Proje

1. Adım

• Site 1’de iki adet ağ var: 192.168.2.0/24 ve 192.168.3.0/24. Bu nedenle VMWare’de sanal makinalar kurulurken 2.0 ağı için VMNet2, 3.0 ağı için VMNet3 opsiyonları seçilmiştir.

• Site 2’de de iki adet ağ var: 192.168.4.0/24 ve 192.168.5.0/24. yine aynı nedenle VMWare’de sanal makinalar kurulurken 4.0 ağı için VMNet4 ve 5.0 ağı için VMNet5 opsiyonları seçilmiştir.

• Her iki Site’da da kullanılan ip adresleri Özel IP Adresleri olarak adlandırılır. Özel IP Adresleri şunlardır:

Sınıf Özel IP AdresleriVarsayılan Alt Ağ Maskesi

Ağ Sayısı

Ağ Başına Düşen Konak

Bilgisayar

Toplam Konak Bilgisayar

A 10.0.0.0 - 10.255.255.255 255.0.0.0 1 16,777,214 16,277,214

B 172.16.0.0 - 172.31.255.255 255.255.0.0 16 85,534 1,048,544

C 192.168.0.0 - 192.168.255.255 255.255.255.0 256 254 85,024

Proje

1. Adım

• Özel IP Adresleri’nin genel ağlara bağlantısı yoktur; internet üzerinden yönlendirilemezler.

– Kurumsal. Günümüzde bir çok şirket özel adres yapısı kullanır. Şirketler Internet Servis Sağlayıcılardan (ISS) genel ip adresleri alırlar. Kendi içlerindeki kullanıcılara Özel IP Adreslerini tanımlarlar.

– Bireysel. ISS’ler bireysel kullanıcıların internete bağlandıkları modemlere Genel IP Adresi verirler. Modem bir DHCP gibi davranarak bireysel kullanıcılara Özel IP Adresi tanımlar.

• Internet’e çıkılacak olan ip adresi 85.85.85.0./24 olarak seçilmiştir. Bu adres Genel IP Adresidir. Bu adres ISS’ler tarafından sağlanır. Örneğin ben TTNet abonesiyim ve şu anda TTNet’in bana atadığı adres 88.233.104.90 (internet tarayıcıda http://www.myipaddress.com/show-my-ip-address/ yazarak aradım). Oysa bilgisayarın komut satırından ipconfig yazdığımda ip adresimi 192.168.2.2 olarak görüyorum. Yine evdeki internete aynı modem üzerinden bağlı diğer bir bilgisayara gidip ip adresine baktığımda 192.168.2.3 adresini görüyorum.

Proje

1. Adım

• Türkiye’de şirketler ya da ISS’ler internet adreslerini RIPE NCC’den alırlar. Bu organizasyon dünyada bu konuda yetkili kılınmış beş bölgesel internet kayıt merkezinden biridir. http://www.ripe.net/membership/indices/TR.html

• Daha fazla bilgi için:– http://www.icann.org/tr/turkish.html– http://www.internic.net/– http://www.iana.org

Proje

2. Adım

• Bilgisayarların birbirleriyle haberleşebilmeleri için bir ağ protokolü (yazılım) kullanılır. Günümüzde yaygın olarak kullanılan protokoller şunlardır:– NetBEUI– IPX/SPX– TCP/IP

• TCP/IP protokolü kullandığımız Site 1 ve Site 2’deki makinaların IP, Default Gateway ve Subnet Mask ayarları doğru yapılmıştır. – Subnet Mask yanlış ise makinalar ne ağ içinde ne de ağ dışında bağlantı kuramazlar. Bir

bilgisayar Subnet Mask’ı kullanarak başka bir bilgisayarın kendi fiziksel ağı içinde olup olmadığını belirler. Bilgisayarlar IP adresiyle Subnet Mask değerini AND olarak adlandırılan mantıksal bir işlemden geçirir.

– Default Gateway yanlış ise makinalar ağ içinde bağlantı kurabilir (eğer Subnet Mask’ı doğru ise) ama ama ağ dışında kuramaz. Varsayılan Çıkış Kapısı ya da Ağ Geçidi olarak tanımlanan bu parametre aynı fiziksel ağda olmayan bir bilgisayarla haberleşmeye geçildiğinde ilişki kurulacak yönlendiriciyi gösterir.

Proje

2. Adım

• Aslında ağ üzerinde iletişim yalnızca MAC adresleri ile gerçekleşir. IP adresi sadece TCP/IP protokolüne özeldir.– Ethernet ya da Token Ring gibi ağ teknolojilerinin kullandığı parametre MAC adresidir. Bu

adres bilgisayarların ve ağ cihazlarının ağ kartlarına değiştirilemez şekilde yerleştirilmiştir.

Proje

3. Adım

• Her iki Site’da da RRAS (Routing and Remote Access – Yönlendirme ve Uzaktan Erişim) olarak tanımladığımız makinalar üzerlerinde Windows 2003 kurulu olduğu ve üçer adet ağ kartı takılı olduğu için bir yönlendirici olarak çalışabiliyor. 85.85.85.0/24 ağında oldukları için de birbirleriyle haberleşebiliyorlar.

Proje

4. Adım

• Şirketin iki şubesi arasında bağlantı yapabilmemize yarayan servis RRAS’tır. Bütün Windows 2003 makinalarında RRAS servisi vardır. Varsayılan olarak devre dışı olan bu hizmet beş farklı yapılandırma olanağı verir:– Uzaktan Erişim (çevirmeli veya VPN)– Ağ Adres Çevirisi (NAT)– Sanal Özel Ağ (VPN) erişimi ve NAT– İki özel ağ arasında güvenli bağlantı– Özel yapılandırma

• Bu yapılandırmalardan birini seçerek üzerinde ağ kartı takılı olan bir bilgisayar yönlendirici görevi yapar.

• Site 1 ve Site 2’de RRAS’ları aktif hale getirerek yerel ağlar (LANlar) birbirleriyle görüşebilirler.

Proje

4. Adım

• Windows Server 2003 RRAS iki VPN uygulamasını içerir: Biri Microsoft’un Point-to-Point Tunneling Protocol’ünü (PPTP), diğeri de Cisco’ya ait, internet standardı IPSec protokolü ve Layer 2 Tunneling Protocol’ü (L2TP) birleşimi.

• L2TP ile şifrelenmemiş, kimlik doğrulaması yapılmamış tünel kurulur. O nedenle IPSec’li L2TP kurarak ağ güvenliği sağlamlaştırılmış olur.

• Tünel oluşturma ile kastedilen bilginin saklanmasıdır. VPN bağlantısı L2TP sunucu için yapılandırılmışsa IPSec kullanılır. Bu bağlantıların oluşturulması esnasında sunucu ile tünel anlaşması yapılır. Tünel işleminde paketler bir çerçeve içerisine alınarak saklanır.

• RRAS yapılandırılırken “İki özel ağ arasında güvenli bağlantı” seçeneği seçilir, bağlantı tipi olarak VPN, VPN tipi olarak da L2TP seçilir.

Proje

4. Adım

• RRAS1’de Site2’nin ağları, RRAS2’de de Site1’in ağları tanımlanır.

• Yapılandırmada unutulmaması gereken RRAS konsollarında Ağ Arayüzü (Network Interfaces) altında oluşturulan Remote Router’da Özellikler/Security IPSec Settings’e girilen kimlik doğrulamaya yarayan Anahtarın (slide 10) yine aynı RRAS konsollarında üzerinde RRAS kurulan makinaların Özellikler/Security bölümünde IPSec için de girilmesidir (slide 11).

• Site1 ve Site2’deki bilgisayarlar birbirlerine ping atarak yapılandırmanın doğru yapıldığını test edebilir.

Proje

4. Adım

• NAT, Site1 ve Site2’deki bilgisayarların özel adresleriyle internete çıkmasını sağlar. Bunun için RRAS kurduğumuz makinalarda internete çıktığımız ağda NAT’ı etkinleştiriyoruz (A), Site içindeki ağlar için özel arayüz seçeneğini seçiyoruz (B).

A B

Proje

4. Adım

• NAT, çok sayıda özel adresli kullanıcıyı içeren bir grubun bir ya da birden çok genel IP adresi kullanarak internete erişmesini sağlar.

