Etiket arşivi: windows server 2003

Windows Server 2003 Urun Aktivasyonu (Product Activation)

Ürün aktivasyonu Microsoft’un kaçak yazılım kullanımını azaltmak amaçlı getirdiği bir özelliktir. Windows Server 2003 Volume Corporate License ve Windows Server 2003 64-bit versiyonlarına sahipseniz ürün aktivasyonu yapmanıza gerek yoktur. Ürün aktivasyonu internet üzerinden ya da telefonla yapılabilir.

Windows Server 2003 kurulduktan sonra aktivasyon yapmak için 14 günlük süreniz vardır. Bu 14 günlük periyodu geçirirseniz ve bilgisayarınızın yeniden başlaması veya sizin log off olmanız gibi bir durum söz konusu olursa Windows Server 2003’ü normal olarak bir daha başlatamazsınız. Fakat Windows açılırken klavyeden F8 tuşuna basarak ileri açılış seçeneklerinden Safe Mode seçeneği ile açıp logon olabilirsiniz.

Windows Server 2003’ün aktivasyonunu yaptığınızda, ürün aktivasyonu 25 karakter uzunluğundaki Windows kurulurken girilen Product Key’i kullanarak 20 karakter uzunluğunda bir Product ID(ürün numarası) üretir. Server’ın donanımsal konfigürasyonunun genel bilgilerine göre ayrıca benzersiz bir hardware ID de üretilebilir. Product ID ve hardware ID’nin birleşiminden benzersiz bir installation ID numarası oluşturulur. İşte Windows Server 2003’ün aktivasyonunu yapan bu installation ID numarasıdır.

Installation ID’nin güvenli bir yerde saklanması gerekir.(Örneğin Windows Server 2003 kurulum klasörü olabilir.) Eğer daha sonra aynı bilgisayar üzerine tekrar Windows Server 2003 kurulursa, bu üretilen Installation ID ile aktivasyon yapabilirsiniz. Fakat Windows Server 2003 farklı bir bilgisayara kurulacaksa, hardware ID uyuşmazlığından dolayı bu installation ID kullanılamaz ve yeni bir installation ID için de yeniden o bilgisayardan aktivasyon yapılması gerekir.

NOT: Ürün aktivasyonunda Microsoft kişidel bilgileri kullanmaz. Aktivasyon süreci tamamen herkese açıktır.

Windows Server 2003’ü internet üzerinden aktivasyon yapmak için:

  1. Start menüden Activate Windows Seçilir.
  2. Let’s Activate Windows diyalog kutusu görüntülenir.
  3. Yes,Let’s Activate Windows Over The Internet Now seçeneği seçilir ve Next butonuna tıklanır.
  4. Register With Microsoft diyalog kutusu görüntülenir ve bununla Windows Server 2003’ün aktivasyon yapılırken aynı zamanda kayıt işlemini de gerçekleştirmesi sağlanır.Biz bu ekranda No, I Don’t Want To Register Now; Let’s Just Activate Windows seçenerek kayıt yaptırmadan sadece aktivasyon yapacağız.Hemen arkasından Next’e tıklayalım.

Aktivasyon işlemi başarıyla tamamlandığında Thank You! Şeklinde bir tebrik ve teşekkür mesajı karşınıza gelecektir.

Windows Server 2003 aktivasyonu yapıldıktan sonra, My Computer’ün özelliklerinden Product ID’yi görebileceksiniz.

image001

NOT: Windows Server 2003’ün başarılı bir şekilde aktivasyon yapıldığı Event Viewer içerisinden Application Event Log’lar vasıtasıyla görüntülenebilir. Event Viewer ile ilgili geniş bilgi ilerleyen bölümlerde olacaktır.

Tabii ki unutmadan söyleyelim, yukarıdaki adımları gerçekleştirmeniz için mutlaka internet bağlantınızın olması gerekmektedir.

Lisans Yönetimi

Sisteminizde kullandığınız her Microsoft kurulu bilgisayar için üzerinde kurulu olan işletim sistemine ait ürün lisansının mutlaka olması gerekir. Örneğin Windows 2000 Professional’da çalışan 150 bilgisayarınız, Windows XP Professional’da çalışan 150 bilgisayarınız varsa, toplamda tüm 200 bilgisayar için de lisans almanız gerekecektir. Bunun yanında eğer sisteminizde bir Windows Server 2003 varsa ve bu bilgisayarlar bu Windows Server 2003’e bağlanacaksa bunun için de ekstra bir lisanslama gerekecektir.

Bu başlık altında aşağıdaki konular hakkında bilgi sahibi olacaksınız:

  • Lisans Modunun Seçilmesi
  • Lisans Logging Servisinin configure edilmesi
  • Lokal ortamlarda lisans yönetimi
  • Kurumsal, geniş  networklerde lisans yönetimi

Lisanslama Modunun Seçilmesi

Windows Server 2003 iki tip client lisanslamaya destek verir :

  • Per Server Lisanslama
  • Per Seat(Per Device or Per User) Lisanslama

Per Server Lisanslama

Per Server Lisanslama modu client lisanslaması için geleneksel bir methoddur.Bu modda server’a yapılan her bağlantının lisanslanması gerekir.Örneğin aşağıdaki şekilde görüldüğü gibi sisteminizde 3 server 5 adet de kullanıcı olsun.Tüm beş kullanıcı da bu üç server’a bağlanmak istediğini düşünelim.Burada aynı anda beş bağlantıya destek verecek her server’ın ayrı ayrı lisanslanması gerekir.Eğer sisteme sonradan yeni kullanıcılar eklenirse, teknik olarak bir server’a aynı anda beş kullanıcıdan fazla bağlantı sağlanamayacaktır.Per Server lisanslamada « ilk gelen ilk kullanandır »  kavramı hakimdir.Lisanslama için belirtilen maksimum client sayısına ulaşıldığında bundan sonraki bağlanan clientlara erişim hakkı tanınmayacaktır.

image002

Büyük bir kurumsal network içerisinde kullanıcılar eğer aynı anda birden fazla server’da bulunan kaynaklara (dosya,klasör,printer vb.) erişim yapacaklarsa, Per Server Lisanslama çok maliyetli olacaktır.Fakat küçük çaplı, tek bir server’ın olduğu networklerde Per Server Lisanslama Per Seat Lisanslamaya göre çok daha ucuzdur.Bu seçenek ayrıca uzaktan bağlanan client bilgisayarlarının olduğu ya da Internete servis veren tüm kullanıcıların bağlandığı tek bir server’ın bulunduğu yapılar için de idealdir.

Per Seat (Per Device or Per User) Lisanslama

Per Seat lisanslama modu kurumsal ortamlar için çok daha kullanışlıdır. Her kullanıcı veya aygıt için bir Client Access License(CAL) satın alarak her client’ın ihtiyacı olduğu kadar server’a aynı anda bağlanabilmesi sağlanmış olacaktır.

Per Seat Lisanslama kullanılırken, CAL lisansları kayıt edilir. Aşağıdaki şekilde de görüldüğü üzere server bilgisayarları sadece Server işletim sistemi için lisanslanmış ve client tarafında böylece server’a bağlanma lisanslaması da yapılmış olur.

image003

Bir kullanıcının bir bilgisayarı kullandığı ortamlar için, Per Seat kullanım idealdir. Fakat bazı network ortamları özel durumlara sahiptir ve Per Device ve Per User lisanslama için lisanslama grupları oluşturulmasını gerektirebilir. Lisanslama grupları aşağıdaki senaryolarda oluşturulabilir.

Bir bilgisayarı birden fazla kullanıcının kullandığı ortamlarda(Örneğin vardiyalı çalışan bir şirket içerisindeki farklı vardiyalarda aynı bilgisayarı kullanan farklı kullanıcıların olduğu yapılar)

Çok sayıda kullanıcının çok sayıda aygıtı kullandığı yapılar(Örneğin, bir okul laboratuarında çalışan öğrenciler)

Tek bir kullanıcının çok sayıda bilgisayara bağlandığı yapılar.(Örneğin, test ortamında çalışan bir kullanıcı)

Bu senaryolar için gerekli olan lisanslar aşağıda verilmiştir:

  • Eğer 10 ya da daha az kullanıcının tekbir bilgisayarı paylaştığı ortamlarda tek bir CAL lisanslı gereklidir.
  • Eğer bir kullanıcı çok sayıda aygıta erişiyorsa her aygıt için bir lisans almanız gerekecektir.

License Logging Service

Şayet License Logging Servisi çalışıyorsa, administratorlar Control Panel’den Licensing seçeneği ile ya da Administrative Tools’dan Licensing programı ile lisansların izlenmesi ve yönetimini yapabilirler. Eğer kurumsal bir network’ün lisans yönetimini yapıyorsanız, Administrative Tools menüsünden Licensing Tools kullanılabilir.

Eğer Licensing Logging servisi başlatılmadıysa, lisanslama izlenemez.

