Windows Server 2008 ve 2008 R2 için Destek Süresi 14 Ocak 2020 Tarihinde Sonra Eriyor

Windows Server 2008 ve 2008 R2 desteği 14 Ocak 2020 tarihinde sona erecek. Peki bu bizim için neyi ifade ediyor. Günümüzde hala Windows 2003 ve XP kullanan işletmelerin olduğu bir ortamda aslında bu durumda daha çok kurumsal şirketleri ilgilendiren bir durum. Yani güvenlik güncelleştirmeleri başta, regülasyon, denetim, şirket içi veya dışı bir takım yaptırımlar nedeni ile alt yapılarında lisanssız ürün bulundurmayan, üreticisi tarafından desteklenmeyen ürün kullanmayan hatta donanım tarafında garantisi olmayan ürünleri altyapısında çalıştırmayan müşteriler için çok kritik bir durum.

Senaryo aslında çok basit, geçtiğimiz 1 yıla bakacak olursak Windows Server 2008, 2008 R2 ailesi için 47 kritik güncelleme yayınlandığını görebiliriz. Bu da demek oluyor ki 14 Ocak sonrasında alt yapılarında Server 2008 ve 2008 R2 kullananlar için çok ciddi bir tehlike onları bekliyor. Peki çözüm nedir? Tabiki burada pek çok firma öncelikle sahip olduğu bu sunucu sayısı kadar yeni lisans almalı, bu da ek bir bütçe demektir. Bazı firmaların ise anlaşmalarından doğan aslında yeni lisansları var, onlar için ise sorun bu sistemleri taşımak. Yani sistemleri güncelleme noktasında temel iki sorun var. Birinci sorun lisans maliyetleri, ikinci sorun ise sistemlerin güncel işletim sistemlerine taşınırken yaşanacak olası kesinti veya eski işletim sistemi üzerinde çalışan uygulamanın destek sorunları.

Biz IT çalışanlarının öncelikli görevi bu durumu şirket yöneticilerine çok iyi bir şekilde anlatmaktır. Üreticisinin desteklemediği bir ürünü sizler yaşatamazsınız. Case açmak destek almayı bırakın kullandığınız işletim sistemi için yama çıkmayacak ve sizin sistemleriniz olası pek çok zafiyete karşı savunmasız olacak. Hatta bu sebeple oluşabilecek veri sızıntısı, şifreleme gibi ataklardan kaynaklı lisans ve geçiş danışmanlığına ödemediğiniz paraları fidyecilere ödeyebilirsiniz.

Umarım sorunsuz bir geçiş planı yapar ve 14 Ocak 2020′ den önce güvenli bölge olan 2012 sürümüne geçebilirsiniz. Tabi ki geçebiliyor sanız 2019 dahil en güncel işletim sistemine geçmeniz tavsiye edilmektedir.

Bu konuda aşağıdaki linki inceleyebilirsiniz.

https://docs.microsoft.com/en-us/windows-server/get-started/modernize-windows-server-2008

Webcast – Verileriniz 10 Yıl Öncesi ile Aynı Değil, Depolama Teknolojiniz Neden Olsun? 12 Kasım Salı Saat 10:00

HPE & Qumulo dosya tabanlı verilerinizi hem kendi veri merkezinizde hem de genel bulut ortamında, en efektif ve akıllı şekilde tutmanızı sağlayan bir dosya sistemi sunmaktadır.

HPE & Qumulo çözümü neler sağlıyor?

• Sahip olduğunuz dosya sisteminin kullanılabilir kapasitesini %100’ e kadar çıkarabilirsiniz.

• Dosya sisteminizde ne olduğu bilgisine gerçek zamanlı olarak erişebilirsiniz.

• Küçük ve büyük boyutlarda milyarlarca dosyayı efektif bir şekilde tutabilirsiniz.

Tüm bu özellikleri ve daha fazlasını dinlemek için sizleri HPE & Qumulo web seminerimize bekliyoruz.

Kayıt için

https://zoom.us/webinar/register/WN_hXr8rOcGSPGiwW6FpcuKGg

1 Soru 1 Cevap: GPO Silme Hatası Hakkında

Soru: Yetkimiz olduğu halde bir GPO’ yu silmeye çalıştığımızda aşağıdaki gibi bir hata alıyoruz, neden?
“the server is unwilling to process the request” the request delete operation could not be performed

Cevap: Bunu google’ a sorduğunuz zaman pek çok yanlış yönlendirme almanız muhtemel. Bu sorunun temel sebebi eğer yetki sorununuz yok ise muhtemel varsayılan iki GPO’ dan birisini silmeye çalışıyorsunuzdur. Bunun anlamanın en iyi yolu silmeye çalıştığınız GPO ilkesinin GUID numarasını karşılaştırmaktır.

