dsquery user -name *xyz

yani isminin sonunda xyz geçen kullanıcılar gelir.

dsquery user -name *xyz*  isminde xyz geçen kullanııclar gelir

dsquery user -name xyz*  ismi xyz ile başlayan kullanıcılar gelir.

1.       Compatibility issues you should address before beginning the upgrade

a.       http://support.microsoft.com/kb/946405 – No LM Hash

b.      http://support.microsoft.com/kb/942564 – NT 4.0 domains

c.       http://technet.microsoft.com/en-us/library/cc731654.aspx – SMB Signing

d.      http://support.microsoft.com/kb/950876 – Known GPO issues with Win2K8/Vista

e.      http://support.microsoft.com/kb/944043 – RODC Client Pack

f.        http://support.microsoft.com/default.aspx?scid=kb;EN-US;968614 – Outlook 2003 hotfix

g.       http://support.microsoft.com/kb/958980 – Issue with OCS 2007 or LCS 2005

h.      http://support.microsoft.com/kb/947039 – You cannot locally configure or locally delete the application partitions that are created for IP telephony after you upgrade from Windows Server 2003 to Windows Server 2008  

i.          http://support.microsoft.com/kb/948680 – Description of the Microsoft server applications that are supported on Windows Server 2008

j.        Browse list fails.  If dependent on browse list, then set browser service to auto on PDCe and one DC per segment.

k.       DFS site costed referrals are enabled on W2K8 DCs.  This is a good change, but may result in W2K8 providing referrals in a different order than W2K3 DCs which have this feature disabled by default

l.         Lmcompatabilitylevel increased to 3. See http://technet.microsoft.com/en-us/library/cc960646.aspx

m.    NullSessionPipes list is shorter. See the Threats and Countermeasures guide

n.      NullSessionShares has been removed.  See the Threats and Countermeasures guide

o.      NSPI connections limited to 50 per user.  http://support.microsoft.com/kb/949469

p.      DES crypto disabled on R2.  See TechNet doc above and the following. http://support.microsoft.com/kb/978055

2.       Fixes you should have downloaded in advance

a.       Might as well integrate SP2 into your install process

b.      If you use devolution to resolve single-label or non-qualified DNS names, get KB957579 and integrate into build process

c.       KB949189 if Japanese Language Locale will be used on W2K8 DCs

d.      Download 948690 if EFS encrypted files exist on W2K3 computers being in-place upgraded to W2K8

e.      If using GPP, download KB943729

g.       Slipstream all fixes into build process where possible / practical.

h.      Have you ever auth restored your domain KRBTGT account?  If so, http://support.microsoft.com/kb/939820 

i.         Have you ever auth restored your domain KRBTGT account? If so, http://support.microsoft.com/kb/968140

3.       ADPREP /FORESTPREP failures include

a.       Insufficient credentials used to run forestprep

b.      Schema FSMO not assigned to live DC or hasn’t inbound replicated since last boot

c.       Antivirus agent creates locks on LDIF files resulting in error “the callback function failed”

d.      running incorrect version of ADPREP

e.      Schema conflicts including conflicting ldapdisplay names, linkids, oids, Dn paths, attribute syntax, missing “may contains” attributes (KB969307)

4.       RODCPREP failures include

a.       Infrastructure masters not assigned to live DC. See MKSB 949257

5.       DOMAINPREP /GPPREP fails because

a.       Infrastructure master assigned to offline or deleted NTDSA

b.      Insufficient credentials used

c.       Error “callback function failed” = sysvol not shared, default policy missing or missing default GUID or problem with reparse point

6.       DCPROMO

a.       Lots of customers are not correctly configuring AllowNT4Crypto in DCpromo. There are 100+ cases where domain join or user logon or trust create or trust use is failing. See KB942564

b.      DCPROMO incorrectly detects that IPv6 configured with dynamic IP. Resolved by SP2, otherwise, ignore error

c.       DNS Delegation warning http://technet.microsoft.com/en-us/library/dd379526(WS.10).aspx

d.      Option to install DNS Server role grayed out if DNS server role already installed.

e.      If Japanese Language locale used, install the fix b4 allowing 1^st reboot after DCPROMO with connectivity to replica DCs

7.       RODCPROMO

a.       Option to install RODCs only enabled if FFL = W2K3 or higher

b.      Cannot make the first W2K8 DC in a domain an RODC

8.       Post upgrade

a.       For RODCs

                                                         i.            Get 953392 on all W2K8 writable DCs.