Lisans Logging Service ile ilgili durum bilgisi alma ve yönetim gerçekleştirmek için:

  1. Start menüden Administrative Tools’dan Services kısayolu kullanılarak yapılabilir.

image004

Lisans izlemesi ve yönetimi için aşağıdaki ayarları yapmanız yeterli olacaktır:

  1. Start Type’I Automatic olarak configure edin.
  2. Eğer Service Status Stopped ise, Start butonuna tıklayarak servisi başlatın

Lisansların Lokal Olarak Yönetilmesi

Aşağıdaki şekilde görülen Control Panel içerisinden Licensing seçeneği ile local server lisanslamasının yönetilmesi sağlanabilir. Buradan yapılabilecek yönetimsel işlemler:

  • Per Server Lisanslama Modu için CAL(Client Access License) lisansı ekleme ya da çıkarma
  • Per Server Licensing seçeneğini Per Device or Per User lisanslama seçeneğine çevirme(Burada bir kereye mahsus ve sadece Per Server Licensing’den Per Device or Per User lisanslamaya geçiş yapılabilir.)
  • Eğer server’ın lisans yönetimi merkezi bir lisans server’dan yapılıyorsa replikasyon frekansının konfigürasyonu da yine buradan ayarlanır.

image005

Per Server Bağlantıların Yönetilmesi

Eğer Per Server lisanslama kullanıyorsanız, Add Licenses ve Remove Licenses butonları kullanılarak lisansların eklenmesi ya da çıkarılması sağlanabilir.

Eğer ekstra lisansa ihtiyaç duyuyorsanız ve Microsoft’dan Per Server lisanslama paketi almışsanız, Add Licenses butonuna basarak lisans ekleyebilirsiniz.Bu işlem sonucunda karşınıza aşağıdaki şekilde görülen New Client Access License diyalog kutusu gelecektir. Quantity alanına kaç adet lisans eklemek istediğini girip, OK butonuna basmanız yeterli olacaktır.Hemen akabinde lisansı satın aldığınızı kabul edip onaylamanız gerekecektir.

image006

Bir serverdan başka bir server’a lisans taşıması yaparken Per Server lisanslamada Remove Licenses butonu kullanılır. Select Certificate To Remove Licenses diyalog kutusu görüntülenir.Kaç lisansı mevcut serverdan silecekseniz bunun miktarını girip Remove butonu ile işlem tamamlanır.

Per Server Lisanslamadan

Per Device or Per User Lisanslamaya Geçiş

Microsoft Per Server lisanslamadan Per Device or Per user lisanslamaya geçişe bir defaya mahsus izin vermektedir.Eğer Per Server’dan Per Device or Per User’a geçmek istiyorsanız, bu işlemi Control Panel içerisinden Licensing seçeneğine gelip burdan lisans modunuzu Per Device or Per User’a almanız yeterli olacaktır.Bu işlemi yapmak istediğinizde, License Violation diyalog kutusu görüntülenerek sizi lisans anlaşmanızın değiştiği konusunda uyaracaktır.Eğer lisans anlaşmasındaki tüm şartları sağlıyorsanız, No seçeneğine tıklanarak (işlemin iptal edilmemesi için) çevirme süreci tamamlanır.

NOT :Eğer kurulum esnasında Per Server lisanslama seçildi ise kurulum sonrası bunu Per Device or Per User’a çevirebilirsiniz.Fakat bunun tam tersi yani Per Device or Per User lisanslamadan Per Server’a geçiş mümkün değildir.

Kurumsal Networklerde Lisans Yönetimi

Eğer çok sayıda server’ın kullanıldığı  bir network içerisinde çalışıyorsanız,(Active Directory domaininde çalışan) lisans yönetimi tüm domain ya da network yapısı için tek bir noktadan yönetilebilir.Burada aşağıdaki işlemler gerçekleştirilecektir :

  • Hangi server’ın site license server olacağı kararlaştırılmalıdır.
  • Administrative Tools’da Licensing programı kullanılacaktır.
  • Bir Windows 2000 ya da Windows 2003 sitesi için lisanslama yönetilecektir.

Site Lisans Server’ın Belirlenmesi

Site lisans server site içerisindeki tüm Windows lisanslarının yönetiminden sorumludur.Default lisans server site içerisinde kurulan ilk domain controller bilgisayarıdır.Site lisans server’ın domain controller olması zorunlu değildir.Fakat en iyi performans için site lisans server ile domain controller aynı site içerisinde olmalıdır.

Hangi Server’ın site lisans server olacağına karar vermek için domain controller üzerinde aşağıdaki adımları gerçekleştirmeniz yeterli olacaktır:

  1. Start menüden Administrative Tools’dan Active Directory Site and Services’e girilir.
  2. Active Directory Site and Services penceresinde Sites altından Default First Site Name’e tıklandığında sağ pencerede aşağıdaki şekilde görülen Licensing Site Settings görülecektir.
  3. License Site Settings, çift tıklanarak aşağıdaki şekilde görülen Licensing Site Settings Properties diyalog kutusu görüntülenir. Diyalog kutusunun aşağısındaki Licensing Computer bölümünden site lissns server’ın hangi server olacağı kararlaştırılır.
  4. Site lisans server’ı değiştirmek için, Licensing Computer altından Change butonuna tıklanır. Select Computer diyalog kutusu görüntülenir ve yeni lisans server hangi server olacaksa seçilir.

image007

Site lisans server kararlaştırıldıktan sonra Administrative Tools’dan Licensing programı kullanılarak site için lisans yönetimi yapılabilir.

Licensing’in Kullanılması

  1. Licensing programında ulaşmak için Start menüden Administrative Tools’dan Licensing’e tıklanır. Karşınıza Licensing penceresi görüntülenir.

image008

  1. Server Browser tabına tıklayın ve domaininiz altından server’ınıza geldiğinizde Windows Server isimli bir girdi göreceksiniz. Windows Server üzerine çift tıklayarak şekilde görülen Choose Licensing Mode diyalog kutusu görüntülenir. Buradan lisanslama modunun Per Server mı yoksa Per Device or User mı olacağı belirlenir.

image009

Lisans modu seçildikten sonra  Licensing programında ana diyalog kutusu kullanılarak  lisans yönetimi yapılabilir.Burada dört tab bulunmaktadır:

  • Purchase History
  • Products View
  • Clients
  • Server Browser

Purchase History

Siteye eklenen ya da silinen üm lisansların geçmişi ile ilgili bilgileri görüntüler. Buradan eklenen ya da silinen tüm lisansların eklenme ya da silinme zamanları, ürün adı (Windows ya da Microsoft’un diğer ürünü), miktar bilgisi(eklenen ya da silinen), lisansı ekleyen kullanıcı ve eklenmişse yorumlar. Eğer Date, Product, Quantity, Administrator ya da Comment başlıkları tıklanarak tıklanan kategoriye gore sıralama yapılabilir.

Yeni lisans eklemesi için aşağıdaki adımları gerçekleştirmeniz yeterlidir:

  1. License seçilir ve New License tıklanır.
  2. New Client Access License diyalog kutusu görüntülenir.Product olarak Windows Server seçilir ve satın alınan lisans miktarı girilir.Comment alanına yorumsal bir bilgi yazılabilir.İşlem tamamlandıktan sonra OK ile onaylanır.
  3. Per Device or Per User Licensing diyalog kutusu görüntülenir.Anlaşmayı okuduğunuzu ve Kabul ettiğinizi belirtmek için OK ile onaylanır.
  4. Yeni lisanslar Purchase History tabında görüntülenir.

Products View Tabı

Aşağıdaki şekilde görülen Prodycts View tabından server üzerinde lisanslı olan her ürün ile ilgili bilgiler görüntülenebilir:

  • Satın alınan Per Device or Per User lisanslar
  • Tahsis edilmiş olan Per Device or Per User lisanslar
  • Satın alınan Per Server lisanslar

image010

Products View tabının sol tarafına baktığınızda her ürünün lisans durumunu göreceksiniz. Aşağıdaki semboller lisans durumlarını görüntülemek için kullanılır:

image011

Legal lisans kullanım sayısı

image012

İllegal lisans kullanım sayısı

image013

Legal kullanım sınırına ulaşan lisans sayısı(buradan almanız gereken ek lisans sayısı ile ilgili bilgi edinebilirsiniz.

Clients Tab

Aşağıdaki şekilde görülen Clients tabı kullanılarak server’a erişen her client için aşağıdaki bilgiler görüntülenebilir:

  • Server’a erişen her kullanıcının kullanıcı adı
  • Server’a erişen lisanslı kullanım sayısı
  • Server’a erişen lisanssız kullanım sayısı
  • Kullanıcılar tarafından erişilen ve kullanılan ürün (Windows Server ya da Windows Backoffice)

image014

Clients tabının sol tarafına baktığınızda her ürünün lisanslama durumu görüntülenir.Semboller aşağıda görülmektedir:

image015

Legal olarak kullanılan kullanıcı lisansı

image016

Legal olmayan kullanıcı lisansı

Server Browser Tab

Aşağıdaki şekilde görülen Server Browser tabı kullanılarak Active Directory içerisindeki tüm siteler, domainler ve serverlar görüntülenir. Site içerisinde yönetimsel hakka sahip olduğunuz server bilgisayarlarının lisanslaması görüntülenir ve konfigure edilebilir.

image017

Lisanslama Gruplarının

Oluşturulması ve Düzenlenmesi

Eğer bir bilgisayarı birden fazla kullanıcı kullanıyorsa bir lisans grubu oluşturabilirsiniz.

Aşağıdaki örnekte MAYALICENSE isimli, aynı bilgisayarı kullanan üç kullanıcıyı içeren(bu kullanıcılar farklı vardiyalarda çalışıyorlar)  bir lisans grup oluşturmayı göreceksiniz.