1 Soru 1 Cevap: Kayıt Defteri Yetki Hatası Hakkında

Soru: Yönetici haklarına sahip olmama rağmen bazı kayıt defteri anahtarlarını silemiyorum.

Cevap: Aslında ilgili kayıt defteri anahtarı için klasör mantığı ile sahipliği alıp yetki vermeniz durumunda silebilir hale geleceksiniz. Ancak buna rağmen silemediğiniz kayıtlar var ise psexec aracı yardımı ile kayıt defteri ara yüzünü system kullanıcı hesabı ile açarak istediğiniz değeri silebilirsiniz. Komut seti aşağıdaki gibidir;

RDP Atakları için Bilinen Kötü IP Adresleri

Bundan 5 ay önce aşağıdaki gibi bir makale yazmıştım. Amacım RDP tarafındaki tehlike konusunda farkındalık oluşturmaktı. Her ne kadar uyarı yapsakta insanların çok ciddi manada hala dışarıya açık RDP portlarının olduğunu gördüğüm için en azından basit bir kaç adım ile bunları nasıl koruyacaklarını anlattım. Fakat bu makale için kurduğum makine ilginç bir şekilde bu güne kadar kapanmadı, yani daha doğrusu yem olarak makineyi açık bıraktım ve ısrarla atak yapıldığını gördüm. 2 Kasım 2019 itibari ile bu rakam 6257 oldu. Yani 5 ayda 6257 “farklı” ip adresinden RDP portum için şifre denemeleri yapılıyor.

Aslında bunu ara ara twitter hesabımdan ( https://twitter.com/hakanuzuner ) paylaştım. Bunu gören bazı arkadaşlarım bana bu ip adreslerini neden paylaşmıyorsun dedi? Süper fikir dedim ve aşağıdaki gibi basit iki Powershell komutu ile bu ip adreslerini aldım. Bunu düzenli aralıklar ile güncellemeye karar verdim. İlk sürüm bu postum ile beraber sizlerle.

Önce kuralda tanımlı ip adreslerini görebilirsiniz

Get-NetFirewallRule -DisplayName “Block RDP Attackers” | Get-NetFirewallAddressFilter

Tabi bunun pek bir anlamı yok, çünkü bize ip adresleri lazım, madem öyle komutu şu şekilde geliştiriyoruz

Get-NetFirewallRule -displayname “Block RDP Attackers” | Get-NetFirewallAddressFilter | select -ExpandProperty RemoteAddress > c:\komut\badip.txt

Ve karşınızda tüm ip adreslerini görebiliyorsunuz.

Dosyaya aşağıdaki link üzerinden ulaşabilirsiniz.

Forum

Windows Update Sorun Çözümü

Microsoft sistemleri başta olmak üzere yama yönetimi son derece önemlidir. Ancak her yama da beraberinde sağlıklı çalışan sistemlerin sorunla karşılaşmasına neden olabilir. Bir nevi ne yamasız ne de yama ile aslında işler çok yolunda olmayabilir. Ama tabi ki biz sistem yöneticilerinin sorumluluğu pilot deployment dediğimiz yöntem ile küçük ölçekli dağıtımlar yaparak yamaların sorunsuz olduğunu tespit ettikten sonra güncelleme işlemlerini yaygınlaştırmaktır.

Ancak her ne kadar bu işlere dikkat edersek edelim bazen bazı sunucularda bu işin ucunu kaçırabiliyoruz. Hele benim gibi bir danışman ise ne yazık ki hep ipin ucu kaçmış sunucular için size case açarlar.

Tabiki ben daha çok sunucu sistemleri için danışmanlık verdiğimden çözümlerim bu noktada olsa da Windows 10 olmak üzere aslında benzer mimari kullanıldığı için Windows 10 sorunlarında da aynı yöntemleri izleyebilirsiniz.

