SSTEM VE A TEKNOLOJLER

Windows Server 2003 A Kurulum ve Ynetimi Cilt 1

Steve Suehring, James Chellis, Matthew Sheltz

eviren Ali Samay Editr C. Banu ncolu

23-7

Windows Server 2003 A Kurulum ve Ynetimi Cilt 1

Lisa Donald, James Chellis
MCSA/MCSE: Windows Server 2003 Network Infrastructure Implementation, Management, and Maintenance Study Guide: Exam 70-291, 2nd Edition eviren: Ali Samay eviri Editr: C. Banu ncolu eviri Danmanlar: Fikri Blent elik Erdoan Bilici Kapak Tasarm: Melih Sancar Grafik Uygulama: Tuna Erkan Genel Yayn Ynetmeni: Mehmet mleki

1. Basm: Mays 2008 Rev: 00 Bilge Adam Yaynlar: 25 Eitim Yaynlar Dizisi: 25 ISBN: 978-605-5987-23-7 Yaync Sertifika No: 1107-34-009150

Copyright 2008, Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A.. Copyright 2006 by Wiley Publishing, Inc., Hoboken, New Jersey.. All Rights Reserved. This translation published under license with original publisher John Wiley & Sons, Inc. The Sybex brand trade dress logo is a trademark of John Wiley & Sons, Inc. in the United States and other countries. Used with permission. Wiley, the Wiley logo, and the Sybex logo are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries, and may not be used without written permission. All other trademarks are the property of their respective owners. Wiley Publishing, Inc., is not associated with any product or vendor mentioned in this book. Eserin tm yayn haklar Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A..ye aittir. Yaynevinden yazl izin alnmadan ksmen ya da tamamen alnt yaplamaz, hibir ekilde kopya edilemez, oaltlamaz ve tekrar yaymlanamaz. Bilge Adamn rencilerine cretsiz armaandr, para ile satlamaz. Sybex logosu Wiley Publishing, Inc. firmasnn ABDde ve dier lkelerde tescilli markasdr. Kullanm izne tabidir. Wiley Publishing, Inc. ve Bilge Adam A.. bu eserde bahsi geen hibir rn veya retici ile herhangi bir ekilde balantl deildir.

Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A.. 19 Mays Mahallesi, 19 Mays Caddesi, UBM Plaza, No: 59-61, Kat: 4-7; ili, stanbul Telefon: (212) 272 76 00 (212) 217 05 55 Faks: (212) 272 76 01 www.bilgeadam.com - info@bilgeadam.com

Tantm nshasdr, para ile satlamaz.

Teekkr
Bu kitap birok nedenden dolay ilgi ekici ve heyecanlandrcdr. Windows 2000 Server, Active Directory ve ileriye dzey ynetim zellikleri ile Windows iletim sistemine devrim yapm iken, Windows Server 2003 ile de alt kantlanm nceki formle yeni bir alm getirmitir. Bu arada Microsoft dikkati eker bir ekilde Windows Server 2003 MCSA ve MCSE programlarn deitirmitir. Bu yzden yazarlar ve eitmenler, ok abuk deien sertifikasyon pazarna ayak uydurmak iin taktiklerini deitirmek zorunda kaldlar. Service Pack 1 ve ardndan R2nin piyasaya sunulmas ile Microsoft bir firewall ekledi ve iletim sisteminin networkle etkileimine etki eden dier deiiklikleri yapt. Bununla birlikte, bu kitap yazlrken snav esaslar R2 tabannda deitirilmemiti. Rebeccaya, aileme, Chris Tueschera, Tim McKeown, Rob Konkol, Jackie Vettera teekkrler. Tiffany, Stony, Pearl & Moff. Ayn zamanda, Pat Dunn, Kent & Amy Laabs, Duff Damos, Jim Oliva, John Eckendorf, Andy Hale, Angie Vetrone, Eliot Irons, Keith Imlach, Nick Garigliano, Aaron Deering, Suzi Limberg, Jeff Sanner, Greg Pfluger, Mike Wrzinski, Kevin Barnes-Schmidt, Jill Brown, Steve Hannan ve geri kalan herkese teekkr ederim. Windows Server ile ilgili tm yardmlar iin Tony Faldutoya da teekkr ederim! Elbetteki Jim, Jer, John, Berky, Justin, Dan Noah, Mark, Erich, Jay & Deb Schrank, Brian Page ve dier CORE alanlarna, Denise, Meek, Jake, Aaron, Aj, James ve Voyager/CoreCommdaki herkese (ya da nceki alanlara). Studio Bdeki temsilcim Laura Lewine ok teekkr ederim. Ayrca Bill Hlavaca bu ylki nemli tavsiyesi iin teekkr ederim. Steve Suchring

IV

indekiler

indekiler
Blm 1: Windows Server 2003 Networkn Anlamak 3 OSI Modeli3 Protokol Takmlar4 Physical Katman5 Data-Link Katman6 Network Katman 7 Transport Katman8 Session Katman9 Presentation Katman 9 Application Katman10 Stackler Arasnda letiim11 Microsoftun Network Bileenleri ve OSI Modeli12 Aygt Srcleri ve OSI Modeli12 Network Protokollerinin Temelleri12 NWLink 15 TCP/IP 16 IP Adreslemesini Anlamak18 Hiyerarik IP Adresleme emas18 Bir Network Subnetlere Ayrmak21 Subnetting Uygulamak 22 Subnetting Nasl Uygulanr?22 Subnet Saylar Nasl Hesaplanr?25 Subnettingi Uygulamak26 Subnet Karakteristiklerini Hzl Bir ekilde Tanmlamak31 Subnet ve Hostlarn Miktarlarn Saptamak32 zet33 Snav in Bilinmesi Gerekenler33 Gzden Geirme Sorular34 Gzden Geirme Sorularnn Cevaplar41

indekiler

Blm 2: TCP/IP Kurulum ve Yaplandrmas 47 Temel TCP/IP Ayarlarnn Yaplandrlmas47 Default Gateway ve DNS Ayarlar47 Otomatik TCP/IP Ayarlarnn Otomatik Yaplandrlmas49 TCP/IP Ayarlarn Manuel Olarak Yaplandrmak 51 Gelimi TCP/IP Ayarlarn Yaplandrmak52 Temel Ayarlar Geniletmek52 Gelimi DNS Ayarlarn Yaplandrmak53 WINS stemcilerini Yaplandrmak 54 Node Tipleri54 WINS stemci Bilgilerini Yaplandrmak55 Network Bindings Yaplandrmak56 Network Trafiini Monitor Etmek58 Network Monitor Driver ve Application Kurulumu 60 Network Monitor Nasl Kullanlr?60 Verileri Yakalamak 61 Verileri Grntlemek61 Filtreler Kullanmak63 Network Aktivitelerini System Monitor ile zlemek65 Saya Eklemek66 Network Protokollerinde Sorun Gidermek68 En Son Deiiklikleri Analiz Etmek68 Problemin Gerek Nedenini Bulmak68 Ne eit Bir Problem? 69 Bu Problemi Kimler Yayor?69 Fiziksel Balantlar Kontrol Etmek70 Ipconfig Aracn Kullanmak70 Ping, Tracert ve Pathping Komutlarn Kullanmak71 Ping Arac 72 Pathping Arac 73 Nslookup Kullanmak74 zet77 Snav Esaslar77 Gzden Geirme Sorular79 Gzden Geirme Sorularnn Cevaplar85

VI

indekiler

Blm 3: Security Policylerini Ynetmek 91 Kullanc ve Grup Hesaplarna Genel Bak91 Kullanc Hesaplar91 Grup Hesaplar92 Security Policy Tipleri ve Aralar93 Active Directoryde Group Policyler93 Group Policy Uygulamalar97 Group Policy Objeleri ve Active Directory97 Farkl Network stemcileri in Policyler Uygulamak98 Local Computer Policylerini Ynetmek 99 Gvenlik Ayarlarn Yaplandrmak 100 Local Computer System Policyleri108 User Profile Policyleri109 Logon Policyleri109 Disk Quota Policyleri110 Group Policy Policyleri110 Windows File Protection Policyleri111 Security Configuration and Analysis Arac ile Gvenlik Yaplandrmalarnn Analizi111 Gvenlik Veritabann Belirlemek111 Bir Gvenlik ablonu Import Etmek112 Bir Gvenlik ablonu Oluturmak112 Gvenlik Analizi Gerekletirmek 114 Gvenlik Analizini Gzden Geirmek ve Uyumsuzluklar zmek114 Yazlm Yklemek ve Bakm Ynetimi116 Windows Update116 Windows Automatic Updates118 Windows Server Update Services Kullanmak119 WSUS Kullanmnn Avantajlar120 WSUS Sunucu Gereksinimleri120 WSUS stemci Gereksinimleri127 WSUS stemcilerini Yaplandrmak127 Microsoft Baseline Security Analyzer Aracn Kullanmak 130 Windows Server 2003 Servislerini Ynetmek133

indekiler

VII

Genel Servis zelliklerini Yaplandrmak133 Servis Log On zelliklerini Yaplandrmak134 Servis Recovery zellikleri134 Servis Bamlln Kontrol Etmek 134 zet135 Snav Esaslar136 Gzden Geirme Sorular137 Gzden Geirme Sorularnn Cevaplar143 Blm 4: IP Seviyesinde Gvenlik Ynetimi 147 IPSecin almasn Anlamak147 IPSec Esaslar 148 IPSec Kimlik Dorulama 153 IPSec Kurulumu154 IP Security Policy Management Snap-In 154 IPSec Yaplandrma155 Yeni Bir Policy Oluturmak 156 Policyleri Atamak ve Atamay Kaldrmak 158 Dier Policy Ynetim zellikleri158 IPSec Policylerini Yaplandrmak159 IPSeci Tunnel Mode in Yaplandrmak166 IPSec Ynetimi ve zleme168 IP Security Monitor Kullanmak168 IPSec Ynetimi in Netsh 172 Event Loggingi Kullanmak 172 IPSec Aktivitelerini Network Monitorde zlemek173 IPSec Sorun Giderme Teknikleri174 Ska Karlalan IPSec Sorunlarn Tanmlamak174 Doru Policynin Atandndan Emin Olmak175 Policy Uyumsuzluklarn Kontrol Etmek175 zet175 Snav Esaslar175 Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak176 Gzden Geirme Sorular178 Gzden Geirme Sorularnn Cevaplar184

VIII

Giri

Giri
Windows Server 2003 Microsoft Certified Systems Administrator (MCSA) ve Microsoft Certified Systems Engineer (MCSE) sertifikasyonlar bilgisayar endstrisi uzmanlar iin en nemli sertifikasyonlardr. MCP program, gelecekte gelitirilecek Microsoft teknolojilerini kapsayarak kariyerde ilerlemek iin gl bir kimlik salar. Bu kitap size, MCSA ve MCSE sertifikasyonlarnn her ikisi iinde esas olan bir snava hazrlanmanz iin gereken beceri ve bilgiyi vermek amacyla gelitirilmitir: Windows Server 2003 A Kurulum ve Ynetimi (Exam 70-291).

Microsoft Certified Professional Program

Bu sertifikasyon program baladndan beri Microsoft milyonlarca kiiyi sertifikalandrd. Bilgisayar networkleri endstrisi hem boyut hem de karmaklk bakmndan bydke elbette bu say da artt ve ayn zamanda yetenekleri ispatlamaya olan ihtiya da artacaktr. irketler alanlarn ve yklenicilerin muhtemel becerilerini saptama ileminde sertifikasyonlara gveniyorlar. Microsoft, Microsoft Certified Professional (MCP) programn, sizin Microsoft rnleri ile etkin ve profesyonel olarak alabildiinizi kantlar. MCP sertifikasyonunu alabilmeniz iin Microsoft sertifikasyon snavlarnn birinden gemenizi gerekir. Belirli snavlara gre eitli seviyelerde sertifikalar vardr. lginizi eken ya da tecrbe sahibi olduunuz alanlara gre MCSA ya da MCSE sertifikalarna sahip olabilirsiniz. Microsoft Certified Systems Administrator (MCAS) on Windows Server 2003: MCSA sertifikasyonu Microsoftun en son sertifikasyonudur. Bu sertifikasyon, masast ve network ynetimi konularnda aa yukar 6 ila 12 ay arasnda bir tecrbeye sahip sistem ve network yneticilerini hedef alr. MCSA giri dzeyi sertifikas olarak dnlebilir. MCSA sertifikasna sahip olmak iin toplamda 4 adet snavdan gemelisiniz. Eer Windows 2000 zerinden bir MCSA iseniz Windows Server 2003 zerinden MCSA olmanz iin bir adet Upgrade snavna girebilirsiniz. Microsoft Certified Systems Engineer (MCSE) on Windows Server 2003: Bu sertifikasyon Microsoft Windows XP ve Server 2003 yazlmlar ile alan network ve sistem yneticileri, network ve sistem analistleri ve teknik danmanlar iin tasarlanmtr. MCSE sertifikasyonu almak iin yedi snav gemeniz gerekir. Eer Windows 2000 zerinden bir MCSE iseniz Windows Server 2003 zerinden MCSE olmanz iin iki adet Upgrade snavna girebilirsiniz.

Windows Server 2003 zerinden Nasl Sertifikal Olursunuz?

Bir MCSA ya da MCSE sertifikasna erimek her zaman uratrcdr. Gemite, renciler snavla ilgili detaylara hatta ou snav sorusuna bile evrim ii brain dumps ve 3. parti cram kitaplar ya da yazlm rnleri ile eriebiliyorlard. Bu durum yeni snavlar iin sz konusu deildir.

MCSE - MCSA
Microsoft, belirli bir efor sarf ederek IT dnyasnda kendi becerilerini kantlama ans sunan Microsoft Certified Systems Administrator (MCSA) programn duyurdu. Bir yldan daha az tecrbeye sahip kiileri hedefleyen MCSA program birincil olarak IT profesyoneli grevlerinin, ynetim ksmna odaklanr. Bu yzden hem MCSA hem de MCSE iin gerekli belli ortak snavlar vardr, bunlar, 70-270, 70-290 ve 70-291 olarak adlandrlan snavlardr. Elbetteki, herhangi bir MCSAnn sonraki hedefi MCSE olmak olabilir. Bununla birlikte, MCSAnn MCSE gereksinimini karlayacak iki snava girmek zorunda olduunu dnmeyin, bu iki program benzerdir. Bir MCSE ayn zamanda bir networkn nasl tasarlandn bilmelidir. Geriye kalan gerekli MCSE snavlar iin bir adayn daha fazla pratik uygulamaya ihtiyac olacaktr.

Giri

IX

Microsoft sertifikasyonun gvenlii ve btnln korumak iin ciddi admlar atmtr. Artk adaylar ok geni konular ieren detayl bir kursu tamamlamaldr. Bu adaylara Windows XP, Server 2003 ve ilgili yazlm rnleri ile alrken ihtiya duyulan becerileri salar. kr ki, eer Windows XP ve Server 2003 renmek iin belirli zaman ayrmaya ve efor sarf etmeye istekli iseniz, kendi kendinize uygun aralar kullanarak da iyi bir ekilde snava hazrlanabilirsiniz. Bu kitapla alarak Windows Server 2003 network alt yaps ynetimi snavn gemek iin gerekli snav gereksinimlerini baarl bir ekilde karlayabilirsiniz. Bu kitap Sybex Inc. tarafndan yaynlanan ve esas MCSA ve MCSE iletim sistemi gereksinimlerini kapsad gibi MCSEyi tamamlamak iin gerekli tasarm gereksinimlerini de kapsayan MCSA and MCSE Study Guides serisinin bir parasdr. Ltfen, programn tamam ve rn detaylar iin Sybexin www.sybex.com sitesini ziyaret edin.

MCSA Snav Gereksinimleri

Windows 2000 ya da Windows 2003 MCSA sertifikasyonu adaylar drt snav gemek zorundadr. Microsoft sertikasyon program hakknda daha detayl aklamalar ve snav listesi iin Microsoft Learning www.microsoft.com/learning web sitesini ziyaret edin.

R2!
Windows Server 2003 R2 ya da Release 2, Windows iletim sisteminin bir ara gncellemesidir. Windows Server 2003 ilk bata Nisan 2003de duyuruldu. R2 Service Pack 1 ve dier zellikleri Windows Server iletim sisteminin yeni releaseini beklemeye gerek kalmakszn Windows Server 2003 ile birlikte kullanmanz salar. Bu kitap Windows Server 2003 R2nin ierdii yeni zellikleride kapsar.

Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure Snav
Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure snav bir Windows Server 2003 network alt yapsnn kurulumu, ynetimi ve bakm ile ilgili kavram ve gereksinimleri kapsar. Bu snav aadaki network alt yaps destei ile ilgili u unsurlarn zerinde durur:

IP Adreslemenin Uygulanmas, Ynetimi ve Bakm sim zmlemenin Uygulanmas, Ynetimi ve Bakm Network Gvenliinin Uygulanmas, Ynetimi ve Bakm Ynlendirme ve Uzaktan Eriimin Uygulanmas, Ynetimi ve Bakm Bir Network Altyapsnn Bakm
Microsoft size, Microsoft snavlarnn kapsamndaki muhtemel alanlara gz gezdirmenizi salayan snav hedefleri salar. Bununla birlikte bu snav hedeflerinin herhangi bir zamanda bir bildirimde bulunmakszn Microsoft tarafndan deitirilebileceini aklnzda bulundurun. Ltfen, en gncel snav hedefleri iin Microsoftun Learning web sitesini (www.microsoft.com/learning) ziyaret edin.

Snav Sorularnn Tipleri

Test srecine incelik kazandrmak ve kendi sertifikasyonunun kalitesini korumak iin harcad bir aba ile Microsoft Windows 2000, XP ve Server 2003 snavlarn gerek tecrbe ve pratik yeterlilii zerine odaklamtr. nceden altnz ortam ve sorumluluklarn nemi, ezberde nasl olduunuzdan ok daha fazladr. Aslnda, Microsoft bir MCSE adaynn en azndan bir yl pratik tecrbeye sahip olmas gerektiini syler.
Microsoft dzenli olarak snav sorularn ekleyerek ve kararak, her bireyin bir beta snavnda grecei sorularn saysn snrlandrarak, uyarlanabilen test ynteminin kullanm ve yeni snav elementleri ile eklenmesi araclyla bir adaya gnderilen sorularn saysn snrlandrarak snavlarn btnln koruma hedefine ulamaktadr.

Giri

Snav sorular ok eitli formatlarda olabilir: Hangi snav aldnza bal olarak, se ve yerletir sorular olabilecei gibi oktan semeli sorular da greceksiniz. Baz snavlar simulasyon ve senaryo tabanl formatlar da ierir. imdi snav snav sorularnn tiplerine bir gz atalm, bu sayede tm ihtimallere hazr olmu olacaksnz.
Windows 2000in ortaya kyla, Microsoft sonular detayl analizini sunmay durdurdu. Bu daha ok eitli ve karmak soru formatlarndan kaynaklanyor. nceleri, herbir soru tek bir hedef zerine younlayordu. Windows 2000, XP ve Server 2003 snavlar bir ekilde bir ya da daha fazla hedef kmesi iinden bir ya da daha fazla konuyla ilgili olabiliyor. Bu yzden konulara gre derecelendirmek neredeyse imknsz. Ayn zamanda Microsoft artk puan sunmuyor. Artk size sadece baarl olup olmadnz bildiriliyor.

oktan Semeli Sorular

oktan semeli sorular iki formda karmza kar. Bir tanesi ak bir soru ile birlikte gelen muhtemel cevaplardan birinin daha doru olduu soru formudur. Dier oktan semeli soru tipi ise daha karmaktr ve spesifik bir senaryoya dayaldr. Bu senaryo farkl alanlara ya da hedeflere odaklanm olabilir.

Se ve Yerletir Sorular
Se ve yerletir snav sorular, soruyu doru bir ekilde cevaplamanz iin kullanmanz gereken grafik unsurlar ierir. rnein, bir bilgisayar network diyagram grebilirsiniz. Tipik bir diyagram yanlarnda zerlerinde Place here yazl kutular bulunan bilgisayarlar ve dier bileenleri gsterir. Kutularn zerindeki etiketler bir yazdrma sunucusu ve bir dosya sunucusu gibi eitli bilgisayar rollerini gsterir. Herbir bilgisayar iin verilen bilgilere gre sizden etiketleri uygun kutulara yerletirmeniz istenir. Bu etiketlerin hepsini doru bir ekilde yerletirmelisiniz. Sadece baz kutular iin doru ekilde yerletirmek size puan kazandrmayacaktr. Karnza kabilecek dier bir se ve yerletir problemi ise eleri sol taraftaki kutulardan sa tarafa srklemek suretiyle bunlar bir admlar serisi eklinde sralamanzn istendii sorular olabilir. Baka bir soru tipi ise bir eyi sol taraftan alp sa taraftaki doru kolonun altna tamanz gerektirir.

Simulasyonlar
Simulasyon sorular, gerek duruma yakn bir durumu sunarak sizin Microsoft yazlm arayzlerini kullanm becerinizi test eden soru eididir. Microsoft, imdi snavlarnda bu tip sorulara daha fazla nem vermektedir. Bu snav sorular, zerinde, verilen bir senaryo ile ilgili belirli eylemleri gerekletirmeniz istenen taklit bir arayz ierir. Bu simle edilmi arayz neredeyse gerek rnde grdnzle ayndr. Simulasyonlarda yaplabilecek muhtemel hatalarn okluundan dolay Microsoftun aadaki tavsiyelerini gz nnde bulundurduunuzdan emin olun.

zmle direkt ilgisi olmayan herhangi bir simulasyon ayarn deitirmeyin. lgili bilgiler verilmediinde varsaylan ayarlarn kullanldn kabul edin. Girdilerinizi doru ekilde yazdnzdan emin olun. Simlasyondaki tm grevler bittiinde tm simlasyon uygulama pencerelerini kapatn.

Simlasyon sorularna hazrlanmann en iyi yolu, teste tabi tutulacanz rnn grafik arayz ile almaya zaman ayrmaktr.

Senaryo Tabanl Sorular

Senaryo tabanl sorular ilk olarak MCSD programnda ortaya kt. Bu sorular bir dizi gereksinim ile bir senaryo sunar. Verilen bilgilere dayanarak, bir takm oktan semeli ve se ve yerletir sorularna cevap verirsiniz. Senaryo tabanl sorular iin her biri senaryo ile ilgili bilgiler ieren birden ok sekmeye sahiptir. Bu tip sorular u anda sadece tasarm snavlarnn bir ounda karmza kar.

Giri

XI

Microsoft dzenli olarak snava yeni sorular ekleyip kartacaktr. Bu item seeding olarak adlandrlr. Bu kiilerin snava nceden girenlerden edindikleri snav sorularn ezberlemelerini zorlatrmak iin yaplan iin bir parasdr.

Windows Server 2003 Network Infrastructure Administration Snavn Gemek in pular

Sertifika snavn baaryla sonulandrmak iin baz genel ipular:

Snav merkezine erken gidin, bu sayede rahatlar ve alma materyallerinizi gzden geirebilirsiniz. Bu son gzden geirme srasnda, snavla ilgili bilgileri ve tablolar gzden geirebilirsiniz. Sorular dikkatlice okuyun. ok abuk karar vermekten kann. Sorunun tam olarak ne sorduundan emin olun. Simlasyonlarda, sorularla direkt olarak ilgisi olmayan ayarlar deitirmeyin. Ayn zamanda, soruda belirtilmeyen ya da iaret edilmeyen ayarlar iin varsaylan ayarlar kullann. Tam olarak emin olmadnz sorular iin ilk olarak aka belli olan yanl sorulardan balayarak cevaplar eleyin. Bu sizin mantkl bir tahmin yrtmeye ihtiyacnz olduunda doru cevab seme ihtimalinizi artracaktr.

Snav Kayd
Microsot snavlarna dnya apnda 1000 zerindeki Authorized Prometric Testing Centerlarda (APTCler) girebilirsiniz. Yaknlarnzdaki snav merkezlerinden biri iin Prometrici 800-EXAM (755-3926) arayn. Birleik Devletler ve Kanada dnda lokal Prometric kayt merkezi ile iletiime gein. Girmek istediiniz snavlara karar verdikten sonra size en yakn olan Prometric kayt merkezine kayt olun. Bu noktada snav iin sizden cret istenecektir. Snavlar alt hafta ncesine kadar ya da snav gnnden bir i gn ncesine kadar planlayabilirsiniz. Snavdan iki i gn ncesine kadar merkezle iletiime geerek snav iptal edebilir ya Snavlar iin ayn zamanda da yeniden planlayabilirsiniz. Baz lokasyonlarda mevcut duruma www.prometric.com sitesinden gre ayn gn iinde kayt yaptrabilirsiniz. Ayn gn iinde kaydn evrim ii kayt olabilirsiniz. mmkn olduu lokasyonlarda test saatinden en az iki saat ncesinden kayt olmalsnz. Bir snavn zamanlamasn yaptnzda, size randevu ve iptal ilemleriyle ilgili hakknda talimatlar, ID gereksinimi ve snav merkezi lokasyonu hakknda bilgiler verilecektir. Buna ek olarak Prometricden bir kayt ve deme makbuzu alacaksnz. Microsoft snava girmeden nce adaylarn Non-Disclosure Aggrementn koullarn kabul etmelerini ister.

Bu Kitapta Ne Var?
Bu kitap, snavdan gemeniz iin bilmeniz gerekenlerden baka rendiklerinizi ve uygulamalar gerek dnyada hayata geirmek iin bilmeniz gerekenleri de ierir Her kitap aadakileri ierir:
Bu Study Guiden kapsad konular direkt olarak Microsoftun resmi snav hedefleri ile rtr. Herbir snav hedefi tamamyla kapsanmaktadr.

Bilmeniz gereken konularn madde madde kapsam. Her blm, o blmn kapsad hedefleri listeler. Deerlendirme testi: Bu giri blmnn ardndan hemen zmeniz gereken bir Deerlendirme Testi vardr. Bu snav Windows Server 2003 network alt yaps ynetimi ile ilgili mevcut bilgilerinizi saptamanza yardmc olmak iin tasarlanmtr. Buradaki her bir soru kitap boyunca ele alnan bir konu ile balanmtr. Deerlendirme Testinin sonularn kullanarak almanz odaklamanz gereken alanlar ortaya karabilirsiniz. Ebetteki kitabn tamamn okumanz tavsiye ederiz.

XII

Giri

Snav Esaslar: Herbir blmn sonunda ne rendiinizi vurgulamak iin Snav Esaslarnn bir listesini bulacaksnz. Snav Esaslar ksm, siz snava hazrlanrken zel olarak dikkatinizi gerektiren konular ksaca vurgular. Szlk: Herbir blm boyunca, snav iin bilmeniz gerekecek nemli terim ve kavramlarla karlaacaksnz. Blmler ierisinde bu terimler italik olarak ifade edilir ve kitabn sonunda genel terimlerle birlikte bu terimlere ilikin tanmlamalar ieren detayl bir szlk vardr. Detayl aklamalar ile Gzden Geirme Sorular: Her bir blmn ardndan, o blmde rendiklerinizi test eden gzden geirme sorular gelir. Bu sorular snav gz nnde tutularak hazrlanmtr, bu da snavda greceiniz sorularla benzerlik gsterecek ekilde tasarlandklar anlamna gelir. Soru tipleri, oktan semeli, resimli ve se ve yerletir gibi snavdaki muhtemel soru tipleri ile ayndr. Pratik altrmalar: Her blmde, snav hazrlnz iin kritik nem tayan pratik tecrbe kazanmanz iin tasarlanm altrmalar bulacaksnz. Bu altrmalar blmdeki konular destekler ve bir fonksiyonu gerekletirmek iin gerekli admlar boyunca sizi ynlendirir. Gerek Dnya Senaryolar: Bir kitap okumak, bu konularn gnlk ilerinizde nasl uygulanacan renmeniz iin yeterli olmadndan zel balklar altnda Gerek Dnya Senaryolar sunduk. Bunlar, gerekten kar karya kalacanz bir alma ortamnda belirli bir zmn ne zaman ve nasl anlam tayacan aklar.

Bu Kitab Nasl Kullanacaksnz?

Bu kitap, ciddi bir ekilde snava hazrlanmak iin salam bir alt yap salar. Bu kitaptan en iyi ekilde faydalanmak iin aadaki alma metodunu kullanmak isteyebilirsiniz: 1. Deerlendirme testini zerek zayf olduunuz alanlar belirleyin. 2. Tm blmleri dikkatlice aln. Bilgileri tam olarak anlamak iin elinizden gelenin en iyisini yapn. 3. Tm pratik altrmalar tamamlayn, bunu yaparken gerektiinde metne geri dnn, bu sayede altrma srasnda uyguladnz her adm renirsiniz.
Bu kitaptaki altrmalar iin donanmnz Windows Server 2003n minimum donanm gereksinimlerini karlayacak dzeyde olmaldr. Sonraki Donanm ve Yazlm Gereksinimleri ksmna sizin ev laboratuvarnzda olmas gerektiini dndmz tavsiye edilen donanm ve yazlm listesine bakn.

4. Bu kitapta rendiklerinizin gerek hayatta nasl kullanldn daha iyi kavramanz iin gerek dnya senaryolarn okuyun. 5. Snav esaslarna alarak odaklanmanz gereken alanlara aina olduunuzdan emin olun. 6. Her blmn sonundaki gzden geirme sorularn cevaplayn. 7. Anlamadnz sorularn notunu aln ve kitabn ilgili ksmlarna tekrar aln. 8. Her blmn sonundaki snav esaslarna geri dnn. Bu kitabn kapsad tm materyalleri renmek iin dzenli ve disiplinli bir ekilde almanz gerekecek. almak iin her gnn ayn saatini buna ayrn ve almak iin rahat ve sessiz bir yer sein. Eer youn bir ekilde alrsanz, bu materyali ne kadar ksa srede rendiinize aracaksnz. yi anslar!

Donanm ve Yazlm Gereksinimleri

Bilgisayarnzn Windows Server 2003 kurulumu iin minimum gereksinimlerini saladn dorulaman gerekir. Daha keyifli tecrbe iin bilgisayarnzn tavsiye edilen gereksinimleri salamasn ya da amasn neririz.

Giri

XIII

Bu kitaptaki altrmalar iin bilgisayarnzn spesifik olarak yaplandrld varsaylyor. Bilgisayarnz minimum alan gereksinimi ve blmler ile yaplandrlm en azndan 3GBlk bir srcye sahip olmaldr.

XIV

Deerlendirme Sorular

Deerlendirme Testi
1. Bir DNS kaydna ilitirilmi time to live deeri ___________________. A. Bir resolver tarafndan kullanlamaz, sadece sucunular tarafndan recursive sorgular iin kullanlr. B. Sadece resolverlar tarafndan kullanlr. C. Sonularn nbellekten ne kadarlk bir zaman aral iin getirileceini belirlemek iin kullanlr. D. Kaydn her deiiminde yenilenir. 2. RIP kullanrken aadakilerden hangisi ayarlanamaz? A. Herbir arayzdeki gelen ve giden trafik iin kullanlabilecek RIP versiyonu B. Yollarn kabul edilecei e router seti C. Bildirim mesajlar iin varsaylan zaman aral D. Alnan RIP yollarnn tutulduu yer. 3. 30 kullanc iin VPN eriimi kurmak istiyorsunuz ve balant ifrelenmi olmal. Kullanclarnz iin merkezi bir Windows Server 2003 domaini var. Bu senaryo iin aadakilerden hangisi en uygun VPN zmdr? A. L2TP + IPSec B. PPTP C. A ya da B D. Yukardakilerden hibiri 4. DHCP-DNS entegrasyonunu etkinletirmek iin aadakilerden hangisini yapmalsnz? A. Scopeu sadece Dynamic DNS kullanmna izin verecek ekilde yaplandrmak. B. Sunucuyu sadece Dynamic DNS kullanmna izin verecek ekilde yaplandrmak. C. Scope ve sunucuyu yaplandrmak. D. Scope ya da sunucuyu yaplandrmak. 5. RRAS, ynlendirme ile ilgili hangi tip filtreler oluturmanza izin verir? A. Sadece yol filtreleri B. Sadece e filtreleri C. Yol ve e filtreleri D. Sadece paket filtreleri 6. IPSec Policy Agent nedir? A. IPSecin Active Directory ile birlikte kullanmnda gerekli bir opsiyonel bileen. B. IPSecin Active Directory olmadan kullanmnda gerekli bir opsiyonel bileen. C. IPSecin L2TP ile birlikte kullanmnda gerekli opsiyonel bileen. D. IPSec kullanm iin zorunlu bir bileen. 7. OSInin yedi katman aadakilerden hangisini yapar? A. Tam olarak Windows 2000 networking servisleri ve bileenleri ile uyuur. B. Benzer servisleri gruplama iin gl bir kavramsal at salar.

Deerlendirme Sorular

XV

C. A ve B D. Yukardakilerin hibiri. 8. Bir DNS sunucunun sorgular dzgn ekilde cevaplayp cevaplayamadn test etmek iin aadaki aralardan hangisini kullanabilirsiniz? A. ping arac B. nslookup arac C. tracert arac D. ipconfig arac 9. RIP routerlar hangi iki modda gncellemelerini gnderir? A. Link-state database mod B. Auto-static update mod C. Periodic Update Mode D. Border mod 10. Domaininizdeki bir member sunucu zerinde DHCP Server servisini yklediniz ve bir scope yaplandrdnz; fakat istemciler bir adres kiralayamyorlar. Bu soruna neden olan en muhtemel sebep nedir? A. Scope aktive edilmemitir. B. Birden fazla DHCP sunucusu var. C. DHCP sunucu yetkilendirilmemi. D. DHCP sunucu baka bir subnette. 11. Windows Server 2003 Dynamic DNS ile ilgili ifadelerden hangisi dorudur? A. DDNS almas iin bir Microsoft DHCP sunucu gerektirir. B. Windows Server 2003 DDNS sunucu BINDn yeni versiyonlaryla birlikte alabilir. C. DDNS istemcileri kendi adreslerini kayt ettirmeyebilirler. D. DDNS sadece Microsoft istemcileri ve sunucularyla birlikte alr. 12. VPN balantlar aadakilerden hangilerini gerektirir? (ki seenek iaretleyin) A. Windows Server 2003 VPN - add-on B. VPN sunucunun ad ya da IP adresi C. VPN sunucunun telefon numaras D. Mevcut bir TCP/IP balants 13. Spesifik bir ifreleme dzeyi kullanamayan bir istemciden gelen aramalar reddetmek iin aadakilerden hangisini yaparsnz? A. Remote access policy profilin Encryption sekmesindeki No Encryption onay kutusunun iaretini kaldrn. B. Sunucunun Properties diyalog kutusu Security sekmesinde No Encryption onay kutusunun iaretini kaldrn. C. Require Encryption adnda yeni bir remote access profile oluturun. D. Her kullanc profilinde Require Encryption onay kutusunu iaretleyin.

XVI

Deerlendirme Sorular

14. Aadakilerden hangisi bir OSI katman deildir? A. Oturum B. Uygulama C. Sunum D. Servis 15. DHCPde darda tutulacak belirli bir adres aral hangi dzeyde atanr? A. Server dzeyinde B. Scope dzeyinde C. Superscope dzeyinde D. Multicast scope dzeyinde 16. IPSec ile ilgili aadakilerden hangisi dorudur? A. Tek bana kullanlabilir. B. Sadece L2TP ile birlikte kullanlabilir. C. L2TP ile birlikte kullanlamaz. D. Windows 2000 ve st iletim sistemleri iin n parti yazlm gerektirir. 17. Dinamik olarak ilenen ynlendirme tablolar ile ilgili aadakilerden hangisi dorudur? (Uygun olan tmn sein.) A. Otomatik olarak ynlendirme protokolleri tarafndan ilenir. B. Normalde yeniden balamalar arasnda ilenmez. C. Komut satrndan manuel olarak dzenlenebilir. D. Herbiri bir network ID, bir iletim adresi ve bir metric deeri ieren oklu girdilerden oluur. 18. DHCP relay agent networkte hangi fonksiyonu yerine getirir? A. Bir networkteki DHCP mesajlarn dinler ve bunlar baka bir networkteki bir DHCP sunucusuna iletir. B. Birden fazla networkten DHCP mesajlarn kabul eder ve bunlar bir DHCP sunucusu iin birletirir. C. DHCP istemcilerinin WINS servislerini kullanmalarna izin verir. D. DHCP taleplerini bir Dynamic DNS sunucusuna iletir. 19. Aadaki protokol ya da servislerden hangisi Active Directory kurulumu iin zorunlu deildir? A. TCP/IP B. DNS C. LDAP D. NetBEUI 20. VPN eriimini aadaki mekanizmalardan hangisi araclyla kontrol edebilirsiniz? (ki seenek iaretleyin.) A. Ayr ayr kullanc hesap zelliklerinden. B. Remote access policyleri

Deerlendirme Sorular

XVII

C. Remote access profilleri D. Group policy objeleri 21. Mirrored rule nedir? A. Farkl iki protokol iin ayn kaynak ve hedefleri belirleyen tek bir rule. B. Gelen ve giden trafik iin ayn kaynak ve hedefleri belirleyen bir rule. C. Farkl iki protokol iin ayn kaynak ve hedef belirten bir ift rule. D. Ayn protokol iin farkl kaynak ve hedef adresler belirten bir ift rule. 22. Bir sunucudan dierine DNS verilerinin replikasyonuna ne ad verilir? A. Replication pass B. Zone transfer C. Replication transfer D. Zone replication 23. Lokal bir makinenin ayarlar ile bir DHCP sunucu ile atanan ayarlarn akmas durumunda aadaki ifadelerden hangileri dorudur? (Uygun olan tmn iaretleyin.) A. akan hibir ayar uygulanmaz. B. DHCP ile atanan ayarlar, lokal olarak atanan ayarlar ezer. C. lk olarak uygulanan ayarlar etkisini gsterir. D. Lokal olarak atanan ayarlar, DHCP ile atanan ayarlar ezer. 24. Dial-up kullanclarnn havuzdan bir IP adresi almalarn etkinletirmek iin aadakilerden hangisini yapmalsnz? A. Sunucunun Properties diyalog kutusu IP sekmesinde bir adres havuzu tanmlayn. B. Remote access policyde bir adres havuzu tanmlayn. C. Dial-up kullanclar iin bir DHCP adres aral ekleyin. D. DHCP address allocator devre d brakn. 25. Aadaki seeneklerden hangisi mevcut gvenlik ayarlarnz ile sizin istediiniz gvenlik ayarlarn karlatrmanz salayan bir ara olarak kullanlr? A. Security template B. Security database C. Security profile D. Security analyst 26. Hangi policy tipleri kullanc ve gruplar yerine bilgisayarlara uygulanr? (Uygun olan tm seenekleri iaretleyin.) A. Password policyleri B. Account lockout policyleri C. User rights assignment poilcyleri D. Security options 27. Windows Server 2003de IP Security Monitor nasl aarsnz? A. Start > Run sein ve ipsecmon yazn B. Start > Administrative Tools > IP Security Monitor

XVIII

Deerlendirme Sorular

C. Start > Accessories > IP Security Monitor D. MMCye IP Security Monitor snap-inini ekleyin 28. Bir DNS zoneu iin bilgileri tutan dosyann ad nedir? A. domain_name.dns B. LMHOSTS C. ZONES D. SERVERS 29. Caching-only sunucular ile ilgili aadaki ifadelerden hangisi dorudur? A. Bir domain iin yetkilidir. B. Sorgu gerekletirir. C. Zone dosyalarn ierir. D. Zone transferlerine katlrlar. 30. Aadaki seeneklerden hangisi kullanclar iin bir uzaktan eriim sunucusunu evirme izin ve kstlarn belirler? A. Remote access policyleri B. Remote access profilleri C. Filtre listeleri D. Kimlik dorulama metodlar

Deerlendirme Sorular

XIX

Deerlendirme Testinin Cevaplar

1. C. TTL deeri, kaydn tehlikesiz bir ekilde ne kadarlk bir sre iin nbellekte tutulabileceini belirler. TTL hakknda daha fazla bilgi iin Blm 6ya bakn. 2. D. Windows Server 2003te Routing Information Protocol (RIP) uygulamalar RIP versiyonlarnn bir karmn kullanmanza izin verir. Bu sayede hangi e routerlarn size gncelleme gnderebileceini ve routernzn gncellemeleri hangi sklkta dier routerlara gndereceini kontrol edebilirsiniz. Bununla birlikte, ynlendirme verilerinin tutulduu yeri deitirmenize izin vermez. Daha fazla bilgi iin Blm 9a bakn. 3. C. L2TP + IPSec ve PPTPnin her ikisi de ifrelenebilir ve bunlardan herhangi biri soruda verilen ynergeyi yerine getirir. Daha fazla bilgi iin Blm 7ye bakn. 4. D. Sadece bir scope ya da sunucu zerindeki tm scopelar iin entegrasyonu etkinletirebilirsiniz. Daha fazla bilgi iin Blm 5e bakn. 5. Route filtreleri yollar ayr ayr kabul etmenizi ya da yok saymanza izin verir. Peer filtreleri, routernzn ynlendirme bilgilerini kabul edecei dier routerlar kontrol etmenizi salar. Daha fazla bilgi iin Blm 9a bakn. 6. D. IPSec Policy Agent, IPSec policy ayarlarn lokal bilgisayardan ya da Active Directoryden indiren bir bileendir. O yzden IPSecin almas iin bunun varl zorunludur. Daha fazla bilgi iin Blm 4e bakn. 7. B. OSI modeli, farkl reticilerin uygulamalarn karlatrmak ve farklarn grmek iin kullanlabilen stilize edilmi bir network modelidir. OSI modeli hakknda daha fazla bilgi iin Blm 1e bakn. 8. B. nslookup sizin isim ve adres bilgileri aramanz salar. Daha fazla bilgi iin Blm 6ya bakn. 9. B, C. Periodic update modda, bir RIP router bildii yollarn listesini periyodik bir zaman aral (sizin belirlediiniz) ile gnderir. Auto-statik modda, RRAS router kendi ynlendirme tablosunun ieriini sadece uzak bir router istekte bulunduunda broadcast eder. Daha fazla bilgi iin Blm 9a bakn. 10. C. DHCP sunucu yetkilendirilmediyse, lease taleplerine cevap vermeyecektir; bu yzden istemci herhangi bir IP adresi alamayacaktr. Daha fazla bilgi iin Blm 5e bakn. 11. B. DDNS, BIND 8.2 ve sonrasyla alr. DDNS ile ilgili daha fazla bilgi iin Blm 6ya bakn. 12. B, D. VPN balantlar, standart dial-up ya da dedicated TCP/IP balantlar zerinden gerekleir. Aradnz sunucunun adresi ya da ismini belirtmelisiniz. Daha fazla bilgi iin Blm 7ye bakn. 13. A. Her bir remote access policyye ilikin profil, policynin require, allow ya da disallow ifreleme yaplp yaplmayacan kontrol etmenizi salar. ifrelemeyi zorlamak iin, ifresiz kullanma izin vermeyen bir policy oluturun. Daha fazla bilgi iin Blm 8e bakn. 14. D. Oturum, Uygulama ve Sunum katmanlarnn tamam OSI modelinin paralardr, fakat Servis katman deildir. OSI katmanlar hakknda daha fazla bilgi iin Blm 1e bakn. 15. B. Scopelar ya da adres aralklar sadece scope dzeyinde atanabilir. Scope aral exclusion araln da ierir. Daha fazla bilgi iin Blm 5e bakn. 16. A. IPSec Windows Server 2003deki bir stand-alone protokoldr. Bu protokol tek bana ya da Layer 2 Tunneling Protokol (L2TP) ile birlikte kullanlabilir. Daha fazla bilgi iin Blm 4e bakn.

XX

Deerlendirme Sorular

17. A, C, D. Ynlendirme motorlar, girdileri manuel olarak ekleyip kartabileceiniz gibi ynlendirme tablolarnn ieriininin bakmn yapar. Varsaylan kalc yollarn manuel olarak siz silene kadar otomatik olarak bakm salanr. Daha fazla bilgi iin Blm 9a bakn. 18. A. DHCP relay agent bir networkteki bir DHCP sunucunun farkl bir networkteki istemcilerle ileime girmesini salar. Daha fazla bilgi iin Blm 7ye bakn. 19. NetBEUI terkedilmeye balanmtr, fakat dier protokol AD iin gereklidir. Daha fazla bilgi iin Blm 2ye bakn. 20. A, B. Kullanclarn hesap zelliklerini deitirerek VPN balantlar yapmalarna izin verebilirsiniz. Eer Windows Server 2003 native mode domain kullanyorsanz ayn zamanda remote access policyleri kullanabilirsiniz. Daha fazla bilgi iin Blm 8e bakn. 21. B. Bir mirrored rule, Ann bir kaynak adresi ve Bnin bir hedef adresini iaret eden bir ruleu iki rule ekline dntrr: Giden trafik iin kaynak A/hedef B ve gelen trafik iin kaynak B/hedef A. Daha fazla bilgi iin Blm 4e bakn. 22. B. Zone transferi resoource recordlarn bir zonedan dierine transfer ilemi iin kullanlan bir terimdir. Daha fazla bilgi iin Blm 6ya bakn. 23. A, B, C. Lokal ayarlar her zaman DHCP sunucu ile belirlenen ayarlar ezer. Daha fazla bilgi iin Blm 7ye bakn. 24. Dial-up istemcilerine statik IP adresleri atamak iin sunucu zerinde bir adres havuzu tanmlamak zorundasnz. Bu havuz, istemcilere DHCP atamalar yerine kullanlr. Daha fazla bilgi iin Blm 7ye bakn. 25. A. Security Configuration and Analysis aracn kullanarak bir bilgisayarn mevcut spesifik gvenlik ayarlar ile bir gvenlik ablonunda belirlenen gvenlik ayarlarn karlatrabilirsiniz. Daha fazla bilgi iin Blm 3e bakn. 26. A, B, D. Gvenlik seenekleri kullanclar ve gruplar yerine bilgisayarlara uygulanr. Daha fazla bilgi iin Blm 3e bakn. 27. D. Windows Server 2003te, IP Security Monitor bir MMC snap-ini olarak karmza kar. Daha fazla bilgi iin Blm 4e bakn. 28. A. domain_name.dns dosyas DNS iin isim adres ikililerini tutar. LMHOSTS, WINS iin kullanlr ve dier iki seenek geerli deildir. Daha fazla bilgi iin Blm 6ya bakn. 29. B. DNS caching-only sunucular sorgular gerekletirir ve sonular nbellekler, fakat bunlar hibir domain iin yetkili deildirler ve zone dosyalar iermezler ya da zone transferlerine katlmazlar. Daha fazla bilgi iin Blm 6ya bakn. 30. A. Remote access policyleri remote access sunucuya kimin logon olabileceini ve geri arama, gn zaman gibi baz kstlar belirlemenizi salar. Profiller, bir kullancnn baarl bir ekilde logon olmasnn ardndan uygulanan ayarlar belirler. Dier iki seenek RASa deil IPSece uygulanr. Daha fazla bilgi iin Blm 8e bakn.