  1. Start menüden Adminstrative Tools’dan Licensing’e tıklanır. Licensing programının ana menüsünde Options’dan Advanced’dan New License Group’a tıklanır.

image018

  1. Bir grup adı girilir.(Bu örnekde MAYALICENSE).Isteğe bağlı olarak bir tanım da girilebilir.
  2. Licenses listesinden 1’den 10’a kadar aynı bilgisayarı paylaşacak kullanıcı adı girilir.
  3. Kullanıcıları lisans gruba eklemek için, Add butonuna tıklanır. Karşımıza şekilde görülen Add Users diyalog kutusu görüntülenir. Eklenecek kullanıcılar seçilir ve Add ile ekleme yapılır. İşlem tamamlanınca OK ile onaylanır.
  4. New License Group diyalog kutusunda OK’e tıklayın.

image019

  1. Lisans grubu oluşturulduktan sonra lisans grubu için lisanslar ve grup üyelikleri Options menüsüden Advanced’dan Edit License Group ile düzenlenebilir.

Replikasyon Yönetimi

Kurumsal bir network içerisinde lisans bilgilerini merkezi bir server üzerinden yönetebilirsiniz. Bütün lisans bilgileri merkezi bir server’a (Site License Server) girilir ve License Logging Service üzerinden yönetim yapılabilir.

Eğer Windows Server 2003 bilgisayarınız site lisans server değilse, server bilgisayarının site lisans server’la replikasyon ayarları için aşağıdaki adımları takip etmeniz yeterlidir.

  1. Start menüden Control Panel’den Licensing’e tıklanır.
  2. Choose Licensing Mode diyalog kutusunda Replication butonuna tıklanır.
  3. Şekilde görülen Replication Configuration diyalog kutusu görüntülenir. Replikasyonun başlangıcı için spesifik bir zaman aralığı (örneğin her 24 saatte bir) girilerek replikasyon programlanabilir.

image020

Çok sayıda server bilgisayarının olduğu bilgisayar ağlarında replikasyon zamanını farklı zamanlara göre düzenleyerek site lisans server üzerindeki yükün dengelenmesi sağlanabilir.

Mesut ALADAĞ

DHCP Server Uzerinde Mac Adres Tabanlı Filitreleme – DHCP Server MAC Address based filtering

Daha önceki bölümlerde hem Server 2003 hem de güvenlik tarafında bir çok makale yazmıştım.Bu bölümde ise Server 2003 ve güvenlik başlıklarını birleştirip ortaya yeni bir makale çıkaracağız.Server 2003 üzerine kurduğumuz DHCP Server rolünün sadece bizim belirlediğimiz MAC adreslerine IP adresi vermesini sağlıyacağız.Bu şekilde şirketimize gelen misafirlerin kafasına göre Ip adresini almasını engelliyeceğiz.

 

Hepimizin bildiği ve dikkat etmiş olduğu gibi güvenlik hayatımızın en önemli parçasıdır.Özellikle şirket networklerimizin güvenliğinden sorumlu olan kişiler olarak bizler,mutlaka ihtiyaçlarımızı belirlememiz gerekmektedir.Ayrıca bu kullanılacak olan ihtiyaçlarında ne şekilde güvenliğini sağlayacağımızın prosedürlerini de hazırlamalıyız.Bu bölümde her şirketin sıkıntı çektiği konulardan biri olan DHCP’nin otomatik olarak her network kablosunu takan bilgisayara IP adresi vermesini engelliyeceğiz.Tabi ki sizlerin kullanmış olduğu diğer çözümler hakkında da yorumlar yapacağım.Bildiğimiz gibi DHCP Server rolü free olarak 2003 ve 2008 Server işletim sistemlerine kurup kullandığımız ve otomatik Ip adresi yapılandırmasının dağıtılmasını sağlayan roldür.Büyük veya küçük bir çok firma tarafından tercih edilmektedir.Gerçekten bir çok avantajı mevcut olan bu rol sayesinde merkezi bir yerden Ip,DNS,WINS gibi yapılandırmaları yapabilmekteyiz.Ayrıca DHCP,IP çakışmasını önler,zaman kazandırır ve Hatalı konfigürasyonu yapılmasını da engellemektedir.

 

DHCP Server rolünün bir handikap’ını hepimiz biliyoruz.DHCP Ip adresi dağıtırken client makinasının Domain’de olup olmadığına bakmaz.Bundan dolayı boşta yer alan her network kablosunu takan DHCP’den Ip adresi alabilmektedir.Mutlaka hepimizin şirketlerine denetim,ziyaret,vss için bir çok insan gelmektedir.Ve bu tür kullanıcılar mobil çalışırlar.Peki bilginiz dahilinde olanlar neyse ya başka birisi DHCP’nin dağıtmış olduğu bütün konfigürasyonu herhangi bir Authantication olmadan alıcak olursa?İşte sıkıntı burada başlıyor.Laptop’a kabloyu taktı ve Ip,DNS,WINS,Gateway gibi bilgileri DHCP verdi.Eğer birde DNS’de Secure Dynamic Update kullanmıyorsanız Local DNS üzerindede bu şahıs host(A) kaydıda oluşturulmuş demektir…:)Benim ve bir çoğumuzun bildiği çok güzel programcıklar aracılığıyla artık networkünüzdeki kaynaklara erişim sağlanabilir.

 

Bir çoğumuzun bu tür durumlara karşı mutlaka belli başlı çözümleri mevcuttur. Örneğin,dışarıdan gelecek olan misafirler için ayrı Ip subnet’i oluşturmak.Veya ayrı bir WLAN tanımlamak.Veya bir Wireless çözümü ile bu tür şahısların fiziksel networkden uzak tutulması sağlanabilir.Ancak bu tür maliyetlere gerek yok.Sağolsun DHCP MCP takımı böyle bir sıkıntıyı görüp bizim için çok güzel DLL ve Scriptler hazırlamış.Bizzat uygulayan biri olarak çatır çatır çalışıyor.Peki o zaman lafı daha fazla uzatmadan yapacağımız işlemi biraz açıklayalım.Default olarak Server 2003 ve 2008 DHCP MAC filtering’i desteklememektedir.Yani siz MAC ID’si şu olan şahıs Ip adresi alabilsin diyemiyorsunuz. Kullanacağımız bir kaç dosya aracılığıyla DHCP’de MAC Filtering özelliğini aktifleştirip sadece bizim izin verdiğimiz MAC ID’lerin Ip adresi alabilmesini veya alamamasını sağlıyacağız.İlk olarak bir hazırlık aşamamız mevcut.Daha sonrasında beraber konfigürasyonu yapacağız.Yapacağımız işlemler genel başlık altında aşağıdaki gibidir.

 

DLL Kurulumu(CalloutMacFilter)

 

Gerekli olan Register Keylerinin oluşturulması(CalloutMacFilterReg)

 

İzin vereceğimiz veya Yasaklıyacağımız MAC Adreslerini belirlenmesi

 

Son olarak DHCP Server’ı bir kereliğine Restart ediceğiz.

 

Server 2003 DHCP MAC Filtering Uygulaması

 

1)Arkadaşlar ilk olarak yapımızı tanıtmamız gerekirse denemeleri yapmış olduğum Server 2003 makinesinde AD-DNS-DHCP rolleri yüklüdür.Bende denemeleri Server 2003 üzerinde yapıyorum.Aynı şekilde Server 2008 tarafında da çalışmaktadır.DHCP Serverımız 192.168.1.15-25 arasındaki blogları dağıtmaktadır.Yani kullandığım IP bloğu 192.168.1.x\24’dir.

 

image001

 

 

 

image002

 

 

2)Microsoft DHCP Team tarafından oluşturulan CalloutMacFilter.MSİ dosyasını kurarak gerekli DLL’lere sahip oluyoruz.Ancak dikkat edilmesi gereken bir nokta var.Bu MSI dosyasını dhcp server kurulu olan makinede System32 altına atıp orada kuruyoruz.

 

Aşağıdaki linki kullanarak gerekli dosyayı download edebilirsiniz.

 

https://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

 

image003

 

 

3)Hepimizin kurabileceği tarzda basit bir uygulama.Eminim herkes kurabilir…:)

 

 

image004

 

 

 

image005 

 

4)Evet kurulum bitti. Söylediğim gayet kısa. Bu işlemden sonra System32 altına 2 adet dosya gelmesi gerekiyor. Biri MacFilterCallout.dll,diğeri ise step by step doküman olan SetupDHCPMacFilter.rtf.Yaptığımız işlemlere bu dosyadan da ulaşabilirsiniz. 

 

image006 

 

5)Sıra geldi Register keylerini oluşturmaya. İster manuel elle oluşturabilir,isterseniz yine aşağıdaki linkden hazır Callout_DHCP.reg dosyasını indirerek sadece bir çift tıklamayla gerekli keylerin oluşmasını sağlayabilirsiniz.

 

https://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx 

 

image007 

 

6)Çift tıklayarak keyleri yüklüyoruz. 

 

image008 

 

image009

 

7)Toplamda oluşması gereken keyleri isterseniz hazırda gelen register dosyasını editleyere görebilirsiniz. Eğer keyleri Manuel oluşturacaksanız aşağıdaki tablo daha çok yardımcı olacaktır. 

 

 

Key Name

Key Type

Description

CalloutDlls

REG_MULTI_SZ

The location of the MacFilterCallout.dll

CalloutEnabled

DWORD

0 = Disable MacFilterCallout
1 = Enable MacFilterCallout

CalloutErrorLogFile

REG_MULTI_SZ

Log path. If this registry key is not specified, callout dll will output errors %WINDIR%\System32\Log.txt

CalloutInfoLogFile

REG_MULTI_SZ

Info log path. If this key is not present, no information messages will be logged.

CalloutMACAddressListFile

REG_MULTI_SZ

This is the name and location of the MAC filtering list you’re going to be creating next.

 

 

8)Keyleri kontrol edelim bakalım. 

