Cisco’nun Webex Meetings Suite yazılımı ile online toplantılar düzenleyebiliyorsunuz. İşte Cisco’nun bu yazılımda ortaya çıkan zafiyet ile saldırganlar normalde şifre ile giriş yapılabilen online toplantılara, şifresiz bir şekilde erişebiliyordu.
Cisco bu zafiyet için güncelleme yayınladığını duyurdu. Güvenlik açığı, 10 üzerinden 7,2’lik bir CVSS puanı aldı ve CVE-2020-3142 kodu ile izlenebiliyor.
Cisco güvenlik ekibi (PSIRT), şuana kadar güvenlik açığından yararlanan herhangi olay gelmediğini açıkladılar.
Güvenlik açığı, Cisco Webex Meetings Suite sitelerini ve 39.11.5 ve 40.1.3’ten önceki Cisco Webex Meetings Online sürümlerini etkiliyor. Bunu yanında Cisco, Webex Meetings Server’ların etkilenmediğini açıkladılar.
Cisco, Cisco Webex Meetings Suite siteleri ve Cisco Webex Meetings Online siteleri için 39.11.5 ve sonraki sürümlerin ve 40.1.3 ve sonraki sürümlerin yayımlanmasıyla zafiyetlerin kapatıldığını duyurdu. Güncelleme linki
Cisco ayrıca, “Düzeltme yalnızca Cisco Webex Meetings Suite siteleri ve Cisco Webex Meetings siteleri için geçerlidir. Müşterilerin Cisco Webex Toplantıları mobil uygulamasını veya Cisco Webex Toplantıları masaüstü uygulamasını güncellemeleri gerekmez. ” şeklinde açıklama yaptı.
Ulusal Siber Olaylara Müdahale Merkezi (USOM), 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı ile yayınlanan “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4. maddesi çerçevesinde Bilgi Teknolojileri ve İletişim Kurumu bünyesinde kurulmuştur.
Tüm dünya Threat Intelligence olarak bilgi paylaşımları yaparken bir çok URL Filter , Malware, Anti Spam özelliğini içeren ürünler Türkiye ve Türk kullanıcılarına yapılan saldırı tiplerinde sınıfta kalabiliyorlar. ( Özellikle phishing içeren bir çok yeni sitelerde)
Bu noktada USOM bize geniş ve sürekli güncellenen bir url listesi vererek aslında korunmamızı sağlıyor.
Checkpoint IOC nedir? Custom Intelligence Feed dedikleri ne oluyor?
Checkpoint kendi istihbaratı ile ünlenmiş bir şirket, fakat konu Türkçe domainler olunca bu istihbarat biraz yetersiz kalabiliyor. Aynı şekilde Dünya’nın farklı yerlerinde bizimle aynı sıkıntıyı çeken müşteriler yüzünden R80.20 sürümü içerisine kendi istihbaratlarımızı ekleyebilme özelliği getirdi. ( Daha önceki sürümlerde bu bazı scriptlerle oluyordu, fakat böyle direk dahili olması işlerimizi çok daha kolaylaştırıyor. )
Temel olarak bir link ya da dosyadan ilgili içerikleri okuyup Anti-Virus ve Anti-Bot blade leri ile bunları engelliyor. Yani cihazınızda bu bladeler açık olması gerekiyor.
IOC Ekleme methodları neler?
Eğer kendiniz bir IOC dosyası verecekseniz, şu kurallara uymanız bekleniyor.
Başlıkları ayırmak için ‘,’
Kayıtları ayırmak için ‘\n’
Başlıklar düz text olmalı(Herhangi bir noktalama olmamalı)
Her kayıt başlığa uygun olmalı ( Bir veride IP numarası ilk bölümde, ikinci veride Data,IP gibi olmamalı. Eğer vereceğiniz IP listesi ise, bütün hepsi IP listesi olmalı
Açıklama kısmı girebilirsiniz. ( Comment parametresi ile ayırabiliyorsunuz)
# işareti ile ilk satır olduğunu işaret edersiniz.
#
# DShield.org Suspicious Domain List
# (c) 2020 DShield.org
# some rights reserved. Details http://creativecommons.org/licenses/by-nc-sa/2.5/
# use on your own risk. No warranties implied.
# primary URL: http://www.dshield.org/feeds/suspiciousdomains_High.txt
#
# comments: info@dshield.org
# updated: Sat Jan 4 04:04:03 2020 UTC
#
# This list consists of High Level Sensitivity website URLs
# Columns (tab delimited):
#
# (1) site
#
# Site
3qbyaoohkcqkzrz6.torgate.es
pmenboeqhyrpvomq.swissprogramms.bid
fapet.ipb.ac.id
wasabi.mine.nu
52uo5k3t73ypjije.7jiff7.top
wjfkoqueatxdmqw.biz
52uo5k3t73ypjije.m5fgoi.top
974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com
cerberhhyed5frqa.lfotp5.top
76tguy6hh6tgftrt7tg.su
preapprovedloansonline.kz
cerberhhyed5frqa.zgf48j.win
bolerakopsoa.pw
Dosyanızda birden çok bilgi var olup, belli bir işaret ile ayrılmış ise;
Burada 2 yöntem kullanılabiliyor, 1. yöntem direk firewall üzerinden yapmak, 2. yöntem ise bir sunucu aracılığı ile firewall a tanıtmak. Firewall varken neden bir sunucuya ihtiyacım var derseniz, USOM istek sınırı getirmiş olmasından dolayı. Örneğin bir dosyayı beğenmeyip aynı anda bir daha çekmek isterseniz usom, sizi anlık olarak blocklayabiliyor. belli bir süre geçmesi gerekiyor. Ya da 1 den fazla cihazınız var ise, crontabları tek tek yapmanız gerekiyor, çünkü 2 veya daha fazla firewallınız aynı anda istek yapınca USOM gene blocklayacak. Belki bir cihazınız almışken, diğer cihazınız almamış olacak ya da eski kalmış olacak.
Normal şartlarda, Dünya üzerinde belli başlı ücretsiz servisleri eklerken çok bir işlem yapmanıza gerek kalmıyor, belli bir standartta geliyor. Ama şu anda en azından USOM’ı eklerken bazı düzenlemeler yapmamız gerekiyor. USOM Dosyası verirken çünkü hem domain veriyor, hem IP veriyor, hemde url veriyor. En temiz yöntem olarak ben hem URL yöntemine çevirmek hem de IP olarak ayrıştırıp eklemekte çözüm üretebildim.
/var/tmp/IOC altında 4 klasör oluşturacağız. SH scriptimizin çalışacağı klasör sh klasörü, data klasörünün çalışacağı ise data klasörü. Bunların temizliklerini yaparken ise, gecici klasörünü kullanacağız.
Ardından sh çalışacak scriptimizi yaratalım.
vi /var/tmp/IOC/sh/usom.sh
#!/bin/sh
source /etc/profile.d/CP.sh
#Degerleri Ata
Gecici=/var/tmp/IOC/gecici
Kalici=/var/tmp/IOC/data
#USOM Dosyalarini indir ve temizle
curl_cli --insecure --retry 3 --retry-delay 180 https://www.usom.gov.tr/url-list.txt -o $Gecici/usom_domain.txt
#Dosyalari temizle
sed -i '/^$/d' $Gecici/usom_domain.txt
sed -i 's/,//g' $Gecici/usom_domain.txt
sed -i '/^http:\/\//! s/^/http:\/\//g' $Gecici/usom_domain.txt
#Dosyalari bos olmayanlari tasi
find $Gecici -size -1024k -delete
mv $Gecici/*.txt $Kalici/
Çıkmak için Escape tuşuna basıp :wq! yazabilirsiniz
Üstteki betiği özetlemek gerekirse, ilk 2 satırdaki checkpoint’e eğer crontab koyacaksanız güvenlik olarak bu şekilde eklemeniz gerekiyor. Aksi halde chmod dahi yapsanız çalışmayabiliyor.
Gecici ve Kalıcı olarak 2 değer atadık, neden direk dosyayı indirip üzerinde çalışmıyorsun derseniz, bazı durumlarda USOM dediğim gibi IP mizi bloklayabiliyor, bu zamanda da var olan dosyamız bozulmasın diye ayrı bir klasörde işlemleri yapıyoruz.
curl_cli –insecure ile https hatalarını bypass edip olası bir bağlantı probleminde 3 kere deneme üzerine ayarladık. Denemeler arasında ise 3 dakikalık bir ara bıraktık.
sed parametresi ise dosya içerisindeki bazı bozuk karakterleri temizliyor, örneğin direk usom dosyasında bir domain ‘,’ işareti ile bitiyor, bu yüzdende checkpoint bunu algılayamıyor. En son ise yazının başında belirttiğim gibi URL olarak ekleyeceğim için http:// yi tüm satırlarına başına ekliyoruz.
Olası bir durumda USOM ipnize block koyduysa, bir hata mesajı gönderiyor. Bu var olan dosyamızı bozmasın diye 1 mb altındaki bütün dosyaları siliyoruz.
Dosyamızı çalıştıralım.
sh /var/tmp/IOC/sh/calis.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 1240k 100 1240k 0 0 2414k 0 –:–:– –:–:– –:–:– 2431k
Dosyamız data klasöründe usom_domain.txt adında bulunuyor. Dilerseniz icerigine bakabilirsiniz, şu şekilde domainler olması gerekiyor.
Dosyamız indiğine göre, artık ioc_feeds özelliği ile gatewayimize tanıtabiliriz.
Aşağıdaki şekilde bir bekleme süresi gelecek. Ondan sonra tanımlanmış olacak.
Doğru yüklenip yüklenmediğine bakmak için, usom listesindeki bir domaine istekte bulunalım.
