Backup Exec’e alternatif ararken bende Tivoli Storage Manager’i denemek istedim. Sonrasında internet üzerinde TSM ile ilgili Türkçe kaynağın olmadığını gördüm. Tivoli’ye belli bir mesai harcadıktan sonra da siz değerli abilerim ve kardeşlerimle paylaşmak istedim. Umarım bu güzel bir başlangıç olur ve devamında daha güzel makaleler paylaşma fırsatım olur.

Backup Exec kullanan bir olarak Tivoli kullanımı biraz zor bir depolama yazılımı. Ama diğer taraftan çok daha  gelişmiş yönetim ve izleme araçlarına sahip bir paket içeriğine sahip.

Ben bu makalede Tivoli Storage Server Manager, Operation Center ve Client Agent kullanımından bahsedeceğim.

Buna alternatif olarak da Tivoli’ nin yönetimi kolaylaştıran Spirit firmasına ait görsel arayüze sahip TSM Studio yazılımını da değineceğim.

Öncelikle IBM Software Access Catalog üzerinden gerekli olan IBM Tivoli Storage Server ve Client yazılımımızı indiriyorum.

     Trial olarak http://www14.software.ibm.com/webapp/download/byproduct.jsp?pgel=lnav adresinden ilgili kurulum dosyalarını edinebilirsiniz.   

  Öncelikle gereksinimlere şöyle bir göz atalım.

Windows ® Server Üzerinde IBM Tivoli Storage Manager İçin
Minimum Donanım ve Yazılım Gereksinimleri

Artık kurulum işlemlerine başlayabiliriz.

1.       Adım

.NET 3.5 rolünü kuruyoruz. (Server ve Client’lerde Kurulu olmalı)

2.       Adım

Group Policy Editor üzerinde Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options üzerinde UAC:Run All Administrators in Admin Approval Mode ilkesini Disabled’a çekiyoruz.

3.       Adım

İndirmiş olduğumuz kurulum dosyasını çalıştırıp açıyoruz.

4.       Adım

Kurulacak paketlerimizi seçiyoruz. (İlk defa kurulum yapacaksanız Storage Agent paketini kurmayınız).

5.       Adım

Gördüğümüz gibi tam bir hafıza canavarı ben kurulum esnasında 12 GB ram belirlemiştim. Ama o bana yetersiz olduğunu söyleyip 16 GB kullanmamı tavsiye ediyor.

6.       Adım

Lisans sözleşmesini kabul ediyoruz.

7.       Adım

Kurulum öncesi gerekli olan paketlerin yükleneceği dizini belirliyoruz.

8.       Adım

Tivoli yazlımının kurulacağı dizini seçiyoruz.

9.       Adım

Kurulacak dosyaların envanterini buradan görebilirsiniz.

10.   Adım

Burada yapılandırma paketlerinden birini seçebilirsiniz ben tam paket olan Extended Edition’u seçiyorum.

11.   Adım

Lisans okuyup devam ediyorum.

12.   Adım

(https) portumuz 11090 firewall üzerinden yetkilendirmeyi unutmuyoruz.

13.   Adım

SSL kullanırken kullanacağımız şifreyi belirliyoruz. İçeriğinde büyük harf, rakam ve en az iki karakter olmalı.

14.   Adım

Kurulum ekranının sonuna geldiğimiz kurulacak paketleri gördükten sonra yüklemeyi başlatıyoruz.

15.   Adım

Yükleme işlemi tamamlandıktan sonra Configuration Wizard’ı çalıştırıp Storage Manager ayarlarımızı yapmaya başlıyoruz.

16.   Adım

17.   Adım

Oluşturulacak TSM alanı için bir isim belirliyoruz. Sonrasında local admin hesabımızı ve şifremizi giriyoruz.

18.   Adım

TSM alanının oluşturulacağına dair bir uyarı alıyoruz.

19.   Adım

Veritabanımız ve oluşturulacak log dosyaları için klasörlerimizi oluşturuyoruz.

20.   Adım

Veritabanımız için oluşturduğumuz klasörün yolunu gösteriyoruz.

21.   Adım

Dört farklı log tutulmakta 19. Adım da oluşturmuş olduğumuz log klasörlerini burada tanımlıyoruz.

Aktiv log alanı ön tanımlı olarak 16 GB geliyor ama ben minimum alan olan 2 GB dı kullanacağım. (Ne kadar büyük tutarsanız o kadar yer kaplayacaktır zira 512 GB ye kadar çıktığını gördüm).

22.   Adım

Tivoli sunucu adımızı giriyoruz. (kurulacak olan sunucunun hostname’ni)

23.   Adım

Operation Center kullanıcı adı ve şifremizi belirliyoruz.

24.   Adım

Operation Center ve sonrasında kuracağımız Client Agent portlarına gerekli izinleri veriyoruz.

25.   Adım

Son kez yapılandırmamızı gözden geçiriyoruz.

26.   Adım

Evet, artık tüm yapılandırmamız sorunsuz gerçekleşti. Sırada Operation Center’ a bağlanmak var.

27.   Adım

28.   Adım

Ben Operation Server üzerinde çalışırken Chrome kullanıyorum daha az strese giriyorsunuz. 23. Adımda oluşturduğumuz kullanıcı adı ve şifremizi giriyoruz. SSL kullanmak isterseniz 13. Adıma göz atın.

29.   Adım

Operation Server ile kurmuş olduğumuz hub server arasında bir bağlantı sağlayıp bir şifre oluşturuyoruz.

30.   Adım

21. adımda oluşturduğumuz log veritabanını ve ne kadar süre içerisinde senkronize olacağını belirliyoruz.

31.   Adım

Operation Center’ın bizi ne kadar zamanda bir uyaracağını belirliyoruz.

32.   Adım

Operation Center ayarlarının sonunda bize kurulumun başarı ile gerçekleştiğine dair bir ekran geliyor.

33.   Adım

Evet, artık Tivoli Storage Server ve Operation Center kurulumlarını bitirdik. Operation Center yeni gelen bir Tivoli paketi daha gelişmiş bir ara yüze sahip ve daha sevecen.

34.   Adım

Artık Tivoli Command Line’ a Operation Center üzerinden erişebiliyorsunuz.

Ben >register node nodeadı nodeşifresi komutu ile 10 tane client node tanımladım.

35.   Adım

Tanımladığım node’ ları Client sekmesine geldiğini görüyorum.

36.   Adım

Services sekmesinde oluşturduğunuz backup set’leri ve kuralları görebilirsiniz.

37.   Adım

Services sekmesinde Tivoli sunucusunu ve veritabanını görebilirsiniz.

38.   Adım

Storage Pools sekmesinde veritabanımız içinde oluşturulan pool’ları görebilirsiniz. Default olarak unlimited capacity gelir. Dilerseniz konsol üzerinden limit tanımlayabilirsiniz.

>def vol backuppool disküzerindepoolyeri f=kapasitesi

39.   Adım

Storage Devices sekmesinde bağlı bulunan storage ve tape sürücülerini görebilirsiniz.

Yeni bir tape sunucusu tanımlamak için devclass komutunu kullanabilirsiniz.

>define devclass tapename devtype=4MM library=auto

NOT: 4MM benim tape loader’ımın tipidir. Bu farklılık gösterebilir.

Devam etmeden önce bazı temel komutlardan bahsetmek istiyorum.

Node(client) eklemek için;

>REGISTER NODE NODENAME(nodeadı) PASS(nodeşifresi)

Ekledimiz client nodeların depoladığı dosyaları temizlemek için;

>DELETE FILESPACE nodeeadı *

Node(client) silmek için;

>REMOVE NODE nodeadı

Günlük oluşturmak için;

>SET ALERTSUMMARYTOADMINS admin(yöneticihesabı)

Storage Pool’ları  görmek için;

>Q STG POOL

Pool’arın detayını görmek için;

>Q STG BACKUPPOOL F=D

Volume oluşturmak için;

>DEFINE VOLUME BACKUPPOOL volumeadı FORMATSIZE=10000

Volume silmek için;

>DELETE VOLUME 'C:\WINDOWS\SYSTEM32\VOLUMETEST' DISCARDD=YES

Schedule oluşturmak için;

>DEFINE SCHEDULE STANDARD 'tsmclient1' TYPE=CLIENT ACTION=INCREMENTAL OBJECTS='c:\*' DESCRIPTION='deneme' STARTDATE=07/24/2014

Schedule update etmek için;

>UPDATE SCHEDULE STANDARD 'TSMCLIENT' TYPE=CLIENT

Schedule güncellemek için;

>UPDATE SCHEDULE STANDARD 'TSMCLIENT' TYPE=CLIENT

Schedule silmek için;

>DELETE SCHEDULE STANDARD TSMCLIENT TYPE=CLIENT

Sıra geldi Client Agent’ımızı kurmaya;

40.   Adım

İndirmiş olduğumuz kurulum dosyasını client’mız üzerinde açıyoruz.

41.   Adım

Client kurulum ekranımız karşımızda TSM Backup-Archive Client’ı seçip devam ediyoruz.

42.   Adım

Client kurulumu da daha önceden bahsettiğim gibi .NET 3.5 ve Microsoft Visual C++ Redistributable paketlerini istemekte

43.   Adım

Kurulum yerimizi seçtikten sonra devam ediyoruz.

44.   Adım

Tam kurulum seçmenizi tavsiye ederim.

45.   Adım

SAN kullananlar için ufak bilgilendirme ekranını geçiyoruz. (Full kurulum yapmayanlara bu ekran gelmeyecektir).

46.   Adım

Kurulum tamamlandıktan sonra TSM Client Configuration Wizardı çalıştırıyoruz.

47.   Adım

Create a new options file seçerek devam ediyoruz.

48.   Adım

Client Node adımızı yazıyoruz. (Tavsiyem client host name ile node adını aynı yapmanız).

Bkz. 34. adımda oluşturduğumuz node adı.

49.   Adım

Bu ekranda farklı iletişim seçeneklerimiz var ben TCP/IP ile devam ediyorum.

50.   Adım

Tivoli Storage Server adımızı veya IP adresimizi yazıp devam ediyoruz.

51.   Adım

Bu akranda default include/exclude list önümüze geliyor. Sonradan istediğiniz gibi değiştirebilirsiniz.

Ben tümünü seçiyorum IBM burada oldukça güzel bir liste oluşturmuş.

52.   Adım

Bu ekranda isterseniz dosya formatına göre de oluşturabilirsiniz.

53.   Adım

Farklı yedekleme seçeneklerinizi buradan seçebilirsiniz.

54.   Adım

Apply diyerek Client Configuration Wizard’ dımızı tamamlıyoruz.

55.   Adım

Evet, kurulum tamamlandıktan sonra sadeleşmiş Client Manager ekranımız karşımıza geliyor.

56.   Adım

Sırada Client Schedule servisimizi çalıştırmak var. Utilities sekmesinden Setup Wizard’ı çalıştırıyoruz.

57.   Adım

Help me configure the TSM Client Scheduler’ı seçerek devam ediyoruz.

58.   Adım

Install a new or additional scheduler seçerek ilk servis kurulumuna başlıyoruz.

59.   Adım

Client Schedule için bir isim belirliyoruz bu aynı zamanda Schedule servisinin Windows Servislerinde ki adı olacaktır.

60.   Adım

Burada client ayarlarımızın depolanacağı yeri görüyoruz.

NOT: Olurda ayarlarınız bozulursa buradaki dsm.opt dosyasını silip hiç uğraşmadan Configuration Wizard’ı tekrardan yapılandırabilirsiniz. Aynı seçenek Server Wizard için de geçerlidir.

61.   Adım

34. adımda ki oluşturmuş olduğumuz node hesabımızı buraya giriyoruz.

62.   Adım

Schedule servisinin çalıştırma hakkını ve servisin nasıl çalıştırılacağını burada belirliyoruz.

63.   Adım

Schedule ve hata log’larının depolanacağı yeri belirliyoruz.

64.   Adım

Evet, artık servisin çalıştırıp çalıştırılmayacağını karar verdikten sonra devam ediyoruz.

65.   Adım

Apply diyerek kurulumu tamamlıyoruz.

Evet, artık arka planda Schedule servisimiz çalışmaya başladı.

Dilerseniz manuel arşivleme veya yedekleme yapabilirsiniz.

Edit sekmesinde Client Preferences  üzerinde ince ayarlarımızı yapabiliriz.

Sıra Tivoli Storage Manager’ın zor olan komut satırını daha da güzelleştiren ve hatta komutlar için kopya çekebileceğiniz ve hiç komut yazmak zorunda kalmadan GUI arayüzü içerisinde kolaylıkla kurallar ve ayarlar oluşturabileceğiniz  Spirit firmasına ait TSM Studio yazılımının kurulumuna geldi.

http://www.spiritsoftware.biz/category/download/ adresinde ilgili yazılımı indirebilirsiniz.

1.       Adım

Kurulum dosyamızı çalıştırıp gerekli kurulum paketini seçip devam ediyoruz.

2.       Adım

Kurulumu tamamladıktan sonra Add Server diyerek önceden kurmuş olduğumuz Tivoli Storage Server’ımızın bilgilerini giriyoruz.

3.       Adım

Bu ekranda gerekli tanımlama bilgilerini giriyoruz.

Karşımızda o karmaşık bilinmeyen gelişmiş TSM server komutları yerine kullanımı gayet kolay GUI ara yüzü

Komut kullanmadan backup set tanımlayabiliyorum.

34. adımdaki node tanımlama işlemini buradan da kolaylıkla yapabilirsiniz.

Yada buradan Tape Loader’ımızı tanımlayabiliriz.

SSL (Secure Sockets Layer) sertifikaları aracılığıyla kullanılan SSL protokolü, internet veya bir bilgisayar ağı üzerinde güvenli bilgi akışını sağlayabilen bir teknolojidir.

SSL sertifikası, bağlanılan web sitesinin kimliğini doğrulayan ve SSL protokolü kullanılarak sunucuya gönderilen ve alınan bilgilerin şifrelenerek aktarılmasını sağlayan dijital bir belgedir. SSL bağlantısı üzerinden paylaşılan bilgiler sadece uygun şifre ve anahtarlar ile okunabilir. Dışarıdan müdahale ile bu bilgilere ulaşılsa bile, bu bilgiler şifreli olduklarından tamamen okunamaz haldedirler.

Bir SSL sertifikası temel olarak aşağıdaki bilgileri içerir:

•          Sertifika sahibinin adı/unvanı

•          Sertifikanın seri numarası ve son kullanma tarihi

•          Sertifika sahibinin açık anahtarı (“public key”)

•          Sertifikayı veren kurumun dijital imzası

SSL teknolojisini daha iyi anlayabilmek için, aşağıda açıklayacağımız ve SSL kullanılmadan yapılan bir internet bağlantısını inceleyelim.

SSL kullanılmayan internet bağlantısı: Belirsizlik

Kolay anlaşılması amacıyla, bilgisayarlar arasında internet üzerinde kurulan bir bağlantıyı, iki insan arasında geçen bir telefon konuşması olarak örnekleyelim:

Gerçekte kiminle konuşuyorsunuz?

Telefonla aradığınız kişinin gerçekten aradığınız kişi olduğunu nasıl kontrol edebilirsiniz? Özellikle bu kişiyle daha önce hiç konuşmadıysanız bunu anlamanız imkansızlaşır. Eğer gerçekte aradığınız kişi yerine onun yerine geçmiş biriyle konuşmaya başladıysanız, vereceğiniz bilgilerin kime veya kimlere gideceğini bilemezsiniz.

Konuşmalarınızı başka bir kimse dinliyor mu?

Artık bilindiği üzere bir telefon konuşmasının, konuşan kişiler fark etmeden dinlenmesi mümkündür. İnternet üzerinde ise durum bundan farklı değildir. Belki de internet üzerinde yazdığınız ve gönderdiğiniz pek çok bilgi bazıları tarafından görülebilmekte ve kaydedilmektedir. Böylece kullanıcı bilgileriniz, şifreleriniz, özel bilgileriniz, banka bilgileriniz ve hatta kredi kartı bilgileriniz gibi sizin için en önemli ve hassas bilgileriniz güvenli olmayan bir ağ bağlantısı ile tehdit altına girecektir. Şifrelenmemiş bir internet bağlantısı ile sağlanacak bilgi akışı, özellikle önemli ve hassas verilerin belirsiz bir şekilde aktarılması demektir.

Burada görüldüğü üzere internet üzerinde yapılan bilgi alışverişinde iki temel güvenlik açığı doğmaktadır:

1.       Gerçekten doğru bilgisayar veya sunucuya bağlanıp bağlandığımızı bilememek; gerçekten bankacılık işlemleriniz için kendi bankanızın web sitesine mi bağlanmaktasınız? Yoksa aynı bankanın çok benzeri sahte bir siteye önemli bilgilerinizi mi vermek üzeresiniz?

2.       İnternet üzerinde paylaşacağınız bilgilerin muhatabınız dışındaki kişilerce ele geçirilip geçirilmediğini bilememek. Acaba girdiğiniz kullanıcı numarası ve internet bankacılığı şifresi kendi bankanıza giderken aynı zamanda da kötü niyetli kişilerin eline ulaşıyor mu?