 

image010

 

 

9)Evet keyleri gördükten sonra DHCP Server servisini bir stop-start yapıyoruz.

 

 

image011

 

 

 

image012

 

 

10)Gerekli DLL’lerin yüklendiğine dair loglarıda kontrol edebilirsiniz.(Event ID:1033) 

 

image013 

 

 

11)Register keyleride yüklendikten sonra System32’nin altında MacFilterCallout.dll, MacFilterCallout.log, MacFilterCalloutinfo.log dosyalarını görmemiz gerekmektedir.Ek olarak MACList.txt ismini vererek kendimiz bir tane Notepad dosyası oluşturuyoruz.İzin vereceğimiz veya bloklayacağımız MAC adreslerini bu dosyaya yazacağız. 

 

image014 

 

12)MACList.txt dosyasını açıp aynen aşağıdaki yazım formatında olduğu gibi DHCP’den Ip adresi almasına izin vereceğimiz bir MAC adresi(Client01) giriyoruz.Sizlerinde tahmin edebileceği gibi eğer ALLOW yerine DENY yazarsanız,girmiş olduğumuz MAC adreslerine Ip adresi verilmeyeceği anlamına gelir.Bu dosyaya her girdiğimiz MAC adresinden sonra DHCP Servisini restart etmemiz gerekmektedir.Son bir hatırlatma olarak mutlaka MAC adreslerini küçük harfle yazmanız gerekmektedir.Büyük harf kullanırsanız çalışmayacaktır. 

image015

 

13)Evet geldik test aşamasına arkadaşlar test ortamımızda client01 ve client02 isimlerine sahip 2 tane Xp makinesi bulunmaktadır. Her ikiside workgroup’da çalışıyor.Senaryomuz gereği Client01 makinesine MAC adresine izin verip DHCP’den Ip adresi almasını sağlayacağız.Client02 ise DHCP’den Ip adresi alamayacak.Bu 2 makinenin konfigürasyonu aynen aşağıdaki gibidir.Yukarıdaki Maclist.txt dosyasına ben Client01’in MAC adresini girdim.

 

image016 

 

image017 

 

14)Bütün işlemlerden sonra artık kontrol yapabiliriz. Aynen aşağıda görüldüğü üzere Client01 makinemiz Ip adresi almaktadır.

 

image018

 

15)Peki Client02 makinesi Ip adresi almaya çalıştığı zaman durum ne olacak derseniz. Aynen aşağıdaki gibi bir mesaj alacaktır.

 

image019

 

 

16)Ve tabii ki son olarak System32 altındaki MACFilterCalloutInfo.log dosyasına bakarak kimlerin,daha doğrusu hangi MAC’lerin Ip adresi alabildiği görebiliriz.Aynı zamanda hangi MAC’lerin bloklandığını görebilmek içinde bu log dosyasını kullanabiliriz.

 

image020

 

Evet arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde olmazsa olmazlarımızdan olan güvenlik için bir başka çözüme baktık.Özellikle DHCP kullanan şirketler için maliyetsiz ve bedava olarak kullanabilecek olan bu seçenek ile DHCP’nin kimlere Ip adresi verebileceğini belirleyebilmekteyiz.Bir başka makalede görüşmek üzere,

 

Hoşçakalın

 

 

Kaynak:

 

https://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

Vermiş olduğum kurumsal eğitimlerde öğrencilerimin %90’ından mutlaka bu sorun ile alakalı bir şeyler söylüyorlar. Bu makale hepimizin işini görecektir.

Serhad MAKBULOĞLU

Active Directory Makaleleri 12 Active Directory’de Domain Fonksiyonel Modlari

Windows Server 2003’de çalışan active directory domaini dört farklı fonksiyonel modda çalışabilir. Bu modların fonksiyonel olarak birbirinden farklılıkları vardır. Domain fonksiyonel modları:

 

·         Windows 2000 Mixed

·         Windows 2000 Native

·         Windows Server 2003

·         Windows Server 2003 Interim

 

Windows 2000 Mixed: Active Directory kurulduktan sonra default olarak bu modda çalışır. Windows 2000 mixed mod yapısında çalışan Windows 2003 domaininde hem NT 4.0, hem Windows 2000 hem de Windows Server 2003 işletim sistemlerinde çalışan domain controller bilgisayarları aynı ortamda bulunabilir ve birbirleriyle iletişim kurabilirler. Aynı zamanda sahip olduğunuz Windows Server 2003 domaini hem Windows NT 4.0 hem de Windows 2000 domainleri ile güven ilişkisi(trust relationship) kurabilir.

 

 

Windows 2000 Native: Eğer Windows 2003 active directory domain ortamınızda sadece Windows Server 2003 ve Windows 2000 domain controller bilgisayarlarının beraber çalışmasını istiyorsanız, domain modunuzu Windows 2000 Native moda almanız gerekir. Bu modda Windows NT 4.0 domain controller bilgisayarları desteklenmemektedir. Ayrıca Windows NT 4.0 domainleri ile güven ilişkisi de desteklenmemektedir.

 

NOT: Domain modlarının geçişlerinde geriye dönüş mümkün değildir. Dolayısıyla domain modunuzu değiştirmeden sisteminizin buna hazır olup olmadığından emin olmanız gerekir. Örneğin Windows 2000 mixed modda Windows 2000 native alınmış bir domain yapısını tekrar mixed moda çevirmek mümkün değildir. Tek ihtimal var, o da active directory kaldirip yeniden kurmak.

 

Windows Server 2003: Domain ortamınızda domain controller olarak sadece Windows Server 2003 bilgisayarları olsun diyorsanız bu durumda yapıyı Windows Server 2003 fonksiyonel seviyesine alabilirsiniz. Windows Server 2003 active directory yapısının getirdiği bütün özellikleri ve yenilikleri tam anlamıyla kullanabilmeniz için domain çalışma modunu Windows Server 2003’e almanız gerekir. Tabii bu moda almadan önce domain ortamındaki bütün domain controller bilgisayarlarınızı Windows Server 2003’e yükseltmelisiniz.

 

 

Windows Server 2003 Interim: Bu mod sadece NT Server 4.0 PDC(Primary Domain Controller) bilgisayarının Windows Server 2003’e upgrade yaptıysanız karşınıza gelir. Windows NT Server 4.0’da çalışan PDC bilgisayarını Windows Server 2003’e upgrade yaptığınızda alabileceği tek bir rol vardır ki, bu da Domain Controller rolüdür. Çünkü işletim sisteminin upgrade sürecinden sonraki ilk logon olmada otomatik olarak Active Directory kurulum sihirbazı çalışmaya başlar ve size domain fonksiyonel seviyesi ile ilgili iki seçenek sunar.Bunlar, Windows 2000 mixed ve Windows Server 2003 interim seçenekleridir. Eğer domain yapınız Windows 2000 mixed modda çalışşın diyorsanız Windows 2000 mixed mod, Windows Server 2003 Interim modda çalışsın diyorsanız da Windows Server 2003 Interim modu seçerek active directory kurulumunu yapmalısınız. Windows Server 2003 Interim modda domain içerisinde domain controller olarak sadece Windows Server 2003 ile Windows NT 4.0 bilgisayarları çalışabilir. Bu fonksiyonel modda da Windows 2000 Server devre dışı kalmaktadır.

 

image001 

 

Domain Fonksiyonel Seviyesinin Görüntülenmesi ve Yükseltilmesi

 

Active Directory’de domain fonksiyonel seviyesinin hangi modda olduğunu görüntülemek ve istediğiniz moda dönüştürmek için iki ayrı yönetim konsolunu kullanabilirsiniz. Bunlar Active Directory Users and Computers ve Active Directory Domains and Trusts konsollarıdır.

 

  1. Active Directory Users and Computers içerisinden domain modunu görüntülemek için, domain üzerinde sağ tuşa basıp Properties’e tıkladığınızda karşınıza domaininizin özellikler penceresi gelir.
  2. Burada General tabında iken aşağıda domain functional level etiketi altında domaininizin fonksiyonel seviyesini göreceksiniz.

 

image002

 

  1. Domain modunuzu Windows 2000 native ya da Windows Server 2003’e almak için ise active directory users and computers konsolu içerisinde sağ tuşa bastığınız zaman gelen menüden Raise Domain Functional Level seçeneğine tıklayın.

 

 

image003

 

 

  1. Karşınıza Raise Domain Functional Level penceresi gelecektir. Bu pencerede alt bölümde bulunan Select an available domain functional level etiketinin altındaki liste kutusunu açarak domain fonksiyonel modunuzu hangisine yükseltecekseniz, onu seçip yükseltme yapmanız yeterlidir. Burada Windows 2000 mixed moddan Windows 2000 native ya da doğrudan Windows Server 2003 moda geçiş yapabilirsiniz.

 

 

image004

 

Domain functional level’ın kontrol edilebildiği ve aynı zamanda dönüştürülebildiği bir diğer yönetim konsolu da Active Directory Domains and Trusts konsoludur. Bu konsoldan domain fonksiyonel seviyenizi öğrenmek için, domain adınız üzerinde sağ tuşa basarak Properties’e girmeniz yeterlidir.

 

Domain modunu değiştirmek için de yine domain üzerinde sağ tuşa basınca gelen menüden Raise Domain Functional Level seçeneğine tıklayın.

Karşınıza Raise Domain Functional Level penceresi gelecektir. Bu pencerede alt bölümde bulunan Select an available domain functional level etiketinin altındaki liste kutusunu açarak domain fonksiyonel modunuzu hangisine yükseltecekseniz, onu seçip yükseltme yapmanız yeterlidir. Burada Windows 2000 mixed moddan Windows 2000 native ya da doğrudan Windows Server 2003 moda geçiş yapabilirsiniz.