                                                       ii.            Install RODC compatibility pack (MSKB 944043 ) on relevant OS versions in environment

                                                      iii.            The DNS Server service on an RODC does not respond to DNS queries for several minutes if the link to some RWDCs breaks in Windows Server 2008. KB981370

b.      For DNS Servers

                                                         i.            For all W2K8 DNS Servers hosting secondary copies of DNS zones, make sure that 953317 installed to avoid the zone transfer delete bug

                                                       ii.            EDNS (RFC 2671) is turned on for W2K8 R2 DNS servers.  Review the following KBs for examples of compatability issues. KB828263 KB977158 KB832223

               c.    For DCs running on hyper-V & VMWARE,

                                                         i.            Install a UPS

                                                       ii.            Brief all admins on the risks of USN rollbacks caused by restoring snapshots on DC role guests. Review http://technet.microsoft.com/en-us/library/dd363553(WS.10).aspx

                                                      iii.            P2V conversions should be done in offline mode. If converting multiple DC’s in same forest, then all need to be offline @ same time.

               d.    Disaster Avoidance & Recovery

                                                         i.            Enable delete protection on OU containers

                                                       ii.            Enable system state backups

                                                      iii.            If using 3^rd party backup, test system state restores + alternate backup like Windows Server backup so that PSS can restore when 3^rd party product fails to restore

               e.    Admin stuff

                                                         i.            Execute 948690 if EFS on W2K3 computer upgraded to W2K8

                                                       ii.            If using GPP, install 943729

                                                     iv.            Get W2K8 Admin tools for Vista clients: 941314    Description of Windows Server 2008 Remote Server Administration Tools for Windows Vista Service Pack 1

               f. For Recycle bin

                                         i. With Identity Lifecycle Manager (ILM), including Feature Pack 1 (FP1), the Management Agent for Active Directory is not supported with the Recycle Bin feature.  KB2018683

Adımlar son derece basit ; aşağıdaki linkleri takip edebilirsiniz

Ortam Exchange 2003,2007 ve Outlook 2003,2007,2010 ise yapılması gereken adamlar:

1.    AD’ye resimleri yüklemek, http://msexchangeteam.com/archive/2010/03/10/454223.aspx
2.    Clientlara en güncel Outlook Social Connector kurmak, http://support.microsoft.com/kb/983403
3.    GPO ile Outlook Social Connector ayarlarını yapmak, http://support.microsoft.com/kb/2020103

http://msexchangeteam.com/archive/2010/03/10/454223.aspx

Click here to register

CAN’T MAKE THE LIVE EVENT? REGISTER ANYWAY TO GET THE RECORDED VERSION.

Title: Auditing User Accounts in Active Directory with the Windows 2003 & 2008 Security Logs
Date: Thursday, August 26, 2010 11:00:00 AM EDT

This is real training.

Space is limited.
Reserve your Webinar seat now at:
http://www.ultimatewindowssecurity.com/webinars/register.aspx?id=104

Need CPE credit for this or any other webinar? Just visit www.ultimateWindowsSecurity.com, click on the Webinars section, and then the link for CPE credit transcript.

Thanks as always for reading and best wishes on security,
Randy Franklin Smith

Bildiğiniz gibi yapılar büyüdükçe herkes rolleri ayrımak ister , ancak DNS için bu geçerli değildir. Çünkü siz DC olmayan member bir 2003 veya 2008 server üzerinde dns kursanız dahi bunların üzerinde açacağınız zone lar AD integrated olmayacağı için sağlıklı bir dns replikasyonu olmayacaktır. Bu nedenle büyük yapılarda replikasyon çok önemli bir olgu olduğu için böyle bir senaryo yanlıştır. Yani yapınız ne kadar büyük olursa olsun ( örneğin 25.000 user ) DNS ler DC lerin üzerindedir.

Ama bilinmesi gereken şey ;Domain e hizmet eden DNS lerin forward bölümüne direk olarak google , telekom vb dış dns lerin verilmemesidir. Bunun nedeni ise her internet sorgusu için kendisinin mesai harcıyor olmasıdır. Bunun için en iyi yöntem şirket içine kuracağınız workgroup olarak çalışan bir 2003 server üzerine dns servisini yüklemek ve internet sorguları için domain’ e hizmet veren dns leri buna yönlendirmek olacaktır.

Distributed File System ( DFS ) teknolojisi Windows Server 2003 R2 üzerinde WAN yapıları için basitleştirilmiş bir replikasyon ve çoğrafik kayıplarda erişim toleransı sağlamaktadır.