SSL Teknolojisinin Çalışma Mekanizması

SSL teknolojisi açık anahtarlı altyapılar (PKI), bir başka deyişle çift anahtarlı şifreleme tekniğiyle amacına ulaşır. Normal şifreleme yöntemlerinde, bağlantıya geçen iki taraf birbirleriyle bir şifre veya bir anahtarı önceden paylaşır. Buna istinaden bu şifre veya anahtar hem mesajın şifrelenmesinde hem de mesajın deşifre edilmesinde kullanılır. Ama bu sürekli ve tam bir güvenlik protokolü oluşturmaz; keza kötü niyetli kişiler tarafından ele geçirilebilecek olan bu ortak şifre veya anahtar ile tüm iletilen bilgiler kolayca çözülebilir.

SSL bağlantısı kurulurken, bu şifreleme anahtarının güvenli bir şekilde, tek kullanımlık olarak oluşturulması ve sadece tek bir bağlantı için taraflarca paylaşılması sağlanır. SSL sertifikası sahibi olan sunucuya ait farklı iki anahtar bulunur; açık anahtar (“public key”) ve gizli anahtar (“private key”). Açık anahtar, sertifika içeriğinde yer alan açık bir veridir, gizli anahtar ise sadece sunucunun erişebileceği şekilde güvenli olarak saklanan ve mutlaka gizli kalması gereken bir veridir. Bilgilerin aktarılmaya başlanmasından hemen önce, kurulacak olan anlık bağlantıya özel, tek kullanımlık bir bağlantı anahtarı (“session key”) oluşturulur ve bu tek kullanımlık bağlantı anahtarı, iletişim sağlayacak istemci tarafından sunucunun açık anahtarı ile şifrelenerek sunucuya gönderilir. Sunucu ise, gizli anahtarı ile bu şifreyi çözerek tek kullanımlık bağlantı anahtarını elde eder. Daha sonra her iki taraf, paylaşacakları verileri bu tek kullanımlık bağlantı anahtarıyla şifreleyerek birbirlerine göndermeye başlarlar. Bu işlem karşılıklı olarak bağlantı süresince tekrarlanır.

SSL Bağlantısının Oluşması

Bu noktada konuyu, aşağıdaki şema üzerinden ve adım adım teknik ayrıntılarıyla irdeleyelim:

Adım 1:İstemci, bilgisayar ağı üzerinde bağlanmak istediği sunucuya güvenli olarak bağlanma talebi (https) gönderir. Bu işlem, varsayılan ayarların etkin olduğu durumda, SSL portu olarak tabir edilen 443 portu üzerinden yapılır. Sunucu yapılandırmasına bağlı olarak farklı bir port numarası da kullanılabilir.

Adım 2: Ardından, sunucu SSL sertifikasını istemciye gönderir. Bunun üzerine istemci bu sertifikayı üreten kurumun sağladığı çevrimiçi doğrulama servislerini kullanarak bu sertifikanın geçerliliğini kontrol eder. Ayrıca, bağlantı sırasında kullanılmakta olan web tarayıcısı da bu sertifikayı üreten kurumun güvenilirliğini tarayıcıda önceden tanımlı olan kurumlarla kıyaslayarak kontrol eder. Bu aşamada sunucu, açık anahtarını istemciyle SSL sertifikası aracılığıyla paylaşmış olur.

Adım 3: Eğer tüm kontroller doğrulanırsa, istemci sunucuya tek kullanımlık bağlantı anahtarını (“session key” veya “encryption key”), sunucunun açık anahtarıyla şifreleyerek gönderir.

Adım 4: Sunucu, gizli anahtarını kullanarak şifreyi çözer ve tek kullanımlık bağlantı anahtarını alarak, istemciyle arasında güvenli bir SSL bağlantısı kurar. Böylece, bağlantı süresince bu iki cihaz arasındaki tüm iletişim güvenli bir şekilde devam eder.

Günümüzde birçok orta ve büyük ölçekli firmalar verilerini uzak mesafeler arasında yedekleme ve kısa bir süre de iş sürekliliğini sağlaması için EMC RevoverPoint ürününü tercih etmekte. Peki, 2000 yılında nasıl yapıyorduk J

Konu uzak mesafeler arasında yedekleme / replikasyon olunca aşağıdaki maddeler projemiz için önemlidir.

1.       RPO "Kurtarma Zaman Hedefi"

2.       RTO "Kurtarma Noktası Hedefi"

3.       ROI = Yatırım Getirisi

1.       RPO (Recovery Point Objective) - Kurtarma Noktası Hedefi

Bir iş süreci veya BT bileşeni için kurumun kabul edebileceği maksimum veri kaybını süre olarak ifade eder.

Örnek: Bir iş süreci için RPO değerinin 1 saat oluşu söz konusu iş sürecinin en fazla 1 saatlik veri kaybı ile tekrar çalıştırılması hedeflendiği anlamına gelir. Herhangi bir nedenle veri kaybı yaşandığında en eski 1 saatlik veri geri yüklenebilmelidir.

2.       RTO (Recovery Time Objective) – Kurtarma Zaman Hedefi

Kesintiye uğrayan iş sürecinin ne kadar süre sonra çalışır hale getirileceğine dair hedef süredir. Bu sebeple kesintiye uğrayan iş sürecinin veya BT bileşeninin belirlenen RTO süresi içerisinde tekrar çalışır hale getirilmesi için gerekli planlamanın yapılması gereklidir.

Örnek: Bir sunucu için RTO değerinin 4 saat oluşu, sunucunun herhangi bir nedenle çalışamaz hale gelmesi durumunda en geç 4 saat sonra tekrar çalıştırılması gerektiği anlamına gelir.

3.       ROI (Return Of Invesment) – Yatırım Getirisi

Return on Investment (ROI) yaptığınız yatırımın size geri dönüşünü gösteren bir veridir. Temelde ROI bir yatırımın size ne kadar getiri sağladığını yani verimliliğini ve bu yatırımın sürdürülmesi gerekip gerekmediğini gösterir.

Felaket Kurtarma Merkezi oluşturmak maliyetli olduğundan birçok firma FKM projeleri için kaynaklarını elinden geldiği kadar verimli kullanmaya çalışır. Bunları bazıları disk ve sunucu kaynakları, WAN hatları, Operasyon ve işletme maliyetleri, veri merkezi vb. maliyetlerden oluşmakta. Firmalar bu kaynakları maksimum verim ile kullanarak daha çok kaynak ihtiyacı oluşmasını engelleyerek ROI sürelerini kısaltmaya çalışırlar.

Sıfıra yakın RPO ve Kısa ROI için Verimli WAN hatları Şart.

--Söz konusu FKM projeleri uzak mesafeler arasında yani şehirlerarası veya ülkeler arasında yapıldığından WAN hatlarının hızı ve kalitesi RPO ve RTO sürelerinde büyük bir oyuncudur.

--Günümüzde Telekom firmaları 2mbps den 10Gbps ye kadar aylık ücret karşılığında istediğiniz hızı size sağlayabilmekte ancak hızların artışı ile beraber verilerin de boyutları gün geçtikçe artmakta.

--Birçok firma Merkez ile FKM (Felaket Kurtarma Merkezi) arasında yapacağı felaket kurtarma projesi için minimum RPO ve RTO sürelerini hedefler. Ancak bu hedefe düşük bütçeli ve paylaşımlı WAN hatları üzerinden ulaşmak pek kolay olmaz ve maliyetlidir. MPLS ve VPN gibi hatlarının doğası gereği felaket kurtarma projelerini etkileyen 3 önemli faktör vardır.

1.       WAN Hatlarındaki gecikmeler

2.       Paket kayıpları, bozuk paketler

3.       Bant genişliği ve hatların pahalı olması

WAN hatlarında 3 temel zorluk ve ortak sonuçları

WAN Hatlarındaki gecikmeler

Mesafeler arttıkça paketlerin karşıya ulaşması da bir o kadar uzun sürecektir, gecikmeler ise var olan hattınızın aktarım hızını paketlerin geç ulaşmasından dolayı yavaşlamasına ve sonuç olarak verimsiz kullanmanıza yol açacak.

Silver Peak, uzak mesafeler arasında kullanılan MPLS, MPLS VPN, IPSec VPN vb. hatlarda oluşan gecikmeleri önlemesi için paketlerin pencere boyutlarını dinamik olarak hattın durumuna göre hesaplar ve bir sefer paket gönderiminde maksimum veriyi gönderir. Detaylı bilgi için RFC 1323’u inceleyebilirsiniz.

Paket kayıpları, bozuk paketler

Bu durum en çok MPLS ve ortak kullanılan hatlarda oluşur, düşük bütçeli ve ortak kullanımlı hatlar da %0.1 ile %2 arasında paket kaybı veya bozuk paket oluşur buda hassas uygulamaların performansında yüksek oranda verimsizliğe neden olur.

Bu durumdan en çok etkilenen uygulamalar CDP replikasyonları, RDP, VDI, Video Konferans ve diğer gerçek zamanlı çalışan uygulamalarda kalite sorunlarına ve verimsizliğe neden olur.

Şahsen müşterilerimde en çok rastladığım şikâyetler RDP de tuş takılma ve ekranın anlık olarak gidip gelmesi veya CDP teknolojisi ile çalışan replikasyon çözümlerinde yüksek orandan verimsizliğe neden olması idi.

Silver Peak AĞ katmanında çalıştığından bu sorunları gerçek zamanlı olarak %20 oranında onararak hattın kalitesini arttırır ve uygulamalarınızın verimliliğini arttırır.

Bant genişliği ve hatların pahalı olması

WAN hatları ile ilgili bir diğer zorluk ise şehirlerarası veya uluslararası hatların pahalı olmasıdır. Günümüzde Telekom şirketleri istediğiniz hızları aylık ücret karşılığında sağlamakta ancak hatların pahalı olmasından ve hedeflediğimiz ROI süresine sığabilmemiz projemiz için önemlidir.

Örneğin 10mbps WAN hattı üzerinden günde normal şartlarda ortalama ~86GB veri gönderebiliriz, hâlbuki WAN Optimizasyon teknolojileri ile bu değeri ortalama 10 misli arttırabiliriz.

Silver Peak AĞ katmanında uygulama ve protocol bağımsız optimizasyon yaptığından tüm IP trafiğini BYTE seviyesinde tekilleştirir, ayrıca yüksek oranda sıkıştırma yaparak karşı tarafa minimum veriyi gönderir böylece var olan hattınızı ortalama 10 misli daha verimli kullanmanızı sağlar.

Adım adım Silver Peak ile 10Mbps WAN hattı üzerinden RecoverPoint replikasyonu.

Adımlar “tüm adımlar için 30 dakika”

1.       Her iki site da Silver Peak kurulumu “10 dakika”

2.       Silver Peak yapılandırma “10 dakika”

3.       EMC RecoverPoint’un trafiğini Silver Peak’a yönlendirmek “10 Dakika”

4.       RecoverPoint da sıkıştırma kapatılacak “2 dakika”

Gereksinimler.

1.       Silver Peak VRX yazılımı (İnternetten 1 aylık ful sürümünü indireceğiz)

2.       ESXi (Her SP için 4Core vCPU, 4Gb Ram, 100GB Disk)

Topoloji:

Adım 1: Silver Peak’lerin her iki lokasyon’a kurulması

İlke önce www.silver-peak.com dan ürünler altında VRX Virtual Software menüsüne girin.

VRX-2 yazılımını seçin ve try’a tıklayarak yazılımı indirin. Eğer Hyper-V veya başka bir hypervisor kullanıyorsanız diğer seçenekleri seçerek ilgili dosyayı indirebilirsiniz.

Dosyayı indirdikten sonra size 2 adet e-mail gelecek, bunları biri Site_A diğer ise Site_B de kuracağınız Silver Peak içindir.

İndirmiş olduğumuz dosyayı “ovf template” VMware client veya vCenter dan file > deploy OVF template den kuracağız.

Sanal sunucu adını girin ve next next diyerek disk bölümüne kadar ilerleyin, Silver Peak VRX yazılımı default olarak işletim sistemi için 30GB alan kullanır, ikinci diski de template’i kurduktan sonra ekleyeceğiz.

Disk yapısı hem işletim sistemi hem de ağ hafıza diski için Thick Provision Lazy Zeroed olacak.

Network bölümünden ilgini networkü seçin ve devam edin.

Not: Silver Peak’a vereceğiniz IP adresi RecoverPoint’un kullandığı IP’ler ile aynı blok da olmalı.

Kurulum işlemi sonrası sanal sunucuyu açmadan önce AĞ Hafızası diskini ekleyelim.

Disk eklemek için sanal sanal Silver Peak üzerinde sağ tıklayıp edit settings den add’e tıklayınız. yeni disk için min 70GB alan verelim.

Not: Ağ hafıza diski min 70GB ve maksimum 2TB arasında olmalıdır, disk alanı ne kadar çok olursa daha çok veri tekilleştirmesi yaparak bant genişliğinizi minimuma indirir.

Diski oluşturun, tüm ayarları kontrol edin ve sanal sunucuyu açın (Power on)

Sanal sunucuyu çalıştırdıktan sonra Silver Peak’in Appliance Manager ara yüzü açılacak, bu ara yüz den cihazın IP ayarını elle istediğimiz IP ile değişebiliriz, bu IP önemli olduğundan DHCP aralığının dışında olmasına emin olun veya rezerve edin.

IP’yi değiştirmeniz için F4’a basınız, IP değiştirdikten sonra cihazı yeniden başlatmanıza gererek yoktur.

Web ara yüzüne bağlanmak için chrome ve mozilla kullanabilirsiniz.

Tüm buraya kadar olan adımları diğer lokasyon için gerçekleştirin.

Her iki lokasyonda Silver Peak’in hazır sanal sunucularını import edip IP verdikten sonra ayarlarını yapmak için chrome dan yönetim IP’lerini yazarak açınız. Kullanıcı adı ve şifresi default olarak admin.

Adım 2: Silver Peak’leri yapılandırmak

İlk sefer giriş yaptığınızda karşınıza yapılandırma penceresi çıkacak “wizard”

Adımları takip edin.

1.       Hostname de cihaz için isim giriniz. Örneğin merkez

2.       Management Interface (mgmt0) de verdiğiniz IP ve DNS bilgilerini eksiksiz olarak tamamlayın

3.       Time zone da ilgili bölgeyi deçin

4.       Şifrenize değiştirebilir veya daha sonra değişebilirsiniz

5.       Silver Peak’i download ederken size 2 adet lisans ile ilgili mail gönderilmişti, lisansı buradan giriniz.

6.       Bant genişliği limitini girin “replikasyon için kullandığınız hattın hızı”

Not. MPLS VPN gibi ağ yapılarında merkez hızı örneğin 100mbps olabilir ancak sizin için önemli olan merkez ile disaster arasında kullandığınız hattın hızıdır. Silver Peak geri kalan trafiği bybass edeceği için merkez için 100mbps’lik Silver Peak lisansı almanıza gerek yoktur.

7.       Next next devam ve apply ve reboot.

8.       Aynı işlemleri FKM tarafı içinde yapınız.

Silver Peak de yapılacak ayarlar.

1.       Configuration > Deployment den yaptığımız ayarlardan emin olmak.

Not: Silver Peak size tüm girmiş olduğunuz IP ve diğer bilgileri özet bir grafik ara yüzünde gösterir.

2.       Tünel ayarları için configuration > tunnels den add’a tıklayarak yeni tünel ekleyin.

Bu senaryo da: 10.0.0.20 den 20.0.0.20 arasında tünel kuracağız.

Add’a tıklayın ve bilgileri giriniz.

Name: nerden nereye tünel adı

Local IP: Site_A daki SP IP’si

Remote IP: Site_B deki SP IP’si

Mode: 3 seçenek mevcut, default olarak UDP’dir ancak gre veya IPSec de isteğinize bağlı olarak seçebilirsiniz.

Not: IPSec AES-256 – SHA-1 ile verileri şifreler.

Bu senaryo için IPSec’i seçiyorum.

Mode da IPSec’i seçin ve apply’a tıklayarak pencereyi kapatın.

Oluşturduğunuz tünel’e tıklayarak IPSec için pre-shared key girmeniz gerekecek, “her iki tarafta aynı olmalı”

FEC özelliğini auto ya set ediniz, bu özellik hatlarınızda oluşan paket kayıplarını ve bozuk paketleri %20 oranında düzenler, bu sayede hattın kalitesini arttırarak verimli çalışmanızı sağlar. Bu özellik sayesinde bazı durumlarda sadece 4x hızlanma elde edilmiştir.

Aynı işlemi FKM den Merkez’e doğru yapınız “tünel oluşturunuz”

Her iki tarafta tünelleri oluşturduktan sonra tünelle ortalama 1 dakika içinde Aktif duruma gelecektir.

Silver Peak tarafında yapmanız gereken işlemler tamamlanmıştır, optimizasyon için EMC RecoverPoint trafiğini Silver Peak’lere yönlendireceğiz.