Aşağıdaki listeden DNS Bilgisi olanı rastgele seçiyorum.
Firewall loglarımızda ilgili isteği görelim. IOC ler anti-virus blade’i altında bulunuyor. Bu yüzden log ekranına blade:anti-virus yazarak görebiliriz.
Eğer Blade üzerinde herhangi bir ayar yapmazsanız, bu istekler direk olarak checkpoint sunucularına gidiyor, ben logları göreyim ama istekler dışarıya çıkmasın diye, DNS trap özelliği ile 127.0.0.1 olarak ayarladım. Böylece istek yapan makine kendi içerisinde kalıyor.
Bunun ayarı için Threat Prevention tarafında Anti-Virus blade’i açık policy mizi edit yapıyoruz
Ve Malware DNS Trap bölümünde 127.0.0.1 olarak güncelliyoruz.
Bundan sonrası tamamen size kalmış. İsterseniz gaia OS ekranında Schedule edebilirsiniz, dilerseniz elle zaman zaman güncelleyebilirsiniz.
Bölge genelindeki “Cloud” odaklı ilk ve tek etkinlik olan, Avrasya’nın en büyük Cloud Teknolojileri organizasyonu ‘CloudTalk Global-2020’, “”Connect with the Future” sloganıyla 21 Nisan’da İstanbul’da gerçekleşecek
Yakın gelecek trendlerinden bulut bilişimin nabzı yine bölgenin en önemli etkinliklerinden biri ile Türkiye’de atacak. 15 farklı ülkeden katılacak üst düzey sektör temsilcileri ve bulut bilişim profesyonellerini bir araya getirecek olan CloudTalk Global-2020 Konferans ve Fuarı, 21 Nisan 2020’de İstanbul Kongre Merkezi’nde düzenlenecek. Bulut teknolojisinin kapsamlı olarak konuşulacağı etkinlik Avrasya’nın da bu sektöre yönelik en büyük etkinliği olma özelliğini taşıyor.
Dünyada ve ülkemizde yapılan yatırımlar ve değişen ekonomik modeller bilişim sektörünün gelecekte büyük bir rolü olacağına işaret ediyor. Teknolojik ürünler ve hizmetlerin yanı sıra yazılım ihracatları da ülke ekonomisine ciddi katkı sağlayan bir kol haline geldi. Türkiye’yi bulut bilişim sektöründe teknoloji ve inovasyonun pazarlama-iletişim merkezi yapmayı hedefleyen CloudTalk Global-2020, bulut bilişim özelinde düzenleyeceği konferans ve fuarla sektör duayenlerini bir araya getiriyor.
“Türkiye için Avrasya bölgesi büyük ve yeni bir pazar”
Türkiye’de bilişim sektörünün her geçen yıl ciddi bir büyüme kaydettiğini açıklayan CloudTalk Global Kurucusu Burkay Yapağcıoğlu; ‘2014 yılında 22,1 Milyar TL olan bilgi teknolojileri sektörünün mali büyüklüğü, 2018 yılında 44,7 milyar TL’ye yükseldi. Son 5 yılda %100’ün üzerinde büyümeye işaret eden bu rakamı oluşturan bileşenlere baktığımızda; donanım harcamaları 17,1 Milyar TL, yazılım harcamaları 18,3 Milyar TL ve hizmet harcamaları 9,4 Milyar TL olarak öne çıkıyor. 2017 – 2018 dönemini kıyasladığımızda ise ülkemizdeki Teknokent sayısı yüzde 17.4’lük büyüme ile 81’e, çalışan sayısı ise yüzde 13.9 büyüme ile 51 bin 574’e yükseldi. Ülkemizin bilgi teknolojileri ihracatına baktığımızda ise 2018 yılında 352 milyon TL Donanım, 3 milyar 719 milyon TL Yazılım ve 316 milyon TL Hizmet ihracatı gerçekleştirdiğimiz ve bu ihracatların bölgelere göre dağılımında ise Asya Pasifik ülkelerinin yüzde 4, AB dışı Avrupa ülkelerine ise yüzde 5’te kaldığı görünüyor’ dedi.
“Türkiye bulut bilişimde ABD ve Batı Avrupa’ya alternatif olacak”
CloudTalk Global- 2020 etkinliği ile 15 farklı ülkeden 2 bini aşkın katılımcıyı ağırlayacaklarını belirten Yapağcıoğlu:“Türkiye’de onlarca bulut bilişim firmamız olmasına rağmen bulut bilişim sektörü adı altında ilk kez gerçekleştireceğimiz CloudTalk Global-2020, sadece Türkiye için değil; Azerbaycan, Rusya, Ukrayna, Belarus, Bosna Hersek, Arnavutluk gibi pek çok bölge ülkesi için de büyük bir fırsat. Özellikle konferans konuşmalarımızda ABD ve Batı Avrupa merkezli teknoloji şirketlerinin ağırlıklı olduğu bulut bilişimde bölgenin ihtiyaçlarını anlayan, maliyet avantajı ve yüksek ar-ge kabiliyetiyle global rakipleri arasındaki farkları hızla kapatan Türkiye’nin, bölge ülkeleri için de hem bir çözüm ortağı hem de alternatif pazar olma potansiyelini vurgulayacağız” diye konuştu.
Bulutta yükselen trendler ve en iyi uygulamalar, Dijital dönüşümde uzun vadeli bulut stratejileri, yeni nesil cloud altyapı teknolojileri, çoklu bulut stratejileri ve şirketlerdeki adaptasyonu, “Edge to Cloud Computing” stratejileri , “Intelligent IoT Edge Appliance” ve uygulama alanları, Cloud Native IT Altyapılarının geleceği, Veri Merkezi Optimizasyonu ve Cloud yapılara geçiş, Cloud ürün geliştirme ve DevOps’da son yenilikler, Mikroservis ve Container teknolojilerindeki son durum konuşulacak.
Üst düzey IT yöneticileri, IT danışmanları, network yöneticileri, sistem yöneticileri, veri merkezi uzmanları, bulut mimarları, güvenlik yöneticileri, geliştiriciler ve ürün yöneticilerinin katılacağı etkinlikte Microsoft, Amazon Web Services, Google Cloud gibi dünyanın en önde gelen bulut firmalarının yanı sıra BulutBroker, UzmanPosta gibi yerli bulut servis sağlayıcılardan 36 üst düzey yönetici konuşmacı olarak sahnede olacak.
Cloud üzerinde global(çok bölgeli) düzeyde bir web uygulaması geliştiriyorsak ve ayrıca uygulamanın performanslı, scalable ve highly available olmasını istiyorsak, iyi bir uygulama giriş noktasına ihtiyacımız var demektir.
Bu kapsamda, Microsoft‘un uzun zamandır scalability ve security gibi konular için kendi hizmetleri içerisinde de kullanıyor olduğu bir web uygulama giriş noktası olan Azure Front Door Service, ihtiyaçlarımızı oldukça karşılamaktadır.
Azure Front Door Service için kısaca, global web uygulamalarımızın performans ve high availability gibi endişelerini göz önüne alarak, routing işlemlerini WAF(Web Application Firewall) ve CDN gibi ihtiyaçlarla birlikte gerçekleştiren global bir web application acceleration platform’udur diyebiliriz.
Peki, uygulamanın performansına nasıl bir katkısı oluyor?
Azure Front Door, son kullanıcının uygulamaya erişmeye çalışırken network’de geçirdiği round-trip süresini minimize etmektedir ve son kullanıcıyı, ona en yakın ve en hızlı olan backend pool’una yönlendirmektedir. Bunun için ise, Anycast protocol’ünden yararlanmaktadır.
Tıpkı bir CDN‘in gelen trafiği, en yakın olan noktaya yönlendirildiği gibi, Front Door da gelen trafiği, resilient bir şekilde en hızlı ve en uygun olan noktaya yönlendirmektedir.
Bu işlemler için ise, Microsoft Global Network altyapısını kullanmaktadır. Böylece daha iyi bir network performansı ve reliability sunmaktadır.
NOT: Microsoft kendi datacenter’ları arasında kullandığı, yüksek kapasiteli bir private global network’e sahiptir.
Bazı core özellikleri
Yukarıda bahsettiğimiz gibi, uygulamanın network performansını oldukça arttırır.
Smart health prob’ları ile uygulamayı latency ve availability açısından monitor ederek, otomatik ve hızlı failover sağlar.
URL-based routing özelliği ile, microservice architecture’ını oldukça destekler. Kolaylıkla request’in path’ine göre, trafiğin routing işleminin gerçekleştirilebilmesine olanak sağlar.
SSL termination yeteneği ile, uygulama backend’ini encryption ve decryption maliyetinden kurtarır.
İhtiyacımız varsa kullanıcı session’ını, belirli bir application backend’inde tutabilmemizi sağlar.
Ayrıca güvenliği sağlayabilmek için ise, custom Web Application Firewall (WAF) rule’ları oluşturulabilmesine olanak ve DDoS koruması sağlar.
Peki, nasıl kullanabiliriz?
Azure Front Door ile bir örnek gerçekleştirebilmek için, öncelikle “West Europe” ve “UK South” bölgelerinde aşağıdaki gibi birer Azure Web App oluşturalım.
Ardından ilgili Web App‘lere, uygulamanın hangi lokasyonda konumlandığı bilgisini içeren basit birer ASP.NET Core Web App projesi oluşturup, deploy edelim.
Deployment işlemi başarıyla tamamlandıysa, Front Door oluşturma aşamasına geçebiliriz.
İlk olarak Azure Portal üzerinden Front Door oluşturma ekranına girelim ve “Basics” sekmesinde ilgili resource group’u seçerek, ardından “Configuration” sekmesine geçelim.