• NAT, bilgisayarların, sunucuların ve ağ iletişim cihazlarının gerçek IP adreslerinin doğrudan internet erişimini engelleyerek bunlar için güvenlik sağlar.

• NAT’da makinalara iki türlü IP adresi atanır: dinamik ya da statik. • Dinamik NAT’da bir yönlendirici önceden tanımlanmış bir adres

havuzundan cihazlara adres verir. Cihaz oturumu bitirdiğinde adres havuza iade edilir.

• Ancak bazı durumlarda ağdaki cihazların birine ya da bazılarına ulaşma ihtiyacı olacaktır. Bu durumda o makinalara statik IP atanır. Halka açık Web ve FTP sunucuları buna örnektir.

Proje

5. Adım

• Bir directory bilgi kaydeden ve bu bilginin kullanıcılar tarafından kullanılabilmesini sağlayan bir veritabanıdır. Microsoft AD’nin (Active Directory) temel amacı bir şirketin kaynaklarını güvenli bir biçimde yöneten bir tek merkezileştirilmiş (veya birden çok makinaya dağıtılmış) bilgi ambarı oluşturmaktır. Bir ağı yönetmeye yarar.

• Bir Domain, bir ağa bağlı olan ve ortak bir dizin veritabanı paylaşan bilgisayarların veya diğer kaynakların bir grubudur.

• Domain bilgilerini üzerinde tutan bilgisayara ise Domain Controller (DC) deniyor. Bir DC üzerinde AD’nin etkinleştirilmiş olduğu bir W2K3 bilgisayarıdır.• Sistem büyüdükçe, tek bir DC yeterli gelmeyebilir ve birden fazla DC kurulabilir. Her biri

aslında birebir aynı bilgileri üzerlerinde tutar, ancak örneğin 300 kullanıcı varsa, 150 kullanıcı bir DC'den login olur, diğer 150 tane ise diğer DC'den. Böylece yük iki DC arasında paylaştırılmış olur. DC'lerden birisi çökerse, 300 kullanıcı da geriye kalan tek DC'den login olmaya devam edebilirler. Bir "Domain" den söz edebilmek için bu domain bilgilerini üzerinde tutan en az bir DC (yani fiziksel bir bilgisayar) olmak zorundadır.

Proje

5. Adım

• Yapımızda Site1’deki DC olarak belirlediğimiz makinada Active Directory’i kurarak domain adını Alemadam.com olarak veriyoruz. AD’yi kurarken DNS’i de kuruyoruz.

• AD kurmak için gerekli önkoşullar şunlardır:– Doğru adlandırılmış 2003 sunucu– NTFS bölümlemesi– AD için minimum 200MB – Log dosyaları için minimum 50MB – DNS kullanmak için konfigürasyonu yapılmış TCP/IP

Proje

5. Adım

• 1984 yılında kullanıma geçen DNS (Domain Name System) 255 karaktere kadar büyüyebilen host adlarını IP adreslerine çevirmek için kullanılan bir sistemdir.

• Host adı FQDN (fully Qualified Domain Name – Tümüyle Tanımlanmış Etki Alanı) olarak da bilinir ve hem bilgisayara adını hem de bilgisayarın bulunduğu Internet etki alanını gösterir.

• DNS sistemi ad sunucuları (name server ya da DNS server) ve çözümleyicilerinden oluşur. Ad sunucuları olarak düzenlenen bilgisayarlar host adlarına karşılık gelen IP adresi bilgilerini tutarlar. Çözümleyiciler de DNS istemcileridir.

• Bir W2K3 makine DNS sunucu hizmeti yüklenerek DNS sunucu yapılır. Bu DNS sunucuda bir ya da birden fazla bölge yaratılır (alemadam.com, bilgeadam.com, vb). O bölgelerin altında da bilgisayarlara ait kayıtlar yaratılır; örneğin bir web sunucuyu gösteren www kaydı.

Proje

5. Adım

• Internet’te çeşitli etki alanları var; microsoft.com, odtu.edu.tr, bilgeadam.com.tr gibi. Her etki alanından sorumlu bir DNS sunucu var. O etki alanındaki makinaların bilgisi etki alanından sorumlu DNS sunucuda tutuluyor.

• Her ülkeden sorumlu bir DNS sunucu da vardır. Türkiye’den (.tr uzantılı etki alanlarından) sorumlu DNS sunucu ülkemizde ODTÜ’de bulunuyor.

• ODTÜ’nün DNS sunucusunda .tr etki alanlarına ait bilgi bulunur. Bu bilgiler “şu etki alanından sorumlu DNS sunucu şu makinadır” şeklindedir. Burada etki alanlarındaki bilgisayarlara ilişkin ayrıntılı bilgi tutulmaz. Örneğin, bilgeadam.com.tr’deki www bilgisayarına ait bilgi ODTÜ’de değil, bilgeadam.com.tr’den sorumlu DNS sunucuda tutulur.

Proje

5. Adım

• Bir etki alanı içerisindeki makineler, isim çakışmalarını önlemek amacıyla hiyerarşik düzenle oluşturulmuş bir isim yapısı kullanır. DNS veritabanı en üstte "root" (kök) sunucuların yer aldığı bir ağaç yapısındadır. Her bir alt nokta bir etki alanı ve bu etki alanlarından ayrılan her bir parça da alt etki alanı (subdomain) olarak adlandırılır.

• Kök Sunucular: DNS sisteminin en üstünde bulunurlar ve sunucu adı-ip dönüşümünün başladığı yerdir. Gelen istekleri TLD (Top Level Domain-Üst Düzey Etki Alanı) sunucularına yönlendirirler. Dünya üzerinde 13 adet kök sunucusu bulunmaktadır.

• TLD Sunucular: Görev dağılımının ilk olarak yapıldığı yerdir. gTLD (generic TLD-genel TLD) ve ccTLD (country code TLD-ülke kodlu TLD)lerden oluşur.

Proje

5. Adım

• Bir etki alanı içerisindeki makineler, isim çakışmalarını önlemek amacıyla hiyerarşik düzenle oluşturulmuş bir isim yapısı kullanır. DNS veritabanı en üstte "root" (kök) sunucuların yer aldığı bir ağaç yapısındadır. Her bir alt nokta bir etki alanı ve bu etki alanlarından ayrılan her bir parça da alt etki alanı (subdomain) olarak adlandırılır.

• Kök Sunucular: DNS sisteminin en üstünde bulunurlar ve sunucu adı-ip dönüşümünün başladığı yerdir. Gelen istekleri TLD (Top Level Domain-Üst Düzey Etki Alanı) sunucularına yönlendirirler. Dünya üzerinde 13 adet kök sunucusu bulunmaktadır (arka sayfada).

Proje

5. Adım

• Dünya’da 13 adet kök sunucunun bulunduğu yerler:

Proje

5. Adım

• TLD Sunucular: Görev dağılımının ilk olarak yapıldığı yerdir. gTLD (generic TLD-genel TLD) ve ccTLD (country code TLD-ülke kodlu TLD)lerden oluşur.

• İkinci Seviye Etki Alanı Sunucuları: Kişi veya kurumlara verilen, farklı uzunluklardaki etki alanı isimleridir. Örnek: "microsoft.com" vb.

 

Proje

5. Adım

• Şimdi bir örnekle DNS sistemi nasıl çalışıyor anlayalım:– ABD’de üniversite öğrencisi olan Ayşe her sabah kütüphaneye giderek İstanbul

sosyetesinden son haberleri öğrenmek için Sosyete.com’un web sitesine girer.– Web tarayıcıda www.sosyete.com.tr yazdığında TCP/IP protokolü bu ada karşılık gelen IP

adresini bulmak isteyecektir. – Üniversitenin DNS sunucusuna gidip soracaktır. – Bu DNS’te üniversite ile ilgili bilgi bulunur ama, web sitesiyle ilgili bilgi yoktur.– Bu nedenle üniversitedeki sunucu kök sunuculara danışır. – Bütün DNS sunucularında varsayılan olarak Dünya’daki 13 adet kök sunucunun adresi

vardır. – Üniversite sunucusu bu kök sunuculardan .tr’den sorumlu olan DNS sunucusunu öğrenir.– .tr’den ODTÜ DNS sunucusu sorumludur. Buraya başvurur.– ODTÜ DNS sunucusu www.sosyete.com.tr DNS sunucusun adresini bildirir. – En sonunda üniversitedeki sunucu sosyete.com’un IP adresini sitenin DNS sunucusundan

öğrenir. – Bu bilgiyi hem istemci makinaya gönderir, hem de belli bir süre içinde aynı bilgiyi soran

olabilir diye bu bilgiyi önbelleğinde tutar.

