Evet ilginç bir istek ama bazen soru olarak gelebiliyor.. kullanıcı adında xyz geçen user lar kimlerdir derseniz bunun cevabı aşağıdaki komutta saklı
dsquery user -name *xyz
yani isminin sonunda xyz geçen kullanıcılar gelir.
dsquery user -name *xyz* isminde xyz geçen kullanııclar gelir
dsquery user -name xyz* ismi xyz ile başlayan kullanıcılar gelir.
Ben uzun süredir arıyordum ve sizinle paylaşmak istedim gerçekten çok önemli bilgiler var.
1. Compatibility issues you should address before beginning the upgrade
a. http://support.microsoft.com/kb/946405 – No LM Hash
b. http://support.microsoft.com/kb/942564 – NT 4.0 domains
c. http://technet.microsoft.com/en-us/library/cc731654.aspx – SMB Signing
d. http://support.microsoft.com/kb/950876 – Known GPO issues with Win2K8/Vista
e. http://support.microsoft.com/kb/944043 – RODC Client Pack
f. http://support.microsoft.com/default.aspx?scid=kb;EN-US;968614 – Outlook 2003 hotfix
g. http://support.microsoft.com/kb/958980 – Issue with OCS 2007 or LCS 2005
h. http://support.microsoft.com/kb/947039 – You cannot locally configure or locally delete the application partitions that are created for IP telephony after you upgrade from Windows Server 2003 to Windows Server 2008
i. http://support.microsoft.com/kb/948680 – Description of the Microsoft server applications that are supported on Windows Server 2008
j. Browse list fails. If dependent on browse list, then set browser service to auto on PDCe and one DC per segment.
k. DFS site costed referrals are enabled on W2K8 DCs. This is a good change, but may result in W2K8 providing referrals in a different order than W2K3 DCs which have this feature disabled by default
l. Lmcompatabilitylevel increased to 3. See http://technet.microsoft.com/en-us/library/cc960646.aspx
m. NullSessionPipes list is shorter. See the Threats and Countermeasures guide
n. NullSessionShares has been removed. See the Threats and Countermeasures guide
o. NSPI connections limited to 50 per user. http://support.microsoft.com/kb/949469
p. DES crypto disabled on R2. See TechNet doc above and the following. http://support.microsoft.com/kb/978055
http://www.arricc.net/active-directory-photos-sharepoint.php
Outlook 2010 ile hayatımıza giren ve bizlerin sosyal network iletişimini güçlendiren Outlook Social Connector sayesinde artık Facebook , Myspace vb soyal networkler daha yakınımızda. Bu aslında yeni bir haber değil , yeni olan bu connector sayesinde outlook 2007 ile AD üzerindeki kullanıcı resimlerini göstermek.
Adımlar son derece basit ; aşağıdaki linkleri takip edebilirsiniz
Ortam Exchange 2003,2007 ve Outlook 2003,2007,2010 ise yapılması gereken adamlar:
1. AD’ye resimleri yüklemek, http://msexchangeteam.com/archive/2010/03/10/454223.aspx
2. Clientlara en güncel Outlook Social Connector kurmak, http://support.microsoft.com/kb/983403
3. GPO ile Outlook Social Connector ayarlarını yapmak, http://support.microsoft.com/kb/2020103
Süper bir Webcast kaçırmamanızı tavsiye ederim .
Bu konuda gelen sorular nedeni ile böyle bir bilgiyi sizler ile paylaşıyorum. Bankalara danışmanlık yaptığım dönemlerden ve yine bu sektörde çalışıyor olmamdan gerek bizzat gördüğüm gerekse bilgisini aldığım mimariler hakkında bilgi vereceğim.
Bildiğiniz gibi yapılar büyüdükçe herkes rolleri ayrımak ister , ancak DNS için bu geçerli değildir. Çünkü siz DC olmayan member bir 2003 veya 2008 server üzerinde dns kursanız dahi bunların üzerinde açacağınız zone lar AD integrated olmayacağı için sağlıklı bir dns replikasyonu olmayacaktır. Bu nedenle büyük yapılarda replikasyon çok önemli bir olgu olduğu için böyle bir senaryo yanlıştır. Yani yapınız ne kadar büyük olursa olsun ( örneğin 25.000 user ) DNS ler DC lerin üzerindedir.
Ama bilinmesi gereken şey ;Domain e hizmet eden DNS lerin forward bölümüne direk olarak google , telekom vb dış dns lerin verilmemesidir. Bunun nedeni ise her internet sorgusu için kendisinin mesai harcıyor olmasıdır. Bunun için en iyi yöntem şirket içine kuracağınız workgroup olarak çalışan bir 2003 server üzerine dns servisini yüklemek ve internet sorguları için domain’ e hizmet veren dns leri buna yönlendirmek olacaktır.