Öncelikle klasik hata ekranlarındaki kodu google’ a yazıp önerileri yerine getirebilirsiniz, bu en bilinen yöntem ve genelde çok bilinen sorunlar için işe yaradığından başarılıdır, ancak zorlu sorunlar için biraz farklı yerlere bakmak lazım.

Windows Update sorunları için kontrol edilmesi gereken en kritik log dosyası CBS olup konumu aşağıdaki gibidir;

C:\Windows\Logs\CBS\CBS.log

Özellikle eksik yama olan sunucu veya istemci sistemlerinde yüklemeye çalıştığınız ama hata aldığınız yamanın hangi yamaya ihtiyacı olduğunu aşağıdaki gibi satırlardan kontrol edebilirsiniz;

CBS Plan: Start to process package watchlist.

CBS Exec: Package: Package_997_for_KB4520005~31bf3856ad364e35~amd64~~6.3.1.11 is already in the correct state, current: Installed, targeted: Installed

CBS Exec: Skipping Package: Package_997_for_KB4520005~31bf3856ad364e35~amd64~~6.3.1.11, Update: 4520005-1559_neutral_GDR because it is already in the correct state.

CBS Exec: Skipping Package: Package_997_for_KB4520005~31bf3856ad364e35~amd64~~6.3.1.11, Update: 4520005-1560_neutral_GDR because it is already in the correct state.

CBS Store corruption, manifest missing for package: Package_68_for_KB4516067~31bf3856ad364e35~amd64~~6.3.1.8

CBS Failed to resolve package ‘Package_68_for_KB4516067~31bf3856ad364e35~amd64~~6.3.1.8’ [HRESULT = 0x800f0831 – CBS_E_STORE_CORRUPTION]

CBS Mark store corruption flag because of package: Package_68_for_KB4516067~31bf3856ad364e35~amd64~~6.3.1.8. [HRESULT = 0x800f0831 – CBS_E_STORE_CORRUPTION]

CBS Failed to resolve package [HRESULT = 0x800f0831 – CBS_E_STORE_CORRUPTION]

CBS Failed to get next package to re-evaluate [HRESULT = 0x800f0831 – CBS_E_STORE_CORRUPTION]

CBS Failed to process component watch list. [HRESULT = 0x800f0831 – CBS_E_STORE_CORRUPTION]

CBS Perf: InstallUninstallChain complete.

Burada arayacağınız anahtar kelime “CBS_E_STORE_CORRUPTION” olup bunun ön planındaki KB kodundan eksik olan yamayı bulup yüklemeyi deneyebilirsiniz. Örneğin benim sorun yaşadığım müşteride 10 ayda iken 7. Ayın yamasına kadar geri dönmek zorunda kaldım. Sonra sırası ile diğer yamaları yükledim.

Bu arada bu işi çözemeyebilirsiniz, bazen o kadar sorunlu işletim sistemleri oluyor ki onları yeni kurmak en temizi, yani bu yama zincirini bir kere kaybederseniz bir daha toparlamanız çok zordur.

Ayrıca sorunlu bir bilgisayara bağlanırsanız bu log dosyasının sürekli yama yüklemeyi denemesi ama yüklenememesi nedeni ile ciddi şiştiğini, hatta bu nedenle notepad ile açılmadığını görebilirsin. Örneğin benim müşteri makinesinde bu lof 47GB olmuştu, aşağıdaki PS komutu ile bu log dosyasını silip öyle işlemlere başlamanızı öneririm. Ya da tek tek loglardan eksik yamaları bulmanızı ama eski loglar sizi çok yorabilir, tek tek yamaları denemek de ayrı zaman. Karar sizin.

Stop-Service TrustedInstaller
Remove-Item -Path C:\Windows\Logs\CBS\CBS.log
Start-Service TrustedInstaller

Küçük ama faydalı bir bilgi olmuştur.

Tüm Kullanıcıların Şifrelerini Değiştirmeye Zorlanması

ÇözümPark forumlarında sık sorulan soruları kendi blog sayfamda hızlıca ipucu olarak yayınlıyorum. Bu yazımda aynı amaç için hazırlanmıştır.