 

Proje

5. Adım

• AD kurulumu :– AD kurulum sihirbazını başlatmak için dcpromo çalıştırılır.– Yeni domain için DC, yeni bir domain tree ve forest yaratılır.– Doğru DNS yapılandırması için AD domain adı DNS adı ile aynı olmalıdır.– Domain NetBIOS adı DNS’in ilk kısmıyla aynı olmalıdır.– En iyi performans için database ve log dosyalarını farklı bir hard diskte tutmak gerekir.– Sysvol NTFS bölümünde olmalıdır.– “Permissions compatible with pre-2000 computers” seçeneği eğer Domain’de NT sunucu

varsa seçilmelidir.– Directory Services Restore Mode administrator şifresi girilir ve bu AD Administrator hesabı

şifresiyle aynı olmamalıdır.

Proje

5. Adım

• Site2’de ADC kurulumu:– Dcpromo çalıştırılır.– Additional DC for existing domain seçilir.– Network credentials kısmına AD administrator hesap detayları girilir.– Domain’in DNS adı verilir.– Diğer bilgiler ilk DC’de girildiği gibi girilir.

Proje

6. Adım

• Kurulumlardan sonra Site2 ADC’de DNS de kurulur ve konfigürasyonu yapılır (ilk DC’de DNS kurulmamış olsaydı bu yapılamazdı).

• Daha sonra Site1’de tüm makinalara DNS olarak ilk DC’yi (AD) göstererek Domain’e dahil ediyoruz (Bilgisayarım/Özellikler/Bilgisayar Adı/Change- aşağıdaki resim). Her makinadan Alemadam.com Domain’e ping atarak internetteki ve lokal networkteki isimleri DNS sunucu üzerinden çözdüğünü doğruluyoruz.

Proje

7. Adım

• TCP/IP protokolünü kullanan bir ağda her bilgisayar için ortalama beş adet parametre tanımlamak gerekiyor:

– IP adresi– Subnet maskesi– Default gateway adresi– DNS sunucu adresi– WINS sunucu adresi

• Ağdaki bilgisayar sayısı arttıkça bu parametrelerin bilgisayarlara elle girilmesi büyük bir yük yaratır ve ayrıca bu işlem hata yapmaya çok uygundur.

• DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini otomatik olarak dağıtan bir protokoldür.

• Bir makine DHCP sunucu olarak kurulur (Site1 ve Site2’de AD ve ADC kurulan makinalar); diğer bilgisayarlara dağıtacak adresler için bir adres aralığı ve bir subnet maskesi tanımlanır.

Proje

7. Adım

• Her iki Site’da da diğer makinalar da DHCP istemci olarak yapılandırılır.

• Windows Server 2003 (Site1’de DC ve Site2’de ADC) üzerinde Denetim Masası’ndaki Program Ekle veya Kaldır uygulamasından Windows Bileşenlerini Ekle/Kaldır bölümünün altından Ağ Hizmetleri (Detaylar)/DHCP seçilerek yüklenir.

Proje

7. Adım

• DHCP sunucusundaki IP adresleri statik olarak girilmelidir. • DHCP sunucu hizmetini yapılandırırken ilk yapılacak iş DHCP sunucuyu

yetkilendirmektir (Authorize). Bunu yaparak IP dağıtmasını sağlıyoruz.• Daha sonra adres havuzu oluşturmak için bir Yeni Kapsam yaratıyoruz.

Proje

7. Adım

• Site1’de 2.0 ağındaki makinalar için Kapsamı tanımlıyoruz. Client1’in DHCP’den otomatik olarak ip adresi aldığını doğruluyoruz.

Proje

7. Adım

• Daha sonra Site1 DC’de Scope Options Advanced sekmesinde kira süresini 3600 dakika olarak belirliyoruz. Varsayılan olarak bu süre 8 gündür. TCP/IP’de herşeyin bir süresi vardır. DHCP yolu ile alınmış adres belli bir süreliğine kiralanmış demektir.

Proje

7. Adım

• Tüm bu işlemleri Site2’de yapmazdan önce ADC’nin kurulu olduğu makine DNS olarak gösterilir ve Site1’de DNS’in kurulu olduğu DC makinasına Forwarders (İletici) işlemiyle yönlendirilir. Böylece Site2’deki DNS sunucu kendisinde olmayan bir bilgi istendiğinde kök DNS sunucusundan (Site1’de AD) yanıtı alır ve istemcilere verir.

Proje

7. Adım

• Daha sonra ADC’de ipconfig /flushdns komutuyla DNS Resolver Cashe temizlenir. Net Stop Netlogon, Net Start Netlogon komutlarıyla servis durdurulur ve başlatılır. Net Stop DNS ve Net Start DNS komutlarıyla da DNS servisi başlatılır. Diğer makinalarda da DNS olarak ADC’nin kurulu olduğu 192.168.4.2 ip adresi tanımlanır. Her makinadan alemadam.com isminin çözüldüğü doğrulanır.

Proje

8. Adım

• WINS servisinin başlıca amacı bilgisayarların NetBIOS adlarını IP adreslerine çevirmektir. Yani bir bilgisayar başka bir bilgisayarın BetBIOS adını biliyorsa WINS sunucuya giderler ve o ada karşılık IP adresini öğrenirler.

• Bilgisayarların, etki alanlarının, çalışma gruplarının NetBIOS adları vardır. NetBIOS adı ağdaki bir NetBIOS kaynağını tanımlamak için kullanılan 16 baytlık bir adrestir.

• 16. bayt bilgisayarın üzerindeki NetBIOS servislerini, görevlerini gösterir. Bir bilgisayarın adı da bu bayt ile anlam kazanır. Bu bayt görüntülenemez.

• Kendi bilgisayarımızda kullanılan NetBIOS servislerini ve NetBIOS Name’ i görüntülemek için Nbtstat -n komutu kullanılabilir.

• Bir bilgisayar açıldığında periyodik olarak NetBIOS adlarını duyururlar (broadcast); 1ben çalışmaya başladım, adım şudur, üzerimdeki ağ hizmetleri de bunlardır” der.

• Network içinde NetBIOS adı tek olmalıdır. Yani iki bilgisayar aynı NetBIOS Name’ e sahip olamaz.

Proje

8. Adım

• NetBIOS, OSI Modeli’nde Session katmanında bulunan bir protokoldür.• Bir Windows 2003 makinası üzerine WINS servisi eklenerek WINS

sunucusu yapılır. WINS istemciler kendilerine ait bilgileri WINS sunucuya kaydettirirler. Bu otomatik gerçekleşir.

• WINS sunucu servisi Site1’de ve Site2’de DC’lere Denetim Masası’nda Windows Program/Ekle’de yüklenir.

Proje

8. Adım

• Daha sonra TCP/IP Advanced bölümünden WINS adresi girilir. • Her iki Site’da WINS sunucuyu tanımladıktan sonra her istemciye bu

sunucunun adresini girmek gerekiyor; çünkü varsayılan olarak WINS sunucu listesi boştur. Ya elle ya da DHCP ile otomatik olarak bunu yapabiliriz.

Elle DHCP ile

Proje

8. Adım

• Her iki site’da da WINS sunucular arasında replikasyon (çoğaltma işlemi) WINS konsolundan ayarlanır. Çoğaltma türü olarak Zorla/İste seçilir. Böylece varsayılan olarak her 30 dakikada bir WINS sunucular kendi veritabanlarındaki değişiklikleri birbirlerine gönderir.

Proje

9. Adım

• Web sayfalarının yayınlanmasını ve web uygulamalarının çalışmasını sağlayan, istemcilerden HTTP ve FTP üzerinden gelen talepleri Microsoft Windows sunucu tabanlı işletim sistemlerinde karşılayan servis Internet Information Services (IIS)’dir.

• Windows Server 2003′de IIS default olarak kurulu gelmez, manuel olarak kurulup yapılandırılması gerekir.