Distributed File System
Distributed File System ( DFS ) teknolojisi Windows Server 2003 R2 üzerinde WAN yapıları için basitleştirilmiş bir replikasyon ve çoğrafik kayıplarda erişim toleransı sağlamaktadır.
DFS içerisinde iki teknoloji bulunmaktadır
DFS Replication : Bu replikasyon teknolojisi sayesinde sunucular arasındaki verilerin replikasyonu çok kolay bir şekilde gerçekleşmektedir. Sahip olduğu durum bazlı ve multi master replikasyon motoru sayesinde wan performasını arttırmaktadır. DFS replikasyonu zamanlı replikasyon desteklemektedir , ayrıca BW ayarlama ve byte seviyesinde sıkıştırma algoritması ( Remote Differential compression RDC ) ile bizlere performanslı bir replikasyon alt yapısı sunmaktadır. ( düşük BW ler ortamlarda bile )
RDC ; data içerisindeki eklemeleri , çıkarmaları ve değişiklikleri fark ederek sadece bu alanları replike eder. Ayrıca cross-file RDC olarak isimlendirilen RDC nin bir fonksiyonu sayesinde sadece yeni dosyaları replike ederek BW maliyetlerini düşürür.
DFS Namespace : Bu özelik sayesinde farklı sunucular üzerindeki paylaşımların tek bir paylaşım gibi sunulması sayesinde hata toleransı sağlanır. Bu özellik windows 2000 ve 2003 deki gibi çalışır.
Eğer Windows Server 2003 R2 üzerinde folder synchronize yapacaksanız FRS yerine DFS kullanın. DFS , FRS göre windows server 2003 R2 üzerinde pek çok avantaja sahiptir. ( geliştirilmiş yönetim araçları , performans ve delegasyon )
Kullanıcı namespace e bağlanmak istediğinde ilk olarak namespace server ile iletişime geçer. Name Space server ise kullanıcıya bu name space i tutan sunucuların bir listesini iletir (called folder targets )
DFS-R:
Windows Server 2003 DC’leri düşük bant hızındaki şubelerde çalıştırdıysanız muhtemelen Sysvol replikasyonu ile ilgili problemlere rastlamışsınızdır. 2003 DC’lerde Sysvol replikasyonu için FRS adı verilen bir servis kullanılmaktaydı. Windows Server 2003 SP2 ile birlikte DFS-R adı verilen yeni bir teknoloji geldi. Bu teknoloji ile farklı sunucular üzerinde bulunan klasörler içerik olarak senkronize edilebiliyor ve bunu yaparken sıkıştırma ve delta replikasyonu gibi yeteneklerden faydalanılabiliyordu. Sorun şuydu ki, DFS-R Sysvol replikasyonu için kullanılamıyordu.
2008 dizin sunucular üzerinde Sysvol replikasyonu için artık DFS-R kullanabiliyoruz. DFS-R iki sebepten bant genişliğini çok daha verimli bir şekilde kullanıyor. Bunların ilki sıkıştırma, DFS-R replikasyonunda paketler sıkıştırılarak gönderiliyor. İkincisi ise delta replikasyonu, FRS replikasyonunda Sysvol klasöründeki bir dosyayı edit edip içeriğini değiştirmeniz dosyanın tamamının diğer DC’lere replikasyonu ile sonuçlanırdı. DFS-R kullandığınız durumda ise dosyanın sadece değişen kısmı replike ediliyor. DFS-R, FRS limitasyonları yüzünden ortaya çıkan domain başına 1200 DC sınırını aşmamıza yardımcı oluyor. Yine DFS-R özellikle şubelerde çok rastlanan ani elektrik kesintileri sonucu Sysvol klasörlerinin JournalWrap durumuna düşmesi ve Sysvol replikasyonunu durdurması hallerinde kendi kendine iyileştirme aksiyonları alabiliyor.
Sysvol replikasyonu için DFS-R kullanmak isterseniz bazı gereksinimleri karşılamanız gerekli. Bunların ilki ve en önemlisi Domain Functional Level olarak Windows Server 2008 kullanmanız, yani dizin yapınızdaki tüm DC’ler Windows Server 2008 olmalı. Daha sonra dfsrmig.exe komut satırı aracını kullanarak Sysvol replikasyonunu FRS’ten DFS-R’a migrate etmeniz gerekli. Bu işleme başlamadan önce Technet’te iyi bir araştırma ve dikkatli planlama yapmanızı tavsiye ederim.