Adım 3: RecoverPoint trafiğini Silver Peak’a yönlendirmek

RecoverPoint özet,

Örneklediğim RecoverPoint senaryosu günümüzde en çok tercih edilen mimariyi göstermekte, bu mimaride her site da kullanılan RP’lerin 1 adet gateway adresi olur, eğer bu trafiğini optimize etmek isterseniz ya bu trafiğin arasına girmeniz gerekir “Inline Mode” veya bu trafiği Silver Peak’a yönlendirmeniz gerekecek.

Bu senaryo da biz Silver Peak’leri sanal ortam da kurduk ve şimdi RecoverPoint cihazlarına ikinci gateway ekleyerek replikasyon trafiğini Silver Peak’lere yönlendireceğiz.

Replikasyon trafiğini Silver Peak’a yönlendirmeden önce:

1.       Merkez RecoverPoint da oturum açın “mgmtbox”

2.       Setup > Modify Settings > Cluster Details > Connectivity Settings > Gateways configuration den add a gateway’i seçin

IPv4’ü seçin

--Bir yazın Enter’a basın ve devam edin.

--Enter gateway IP: burada Site_A Silver Peak'in IP'sini yazınız "10.0.0.20"

--Enter target netmask: karşı tarafın netmask'i "255.0.0.0"

--Enter target subnet: karşı tarafın IP bloğunu yazın "20.0.0.0"

--Girdiğiniz ayarların doğru olduğundan emin olarak kaydedin.

IP bilgilerini girin ve kaydedin.

Kaydet dikten sonra View cluster gateways den eklediğiniz route’u kontrol ediniz. Eğer eklediğiniz yeni gateway gözükmüyorsa 2-3 dakika bekleyiniz.

--Aynı işlemleri Site_B den Site_A’ya doğru uygulayın.

Yaptığımız yönlendirme sonrası Site_A da RecoverPoint trafiği önce 10.0.0.20 ye yönlenecek, eğer Silver Peak her hangi bir neden den dolayı yanıt vermezse trafik normal route dan yani 10.0.0.254 den optimizasyon olmadan devam edecek, Silver Peak tekrar çalıştığında optimizasyon devam edecektır.

Sanal Silver Peak ile RecoverPoint replikasyonunun trafik akışı “Yeşil”

Adım 4: RecoverPoint da Sıkıştırma kapatılacak.

Silver Peak kendi sıkıştırma algoritmaları ve diğer gerçek zamanlı teknikler ile RecoverPoint trafiğini maksimum seviyede sıkıştırır ve BYTE seviyesinde tekilleştirme ile maksimum verimi sağlar.

Optimizasyon başlamıştır.

Silver Peak RecoverPoint trafiğinde ortalama %70 ile %90 arasında optimizasyon sağlayarak var olan hattınızı maksimum verim ile kullanmanızı sağlar.

Aşağıdaki grafik 10mbps wan hattı üzerinden geçen RecoverPoint trafiğin Silver Peak ile sıkıştırma öncesi “lacivert” ve sonrasını “açık mavi” göstermekte.

Son 24 saatlik veri transferinde %92 oranında optimizasyon sağlayarak 427GB yerine WAN hattından sadece 34GB veri göndermiştir.

10mbps WAN hattından günde ortalama 600GB RecoverPoint replikasyonu.

Not: bu rakam 10mbps wan hattında günde 1TB ve üzerine aktarılan veri hacmi ve dosya formatlarına göre çıkabilir.

Daha Esnek, Ölçeklenebilir, Zeki, Daha kısa ROI süresi ve anında çözüm için Sanal Çözümler

2000 yıllarını hatırlayın, ESX 2.0, 2.5 zamanlarında bir çoğumuz sanal platformlara güvenmezken günümüzde neredeyse hepimizin ilk aklına gelen konu ise sanallaştırma ve bulut teknolojileri, buda sanal platformların yeterinde olgunlaştığının ve evrimleştiğinin kanıtıdır. Ya network sanallaştırma?

Günümüzde bir hypervisor’a sahipseniz birçok şeye sahipsinizdir.

Hypervisor= Esneklik, Ölçeklenebilirlik, Uygun maliyet ve anında çözüm.

Sanal çözümler ile ROI sürenizi kısaltın

Silver Peak’i sanal veya fiziksel cihazlarını satın alarak kullanabilirsiniz. Silver Peak size 2mbps den 1gbps ye kadar aynı performansı sanal ortamda sağlayabildiğinden ve bu konuda lider teknolojiye sahip olduğundan bu yazılımı istediğiniz hypervisor’a kurun ve trafiğinizi yönlendirin. Ayrıca kendi sunucunu oluşturabilirsiniz, bunun için gereksinimlerini karşılayan bir sunucu üzerinde VMware ESXi free kurun ve Silver Peak’i üzerinde deploy edin, kurduğunuz cihaza Network Bypass Adaptor takarak bildiğiniz appliance gibi kullanabilirsiniz. Bypass kartı ile trafiği yönlendirmeye gerek kalmadan direk araya girebilir veya trafiği route edebilirsiniz.

Silver Peak size sanallaştırma teknolojisindeki tüm avantajları sağlar ve ROI süresi fiziksel WAN Optimizasyon çözümlerine göre 4x daha kısadır. Buda geçmişte ve gelecekte yatırımlarınızı korur.

Ayrıca RecoverPoint ’un da sanal çözümü mevcut, yani %60 gibi az bir maliyet ile bu teknolojiye sahip olabilirsiniz. Bu iki teknolojiyi Sanal kullandığınızda çok daha düşük maliyetler ile çok daha büyük hedefleri elde edebilir ve projelerinizde artı puanlar kazanırsınız.

Önceki yazımda, Office 365 Multi Factor Authentication (MFA) başlığı ile, genel olarak MFA nın ne olduğundan, nasıl sahip olunacağından ve marifetlerinden bahsetmiştik. Ancak bunların kullanımı ile ilgili bir şeyler yapamadık. Bu yazımda da Office 365 tarafında Mobile App ile MFA kullanımına değineceğim.

Mobile App da iki ayrı metod olduğundan bahsetmiştik. Uygulamaya random şifre ürettirebilir ya da log on işlemi yapıldığında bir pop-up açtırabiliyorduk.

Biz de bu yazıda uygulamaya otomatik olarak “Log on işlemi yapılıyor bu sen misin?” diye sorduracağız. Ve onay ya da iptal etme şansı elde edeceğiz. Aynı zamanda Outlook lync gibi şifre gerektiren uygulamalarda kullanmak üzere Random Password de ürettirebileceğiz.

İşlemleri yapmaya başlıyoruz.

Kullanıcıya MFA aktivasyonu yaptıktan sonra ilk bağlantıda kullanıcı adı ve şifrenizi girdiğinizde aşağıdaki şekilde “Set Up” butonu görülecektir.

Set it up now butonuna tıkladıkdan sonra 1. Adımda Mobile App seçeneğini seçiyorum ve Configure butonuna basıyorum.

Bu arada; bu ekranda View Video linkine basarak http://channel9.msdn.com/posts/Multi-Factor-Account-Setup linkine ulaşabilirim. Bu linkde MFA ile ilgili adımları video olarak izleyebilirsiniz.

Ayrıca uygulamanın verify edilmesinin zorunlu olduğu ile ilgili de bir not görüyoruz.

Next butonuna basmadım. Configure dedikden sonra aşağıdaki şekilde bir pencere belirecek ve burada bazı bilgileri görebileceğiz. Bu bilgiler telefonumuzdaki uygulamamızı doğrulamamız ve bize ait olduğunu kanıtlamamız için gerekli.

Ben önceden uygulamayı telefonua indirip yüklemiştim. Aşağıdaki şekilde uygulamamı görebiliyorum.

Uygulamayı çalıştırdığımda aşağıdaki şekilde bir ekran ile karşılaşacağız. Bu ekranın sağ üst köşesinde kırmızı ile işaretlediğim iki buton var.

Bunlardan birincisi barkod reader için. Telefonunuz destekliyorsa (bunuda yapan bir uygulama aslında) portalın size vereceği barkodu okutarak kod ve url i otomatik getirebiliriz. Aksi durumda elle kod ve url i yazmam gerekecek ve sağ üstte bulunan ikinci butona basarak ileri demem gerekecek.

İşte barkod ve kod/url bilgisini gördiğim ekran da aşağıdadır. Bu ekrandaki barkodu okutarak bir doğrulama yaptım ben istersem elle de yazabilirdim.

Doğrulama yapıldıktan sonra done diyerek önceki ekrana dönüyorum ve aşağıdaki gibi portalda benim bunu doğruladığımı onaylıyor.

Doğrulamanın tamamlandığını gördüm ve artık Next diyebilirim.

İkinci adım da ise doğrula diyerek telefonuma doğrulama ekranının gelmesini sağlıyorum.

Telefonumda ki doğrulama ekranında da verify diyerek işlemi yapanın ben olduğumu doğruluyorum.

Yukarıdaki iki ekran görüntüsünde doğrulamanın yapıldığını ve onaylandığını görebiliriz. Next dedikten sonra aşağıdaki şekilde bana telefon numaramı soruyor bunun sebebi ise, uygulamalarda kulanmam için bana bir şifre üretmesidir.

3. ve 4. Adımlar uygulamalarda kullanacağımız random password içindir. Üret dersek buradan bir şifre ürettirebilir ve uygulamalarımda bu şifreyi kullanabilirim.

Aşağıdaki şekilde uygulamada görünen random password ü de görebilirsiniz.

Peki şimdi portal durumumuza bakalım.

Kullanıcı adı ve şifremi giriyorum.

Sign in dedikden sonra aşağıdaki gibi bir beklemeye giriyor. Burada benim uygulamamı çalıştırmam lazım ve uygulamamda otomatik olarak aşağıdaki ekranı göreceğim.

Verify dedikten sonra log on işlemim tamamlanıyor. İstersem cancel diyerek log on işlemini iptal edebilirdim.

İş yerinde fiziksel sunucusu olan veya az da olsa bilgisayar işlerine merak salmış insanlar RAID kavramını azda ola bilirler. RAID yapısını kullanmanın amacı genellikle veri bütünlüğünü korumak, performans sağlamak gibi bir çok etkeni sıralayabiliriz. Bence artık bir Windows 8.1 kullanıcıysanız, artık sizde IT dünyasına yaklaştığınızın bir resmidir. Neden mi ? Windows 8.1 işletim sistemi kendi kendine yeten tüm ihtiyaçlarınızı karşılayan bir işletim sistemi hiç bilgisayar kullanmasını bilmeyen biri bile bugün Windows’unu sıfırdan kurar hale gelmiş durumda bugün kü anlatacağım Windows 8 ile birlikte yeni gelen özelliklerden sadece biri olan Storage Spaces özelliği peki nedir Storage Spaces ? Eğer elinizde kullanmadığınız birden fazla diskiniz varsa bu disklerde 10 GB üzeriyse bu diskleri bir havuz içerisinde toplayarak kullanabilirsiniz. Aklınıza şöyle bir soru gelebilir evet zaten kullanıyordum ama bu özellik ne işime yarayacak hemen açıklayalım;

Örneğin elinizde 3 adet fiziksel disk olduğunu düşünelim. Bu disklerinizi bilgisayarınıza taktığınızda  birbirinden  farklı 3 fiziksel diskiniz olacaktır. Lakin hangi diskin içerisine hangi veriyi koyduğunuz muamma olacaktır. İşte tam bu sırada Storage Spaces özelliği ile birden fazla fiziksel diskinizi birleştirerek tek bir disk şeklince kullanabileceksiniz. Sanki şu soruyu duyduğumu hissediyorum. Peki disklerden birisi bozulursa ne olacak ? J hemen cevabını verelim. Yine imdadınıza Storage Spaces özelliği yetişecektir. Disklerden birisi bozulsa bile Storage Spaces özelliği sayesinde hiçbir şekilde veri kaybını olmayacaktır. Tabii taktığınız disklerin hepsi bozulursa işiniz o zaman zor. :D Yukarıda belirttiğim gibi bir Windows 8.1 kullanıcıysanız. Tıpkı büyük yapılarda olduğu gibi RAID yapısını kullanıyorsunuz demektir. İsterseniz lafı fazla uzatmadan ufak bir uygulama yaparak Storage Spaces özelliğini birlikte görelim.

Yapıdan bahsetmek gerekirse;  3 adet kullanmadığım fiziksel diskim mevcut ve bu disklerin boyutları disk 1 = 50 GB disk 2 = 40 GB disk 3 = 30 GB => 50 + 40 + 30 = 120 GB lık bir alanım mevcut lakin 120 GB lık alanın tamamını kullanamayacağım. Nedenini yazımızın ilerleyen bölümlerinde göreceğiz.

Dikkat Edilmesi Gereken Hususlar;

-          Taktığınız fiziksel diskleri hiçbir şekilde formatlamayın.

-          Taktığınız disklerin boyutları 10 GB altında olamaz.

-          Eğer yapıya yeni bir disk ekleyecekseniz disk içerisinde her hangi bir veri bulunmaması gerekir. Aksi taktirde verilerinizi kaybedersiniz.

Windows 8.1 Storage Spaces-01

3 adet fiziksel diskimi taktım. Ardından Bilgisayarım üzerinde sağ tıklayarak Yönet seçtim açılan bilgisayar yönetimi penceresinde disk yönetimi üzerine geldiğimizde Initialize disk (disk başlat) penceresi çıkacaktır. Eğer 3 diskide eklemek istiyorsak 3 diskinde seçili olduğundan emin olduktan sonra ok tıklayalım. Kesinlikle diskleri formatlamayın.

Windows 8.1 Storage Spaces-02

Disklerimizi başlattıktan sonra disklerimiz online bir duruma gelecektir. Yukarıda ki ekranda görüldüğü gibi daha önceden belirttiğim gibi diskleri kesinlikle formatlamadan devam edeceğiz.

Windows 8.1 Storage Spaces-03

Fiziksel olarak disklerimizi ekledik. Şimdi Sırasıyla Control panel yani (denetim masasına) gidelim. Açılan pencerede Storage Spaces (Depolama Alanları) tıklayalım.

Windows 8.1 Storage Spaces-04

Açılan Storage Spaces penceresinde Create a new pool and storage spaces (yeni havuz ve depolama alanı oluştur) tıklayalım.

Windows 8.1 Storage Spaces-05

Create a new pool and storage spaces seçeneğine tıkladıktan sonra 3 adet fiziksel diskimin geldiğini yukarıda ki ekranda olduğu gibi görebiliriz. Disklerin seçili olduğundan emin olduktan sonra Create pool butonuna tıklayalım.

Windows 8.1 Storage Spaces-06

Artık sona doğru yaklaşıyoruz. Create pool seçeneğine tıkladıktan sonra Create a storage space penceresi açılacaktır. Burada birkaç işlem yapmamız gerekecek. Bunların başında kullanacağımız file system türü ve Resiliency tipi öncelikle file system bir bakalım. Baktığımızda 2 seçenek mevcut NTFS ve REFS hemen hemen artık hepimiz NTFS dosya sisteminin ne olduğunu biliyoruz. Lakin REFS hakkında belki bir bilginiz olamayabilir. REFS dosya sistemi Windows 8 ve Windows Server 2012 ile birlikte gelen yeni bir dosya türüdür.

“ReFS (Resilient File System) , Windows Server 8 ve Windows Server 2012 için geliştirilmiş, ancak daha sonradan Windows 8 sürümleri içine de ufak bir driver ile entegre edilebilen yeni dosya sistemidir.

Yüksek kapasite disk bölümleme, büyük ölçekli dosya saklama, daha yüksek veri aktarım hızı ve META koruması gibi özellikleri ile NTFS’ye göre daha yeni bir sistemdir.” Alıntıdır. Ayrıntılı bilgiye ulaşmak için tıklayınız.  

Windows 8.1 Storage Spaces-07

Diğer bir seçenek olan Resiliency type ise bir nevi oluşturacağımız RAID yapısının esneklik türüdür. Örnek vermek gerekirse RAID 5 yaptığımızı düşünelim. Gerekli olan 3 adet aynı boyutta olan 3 adet fiziksel disk olmasıdır. RAID 5 yapmamızın amacı ise veri bütünlüğünün sağlanmasıdır. Disklerden birisi bir şekilde fiziksel olarak bozuksa bile diğer 2 disk çalışmaya devam edecektir. Her hangi bir veri kaybı yaşanmayacaktır. Peki yukarıda kullanılan terimler nelerdir. Bir bakalım.

-          Simple (no resiliency) : Bu esneklik türü hiçbir hatayı kabul etmez diklerden birisi bozulsa bile tüm verileriniz. Kaybolacaktır. Bu seçeneği seçtiğimizde neredeyse tüm disk kapasitesini kullanabiliriz. En az 3 adet fiziksel disk gerekmektedir.

-          Two-way mirror : Esneklik türü 3 diskten birisi bozulduğunda her hangi bir veri kaybı yaşamazsınız. Bir nevi RAID yapısından hatırlayacağınız üzere aynalama metodudur.

-          Three-way mirror : Seçeneği ise Two-way mirror esneklik türü ile benzerlik göstermektedir. Yine aynalama metodudur.