Windows Server 2003 Networkn Anlamak

1 Windows Server 2003

Networkn Anlamak
OSI Modeli Microsoftun Network Bileenleri ve OSI Modeli IP Adreslemesini Anlamak Bir Network Subnetlere Ayrmak zet Snav in Bilinmesi Gerekenler Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar

Windows Server 2003 Networkn Anlamak

Microsoft, Windows Server 2003 gelitirirken byk bir zaman ve aba ortaya koymutur. Bu iletim sisteminin, Windows 2000 hatta Windows NT, Internet Information Server ve Exchange Servera ait ok miktarda ekirdek kodu ierdiinden dolay yeni bir rn olduunu sylemek pek de adil olmayacaktr. Windows 2003 byk, kompleks ve ok gl bir iletim sistemidir. Windows 2003 Server iletim sistemini etkin bir ekilde kullanabilmek iin, Windows 2003 Servern nasl altn ve bu iletim sistemi zerinde istenen ilemlerin nasl yaplacan bilmek zorundasnz. Bu kitap Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure snav iin bir rehber niteliindedir, bu yzden Windows Server 2003n de kapsamna ald network protokolleri ile balamak daha anlaml olacaktr - neden varlar, nasl alrlar ve onlarla neler yaplabilir. Bu protokollere iyi bir bak asna sahip olmak, network protokollerini karlatrmada yardmc olur. Bu blm, bu ekilde bir bak as Bu blm 70291 snavnda baarl olabilmek iin geoluturmak amacyla, farkl protokoller iin rerekli n bilgileri ierdii gibi Windows Server 2003 ile bir ferans tekil eden Open Systems Interconnecnetwork ortamnda almak iin gerekli bilgileri de kapsar. tion (OSI) network modeli ile balayacaktr.

OSI Modeli
International Organization for Standardization (ISO), Open Systems Interconnection (OSI) referans modelini 1977de gelitirmeye balad. Network iletiimini anlamada geni apta kabul gren bir model olduu iin; bu modelin nasl altn anladnzda, bunu farkl sistemler zerindeki network uygulamalarn karlatrmada kullanabilirsiniz. Bir kiiyle iletiim kurmak istediinizde genel olarak iki eye ihtiyacnz olur: iletiim dili ve iletiim arac. Bilgisayar networkleri de farkl deildir; farkl network aygtlarnn olduu bir networkde iletiimin kurulmas iin dil ve iletiim arac ak bir ekilde tanmlanmaldr. OSI modeli (ve dier organizasyonlar tarafndan gelitirilen network modelleri), networklerin genel ve spesifik zelliklerini ieren bir takm kurallar tanmlamaya alr:

Network aygtlarnn birbirleriyle nasl irtibat kurduklar ve bu aygtlarn farkl dillere sahip olmalar durumunda birbirleriyle nasl haberletikleri Bir aygtn veri iletimini ne zaman yapp ne zaman yapmayacan bilecei metot. Network iletiimlerinin doru olarak ve doru alc tarafndan alnmasn garanti edecek metot. Fiziksel iletim ortamnn nasl dzenlenecei Network aygtlarnn uygun veri ak hzn nasl devam ettirecekleri Network aralarnda bitlerin ne ekilde temsil edilecei

OSI modeli bir son rn deildir. Sadece network zerindeki eitli aygtlarn aralarndaki karmak etkileimlerini anlamak iin kullanlabilecek kavramsal bir atdr. Bu model, iletiim sreci ierisinde hibir ey yapmaz, gerek ii tahsis edilen yazlm ve donanm gerekletirir. OSI modeli basit olarak hangi ilerin yaplmas gerektiini ve bu model ierisindeki her bir yedi katmanda, hangi protokollerin bu ileri yneteceini tanmlamaktadr. OSI modelinin yedi katman u ekildedir:

Uygulama (layer 7 Application) Sunum (layer 6 Presentation)

Blm 1

Oturum (layer 5 Session) letim (layer 4 Transport) Network (layer 3 A) Veri balant (layer 2 Data-Link) Fiziksel (layer 1 Physical)
Bu yedi katman pratik olarak hafzanzda tutmak iin Acele Posta Servisi Trkiyede Neden Pahal gibi anmsatc cmleler kullanabilirsiniz.

Bu yedi katmann her biri, bu blmn sonraki konularnda inceleyeceimiz farkl fonksiyonlara sahiptir.

Gerek Dnya Senaryosu Gerek IP Protocol Yaps

Tm bu konsepti kapsayan ve Internetin temelinde yatan baka bir model daha vardr. United States Department of Defense tarafndan gelitirilen bu model TCP/IP, IP modeli veya DoD gibi bir takm isimlerle anlr. IP modeli daha sonra bahsedeceimiz gibi sadece drt katman ierir: Link (Network Access), Network ya da Internet, Transport (Host to Host) ve Application. Bu model internetin dizaynnda temel alnmtr. Bu model ile 70291 snavnda karlamayacaksnz; fakat bir network yneticisi olarak bu modelin srekli karnza kacan bilmeniz gerekir.

Protokol Takmlar
OSI modeli, haberleme ilemlerini, alt grevler eklinde adlandrlan kk paralara bler. Protokol uygulamalar, bu bahsi geen alt grevleri yneten bilgisayar sreleridir. Spesifik protokoller, bu alt grevleri OSI modelinin spesifik katmanlarnda gerekletirir. Tm bu alt grevlerin, bir ana grevi gerekletirebilmek iin grupland (alt grevlerin kodlarnn bir araya getirilmesi ile oluan) yapya protokol takm ad verilir. Takm btn iletiim srecini gerekletiren katmanl yapda planlanm protokoller grubudur. OSI modelindeki her bir katman, kendisi ile ilikilendirilmi farkl bir protokole sahiptir. letiimin gerekleebilmesi iin birden fazla protokole ihtiya duyulduunda, bu protokoller bir takm ierisinde gruplanrlar. Protokol takmna rnek olarak, Unix ve internet ortamnda ok geni kullanm alanna sahip TCP/IP (TCP ve IP protokolleri OSInin farkl katmanlarnda yer alr) verilebilir.

Gerek Dnya Senaryosu Protokol Takmlaryla lgilenmemizin Nedeni

u an protokol takmlar ve OSI modeli ile neden ilgilendiiniz tam anlamyla kavranamam olabilir. Ancak, 70291 snav Internet iletiimi iin temel oluturan OSI modeli ve protokol takmlar zerine kurulmutur. Bugnn modern network dnyasndaki hemen hereyin temelinde OSI ya da IP modeli esas alnmtr. OSI modelini bilmek, bir networkde sorun gidermenin temelini oluturmaktadr. Windows networkn ynetmede size yardmc olacaktr. Bu blm boyunca, sorun giderme aamasnda OSI modelini bilmenin bize nasl yardmc olabilecei konusunda rnekler verilecektir. OSI modelindeki her bir katman, bir alt katmandan bir hizmet alrken, st katmana da bir hizmet salar. u ekilde aklamak daha iyi olabilir: Katman N, bir altndaki katmann (katman N 1) servisini kullanr ve bir st katmana (katman N + 1) servis salar. ki bilgisayarn iletiim kurabilmesi iin her iki bilgisayarda da ayn protokol takmnn alyor olmas gereklidir. Yine bu iki bilgisayarn iletiim kurabilmesi iin, bilgisayarlarn protokol takmlarnn her bir katman da uyumlu protokolleri kullanyor olmaldr. Farkl iletim sistemlerine sahip bilgisayarlar, eer ayn protokol takmn kullanyorlarsa iletiim kurabilirler. rnek olarak IP kul-

Windows Server 2003 Networkn Anlamak

lanan bir DOS makinesi, yine IP kullanan bir Macintosh makinesi ile iletiim kurabilir (Bkz. ekil 1.1)

ekil 1.1: Her bir katman dier hostlardaki ayn katmanla iletiim kurar.

Veri gnderilecei zaman, OSI modelindeki her bir katman, kendisine ait bilgiyi de bu veriye dahil ederek bir alt katmana gnderir. Bu ileme enkapslasyon ad verilir. Enkapslasyon, her bir katman kendi balk bilgisini (header) ve bazen trailer bilgisini veri stne eklediinde meydana gelir. Veri alnd zaman, bu ilemin tersi gerekleir ve protokol takmndaki uygun katman bu bilgiyi okur.

Physical Katman
Physical katman, elektriksel (bazen dier tip) sinyalleri kullanarak bitlerin bir bilgisayardan baka bir bilgisayara ulamasndan sorumludur. Physical katmandaki bileenler bitlerin ierii ve anlamlaryla ilgilenmez. Bitlerin, optik, elektriksel ya da kablosuz balant zerinden A noktasndan B noktasna ulamasn salar. Bu seviye, bitlerin ne ekilde temsil edilecei, network konnektrlerinin ka adet pine sahip olaca, network adaptrlerinin ne zaman veri iletimi gerekletirebilecei ya da gerekletiremeyecei gibi fiziksel ve elektriksel detaylar tanmlar.

ekil 1.2: Physical katman, elektriksel, optik ya da radyo sinyalleri ile fiziksel bir devre meydana getirir.

Physical katman, bilgisayarlar ve network ortam arasndaki fiziksel balant ile ilgili tm ayrntlarla ilgilenmektedir. rnek olarak:

Network balant tipleri, multipoint ve point-to-point balantlar. Fiziksel topolojiler veya networkn ne ekilde dizildii (rn: bus, star veya ring topolojileri) Dijital ve analog verileri kodlamak iin, kullanlacak dijital ve analog sinyalleme metotlar. Gnderici ve alcnn dzgn bir ekilde veriyi yazmas ve okumas iin bit senkronizasyonunun salanmas. Multiplexing ya da farkl veri kanallarnn tek bir kanal dahilinde birletirilmesi. Sinyallerin yansyarak, sinyal ve paketlerde hata olumasna engel olmak iin sonlandrma yapmak. Sonlandrma ayn zamanda bir network segmentindeki son dm iaret eder.

Blm 1

Data-Link Katman
Data-Link katman, bir aygttan dierine tek bir fiziksel hat zerinde veri akn salar. Network katmanndan ald paketleri, frame ad verilen birimler eklinde paketleyerek iletilmek zere Physical katmana teslim eder. Data-Link katman frame tipi gibi bir takm kontrol bilgilerini de ekler. Bu katman ayn zamanda framelerin hatasz olarak bir bilgisayardan dierine iletimini salar. Bozulan frameleri tespit etmek iin, framelere CRC (Cyclic Redundancy Check) bilgilerini ekler. Alc bilgisayar, gelen framee ait CRC bilgisi ile o anki CRC deerini kontrol ederek o framein bozulup bozulmadn kontrol edebilir. Data-Link katman ayn zamanda framelerin kaybolma durumlarn tespit edebilir ve bu frameler iin gndericiden tekrar gnderilmesini isteyebilir. Ethernet gibi broadcast networklerde, LANdeki tm aygtlar, herhangi bir aygtn ilettii verileri alr. (Networkn broadcast ya da point-to-point olmas iletiimin gerekletii network protokol tarafndan belirlenir) Bir aygt zerindeki Data-Link katman, gelen framein tanmlanmasndan (kendisine ait mi deil mi) sorumludur. ekil 1-3, Data-Link katmannn iki aygt arasnda hatasz bir balanty nasl kurduunu gsterir.

ekil 1.3: Data-Link katman iki aygt arasnda bir hatasz (Error-free) balant kurar.

Uluslararas Elektrik ve Elektronik Mhendisleri Enstits (Institue of Electrical and Electronics Engineers - IEEE), IEEE 802.X olarak bilinen bir protokol spesifikasyonu gelitirdi. (802.2 bu katman, iki alt katmana ayran bir standarttr. Yaygnca MAC olarak bilinen Media Access Control katman, farkl network tipleri iin eitlilik gsterir ve 802.3den 802.5e kadar tanmlanr.) Bu spesifikasyonun bir paras olarak (gnmzde Ethernet olarak bildiimiz), Data-Link katman iki alt katmana ayrlr.

Logical Link Control (LLC) katman, iletiim halindeki aygtlar arasnda mantksal bir balant kurar ve bu balantnn korunmasn salar. Media Access Control (MAC) katman, hava alan kontrol kulesi gibi alr birok aygtn paylat iletiim kanaln, tpk kontrol kulesinin, hava alanna ini kalk trafik akn dzene soktuu gibi kontrol eder.

ekil 1.4 Data-Link katmannn, LLC ve MAC katmanlarn gsterir. LLC alt katman, OSInin st katmanlarna, dier bilgisayarlarn kullanabilecei transfer bilgilerinin LLC alt katmanndan OSInin st katmanlarna transferi iin Service Access Points (SAPs) salar. Bu 802.2 standard iinde tanmlanmtr. Bu iki alt katmandan alttaki olan MAC alt katman, network adaptr iin paylaml bir eriim salar ve direkt olarak network kart ile haberleir. Genelde 12 digit hexadecimal eklinde gsterilen MAC adresi (sklkla Hardware Ethernet Address olarak bilinir), 48 bitlik unique bir adrestir ve network kartna retildii fabrikada atanr. LLC alt katman, MAC adreslerini, ayn LAN ierisindeki aygtlar arasnda mantksal balantlar kurmak iin kullanr. Ethernet, Data-Link katmannda yer alan protokole bir rnektir.

Windows Server 2003 Networkn Anlamak

ekil 1.4: IEEE, ISO Data-Link katmann LLC ve MAC katmanlarna ayrmtr.

Network Katman
Network katman, paketlerin aygtlar arasnda tanmas ilemini idare eder. Ynlendirme iin karar verir ve paketlerin bir noktadan baka bir noktaya iletilmesi iin istenen networke ulalmasna yardmc olur.

Gerek Dnya Senaryosu MAC Adres akma ve Snrlamalar

Genel olarak, bir networkde iki (ya da daha fazla) MAC adres akmasn tanlamak ve dzeltmek en byk problemlerden birisidir. MAC adresi donanma zg olduundan, bazen burnedin adres olarak da sz edilir. MAC, 12-digit onaltlk dzende temsil edilen 48 bitten oluur. Bu 12 digitin 6s kartn reticisine zgdr. rnein, Intel tarafndan retilen bir network kartndaki bu ilk alt numara 00AA00 iken Cisco aygtlarda 00000Cdir. Birok network kartnda fabrika knda ayarlanan bu numaray deitirmenin bir yolu olmamasna ramen baz kartlar sistem yneticisinin MAC adresini deitirilebilmesine imkan verir. Bir network segmentinde, ayn MAC adresine sahip iki aygt bulunduu zaman, tehisi olduka zor olabilen bir akma meydana gelir. ou zaman normal sorun giderme teknikleri almayacak, rnein ping normal cevap verecektir. MAC adreslerinin akmas problemini zmek bazen her bir aygt iin MAC adreslerine teker teker bakp raporlamaya kalr. leride greceimiz gibi bu ilem Windows iletim sistemlerinde ipconfig /all komutuyla yaplr. MAC adresleri, network snrlar dna kamaz. Bu yzden MAC adresi ile ilgili bir sorun zmek iin sniffer ad verilen bir ara kullanrken bir MAC adresini dierlerinden daha fazla grrsnz. Bu routern ya da a geidinin MAC adresidir. Dardan networke gelen tm trafik ak router araclyla olduundan, router kendi MAC adresini networke gelen tm trafik ak iin atayacaktr. Bu durum, birok intrusion analisti ve sistem yneticisi iin byk apta bir trafiin bir MAC kaynandan geldiinin grlmesi anlamna geldii iin kafa kartrc olur. Byk networklerde, iki u sistem arasnda ara aygtlar ya da alt networkler olabilir. Network katman, Transport katman (ve stndeki katmanlar) iin, ulalmak istenen sistemin network kablosunun hemen dier ucunda olmas ya da byk bir Wide Area Networkde olmas durumu ile ilgilenmesine gerek kalmadan paketlerin gnderimini mmkn klar. Bu ii yapmak iin network katman, mantksal network adreslerini, fiziksel makine adreslerine (Data-Link katman seviyesinde alan MAC adreslerine) evirir. Network katman ayn zamanda servis kalitesini (Quality of Service rnek olarak mesajn nceliini) belirler ve eer mesajn hedefe ulaabilmesi iin birden fazla yolu varsa ynlendirir.

Blm 1

Network katman ayn zamanda, eer paketin boyutu, Data-Link katmannn kabul edebilecei en byk data framein boyutundan daha byk ise, bu paketi kk paralara bler. Alc tarafnda, Network katman bu kk paralar yine paketler ierisine toplar. Sadece ynlendirme ve network fonksiyonlarnn iletimini salayan ve kullanc programlarnn altrlabilmesi iin ortam salamayan ara aygtlar, OSI network katmanlarnn sadece ilk katmannda alr. ekil 1.5 Network katmannn paketleri oklu linkler arasnda nasl tadn gsterir.

ekil 1.5: Network katman, paketleri linkler arasndan hedeflerine tar.

Network katman, verinin hedefine ulaabilmesi iin birok nemli fonksiyonu yerine getirir. Bu katmanda alan protokoller, verinin ulamasnn gerek olmad segment veya networklere veri gnderimi sonucunda gerekleen ar trafii engelleyecek ekilde zel bir yol seebilir. Network katman mantksal olarak ayrlm networkler arasnda iletiim destei verir. Bu katman unlarla ilgilidir:

Adresleme, mantksal network adresleri ve servis adresleri Devre, mesaj ve paket anahtarlama Yol kefi ve yol seimi Balant servisleri, network katman ak denetimi, network katman hata kontrol ve paket sra kontrol. Gateway servisleri

Windows Server 2003de, Network katman servislerini gerekletirebilmek iin, TCP/IP, AppleTalk ve Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) iin birok eitli ynlendirme servisleri bulunur (Bkz Blm 9 IP Ynlendirme Ynetimi). Buna ek olarak, TCP/IP, AppleTalk ve IPX protokol takmlar, bu protokoller iin ynlendirme kapasitesine sahiptir. Internet Protocol (IP) network katmannda bulunur.

Transport Katman
Transport katman, verinin hatasz, sral, kayp veya tekrarlanmadan teslim edilmesini temin eder. Bu katman ayrca, Session katmanndan gelen byk mesajlar Network katmannn anlayabilecei ekilde daha kk segmentlere bler. Hedef bilgisayarda bu segmentler tekrar birletirilerek Session katmanna sunulanacak olan mesajlara dntrlr. Alc Transport katman, mesajn kaynana bir Acknowledgment mesaj gnderebilir (ekil 1.6daki gibi). Bu servislerin ou, Transport katman protokolleri iin seimlidir ve zaruri deildir. Tm Transport katman protokolleri iin ortak olan bir zellik, st katman protokollerinin e zamanl olarak ileyebilmesi iin, st katman protokollerine multiplexing yapmasdr. rnek olarak TCP/IPde ayn anda bir web sayfasnda gezinme ve bir dosyay download etme ilemi. Transmission Control Protocol (TCP) ve User Datagram Protocol (UDP), Transport katmannda alan rnek protokollerdir.

Windows Server 2003 Networkn Anlamak

ekil 1.6: Transport Layer veri btnl ve performans garantisi ile utan uca iletiim salar.

Session Katman
Session katman, farkl bilgisayarlarda alan uygulamalar iin session oturum ad verilen ortak bir balanty mmkn klar. Bu katman, iki programn birbirlerini bulabilmeleri ve aralarnda balant linki kurabilmeleri iin isim zmlesi ve gvenlik gibi servisler salar. Ayn zamanda veri senkronizasyonu salar ve networkde meydana gelebilecek bir problemden dolay yarm kalan veri aktarmnn tamamen tekrarlanmamas iin checkpoint oluturur. Bu sayede, veri aktarm srasnda meydana gelebilecek bir problemde tm iletiimin tekrar edilmesi yerine, sadece, oluturulan checkpointden itibaren yaplan veri aktarmnn tekrarlanmas yeterli olmaktadr. Ayn zamanda bu katman iletiim esnasnda, iki sre arasndaki iletiimi kontrol ederek, kimlerin hangi noktada iletim yapabilecei ve veri kabul edebileceine karar verir. NetBIOS, RPC ve SQL, Session katmanndaki protokollere rnektir.

Presentation Katman
Presentation katman, veriyi networkn gereksinimlerine ve bilgisayarn beklentilerine uygun olan formatlara dntrr. Presentation katman protokol evrimini; veri dnm, sktrma ve ifreleme; karakter seti deiimi ve grafik komutlarnn yorumlanmas ilemlerini gerekletirir. Windows Networkingin bir paras olan network redirector bu seviyede alr. Network redirector bir dosya sunucusundaki dosyann, istemci bilgisayarlardan grnmesini salayan yapdr. Network redirector ayn zamanda uzak bir yazcnn yerel bilgisayara balym gibi dnlmesini salar. ekil 1.8 protokol takm ierisinde Presentation katmannn roln gsterir. PICT, TIFF ve JPEG gibi grafik formatlar, Presentation katmanndaki protokollere rnek olarak verilebilir.

ekil 1.7: Session katman, uygulamalarn birbirleri arasnda iletiim sessionlar ile balant kurabilmelerine imkan salar.

10

Blm 1

ekil 1.8: Presentation katman, uygulamalarn birbirleri arasnda iletiim sessionlar ile balant kurabilmelerine imkan salar.

Application Katman
Application katman, OSI modelinde en stteki katmandr. Veritaban eriimi, e-posta ve dosya transferi gibi kullanc uygulamalarn direk olarak destekleyen servisleri salar. Ayn zamanda farkl bilgisayarlarda alan uygulamalarn sanki ayn bilgisayarda alyormu gibi iletiim kurmalarna izin verir. Bir programc network servisleri kullanan bir uygulama gelitirirken, uygulama yazlmnn bu servislere eritii katman bu katman olacaktr. rnein, Internet Explorer web sayfas ya da dosya isteklerini Application katmann kullanarak gerekletirir. Ardndan Application katman bu istekleri alttaki katmanlara aktarr ve dier katmanlar da kendi ilerini gerekletirir (ekil 1.9da grld gibi). File Transfer Protocol (FTP), Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP) Application katmanndaki protokollere rnektir.

ekil 1.9: Uygulama fonksiyonlarnn yer ald Application katman alt katmanlar kullanr.

Windows Server 2003 Networkn Anlamak

11

Stackler Arasnda letiim

Bir mesaj bir makineden baka bir makineye gnderildiinde, bu mesaj ekil 1.10da grld gibi bir makinede st katmandan alt katmanlara doru, dier makinede de alt katmandan st katmanlara doru gezmektedir. Bir mesaj alt katmanlara doru ilerdedike, her bir katman (physical katman dnda) kendi header (balk) bilgisini ekleyerek mesaj alt katmana iletir. Bu headerlar, alcda karlk gelen katman tarafndan okunup ilenen bir takm kontrol bilgileri iermektedir. Mesaj alc tarafnda katmanlar arasnda yukar doru ilerlerken her bir katman emsal katman tarafndan eklenen header bilgisini karr ve bu bilgiyi mesajn ierii ile ne yaplacan anlamak iin kullanr (Bkz. ekil 1.11). rnek olarak bu kitab yazarken kullandmz network dnn. Bu network, Ethernet ve IP protokol ile birbirine balanm birok Windows 2000, Windows Server 2003, Macintosh ve Windows NT makinelerini ieren bir TCP/IP networkdr. Mac masa stne bir Windows Server 2003 paylamn baladmzda, Application katmannda (Layer 7) Mac Finder, Windows Server 2003 bilgisayarndan bir talepte bulunur. Bu talep Macin, talepler veri paketi olarak alp kendi header bilgisini bunun zerine ekleyerek Layer 5e gnderen Layer 6sna gnderilir. Bu paket Layer 5e iletilir. Layer 5de bu sre tekrar eder ve paket Physical katmana ulaana kadar srer. Physical katman, aslen bitlerin ofisteki network kablolar zerinden iletilmesinden sorumludur. Physical katman, bu talep paketini Windows Server 2003 makinesinin duyabilecei bir yere tar. Bu noktada, bu talep paketinin Windows Server 2003 dosya sunucusundaki st katmanlara doru yolculuu balar. Mac OSnin Data-Link katmannda eklenen header, Windows Server 2003 makinasnn Data-Link katmannda kartlr. Windows Data-Link katman srcleri bu header zerinde gerekli ilemleri yaparak istei bir st katmana iletir. Bu sre Windows Server 2003n paketi almasna ve istei yorumlamasna ka- ekil 1.10: Trafik ak bir bilgisayarn protokol takmnda yukardan aa dar tekrar eder. Windows Server 2003 doru, dier bilgisayarda aadan yukarya doru gerekleir. dosya sunucusu uygun cevab formlize ederek Mace gnderir.

ekil 1.11: Paketler protokol takmlar arasnda dolatka, her bir katman gerekli kontrol bilgilerini ekler ya da kartr.

12

Blm 1

Microsoftun Network Bileenleri ve OSI Modeli

OSI modelinin soyut bir kavram olmasndan dolay, OSInin genel yaps erevesinde gerek dnyadaki network yazlm ve donanmlarnn iyi anlalabileceini sylemek zordur. Bu blm aradaki balanty kolay anlalabilir hale getirecektir. Bu blmde size Windows Server 2003teki spesifik protokolleri tantacaz ve bu protokollerin OSI modelindeki eitli katmanlarda nasl uygulandn greceiz.

Aygt Srcleri ve OSI Modeli

Bilgisayardaki tm donanm aygtlar alabilmek iin yazlm tabanl aygt srclerine ihtiya duyarlar. Baz srcler rnein Integrated Device Electronics (IDE) harddisk veya klavye srcs iletim sistemi bnyesindedir. Dier aygtlarn srcleri, o aygt sisteme takldnda ya da yklendiinde gereklidir. Windows Server 2003 yzlerce farkl network kart iin srcler ierir; fakat sizin kartnz listede yoksa kartn reticisi tarafndan salanan srcleri yklemeniz gerekir. nceleri (rn. Windows 3.11 ortaya ktnda), network srcleri hem iletim sistemi hem de kart iin reticiye zeldi. rnein bir sunucuda ayn anda 3Com Ethernet kart ve IBM Token Ring kartn kullanmak ok zordu. Daha da kts, ou src sadece tek bir protokol takmna ve tek bir karta zel oluyordu; bu yzden bir sunucu zerinde TCP/IP kullanan iki network kartn kullanamyordunuz. Birok retici bu problemi zmek iin src arabirimleri gelitirerek birden fazla kartn, birden fazla protokolle kullanlmasn salamaya alt. Apple ve Novell Open Datalink Interface (ODI)i gelitirdi ve Microsoft Network Driver Interface Specification (NDIS) ile ilgilendi. O zamandan beri Microsoft iletim sistemleri bir kartta oklu protokol kullanmn ya da bir protokoln birden fazla kartta kullanmn destekler. Network kartlar ve srcleri OSInin Data-Link katman ile ilgili servisleri salar. IEEE modeli, Data-Link katmann, Logical Link Control alt katman (LLC - yazlm srcleri ile ilgili) ve Media Access Control Layer alt katman (MAC network adaptr ile ilgili) eklinde ayrr. Srcleri st katmanlar ile kart arasnda arac, kart donanmn da paketlerin biimlendirilmesi ve bir kabloya aktarlmas ile alakal olduunu dnebilirsiniz.

Network Protokollerinin Temelleri

Protokoller iki nesnenin (insanlar, bilgisayarlar, ev aletleri v.s) bilgi alverii yapabilmesi iin ortak kabul grm kurallar topluluundan farkl bir ey deildirler. OSI modelinin eitli seviyelerinde protokoller vardr. Dorusu, OSI modeli her bir seviyenin fonksiyonlarn yerine getiren o seviyeye zg protokoller kmesidir. OSI modelindeki bir ya da birden fazla katmana fonksiyon salamak iin beraber alan protokollere, protokol takm ya da protokol suit ad verilir. Sonraki blm network protokollerinin makineler arasnda veri transferini nasl yaptklarn aklamaktadr.

Protokoller Nasl alr?

Bir protokol iki ya da daha fazla grup iin nceden tanmlanm ya da zerinde mutabk olunmu basit admlar ve standartlar topluluudur. rnein telefon grmesi, yazl olmayan fakat geni anlamda kabul grm bir standarttr. Bir kii telefon grmesi yapmak istediinde kar tarafn numarasn evirir. Kar taraftaki kii telefonu Alo diyerek cevaplar, arayan kii de benzer ekilde yantlar. Sohbet bu ekilde balar. Sohbet bittii srada (genellikle) her iki taraf Hoakal gibi bir szck ile bu durumu kar tarafa iletir. Telefon grmesi Alo ve Hoakal szcklerinden oluan rutin bir protokole dnr. Bilgisayarlarn gerek dnyasnda bir protokol benzer konsepti takip eder. Bir protokol her iki bilgisayarlar tarafndan da doru dizilite gerekletirilen nceden tanmlanm standartlar kmesidir. rnein, bir bilgisayarn dier bir bilgisayara mesaj gndermesi iin, mesaj gnderen bilgisayarn gerekletirmesi gereken admlar genel olarak aadaki gibidir:

Windows Server 2003 Networkn Anlamak

13

1. Veriyi daha kk paketlere (veya bulunduu katmana gre segment, frame v.s) blmek. 2. Pakete adres bilgisini koyarak alc bilgisayar tanmlamak. 3. Verinin networkte iletimi iin veriyi network kartna iletmek. Alc bilgisayar u admlar gerekletirmelidir: 1. Network adaptrnden gelen veriyi kabul etmek. 2. Gnderen bilgisayar tarafndan eklenmi olan iletiim bilgilerini karmak. 3. Veri paketlerini tekrar bir araya getirerek orijinal mesaj oluturmak. Verinin hedefe ulaabilmesi ve doru bir ekilde tekrar bir araya getirilebilmesi iin her bir bilgisayar ayn admlar, ayn ekilde ve dzgn srada gerekletirmelidir. Bilgisayarlardan biri farkl admlara sahip bir protokol kullanrsa hatta ayn admlar farkl parametrelerle (rnek olarak farkl sralama, zamanlama ya da hata dzeltimi) gerekletirirse bu iki bilgisayar birbirleriyle haberleemezler.

Network Paketleri
Ethernet networkleri IP koar ve transport protokol olarak TCP kullanarak paket ad verilen kk veri paralarn gnderip alr. Network protokolleri bu paketleri, gnderici bilgisayarnda protokol takmna gnderirken, network zerinde dolatrrken alc tarafnda oluturur, deitirir ve yeniden monte eder. Bir IP paketi u bileenlere sahiptir:

Veriyi gnderen bilgisayar belirten kaynak adres Verinin gnderildii bilgisayar belirten hedef adres Bilgisayara verinin nasl gnderileceini anlatan talimatlar Yeniden kurma bilgisi (paket daha byk bir mesajn paras ise) Uzaktaki bilgisayara gnderilecek veri (genelde paket payload olarak adlandrlr) Verinin bozulmam olarak kar tarafa ulatndan emin olmak iin hata denetimi bilgisi

Bu bileenler daha byk paralar ierisinde toplanr; her bir paket (burada listelenen ve ekil 1.12de grlen) farkl paradan oluur ve bu her bir para da daha nceden bahsi geen bileenleri ierir. Header (Balk): Tipik olarak bir header, tanmlayc bilgi, kaynak ve hedef adresler ve protokole zg dier seenekleri ierir. Data (Veri): Gnderilmek istenen asl veri. Trailer: Trailerin ierii, farkl network tipleri iin deiiklik gstermekle birlikte tipik olarak CRC bilgisini ierir. CRC, bir paketin iletiim srasnda bozulup bozulmadn anlamaya yardmc olur.

ekil 1.12: Bir paket, header, veri ve trailer ierir.

Protokoller ve Bind lemi

Birok farkl protokol takm network fonksiyonlarn yerine getirir ve birok farkl tipteki network kart bir bilgisayara monte edilebilir. Bir bilgisayar birden fazla karta sahip olabilecei gibi, birden fazla protokol takmn ayn anda kullanyor da olabilir.

14

Blm 1

Bind etme, protokol takm ile network interface kartnn network aygt srcleri arasnda ba oluturma ilemidir. eitli protokoller ayn karta bind edilebilir. rnein TCP/IP ve AppleTalk ayn Ethernet adaptrne bind edilebilir. Buna ek olarak, birden fazla interface adaptrne sahip bir bilgisayar rnein hem yerel networkle hem de network omurgasyla iletiim kurmak durumunda olan bir sunucu ayn protokoln bind edildii iki ya da daha fazla sayda network kartna sahip olabilir. Bind ilemi, OSI katmanlar boyunca bir protokol takm ile bir dieri arasnda ba kurma amacyla kullanlabilir. Aygt srcleri (Data-Link katmannda alan) ile network kartlar (Physical katmanda alan) bind edilir. TCP/IP ve NWLink Session katman da aygt srclerine bind edilebilir. Windows Server 2003 iin bind ilemi zellikle nemlidir. nk sklkla bir networkte ihtiya duymadnz protokolleri unbind etmek isteyeceksiniz. rnein, bir web sunucunun Internet balantsnn olduu network kartndan NWLink protokolnn unbind edilmesi sklkla uygulanr.

Balantlar Belirlemek
Bilgisayarlar arasndaki iletiim iki yolla dzenlenebilir; balantdan bamsz ve balant tabanl protokoller. Farkl Windows Server 2003 servisleri farkl balant trlerini kullanabildikleri iin, bu iki balant tr arasndaki fark anlamak nemlidir. Balantdan Bamsz Protokoller Balantdan bamsz protokolden bahsetmek garip gelebilir; fakat bu tr protokollerden en az ikisini hemen her gn kullanrsnz: radyo ve televizyon. Balantdan bamsz protokoller, paketlerin doru srada teslim edilmesini garanti etmez. Pencerenizden yoldan gemekte olan bir kiiye seslendiinizi dnn. Bu kiinin sizi duymas garanti deildir; fakat hzl ve kolaydr. yimser bir varsaymla bu balant trnn protokol zerine getirdii ek bir yk sz konusu deildir. Bu yzden daha hzl olmaya yatkndr. IP protokol suitinin bir paras olan User Datagram Protokol (UDP) rnek bir balant temelsiz Internet Transport protokoldr. Aslnda IPnin kendisi balant temelsiz bir protokoldr ve TCP gibi st katmanlarn salad balantya dayanr. Balant Temelli Protokoller Balant temelli sistemler telefonunuz gibi alr. Mesaj gndermeden nce telefon numarasn evirip kar tarafla bir balant kurmanz gerekir. Balant temelli protokoller ktmser bir yaklamla baz verilerin networkte kaybolabilecei ya da dzensiz olarak iletilebileceini varsayar. Bu protokol transfer ileminin hedefine, uygun srada ve tamamyla ulaacan garanti eder. Bunu gerekletirmek iin, balant temelli protokoller verinin gvenli bir ekilde ve gerektiinde yeniden gnderilmesi durumunu gz nnde bulundurur. Gereken veri uzaktaki uca ulatktan sonra uygun srada yeniden birletirilir ve st katmanlara pas edilir. Bu demek oluyor ki, baz uygulamalar verinin tamamyla gnderildii ekilde teslim edilmesini garanti etmek iin balant temelli Transport protokolne ihtiya duyarlar. Transmission Control Protocol (TCP), gvenilir balant temelli Internet protokolne bir rnektir. Frame Relay ise gvensiz balant temelli protokole bir rnektir. Gvensiz protokol paketlerin kaybolmasnda ya da hatal ulamasnda verinin yeniden gnderilmesini desteklemez. rnein DNS, balant temelsiz bir protocol olan UDP kullanr. Verinin teslim edilememesinin pek de muhtemel olmad yerel sistemler iin, verinin sralanmas ve st katman protokollerine iletilmesinin garanti edilmesi pek de etkin bir yntem olarak dnlmez, nk bu aktiviteler sklkla kullanlmaz. Fakat Wide Area Networklerde, hangi verinin gnderildii, hangi verinin kaybolduu ile ilgilenmek st katman protokolleri iin olduka zaman alr. Bu yzden Transport protokolleri basit bir ekilde tm verinin dzgn bir sra dahilinde iletimi iin bir nlemdir.

Windows Server 2003 Networkn Anlamak

15

Network Protokolleri ve Windows Server 2003

imdiye kadar Windows Server 2003 iin geerli olmayabilecek gibi grnen birok soyut materyal okudunuz. imdi size, Windows Server 2003n network protokollerini, bu noktaya kadar okuduunuz modellerle her bir protokoln nasl uygun olduunu gstereceiz. Gnmz networklerinde birok protokol takm kullanlr. NetWare, AppleTalk, NetBIOS ve TCP/ IPnin yan sra IBMin System Network Architecture (SNA), Digitalin (imdi HP/Compaq) DECnet ve dier protokoller gibi bir grup zel protokoller de vardr. Bu protokoller gerekte OSI modelinin farkl katmanlarnda almalarna ramen aadaki listede ve ekil 1.13te grld gibi farkl grup iine denk gelirler.

Application protokolleri uygulamalar arasndaki etkileimi ve veri deiimini gerekler. Transport protokolleri bilgisayarlar arasnda balant oturumlar kurar. Network protokolleri, ynlendirme, adresleme, hata denetimi ve yeniden veri gnderimi talepleri gibi konularla ilgilenir.

Microsoft networking rnleri, herbiri farkl ngereksinimlere sahip farkl lekteki networkleri hedefleyen network transportu NWLink IPX/SPX, AppleTalk, ve TCP/IP ile gelir. Herbir transport protokolnn farkl gl ve zayflklar vardr. NWLink orta lekteki networkler iin ya da Novel Netware dosya sunucularna erimeyi gerektiren networkler iin dnlmtr. AppleTalk birincil olarak Macintosh bilgisayarlar (burada tartmak iin olduka farkl uzman bir konu) iin kullanlr. TCP/IP, Internet gibi olduka geni lekteki networkler iin uygun bir protokoldr. Microsoft her eyi TCP/IP ile uyumlu Windows Server 2003 geerliliini yitirmi olan NetBEUI protokol desolacak ekilde yapar. Active Directory teini iermez. NetBEUI ynlendirilebilir bir protokol deildi ve Microkullanm iin TCP/IP bir ngereksisoft iin bu protokol kurumsal lekli networkler iin uygun deildir. nimdir ve Windows Server 2003 iin varsaylan protokoldr.

NWLink
NWLink IPX/SPX, Novel Netwarede kullanlan Novel IPX/SPX protokol takmnn Microsoft uygulamasdr. Gerekte NWLink IPX/SPXin, Windows iin IPXten fazlas olduunu sylemek doru olur. NWLink IPX Windows Server 2003e, Windows Server 2003lerin Novel NetWare sunucu ve istemcilerle birbirine balanabilmesi iin eklenmitir. Bylece, Microsoft istemci ve sunucular var olan network alt yapsna dahil edilebilirler, platformlar arasnda migration olduka kolaylatrr ve bir network standardndan bir dierine geite komple deiim ihtiyacnn nne geer. NWLink IPX/SPXin avantajlar u ekildedir:
ekil 1.13: OSI protokol takm, katmanlar yeni kategori dahilinde gruplandrlacak ekilde sadeletirilebilir.

Kurulumu ve ynetimi kolaydr. Ynlendirilebilir bir protokoldr. NetWare sunucu ve istemcilerine balanmak kolaydr.

Bununla birlikte, NWLink IPX/SPX baz dezavantajlara da sahiptir:

NWLink IPX/SPX ile dier organizasyonlarla trafik deiimi yapmak zordur. Windows Server 2003te kstl bir destee sahiptir. Standart network ynetim protokollerini desteklemez.

16

Blm 1

Tam olarak geni networklerde (birok organizasyonu birbirine balayan) NWLink IPX/SPX kullanm zordur, nk iki networkn ayn adres numaralarn kullanmamasn salayan (TCP/IPde olduu gibi) etkin bir merkezi IPX adresleme emas yoktur. IPX, TCP/IP iin mevcut olan kapsaml network ynetim aralarn desteklemez.

TCP/IP
TCP/IP gerekte iki protokol kmesinin toplamdr: Transmission Control Protocol (TCP) ve Internet Protocol (IP). TCP/IP, Department of Defenses Advanced Research Projects Agency (ARPA, nceleri DARPA) tarafndan 1969 ylnda gelitirilmeye balanan bir protokol takmdr. Balarda nkleer sava ortamnda bile iletiimin devam ettirilebilmesi amacyla gerekletirildi. Bu dizaynn amac hi bir zaman test edilmedi; fakat bu dizaynn genel grnm gnmzde internet adn verdiimiz datk yapya yol gstermitir. IP Internetin protokoldr ve birbirine balanan bilgisayarlar iin en geni apta kullanm alanna sahip protokoldr. ARPA IPyi askeri networkleri birbirine balamak iin gelitirmesine ramen, devlet kurumlar ve niversiteler iin cretsiz bir protokol standart salad. Akademik dnya networklerini salam bir protokolle birbirine balama ansna eriti ve Internet bu ekilde dodu. Birok organizasyon ve ibirlii ierisindeki kiiler Windowsta ve bu kitap boyunca genel olarak TCP/ daha st katman protokolleri gelitirdiler. Haber grupIP eklinde ima edilen TCP/IP ya da IP protokol talar, e-posta transferi, dosya transferi, remote booting kmdr, Transport katman protokol deildir. ve dokman tarayc. IP, hzl ve geni apta benimsenmesinden dolay birok network iin kullanlan bir protokoldr. IP, birok networkte birden fazla metropolitan area networkn birletirilmesi veya Internete balanmasnda kullanlr. IP, baz nemli avantajlara sahiptir:

Btn farkl bilgisayarlar ve sunucular arasnda ve direkt olarak Internete eriimi de kapsayan geni apta balanabilirlik. Esnek ynlendirme protokollerini kullanarak ynlendirme iin gl destek (daha fazlas iin Blm 9a bakn). Gelimi (bu kitabn sonraki ksmlarnda ayrntl olarak incelenecek olan) isim ve adres znrl hizmet destei: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) ve Windows Internet Name Service (WINS). E-posta iletiimi, web sayfalarnda dolama ve dosya yazc paylam gibi standart Internet protokollerine destek. Organizasyon alar arasnda iletiimi kolaylatrmak amacyla network numaralar ve isim atamalarnn merkeziletirilmesi.

IP baz dezavantajlara da sahiptir.

IPXe gre kurulumu daha zordur. Ynlendirme ve balanabilirlik zellikleri nispeten ek yk getirir. IPXden daha yavatr.

Bu dezavantajlar olmasna ramen, Windows Server 2003de tm network servisleri iin esas protokoldr. Gerekte bu kitabn byk bir blm TCP/IP ve balantl servisleri zerinde younlar. TCP (ve UDP), veri paketlerini uygun uygulama ilemine iletmek iin, Internet Assigned Numbers Authority (IANA) tarafndan atanan port numaralarna dayanr. Port numaralar, mesajn header ksmnda yer alp paketin ilikilendirilmi uygulama yazlm ilemini tanmlayan 16-bitlik tam saylardr.

Windows Server 2003 Networkn Anlamak

17

rnek olarak bir istemci ayn anda ak olan bir Internet Explorer ve bir de Outlook Express uygulamasn altryor olsun. Her iki uygulama da Internet zerinden e-posta ve web sayfalarn getirmek iin srasyla TCP istekleri gnderirler. Bilgisayar gelen hangi paketin Internet Explorera, hangi paketin Outlook Expresse iletileceini nasl bilir? Bir istemci balant kurarken 1024 ile 65535 arasnda (1 ile 65535 arasnda olabilirdi) bir kaynak portu seer. Bu kaynak portu, hedefteki 80 veya 110 numaral port ile haberleir. Internet Explorer iin ynlendirilmi her paket headernda 80 ve Outlook Express iin ynlendirilmi her paket 110 kaynak port numaralarna sahiptir. Tablo 1.1, snav iin de bilmeniz gerekebilecek, sklkla kullanlan port numaralarn ierir. Ayrca www.iana.org web sitesini ziyaret ederek geerli tm port numaralarnn listesine ulaabilirsiniz. Bir firewall zerinde spesifik protokollere ait port numaralarna izin verilebilir ya da bloklanabilir. Sadece 80 numaral porta izin vermek ile tm web trafiine izin vermi olmazsnz. Ayn zamanda secure web trafii iin 443 numaral porta da izin vermelisiniz. Tablo 1.1: Sklkla Kullanlan Port Numaralar
Port Numaralar 20 21 23 25 53 80 88 110 443 Aklama File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain Name System (DNS) Hypertext Transfer Protocol (HTTP), Web Kerberos Post Office Protocol v3 (POP3) Secure HTTP (HTTPS)

Gerek Dnya Senaryosu Portlar

Baz servisler iin port numaralarnn sk kullanlan port numaralar olmas o servis iin mutlaka o numara zerinden hizmet vermek zorunda olduu anlamna gelmez. Teknik olarak herhangi bir servisin herhangi bir port zerinden hizmet vermesi mmkn olmasna ramen bunu yapmak genellikle iyi bir fikir deildir. rnein, eer web sunucunuz TCP 25 numaral port zerinden hizmet verseydi, mterileriniz bu web sitenize ulamak iin web tarayclarnda www.example. com:25 eklinde yazmalar gerekecekti.

Gerek Dnya Senaryosu OSI Modelini Anlamak ve Sorun Gidermek

altnz firma lke apnda yaylm birok blgesel ofislere sahip. Sizin greviniz Windows Server 2003 networknde retim, envanter ve sat bilgilerinden oluan kaynaklarn her an iin ulalabilir olmasn salamak. Eer blgesel ofislerdeki sat bilgileri, retim ve envanter programlar tarafndan toplanamaz ve gncellenemez ise firma mterilerine etkin bir ekilde tedarik hizmeti sunamayacaktr. Networkdeki kullanclar iin teknik boyutuyla ayrntl olarak ilgilenmezler; fakat sistem ktnde bundan etkileneceklerdir. Ayn zamanda MCSE iin alyor ve OSI Modelinin soyut yapsnn sizin iinizle nasl bir ilgisi olduunu merak ediyorsunuz. Bir kullancdan, ynetim kurulu toplantsnn yapld baka bir blgedeki Windows Server 2003 sunucusuna bal bir yazcya balanamadn reniyorsunuz. Kullanc bu sorunu zmenizi bekliyor ve siz btn iinizi brakp bu probleme bakyorsunuz.OSI modeli ile probleme yaklamnz katmanlarn fonksiyonellii asndan olacaktr. Routernza ping atyorsunuz ve routern altn gryorsunuz. Artk Physical, Data-Link ve Network katmanlarnn dzgn altn

18

Blm 1

anlyor kablo ve basit protokol problemlerini elimine etmi oluyorsunuz. Ayn web tarayc yazlmnzn dzgn altn gryorsunuz, nk rastgele web sayfalarna ulaabiliyorsunuz. Yazcy host eden Windows Server 2003 makinesini ismiyle ping ettiinizde Request Time Out mesaj alyorsunuz. Fakat ayn bilgisayar IP adresi ile ping ettiinizde balantnn salkl olduunu gsteren cevap size bir isim zmleme probleminizin olduunu gsterir. Net use komutunu kullanarak IP adresiyle yazcya balanp WINS servernza gz atmaya balyorsunuz. Sorun zme taktiklerinizi OSI katmanlarna gre uyarlamak, problemin OSInin hangi katmannda gzktne bal olarak, problemin nerede olduu ve hangi servislere baklaca konusunda size daha iyi fikir verecektir. OSI modeli olduka soyut bir kavram olmasna ramen uygun bir ekilde tatbik edildiinde size tm networknz hakknda bir yapsal dnce sistemi verir ve sistemli bir sorun zme taktii salar.