 

 

image005

 

image006

Mesut ALADAĞ

Windows Server 2008 Terminal Services Gateway Bolum 4 ( W2008 TS Gateway Client Yapılandırılması )

Daha önce yayınlamış olduğumuz Terminal Services Gateway Serverimiz üzerinde , Server ve firewallımız üzerinde yapmamız gerekli olan işlemleri anlatmış bulunup , bu makale dizisinin son bölümünde Windows Server 2008 TS Gateway Clientlarımızın yapılandırılmasını inceleyeceğiz.

 

image001

 

Remote Desktop Connection programımızı çalıştırıp, Bağlantı kurmak istediğimiz bilgisayarı ve kullanıcı kimlik bilgilerini yazarak uzak masaüstü protokolü aktif durumda bulunan bilgisayarımıza bağlantı kurmak için bağlantıbutonuna basıyoruz.

 

image002

 

Client bilgisayarımız bağlantıyı kurmak istediği bilgisayardan herhangi bir yanıt alamadığı için yukarıda ki hatayı vermekte olup hatanın açıklaması, bağlanmak istemiş olduğumuz bilgisayarın ismi veya ip adresinin yanlış olduğu veya network üzerinde bir hata olduğunun bilgisini bizlere vermektedir.

Halbuki hatanın açıklaması bu olmayıp daha önce yayınlamış olduğumuz TS Gateway serverimizin barınmış olduğu network topolojisini hatırlamak için bir kez daha bakalım.

 

image003

 

Yukarıda ki topoloji, bizler 1 numaralı bölümde olup Home Laptop bölümünde yer almaktayız. Gitmek istediğimiz yer ise 3 numaralı bölüm olup Terminal Serverlarımızın barınmış olduğu networktür. 1 numaralı networkden 3 numaralı networke gidebilmemiz için, 1 numaralı network ile 2 numaralı networkümüzün arasında bulunan Firewallımız üzerinde , Terminal serverimizin uzak masa üstü portu publish edilmesi gerekmektedir. Terminal serverimizin portu publish edilmediği için bizler 1 ile 2 numaralı network arasında kalan firewall üzerinde yasaklanmaktayız. Firewallımız üzerinde sadece HTTPS protokolünün 443 numaralı portu açık durumdadır ve biz Remote Desktop Connection programımız ile 3389 numaralı porta istek yaptık. 3389 numaralı portumuz firewallımız üzerinde kapalı olduğu için bağlantıyı gerçekleştiremedik.

Windows Server 2008 Terminal Server Gateway serverimiz üzerinden iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masa üstü aktif duruma getirilmiş bulunan client bilgisayarlarımıza erişebilmemiz için ilk önce Terminal Server Gateway Serverimiza bağlanmamız zorunludur.

 

image004 

 

Terminal Server Gateway serverimiza bağlana bilmek için RDP 6.0 ve üstü toola ihtiyacımız bulunmaktadır. RDP 6.0 öncesi uzak masa üstü bağlantı araçlarımızın hiç birisi Terminal Server gatewayi algılayamamaktadır. Client bilgisayarımıza Terminal Server Gateway bilgisayarımızın yolunu gösterebilmek için Advanced (gelişmiş) sekmesine gelip, settings bölümünün içine giriyoruz.

 

image005

 

Gelişmiş bölümünden Terminal Server Gateway bölümüne geldiğimizde, Terminal Serverimizin bilgilerini girebileceğimiz bölümü görebilmekteyiz.

Windows server 2008 Terminal Server Gateway’ i kullanabilmemiz için , bağlantı kuracak olan istemci bilgisayarımız üzerinde RDP 6.0 ve üstü yazılımı ihtiyaç bulunmaktadır. Daha önce ki RDP programlarında TS Gateway bölümü bulunmamakta olup RDP 6.0 öncesi programlarımız ile Terminal Server Gateway hizmetinden yararlanamayız.

RDP 6.0 yazılımı Windows Vista işletim sistemi ile birlikte gelmekte olup daha önceki işletim sistemler için RDP 6.0 programını aşağıda ki adreslerden temin edebilirsiniz.

 

Windows XP 32 Bit         : https://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows XP 64 Bit         : https://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows Server 2003   : https://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-B62C-D71ADC98ADB1&displaylang=en

 

Resmide 1 numaralı bölümde use these TS Gateway server Settings bölümüne , bağlantı için TS Gateway Server kullanılacağını belirtmekteyiz.

2 numaralı bölümde bağlantı kuracak olduğumuz TS Gateway serverimizin bilgilerini girmekteyiz.

3 numaralı bölümde ise, eğer iç network üzerinden, internal networkden bağlantı gerçekleştirecek isek TS Gateway serverimizin kullanılmayacağını belirtebiliriz.

Client Bilgisayarımıza Terminal Server Gateway serverimizi tanıttıktan sonra bağlan butonuna basıyoruz.

 

image006

 

Daha önce yayınlamış olduğumuz Terminal Server Gateway makalelerinde Ts CAP policylerinde, Ts Gateway Serverimizi kullanacak olan kullanıcılarımızı belirlemiştik. Bu bölüme TS CAP policiyleri içine tanıtmış olduğumuz kullanıcının kimlik bilgilerini giriyoruz.

 

image007

 

Kimlik bilgilerimizi girdikten sonra ilk hataya göre, şimdiki hatamızın değişmiş olduğunu görmekteyiz. Şimdi karşlılaşmış olduğumuz hata Client Bilgisayar’ ın TS Gateway serveri kullanabilmesi için gerekli olan Sertifikanın yüklü olmadığının bilgisi bizlere verilmektedir.

Sahip olmadığımız Sertifikanın detaylarına View Certificate bölümü ile görebiliriz.

 

 image008

 

TS Gateway serverimizi kullanarak, Terminal Serverlarımıza bağlantı kurabilmemiz için TS Gateway Serverimiz üzerinde yüklü sertifikanın bir kopyasının bağlantı kuracak olan bilgisayarımızda olması zorunludur. Eğer yüklü değilse yukarıda ki hata ile karşılaşırız ki bu hatanın açıklaması TS Gateway Serverimiz, Bağlantı kurmak isteyen bilgisayara güvenmediğinin analamına gelmektedir.

Client Bilgisayarlarımıza, sahip olduğumuz bu sertifikayı yüklemenin bir çok yolu bulunmaktadır. İnternal Network için Group Policy yardımıyla yüklenebildiği gibi, uzak ofis veya portatif kullanıcılarımız için manuel olarak yükleyebilmekteyiz.

TS Gateway Serverimiz üzerinde ki sertifikayı daha önceden bir USB Bellek vb.. malzemeler ile client bilgisayarımıza yerleştirdiğimizi varsayarak, yüklenecek olan sertifikayı çift tıklamamızı ve yüklemek için Install Certificate bölümünü seçmemiz gerekmektedir.

 

image009

 

Sertifikamızı yükleyecek olduğumuz bölüm Trusted Root Certification Authorities bölümü olup güvenilen sertifikala bölümüne sertifikamızı yerleştiriyoruz. Bu sertifikamız TS Gateway serverimiz üzerinde de, aynı bölüm içerisinde saklanmaktadır.

 

image010

 

Uyarı mesajını okuyup, kabul ederek sertifikamızı başarılı bir şekilde yüklüyoruz.

 

image011

 

Bağlantıyı gerçekleştirmeden önce son kontrollerimizi yaparsak;

  • Terminal Server Gateway Server  üzerinde Sertifikamız yüklü ve 443 numralı HTTPS portu aktif durumda.
  • Terminal Serverlarımız üzerinde uzak masa üstü bölümü aktif durumda.
  • External Firewallımız üzerinde 443 numaralı HTTPS portu aktif durumda.
  • Client Bilgisayarlarımız üzerine Sertifikamız yüklü durumda.
  • Client Bilgisayarlarımız üzerinde RDP 6.0 ve üstü programımız yüklü durumda.
  • Son kontrollerimizi yaptıktan sonra bağlantımızı artık gerçekleştirebiliriz.
  •  

image012

 

Yukarıda ki resimlerden görüldüğü üzere Terminal Server Gateway’ imizi kullanarak iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masaüstü aktif durumda bulunan Client bilgisayarlarımızabaşarılı bir şekilde bağlantıyı gerçekleştirmiş bulunmaktayız.

Bağlantımızdan sonra daha önceki bağlantılardan farklı olarak yeni bir bilgilendirme ikonunu görmekteyiz ki bunun da clientimizin TS Gateway serverimiz üzerinden bağlandığını bizlere göstermektedir. Bu ikonu tıklayıp detaylarına baktığımız zaman bağlantı için kullanmış olduğumuz TS Gateway Serverimizin bilgisini ve bağlantıyı hangi güvenlik mothod’ u ile yaptığımızın bilgilerini görebilmekteyiz.

 

image013

 

Terminal Server Gateway serverimizin bizlere sağlamış olduğu en büyük avantajların başında, sahip olduğumuz her bir terminal serverimiz için sahip olduğumuz firewall üzerinde ayrı ayrı port açmamıza gerek yoktur. Client bilgisayarımız üzerinde netstat komutu ile açık olan portları izlediğimizde sadece ama sadece HTTPS yani 443 numaralı portun kullanıldığını görebilmekteyiz. Yani güvenliğimiz üst seviyede olup firewallımız üzerinde gereksiz port açmamış oluyoruz.