• IIS Kurulumu için Static IP’ye ve Domain Name’e ihtiyacımız vardır.

• IIS servisi şu alt bileşenlerden oluşur:– Web sunucusu– FTP sunucusu– SMTP sunucusu– NNTP sunucusu

Proje

9. Adım

• Denetim Masası/Program Ekle veya Kaldır/Windows Bilişenleri Ekle veya Kaldır bölümü seçilir. Karşımıza çıkan listeden Application Server seçilir. Gelen yeni pencereden IIS seçilir.

Proje

9. Adım

• IIS sunucuda tarayıcıya localhost yazdığımızda karşımıza aşağıdaki pencere çıkar.

Proje

9. Adım

• Her iki Site’da da tarayıcıya ISS sunucunun IP numarasını yazdığımızda web sunucuya ulaşmış oluruz.

• www.domainismi.com şeklinde yazdığımızda ulaşabilmemiz için

– DC’de DNS Forward Lookup Zones içinde alemadam.com için bir kayıt oluşturmamız gerekiyor. Böylece bir istemci bir bilgisayarın host adına karşılık IP adresini bulmak istediğinde DNS sunucusundaki veritabanındaki kayıtlara bakarak bunu yapabiliyor olacak.

– DNS’de IIS sunucunun kurulu olduğu Sanal4 makinası adına bir Kısa Ad Kaydı (Alias-CNAME) oluşturuyoruz/eşliyoruz.

– www olarak eşleştirdiğimiz ismin tam etki alanı adı (FQDN) www.alemadam.com olarak görünüyor.

– Böylece Sanal4.alemadam.com adına karşılık gelen IP adresi sorgulanırsa www.alemadam.com bilgisayarının IP adresi sorgulanır.

– Bir gün www hizmetini veren makinanın IP adresi değişirse yalnızca www kaydında IP adresini değiştiriyor olmak yetecek.

Proje

9. Adım

• DC DNS’te girdiğimiz kayıt ADC’de de oluşuyor. Client makinalarda komut satırında ipconfig /flushdns komutunu çalıştırdıktan sonra www.alemadam .com adına ping atabiliyor ve tarayıcıda da web sitesine ulaşabiliyoruz.

Proje

10. Adım

• Microsoft Server 2003 işletim sistemi, POP3 ve SMTP servisleri ile outlook ve outlook express gibi programlarla, exchange gibi büyük ölçekli veya third party dediğimiz non-microsoft ürünler gerekmeksizin mail alışverişini sağlayan küçük ölçekli bir mail server hizmeti verebilmekte. Bu hizmet çok gelişmiş özellikler içermemekle birlikte 20-30 kullanıcılı küçük bir işletmenin mail trafiğini karşılamaya yetecek düzeydedir.

• POP3 ve SMTP servislerinin kurulumu active directory yapısı gerektirmez. Yani stand alone çalışan bir işletim sistemi üzerine, domain ortamı olmadan da kurulabilir ve yönetimi yapılabilir.

Proje

10. Adım

• Kurulum için Add Remove Windows Components kısmından e-mail servislerini yüklemek yeterli.

• POP3 servisi, POP3 istemcileri (outlook vb program kullanarak mailllerini download eden kullanıcılar) tarafından gelen mail alma isteklerine sunucumuzun cevap verebilmesini sağlar.

Proje

10. Adım

• Daha sonra Mail Server üzerinde kurduğumuz POP3 servisi konsolunda iki kullanıcı için mailbox oluşturuyoruz. Site1’de DC’de kurulu olan AD’ye baktığımızda bu iki kullanıcıyı görüyoruz.

• Kullanıcıların mailboxlarına PO3 ve SMTP servisleri üzerinden kota uygulanamıyor. Kota uygulaması için mailboxların durduğu partition veya diske quota management yapılabilir. Mailboxların tutulması için bir drive oluşturup kota uygulamak uygun bir çözüm olabilir. Ancak kullanıcılar kotalarının dolduğunu, mail alıp gönderemedikleri zaman anlayacaklardır. Bu noktada zaman zaman kota ile ilgili logları takip etmek gerekir. Çünkü kotası dolan kullanıcınnın mailboxına mail düşmeyecek, bunun yerine mail gönderen kişiye, gönderdiği mailin iletilemediğine dair bir delivery notification dönecektir.

Proje

10. Adım

• Client1 ve Client2 makinalarına bu kullanıcılarla logon olup Outlook Express’i kurarak aşağıdaki gibi gerekli ayarları yapıyoruz.

• DNS’e giderek Mail Server (Sanal7 makinası) için de bir Alias kaydı açıyoruz. POP3 ve SMTP (gelen ve giden mailler) için bu ismi giriyoruz.

Proje

10. Adım

• Client1 ve Client2 makinalarına bu kullanıcılarla logon olup Outlook Express’i kurarak aşağıdaki gibi gerekli ayarları yapıyoruz.

• DNS’e giderek Mail Server (Sanal7 makinası) için de bir Alias kaydı açıyoruz. POP3 ve SMTP (gelen ve giden mailler) için bu ismi giriyoruz.

Proje

11. Adım

• RAID (Redundant Array of Independent Disks) aynı veriyi farklı disklerde saklama teknolojisidir. Türkçe’de Bağımsız Disklerin Artıklı Dizisi olarak adlandırılır.

• Artıklı kelimesi veri güvenliğini ifade etmektedir. Yani farklı diskler birbirlerindeki verilerin parametre artıklarını tutuyor anlamına gelmektedir.

• Bu teknoloji disk bozulmalarına, hatalı kodlamalara, büyük disk boyutları elde etmeye ve performansa pozitif etkisinden dolayı özellikle sunucularda sıkça kullanılan bir yöntemdir.

• İşletim sistemi RAID arayüzü ile birbirine bağlanmış diskleri tek disk gibi görmektedir. Yedekleme işlemi işletim sisteminin çoğunlukla haberi olmadan donanım bazında yedeklenmektedir. RAID teknolojisinde SATA, PATA ve SCSI diskler kullanılabilmektedir. Çeşitli RAID konfigürasyon seviyeleri vardır: RAID0, RAID1, RAID2, RAID3, RAID4 ve RAID5 en çok kullanılan yapılardır.

Proje

11. Adım

• RAID5, RAID seviyelerinin en çok kullanılan popüler seviyesidir. Veriler farklı disklere bloklar halinde yazılırlar. Veritabanı ve sunucu uygulamalarında sıkça kullanılır.

• Hem hız perfomansı hem de veri güvenliği sağlanır. En az 3 disk gereklidir. Disk alanı RAID1’e oranla çok daha verimli kullanılır. Bilgi RAID0’da olduğu gibi disklere sırayla yazılır, en önemli fark her bir sırada parity bilgisinin de bulunmasıdır. Disklerden biri bozulduğunda bu parity bilgisi kullanılarak veriler kurtarılır. Birden fazla disk bozulduğunda veriler kurtarılamaz.

• Windows 2000 Server’da en fazla 32 disk bir RAID5 dizisi oluşturacak şekilde kullanılabilir.

• RAID5’in dezavantalarından biri parity hesaplamalarından dolayı yazma performansının düşük olmasıdır. Daha çok controller kullanılarak bu performansta bariz artışlar sağlanabilir. Düşük maliyet ve veri güvenliğinin kolayca sağlanması gerektiğinde RAID5 en uygun çözüm olacaktır.

Proje

11. Adım

• 3 diskle oluşturulmuş bir RAID5 yapısı.

Dizi içerisindeki tüm disklere hem veri hem de parite bilgileri dağıtılarak yazılıyor.

Proje

11. Adım

• Yapımızda her iki Site’da da bulunan File Server makinalarına 3’er disk ekliyoruz

• Computer/Management konsolunda bu diskleri seçip RAI5 olarak yapılandırıyoruz.

Proje

12. Adım

• Her iki Site’da File Serverlar üzerine iki adet printer (P1 ve P2) kuruyoruz.

Proje

12. Adım

• Her Site’da P1 ve P2’den oluşan bir havuz oluşturuyoruz (pooling). Printer üzerine sağ klick, port sekmesi ve Enable printer pooling.

Proje

12. Adım

• Daha sonra bu printerlardan birini (iki Site’da da) herkesin kullanımına açıyoruz (printer üzerinde sağ klik/sharing sekmesi).