IP Adreslemesini Anlamak
IP adreslemesini anlamak, IPnin nasl altn anlamak asndan kritiktir. IP adresi, bir IP networknde her bir makineye atanan saysal bir tanmlaycdr. IP, o aygtn bulunduu network lokasyonuna iaret eder. Bu adres network kart zerinde ya da donanmsal olarak makinaya zg bir adres deil, bir eit mantksal adres tipidir.
Konunun kalan ksm iin ikili say sistemi ve matematiksel ilemler ynnden bir skntnz olmadn varsayacaz.

Sonraki blmde, IP adreslerinin bir networkde her bir makineyi esiz olarak tanmlamada nasl kullanlacan greceksiniz.

Hiyerarik IP Adresleme emas

Bir IP adresi 32 bitlik bilgiden meydana gelir. Bu bitler, 1er bytetan (8 bit) oluan drt blme (octet ya da quad olarak da adlandrlr) ayrlmtr. Bir IP adresini gstermek iin genel metot vardr.

Dotted-decimal, 130.57.30.56 gibi Binary, 10000010.00111001.00011110.00111000 gibi Hexadecimal, 82 39 1E 38 gibi

Tm bu rnekler ayn IP adresini iaret eder. Bu 32-bit IP adresleme, yapsal, hiyerarik adresleme yapsdr. Flat adresleme hiyerarik adreslemeden farkldr. IP, flat veya hiyerarik olmayan adresleme yapsn da kullanabilecei gibi, tasarmclar daha sonra greceimiz bir nedenden dolay hiyerarik adresleme yapsn semilerdir. Bu iki tip adresleme yaps arasndaki fark nedir? Flat adres yapsna gzel bir rnek src ehliyet numarasdr. Bu numara anlaml alt paralara (ikamet edilen lke, verilme tarihi gibi) blebileceimiz bir yapda deildir. Eer bu metot IP iin kullanlm olsayd, Internet zerindeki her bilgisayarn, aynen ehliyet numaralar gibi tamamyla esiz bir numaraya sahip olmas gerekirdi. Bu adresleme yaps ile ok geni bir adres havuzunu (yaklak olarak 4.3 milyar 32-bitlik yapda, her bitin 0 ve 1 olma durumu ile 232 bir adres havuzu) kullanabilir. Kt haber ve IPde flat adresleme yapsnn kullanlmamasnn ana nedeni, ynlendirmedir. Eer tm adresler tamamyla esiz birer numara olsalard, Internet zerindeki tm routerlar Internet zerindeki tm dier routerlarn ve makinelerin adreslerini depolamaya ihtiya duyacakt. Bu da muhtemel adreslerin kk bir blm iin bile etkin ynlendirme ilemini imkansz hale getirecekti. Bu sorunu zmek iin, adres havuzunu dzenli - anlaml kk paralara ayran bir hiyerarik adresleme yaps kullanlr. Telefon numaralar bu tip bir adreslemeye gzel bir rnektir. Telefon numarasnn ilk blm geni bir alan iin ayrlm alan kodudur. Alan kodunun ardndan yerel santralin kapsamn daraltan n ek gelir. Adresin son segmenti ise mteri numarasdr. 212-

Windows Server 2003 Networkn Anlamak

19

227-xxx gibi bir numara bakarak, bu numarann stanbul (alan kodu 212) Beiktata olduunu anlayabilirsiniz. IP adresleme yaps ayn ekilde alr. 32-bitlik adresin tamamn unique bir adres olarak ele almak yerine, IP adresinin bir blmn network adresi (network ID), dier blmn node adresi (host ID) olarak hiyerarik bir yapda ele alr. Network adresi her network benzersiz bir ekilde tanmlar. Bir networkteki tm makineler, sahip olduklar IP adresinin bir paras olan ayn network adresini paylarlar, tpk ayn sokaktaki tm ev adreslerinin ayn sokak ismine sahip olmas gibi. rnein, 130.57.30.56 IP adresi iin 130.57 network adresidir. Node adresi ise, networkteki tm makineler iin unique olarak tanmlanm bir numaradr, tpk ayn sokaktaki tm evlerin numaralarnn farkl olmas gibi. IP adresinin bu blm unique olmaldr; nk tek bir makineyi tanmlamaktadr. 130.57.30.56 IP adresi iin .30.56 node adresidir. Node adresi, network adresi ile birlikte alararasnda spesifik bir aygt iaret eder. Interneti tasarlayanlar, network byklklerine gre snflar oluturmulardr. ok fazla sayda nodea sahip olan az sayda network iin Class A network snfn oluturdular. Az sayda nodea sahip olan ok fazla sayda network iin Class C network snfn oluturdular. Tahmin edilecei gibi ok geni ya da ok kk networkler arasnda Class B networkler vardr. Networknzn hangi Class yapsna sahip olduu, IP adresinin, network adresi ve node adresi eklinde iki blme ayrlmasna karar verir. Bununla birlikte Classless Inter-Domain Routing (CIDR) bu classfull tasarmn etkin bir ekilde ortadan kaldrmaktadr. IP adresleme yapsn anlayabilmek iin Classfull tasarmn arkasndaki anlam kavramanz gerekecektir. Bununla birlikte IP adresleme yaps ile alrken CIDRi anlamak daha nemlidir. Tablo 1.2 daha sonra detayl olarak inceleyeceimiz network snfnn zetini ierir. Tablo 1.2: Network Adres Snflar
Snf A B C Mask Bitleri 8 16 24 Balang Bitleri 0 10 110 IP adresinin ilk oktedinin aral 1-126 128-191 192-223 Networkler 126 16,384 2,097,152 Her bir networkteki max node says 16,777,214 65,534 254

Tasarmclar, etkin bir ynlendirme amacyla, her bir network snf iin balang bitleri blm tanmlamlardr. Router, bir A snf adresin 0 bitiyle baladn bildiinden, eer gerekliyse adresin sadece ilk bitini okuduktan sonra default mask hzl bir ekilde uygular. Tablo 1.2 balang bitlerinin ne ekilde tanmlandn gsterir. Network ve host adreslerini maskelerken ka bitin maskeleneceini gz nnde bulundurmak nemlidir. rnein, bir A snf networkte 8 bit maskelenir varsaylan subnet mask 255.0.0.0 olur. C snf bir networkte 24 bit maskelenir ve varsaylan subnet mask 255.255.255.0 olacaktr. Baz IP adresleri zel amalar iin rezervedir ve network yneticileri tarafndan nodelara atanmamaldr. Tablo 1.3 baz rezerve edilmi IP adreslerini listelemektedir. Dierleri iin RFC 3330a baknz.

20

Blm 1

Tablo 1.3: zel Network Adresleri

Adres Tm bitlerinin 0 olduu IP adresi Ynlendirme tablosundaki, tm bitlerinin 0 olduu IP adresi ve maskesi girdisi Fonksiyonu Maskeye bal olarak (network ya da bunun bir alt network) bu network ya da bu network zerindeki bu host Default gateway adresi olarak kullanlr. Tm bitlerinin 0 ile maskelendii herhangi bir hedef adres yine tm bitlerinin 0 olduu bir referans adresi retir. Maske herhangi bir 1 biti iermediinden arzu edilen bir girdi deildir; fakat dier girdiler uyumadnda kullanlr. Loopback testi iin rezervedir. Lokal nodeu iaret eder ve herhangi bir network trafii yaratmadan o noda test paketleri gndermeye izin verir. Bir networkdeki herhangi bir nodeu kastetmeden, o networke referans vermek iin genelde ynlendirme tablolarnda kullanlr. O network iin broadcast adresi. rnein 128.2.255.255 128.2 B snf networknde tm nodelar iaret eder. Bu broadcast mesajn ynlendirmek baz routerlarda yaplandrlabilir. Single linkte aygtlar arasnda otomatik yaplandrma ve iletiim iin kullanlr. Routerlar zerinden iletiim gerekleemez. Microsoft bu yapy Automatic Private IP Addressing (APIPA) iin kullanr. O networkteki tm nodelar iin broadcast. Bazen limited broadcast olarak adlandrlr. Bu broadcast ynlendirilebilir deildir. A, B ve C snflar iin RFC 1918de tanmlanm zel kullanm bloklardr. Bu bloklardaki adresler direkt olarak internete izinli deildirler. NAT sunucularn arkasnda ya da Internet balants olmayan internetworklerde kullanlabilir.

127 Network adresi Tm bitleri 0 olan node adresi Tm bitleri 1 olan node adresi

169.254.0.0 255.255.0.0

Tm bitlerinin 1 olduu IP adresi (255.255.255.255 gibi) 10.0.0.0/8 172.16.0.0 172.31.255.255 192.168.0.0/16

Devam eden blmlerde, farkl network tipine bakacaz.

A Snf Networkler
A snf networkde ilk byte network adresini, kalan byte node adresleri olarak kullanlr. A snf adres format Network.Node.Node.Node eklindedir. rnein 49.22.102.70 IP adresi iin 49 network adresi ve 22.102.70 node adresidir. Bu networkdeki her makinenin 49dan farkl bir network adresine sahip olmas gerekmesine ramen yine de o network iin ok fazla sayda makineye sahip olabilirsiniz. A snf iin network adresi 1 byte uzunluundadr, bunun ilk 1 biti rezervedir ve bylece geriye kullanmak iin 7 bit kalr. Bu da oluturulabilecek A snf network saysnn en fazla 128 olabilei anlamna gelir. Neden? Kullanlabilen 7 bitin her biri 0 ya da 1 olabilir, bu da size toplamda 27 (128) alternatif verir. Buna ilave olarak network adresinin tm bitlerinin 0 olduu adres (0000 0000) rezervedir. Bu da kullanlabilir A snf network adresi saysnn 127 (128 1) olduu anlamna gelir. Aslnda bir tane daha rezerve edilmi adres daha vardr 127 (0111 1111). Rezerve edilen iki adresten dolay, size geriye 126 adet makul A snf network adresi kalr. Her A snf network, bir makinenin node adresi iin 3 byte (24 bit pozisyonu)a sahiptir. Bu da 224 (16,777,216) kombinasyona sahip olunduu anlamna gelir. Tm bitlerinin 0 ya da 1 olmas durumu rezerve edildiinden kullanlabilir node says 224 2 yani 16,777,214tr.

B Snf Networkler
B snf networkte ilk 2 byte network adresleri iin atanr ve kalan iki byte node adresleri iin kullanlr. Format Network.Network.Node.Nodedur. rnein 130.57.30.56 IP numaras iin network adresi 130.57, node adresi 30.56dr.

Windows Server 2003 Networkn Anlamak

21

Network adresi 2 bytedr. Byle 216 kombinasyon olabilecektir. Fakat Interneti tasarlayanlar tm B snf networklerin 10 binary digitleriyle balamas gerektiine karar verdiler. Bu, geriye kullanlabilir 14 bit pozisyonu brakr, bu yzden 16,384 (214) B snf network vardr. B snf networklerin 10 binary digitleriyle balamas bu networkleri tanmak iin size kolay bir yol salar. B snf bir IP adresinin ilk oktetinin ilk 2 biti 10 (decimal olarak adres aral 128den 191e kadar) olduu iin sadece ilk bytena bakarak bu adresin bir B snf adres olduunu kolaylkla grebilirsiniz. Bir B snf network node adresleri iin 2 byte ierir. B snf bir network iin, 216 2 (rezerve edilmi tmnn 1 ya da 0 olduu adresler) yani 65,534 node adresi vardr.

C Snf Networkler
Bir C snf networkn ilk 3 byte network ksmna, geriye kalan 1 byte nodelara ayrlmtr. Format Network.Network.Network.Node eklindedir. 198.21.74.102 IP adresi iin, network adresi 198.21.74 ve node adresi 102dir. Bir C snf networkde ilk 3 bit pozisyonu her zaman 110 eklindedir. Hesaplama u ekildedir: 3 byte, 24 bit 3 (rezerve edilen 110 iin) 21 pozisyon. Bu nedenle 221 yani 2,097,152 muhtemel C snf network vardr. C snf bir IPnin ilk biti 110 (decimal karl 192 223tr)dur. 2,097,152 muhtemel C snf network mevcuttur. Bir IP adresinin ilk byte 192 ile 223 arasnda ise, sonraki bytelarna bakmadan bu IPnin bir C snf IP olduunu kolaylkla grebilirsiniz. Her C snf network, nodelar adreslemek iin 1 bytea sahiptir. O halde her bir C snf network iin 28 2 (rezerve edilen adresler iin) 254 node adresi bulunur.
D snf networkler 224.0.0.0dan 239.255.255.255 aralnda multicasting amacyla kullanlr. Muticasting, broadcast gibi ayn anda fakat sadece hedef bilgisayarlara veri gndermek iin kullanlr.

Bir Network Subnetlere Ayrmak

Eer bir organizasyon ok byk ve ok sayda bilgisayara sahipse ya da bilgisayarlar corafi olarak dalmlarsa, bu byk network birbirlerine routerlar araclyla balanan kk networklere ayrmak akllca olur. Bu kk networkler subnet (alt a) olarak adlandrlr. Subnetleri kullanmann faydalar u ekildedir: Network Trafiini Azaltr: Routerlar olmadan, paketler tm network ierisinde boulabilirdi. Trafiin ou yerel network ierisinde kalr, sadece dier networklere gnderilecek paketler routerlar araclyla dier networklere iletilir. Bu sayede azalacak olan trafik ayn zamanda tm performans da artrr. Ynetimin Kolaylatrlmas: Birbirlerine balanm kk network gruplarndan oluan bir networkde network problemlerini tehis etmek ve ayrmak, byk bir networkdekinden daha kolaydr. IP protokolnn tasarmclar sadece onlarca network ve yzlerce hosttan oluan kk bir Internet tahayyl etmilerdi. Onlarn adresleme emas her bir fiziksel network iin network adresi kullanrd. Hayal edebileceiniz gibi, bu ema ve Internetin beklenmedik bymesi bir takm problemlere neden oldu. Buna karn, bir network adresi birok fiziksel networke referans vermek iin kullanlabilir, fakat bir organizasyon her bir fiziksel network iin ayr bir network adresi isteyebilirdi. Eer bu istekler karlanrsa, ortada yeterli adres says kalmayabilirdi. Bir baka problem routerlarla ilgilidir. Eer Internetteki tm routerlar tm fiziksel networklerle ilgili adres bilgilerini bilmek zorunda olsalar, ynlendirme tablolar ok byk olurdu. Bu tablolar muhafaza etmek iin ok byk bir yne-

22

Blm 1

timsel efor ve routerlar iin ar bir fiziksel yk (CPU cycles, bellek, disk alan v.s) getirecekti. Routerlar, ynlendirme bilgilerini kendi aralarnda deiirler, sonu olarak ar derecede network trafii meydana gelirdi. Bu probleme yaklamda birden fazla yol olmasna ramen, balca zm (bu kitabn da kapsad) - subnettingdir. Tahmin edebileceiniz gibi, subnetting bir IP networkn daha kk mantksal networklere blme ilemidir. Bu ilem IP adresinin host iin ayrlan ksmn tekrar blerek subnet adresler oluturularak gerekletirilir. Gerek alt blmlere ayrma subnet mask kullanlarak gerekletirilir. Sonraki blmlerde, tam olarak subnetting ileminin nasl hesaplanacan ve uygulanacan greceksiniz.

Subnetting Uygulamak
Subnetting uygulamadan nce, u anki gereksinimlerinize karar vermeniz ve subnet emanz en iyi ekilde uygulamak iin plan yapmanz gerekir. u ynergeleri takip edin:

Gerekli network ID saysn belirleyin: her subnet iin bir adet ve her WAN balants iin bir adet. Her bir subnet iin gerekli host ID saysn belirleyin: her TCP/IP aygt iin bir adet, rnein bilgisayarlar, network yazclar ve router arabimleri iin.

Bu iki noktay esas alarak aadakileri oluturun:

Tm network iin bir subnet mask Her bir fiziksel segment iin unique subnet IDleri Her subnet iin host ID aralklar

Bir network adresine sahip bir organizasyon her bir ayr fiziksel network iin subnet adrese sahip olabilir. unu hatrlamak nemlidir ki her bir subnet hala paylalan network adresinin bir parasdr buna ek olarak bulunduu subneti gsteren bir tanmlaycya sahiptir. Bu tanmlayc subnet olarak adlandrlr. rnein bir otel ya da bir ofis binasn dnn. Otelin her bir katnda 75 olmak zere toplamda 1000 odasnn olduunu syleyelim. lk kattaki ilk odadan balayarak numaralandrma yaparsanz ikinci kattaki ilk odaya geldinizde numaranz 76dr ve 1000. odaya gelinceye kadar devam edersiniz. imdi herhangi birisi 521. oda iin baktnda, odann hangi katta olduunu yaklak olarak tahmin etmek zorunda kalacakt. Eer otelde subnet yapsaydnz, ilk kattaki ilk oday 101 (1=Kat ve 1=Oda) olarak, ikinci kattaki ilk oday 201 (2=Kat, 1=Oda) eklinde tanmlayacaktnz. 521. Odaya bakan bir ziyareti 5. Kata gidip 21. Odaya bakacakt. Subnetting birok adresleme problemini zer. lk olarak, sadece bir IP adresine ve birok fiziksel networke sahip bir organizasyon bu durumun stesinden subnetler oluturarak gelebilir. kincisi, subnetting birden fazla fiziksel adresin bir grup ierisine dahil edilmesine izin verdii iin, ynlendirme tablosunda daha az girdilere ihtiya olacaktr bu da network trafiini epeyce azaltr. Son olarak tm bunlarn bir araya gelmesiyle networkn verimlilii byk oranda gelitirilmi olur. Daha sonra, networknzde subnettingin zelliklerinden nasl yararlanacanz greceksiniz.

Subnetting Nasl Uygulanr?

Subnetting, fiziksel networkteki her bir makineye bir subnet adresinin atanmasyla gerekletirilir. rnein, ekil 1.14de, Subnet 1deki her bir makine 1 subnet adresine sahiptir. Atanan adres havuzu kullanmnn etkinliini en st dzeye karmak iin farkl networklerdeki makineler ortak bir network adresini paylarlar. ekil 1.14te greceiniz zere Widget Inc.n makinelerinin hepsi 130.57 network adresine sahiptir. Bu ilke sabittir. Subnettingde host adresi ile oynanabilir fakat network adresi deitirilemez. Host adresinden bitler alnarak subnet identifier iin kullanlr. ekil 1.15

Windows Server 2003 Networkn Anlamak

23

ekil 1.14: rnek bir subnet.

Widget Inc. Network B snf olduu iin, network adresini belirten ilk 2 byte networkdeki tm makineler tarafndan paylalr hangi networkte bulunduuna aldrmadan. Subnetteki her makinann adresinin nc byte 0000 0001 olmaldr. Drdnc byte, o subnetteki bir bilgisayar tanmlayan unique host adresidir. ekil 1.16 bir network adresi ile bir subnet adresinin beraber nasl kullanlabileceini gsterir.

Subnet Mask Nasl Kullanlr?

Subnet adres dzeninin almas iin, networkdeki her makine, IP adresinin hangi ksmnn host adresi olarak, hangi ksmnn network adresi olarak kullanlacan bilmelidirler. Bu ilem her bir makineye bir subnet mask atanmas ile gereklenir. Network yneticisi, 1 ve 0lardan oluan 32-bitlik bir subnet mask oluturur. Subnet masktaki 1ler, IP adresindeki network ve subnet adresini gsterir. 0lar adresin host ksmn temsil eder. Bu kombinasyon ekil 1.17de gsterilmitir.
ekil 1.15: Network vs. Host adresleri.

ekil 1.16: Network Adresi ve Subneti.

24

Blm 1

Bizim Widget, Inc, rneimizde, ilk subnet maskn ilk iki byte 1lerden oluur, nk Network. Network.Node.Node formatnda bir B snf adrestir. nc byte normal olarak host adresinin bir parasdr fakat imdi subnet adreslerini temsil etmek iin kullanyor. Bundan dolay bu bit pozisyonlar, subnet maskta 1lerle temsil edilir. Bizim rneimizde sadece drdnc byte host adreslerini temsil eder. Subnet mask ayn zamanda ikili dzenin onluk karl eklinde de temsil edilebilir. kili dzendeki 1111 1111in onluk dzendeki karl 255dir. Sonu olarak, bizim rneimizdeki subnet mask ekil 1.18de grld gibi iki farkl ekilde gsterilir.
ekil 1.17: Subnet mask gsterimi.

ekil 1.18: Ayn subnet maskn farkl ekillerde gsterimi.

Baz networkler alt alara sahip olmaya ihtiya duymazlar, bu yzden zel bir subnet mask kullanmaya ihtiyalar yoktur. Bu durumda bir default subnet maska sahip olurlar. Bu aslnda o networklerin subnet adreslerine sahip olmadn sylemekle ayn eydir. Farkl network snflar iin varsaylan subnet mask adresleri Tablo 1.4 gsterilmektedir. Tablo 1.4: zel Network Adresleri
Snf A B C Format Network.Node.Node.Node Network.Network.Node.Node Network.Network.Network.Node Default Subnet Mask 255.0.0.0 255.255.0.0 255.255.255.0

ekil 1.19: Subnet mask uygulamak.

Windows Server 2003 Networkn Anlamak

25

Bir network yneticisi bir subnet mask oluturup tm makinelere atadnda, IP yazlm subnet adresini belirlemek iin bunu IP adresine uygular. IP yazlm kendi IP adresine subnet masknn merceinden bakarak subnet adresini grr. ekil 1.19da bir IP adresinin subnet mask adresi araclyla grnts grlr. Bu rnekte, IP yazlm subnet mask ile IP adresinin nc bytenn subnet adres olarak kullanlacan renir. Sonra IP yazlm, IP adresinin mask ile uyuan bit pozisyonlarna (0000 0001) bakar. Son adm olarak ekil 1.20de grld gibi Widget, Inc. rneinde binaryden decimale evrim basittir. Bir B Snf adresin nc bytenn tamamn subnet adresi olarak kullanarak subnet adresini belirlemek ve atamak kolaydr. rnein, Widget, Inc. 6 subnete sahip olmak isterse, o subnetteki tm makinelerin nc bytelar 0000 0110 (decimal olarak 6) olur.

ekil 1.20: Subnet maskn decimale evrilmesi.

B snf network adresinin nc bytenn tamamnn subnet iin kullanlmas yeterli sayda kullanlabilir subnet adresine izin verir. Subnet iin adanm bir byte sekiz bit pozisyonu salar. Her bir pozisyon 1 ya da 0 olabilir, hesap sonucu bylece 28, 256dr. Bu yzden Widget, Inc. Her biri 254e kadar host ieren toplamda 256 subnete sahip olabilir. RFC 950 subnet adreslerinde tm 1 ve tm 0 kullanmn yasaklamasna ramen, hemen hemen tm rnler bu kullanma izin verir. Microsoftun TCP/IP takm da birok router yazlm gibi buna izin verir (bu zellik varsaylan olarak geerli deilse, etkinletirebilirsiniz). Bu size iki ek subnet salar. Bununla birlikte networknzdeki tm yazlmlar bu kullanm desteklemiyorsa bunu kullanmamanz gerekir.

Subnet Saylar Nasl Hesaplanr?

Maksimum subnet says ve her bir subnetteki maksimum host saylarn hesaplayan formller yledir:

2X subnet masktaki maskelenen bit says = maksimum subnet says 2X subnet masktaki maskelenmeyen bit says 2 = her bir subnetteki maksimum host says

Formllerde, maskelenen bit derken 1lerin pozisyonu, maskelenmeyen bit derken 0larn pozisyonu kastedilmektedir. Node adres bytenn tamamnn subnet adresi olarak kullanlmas her bir subnette kullanlabilir node adres saysn azaltr. nceden akland gibi, subnetsiz bir B snf adres nodelar adreslemek iin 1 ve 0larn 65,534 kombinasyonuna sahiptir. Neden tek bir fiziksel networkte 65,534 host istenir? Bu soruyu kendi kendinize sormanz olduka doaldr. Eer node adresleri byten subnet iin kullanrsanz, geriye sadece 254 kombinasyon kalacak ekilde kullanabileceiniz 1 bytelk host adresi kalr. Eer subnetlerinizden herhangi biri 254ten fazla makinaya sahip olurlarsa bu sizin iin bir problemdir. Bu sorunu zmek iin subnet mask ksaltp host bitlerini artrarak host adreslerinin saysn artrmaya ihtiya duyarsnz. Bu size her bir subnet iin daha fazla uygun host adresi salar. Bu zmn sonucu olarak muhtemel subnet saynz klr. ekil 1.21 daha kk subnet adreslerinin kullanm ile ilgili bir rnek gsterir. Acme, Inc. irketi maksimum 14 subnete ihtiyac olduunu dnyor. Bu durumda Acme, host adres bitlerinin tamamn subnet adresleri iin kullanmaya ihtiya duymaz. 14 farkl subnet adresi iin, host adres

26

Blm 1

bitlerinden sadece 4n (2^4=16) alr. Adresin host ksm iin 12 kullanlabilir bit kalr (2^12 2=4094). Her bir 16 Acme subnet iin 4094 host adresi kullanlabilir durumdadr. Her bir subnetin 4094 makine iin yeterli olacaktr.

ekil 1.21: Daha kk subnet adres rnei.

Subnettingi Uygulamak
Subnetting bazen kafa kartrc olabilir. Tm bu numaralar hatrlamak olduka zor olabilir. Geriye dnp temel network snflarna ve her birinin nasl subnetlere ayrldna gz atabilirsiniz. C snf ile balayabilirsiniz, nk C snf node adresleri iin sadece 8 bit kullanr. Sonraki blmde farkl network tiplerinin nasl subnetlere ayrldna gz atacaz.

C Snf
Hatrlayacak olursak bir C snf network, network adresini tanmlamak iin ilk 3 byte (24 bit) kullanr. Bu size hostlar adreslemek iin 1 byte (8 bit) brakr. Bu yzden eer subnetler oluturmak isterseniz, geriye kalan kullanlabilir bit says kk olduundan seenekleriniz snrldr. Eer subnetlerinizi varsaylan C snf subnetlerinden daha kk paralara blmek isterseniz subnet mask, network numaras, broadcast adresi ve router adreslerini hesaplamak kafa kartrc olabilir. Subnetting iin daha salam bir temel kurmak istiyorsanz greceimiz her bir subnet iin zel deerleri tanmlama tekniklerini aln ve anlayn. Fakat bu blmn sonrasnda Subnet Karakteristiklerini Hzl Bir ekilde Tanmlama ksmnda tanmlanan daha etkin teknikleri

Windows Server 2003 Networkn Anlamak

27

renip kullanmanz gerekir. Tablo 1.5 C snf bir network bir, iki, drt ve sekiz kk subnete nasl bleceinizi subnet masklar, network numaralar, broadcast adresleri ve router adresleri ile zetler. lk byte basit olarak x.y.z eklinde gsterilmitir. (Bu tablonun subnetler de tamamyla 0 ve tamamyla 1 kullanabileceinizi varsaydna dikkat edin.) Tablo 1.5: C Snf Subnetler
stenen Subnet Says 1 2 Subnet Mask 255.255.255.0 255.255.255.128 255.255.255.128 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 Network Numaras x.y.z.0 x.y.z.0 x.y.z.128 x.y.z.0 x.y.z.64 x.y.z.128 x.y.z.192 x.y.z.0 x.y.z.32 x.y.z.64 x.y.z.96 x.y.z.128 x.y.z.160 x.y.z.192 x.y.z.224 Router Adresi x.y.z.1 x.y.z.1 x.y.z.129 x.y.z.1 x.y.z.65 x.y.z.129 x.y.z.193 x.y.z.1 x.y.z.33 x.y.z.65 x.y.z.97 x.y.z.129 x.y.z.161 x.y.z.193 x.y.z.225 Broadcast Adresi x.y.z.255 x.y.z.127 x.y.z.255 x.y.z.63 x.y.z.127 x.y.z.191 x.y.z.255 x.y.z.31 x.y.z.63 x.y.z.95 x.y.z.127 x.y.z.159 x.y.z.191 x.y.z.223 x.y.z.255 Kalan IP Adres Says 253 125 125 61 61 61 61 29 29 29 29 29 29 29 29

rnein, 200.211.192.x bir C snf network iki subnete blmek istiyorsunuz. Tabloda grebildiiniz gibi her bir subnet iin 255.255.255.128 subnet maskn kullanrsnz. lk subnet 200.211.192.0 network numarasna, 200.211.192.1 router adresine ve 200.211.192.127 broadcast adresine sahip olurdu. 200.211.192.2den 200.211.192.126ya kadar IP adreslerini atayabilirdiniz. (Network ok fazla sayda subnetlere blerseniz broadcast adresi, router adresi ve network adresi olmak zere ok fazla sayda adresi kaybedersiniz.) kinci subnet 200.211.192.128 network numarasna, 200.211.192.129 router adresine ve 200.211.192.255 broadcast adresine sahip olurdu. Tablo 1.5deki metodu kullanarak C snf bir network subnetlere ayrdnzda eer 2x-2 hesaplamasn kullanrsanz tablodaki 128 subneti anlaml gelmez. Burada bu ilemi bu ekilde yapmak iin mantkl ve popler bir neden vardr, 1. RFCye gre subnet zero kullanmna izin verilmediini hatrlayn, fakat bunu kullanarak C snf networknz 128 subnet mask ile subnetlere ayrabilirsiniz. Bu sadece 1 bit kullanr ve 21-2=0 ve zero subnet. 2. Subnet zeroyu destekleyen routerlar kullanarak, 1126 ve 129-254 araln hostlara atayabilirsiniz (tabloda grld gibi). Bu bir grup adresimizi korur. Eer RFC standartlarnda tanmlanan metodu kullansaydnz sadece iki (22 2 = 2) subnetiniz olabilirdi. Subnet masktaki ilgin bir art deerine sahip olan (0 ve 255den farkl) oktet deerini tespit etmek iin bu deeri 256dan karn. Yine 255.255.255.192 subnet maska sahip 200.211.192.x network iin yapacamz hesaplama u sonucu verir: 256-192=64. 64, drdnc oktetteki sizin art deerinizdir. Neden drdnc oktet? nk masktaki 192 deerine sahip oktet drdnc oktetdir. Her zaman ilk subnetteki nemli oktet 200.211.192.0 olacak ekilde bir tane 0 ierir, ayn orjinal subnetlere ayrlmam network adresindeki gibi. kinci subnetin network adresini belirlerken art deerini, ilk subnetin drdnc oktetine ekleyin. nc subnet numarasn belirlemek iin, art deerini ikinci subnet numarasnn ilgili oktetine

28

Blm 1

ekleyin. Drdnc subnet numarasn belirlemek iin de art deerini nc subnetin ilgili oktetine ekleyin. Art deerini bu ekilde asl subnet numarasna ulancaya kadar eklemeye devam edin. rnein, 0 + 64 = 64tr ve ikinci subnetiniz 64tr. 64 + 64 = 128 yani nc subnetiniz 128dir. 128 + 64 = 192 ve drdnc subnetiniz 192dir. 192 subnet mask olduundan bu son subnetinizdir. Yine 64 eklemeye alsanz bile 256 kacaktr. Bu da sizin geerli subnetlerinizin 0, 64, 128 ve 192 olduu anlamna gelir. Subnetler arasndaki numaralar sizin geerli host ve broadcast adreslerinizdir. rnein, aadakiler 192 subnet maskna sahip bir C snf networkndeki 2 subnet iin geerli hostlardr.

64 subneti iin geerli aralk size subnet bana 62 host veren 65126 araldr. (bir host iin 127 kullanmak, btn host bitlerinin 1 olduu anlamna gelir.) 128 subneti iin geerli aralk 191 broadcast adresi ile 129190 araldr.

Grebildiiniz gibi, bu zm baz adresleri boa harcar: Subnetting yapmadan ncekinden alt fazla. Bir C snf network iin, bu durumu savunmak ok da zor olmaz. Subnet mask olarak 255.255.255.128i kullanmak bile sadece iki subnete ve her subnette yaklak 126 hosta ihtiyacnzn olduu durumda daha iyi zm olur. Fakat eer C snf networknzde sekiz subnete ihitiyacnz varsa neler olur? x subnet numaras olmak zere, 2x hesaplamasn kullanarak sekiz subnet iin 3 subnet bitine ihtiyacnz olacan syleyebiliriz (23=8). Her bir subnet iin geerli subnetler ve geerli hostlar nedir? Hesaplayalm. Subnet maskn drdnc oktetindeki ilgili deer 11100000 (224) olacaktr. Bu btn i istasyonlarnda ayn olmaldr.
Verilen bir konfigrasyonla ilgili problemi tanmlama ile ilgili testleriyle karlamanz muhtemeldir Eer yanl bir i istasyonu yanl bir subnet maska sahip ise, router bu i istasyonunun bulunduu subnetten farkl bir subnette olduunu dnr. Bu saptrlm router sorudaki i istasyonuna paketleri iletmeyecektir. Benzer ekilde, eer mask i istasyonu yaplandrmasnda yanl ekilde tanmlanrsa o i istasyonu o maska uygun hareket ederek uygun olmayan default gatewaye paketleri gnderir.

Geerli subnetleri hesaplamak iin 256dan ilgili oktet deerini karn; 256224=32, bylece sizin drdnc oktet iin art deeriniz 32dir. Elbetteki 0 subnet, her zaman sizin ilk subnetinizdir. Dier subnetler 32, 64, 96, 128, 160, 192 ve 224 olacaktr. Geerli hostlar bu subnetler arasndaki host bitlerinin tmyle 1 olduu host numaralar dndaki numaralardr. Bu numaralar 31, 63, 95, 127, 159, 191, 223 ve 255 olacaktr. Host bitlerinin tamamnn 1lerden olutuu numaralarn her bir subnet iin broadcast adresleri olarak rezerve edildiini hatrlayn. Geerli subnetler, hostlar ve broadcastler aadaki gibidir:
Subnet 0 32 64 96 128 160 192 224 Hostlar 1-30 32-62 65-94 97-126 129-158 161-190 193-222 225-254 Broadcast 31 63 95 127 159 191 223 255

Subnet maska sadece denemek iin bir tane daha bit ekleyebilirsiniz. 224 olacak ekilde 3 bit kullanyordunuz. Bir bit daha ekleyerek mask 240 olacaktr (1110000).

Windows Server 2003 Networkn Anlamak

29

Subnet mask iin 4 bit kullanarak 14 subnet elde edersiniz, nk 24 = 16dr. Bu subnet mask ayn zamanda host adresleri iin sadece 4 bit, dier bir deyile her subnet iin 24 2= 14 host verir. Grebileceiniz gibi, her subnet iin host miktar, her bir host bitinin subnet kullanm iin tahsis edilmesi ile olduka hzl bir ekilde azalr. Subnet 240 iin ilk kullanlabilir subnet her zaman olduu gibi 0dr. 256240=16 olduundan, size kalan subnetler 16, 32, 48, 64, 80, 96, 12, 128, 144, 160, 176, 192, 208, 224 ve 240dr. Geerli ilgili oktet deerinin ayn zamanda geerli son subneti iaret ettiini hatrlayn, bu yzden 240, geerli son subnet numaranzdr. Geerli hostlar bu subnetler arasndaki host bitlerinin tmyle 1 olduu host numaralar (broadcast adresleri) dndaki numaralardr. Aadakiler geerli subnetler, hostlar ve broadcastlerdir:
Subnet 0 16 32 48 64 80 96 112 128 144 160 176 192 208 224 240 Hosts 1-14 17-30 33-46 49-62 65-78 81-94 97-110 113-126 129-142 145-158 161-174 177-190 193-206 209-222 225-238 241-254 Broadcast 15 31 47 63 79 95 111 127 143 159 175 191 207 223 239 255

B Snf
B snf bir network host adresleri iin 16 bite sahip olduundan, subnet mask hesaplamak istediinizde oynayabileceiniz olduka fazla bite sahip olursunuz. En soldaki bitten balayarak en sadaki bite doru almak zorunda olduunuzu hatrlayn. rnein 255.255.0.0 default subnet mask ile bir B snf network x.y.0.0. eklinde olacaktr. Varsaylan subnet mask kullanmak size 65,534 hostluk bir subnet verecektir. Binary formatta default subnet mask 11111111.11111111.00000000.00000000 eklindedir. 1ler IP adresindeki uygun network bitlerini iaret ederken, 0lar host bitlerini gsterir. Bu yzden, subnet mask oluturulurken en soldaki bit ya da bitler host bitlerinden dn alnarak (0lar 1e dntrlr) subnet mask haline getirilir. Hala 0 olan geriye kalan bitleri host adresleri olarak kullanrsnz. Eer sadece bir bit kullanrsanz subnet masknz 255.255.128.0 olur. Eer 2 bit kullanrsanz, 255.255.192.0 (11111111.11111111.11000000.00000000) C snf bir adresi subnetlere ayrrken, IP adresinin paras vardr: network adresi, subnet adresi ve host adresi. Bir 192 mask, C snf bir subnet maskn drdnc oktetinde bulunduu ekilde hesaplanr; fakat bu sefer size subnet bana daha fazla host kalr 22 = 4 olduundan drt subnet vardr. nc oktet iin geerli deerler 0, 64 128 ve 192dir (256 192 = 64 olduundan nc oktetin art deeri 64tr). Bununla birlikte host adreslemesi iin geriye 14 bit (0lar) kalr. Bu da size her bir subnet iin 16,382 host salar (214 2 = 16,382)

30

Blm 1

Geerli subnet ve hostlar aadaki gibidir.

Subnet X.Y.0.0 X.Y.64.0 X.Y.128.0 X.Y.192.0 Hostlar X.Y.0.1den X.Y.63.254e kadar X.Y.64.1den X.Y.127.254e kadar X.Y.128.1den X.Y.191.254e kadar X.Y.192.1den X.Y.255.254e kadar Broadcast X.Y.63.255 X.Y.127.255 X.Y.191.255 X.Y.255.255

Subnet maska 11111111.11111111.11100000.00000000 ya da decimal olarak 255.255.224.0 olacak ekilde bir bit daha ekleyebilirsiniz. Sekiz subnet vardr (23=8). Geerli subnetler 0, 32, 64, 96, 128, 160, 192 ve 224tr (256224=32). Subnetler, geerli hostlar ve broadcastler u ekildedir:
Subnet X.Y.0.0 X.Y.32.0 X.Y.64.0 X.Y.96.0 X.Y.128.0 X.Y.160.0 X.Y.192.0 X.Y.224.0 Hostlar X.Y.0.1den X.Y.31.254e kadar X.Y.32.1den X.Y.63.254e kadar X.Y.64.1den X.Y.95.254e kadar X.Y.96.1den X.Y.127.254e kadar X.Y.128.1den X.Y.159.254e kadar X.Y.160.1den X.Y.191.254e kadar X.Y.192.1den X.Y.223.254e kadar X.Y.254.1den X.Y.255.254e kadar Broadcast X.Y.31.255 X.Y.63.255 X.Y.95.255 X.Y.127.255 X.Y.159.255 X.Y.191.255 X.Y.223.255 X.Y.255.255

Bu yzden, eer 255.255.224.0 subnet maskn kullanrsanz, her biri 8190 hostluk 8 subnet oluturabilirsiniz. Neler olduunu grmek iin subnet maska bir ka tane daha bit ekleyebilirsiniz. Eer subnet mask iin 9 bit kullanrsanz, bu durumda 512 subnet (29) ve hostlar iin sadece 7 bit ile subnet bana 126 (27-2) hostunuz olacaktr. Subnet mask u ekildedir: 11111111.11111111.11111111.10000000 ya da 255.255.255.128 Daha da fazla bit ekleyerek sonular grebilirsiniz. Eer subnet mask iin 14 bit kullanrsanz 16,384 (214) subnet ile subnet bana sadece 2 (22 2) hostunuz olabilir. Subnet mask u ekilde grlebilir: 11111111.11111111.11111111.1111100 ya da 255.255.255.252 Bir B snf networkte neden 14-bit subnet mask kullandnz merak edebilirsiniz. 255.255.255.0 subnet mask adresini kullanan bir B snf network dnn. Subnet bana 254 host olacak ekilde 256 subnetiniz olacaktr. Ayn zamanda, her bir mterinizle aranzda ayr birok WAN balants bulunan bir ISP olduunuzu dnn. Tipik olarak her bir site ile aranzda direkt balant olacaktr. Bu linklerin her biri kendi subnetinde ya da networknde olmaldr. Bu subnetlerde iki host olacaktr her router portu iin bir adres. Eer nceden kullandnz subneti (255.255.255.0) kullanm olsaydnz her bir subnet iin 252 host adresini boa harcam olurdunuz. 255.255.255.252 subnet maskn kullanarak daha fazla kullanlabilir subnetiniz yani daha fazla mteriniz olur her biri sadece iki hosttan oluan subnetler iin maksimum sayda point to point balantya izin verecek ekilde. Bu yaklam, sadece, kitabn daha sonraki konularnda greceimiz Enhanced Interior Gateway Routing Protocol (EIGRP) ya da Open Shortest Path First (OSPF) gibi algoritmalar altran bir sistemde kullanabilirsiniz. Bu ynlendirme protokolleri Variable Length Subnet Masking (VLSM) e izin verir. VLSM, tm subnetlerde ayn classful network adresini kullanrken, routerun WAN interfaceinde 255.255.255.252, LAN interfaceinde 255.255.255.0 komasna izin verir. EIGRP ve OSPF gibi ynlendirme protokolleri dier routerlara subnet mask bilgilerini de update paket-

Windows Server 2003 Networkn Anlamak

31

leri ierisinde gnderir. RIP version 1 gibi Classful ynlendirme protokolleri subnet mask bilgisini gndermediinden VLSM kullanamazlar.

A Snf
A snf networkler daha fazla kullanlabilir bitlere sahiptir. A snf bir network iin varsaylan subnet mask sadece 8 bittir (255.0.0.0). Bu subnet mask size hostlar iin 24 bit sunar. Eer subnet mask olarak 11111111.11111111.00000000.00000000 (255.255.0.0) kullanrsanz, subnetler iin 8 bitiniz yani toplamda adresleyebileceiniz 256 (28) subnetiniz olur. Hostlar iin geriye 16 bit kalr, bu da subnet bana 65,534 (216 2) host adresleyebileceiniz anlamna gelir. Bunun yerine 24 biti hostlar ve subnetler arasnda eit bir ekilde ayrrsanz subnet maskn yeni grnm 11111111.11111111.11110000.00000000 (255.255.240.0) eklinde olur. Byle bir durumda ka adet geerli subnet ve hostunuz olacakt? Her birinde 4094 (212 2 = 2094) host olacak ekilde toplamda 4096 subnetiniz olurdu. B ya da C snf networklere oranla hangi host ve subnetlerin geerli olduunu bilmek daha karmaktr. kinci oktet 0 ile 255 arasnda olabilir. Bununla birlikte nc okteti hesaplamaya ihtiyacnz olacaktr. Subnet maskn nc okteti 240 olduundan, nc oktet iin art deeri 16 (256240=16) olur. nc oktet ilk subnet iin 0dan balamaldr, ikinci oktet 16 olacak ve bu ekilde devam edecektir. Bu da sizin geerli subnetlerinizin aadaki gibi olaca anlamna gelir (srayla deil):
Subnet X.0-255.0.0 X.0-255.16.0 X.0-255.32.0 X.0-255.48.0 Hostlar X.0-255.0.1den X.0-255.15.254e kadar X.0-255.16.1den X.0-255.31.254e kadar X.0-255.32.1den X.0-255.47.254e kadar X.0-255.48.1den X.0-255.63.254e kadar Broadcast X.0-255.15.255 X.0-255.31.255 X.0-255.47.255 X.0-255.63.255

Subnetin nc okteti 224 olana kadar bu ekilde devam eder.

Microsoft adres aralklarn yazarken farkl bir alternatif kullanr. rnein 255.255.255.0 subnet mask ile 131.107.2.0 adresi 131.107.2.0/24 eklinde gsterilir. nk subnet mask 24 adet 1 ierir. 141.10.32.0/19 eklinde gsterilen bir adres 255.255.224.0 subnet maskna sahip olacaktr (B snf varsaylan subnet mask bitlerinin 3 fazlas) Bu terminoloji tm Microsoft snavlarnda kullanlr ve Classless Inter-Domain Routing (CIDR) notasyonu olarak sz edilir.

Subnet Karakteristiklerini Hzl Bir ekilde Tanmlamak

Verilen kstl zamanda bir takm ksa yollar kullanarak sorularn doru cevaplarna ulamak bir avantajdr. Burada bir kez rendiinizde size zaman kazandracak, bazen bir sorunun tamamyla zm iin yardmc olabilecek CIDR notasyonunu kullanan bir metottan bahsedilecektir. Buraya kadar binary aritmetiinin, subnetting ileminin temelinde yattn grdnz. imdi aadaki ksa yollar dikkate alarak her bir adres snf iin binary aritmetii kullanmadan doru sonuca nasl ulaabileceimizi grelim.

C Snf
192.168.10.50/27 host adresini dnn. Aadaki admlar bu adresin yesi olduu subnet ile ilgili tm detaylar aklamaktadr: 1. Adresin CIDR notasyon n ek uzunluunu bulun. Bu adm decimal mask CIDR notasyonuna evirmek kadar kolaydr. Bu sorudaki subnet mask 255.255.255.224tr. 2. n ek uzunluuna eit ya da byk 8in katlarn kullanarak bir subnetten dier subnete geide 1 ya da 0 dnda art deeri kadar artan ilgili okteti hesaplayn. Bu 8 rnekte, 27den byk 8in ilk kat 32dir. 32nin 8e blm ile 4 verecektir. Bu da ilgili oktetin 4. oktet olduu anlamna gelir.