 

image014

 

TS Gateway serverimizin monitoring kısmına baktığımız zaman aktif bağlantıları tek bir ekran üzerinden izleyebilmekteyiz. Bu ekranda

  • Hangi kullanıcı
  • Hangi servera bağlantı kurmuş
  • Hangi port üzerinden bağlantıyı gerçekleştirmiş,
  • Hangi IP üzerinden bağlantıyı gerçekleştirmiş.
  • Ne zaman bağlanmış,
  • Ne kadar süredir bağlı,
  • Göndermiş ve almış olduğu veri vb.. bilgileri görebilmekteyiz.

 

image015

 

İhtiyacımıza göre TS Gateway serverimiz üzerinden aktif olan bağlantıları sonlandırabilmekteyiz.

 

image016

 

Bir bağlantıyı sonlandırdığımız zaman, bağlantısı sonlanan kullanıcıya gidecek olan hata mesajı The Terminal services Gateway server administrator has ended the connection olup, bağlantının Terminal Server Gateway yöneticisi tarafından bitirildiğinin uyarısı verilmektedir.

 

image017

 

Eğer ortamımızda birden fazla Terminal Server Gateway Serverimiz var ise, bu serverların yönetim ekranını tek bir konsol üzerinde toparlayabilir ve bağlantıları anlık olarak izleyebiliriz. Monitör ekranımızın kaç saniyede bir tazeleneceğini belirterek anlık izleme fırsatlarını bizlere sunmaktadır.

 

Fatih KARAALIOGLU

NAP (Network Access Protection) – VPN

Uzun bir aradan sonra NAP (Network Access Protection) –VPN makalesi ile karşınızdayım. Gerek Windows Server 2003 gerekse ISA 2004/2006 üzerindeki VPN çözümünü kimi zaman kullanmışızdır, kullanmasak bile Microsoft’un böyle bir çözümü bir kenarda bizi beklemektedir. Bununla beraber  belirli sağlık statülerine uymayan clientların (antivirüs program olmayan, update’leri tam olmayan) vpn ile iç network’e girişinin engellenmesi Network karantina uygulaması ile yapılmaktaydı. Aslında pek de yapılamamaktaydı çünkü gerek uygulamanın zorluğu (scriptler vs ile uğraşmak) gerekse sağlık statülerine uymayan uzak client’ları iyileştirmeye yönelik birşey yapmadan direk olarak vpn bağlantısını koparması özellikle sahada uzaktan çalışan kişiler için sıkıntılı durumlara sebebiyet vermekteydi.

Windows Server 2008 ile birlikte gelen NAP – VPN çözümü ile hem uygulamada scriptlerle uğraşmak zorunda kalmıyoruz hem de Remediation Server olan bir server sağlık durumunu kontrol ettiği client, eğer istenilen özelliklere uymuyorsa bunu düzeltmeye çalışıyor. Bu makalede Windows Firewall’u kapalı olan bir Windows Vista makine’nin durumunun iyileştirilip iç network’e nasıl alınacağına bakacağız. Bunun için 4 adet sanal makineye ihtiyaç duymaktayım. Yapı aşağıda yer alan şekildeki gibidir.

image001

Şekilde de gördüğünüz üzere Domain Controller’ımız Windows Server 2003 SP2 üzerinde çalışmakta VPN ve NPS Server’larımız Windows Server 2008, Client ise Windows Vista işletim sistemine sahiptir.

DC01 Makinesine Active Directory’i kurduktan sonra üzerine Add/Remove Windows Components’tan sertifika servislerini kurup Enterprise root CA olarak tanımlıyorum.  Active Directory Users and Computers snap-in’i ile Selim isimli bir kullanıcı oluşturup, kullanıcıyı “Domain Admins” grubunun bir üyesi yaptım.Kullanıcının özelliklerinde Dial – in tabından kullanıcıya Uzak bağlantılar için Allow Access verdim.  Bununla beraber bir de “NAP Client Computers” isimli bir global-security grup oluşturdum.

VPN1 isimli makinenin IP adresini şekildeki gibi verdikten sonra selveroglu.com domain’ine join ettim. Şekilde de gördüğünüz üzere VPN bağlantıları kabul edecek server’ımız budur. Şimdi gelelim bu makineyi VPN Server yapmaya…

Server Manager’da soldan Roles ‘u  seçip Add Role ‘a tıklıyoruz. Network Policy and Access Services’i seçip, iki kez next’e tıklıyoruz.

image002

Role Services ekranında Remote Access Service ‘i seçip, next ve install’u tıklayarak yükleme işlemini tamamlıyoruz.

VPN server’ı yapılandırmak için Run satırına rrasmgmt.msc yazıyoruz.Karşımıza gelen Routing and Remote Access konsolunda VPN1’e sağ tıklıyoruz ve Configure and Enable Routing an Remote Access’i seçiyoruz.

image003

Next’e tıklayıp en üstteki seçenek olan Remote Access (dial –up or VPN) seçeneğini seçip next’e tıklıyoruz. Sonraki ekranda VPN’i seçip next’e tıklıyoruz.

image004

Sıradaki ekranda VPN bağlantılarını kabul edecek interface’i seçiyoruz. Bu örnekte internet ile bağlantı kuran Local Area Connection 2 isimli kartı seçiyorum. Bununla birlikte Client1’in VPN1’e bağlantı kontrolü için ping atarken sorun yaşamasın diye Enable Security on…. Ile başlayan kutucuktaki işareti kaldırıyorum ve Next’e tıklıyoruz.

image005

IP Address Assignment sayfasında From a specified range of addresses ‘ı seçip next’e tıklıyoruz. Sonraki Address Range Assignment sayfasında New’a tıklayıp Start IP Address’e 192.168.1.100 End IP Address ‘e 192.168.1.110 yazıp OK ‘e tıklayıp ardından Next ‘e tıklıyoruz.

image006

Managing Multiple Remote Access Servers sayfasında Yes, set up this server to work with a RADIUS server ‘ı seçip Next’i tıklıyoruz.

image007

RADIUS Server Selection sayfasında Primary RADIUS server kısmına NPS 1’in IP adresi olan 192.168.1.201 yazıyoruz. Shared secret bölümüne de gizli şifre olarak server2008 yazıyorum.

image008

CL1 ile VPN1 makineleri arasındaki bağlantıyı test etmek için ilerleyen bölümlerde ping komutunu kullanacağız ama bunun için VPN1 ‘deki firewall’u ICMP protokolüne izin vermemiz gerekmekte. Run satırına wf.msc yazaraktan Windows Firewall ’un yönetim konsolunu açıyoruz. Soldaki Inbound Rules ‘a sağ tıklayıp New Rule ’u seçiyoruz. Açılan pencerede Custom ‘I seçip ilerliyoruz.

image009

Sonraki ekranda All Programs ‘ı seçiyoruz. Bir sonraki ekranda ise Protocol Type ‘ta ICMPv4 seçip Customize ‘a tıklıyoruz. Bu ekranda Specific ICMP types ‘ı seçip Echo Requests ‘in kutusunu işaretleyip OK ‘e tıklıyoruz.  Scope sayfasında Default ayarları kabul edip Next’e tıklıyoruz. Action sayfasında Allow the connection ‘ı seçiyoruz. Default profili kabul edip Name kısmına ICMPv4 echo request ‘ı seçip Finish ‘e tıklıyoruz.

Sıra Network Policy Service’i NPS01’e yüklemeye geldi. NPS01 makinesinde Server Manager’da Add Roles’u seçerek Network Policy and Access Services ‘ı seçiyoruz. Iki kez Next’i tıkladıktan sonra gelen ekranda Network Policy Server check box ‘a işareti koyup ardından Next ve install ‘a tıklıyoruz.

image010

Yine Server Manager’da Features kısmından sağda Add Features’a tıklayıp Group Policy Management ‘ın check box ‘ına işareti koyup Next ve ardından Install ‘a tıklıyoruz.

Sıra geldi NAP client ayarlarını Group Policy ile belirlemeye. NPS01 makinesinde Run satırına gpme.msc yazıp OK’e tıklıyoruz. Browse for a Group Policy Object  kutusunda domain adının yanındaki Create a new GPO ikonuna tıklıyoruz ve isim olarak NAP Client settings yazıyoruz. OK’e tıkladıktan sonra karşımıza Group Policy Management Editor geliyor. Burda Computer Configuration/Policies/Windows Settings/Security Settings/System Services ‘e geliyoruz. Sağ taraftaki Network Access Protection Agent ‘a çift tıklıyoruz. Define this policy setting’in check box’ını işaretleyip Automatic’i seçip aşağıdan Ok’e tıklıyoruz.

Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients ‘a geliyoruz. Sağda Remote Access Quarantine Enforcement Client ‘a sağ tıklayıp enable yapıyoruz. Ardından NAP Client Configuration ‘a sağ tıklayıp Apply’a tıklıyoruz.

image011

Ardından Computer Configuration\Policies\Administrative Templates\Windows Components\Security Center ‘a geliyoruz. Sağ taraftan Turn on Security Center (Domain PCs only) ayarını enable hale getirip Group Policy Management Editor’ü kapatıyoruz.

Bu yaptığımız ayarların sadece NAP Client Computers grubuna uygulanması için NPS01’de Run satırına gpmc.msc yazarak group policy management console’a ulaşıyoruz. Burda Forest: Contoso.com\Domains\selveroglu.com\Group Policy Objects\NAP client settings ‘e geliyorum sağdaki Security Filtering kısmından Authenticated Users’ı kaldırıp yerine Nap Client Computers grubunu ekliyorum.

image012

PEAP Authentication sağlamak için NPS01 isimli makinemiz local computer certificate store’unda yer alacak computer certificate ‘a ihtiyaç duymaktadır. Bu sertifikayı atamak için DC01 üzerindeki certification Authority ‘den yararlanacağız.