Bu sekmede, ilk olarak uygulamamıza bir giriş noktası oluşturmamız gerekmektedir. Bunun için, “Frontend hosts” kısmında bulunan + işaretine tıklayarak, aşağıdaki gibi bir host oluşturalım.
Şimdi ise, bir backend pool’u oluşturmamız gerekiyor. Bunun için, “Backend pools” kısmında bulunan + işaretine tıklayarak, aşağıdaki ekrana gelelim.
Burada öncelikle “Name” kısmına unique bir isim verelim. Ardından ilgili backend’leri ekleyebilmek için, “BACKENDS” sekmesi altındaki “+ Add a backend” butonuna tıklayalım.
Burada ise “Backend host type” olarak, “App service” seçeneğini seçelim. Ardından “Backend host name” kısmında ise daha önce oluşturmuş olduğumuz ilgili App Service‘i seçelim.
NOT: Bu işlemi oluşturmuş olduğumuz host’a backend olarak eklemek istediğimiz ilgili her bir App Service için, tek tek gerçekleştirmemiz gerekmektedir.
Burada dikkat etmemiz gereken iki parametre ise, “Priority” ve “Weight” parametreleri.
“Priority” parametresi ile trafiğin, öncelikle hangi backend’e yönlendirilmesini istediğimizi belirtebiliyoruz.
“Weight” parametresi ile de trafiğin, yüzde kaçının yönlendirilmesini istediğimizi belirtebiliyoruz.
Bu noktada, “Priority” parametresini tüm backend’ler için aynı olarak ayarlarsak, trafik ayarlanmış olan “Weight” parametresine göre dengeli bir şekilde backend’ler arasında yönlendirilecektir.
Parametreleri configure ettikten sonra ise, “Add” butonuna basarak ekleme işlemini gerçekleştirelim.
Her iki bölgedeki backend’leri ekledikten sonra ise, “HEALTH PROBES” ve “LOAD BALANCING” kısımlarını default değerleri ile bırakalım.
“HEALTH PROBES” sekmesinden kısaca, eklemiş olduğumuz backend’lerin sağlıklı olup olmadığını Front Door‘un kontrol edebilmesi için gerekli probe request’lerinin interval süresini ayarlayabilmekteyiz.
“LOAD BALANCING” sekmesinden iste, health probe’ları destekleyecek ekstra parametreler belirtebiliyoruz.
Şimdi ise routing rule’larını tanımlama kısmına geçebiliriz. Bunun için “Routing rules” kısmında bulunan + işaretine tıklayalım ve aşağıdaki gibi configure edelim.
Bu ekranda ise kısaca, route mapping işlemini gerçekleştiriyoruz. Yukarıdaki değerlerle root URL‘e gelecek olan her bir request’in, oluşturmuş olduğumuz “mytodoapp-bpool” isimli backend pool’una yönlendirilmesini sağladık.
Bu konu hakkında daha detaylı bilgiye ise, buradan erişebilirsiniz.
Bu işlemlerin ardından, “Review + create” butonuna basarak Front Door‘un oluşturulma işlemini tamamlayalım.
Test ve Sonuç
Front Door ile bir örnek gerçekleştirebilmek için Azure üzerinde, “West Europe” ve “UK South” bölgelerine test amaçlı iki adet Web App deploy ettik. Ardından bu Web App‘lere bir giriş noktası olacak olan bir Azure Front Door hizmeti oluşturduk.
Örnek amaçlı Front Door‘dan beklentimiz ise, bizi en yakın yani en hızlı olan backend pool’una yönlendirmesi. Ayrıca herhangi bir hata anında da, failover işlemini gerçekleştirmesi. Tabi bu failover işlemi sadece hata anında değil, bölgesel maintanance işlemlerinde de operasyonun sıfır kesintili gerçekleşebilmesi için önemli.
Şimdi test için uygulamaya Front Door adresi üzerinden erişelim. Ben “West Europe” bölgesinde yaşadığım için, Front Door’un beni “West Europe” da oluşturmuş olduğumuz backend’e yönlendirmesi gerekmektedir.
Beklediğimiz gibi FD beni en yakın olan noktaya yönlendirdi.
Şimdi herhangi bir VPN tool’u ile konumumuzu “UK” bölgesine çevirelim ve tekrar siteye girelim.
Gördüğümüz gibi bu sefer beni, “UK South” bölgesinde konumlandırdığımız backend noktasına yönlendirdi. Tıpkı asset’ler için bir CDN kullanmak gibi.
Şimdi failover senaryosunu test edebilmek için ise, VPN‘i kapatıp (eğer sizde “West Europe” bölgesindeyseniz) ardından “West Europe” bölgesinde oluşturmuş olduğumuz Web App‘i durduralım.
Bu sefer de bizi, sağlıklı olan “UK South” bölgesine yönlendirmesini gerekmektedir.
Beklediğimiz gibi sağlıklı olan “UK South” bölgesine yönlendirme işlemini gerçekleştirdi.
Bunların dışında Application Insights hizmeti ile de, canlı metric’leri izleyebilmek mümkün. Ayrıca WAF özelliğini configure ederek, rate limiting veya geo-based access control gibi işlemleri de gerçekleştirebilmekteyiz.
GNU/Linux açık kaynak kodlu işletim sistemlerinin kernel ( çekirdeği ) olan Linux 5.5 sürümü Linus Torvalds tarafından piyasaya sürüldü.
Linux 5.5, Raspberry Pi 4 desteği, AMD Navi GPU overclock, yeni ve gelecek Intel platformları için destek dahil olmak üzere birçok değişiklik getiriyor.
Torvalds’ın Linux 5.5 kod adı “Kleptomaniac Octopus” olarak isimlendirdiği yeni kernel için detaylı bilgiye buradan ulaşabilirsiniz.
Bir araştırma firmasının tespit ettiği ve uygulamalı olarak gösterdiği zafiyet Windows server işletim sistemlerinde kullanılan Uzak Masaüstü Ağ Geçidi (RD ) bileşeninde bulunuyor.
CVE-2020-0609 ve CVE-2020-0610 kodu ile takip edilebilen zafiyet, saldırganların uzaktan kod çalıştırma ( etkilenen işletim sistemleri 2012, 2012 R2, 2016 ve 2019) yöntemi ile sisteme erişim sağlayabiliyor.
RD Ağ Geçidi, uzaktan gelen bağlantıların yalnızca kimlik doğrulamasından sonra iç ağlardaki uzak masaüstü sunucularına erişmesine izin veren bir hizmet.
Microsoft bu zafiyetler ile ilgili güncelleme yayınladı buradan ve ya buradan gerekli güncellemeleri geçebilirsiniz.
Diğer yandan araştırmacıların bazı önerileri var
UDP portunun devre dışı bırakılması veya UDP bağlantı noktasının (genellikle 3391 bağlantı noktası) güvenlik duvarının arkasına alınması.
Microsoft, on yıllık Windows 7 işletim sistemi için desteği 14 Ocak 2020’de sonlandırdı. Desteğin sona ermesi, şirket ve kurumların Windows 7 için genel güvenlik güncelleştirmeleri veya düzeltmeleri, yazılım güncelleştirmeleri veya teknik destek almayacağı anlamına gelmiyor. Kurumlar isterse Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) anlaşması yaparak destek alabiliyor.
Yerel bir Alman gazetesine göre, hala Windows 7 üzerinde çalışan 33.000’den fazla bilgisayarı olan Alman Hükümeti, bilgisayarlarını güncel tutmak ve yamaları almak için bu yıl Microsoft’a 800.000 € (887.000 $) ödemeye karar aldı.
Genişletilmiş desteğin maliyeti, bir şirketin Windows 7 Enterprise veya Pro sürümünü çalıştırıp çalıştırmadığına bağlı olarak değişir. Örneğin, Windows 7 Enterprise kullanan kullanıcılar 2020 yılında cihaz başına 25 dolar, 2021’de 50 dolar ve 2022’de 100 dolar ödeyecek. Windows 7 Pro kullanan cihazlar 2020 yılında makine başına 50 dolar, 2021’de 100 dolar ve 2022’de 200 dolar olacak.
Gazete, Alman hükümetinin 2018 yılında Windows 10’a geçiş sürecine başladığını, ancak hala göç sürecinin ortasında olduğunu belirtiyor. Medya, 85.000 makineden 20.000’inin yalnızca Berlin hükümet ofislerinde Windows 7 çalıştırdığını iddia ediyor.
Bu blog yazımızda Hyper-v olan yapıda Vmware Workstation Pro kurulması durumunda alınan hatanın çözmünü el alıyor olacağız.
Gelen hata tam olarak aşağıdaki gibidir.
VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard. Please visit http://www.vmware.com/go/turnoff_CG_DG for more details.
Bu hata sonrasında öncelikle Gpedit üzerinden aşağıdaki bileşen Devre Dışı duruma getirilmelidir.
Yönetim Şablonları – Sistem – Cihaz Koruma – Sanallaştırma Tabanlı Güvenlik’i Aç
Bu işlemden sonra ortamda var olan Hyper-V rolü kaldırılmalıdır.
Rol kaldırma işleminden sonra ise aşağıdaki komutlar CDM komut satırını Yönetici olarak açıp çalıştırılmalıdır.
Günümüzde güvenlik, loglama ve misafir ağları için farklı ihtiyaçları aramak, her ihtiyaç için farklı ürünleri bulmak hem yönetim açısından hem de maliyetler açısından süreçleri zorlaştırmaktadır.
Coslat tek bir üründe bu özellikleri bir araya getirerek, bütünleşik bir çözüm sunmaktadır.