32

Blm 1

3. lgili oktetteki art deerini hesaplamak iin n ek uzunluunu, 8in bir sonraki katndan (bu rnekte 32) karn. Sonu deeri 32 27 = 5dir. Sonu olarak 25 = 32 bu rneimizdeki drdnc oktetin art deeridir. 4. Soruda ilgili oktetin deeri 50 idi. 0dan balayarak art deeri ile ilgili deeri yani 50yi geene kadar artrn. Deerler, 0, 32, 64, eklinde olacaktr. 5. rnekteki subnet, ilgili oktetteki bir nceki art deerinden kk ya da eit olur. Bu rneimizde 192.168.10.50/27, 192.168.10.32 subnetindedir. Bu subnet, 192.168.10.32den 192.168.10.64e kadar devam eder, broadcast adresi de 192.168.10.63dr. Subnet adresi iin eer ilgili oktet drdnc oktet olmasayd, ilgili oktetten sonraki dier oktetler 0 olacakt 6. Sorudaki subnet iin kullanlabilir adres aral subnet adresinin bir fazlas ile broadcast adresinin bir eksii araldr, yani 192.168.10.33den 192.168.10.62ye kadar. Grebildiiniz gibi 192.168.10.50/27 bu aralk ierisindedir.

B snf
nceki admlar kullanarak 255.255.240.0 subnet mask ile 172.16.76.12 adresinin hangi subnette bulunduunu bulun: 1. CIDR notasyonundaki n eki /20dir. 2. 20den byk olmak zere 8in kat olan ilk say 24tr. 248 = 3 olduundan nc oktet ilgili oktetimizdir. 3. 24 20 = 4 olduundan art deeri 24 = 16dr. 4. nc oktetteki deerler 0, 16, 32, 48, 64, 80, eklinde olacaktr. 5. Soruda verilen adresin nc okteti olan 76, 64 ile 80 arasna denk geldiinden bu adresin bulunduu subnet 172.16.64.0 subnetidir. Bu subnetin broadcast adresi bir sonraki subnet adresi 172.16.80.0dan hemen nceki adres olan 172.16.79.255dir. 6. Kullanlabilir adres aral 172.16.64.1 ile 172.16.79.254 araldr.

A Snf
10.6.127.255/14 adresi iin ilgili admlar uygulayarak bir kez daha deneyin: 1. n ek uzunluu 14 olarak verilmi. 14den byk 8in kat 16dr. 16 8 = 2 olduundan, ikinci oktet ilgili oktetdir. 2. 16 14 = 2, bu yzden art deeri 22 = 4tr. 3. 4. ve 5. admlar birlikte kullanrsanz adresin ikinci oktetindeki 6 deerinin 4 ile 8 arasna geldiini grrsnz. Bu da bu adresin 10.4.0.0 (ikinci oktetten sonraki oktetleri 0 yaparak) olduu anlamna gelir. Broadcast adresi ise 10.7.255.255dir. 4. Kullanlabilir adres aral 10.4.0.1den 10.7.255.254e kadardr.

Subnet ve Hostlarn Miktarlarn Saptamak

Verilen bir mask ile toplamda ka adet subnet ve host olduunu saptamak iin kullanl bir teknik vardr. rnein 255.255.254.0 subnet mask ile B snf 172.16.0.0 adresini dnn. n ek uzunluu 23 bittir. Bir B snf adresin varsaylan n ek uzunluu olan 16y 23ten karrsak sonu 7 olur. 27 = 128 olacandan, bir B snf adresi 255.255.254.0 mask ile subnetlere ayrdnzda toplamda 128 adet subnetiniz olacaktr. Bu durumda 128 subnetteki kullanlabilir host saysn saptamak daha kolaydr. nk 32 23 (23 n ek uzunluu idi) = 9, subnet maskta kalan host bitlerinin saysdr. Subnet adresi ve broadcast adresi iin ayrlm olan adresleri kardktan sonra her bir subnet iin kullanlabilir host ID says 29 2= 510 olacaktr.

Windows Server 2003 Networkn Anlamak

33

Bu teknii kullanarak pratik yaptnzda istenen cevab bulmak iin kullanacanz zaman azaltacaksnz ve bu sayede her bir sorudaki daha zor grevleri yerine getirmek iin size daha fazla zaman kalacaktr. Bu blmde oka rnek, senaryo olduu gibi tekniklerinizi deneyebileceiniz gzden geirme sorular bulunmaktadr.

zet
Bu blm Physical, Data-Link, Network, Transport, Session, Presentation ve Application katmanlarn barndran OSI referans modeli ve OSI takmndaki her bir katmann tanmlanmas gibi nemli konular kapsar. Ayn zamanda bu blmde Windows Server 2003n AppleTalk, NWLink ve TCP/IPyi desteklediini rendiniz. TCP/IP gnmzde kullanlan balca protokoldr. Microsoft eer mmknse sadece TCP/IP kullanmanz tavsiye eder. Son olarak, 32 bitlik IP adresinin yapsal ve hiyerarik bir adresleme yaps olduunu ve bir networkte her bir makineyi benzersiz olarak tanmlamak iin kullanldn rendiniz. Kullanlabilir IP adreslerinin nasl belirlendiini ve subnetting uygulamalarn rendiniz.

Snav in Bilinmesi Gerekenler

Subnettingin ne olduunu ve ne zaman kullanldn anlayn. Eer bir organizasyon ok byk ve birok bilgisayara sahipse ya da bu bilgisayarlar corafi olarak ayrlm ise, bu network, birbirleriyle routerla balanan daha kk networklere blmek mantkl olacaktr. Bu kk networkler subnet olarak adlandrlr. Subnetting bir IP networkn kk mantksal networklere blme ilemidir. Subnet mask anlayn. Subnet adres emasnn alabilmesi iin, networkdeki her makinenin host adresinin hangi blmnn subnet adresi olarak kullanlaca bilinmelidir. Network yneticisi 1 ve 0lardan oluacak ekilde 32-bitlik bir subnet mask oluturur. Subnet masktaki 1lerin pozisyonu network ya da subnet adresini iaret eder. 0larn pozisyonu ise adresin host ksmn gsterir.

34

Blm 1

Gzden Geirme Sorular

1. 137.25.0.0. adresine sahip byk bir IP anz var. Bu network her birinde en fazla 300 makinenin bulunduu 20 subnetten olumu. irketiniz birlemeye devam ediyor ve mdrnz size subnetlerin saysnn 50ye karlmas iin hazrlanmanz ve bu subnetlerden bazlarnn 600den fazla hosta sahip olacan sylyor. Aadaki subnet masklardan hangisi, mevcut network adresini kullanarak mdrnzn bahsettii gereksinimleri karlar? A. 255.255.252.0 B. 255.255.254.0 C. 255.255.248.0 D. 255.255.240.0 2. Bir binann iki katnda alan kk bir irkete getirildiniz. Bu iki kat ayr networklere sahip. irket bu iki an dokman, elektronik tablo ve database gibi baz bilgileri paylamasn istiyor. Bu networklerden birinin NetWare 3.x LAN, dierinin NetBEUI altran bir Windwos NT peer-to-peer network olduunu saptyorsunuz. NetWare LAN, NT networkndeki kullanclarn kullanabilmesini istediiniz bir yazcya sahip. stemci yazlmlarndan baka, Windows NT i istasyonlarnzn, NetWare yazcsna eriebilmesi iin hangi protokol kullanmak zorundasnz? A. NetBEUI B. TCP/IP C. AppleTalk D. NWLink E. DLC 3. altnz irket ok hzl bir ekilde dier irketleri satn alarak bymekte. Network yneticisi olarak, i istasyonlarnz bu deiimden etkilenmekte bu yzden bu deiime ayak uydurmanz ve bunlar desteklemeniz gerekiyor. Baladnzda routerlarla birbirine balanan 15 konum varken, u anda 25 ayr blgeniz var. Yeni irketler satn alndka, bu irketler Windows Server 2003e migrate edilerek ayn domaine farkl bir site olarak dahil ediliyor. Ynetim 2 yl ierisinde en azndan 10 irketin daha satn alnacan sylyor. Ayn zamanda mhendisler size, irketin B snf adresini yeni bir IP adres plan ile bu yeni gereksinimleri destekleyecek ekilde ve hibir subnette 1000den fazla aygt bulunmayacak ekilde yeniden dzenleyeceklerini sylyorlar. Deiim tamamlandktan sonra, bu yeni network destekleyecek uygun subnet ne olacaktr? A. 255.255.252.0 B. 255.255.248.0 C. 255.255.255.0 D. 255.255.255.128 4. 75 i istasyonu olan kk bir bask irketi iin alyorsunuz. Bu i istasyonlarndan ou kelime ilem, elektronik tablolama ve muhasebe programlar gibi standart ofis yazlmlar altryor. Bu i istasyonlarndan on be tanesi srekli olarak byk grafik dosyalarn iliyor ve endstriyel boyutta lazer yazclardan yazdryor. Networkn performans henz bilemediginiz bir nedenden dolay srekli sorun oluyor. Networknz Windows XP ve Windows Server 2003e migrate ettiniz ve Windows Server 2003n ynlendirme kapasitesinin avantajlarndan faydalanmaya karar verdiniz. Uygun bir sunucu seip bu makineye iki adet NIC taktnz. Fakat yllar nce aldnz sadece bir adet network adresinizin (201.102.34.0) olduunu fark ettiniz. Bu adresi networkn geri kalann bant geniliini ok youn olarak igal eden aygtlardan

Windows Server 2003 Networkn Anlamak

35

ayracak ekilde ve tm networkteki herkese internet eriimi vererek nasl segmentlere ayrrsnz? A. 255.255.255.192 B. 255.255.255.224 C. 255.255.255.252 D. 255.255.255.240 5. Bir networkte bir makinadan dierine bir paket gnderilir. Trl protokoller veri paketini gnderen bilgisayarda OSI takmnn alt katmanlarna doru ve alc bilgisayarda ise st katmanlarna doru tar. Protokoller paketin nereden gnderildiini nasl bilirler? A. Her bir paket kaynak ve hedef adresleri ieren bir trailer ierir. B. Her bir paket alarm sinyali, kaynak ve hedef adresleri ieren bir headera sahiptir. C. Her bir paketin veri ksm kaynak ve hedef adres bilgilerini tutar. D. Sadece kaynak ve hedef adresleri ieren header paketi ad verilen zel paketler ilk nce gnderilir. Header paketinin ardndan gnderilen tm paketler header paketindeki hedef adrese gnderilir. 6. Byk bir otomobil retim irketinde, alanlarn ar network trafik deerlerini anlamasna ve drmesine yardmc olmakla megulsnz. A yneticisi ile yaptnz grmelerden sonra, organizasyonun balangta sadece TCP/IP kullanacak ekilde yaplandrlmasna ramen yakn zamanda NetBEUI protokolnn de yklendiini fark ediyorsunuz. Aratrmalarnzdan sonra networkte neden iki farkl protokol kullanld size syleniyor: Network yneticisi, networkteki baz NetBIOS uygulamalarn destekleyeceklerini sylediler. NetBIOS desteine izin vermek iin, sistem yneticisi birka tane memuru, i istasyonlarna NetBEUI takmn eklemek ve NetBEUIy ilk srada bind etmek iin grevlendirmi. u anda yaad network performans probleminde sistem yneticisinin yapt hata nedir? A. istasyonlar sadece TCP/IP kullanlarak balanlabilecek kaynaklara bile, NetBEUInn bind listesinin en st srasnda olmasndan dolay ilk olarak NetBEUI zerinden balanmaya alyor. B. NetBEUIn bind listesinin en st srasnda olmasndan dolay, NetBEUI TCP/IP tabanl sunuculara balanmak iin kullanlyor ve farkl bir protokolle balanmak daha dk randman veriyor. C. NetBEUI, istemcilerin bir NetBIOS program ile iletiimi iin gereksizdir. D. Her ne kadar TCP/IP bir NetBIOS program ile iletiime geebilmesi iin NetBEUIye ihtiya duysa da NetBEUIn, beraber dzgn bir ekilde alabilmek iin TCP/IP protokol takmna direk olarak balanmas gerekir. 7. Integrated Network Computing firmas, ok eitli networkler iin kk yardmc programlar yazan yazlm gelitirme firmasdr. Bu irketin Windows Server 2003 networkn destekleme grevinin yannda, gelitirilen baz uygulamalarn grevlerini gerei gibi yerine getirdiklerini dorulamaktan sorumlusunuz. Bu testler srasnda baka bir yazlm gelitirme firmasnn eitli sistemler tarafndan kullanlan transport protokollerini yklemek zorundasnz. Windows Server 2003 zerinde farkl protokollerin bir arada almasn salamakla grevli olduunuzu dndnzde, protokol gelitiricilerin ortaya kardklar protokollerin hangi standarda gre gelitirilmesi gerekir? A. ODI B. DLC C. NDIS D. NetBIOS

36

Blm 1

8. Carpathian Worldwide Enterprises iin alyorsunuz. Bu irket dnyada 50den fazla idari ve retim lokasyonuna sahip. Bu organizasyonlarn boyutlar ok farkllk gsteriyor ve lokasyonlardaki bilgisayar saylar 15 ile 100 arasnda deiiyor. Sat operasyonlar ise says her birinde 2 ile 5 aras bilgisayar bulunan 1000den fazla tesis kullanyor. Carphatian ayn zamanda byk bir organizasyonla birleme aamasnda. Eer birleme planland gibi gerekleirse, her birinde en fazla 600er bilgisayarn bulunduu 100 tane daha retim ve ynetim lokasyonunu ve 2000 ek sat tesisini barndrmak zorunda kalacaksnz. irketin gelecekteki bykl ile ilgili elinizde herhangi bir say yok; fakat size irketin bymekte olduunu dikkate almanz gerektii syleniyor. Organizasyonun tamam iin private adresleme plan uygulamaya karar veriyorsunuz. Routerlarnzn yardan fazlas Variable Length Subnet Masking (VLSM) desteklemiyor. Bu durumda hangi subnet masklar kullanrdnz? (Uygun olanlarn tmn sein.) A. 255.255.224.0 B. 255.255.240.0 C. 255.255.248.0 D. 255.255.252.0 E. 255.255.254.0 9. Windows 2000, Windows XP Professional ve Windows Server 2003 bilgisayarlarndan oluan olduka byk bir network ynetiyorsunuz. Bu yap ierisinde DNS, DHCP ve WINS kullanmak istiyorsunuz. Ayrca tm bilgisayarlarn internete ve Windows olmayan makinelerin servislerine eriebilmeleri gerekiyor. Network merkezi bir lokasyondan yaplandrabilmeyi istiyorsunuz. Hangi network protokol tm bunlar salayabilir? A. NetBEUI B. NWLink C. TCP D. TCP/IP 10. Basit dosya yazc servisleri zerine odaklanm bir Windows NT networknn sistem yneticisisiniz. Networknz Windows Server 2003e upgrade etmek ve kullanclara Internet eriimi salamakla ykmlsnz. u anda networknz, iki lokasyon arasnda ynlendirme gerektirdiinden ve IP network tecrbe eksikliinden NWLink zerinden alyor. nternet eriimi iin network protokolnz TCP/IP olarak deitirmek istiyorsunuz. istasyonlarndan web sayfalarna ulaabilmek amacyla internet eriimi salamak iin OSI modelindeki hangi katmanlar gz nnde bulundurmalsnz? A. Network katman B. Application katman C. Presentation katman D. Transport katman 11. Asansr motorlar tamir eden ve reten bir irketin olduka eski bir networknde aralklarla meydana gelen iletiim sorunlarn gidermeniz isteniyor. Bu networkn TCP/IP zerinde alan thin-coax bir Ethernet Windows NT LAN olduunu saptadnz. irket yeni stabil platformun bu problemleri zeceini umarak sizden sistemi Windows Server 2003e upgrade etmenizi istiyor. Upgrade ilemini rahata gerekletirdiniz ve balangta her eyin dzgn ekilde iledii grlyor. Bununla birlikte iletiimde yaanan kesilme problemi yeniden ortaya kyor. Bu problem byk olaslkla OSInin hangi katmannda ortaya kyor? A. Physical katman B. Data-Link katman

Windows Server 2003 Networkn Anlamak

37

C. Network katman D. Transport katman E. Session katman 12. Geni bir alan igal eden bir retim irketinde alyorsunuz. Ynetim size, daha nceden tedarik salaycs olarak hizmet veren, ehrin dier tarafndaki bir irketin satn alndn sylyor. Sizin Windows Server 2003 networknzn router araclyla yeni lokasyona balanmas gerekiyor. Ayn zamanda almasna devam etmesini isteiniz bir ka adet NetBIOS uygulamanz var. Bu kriterlerin karlanmasn salamak iin hangi protokolleri kullanabilirsiniz? A. NWLink B. TCP/IP C. XNS D. NetBEUI 13. Hentbol topu reten ve Intel PC tabanl bir Windows Server 2003 networkne sahip bir irkette alyorsunuz. Paketleme maliyetlerini drmek iin, irket ynetimi bir grafik tasarm firmasn satn ald. Yeni satn alnan irket Macintosh tabanl ve kendi aralarnda haberlemek iin AppleTalk protokoln kullanan bir networke sahip. Bu iki network, bilgilerin kolaylkla paylalabilmesi iin entegre etmek zorundasnz. Bu networkteki tm i istasyonlarnn iletiim kurabilmesi iin hangi protokol kullanmanz gerekir? A. AppleTalk B. TCP/IP C. NWLink D. NetBEUI 14. 175 makineden oluan bir network ynetiyorsunuz. Mdrnz bu networke 192.168.11.0 IP adresini ve varsaylan subnet mask olarak 255.255.255.0 atad. Bir adet WAN arabirimi ve sekiz adet LAN arabirimi olan bir router bu network organizasyonun WANna balyor. Bu network alt networke ayrmak ve bir ka tane adresi de ileride ihtiya duyulabilme olaslna karn drdnc subnete ayrmak istiyorsunuz. Subnet Ann 25, Subnet Bnin 50, Subnet Cnin 100 bilgisayardan olumasna karar verdiniz. Aadaki resimde, Seenekler kolonundan network adresleri ve subnet maskleri seerek uygun kutular ierisine yerletirin. Her bir e sadece bir kez kullanlabilir.

38

Blm 1

15. altnz ok uluslu irketin bir ka subnetten oluan Windows NT ve Novell NetWare bir network var. Birlikte alabilirlii salamak iin, NT networknde NWLink ve NetWare network iin IPX kullanyorsunuz. Windows NT networkn, ynetimin daha az masrafl olmas asndan Windows Server 2003e migrate etmeniz sylendi. Ynetimsel adan maliyetin dmesinin Active Directory kullanmnn sonucu olduunu biliyorsunuz. Bu yzden migration plannza bu servisi de dahil ediyorsunuz. Bu networkte Active Directory kurup kullanabilmek iin ncelikli olarak ne yapmanz gerekecek? A. Protokol TCP/IP ile deitirin. B. Active Directorynin bir kopyasn Windows 2003 Server bilgisayarlarna yklediiniz gibi NetWare sunucularna yklediinizden emin olun. C. Windows NT sunucular upgrade ederken bazlarna Active Directory ykleyebilmek iin domain controller olarak sein. D. Windows Server 2003n NetBIOS bileenleri ile balanabilirlii salamak iin NetBEUI ykleyin. 16. Windows Server 2003 ve Windows XP bilgisayarlarndan oluan byk bir internetworkn sistem yneticisisiniz. Bu networkde IP adresleri statik olarak verilmi. Sunucularnzdan bir tanesinin IP balant problemi var. Ayn LANde sunucu olarak alan dier iki bilgisayar daha var. Bu iki bilgisayar sunucuya ve intrenetworkdeki dier bilgisayarlara erimede herhangi bir sorun yaamyor. Aadaki diagram, sorudaki LAN dzenini gsteriyor. Sunucunun IP adresi 10.89.155.14dr. (ki seenek iaretleyin.)

Aadaki kt, sunucu tarafndan retilmitir ve bu sunucunun ynlendirme srasnda karar vermek iin kulland ynlendirme tablosunu gstermektedir.

Windows Server 2003 Networkn Anlamak

39

Aadaki seeneklerden hangi ikisi birlikte LANn dier blmlerini etkilemeyecek ekilde sunucunun tm internetwork boyunca balanabilirliini salar? A. Sunucunun IP adresini 10.89.155.66 eklinde deitirin. B. Sunucunun default gatewayini 10.89.155.65 eklinde deitirin. C. Routern lokal IP adresini 10.89.155.1 eklinde deitirin. D. Sunucunun subnet maskini 255.255.255.128 eklinde deitirin. E. Sunucunun subnet maskini 255.255.255.0 eklinde deitirin. F. Routern lokal subnet maskini 255.255.255.192 eklinde deitirin. G. Dizst bilgisayarn IP adresini 10.89.155.67 eklinde deitirin. 17. Windows XP Professional ve Windows Server 2003 bilgisayarndan oluan bir internetworkn sistem yneticisisiniz. Ksmi olarak IP balant problemi yayorsunuz. Aadaki diyagrama bakn.

Hibir sunucuda ya da dier bilgisayarlarda herhangi bir statik yaplandrlm ynlendirme bilgisi yok. 10.250.12.10 adresine sahip sunucu, default gatewayi 10.250.12.1 olacak ekilde yaplandrlm. 172.16.45.0 subnetindeki hostlar default gatewayleri 172.16.45.1 olacak ekilde yaplandrlm. Birka ping ve trace route komutu altrdnzda unlar fark ediyorsunuz: 10.250.12.10 adresli host ve 172.16.45.0 subnetinde bulunan hostlar 192.168.1.100 hostuna ulaabiliyorlar. 172.16.45.0 subnetindeki hostlar birbirlerine ulaabiliyor. 172.16.45.0 subnetindeki hostlar 10.250.12.10 hostuna ulaamyor. 10.250.12.1 routerna Telnet oturumu ile balandnzda bu routern statik olarak 172.16.45.0/24 subnetine ynledirecek ekilde yaplandrldn fark ediyorsunuz. Aadaki admlardan hangisi yaanan bu balant problemini byk olaslkla zer? A. Router zerindeki statik route silin. B. 172.16.45.0 subnetindeki hostlarda, 10.250.12.0/24 subnetine statik route ekleyin. C. Dier router zerinde, 10.250.12.0/24 subnetine statik route ekleyin. D. 192.168.1.100 hostuna her biri iki subnetten birine doru ynlendirilmi iki statik route ekleyin. E. 172.16.45.0 subnetindeki hostlar doru default gateway ile yaplandrn. 18. Aadaki subnet masklardan hangileri C snf bir network iin 8 subnet ve her subnet bana 30 host salar? (Uygun olan tm seenekleri sein.) A. /27 B. /28 C. 255.255.255.240

40

Blm 1

D. 255.255.255.192 E. 255.255.255.224 19. /28 mask ile aadaki adreslerden hangileri ayn subnetteki hostlara atanabilir? (Uygun olan tm seenekleri sein.) A. 192.168.1.0 B. 192.168.1.17 C. 192.168.1.31 D. 192.168.1.16 E. 192.168.1.25 20. Aadakilerden hangileri /29 mask kullanmnn sonucu subnet snr adreslerindendir? (Uygun olan tm seenekleri sein.) A. 172.20.73.12 B. 10.8.1.212 C. 192.168.0.0 D. 192.168.1.16 E. 192.168.164.208

Windows Server 2003 Networkn Anlamak

41

Gzden Geirme Sorularnn Cevaplar

1. A. B snf bir adres 255.255.0.0 varsaylan subnet mask ile 65,534e kadar hostu destekler. Bu networkn destekleyebilecei network saysn artrmak iin, adresin host ksmndaki bitleri dn alarak network subnetlere ayrmanz gerekir. 255.255.252.0 subnet mask, host ksmnn 6 bitini kullanr ve her bir subnet bana 1022 host kullanmaya yetecek ekilde 64 subneti destekler. 255.255.248.0 subnet mask, host ksmnn 5 bitini kullanr ve her bir subnet bana 2046 host kullanmaya yetecek ekilde 32 subneti destekler. 255.255.252.0 byk ihtimalle daha iyi bir cevap olur. nk gelimekte olan bir network iin subnet bana 1000den fazla adres kullanlabilir olmas epeyce yeterli bit brakr ki 1000 aygt bir subnetde bulunabilecek aygt says iin olduka fazladr. 255.255.254.0 host ksmnn 7 bitini kullanarak 120den fazla network destekleyebilir; fakat hostlar iin geriye sadece subnet bana 500 hostu destekleyecek kadar bit kalr. 255.255.240.0 subnet maski hostun 4 bitini kullanarak subnet bana 4000den fazla hostu desteklemesine ramen sadece 16 subneti destekler. 2. D. Eski NetWare networkleri IPX protokol tabanldr. ki network aygtnn iletiim kurabilmesi iin ortak bir protokol olmaldr. nk NetWare servisleri iin gateway olarak alan bir sunucu yok. Tm NT i istasyonlarnda NWLink yklenmi olmaldr. Ayn zamanda i istasyonlarnda, yazcya balanabilmeleri iin NetWare client yklenmelidir. 3. A. Bir network mask bir adrese uygulanarak bu adresin hangi ksmnn o networkde bulunabilecek host saysna etki edeceini belirler. Subnetlere ayrmadaki denge her zaman host saylar ve subnet saylar arasndadr. Host ve network saylar kendilerini temsil eden bitlerin saylarna baldr. Soruda belirtilen senaryo gerei 35den fazla network ve bu her networkte 1000e yakn host olmak durumunda. Eer subnet mask bu blmde anlatld ekilde evirirseniz, A seeneindeki maskn her birinde 1000in zerinde host olacak ekilde 60dan fazla network desteklediini grrsnz. Dier tm seenekler network ya da host saylar asndan yetersizdir. 4. A. 255.255.255.192 subnet mask, Windows sunucu aracyla ynlendirebileceiniz drt ayr network oluturmanz salayacak ekilde host tarafndan iki bit alar. Bu sizin her bir segmentte 62 hosta sahip olmanza izin verir. Bir 255.255.255.128 subnet mask daha iyi bir zm (her birinde 126 host olacak ekilde iki subnet) olabilirdi. Fakat byle klarda byle bir seenek yok. 255.255.255.224 subnet mask host ksmndan 3 bit alarak sizin her birinde sadece 30 host iin yeterli olabilecek ekilde (ihtiyacnz olmayacak kadar) 8 network oluturmanza izin verir. 255.255.255.252 subnet mask hosttan 6 bit alarak her birinde sadece 2 hosta izin verecek ekilde (ihtiyacnzdan fazla) 60 subnet yaratmanza izin verir. 255.255.255.240 subnet mask host ksmndan 4 bit alarak her birinde 14 host bulunan (ihtiyacnzdan fazla) 16 subnet yaratmanz salar. 5. B. Her bir paket bir header ve data ksmna sahiptir. Ayrca her bir paket tipik olarak header, data ve trailer ieren bir frame ierisine yerletirilmitir. Paket header kaynak ve hedef mantksal adreslerini ierir. 6. C. NetBEUI ve NetBIOS birbirinden farkl eylerdir. NetBEUI, bir NetBIOS arabirimine sahip bir transport protokoldr. Bununla birlikte, Windows Server 2003le birlikte gelen her bir protokol NetBIOS bileenine sahiptir ve NetBIOS programlaryla haberleebilmek iin kullanlabilir. Protokollerin bind edilme srasnn performansa bir etkisi olsa bile burada belirtilen problemle ilgili etkili deildir. Ekstra protokol, sadece network bant geniliini gereksiz olarak kullanr. 7. C. Windows Server 2003de Network Driver Interface Specification (NDIS) protokollerin data link srclerine balanmalar iin standart bir yol salar. Bu Windows Server 2003n birok protokol desteklemesini salar. Eer gelitiricisi NDISi desteklerse, o protokol Windows Server 2003e yklenebilir. Ancak bu, bu protokoln Windows Server 2003 servisleriyle birlikte almasn salamaz. Uygulamalar, zel bir protokol iin yazlm olmak zorundadr.

42

Blm 1

8. B, C, D. u an iin network adresi verilmesi gereken lokasyon saysnn toplam 3150dir. Bu lokasyonlarn herhangi birindeki maksimum host says ise 1000den az. Subnet maskin bu gereksinimleri desteklemesi gerekir. Bir A snf private adres havuzunu setiinizi varsayalm, 10.0.0.0/8. B, C ve D seeneklerinde verilen subnet masklar zetlenen gereksinimleri karlayacak ekilde bir adres havuzu salar. 255.255.240.0 subnet mask 4000den fazla subneti ve 4000den fazla hostu destekler. 255.255.248.0 subnet maski 8000den fazla subneti ve 2000den fazla hostu destekler. 255.255.252.0 subnet mask, 16,000den fazla subneti ve 1000den fazla hostu destekler. Bu subnet masklarn hepsinin de sonu vermesine ramen irketin bymekte olduunu gz nnde bulundurursak gelecek iin hazrlanmak adna byk olaslkla en iyi seim 255.255.255.252 subnet mask olacaktr. Belirtilen herhangi bir networkte 1000den fazla hostun bulunmas pek de muhtemel deildir. Aslnda, bir subnette bu kadar sayda hostun bulunmas, o subnette performans problemlerine yol aabilir. Bu yzden irket byd iin elde yayabileceimiz daha fazla subnetin bulunmas daha iyidir. 255.255.224.0 subnet maski yaklak olarak 2000 subneti destekler ki bu say tm network iin yetersiz kalacaktr. 255.255.254.0, 32,000den fazla subneti desteklemesine ramen her subnette sadece 500 hostu destekleyebileceinden yetersiz kalacaktr. 9. D. TCP/IP, bilgisayarlarn ve networklerin birbirleriyle balanmas iin en geni apta kullanlan protokoldr. nternette kullanlan tek protokoldr ve soruda bahsi geen protokoller ile uyumlu tek protokoldr. ok byk internetworklerde olduka iyi alr. 10. A, B, C, D. TCP Transport katmannda, IP Network katmanndadr ve ikisi birlikte nternette ynlendirme talepleri iin gereklidir. Bununla birlikte, ayn zamanda web sitelerine balanmak iin HTTP arlar salayan Internet Explorer ve Netscape gibi web tarayclarna ihtiya duyarsnz. Web tarayclar Application katmanndadr. Fakat herhangi bir utan uca iletiim OSI modelinin tm katmanlarn baz noktalarda kullanr. nk her bir katman zinciri tamamlamak iin altndaki ve stndeki katmanla iletiim kurar. 11. A. Physical katman spesifik olarak elektik, optik ve radyo sinyalleme ile ilgilidir. Yksek voltaj koaksiyel kablo zerindeki sinyallerde kolaylkla kesintiye sebep olabilir. Dier katmanlar yazlmla ilgili olduundan, tm i istasyonuna etki etmedike elektriksel parazitten etkilenmez. 12. A, B. NWLink ve TCP/IP ynlendirilebilir protokollerdir ve NetBIOS uygulamalar ile birlikte alabilirler. nk her ikisi de Microsoft versiyonlardr ve uygun iletiim arabirimine sahiptir. XNS ynlendirilebilir bir protokoldr; fakat Windows Server 2003de desteklenmez. TCP/IPnin kar konulamaz poplerliinden dolay networklerde XNS artk genel olarak kullanlmamaktadr. NetBEUI, NetBIOS programlarn desteklemesine ramen ynlendirilebilir deildir. 13. B. Macintosh bilgisayarlar kendi aralarnda iletiim kurabilmek iin AppleTalk kullansalar bile, bu bilgisayarlar ayn zamanda TCP/IP de altrabilirler. Bu yzden bu iki network birletirilirken AppleTalka ihtiya olmaz. AppleTalku sunuculara ekleyebilirsiniz ve bu iki farkl tipteki makine dosyalar paylaabilir. Fakat herhangi bir network iin mmkn olduunca kullanlan protokol saysn drmek performans asndan nemlidir. 14. 192.168.11.192 network adresi, 255.255.255.224 subnet mask ile Subnet A iin ok uygundur, nk 30 hosta kadar destek verir. 192.168.11.128 network adresi, 255.255.255.192 subnet mask ile Subnet B iin uygundur, nk 62 hosta kadar destek verir. 192.168.11.0 network adresi, 255.255.255.128 subnet mask ile Subnet C iin uygundur, nk 126 hosta kadar destekler.

Windows Server 2003 Networkn Anlamak

43

15. A. Active Directory, ilevini yerine getirebilmek iin TCP/IPye ihtiya duyar. Ayn anda ayn networkte TCP/IP ve IPX kullanabilmenize ramen oklu protokol kullanm ok da faydal deildir. nk network iin daha fazla destek gerektirir. Active Directory NetWare zerinde almaz ve NetBIOS uygulamalar iin NetBEUI gerekli deildir. Sonu olarak Active Directory herhangi bir Windows Server 2003 bilgisayarna yklenebilir ve kaldrlabilir. Bir eit sunucu deil bir servistir. 16. B, D. Soruda verilen parametrelerle bu problemi zmenin en iyi yolu, sunucuya uygun bir adres verip (10.89.155.65) internetworkn kalan ksmna erimesini salamaktr. Bunun almas iin, sunucunun bu adresin kendi subnetinde olduuna inanmas gerekir. Sunucunun /26 subnet maskyla, drdnc oktetlerinde 1 ile 62 arasnda olan hostlar ile drdnc okteti 65 ile 126 arasnda olan hostlar farkl subnetlerdedir. Eer sunucu bu maski kullanrsa, default gatewayin farkl bir subnette olduunu dnr. Router ayn layer-2 segmentinde, bu yzden ayn network segmentinde olmas da gerekir. Sunucunun subnet maskn 255.255.255.0 (E seenei) olarak deitirmek router ile ayn subnette bulunacandan zm olarak grlse bile, routern dier tarafndaki Ethernet segmentine balanabilirliine etki yapacaktr. Byle bir durumda sunucu routern dier tarafndaki segmentte bulunan hostlara, router yoluyla deil de direk olarak ulamaya alacaktr. Routern lokal subnet maskn F seeneindeki gibi deitirmek ve sunucunun drdnc oktetini 65 ile 126 aralna ekmek (A seenei), sunucunun internetworkn geri kalan tm ksmlarna eriebilmesini salamasna ramen, routern lokal subnetteki dier iki host ile balantsn kesecektir. Bu yzden, sunucu iin en iyi subnet mask 255.255.255.128dir. nk tm hostlar drdnc oktetlerinin 1 ile 126 arasnda olmas ile ayn subnette yer alacaktr. Sunucuyla ayn subnette bulunan LANdeki dier aygtlar router araclyla iletiim kurabildiklerinden dolay, diyagram analiz ettikten sonra bu hostlarn /25 maski ile default gateway olarak 10.89.155.65i kullandklarn grrsnz. Ayn subnetteki tm hostlarn ayn subnet maska sahip olmalar gerekir. C ve F seeneindeki gibi sunucu ayarlar ile routern sunucuyla balants salanabiliyor olmasna ramen LANdeki dier iki hostun default gateway adresi 10.89.155.1 olacak ekilde yeniden yaplandrlmas gerekecektir. Sunucuyla dizst bilgisayar drdnc oktetleri 65 ile 126 arasna (A ve G seenei) getirilmesi suretiyle birbirleriyle olan ve sunucunun internetworkn kalan ksm ile olan balantsna etki etmemesine ramen, sunucunun 10.89.155.16 adresli bilgisayar ile balantsn kesecektir. 17. C. 172.16.45/0 subnetindeki hostlarn default gatewayleri zaten lokal router iin ayarlanm olduundan, uzak network iin statik ynlendirme eklemek bu hostlarn balantsna etki etmez. stelik bu subnetteki iki hostun default gateway yaplandrlmasnn doru olduunu biliyorsunuz, nk bu iki host 191.168.1.100 hostuna herhangi bir statik ynlendirme olmadan ulaabiliyor. Sol taraftaki router 172.16.45.0 subnetine ulaabilecek ekilde yaplandrldndan, problem sa taraftaki routern 10.250.12.0 subnetine ulaamamasna dayanyor. Sa taraftaki router zerinde bu amala bir statik ynlendirme yaplandrmak, tam anlamyla balanabilirlii salayacaktr. 18. A, E. Bir C snf adres iin 255.255.255.224 ve /27 her birinde 30ar hosttan toplamda 8 subneti meydana getiren subnet mask gsterir. 19. B, E. /28 maski tm be adrese uygulandnda, 192.168.1.0 bir host adresi olarak kullanlamayacak bir subnet aralnda grnr. Sadece 192.168.1.7 ve 192.168.1.25 adresleri /28 mask uygulandnda ayn subnetteki geerli host adresleridir. 192.168.1.16 ve 192.169.1.31 adresleri ayn subnette olmalarna ramen srasyla subnet snr adresi ve subnet broadcast adreslerini temsil eder ve bu yzden host adresleri atamas iin geersizdirler. 20. C, D, E. Her zaman iin 0 subnet kullanabileceinizi hatrlayn (C). 32 29 = 3 ve 2^3=8 olduundan, drdnc oktetteki subnet snrlar (32, 29dan byk ilk 8in kat saydr ve 32 8=4tr) 8in katlar olur (D ve E seenekleri).

TCP/IP Kurulum ve Yaplandrmas

2 TCP/IP Kurulum ve
Yaplandrmas
Temel TCP/IP Ayarlarnn Yaplandrlmas Gelimi TCP/IP Ayarlarn Yaplandrmak Network Bindings Yaplandrmak Network Trafiini Monitor Etmek Network Protokollerinde Sorun Gidermek zet Snav Esaslar Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar

TCP/IP Kurulum ve Yaplandrmas

Windows Server 2003, Windows 2000 ve Windows NT 4 ile ayn protokollere destek verir. TCP/ IP gibi protokollerden bazlar daha byk nem tar. NetBEUI gibi dier protokoller, yava ve aamal olarak nemini yitirmektedir. Bu blmde TCP/IPnin nasl yaplandrld ve TCP/IPde nasl sorun zld zerinde durulacak. Bu blm bitirine kadar, TCP/IP yaplandrma parametrelerinin nasl ayarlanacan, network kartlaryla (NICs) protokolleri ilikilendirme ilemi olan bindingin nasl yaplandrlacan reneceksiniz. Ayn zamanda Network Monitor, ping, ipconfig ve tracert gibi yerleik aralar kullanarak TCP/IP ve internet balanabilirliinin nasl izleneceini ve nasl sorun giderileceini reneceksiniz.

Temel TCP/IP Ayarlarnn Yaplandrlmas

TCP/IP Windows Server 2003 kurulum ileminin bir paras olarak yklenir ve kaldrlamaz. Keza manuel olarak da yklenemez. Bilgisayar aldktan sonra otomatik olarak gelen Configure Your Server Wizard ile TCP/IP ayarlarn yaplandrabilirsiniz. TCP/IP yklendikten sonra varsaylan olarak, otomatik yaplandrma iin sonraki ksmda ve kitabn ilerleyen blmlerinde aklanacak olan Dynamic Host Configuration Protocol (DHCP) kullanr. Eer otomatik yaplandrma iin DHCP kullanmak isterseniz sunucular genellikle statik adresleme kullanr elbette yapabilirsiniz, ancak bir network yneticisi olarak (bununla ilgili sorularla kalacaksnz) bir TCP/IP balantsnn manuel olarak nasl yaplandrldn bilmeniz gerekir. Eer TCP/IPnin yaplandrmasnn zor olduunu dnyorsanz, Windows Server 2003n Internet Protocol (TCP/IP) Properties diyalog kutusu kullanlarak bunun yaplandrlmas sizi artabilir. Aslnda TCP/IP, grevini yapabilmek iin sadece iki bilgiye ihtiya duyar:

Bu sistem iin kullanmak istediiniz IP adresi. stemcinin bulunduu network subneti ile uyuacak ekilde subnet mask.

ekil 2.1 Internet Protocol (TCP/IP) Properties diyalog kutusunu gsterir. Bu diyalog kutusunu getirmek iin Start > Control Panel > Network Connections > Local Area Connectionda Properties butonuna tklayp gelen ekrandan Internet Protocol (TCP/IP) seip Properties butonuna tklayn. Bilgisayarnzda birden fazla network kart varsa, her kart iin TCP/IP zelliklerini birbirinden bamsz olarak ayarlayabilirsiniz. Ne yapmak istediinize bal olarak otomatik yaplandrmay ya da metin alanlarn kullanrsnz.

Default Gateway ve DNS Ayarlar

ekil 2.1de, DNS ve default gateway iin ayarlar grebilirsiniz. Devam etmeden nce bu terimlerin anlamlar ve default gateway ve DNSin niin kullanldn bilmeniz gerekir. Default gateway bilgisayarnzla, farkl bir subnetteki bir bilgisayar arasndaki trafii ynlendirmek iin kullanlr. Gateway terimi ilk internet terimlerinden birisidir ve bu terimin yerini baka terimler almasna ramen hala kullanlr. IETF RFClerin orijinal diline gre gateway ile router kastedilmektedir. Her router bir IP adresine sahiptir. Bu IP adresi, istemcilerin darya gnderilen paketlerin layer 2de gnderilecei MAC adresini elde etmede kulland IP adresidir. Paketlerin dier networkler iin nereye gnderileceine karar verilirken, Windows Server 2003 kendi ynlendirme

ekil 2.1: Temel TCP/IP Properties diyalog kutusu.

48

Blm 2

tablosunu kullanarak istenen alcnn hedef adresi ile bu tablodaki hangi kaydn en iyi ekilde rttne karar verir. Komut satrnda route print komutunu kullann ve bunu default gatewayin nasl kullanld aklanrken takip edin. IP adresi 192.168.1.100 olan bir sunucuya ait aadaki rnek kty gz nne alalm.

Windows sunucunun ynlendirme tablosunu kullanma ilemini, hedef adres (giden IP paketinin headernda yer alr) ile her satrnn netmask kolonunu bit baznda AND ilemine (ANDleme ilemi de denir) sokarak gerekletirir. Ardndan sonu ayn satrn Network Destination kolonu ile karlatrlr. Eer bir eleme bulunursa, o satr kullanma aday olarak dnlebilir. Sadece tek bir aday bir hedef adres iin kullanlabilir. Eer birden fazla satr bu iletiim iin uygun durumda grnrse, netmask kolonundaki deerlerden binary 1 bit says en byk olan ve metric kolonundaki deeri en dk olan kullanlr. ANDleme ilemine aina deilseniz, u ekilde yapldn syleyebiliriz: Bir binary 1 biti sadece ve sadece iki binary 1 bitinin ANDlenmesiyle meydana gelebilir. Dier kombinasyon da 0 sonucunu retir. Bu temel prensibin sonucu olarak kullandnz maskin herhangi bir yerindeki 1 bitinin, hedef adresteki ayn pozisyona karlk gelen 1 biti ile sonucun ayn pozisyon biti 1 olacaktr. Buna ek olarak maskta 0 olan bit pozisyonlarna, hedef adresin o bit pozisyonuna karlk gelen deeri ne olursa olsun sonucun ayn bit pozisyonundaki deerini 0 yapacaktr. Bir paketin 192.168.1.200 adresine yneltilmi olduunu varsayalm. Bizim rnek ynlendirme tablomuzda, sunucu ilk satrn Netmask deeri ile 192.168.1.200 ANDleyecektir. Sonu 0.0.0.0 olacaktr. O satrn Network Destination kolonu ile karlatrldnda AND ileminin sonucuyla eleecektir. Aslnda, 0.0.0.0 ile ANDlendiinde farkl bir sonu reten bir adres yoktur. Bu da demek oluyor ki, ynlendirme tablosundaki ilk satr her zaman bir eleme retir ve kullanma adaydr. Bu sizin default routeunuzdur. Bu satr iin Gateway kolonunun altndaki adres bu sunucu iin default gatewaydir. Ayn admlar ynlendirme tablosundaki dier satrlar iin de uygulanr. Her bir satr iin hedef adres ile mask deerinin ANDlenmesi sonucu retilen deerle ayn satrn Network Destination kolonu karlatrlr. Bu rnekte sadece nc satr ek bir aday retecektir. Bunu 192.168.1.200 ve 255.255.255.0 deerlerinin binary karlklarn bit baznda ANDleyerek dorulayn (kendi kafanzdan ya da bir hesap makinesi ile decimal saylar ANDleyebilirsiniz; fakat iin temelinde yatan matematik hala binary matematiidir). Sonu olarak ynlendirme tablosunun nc satrnn Network Destination kolonundaki 192.168.1.0 deerini elde edersiniz. Ynlendirme tablosundaki dier tm kaytlar Netmask kolonundaki deerle hedef adres deerinin ANDlenmesi sonucu istenen sonucu vermeyecektir.

TCP/IP Kurulum ve Yaplandrmas

49

u anda hedef adrese ynelmek iin iki adet kullanlabilir ynlendirme girdimiz mevcut. Bu her iki kayt iin Netmask kolonlarndaki deerde bulunan binary 1lerinin saylar karlatrlr. lk kayt, masknda hibir 1 bitine sahip deilken, nc kayt 24 adet 1 bitine sahip olduundan bu nc kayt kullanlabilir ynlendirme girdimiz olacaktr. nc kaydn Gateway kolonunun deerinin sunucunun kendi IP adresi olduuna dikkat edin, bu durumda hedef aygt lokal subnette ve sunucu ile hedef default gateway araclyla deil de layer 2de iletiime geeceklerdir diyebiliriz. rnek olarak 10.10.10.1 bir hedef adresini dnn. Bu deer ile ynlendirme tablosundaki her bir kaydn Netmask kolonu ANDlendiinde, sonuc sadece ilk kaydn Network Destination kolonu ile eleir. Sonu olarak sunucu layer 2de ilk kaydn Gateway kolonundaki IP adresli default gatewayi ile eer gerekirse routern MAC adresi iin ARP talebinde bulunarak iletiime geecektir. Bir uzak subnette yer alyor ise hedef aygtn MAC adresi sunucu tarafndan kullanlamaz. nk router networkten sadece layer 2 headernda kendi MAC adresini grd frameleri okur. Bundan dolay, uzak bir aygtn MAC adresi iin adreslenmi olan bir frame router tarafndan yok edilebilir. Ancak hedef aygt iin layer 3 adresi gereklidir. Default gatewayin, paketleri kendi ynlendirme tablosundaki hedef IP adresine bakarak, hedef aygtn subnetine doru gndermesi beklenir. Bylece, (dier kaytlar bir ya da daha fazla 1 biti ierdiinden) dier hi bir kayt elemediinde kullanm iin default route seilir. Domain Name System (DNS), kullanclar iin network kaynaklarna ulamaya alrken IP adresleri yerine hiyerarik, kullanc dostu isimler kullanmasn salayan bir protokol ve servisler kmesidir. Bu sistem geni lde internette ve zel kurulularda kullanlr. Eer internet zerinde bir web taraycs, Telnet uygulamas, FTP yardmc arac ya da benzer TCP/IP yardmc aralar kullandysanz mutlaka DNS sunucu kullandnz rahatlkla syleyebiliriz. DNS protokolnn en iyi bilinen grevi kullanc dostu isimleri IP adresleri ile eletirmesidir. rnein, IP adresi 157.55.100.1 olan Microsofta ait bir FTP sitesi olduunu varsayalm. ou kullanc bu bilgisayara IP adresi ile deil de ftp.microsoft.com eklinde ularlar. Aklda tutulmasnn kolay olmasnn yan sra, isimler daha gvenilirdir. Saysal adresler birok nedenden dolay deiebilir, fakat bulunduu IP adresinin deimesine ramen bu ismin ayn kalmas gerekir. Eer istemcilerinizin DNS kullanmasn istiyorsanz, TCP/IP Properties diyalog kutusunda bir ya da daha fazla DNS sunucu belirtmelisiniz. DNS sunucular isim adres kaytlarn tutar ve istemcilere adres bilgileri ile etkin bir ekilde iletiim kurmak iin ihtiya duyduklar DNS servisini salar. DNS ile ilgili daha fazla bilgiyi ve DNS sunucularn nasl yaplandrlacan Blm 6da greceksiniz. Internet Protocol (TCP/ IP) Properties diyalog kutusunun temel elerini biliyorsunuz, imdi eitli ayarlarn nasl yaplandrldn gstereceiz.
DNSi grmezden gelmek ya da DNSe sadece st seviyede gz atmak gibi genel bir yaklam vardr. Bununla birlikte, 70-291 snav DNS ile ilgili zonelar, resolverlar ve protokoln dier temellerini kapsayacak ekilde belirli bir dzeyde bilgi sahibi olmay gerektirir. DNSi renmek size sadece snavda deil bir IT profesyoneli olarak kariyerinizde de yardmc olacaktr.