-          Parity : Bu seçenekte ise eklediğimiz disklerin tüm kapasitesini kullanmanın yanında 3 disk toplamının yarısını bir partition diğer yarısını başka bir partition olarak kullanabiliriz.

Ben Two-way miror seçeneğini seçiyorum. Bu seçeneği seçtikten sonra yukarıda ki ekranda görüldüğü gibi toplam disk kapasitemin neredeyse yarısını kullanacağım. En güzel tarafı ise veri bütünlüğünü sağlamış olacağım. Hemen ardından Create storage space butonuna basarak yeni depolama alanımı oluşturmaya başlayabilirim.

Windows 8.1 Storage Spaces-08

Yukarıda ki pencerede görüldüğü gibi artık storage space yani depolama alanını oluşturmuş bulunmaktayım. Bu oluşturmuş olduğum depolama alanımın kapasitesini de görebilirim. Yine Physical drivers altında bulunan fiziksel disklerimi görebilir ve fiziksel disklerimin sağlık kontrolünü gerçekleştirebilirim.

Windows 8.1 Storage Spaces-09

Yine disk yönetimine baktığımızda önceden hatırlayacağınız üzere 3 disk görünmekteydi şimdi ise sadece 1 disk görünmektedir. Yine oluşturmuş olduğumuz depolama alanının boyutunu görebiliriz.

Windows 8.1 Storage Spaces-10

Peki This Computer yani bu bilgisayardan baktığımızda oluşturmuş olduğumuz Storage Space alanını görebiliriz. İşte her şey bu kadar basit ilerleyen yazılarımızda Windows 8.1 Storage Spaces özelliğini birlikte test ederek veri bütünlüğünün nasıl korunduğunu değerlendireceğiz.

Başka yazılarda görüşmek üzere…

Office 365 Ürünleri ile birlikte sahip olduğumuz, ancak pek kullanılmayan ya da anlatılmayan MFA ile ilgili; hem içeriği hem de uygulamaları ile ilgili bilgileri bulabileceğiniz bir yazı hazırlamak için başlıyorum yazıma. Bu kaynak içerisinde, Windows Azure ile ilgili de kısa bilgiler bulabileceksiniz. Windows Azure ile ilgili daha detaylı MFA bilgilerini, ayrı bir yazıda paylaşıyor olacağım. Bu yazıda daha çok Office 365 tarafında değineceğim.

Nedir Bu MFA?

Çoklu kimlik doğrulama özelliği olan MFA pek çok ürün için ortak kullanılan bir kavramdır. Aynı One Time Password OTP gibi. Buradaki amaç bir sisteme erişmek için kullanacağınız kimlik doğrulama yöntemlerini çeşitlendirmektir. Örneğin mail okumak, SSL VPN ile şirket ağına bağlanmak veya banka hesabınıza erişmek için.

Örneğin Web mail, yani internet üzerinden mail hizmeti sunan bir sisteminiz var. Buna çalışanlarınız veya müşterileriniz kullanıcı adı ve şifre ile giriyor, ancak siz istiyorsunuz ki ek bir veya birden çok kimlik doğrulama olsun, işte tam burada MFA  devreye giriyor. Vasco veya Microsoft gibi firmaların size sunduğu ürünler sayesinde sistemlerinizi kullanıcı adı ve şifre sorgusundan farklı olarak SMS gönderimi, veya akıllı telefona yüklenen bir uygulama ile şifre üretme veya kayıtlı cep telefonuna bir çağrı gelmesi ve sizin bir tuşa basmanız gibi ek günvelik ( kimlik doğrulama ) önlemleri sunar.

Konumuz olan Multi Factor Authentication (MFA) aslında arka tarafında Azure dan bir destek alıyor.(Office 365 tarafından söz ettiğimiz için böyle söylüyoruz. Azure dan bahsediyor olsaydık, zaten Azure üzerindeki bir PaaS Marifeti dememiz gerekirdi.) Yani aslında bu cümlede çıkartılabilir; Azure üzerinde kullanabildiğimiz MFA Platformuna, biz Office 365 ile ücretsiz sahip olabiliyoruz. (Bazı özelliklerine)

MFA var olan Office 365 Platformunuza ikinci bir kimlik doğrulama katmanı ekler. Bunun için ayrı bir para ödemessiniz. Eğer O365 kullanıcısı iseniz, zaten MFA marifetinden faydalanabilirsiniz anlamına gelir bu.

Bu MFA katmanını birkaç farklı yöntemle de kullanabilirsiniz. Yazının devamında bu yöntemlere de değiniyor olacağız.

Hangi Office 365 Planlarında/Ürünlerinde Bulunur?

MFA, Office 365 Ürünleri ile ücretsiz geliyor dedik. Bunu biraz daha detaylandırıyor olursak;

Planlar;

Ücretsiz Office 365 Paketi Üyeliklerinde (Trial E3)

Kurumsal Planlar (E Paketleri)

Orta Ölçekli İşletme Paketi

Akademik Planlar (A Paketleri)

Not: “Ücretsiz Office 365 Paketi Üyeliklerinde” diye yazdığımız satır Nonprofits ürünler olarak geçer. Yani kar amacı güdülmeyen, deneme sürümleridir.

E3 ün bu sürümü, genelde “voice dışında her şeyi yaparsınız” diye anlatılır. Ancak bu Trial paket ile ilgili de yapamadığınız bazı şeyler var. Bu da kaynaklarda çok fazla paylaşılmıyor.

Sonuç olarak yapamadığınız şeyler; Office365 ProPlus, Office Mobile, Advanced Email (Arşivleme, yasal uyumluluk gibi), eDiscovery, Voicemail, BI (Business Intelligence) dir.

MFA yı, Office 365 Small Business ve Office 365 Dedicated Planlar (Exchange Online Dedicated, SharePoint Online Dedicated gibi) içermez.

Masaüstü Uygulamaları için Office 365 MFA (Outlook)

MFA katmanı, Federe edilmemiş yapılarda, Office Uygulamaları için henüz kullanılabilir değildir. Yakın zamanda bununla ilgili bir güncelleme gelmesi bekleniyor.

(MAPI/HTTP Gereksinimi vardır)

ADFS yapınız varsa, yani federe bir yapı kullanıyorsanız, sorun yok demektir. MFA ‘yı Office Masaüstü uygulamalarında da kullanabilirsiniz.

Office 365 MFA İçeriği Nelerdir?

MFA nın Kullanım Senaryoları ve Destek Durumu;

Yazının başında da kısaca değindiğim gibi MFA nın destek durumları ya da kullanım senaryonuza göre yapabiliteleri var. Bağzı gereksinimlerinizde Windows Azure MFA kullanmanız gerekebiliyor.

Yukarıda MFA nın Özelliklerini ve Office 365 ile Azure MFA tarafında hanglerinin desteklendiğini paylaştım.

Aşağıda ise, hangi senaryoda, hangi MFA ürününe ihtiyacım var sorusuna cevap verecek bir tablo paylaşıyorum.

MFA Seçenekleri

Multi-Factor Authentication Apps:

MFA Mobile Uygulaması Windows Phone, Android, iOS cihazlarda kullanılabilir durumdadır. İlgili cihazın mağazasında ücretsiz olarak indirilebilir. Bu uygulama kurulum sırasında bir doğrulama kodu ile sizin cihazınızı tanır ve uygulamayı etkinleştirir. Bu uygulamanın Tek seferlik şifre üretme ya da hesabınız ile giriş yapmaya çalıştığınızda uyarı verme gibi yetenekleri vardır.

MFA Apps > Bilgilendirmeli Servis

MFA Apps ‘in bu alternatifi ile kullanıcı, bir giriş işlemi yapıldığı zaman telefonunda “push notification” ile bir uyarı alır. (Hesabınıza giriş yapılıyor. Bu siz misini? Gibi) siz Mobile cihazınızdan “Evet benim” ya da “Hayır Sahte bir giriş” diye cevap vererek, girişin başarıyla gerçekleşmesini ya da engellenmesini sağlayabilirsiniz.

MFA Apps > Tek Seferlik Şifre Servisi

MFA Apps ‘in bu alternatifi ile kullanıcı, OneTimePassword (OTP) tek seferlik bir şifre üreterek (toen mantığı ile) sizin için üretilen bu şifre ile uygulamanıza/portalınıza giriş sağlamanızı sağlar.

Otomatik Arama

Bu alternatifi seçerek yapacağınız konfigürasyonda, sizden alınan cep telefonuna bir arama gelir. Siz bu aramada # tuşuna basarak girişi onaylarsınız. Eger girişi siz yapmıyorsanız bu aramaya tepki vermeden girişin başarısız olmasını sağlayabilirsiniz.

SMS ile Doğrulama

Aslında bu metod dai MFA nın OTP si ile aynı mantıkda. Tek farkı password ‘ü MFA App yaratmıyor. Yaratılan password size SMS olarak geliyor. Genel SMS de ki passwordü kullanarak girişi sağlayabilirsiniz.

Bu bölümde, genel olarak MFA tarafının ne işe yaradığı, hangi konularda, nasıl kullanıldığını ve hangi metod lar ile kullanabileceğimize değinmeye çalıştım.

Peki biz bu MFA yı nasıl kullanacağız birazdan bundan bahsedelim.

Office 365 Portalı üzerinde MFA yı aktif ederek işimize başlamamız gerekir. Hemen şu bilgininde altını çizelim. Office 365 tenant ınızada ki tüm kullanıcılar MFA kullanmak zorunda değildir. Siz isterseniz yönetici seviyesindeki kişilere ya da yalnızca satış departmanındaki özel kişilere MFA kullandırabilirsiniz. Buda bence önemli bir not.

Office 365 Portalıma logon olduğumda, kullanıcıları gördüğüm ekranda yer alan “Set Multi-factor authenticayion requirements” kısmındaki “Set ıp” linkine tıklayarak MFA kurulumuma başlıyorum.

Portal direk olarak size, MFA yı aktif etmek istediğiniz kullanıcıları soracaktır. Aşağıdaki görselden de göreceğiniz gibi, birden fazla kullanıcı seçebilirsiniz. Zaten kullanıcıların MFA durumlarınıda bu ekrandan görebilirsiniz.

Not: Bulk update dediği; eşer elinizde kullanıcı bilgisi ve mfa durumunu içeren bir CSV dosyası varsa bunu direk olarak import edebilirsiniz. Size örnek bir csv dosyasıda sunan “bulk update” butonu, kullanıcı sayısı çok olan işletmelerde hayat kurtarabilir.

Bulk Update ekranı:

Biz devam edelim; kendi kullanıcımı seçerek Enable diyorum ve MFA ayarlarımı yapmaya başlıyorum.

Enable dediğinizde size MFA ile ilgili adımları önceden okuyabileceğiniz bazı link veriyor ayrıca kullanıcının web den logon olamayacağını, önceden aka.ms üzerinden register olması gerekeceği ile ilgili bilgiler veriliyor.

Enable diyerek bunu aktif hale getiriyorum.

Update oldu.

Artık kullanıcımı tıkladığımda sağ tarafta enforce ve Manage user linki görüyorum .

Enforce: bu enable işlemini aktif hale getirmenizi onaylayan bir liktir aslında. Tıkladığınızda MFA yı force eder ve sadece manage user settings ‘i görürsünüz.

Mage User Settings ile de iki şey yapabilirsiniz.

Birincisi; seçili olan kullanıcının tekrar iletişim metodu seçmesini sağlayabilirsiniz. Mesela ben MFA aktivasyonundan sonra Mobile Apps ı seçtim ama artık sms le otantike olmak istiyorum. İşte o zaman bunu seçmem gerekir.

İkincisi ise; daha once uretilen passwordleri sıfırlayabilirim.

Mfa aktivasyonundan sonrakiler kısa bilgilerdi aslında. Siz enforce ettikden sonra, kullanıcı logon olduğunda aşağıdaki gibi bir durumla karşılacaktır.

Portal.microsoftonline.com üzerinden kullanıcı adı ve şifremi girdim. Sonuç aşağıdaki gibi oldu.

Set it up now diyorum ve aşağıdaki ekran ile karşılaşıyorum. Bu ilk bağlantıda çıkan bir ekrandır. Benim MFA yı hangi metodla kullanmak istediğimi soruyor. Ben de telefon numaramı ya da ne istiyorsam o metodu seçip konfigürasyonumu tamamlıyorum. Aranmak isteyebilirim ya da SMS atılmasını isteyebilirim. Bunları zaten yazımızın basında incelemiştik.

Bu metotları da farklı yazılar ile açıklamaya çalışacağım.

İyi çalışmalar

Microsoft System Center Service Manager ürününü kendi client (Windows 7, Windows 8, Windows 8.1) bilgisayara kurarak yönetmek isteyebilirsiniz. Kurulum için bazı gereksinimleri bilgisayarınıza yüklemeniz gerekmekte.

·         .Net Framework 3.5

·         Microsoft SQL Server Analysis Management Objects

·         (x86 için http://go.microsoft.com/fwlink/?LinkID=239665&clcid=0x409 )

·         (x64 için http://go.microsoft.com/fwlink/?LinkID=239664&clcid=0x409 )

·         Minumum 2 GB Ram

·         Microsoft Report Viewer Redistributable

Bundan sonra Microsoft System Center Service Manager a ait olan DVD yi bilgisayarınıza yerleştirerek aşağıdaki adımları takip ediyoruz.

Service Manager Console butonuna basıyoruz

Lisans sözleşmesini kabul ederek ileri butonuna basıyoruz

Disk üzerindeki boş alan kontrolü yapılıyor ve ileri butonu ile devam ediyoruz

Yukarıdaki gereksinimleri yüklediğimizde sistem denetim sonucu resimdeki gibi bol yeşilli olarak görünecektir. Eğer yüklememişseniz aşağıdaki resimdeki gibi görüntülenecektir.

Müşteri deneyimine katılarak ürünün geliştirilmesine yardımcı olabilirsiniz. Evet radyo butonunu işaretleyerek ilerleyelim.

Yükleme özeti karşımıza gelecektir. Eğer ayarlarımızda herhangi bir problem yok ise yükle butonu ile yükleme işlemini başlatabiliriz.

Kurulum başarıyla tamamlandı. Kapat butonuna bastığımızda konsola bağlantı için bir pencere açılacaktır.

Bu pencerede System center service manager e ait olan sunucu adını yazarak bağlantıyı gerçekleştirebilirsiniz. Eğer bu adımda sorun yaşıyorsanız muhtemelen DNS veya Firewall ayarlarınız ile alakalı olma olasılığı yüksek bir ihtimaldir.

Bir başka makalemde görüşmek ümidiyle

Merhabalar, Linux’ un her geçen gün daha kullanışlı daha kullanıcı dostu ara yüzleri ile ilgi çekmesi devam ediyor. Bu yazımda Linux’ un Centos dağıtımı için geliştirilen Centos Web Panel (CWP)’ in kurulumunu yapacağız. Kuruluma geçmeden önce CWP hakkında biraz bilgi vereyim.

CentOs web panel, kolay ve hızlı kullanımıyla dikkat çekiyor. Bütün kontrol işlemlerini ssh bağlantısına gerek kalmadan panel üzerinden yapmanıza olanak sağlıyor. Dedicated, VPS, VDS serverleriniz için ücretsiz olarak kullanabileceğiniz bu panel sizi birçok zahmetli işten kurtaracak nitelikte.

CentOS web panel, kurulumu ile birçok ücretsiz servisi de beraberinde getirerek, kullanıma sunmakta. Dilerseniz panelle birlikte gelen servislerimizi sıralayalım.

Web Server
- Varnish Cache server desteği
- Apache’ yi kendine göre derler ve %15 performans sağlar.
- Apache Server durumu ve yapılandırma desteği
- Apache vHostlari ve vhost şablonlarını düzenleyebilir, ek konfigürasyon yapabilirsiniz.
- Tek tuşla biri sanal hostlari rebuild edebilirsiniz.
- suPHP & suExec ile gelişmiş güvenlik sağlar.
- Mod Security + OWASP rules tek tık kurulum ve kolayca yönetilebilir.

PHP
- PHP derlemesi yapar ve %20 performans iyileştirmesi yapar.
- PHP Sürüm destekleri (Geçiş yapabileceğiniz sürümler : 5.2, 5.3, 5.4, 5.5)
- Basit PHP Editorü
- PHP eklentilerini tek tıkla kurabilirsiniz.
- PHP.ini Editör desteği & PHP Bilgisi (phpinfo) & PHP modüllerini listeleme

Kullanıcı Yönetimi
- Ekleme, Listeleme, Düzenleme ve Kullanıcı Silme özelliği
- Kullanıcı İzleme (Açık kullanıcı dosyaları ve socket dinlemeleri.)
- Shell Erişim Yönetimi

DNS
- FreeDNS desteği
- Dns bölgeleri ekleyebilir, silebilir, düzenleyebilir ve listeleyebilirsiniz.
- Nameserver iplerini güncelleyebilirsiniz.
- DNS Şablon Yönetimi

Email
-Postfix ve dovecot desteği
- E-Posta Kutuları ve Takma Adlar oluşturabilirsiniz.
- Roundcube webmail desteği
- Postfix Mail Kuyruğu izleme

System
- Donanım Bilgileri (Cpu çekirdek ve saat bilgileri)
- Bellek Kullanım Bilgileri
- Disk Durumu ve Bilgileri
- İşletim Sistemi Bilgileri (Kernel Versiyonu, Uptime Süresi vs..)
- Servis Durumları (Servisleri kolayca restart edebilirsiniz. Apache, Mail, Ftp vs…)
- ChkConfig Yönetimi (Tek tuşla aktif servisleri durdurabilir başlangıçta çalışmasını engelleyebilirsiniz.)
- Ağ port kullanımı
- Ağ ayarları
- SSHD Ayarları

Monitoring
- Canlı Servis İzleme Desteği (Monitor services eg. top, apache stats, mysql…)
- Java SSH Konsolu ile ssh clientlara gerek duymadan ssh bağlantısı kurabilirsiniz.
- Servis Ayarları (eg. Apache, PHP, MySQL…)
- Arkaplan’ da shell komutları koşturabilirsiniz.