• Bunu yaparken yine aynı pencerede Security sekmesinde tüm kullanıcılara print hakkı veriyoruz.

Proje

12. Adım

• Daha önce oluşturduğumuz kullanıcılara her iki Site’da da dokümanları yönetme hakkı veriyoruz (yine aynı pencerede Add tuşuna basıp user5’i kullanıcılara ekleyerek).

Proje

13. Adım

• Daha önce yaptığımız gibi Print Server olarak da hizmet gören File Server üzerine iki adet daha disk kuruyoruz (iki Site’da da).

• Bu iki stripe seçeneğini kullanarak RAID0 oluşturuyoruz.

Proje

13. Adım

• Volume2 (F diski) olarak adlandırdığımız bu yapıya printerları alıyoruz.

Proje

13. Adım

• RAID0, hata toleransı olmaksızın performansı artırıcı özelliğe sahip RAID türüdür. Hata düzeltme etkisi yoktur. Herhangi bir diskin bozulması tüm diskleri kullanılmaz yapar. Bilgi bloklara ayrılarak her bloğun farklı disklere yazılması sağlanır. Bağlı disklerin boyutları toplanarak diskin kapasitesini oluşturur. Örneğin 360GB'lık iki adet disk RAID0 konfigürasyonunda toplamda 720GB'lık bir kapasite sağlayacaktır. Bu seviye için en az iki disk gereklidir.

Proje

14. Adım

• POP3 trafiğini güvence altına almak için IPSec kullanıyoruz. IPSec temel Internet Protocol (IP)’a yapılan bir takım eklentiler kümesidir; güvensiz IP üzeriden güvenli bir iletişim sağlar.

• IPSec Network Katmanı’nda çalışır. • IPSec iki servis sunar:

– Bilgisayarlar için birbirlerine güvenip güvenmediklerine karar vermeleri (authentication – kimlik doğrulama).

– Network verilerinin gizli tutulması (encryption – şifreleme)

• IPSec’de iki mod vardır: transport ve tunnel.• IPSec üç farklı kimlik doğrulama metodu destekler: Kerberos, Sertifikalar

ve Preshared Key.• IPSec önceden tanımlı policy’ye sahiptir ama kullanıcı kendi policy’lerini de

oluşturabilir.• W2K3’de aynı domain’e ait kullanıcılar için varsayılan kimlik doğrulama

metodu Kerberos’tur.

Proje

14. Adım

• IPSec için policy, kural ve filtreler oluşturulur.• Bir W2K3 makinasında IPSec istemci olarak çalışması için gerekli

bileşenler varsayılan olarak yüklüdür. Ancak zorunlu olan policy etkin değildir. IPSec MMC’de Ip Security Policy Management snap-in ile etkinleştirilir.

Proje

14. Adım

• İlk olarak Mail Server üzerinde bir policy’i etkinleştiriyoruz. Policy dediğimiz güvenlik seviyesi sağlayan kurallar ve filtreler takımıdır.

• POP3 için oluşturduğumuz bu policiy’de Security Metodu olarak Negotiate, kimlik doğrulama metodu olarak da Kerberos’u tanımlıyoruz.

• Protokol tipi ve port numarası belirtiyoruz.

Proje

14. Adım

• Sunucuda yaptığımız bu işlemi daha sonra her iki Site’da da kullanıcı makinalarında Admin şifresiyle logon olup yapıyoruz. Bu sefer konsolda Client policy adı altında tüm işlemleri gerçekleştiriyoruz.

Proje

15. Adım

• File Server’da daha önce yaratmış olduğumuz Volume1 üzerinde sağ klik ile özelliklerine giriyoruz. Site1’de olan user5 kullanıcısı için ayarları Quota Entries bölümünden yapıyoruz.

Proje

16. Adım

• Site1’de File Server’da kullanıcılarımız için oluşturduğumuz RAID5 yapı içindeki tüm paylaşım klasörlerinin bir kopyası Properties/Shadow Copy sekmesindeki ayarlarla alınır.

Proje

17. Adım

• Policy ayarlarını değiştirmek için AD Users and Computer Domain Properties’de Edit’liyerek Windows Setting’de Password ayarlarını yapabiliyoruz.

Proje

18. Adım

• Yine aynı konsolda bu ayarları yapabiliyoruz.• Yanlış girişler nedeniyle hesabın kilitlenmesi durumunda yapılacak ayarlar

ise Account Lockout Policy kısmında yapılır.

Proje

19. Adım

• Yedekler, sistem arızalarına karşı sahip olacağımız en iyi korumadır.• Sistem yedekleme ve geri yükleme yapabilen yardımcı program System

Backup and Restore manuel olarak yedekleme yapabilmesinin yanı sıra görev zamanlaması yaparak istediğimiz ve belirlediğimiz zamanda otomatik olarak da yedekleme yapabilmektedir.

• Başlat>Çalıştır>ntbackup yazarak bu hizmeti açıp Advanced Mode’da işlemlerimizi yapıyoruz.

• Ya da My Computer>

Properties>Advanced>Startup and

Recovery Settings

Proje

19. Adım

• Windows Server Backup ile bir sunucunun yedeğini alınacağı hedef için pek çok alternatif bulunmaktadır.;

– Aynı bilgisayardaki farklı bir sürücüye, – Uzaktaki bir bilgisayarın paylaşım klasörüne, – USB arabirimi üzerinden çalışan harici sabit disklere, – DVD gibi optik medya sürücülerine – Manyetik kartuş (tape) üzerine yedek alınamıyor. Bununla birlikte Windows Server 2008’de

manyetik kartuş sürücüleri yüklü olarak gelmektir.

• Backup Wizard’ı başlatmadan önce Administrator, Server Operators veya Backup Operators gruplarının bir üyesi olarak oturum açılması gerekiyor.

Proje

19. Adım

• Yedekleme programı her ihtiyacı karşılamak için beş farklı yedekleme tipi sunar. Bu tiplerin bazıları sadece işaretli dosyaların yedeğini alarak yedekleme zamanını kısaltırken, bazıları işarete bakmaksızın yedek alır.

– Normal: Bu tip yedekleme, işarete bakmaksızın, seçtiğiniz tüm dosya ve klasörlerin yedeğini alır ve işlem bitince işareti temizler.

– Değişen (Incremental): Bu tip yedekleme, seçtiğiniz klasördeki işaretli tüm dosyaların yedeğini alır ve işaretleri temizler. İncremental Backup, yedeğini aldığı bir dosya değişine kadar bir daha o dosyanın yedeğini almaz. Sadece değişen dosyaların yedeğini aldığı için, yedekleme işlemi diğer tiplere göre daha kısa sürer ve oluşturulan dosya daha az yer kaplar, fakat bu tip yedekeleme kullanılarak yedeği alınmış veriyi geri yüklemek daha zahmetlidir.

– Fark (Differential): Seçtiğimiz klasördeki işaretli olan tüm dosyaların yedeğini alır, fakat işaretleri temizlemez. Yedeğini aldığı bir dosya, bir sonraki yedekleme işlemine kadar değişmemişse bile (işareti temizlemediği için) tekrar yedeğini alır. Bu tip yedekleme kullanılarak yedeklenen dosyalar daha kolay geri yüklenir.

– Günlük (Daily): İşaretlerle ilgilenmez. Sadece çalıştırıldığı gün değişen ve yeni oluşturulan dosyaların yedeğini alır.

– Kopyalama (Copy): İşaretlerle ilgilenmez. Seçtiğimiz klasördeki tüm dosyaların yedeğini alır.

Proje

19. Adım

• Backup sekmesinde yedekleme yapacağımız yeri belirleyerek ilerliyoruz.• Start Backup ile yedeklemeye başlıyoruz. • Schedule butonundan zamanlama, Advanced butonunda da yedekleme

tipini belirleyebiliyoruz.

Proje

20. Adım

• Başlat>Çalıştır>dsa.msc komutuyla AD Users and Computer konsolunu açıyoruz.

• Organizational Gruplar AD nesnelerinin mantıksal bir grubudur. Sadece domainde organizasyon oluşturmak için kullanılırlar; nesneleri organize ederler. Amaç kaynakları hiyerarşik bir biçimde gruplandırmaktır. Örneğin:– Satış– Pazarlama– Mühendislik– Ar-Ge

Proje

20. Adım

• Grup oluşturmak için domain üzerinde sağ tıklayıp açılan pencerede New diyerek OU oluştururuz.