Firewall ihtiyacınız yanında 5651 kayıtları için log server özelliği, 5651 loglama yanında hotspot özelliği kullanılabilir. Hatta tek bir üründe Firewall, 5651 loglama ve hotspot özellikleri birlikte olabilir. Farklı ürünlerdeki SSLVPN leriniz için çift kimlik doğrulama sağlayan Coslat 2FA ürünü ile VPN bağlantılarıdan güvenlik seviyesi arttırılabilir.
İhtiyacınıza göre farklı çözümler tek bir üründe birleştirebilir.
Bu makalemizde Coslat ürünlerinde var olan Firewall, Hotspot ve 5651 Loglama özelliklerinden kısaca bahsedeceğiz.
Coslat Firewall gelişmiş özelikleri sayesinde, dışarıdan gelebilecek saldırılara karşı korumanın yanında, içeriden dışarı doğru olan trafiğin kontrol altına alınmasını da sağlamaktadır. Ayrıca iç ağlarınız arasında olan (Local to DMZ network gibi) trafikte etkin bir şekilde yönetilebilir.
Coslat Firewall’un güvenliğinizi sağlayan yazılım özelliklerinden bazıları aşağıdaki gibidir.
Stateful Packet Filter
Routing, PBR
NAT (inbound/outbound)
IDS/IPS
URL/Content Filter (HTTP and HTTPs)
IPSEC VPN
SSL VPN
Revers Proxy
Load Balance
Failover
DHCP Server
DNS Server
VLAN Support
PPPoE Server
Multi WAN Support
Bandwidth Management
Ayrıca Türkçe arayüze sahip olmasının yanında farklı dil seçeneklerini de barındırmaktadır.
Yazılımsal özelliklerinin yanında farklı ölçeklerdeki işletmeler için farklı donanım seçenekleri de sunmaktadır. 2 veya 3 portlu küçük cihazlardan, 10GB porta sahip yüksek kapasiteli cihazlara kadar farklı ihtiyaçlarınız için ürün seçimi yapılabilmektedir.
Coslat’ın bu özelliği ile misafirlerinize kolay ve güvenli bir şekilde kablosuz ağ hizmeti sunulabilir.
Farklı kimlik doğrulama seçeneklerini bir arada barındırması ile ihtiyacınıza yönelik bir çözüm seçebilir. Örneğin kapı giriş sistemleri veya otel yazılımları ile entegrasyon yapabilir veya sponsor özellikleri ile kayıt olma işlemi kontrol altına alınabilir.
Kurulum ve konumlandırmada ise geniş yapılandırma seçenekleri ve özelleştirmeler sayesinde farklı yapılara kolaylıkla entegre edilebilir. Gateway olarak konumlandırılıp kendi üzerindeki portal kullanılabileceği gibi, Cisco ISE, Aruba Clearpass gibi ürünler ile de entegre edilebilir. Ayrıca farklı ürünlerde (Cisco WLC, Aruba Controller gibi) var olan external portal özellikleri ile de entegrasyon sağlanabilir.
Sponsor ile kayıt
Otel bilgileri ile giriş
Coslat Hotspot’un kolay ve güvenilir kullanımı sağlayan yazılım özelliklerinden bazıları aşağıdaki gibidir.
SMS veya TC Kimlik No ile Kayıt,
Veri Tabanı Entegrasyonu (Otel, Kapı Giriş Sistemi, Hastane, Öğrenci Bilgi Sistemleri)
Özellikle 5651 loglama ihtiyaçları için kolay ve etkili bir çözüm sunmaktadır. Farklı loglama özellikleri sayesinde yapınıza kolaylıkla entegre edilebilir.
Coslat Mirror loglama
Syslog desteği ile farklı kaynaklardan log kayıtları gönderilip kolaylıkla imzalama işlemi yapılabilir.
Ayrıca Bridge mod ve Mirror Port desteği ile de sistemsel değişiklik yapılmadan 5651 gerekliliği kolaylıkla sağlanmaktadır.
Bridge mod ve Mirror Port ile kendi üzerinde barındırdığı sniffer sayesinde, tarih, saat ,kaynak mac adresi, kaynak ip adresi, hedef ip adresi hedef port bilgileri tek bir dosyada tutulabilmektedir. Bu sayede sadece dhcp den ip alan makinaların değil yapınıza göre sabit ip adresli makinaların bile mac adres bilgisi alınabilmektedir.
Kibana entegrasyonu sayesinde de kendi almış olduğu loglar raporlanabilmektedir. Bu entegrasyon ile sadece 5651 logları değil, netflow ile trafik bilgileri de ayrıca raporlamada görüntülenebilmektedir.
Coslat 2FA sayesinde VPN’e bağlanmak isteyen kullanıcılar için SMS veya Google Authenticator ile ikinci bir doğrulama yapılabilmektedir. Bu sayede VPN parolalarının çalınmasına karşılık ek bir önlem alınmış olur.
Coslat bu özellikleri ve daha fazlası sayesinde tek bir ürün ile bütünleşik bir çözüm sunmaktadır.
Microsoft Internet Explorer’da bulunan ve henüz kapatılmamış olan zero day güvenlik açığı saldırganlar tarafından kötüye kullanılmaktadır.
Microsoft, teknik olarak CVE-2020-0674 olarak bilinen resmi bir yama yayınlamamıştır, ancak yayınladıkları güvenlik danışma belgesinde zero day güvenlik açığı için “geçici çözüm” sundu ve hatadan etkilenen kullanıcılara bilgisayar sistemlerini JScript.dll‘ye erişimi kısıtlamalarını sağlayan bir yöntem önerdi.
Reddit’teki birden fazla kullanıcı, geçici çözümü uyguladıktan sonra yazdırmada hatalar görmeye başladıklarını bildirdi.
Microsoft, Internet Explorer zero day güvenlik açığından dolayı “hedefli saldırılar” ın farkında olduğunu belirtti ve ayrıca geçici çözüm yöntemi uygulanmazsa sistemlerin bilgisayar korsanlarına karşı savunmasız olacağını bildirdi. Kuruluşunuzun bu tehdidi ciddiye alıp almaması veya çalışan yazıcıları tercih edip etmeyeceği konusunda en iyi karar size kalıyor.
Geçici çözümü geri almanız gerekirse, Microsoft’un orijinal güvenlik danışma talimatlarını uygulayabilirsiniz.
Bu makalede, RDP oturumu tarafından oluşturulan oturum açma yok saymayı anlatacağız.
Bu makalede Active Directory yöneticilerinin (veya diğer kullanıcıların) hesaplarıyla ağ üzerinden çeşitli bilgisayarlara (RDP-MSTSC-RDS) ile erişmesi gereken durumlar için yararlı bir özelliktir. RDP bağlantılarında kullanıcı yetkilerini geçersiz kılmadan uzak masaüstüne bağlanma eylemi, bu oturum açma işlemini FSSO listesinden kaldırarak orijinal kullanıcı oturumunun üzerine yazacaktır. Bu politika eşleşmesi nedeniyle engellenen internet erişimine neden olur. Kısaca örneklemek gerekirse;
Örnek 1: Benim kullanıcımın internet yetkisi var. İnternet yetkisi olmayan bir kullanıcı ile rdp bağlantısı yaptığımızda benim internetimde kesiliyor. Bu durumda sorun yaşanmaması için aşağıdaki adımları takip etmeniz önerilir;
Örnek 2: Örneğin Savaş kullanıcısının internet hakkı var. Hakan kullanıcısının ise internet hakkı yok. Ben Savaş kullanıcısı ile login olduğum kendi bilgisayarımdan RDP protokolü aracılığı ile başka makinaya “Hakan” kullanıcı adıyla bağlanınca bağlandığım bilgisayarda internet olmaması normal. Çünkü Hakan kullanıcısının internet hakkı yok ama garip olan benim RDP yaptığım ve Savaş olarak login olduğum makinenin de interneti gidiyor. Bunun düzelmesi için de kendi bilgisayarımda oturumumu kapatıp açmam gerekiyor.
Örnek 3: Active directory domain de olan bilgisayar da rds ye bağlanıyorum.Bağlandığım bilgisayarda giriş yaptığım kullanıcının internet yetkisi olmadığı için benimde internetim belli bir süre gidiyor.Networke bağlıyım ama internete çıkamıyorum.Uygulama olarak nremote kurdum onda da internete çıkışım ile ilgili sorun yaşıyorum.Bağlantıyı kesip Logoff , logon olunca localde internetim düzeliyor.
Bu sorunun çözümü için tavsiye edilen iki yöntem bulunmaktadır. Biz 2. Yöntem ile sorunsuz erişim yapabildik.
Yapınızdaki makinelere Administrator hesapları ile RDP yapıyorsanız aşağıdaki 1. Seçeneği uygulayın. (Bu seçeneği uyguladığınızda makinelere giriş yaparken fortigate üzerinde administrator kullanıcıları göstermez Firewall üzerinde birden çok admin hesabı görmezsiniz.)
Yapınızdaki makinelere kullanıcının kendi hesapları ile RDP yapıyorsanız aşağıdaki 2. Seçeneği uygulayın.(Bu seçeneği uyguladığınızda makinelere giriş yaparken fortigate üzerinde kullanıcı bilginiz değişmeyip kullanıcıların erişimleri geçerli kalır.)
1) Collector Agent üzerinde bulunan yoksay (ignore) listesini kullanın:
Oturum açmaları göz ardı edilecek belirli kullanıcıları seçin.
Not: Kullanıcı makinelerine administrator hesapları ile erişiyorsanız bu hesapları mutlaka ignore user list’e eklemeniz gerekir.
2) Toplayıcı ajan : Kullanıcılar için RDP bağlantısında kimlik bilgisini geçersiz kılma özelliği
İzlenen Dc’leri göster (show monitored dc’s)
‘İzlemek için DC’ seçeneğini seçin (select dc monitor)
Sol alt köşede ‘RDP geçersiz kılmayı devre dışı bırak’ seçeneğini seçin (disable rdp override)
Not: Eğer makinelere RDP yaparken kullanıcı hesaplarını kullanıyorsanız bu seçeneği kullanmanız gerekiyor.