Security
- CSF Firewall desteği.
- SSL Sertifikaları Oluşturabilirsiniz.

SQL
- MySQL Veritabanı Yöneticisi
- Yerel MySQL kullanıcıları ve uzak mysql kullanıcı oluşturabilirsiniz.
- MySQL işlemlerini Live Monitoring ile izleyebilirsiniz.
- Veritabanları oluşturabilir, silebilirsiniz.
- Veritabanına birden fazla kullanıcı ekleyebilirsiniz.
- MySQL Sunucu Ayarları
- PhpMyAdmin (Web tabanlı phpmyadmin ile Veritabanlarınızı yönetebilirsiniz.)

Additional options
- TeamSpeak 3 Yönetimi (Voice servers) (tek tuşla kurabilirsiniz.)
- Shoutcast Yönetimi (Shoutcast Radyo Yöneticisi, birden fazla shoutcast server üretebilir ve kolayca yönetebilirsiniz.)
- Otomatik Güncelleme
- Yedekleme Yöneticisi
- Dosya Yöneticisi

ve bir çok özellik bulunmaktadır.

Kısacası CSF Firewall desteği olan, SMTP olarak Postfix, POP3 olarak dovecot, DNS server olarak Bind, FTP olarak VSFTP kullanan ve ek olarak Shoutcast, Teamspeak gibi modüllerini içinde barınan küçük ama güzel bir kontrol paneli.

Panel’ in yönetici seviyesi Maalesef sadece root seviyesidir. Yani Alan adlarınız için alt hesaplar oluşturmayı, domain seviyesinde Panel sunmayı unutun. Biraz daha bu yazılım firmalarına ve kendi web sitelerim barınacak zaten diyen arkadaşlar için kolay ve yönetilebilir bir arayüz bazı arkadaşların tercihi olabilir.

KURULUM

Kuruluma geçmeden belirtmek isterim ki eğer kaynağı sınırlı bir sunucunuz varsa işletim sistemini 32 bit seçin, kaynak sıkıntınız yoksa 64 bit çok daha iyi performans verecektir. CentOs bu paneli 6.x sürümü ile kullanmanızı önermekte.

İlk olarak sunucumuza putty ile ssh bağlantısı sağlıyor ve root olarak oturum açıyoruz.

Öncelikle “/usr/local/src” klasörüne geçiyoruz. Bunun için aşağıdaki komutu kullanıyoruz.

cd /usr/local/src

Daha sonra bulunduğumuz dizine “wget” komutu yardımı ile “http://dl1.centos-webpanel.com/files/cwp-latest.sh” adresindeki dosyayı çekiyoruz. Bu işlem için aşağıdaki komutu kullanıyoruz.

wget http://dl1.centos-webpanel.com/files/cwp-latest.sh 

Ve kurulum için gerekli olan dosyamızı indirdiğimize göre artık başlayabiliriz. Kurulumu başlatmak için indirdiğimiz “cwp-latest.sh” dosyamızı çalıştırıyoruz. Çalıştırmak için aşağıdaki komutu kullanıyoruz. Komutumuzu çalıştırdığımız zaman bizden MySQL root şifresini isteyecek. Root şifresini yazarak devam ediyoruz.

sh cwp-latest.sh 

Kurulum tamamlandığı zaman aşağıdaki gibi bir bilgilendirme ekranı gelecek. Son olarak sunucunun yeniden başlatılması için Enter’ a basıyoruz. Kurulum adımlarımızın hepsi bu kadar. Sunucu yeniden başladığı zaman web panelimiz erişilebilir durumda olacaktır.

Kurulumun ardından dikkat edilmesi gereken 1-2 alan var. Hemen onlarıda paylaşmak istiyorum. Öncelikle sunucumuz için Name Server kayıtlarını girmemiz gerekmektedir. Bunun için CWPanel menüsünden “DNS Functions” menüsü açıp altından “Edit Nameservers IPs” menüsünü seçiyoruz. Açılacak olan sayfada gerekli alanları kendimize göre dolduruyoruz.

Daha sonra yapmamız gereken son bir ayar kalıyor. Bu ayar ise paylaşılan bir IP adresi tanımlamak. Bunun için de CWPanel menüsünden “CWP Settings” menüsünü açıp altından “Edit Settings” menüsünü seçiyoruz. Açılan sayfaya kullanacağınız paylaşılmış IP adresinizi yazıyorsunuz. Hepsi bu kadar.

Artık “User Accounts” menüsü altından yeni sitelerinizi yaratabilirsiniz.

Ayrıca Centos Web Panel sitesinde yayınlanan “Securing DNS Server BIND (open DNS resolver)” konusuna göz atmakta fayda var.

Birleşik iletişim çözümümüz olan ve Fortune 500 de bulunan şirketlerin % 70 inin kullandığı Microsoft Lync 3 farklı yaygınlaştırma senaryosuyla karşımıza çıkmaktadır. On-Premises , Hybrid ve Cloud. Peki şirketiniz için en uygun Lync yaygınlaştırma çözümü hangisidir?  Gelin bu sorunun cevabını şirketinize uygun yapıya göre birlikte bulalım.

Lync On-Premises, Onsite yani tamamen sizlerin sistem odanızda sanal veya fiziksel sunucularınız üzerinde yapılandırılmış bir Lync yaygınlaştırma çözümüdür.  Eğer Lync ile birlikte kurumsal ses kullanmak, var olan PBX santralinizi birlikte çalıştırmak veya santralinizi tamamen devreden çıkarıp çok daha uygun maliyetlere Lync’i santral olarak kullanmayı hedefliyorsanız şirketiniz için en uygun çözüm Lync On-Premises yaygınlaştırma metodudur.

Lync Hybrid, On-Premises ve Cloud çözümünün birarada kullanıldığı Lync yaygınlaştırma metodudur. On-Premises sistemlerinizi bulut yapısına taşımak istiyorsanız öncelikli olarak Hybrid yapısına geçmek durumundayız ve bu geçişler OCS 2007 R2 sürümünden itibaren desteklenmektedir. Aynı zamanda bu yapı buluta geçiş aşamalarında en çok tercih edilen ve önerdiğimiz yöntemdir.

Eğer OCS 2007 R2 yapısına sahipseniz Lync Server 2013 Front End ve Lync Edge Server 2013 ile birlikte hybrid yapısına geçebilir, bazı kullanıcılarınızı Lync Online yapısına taşıyıp bazı kullanıcılarınızı ise on-premises yapıda bırakarak birlikte çalışmalarını sağlayabilirsiniz.

Son güncelleştirmeleri yüklenmiş Lync 2010 ve Lync 2010 Edge yapısına sahipseniz Lync Server 2013 Admin Tools ile birlikte istediğiniz kullanıcılarınızı Lync Online yapısına taşıyabilirsiniz.

Eğer Lync 2013 yapısında çalışıyorsanız Lync Edge Server 2013 hybrid konfigurasyon için yeterli olacaktır.

Lync hybrid yapısında Active Directory Federation Services (ADFS) ve Azure Active Directory Sync (DirSync) ihtiyacınız olacaktır. Bu şekilde Lync Online ve Lync On-Premises kullanıcılarımız arasında senkronizasyonu oluşturmuş olacağız.

Lync Hybrid aşamaları ilk olarak şirketiniz için Office 365 hesabı almakla başlamaktadır. Active Directory Sync ve ADFS kurulumundan sonra Office 365 üzerinde federasyonu aktif hale getirilip, Lync Hybrid yapılandırma Lync Edge Server üzerinde tanımlanmalıdır. Sonrasında istenilen kullanıcılar Lync Online yapısına güvenli bir şekilde taşınabilir.

Cloud, Lync Online yapısında bütün yapımız bulut üzerindedir. Bu şekilde sabit yatırım maliyetimiz olmayacak, daha esnek ve verimli kullanıma sahip olacak aynı zamanda zaman ve yer bağımsız şekilde çalışabiliyor olacaksınız.

Bu linke tıklayıp hemen bir deneme hesabı açabilir ve anında kullanmaya başlayabilirsiniz.

Lync yaygınlaştırma seçeneklerinin karşılaştırma tablosunu aşağıda görebilirsiniz.

Lync Online deneyimini en iyi şekilde tecrübelenmek için SharePoint Online ve Exchange Online içeren bir Office 365 planı kullanmanız tavsiye edilir. Kurumsal ses kullanmayı hedefliyorsanız Lync Server 2013 Plus CAL'da sunulan arama özellikleriyle geleneksel PBX telefon sistemlerini geliştiren ve değiştiren Office 365 E4 paketi almanız önerilir.

Hepimizin aile bireyleri ailenin her ferdi bizler için önemlidir. Özellikle çocuklarımız bizim için daha önem taşımaktadır. Onların kişisel gelişimleri adına bir çok etkinliklere katılıp onların daha iyi bir şekilde gelişmesi için bıkmadan usanmadan bir çok önlem almışızdır. Günümüzde ise bilgisayarlar akıllı telefonlar hayatımızın vazgeçilmez öğeleri olmuşlardır. Çocuklarımız için buradan gelebilecek her türlü tehlike ve zararlı paylaşımları engellemelerde bulunmamız gerekmektedir.  Bilgisayarlar faydalı olduğu kadarda çocuklarımızın ruh sağlıklarını ve kişisel gelişimlerini olumsuz yönde etkileyebilmektedir. Yine microsft firması bu toplumsal gerçeği bir görev olarak benimsemiş ve çocuklarımızı bilgisayarın kötü yönlerinden etkilenmemesi adına kendi üzerine düşeni yaparak Windows işletim sistemleri üzerinde aile güvenliğine önem vermiştir.

Bugün işleyeceğim konu ise   Windows 8.1 üzerinde Family Safety (Aile Güvenliği) ve önemidir. Peki bu özellikle neler yapabiliriz ;

-          Web Filtresi : İzin verilen içeriklere ulaşmasını sağlamaktadır.

-          Süre Sınırlamaları : Çocuğunuz sizin belirlediğiniz süreler zarfında bilgisayarını kullanabilirler

-          Uygulama Kısıtlamaları : Sizlerin belirlemiş olduğu uygulamaları kullanabilir.

-          Windows Mağaza ve oyun kısıtlamaları : Windows mağazası içerisinde bulunan ve sizin vermiş olduğu izinler doğrultusunda oyunları edinebilir.

-          Etkinlik Bildirimleri : Çocuğunuzun bilgisayar üzerinde yapmış olduğu tüm aktiviteleri raporlar halinde görebilirsiniz.

Öncelikle Windows 8.1 üzerinde aile güvenliğini aktif edebilmeniz için kullanmış olduğunuz Windows 8.1 yüklü bilgisayarınızda Microsoft Hesabı ile turum açmanız gerekmektedir.

Windows 8.1 aile güvenliği tüm Windows 8.1 versiyonları için geçerlidir.  Bunlar;

-          Windows RT 8.1

-          Windows 8.1

-          Windows 8.1 Pro

-          Windows 8.1 Enterprise

Family Safety (Aile Güvenliği) özelliği hangi cihazla üzerinde kullanabilirsiniz;

-          Windows Phone

-          Xbox

-          Windows 8.1 yüklü bilgisayarlar

Ayrıca Windows 8.1 aile güvenliğini kullanabilmek için Çocuk Hesabı oluşturmanız gerekmektedir. İsterseniz uygulamamıza bir çocuk hesabı oluşturarak başlayabiliriz.

Microsoft hesabı ile oturum açtığımızdan emin olduktan sonra aşağıda ki adımları sırasıyla uygulamaya başlayabiliriz.

Windows 8.1 Family Safety (Aile Güvenliği)-01

Faremizi sağ üst köşeye doğru sürükleyelim. Açılan menüden Settings (ayarları) tıklayalım.

Windows 8.1 Family Safety (Aile Güvenliği)-02

Yine açılan menüden Change PC settings (Bilgisayar ayarlarını değiştir) tıklayalım.

Windows 8.1 Family Safety (Aile Güvenliği)-03

Karşımıza açılan Settings (ayarlar) penceresinden Accounts (hesaplar) üzerine gelelim.

Windows 8.1 Family Safety (Aile Güvenliği)-04

Accounts (hesaplar) penceresine geçtiğimizde Other accounts (diğer hesaplar) üzerine geliyoruz. Manage other accounts (Diğer hesapları yönetin) hemen altında bulunan Add an account (Hesap ekle) tıklıyoruz.

Windows 8.1 Family Safety (Aile Güvenliği)-05

Karşımıza How will this person sing in ? (Bu kişi nasıl oturum açacak) penceresi açılacaktır. Bizim amacımız bir çocuk hesabı oluşturulması olduğundan ötürü Add a child’s account (Çocuk hesabı ekle) üzerine tıklıyoruz.

Windows 8.1 Family Safety (Aile Güvenliği)-06

Çocuk hesabı ekleye tıkladıktan sonra Add a child’s account without email (Eposta hesabı olmayan bir çocuk ekle) tıklıyoruz. Eğer çocuğunuza ait bir mail hesabı varsa çocuğunuzun mail adresini yukarıda ki bölüme girerek devam edebilirsiniz. Bizim yaramaz çocuğumuzun :D bir mail hesabı olmadığı için Add a child’s account without email (Eposta hesabı olmayan bir çocuk ekle) seçeneğini seçerek devam ediyoruz.

Windows 8.1 Family Safety (Aile Güvenliği)-07

Who’s this account for ? (Bu hesap kimin) çocuğumuza ait kullanıcı adı ve parola formunu doldurarak next diyerek ilerleyelim. Bu arada Password hint (Parola ipucu) bir ipucu belirtmeyi unutmayın. Gerekli bir alan olduğundan dolayı doldurmanız gerekmektedir.  Aksi taktirde ilerleyemezsiniz.

Windows 8.1 Family Safety (Aile Güvenliği)-08

The new account has been added (Yeni hesap eklendi) penceresi geldikten sonra Finish tıklayalım.

Windows 8.1 Family Safety (Aile Güvenliği)-09

Yukarıda ki ekranda görüldüğü gibi Davut isimli çocuk hesabımızı başarılı bir şekilde oluşturduk. Şimdi Davut hesabımız üzerine tıklayalım. Yapmamız gereken ufak ayarlar kaldı. Bu arada set up account for assigned accsess (Aile Korumasını çevrim içi yönetin) tıkladığımızda web tarayıcınız açılarak Aile Koruması sayfası açılacaktır. Bu sayfaya Microsoft Hesabınız ile giriş yapmanız gerekmektedir.

Windows 8.1 Family Safety (Aile Güvenliği)-10

Kullanıcımızın üzerine tıkladıktan sonra Set up an account for assigned access (Atanan hesap erişimi için bağlantı kurmak)  penceresi açılacaktır. Burada Choose an account (Bir hesap seçin) tıklayalım.

Windows 8.1 Family Safety (Aile Güvenliği)-11

Karşımıza ufak bir pencere açılacaktır. Choose an account (Bir hesap seçin) buradan yeni açmış olduğumuz Davut çocuk hesabımızı seçiyoruz. Artık bilgisayarımız üzerinde yapmamız gereken işlemler bu kadar. Hatırlatmak adına söylüyorum bu işlemleri gerçekleştirdikten sonra şekil-09 dan hatırlayacağınız üzere set up account for assigned accsess (Aile Korumasını çevrim içi yönetin) linkine tıkladığınızda çocuk hesabınızı yönetmeye başlayabilirsiniz.

Windows 8.1 Family Safety (Aile Güvenliği)-12

Posta kutumuza Microsoft tarafından Aile güvenliği hakkında bir posta alacaksınız. Okumanızın faydalı olabileceğini düşünüyorum.

Windows 8.1 Family Safety (Aile Güvenliği)-13

set up account for assigned accsess (Aile Korumasını çevrim içi yönetin) linkine tıkladığınızda çocuk hesabınızı yönetmeye başlayabilirsiniz. Eğer işyerinizden veya başka bir şehirden Aile Koruması çevrim içi ulaşmak ve yönetmek istiyorsanız. Aile Koruması linki tıklayınız. Ardından Microsoft hesabınızla giriş yapınız.

