye çıkarmaktır. Örneğin siz yönetmekte olduğunuz bir sunucuya yönetim konsolu portundan veya https ile veya rdp ile gidebiliyor iken dosya seviyesinde ulaşamıyorsunuz. Bunun gibi örnekleri arttırmak mümkün.

 

Ancak bu tarz yapılarda arttırılan her güvenlik önlemi aslında sorun anında çözümü yavaşlatan birer sebeptir.

Okumaya devam et

Exchange Server 2013 Outlook Anywhere ve URL Değişiklikleri için Hazır PowerShell Komutları

Malum kurulum sonrasında web ara yüzünden tek tek sunucu bazlı olarak her bir virtual directory için url girmek çok zahmetli bir iştir. Bende bu noktada size yardımcı olması için bir powershell komut seti paylaşacağım.

Bu komutların tamamı için dikkat ederseniz öncelikle get ile ortamdaki bilgileri çekiyor, sonra bunları değiştiriyorum. Bu bana birden çok CAS olması durumunda tek tek sunucu bazlı ayar yapmaktan kurtarıyor.

Get-OutlookAnywhere | Set-OutlookAnywhere -ExternalHostname mail.cozumpark.com -InternalHostname mail.cozumpark.com -ExternalClientsRequireSsl $true -InternalClientsRequireSsl $true -DefaultAuthenticationMethod NTLM

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ExternalUrl https://mail.cozumpark.com/owa -InternalUrl https://mail.cozumpark.com/owa

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -ExternalUrl https://mail.cozumpark.com/ecp -InternalUrl https://mail.cozumpark.com/ecp

Get-ActiveSyncVirtualDirectory | Set-ActiveSyncVirtualDirectory -ExternalUrl https://mail.cozumpark.com/Microsoft-Server-ActiveSync -InternalUrl https://mail.cozumpark.com/Microsoft-Server-ActiveSync

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalUrl https://mail.cozumpark.com/EWS/Exchange.asmx -InternalUrl https://mail.cozumpark.com/EWS/Exchange.asmx

Get-OabVirtualDirectory | Set-OabVirtualDirectory -ExternalUrl https://mail.cozumpark.com/OAB -InternalUrl https://mail.cozumpark.com/OAB

Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://mail.cozumpark.com/Autodiscover/Autodiscover.xml

Eğer bu komutları sunucu bazlı çalıştırmak istiyorsanız aşağıdaki gibi bir örnek verebilirim;

Set-OutlookAnywhere -Identity ‘CAS1\rpc (Default Web Site)’ -ExternalHostname mail.cozumpark.com -ExternalClientAuthenticationMethod NTLM -ExternalClientsRequireSsl:$True -InternalClientAuthenticationMethod Ntlm -SSLOffloading:$false -IISAuthenticationMethods Ntlm -InternalHostname mail.cozumpark.com -InternalClientsRequireSsl:$True

CAS1 benim CAS sunucu ismimdir.

Mevcut URL adreslerini kontrol etmek için ise aşağıdaki URL adreslerini kullanabilirsiniz;

Get-OutlookAnywhere | Select Server,ExternalHostname,Internalhostname
Get-OwaVirtualDirectory | Select Server,ExternalURL,InternalURL | fl
Get-EcpVirtualDirectory | select server,externalurl,internalurl | fl
Get-ActiveSyncVirtualDirectory | select server,externalurl,internalurl | fl
Get-WebServicesVirtualDirectory | Select Server,ExternalURL,InternalURL | fl
Get-OabVirtualDirectory | Select Server,ExternalURL,InternalURL | fl
Get-ClientAccessServer | Select Name,AutoDiscoverServiceInternalURI