Otomatik TCP/IP Ayarlarnn Yaplandrlmas

Dynamic Host Configuration Protocol, TCP/IP istemcilerinin yaplandrmasnn otomatikletirilmesi iin tasarlanm sunucu tabanl bir servistir. Networknze bir ya da daha fazla DHCP sunucu kurabilirsiniz. DHCP sunucularnz adres aralklar ve dier yaplandrma parametreleri ile programlayp istemcilerinizin herhangi bir manuel etkileime gerek kalmadan otomatik olarak IP adres bilgilerini almasn salayabilirsiniz. Uygun DHCP yaplandrmas ile DHCP desteine sahip olan herhangi bir iletim sistemi altran istemcileriniz hibir mdahaleye gerek kalmadan ya da ok az bir mdahale ile yaplandrlabilir. Eer bir Windows 2000 Professional ya da XP Professional yaplandryorsanz, varsaylan TCP/ IP ayarlar dzgn alacaktr, nk bu iletim sistemlerinin TCP/IP takm, yaplandrma para-

50

Blm 2

metrelerini mevcut bir DHCP sunucudan alacak ekilde yaplandrlmtr. Ayn subnet aralnda adreslere sahip DHCP kullanan ve DHCP kullanmayan makineleriniz olabilir. Bir istemciyi, DNS adresleri dnda dier istediiniz tm parametreleri DHCPden alacak ekilde de yaplandrabilirsiniz. Internet Protocol (TCP/IP) Properties diyalog kutusunda bir bilgisayar otomatik adresleme iin yaplandrmak amacyla iki seeneiniz vardr:

Bir bilgisayar TCP/IP yaplandrma bilgilerini DHCP sunucudan alacak ekilde yaplandrmak iin Obtain An IP Address Automatically radyo butonunu sein. Eer DHCPyi temel IP adresleme iin kullanyor ve ayn zamanda DHCPden DNS sunucu adreslerini almak istiyorsanz Obtain DNS Server Address Automatically radyo butonunu sein.

DHCP istemciler iin bu yaplandrmay yapmadan nce ortamda istemcilerin konuabilecei bir DHCP sunucuya ihtiyacnz var. Windows 98, 2000, XP ve Server 2003 bilgisayarlar yerleik olarak Automatic Private IP Addressing (APIPA) ad verilen bir zellie sahiptir. rnein, ortamda bir DHCP sunucu olmadan, istemcinizi DHCP kullanacak ekilde yaplandrdnzda bu bilgisayar B snf 169.254.x.y formatnda bir adres alacaktr. stemcinin bulunduu network bu adres havuzunda olmad mddete, istemci dier makinelerle iletiimde zorluk yaayacaktr. Kesinlikle sadece DHCP sunucuya eriemeyen istemci bilgisayarlar ayn adres aralndan adreslere sahip olacak ve sadece kendi aralarnda iletiim kurabileceklerdir. DHCP sunucuya balanamayan her bir istemci 169.254 aralndan bir adres alp broadcast eder. Eer, dier istemciler bu broadcast mesajna cevap vermezse, istemci manuel olarak yaplandrlm gibi bu adresi kullanr. Bununla birlikte istemci bu adresin gerek bir DHCP adresi olmadn bilir ve her 5 dakikada bir bu adresi yenilemeye alr (Blm 5de adreslerin kiralanmas hakknda daha ayrntl tartlacaktr, Dynamic Host Configuration Protocoln Ynetilmesi). stemci baarl olduu anda transparan olarak DHCP adresine geer. Windows Server 2003de Alternate Configuration ad verilen yeni bir zellik vardr. Alternate Configuration kullanarak, DHCP sunucunun uygun olmad bir durumda bilgisayarnzn 169.254 aralndan bir adres almas yerine alternatif statik yaplandrmaya gemesini salayabilirsiniz. Bu yaplandrmaya bakalm. Internet Protocol (TCP/IP) Properties diyalog kutusunu an. Bilgisayarn otomatik olarak bir IP adresi alacak ekilde yaplandrldndan emin olun. Eer bu ekilde yaplandrldysa, Alternate Configuration sekmesine tklayn. Varsaylan olarak Automatic private IP address radyo butonunun seilmi olduuna dikkat edin. User Configuration radyo butonunu sein. Artk alternatif statik yaplandrma bilgilerini default gateway, iki DNS ve WINS sunucu da dahil olacak ekilde girebilirsiniz. ekil 2.2 Alternate Configuration sekmesini gsterir. Bir alternatif yaplandrmay ne zaman kullanacanz merak etmi olabilirsiniz. ki ihtimal var: Birinci ihtimal; rnein Windows Server 2003 ykl tanabilir bir bilgisayarnz var ve DHCP destei vermeyen bir ISPye evirmeli balant ile balanmak istiyorsunuz. Dier bir olaslk ise yedek amaldr. Maliyeti ok yksek olmasna ramen DHCP sunucunun almad durumlar iin alternatif adres emasna sahip ikinci bir sunucuyu talepleri kabul edecek ekilde evrimii tutmak mmkndr. Burada birinci ve ikinci sunucular senkronize bir ekilde altrmak problem olacaktr. Her iki durumda da Alternate Configuration yeni ve uygulanabilir bir zelliktir. Eer DHCP sunucularnz varsa, bunlardan en az bir tanesinin yetkilendirilmi (authorized) olduundan emin olun. Microsoft dokmanlarna gre:

ekil 2.2: Alternate Configuration sekmesi.

TCP/IP Kurulum ve Yaplandrmas

51

DHCP sunucu servisini altran bir Windows 2000 Server ya da bir Windows Server 2003 statik bir IP adresine sahip olmaldr. DHCP ya da DNS servisleri altran sunucularnzn DHCP istemci olmalarn beklemeyin. Altrma 2.1de bir Windows Server 2003 bilgisayarnn DHCP kullanan bir istemci olarak nasl yaplandrlacan reneceksiniz. Altrma 2.1: Bir Windows stemcisini DHCP Kullanacak ekilde Yaplandrmak 1. Start > Control Panel > Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayarak Properties sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP)yi sein.

4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. DHCP zelliini aktif hale getirmek iin, Obtain An IP Address Automatically radyo butonuna tklayn. 6. stemcinizin DHCP sunucudan DNS bilgisini alabilmesini salamak iin, Obtain DNS Server Address Automatically radyo butonunu sein. 7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 8. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.

TCP/IP Ayarlarn Manuel Olarak Yaplandrmak

Sunucularda DHCP kullanmamanz neriyoruz, nk sunucular istemciler kadar dinamik deildir. deal olarak sunucular ihtiya duymadka onlar yeniden balatmazsnz ve yerlerini deitirmezsiniz. Bu yzden DHCPdeki dinamik zellii sunucular iin pek de faydal deildir. Ayrca bu sunucunun sabit ve doru bir IP yaplandrmasna sahip olduunun bilinmesi avantajn ortadan kaldrr. Eer TCP/IP ayarlarn kendiniz yaplandrmak istiyorsanz Internet Protocol (TCP/IP) Properties diyalog kutusundaki Use The Following IP Address radyo butonunu seerek balayn ve aadaki ekilde dier alanlar doldurun:

IP address alanna, bilgisayar iin kullanmak istediiniz IP adresini girin. Windows Server 2003n bu adresin unique olduunu veya lokal subnet ile uyutuunu dorulamayacan hatrlayn. Kullanclarn bu alanla ilgili yapt en genel hatalar kendi networklerinde kullan-

52

Blm 2

dklar adres havuzu dndan bir adresin ya da networkte baka bir bilgisayar tarafndan kullanlmakta olan bir adresin girilmesidir.

Subnet Mask alanna, networknz iin uygun subnet mask deerini girin. Eer bu makinenin dier networklere ulaabilmesini istiyorsanz, bu bilgisayarn kullanaca gateway ya da routern adresini Default Gateway alanna girin. Networknzde DNS kullanyorsanz, Use The Following DNS Server Addresses radyo butonunu seip, Preferred DNS Server alanna, istemcinizin konumasn istedii ilk DNS sunucunun adresini girin. Bunun doru olarak yaplmas bir Windows Server 2003 network iin kritiktir. nk Active Directory servisleri DNSe ihtiya duyar (Bakn, Active Directory ile ilgili daha fazla bilgi iin Blm 3, Security Policy Ynetimi). Preferred DNS sunucu uygun olmadnda ya da bir DNS sorgusunu zmleyemediinde kullanlmak zere baka bir sunucuyu tanmlamak istiyorsanz (ki biz tavsiye ediyoruz), bu sunucunun adresini Alternate DNS Server alanna girin. (Ek sunucular sonraki ksmda greceimiz gibi Advanced TCP/IP Settings diyalog kutusundan da tanmlayabilirsiniz.) Preferred DNS sunucunun istemciye fiziksel olarak en yakn DNS sunucu olmas gerekir. Manuel DNS ayarlar, DHCP sunucudan alnan DNS ayarlarn geersiz klar.
Altrma 2.2yi networknzde denemeden nce networknzde dier host ve aygtlar tarafndan kullanlmayan bir IP adresi setiinizden emin olun.

Altrma 2.2 herhangi bir Windows Server 2003 bilgisayar zerinde bir IP adresinin manuel olarak nasl yaplandrldn gsterir.

Altrma 2.2: TCP/IPyi Manuel Olarak Yaplandrmak 1. Start > Control Panel > Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayn ve Propertiesi sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP)yi sein. 4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. Manuel olarak bir IP adresi girmek iin, Use The Following IP Address radyo butonuna tklayn. lgili alanlara IP adresini, subnet mask ve default gatewayi girin. 6. Bilgisayarnzn DNS sunucu ayarlarn manuel olarak yaplandrmak iin, Use The Following DNS Server Addresses radyo butonunu sein. lgili alanlara DNS sunucu adreslerini girin. 7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 8. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.

Gelimi TCP/IP Ayarlarn Yaplandrmak

TCP/IP diyalog kutusu Advanced butonu baka bir yerden ulalamayan birok ayar grntler. Advanced TCP/IP Settings diyalog kutusu, ekil 2.1de grlen daha basit diyalog kutusundaki ayarlar geniletmek iin ya da bu ayarlarn zerine yazmak iin kullanabileceiniz drt adet sekme ierir. Sonraki ksmlarda, standart TCP/IP diyalog kutusunda bulunmayan gelimi TCP/IP ayarlarnn nasl yaplandrldn greceksiniz.

Temel Ayarlar Geniletmek

Daha nceden grdnz temel yaplandrma diyalog kutusunda, bir IP adresi, bir subnet mask ve bir default gateway girebilirsiniz. Birok sistem iin bu yeterlidir. Fakat bir makineyi oklu IP adresleriyle iletiim kurabilecek ekilde yaplandrmak isterseniz? rnein, bir IIS kuruyorsunuz, tek bir fiziksel network balants zerinden (rnein sunucunuzun internet ile olan balants)

TCP/IP Kurulum ve Yaplandrmas

53

birden fazla IP adresine cevap vermek isteyebilirsiniz. Bu ekilde oklu IP adreslerini ekleme ilemi multihoming olarak adlandrlr. Ayn zamanda oklu default gateway adresleri tanmlayarak sisteminiz tarafndan gnderilen bir paketin en etkin gatewaye iletilmesini isteyebilirsiniz. Her iki ilemi de Advanced TCP/IP Settings diyalog kutusundaki IP Settings sekmesinden yapabilirsiniz. ekil 2.3 bu sekmeyi gsterir. IP Settings sekmesindeki seenekleriniz aadaki ekildedir: IP Address: IP Address listesi, u anda bu network adaptr iin tanmlanm olan IP adreslerini listeler. Bu listenin altndaki butonlar ile yeni adresleri ekleyebilir, nceden eklenmi adresleri dzenleyebilir ya da eklenmi olanlar kaldrabilirsiniz. Buraya yeni bir adres ekleyip tm network zellikleri diyalog kutularn (Local Area Connection diyalog kutusu da dahil olmak zere) kapattktan sonra burada yaptnz deiiklikler etkin hale gelecektir. Default Gateways: Default Gateways listesi almakta olduunuz bilgisayarda tanmlanm olan ynlendirme gatewaylerinin listesini gsterir. Eer birden fazla gateway belirtirseniz, sistem en dk (sizin belirleyebileceiniz) maliyete sahip olan gatewayi seer. Eer o gateway almyorsa ya da paketleri hedef sisteme ulatramyorsa, Windows Server 2003 bir sonraki en dk maliyetli gatewayi dener. Bu ilem paket hedefine ulancaya kadar ya da sistemde denebilecek gateway kalmayana kadar tekrar edilir. Eer iki farkl gateway iin maliyetler (metric) ayn ise, sunucu balant ykn paylatracaktr.

ekil 2.3: Advanced TCP/IP Settings diyalog kutusundaki IP Settings sekmesi.

Gelimi DNS Ayarlarn Yaplandrmak

ekil 2.4de gsterilen DNS sekmesi biraz karmak grlebilir; fakat bu sekmedeki kontroller kolay bir ekilde anlalabilir. lk olarak DNS Server Adresses, In Order Of Use listesini anlamanz gerekir. Bu liste, bu istemci iin tanml tm DNS sunucular listeler. Herhangi bir DNS sorgusu ilk sunucuya gnderilir. Eer bu sunucu bir cevap retmezse, sorgu listedeki bir sonraki sunucuya 1 saniye gecikmeyle gnderilir. Bu ilem bir sunucu geerli bir cevap retene ya da tm sunucular denenene kadar devam eder. Bu liste 20 farkl DNS sunucu adresini ierebilir. Listenin altndaki butonlar kullanarak yeni sunucu ekleyebilir, dzenleyebilir ya da listeden kaldrabilirsiniz ve sunucularn listedeki srasn sunucuyu seip listenin sandaki yukar ve aa oklar kullanarak deitirebilirsiniz.

ekil 2.4: Advanced TCP/IP Settings diyalog kutusu DNS sekmesi.

DNS sunucu listesi sadece yaplandrdnz network arabirimi tarafndan kullanlr. Bu sizin farkl networklere bal NICler iin farkl DNS sunucular kullanabilmenizi salar.

Geriye kalan ayarlar sadece bu balant (ya da network adaptr) iindir:

54

Blm 2

Append Primary And Connection Specific DNS Suffixes: Bu radyo butonu, bir DNS isteinde bulunulduunda primary DNS son ekinin ve herhangi bir balantya zel son ekinin otomatik olarak eklenip eklenmeyeceini kontrol eder. Bu u ekilde aklanabilir: Sizin primary DNS son ekiniz hsv.chellis.net ve balantya zel son ekiniz ise eng.hsv.chellis.net olsun. Bu radyo butonu aktif iken hawk isimli bir makinesi iin bir DNS sorgusu balattnzda, DNS ilk olarak hawk.hsv.chellis.net ve sonra hawk.eng.hsv.chellis.net iin bakacaktr. Append Parent Suffixes Of The Primary DNS Suffix: Bu onay kutusu (sadece Append Primary And Connection Specific DNS Suffixes seili iken aktifdir) resolver birincil son eke parent son ekini eklemeye zorlar. Bir nceki rnekte hawk, eng.hsv.chellis.net ve hsv.chellis. net iin bulunamazsa, DNSi, hawk chellis.net iin aramaya zorlayacaktr. Append These DNS Suffixes (In Order): Bu radyo butonu ve ilikili kontroller size DNS iin bir son ek listesi salar. Bunlar birincil ve balantya zel son eklerdir. Bunlar DHCP sunucu tarafndan verilen son ekleri bastrr. DNS Suffix For This Connection: Bu alan, sizin DNS sorgularnza eklemek istediiniz varsaylan balant son ekini tanmlamanz salar. Bu DHCP tarafndan tanmlanabilecek olan herhangi bir son eki bastrr. Register This Connections Addresses In DNS: Balangta iaretli olan bu buton DHCP istemciye kendi ad ve IP numarasn en yakn Dynamic DNS (DDNS) sunucuya kayt ettirmesini syler. (Dynamic DNS hakknda daha fazla bilgi iin Blm 6ya bakn) Use This Connections DNS Suffix In DNS Registration: Bu onay kutusu, istemcinizin kendisini DDNS sevisine kaydederken birincil ya da balantya zel DNS son eklerinin kullanlp kullanlmayacan kontrol eder.

WINS stemcilerini Yaplandrmak

Bir nceki blmde, NetBIOSun network kaynak bilgilerini rnein bir sunucunun sunduu paylamlar ve domain master browsern nerede olduu gibi -broadcast yoluyla bulmaya altn rendiniz. Broadcast kk networkler iin dzgn alr, fakat byk networklerde ok fazla gereksiz ve istenmeyen bir karklk meydana getirir. NetBIOS paketleri ynlendirilebilir olmadndan daha byk bir problem oluur. Broadcast trafii, networkte gereksiz trafie yol at gibi sadece lokal subnetteki bilgisayarlarn birbirlerini duyabilmesini salayabilir. Microsoft ynlendirilebilirlik problemini NetBIOS over TCP/IP (ayn zamanda NBT olarak da bilinir)yi tavsiye ederek zmledi. Fakat NBT hala broadcast gndermektedir. NBT broadcastlerinin TCP/ IP networklerinde NetBIOS stili isim zmlemesine izin vermesine ramen, Microsoftun tasarmclar, daha iyi bir zm olmas adna Windows Internet Name Service (WINS)i gelitirdiler. WINS NBT broadcastlerini dinler ve bunlar merkezi bir kaynakta sraya koyar. Bu rolde WINS etkin olarak NetBIOS adlandrma bilgisi iin bir takas odas olarak hizmet verir. Eer istemcileriniz WINS sunucu kullanacak ekilde yaplandrldysa, bu istemcileriniz NBT adreslerini broadcast kullanmadan zebilir. Bu networkn zerindeki yk nemli lde azaltr ve aslnda byk networklerde NBTnin uygulanabilirliini salar. Sonraki ksmlarda, WINS istemci bilgilerinin nasl yaplandrldn greceksiniz.

Node Tipleri
Bir WINS istemcisinin nasl yaplandrldna gemeden nce, bilmeniz gereken baz kavramlar olduu sylenebilir. NBTnin, istemcileriniz bir WINS sunucu kullanacak ekilde yaplandrlmadka tipik olarak broadcast kullandn biliyorsunuz. Daha belirgin bir ekilde, istemcinin, istemci node tipine bal olarak kulland metot Tablo 2.1de grlmektedir. Node tipi, WINS sekmesindeki NBT ayarlar tarafndan belirlenir. Bir istemcinin node tipi Registry iinden deitirilebilir, fakat siz mmkn olduunca DHCP ya da varsaylan ayarlar kullann.

TCP/IP Kurulum ve Yaplandrmas

55

Tablo 2.1: NetBIOS Node Tipleri

Note Tipi b-node (broadcast) p-node (peer-peer node) m-node (mixed) h-node (hybrid) Tanm sim kayd ve zmleme iin NBT sorgularn broadcast eder. WINS ile yaplandrlmam Windows 2000, XP, Windows Server 2003 istemci makineleri iin varsaylan node tipi. NetBIOS isimlerini zmek iin broadcast deil de NetBIOS isim sunucusu (ya da bir WINS) kullanr. Varsaylan olarak b-nodea benzer. Eer bir ismi zemezse p-nodea dner. Varsaylan olarak p-nodea benzer ve eer bir ismi zemezse b-nodea dner. WINS iin yaplandrlan Windows 2000, XP ve Windows Server 2003 istemci makinlerindeki varsaylan node tipi.

WINS stemci Bilgilerini Yaplandrmak

WINS sekmesi (Bakn ekil 2.5) istemcilerinizi isim zmleme iin WINSi nasl kullanacaklarn yaplandrabileceiniz bir grup kontrol salar. Bu kontroller aadaki gibidir: WINS Addresses: Bu liste ve ilgili kontroller bu istemci iin tanmladnz WINS sunucular gsterir. Balangta bu liste botur ve eer WINS kullanmak isterseniz manuel olarak WINS sunucularn eklemeniz gerekir. DNSteki gibi, WINS kodu, WINS isim zmleme sorgusunu listedeki sralarna gre sunuculara gnderir. Listenin altndaki butonlar kullanarak yeni sunucu ekleyebilir, dzenleyebilir ya da listeden kaldrabilirsiniz ve sunucularn listedeki srasn sunucuyu seip listenin sandaki yukar ve aa oklar kullanarak deitirebilirsiniz. Bu listeye en fazla 12 WINS sunucuyu ekleyebilirsiniz. LMHOSTS: WINS sunucu adres listesinin hemen altnda yer alan bir kontroldr. Eski tip LMHOSTS dosyasnn adres zmleme bilgisi iin kaynak olarak kullanlp kullanlmayacan belirtmek ekil 2.5: Advanced TCP/IP Settings diyalog kutusu WINS amacyla kullanlr. LMHOSTS dosyas, NetBIOS sekmesi. isim ve adres elemelerinin bulunduu bir metin dosyasdr. Bilgisayarlar isimleri zmlemek iin bu dosyaya bavurabilir ya da broadcast mesajlar veya WINSi kullanabilir. Enable LMHOSTS Lookup onay kutusu, Windows Server 2003n bir WINS sunucuyu sorgulamadan nce LMHOSTS dosyasndaki bilgisayar ismi IP adresi elemelerini kullanp kullanmayacan kontrol eder. Bu onay kutusunu iaretlediinizde sadece zelliklerini dzenlediiniz balant iin deil tm TCP/IP kullanan balantlar iin LMHOSTS dosyasna bavurma etkinletirilir. Import LMHOSTS butonu, size bir takm isim elemelerini yklemek istediinizde, WINS isim nbelleine bir dosyann ieriini okutmanza izin veren kolay ve kullanl bir metot salar. NetBIOS Settings: Son kontroller, diyalog kutusunun altndaki radyo butonudur. Bu radyo butonlar IP zerinden NetBIOS hizmetini kontrol eder. NetBEUI nceleri NetBIOS trafiini tayabilen tek transport protokolyd. Fakat NetBEUI ynlendirilebilir deildi ve byk networklerde dk peformansa sahipti. Daha nceden grdnz gibi, networkler saf TCP/IPye getike kullanmnn azalacan beklemekle birlikte Windows Server 2003 NBT desteine sahiptir,

56

Blm 2

Default: Use NetBIOS Setting From The DHCP Server radyo butonu bu istemci iin manuel WINS ayarlar ya da LMHOSTS dosyas yerine DHCP sunucusunun ayarlarnn kullanlmasn zorlar. Eer bu buton seilmemise geerli herhangi bir ayar DHCP sunucusunun ayarlarn bastrr. Enable NetBIOS Over TCP/IP radyo butonu bir DHCP ayarn geersiz klmak iin seilir. Bu, istemcinin sunucularla transport olarak TCP/IP kullanarak NetBIOS trafiini karlkl olarak deitirmesini salar.
stemcinin NBT adn balangta Windows Setup srasnda girebilirsiniz.

Disable NetBIOS Over TCP/IP butonu NBTyi kapatr. Enkapsle edilse bile networknz tamamyla NetBIOS trafiinden temizlemek istediinizde kullanldr.

Altrma 2.3de bir Windows Server 2003 makinesinin bir WINS istemcisi olarak yaplandrlmas detaylandrlmtr. Altrma 2.3: Bir Windows Server 2003 Makinesinin Bir WINS stemcisi Olarak Yaplandrlmas 1. Start >Control Panel >Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayn ve Propertiesi sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP) sein. 4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. Advanced butonuna tklayn. Advanced TCP/IP Settings diyalog kutusu grntlenir. 6. WINS sekmesine tklayn. 7. Add butonuna tklayn. TCP/IP WINS Server diyalog kutusu grntlendiinde, WINS sunucunuzun IP adresini girin ve Add butonuna tklayn. Listedeki ilk WINS sunucu, istemci makinesine fiziksel olarak en yakn WINS sunucu olmaldr. Ek WINS sunucu adresleri ekleyebilir gerekirse sunucularn sralarn istediiniz ekilde deitirebilirsiniz. 8. Advanced TCP/IP Settings diyalog kutusunu kapatmak iin OK butonuna tklayn. 9. Internet Protocol (TP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 10. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.

Network Binding lemini Yaplandrmak

Bir network binding, bir protokoln bir adaptre balanmas ve o adaptrn o protokol kullanarak trafik tayabilmesidir. rnein, TCP/IP diz st bilgisayarmzn yerleik Ethernet portuna eklendi ile size bir ka ey sylemi oluyoruz: TCP/IP ykl, yerleik ethernet portumuz TCP/IPyi destekleyen bir srcye sahip, adaptr TCP/IP trafii alp gnderecek ekilde yaplandrlm. Blm 1de Windows Server 2003 Networkn Anlamak NDIS src spesifikasyonlarn ve yararlarn okudunuz. Bu yararlardan bir tanesi bir NICye birden fazla protokoln eklenebilmesidir. Bu, Windows Server 2003 makinenizin sadece bir adet network kart olmasna ramen ayn anda TCP/IP, NetBEUI ve AppleTalk altrabilmesini salar.

Gerek Dnya Senaryosu oklu Protokoller Caziptir fakat Verimsizdir

irketiniz Windows NT, Novell NetWare ve hatta Banyan altran, duraan olmayan bir networke sahip. Ayn zamanda mainframe denetilerine hala Data Link Control (DLC) balan-

TCP/IP Kurulum ve Yaplandrmas

57

tlar var.Yllarca, bu farkl iletim sistemlerine yaplan balantlar her bir i istasyonunda yeni istemcilerin ve protokollerin eklenmesiyle para para bir yap meydana getirdi. Genel bir yaklam olarak networklerde network gelitike zel bir grup, networkn bir parasnn kontroln eline alr. Windows Server 2003n birlikte alabilirlik zellikleri (Windows NTnin daha nceden yapt gibi), belirli bir biimde oklu protokolleri altrabilme yeteneine sahiptir. Network Driver Interface Specificaion (NDIS) ve benzeri Transport Driver Interface (TDI, Network katman yerine Transport katmannda uygulanr) ile istediiniz kadar protokol altrabilirsiniz. Fakat bu kolaylk dier taraftan bir takm problemlere yol aabilir. nk oklu protokol kullanm bant genilii tketiminin artmasna sebep olur ve farkl noktalardan ynetim ihtiyalar dourur. Dier sistemleri devre d brakamayanz gibi, bu probleme, birlikte alabilirlii salayan yaklam yollar vardr. Global olarak kabul edildiinden, tm byk iletim sistemleri bugn TCP/IPyi destekler. Bu, networkten IPX ve NetBEUI gibi yava yava gzden kaybolmakta olan protokolleri karmanz salayacak elverili bir durum salar. Her bir protokol takm network zerine kendi ykn getirir. Networknzde oklu protokollerle Windows NT veya Windows 9.x makineleri varsa, servislerin her bir protokole zg rneklerini bu protokoller zerinde altran mekanizmaya ihtiya vardr. rnein, NWLink veya TCP/IP altryorsanz NetBIOS taleplerini karlayacak komple bir tarayc (internet taraycs deil) vardr. Bu eit fazlalk verimli deildir, sadece ek destek gerektirecek bir eylerin yanl gidebilecei yeni bir karmaklk getirir. Gelecekte OSI takmnn dier tarafndaki protokol birlikte alabilirliini greceksiniz. XML ve HTTP gibi teknolojileri kullanarak, bir network istemcisi farkl platformlar temelindeki kaynaklara eriebilir. En iyi uygulama, mmkn olduunca ayn trden istemciler ile networknzde minimum sayda protokol ve istemci kullanmn amalar. Her ne kadar daha ok protokol ve daha ok istemciyi destekleme fonksiyonellii olsa da buna gereksinim duymayacak bir yaplandrma daha iyidir. Windows Server 2003, bir protokol yklediinizde ya da bir NIC iin Properties diyalog kutusundaki onay kutularn iaretlediinizde otomatik olarak binding oluturur. Bu bindingleri manuel olarak deitirebilirsiniz; rnein, internete bal adaptrlerden NetBEUI ve NWLink protokollerinin unbind edilmesi genel olarak iyi bir uygulama olarak dikkate alnr. Windows Server 2003 binding listesine Network Connections klasr iinden ulaabilirsiniz. Network Connections klasrn amak iin Start > Control Panele tklayn ve Network Connections zerinde sa tklayarak Open komutunu verin. Lokal NICi (Local Area Connections simgesi gibi) seip Advanced menusnden Advanced Settingsi sein. ekil 2.6daki Advanced Settings diyalog kutusunu greceksiniz. Bu diyalog kutusu iki ayr alana ayrlr. Connections listesi bilgisayarnzdaki mevcut balantlar gsterir. Bunlar, servisler tarafndan kullanlma srasna gre listelenir. rnein, ekil 2.6da TCP/IP servisleri ilk olarak Local Area Connection kullanacaktr. Eer istenen ilem bu balant zerinden gereklemezse, servisler Remote Access connections kullanacaklardr. Bu balantlar seip listenin sa tarafndaki yukar ve aa ok tularn kullanarak sralarn deitirebilirsiniz.

ekil 2.6: Advanced Settings diyalog kutusu ile bindingleri ayarlamak.

Binding listesi size, hangi protokol ve servislerin seilen balantya eklendiini gsterir. rnein, ekil 2.6 File and Printer Sharing for Microsoft Networks ve Client for Microsoft Networks

58

Blm 2

servislerinin LAN adaptrne eklendiini ve NWLink ve TCP/IP protokollerinin, File and Printer Sharing for Microsoft Networks ve Clients for Microsoft Network servislerine eklendiini gsterir. Bu diyalog kutusu size bir balant zerinde hangi servislerin mevcut olduunu syler. Her bir servisin altnda bu servisin kullanabilecei protokolleri grebilirsiniz. Servislerdeki onay kutularn onaylamak ya da onay iaretlerini kaldrmak, bu ilemi Adapter Properties diyalog kutusundan yapmakla ayn eydir. Burada herhangi bir bir protokol her bir servis baznda ayr ayr aabilir ya da kapatabilirsiniz. Ayn zamanda kullanlan protokollerin srasn kontrol edebilirsiniz. Bu deerli bir optimizasyondur nk birok protokol bir eit tekrarlama davranna sahiptir. Herbir servis iin en sklkta kullanlan protokolleri listenin en stne yerletirecek ekilde bindingi deitirmek, servislerin yanl bir protokol iin asla zaman harcamamas anlamna gelir; bunun yerine bu servisler en muhtemel seenei deneyecekler, sadece ilk protokoln baarz olduu durumda dier protokoller deneneceklerdir.

Network Trafiini Monitor Etmek

Bazen networknzde neler olup bittiini grmek iin en iyi yol networkteki trafii gzetlemektir. Windows Server 2003 Network Monitor adndaki bir arac ihtiva eder. Bu ara Windows NT Network Monitor aracndan gelir. Systems Management Server (SMS) ile birlikte gelen ayn isimli araca dayanr. Network Monitor bir network analiz aracdr (ya da sniffer Network General Sniffer ara setinden sonra). Network analiz aralar networkten ham trafii yakalar ve ardndan protokol takmnn yapt ekilde zer. Bir protokol takmna bal olmadklarndan, bir analiz aracn yklemediiniz protokol trafiini izlemek iin bile kullanabilirsiniz. Bir Mac balant sorununu giderirken, AppleTalk protokol ykl olmayan bir i istasyonunda bile Network Monitor, AppleTalk paketlerini yakalamak ve zmek iin kullanabilirsiniz. Network Monitor iki para halinde gelir: Windows Server 2003e yklediiniz application ve Windows 2000 ya da XP Professional istemci makineleri (ou Windows iletim sistemi Network Monitor driver kullanabildii halde) zerine yklediiniz driver. Bir makinede trafii izleyebilmek iin o makine drivera sahip olmak zorundadr (application yklerken otomatik olarak yklenir). Driver gereklidir, nk driver network kartn kendisi iin adreslenmeyen paketleri bile kabul edebilecei promiscuous modea geirir ki bu tm network boyunca trafii izleyebilmek iin gereklidir. Basit olarak NICn promiscous modeda alacak ekilde yaplandrlmas bunun tm networkteki trafii grecei anlamna gelmez. Gerekte, sadece kendi sunucusuna yneltilmi trafii ve networkteki tm aygtlar tarafndan ilenebilen broadcast trafiini grr. Gnmz networklerinde, zellikle byk organizasyonlarda switchler kullanlr. Tm portlardan broadcast gndermenin yansra, bir network switchi frameleri bir aygtn bal olduu spesifik bir porta gnderir. Dier taraftan bir network hub, tm frameleri tm portlarndan gnderir. Bu da bir hub networkndeki her bir aygtn tm networkteki her paketi ileyerek kendisi iin adreslenip adreslenmediine bakmasn gerektirir. Hub networkleri trafik ykn kaldrmada olduka etkisizdir ve hzl bir ekilde yavalarlar. Switch frameleri belirli aygta gndermekle sorumlu olduundan, Network Monitor altran sunucu hala sadece kendisine gnderilen paketleri grecektir. Baz switchler tm framelerin bir kopyasnn belirli bir porta gnderilebilmesini salayan bir seenee sahiptir. rnek olarak Cisco aygtlar bu zellii Span Port eklinde adlandrr. Sunucunun switch portuna her bir framein kopyasnn gnderilmesi ile o switch araclyla gnderilen tm trafik izlenebilir. Bu performans dne ve baz durumlarda networkn kmesine sebep olabilir. Bu nedenle, sadece gerekli portlarn izlenmesi iyi bir fikirdir. Network Monitor, RAM bellein bir blmn capture buffera ayrr. Network Monitore network paketlerini yakalamasn sylediinizde, belirli bir NIC zerinde grd her paketi buffera kopyalar, almaya devam ettike istatistiksel verileri bir araya getirir. Yakalama ilemini sonlan-

TCP/IP Kurulum ve Yaplandrmas

59

drdnzda, bufferdaki verileri, ilgilenmediklerinizi capture filters uygulayp filtreleyerek deiik yollarla analiz edebilirsiniz.

Gerek Dnya Senaryosu Intrusion Detection

Pratikte, intrusion detection aygt ve yazlmlar, rnek olarak Snort monitor gibi programlar span portlar kullanarak networkn deiik noktalarndan Ethernet framelerini kopyalar. Genellikle izlemek istediiniz switch portlarna karar vermek, tm network trafiini izlemeyi istemek ile network performansn olumsuz ynde etkilememek arasnda bir deerlendirme gerektirir. Internetten giri noktalarn ve LANden internete k noktalarn izlemek tipik bir senaryodur. Bu da DMZin i tarafn, firewalln i tarafn ve firewalln d tarafn ya da bu nn kobinasyonunu izlemek anlamna gelebilir. Bir network iin, giri ve k noktalar Intrusion Detection yazlmna bir intrusion giriimi olup olmadn belirlemek iin gelen ve giden trafikle ilgili iyi bir bak as salar. Intrusion detection yazlmlar bilinen kurald durumlar iin, bir IP paketi headernn, datann, transport protokol headernn (TCP, UDP ve ilgili) spesifik grnne bakar, bir signature ile eleen bir durum olduunda bir alarm gnderir ya da o signature iin nceden tanmlanan bir eyi gerekletirir. Intrusion detection yazlmlar ayn zamanda sklkla bir atak giriimi olup olmadn zmek iin OSI modelinin dier katmanlarna bakabilir. Network Monitor gnlk ve ksa dnemli izleme iin kullanlrken, intrusion detection yazlmlar 24/7 kesintisiz ve bir kural d durum grlene kadar otomatik ve sessizce arka planda alr. Network Monitor kurup kullanmadan nce bilmeniz gereken bir ka ey var: lk olarak, Windows Server 2003 Network Monitor sadece Windows 2000 ve XP istemcileri ile birlikte alr. Eer Network Monitor Windows NT, 95, ya da 98 istemcileri izlemek iin de kullanmak istiyorsanz, SMS CDsi iindeki Network Monitor driverlarna ihtiyacnz olacaktr. Daha nemlisi, Network Nonitorun Windows Server 2003 versiyonu sadece kurulduu sunucuya gelen ve o sunucudan giden trafii gzetleyebilir. Network Monitorn SMS versiyonu networknzn herhangi bir yerindeki trafii gzetlemeyi destekler.

ekil 2.7: Network Monitor ana penceresi.

60

Blm 2

Windows Server 2003 ayn zamanda System Monitor ad verilen bir arac ierir. Bu ara bilgisayardaki hemen hereyle ilgili izleme yapar. lemci, bellek, disk ve en nemlisi network, System Monitor yardmc arac tarafndan izlenebilir. System Monitor, network trafii ile ilgili Network Monitor kadar fazla bilgi salamaz; fakat networknzn durumu ile ilgili hzl ve grafiksel bir sunum elde edebileceiniz harika bir aratr. Birok durumda Network Monitorn sunduu karmak bilgileri zmekten ok daha kolay ve hzldr. Sonraki blmlerde, network trafiini izlemek iin Network Monitor ve System Monitorn nasl yklendiini ve kullanldn greceksiniz.

Network Monitor Driver ve Application Kurulumu

Eer Network Monitor kullanarak, zerinde Network Monitor ykl olmayan bir makineden paketleri yakalamak istiyorsanz, hedef makineye Network Monitor driver yklemeniz gerekir. Network Monitor driver en azndan bir farkl makineye ykledikten sonra Network Monitor application ykleyebilir ve izlemeye balayabilirsiniz. Altrma 2.4 bu ilemi aklar. Bu altrmada Network Monitor driver ve Network Monitor application ykleyeceksiniz.

Network Monitor Nasl Kullanlr?

Network Monitor karmak grevler iin yaplm komplike bir aratr. Bu blm size network sorunlarn Network Monitor ile zmeyi retmeyecek, fakat snav gemeniz iin kullanabileceiniz baz basit grevlerin yeBirok organizasyon kendi networklerini ok sk bir ekilde gzetler, bu yzden bu rine getirilmesi iin Network altrmay yapmak IT departmannzda bir alarma yol aabilir. Altrma srasnda sizMonitorn nasl kullanldden Windows Server 2003 CDsi istenebilir, bu yzden elinizin altnda bulundurun. n aklayacaktr. Altrma 2.4: Network Monitor Driver ve Application Kurulumu Network Monitor Driver Kurulumu 1. Start > Control Panel > Network Connections > Local Area Connection seerek Network Connections klasrn an. 2. Local Area Connection Status penceresi grndnde Properties butonuna tklayn. 3. Properties diyalog kutusu grndnde Install butonuna tklayn. Select Network Component Type diyalog kutusu grnr. Component listesinden Protocole tklayn ve Add butonuna tklayn. 4. Select Network Protocol diyalog kutusu grntlenir. Network Monitor Driver seip OK butonuna tklayn. 5. Driver yklendikten sonra, Properties diyalog kutusu grntlenir. Close butonuna tklayn. Local Area Connection Status diyalog kutusunda Close butonuna tklayn. Network Monitor Application Kurulumu 6. Start > Control Panel > Add or Remove Programs sein. 7. Add or Remove Programs diyalog kutusu grndnde, Windows Components Wizard aan Add/Remove Windows Component butonuna tklayn. 8. Management And Monitoring Tools esini seip Detail butonuna tklayn. 9. Network Monitor esinin yanndaki onay kutusunu iaretleyin ve Windows Components Wizard penceresine dnmek iin OK butonuna tklayn. 10. Windows Components Wizardda Next butonuna tklayn. 11. Gerekli dosyalar kopyalandktan sonra wizard kapatmak iin Finish butonuna tklayn. 12. Add Or Remove Programs diyalog kutusunu kapatn.

TCP/IP Kurulum ve Yaplandrmas

61

Network Monitor ilk altrdnzda, sizden monitor etmek istediiniz network semenizi isteyecektir. Greceiniz network listesi yklediiniz NIC saysna baldr. Eer sadece bir NICiniz varsa, Network Monitor sizin iin otomatik olarak doru network seer ve Network Monitor penceresini grrsnz. Aadaki liste Network Monitor ana ekrannda (Windows mensn kullanarak zel blmleri ekleyip kaldrabilirsiniz) greceklerinizi aklar:

En st sol kedeki Graph blm, saniyede yakalanan frame, byte, broadcast, multicast saylarn ve network utilizasyonunu ubuk grafik eklinde gsterir. Bu blm sadece bir capture ilemi devam ederken gncellenir. Sol tarafnda ortasnda yer alan Session Stats blm o anki oturum srasnda izlenen balantlar hakkndaki bilgileri gsterir. Bu bilgiler kaynak, hedef network adresleri ve iki u nokta arasnda her iki yne gnderilen paket saylar bilgilerini ierir. Pencerenin sa tarafnda yer alan Total Stats blm, Network Monitorun yakalad ve cature buffernda yer alan toplam unicast, broadcast ve multicast frame saylar gibi ilgin istatiskleri listeler. Session Stats blm gibi bu blmn ierii de izleme srasnda devaml gncellenir. Pencerenin en altnda yer alan Station Stats erevesi Network Monitor alan bilgisayarda neler olduunu anlatr.

imdi Network Monitor penceresindeki farkl blmlerle ilgili bir fikriniz var, sonraki ksmda greceiniz gibi veri yakalamaya balayabilirsiniz.

Verileri Yakalamak
Verileri yakalarken (capture ederken) (Altrma 2.5de detaylandrlan ilem), aslnda sadece byk bir buffer gelen paketlerle doldurursunuz. Bu noktada Network Monitor bu verileri analiz etmeye almaz. Capture ilemini kontrol etmek iin ara ubuu butonlarn (standart start, stop ve pause sembollerini kullanan butonlar ile) ya da Capture mensndeki Start, Stop, Stop and View, Pause ve Continue komutlarn kullanabilirsiniz. Bir capture balatmak ve durdurmak olduka basit olduu halde, buffern varsaylan boyutu olan 1Mb artrma ihtiyac duyabilirsiniz. Bunu Capture > Buffer Settings komutunu kullanarak yaparsnz. Bir capture ilemini balatnca, Network Monitor, buffer dolana kadar ya da capture ilemi durdurulana kadar almaya devam eder. Bu noktada verileri grebilir ya da daha sonra analiz etmek zere File > Save As komutuyla diske kaydedebilirsiniz. Altrma 2.5te, bir sonraki altrmada grnt filtrelerini denemek iin Network Monitor capture buffer doldurmak iin kullanacaksnz.
Nvidiann rettii video kart olan bilgisayarlarda Network Monitor alrken baz problemler yaanabilir. Belirli Nvidia GeForce src uygulamalar, Network Monitorn de kulland ayn isimde nview.dll dosyasn ykler. Bu problemi zmek iin Windows Server 2003 Study Guide by Lisa Donald ve James Chellis (Sybex, 2003)de tarif edildii gibi, boot.ini dosyasnda /basevideo switchini kullann.

Verileri Grntlemek
Bir capture ilemini sonlandrdktan sonra, Capture > Display Captured Data komutuyla, toplanan verileri grntleyebilirsiniz. Bu komut yeni bir pencere aar: Frame Viewer (ekil 2.8). Bu pencere yakalanan tm frameleri, kaynak ve hedef adresleri, ne zaman yakalandklar (capture ileminin balangc ile ilgili olarak), network tipleri ve kulland protokol zetleyecek ekilde listeler. Tm bu verilerin listelenmesi ilgin olmasna ramen sadece istediiniz verileri seecek ekilde Network Monitor filtreleme fonksiyonlarn kullanmaya ihtiyacnz olacaktr.

62

Blm 2

Altrma 2.5: Network Monitor ile Verileri Yakalamak (Capture Etmek) 1. Altrma 2.4de tarif edildii gibi Network Monitor ykleyin. Start > Administrative Tools > Network Monitor seerek Network Monitor uygulamasn an. Network Monitor uygulamasn ilk kez kullandnzdan, izlemek istediiniz arabirimi semeniz istenecektir. Bu altrmaya devam etmek iin Local Area Connection sein. 2. Capture > Buffer Settings komutunu kullanarak capture buffern boyutunu 2Mba karn. Bu size 4096 framelik veri iin alan salar. 3. Capture > Start komutuyla bir capture balatn. Capture devam ederken Network Monitor altrdnz bilgisayarda bir web tarayc kullanarak bir web sayfasna istekte bulunun. (Bu adm bir sonraki altrma iin gerekli.) 4. Buffer dolana kadar network Monitorn almasna izin verin. Total Stats blmnn Captured Statistics ksmnda yer alan # Frames in Buffer satrnda bunu grebilirsiniz. Ardndan Stop butonuna tklayarak capture durdurun. 5. File > Save As komutuyla capture buffer kaydedin. Sonraki altrma iin buna ihtiyacnz olacak.

ekil 2.8: Frame Viewer penceresi.

Herhangi bir framein ieriine bakmak isterseniz, o frame zerine ift tklayn. Bu Frame Viewer penceresi iinde iki yeni blmn grntlenmesine yol aar: Ortada Detail blm ve alt tarafta Hex blm (ekil 2.9). Bu size herhangi bir yakalanm frame ieriini bit bit kontrol edebileceiniz kolay bir yol salar.

ekil 2.9: Detail ve Hex blmleri ile Frame Viewer penceresi.

TCP/IP Kurulum ve Yaplandrmas

63

Filtreler Kullanmak
Network Monitorde iki filtre tipi oluturabilirsiniz:

Capture filtreleri istenmeyen paketleri cature buffera kaydedilmeden nce eler. Display filtreleri baz paketleri grntlerken dierlerini grntlemez.

Takip eden ksmlarda bu filtre tiplerine bakacaz.