Windows 8.1 Family Safety (Aile Güvenliği)-14

Microsoft hesabınızla giriş yaptıktan sonra web tarayıcımızda karşımıza yukarıda ki sayfa çıkacaktır. Kırmızı kare içerisine alınan bizim çocuk hesabı oluşturduğumuz ve yapacağımız tüm kısıtlamaların aktif olduğu bilgisayardır. Eğer birden fazla bilgisayarınız varsa ve çocuğunuzun çevrim içi olarak yapmış olduğunuz tüm kısıtlamalardan etkilenebilmesi adına her bilgisayarda bir çocuk hesabı oluşturmanız gerekmektedir. Şimdi Kırmızı ok ile gösterilen Davut (çocuk hesabımız) üzerine tıklayalım.

Windows 8.1 Family Safety (Aile Güvenliği)-15

Artık işin en zevki bölümüne başlamış durumdayız. :D Genel Bakış üzerine geldiğimizde çevrim içi olarak TEST1 isimli makinemizde oturum açan aile bireyimiz için yapabileceğimiz tüm kısıtlamaların listesini görebiliriz.

Windows 8.1 Family Safety (Aile Güvenliği)-16

Öncelikle oluşturmuş olduğumuz Davut isimli çocuk hesabına giriş yapalım. Veya çocuğumuzun giriş yaptığını düşünelim.

Windows 8.1 Family Safety (Aile Güvenliği)-17

Web filtresi üzerine gelerek tılayalım ve filtrenin açılmasını sağlayalım. Bu arada yine test etmek için Web’den dosya indirme işlemlerini engelle işaretleyelim.  Bu seçenekler tamamıyla size kalmış bir durum.

Windows 8.1 Family Safety (Aile Güvenliği)-18

Şimdi ise İzin verilenler üzerine gelelim kırmızı ok ile gösterilen bölüm. Yeşil kare içerisine alınan bölümden istediğiniz bir siteyi yazarak izin veya engelleme işlemini gerçekleştirebilirsiniz. Yine kırmızı kare içerisinde gösterilen web siteleri engellenmiş durumdadır.

Windows 8.1 Family Safety (Aile Güvenliği)-19

Şimdi tekrar çocuk hesabımıza dönerek web tarayıcımızı açarak kullanıcımızın facebook adresine girmesini sağlayalım.  Sonuç yukarıda olduğu gibi facebook web sitesi bloklanmış durumdadır. Yani kullanıcımız oturum açtığı bu bilgisayarda kesinlikle yasaklanan web sitelerine giriş yapamayacaktır.

Windows 8.1 Family Safety (Aile Güvenliği)-20

Şimdi ise Aile koruması sayfamıza tekrar dönüş yapalım. Web etkinliği bölümüne baktığımızda çocuğumuzun hangi web sitelerine girdiğini ve hangi web sitelerinde takıldığını görebiliriz. İstersek bu sayfa üzerinden yine uygun görmediğimiz web sitelerini engelleyebilir veya engellenen bir web sitesini kaldırabiliriz.

Windows 8.1 Family Safety (Aile Güvenliği)-21

Şekil-17’den hatırlayacağınız üzere kullanıcının web’den her hangi bir dosya indirmesini engellemiştik. Şimdi tekrar çocuk hesabımıza dönelim ve her hangi bir şey indirmeye çalışalım. Bingo yukarıda ki ekranda görüldüğü gibi kullanıcımız yine bir uyarı aldı.

Windows 8.1 Family Safety (Aile Güvenliği)-22

Tekrar aile koruması sayfamıza dönerek Zaman Sınırlamaları üzerine gelerek bu ayarı da yukarıda ki butondan aktif hale getirelim. Kırmızı çizgiyle çizili bölümden Pazar günü bilgisayarda oturum açma süresini sadece 15 Dk olarak belirleyelim.

Windows 8.1 Family Safety (Aile Güvenliği)-23

Tekrar kullanıcımızı test ettiğinde 15 dakikalık sürenin dolduğunu görebiliriz. Burada Microsoft biraz vicdanlı olarak J  kullanıcıya işlemlerini bitirmesi adına 2 dakikalık bir zaman zarfı tanımış.

Windows 8.1 Family Safety (Aile Güvenliği)-24

Eğer kullanıcı giriş yapmaya çalışırsa aile bireyinin hesabını açmasını isteyecektir.

Windows 8.1 Family Safety (Aile Güvenliği)-25

Yine Aile koruması sayfasına dönerek Yasaklı saatleri kendimiz seçebiliriz. Beyaz alanlar kullanıcının izinli olduğu alanlardır. Bu saatlerin dışında kullanıcı oturum açamayacaktır.

Windows 8.1 Family Safety (Aile Güvenliği)-26

Oyun kısıtlamaları bölümüne geldiğimizde kısıtlamayı aktif hale getirerek kullanıcının yaşına uygun uygulamaları derecelendirerek ona uygun oyunları Windows mağazadan indirmesini sağlayabiliriz. Bu arada çocuk oturumu ile oturum açan kullanıcının Windows mağazası üzerinden oyun veya her hangi bir uygulama yükleyebilmesi için çocuk hesabının bir Microsoft hesabına bağlanması gerekmektedir. Kendi hesabınıza bağlamamaya özen gösteriniz.

Windows 8.1 Family Safety (Aile Güvenliği)-27

Web etkinliğine baktığımızda çocuk hesabında oturum açan kullanıcının hangi sitelere girdiği ve hangi sitelerden yasak yediğini istatiksel olarak görebiliriz. Yine bu ekran üzerinde uygun görülen sitelere izin verilebilir veya engellenebilir.

Windows 8.1 Family Safety (Aile Güvenliği)-28

Bu arada değinmeden edemeyeceğim. Eğer kullanıcı bir siteye girmiş ve engellenmişse sizden bu siteye girebilmek adına izin isteye bilir. Bu istek direk sizin posta kutunuza düşecektir. Yukarıda görüldüğü gibi.

Windows 8.1 Family Safety (Aile Güvenliği)-29

Yukarıda bahsettiğim gibi eğer kullanıcı size bir web sayfasına girebilmek içim izin talebinde bulunduysa bu izin Alile Koruması sayfanızsa istekler bölümüne düşecektir. Bu isteği uygunluğuna izin verebilir veya yoksay tıklayarak iptal edebilirsiniz.

Umarım sizler için faydalı bir yazı olmuştur. Başka yazılarda tekrar görüşmek umuduyla…

MFA konusundaki yazılarımıza Office 365 Multi Factor Authentication (MFA) ile başlamıştık. Ardından Mobile App ile devam ettik. Şimdide bu MFA doğrulama seçeneklerinden “Mobile Phone” olan metod u denemeye çalışacağız.

İlk yazıda da bahsettiğimiz gibi Mobile Phone tarafında iki ayrı yöntem kullanılabilir. Bunlar “Arama” ve “SMS”dir.

Öncelikle SMS tarafını birlikte test edelim. Sonrasında “Arama” yöntemi hakkında da deneme yapıyor olacağız.

Hatırlatma: SMS otantikasyonu, MFA nın OTP si ile aynı mantıktadır. Yani bizim Mobile App de ki örneğimiz gibi. Tek farkı password ‘ü MFA App yaratmıyor. Yaratılan password size SMS olarak geliyor. Genel SMS de ki passwordü kullanarak girişi sağlayabilirsiniz.

Kullanıcılarınızda MFA yı aktif etme yönteminden bahsetmiştik. Kullanıcı ilk web üzerinden ilk bağlantısında Set it Up butonunu kullanarak aşağıdaki adıma erişim sağlayacaktır.

Birinci adımda Mobile Phone ‘u seçiyoruz ve bizden cep numaramızı istiyor. Öncelikle telefon numaramızı doğrulayacaktır.

Telefon numaramızı girdiğimiz yerin hemen altında “SMS” ve “Arama” Metodlarını da görebilirsiniz.

Ben “send me a code” diyerek SMS metodunu seçiyorum ve Next diyorum.

Ardından bir önceki adımda söylediğimiz gibi bizden doğrulama yapmamızı istiyor. Verify now butonunu kullanarak telefonumuza bir sms gelmesini sağlıyoruz.

Verify butonunu gördüğüm ekran;

SMS i gönderiyor;

Gelen SMS de ki kodu gireceğim textbox ı açtı.

Telefonuma gelen SMS

Ve doğrulamanın yapıldığını gördüm. Artık Next diyerek 3. Adıma geçebilirim.

3. adımda da, önceki yazılarda bahsettiğimiz, uygulamalarda ihtiyacımız olan şifrenin üretilmesini sağlayabiliriz. Outlook ve lync gibi şifre gerektiren Windows uygulamaları için bu şifreye ihtiyacım olacak.

Şifrem üretildi. Artık uygulamalar için bunu kullanabilirim.

Done diyerek işlemi tamamladım.

Şimdide web portalın durumuna bakalım.

Kullanıcı adı ve şifremi girdikten sonra aşağıdaki şekilde bir bekleme olacak bu surede bana SMS gönderiliyor.

Sms geldi ve bu alana girmem gerekiyor. Bu işlemi de yaptıktan sonra MFA üzerinden portala bağlantım sağlanmış olacaktır.

“Arama Metodu”

Yazının basında arama metodundan da bahsederiz demiştik.

İlk adımda “Call me” ile başlayan seçeneği seçseydim; yine aynı şekilde bir doğrulama gerçekleşecekti. Yani her şey aynı tek fark;

Size Microsoft dan bir çağrı gelecek ve çağrıya # tuşuna basarak cevap vereceksiniz. Bu cevabınız karşılığında sizin telefonunuzu doğrulayacak. Logon sırasında da aynı şekilde arama gelecek ve #tuşuna basarak oturum açma işlemini yapabileceksiniz.

Azure tarafında ücretli olarak MFA kullanıyorsanız bu çağrıdaki kaydı düzenleyebiliyorsunuz. Bunu da ilk makalede anlatmıştık.

Çağrı ekranı;

Genel olarak Mobile Phone Metodunuda inceledik ve denemelerimizi yaptık. Artık Office 365 tarafındaki MFA konusuna yeterince hakim olduğumuzu düşünüyorum. Azure tarafındaki MFA otantikasyonları ile ilgili yazılarda görüşmek üzere.

İyi çalışmalar

Günümüzde denetim ve güvenlik çok önemli hale gelmiştir. Yetkisiz girişler ve birden fazla bilgi işlem personelinin switch üzerinde ne gibi değişiklikler ve konfigurasyonlar yaptığı, oluşan bir problem halinde, kullanıcının değişiklik tarih ve saat’lerini loglayabilir ve yapılan hataları kolayca çözümleyebiliriz. Bu bize hem denetim, hem de problem çözümü için çok büyük kolaylık sağlayacaktır. Yapılan hatanın da kimin tarafından yapıldığını belgeleyebiliriz.

Bu işlemi yapabilmemiz için bir syslog yazılımı kurmamız gerekiyor, internette ücretli ve ücretsiz birçok yazılım bulabilirsiniz. Ben free olan 3CDaemon programını kullanacağım. Syslog yazılımının kurulumuna geçelim,

Kurulumu gayet basit, next, next diyerek kurulumu tamamlıyoruz.

Programı açınca Configure Sylog Server’i tıklayarak birkaç ayar değişikliği yapıyoruz. Logları kaydedeceği lokasyonu seçiyoruz ve Log messages to kısmından tüm logları Syslog.log dosyasınamı kaydetsin yoksa info, debug, warning gibi türlerine göre ayırmak istiyor isek Log by priority seçeneğini seçiyoruz.

Syslog programımız hazır durumda, switch’imizde gerekli konfigürasyonları yapalım,

Huawei Switch Konfigurasyon,

[BB]info-center enable

Info: Information center is enabled.

[BB]info-center loghost 192.168.2.252

İsterseniz log seviyelerini belirtebilirsiniz,

[BB]info-center source aaa channel loghost log level ?

  alert          Immediate action needed           (severity=1)

  critical        Critical conditions                 (severity=2)

  debugging     Debugging messages               (severity=7)

  emergencies    System is unusable                (severity=0)

  error          Error conditions                   (severity=3)

  informational   Informational messages             (severity=6)

  notification    Normal but significant conditions      (severity=5)

  warning       Warning conditions                 (severity=4)

Cisco Switch Konfiguration

Switch(config)#logging on

Switch(config)#logging 192.168.2.253

Switch(config)#%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.253 port 514 started - CLI initiated

Log seviyelerini belirtebilirsiniz,

Switch(config)#logging trap ?

  debugging  Debugging messages                (severity=7)

  <cr>

HP Switch Konfiguration

(Huawei’nin ürettiği switch’lerde Huawei komutlarını kullanmanız gerekiyor)

logging facility syslog
logging 192.168.1.143

(Switch model ve yazılım farklılıklarına göre komutlar değişiklik gösterebilir,)

Sonuça göz atabiliriz,

Giriş yapılan tarih saat ve kullanıcı ip numarası, kullanıcı ismi ve kullanıcının girdiği tüm komutları rahatlıkla görebilirsiniz. Loglarının siz log klasörünü silmediğiniz sürece disk kapasiteniz kadar loglanacaktır.

Bir başka makalede görüşmek üzere...

İki bölümden oluşacak yeni bir makale serisi ile sizlerle Windows Server 2012 R2 yeteneklerini paylaşmaya devam ediyoruz. Bu serimizde de sizlerle Microsoft’un yeni nesil işletim sistemi olan Windows Server 2012 R2 bakış açısı ile Active Directory Domain Servislerinde “Grup Seviyesinde Yönetilen Servis Hesapları (Group Managed Service Accounts (gMSA) ) konusunu detaylarıyla ve uygulamalı olarak ele alacağız. Bundan önceki makalelerimizde Stand-Alone Managed Service Account konusunu hem Windows Server 2008 R2 hem de Windows Server 2012 R2 için incelemiştik. Stand-Alone MSA hesapları kısıtlarından dolayı çok fazla öne çıkmamıştı. Windows Server 2012 ve Windows Server 2012 R2 ile gelen gMSA ile yönetilen servis hesaplarının yetenekleri daha da geliştirilmesiyle BT çalışanları için her geçen gün daha da önemli olduğunu gözlüyoruz. Zira hem servis hesaplarında otomatik parola ve SPN yönetimi, hem güvenlik risklerinin minimum seviyede olması ve operasyonel kolaylık avantajları ile kurum ve kuruluşlarda “servis hesaplarının dönüşümü” ya da “yeni servis hesabı modeline geçiş” gibi başlıklar altında gündemdeki yerini çoktan almış durumda. Makalemizde Windows Server 2012 R2 ile Group Managed Service Account (gMSA) yani Grup Seviyesinde Yönetilen Servis Hesaplarını  detaylarıyla, uygulamalı olarak inceliyoruz.

Grup Seviyesinde Yönetilen Servis Hesaplarını (gMSA) Tanıyalım:

Servis hesabı kullanan ya da gereksinim duyan SQL Server, IIS (Internet Information Server), SCCM (System Center Configuration Manager), SCOM (System Center Operations Manager) ve 3.parti diğer uygulamaların kurulumunu yapmış ya da kurulan uygulamayı halihazırda kullanıyor olabilirsiniz. Bu uygulamaların çalışmasını, işlevini yerine getirmesini ve kullanıcıların da bu uygulamalara bağlanıp işlemlerini yapmaları için uygulamalara ait alt yapıda gerekli servislerin sağlıklı bir şekilde çalışıyor olması gerekiyor. Uygulamalara ait bu servislerin çalışmasını sağlayan servis hesapları uygulamanın kurulumu esnasında ya da uygulama kurulumundan sonra tanımlanabilir. Örneğin bir SQL Server kurulumunu yaparken (SQL Server 2008 kurulumu ve kurulum aşamasındaki ayarları SQL SERVER 2008 – Kurulum  makalesinden inceleyebilirsiniz.) kurulum esnasında SQL Server uygulamasına ait bileşenler için servis hesabı tanımlamasını gerçekleştiririz. Servis hesabı sadece kurulan uygulamalarda değil, özellikle Windows içerisinde zamanlanmış görevleri (scheduled tasks) çalıştıracak spesifik bir hesap tanımlarken de sıklıkla kullandığımız yapılardır. Burada kullanacağımız servis hesabını bugüne kadar active directory domain yapısında ya da yerel bilgisayarımızda normal bir kullanıcı hesabı gibi oluşturup, güvenli bir parola tanımı yaparak gerçekleştiriyorduk. Bu hesabın şifresinin sınırsız süre ile yenilenmemesi için de hesap özelliklerinden “Password Never Expires” seçeneğini aktif hale getirerek çözüyorduk.