Run satırına mmc yazıp boş bir mmc konsolu açıp Computer Account’u için Certificates snap’inini ekliyoruz. Certificates altından Personal’a gelip All tasks altından Request New Certificate ‘a tıklıyoruz.

image013

Welcome ekranında Next’e tıklıyoruz. Certificate Enrollment sayfasında Computer’ın check box’ını seçip enroll ‘u tıklıyoruz.

Şimdi sıra geldi NPS01 makinesini health policy server olarak yapılandırmaya… NPS01 makinesi uzaktan VPN ile network’ümüze girmek isteyen client’ların bizim belirlediğimiz kriterlere göre sağlık statülerini kontrol edip duruma gore iç network’e alacak, ya da önce bekletip, bu client’ın istediğimiz sağlık koşullarına ulaşmasını sağlayıp, sonra iç network’e alacak.

NPS01 makinesinde Run satırına nps.msc yazarak Network Policy Server konsoluna ulaşıyoruz. Burda NPS (Local) ‘e tıklıyoruz. Standard Configuration altından Configure NAP’e tıklıyoruz ve bir sihirbaz bizi karşılıyor. Select Network Connection Method for Use with NAP sayfasında Network connection method olarak Virtual Private Network (VPN) ‘I seçip next’e tıklıyoruz.

image014

Specify NAP Enforcement Servers Running VPN Server sayfasında sağdan Add’e tıklıyorum. Yeni açılan pencerede friendly name’e NAP VPN Server yazdım. IP adresi kısmına da VPN1’in iç network’e bakan interface’inin IP adresi olan 192.168.1.203’ü yazdım. Shared Secret kısmına daha önce VPN1 kurulumu adımlarında kullandığım şifre olan server2008 ‘i yazdım. Configure User Groups and Machine Groups kısmında değişiklik yapmadan next’e tıklıyorum.  Configure an Authentication Method sayfasında NPS Server Certificate altında daha önceden makineme certification authority’den aldığım sertifikayı görüyorum ve Next’e tıklıyorum.

image015

Specify a NAP Remediation Server Group and URL sayfasında New Group ‘a tıklıyorum. Açılan Pencerede Group Name’e Domain Services yazıp sağdan tekrar Add’e tıklıyorum. Friendly Name kısmına DC1 ve IP address or DNS name kısmına da DC1’in IP adresi olan 192.168.1.200’ü yazıyorum.  Iki kez OK’e tıklayıp çıkıyorum ve Next’e tıklıyorum.

Define NAP Health Policy sayfasında Windows Security Health Validator ve Enable auto-remediation of client computers check box’larının işaretli olduğunu kontrol ettikten sonra next’e ve ardından Finish’e tıklıyorum.

Sırada System Health Validators ayalarını yapmaya geldi. Network Policy Server konsolunda Network Access Protection altından System Health Validators ‘a tıklıyoruz.  Sağ bölümden Windows Security Health Validator’a çift tıklayıp açılan pencerede Configure’e tıklıyoruz.

image016

Karşımıza aşağıdaki gibi bir pencere gelecek. Bu pencerede A firewall is enabled for all network connections haricindeki tüm check box’ları temizliyoruz. Ve OK’lere tıklayarak çıkıyoruz fakat konsolu kapatmıyoruz.

image017

Şimdi de VPN1 makinesini NAP yeteneklerine sahip bir Radius Client şeklinde yapılandırmaya. RADIUS Clients and Servers altından RADIUS Clients ‘a tıklıyoruz. Sağ taraftan NAP VPN Server ‘a çift tıklıyoruz. Daha sonra screen shot’taki gibi en alttan RADIUS client is NAP-capable ‘a tıklayıp check box’ı işaretliyoruz. Ardından OK’e tıklayıp konsolu kapatıyoruz.

image018

Ardından NPS01 makinesine ping atabilmek için daha önce VPN1 makinesinde yaptığımız gibi  Run satırına wf.msc yazaraktan Windows Firewall ’un yönetim konsolunu açıyoruz ve burdan Rule oluşturuyoruz. Yukarda daha önce benzeri bir işlem yaptığım için burda tekrar yazmıyorum.

Şimdi de CL1 isimli makineyi yapılandıracağız. Her ne kadar yukardaki çizimde LAN1 kartının IP’si 131.107.1.22 görünse de makineyi domain’e join etmemiz gerekiyor. Bu nedenle öncelikle internal bir IP adresi verip domain’e join edeceğiz. Join işleminin ardından makineyi hemen restart etmiyoruz. CL1 makinesini Active Directory Users and Computers altından NAP Client Computers grubuna üye ediyoruz. Bundan sonra CL1’I restart ediyoruz.Bu sayede CL1 Nap Client Computers grubu için olan Group Policy ayarlarını kendine alacaktır. Diğer türlü bir kez daha restart etmemiz gerekecekti.

Group Policy ayarlarının CL1’e uygulanıp uygulanmadığını kontrol etmek için CL1 makinesinde komut satırını admin yetkileriyle açıyoruz. Burda aşağıdaki komutu yazıyoruz.

netsh nap client show grouppolicy

Komut çalıştıktan sonra Enforcement Clients altında Admin Status’te Remote Access Quarantine Enforcement Client seçeneğinin enabled olduğunu doğruluyoruz.

image019

Şimdi de CL1 ‘in IP adresini 131.107.1.22 / 24; DNS: 192.168.1.200 şeklinde değiştirip VPN1 Makinesinin dış interface’I olan 131.107.1.23 ile iletişim kurup kuramadığını denemek için bu interface’I pingliyoruz. Eğer yanıt alabiliyorsak herşey yolunda.

Ip adresi değiştikten sonra Client 1’in iç network’e ulaşabilmesi için VPN bağlantı kurmak gerekmekte. Bunun için Start menüsünden Network’e sağ tıklayıp Properties’e geliyoruz. Sol taraftan Set up a connection or network’e tıklıyoruz. Choose a connection option sayfasında Connect to a workplace ‘I seçiyoruz.

image020

How do you want to connect sayfasında sayfasında Use my Internet connection (VPN) ‘I seçiyoruz.

image021

Sonraki Sayfada I’ll set up an internet connection later’I seçiyoruz.

Type the internet address to connect to sayfasında Internet address kısmına VPN1 makinesinin IP adresi olan 131.107.1.23 ‘ü yazıyoruz. Destination name kısmına da bağlanacağım domain’in adını yazdım ve alttan Allow other people to use this connection kutusunu işaretliyorum.

image022

Sonraki ekranda kullanıcı adı ve şifre bilgilerini giriyorum. Daha önce oluşturduğum Selim kullanıcısını ve password’ünü kullandım. Domain adını da selveroglu yazıp Create’e tıkladım.  Ardından Connection Ready penceresini kapatıyorum.

Network an Sharing Center ‘da Manage Network Connections ‘a tıklıyorum. Virtual Private Network altındaki bağlantıma sağ tuşla tıklayıp  Properties ‘e geliyorum. Ardından Security tab’ına tıklıyorum.

Burada Advanced (custom settings)’I seçip ardından settings’e tıklıyoruz.  Logon security altında Use extensible authentication Protocol (EAP) seçip  aşağısından Protected EAP (PEAP)(encryption enabled)’I seçiyoruz.

image023

Aşağısından Properties’e tıklayıp Validate Server Certificate kutusunu işaretliyoruz. Connect to these servers kutusunu temizleyip Select Authentication Method altından Secured Password (EAP-MSCHAP v2)‘ü seçiyoruz. Enable Fast Reconnect kutusunu temizleyip Enable Quarantine checks kutusunu işaretliyoruz.

image024

VPN Bağlantımızı test etmek için bağlantımızın üzerine sağ tuşla tıklayıp connect’I seçiyoruz. Açılan pencerede şifremizi yazıp tekrar connect’e tıklıyoruz. İlk kez bağlantı yaparken aşağıdaki ekranla karşılaşırız ve burada server sertifikamızın doğru olup olmadığını bir kereye mahsus kontrol etmemizi ister.

image025

View certificate butonuna tıklayıp aşağıdaki gibi sertifka bilgilerine erişebiliriz.

image026

OK butonlarına tıklayarak pencereleri kapatıyorum. Ardından bağlantım kurulduktan sonra DC01 ve NPS01 makinelerinin IP adreslerine ping atabiliyorsam bağlantım başarılı olmuştur. Şimdilik bağlantımı disconnect’e tıklayarak kapatıyorum.


Şimdi otomatik iyileştirme (remediation) fonksiyonunu test etmeye geldi. Öncelikle CL1 makinesindeki firewall’u kaptacağız ve akabinde VPN bağlantısı kurmaya çalışacağız. Bu durum policy’lere aykırı olduğu için NAP auto-remediation devreye girerek CL1’I policy’lerde istenen şekle sokacaktır.

CL1 ‘de Start menüsünden Control Panel’e geliyoruz. Security’e tıklıyoruz. Windows Firewall on or off ‘a tıklıyoruz. Windows Firewall Settings kutusunda Off(not recommended) seçip OK’e tıklyoruz.

Network connections’tan tekrar VPN bağlantıma sağ tuşla tıklayıp connect’I seçiyorum. Size Hiç bir uyarı vermeden VPN bağlantısı gerçekleşebilir. Ama Windows Firewall’un durumuna baktığınızda on konumuna geldiğini göreceksiniz. Ve Network Access Protection Uygulamasının bu sayede başarıyla çalıştığını görmekteyiz.