Capture Filtreleriyle almak

Standart Network Monitor penceresindeki Capture > Filters komutu kullanarak capture filtreleri oluturabilir ve ynetebilirsiniz. Bu komut Capture Filter diyalog kutusunu grntler (ekil 2.10). Capture Filter diyalog kutusu kullanlrken filtrelerin bir aa yaps iinde gruplandn unutmayn. Varsaylan filtre herhangi bir SAP/ETYPE (Service Access Point ya da Ethernet Type bunlarn her ikisi paketleri kullandklar protokoller ile iaretler) paketlerini yakalayacak ekilde ayarlanmtr. Bu yzden aa yapsnn en stndeki koul AND tanmlaycsn kullanr. Kendi filtreleriniz iin AND, OR ve NOT tanmlayclarn kullanabilirken orjinal aa dallarn silemezsiniz. rnein; belirli bir makineye 80 portundan gitmekte olan trafii yakalamak iin bir filtre olu- ekil 2.10: Capture Filter diyalog kutusu. turmak istiyorsunuz. Capture filtreleri portlarla ilgilenmez; fakat SAP/ETYPE kollarn seip Edit butonunu kullanarak sadece IP paketlerini yakalayacak ekilde adres baznda bir filtre oluturabilirsiniz. Sonra, Address Pairs esini uygun hedef adresini belirtecek ekilde dzenleyin. zel bir payloada sahip paketleri bulmak iin, Pattern Matches daln kullanarak o trafiin yakalanmas amacyla bir desen belirleyin. (Maalesef, Windows Server 2003 versiyonu Network Monitorde capture filtreleri ile yapabileceklerinizin hepsi bu kadardr. Network Monitorn sadece SMS versiyonunda alan birok ek zellii vardr.)

Display Filtreleriyle almak

Biraz veri yakaladktan sonra, grdnz veriler hakknda size daha fazla kontrol ans salayan display filtreleri oluturabilirsiniz. Bu kullanldr, nk dolu bir capture buffer ierisinden aradnz bir ka framei ayrt etmek olduka zordur. Frame Viewer penceresinden display filtrelerini oluturabilirsiniz. Display > Filter komutunu kullanarak Display Filter diyalog kutusunu grntleyin. (ekil 2.11) Bu diyalog kutusu Capture Filter diyalog kutusu gibi alr, fakat sonraki altrmada greceiniz gibi ek bir takm eyler de yapabilirsiniz.

ekil 2.11: Display Filter diyalog kutusu.

Altrma 2.5deki capture buffer kullanarak, Frame Viewerda grntlenen verileri kstlamak iin display filtreleri oluturabilirsiniz.

64

Blm 2

Altrma 2.6: Bir Display Filtresi Oluturmak 1. Bir nceki altrmadan sonra Network Monitor kapattysanz, tekrar an ve kaydettiiniz capture buffer File > Open komutuyla tekrar an. Bunun dnda Capture > Display Captured Data komutunu seerek Frame Viewer penceresini an. Capture bilgisi nceki altrmadaki ile ayn olmaldr. 2. Frame Viewer penceresi aldnda, Display > Filter komutuyla Display Filter diyalog kutusunu an. 3. Protocol == Any satrn seerek Edit Expression butonuna tklayn. Expression diyalog kutusunun Protocol sekmesini greceksiniz. 4. Disable All butonuna tklayarak tm protokolleri kaldrn. Filtre disable edilen protokolleri eler. 5. Disabled Protocols listesinden HTTPyi seip Enable butonuna tklayn. u anda etkinletirilen tek protokoln HTTP olmas gerekir. stee bal olarak ANY <--> filtresini seip Edit Expression butonunu kullanarak filtreye bir adres kural ekleyin. Normalde buna ihtiyacnz olmaz, nk Network Monitorn Windows Server 2003 versiyonu bir anda sadece sizin bilgisayarnzla bir dier bilgisayar arasndaki trafii izler. 6. inizi bitirdiinizde Display Filter diyalog kutusunu OK butonuna tklayarak kapatn. Frame Viewer penceresi yeniden grnr, fakat frame numaralarnn (en soldaki kolon) birbirlerini takip etmediklerine dikkat edin - filtre, istediiniz ltlerle uyumayan herhangi bir trafii eliyor. 7. Bir framein ieriini grntlemek iin zerinde ift tklayn. ifrelenmemi HTTP paketlerine baktnz iin ak bir biimde istek ve cevaplar grebilirsiniz.

Gerek Dnya Senaryosu Network Sistemlerinin Birlikte alabilirlii

irketiniz yllardr LAN teknolojileri konulandrmaktadr. Herbir departmann kendi favori teknoloji rnlerini semesi konusunda serbest olmas irketiniz iin bir problemdir. Bu ar serbestlik sistemli ve uygun maliyetli destek asndan bir kargaaya sebep olmutur. Sizin, network yneticisi olarak tm bu birbirinden bamsz teknoloji adalarn, tm bu farkl teknolojilerin hepsini bir yere birletirmek iin toplamakszn birbirlerine kprleme greviniz var. Windows Server 2003n (hatta Windows 2000 ve NTnin) en esnek taraflarndan birisi arka utaki farkl tip sistemler iin balanabilirlik ve birlikte alabilirlik kabiliyetidir. Macintoshlar, mainframeler, kk bilgisayarlar, Linux ve Unix i istasyonlar, NetWare ve hatta Banyan sistemlere, Windows Server 2003 olduka kolay bir ekilde balanabilir. Birbirinden farkl sistemlerin balanabilirlii ile ilgili birka problem vard; bu problemler yava yava ortadan yok olmaktadr; buna ramen baz kalntlar hala baz networklerde bulunmaktadr. rnein, gemite farkl sistemlerin transport protokolleri arasnda byk bir problem vard. IP bu sava kazand ve tm iletim sistemleri IP desteklemektedir. imdi geriye istemcilerin sorunu kald. Eer NetWare, Unix ve Windows 2000 bilgisayarlaryla haberlemeye ihtiyacnz varsa, ortak bir protokolnzn olmas gerekir, fakat herbir sisteme eriebilmek iin hala zel istemcilere ihtiyacnz olabilir. Bu sorun neredeyse sorun olmaktan kmaya balad. Windows Server 2003 tm istemcilerin, bu farkl sistemler arasnda iletiim iin gerekli tm ihtiyalaryla birlikte gelir. Ortak protokol ve istemcilerin kabul grmesi bir basitlik oluturuyor grnm vermesine ramen, bunun yerine tm internetworkingin kendi bana bir btn olarak bymesi tarafndan bir karmaklk oluturur. Fakat burada gerek sorun tm bu istemcilerin nasl ynetileceidir. Windows 2000 ve XP masast bilgisayarlar, cep telefonlar, PDAlar ve gelitirilmekte olan dier tm aygtlar tm bilgi sistemi ierisinde entegre olmaya ihtiya duyarlar. Bu yzden DHCP, DNS, IPSec, Active Directory ve virtual private networkler (VPNler) gibi servislerin anlalmas kritiktir. Windows 2000 ve XP istemcilerini destekleyen salam ve dzgn tasarlanm Windows Server 2003 servisleri, geliim sreci ierisinde gelmekte olan istemciler iin desteklenebilir bir alt yap oluturur.

TCP/IP Kurulum ve Yaplandrmas

65

Network Aktivitelerini System Monitor ile zlemek

System Monitor yardmc arac yerel ya da uzak bir bilgisayara ait gerek zamanl performans verilerini toplamak ve lmek iin kullanlr. System Monitor ile hali hazrdaki veriyi ya da bir log dosyasndaki veriyi grntleyebilirsiniz. Hali hazrdaki veriyi grntlerken gerek zamanl aktiviteleri izlersiniz. nceki bir oturuma ait verileri ieren bir log dosyasn import ederek verileri grntleyebilirsiniz. System Monitor aadaki grevleri yapmanz salar:

Yerel bilgisayarnzdan ya da networknzdeki uzak bir bilgisayardan veri toplamak. Tek bir bilgisayardan veri toplayabildiiniz gibi ayn zamanda birok bilgisayardan da veri toplayabilirsiniz. Verileri topladka gerek zamanl olarak grntleyebilirsiniz ya da veriler topladktan sonra grntleyebilirsiniz. Toplanacak verinin seiminde spesifik nesne ve sayalar ile tam kontrol salar. Veri toplamak iin kullanlacak zaman aral ve kullanlacak zaman periyodu gibi rnekleme parametrelerini seme. Verinin hangi formatta grntleneceine karar verme grafik, histogram ya da rapor grnts. Veriyi grntlemek iin HTML sayfalar oluturmak. zlenen verinin baka bilgisayarlara performans izlemek iin export edilmesi amacyla zel yaplandrma oluturmak.

System Monitor ilk altrdnzda ekil 2.12de grld gibi varsaylan olarak sayacn izlendiini grrsnz (System Monitorun nceki versiyonu balangta varsaylan olarak hibir sayac izlemezdi). Baz kullanl performans verilerini izleyen varsaylan sayalar:

Memory > Pages/Sec PhysicalDisk > Avg. Disk Queu Length Processor > % Processor Time
Bu kitapta performans nesnesi > saya eklinde bir format kullanyoruz. rnein Memory > Page/Sec, Memory performans nesnesini ve Page/Sec sayac temsil eder.

ekil 2.12: System Monitor.

Sayalar bu blmn System Monitorun Organizasyonu ksmnda reneceksiniz. Her bir saya System Monitor yardmc aracnn alt ksmnda listelenir. Saya listesinin hemen zerindeki alanlar listede vurgulanan sayala ilgili aadaki verileri ierir:

66

Blm 2

Last alan en gncel veriyi grntler. Average alan sayan ortalama deerini gsterir. Minimum alan saya iin kaydedilen en kk deeri gsterir. Maximum alan saya iin kaydedilen en byk deeri gsterir. Duration alan, sayacn ne kadar zamandr veriyi izlediini gsterir.

zleyen ksm System Monitorun nasl organize edildiini, veri izlemek iin sayacn nasl eklendiini ve networkle ilgili sayalarn nasl yaplandrldn aklar.

System Monitorn Organizasyonu

System Monitor hiyerarik bir yapda nelerin izleneceini belirterek bilgisayarnzn performans ile ilikili verileri izlemenizi salar. System Monitor ara ubuunda Add butonuna tkladnzda Add Counters diyalog kutusu grntlenir. ekil 2.13de grebileceiniz gibi sayalar aadakilere gre eklenir:

Yerel bilgisayar ya da dier bilgisayar iin sayalar. Performans nesneleri. Tm sayalar ya da zel sayalar. Tm rnekler ya da seilen rnekler.

Varsaylan olarak System Monitore eklenen her saya, yerel bilgisayar izler. Bununla birlikte bir uzak bilgisayardaki bilgisayarda sayalar izlemek istediinizi belirtebilirsiniz. Bu seenek size tek bir System Monitor oturumu ile birka bilgisayara ait performans verilerini izleyebilmenizi salar. Windows Server 2003 sistem performansna etki eden sistem kaynaklarn performans nesneleri ad verilen kategorilere ayrmtr. Tm bu performans nesnelerinin toplam sizin sisteminizi temsil eder. Sunucunuzun yaplandrmasna bal olarak, farkl performans nesnelerinin listelendiini grrsnz. Performans nesnelerine rnek olarak Paging File, Memory, Process ve Processor verilebilir. Her bir performans nesnesi kendisi ile ilikilendirilmi bir grup sayaca sahiptir. Sayalar, performans nesnesi ile ilgili spesifik bir bilgiyi izlemek iin kullanlr. rnein Memory performans nesnesi size Page Reads/Sec ve Page Writes/Sec gibi sayalar izleme olana salar.

ekil 2.13 Add Counters diyalog kutusu.

Instance Her bir performans nesnesi bir ya da birden fazla rnek ierir. Memory ve Cache gibi performans nesneleri her zaman bir instanecea (rnee) sahiptir. Print Queue ya da Processor gibi performans nesneleri eer bilgisayarnzda birden fazla yazc kuyruu ya da ilemci ykl ise oklu rneklere sahip olabilir. Instance seeneini kullanarak, tm rnekler iin tm verileri rnein tm yazc kuyruklar- ya da Laser yazc kuyruu gibi spesifik rnekleri izleyebilirsiniz.

Saya Eklemek
System Monitore ek sayalar eklemek iin aadaki admlar kullann: 1. System Monitorde, ara ubuundan Add butonuna tklayn. Bu Add Counters diyalog kutusunu getirir.

TCP/IP Kurulum ve Yaplandrmas

67

2. Add Counters diyalog kutusunda, zel bir sayala ilgili bilgi grmek iin, sayac seip Add Counter yerel bilgisayar izlemek iin Use Lodiyalog kutusunun sol alt kesindeki Explain butonuna tklayn. System Monitor seilen sayala ilgili bir metin grntleyecektir. cal Computer Counters radyo butonunu sein. Alternatif olarak, Select Counters From Computer radyo butonunu setikten sonra bir bilgisayar iin spesifik sayalar belirlemek iin alr pencereden o bilgisayar sein. Ynetimsel izinlere sahip olduunuz uzak bilgisayarlar da izleyebilirsiniz. Bu seenek izlemeye altnz bilgisayara System Monitorn ek yk getirmesini istemediiniz durumlarda kullanldr. 3. Performans nesnesini alr pencereden sein. 4. Tm ilgili sayalar takip etmek iin All Counters radyo butonunu sein ya da spesifik sayalar aadaki listeden semek iin Select Counters From List radyo butonunu sein.
Ayn performans nesnesine ait birden fazla sayac seerken, ard arda gelen sayalar iin Shift ya da ard arda gelmeyen sayalar iin CTRL tuunu kullanabilirsiniz.

5. Tm ilgili rnekleri takip etmek iin All Instances radyo butonunu sein ya da spesifik rnekleri aadaki listeden semek iin Select Instances From List radyo butonunu sein. 6. Performans nesneleri iin Add butonuna tklayarak sayalar ekleyin. 7. 2den 6ya kadar olan admlar izlemek istediiniz ek saya iin tekrarlayn. Bitirdiinizde Close butonuna tklayn. System Monitoru kullanarak, herhangi bir Windows Server 2003 makinesi tarafndan oluturulan trafii izleyebilir ve optimize edebilirsiniz. Network arabimini (sizin network kartnz) ve bilgisayarnza yklediiniz network protokollerini izleyebilirsiniz.

Network Subsystem zlemek in Anahtar Sayalar

Aadaki iki saya network subsystem izlemek iin kullanldr: Network Interface > Bytes Total/Sec: Network kartnn tm network protokolleri ile gnderip ald toplam byte ler. TCPv4 > Segments/Sec: Network kartnn sadece TCP ile gnderip ald bytelar ler.
Normal olarak bir network subsystem izleme ve optimize etme ilemi tek bir bilgisayar yerine network perspektifinden yaplr. rnein, tm network trafiinizi, bant genilii gereksinimlerinizi karlayabilecek lde kabul edilebilir bir deerde olup olmadn renmek iin bir network protokol zmleyici kullanarak izleyebilirsiniz.

Network Subsystemi Dzenlemek ve Gncellemek

Aadaki neriler network trafiini optimize ve minimize etmeye yardmc olabilir:

Sadece ihtiyacnz olan protokolleri kullann. rnein TCP/IP kullann, NWLink ve NetBEUI kullanmayn. Eer birden fazla protokol kullanmaya ihtiyacnz varsa, en sklkta kullanlan protokolleri bind listesinin en st srasna getirin. Bandwidthi etkin ekilde kullanabilecek network kartlar kullann. rnein 16-bit kartlar yerine 32-bit kartlar kullann. Daha hzl network kartlar kullann. rnein, akll (CPU tabanl) ve/veya daha geni buffera sahip network kartlar kullann.

Altrma 2.7de network subsysteminizi izleyeceksiniz.

68

Blm 2

Altrma 2.7: Network Subsystem zlemek 1. Eer Network Monitor ak deilse Start > Administrative Tools > Performance komutuyla an. 2. System Monitor penceresinde, ara ubuundan Add butonuna tklayn. 3. Add Counters diyalog kutusunda, aadaki performans nesnelerini ve sayalar sein:

Performans Objects alr penceresinden Network Interfacei sein, Counter liste kutusundan Bytes Total/Sec seip Add butonuna tklayn. Performance Object alr pencere kutusundan TCPv4 sein, Counter liste kutusundan Segments/Sec seip Add butonuna tklayn.

4. Close butonuna tklayn. Bu sayalarn grafie eklendiini grmeniz gerekir. 5. Domain Controllernzdan bir member sunucuya dosyalar kopyalayarak bir aktivite meydana getirin. 6. Network Interface > Bytes Total/Sec ve TCPv4 > Segments/Sec sayalarna dikkat edin. Bu saylar kmlatif deerlerdir. Bu deerleri network aktivitenizi belirlemek iin referans olarak kullann.

Network Protokollerinde Sorun Gidermek

Network sorunlarnn nasl giderildiini bilmek kk networklerin ynetimin de bile esas blmdr ve Microsoft sizden temel sorun giderme ilkelerini ve bunlarn Windows Server 2003 networkinge nasl uygulandn anlamanz bekler. Belki de u an neyin kontrol edileceini biliyorsunuz; imdi networknzn dzgn bir ekilde altn dorulamak iin kullanabileceiniz bir takm aralar hakknda bilgiler okuyacaksnz. Daha da nemlisi, bu aralarn doru zamanda ve doru yolla nasl kullanldn reneceksiniz.

En Son Deiiklikleri Analiz Etmek

Bir kii networklerinin ktnden ikayet ettiinde ilk tepkiniz, ne deitiini sormak olmaldr. Bu garip grnebilir; fakat gerekten ok faydaldr. Eer alan bir sistem sonradan almasn durdurursa bir yerlerde bir eylerin - dorudan ya da bir kaza sonucu - deitii aktr. Bir kez neyin deiip neyin deimediini tanmlayabildikten sonra artk deiikliin etkilerine ve yanl giden eyleri dzeltme yollarna bakabilirsiniz. rnein ev ofisimizdeki sunuculardan biri gvenli eski Integraph TD-30dur. Bu sunucu beta srmnden beri Windows Server 2003 kullanyor ve hibir sorun karmadan almaya devam ediyor. Bu sunucu ile balant kuramadmzda, ilk olarak sunucunun kapal olduundan pheleniriz. Network sorununun ilk iareti de genellikle olduka aktr: Bir makine dier bir makine ile haberleemiyor. Eer Blm 1deki OSI modelini dnrseniz, bilgisayarlarn farkl katmanlarda haberletiklerini hatrlayacaksnz. nceki rnei dnrsek, eer hawk bilgisayarnn arka paneline bakarsak, bizim birinci Windows Server 2003 makinemizin NICnn network aktivitesini gsteren baz LED klarna sahip olduunu grebiliriz. Bu yanp snen klar Transport, Application, Session ya da Presentation katmanlar tarafndan ne tip bir veri tand ile ilgili bir ey sylemez. Buradan anlayabileceimiz tek ey Physical katman bileenlerinin bir eyler alp gnderdiidir. Bazen kabloda gerekten bir problem olsa bile bu klar yanabilir ve aktif durumda olabilir. Problemin gerekten ne olduunu anlamak iin, izleyen blmlerde greceimiz gibi eitli sorun giderme aralarn kullanmak zorunda olabiliriz.

Problemin Gerek Nedenini Bulmak

Bir sorunu giderirken, sklkla gereksiz zaman ve aba harcamaktan basit bir eyler yaparak kendinizi korursunuz: Problemi dnmeyi durdurmak. Networknzle ilgili bir eylerin yolunda gitmedii ve son kullanclarn bunun neden olduunu sorduu srada, mantkl dnebilmek ger-

TCP/IP Kurulum ve Yaplandrmas

69

ekten zordur. Fakat problemin kaynan net olarak tanmlayabilirseniz, zaman kaybetmenize yol aacak dolambal yollara girmeden etkin bir ekilde problemi zebilirsiniz. zleyen ksmlarda, network problemlerinin nasl tanmlanacan ve toplanan verilere dayanan bir plann nasl hazrlanacan reneceksiniz.

Ne eit Bir Problem?

Bazen ilgilendiiniz problemin ne eit bir problem olduunu ortaya koymak sorun gidermenin en sinir bozucu safhas olabilir. Network kt eklinde gelen bir telefon ya da ar cihaz mesaj size problem hakknda ok fazla ey sylemez. Internete olan balantnz m? E-posta sunucusu mu? Yerel networknzdeki bir dosya sunucusu mu? Hangi servis ya da balantnn kullanlamaz olduunu bilmeden problemi zmeye nereden balayacanz bilemezsiniz. Baz tip problemler size annda bir zm nerir. rnein, bir mteri arayp bir web sitesine balanmaya alrken bir DNS hatas aldn sylerse, bizim ilk iki dncemiz birilerinin bu istemciye ait DNS ayarlarn deitirdii ya da DNS sunucularnn kt olacaktr. Ayn ekilde bir kullanc bir sunucu zerindeki bir paylama ulama ile ilgili bir problemi rapor ederse, bu problem belki sadece o istemci, belki sunucu, belki de tm network ile alakaldr. Eer yapabilirseniz, problemin ne olduunu kavramadan nce mmkn olduunca problemin kendisini ortaya koyan ne zaman balad, sreklilii olan bir problem olup olmad gibi detaylar toplayn. Tm bunlar nceden bilmek, eer daha nceden karlap zdnz bir problem ise size hzl ve kolay bir zm iin rehberlik edebilir fakat sadece daha nceden karlatnz biliyorsanz!

Bu Problemi Kimler Yayor?

Bir problemin kimleri ya da hangi bilgisayarlar etkilediini bilmek ok nemlidir. nk bu size olayn i yzndeki muhtemel nedenleri (kullanc hatalar da dahil olmak zere) verir ve harekete gemek iin bir gidi yolu semenize yardmc olur. Bu ksmda, kullanclarn rapor ettii problemlerin nasl tanmlanacan reneceksiniz.

Eer Problemi Sadece Bir Kullanc Rapor Ettiyse

Eer networknzde bir problemi sadece bir kullanc yayorsa, problemin kullancnn yapt baz deiikliklerden kaynaklanma ihtimali ok yksektir. Windows birbirleriyle alakal birok bileen ierir ve birok kii iin bir A bileeninde yaplacak kk bir deiikliin B bileeninde beklenmeyen bir yan etkiye sebep olabilecei kolay bir ekilde anlalabilir deildir. Bir son kullanc problemini zmeye alrken ilk sorunuz her zaman o makinede herhangi bir deiiklik yapp yapmadklarn iermelidir. Bu sorular, Control Panel ayarlarn deitirmek, yazlm ykleme ve kaldrma, yeniden balatma ya da sistemi direkt ya da endirekt etkileyebilecek dier eylemleri ierebilir. Eer neyin deitiini bulabilirseniz bu size bakmaya balamak iin potansiyel bir konum listesi verir. rnein bir irketteki yeni bir sistem yneticisi bir sunucuda yapt baz ilerden sonra artk network gremediinden ikayeti. Daha sonra kendi makinesini denerken DHCP sunucuya dntrdn reniyorsunuz. Bu demek oluyor ki kendisine atanan eski DHCP adresi artk kullanlamyor. Rastgele irketin network yaplandrmas ile alamayacak olan yeni bir IP adresi alm. Neyin deitiini bilmek problemi tam olarak saptamaya ve zmeye yardmc olur.

Ayn Sorunu Birka Kullanc Rapor Ederse

ok kullancl sorunu zmek, tek kullancl sorunu zmekten paradoksal olarak hem daha kolaydr hem de daha zordur. ou zaman bir kullanc dier kullanclara etkileyebilecek bir deiiklik yapamaz, bu yzden genel olarak bununla ilgili endie etmenize gerek yoktur. Dier taraftan kazara dier kullanclarn balanabilirliine etki edebilen bir takm deiikliklerin network yneticisinin yapt deiikliklerden kaynaklanma ihtimali ok daha yksektir. Bu eit problemleri dzeltmenin ilk adm problemin kapsamn belirlemektir. Networkdeki herkes bu problemden etkilendi mi? Sadece bir alma grubundaki kiiler mi ya da bir binann bir katndaki kiiler mi etkilenmi? Problem nemli bir servisin (rnein DNS) eksikliinden mi kaynaklanyor yoksa tm

70

Blm 2

network trafiini mi etkiliyor? Bu eit sorular cevaplamak problemin gerekletii yeri ayrmada yardmc olur, bylece siz de tm abanz o alana younlatrabilirsiniz. rnein Texasta bir danmanlk hizmeti verirken, o blgede ziyaret ettiimiz kullanclar Internetten gelmesini bekledikleri e-postalarnn gelmediklerinden ikayet etmeye balamlard. Exchange sunucuyu kontrol ettiimizde herhangi bir problemin olmadn grdk. Bunun dnda ne deimi olabilirdi? Posta sunucusu iin DNS kaydnn ISPdeki bir kii tarafndan yanl bir ekilde deitirilmi olduu, bu yzden bu kaytlar dzeltilmeden e-posta alamayacaklar sonucu ortaya kt. Problemin herkesi etkilediini bilmek baka bir sebebi dnmek yerine doru zm bulmakta bize yardm etmiti.

Fiziksel Balantlar Kontrol Etmek

Physical katman balanabilirlii kesinlikle nemlidir. Eer konumak istediiniz networke fiziksel bir balantnz yoksa o networke paket gnderemezsiniz. Bir network problemi ile karlatnz ilk anda, network kablolarnzn doru bir ekilde bal olduundan ve hub, router ve switch gibi aygtlarn elektrik balantlarnn olduundan emin olmalsnz. Physical katmann anlatt herhangi bir etkinlii grmek iin network kartnzn, hub veya switchinizin aktivitesine ya da heartbeat klarna gz atn. Ayn zamanda hizmet d kalan kapsam ile ilgili bilgiye sahip olmak da yardmc olur. Eer network ktnde tm kullanclar ikayet etmeye balarsa, bu durumun bir kullancnn network kablosundan kaynaklanan bir problem olma ihtimali dktr. Dier taraftan, eer tek bir kullanc network ile ilgili bir sorun yayorsa, bu sorundan router ya da switchin sorumlu olma ihtimali dktr. Eer dzgn bir ekilde, problem yaayan kullanclar tehis edebilirseniz sizin fiziksel topoloji hakkndaki bilginize dayanan bir fikir verebilir. Eer tm fiziksel balantlarnzn, enerji ve kablolamalarn dzgn altn dorulamanza ramen hala balanabilirlik problemi yayorsanz bu durum, sorunun daha st katmanlarda olduunu iaret eder.

Ipconfig Aracn Kullanmak

Windows Server 2003 ipconfig adnda bir ara ierir. Adndan da anlalaca gibi lokal makineninizin TCP/IP arabirimlerini yaplandrmak ve grntlemek amacyla kullanlr. Windows Server 2003 komut satrnda ipconfig, bilgisayardaki tm adaptrler iin lokal DNS sunucusu, IP adresleri ve subnet masklar ierecek ekilde bir zet bilgi sunar. ekil 2.14 bu ktnn bir rneini gsterir.

ekil 2.14:

ipconfig komutunun kts.

ipconfig komutunu bu modda kullanarak, DHCP kullanyor olsanz bile hzl bir ekilde bilgisayarnzn IP yaplandrma bilgilerini grntlemek iin kullanabilirsiniz. rnein ortamda bir DHCP sunucu olmasna ramen bir makinenin IP adresinin olmadn grrseniz, bu durum DHCP sunucunun Active Directoryde authorize edilmemi olma ihtimalini gsterir.

TCP/IP Kurulum ve Yaplandrmas

71

Sorun zcleri zel olarak ilgilendirecek bir switch var: /all. /all switchi ipconfig aracnn tm adaptrlerle ilgili bildii tm IP yaplandrma bilgilerini grntlemeye yarar. Normalde listelenen DNS bilgisi ve IP adresi yannda, ayn zamanda her bir NICin MAC adresini, (eer varsa) WINS yaplandrmasn ve DNS sunucu adreslerini de listeler. ekil 2.15 rnek ipconfig/all kts grntler.

ekil 2.15: ipconfig/all kts.

Eer networknzn IP yaplandrmasnn ne ekilde olmas gerektii konusunda yeterli derecede bilgi sahibiyseniz basit bir ipconfig komutu genelde problemin nerede var olduunu size syleyecektir. rnein, DHCPden otomatik olarak IP almas gereken bir bilgisayarn DHCPyi kullanacak ekilde yaplandrlmadn ya da tam tersini grebilirsiniz. Networknzn detaylar hakknda bilgi sahibi deilseniz bile, buna ramen bilgisayarnzn kulland IP adreslerinin ve subnet maskinin nasl bulunduunu bilmek yararl olabilir. Altrma 2.8de ipconfig aracn kullanarak u andaki IP konfigrasyonunuzu grntleyeceksiniz. Altrma 2.8: Ipconfig ile Yaplandrmalar ncelemek 1. Start > Run setikten sonra Run diyalog kutusunda cmd yazp OK butonuna tklayarak bir komut satr penceresi an. 2. Komut satrnda ipconfig yazn. Balant spesifik DNS suffix, IP adresi, subnet mask ve default gateway adreslerini ieren ksaltlm bir bilgi greceksiniz. 3. ipconfig/all yazn. Tm adaptrlere ait bilgileri de (eer birden fazla adaptrnz varsa) ierecek ekilde daha fazla bilginin grntlendiine dikkat edin.

Ping, Tracert ve Pathping Komutlarn Kullanmak

Physical katman sorun giderme tekniklerinden bir sonraki adm kaynak ve hedef arasnda paketlerin gittii ya da gitmeye alt yolu izlemektir. Tm fiziksel balantlarnzn iyi durumda olduunu doruladktan sonra, bir sonraki adm, herhangi bir paketi bir A noktasndan B noktasna gnderip gnderemediinizi grmek olacaktr. Internet Control Message Protocol (ICMP), IP protokol takm ierisinde, sorun giderme teknikleri ve bazen network operasyonlar iin olmazsa olmaz bir protokoldr. ICMP, IP aygtlar arasnda kontrol ve durum bilgilerinin iletilmesi iin tasarlanmtr. Genelde bir ping paketi (teknik olarak bir ICMP echo request) olarak bilinen bir eit ICMP paketi, alc sisteme bir ICMP cevab (teknik olarak ICMP echo reply) gndermesini syler. Bu size ICMP ping paketlerinin hedefe ulap ulamadn, dolaysyla bir yerden baka bir yere paketleri gnderip gnderemediinizi syler. sim zmleme ve uygulama servisleri alt seviye protokollere bal olduundan, fiziksel balant testinden sonraki mantksal adm olan bir eit Bu ey ak m? testidir. Ping ve tracert aralar ICMP kullanarak network problemlerini bulmaya yardmc olur. Bu test maalesef kusursuz bir test

72

Blm 2

Windows tracert komutunun Linux/Unix karl traceroutedr. traceroute komutu ICMP yerine UDP kullanr.

deildir. nk birok router, denial of service ve dier ataklar iin kullanlabilen ICMP trafiini bilerek bloklar.

Gerek Dnya Senaryosu ICMP Filtreleme

Birok firma ICMP paketlerinin salkl bir network operasyonu iin echo request ve echo reply paketlerinin sorun giderme teknikleri tarafndan faydalarn gz nnde bulundurmadan ICMP paketlerini bloklar. ICMP gemite denial of service (DoS) ataklar iin kullanlmt ve ayn zamanda dier tip ataklar iin de kullanlabilir. Bununla birlikte bu ataklar bir DoS saldr balangcnda ICMPnin geici olarak bloke edilmesi ya da snrlandrlmas ile kolayca azaltlabilir. Snrlandrma, belirlenen bir kaynaktan belirli bir sayda pakete izin verilmesi ya da belirlenen bir zaman aralnda belirli sayda pakete izin verilmesi ilemidir. rnein, ICMP iin tm kaynaklardan gelebilecek ICMP paketlerinin dakikada 10 paket ile snrlandrlmas, aksi takdirde bloke edilmesi eklinde yaplabilir. Bu ekilde bir plan tehlikesiz bir ekilde network aktivitelerinin tehis edilmesini etkinletirir, ayn zamanda ICMP kullanan ataklar durdurur. ICMP 15 farkl mesaj tipi ierir. echo request ve echo reply bunlardan sadece ikisidir. Dier ICMP tipleri etkin network operasyonlarna, kaynak bastrmak ve internette iletiim iin yararl olan dier eler gibi eyleri gndererek yardm eder. ICMP kullanan ataklarn saysnn gittike azalmasyla birlikte, OSI modelinin daha st katmanlarna kar atak saylar (rnein Application katmana kar ataklar) ve ICMPnin yararll, ICMPnin bloklanmas bu tr sorunlarn giderilmesi tarafnda sknt meydana getirir.

Ping Arac
Ping yardmc aracn varsaylan modda kullanarak uzak bir bilgisayar test etmek istediinizde bilgisayarnz drt adet ICMP ping paketi gnderir ve her bir pakete ilikin cevap paketinin ulamasndan nce gerekli zaman hesaplar. Bittiinde, minimum, maksimum ve ortalama gidi dn sreleri ve cevap alnmayan ping paketlerinin yzdesini gsterecek ekilde size kullanl bir zet sunar. ekil 2.16 206.13.28.12 IP adresine sahip bir makineye ping atlmasn gsteriyor.

ekil 2.16: ping komutunun kts.

Bu size ne anlatyor? lk olarak gnderdiiniz tm paketlerin ulam olduunu ve bu makine ile hedef makine arasnda yaklak olarak 5 hop bulunduunu grebilirsiniz. Time to live ya da TTL deeri 250 olduundan bu makine ile hedef makine arasnda 5 host olduunu syleyebiliyoruz. Pingin gnderdii paketler iin TTL deeri varsaylan olaak 255e ayarlanmtr. Paketleri ynlendiren her bir router TTL deerinden 1 karr. Bir paketin TTL deeri 0 (sfr) olduunda o paket atlr.

TCP/IP Kurulum ve Yaplandrmas

73

Daha da nemlisi bu ping oturumu, verinin sizin makineniz ile hedef makine arasnda normal olarak aktn gsterir. nk tm ping paketleri geldi (0% loss olduuna dikkat edin). Bu iki link arasndaki herhangi bir network probleminin sebebinin ynlendirme problemi olmadn rahatlkla syleyebilirsiniz. Paketler normal bir ekilde buras ile kar taraf arasnda akyor. Bu veriyi kullanarak bir problemi nasl tespit edersiniz? Uzak makineden herhangi bir paket geri gelmeden pingin time out (zaman am) olduu durumda en ak bir ekilde bunu syleyebilirsiniz. Girdiiniz IP adresinin yanl olmas ya da balantnn iki u noktas arasnda bir eylerin trafii bloke etme durumu olabilir. Benzer ekilde yksek paket kayp sinyali, makineler arasndaki yolda herhangi bir yerde bir hatann olduunu syler.

Tracert Arac
Lavabonuz ya da duunuz almadnda su tesisatnzn bozulduunu syleyebilirsiniz, fakat suyun akmamas size tkankln nerde olduunu sylemez. Ayn ekilde, ping yardmc arac paketlerin akp akmadn size syler fakat problemin nerde olduunu sylemez. Windows Server 2003de tracert (orijinal Unix srmnden sonra traceroute eklinde telaffuz edilir) adnda bir ara vardr. Bu ara her bir IP paketinin TTL deerini kullanarak paketlerin uzak sisteme giderken getii yolu haritalandrr. Hatrlayacak olursak bir paketi ynlendiren her aygt o paketin TTL deerini drr. Tracert TTL deeri 1 olan bir ICMP ping paketi gndererek balar. Bu paketle karlaan ilk router ya da gateway bir ICMP cevab gnderir, ping paketinin TTL deerini bir azaltr, dikkat edin u anda TTL deeri 0 ve paket atlr. Bu noktada tracert TTL deeri 2 olan ikinci paketi gnderir. lk aygt bu paketi cevaplar ve TTL deerini bir drdkten sonra paketi bir sonraki hopa ynlendirir. Zincirdeki sonraki aygt ping paketini cevaplar ve TTL deerini bir drr ve orijinal paketi atar. Bu tracertn kademeli olarak TTL deerini artrmasyla, paket istenen son hedef hosta ulancaya kadar devam eder. Paketleri gnderdike, tracert yol boyunca cevap veren ve vermeyen hostlar ieren bir log tutar. Bu bilgiyi tkanmann nerde olduunu ortaya koymak iin kullanabilirsiniz. rnein ekil 2.17deki tracert oturumuna gz atn. Grebildiiniz gibi tracert baarl bir ekilde tamamland. Bir hata olursa, yol zerindeki ilgili hopda bir time-out greceksiniz.

ekil 2.17: tracert komutunun kts.

Pathping Arac
Pathping arac ping ve tracert aralarnn tm fonksiyonelliini salar, bunun yannda kendine has zelliklerini bu karma ekler. ekil 2.18de rnek bir pathping kts gsterilmektedir. ktdaki ilk liste, paketin hedefine ularken getii yoldur. Bu tracert komutunun kts ile benzerlik gsterir. Sonraki listenin grntlenmesi iin belli bir sre beklemek zorundasnz (hop bana 25 saniye). En sadaki iki kolon en nemli bilgileri salar. Address kolonu node adresini ya da ulalan hopeun link adresini gsterir. This Node/Link LAST/Sent % kolonu yolda o noktada meydana gelen paket kaybn iaret eder. Tipik olarak paket kaybnn 0 olmas gerekir, eer ynlendirme problemleriniz varsa hat boyunca paketleri kaybettiiniz noktalara bakarak hatal alan router tespit edebilirsiniz.

74

Blm 2

Bu komutun bilmeniz gereken en nemli switchi her bir hopun isimlerini zmlemek yerine sadece IP adreslerini grntleyen n switchidir.

ekil 2.18: Pathping kts.

Nslookup Kullanmak
Tracert oturumu size DNS zmleme ileminin dzgn olarak yapldn gsterir, Microsoftun sunucusunun DNS adn girdiinizde sizin DNS sunucunuz bunu IP adresine dntrebildi. ou zaman, ping ve tracert gibi aralar IP adresleriyle kullanacaksnz, nk DNS gibi daha st katman servislerini kullanmay denemeden paketlerin IP seviyesinde iletilebildiini dorulamaya ihtiya duyarsnz. Windows Server 2003 network kaynaklarnn yerini belirlemek iin DNS servis kaytlarn kullandndan dolay isim zmleme Windows Server 2003 iin ok nemlidir. Buna ek olarak kullanclar IP adreslerini deil de hatrlamas kolay UNC pathlerini kullanmak isteyeceklerdir. Network problemlerinin sorun giderme tekniklerinin bir paras olarak network isim zmleme, ne zaman ve nasl kullanld, dzgn alp almad ve nasl test edildiini ierir. imdiye kadar DNS sunucu adresinin doru olarak ayarladndan emin olmann nemini rendiniz. Doal olarak, bir istemcinin DNS ile ilgili hata mesajlar aldn farkettiinizde ilk kontrol etmeniz gereken DNS sunucu ayarlardr. Genel olarak dier istemcilerin de benzer bir problem yaayp yaamadklarn kontrol etmek iyi bir fikirdir. nk DNS sunucularnz kaybetmenizle birlikte ortaya kacak olan problem ayn anda kendisini gstermeyecektir. Windows Server 2003 DNS, adresler iin bir cache tutar, bu sayede adresler cacheye alndktan sonra DNS sunucu kse bile, cache kaytlar TTL deerlerine ulap, geerliliini yitirip silinene kadar istemci bir sorun yaamayacaktr. nslookup arac, bir DNS sunucuyu bir host kayd iin tuttuu bilgileri grmek amacyla sorgulamanz salar. Bu rnekteki gibi, komut satrndan kk bir bilgi iin sorgulayabilirsiniz. F:\nslookup mail.chellis.net Server: hawk.chellis.net Address: 192.168.0.144

TCP/IP Kurulum ve Yaplandrmas

75

Name: mail.chellis.net Address: 209.68.1.225 Bu oturumun, sizin sorgunuza cevap veren DNS sunucuyu ve bununla birlikte cevabn sylediine dikkat edin. Eer hibir komut satr deikeni kullanmadan nslookup altrrsanz, bir srada birok sorgulama yapabilmenizi salayan interaktif moda geer: F:\nslookup Default Server: hawk.chellis.net Address: 192.168.0.144 > www.naisimith-engineering.com Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: www.hosting.swbell.net Addresses: 216.100.99.6, 216.100.98.4, 216.100.98.6 Aliases: www.naismith-engineering.com > fly.hiwaay.net Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: fly.hiwaay.net Address: 208.147.154.56 > www.apple.com Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: www.apple.com Address: 17.254.0.91 server ipAddress komutunu, verilen IP adresindeki sunucunun isim zmlemesini test etmek iin kullanabilirsiniz. Her zaman kulandnz DNS sunucunuz kt ya da belirli bir adresi zemedii durumlar iin olduka kullanldr. rnein, aadaki nslookup oturumuna gz atn. Bu rnekte nslookup oturumu minuteman isimli bir (dzgn bir ekilde yaplandrlmam) DNS sunucu zerinden gerekleiyor:

76

Blm 2

> server minuteman Default Server: minuteman.chellis.net Address: 192.168.0.201 > www.chellis.net Server: minuteman.chellis.net Address: 192.168.0.201 DNS request timed out. Timeout was 2 seconds. DNS request timed out. Timeout was 2 seconds *** Request to minuteman.chellis.net timed-out Sonu olarak minuteman cevab bulamaz. Problem deil, hawk isimli baka bir sunucuya gein: > server hawk DNS request timed out. Timeout was 2 seconds. *** Cant find address for server hawk: Timed out. Minuteman dzgn yaplandrlmad iin, hawkn adresini bulamaz. IP adresiyle deneyin: > server 192.1680.144 DNS request timed out Times out was 2 seconds. Default Server: [192.168.0.144] Address: 192.168.0.144 > www.chellis.net Server: [192.168.0.144] Address: 192.168.0.144 Name: www.chellis.net Address: 209.68.1.225

TCP/IP Kurulum ve Yaplandrmas

77

Sizin de grebildiiniz gibi, hawk sunucusunu kullanarak www.chellis.netin IP adresini zebiliyorsunuz. Nslookup ayn zamanda farkl tipte adresleri aramak iin de kullanlabilir. rnein posta sunucular bir MX DNS kayd kullanrlar. Nslookup interaktif modda set type=mx komutunu kullandktan sonra cevap almak istediiniz domaini yazarak MX kaytlarn aramak iin kullanabilirsiniz. > set type=mx > example.com Server: netserver.example.com Address: 192.168.1.10 example.com MX preference = 0, mail exchanger = mail.example.com example.com nameserver = ns0.example.com mail.example internet address = 192.168.1.20

Bu rnekte typen, MX olarak ayarlandn ve sonra example.com domaininin kendi posta sunucusu iin sorgulandn grebilirsiniz. Geriye gelen cevap bu domain iin mail.example. comun MX kayd olduunu, preference deerinin 0 ve IP adresinin 192.168.1.20 olduuna iaret eder.

zet
Bu blmde network protokollerinin nasl yaplandrldn ve sorunlarnn nasl zldn gsterdik. Spesifik olarak; istemci ve sunucu makinelerinin dinamik ve statik olarak nasl yaplandrldn, istemci ve sunucu makinelerinin Windows Server 2003 tarafndan sunulan DNS, WINS ve DHCP servislerini kullanacak ekilde, Advanced TCP/IP Settings diyalog kutusu gelimi yaplandrma seenekleri de dahil olmak zere nasl yaplandrldn, protokollerin servislere bind ve unbind edilecek ekilde ve sralarnn yeniden dzenlenecek ekilde network bindlarnn nasl yaplandrldn, hedef makineye Network Monitor drivern ve sunucuya Network Monitor Applicationn nasl yklendiklerini ve kullanldklarn, System Monitorde network aktivitelerinin nasl grntlendiini rendiniz.

Snav Esaslar
TCP/IP ayarlarnn nasl yaplandrldn bilin. TCP/IP fonksiyonunu yerine getirmek iin iki bilgiye ihtiya duyar: Sistem iin kullanmak istediiniz IP adresi ve istemcinin bulunduu network subnetine tekabl eden subnet mask. Eer bir Windows XP Professional makineyi yaplandryorsanz, muhtemelen DHCP kullanyorsunuzdur. Bu noktada, varsaylan TCP/IP ayarlar dzgn alacaktr, nk varsaylan ayarlar TCP/IP takmn yaplandrma parametrelerini otomatik olarak herhangi bir uygun DHCP sunucudan alacak ekilde yaplandrlmtr. Network istemcilerinde DNSin nasl yaplandrldn renin. Internet Protocol (TCP/IP) Properties diyalog kutusunda Obtain DNS Server Addresses Automatically (sadece DHCP etkin ise seilebilir) radyo butonunu ya da DNS sunucu adresini manuel olarak girmenizi gerektiren Use The Following DNS Server Addresses butonunu kullanabilirsiniz. Gelimi DNS ayarlarn, TCP/IP diyalog kutusunda Advanced butonuna tklayarak yaplandrabilirsiniz. WINS istemcilerinin nasl yaplandrldn bilin. WINS istemci yaplandrma seenei Windows Server 2003de Advanced TCP/IP Settings diyalog kutusundadr. WINS sekmesinde WINS Addresses, In Order Of Use listesi ve ilgili kontroller yaplandrdnz istemci iin tanmladnz WINS sunucular gsterir. Enable LMHOSTS Lookup onay kutusu Windows Server 2003n bilgisayar ad IP adresi elemeleri iin WINS sunucuyu sorgulamadan nce LMHOST dosyasn kullanp kullanmayacan kontrol eder. Diyalog kutusunun altndaki radyo butonu TCP/IP zerinde NetBIOS kullanmn yaplandrr.