2 seriden oluşan makalemde sizlere SCOM Kurulum adımları ve kurulum sonrası yapılması gereken yapılandırma ayarlarından bahsedeceğim.
Bilindiği gibi Scom ürünü bize sunucularımızı, uygulamalarınızı, sisteminizi uçtan uca izlemek, performans değerlerini tespit edebilmek ve bunları raporlayabilmek için kullanabileceğimiz bir ürün olduğunu söyleyebilirim.
Kuruluma başlamadan önce Fw üzerinde gerekli port izinlerini vermeniz gerektiğini ve yine kuruluma başlamadan önce test etmenizi öneririm.
SCOM 2019 kurulumuna başlamadan önce aşağıdaki linkten 2019 yeniliklerine göz atabilirsiniz.
S001OMMS01 Sunucusu üzerinde aşağıdaki işlemleri sırayla uygulayınız
Sunucu üzerine aşağıdaki rollerden benim kurduklarımı kurmak zorunda değilsiniz fakat eğer ki birden fazla Management sunucunuz varsa kurmanız faydalı olacaktır.
Daha öncesinde oluşturulan hesapları giriyoruz.
Kurulum tamamlandıktan sonra konsolu açıyoruz ve management serverda bir sorun olup olmadığını teyit ediyoruz. Sonraki süreçte ise diğer DB sunucusuna da ajanımızı kuruyoruz.
SCOM Reporting Services Kurulum:
Kurulum tamamlandıktan sonra raporların gelmediğini görebilirsiniz. Bunun için aşağıdaki işlemleri yapınız.
SQL Kurulu sunucuya bağlan
Bağlandıktan sonra sarı renkte belirtmiş olduğum alanın sonuna *.* ekleyiniz. Belli bir süre sonra raporlarınız gelecektir.
Bir süredir Oracle firmasının amiral gemisi Exadata hakkında elimizden geldiğince bilgiler vermekteyiz. Yekün olarak bakıldığında rakipsiz avantajlar sunan her ürün gibi Exadata da gelebilecek hataları ve alarm mesajlarını yönetmek her zaman önemlidir.
Bu yazımızda ise hangi mesaj dosyasının hangi durumları barındırdığını ayrıca lokasyonları gibi bazı bilgileri inceleyeceğiz.
Oracle Exadata üzerindeki hata mesajları Alert , Incident ve Trace files olarak 3 ana kategoride işlenir. Bu dosyalar tanımlanan hataların kayıtlarını üzerinde tutmaktadır.Alert mesajları dahili hatalar ve yönetimsel bilgilendirmeler hakkında detaylar içerir. Incident dosyaları ile olay günlükleri ile bilgiler saklanırken, trace dosyaları sunucu ve arka planda yapılan işlemler hakkında bilgileri muhafaza eder. Daha da açmak gerekirse ;
Alert Dosyaları Alert dosyası, iç sunucudaki hatalar ve yedeklemeler gibi yönetimsel etkinlikler hakkındaki bilgileri kaydeden bir günlük dosyasıdır.
Sunucuda bir hata oluştuğunda, terminal ekranına bir mesaj gönderilir ve uyarı dosyasına yazılır. Sunucu üzerindeki hatalar hakkında, hata nedeniyle oluşturulan trace dosyalarının konumu ve adı gibi ek bilgiler de Alert dosyasına yazılır.
Not : Karşılaşılan hatalar ekrana yazıldığı için monitor vasıtası ile erişim zor bir süreçtir. Bu yüzden putty gibi bir araç ile bu dosyayı okumak avantaj sağlar.
Create an incident package for incident <incident number> using ADRCI
and upload the incident packages to Oracle Support Services
Trace Dosyaları Oracle Linux işletim sistemi her başladığında ayrıca bir lokal kullanıcı işlem yaptığında son olarak arka planda yapılan bir iş sürecinde bekleyenmeyen bir durum oluşursa kullanılan izler burada tutulur.
Dosya uzantısı veya türü değiştirilmediği süreci .trc olarak tutulur. Eğer farklı bir husus varsa Oracle dökümanlarında belirtilmektedir. Trace dosyasının içeriği system global area, process global area, operating call stack ve register bilgilerini içermektedir.
Errors in file /opt/oracle/log/diag/asm/cell/stado54/trace/svtrc_2763_0.trc
(incident=1): ORA-00600: internal error code, arguments: [main_5], [3],
[Invalid IP Param], [], [], [], [], []
Incident Dosyaları Automatic Diagnostic Repository (ADR), izler, dökümler, uyarı günlükleri, sistem durumu izleme raporları ve daha fazlası gibi veritabanı tanılama verileri için dosya tabanlı bir depodur. Birden çok örnekte ve birden çok üründe birleşik bir dizin yapısına sahiptir.
Incident – Automatic Diagnostic Repository Automatic Diagnostic Repository trace , dump ve alert logların muhafaza edildiği dosya bir havuz alanıdır. Oracle Database , Oracle Automatic Storage Management (Oracle ASM) , Oracle Clusterware ve Oracle Exadata Storage server tüm diagnostic verilerini burada barındırır. Her kayıt farklı dizin adı ile saklanır. Örneğin standalone kurulan bir database lokal diskte saklanırken, RAC olarak kurulan bir veri tabanı ASM üzerinde muhafaza edilmektedir. Automatic Diagnostic Repository’in hiyerarşik dizin yapısı tutarlı bir yapısı güvenli bir barındırma sağlarken kolerasyon imkanıda sağlamaktadır.
ÇözümPark Bilişim Portalı olarak üçüncüsünü düzenleyeceğimiz IT Excalibur web seminerleri serisinde bu sefer gündemimiz bilişim sektörünün 2020 planları, dijital dönüşüm yolculukları ve bulut bilişim olacaktır. Bu alanda çok yetkin misafirlerimize hem kendi organizasyonlarındaki planları, bakış açıları, iş ihtiyaçları sorulacağı gibi yine sahip oldukları tecrübeler doğrultusunda sizden gelen sorulara da yanıt vermeye çalışacağız. Bu yıl içerisinde yapılacak yatırımlarınıza yön vermek, sektörün 2020 planlarını dinlemek ve fikir alış verişinde bulunmak için sizleri 11 Şubat günü canlı yayınımıza bekliyoruz.
Moderatörlüğü Hakan Uzuner’ in yapacağı web seminerimizin katılımcıları aşağıdaki gibidir;
Bidar Özgür Ulutaş, HR Direktörü – Nobel İlaç
Çigdem Kayali, Orta Doğu ve Afrika Grup Direktörü – Microsoft
Şirin Aktaş, Türkiye, Türki Devletler, İran IT Direktörü – Unilever
Profesyonel penetrasyon testleri ve güvenlik denetimi için gerek duyulabilecek araçlarla donatılmış GNU/Linux dağtımı olan Kali Linux’un son sürümü yayınlandı.
Default olarak root kullanıcı ile gelmemesi en büyük yeniliklerden biri olarak duyuruldu.
Daha önce haberini yaptığımız yeni sürüm bir çok yeni özellikle ve araç ile birlikte geliyor.
Canonical, Microsoft’un desteğinin sona ermesi ve hata düzeltmeleri yayınlamayı bırakmasıyla Windows 7 kullanıcılarının Ubuntu Linux’a geçişine yardımcı olmak için eğitim serisinin ilk bölümünü yayınladı.
Canonical Geliştirici Savunucusu Igor Ljubuncic, “Windows 7 kullanıcılarının eski işletim sistemlerinden Ubuntu’ya geçişine yardımcı olacak bir dizi ayrıntılı, adım adım öğretici eğitim serisi sağlayacağız.” Dedi.
Paylaşılan gönderi, gerçek geçiş ve veri yedekleme aşamasından önceki adımları kapsıyor ve kurulum adımlarının yanı sıra yükleme sonrası yapılandırma ve masaüstü ortamı kurulum sürecini detaylandıran eğiticiler izliyor.
Windows 7 kullanıcıları, Windows 10’a yükseltme veya macOS, Windows 10 gibi aktif destek altında olan bir işletim sistemine sahip yeni bir bilgisayar alma seçeneğine sahip olsa da, Canonical ücretsiz Ubuntu Linux dağıtımına geçmelerine yardımcı olacaklarını söylüyor.
Ljubuncic’in Ubuntu’ya geçmek için listelediği nedenler arasında, açık kaynaklı ve ücretsiz bir işletim sistemi olması listenin başında yer alıyor.
Ubuntu ayrıca şu anda Windows platformunda bulunan milyonlarca kullanıcı tarafından desteklenen Chrome, Firefox, Steam, Spotify, Skype ve VLC gibi uygulamaların yanı sıra milyonlarca kullanıcı tarafından kullanılan güvenli ve sağlam bir işletim sistemi olarak sunulmaktadır.
Henüz Linux’a taşınmamış belirli bir Windows programı çalıştırmanız gerekiyorsa, Wine uyumluluk katmanı çoğu durumda uygulamayı kullanmanıza izin veriyor.
Ubuntu, kurulumdan önce canlı bir DVD veya sürücü oluşturarak test edilebilir. Böylece Ubuntu’nun bilgisayarlarının donanım bileşenlerini destekleyip desteklemediğinden emin olmak isteyen kullanıcılara da fırsat sağlıyor.
Konu ile ilgili gönderiye buradan ulaşabilirisiniz.
Daha önce haberini yaptığımız ve ileride yayınlanacak güncelleme ile düzelteceğini belirttiğimiz güncelleme geldi.