DFS içerisinde iki teknoloji bulunmaktadır

DFS Replication : Bu replikasyon teknolojisi sayesinde sunucular arasındaki verilerin replikasyonu çok kolay bir şekilde gerçekleşmektedir.  Sahip olduğu durum bazlı ve multi master replikasyon motoru sayesinde wan performasını arttırmaktadır.  DFS replikasyonu zamanlı replikasyon desteklemektedir , ayrıca BW ayarlama ve byte seviyesinde sıkıştırma algoritması ( Remote Differential compression RDC ) ile bizlere performanslı bir replikasyon alt yapısı sunmaktadır. ( düşük BW ler ortamlarda bile )

RDC ; data içerisindeki  eklemeleri , çıkarmaları ve değişiklikleri fark ederek sadece bu alanları replike eder. Ayrıca cross-file RDC olarak isimlendirilen RDC nin bir fonksiyonu sayesinde sadece yeni dosyaları replike ederek BW maliyetlerini düşürür.

DFS Namespace : Bu özelik sayesinde farklı sunucular üzerindeki paylaşımların tek bir paylaşım gibi sunulması sayesinde hata toleransı sağlanır.  Bu özellik windows 2000 ve 2003 deki gibi çalışır.

Eğer Windows Server 2003 R2 üzerinde folder synchronize yapacaksanız FRS yerine DFS kullanın. DFS , FRS göre windows server 2003 R2 üzerinde pek çok avantaja sahiptir. ( geliştirilmiş yönetim araçları , performans ve delegasyon )

Kullanıcı namespace e bağlanmak istediğinde ilk olarak namespace server ile iletişime geçer. Name Space server ise kullanıcıya bu name space i tutan sunucuların bir listesini iletir (called folder targets )

DFS-R:

Windows Server 2003 DC’leri düşük bant hızındaki şubelerde çalıştırdıysanız muhtemelen Sysvol replikasyonu ile ilgili problemlere rastlamışsınızdır. 2003 DC’lerde Sysvol replikasyonu için FRS adı verilen bir servis kullanılmaktaydı. Windows Server 2003 SP2 ile birlikte DFS-R adı verilen yeni bir teknoloji geldi. Bu teknoloji ile farklı sunucular üzerinde bulunan klasörler içerik olarak senkronize edilebiliyor ve bunu yaparken sıkıştırma ve delta replikasyonu gibi yeteneklerden faydalanılabiliyordu. Sorun şuydu ki, DFS-R Sysvol replikasyonu için kullanılamıyordu.

2008 dizin sunucular üzerinde Sysvol replikasyonu için artık DFS-R kullanabiliyoruz. DFS-R iki sebepten bant genişliğini çok daha verimli bir şekilde kullanıyor. Bunların ilki sıkıştırma, DFS-R replikasyonunda paketler sıkıştırılarak gönderiliyor. İkincisi ise delta replikasyonu, FRS replikasyonunda Sysvol klasöründeki bir dosyayı edit edip içeriğini değiştirmeniz dosyanın tamamının diğer DC’lere replikasyonu ile sonuçlanırdı. DFS-R kullandığınız durumda ise dosyanın sadece değişen kısmı replike ediliyor. DFS-R, FRS limitasyonları yüzünden ortaya çıkan domain başına 1200 DC sınırını aşmamıza yardımcı oluyor. Yine DFS-R özellikle şubelerde çok rastlanan ani elektrik kesintileri sonucu Sysvol klasörlerinin JournalWrap durumuna düşmesi ve Sysvol replikasyonunu durdurması hallerinde kendi kendine iyileştirme aksiyonları alabiliyor.

Sysvol replikasyonu için DFS-R kullanmak isterseniz bazı gereksinimleri karşılamanız gerekli. Bunların ilki ve en önemlisi Domain Functional Level olarak Windows Server 2008 kullanmanız, yani dizin yapınızdaki tüm DC’ler Windows Server 2008 olmalı. Daha sonra dfsrmig.exe komut satırı aracını kullanarak Sysvol replikasyonunu FRS’ten DFS-R’a migrate etmeniz gerekli. Bu işleme başlamadan önce Technet’te iyi bir araştırma ve dikkatli planlama yapmanızı tavsiye ederim.