Tek bir kullanıcı için

Set-ADUser -Identity -ChangePasswordAtLogon $true

OU bazlı

Import-Module ActiveDirectory
Get-ADUser -Filter * -SearchBase “OU=TestOU,DC=TestDomain,DC=Local” | Set-ADUser -ChangePasswordAtLogon:$True

Departman bazlı, tabi bunun için kullanıcılarının departman tanımları önceden yapılmış olmalı
Import-Module ActiveDirectory
Get-ADUser -Filter ‘department -like “Admin“‘ | Set-ADUser -ChangePasswordAtLogon:$True

Toplu yapmak için ekteki gibi excel’ i doldurursanız veya bunu export ederseniz aşağıdaki PS kullanabilirsiniz

ADUsers İndir

Import-Module ActiveDirectory
Import-Csv “C:\Scripts\ADUsers.csv” | ForEach-Object {$samAccountName =$_.”samAccountName” Get-ADUser -Identity $samAccountName | Set-ADUser -ChangePasswordAtLogon:$True}

Belirli bir grup üyeliği için yapmak istiyorsanız aşağıdaki kodu deneyebilirsiniz

Import-Module ActiveDirectory
Get-ADGroupMember -Identity “TestGroup” |Set-ADUser -ChangePasswordAtLogon:$True

Umarım faydalı olmuştur.

1 Soru 1 Cevap: Outlook Gelişmiş Arama Seçeneği

Soru: Outlook üzerinde arama kutusunda arama yaparken alt bölümde gelişmiş arama seçeneği vardı, artık göremiyorum. Neden?

Cevap: Microsoft 15 Eylül 2017 güncellemesi ile Outlook 2016 ürününden bu özelliği kaldırdı. Ancak kısa sürede tekrar getirse de artık bu menüde Arama Araçları altından ulaşabileceksiniz.

#1soru1cevap #cp1soru1cevap

RDS Farm İçerisindeki Session Host Sunucularını Bakım Moduna Alma – Maintenance mode for RDS Session Host Servers

Birden çok Session Host sunucusu olan bir ortamda genelde iş ihtiyaçları nedeni ile connection broker veya NLB gibi cihazlar olabilir. Eğer ortamınızda yük dengeleme ve benzeri iş ihtiyaçları için bir NLB kullanıyorsanız aynı bir web server, Exchange Server, SMTP server veya aklınıza gelebilecek diğer iş yüklerinde olduğu gibi NLB üzerinden ilgili sunucuyu bakım moduna alabilirsiniz. Pek çok farklı NLB üreticisi olsa da benzer şekilde kolayca bu ayarları yapabilirsiniz.
Ancak Microsoft RDS Farm yapılarında genelde yük dengelemek için Connection Broker sunucuları kullanılır. Hatta yapı büyük ve kesintisizlik esas ise bu durumda birden çok CB sunucu HA olarak ortak bir SQL ile cluster çalışacak şekilde kurulabilir. İster CB tek olsun ister HA mutlaka arkasında çalışan session host olarak isimlendirdiğimiz ve aslında oturum veya uygulama sanallaştırdığımız sunucuların bakım moduna alınması gerekebilir. Yama yükleme, bakım işlemleri, yedekleme, sorun çözümü veya pek çok farklı iş ihtiyacı olabilir. Hatta mevcut bir ortama yeni aldığınız sunucuda sorun tespit ettiğiniz anda dahi artık bu sunucuya yeni bir bağlantı gelmeyecek şekilde ayarlamak temel bir iş ihtiyacıdır.

Sebebi her ne olur ise olsun böyle bir iş ihtiyacınız var ise yöntem aşağıdaki gibidir;
Öncelikle server manager üzerinden Remote Desktop Services bölümüne geliyoruz;

Daha sonra bakım moduna alacağımız sunucu hangi collection’ da ise onu seçiyoruz.

Daha sonra Host Servers bölümünden bakım moduna almak istediğimiz sunucuyu seçip sağ tıklıyoruz ve “Do not allow new connections” bölümüne tıklıyoruz.

Kısa bir süre sonra artık bu RDS sunucusunun yeni bağlantı kabul etmediğini göreceksiniz. Mevcut kullanıcıları yine hemen aynı bölümdeki sağ tarafta log off edebileceğiniz gibi bunun için powershell de kullanabilirsiniz.
https://blog.ipswitch.com/how-to-log-off-windows-users-remotely-with-powershell
Bakım modundan çıkarmak için tekrar sunucu üzerine sağ tıklayıp bu sefer bağlantılara izin vermeniz yeterli.
Umarım faydalı bir ip ucu olmuştur. Bir sonraki blog yazımda görüşmek üzere.

Hakan Uzuner

Sharing knowledge is a lifestyle