• Aynı şekilde Pazarlama OU’sunda (sağ tıklayıp) iki adet kullanıcı da oluştururuz.

Proje

20. Adım

• Pazarlama birimi üzerinde sağ tıklayıp çıkan pencerede Edit diyerek Group Policy Nesne ayarlarını yönettiğimiz konsolu açıyoruz.

• Bu konsolda URLs satırında http://www.alemadam.com ‘u tanımlıyoruz.• Artık pazarlama OU’sundaki kullanıcıların Home Page’i sabitlenmiştir.

Proje

23. Adım

• Group Policy Object Editor (Grup Policy Arayüzü)

Proje

20. Adım

• Başlat menüsünden Çalıştır işlevini kaldırmayı yine aynı konsoldan User Configuration>Administrative Template>Windows Component’de yapıyoruz.

Proje

20. Adım

• My Computer içerisinden hiçbir sürücüye ulaşamama ve kullanamama işlevini kaldırmayı yine aynı konsoldan User Configuration>Administrative Template>Windows Component’de yapıyoruz.

Proje

20. Adım

• Kullanıcılara logon olarak oluşturduğumuz policylerin hemen geçerlilik kazanması için komut satırında gpupdate /force komutunu kullanıyoruz. Aksi taktirde oluşturduğumuz bu dört yeni policy 30 dk sonra işlevsel olacaktı.

Proje

20. Adım

• Yeni policyleri kullanıcılar bazında doğruluyoruz. Örneğin bir kullanıcımız My Computer içerisinden C sürücüsüne ulaşamamaktadır ve Başlat menüsünde Çalıştır komutu bulunmamaktadır.

Proje

21. Adım

• Bu alıştırmada önce yeni kullanıcılar oluşturup (user60 ve user70) daha sonra Satış adında bir grup yaratıp bu grup üzerinde sağ tıklayarak Add butonu ile kullanıcıları Satış grubuna dahil ediyoruz.

Proje

21. Adım

• Sonra Satış adında yeni bir OU yaratıp user60 ve user70’i bu OU’ya taşıyoruz.

• Grup'lar kullanıcılara ve bilgisayarlara belirli kaynaklar üzerinde yetkiler vermek ya da kısıtlamalar koymak için kullanılır. OU'lar ise group policy'ler uygulamak ya da OU içindeki object'lerin yönetimini farklı kullanıcılara delege etmek için oluşturulur.

Proje

21. Adım

• Site1’de File Server üzerinde Satış Departmanı için bir paylaşım klasörü oluşturuyoruz.

• Bu klasörü Satış’a açıp (Sharring) gerekli izinleri (Permission) Full Control olarak veriyoruz. Everyone kullanıcısını silerek başka bir kullanıcının bur klasöre erişimini engelliyoruz. Klasör üzerinden Satış’a Security izinlerini veriyoruz.

Proje

21. Adım

• AD User and Computers’da Satış OU için Group Policy ayarlarına girerek User Configuration>Windows Setting içinde Script oluşturuyoruz.

• Oluşturduğumuz .bat dosyası Satış departmanı kullanıcılarının File Server’da oluşturduğumuz Z sürücüsündeki Satış klasörüne herhangi bir makinadan logon olmaları durumunda erişimini sağlıyor.

Proje

21. Adım

• Daha sonra user60 ile bir makinadan logon olduğumuzda kullanıcının File Server (Sanal2) bilgisayarında yarattığımız Z sürücüne ulaştığını doğruluyoruz.

Proje

22. Adım

• Global Catalog Sunucular (GC) aktif dizin nesneleri (AD Objects) hakkındaki sorgulara yanıt vermek için tasarlanmıştır. GC aktif dizin nesnelerin belli özelliklerini (Attribute) tutan bir veri tabanıdır. GC iki önemli dizin işlemini yerine getirir:– Kullanıcılara evrensel grup üyelik bilgisi ile ağa giriş yapmasını– Kullanıcılara bilgilerin yerinden bağımsız olarak dizin bilgisine erişmesi

• Aktif dizinde yaratılan ilk etki alanı (domain) kontrolcüsü (Site1 DC) bilgisayar GC sunucudur.

• Eğer istenirse diğer etki alanı kontrolcüsü (Site2 ADC) bilgisayar da GC kontrolcü yapılabilir.

• Bunun için DC’de AD Sites and Services aracı çalıştırılır, açılan pencerede GC yapılmak istenen sunucu bulunur ve sunucu altındaki NTDS sağ tıklanarak Properties penceresi açılır. GC kutucuğu işaretlenerek sunucu GC sunucusu yapılır.

Proje

22. Adım

• Site2’de bulunan Sanal10 makinası (ADC) GC olarak yapılandırılır.

Proje

22. Adım

• Site2’de bulunan ADC DNS’ini kontrol ederek GC’yi doğrulayabiliriz.

Proje

22. Adım

• Neden DNS’e bakıyoruz? Çünkü;– Aktif Dizin ve DNS aynı hiyerarşik isimlendirme yapısını kullanırlar. Bunun sonucu olarak

domainler ve bilgisayarlar hem Aktif Dizin nesneleri hem de DNS etki alanları ve kayıtları olarak gösterilirler.

– Microsoft Aktif Dizinin DNS ile olan bu sıkı entegrasyonunun bir sonucu olarak Windows 2003 ağlarında bilgisayarlar özel servisleri yerine getiren sunucu bilgisayarlarına (DC veya GC gibi) ulaşabilmek için DNS’e başvururlar.

– Örneğin bir kullanıcı istemci bilgisayarından sisteme giriş (logon) yapmak istediğinde veya bir Aktif Dizin’de bir yazıcı veya paylaşım aramak istediğinde, istemci bilgisayarı DC’yi bulmak ve ulaşmak için DNS’i sorgular.

Proje

23. Adım

• Ağ ortamlarının en basitinde bile birden fazla DC’ye gereksinme duyulur. Bunun en önemli nedenleri:

– Hata toleransı (bir DC hata verdiğinde diğerleri gerekli servisleri sağlayabilir)– Performans (iş yükü birden çok DC arasında dengeli bir biçimde paylaştırılabilir)

• W2K3 DC’ler AD veri tabanı okunur-yazılır kopyalarını içermek için tasarlanmıştır.

• Buna karşın DC’ler bir sistem yöneticisi değişiklikleri birden çok DC’den sadece birinde yapabilmesi için diğer DC’lerde oluşturulan veya değiştirilen bilgileri de içermelidir.

• Bilgileri DC’ler arasında tutarlı kılabilmek için AD Replikasyonu (Çoğaltma) kullanılır. Replikasyon AD veri tabanında yapılan değişikliklerin DC’ler arasında aktarılması işlemidir.

Proje

23. Adım

• Replikasyonu yönetmek için kullanılan temel nesneler şunlardır:– Subnetl’er: Ağın bir bölümüdür. Bunlar router ya da diğer ağ aygıtlarıyla diğer IP bloklarına

bağlanan mantıksal IP bloklarıdır.– Site’lar: Bir AD Site’ı sunucuları ve AD replikasyonuyla ilgili diğer nesneleri içerebilen

mantıksal nesnedir. Bir site ile ilgili subnet’lerin bir gruplamasıdır.– Site Link’ler: Bir Site’ın bileşenleri arasında kullanılabilen bağlantı tiplerini tanımlamak için

oluşturulur.

• Bu bileşenleri oluşturmanın ve yönetmenin başlıca yöntemi Administrative Tools bölümünde bulunan AD Sites and Services aracı ve MMC’dir.

Proje

23. Adım

• Site1 ve Site2 için Site Link Nesnesi tanımlıyoruz.• Sites altında Site1 ve Site2 için oluşturduğumuz yeni Site’ları görüyoruz.

Proje

23. Adım

• Sonra Sunet üzerinde sağ tıklayıp Site1 ve Site’deki ağlar için yeni Subnet’ler oluşturuyoruz (2.0, 3.0, 4.0 ve 5.0 ağları).

Proje

23. Adım

• Bir sonraki adımda Default-First-Site-Name bölümü altında olan Sanal1 ve Sanal2 bilgisayarlarını sırasıyla Site1 ve Site2 altına taşıyoruz.