Peki gelelim bunun negatif yönlerine . Eğer siz bir bilgisayarın imajını alıp başka bir site üzerinde açarsanız , farklı ip lerde olduğu için çakışma olmayacaktır. Makine isimleri de aynı olabilir ancak buradaki sıkıntı siz bu makineyi farklı bir AD site yapısında ayağa kaldırırsanız ayağa kalkan makine gidip secure channel password ünü değiştirirse bu durumda production olan yani merkez site içerisindeki asıl makineniz domainden düşecektir. Bunun çözümü olarak kaynak makine workgroup alınmalı ve tekrar domain e eklenmelidir. Buna çözüm olarak diğer site eğer bir disaster site ise tek yönlü replikasyon ile bu sorun giderilebilir.

tek yönlü replikasyon için aşağıdaki komutu kullanabilirsiniz

Repadmin /options drcdc +DISABLE_OUTBOUND_REPLICATION

buradaki drcdc uzak site da bulunan dc nizin ismidir.

Eğer disaster site içerisinde canlı sistemleriniz var ise bu durumda tek yönlü replikasyon yapma şansınız yoktur. o zaman ya bu özelliği kapatmalı veya 30 günlük süreyi uzatmalısınız.

bunun için aşağıdaki configleri yapabilirsiniz

kapatmak için

HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
RefusePasswordChange
REG_DWORD
1

süresini uzatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
MaximumPasswordAge
REG_DWORD
#days up to 1,000,000

umarım faydalı bir bilgi olmuştur.

Burada gördüğünüz gibi isim verip SID öğrenebiliyorsunuz. Veya SID verip de isim öğrenme şansına sahipsiniz.

Buraya kadar kullanıcı bazlı çözüm üretebiliyoruz . Ama siz derseniz ki ben makine isminden SID öğreneceğim o zamna sysinternals ın ürünü olan PsGetSID sayesinde makine isimlerinden SID lere ulaşabiliriz.

komut son derece basit

psgetsid computername  veya psgetsid hakanuzuner şeklinde user bilgiside alabiliyoruz.

gelelim en zor ve en son kısma.

Elinize SID var ve bunun hangi makineye ait olduğunu öğrenmek istiyorsunuz . Bu makaleyi yazdığım gün itibari ile böyle bir tool yok ama domain ortamınızdan aşağıdaki komut ile tüm makine SID lerini alıp bunların arasında basit bir sorgu ile bu sonuca ulaşabilirsiniz

dsquery * -filter “(objectcategory=computer)” -attr objectsid -limit 10000 >a.txt

burada 10.000 kayıt için filtre verdim , daha fazla obje var ise directory içerisinde bu değeri yükseltebilirsiniz. Bu çıktıyı komutu çalıştığınız dizinde a.txt içerisine atacaktır.

ÇözümPark Bilişim Portalından Bir İlk Daha!!!

Active Directory MVP si Mesut ALADAĞ’ ın ÇözümPark için hazırladığı eğitim videoları bu hafta sonu itibari ile yayınlanmaya başlıyor!!!

Konular aşağıdaki gibidir ;

Windows 2008 R2 FCI ile File Server
Windows 2008 R2 Branchcache
Windows 2008 R2 Active Directory Recycle Bin
Windows 2008 R2 Active Directory Managed Service Account
Windows 2008 R2 GPO ile AppLocker Politikalari
Windows 2008 R2 Group Policy Preferences Ayarları
Windows 2008 R2 Active Directory ile Administrative Center
Windows 2008 R2 Active Directory Best Practice Analyzer
Windows 2008 R2 Powershell Active Directory Modülü

This event is not generated on Windows Server 2003. 550 Notification message that can indicate a possible denial-of-service attack. 551 User-initiated logoff. This event is generated when the user initiates the logoff process. When the logoff process is complete, event 538 is logged. 552 Successful logon. This event is generated when a user logs on with explicit credentials while already logged on as another user. This event is logged when using the RunAs tool. 553 Logon failure. This event is generated when an authentication package detects a replay attack. ]]> http://www.hakanuzuner.com/index.php/logon-event-id-ler-interactive-logon-events.html/feed 0 http://www.hakanuzuner.com/index.php/active-directory-powershell-to-manage-users.html?utm_source=rss&utm_medium=rss&utm_campaign=active-directory-powershell-to-manage-users http://www.hakanuzuner.com/index.php/active-directory-powershell-to-manage-users.html#comments Thu, 10 Jun 2010 18:29:58 +0000 Hakan Uzuner http://www.hakanuzuner.com/?p=14440 Company ismine göre kullanıcıların listelenmesi;