Yayınlanan Windows 10 1909 KB4532695 toplu güncelleştirmesi ile kasım 2019 güncelleştirmesinin yayımlanmasından sonra dosya gezgininde meydana gelen arama kutusunun kullanılamaz hale getiren bazı hataları düzeltti.
Microsoft, Kasım 2019 Güncelleştirmesi olarak da bilinen Windows 10 1909 sürümüyle windows aramayı dosya gezgini’ne entegre etmişti. Bu güncelleme sonrasında özellikte Windows gezgininde sorunlar çıkmaya başlamıştı. Yayınlanan güncelleme ile bu sorununda içinde bulunduğu bazı sorunlar düzeltildi.
Merhaba bu makalemizde Windows Server 2012 R2 işletim sistemi üzerinde yer alan Active Directory yapımızı, Windows Server 2019 üzerine taşıma işlemini ele alıyor olacağız. Microsoft sistemlerde genel iki farklı türde eski sistemlerden, yeni sistemlere geçiş yapısı mevcuttur. Bunları çok kısa ele alacak olursak;
In-Place (Yerinde Yükseltme): Yerinde yükseltme. Mevcut mimari üzerinde yeni mimarinin yüklemesinin çalıştırılması ile başlatılır ve tüm içerik ve ayarlarla yeni sisteme geçiş sağlanır. Örnek olarak Windows7 bilgisayarımıza güncelleme aracı yardımı ile veya yükleme medyası ile Windows 10 kurarak, dosya ve ayarlarımızı muhafaza ederek geçiş.
Migration (Taşıma): Bu yöntemde ise yeni mimari ayrı bir yapı üzerine kurularak, eski yapı üzerinde gerekli görülen roller ve içerikler taşınır. Örnek olarak Windows Server 2008 Active Directory sunusuna, Windows Server 2019 sunucuyu Additional Domain Controller olarak kurup ayarları taşıyıp, Windows Server 2019 olan sistemi Domain Controller olarak yapılandırmak.
Bu makalemize konu olan Windows Server 2012 R2 işletim sistemi üzerinde yer alan Active Directory yapımızı, Windows Server 2019 üzerine taşıma işlemi sırasında Migration mimarisini kullanacağız. Bu işlem Yerinde Yükseltme mimarisi ile yapılabilir ancak güvenilen bir metot olmadığı için Taşıma mimarisi ile yapacağız. Bunun nedeni ise AD sunucuları ortamların en kritik cihazlarıdır ve en ufak bir riske girmeyecek kadar önemlidir. Aşağıda yer alan mimaride geçiş işlemini yapacağız.
Makalemizdeki işlemleri aşağıdaki sıralama ile yapıyor olacağız.
Windows Server 2019 Sunucuya Additional Domain Controller Rolünün Kurulumu
Windows Server 2019 ADC Sunucu Üzerine FSMO Rollerinin Aktarılarak Domain Controller’e Çevrilmesi
Windows Server 2012 R2 Additional Domain Controller Sunucusunun Ortamdan Kaldırılması
Windows Server 2019 Domain Controller Domain ve Forest Function Seviyelerinin Yükseltilmesi
Bu bilgilerden sonra adımlarımıza başlayabiliriz. Öncelikle ortamımızı biraz inceleyelim. Yapımızda hali hazırda üzerinde Domain rolü kurulu bir Windows Server 2012 R2 sunucumuz yer almakta.
Active Directory Site and Services konsolunda görüldüğü gibi bir adet Domain Controller sunucuya sahibiz.
Domain yapımızın genel hatları aşağıdaki gibi.
Domain sunucumuzun Ip yapılandırması aşağıdaki gibi.
Domain rolümüzü aktaracak olduğumuz yeni sistemimiz olan Windows Server 2019 kurulu sunucumuzun durumu aşağıdaki gibi. Temiz kurulmuş, güncellemeleri yapılmış Workgroup olarak çalışan bir sunucu.
Sunucu üzerindeki IP yapılandırması aşağıdaki gibi.
Domain Controller olan sunucumuza erişimimizde sorun yok. Ping isteğine karşılık alabiliyoruz.
Geçişi yapacak olduğumuz Windows Server 2019 Sunucumuzun ip yapılandırması aşağıdaki gibi. Şu anda kendi başına çalışan bir sunucu olduğu için DNS olarak Domain Sunucumuzu görmekte.
Öncelikle Windows Server 2019 işletim sistemi kurulu olan sunucumuzu Domain’e üye yapalım.
Domaine üye yapabilecek hesap bilgilerini ve parolasını girelim.
Sunucumuz Domaine başarı ile üye oldu OK butonuna tıklayarak bu adımı bitirelim.
Ayarların geçerli olması için karşımıza gelen ekranda Restart Now butonuna tıklayarak sunucumuzu yeniden başlatalım.
Sunucumuzun Domaine dahil olduğunu Active Directory sunucumuzda, Active Directory Users and Computers konsolunda aşağıdaki gibi görebiliyoruz.
Windows Server 2019 sunucumuz domaine üye olduğuna göre Administrator hesabı ile Domain ortamına login olalım.
Buraya kadar olan kısımda ön hazırlıkları tamamladık . Ortamımızı tanıttık. Additional Domain Controller rolü kurulacak olan sunucumuzu Domaine üye ettik. Bu aşamadan sonra işlem adımlarımıza başlayabilir.
Windows Server 2019 Sunucuya Additional Domain Controller Rolünün Kurulumu
Sunucumuz üzerindeki Server Manager konsolumuzu açalım. Aşağıda resmimizde yer alan alanlardan herhangi birini kullanarak Active Directory Domain Services rolünün kurulumuna dolayısı ile Windows Server 2019 sunucumuzu Additional Domain Controller yapma adımlarına başlayalım.
Açılan ekranda sihirbaz ile yapabileceklerimiz noktasında bilgi verilmektedir. Next ile bir sonraki ekranımıza ilerleyelim.
Açılan ekranımızda iki seçeneğimiz yer almaktadır. Bunlardan birincisi olan;
Role-based or feature-based insallation : Rol ve Özellik bazında ekleme kurulum yapma imkanı verir. Windows Server 2019 içerisinde sahip olduğumuz sürüme göre, içerisinde bulunan ve ihtiyacımız olan rol ve özellikleri buradan ekleyip kaldırabilmekteyiz.
Remote Desktop Services installation: Eski zamanlarda Terminal Servis olarak anılan ve şimdi RDS (Remote Desktop Services) uzak masaüstü yapılandırmasını hızlı ve standart olarak buradan yapabilmekteyiz.
Bu nedenle biz RDS kurulum ve yapılandırması yapmayacağımız için Role-based or feature-based insallation seçimini yaparak Next ile ilerleyelim.
Windows Server 2008, 2012, 2016 ve 2019 ile birlikte sunucu kümesi oluşturarak bu küme üzerine toplu olarak ve farklı bir sunucu üzerinden Rol ve Özellik ekleme ve kaldırma işlemleri yapabilir duruma geldik. Tabi bu işlem Windows Server 2012, 2016 ve 2019 üzerinden doğrudan yapılabilirken Windows Server 2008’e bazı özellikler katmamız gerekiyordu. Bizim ortamımızda tek bir sunucumuz olduğundan ve bu sunucumuza Active Directory rolünü kuracak olduğumuzdan Adı, ip adresi ve versiyon bilgisi sunulan sunucumuzu seçerek Next ile ilerliyoruz.
Karşımıza gelen ekrandan kuracak olduğumuz Active Directory Services rolünü seçiyoruz.
Active Directory rolünü kurmak istediğimizde bu rolün kurulabilmesi için farklı özelliklerin ve bileşenlerin gerekli olduğunu gösteren bir ekran karşımızda belirliyor. Rol kurulumu için gerekli olan bu bileşenlerinde yüklenmesi için Add Features butonuna tıklayalım.
Şimdi kurulacak olan rolümüz seçili hale geldi. Bir sonraki adıma ilerleyebiliriz. Şimdi Next butonuna tıklayarak bir sonraki adıma ilerleyelim.
Bir sonraki ekranımızda özellik ekleme ekranımız bizi karşılamakta. Bir özellik ekleme istediğimiz durumda bu ekranı kullanmalıyız. Biz bu ekranda bir özellik eklemeyeceğimiz için Next ilerleyebiliriz. Burada dikkat edecek olursanız bir önceki ekranda gerekli olan özelliklerin kurulmasına onay vermiştik. Bu ekranımızda gerekli olan .Net ve Group Policy Management özelliklerinin seçilmiş olduğunu görüyoruz.
Bu ekranımızda geçmiş ekranlara göre farklı bir arayüzün gelmiş olduğunu görebilmekteyiz. Artık sistemlerin buluta entegre olması ile birlikte On-Premises sitemimizde yer alan Active Directory yapısını Ofis 365 Azure üzerindeki Active Directory yapısına bağlama imkanına sahibiz. Biz şu anda böyle bir aksiyon almayacağımız için Next ile bir sonraki adıma ilerliyoruz.
Kurulum sırasında restart gibi bir durum gerekir ise bunun gerçekleşmesi için Restart the destination server automatically if required seçeneğini işaretleyelim.
Gelen uyarı ekranındaki soruya Yes ile yanıt verelim.
Artık adımlarımızı tamamlama noktasına yaklaştık. Şimdiye kadar olan seçimlerimizin bir özeti karşımıza geldi. Install butonuna tıklayarak kuruluma başlayalım.
İşlemimiz tamamlandı ancak sadece rolün kurulumu tamamlandı. Active Directory mimarisini devreye alabilmemiz için yapılandırma adımına geçmemiz gerekmektedir. Yapılandırma işlemini Promote this server to a domain controller linkine tıklamamız gerekmektedir. Ben bu işlemin farklı bir yerden daha yapılabildiğini gösterebilmek için Close butonu ile çıkış yapıyorum.