• Replikasyon yapılandırmasını RPC (Remote Procedure Call) over IP yoluyla yapıyoruz.

• Bir site link’i üzerinden bilgi aktarmak için SMTP seçeneği de varken neden RPC over IP? Çünkü;

– Intersite Replikasyon daha az güvenirliğe sahip ağ bağlantıları ve düşük bant genişliğinin geçerli olduğu durumlarda kullanılır.

– Bağlanılabilirlik oldukça güvenli olduğunda IP iyi bir tercihtir. IP tabanlı iletişimler farklı site’lardaki iki veya daha fazla DC’ler arasında iyi bir bağlantı olmasını gerektirir. Replication over IP aslında paket kayıpları ve bozulmalarının sıkça gerçekleşebileceği daha yavaş WAN’lar için tasarlanmıştır.

– Bu nedenle intersite replikasyonu gerektiren düşük nitelikli bağlantılar için iyi bir tercihtir.

Proje

23. Adım

• Inter-Site-Tranport altında IP’yi sağ tıklayıp Deafult-First-Site-Name’i kaldırıyoruz.

• Replikasyonun 15 dk’da bir gerçekleşmesi için ayar yapıyoruz.

Proje

23. Adım

• Son olarak Default-First-Site-Name’i de siliyoruz.• DNS’te Sites altında her iki Site’ın da kayıtlarını kontrol ediyoruz ve işlemin

başarıyla gerçekleştiğini doğruluyoruz.

Proje

23. Adım

• Neden DNS’e de bakıyoruz? Çünkü;– AD’nin en temel özelliklerinden bir tanesi de DNS ile entegre bir halde çalışacak şekilde

tasarlanmış olmasıdır. Aktif Dizin ile entegre DNS sayesinde DNS isim alanları Aktif Dizin veritabanında saklanır.

– DNS isim alanı etki alanındaki bilgisayarlara ait bilgisayar ismi ile IPadresi tablolarının tutulduğu isim çözümlemelerinin yapılmasını sağlayan veri tabanı dosyası olarak tanımlanabilir.

– Aktif Dizin ile DNS’in entegre olması bu veri tabanının Aktif Dizine ait bilgi veri tabanında tutulmasını sağlar. Yani DNS isim alanları da AD’de birer AD nesnesi olarak saklanır. Bu durum DNS’in güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır.

– Ayrıca diğer AD nesnelerinde olduğu gibi DNS isim alanı dosyaları da replikasyonlar ile domain’de bulunan tüm DC’ler üzerinde birebir aynı olacak şekilde tutulur. DC’lerin belli aralıklarla kendi aralarında senkronize olması (AD replikasyon) ile gerçekleştirilen bu durum olası bir hata sonucu olaşabilecek kritik veri kaybının da önüne geçilmesini sağlar.

Proje

24. Adım

• Roaming User Profiles kullanıcıların organizasyon içindeki farklı bilgisayarlarda, aynı profil dosyaları ile oturum açabilmesine olanak sağlayan bir özelliktir. Yani kullanıcılar beş farklı bilgisayarda da oturum açsalar, aynı belgelerim klasörü, aynı kişisel ayarlar, desktop ve içeriği gibi Profil tabanlı özellikleri kullanabiliyor olacaklardır.

• Türkçe kelime karşılığı “Gezici Kullanıcı Profili” olan bu yapı, özel durumlar dışında pek sık kullanılmıyor. Çünkü terminal sayısı fazla olan yapılarda network’e getirdiği yük çok fazla olabiliyor.

• Bir kullanıcı oturum açtığında karşısına gelen masaüstü, kişisel ayarlar, belgelerim klasörü gibi aslında “Documents and Settings” altında, kullanıcı adı ile yer alan dizindeki tüm veriler o kullanıcının “Profil”i olarak adlandırılır. Normal şartlarda kullanıcı profilleri local disk üzerinde tutulduğu için, kullanıcı profil dosyaları sadece o bilgisayarda oturum açıldığında aynıdır. “Gezici Kullanıcı Profili” ise, profil dosyalarının merkezi bir sunucu üzerinden okunmasını ve her farklı bilgisayarda aynı profil ile oturum açılabilmesini sağlar.

Proje

24. Adım

• Roaming Profile için ayrı bir sunucu yapılandırılmalıdır. Çok yapılan hatlardan birisi, önemli sunuculara ikinci bir disk takarak profil dosyalarının burada tutulması. Bu durum, belirli zamanlarda o sunucunun asıl görevini yerine getirmede zorluk yaşamasına neden olmaktadır. Çünkü “Gezici Kullanıcı Profili” oturum açma kapatma olayları kabaca şu şekilde işler:

– Kullanıcı ilk kez gezici olarak oturum açtığında profil sunucusu üzerinde henüz hiçbir profil dosyası olmadığı için yerel diskteki profil dosyalarını kullanacaktır. Daha sonra kullanıcı oturumu kapattığında, yerel diskindeki profil dosyaları bizim tarafımızdan ayarlanan profil sunucusunda ilgili yere kopyalanır. Bu işlemin süresi, kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum kapanır.

– Daha sonra kullanıcı ikinci kez oturum açmak istediğinde (bu herhangi bir bilgisayar olabilir) kullanıcıya ait olan profil dosyaları, profil sunucusu üzerinden yerel diske kopyalanır. Çünkü artık sunucuda duran bir profil vardır ve öncelik onundur. Bu işlem zamanı da kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum açılır ve kullanıcı dosyalar ile çalışmaya başlar. Bu sırada kullanıcı tarafından gerçekleştirilen tüm işlemler profil sunucusu üzerindeki dosyalarda değil, yerel diskimize indirilen kopya üzerinde gerçekleşir. (Bu nedenle çalışma esnasında hız normaldir ve networkte ekstra trafik yaratılmaz). Yani profil açıldıktan sonra profil sunucusu ile oturum açtığımız terminal arasında fazla bir trafik yoktur. Ama kullanıcı oturumu kapattığında tekrar yerel diskimizdeki profil dosyaları profil sunucusuna kopyalanarak eşitleme gerçekleşir. Bu şekilde her oturum açma ve kapatma esnasında, profil sunucusu ile terminal arasında bir trafik vardır.

Proje

24. Adım

• Öncelikle her iki Site’da da de File Server üzerinde duracak olan profil dosyaları için kullanıcıların erişebileceği ve yazabileceği bir paylaşım yaratıyoruz.

• Everyone için Full Control izni veriyoruz.

Proje

24. Adım

• Sonra Dc’de Start>Administrative Tools>Distributed File System’i açıyoruz.• Distributed File System:

– Distributed File system (Dağıtılmış Dosya Sistemi), gerçek bir dosya sistemi değildir. Aslında DFS, kullanıcıya gerçek bir sürücüdeki yapı gibi görünen mantıksal bir dosya sistemi sunar. Ama bu dosya sisteminin içindeki ögeler aslında çok sayıda bilgisayar üzerinde bulunuyor olabilir. Yani, DFS kullanarak ağ üzerinde paylaştırılmış olan tüm kaynaklar tek bir çatı altında toplanarak ağ kullanıcılarının hizmetine tek paylaşımla sunulabiliyor.

– Bu sayede kullanıcılar ulaşmak istedikleri paylaştırılmış kaynaklara daha hızlı bir şekilde erişebiliyorlar. Çünkü bütün kaynakların yerini tek tek bilmek yerine, sadece DFS Root’a erişerek, buradan diledikleri dosyaya erişebileceklerdir.

– DFS konusunda bilmemiz gereken bazı kavramlar var. Bunlar;• DFS Root: Sıradan klasör-dosya dizin sistemine benzeyen hiyeraşinin en üst düzeyidir.• DFS Link: DFS Root (Kök) dizini ile paylaşılan DFS klasörü arasındaki bağlantıya verilen isimdir

.

Proje

24. Adım

• İlk olarak DFS Root dizini oluşturmamız gerekiyor. Bunun için DFS üzerinde sağ tıklayarak “New DFS Root” seçeneğini çalıştırıyoruz. Sonra DFS Root’un hangi tipte oluşturulacağı ile ilgili iki şık sunacaktır. Domain Root’u seçerek devam ediyoruz.

• Domain adı olarak alemadam.com’u belirledikten sonra DC’mizin olduğu sunucuyu seçiyoruz.