Get-ADUser -Filter ‘company -eq “company name”‘ | FT Name,SamAccountName -A

company isminin güncellenmesi;
Get-ADUser -Filter ‘company -eq “company name old”‘ | Set-ADUser -Replace @{company=”company name new”}

company ismine göre kullanıcıları company ismiyle beraber listelenmesi
Get-ADUser -Filter ‘company -eq “company”‘ -Properties * | ft name,company

company ismine göre kullanıcıları mail adresleriyle beraber listelenmesi
Get-ADUser -Filter ‘company -eq “company”‘ -Properties * | FT Name,SamAccountName,mail -A

kaynak ; yasarcugalir.com

http://www.cozumpark.com/blogs/small_business_server/archive/2008/03/27/sbs-2003-active-directory-migration-b-l-m-1.aspx

vssadmin list shadowstorage

When you’re moving from the older File Replication Service to Distributed File System Replication to propagate the contents of the SYSVOL which contains your logon scripts and your group policy object ADMX files, you’ll want something to guide you in the migration process and this document is just what the doctor ordered.

Here’s the announcement:

Ned here. It’s done, it’s out, come get it, stop yelling at me!

• SYSVOL Replication Migration Guide: FRS to DFS Replication (TechNet Version)
• SYSVOL Replication Migration Guide: FRS to DFS Replication (Word Doc Version)

Be sure to also run through some of these (possibly) useful accompanying pieces:

• Verifying File Replication during the Windows Server 2008 DFSR SYSVOL Migration – Down and Dirty Style
• DFSR SYSVOL Migration FAQ: Useful trivia that may save your follicles
• KB968733 (hotfix for migration under certain RODC scenarios)
• KB967326 (hotfix for migration under disjoint name space scenarios)

- Ned ‘Yes, my middle name is DFSR’ Pyle

http://blogs.technet.com/b/filecab/archive/2008/02/08/sysvol-migration-series-part-1-introduction-to-the-sysvol-migration-process.aspx

1.      IPv6 desteği ile birlikte AAAA (4A kaydı) kaydının eklenmesi

1. • Windows Server 2003 DNS konsolu üzerinde 128 bit uzunluğundaki 4A kaydı yaratılmasını sağlayabiliyoruz. 2008/R2 ile birlikte tam destek gelmiştir ve güncelleştirmeleri de kabul etmektedir.
   • En büyük kolaylık “Reverse Zone” olarak IPv6 subnet’lerinin yaratılmasındadır. Sadece IPv6 prefix’i belirtilerek zone’un yaratılması sağlanabilir.

2. Global Name Zone (Genel Tek Adlar)

• Windows NT 4.0’dan bu yana kullanılan WINS isim çözümlemesi yani NetBIOS (single-label/tek etiketli) isimlerinin çözümlenmesi için ayrı bir servis yerine bir etki alanı/bölge mantığında isim çözümlemesine yarar.
• Uygulama ve kullanıcı NetBIOS isim çözümlemesi isteğinde bulunduğunda, dnsapi sistemin dahil olduğu etki alanı veya Group Policy ya da DHCP ile sağlanan ekleri kullanarak sorguyu FQDN (Fully Qualified Domain Name) olarak gönderir. Herhangi bir etki alanına dahil olmayan cihazların, örneğin yazıcılar gibi, ismini çözmek için WINS servisini kurmak yerine GlobalNames zone kullanılabilir.
• Bu özellik client tarafında ayrıca bir değişiklik gerektirmediğinden, 2008 geçişi ile birlikte WINS servislerinin ortamdan kadırılması için karar vermeyi kolaylaştıracaktır. Tabii ki NetBIOS isimlerini kullanan Session-layer uygulamalarınız varsa halen NetBIOS isimlerini ihtiyaç duyarsınız. Ancak bu durumda illa ki WINS kullanmak zorunda değilsiniz.
• Ayrıca daha önce yapılandırmalarda sıklıkla karşıma çıkan bir soruna da çözüm olacaktır. Birden fazla domain etki alanı olan yada farklı suffix’ler kullanılan ortamlarda tüm client’ların single-label isimler kullanarak bazı uygulamalara erişmesi için Ağ yöneticileri her bir DNS zone üzerinde o uygulama sunucusu için kayıt oluşturmak zorundadırlar. Eskiden beri gelen alışkanlık, WINS servisi kullanmaktır ki isim değişiklikleri ve bunların güncelleştirmesi düşünüldüğünde mantıklıdır. Örnek vermek gerekirse, diyelim holding.com ana etki alanında akdeniz.holding.com ve marmara.holding.com gibi bölge ve alt etki alanları olduğunu düşünelim. Fiziksel yönlendirmelerin doğru yapıldığı bir ağda tüm kullanıcıların sadece tek bir isim kullanarak bir Web uygulamasına  erişmesini isterseniz, diyelim ki adı “WEBO” olsun, webo.akdeniz.holding.com ve webo.marmara.holding.com altında iki tane kayıt oluşturmanız gerekecek. Ayrıca sonra ki isim ve IP değişikliklerini de manüel takip etmek gerekecek. ancak GlobalNames ile sadece WEBO ismini yaratmanız yeterli olacaktır.
• GlobalNames dinamik güncelleştirmeleri desteklememektedir.