Mimarimizi biçimlendirme adımının ilkine geldik. Bizim ortamımızda bir Forest bulunduğu, Mevcutta olan bir domaine ve foreste dahil olacağımız için Add a domain controller to an existing domain raido butonu ile seçimimizi yapmalıyız. Bu adımdan sonra COZUMPARK.LOKAL isimli domain bilgisi otomatik olarak geldi. Kurulumu yapabilmek adına yetkili bir kullanıcı seçimini Change… butonuna tıklayarak gerçekleştirmemiz mümkün ancak biz Domain Administrator grubu üyesi olan Administrator hesabı ile sisteme login olduğumuz için burada bir işlem yapmadan Next ile ilerliyorum.
Biz Additional Domain Controller sunucusu kuracağımız için buradaki mevcut ayarlara müdahale etmeden bir DSRM parolası belirleyerek Next ile sonraki adıma ilerleyelim.
Bu ekranımızda yine bir ayar gerçekleştirmeden Next ile bir sonraki adımımıza ilerleyelim.
Biz bir media ile kurulum yapmayacağımız ve bir replikasyon işlemi yapmayacağımız için varsayılan ayarlar ile Next butonuna tıklayarak bir sonraki adıma ilerliyoruz.
Bu ekranımızda AD log ve database kayıtlarının nerede tutulacağı bilgisi sorulmakta. Biz varsayılan ayarlara dokunmayacağız. Next ile sonraki adıma ilerleyelim.
Bu ekranımızda Next ile ilerleyelim.
Bu ekranımızda yapılarak olan işlemler özetlenmekte. View Script butonu ile kodlarımızı görebilir farklı işlemlerde kullanmak ve otomasyonel olarak işlem yapmak için kullanabiliriz. Next ile bir sonraki adımımıza ilerleyelim.
Gerekli kontroller yapıldı ve Additional domain sunucumuz kuruluma hazır. Install butonu ile kurulumumuzu başlatalım.
Kurulum tamamlandı ve sistemimiz otomatik olarak yeniden başlayacak.
Sistemimiz yeniden başladı. Active Directory Domain Services rolümüz sorunsuzca yüklendi.
DOMAIN2 isimli sunucumuz Domain Rolü yüklendiği ve yapılandırıldığı için Active Directory Users and Computers konsolu üzerinde Domain Controllers kabına eklendi.
Active Directory Site and Services konsolunda somain controller sunucularımız gözükmekte.
Domainlerden herhangi biri üzerindeki Replikasyon objesini sağ tıklayarak Replication Now butonuna tıklayarak manuel tetikleyelim.
Domain controller üzerindesiki paylaşımlara bağlantı sağladığımızda Sysvol ve Netlogon paylaşımlarının sorunsuzca oluştuğunu gözlemleyebiliyoruz. Bu sunucumuzda zaten bu paylaşımlar vardı ancak diğer sunucumuzdada paylaşımlar oluştu.
DOMAIN2 isimli yeni domain controller sunucumuz üzerindeki Actide Directory servislerinin sorunsuz olarak Start durumda olduğunu görebiliyoruz.
Şimdi Domain controller sunucumuz üzerindeki kullanıcılarımıza bakıyoruz.
Replikasyon işlelerinin yolunda olduğu ve sorunsuz işlediği kullanıcıların diğer additional controller sunucumuzda olmasından gözlemleyebiliyoruz.
Komut satırı üzerinden replikasyon durumunu repadmin /showrepl komutu ile denetlediğimde hata olmadığını görüyorum.
Senkronizasyonu elle repadmin / syncall komutu ile tetiklediğimde burada yine hata almadan işlemimizin başarı ile tamamlandığını göreibliyoruz.
FSMO rollerinin hangi sunucu üzerinde olduğunu görebilmek için netdom query fsmo komutunu çalıştıdığımızda görebiliyoruz. Doğal olarak tüm rollerin Domaişn Controller sunucumuzda olduğunu görebiliyoruz. FSMO rolleri hakkında gerekli bilgiyi bir sonraki adımımızda veriyor olacağım.
Windows Server 2019 ADC Sunucu Üzerine FSMO Rollerinin Aktarılarak Domain Controller’e Çevrilmesi
Bu aşamamızda FSMO rollerimizi Windows Server 2019 işletim sistemi kurarak, Additional Domain Controller olarak yapılandırdığımız sunucumuz üzerine alacağız. Bunun öncesinde FSMO rollerini açıklayalım.
Active Directory ortamında Forest ve Domain bazlı olmak üzere 5 adet rolümüz bulunmaktadır. Bu roller aşağıdaki gibi dağılmaktadır.
Schema Master : Schema’daki tüm güncellemeler ve değişiklikler bu rol tarafından kontrol edilir. Bir forest’ta yalnızca bir schema master yer alabilir.
Domain Nameing Master: Domainlerin isim babası. Bu role sahip olan domain controller, forest’a yeni domain’ler eklenmesi ya da domain’lerin çıkartılması işlemlerini kontrol eder. Bir forest’ta yalnızca bir domain naming master yer alabilir.
Pdc emulator: Domain’de Windows Server 2003 domain controller’ları ya da Windows NT backup domain controller’ları (BDC) varsa, PDC Emulator rolüne sahip olan domain controller, Windows NT PDC’si gibi görev yapar. Bunun dışında Client’ların password değişikliklerini işler ve güncellemeleri BDC’ye replike eder. Tüm domain controller’lar Windows Server 2003 ise, PDC emulator rolüne sahip olan DC diğer domain controller’lar tarafından yapılan password değişikliklerini kabul eder. Bir password değiştirildiğinde, tüm DC’ler arasında replike edilmesi zaman alır. Yanlış password nedeniyle gerçekleşen bir kimlik denetimi sorununda, DC’ler logon girişimini reddetmeden önce bu isteği PDC emulator’e gönderirler.
Rıd Master: Nesnelere ID verir. Bu role sahip olan domain controller, o domain’de yer alan tüm domain controller’lara Relative ID değerlerini verir. Böylece bir domain controller yeni bir kullanıcı, grup ya da bilgisayar nesnesi yarattığında o nesneye benzersiz bir security ID atanır. Security ID, bir domain security ID’den ve relative ID’den oluşur. Bir nesneyi domain’ler arasında taşımak için RID master rolüne sahip domain controller’ın bu işlemi gerçekleştirmesi (çalışıyor olması) gerekir.
Infrastructure Master: Bu role sahip olan domain controller, kendi domaini içindeki nesnelerin diğer domainlerden başvurulmasını sağlayan referans bilgileri günceller. Nesnelerin domainler arasında işlem görmelerini sağlar (onaylar). Bir domain’de aynı anda yalnızca bir tane infrastructure master yer alabilir.
Bu rollerimizin üzerine kitap bile yazmak mümkün ancak biz genel olarak açıkladık. Bu rollerin aktarımı 3 farklı konsol üzerinden yapılmaktadır. Şimdi Windows Server 2019 Additional Sunucumuz üzerinde Active Directory Domain and Trust konsolumuzu açalım. Domain ismimiz olan COZUMPARK.LOKAL sağ tıklayarak üzerinde Operations Masters… linkine tıklayalım.
Açılan ekranımızda Operations Master rolümüz görünmekte. Operation master olarak Windows Server 2012 R2 işletim sistemine sahip olan DOMAIN1 isimli sunucumuz görünmekte. Bir altta ise bu rolümüzü transfer edebileceğimiz Windows Server 2019 sunucumuz görünmekte. Biz rolümüzü Windows Server 2012 R2 sunucumuz üzerinden Windows Server 2019 sunucumuz üzerine taşıyacağımız için Change butonuna tıklayalım.
Transfer işlemini yapmak isteyip istemediğimizi belirten soruyu Yes ile geçelim.
Transfer işleminin başarı ile gerçekleştiğini belirten mesajımızı OK butonuna tıklayarak kapatalım.
Operations Master rolümüzün başarı ile Windows Server 2019 Additional Domain Controller sunucumuza taşındığını görebilmekteyiz. Şimdi Windows Server 2019 Additional Sunucumuz üzerinde Active Directory Domain and Computers konsolumuzu açalım. Domain ismimiz olan COZUMPARK.LOKAL sağ tıklayarak üzerinde Operations Masters… linkine tıklayalım.
Açılan ekranımızda RID rolümüz görünmekte. Operation master olarak Windows Server 2012 işletim sistemine sahip olan DOMAIN1 isimli sunucumuz görünmekte. Bir altta ise bu rolümüzü transfer edebileceğimiz Windows Server 2019 sunucumuz görünmekte. Biz rolümüzü Windows Server 2012 R2 sunucumuz üzerinden Windows Server 2019 sunucumuz üzerine taşıyacağımız için Change butonuna tıklayalım.
Transfer işlemini yapmak isteyip istemediğimizi belirten soruyu Yes ile geçelim.
Transfer işleminin başarı ile gerçekleştiğini belirten mesajımızı OK butonuna tıklayarak kapatalım.
İşlemimiz başarı ile tamamlandı.
Şimdi aynı işlemlerimizi diper PDC ve Infrastructure rollerimiz için yapalım.
Şu ana kadar 4 rolü taşıdık. Şimdi son olarak Schema Master rolümüzü taşımamız gerekmekte bu işlem için öncelikle schmmgmt.dll dosyasını register etmemiz gerekmekte. CMD ekranımızı açalım ve aşağıdaki komutu çalıştıralım.
Regsvr32.exe C:\windows\system32\schmmgmt.dll
Dll dosyamız başarı ile register edildi. OK il bu ekranımızı kapatalım.
Bu aşamadan sonra MMC konsolumuzu Çalıştır ekranına mmc yazarak açalım.