Proje

24. Adım

• Bir sonraki pencerede Root Name’i yazıyoruz.• Paylaşıma açmak için bir klasör yaratıyoruz.

Proje

24. Adım

• Oluşturmuş olduğumuz Root Name üzerinde sağ tıklayarak bağlantı adı belirleyip daha önce Site1’de File Server üzerinde yarattığımız Profile klasörünü seçiyoruz.

Proje

24. Adım

• Site2’deki File Server’da da aynı klasörü tuttuğumuz için oluşturduğumuz Profil link’ini sağ tıklayıp çıkan pencereden diğer hedef hedef klasörünü de seçeceğiz.

• Replikasyon için aşağıda bulunan kutucuğu da tıklayacağız.

Proje

24. Adım

• Tanımladığımız iki hedef klasörden birini -Site1/Sanal2- master olarak seçiyoruz.

• Replication için topoloji tipi olarak Full Mesh’i seçiyoruz. Bu yapıda tüm bilgisayarların birbirine bağlı olduğu varsayılır ve bir bilgisayara eklenen bir dosya diğer tüm bilgisayarlara replike edilir.

Proje

24. Adım

• Son adımda uygulamayı Root Name>Properties pencerisenden Publish ediyoruz.

• Herhangi bir kullanıcıya gidip Start>Run’da bu Root Name’e ulaşabildiğimizi doğruluyoruz.

Proje

25. Adım

• Bu alıştırmada önce AD Users and Computers konsolunu açıp sağ tıkla New>User diyerek User100, User101 ve User102 adlı kullanıcıları oluşturuyoruz.

Proje

25. Adım

• Daha önce Site1’de File Server’da oluşturduğumuz Roaming Profile linkini bu yeni kullanıcılar için yapılandırıyoruz (DFS ile replike ettiğimiz paylaşımı gösteriyoruz).

Proje

25. Adım

• Client1 bilgisayarından User100 ile logon olup Roaming Profile yapılandırmamızı test ediyoruz.

• User100 Profiller bağlantısına erişerek Profil adındaki klasöre ulaşabilmektedir.

Proje

Topoloji

Proje

Alıştırmalar 1

1.  • Site1 icin VMNET2 (192.168.2.0/24) ve VMNET3 (192.168.3.0/24)• Site2 icin VMNET4 (192.168.4.0/24) ve VMNET5 (192.168.5.0/24) • Internet ortami icin VMNET6 (85.85.85.0/24) network’lerini kullanin.

2. Her iki site’daki makinalarin IP konfigurasyonlarini yapin ve kendi default gateway’lerine ping atip atamadiklarini test edin.

3. Her iki site’daki RRAS’larin public IP adresine sahip bacaklari birbirine ping atabiliyor olmali.

4. Şirketin 2 şubesi (Site 1, Site 2) arasında Site 2 Site L2TP/IPSec VPN baglantisi olusturun. Ayrica client’lar internet’e NAT ile cikacaklar.

5. Site 1’de AD kurulumu yaptiktan sonra Site 2’ye ADC kurulumu yapin.

6. Her site’daki DC uzerinde ayni zamanda DNS servisi calisiyor olmali. Her client internet’teki ve local network’lerindeki isimleri local’lerindeki DNS server uzerinden cozmeli.

7. Network’unuzdeki client’lara (local network client’lari ve vpn client’lari) DHCP server’lar uzerinden IP adreslerini dagitacaksiniz..

8. Her iki network’te NetBIOS isim cozumlemesi iicn gereken konfigrasyonu yapin ve her iki site’daki WINS’ler arasinda replikasyonun gerceklesmesini saglayin.

9. Network’unuzdeki web server’iniz uzerinde bir web sitesi yayinlayin. Bu web sitesine ic network’unuzdeki tum client’larin www.domainisminiz.com seklinde ulasabilmesi icin gereken konfigurasyonu yapin.

Proje

Alıştırmalar 2

10. Mail server’iniz uzerinde E-mail Services’i yukleyin. Client makinalarinizdan AD’deki iki kullaniciniz ile logon olup Outlook Express’i yapilandirin. Bu noktada POP3 ve SMTP sunucu adresi gosterirken mail server’inizin IP adresi yerine mail.domainadiniz.com seklinde gostermek icin gereken konfigurasyonu yapin.

11. Site 1 ve Site 2’de file server’iniza 3 adet yeni disk takip bu diskleri iceren bir RAID 5 seti olusturun. Kullanicilarinizin dosyalarini ve programlari bu volume uzerinde tutacaksiniz.

12. Site 1 ve Site 2’deki file server’larinizi ayni zamanda print server olarak da kullanacaksiniz. Her iki site’daki FS’larinizda ikiser adet Panasonic KX-P1150 print device takili. Bunlar arasinda pooling yapin. Domain’deki tum kullanicilara print hakki verin. User5’in Site1’de, user6’nin Site2’de dokumanlari yonetebilme hakkini verin.

13. Print server’lariniz cok yogun calisiyor. Print server’lariniza 2’ser adet daha disk takip print server’in spool klasorunu bu iki disk uzerinde olusturacaginiz RAID 0 set’i uzerinde tutun.

14. Network’unuzdeki Client1 ve Client2 makinalariniz ile mail server’iniz arasindaki POP3 trafigini guvenlik altina almak istiyorsunuz. Bu amacla IPSec kullanacaksiniz. Gerekli konfigurasyonu yapip, Network Monitor ile network’unuzu sniff ederek test edin.

15. Site 1’deki File Server’da kullanicilarinizin verilerinin bulundugu volume uzerinde disk quato’larini aktif hale getirin. Tum domain kullanicilari icin 20 MB disk alani verin, warning level 15 MB olsun. User5 icin bu degeler 45/50 MB olsun.

Proje

Alıştırmalar 3

16. Site 1’deki File Server’da kullanicilarinizin verilerinin bulundugu volume uzerinde shadow copy’yi aktif hale getirin. Her sabah 7.30 ve aksam 19.30’da bu volume uzerindeki paylasim klasorlerinin iceriginin bir kopyasinin alinmasini saglayin.

17. AD’de tek karakterlik password kullanimina izin verin.

18. Kullanicilarinizin password’lerini 20 gunde bir degistirmelerini, degistirdikleri password’lerini tekrar degistirmek icin en az 2 gun beklemelerini, 30 dakika icinde 5 kez hatali password girmeleri durumunda siz hesabini acana kadar hesaplarinin kilitli kalmasini saglayin. En son 15 password’un sistem tarafindan hatirlanmasini saglayin.

19. Site 1’deki DC’nizin System State backup’ini alin.

20. AD’de Pazarlama adinda bir OU olusturun. Pazarlama departmanindaki tum calisanlarin (user20, user30) Internet Explorer’larinin Home Page’lerini http://www.domainadiniz.com yapin. Start menu’lerinden run komutunu kaldirin. My Computer icerisinden hicbir surucuye ulasamasinlar ve suruculeri kullanamasinlar.

21. Satis departmaninda calisan kullanicilar icin (user60, user70) Site 1’deki File Server’inizda Satis adinda bir paylasim klasoru olusturun. Satis departmani calisanlarinin AD’de herhangi bir makinadan logon olmalari durumunda bu paylasim klasorunu My Computer ekraninda Z: surucusu olarak gormelerini saglayan bir script yazip test edin.

22. Site 2’deki DC’nizi de GC (Global Catalog) olarak yapilandirin.

Proje

Alıştırmalar 4

23. AD ortaminizda Site konfigurasyonunu yapin. Replikasyonun her 15 dk’da bir gerceklesmesini saglayin.

24. AD’deki kullanicilariniz icin roaming profile yapacaksiniz. Profile’lari her iki site’daki File Server’lar uzerinde tutacaksiniz. Site 1 ve Site 2’deki File Server’larinizda Profile isminde bir paylasim klasoru olusturun ve paylasima acin. Bu klasorlerin iceriginin replikasyonunu saglayin (DFS)

25. AD’de user100, user101, user102 adinda bir kullanicilar olusturun. Bu kullanicilar icin roaming profile yapilandirin. Profil klasoru icin DFS ile replike ettiginiz paylasimi gosterin. Kullanicilar ile farkli site’lardaki farkli makinalardan logon olarak roaming profile yapilandirmanizi test edin.