3. Background zone loading (Arka planda bölge yükleme)

• Windows 2000 Server’dan bu yana Domain etki alanları ve DNS bölgeleri Active Directory üzerinde tutulup, aynı etki alanındaki DC’ler tarafından paylaşılmaktadır. Genelde birçok sistem yöneticisi üzerinde DNS servisi olan DC’lerin TCP/IP ayarlarında birincil DNS olarak kendilerini gösterirler. Bu durumda sunucuyu başlattığınızda, DNS servisi zone’ları yüklemek için AD servisinin ayağa kalkmasına ihtiyaç duymaktadır. AD servisi de diğer DC’ler ile etkileşime geçebilmek DNS servisinin ayağa kalkmasını beklemektedir. İkincil bir DNS tanımı ile bu süreci hızlandırabilsek de DNS servisinin AD’den yükleme yapmasını Windows Server 2008’e kadar hızlandıramamıştık. Bu özellik ile birlikte, DNS servisi kendisine gönderilen DNS sorgularını neredeyse hemen cevaplamaya başlar. Bunu yapabilmek içinde öncelikle yüklemesi gereken zone bilgilerini toparlar ve bunu AD’den ister; kayıtların tamamı yüklenene kadar ise gelen tüm isteklere cevap verir. Eğer hali hazırda yüklemeyi bitirdiği bir kayıt sorgulanıyorsa, cevap verir, aksi halde yüklenmesini beklemeden, yeni bir thread daha oluşturarak sorgusu yapılan kaydın yüklenmesini ve böylelikle cevabın gönderilmesini sağlar.
• Özetle, DNS servisi başladığında birden fazla thread kullanarak AD’den yüklemeyi başlatır ve böylelikle hem süreç hızlanır hemde sorgulara cevap vermek için bu sürecin bitmesini beklemek zorunda kalmayız.

4. Read-Only Domain Controller (RODC) Desteği

• Windows Server 2008 ile birlikte gelen RODC özelliğini DNS sunucuları da yeni primary read-only zone ile desteklemektedir.
• Bir sunucuyu RODC yaptığınızda application directory partition altında yer alan ForestDNSZones ve DomainDNSZones zone’larının birer salt okunur (read-only) kopyasını oluşturmaktadır. Adından da anlaşılacağı gibi üzerinde DNS servisi çalışan RODC’lerde DNS kayıtları ile ilgili bir değişiklik yapamazsınız. RODC kullanımındaki asıl amaç fiziksel güvenliğin sağlanamayacağı ortamlara DC kurulmasını sağlamktır.

5. Global Query Block List (Genel Sorgu Engelleme Listesi)

• Bu özellik bir güvenlik güncelleştirmesi ile birlikte önceki DNS sunucu sürümlerine de yüklenebilmektedir: KB968732
• Buradaki amaç kötü niyetli kişilerin bazı özel isimleri DNS’e kaydetmesini engellemektir. Etki alanında yetkili her kullanıcı kullandığı sisteme istediği ismi verebilir, tabii ki aksini söyleyen bir şirket politikası yoksa. Bu durumda örneğin bir kullanıcı sistemine WPAD adını verebilir. WPAD (Web Proxy Auto-discovery Protocol) yani Web Proxy Otomatik Bulma Protokolü Internet Explorer tarafından kullanılan ve bir Web Proxy sunucusu bulmaya yarayan protokoldür. Eğer siz WPAD isminde bir sistemi DNS’e kaydederseniz, tüm IE kullanıcılarını o sistem üzerinden Internet’e çıkmaya zorlayabilirsiniz. Bunu engellemek için yöneticiler genelde WPAD isminde herhangi bir IP’yi adreslemeyen kayıt oluştururlar. Aynı durum ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) için de geçerlidir. IPv6 istemciler WPAD yöntemine benzer şekilde ISATAP sunucuları ararlar.
• Basitçe bu yeni özellik GlobalQueryBlockList adında bir listenin oluşturulması ve varsayılan olarak, eğer etki alanında kayıtlı değilse, WPAD ile ISATAP isimlerinin buraya eklenmesidir. Bu listeye tabii ki çözümlenmesi istenmeyen diğer isimler de eklenebilir. İsminden de anlaşılacağı gibi Global bir listedir ve o DNS sunucusu üzerinde yüklenen tüm zone’lar için geçerlidir. GlobalNames örneğinde olduğu gibi bu sefer de tüm kullanıcıların WEBO ismindeki sisteme erişmesini engellemek isterseniz, ismi bu listeye ekleyip DNS servisini yeniden başlatmanız yeterlidir.