Açılan ekranımızda yer alan objelerden Active Directory Schema objesini Add ile seçilmiş obje ekranımıza aktaralım.
Konsolumuza eklenen objemize sağ tıklayalım ve Operations Master… kısmına tıklayalım.
Açılan ekranımızda Change… butonuna tıklayarak son rolümüz olan Schema Master rolünün aktarımını da tamamlayalım.
Transfer işleminin başlatmak için YES butonuna tıklayarak kapatalım.
Transfer işleminin başarı ile gerçekleştiğini belirten mesajımızı OK butonuna tıklayarak kapatalım.
Son rolümüzün aktarım işlemide başarılı olarak tamamlandı.
Bu aktarım işlemlerini komut satırından yapma imkanına da sahibiz. Özellikle Domain sunucuzu erşilmez durumdaysa ve rolleri zorla aktarmak durumunda kalırsak bu işlemleri komut satırı üzerinden yapmak durumundayız. Komut satırından netdom quey fsmo komutunu çalıştırdığımızda rollerin taşınmış olduğunu görebilmekteyiz.
Windows Server 2012 R2 Additional Domain Controller Sunucusunun Ortamdan Kaldırılması
Windows Server 2019 ile birlikte artık DCPROMO.EXE son buldu. Bu nedenle rolümüzü Server Manager üzerinden kaldırmamız gerekmekte. Server Manager ekranını açarak Remove Roles and Features kısmına tıklayalım.
Sihirbaz ekranını geçerek Next ile sonraki adıma geçelim.
Ekranımızda rolümüzü seçecek olduğumuz sunucuyu seçelim. Next ile sonraki adıma ilerleyelim. Windows Server 2012 ile birlikte uzak sunuculara rol yükleme ve kaldırma özelliği geldi. Bu ekrandan farklı sunucu üzerinde işlem yapma hakkımız olduğunu da unutmayalım.
Rolümüzü kaldırmak için rolün başında yer alan checkbox işaretini kaldıralım.
Rolümüzün kalkması ile birlikte aşağıdaki özelliklerinde kaldırılacağı bilgisi verilmekte. Bu özellikle Active Directory rolü ile kullanılan özellikler olduğundan dolayı bu ekranda Remove Features butonuna tıklayalım.
Bizim sunucumuz erişilebilir ve ortamımızda sorun olmadığından dolayı Force the removal of this domain controller seçimini yapmadan ekranımızda olduğu şekilde bırakarak Next butonuna tıklayalım. Bu işlem sonrasında otomatik olarak sistemin yeniden başlatılacağı bilgisi alt kısımda bize verilmekte.
Proceed with removal seçimini işaretleyelim.
Sunucumuz Additional Domain Controller rolünden çıktıktan sonra bir local admin parolasına sahip olmalı. Bu nedenle bu ekranımızda bir local admin parolası belirleyelim ve Next ile sonraki adıma ilerleyelim.
Gerekli işlemler otomatik olarak yapıldı Demote ile sistemin yeniden başlamasını sağlayalım.
Sistemimiz yeniden başlıyor.
İşlemimiz tamamlandı.
Domain controller rolü kaldırılmış olmasına rağmen doman yönetim toolları kalmaay devam edecektir.
Ortamdan kaldırılan Windows Server 2012 R2 domain controller sunucumuz üzerindeki Active Directory hizmetleri otomatik olarak disable duruma gelmiş durumda.
Domain Controllers kabımızda ise sadece Windows Server 2019 olan sunucumuzun yer aldığını görebiliyoruz.
Ortamdan eski kalıntıları elle temizlememiz gerekmekte. Bu nedenle Active Directory Sites and Services konsolu altında yer alan eski sunucumuzu silelim.
Silme işlemini onaylayalım.
Silme işlemi tamamlandı.
Dns tarafında işler güzel gidiyor. Kayıtlarda yeni sunucumuzun ip adresi yer almakta.
Son olarakta Additional Domain Sunucu olarak kurduğumuz ve sonrasında Domain Controller Sunucusu olarak atadığımız sunucu üzerindeki dns bilgisini değiştirelim.
Dns olarak artık ortamdaki tek ve yeni Domain Controller Sunucumuzun ip adresini yada kendisini tanımlayan 127.0.0.1 ip adresi verleim.
Windows Server 2019 Domain Controller Domain ve Forest Function Seviyelerinin Yükseltilmesi
Bu işlemlerden sonra artık Windows Server 2019 işletim sistemine geçiş sonrasında Active Directory bakımından yeni sistemin meyvelerini yiyebilmek adına Domain ve Forest Function seviyelerini yükseltmemizde yarar var. Bu ayarlardan sonra geri dönüş olmayacağı için analizimizi yapıp netleştirmemiz gerekir.Öncesinde Domain ve Forest Function Level nedir bunları açıklayalım.
Microsoft yeni nesil işletim sistemlerini geriye dönük uyumlu çalışmasını istemektedir. Bunun temel nedeni Active Directory gibi köklü bir ürünün piyasada pek çok firma tarafından yıllardır kullanılmasıdır. Yani aklınıza gelen hemen hemen büyün büyük markaların bir active directory domain mimarisi vardır ve bunu yıllar önce kurmuşlardır. Şu anda güncel server işletim sistemi 2008 R2′ dur ( bu yazıyı yazdığım zaman ). Ancak yakın zamanda Windows Server 8 çıkacaktır. Benzer şekilde NT 4.0 dan beri AD mimarisini kullanan firmalar yeni çıkan işletim sistemlerini kendi bünyelerine katmak istediklerinde bunu rahatlıkla yapabilmektedirler. Bunun en temel sebebi yeni çıkan işletim sistemlerinin eski işletim sistemleri ile uyumlu çalışmasını sağlayan bir takım fonksiyon seviyeleri vardır. Örneğin siz bir windows server 2000 ile kurulmuş AD yapısına 2003 bir server’ ı eklerseniz bu server varsayılan olarak 2000 ile uyumlu çalışacaktır. Ve böyle bir domain yapısında Domain Function Level Windows 2000 olacaktır. Çünkü burada seviyeyi belirleyen etken en eski işletim sistemidir. Benzer şekilde 2003 ile 2008 olan bir ortamda Domain Function Level 2003 olacaktır. Peki diyelim ki ortamdaki 2003 Server’ ı kaldırdınız bu seviyeyi yükseltmek gerekir mi ? Evet, çünkü siz yeni nesil bir işletim sistemini düşük seviye bir FL ile çalıştırırsanız bu yeni özelliklerin kullanılmaması anlamına gelmektedir. Örneğin Windows Server 2008 R2 Forest Function Level ile Recycle Bin özelliği gelmektedir.
Peki Domain Function Level – DFL ile Forest Function Level – FFL arasındaki fark nedir ? DFL sadece kendi içinde bulunduğu domaindeki dc lerin işletim sistemi seviyesine göre belirlenirken, FFL içinde sakladığı tüm domainlerin seviyesini belirler. Örneğin bir Forest içerisinde iki domain olsun. Bu iki domain içerisinde de iki DC.
A.COM domain yapısındaki DC lerin her ikiside 2008 R2 olsun, bu durumda A.COM domain yapısı için DFL 2008 R2 olabilir ( yükseltirseniz ).
B.COM domain yapısındaki DC lerin birisi 2003 diğeri 2008 R2, bu durumda B.COm domain yapısı için DFL 2003 tür.
Bu iki domain’i barındıran forest için FFL ise yine 2003 olacaktır.
Şimdi bu açıklamalardan sonra yükseltme işlemine geçebiliriz. Öncelikle Domain seviyesinde yükseltmemiz durumunda, sonrasında Forest bazında yükseltme yapabiliriz ancak, önce Forest bazında yaparsak bu domain bazında yükseltme işlemini de otomatik olarak yapacaktır. Bu noktayı gözden kaçırmayalım.
Active Directory Domain and Trust konsolumuzu açalım.
Active Directory Domain and Trust ağacına sağ tıklayarak Raise Forest Functional Level… menüsünü tıklayalım.
Açılan ekranımızda Forest Functional Level olarak Server 2012 R’ gözükmekte. Alt kısımda ise yükseltme yapabilmemiz için seçeceğimiz seviyeler bulunmakta. Ben test ortamında olduğum ve sunucunun tüm güncellemelerini yapmadığım için en yüksek seviye olarak Windows Server 2016 geldi. Güncellemeleri yapmanız durumunda burada ilave olarak Windows Server 2019’da gözükecektir. Ben Windows Server 2016 seçimini yaparak Raise butonuna tıklıyorum.
Seviye yükseleceği için bunun tüm yapıyı etkileyeceği ve değişiklik yapılması durumunda geri alınamayacağı bilgisi geliyor. OK ile işlemi onaylıyorum.
Başarı ile yapılan işlem sonrasında gelen mesaj ekranını OK ile kapatıyorum.
Tekrardan aynı ekranı açtığımda Forest Functional Level olarak Server 2016 olduğunu ve artık yükselecek seviye kalmadığı için alt kısımda yükseltme yapılacak olan seçeneklerin gelmediğini görebiliyoruz.
Domain Functional Level durumu nedir diye kontrol etmek için Active Directory Users and Computers konsolunu açalım. Forest bazında yükseltme yaptığımız için bunun Domain üzerindeki seviyeyi yükselteceğini yukarıda paylaşmıştık.
Menü ağacı üzerinde yer alan COZUMPARK.LOKAL domainine sağ tıklatıp açılan menüden Raise domain functional level… menüsüne tıklayalım.
Buradaki seviyemizin de yükselmiş olduğunu görebiliyoruz.
Bir yapıda eski Domain Sunucusunu, yükseltmek isteyen kişiler için gerekli tüm kavramları ve adımları açıklamaya çalıştım. Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.