Uygulamaların kurulumu ya da kurulum sonrası servisler üzerinde tanımlanan bu hesapların zaman içerisinde şifrelerinin değiştirilmesi durumunda o andan itibaren bu kullanıcı hesabını kullanan uygulama servisleri çalışmayacaktır. Böyle bir durumda çözüm olarak kullanıcı heasabına eski şifreyi tanımlamanız gerekecek, ya da yeni şifreyi uygulamaya ait tüm servislerde yeni şifreyi tek tek tanımlamanız gerekecektir. Tabi burdaki en büyük handikap bu servis hesabının hangi sunucular üzerinde ve hangi uygulamalar için kullanıldığının elinizde dökümantasyonu yoksa başlıyor. Bu durumda ya tek tek sunuculara bağlanıp bu servis hesabının kullanıldığı yerleri tespit edip güncellemek ya da bu ayrı bir makalede inceleyeceğimiz PowerShell script çözümü ile sunucuları uzaktan tarayıp bir CSV dosyasına bu hesabı kullanan listeyi çıktı veren çözümü uygulamak olacaktır. Group Managed Service Account’lara geçiş ile bütün bu dertlerden kurtulmuş olacaksınız. Windows Server 2012 & R2 ile daha da geliştirilen ve sadece uygulamalara ait servisler üzerinde kullanmak için tasarlanmış Group Managed Service Account (gMSA) – Grup Seviyesinde Yönetilen Servis Hesapları sayesinde artık yukarda söz ettiğimiz zorluklar ortadan kalkmış olacak. gMSA Servis Hesapları ile active directory domain ortamlarındaki Service Principal Names (SPNs) yönetimi de daha da iyileştirilmiş oldu. Bu özellik sayesinde uygulamalar meydana gelebilecek kesilmeleri de azaltılarak toplam sahip olma maliyeti düşürülmüş olacak (Örneğin yukarıda da bahsettiğimiz gibi değiştirilen servis hesabı şifrelerinin yeniden tanımlanmasından doğan kesintiler.) .

Yönetilen servis hesabına active directory tarafından parola ataması domain controller sunucu ile uygulamaya ait servisin çalıştığı sunucu arasında bizim herhangi bir müdahalemize gerek kalmadan arka planda otomatik şifre yönetimi gerçekleştilen bir süreçtir. Ve bu atanan parola yine parola yenilenme  dönemlerinde active directory tarafından otomatik olarak yenilenerek hesabın kullanıldığı bilgisayarlardaki servislere de otomatik olarak güncellenir. Burada manager service account şifre yönetimi standart bilgisayar hesaplarına atanan şifre yönetimine benzer bir süreçte gerçekleşmektedir.

Yönetilen servis hesapları ile Windows Server 2008 R2 işletim sisteminde tanıştığımız makalemizin başlangıcında da bahsetmiştik. Windows Server 2008 R2 üzerinde tek tip yönetilen servis hesabı vardı :Stand-alone managed service accounts(MSA).

Stand-alone MSA hesaplarının belli kısıtları bulunuyordu. Bu konuda detaylar ve uygulama adımları için Windows Server 2008 R2 İle Active Directory Domain Servislerinde Gelen Yenilikler – Managed Service Accounts (Yönetilen Servis Hesapları) makalemizi inceleyebilirsiniz.

Windows Server 2012 ve Windows Server 2012 R2 ile yönetilen servis hesapları iki tipte geliyor:

·         Stand-alone Managed Service Accounts (MSA)

·         Group Managed Service Accounts (gMSA)

Stand-Alone Managed Service Accounts (MSA) konusunu daha önceki makalemizde detaylarıyla ele almıştık. gMSA hesapları stand-alone MSA hesaplarından farklı olarak aynı anda çoklu sunucularda kullanılabilme özelliğine sahiptirler. Bu özelliği sayesinde özellikle cluster servislerinin kullanıldığı sunucu farm yapılarında, örneğin IIS Network Load Balance yapıları, Exchange DAG üyeleri ve SQL Failover Cluster mimarilerinde kullanılma desteğini getirmiştir. Böylece cluster mimarilerinde de servis hesapları Windows işletim sistemi tarafından otomatik yönetilme desteği gelmiş oldu.

gMSA Servis Hesaplarının Karakteristik Özellikleri :

gMSA yönetilen servis hesaplarının genel özellikleri:

Standart kullanıcı hesapları gibi domainden uygulanan password politikaları ya da fine-grained password politikalarına bağlı olarak tanımlanmazlar.

gMSA hesaplar için kompleks, 240 byte yani 120 karakter uzunluğunda ve kriptolanmış yapıda atanırlar. Domain controller tarafından belirlenen bu şifreler gMSA hazırlık aşamasında oluşturulan root key, gMSA hesabının SID değeri ve o anki zaman bilgisine bağlı otomatik olarak oluşur.

Not: Root Key, gMSA oluşturulmaya başlamadan önce Windows Server 2012 R2 ya da Windows Server 2012 domain controller sunucular üzerinde üretilen bir kimlik bilgisidir. Bu anahtar bilgisi tüm KDC server rolüne sahip domain controller sunucular arasında replikasyona tabi tutulur.

gMSA şifre üretme işlemi Windows Server 2012 R2 ya da Windows Server 2012 KDC domain controller sunucular tarafından gerçekleştirilebilir.

gMSA hesabı için atanan şifrelere bilgisayar hesaplarında olduğu gibi sadece Windows kimlik doğrulama altyapısı ile erişmek mümkündür.

gMSA hesaplarına ait şifreler Windows Server 2012 ve Windows Server 2012 R2 Domain Controller sunucular üzerinde Key Distribution Center (KDC) servisi tarafından üretilir ve yönetilirler.

gMSA hesapları domain içerisindeki bilgisayar hesaplarına benzer bir modelde çalıştırılır.

Stand-alone MSA hesapları aynı anda tek bir sunucu üzerinde kullanılabilirken, Group Managed Service Accounts (gMSA) çoklu sunucular üzerinde kullanılabilme desteğini getirmiştir.

gMSA hesapları zamanlanmış görevlerde de kullanılabilir.

gMSA hesaplarda lock olma durumu söz konusu değildir.

gMSA hesaplarının yenilenme süresi varsayılan olarak 30 gündür.

gMSA hesaplar normal kullanıcı hesapları gibi interaktif logon olma yetenekleri yoktur. Dolayısıyla herhangi bir şekilde gMSA şifresini ele geçiren birinin sistemlere standart kullanıcı hesaplarındaki gibi logon olması söz konusu değildir.

gMSA hesaplarının hangi sunucular ya da sistemler üzerinde kullanılabileceğini sistem yöneticileri belirlerler.

gMSA hesapları yetki olarak standart kullanıcı hesapları gibi minimum seviyede yetkiye sahiptirler ve ilave grup üyeliği vb. yetkiler atanmadıkça yüksek seviyede yetkileri de yoktur.

Sistem yöneticileri de gMSA hesaplarının şifrelerini belirleyebilirler, fakat bunu tavsiye etmiyoruz, genel olarak bir anlam da ifade etmiyor.

gMSA hesaplarının şifreleri sistem yöneticileri tarafından istenildiği zaman varsayılan 30 günü beklemeden de resetlenebilir.

Tüm yönetilen servis hesapları varsayılan olarak domain içerisinde CN=Managed Service Accounts, DC=<domain>, DC=<com> kabı altında oluşmaktadır. İstenirse farklı organizational unit ya da kaplar içerisinde de tanımlanabilirler.

Active Directory Schema yapısı Windows Server 2012 ya da Windows Server 2012 R2 seviyesine yükseltildikten sonra schema içerisinde msDS-GroupManagedServiceAccount adında bir obje sınıfı (class) otomatik olarak oluşur.

Active Directory Schema konsolu içerisinden bu sınıf nesnelerine ait objeleri aşağıdaki şekilde görüntüleyebilirsiniz.

msDS-GroupMSAMembership niteliği gMSA hesabını kullanacak bilgisayar ya da bilgisayarları yönetmek için kullanılır. Bu nitelik (attribute) sayesinde gMSA hesabının kullanılabileceği bilgisayarlar bu nitelikte tanımlanmış hesaplarla sınırlandırılmıştır.

msDS-ManagedPassword niteliği gMSA hesabının önceki şifresi, mevcut şifresi ve şifre değiştirme aralığı gibi bilgileri tutar. gMSA kullanan sunucular domain controller bilgisayarını mevcut şifre bilgisi için sorgularlar.

msDS-ManagedPasswordInterval niteliği gMSA hesabı oluşturulmasında belirlenir ve sonrasında değiştirilemez, şifrenin kaç günde bir değiştirileceği bilgisini tutar.

msDS-ManagedPasswordID niteliği gMSA hesabı için Key Distribution Center (KDS) tarafından kullanılan anahtar tanımlayıcıdır ve şifre üretiminde görev alır.

msDS-ManagedPasswordPreviousID niteliği gMSA hesabına ait önceki şifre anahtar tanımlayıcısıdır.

Yönetilen Servis Hesabı Ortam Gereksinimleri:

Yönetilen Servis Hesaplarının oluşturulması ve kullanımı için belli gereksinimlerin sağlanması gerekir. Bunlar:

Group Managed Service Account kullanımı için active directory schema versiyonunun minimum Windows Server 2012 olması gerekir.

Group Managed Service Account kullanımı için domain ortamında minimum bir adet Windows Server 2012 ve üzeri versiyonda domain controller olmalıdır.

gMSA şifrelerinin üretilmesi için öncelikle root KDS anahtarı oluşturulmalı ve diğer domain controller sunucularına replikasyonun tamamlanması gerekir. Uygulama adımlarında bunu daha detaylı inceliyor olacağız.

gMSA hesabı kullanılacak sunucuların işletim sistemi Windows Server 2012 ve üzeri versiyonda sunucu işletim sistemi ya da Windows 8 ve üzeri client işletim sistemi olmalıdır. Ayrıca bu sistemler üzerinde Windows PowerShell Active Directory modülünün yüklenmesi gerekir.

gMSA hesabı yönetimi Windows 2012 ya da Windows 8 işletim sistemi ve üzerinde çalışan sistemler üzerinden PowerShell komut satırı araçları ile gerçekleştirilir. 3rd parti GUI araçlar kullanılarak da bu yönetim gerçekleştirilebilir.

Otomatik şifre ve Service Principal Name (SPN) yönetimi için domain fonksiyonel seviyesinin minimum Windows Server 2008 R2 seviyesinde olmalıdır. Windows Server 2008 R2 domain seviyesi altındaki senaryolarda şifre yönetimi otomatik gerçekleşir, fakat otomatik SPN yönetimi çalışmaz, SPN yönetimi sistem yöneticileri tarafından gerçekleştirilmelidir.

gMSA Yönetilen Servis Hesabı Oluşturma Aşamaları

Yönetilen Servis Hesaplarının uygulama aşamalarını şu şekilde tanımlayabiliriz:

Active Directory domain içerisinde KDS Root Key oluşturulması

Bu işlem her domain için sadece bir defa yapılır.

gMSA hesabı Oluşturulması ve Yapılandırılması

gMSA hesabının Kullanıcılak  Sunucular Üzerinde Yapılandırılması

SONUÇ

İki bölümden oluşacak makale serimizin ilk bölümünün sonuna geldik. Bu bölümde sizlerle Windows Server 2012 R2 ile Group Manager Service Accounts(gMSA) mimarisini, bu özelliğin bizlere neler sağladığı, bu özelliği kullanmaya başlamadan önce yapmamız gereken ön hazırlıkları ve altyapı gereksinimlerini paylaştık. Bir sonraki bölümde de Windows Server 2012 R2 ile gMSA yönetilen servis hesabı adım adım uygulama aşamalarını inceliyor olacağız. Bir sonraki bölümde görüşmek dileğiyle esenkalın.

İki bölümden oluşan makale serimizin ikinci bölümüne devam ediyoruz. İlk bölümde Windows Server 2012 R2 bakış açısı ile Active Directory Domain Servislerinde “Grup Seviyesinde Yönetilen Servis Hesapları (Group Managed Service Accounts (gMSA) ) konusunu mimarisi, uygulama alanları, altyapı gereksinimleri gibi detaylarını inceledik.Makale serimizin bu bölümünde de Windows Server 2012 R2 ile Group Managed Service Account (gMSA) oluşturma aşamalarını detaylarıyla, uygulamalı olarak inceliyoruz.

Group Managed Service Accounts – gMSA Oluşturma Adımları:

gMSA Yönetilen Servis Hesaplarının uygulama aşamalarını makalemizin birinci bölümünde şu şekilde tanımlamıştık:

         Active Directory domain içerisinde KDS Root Key oluşturulması

o   Bu işlem her domain için sadece bir defa yapılır.

         gMSA hesabı Oluşturulması ve Yapılandırılması

         gMSA hesabının Kullanıcılak  Sunucular Üzerinde Yapılandırılması

Şimdi bu adımları detaylı olarak sırayla uygulayalım.

1.      Active Directory Domain İçerisinde KDS Root Key Oluşturulması

Windows Server 2012 R2 işletim sisteminde çalışan domain controller sunucumuzda PowerShell komut satırı aracını çalıştırdıktan sonra Add-KDSRootKey –EffectiveImmediately komutunu aşağıdaki şekilde uyguluyoruz.

Komut çalıştırılmasından sonra oluşan root key’in domain içerisindeki diğer domain controller sunuculara replikasyon yapılması için 10 saate kadar beklemeniz gerekecektir. 10 saatlik süre özellikle çoklu site yapılarında çalışan active directory topolojilerinde replikasyonun tamamlanmasını garantileyen bir süre tanımıdır. Bu süreci hızlandırmak ve 10 saatlik beklemeyi ortadan kaldırmak için özellikle test ortamları için Add-KDSRootKey komutunu aşağıdaki şekilde bir ince ayarla kullanabiliriz.

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

2.      Active Directory İçerisinde Security Group Oluşturulması

Bu adım bir best-practice önerisidir. gMSA hesabınının kullanılacağı sistemleri ya da bilgisayarları bu gruba üye yaparak dinamik bir yönetim mekanizması oluşturulabilir. Bu adım zorunlu olmamakla beraber özellikle öneriyorum. Bu adım gerçekleştirilmezse servis hesabı oluşturma aşamasında servis hesabının kullanılacağı sistemlerin tanımlanması gerekecektir.

Not : Servis hesabının kullanıldığı sunucular üzerinde grup üyeliğinin etkinleşmesi için sunucuların yeniden başlatılması gerekecektir. Gruptan çıkarıldıklarında da yine etkinleştirme için sunucuların yeniden başlatılması gerekecektir.

Biz uygulamamızda servis hesapları için yukarıdaki şekilde görüldüğü gibi ServisHesaplari adında Global-Security grup oluşturup ilgili sunucuları da bu gruba üye yapıyoruz.

3.      gMSA Hesabın Oluşturulması

gMSA hesabınının oluşturulması için Windows Server 2012 R2 domain controller sunucu üzerinde PowerShell komut satırına geçiyoruz. Ve aşağıda görüldüğü gibi New-ADServiceAccount komutunu ilgili parametreleri ile çalıştırıyoruz.

Öncelikle active directory powershell modülünü yüklüyoruz:

Import-Module ActiveDirectory

Not: PowerShell 3.0 ve üzeri versiyonlarda Active Directory modülünü Import-Module ile yüklemeye gerek kalmadan doğrudan New-ADServiceAccount komutu kullanılabilir. Bu işlemle active directory modülü otomatik olarak memory’ye yüklenecektir.

Daha sonra New-ADServiceAccount komutu ve parametrelerini tanımlıyoruz:

New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>

Name :  gMSA servis hesap adı, bir başka ifade ile samAccountName tanımı.

DNSHostName : gMSA servis hesabının  tam DNS host tanımı.

PrincipalsAllowedToRetrieveManagedPassword :  gMSA servis hesabını kullanacak bilgisayar hesaplarının üye yapıldığı active directory grup tanımı.

ServicePrincipalNames :  gMSA servis hesabının SPN tanımı/tanımları.

Biz buradaki uygulamada Windows Task Schedular uygulamasında zamanlanmış görevlerde kullanmak amaçlı TaskRunMSA adında bir adet servis hesabı oluşturacağız:

         TaskRunMSA

New-ADServiceAccount -Name TaskRunMSA -DNSHostName MSTDC01.mesutaladag.local -PrincipalsAllowedToRetrieveManagedPassword "ServisHesaplari”

NOT : Bu aşamada “Key Does Not Exist” hatası alırsanız bunun nedeni birinci adımın atlanması yani Root Key oluşturulmamasındandır.

Bu adımdan sonrasında active directory içerisinde Managed Service Accounts kabı içerisinde ilgili servis hesaplarına ait nesneler oluşmuş olacaktır:

4.      gMSA Hesabının Sunucular Üzerinde Yapılandırılması:

Öncelikle MSTDC01 isimli sunucu üzerine active directory içerisinde oluşturmuş olduğum Gmsa servis hesabının yüklenmesi ve testini aşağıdaki adımlarla gerçekleştireceğiz.

Install-ADServiceAccount komutunu kullanabilmek için sunucular üzerinde Active Directory PowerShell modülünün yüklü olması gerekir. Benim domain controller sunucumda bu modül yüklü olduğu için herhangi bir işlem yapmıyorum. Fakat domain içerisindeki üye olan sunucular üzerinde böyle bir modül yüklü olmadığı durumlar için öncelikle aşağıdaki şekilde görüldüğü gibi Install-WindowsFeaturekomutu ile bunun yüklenmesini gerçekleştirmeniz gerekiyor. Bu yüklemeyi Server Manager konsolundan Add Roles and Features sihirbazı ile grafiksel arayüzden de gerçekleştirebilirsiniz:

Şimdi de Install-ADServiceAccount TestRunMSA komutu ile kullanacağımız servis hesabını ilgisi sunucu üzerine yüklüyoruz.