6. DNSSEC (Sadece R2)

• Bu DNS güvenlik özelliği sadece Windows Server 2008 R2 (ayrıca Windows 7)’de bulunan hem sunucu hem de istemci tarafından kullanılan bir özelliktir.
• DNS istemcisi bir sorgu gönderdiğinde aldığı cevabın değiştirilip, değiştirilmediğini ya da kimden geldiğini kontrol etmeden aldığı cevaba göre işlemine devam eder. Bu durumda arada ki bir kişi tarafından yanıltıcı cevaplar gönderilebilir. DNS istemcisi normalda sorgusuna uygun olmayan cevaplar ile ilgilenmez ancak bir şekilde bu aradaki kişi “authoritative” bir cevaptan önce DNS istemcisinin beklediği cevabı verebilirse, istemciyi farklı bir IP adresine yönlendirebilir. Aynı şekilde “recursive” sorgular yapan DNS sunucuları da benzer ataktan etkilenebilirler. Bunun için DNSSEC özelliği ile birlikte “data integrity” (data doğrulaması) eklenmiştir.
• Şimdiye kadar sadece DNS güncelleştirmelerinde ve eğer zone “secure-only” ise karşılıklı olarak kimlik doğrulaması yapılmaktadır. DNSSEC ile birlikte sadece güncelleştirmelerde değil, DNS sorgularında da gelen cevabın bizim istediğimiz DNS’den gelip, gelmediğine dair bir kontrol yapılmaktadır.

7. DNS Devolution

• Bu özellik R2 ile birlikte DNS istemcilerine varsayılan olarak eklenmiştir. Diğer sürümler için ise KB957579 güvenlik güncelleştirmesi yayınlanmıştır. Bu sunucu değil istemci özelliğidir.
• Devolution özelliğinden bahsetmek gerekirse, daha önce de bahsettiğim gibi DNS istemcilerinin bir uygulamadan yada elle girerek gönderdikleri tek isimli sorguları sistem etki alanı adını ekleyerek FQDN haline getirir ve o şekilde sorguyu gönderir. Aksi belirtilmedikçe, istemci eğer isim çözülemezse etki alanı isminin sol tarafında kalan eki atarak bir kere daha sorgu atar ve bu şekilde ismi çözemedikçe tekrarlar. Artık varsayılan bu hareketi sınırlamanın bir yolu vardır. Örneğin Akdeniz.holding.com.tr etki alanındaki bir kullanıcı “BenimPC” adına bir sorgu gönderirise, bu sorgu öncelikle benimpc.akdeniz.holding.com.tr olarak gönderilir. Eğer yanıt alınamazsa, en soldaki eki atarak tekrar gönderir: benimpc.holding.com.tr. Tekrar yanıt alınamazsa, bu sefer soldan bir ek daha atarak “benimpc.com.tr” yi dener. İşte bu özelliğe Devolution denmektedir.
• Eğer Suffix listesi GPO ile basılıyorsa, “devolution” kullanılmaz ve sadece listede belirtilen isimler kullanılır.
• Eğer istemcinin TCP/IP özelliklerinde isimlerin nasıl eklenileceği ile ilgili olarak “append parent suffixes of the primary DNS suffix” seçimi yoksa yine bu özellik kullanılmaz ki varsayılan olarak vardır.
• Bu özellik iki registry anahtarıyla kontrol edilmektedir:

§  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution: 0 (kapalı) veya 1 (açık)

§  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DomainNameDevolutionLevel: Minimum 2. (varsayılan değer 2’dir.)