78

Blm 2

Network binding ilemini anlayn. Bir bind ilemi, bir protokoln bir adaptre, bu adaptrn o protokol kullanarak trafik tayabilmesini salamak iin balanmas ilemidir. Windows Server 2003 bir protokol yklediinde ya da Properties diyalog kutusunda onay kutular seildiinde otomatik olarak o NIC iin bindingler oluturur. Network Monitorn, network izlemek iin nasl kullanldn bilin. Network Monitor RAMnin bir parasn capture buffera tahsis eder. Network Monitore networkdeki paketleri capture etmeye bala dediinizde, bir NIC zerindeki her paketi capture buffera kopyalar, veriler getike istatistiksel veriler toplanr. Capture ilemini durdurduunuzda, artk buffera alnm verileri farkl yollarla analiz edebilirsiniz. System Monitor kullanarak network trafiinin nasl izlendiini bilin. System Monitor yardmc arac, bir networkte lokal ya da uzak bir bilgisayar iin gerek zamanl performans verilerini toplamak ve lmek amacyla kullanlr. System Monitor eklediiniz sayalar ile ilgili network aktivitelerini grafiksel olarak sunar. Mesela, Network Interface > Bytes Total/Sec sayac bir network arabirimi iin tm network protokolleri ile alp gnderdii toplam byte ler. Network protokolleri sorun giderme admlarn bilin. lk olarak problemin ne olduunu anlayn. Problemin kendisini nasl gsterdii ile ilgili mmkn olduunca fazla bilgi (hata mesajlar da dahil olmak zere) toplayn, ne zaman balad, tutarl olup olmad gibi. Problemden kimlerin ya da hangi bilgisayarlarn etkilendiini bilmek ok nemlidir, nk bu sizin muhtemel nedenlerin i yzn kavramanz salar ve harekete gemek iin bir gidi yolu semenize yardmc olur. Bir network sorunuyla ilk karlatnzda, tm network kablolarnn dzgn bir ekilde bal olduundan emin olun; hub, router ya da switchlerinizin enerji kablolarnn takl olduundan emin olun. Ipconfig aracnn nasl kullanldn bilin. Ipconfig yerel makinenizde TCP/IP arabirimlerinizin yaplandrma bilgilerini grntlemek iin kullanlr. Windows Server 2003 komut satr penceresinde ipconfig yazp altrmak o bilgisayardaki tm adaptrler iin lokal DNS ad, IP adresleri ve subnet mask yaplandrma bilgilerini ierek ekilde dzgn bir IP yaplandrma bilgileri zeti oluturur. Ping aracnn nasl kullanldn bilin. Uzak bir bilgisayar ping yardmc aracn varsaylan modda kullanarak pinglediinizde, bilgisayarnz drt adet ICMP ping paketi gnderir ve her bir paketle ilikili cevabn gelmesinden nce gerekli zaman ler. Bittiinde ping size, gnderilen ve alnan paket saylarn, minimum, maksimum ve ortalama gidi dn srelerini ve cevap alnamayan ping paketlerinin yzdesini gsterecek ekilde yardmc bir zet sunar. Tracert aracnn nasl kullanldn bilin. Tracert arac, her bir IP paketindeki TTL deerini kullanarak paketlerin bir uzak sisteme giderken getii yollar haritalandrr. Tracert, TTL deeri 1 olan bir ICMP ping paketi gndererek balar. Bu da bu paket ile karlaan ilk router ya da gatewayin bir ICMP response paketi gnderip ve TTL deerini bir drecei anlamna gelir. TTL deeri u anda 0 olaca iin paket yok edilecektir. O aamada, tracert TTL deeri 2 olan ikinci bir paketi gnderir. lk aygt paketi cevaplar ve TTL deerini bir drr ve sonraki hopa ynlendirir. Bu zincirdeki sonraki aygt pingi cevaplar, TTL deerini bir azaltr ve orijinal paketi yok eder. Bu ilem tracertn kademeli olarak TTL deerini artrmasyla, paket istenen son hedef hosta ulancaya kadar devam eder. Pathping aracnn nasl kullanldn bilin. Pathping arac ping ve tracert aralarnn tm fonksiyonelliinin yannda kayp paket bilgilerini salar. Bilmeniz gereken en kullanl switchi her bir hopun isimlerini zmlemek yerine sadece IP adreslerini grntleyen n switchidir. Nslookup aracnn nasl kullanldn bilin. Nslookup arac bir DNS sunucuyu, bir host iin tuttuu bilgileri grmek amacyla sorgulamanz salar. Komut satrndan sadece kk bir bilgiyi sorgulamak iin kullanabilirsiniz ya da herhangi bir deiken kullanmadan bir satrda birden fazla sorgulama yapabileceiniz interaktif modda alabilirsiniz.

TCP/IP Kurulum ve Yaplandrmas

79

Gzden Geirme Sorular

1. Birok Windows XP i istasyonu ve iki adet Windows Server 2003 makinelerini barndran bir network ynetiyorsunuz. Bir XP kullancsnn network problemlerini tehis etmekte zorlanyorsunuz ve Network Monitoru kullanarak o makinenin alp gnderdii paketleri sniff etmeye karar veriyorsunuz. Sizin Windows Server 2003 makinenizde Network Monitor ayorsunuz; fakat hedef makineye gnderilen ya da gelen hibir paketi gremediinizi fark ediyorsunuz. Olas en muhtemel problem nedir? A. Sorudaki XP makinesindeki paketler istenilen hedefe ulamyor. B. Network Monitor application lokal bilgisayarda kullanlmaldr. C. Dier Windows Server 2003 makinesindeki bir Network Monitor kopyas XP makinelerinin ktlarn geersiz klyor. D. Hedef bilgisayarda Network Monitor driver ykl deil. 2. Bir binay kapsayan kk bir network birka senedir ynetiyorsunuz. Windows 2000den Windows Server 2003e migrasyonu henz tamamladnz ve protokol NetBEUIden TCP/ IPye deitirdiniz. Birbirine routerlarla balanan birka subnetten oluan byk bir firmann sizin firmanz satn aldn rendiniz. TCP/IPnin tm detaylarna hakim olmadnz iin, sizin firmanz satn alan firmann IT departman size, sizin verdiiniz network adresi ile nceden yaplandrlm bir router gnderiyor. Hat kurulduktan sonra, router alyor ve altryorsunuz. Yeni IT blmnn network yneticisi routern balantsn kontrol ediyor ve her ey dzgn gzkyor. Her naslsa, siz dier networklerdeki kaynaklara balanmaya altnzda balant giriiminiz baarsz oluyor. Lokal i istasyonlarnzn hepsi de dzgn alyor fakat hibiri router araclyla hibir yere ulaamyor. Router arabirimine ping attnzda dzgn bir cevap alyorsunuz. Olas en muhtemel problem nedir? A. Geersiz bir subnet mask kullanyorsunuz. B. TCP/IPnin yanl versiyonunu kullanyorsunuz. C. Bir default gateway adresi salamadnz. D. Herhangi bir DNS bilgisine sahip deilsiniz. E. Hatal bir IP adresi saladnz. 3. Bir binay kapsayan kk bir network birka senedir ynetiyorsunuz. Windows 2000den Windows Server 2003e migrasyonu henz tamamladnz ve protokol NetBEUIden TCP/ IPye deitirdiniz. Birbirine routerlarla balanan birka subnetten oluan byk bir firmann sizin firmanz satn aldn rendiniz. TCP/IPnin tm detaylarna hakim olmadnz iin, sizin firmanz satn alan firmann IT departman size, sizin verdiiniz network adresi ile nceden yaplandrlm bir router gnderiyor. Hat kurulduktan sonra, router alyor ve altryorsunuz. Yeni IT blmnn network yneticisi routern balantsn kontrol ediyor ve her ey dzgn gzkyor. Her naslsa, siz dier networklerdeki kaynaklara balanmaya altnzda balant giriiminiz baarsz oluyor. Lokal i istasyonlarnzn hepsi de dzgn alyor fakat hibiri router araclyla hibir yere ulaamyor. Router arabirimine ping attnzda dzgn bir cevap alyorsunuz. Bu sorunu zmek iin ne yapardnz? A. istasyonlarnn birinden yeni routera ping atmak. B. Yeni routera nslookup altrmak. C. istasyonlarnda ipconfig komutunu altrmak. D. istasyonlarnda winipcfg altrmak. E. Bir sunucuda nbtstat altrmak.

80

Blm 2

4. irketiniz iki lokasyona sahip, kaynaklarnn ou Chicagoda. Bir Windows NT networkn ynetiyorsunuz. Bu network routerlar arasnda, servisler iin NetBIOS isteklerini karlamak amacyla LMHOSTS dosyalarn kullanarak adres bilgilerini salyor. WINS hakknda ok ey duydunuz fakat henz uygulamadnz, nk LMHOSTS dosyalar dzgn alyor ve WINS kurulumu sizin iin henz yksek ncelikte deil. u anda Windows NT networknzn, Windows Server 2003e upgrade ileminin sonundasnz ve WINS kurmaya karar verdiniz. Bir test makinesi alp, LMHOST dosyasnn adn deitiriyorsunuz. Makine daha nceden ulaabildii hibir sunucuya imdi ulaamyor. Bu probleme neden olan olas en muhtemel sorun nedir? A. WINS sunucuda bu istemciyi girerek o istemciyi etkinletirmeniz gerekir. B. DHCP altrp bu istemciyi girerek o istemciyi etkinletirmeniz gerekir. C. stemcide WINS sunucuyu girerek, istemciyi etkinletirmeniz gerekir. D. LMHOSTS dosyasna WINS sunucu adresini girmeli ve dzgn bir ekilde adn deitirip WINS sunucuda istemci iin bir kayt girmelisiniz. E. stemciyi eski isim/adres ikililerinin temizlenmesi iin yeniden balatmanz gerekir. 5. Bir bilgisayara iki adet network kart monte etmek istiyorsunuz. Bu kartlardan birisi iin IP adresini manuel olarak yaplandrmak istiyorsunuz. Dier kart nasl yaplandrmalsnz? A. Her iki kart da manuel olarak yaplandrlmaldr. B. Her iki kart da dinamik olarak yaplandrlmaldr. C. Bir kart manuel olarak, dieri dinamik olarak yaplandrlmaldr. D. Her iki kart da manuel olarak ya da dinamik olarak yaplandrlabilir. 6. ki farkl blmden oluan bir irket iin alyorsunuz. Bu blmlerden biri spor etkinlikleri iin bilet satmakta, dieri toplant salonu kiralama ii ile ilgilenmektedir. Bu blmler finansal operasyon perspektifinde tamamen birbirinden ayr; fakat ayn binada yer alp tek bir routerla birbirine balanmaktadrlar. Her iki blmn de network yneticisisiniz. Bu iki irket birbirinden bamsz olarak ynetilmelerine ramen baz IT kaynaklarn paylayorlar. rnein Internet balants ve fiziksel olarak irketin bilet sat blmnde yer alan bir IIS sunucusu. irketin toplant salonu kiralama blmndeki bir i istasyonu, Internet de dahil olmak zere dier taraftaki hibir kaynaa balanamyor. Makineler aadaki ekilde yaplandrldlar: IIS sunucu: Node adresi Gateway Router: Bilet sat arabirimi ISP arabirimi Toplant arabirimi Problemli i istasyonu: Node adresi Gateway 204.45.36.2/24 10.2.223.23/28 192.23.64.1/24 10.2.223.23/28 204.45.36.1/24 192.23.64.23/24 192.123.64.1/24

istasyonunun Internete eriebilmesi iin ne yapmanz gerekir?

TCP/IP Kurulum ve Yaplandrmas

81

A. ISS sunucunun gateway adresini 10.2.223.23/28 olacak ekilde deitirin. B. ISP arabirimi adresini 192.23.64.1/24 olacak ekilde deitirin. C. istasyonu gateway adresini 204.45.36.1/24 olacak ekilde deitirin. D. istasyonu gateway adresini 192.23.64.1/24 olacak ekilde deitirin. 7. irketiniz Windows 2000 networknz Windows Server 2003 networkne ykseltmeye karar verdi. Sunucularla baladnz, Windows 2000 sunucu ve servislerinizin Windows Server 2003e migrasyon ilemini herhangi bir sorun yaamadan tamamladnz. DHCP ve WINS sunucular bir iki sorun dnda servislerini dzgn bir ekilde veriyorlar. WINS yaplandrmalarn ve DHCP scopelarn eskiden olduu ekilde braktnz. Windows 2000 DHCP sunucunuz gateway adreslerini datacak ekilde yaplandrlmt, fakat DNS sunucular manuel olarak yaplandrlmaktayd. Sizin destek teknisyenleriniz Windows 2000 i istasyonlar Windows XP Professionallara ykseltmeye balad. Bu ilem srasnda teknisyenleriniz Obtain DNS server address automatically seeneini grp, Obtain An IP Address Automatically seenei ile uyumas iin setiler. nternete ulamaya altklarnda herhangi bir kaynaa eriemediler. Bu probleme neden olan olas en muhtemel sorun nedir? A. Teknisyenlerinizin, deiikliklerin etkin hale gelmesi iin makineyi yeniden balatmas gerekir. B. DHCP sunucu herhangi bir DNS bilgisine sahip deil. C. Migrasyon ileminden sonra Windows 2000 sunucudaki DHCP yaplandrmas, Windows XP Professional i istasyonlar iin uygun hizmeti sunmayacaktr. D. Advanced sekmesindeki eski DNS kaytlarn manuel olarak silmeniz gerekir. 8. Kk bir organizasyonun networkle ilgili problemlerini aratrmak iin danman olarak kiralandnz. Ortam dzgn dokmante edilmemi zel hazrlanm birok uygulamay destekliyor. Bir ynetici networkteki bir ya da daha fazla bilgisayarn ar miktarda bir trafik oluturarak networkn kmesine sebep olduundan pheleniyor. Aadakileri yapmak istiyorsunuz:

Problemlere neden olan bilgisayar ya da bilgisayarlar belirlemek. Spesifik makinelerin ald ya da gnderdii network paketlerini kaydetmek ve incelemek. Sadece spesifik network paket tiplerini grntlemek.

Hangi arac kullanmalsnz? A. Tracert B. Pathping C. Nslookup D. Network Monitor 9. Kk bir irkette network yneticisi olarak alyorsunuz. irketin network 100 adet i istasyonu ve 2 adet Windows Server 2003den oluuyor. istasyonlarnn tm TCP/IP kullanyor fakat sunucular baz eski NetWare servislerine balanmalar gerektiinden TCP/IP ve NWLink kullanyorlar. istasyonlar kullanclar iin destek veriyorsunuz, fakat neredeyse NetWare sistem yneticileriyle iletiim kurmadan bunu gerekletiriyorsunuz. Bir gn i istasyonu kullanclar Windows Server 2003 sunucularndan birindeki kaynaklara eriemediklerinden ikayet ediyor. NetWare sistem yneticilerine bir balant problemi olup olmadn renmek iin ulaamyorsunuz. Problemi tehis etmeye balamak iin ne yapmanz gerekir? En iyi cevab sein.

82

Blm 2

A. System Monitorde grntlemek iin Network Interface > Bytes/Total/Sec sayacn ekleyin. B. System Monitorde grntlemek iin TCPv4 > Segments/Sec sayacn ekleyin. C. istasyonlarndan birinde Network Monitor driver ve Windows Server 2003 zerinde de Network Monitor application ykleyin. istasyonu zerindeki network aktivitelerini izleyin. D. System Monitor i istasyonlarndan birine ykleyin ve grntlemek iin Network Interface > Bytes Total/Sec sayacn ekleyin. 10. 500 nodeluk Windows 2000 networknz, Windows XP ve Windows Server 2003e ykseltmekle olduka byk bir zaman harcadnz. Sonunda DHCPnin, IP subnetlerinizin yeniden tasarlanmas ve tm i istasyonlarnz ierecek ekilde scopelar oluturulmasyla getirdii TCP/IPnin merkezi ynetim avantajn elde ettiniz. Scopeu aktive ettiniz. Active Directoryyi henz uygulamadnz; fakat bunu her eyin dzgn olarak altn doruladktan sonra yapmay planlyorsunuz. Bu gei sreci hafta sonunda, her bir i istasyonunda IP yaplandrmasn statik IP adreslemeden, DHCP kullanacak ekilde evirecek bir script altrdnz ve tm i istasyonlarn yeniden balattnz. Rastgele birka makineyi test ettiniz ve routerlarnz araclyla kaynaklara balandlar ve tm sunuculara uygun bir ekilde baland. Pazartesi sabah, Internet balantlarnn ktnden ikayet eden kullanclardan telefonlar aldnz. Kendi Windows Server 2003 makinenizden Internet balatnz kontrol ettiniz ve balantda herhangi bir problem olmadn grdnz. Bu probleme neden olan olas muhtemel sorun nedir? A. Baz i istasyonlarnda subnet mask hatal. B. Default gateway hatal. C. istasyonlarndaki DNS yaplandrmas, DHCP sunucudaki yaplandrmay geersiz klyor. D. Oluturduunuz IP adres plan geerli deil. E. WINS sunucu uygun ekilde yaplandrlmam. 11. Bilgisayarlarn tutulduu odadan grlt duyulduktan ksa bir sre sonra bir makine ani bir ekilde Ethernet network balantsn kaybetti. Makine zerinde bunun dndaki her eyin normal alt gzkyor. TCP/IP zelliklerini kontrol ediyor ve bunlar da olmas gerektii ekilde bu probleme neden olan olas en muhtemel sorun nedir? A. Network kart hasar grmtr. B. DNS zellikleri yeniden ayarlanmaldr. C. Networkteki dier makinelerden birisi bozulmutur. D. Makinenin network kablosu krlm ya da yerinden kmtr. 12. Kullanclarnz eitli web sitelerinde aralklarla meydana gelen problemlerden ikayet ediyor. Farkl web siteleri iin defalarca tracert altrdnz ve herhangi bir problemle karlamadnz. Aralklarla meydana gelen router operasyonlarn saptamak iin kullanabileceiniz en iyi komut nedir? A. nbtstat n B. netstat C. ping a D. pathping

TCP/IP Kurulum ve Yaplandrmas

83

13. Networknzde adresini dinamik olarak alan bir Windows Server 2003 bilgisayar, DHCP kene kadar dzgn bir ekilde alyordu. DHCP sunucu ktkten sonra, bu bilgisayar networkteki APIPAya dnen hibir bilgisayarla haberleemedi. ipconfig komutunu kullanarak bilgisayarn 208.41.13.2 adresine sahip olduunu grdnz. Dahili networknz normalde 10.x.y.z araln kullanr. Problemin ne olabileceinden phelenirsiniz? A. APIPA tekrarlanan adresten dolay baarsz oldu. B. Bilgisayar manuel olarak yanl bir ekilde yaplandrld. C. Sadece bu bilgisayar 208.41.13.2 IP adresini ieren bir alternatif yaplandrmaya sahip. D. Bilgisayarn networkten balants kesilmi. 14. Aadaki resimde, ikiden fazla DNS sunucu adresini yaplandrmak iin nereye tklardnz?

A. Use The Following IP Address B. Obtain DNS Server Address Automatically C. OK D. Advanced 15. Networknzdeki bir bilgisayarn sadece bir network adaptr var. Sunucu kendi zerinde, yaklaan birleme sreci ardndan olduka yksek dzeyde kullanm idare etmeye ihtiya duyacak. Sunucuda u anki kullanm dzeyini (utilizasyonu) saptamak iin System Monitor kullanmaya karar verdiniz. Bunu gerekletirebilmek iin neyi izlemeniz gerekir? A. Server nesnesinin Bytes Total/Sec sayac B. Network Interface nesnesinin Bytes Total/Sec sayac C. TCPv4 nesnesinin Segments/Sec sayac D. Network Interface nesnesindeki Current Bandwith sayac 16. Networknzde bir Windows Server 2003 bilgisayarnzn iki adet network adaptr var. System Monitor kullanarak bu arabirimlerden birinin veri giri seviyesini lmek istiyorsunuz, fakat kt sadece sabit sfr dzeyini gsteriyor. Bu sonucun muhtemel sebebi aadakilerden hangisidir?

84

Blm 2

A. Network Interface nesnesinin Byte Received/sec sayacn setiniz. B. Counter iin yanl rnek setiniz. C. Capture ilemini balatmay ihmal ettiniz. D. Giri dzeyini okuyabilmek iin View Histogram semeniz gerekir. 17. Aadakilerden hangisi internetwork boyunca hatann meydana geldii noktay saptamak iin kullanlan en iyi aratr? A. Ping B. Nbtstat C. Tracert D. Netstat 18. Bir Windows Server 2003 bilgisayarn bir DHCP istemcisi olarak yaplandrmaya alyorsunuz, fakat sunucu buna kar koyuyor. Aadakilerden hangisi bunun olas en muhtemel sebebidir? A. DHCP sunucu sizin subnetinizde olmayan bir adres ile cevap vermitir. B. DHCP sunucunun IP adres yaplandrmasn ihmal etmisiniz. C. Bilgisayar DHCP sunucu olarak alyor. D. Bilgisayar WINS sunucu olarak alyor. 19. Aadakilerden hangisi System Monitorn bir fonksiyonu deildir? A. Yakalanan paketlerin ayrntlarnn gsterir. B. Ayn anda bir networkte lokal bilgisayarnzdan ve uzak bilgisayarlardan veri toplamanz salar. C. Spesifik nesne ve sayalar seerek, toplanacak verinin seimi zerinde size tam kontrol salar. D. Dier bilgisayarlara aktarlabilecek ekilde veriyi izlemek iin zel yaplandrma oluturur. 20. WINS istemci olarak etkinletirilmi bir Windows Server 2003 bilgisayar iin varsaylan NetBIOS tipi aapdakilerden hangisidir? A. p-node B. h-node C. b-node D. m-node

TCP/IP Kurulum ve Yaplandrmas

85

Gzden Geirme Sorularnn Cevaplar

1. D. Network Monitoru kullanmak iin, hedef bilgisayarda Network Monitor driver, sunucuda da Network Monitor application yklemeniz gerekir. lk seenei Network Monitor ilk blgede altryor olsaydnz dnebilirdiniz. B seenei doru deildir. nk Network Monitor tipik olarak bir makine tarafndan dier makinenin aktivitelerini izlemek iin kullanlr. C seenei doru deildir, tek bir sunucu tipik olarak networkteki dier bilgisayarlarn network ktlarn bozmaz. 2. C. Bilgisayarn, paketleri dier subnet ve networklere gnderebilmesi iin bir default gateway adresi vermeniz gerekir. Bir paket farkl bir subnet iin hazrlanp adreslendiinde, lokal IP takm, kendi yaplandrmas iinde paketi iletmek iin zel bir adres iin bakar. Bu default gateway olarak adlandrlr. Eer default gateway adresi yaplandrlmazsa, tm lokal IP trafii dzgn alr fakat gateway yaplandrlmas olmayan makineler dier networklere eriemezler. Eer subnet mask ya da IP adresleri doru olmasayd, lokal iletiim dzgn gereklemezdi. DNS yaplandrmas isim zmlemesi iin kullanlr ve bu tip bir hatann oluumuna sebep deildir. 3. A. nk yeni bir router eklediniz ve makinelerden hibiri routern dier tarafna eriemiyor. lk yapmanz gereken i istasyonlarnn routerla haberleip haberleemediini kontrol etmek olacaktr. Eer haberleebiliyorlarsa, problem yeni routerla bir sonraki nokta arasndaki balantda ya da routern kendisinde bir problem vardr. Eer i istasyonlar yeni routera ping atamyorlarsa, ipconfig komutuyla tekrar i istasyonlarnn yaplandrmalarna bakmak isteyebilirsiniz. 4. C. Varsaylan olarak, istemcinin kullanaca WINS sunucu listesi botur. WINS merkezi bir veritaban olduundan ulalabilir olmas ve her bir istemcinin sunucunun IP adresini bilmesi gerekir. Bu adrese ek olarak, istemci WINS kullanmak zere etkinletirilmeli yani WINS sunucuyu bulmaya almay bilmesi iin NetBIOS p-node ya da h-nodea sahip olmaldr. WINS sunucuda makinenin girdisi o istemciyle haberleme vastasyla yaplr. WINS sunucuya statik girdi yapabilirsiniz, fakat istemci hala dzgn alabilmek iin WINS kullanacak ekilde yaplandrlmaya ihtiya duyar. DHCPyi, WINS sunucu adreslerini tamas, NetBIOS node tiplerini deitirmesi iin kullanabilirsiniz, fakat WINSi altrmak iin DHCP altrmak zorunda deilsiniz. WINS sunucu LMHOSTS dosyalar ihtiyacn doldurur, LMHOSTS dosyalar WINS sunucularn yerini belirlemek iin kullanlmaz. stemcileri eski isim adres ikililerinin temizlenmesi iin yeniden balatmanza gerek yoktur. 5. D. DHCP ya da manuel adresleme kullanan hibir adaptr dier adaptrlerin kulland yaplandrmaya bakmaz. 6. C. istasyonunun gateway adresi IPnin network dna paketleri gndermek iin kulland adrestir. Nihai hedef, gerek dier LANdaki IIS sunucu gerekse Internette herhangi bir yerdeki bir adres olsun paketlerin bu hedefe ulaabilmesi iin tek yol ilk olarak, dier routerlarla iletiim kurarak paketleri iletebilen gatewaydir. Ulamak istediiniz zel bir makinenin adresini gateway adresi yapmazsnz. 7. B. Bir nceki DHCP yaplandrmas DNS bilgisine sahip deildi, nk istemcilerde DNS adresleri manuel olarak girilmiti. Obtain DNS Server Addresses Automatically seeneini iaretlediinizde nceki manuel olarak girdiiniz yaplandrma bilgileri kaybolur sadece Obtain an IP address Automatically setiinizde standart IP bilgileri ile birlikte. Windows 2000 ya da Windows Server 2003de DNS adreslerini deitirdiinizde bilgisayar yeniden balatmanza gerek yoktur. Windows 2000 versiyonu DHCP yaplandrma bilgileri Windows Server 2003e ykseltilirken korunur. 8. Network Monitor application kullanrken lokal sunucu tarafndan alnan ya da gnderilen tm network paketlerini grebilirsiniz. Bu bilgiyi temel alarak belli network tipleri iin kaynaklar tanmlayabilirsiniz, ping paketleri gibi. Dier aralar da kullanl bilgiler verir; fakat bir network

86

Blm 2

paketi ile ilgi spesifik detaylara eriim salamanza ya da hakknda bilgi topladnz veri ile ilgili filtre yapmanza imkan vermezler. 9. B. Burada TCPv4 > Segment/Sec sayacn grntlemek iin System Monitor eklemek isterdiniz. Bu size sunucuda TCP/IPnin herhangi bir trafik oluturup oluturmad hakknda bilgi salayacaktr. Network Interface > Bytes/Total/Sec sayacn eklemek, NWLink trafiini de grntye ekleyecektir (bildiiniz kadaryla hala dzgn alyor) ve TCP/IPnin hatal olma gereini gizleyebilecekti. Kt bir sunucuda Network Monitor zm problemleri tehis etmede yardmc olmayacaktr ve son seenek problemi zmek iin yardmc olmayacaktr. 10. Statik DNS yaplandrmas, DHCP istemci ile tertip edilen DHCP yaplandrmasn etkisiz klar. nk Registry statik IPden DHCPye geecek ekilde dzenlenmitir. DNS bilgisi statik bilgi olarak kalr deitirilmez ve DHCP yaplandrmasyla gelen DNS bilgisini yok sayar. Hatal DNS yaplandrmasyla, i istasyonlar Web kaynaklarna balanmak iin gerekli olan bir URLi IP adresine zmleyemezler. Eer subnet mask ve IP adresleri hatal olsayd, lokal network iinde de iletiim kuramazlard. Routerlar araclyla balantlar kurabildiinizden dolay default gateway dzgn alyor. WINS web hizmetleri ile ilgili deildir. 11. D. Fiziksel balantlarn hzl bir ekilde kontrol edilmesi, sizi var olmayan problemlerle vakit kaybetmekten korur. Network problemlerinin byk ounluu Physical katmanda gerekleir. 12. D. Pathping, ilevini belirli bir zaman periyodu zerinden gerekletirdii iin aralklarla meydana gelen problemlerin tehisinde kullanl olabilir. rnein, sizin networknz dndaki aralklarla problem yaayan bir router iin, pathping paket kayplarn gsterecektir. Ayn ekilde pathping router dzgn altnda paket kayb gstermeyecektir, bylece problemin neden kesikli bir problem olarak tanmladn greceksiniz. 13. Windows Server 2003 bir DHCP sunucuya eriemediinde kullanlmak zere alternatif bir APIPA yaplandrmas salar. Bu durumda, networkteki tm bilgisayarlar varsaylan APIPA adres aralna gemiler, fakat sorudaki bilgisayar muhtemel olarak bu alternatif adreslerden biri ile yaplandrlmtr. 14. D. Advanced TCP/IP Settings diyalog kutusunu grntlemek iin Advanced butonuna tklayn. Bu diyalog kutusunun DNS sekmesinden ek DNS sunucular yaplandrabilirsiniz. 15. A. Sunucunun network balantsyla deil de kullanm deerini lmek ile ilgilendiinizden, Server nesnesi doru seim olacaktr. Ayn ekilde, saniyedeki TCP segmentlerini lmek sunucunun kullanm dzeyini (utilizasyon) ortaya karmaz. Son olarak, Current Bandwith sayac genelde network arabiriminin nominal bant genilii deerinde kullanm dzeyini ok az miktarda ortaya koyar. 16. B. Her bir network adaptr bir Network Interface nesnesinin Bytes/Sec sayacnn bir rnei olarak grnr- izlemeniz gereken nesne ve saya. C seenei geersizdir, nk yakalama ilemini System Monitorde deil, Network Monitorde balatrsnz. D seenei doru deildir, nk histogram grn ayn veriyi daha sade bir ekilde gsterir, verinin kendisine etki etmez. 17. C. ping doru cevaba yakndr, fakat tracert izlenen yoldaki hatalar tespit etmede daha iyi bir yardmc aratr. ping potansiyel olarak birden fazla iletim gerektirirken, tracert internetworkteki aygtlar boyunca hatal router bulana kadar ilerleyerek devam eder. 18. C. Nadiren de olsa sunucularda DHCP istemciyi etkinletirmek, bunu DHCP ya da DNS sunucu zerinde yapmadka imkansz ya da yanl deildir. Bu bilgisayarlarn IP adresleri statik olarak yaplandrlmak zorundadr. DHCP sunucu istein geldii subneti bilir, bylece yanl bir subnetin adresini vermeyi nler. Kendi adresini bile bilmeyen DHCP istemcide, DHCP sunucu adresini yaplandrmaya gerek yoktur. 19. A. Yakalanan paketlerin detayl bir ekilde gsterimi System Monitorn deil Network Monitorn bir fonksiyonudur. System Monitor ile sadece kendi bilgisayarnzdan deil, ayn

TCP/IP Kurulum ve Yaplandrmas

87

anda dier bir bilgisayardan da veri toplayabilirsiniz. Spesifik nesne ve sayalar semek suretiyle toplanacak olan veri zerinde tam bir kontrolnz vardr. Ayn zamanda, izlenen veri iin zel yaplandrmalar oluturup performans izleme iin dier bilgisayarlara export edebilirsiniz. 20. B. b-node tipi bir WINS istemcisi olarak yaplandrlmam Windows Server 2003 bilgisayarlar iin varsaylan ayar iken, WINS istemci etkinletirildiinde varsaylan node tipi h-node olacaktr.

Security Policylerini Ynetmek

3 Security Policylerini
Ynetmek
Kullanc ve Grup Hesaplarna Genel Bak Security Policy Tipleri ve Aralar Local Computer System Policyleri Security Configuration and Analysis Arac ile Gvenlik Yaplandrmalarnn Analizi Yazlm Yklemek ve Bakm Ynetimi Windows Server 2003 Servislerini Ynetmek zet Snav Esaslar Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar

Security Policylerini Ynetmek

nceki versiyonlarda olduu gibi, Windows 2000 Server ve Windows Server 2003 iletim sistemlerinde de kullanc haklar, uygulamalarn almalar ve iletim sisteminin kendisi iin eitli seenekler sunarak farkl seviyelerde gvenlii ynetmenize imkan salar. Bu ilem lokal ya da domain seviyesinde security policyleri kullanlarak gerekletirilir. Gvenlik ayarlar Group Policy ile site, domain, OU ya da lokal dzeyde yaplandrlabilir. Account Policyler, hesap kilitleme ve parola yaplandrmas gibi logon ilemlerini kontrol etmek iin kullanlr. Local Policyler, denetleme, kullanc haklar ve gvenlik seenekleri gibi security policylerini tanmlamak iin kullanlr. Security Configuration and Analysis arac gvenlik yaplandrmanz analiz etmek iin kullanabileceiniz bir Windows Server 2003 yardmc aracdr. Bu yardmc ara bir takm gvenlik ablonlarn kullanarak sizin u anki gvenlik yaplandrmanz ile arzu ettiiniz yaplandrmay karlatrr. Bu blmde, bu farkl gvenlik tiplerini ve gvenlik aralarn reneceiniz gibi, Windows Server 2003 ortamnda gvenliin Group Policy ve local security policyleri kullanlarak nasl ynetildiini ve Security Analysis and Configuration yardmc aracnn nasl kullanldn da reneceksiniz. Bunun yannda, Windows Server 2003de yazlm gncelletirme aralarn reneceksiniz. Windows zaman ierisinde gncelletirmeleri altrmay gerektiren srekli deien bir iletim sistemidir. En nemli gncelletirmeler, Microsoft rnlerinin herhangi birinde bir zayflk bulduu anda kard gvenlik gncelletirmeleridir. Microsoft mmkn olan en ksa zamanda, genelde fark ettikleri andan itibaren 24 saat iinde, bu zayflklar zmeye alr. Sisteminizi korumak iin gncelletirmeleri mmkn olan en ksa srede uyguladnzdan emin olmalsnz. Windows Server 2003 gncelletirme aralar bunu gerekletirmenizi salar. Son olarak Windows Server 2003 servislerine bakacaz. Print spoolerdan DNS servisine kadar mevcut birok servis iletim sistemine fonksiyonellik kazandrr. Services yardmc arac ile sunucunuzdaki servisleri nasl balatp durdurabileceinizi ve servisleri nasl gzden geireceinizi reneceksiniz.

Kullanc ve Grup Hesaplarna Genel Bak

70-290 snavndan henz gemediyseniz (Windows Server 2003 letim Sistemine Genel Bak) Windows Server 2003 ortamnda kullanc ve grup hesaplarnn nasl altna hzl bir ekilde gz atmak faydal olacaktr. Bu ksm, lokal ve domain hesaplarn her ikisini de kapsayacaktr, fakat 70-291 snav ncelikli olarak domain hesaplar zerine odaklanr.

Kullanc Hesaplar
Windows XP Professional ya da Windows Server 2003 (ye sunucu olarak yaplandrlm) altran bir bilgisayar kendi kullanc hesaplar veritabann tutma yeteneine sahiptir. Lokal bilgisayarda tutulan bu kullanclar local users olarak bilinir. Active Directory Windows 2000 Server ve Windows Server 2003 platformlar ile kullanlabilen bir directory hizmetidir. Active Directory, bilgileri merkezi bir veritabannda tutarak kullancnn enterprise apnda kaynaklar tek bir kullanc hesab ile payActive Directory ile ilgili daha fazlasn lamasn salar. Active Directorynin merkezi veritabannda daha sonra Active Directoryye Hzl tutulan kullanc ve gruplar Active Directory users ya da doBak ksmnda reneceksiniz. main users olarak adlandrlr. Eer networknzde yerel kullanc hesaplarn kullanyorsanz, kullanclarn tm networkte eriiminin olmas iin her bir bilgisayarda bu hesaplarn oluturulmas gerekir. Bu nedenle, orta ve byk networklerde kullanclar ynetmek iin genellikle domain kullanc hesaplar kullanlr.

92

Blm 3

Windows XP Professional bilgisayarlarnda ya da Windows Server 2003 ye sunucularnda, Local Users and Groups yardmc arac ile yerel kullanclar oluturursunuz. Windows Server 2003 domain controller bilgisayarnda kullanclar Active Directory Users and Computers (ADUC) yardmc arac ile ynetirsiniz.
MCSE: Windows Server 2003 Active Directory ile Sistem Ynetimi (Sybex, 2003) Active Directoryyi detayl olarak kapsamaktadr.

Windows Server 2003 yklediinizde, birka yerleik kullanc hesab varsaylan olarak oluturulur. Oluturulan bu kullanc hesaplarndan en nemli ikisi unlardr:

Administrator hesab, bilgisayar zerinde tam kontrole sahip zel bir hesaptr. Bu hesabn parolasn, Windows Server 2003 kurulumu srasnda verirsiniz. Administrator hesab, kullanc ve grup oluturmak, dosya sistemini ynetmek ve yazdrma ilemlerini ayarlamak gibi tm grevleri yerine getirebilir. Guest hesab; kullanclarn, kendilerine ait bir parola ve kullanc adlar olmasa da bilgisayara eriebilmelerini salayan hesaptr. Bu tip bir kullancnn getirebilecei gvenlik riskleri nedeniyle bu hesap varsaylan olarak etkinletirilmemitir. Bu hesap etkinletirildiinde, Guest kullancsna ok kstl haklar salar.
Varsaylan olarak Administrator hesab bilgisayar zerinde tam yetkiye sahiptir. Administrator heabnn adn deitirip, Administrator adnda herhangi bir yetkiye sahip olmayan bir hesap oluturarak, bilgisayarn gvenlik dzeyini artrabilirsiniz. Bu sayede, bir hacker Administrator olarak sisteme giri yapsa bile herhangi bir sistem kaynana eriim salayamayacaktr.

Microsoft gvenlik riskleri ortaya kabileceinden dolay administrator yetkileriyle sisteme girmemenizi tavsiye eder. Birok virus bilgisayarda Trojan eklinde kendisini gizler. Tipik olarak Windows Server 2003de izinlerin ileyebilmesi iin administrator hesab ile sisteme giri yapmadka herhangi bir zarar vermezler. Bu problemden kurtulmak iin en iyi yol, bir sistem mhendisi olarak gnlk ilerinizi snrl bir hesapla yapmak ve Microsoft tm parolalarn bir byk harf, bir kk ynetimsel olarak grevlerin yerine getirilmesi geharf, bir simge ve bir say iermesini tavsiye eder. rektii durumlarda runas komutuyla administrator rnein; osman yerine 0sm@n kullanabilirsiniz. hesabn kullanmaktr. runas komutu, altrlabilir dosyalar, Control Panel elerini ve Microsoft Management Console (MMC)u administrator yetkilerini tek bir ileme atayacak ekilde altrmanz salar. Tipik olarak runas komutunu, e zerinde sa tklayp, pop-up menden Run As seerek kullanabilirsiniz. Ardndan geerli bir kullanc ve parola girerek, o kullancnn eriim ayarlarnn o dosyaya ya da altrlan ileme uygulanmasn salayabilirsiniz.

Grup Hesaplar
Bir Windows Server 2003 ye sunucu zerinde sadece lokal gruplar kullanabilirsiniz. Bir lokal grup Windows Server 2003 ye sunucusunun lokal veritabanndadr. Active Directorydeki bir Windows Server 2003 domain controller bilgisayarnda security ve distribution gruplarna sahip olabilirsiniz. Bir security grubu belirli kaynaklara erime ihtiyac olan kullanclarn mantksal bir grubudur. Security gruplarn kaynaklara izin atamas yapmak iin kullanabilirsiniz. Bir distribution grup ise ortak karakteristie sahip kullanclardan oluan bir gruptur. Distribution gruplar, uygulamalar tarafndan ve e-posta programlar (rnein Microsoft Exchange) tarafndan kullanlabilir. Distribution gruplar access control liste (ACLs) ve dolaysyla herhangi bir izne sahip deillerdir. Windows Server 2003 domain controllerlar lokal, global ya da universal olmak zere farkl grup scopelar semenize imkan verir. Bu scope tipleri aadaki gibi kullanlr:

Domain local gruplar kaynaklara izin atamak amacyla kullanlr. Lokal gruplar, tree ya da foresttaki herhangi bir domainden kullanc hesaplarn, universal gruplarn ve global gruplarn ierebilir. Bir domain local grup ayn zamanda dier domainlerdeki domain local gruplar da ierebilir.

Security Policylerini Ynetmek

93

Global gruplar benzer network eriim gereksinimlerine sahip kullanclar organize etmek iin kullanlr. Global gruplar lokal domainden kullanclar ve global gruplar barndrabilir. Universal gruplar global catalog (Active Directorydeki tm nesnelerle ilgili kstl bilgileri ierir) ierisinde grntlenir ve global gruplar mantksal olarak organize etmek amacyla kullanlr. Universal gruplar domain tree ya da forestn herhangi bir yerinden kullanclar (tavsiye edilmez), dier universal gruplar ve global gruplar barndrabilir.

Windows XP Professional bilgisayarlarda ve Windows Server 2003 ye sunucularda, Local Users and Groups yardmc aracyla lokal gruplar oluturabilir ve ynetebilirsiniz. Windows Server 2003 domain controllerlarda gruplar Active Directory Users and Computers (ADUC) yardmc aracyla ynetebilirsiniz.

Security Policy Tipleri ve Aralar

Windows Server 2003 gvenlik ayarlarn yerel bilgisayar dzeyinde ya da site, domain ve OU dzeyinde ynetebilmenizi salar. Domain security policyleri local policyleri geersiz klar. Policyleri Group Policy ve uygun objelerle ynetirsiniz:

Local policyleri ynetmek iin, Group Policyyi Local Group Policy Objects (GPOs) ile kullanrsnz. Domain policyleri ynetmek iin, Group Policyyi Active Directory Domain Controller GPOlar ile kullanrsnz.

lk olarak Active Directory group policyleri ile GPOlarnn directory ierisinde farkl seviyelerde nasl uyguland ile balayacaz. Ardndan yerel bilgisayar seviyesinde group policylere gz atacaz.

Active Directoryde Group Policyler

Eer bir Windows Server 2003de Active Directory ykl ise, group policyler Group Policy Objectleri (GPOs) olarak uygulanr. Group policyler aadaki seenekler iin yaplandrma ayarlar ierir: Software: Software policyleri sistem servislerini yaplandrmak iin kullanlr, masastnn grnm ve uygulama ayarlar gibi. Scripts: Scriptler, kullancnn sistem giriinde ya da sistemden knda alacak ekilde yaplandrlabilen zel komutlardr. Security: Security policyleri, Active Directoryde ya da lokal bilgisayarda gvenliin nasl yaplandrlp uygulanacan tanmlar. Application and file deployment: Application and file deployment policyler uygulamalar assign ve publish etmek iin ya da dosyalar kullancnn masa stne, zel bir klasrne (rnein Start Menu klasrne) ya da Favorites klasr iine yerletirmek iin kullanlr. GPOlarn site, domain ve OUlara nasl uygulandna gemeden nce sonraki ksmda greceimiz Active Directory ile ilgili temel prensipleri bilmeye ihtiyacnz olacak.
Active Directory Users and Computers MMC snap-ini ile GPOlar domain ve OU baznda oluturursunuz. Site baznda GPOlar oluturmak iin Active Directory Sites and Services MMC snap-ini kullanlr.

Active Directoryye Hzl Bak

Active Directoryde farkl seviyelerde hiyerarik yaplarnz vardr. Bir tip yap domainleri, organizational unitleri (OU) ve sitelar ierir. Active Directoryde farkl seviyeler de vardr, fakat bu blm GPOlarn kullanm balamnda domain, organizational unit ve sitelara odaklanmtr.

94

Blm 3

Domainler Active Directorydeki ana birim domaindir. Bir domain iinde birok domain nesneleri (kullanclar, gruplar ve GPOlar) vardr. Gvenlik her bir domain nesnesine kimin hangi seviyede eriebileceini belirlemek iin uygulanabilir. Her bir domainin Active Directory verileri bir ya da daha fazla domain controller olarak yaplandrlan Windows 2000 Server veya Server 2003 bilgisayarlarnda tutulur. Eer birden fazla domain controller kullanyorsanz (redundancy ya da farkl fiziksel lokasyonlar iin), Active Directory verilerini veri tabannn tutarll asndan birbirleri arasnda dzenli bir ekilde replike etmeniz gerekir. Domain Functional Level Belirlemek Windows Server 2003 Active Directory, domain ve forest fonksiyonellii olarak tanmlanan yeni bir kavram ortaya koymutur. Bu Windows 2000 Active Directorydeki mixed mode ve native modea benzer bir yaklamdr, bu yzden bu iki mod aslnda domain ve forest fonksiyonelliinin bir parasdr. Microsoft functional level olarak refere ettii bu modlara nc bir functional level olarak Windows Server 2003 functional level eklemitir. Bir Windows Server 2003 domain controller yklerken hangi functional level destekleyeceinizi belirlemeniz gerekir: Windows 2000 mixed, Windows 2000 native, Windows Server 2003. Bir domain controller kurulumu yaparken Windows 2000 mixed domain functional level varsaylan seenektir. Bu functional level Windows NT 4 ve nceki domain modelleri ile geriye dnk uyumluluk asndan tasarlanmtr. Eer ortamda, bir ya da daha fazla domain iin Windows NT domain controllerlar destekleme ihtiyacnz varsa bu domainler iin Windows 2000 mixed domain functional level semeniz gerekir. Bununla birlikte, Windows 2000 mixed domain functional level kullandnz mddete, baz Active Directory zellikleri (universal gruplar, grup nesting) mevcut olmayacaktr. Eer ortamnzdaki domainlerinizden herhangi birinde Windows NT domain controller deil de Windows 2000 domain controllerlar desteklemeniz gerekiyorsa domainleriniz iin Windows 2000 native domain functional level seebilirsiniz. Windows 2000 native domain functional level tm domain controllerlar iin Active Directorynin ou fonksiyonelliini salar fakat Windows NT 4 iin geriye dnk uyumluluk salamaz. Windows 2000 native domain functional levelda Windows NT domain controllerlarn kullanlamayaca anlamna geldiinden bu nemli bir ayrntdr. Ayn zamanda Windows 2000 native domain functional leveldan, Windows 2000 mixed functional levela dnmn mmkn olmadna dikkat edin. Windows 2000 native domain functional level, Windows Server 2003n destekledii Active Directorynin tm fonksiyonelliini salamaz, bu yzden eer Active Directorynin baz yeni zelliklerini kullanmak istiyorsanz domain controllerlarnz upgrade etmeyi dnmeniz gerekir. Eer sadece Windows Server 2003 domain controllerlar altracanzdan eminseniz, Active Directoryyi Windows Server 2003 domain functional levelda ykleyebilirsiniz. Bu functional level, Tablo 3.1de grld gibi Active Directorynin tm fonksiyonelliini destekler. Tablo 3.1: Domain Functional Levellarn Karlatrmas
Domain Functional zellii Domain controllerlarn isimlerini deitirebilmek Logon Timestamp gncelletirmek Kerberos KDC key versiyon numaralar InetOrgPerson nesneleri iin password kullanlabilirlii NT gruplar domain local ve global gruplara dntrmek Windows 2000 Mixed Etkin deil Etkin deil Etkin deil Etkin deil Etkin deil Windows 2000 Native Etkin deil Etkin deil Etkin deil Etkin deil Etkin deil Windows Server 2003 Etkin Etkin Etkin Etkin Etkin

Security Policylerini Ynetmek

95

Tablo 3.1: Domain Functional Levellarn Karlatrmas (devam)

Domain Functional zellii SID gemii Windows 2000 Mixed Etkin deil Distribution gruplar iin etkin, security gruplar iin etkin deil (domain local security gruplar hala global gruplar ye olarak alabilir) Distribution gruplar iin etkin, security gruplar iin etkin deil Windows 2000 Native Etkin Windows Server 2003 Etkin

Grup nesting

Etkin

Etkin

Universal gruplar

Etkin

Etkin

Domain functional levellara ek olarak, Windows Server 2003 forest fonksiyonelliini de ierir. Forest fonksiyonellii bir foresttaki tm domainlere uygulanr. ki forest functional level vardr: Windows 2000 ve Windows 2003. Windows 2000 forest functional level varsaylan seimdir ve Windows NT 4, Windows 2000 ve Windows Server 2003 domain controllerlarn destekler. Windows Server 2003 yeni forest functional leveln tm zellikleri sadece Windows Server 2003 tarafndan desteklenir. Bu yeni zellikler yledir: Global catalog replikasyon iyiletirmesi: Bir sistem yneticisi global cataloga yeni bir nitelik eklediinde, deiiklikler sadece forest iindeki dier global cataloglar arasnda replike edilir. Bu replikasyon tarafndan oluturulan trafik miktarn nemli bir ekilde drebilir. Geersiz schema class ve attributeler: Active Directory schema zerinden classlar kalc olarak kaldramazsnz fakat bu classlar geersiz olarak iaretleyebilirsiniz ve bu ekilde kullanlamaz olurlar. Forest functional level Windows Server 2003e ykseltildiinde defunct schema attributelarn yeniden tanmlayp schemada yeni bir rol almasn salayabilirsiniz. Forest trust: nceden sistem yneticileri iin farkl forestlardaki kaynaklara izin vermek amacyla kullanlabilecek kolay bir yol yoktu. Windows Server 2003 bu sorunlar, farkl Active Directory forestlar arasnda gven ilikileri (trust relationships) salayarak zer. Forest trustlar, iki forest arasndaki tm domainlere geniletilebilir olmas dnda domain trustlar gibi alr. Tm forest trustlarn geisiz (intransitive) olduunu unutmayn. Linked value replication: Windows Server 2003 linked value replication adnda yeni bir kavram ortaya karmtr. Windows 2000de bir grubun yelerinden birinde deiiklik olduysa, replikasyon ileminde tm grup replike edilirdi. Linked value replication ile sadece deitirilen kullanc kayd replike edilir. Bu zellik replikasyonla ilikili network trafiini nemli lde azaltr. Domainlerin yeniden adlandrlmas: Active Directory domain yaps esnek olarak tasarlanmasna ramen baz kstlamalar da sz konusudur. Birleme, irket ynetiminin ya da irket organizasyonun yeninden yaplandrlmas ve dier i ile ilgili deiikliklerden dolay domain isimlerini deitirmeye ihtiya duyabilirsiniz. u anda herhangi bir domainin NetBIOS ve DNS isimlerini deitirebildiiniz gibi, forest ierisindeki pozisyonunu da yeniden belirleyebilirsiniz. Bu ilemin sadece rename komutunun girilmesi kadar basit bir ilem olmadn unutmayn. Bunun yerine operasyonun baarl bir ekilde sonulanmasndan emin olmak iin takip etmeniz gereken spesifik ilemler vardr. Microsoft prosedrleri uygun bir ekilde takip ettiinizde domainlerin yeniden adlandrlmasn destekler. Dier zellikler: Burada listelenen Windows Server 2003 forest functional zelliklerine ek olarak Windows Server 2003 ayn zamanda gelitirilmi replikasyon algoritmalarn ve dinamik yardmc/destek classlar destekler.