Not: Install-ADServiceAccount komutu ile yüklemede başarısız olursanız ilgili sunucunun yeniden başlatılarak gruba üye özelliğinin etkin hale gelmesi noktasını burada tekrar hatırlatmış olalım.

Yukarıdaki şekilde görüldüğü gibi artık servis hesabını da yüklemiş olduk. Yükleme işlemi sonrasında Test-ADServiceAccount komutu ile de servis hesabının yüklenmesini doğrulayabilirsiniz.

Bu komut sonrası çıktıda True sonucu ile servis hesabının başarıyla yüklendiğini doğrulamış olduk. Sıra geldi servis hesabını ilgili servis ya da görev üzerinde kullanmaya.

Bu işlem için de öncelikle Windows Services konsolunu açıyoruz. Örnek olarak Windows Internal Database servisinin Properties’ine giriyoruz ve Logon tabına geçiyoruz. Browse butonuna tıklayarak oluşturmuş olduğumuz TaskRunMSA servis hesabını gösteriyoruz.

Password ve Confirm Password kutularını boş bırakarak, Apply ile onaylıyoruz. Böylece servis hesabına ilgili servis üzerinde gerekli yetkiler tanımlanmış oluyor.

General tabına geçerek servisi Start ya da Restart ile yeni servis hesabı üzerinden çalışmasını tetikliyoruz. Bu aşamada bu bilgisayar Windows 2012 R2 ya da Windows 2012 domain controller ile iletişime geçerek servis hesabına ait şifreyi temin ediyor ve servis üzerinde bunu set ederek çalıştırıyor. Artık Windows Internal Database servisi oluşturmuş olduğumuz Gmsa servis hesabı ile çalışmaya başladı. Bundan böyle bu servis hesabının şifre yönetimini Windows işletim sistemi üzerinde ilgili bilgisayarın hesabı ile domain controller sunucu bilgisayarının hesabı karşılıklı haberleşerek gerçekleştirmiş olacaklar.

Windows Task Schedule İle Yönetilen Servis Hesaplarının Kullanımı:

Yukarıda bir Windows servisi üzerinde yönetilen servis hesabının yapılandırmasını adım adım nasıl yapıldığını inceledik. Şimdi de bir zamanlanmış görev üzerinde “Run As Account” olarak yönetilen servis hesabının kullanımını görelim.

Öncelikle yukarıdaki adımların benzerini gerçekleştirerek “RunAsAccount” isimli bir servis hesabı oluşturuyoruz:

Bu hesabı ilgili sunucu üzerine Install ediyoruz.

Şimdi de bu hesabın bir task üzerinde kullanımını görelim. Zamanlanmış görevlerde yönetilen servis hesaplarının yapılandırması grafiksel Task Scheduler uygulama arayüzünden desteklenmemektedir. PowerShell komut satırı aracı ile hazırlanan zamanlanmış görevlerde yönetilen servis hesabı yapılandırılabilir. Örneğin C: sürücüsü içerisinde düzenli çalışan “RunScript.cmd” isimli bir çalıştırılabilir komut dosyasını yönetilen servis hesabına ilişkilendirerek nasıl programladığımızı adım adım gerçekleştirelim:

Yukarıdaki $kullanici değişkenine atanan kullanıcı hesabı oluşturmuş olduğumuz RunAsAccount isimli yönetilen servis hesabıdır. Burada LogonType parametresinden sonraki Password ifadesi gerçek şifre değildir, servis hesabına ait şifrenin domain controller sunucusundan talep edileceğini belirtmektedir.

Şimdi bu parametreleri kullanarak bir zamanlanmış görev tanımlayalım. Bu işlem için de Register-ScheduledTask isimli powershell komutunu kullanıyoruz.

Bu işlem sonrasında Task Scheduler konsolu içerisine oluşturduğumuz zamanlanmış görevin geldiğini göreceksiniz:

Bundan böyle bu zamanlanmış görev yönetilen servis hesabı ile çalışacak ve bu hesabın şifre yönetimi de sunucuya ait bilgisayar hesabı ile domain controller arasındaki iletişimle otomatik olarak yönetilmiş olacaktır. Task scheduler konsolunda listelenen bu zamanlanmış görevle ilgili değişikliklerin yine PowerShell komut satırı ile gerçekleştirilmesi gerekir.

ÖNEMLİ : Zamanlanmış toplu işlem komutları ya da script dosyalarını yukarıdaki olduğu gibi yönetilen servis hesabı ile çalıştırılması senaryolarında, yönetilen servis hesabının ilgili sunucu ya da sunucular üzerinde “Logon as a batch” yetkisine sahip olması gerekir.

Logon as a batch yetkisini sunucunun Local Security Policy ayarlarından ya da active directory içerisinde sunucuya uygulanan Group Policy ayarları içerisinde Computer Configuration altında User Rights Assignment altından verebilirsiniz. Varsayılan olarak Administrators ve Backup Operators grupları bu yetkiye sahiptir. Yönetilen servis hesabını bu gruplara üye yaparak da yetki tanımını gerçekleştirebilirsiniz.

Üçüncü Parti GUI gMSA Yönetim Aracı

Şu ana kadar gMSA yönetimini hep PowerShell komut satırı uygulamaları ile gerçekleştirmiştik. Şimdi de free olarak yazılmış olan ve http://www.cjwdev.co.uk/Software/MSAGUI/Info.html adresinden indirebileceğiniz grafiksel yönetim aracını da kullanabilirsiniz:

Bu aracı indirdikten sonra Windows Server 2012 R2 sunucumuza yüklüyoruz.

Uygulama kurulduktan sonra çalıştırdığınızda aşağıdaki şekilde ekran karşımıza gelecektir.

Bu ekranda hali hazırda mesutaladag.local domaininde oluşturulan yönetilen servis hesaplarının listelendiğini göreceksiniz. Şimdi adım adım bu aracı kullanarak Group-Managed yönetilen servis hesabının yönetimini nasıl yaptığımız inceleyelim:

Öncelikle New butonuna tıklıyoruz.

Karşımıza gelen New Managed Service Account ekranında aşağıdaki şekilde bir ClustergMSA01 isimli servis hesabı tanımını giriyoruz. Hesabin oluşturulacağı kap olarak Managed Service Account varsayılan konumu yerine farklı bir organizational unit de gösterebilirsiniz. Hesap tipi olarak da Group MSA seçiyoruz.

Additional Options butonu genişletilerek hesap için son kullanma tarihi ve SPN tanımlarını da yine burdan girebilirsiniz.

OK ile onaylayarak servis hesabı oluşturma işlemini tamamlamış olacaksınız. Karşımıza gelen Associate With Computer ekranında oluşturulan servis hesabını active directory domain içerisinde bir bilgisayara atama yapıp yapmayacağımızı soracaktır.

Yes ile onaylıyoruz. Karşımıza gelen Edit Group MSA Hosts ekranında Add butonu kullanarak servis hesabının atanacağı bilgisayar hesabı gösterilir. Ben cluster yapıda çalışan SQL01 ve SQL02 hesaplarını sırayla ADD butonunu kullanarak ekliyorum.

OK ile tüm pencereler onaylanır. Ve başarıyla atamanın gerçekleştiği bilgisi gelecektir.

OK ile bu ekranı kapattıktan sonra listeye oluşturduğumuz gMSA hesabı gelmiş olacaktır.

Bu aşamadan sonra kalan tek adım ilgili sunucuya gidip bu servis hesabını ilgili uygulamaya tanımlamak olacaktır. SQL Cluster yapısının kurulu olduğu sunucularımdan ilkine bağlanıyorum. Windows Services konsolunu kullanarak aşağıdaki şekilde görüldüğü gibi oluşturduğumuz ClusterMSA01$ hesabını gösteriyorum.

Password ve Confirm Password kutucuklarını boşaltıyoruz. Şifre atamasını arka planda active directory domain controller sunucu ile iletişime geçerek sunucu kendisi yapacaktır. OK ile onayladıktan sonra yapmanız gereken servisi yeniden başlatmaktır. Servisi yeniden başlattığınız herhangi bir hata almadan sorunsuz başlattı ise cluster’ın ilk node’u üzerindeki işimiz bitti. İkinci node’a bağlanarak aynı işlemleri sırayla onun üzerinde de gerçekleştiriyoruz.

Eğer servisi yeniden başlattığınızda aşağıdaki gibi bir hata mesajı alırsanız bunun çözümü için sunucunun Local Security Policy konsolunda User Rights Management altından “Logon as a Service” yetkisini vermeniz gerekir.

Managed Service Accounts GUI aracı ile aşağıdaki araç çubuğu kısayolları kullanılarak farklı görevleri de yerine getirebilirsiniz:

Edit Hosts : Yönetilen servis hesabının ilişkili olduğu sunucu listesine eklemeye ya da listeden çıkarma yapılabilir.

View/Edit : Yönetilen servis hesabının özelliklerini görüntüleme ve düzenleme işlemleri.

Delete : Yönetilen servis hesabının active directory içerisinden tamamen silinmesi.

SONUÇ

Toplamda iki bölümden oluşacak makale serimizin ikinci bölümünün de sonuna geldik. Bu bölümde sizlerle Windows Server 2012 R2 ile Group Manager Service Accounts(gMSA) oluşturma, yapılandırma ve test adımlarını uygulamalı olarak paylaştık. Bir başka Windows Server 2012 R2 makalesinde görüşmek dileğiyle esenkalın.

Birçok işletmede kullanılan Erp ve muhasebe programlarının kendilerine özgü raporlama araçları vardır. Çoğu Erp programlarında kendi raporumuzu yapacak araçlar mevcuttur. Programa özgü olan bu araçların izin verdiği sınırlar içerisinde raporlar yapılır. Farklı programların farklı veri tabanları ile rapor yapmak istediğimizde ise bu araçların yetersiz kaldığını, sadece kendi veri tabanlarındaki veriler ile rapor yapmamıza müsade ettiğini görmekteyiz. Bu konuyla ilgili farklı firmaların çözümleri mevcuttur. Bu makalemizde Sql Server ile beraber gelen, ek bir maliyet gerektirmeyen Reporting Services konusunu işleyeceğiz.

Makalemin ilk bölümlerine aşağıdaki linklerden ulaşabilirsiniz.

http://www.cozumpark.com/blogs/sql/archive/2014/08/17/sql-server-reporting-services-bolum-1.aspx

http://www.cozumpark.com/blogs/sql/archive/2014/08/17/sql-server-reporting-services-bolum-2.aspx

7 – PARAMETRELER:

                Şu ana kadar oluşturduğumuz raporlarda parametre belirtmeden yaptık. Çoğu zaman raporlar için parametre diğer bir deyişle koşullar belirterek raporu almamız gerekecektir. Reporting Service de parametreler nasıl oluşturulur bunlara değineceğiz.

                Parametreler, metin, sayı ve tarih gibi kriterlere göre belirlenebilir. Bir veya birden fazla parametreyi raporumuza ekleyebiliriz. Örnek olarak, x malzemesini 2005 yılının Ocak ve Mart aylarında kaç tane ve toplam satış tutarını seçebileceğimiz parametreler olabilir.

                Parametleri VS Data Tools ile eklerken Query ekranında WHERE koşulu kullanacağız. Report Builder ile biraz daha son kullanıcıya hitap eden, filter alanından parametreleri ekleyeceğiz. Her iki arayzüz için örnek vereceğiz.

Yeni bir rapor oluşturuyoruz. Solution Explorer – Reports – Add New Reports

Data Source ekranında Edit diyerek, AdventureWorks2012 veritabanını seçiyoruz.

Design the query ekranında Query Builder’ı açıyoruz.

Üst kısımdaki boşlukta sağ tıklayarak Add Table diyoruz.

Product (Production) tablosunu ekliyoruz.

SSRS-162

ProductID, Name, Color ve ListPrice alanlarını seçelim. Aliasları aşağıdaki şekildeki yazıyoruz.

SSRS-163

Tabular seçili olarak kalıyor, devam ediyoruz.

Desing the table ekranında tüm alanları details kısmına ekleyip devam ediyoruz.

SSRS-164

Herhangi bir stil seçiyoruz.

Rapor adı yazıp, Finish ile tasarım ekranına geliyoruz.

Raporumuz oluştu, Datasets altında Dataset1’e sağ tıklayıp Query penceresini açıyoruz.

SSRS-165

Sorgu kutusuna FROM bölümünün altına WHERE koşulunu yazacağız. ProductID numarasına göre parametre vermek istediğimiz için ilk önce parametre verilecek alan adı, sonra parametre koşulu ( =, <, >, LIKE v.b.), en sona da parametre ismini yazacağız (@Parametreadi).

SSRS-166

Sorguyu kontrol etmek için Execute dediğimizde karşımıza parametre soran bir ekran getirecektir.

SSRS-167

Ok diyerek Query desinger ekranını kapatıyoruz.

Parameters kısmına baktığımızda, oluşturduğumuz parametrenin geldiğini görüyoruz.

SSRS-168

Raporu çaıştırdığımızda, parametre kutusu gelmektedir, bu alana parametreyi yazarak istediğimiz Urun ID yi yazarak çalıştırıyoruz.

SSRS-169

7 – 1 Çoktan Seçmeli Parametreler:

Bu şekilde parametreli olarak rapor almak için, Urun ID sini ezbere bilmemiz veya bir listeden bakmak gerekiyor. Çoktan seçmeli olarak parametreleri ayarlayabiliriz. Bunun için bir dataset daha ekliyoruz, bu dataset te ProductId ve İsimleri bulunacak.

Datasets – New Dataset

Dataset ismine KategoriveNo diyoruz. Eğer dataset isimlerine anlamlı bir isim vermez iseniz, daha sonradan birden çok datasetle çalıştığınızda karmaşıklık olacaktır.

DataSource1’i seçiyoruz.

SSRS-170

Query Designer’ı açıp, en üstteki alanda sağ tıklıyoruz, Add table’dan, ProductCategory (Production) tablosunu ekliyoruz.

SSRS-171

ProductCategoryID ve Name alanları seçip, Ok ile devam ediyoruz.

SSRS-172

Dataset Properties ekranında Ok ile çıkıyoruz. Datasets altına diğer dataset KategoriveNo geldi. Şimdi parametremizin özelliklerine gidip, sorgudan parametre çekme işlemini yapacağız.

SSRS-173

Report Parameter Properties – Available Values sekmesinde Get Values From a Query’i seçiyoıruz.

Dataset olarak KategoriveNo

Value Field ProductCategoryID

Label Filed olarak ta Name’i seçiyoruz.

Burada label field kısmına Name (isim) seçmemizdeki amaç, ID nolarına göre değil de, kategori isimlerine göre parametreleri seçmek istememizdir, daha öncede belirtiğimiz gibi, Id numaralarını ezberlemek veya farklı bir yerden bakmak yerine, akılda kalıcı olan isimleri parametre olarak kullanmak daha mantıklı olacaktır.

SSRS-174

Preview ile raporumuzu aldığımızda, parametre olarak kategori id leri yerine kategori isimleri geldi.

SSRS-175

7-2 Tarih Aralıklı Parametreler:

En çok gereken parametrelerden biridir, tarih aralığı raporlarda en fazla istenen parametredir.

Yapacağımız örnekte, 3 farklı tablodan veriler getirip, bu verileri tarih parametresi ile rapora nasıl yansıtacağımızı göreceğiz.

Solution Explorer- Reports – Add New report, hoşgeldin ekranını geçiyoruz.

Datasource’u ayarlıyoruz, yukarıda verisetlerinin detaylı anlatımı olduğundan her  defasında detaya girmiyorum.

SSRS-176

Desing The Query – Query Builder

Üstteki alanda Add Table kısmından; SalesOrderHeader (Sales) – SalesOrderDetail (Sales) ve Product (Production) tablolarını ekliyoruz. SalesOrderID alanları otomatik olarak eşleşti, Product tablosu ile de ProductID alanı eşleşti.

SalesOrderHeader tablosundan, SalesOrderNumber, OrderData, ShipDate ve TotalDue alanlarını,

SalesOrderDetail tablosundan, OrderQty ve ProductID alanlarını,

Product tablosundan da, Name ve ProductNumber alanlarını seçiyoruz.

Alias takma isimleri aşağıdaki gibi düzenliyoruz ki raporda sütun başlıkları anlaşılır bir şekilde gelsin.

SSRS-177

Report Type’ı tabular seçiyoruz.

Design The Table ekranında, UrunNo’ya göre gruplama yapalım, geri kalan alanları Details bölümüne yerleştiriyoruz.

SSRS-178

Table Layout stepped olarak bırakalım.

Herhangi bir style seçip devam ediyoruz.

Rapora bir isim verip Finish ile sonlandırıyoruz.

Raporumuz UrunNo gruplu bir şekilde oluştu. Preview diyerek çalışıp çalışmadığını kontrol edelim.