• Örneğin yukarıdaki örneğe göre bu değerler sırasıyla 1 ve 3 olsaydı, istemcinin son göndereceği sorgu benimpc.holding.com.tr olacaktı. (3 = holding.com.tr)
• Burada dikkat edilmesi gereken yanlış DomainNameDevolutionLevel verilerek organizasyon içerisinde kullanıcıların Forest seviyesindeki isimleri çözememesi gibi sorunlara sebep olmamaktır. Bu güvenlik güncelleştirmesi ile birlikte Devolution seviyesi otomatik olarak belirlenmektedir. Daha fazla detay için yukarıda bahsettiğim makaleye bakabilirsiniz.

8. DNS Cache Locking (Sadece R2)

• Daha önce yazmış olduğum DNS güncelleştirmeleri ile ilgili yazımda Kaminsky DNS Vulnerability adındaki açıktan bahsedeceğimi belirtmiştim. Şimdi sırası gelmişken bu özellik ile birlikte kısaca bir özetlemek isterim. Bu açıktaki asıl hedef DNS sunucusunun önbelliğidir (cache). Önbellek sorgusu yapılıp cevaplanan sorguların yeniden sorgulanmaması için kaydın TTL olarak belirtilen zamanı süresince saklanması için kullanılır. Hem DNS sunucusunun hem de istemcilerin kullandıkları önbellekler farklıdır. Kaminsky açığı da işte bu noktada önbelleğe gerçek olmayan yanıltıcı IP adresleri yazmayı hedeflemektedir. DNS sunucusuna sürekli olarak belirli bir etki alanının alt etki alanlarına ait sorgular göndererek, onun “bilmiyorum ama şu adrese sorabilirsin” demesini yani referral göndermesini sağlamak ve işte o referral için yanıltıcı bir IP adresi yazabilmektir.
• DNS Sunucusu önbelleğine aldığı her cevabı eğer bir değişiklik varsa günceller. DNS Cache Locking (DNS önbellek kilitlemesi) ise bu güncelleştirmeleri engellemek için kullanılır.
• HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\CacheLockingPercent anahtarında bu güncelleştirmenin TTL değerinin % kaçı kadar süre boyunca engelleneceğini belirtebiliriz. Varsayılan olarak bu değer 100’dür. Yani TTl değeri 4 saat olan bir kayıt ancak 4 saat sonunda güncellenebilir. Zaten TTL değeri sona erdiğinde kayıt önbellekten de silinecektir. Bu değeri 50 olarak veririseniz, TTL’in %50’si yani 2 saat boyunda güncelleme istekleri engellenecektir.

9. DNS Socket Pool

• Yine daha önce belirttiğim güncelleştirmeler ile kazandırılan Socket Pool yöntemiyle kaynak bağlantı noktalarının rastgele olarak seçilmesi özelliği 2008 ve R2 DNS sunucularında da vardır. Burada amaç tahmin edilebilecek kaynak bağlantı noktaları yerine kullanılacak bağlantı noktalarını rastgele seçerek tahmin edilmesini engellemektir.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters\SocketPoolSize anahtarı ile kaç adet bağlantı noktası arasından seçim yapılacağı belirtilebilir. Varsayılan olarak bu değer 2.500’dür.
• R2’de buna ek olarak bağlantı noktalarından bazılarının kullanılmamasını sağlayabiliriz. Örneğin bir uygulama 51000-51100 arasındaki bağlantı noktalarını kullanıyorsa, yine aynı dizinde bulunan SocketPoolExcludedPortRanges anahtarı ile bu aralığın DNS sunucusu tarafından kullanılmasını engelleyebiliriz.
• Önceki yazımda “ReservedPorts” anahtarı ile de bunun yapılabileceğini belirtmiştim. Buradaki fark, “ReservedPorts” anahtarı o sistem üzerinde ki tüm Windows Socket uygulamalarını kapsarken, SocketPoolExcludedPortRanges sadece DNS servisinin kullanmasını engelleyeceğimiz bağlantı noktalarını belirtir.

bunu için aşağıdaki REG_DWORD değerini ekleyip değerini 1 yapıyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

REG_DWORD ekliyoruz ; Strict Replication Consistency

• Value: 1 (0 to disable)
• Default: 1 (enabled) in a new Windows Server 2003 forest; otherwise 0.

DACL -> ACE -> SID,Special Permissions,inheritance, Allow,Deny şeklinde üstten alta doğru sıralanır.

DACL listedir ve hepsini barındırır içinde.

SACL da sadece sistem yöneticilerinin bazı nesnelere (yada administrators üyelerinin) erişmelerine olanak sağlayan yapıdır.

ICACL -> Tüm klasörlerin izinlerini listeler ve export eder.