Son olarak antivirus programı yüklü olmayan CL1 için policylerde “antivirüs yüklü olsun” dersek neler olacak ona bakalım..

NPS01 makinesinde Run satırında nps.msc yazarak Network Policy Server konsolunu açıyoruz. Burada Network Access Protection altından System Health Validators ‘a tıklıyoruz.  Sağ bölümden Windows Security Health Validator’a çift tıklayıp açılan pencerede Configure’e tıklıyoruz.  Burda  da “An antivirus application is on”  seçeneğini işaretleyip OK butonlarına basarak çıkıyorum.

CL1 ‘den tekrar VPN bağlantısı kurmaya çalıştığımda aşağıda görünen hatayı almaktayım.

image027

Biraz uzunca oldu, daha da uzamasın diye her adımda snap-shot koymadım. Umarım yararlı olmuştur ve uygulama hakkında fikir verebilmişimdir. Başka bir makalede görüşmek üzere.

Selim SELVEROĞLU

Active Directory Makaleleri 10 Active Directory içerisinde Hazir Sorgulamalar Oluşturmak

Active Directory Users and Computers, active directory domain içerisinde kullanıcı, grup, bilgisayar hesaplarının yönetimlerini yapıldığı, şirketinizin organizasyon şemasının yapılandırıldığı ve group policy gibi güvenlik yönetiminin yapılandırıldığı yönetim konsoludur. Bu başlık altında Active Directory Users and Computers’ün detaylı bir şekilde kullanımı hakkında bilgi sahibi olacaksınız.

Active Directory Users and Computers konsolunda en üstte Saved Queries isimli bir kap vardır. Bu kabın içerisinde sıklıkla kullandığınız sorgulamaları hazırlayıp, ihtiyacınız olduğunda bu bölümden hazır bir şekilde kullanabilirsiniz.

image001

Saved queries içerisinde oluşturulmuş sorgulamalar sürekli olarak kendini güncellerler. Şimdi bunun kullanımını bir kaç örnekle açıklayalım.

Birinci örneğimizdeki hazırlayacağımız query domain içerisinde disabled yapılmış kullanıcı hesaplarını listelesin.Bunun için aşağıdaki adımları takip edin:

1. Saved Queries üzerinde sağ tuş New’den Query tıklanır.

image002

2. New Query penceresinde Name kısmına query için bir isim verilir, Description kısmına da tanımlayıcı bir bilgi girilir. Include subcontainers kutucuğu işaretlenerek belirtilen kap altındaki bütün alt klasörleri kapsayacak şekilde sorgulamanın çalışması sağlanır.

image003

3. Define Query butonuna tıklanarak sorgulamanın şartları belirlenir. Karşımıza Find Common Queries penceresi gelir.

image004

Burada Disabled accounts kutucuğu işaretlenir ve OK ile onaylanır.

4. Karşımza tekrar New Query penceresi gelir ve Query String bölümüne belirtilen şartın sorgulama cümleciğinin geldiği görülür.

image005

5. OK ile işlem onaylandığında Saved Queries altına verdiğimiz isimde sorgulamanın oluştuğunu göreceksiniz.

6. Bu sorgulamanın üzerine tıklayınca da sorgulamanın şartına uyan kayıtların listesinin geldiğini göreceksiniz.

image006

İkinci bir örnekle daha bunu pekiştirelim. Bu örnekte de domain içerisindeki Administrators grubuna üye olanları listeleyen bir sorgulama yazacağız:

1. Saved Queries üzerinde sağ tuşa basıp New Query tıklanır.

2. Karşımıza gelen New Query penceresinde name kısmına query için bir isim description kısmına da açıklayıcı bir bilgi yazılabilir.

image007

3. Define Query tıklayarak karşımıza gelen Find Users Contact and Groups diyalog kutusunda Find bölümünden Users, Contacts and Groups seçilir.

image008

4. Alt bölümden Advanced tabına geçin ve Field butonuna tıklayıp, açılan seçeneklerden User’dan Member Of tıklayın.

image009

5. Value kutucuğuna Administrators girin ve Add ile şartınızı ekleyin.

image010

6. OK ile onaylayın.

7. New Query penceresine tekrar geri döneceksiniz. Burada query string kutusuna da belirtilen şarta uyan sorgulama kodunun geldiğini göreceksiniz.

image011

8. OK ile onaylayınca arka plana sorgulamanın geldiğini, sorgulamaya tıklayınca da şarta uyan kayıtların listelendiğini göreceksiniz.

Mesut ALADAĞ

Active Directory Makaleleri 9 Client Bilgisayar Uzerine Yonetimsel Aracların Yuklenmesi (Administrative Tools)

Domain’e katıldıktan sonra client bilgisayar üzerine active directory yönetimsel araçlarını yükleyerek, client bilgisayarından domain’i yönetebilirsiniz. Burada tabii ki dikkat edilmesi gereken husus, client bilgisayarından domain’i yönetme yetkisi olan bir kullanıcı hesabı ile logon olmanız gerekir. 

Client bilgisayarının üzerine active directory yönetim araçlarını yüklemek için ADMINPAK.MSI komutu kullanılır. Windows Server 2003’de çalışan bilgisayarların windows\system32 klasörü içerisinde adminpak.msi dosyası mevcuttur. Dolayısıyla Windows Server 2003’de çalışan bir bilgisayara yönetimsel araçları kurmak için: 

  1. Start menüden Run’a gelinir.
  2. Run diyalog kutusuna adminpak.msi yazılır.
  3. OK butonuna tıklanır.
  4. Windows Installer servisi çalışmaya başlayarak Windows Server 2003 Administration Tools Pack kurulum sihirbazı karşınıza gelir.
  5. Next butonuna tıklayarak kurulum başlatılır.
  6. Kurulum Finish butonuna tıklanarak sonlandırılır. 

Eğer active directory yönetimsel araçlarını Windows XP Professional, Windows 2000 Professional gibi bir client bilgisayarı üzerine kuracaksanız, öncelikle domain controller bilgisayarı üzerinden adminpak.msi dosyası bir klasöre konularak bu klasörün paylaşıma açılması ve clientların da bu paylaşıma bağlanarak kurulumu başlatması gerekir. 

NOT:Active Directory client bilgisayarlarına yönetimsel araçları kurmanın en kolay yöntemlerinden bir diğeri de, group policy ayarlarından software installation içerisinden adminpak.msi paket dosyasını client bilgisayarlarına göndermektir. Bu konu ilerleyen bölümlerde Group Policy bölümünde daha geniş ele alınacaktır. 

Adminpak.msi ile yönetimsel araçların kurulumundan sonra Administrative Tools menüsüne baktığınızda Active Directory ile başlayan ve ayrıca diğer programlarla da ilgili olan (DNS, DHCP, WINS vb gibi) yönetimsel araçların geldiğini göreceksiniz. Buradan Active Directory Users and Computers kısayoluna tıkladığınızda karşınıza Active Directory Users and Computers yönetim konsolu açılır. Buradan domain ile ilgili her türlü yönetimi gerçekleştirebilirsiniz. 

Client bilgisayarlarından active directory yönetimini yapmanın bir diğer yolu da MMC(Microsoft Management Console) kullanmaktır.Bu işlem için de aşağıdaki adımları yerine getirmeniz yeterlidir:

 

image001 

  1. Start menüden Run’a gelinir.
  2. MMC yazılır ve OK butonuna tıklanarak Microsoft Management Console açılır.
  3. File menüsünden Add-Remove Snap-in tıklanır. 
  4. Add-Remove Snap-in penceresinde Add butonuna tıklanır. 

image002 

  1. Karşımıza gelen Add Standalone snap-in penceresinden Active Directory Users and Computers eklentisi seçilir ve Add’e tıklanır. 

image003 

  1. Close ile Add Standalone snap-in penceresi kapatılır ve Add-Remove Snap-in penceresi OK ile onaylanır. 

image004 

MMC konsol içerisinde Active Directory Users and Computers geldiği görülür. Buradan artık domainin yönetimi yapılabilir. 

Ayrıca bu yönetim konsolu kaydedilerek (default kaydedildiği konum Administrative Tools menüsüdür) daha sonra tekrar eklemeye gerek kalmadan doğrudan yönetim yapılabilir. 

NOT:Eğer client bilgisayarından Active Directory users and Computers’e tıklayınca üzerinde kırmızı çarpı işareti(X) belirse, bunun nedeni ya lokal bilgisayara logon olmuşsunuzdur ya da TCP/IP özelliklerindeki DNS ayarlarında yanlışlık vardır. Ayrıca DC bilgisayarı ile network bağlantısındaki problemlerden de bu durumla karşılaşılabilir. 

NOT: Windows XP Professional üzerine yönetimsel araçların kurulabilmesi için, en az Windows XP Service Pack 1’in kurulu olması gerekir. Windows XP Professional işletim sisteminde çalışan bir bilgisayar üzerine Windows 2003 yönetimsel araçlarını yüklemek için,  lokal bilgisayar üzerinde yönetimsel haklara sahip olmanız gerekir.Eğer bilgisayar bir domainin üyesi ise bu görevi sadece Domain Admins grubu gerçekleştirebilir. 

ÖNERİ:Windows Server 2003 Yönetimsel Araçlar Paketini eğer bilgisayarı kullanacak kişi administrator olmayacaksa uninstall etmeniz önerilir.

Mesut ALADAĞ