Active Directory yapısındaki makine hesapları NT zamanında 7 gün, windows server 2000 den beri ise 30 günde bir şifrelerini resetlerler. Bu şifreleri sistem kendisi tanımlar ve bu resetleme periyodunu normalde değiştirmeyiz. Yani pek çok sistem yöneticisinin haberi bile olmaz böyle bir sürecin olduğundan. Çünkü kullanıcı şifreleri kullanıcılar tarafından kullanılıyor veya expire olduğu zaman birileri tarafından değiştiriliyor. Oysaki makine şifreleri için bu işlem otomatik gerçekleşmektedir. Bu güzel bir özelliktir ki zaten sistemden uzaklaşan eski bilgisayar hesaplarını silmek için kullandığınız tüm araçlar bu şifrenin en son ne zaman set edildiğine bakıp buna göre rapor verir. Yani siz 90 günden eski makine hesapları derseniz aslında 90 gündür secure channel password ünü resetlemeyen makineleri istiyorsunuz demektir.
Peki gelelim bunun negatif yönlerine . Eğer siz bir bilgisayarın imajını alıp başka bir site üzerinde açarsanız , farklı ip lerde olduğu için çakışma olmayacaktır. Makine isimleri de aynı olabilir ancak buradaki sıkıntı siz bu makineyi farklı bir AD site yapısında ayağa kaldırırsanız ayağa kalkan makine gidip secure channel password ünü değiştirirse bu durumda production olan yani merkez site içerisindeki asıl makineniz domainden düşecektir. Bunun çözümü olarak kaynak makine workgroup alınmalı ve tekrar domain e eklenmelidir. Buna çözüm olarak diğer site eğer bir disaster site ise tek yönlü replikasyon ile bu sorun giderilebilir.
tek yönlü replikasyon için aşağıdaki komutu kullanabilirsiniz
Repadmin /options drcdc +DISABLE_OUTBOUND_REPLICATION
buradaki drcdc uzak site da bulunan dc nizin ismidir.
Eğer disaster site içerisinde canlı sistemleriniz var ise bu durumda tek yönlü replikasyon yapma şansınız yoktur. o zaman ya bu özelliği kapatmalı veya 30 günlük süreyi uzatmalısınız.
bunun için aşağıdaki configleri yapabilirsiniz
kapatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
RefusePasswordChange
REG_DWORD
1
süresini uzatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
MaximumPasswordAge
REG_DWORD
#days up to 1,000,000
umarım faydalı bir bilgi olmuştur.
Bu konuda çok fazla soru var forum ortamında (www.cozumpark.com) ve bende bu noktaya açıklık getirmek adına sizler için detaylı bir bilgi topladım . Evet ilk olarak elinizde bir kullanıcı bilgisi var ve bunun SID numarasını öğrenmek istiyorsanız SID converter isimli yazılım sizin işinizi görecektir.
Burada gördüğünüz gibi isim verip SID öğrenebiliyorsunuz. Veya SID verip de isim öğrenme şansına sahipsiniz.
Buraya kadar kullanıcı bazlı çözüm üretebiliyoruz . Ama siz derseniz ki ben makine isminden SID öğreneceğim o zamna sysinternals ın ürünü olan PsGetSID sayesinde makine isimlerinden SID lere ulaşabiliriz.
komut son derece basit
psgetsid computername veya psgetsid hakanuzuner şeklinde user bilgiside alabiliyoruz.
gelelim en zor ve en son kısma.
Elinize SID var ve bunun hangi makineye ait olduğunu öğrenmek istiyorsunuz . Bu makaleyi yazdığım gün itibari ile böyle bir tool yok ama domain ortamınızdan aşağıdaki komut ile tüm makine SID lerini alıp bunların arasında basit bir sorgu ile bu sonuca ulaşabilirsiniz
dsquery * -filter “(objectcategory=computer)” -attr objectsid -limit 10000 >a.txt
burada 10.000 kayıt için filtre verdim , daha fazla obje var ise directory içerisinde bu değeri yükseltebilirsiniz. Bu çıktıyı komutu çalıştığınız dizinde a.txt içerisine atacaktır.
ÇözümPark Bilişim Portalından Bir İlk Daha!!!
Active Directory MVP si Mesut ALADAĞ’ ın ÇözümPark için hazırladığı eğitim videoları bu hafta sonu itibari ile yayınlanmaya başlıyor!!!
Konular aşağıdaki gibidir ;
Windows 2008 R2 FCI ile File Server
Windows 2008 R2 Branchcache
Windows 2008 R2 Active Directory Recycle Bin
Windows 2008 R2 Active Directory Managed Service Account
Windows 2008 R2 GPO ile AppLocker Politikalari
Windows 2008 R2 Group Policy Preferences Ayarları
Windows 2008 R2 Active Directory ile Administrative Center
Windows 2008 R2 Active Directory Best Practice Analyzer
Windows 2008 R2 Powershell Active Directory Modülü