96

Blm 3

Organizational Unitler Bir domain iinde organizational unitleri (OUs) kullanarak domain objelerini alt blmlere ayrabilir ve organize edebilirsiniz. Bu Windows NT domainleri ile Windows 2000 ve 2003 domainleri arasndaki en temel farklardan birisidir: NT domainleri bilgileri hiyerarik olarak tutamazd. Windows 2003 domainleri OUlar ile birlikte objeleri tipik olarak fonksiyonlarna ya da corafi dalmlarna gre hiyerarik olarak barndrmanz salar. rnein altnz irketin adnn ABCCORP olduunu varsayalm. irketiniz New York, San Jose ve Belfastta yer alyor. ABCCORP.COM adnda bir domain ve iinde NY, SJ ve Belfast adnda OUlar oluturabilirsiniz. Byk organizasyonlarda OUlar fonksiyonlarna gre organize edebilirsiniz. rnein, ABCCORP.COM adndaki domaininiz iinde SALES, ACCT ve TECHSUPP adnda OUlar oluturabilirsiniz. Organizasyonunuzun boyutlarna ve gvenlik ihtiyalarna bal olarak i ie OUlarnz olabilir. Dier OUlar iinde barndran OUlara parent ve parent OUlarn iindeki OUlara da children ad verilir. i ie OUlar arasndaki iliki parent-child ilikisi olarak adlandrlr. Genel bir kural olarak Active Directory yapnz mmkn olduunca basit tutmak isteyeceksiniz. Sitelar Domain ve OUlar mantksal olarak network kaynaklarnn gruplanmas olarak dnlebilir. nceki rnekte, OUlar nceliklerinize ya da networkn gereksinimlerine gre lokasyonlara ya da departmanlara gre organize etmenin anlaml olabileceini grdnz. Buna kar siteler Active Directoryyi farkl fiziksel lokasyonlara ayrr. Siteler ncelikli olarak replikasyon amacyla kullanlr. Ayn directoryyi paylaan iki ayr fiziksel lokasyonunuz olduunda neler olabileceini dnn. Belirli peryotta replikasyon yaplmad durumda iki farkl directory tutarsz olarak ie yaramaz hale gelebilir. Bununla birlikte, eer her bir lokasyonda site oluturduunuz takdirde, tutarl bir veri taban iin dzenli bir replikasyonu planlayabilirsiniz.

Ynetimsel Kontrollerin Delegasyonu

OUlar, domain iinde izinlerin ve Group Policylerin atanabilecei en kk bileendir. Spesifik olarak ynetimsel kontrollerin OUlar zerine nasl ayarlanabileceine bakalm. Delegasyon fikri yksek gvenlik yetkisine sahip bir otoritenin yetkilerini bakalarna verebilmesi anlamna gelir. Gerek dnya rnei olarak, byk bir organizasyonun IT mdr olduunuzu varsayn. Tm ileri kendi banza yapmak yerine, baz grev ve sorumluluklar dierlerine atamak isteyebilirsiniz. rnein, bir sistem yneticisini Sales domainindeki, bir dierini Engineering domainindeki tm operasyonlardan sorumlu yapabilirsiniz. Benzer olarak, organizasyondaki tm yazc ve yazc kuyruklarnn ynetimi yetkisini bir kiiye atarken, dier bir kiiye kullanc ve gruplarla ilgili tm izinlerin ynetimi yetkisini atayabilirsiniz. Bylece, IT personelinin farkl grev ve sorumluluklar organizasyon boyunca datlabilir. Grevler irketin networkn ayakta tutmak iin gerekli tm i glerini blmlendirir. Network iletim sistemleri ou zaman doru izinlerin atanmasn zorlatrr. ou zaman sadece doru izinlerin atandndan emin olmak karmak bir ilem gerektirebilir. Sistem yneticilerine ve kullanclara kendi ilerini yapabilmeleri iin yetecek olan minimum izinleri vermek genel bir pratik kuraldr. Kaza ile ya da kasten ya da bunlarn dnda istenmeyen deiikliklerin olmamasn garantiye alr. Active Directory dnyasnda delegasyon ilemi, sistem yneticilerine OUlar iin izin delegasyonu tanmlama amacyla kullanlr. Delegasyon uygulamay dnrken unutmamanz gereken iki ana nokta vardr: Parent-child ilikisi ve inheritance ayarlar. Parent-Child likileri Gvenlik izinlerinin bakm ve korunabilirliini gz nnde bulundururken oluturduunuz OU hiyerarisi ok nemli olacaktr. Daha nceden bahsettiimiz gibi OUlarda parent-child ilikileri olabilir. Yetkileri delege edeceiniz zaman bu nokta ok nemlidir. Child OUlar, parent OUlar ze-

Security Policylerini Ynetmek

97

rinde atanm yetkileri otomatik olarak almasn salayacak ekilde yaplandrabilirsiniz. rnein, organizasyonunuzun Kuzey Amerika blm 12 adet child OU barndrmakta. Gvenlik yetkilerini Kuzey Amerika blm zerine yerletirerek tm bu OUlar iin Kontrol OU iindeki bir obje seyetkileri delege edebilirsiniz. Bu zellik, zellikle byk organizasviyesinde deil, sadece OU seviyonlarda ynetimi olduka kolaylatrr, fakat bu ayn zamanda bir yesinde delege edebilirsiniz. domain iinde OU yapsn dzgn bir ekilde planlamann nemini gstermektedir. Inheritance Ayarlar imdiye kadar parent-child ilikilerinin ynetimsel anlamda nasl yararl olabileceini grdnz. zinlerin inherit edilmesi ilemini dikkate almanz gerekir. Mantksal olarak bu ilem inheritance olarak bilinir. zinler parent zerinde ayarlandnda, tm child objeleri ayn izinleri inherit edecek ekilde yaplandrlrlar. Gereken durumlarda child objelerin parenttan izinleri inherit etme ilemi iptal edilebilir.

Group Policy Uygulamalar

Windows iletim sistemlerinin en gl zelliklerinden birisi, kullanclara nemli derecede g ve esneklik sunmasdr. Yeni bir yazlm yklemekten, aygt srcleri eklemeye kadar kullanclar kendi i istasyonlarnn konfigurasyonunda birok deiiklik yapabilme yeteneine sahiptir. Bu dzey bir esneklik ayn zamanda potansiyel bir problemdir. Deneyimsiz kullanclar, istemeden ayarlar deitirebilir ve bu da dzeltilmesi iin saatler gerektirecek problemlemlere yol aabilir. Birok durumda (zellikle i ortamnda) kullanclar iletim sisteminin salad fonksiyonelliin sadece bir ksmna ihtiya duyarlar. nceleri, gvenlik ve policy ayarlarnn yenetimi ve uygulamalar ile ilgili zorluk security policylerinin ihmal edilmesine yol amaktayd. Bunun baz teknik nedenleri vard gvenlik kstlamalarn uygulamak ve ynetmek olduka zor ve can skc olabiliyordu. Dier problemler politik nedenlerdi kullanc ve yneticiler lokal bilgisayarlarnda btn izinlere sahip olmalar gerektiini aksi durumun potansiyel problemlere neden olabileceini dnrler. Windows Server 2003 platformlar (spesifik olarak Active Directory) iin esas tasarm amac ynetilebilirlikti. letim sisteminin sunduu geni zellik ve fonksiyonellik olduka faydal olmasna ramen, baz fonksiyonlarn bloke edilebilmesi ok nemlidir. Bu noktada group policy fikri ortaya kt. Basit bir ekilde tanmlanabilen group policyler Active Directory ierisinde bir objeye atanabilen izinlerin bir koleksiyonudur. Spesifik olarak group policy ayarlar site, domain ve OUlara atanabilir ve kullanc hesaplarna, bilgisayar hesaplarna ve gruplara uygulanabilir. Bir sistem yneticisinin group policy kullanarak yapabilecei ayarlara u rnekler verilebilir:

Start menuye eriimi kstlamak. Control Panel kullanmna engel olmak. Grnt ve masast ayar seeneklerini snrlandrmak.

Group Policy Objeleri ve Active Directory

GPOlar Active Directoryde tm domain controllerlarda varsaylan olarak \systemroot\Sysvol klasrnde bulunur. Her bir root klasrn altnda group policy hakknda bilgiler ieren Gpt. ini adnda bir policy dosyas vardr. Active Directoryde GPOlar olutururken spesifik bir inheritance sras vardr (Bu Active Directorynin hiyerarik yaps ierisinde policylerin nasl uygulanaca anlamna gelir). Bir kullanc bir Active Directory domaininde log on olduunda, GPOlarn Active Directory hiyerarik yaps iinde uyguland yerlere bal olarak, uygulamalarn sras aadaki gibidir:

98

Blm 3

1. Local Computer Policy 2. Site (domain gruplar) 3. Domain 4. OU Ayarlar arasnda herhangi bir akma varsa, site policy, local policy ayarlarn ezer. Sonrasnda, domain policyler uygulanr. Eer domain policy ek ayarlar ieriyorsa, bu ayarlar yaplandrmaya uygulanr. Daha sonra, OU policyleri uygulanr. Yine ek ayarlar uygulanacaktr. Ayarlar arasnda herhangi bir akma olursa, OU policy, domain policy ayarlarn yok sayar. Son olarak, kullanc ve bilgisayar ayarlar arasnda akma varsa kullanc ayarlar uygulanr. Aadaki seenekler GPOlarn varsaylan uygulanma yaklamn deitirmek iin kullanlr: No Override: No Override seenei, child konteynerlerin daha st seviyedeki GPOlerinin policy ayarlarn ezememesi iin kullanlr. Bu durumda No Overrides seeneinin her seviyede seilmi olduunu varsayarsak ncelik sras u ekilde olacaktr: Site ayarlar domain ayarlarn yok sayar, domain ayarlar OU ayarlarn ezer. No Override seeneini, hiyeraride alt seviye sistem yneticilerinin sizin ayarlarnz ezmesine izin vermeden Hem snav iin hem de gerek dnyada tm irket kapsamnda policyleri uygulamak istediinizde sorun zmek iin GPOlar iin policylerin kullanabilirsiniz. Bu seenek ihtiya duyulduunda konteyuygulanma srasn anlamak nemlidir. ner baznda ayarlanabilir. Block Inheritance: Block Inheritance seenei child konteynerin, parent konteynerden uygulanan GPOyu bloklamas iin kullanlr. Bu seenei, eer child konteynerin GPO ayarlarn parent konteynerlerden inherit etmesini engellemek ve sadece sizin o konteyner iin ayarladnz GPOlarn uygulanmasn istediiniz durumda kullanabilirsiniz. Eer No Override ve Block Inheritance ayarlar arasnda akma varsa No Override seenei uygulanr.

Farkl Network stemcileri in Policyler Uygulamak

Eer networknz sadece Windows Server 2003 ve 2000 Server bilgisayarlarndan oluuyorsa, bilgisayarlarnzn yaplandrma ayarlarn ynetmek iin GPOlar kullanabilirsiniz. Geriye dnk uyumluluk asndan NT 4 Windows Server 2003te desteklenmektedir. Eer domaininizdeki NT 4 kullanclar iin yaplandrma ayarlarn ynetmek istiyorsanz, System Policy Editor adndaki poledit yardmc aracyla yaplandrlabilen NT System Policy dosyalarn kullanabilirsiniz. Varsaylan olarak, Group Policy ayarlarn Registryye uygulamak iin Windows Server 2003 tarafndan kullanlan ynetimsel ablonlar aadaki gibidir:

System.adm Inetres.adm Winnt.adm Windows.adm Common.adm

Her bir ablonun fonksiyonu Tablo 3.2de tanmlanmtr. Tablo 3.2: Ynetimsel ablonlarn (Administrative Templates) Tanmlar
Ynetimsel ablon Aklama Windows 2000 ve daha st istemciler tarafndan kullanlan ablon. Windows 2000 ve daha st istemciler iin Internet Explorer (IE) ayarlarn yaplandrmak amacyla kullanlan ablon.

System.adm Inetres.adm

Security Policylerini Ynetmek

99

Tablo 3.2: Ynetimsel ablonlarn (Administrative Templates) Tanmlar (devam)

Ynetimsel ablon Aklama Windows NT istemcileri tarafndan kullanlan kullanc arayz seenekleri. Seenekleri Windows NT istemcileri iin yaplandrmak iin System Policy Editor (Poledit.exe) kullann. Windows 95/98 istemcileri tarafndan kullanlan kullanc arayz seenekleri. Seenekleri Windows 95/98 istemcileri iin yaplandrmak iin System Policy Editor (Poledit.exe) kullann. Windows NT 4 ve Windows 95/98 istemcileri iin ortak olan kullanc arayz seenekleri.

Winnt.adm Windows.adm Common.adm

Local Computer Policylerini Ynetmek

Local computer policylerini, MMCye Group Policy snap-inini ekleyerek ynetebilirsiniz. Snap-in eklediinizde Local Computer Policy adnda bir seenek greceksiniz. Burada local computer policyleri yaplandrabilmek iin birok seenek vardr. ekil 3.1 Password Policy seeneklerini gsterir.

ekil 3.1: Local computer policyleri.

Local Computer Policy iin en yaygn olarak yaplandrabileceiniz seenekler sonraki ksmda tanmlanmtr. Hiyerari ierisinde belirli policy ayarlarnn nerede bulunabileceini daha iyi anlamak iin bu resme geri dnmek isteyebilirsiniz. Policy ynetim grevlerinizi idare etmek iin Local Computer Policy snap-inini Microsoft Management Consolea (MMC) ekleyebilirsiniz. Bir domain controller zerinde domain policylerine Start > Administrative Tools > Domain Security Policy yoluyla ulaabilirsiniz. Altrma 3.1de Local Computer Policy ve Event Viewer snap-inlerini ye sunucunuza ekleyeceksiniz. Altrma 3.1: Gvenlik Ayarlar iin Ynetim Konsolu Oluturmak 1. Start > Run seip, Run diyalog kutusunda MMC yazn ve OK butonuna basarak MMCyi an. 2. Ana mende File > Add/Remove Snap-In sein 3. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. 4. Group Policy Object Editor seeneini seerek Add butonuna tklayn. 5. Varsaylan olarak Group Policy Object, Local Computer tanmlar. Finish butonuna tklayn. 6. Event Viewer seeneini seip Add butonuna tklayn.
Bu blmdeki Altrma 3.7 dndaki tm altrmalar bir ye sunucuda yaplmaldr.

100

Blm 3

7. Select Computer diyalog kutusu varsaylan olarak Local Computer seili olarak grntlenir. Finish butonuna tklayn, ardndan Close butonuna tklayn. 8. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 9. File > Save As sein. Konsolu Security adyla src:\Documents and Settings\All Users\Start Menu\Programs\Administrative Tools klasrne Save butonuna tklayarak kaydedin.
Ayn zamanda Local Computer Policy ayarlarn Gpedit.msc komut satr yardmc arac ile de dzenleyebilirsiniz. Bu yardmc arac kullanmak iin, Start > Run komutunu verin ve Run diyalog kutusunda Gpedit.msc yazp OK butonuna tklayn.

Artk bu konsola Start > Administrative Tools > Security komutuyla ulaabilirsiniz.

Gvenlik Ayarlarn Yaplandrmak

Gvenlik ayarlarn Computer Configuration > Windows Settings > Security Settings araclyla yaplandrabilirsiniz. Windows Settings iin yaplandrabileceiniz ana seenek vardr.

Account policyler Local policyler Public key policyler

Account Policyleri Kullanmak

Account policyler, logon ilemi ile ilgili kullanc hesab zelliklerini tanmlamak amacyla kullanlr. Bunlar sizin bir domain iinde parolalar, account lockout tanmlamalar ve Kerberos authentication gibi bilgisayarn gvenlik ayarlarn yaplandrmanz salar. Group Policy iin MMC snap-ini ykledikten sonra Local Computer Policy iin bir seenek greceksiniz. Account Policy alt klasrne erimek iin, Local Computer Policy, Computer Configuration, Windows Settings, Security Settings ve Account Policy yolunu takip edin. Eer bir Windows Server 2003 ye sunucu zerinde alyorsanz iki klasr greceksiniz: Password Policy ve Account Lockout Policy. Eer bir domain controller olarak yaplandrlm bir Windows Server 2003 zerinde alyorsanz klasr greceksiniz: Password Policy, Account Lockout Policy ve Kerberos Policy. ye sunucular ve domain controllerlar iin kullanlabilir olan account policyleri sonraki ksmda tanmlanmtr. Password Policylerini Ayarlamak Password policyleri gvenlik gereksinimlerinin bilgisayarda zorunlu klnmasn salar. Unutulmamas gereken nemli bir nokta Password policylerinin bilgisayarlara uyguland ve spesifik kullanclar iin yaplandrlamayacadr. Windows Server 2003 ye sunucular zerinde tanmlanan password policyleri Tablo 3.3de tanmlanmtr. Tablo 3.3: Password Policy Seenekleri
Policy Enforce Password Policy Maximum Password Age Aklama Kullancnn password gemiini izler. Kullancnn passwordnn en fazla ka gn geerli olabileceini tanmlar. Passwordn deitirilebilmesi iin gemesi gereken sre. Varsaylan deer 3 password anmsa Minimum 0 Maksimum 24 password anmsa Password 999 gn iin geerli say

Password 42 gn iin tut geerli say

Password 1 gn iin geerli say

Minimum Password Age

0 gn (password hemen deitirilebilir)

Varsaylan deerle ayn

999 gn

Security Policylerini Ynetmek

101

Tablo 3.3: Password Policy Seenekleri (devam)

Policy Minimum Password Length Password Must Meet Complexity Requirements Store Password Using Reversible Encryption For All Users In The Domain Aklama Passwordn iermesi gereken minimum karakter saysn belirler. Password filtreleme kurmanz salar. Kullanc parolasna kimlik dorulama sebebi ile ihtiya duyan uygulama ve protokoller iin gvensiz bir depolama yntemi salar. Varsaylan deer 0 karakter (password zorunlu deildir) Minimum Varsaylan deerle ayn Maksimum 14 karakter

Etkin deil

Varsaylan deerle ayn

Etkin

Etkin deil

Varsaylan deerle ayn

Etkin

Password policyler aadaki ekilde kullanlr:

Enforce Password History seenei: Kullanclarn ayn passwordleri tekrar kullanamamalarn salamak amacyla kullanlr. Kullanclar passwordlerinin sresi dolduunda ya da deitirdiklerinde yeni bir password oluturmak zorundadr. Maximum Password Age seenei: Kullanclar belirlenen bir gn sonunda passwordlerini deitirmeye zorlar. Minimum Password Age seenei: Kullanclarn, kendi passwordlerini Enforce Password History policy kullanm amacn boa karacak ekilde srekli deitirebilmelerini engeller. Minimum Password Length seenei: Kullanclarn belirli bir uzunluk gereksinimini karlayacak ekilde parola oluturmalarn zorlamak amacyla kullanlr. Bu seenek seili deilse kullanclar password oluturmak zorunda kalmazlar. Password Must Meet Complexity seenei: Kullanclarn yaygn kullanlan szckleri parola olarak kullanabilmelerini engeller. Store Password Using Reversible Encryption For All Users In The Domain seenei: Baz uygulama ve protokoller varsaylan parola depolama yntemi ile almaz. Bu policy, kullanc parolasna kimlik dorulama sebebi ile ihtiya duyan uygulama ve protokoller iin gvensiz bir depolama yntemi salar. Bu yntem parolalarn korunmasn riske sokaca iin gerekmedike tavsiye edilmez

Altrma 3.2de bilgisayarnz iin password policylerini yaplandracaksnz. Bu ve bu blmn kalan altrmalar iin Altrma 3.1i tamamlayp gvenlik ynetim konsolunu oluturduunuz varsaylyor. Altrma 3.2: Password Policylerini Ayarlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-ini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Account Policies, Password Policy eklinde an. 3. Enforce Password History policyyi an. Effective Policy Setting alann be password anmsanacak ekilde tanmlayn. OK butonuna tklayn. 4. Maximum Password Age policyyi an. Local Policy Setting alannda passwordn 60 gn iinde geerliliini kaybedeceini belirleyin. 5. Start > Command Prompt sein, komut satrnda gpupdate yazp Enter tuuna basn. 6. Komut satrnda exit yazp Enter tuuna basn.

102

Blm 3

Gerek Dnya Senaryosu Group Policylerinizi Gncellemek

Byk bir networkn sistem yneticisisiniz. ye sunucunuzun local computer policylerinde deiiklikler yaptnz ve bunlardan hibirinin uygulanmadn fark ettiniz. 30 dakikadan daha fazla bekliyorsunuz ve deiiklikler hala ortada yok. Bu noktada baz eyleri yanl bir ekilde dzenlediinizi dnmeye balyorsunuz. Group policyleri dzenlediiniz halde hala yaptnz deiikliklerin gereklememesinin nedeni group policiylerin varsaylan olarak bilgisayarlara sadece her 90 dakikada bir uygulanmasdr. Policylerinizin gncelletirilmesini zorlamak iin komut satrnda gpupdate komutunu kullann. Account Lockout Policyleri Ayarlamak Account lockout policyler ka adet geersiz logon giriimine izin verileceini belirlemek amacyla kullanlr. Account lockout policylerini, y dakika ierisinde x kadar baarsz logon giriiminden sonra hesabn belirli bir zaman iin ya da sistem yneticisi zene kadar kilitli kalmasn salayacak ekilde yaplandrabilirsiniz. Account lockout policyleri Tablo 3.4teki gibi tanmlanmtr. Tablo 3.4: Account Lockout Policy Seenekleri
Policy Tanm Hesabn kilitlenmesinden nce ka adet geersiz logon ilemine izin verileceini belirler. Account Lockout Threshold aldysa hesabn ne kadar bir sre iin kilitli kalacan belirler. Sayacn baarsz logon giriimlerini ne kadar zaman iin hatrlayacan belirler. Varsaylan deer Minimum Maksimum nerilen

Account Lockout Threshold

0 (etkin deil, hesap kilitlenmeyecek)

Varsaylan deerle ayn

999 deneme

5 deneme

Account Lockout Duration

0 (fakat Acount Lockout Threshold etkin ise 30 dakika)

Varsaylan deerle ayn

99,999 dakika

5 dakika

Reset Account Lockout Counter After

0 (fakat Account Lockout Threshold etkin ise 30 dakika)

Varsaylan deerle ayn

99,9999 dakika

5 dakika

Account lockout policyleri bankalarn ATM eriim kodu gvenliini salamak iin kullandklar sisteme benzer. Doru eriim kodunu girmek iin belirli bir deneme ansnz vardr. Bu sayede, birisi kartnz aldnda alan kii dorusunu bulana kadar eriim kodunu tahmin etme giriimine devam edemeyecektir. Tipik olarak baarsz giriimden sonra ATM makinesi kart alr. Ardndan bankadan yeni bir kart iin istekte bulunmanz gerekir. Account lockout policyleri de ayn ekilde alr.

Altrma 3.3de, account lockout policylerini yaplandracak ve etkilerini test edeceksiniz. Bu ve kalan altrmalarda policyleri yaplandrmak iin bozulmas durumunda silinebilecek Administrator hesabndan baka en az iki adet Kullanc hesaplarn oluturmak ve ynetmek bu kitabn kapsam dnda olan bir konudur. Daha fazla bilgi iin MCSA/MCSE: Windows kullanc hesabnzn olduu varsaylServer 2003 letim Sistemine Genel Bak (70-290) kitabna bakn. yor. Altrma 3.3: Account Lockout Policylerini Ayarlamak 1. Start > Administrative Tools > Securtyi sein ve Local Computer Security snap-inini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Account Policies, Account Lockout Policy eklinde an.

Security Policylerini Ynetmek

103

3. Account Lockout Threshold Policyyi an. Local Policy Setting alannda, hesabn baarsz logon giriimi sonrasnda kilitleneceini belirleyin. OK butonuna tklayn. 4. Suggested Value Changes diyalog kutusu grntlenir. OK butonuna tklayarak Account Lockout Duration ve Reset Account Lockout Counterlarnn varsaylan deerlerini kabul edin. 5. Administrator hesabnzdan log off olun. Administrator dndaki herhangi bir hesaptan hatal parola ile kez logon olmay deneyin. 6. Hesabn kilitlendiini belirten hata mesajn grdkten sonra Administrator olarak logon olun. 7. Kullancnn hesabn unlock etmek iin, MMCda Local Users and Groups snap-inini an, Users klasrn geniletin ve kilitlenen kullanc zerinde ift tklayn. Properties diyalog kutusunun Account sekmesindeki Account Is Locked Out onay kutusunu temizleyin. Ardndan OK butonuna tklayn. Kerberos Policylerini Ayarlamak Kerberos policyleri Kerberos kimlik dorulama ayarlar iin kullanlr. Kerberos version 5, Windows Server 2003de kullanc ve network servislerinin kimliklerini dorulamak iin kullanlr. Bu ayn zamanda dual verification ya da mutual authentication olarak da adlandrlr. Bir Windows Server 2003 bilgisayar bir domain controller olarak yklendiinde, otomatik olarak key distribution center (KDC) ekline dnr. KDC kullanclarn parolarn ve hesap bilgilerini tutmak ile sorumludur. Kerberos servisleri ayn zamanda her bir Windows Server 2003 istemci ve sunucularna yklenir. Kerberos kimlik dorulama aadaki admlar gerektirir. 1. stemci KDCden parola ya da smart card kullanarak kimlik dorulama talebinde bulunur. 2. KDC istemciye bir ticket-granting ticket (TGT) yaynlar. stemci TGTi kullanarak ticket-granting servicee (TGS) eriebilir. Bu servis kullancnn domain iindeki servislere kimlik dorulamasn gerekletirmesini salar. TGS istemcilere service ticketlar yaynlar. 3. stemci istekte bulunan network servisine ticket sunar. Bu service ticket mutual authentication iin, kullancnn servise ve ayn zamanda servisin kullancya kimliklerinin dorulamasn salar. Kerberos policyleri Tablo 3.5deki tanmlanmtr. Tablo 3.5: Kerberos Policy Seenekleri
Policy Enforce User Logon Restrictions Maximum Lifetime For Service Ticket Maximum Lifetime For User Ticket Maximum Lifetime For User Ticket Renewal Maximum Tolerance For Computer Clock Synchronization Aklama Zorlanacak logon kstlamalarnn belirler. Servisin yenilenmeden nceki maksimum yaam sresini belirler. Bir ticketn yenilenmeden nceki maksimum yaam sresini belirler. Bir ticketn yeniden oluturulmadan nce en fazla ka kez yenilenebileceini belirler. stemci ve KDC arasndaki maksimum saat senkronizasyonunu belirler. Default Local Setting Tanml deil Tanml deil Effective Setting Etkin 600 dakika

Tanml deil

10 saat

Tanml deil

7 gn

Tanml deil

5 dakika

Local Policyleri Kullanmak

nceki ksmda rendiiniz gibi, account policyler logon ilemlerini kontrol etmek amacyla kullanlr. Bir kullancnn logon olduktan sonra o kullancnn neler yapabileceini kontrol etmek

104

Blm 3

istediinizde local policyleri kullanrsnz. Local policyler ile denetleme, kullanc haklarn ve gvenlik seeneklerini belirleme ilemlerini uygulayabilirsiniz. Local policyleri kullanmak iin ilk olarak MMCye Local Computer Policy snap-inini ekleyin (Bakn Altrma 3.1). Ardndan, MMCda Local Policy klasrlerine erimek iin u yolu takip edin: Local Computer Policy, Computer Configuration, Windows Settings, Security Settings, Local Policies. Local Policies altnda klasr vardr: Audit Policy, User Right Assignment ve Security Options. Bu policyler sonraki aadaki ksmlarda aklanmtr. Audit Policyleri Ayarlamak Audit policyler kullanc ynetimiyle ilgili olaylarn izlenmesi amacyla kullanlr. Bir takm olaylar izleyerek, rnein kullanc oluturma, baarl ya da baarsz logon giriimleri gibi spesifik grevlerle ilgili bir gemi oluturabilirsiniz. Ayn zamanda bir eit gvenlik ihlali olarak tanmlanabilecek kullanclarn eriim yetkisi olmayan sistem ynetim grevlerine erime giriimlerini tespit edebilirsiniz. Bir audit policy tanmlayarak, spesifik olaylarn baarl ya da baarsz olma durumlarn izlemeyi seebilirsiniz. Bir olayn baarl olmas (success) grevin baarl bir ekilde tamamlanm olduu anlamna gelir. Bir olayn baarsz olmas (failure) grevin baarl bir ekilde tamamlanmam olduu anlamna gelir. Varsaylan olarak, izleme etkin deildir ve manuel olarak yaplandrlmaldr. zlemeyi yaplandrdnzda, izleme ileminin sonularn Event Viewer yardmc arac ile grebilirsiniz. Audit policyleri Tablo 3.6da tanmlanmtr. Tablo 3.6: Audit Policy Seenekleri
Policy Audit Account Logon Events Audit Account Management Audit Directory Service Access Audit Logon Events Audit Object Access Audit Policy Change Audit Privilege Use Audit Process Tracking Audit System Events Aklama Bir kullancnn logon, log off olma ya da bir network balants yapma ilemlerini izler. Kullanc ve grup hesaplarnn oluturulma, silinme ve ynetim ilemlerini izler. Dizin servisi eriimlerini izler Bir logon scriptinin almas ya da bir romaing profilea eriim gibi logon ilemiyle ilgili olaylar izler. Dosya, klasr ya da yazclara eriimi izler. Audit policydeki deiiklikleri izler. Bir kullancnn kendisine verilen haklar ile yapt ilemleri izler. Bir programn aktive edilmesi, bir objeye eriim ve bir srecin sonlanmas gibi olaylarn izlenmesi. Bilgisayarn kapatlmas ya da yeniden balatlmas gibi sistem olaylar ve Event Viewerdaki security loglarn izler.

Birok olay izlemek yksek ilem gc gerektirdiinden dolay sistem performansn drebilir. zleme ayn zamanda log dosyalar iin byk bir disk alann kullanabilir. Bu yardmc arac mantkl bir ekilde kullanmalsnz.

Altrma 3.4te auditing policyleri yaplandracak ve sonularn grntleyeceksiniz.

Altrma 3.4: Audit Policyleri Ayarlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-inini geniletin. 2. Klasrleri: Computer Configuration, Windows Settings, Security Settings, Audit Policy eklinde an. 3. Audit Account Logon Events policyyi an. Local Policy Setting alannda Audit These Attempts altndaki Success ve Failure onay kutularn iaretleyin. OK butonuna tklayn.

Security Policylerini Ynetmek

105

4. Audit Account Management policyyi an. Local Security Setting alannda, Audit These Attempts altnda Success ve Failure onay kutularn iaretleyin. OK butonuna tklayn. 5. Administrator hesabnzdan log off olun. Sistemde var olmayan bir hesap adyla logon olmay deneyin. Bu logon ilemi baarsz olacaktr (nk o kullanc adyla bir hesap yok). 6. Administrator olarak logon olun. MMCyi an ve Event Viewer snap-ini geniletin (Altrma 3.1de eklediiniz ) 7. Event Viewerdan security logunu an. Bu log iinde audit eventlerinin listelendiini grmeniz gerekiyor. User Rights Assignments Kullanc haklar, bir kullanc ya da grubun bilgisayar zerindeki haklarn belirler. Kullanc haklar sisteme uygulanr. Spesifik objelere uygulanan izinlerle ayn deildir. Kullanc haklarna bir rnek olarak Back Up Files And Directories hakk verilebilir. Bu hak kullancnn sistem zerinde yetkisi olmayan dosya ve klasrleri bile yedeklemesine izin verir. Dier kullanc haklar da benzer ekilde kaynak eriimi ile ilgili deil sistem eriimi ile ilgilidir. User rights assignment policyleri Tablo 3.7de tanmlanmtr. Tablo 3.7: User Rights Assignments Policy Seenekleri
Hak Access This Computer From The Network Act As Part Of The Operating System Add Workstation To Domain Adjust Memory Quotas For A Process Aklama Kullancnn bilgisayara network zerinden eriebilmesine izin verir. Alt seviye kimlik dorulama servislerinin herhangi bir kullanc olarak kimlik dorulamalarn salar. Kullancnn domainde bir bilgisayar hesab oluturabilmesine izin verir. Kullancnn bir process tarafndan kullanlabilecek maksimum bellek miktarn deitirebilmesine izin verir. Kullancnn bu bilgisayara interaktif olarak logon olmasna izin verir. Bu Ctrl+Alt+Del tu kombinasyonu ile sisteme logon olabilmek iin gereklidir. Ayn zamanda bir kullanc olarak logon olabilen baz servisler ya da ynetimsel uygulamalar iin gerekli olabilir. Bu policyyi bir kullanc ya da grup iin tanmlarsanz Administrator grubunun da bu yetkiye sahip olduundan emin olmalsnz. Bir kullancnn Terminal Services istemcisi olarak logon olmasna izin verir. Dosya ve klasr izinleri ne ekilde atanm olursa olsun bir kullancnn tm dosya ve klasrleri yedeklemesine izin verir. Bir kullancnn bir klasr ieriini listeleme hakk olmasa bile klasr yaps ierisinde gei yapmasna izin verir. Bir kullancnn bilgisayarn dahili zaman ayarn deitirebilmesine izin verir. Bir kullancnn page dosyasn oluturabilme ya da boyutunu deitirebilmesine izin verir. Bir process eer NtCreateToken API kullanyorsa bir token oluturmasna izin verir. Bir processin Windows Server 2003 Object Manager araclyla bir directory objesi oluturmasna izin verir. Bir kullancnn herhangi bir process ile bir hata ayklama programn ilikilendirmesine izin verir. Bu bilgisayara belirli kullanclarn ya da gruplarn networkten eriebilmelerini yasaklar.

Allow Log On Locally

Allow Log On Through Terminal Services Back Up Files And Directories Bypass Traverse Checking Change The System Time Create A Pagefile Create A Token Object Create Permanent Shared Objects Debug Programs Deny Access To This Computer From The Network

106

Blm 3

Tablo 3.7: User Rights Assignments Policy Seenekleri (devam)

Hak Deny Logon As A Batch Job Deny Logon As A Service Deny Logon Locally Deny Log On Through Terminal Services Enable Computer And User Accounts To Be Trusted For Delegation Force Shutdown From A Remote System Generate Security Audits Increase Scheduling Priority Load And Unload Device Drivers Aklama Spesifik kullanc ya da gruplarn bir batch job olarak sisteme logon olmalarn engeller. Spesifik kullanc ya da gruplarn bir servis olarak logon olmalarn engeller. Spesifik kullanc ve gruplarn bilgisayara lokalden logon olmalarn engeller. Spesifik kullanc ya da gruplarn bilgisayara bir Terminal Service istemcisi olarak logon olmalarn engeller. Bir kullanc ya da grubun, bir kullanc ya da bilgisayar objesi iin Trusted For Delegation ayarlarn yaplandrabilmesine izin verir. Sistemin uzak bir lokasyondaki bir kullanc tarafndan kapatlabilmesine izin verir. Bir kullanc, grup ya da ilemin gvenlik loguna kayt girebilmesine izin verir. Bir ilemin dier bir ilemin nceliini artrp azaltabilmesini belirler. Bir kullancnn dinamik olarak Plug and Play aygt srclerini ykleyip kaldrabilmesine izin verir. Bu kullanc hakk Windows Server 2003de artk kullanlmamaktadr (orjinal olarak verinin page file zerinde deil de fiziksel bellek zerinde tutulmasn zorlamak amacyla kullanlrd) Bir sisteme logon olmasna ve bir ya da birden fazla iletim sistemi komutlar ieren bir dosyay altrabilmesine izin verir. Bir servisin spesifik bir servisi altrmak iin logon olmasna izin verir. Bir kullancnn gvenlik loglarn ynetmesine izin verir. Bir kullanc ya da processin sistem evresel deikenlerini deitirebilmesine izin verir. Bir kullanc ya da grubun bir volume zerinde bakm grevlerini (rnein, remote defragmantation) altrabilmesine izin verir. Bu seenein dosya sistemine eriim saladn ve bunun da bir gvenlik riski olduuna dikkat edin. Bir kullancnn sistem ilemleri dndaki ilemleri, Performance Logs and Alerts gibi yardmc aralar lle izlemesine izin verir. Bir kullancnn Windows Server 2003 kullanc ara yz ile bir laptop undock etmesine izin verir. Bir ilem iin, belirlenen token ile alt processi tarafndan oluturulan varsaylan token deitirmeye izin verir. Bir kullancnn dosya ve klasr izinlerine bakmakszn dosya ve klasrleri geri yklemesine izin verir. Bir kullancnn lokal bir Windows Server 2003 bilgisayarn kapatmasna izin verir. Bir kullancnn bir directory servisi ile ilikilendirilmi verileri senkronize etmesine izin verir. Bir kullancnn sistem objelerinin sahipliini almasna izin verir.

Lock Pages In Memory

Log On As A Batch Job Log On As A Service Manage Auditing And Security Log Modify Firmware Environment Variables

Perform Volume Maintenance Tasks

Profile Single Process Remove Computer From Docking Station Replace A Process Level Token Restore Files And Directories Shut Down The System Synchronize Directory Service Data Take Ownership Of Files Or Other Objects

Altrma 3.5te bir local user rights assignment policy uygulayacaksnz.

Security Policylerini Ynetmek

107

Altrma 3.5: Local User Rights Ayarlar 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-inini geniletin. 2. Klasrleri: Computer Configuration, Windows Settings, Security Settings, Local Policies, User Rights Assignments eklinde geniletin. 3. Log On As A Service kullanc hakkn an. Local Security Policy Settings diyalog kutusu grntlenir. 4. Add User Or Group butonuna tklayn. Select Users Or Groups diyalog kutusu grntlenir. 5. Geerli bir kullanc ad girin ve Add butonuna tklayn. Ardndan OK butonuna tklayn.

Security Options Tanmlamak

Security options, bilgisayarn gvenlik yaplandrmas iin kullanlr. Security options, bir kullanc ya da gruba uygulanan kullanc haklarndan farkl olarak bilgisayara uygulanr. Windows Server 2003 zellikleri sunucunuzu nasl yaplandrdnza bal olarak 70in zerinde potansiyel security seenei sunar. Bir para halinde yaklak 40 seenei barndran nceki versiyonlarndan farkl olarak, Windows Server 2003 security optionlar alt kategoriler halinde organize eder. Security options iin yeni kategoriler Tablo 3.8de tanmlanmtr. Altrma 3.6da, bir ka security options tanmlayacak ve nasl altklarn greceksiniz. Bu altrma iin, bu blmn iindeki tm n altrmalar tamamladnz var saylyor. Tablo 3.8: Security Options Kategorileri
Kategori Accounts Aklama Administrator ve Guest hesaplarnn durumlarn (enable/disable) ve yeniden adlandrlmalarn kontrol eden seenek olduu gibi, lokal hesaplarn sadece lokal log on iin bo parola kullanmn kontrol eder. Gvenlik izlemeleri (auditing) loglanamad durumda sistemin hemen kapatlma seenei de dahil olmak zere izleme ile ilgili gvenlii kontrol seenekleri. karlabilir aygtlar, yazc ve docking stationlar ve imzasz src kurulumu hareketlerini kontrol eden seenek. Domain controllerlar zerinde spesifik gvenlik ayarlar uygulama seenekleri. Saysal imzalar, makine hesap parolalar ve oturum anahtarlar iin seenekler. nteraktif olarak logon olma seenekleri. Bunlar, son kullanc adnn grntlenip grntlenmemesi, Ctrl+Alt+Del tu kombinasyonu gerektirip gerektirmemesi, kullanclar iin log on srasnda zel bir mesajn grntlenip grnlenmemesini ve bir domain controller ulalabilir olmadnda nceki logon ilemlerinden ka adetinin cachee alnaca gibi seeneklerdir. Saysal olarak imzalanm iletiimin ve ifrelenmemi parolalarn yaplandrlmas seenekleri Saysal olarak imzalanm iletiimi, oturum bota kalma zamann, log on saatlerinin sona ermesi durumunda istemcilerinin balantlarnn kesilip kesilmeyeceini belirleyen yaplandrma seenekleri. 10 anonim network eriimi ayarlarn yaplandrma seenekleri. Network gvenliini ayr seviyelerde yaplandrma seenekleri. Recovery Console hareketlerini, floopy eriim ve otomatik administrative log on gibi ilemleri yaplandrma seenekleri. Logon gerektirmeden sistemin kapatlmas ve/veya virtual memory page filen kapatlma srasnda temizlenmesini salayan seenekler. ifreleme, hashleme ve imzalama ile ilgili seenekler.

Audit Devices Domain Controller Domain Member

Interactive Logon

Microsoft Network Client Microsoft Network Server Network Access Network Security Recovery Console Shutdown System Cryptography

108

Blm 3

Tablo 3.8: Security Options Kategorileri (devam)

Kategori System Objects System Settings Aklama Sistem objelerinin davranlarn yaplandrma. rnein Windows olmayan sistemler iin karakter duyarll gerektirip gerektirmedii gibi seenekler. Ek ayarlarn yaplandrmas seenekleri (bunlar deitirmeye ihtiya duymanz pek olas deildir).

Altrma 3.6: Security Options Tanmlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-ininini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options eklinde geniletin: 3. Interactive Logon: Message Text For Users Attempting To Log On policysini an. Local Policy Setting alanna Welcome to all authorized users girin. OK butonuna tklayn. 4. Interactive Logon: Prompt User To Change Password Before Expiration policysini an. Local Policy Setting alann gn olarak belirleyin. OK butonuna tklayn. 5. Start > Command Prompt tklayn. Komut satrnda gpupdate yazp Entera basn. 6. Komut satrnda exit yazp Enter tuuna basn. 7. Administrator hesabnzdan log off olun ve dier bir kullanc ile log on olun. 8. Log off olun ve Adminitrator olarak log on olun.

Public Key Policylerini Kullanmak

Public key policylerini kullanarak bilgisayarlarn sertifika otoritelerine kriptografi ile ilgili kurulum ve public key eriim taleplerinin otomatik olarak iletebilmesini salayan seenekleri ayarlayabilirsiniz.
EFS ok daha detayl olarak MCSA/MCSE: Windows Server 2003 letim Sistemine Genel Bak (70-290) ierisinde ele alnmtr.

Ayn zamanda Encrypting File System (EFS) ile birletirmede kullanlan data recovery agentlar belirlemek amacyla kullanabilirsiniz.

Local Computer System Policyleri

System policyleri Local Computer Policy MMC snap-in iinde Computer Configuration, Administrative Templates, System altndan ulalabilir. System Policies araclyla aadaki policy ayarlarn yaplandrmanz muhtemeldir:

User profile policyleri Logon policyleri Disk quota policyleri Group Policy policyleri Windows file protection policyleri

Policyyi dzenlemek iin, policy adnn zerinde ift tklayn. ou ksmda sadece iki seeneiniz olacaktr: enable ya da disable. Time Out For Dialog Boxes policy gibi bir kanda saysal deerler belirtmeniz gerekir. Fakat policyleri yaplandrmak bundan daha karmak deildir. Bunlarn herbiri ilerleyen blmlerde ele alnacaktr.

Security Policylerini Ynetmek

109

User Profile Policyleri

Windows 2000 Serverda user profile policy ayarlar logon policy ayarlar ile gruplanmtr. Windows Server 2003 bunlar daha temiz bir ynetimsel arayz iin yeni bir kategori altna ayrmtr, User Profiles. Tablo 3.9 sk kullanlan yaplandrma seeneklerini tanmlamaktadr. Tablo 3.9: User Profile Policy Seenekleri
User Profile Policyleri Delete Cached Copies Of Roaming Profiles Aklama Roaming profilen bir lokal kopyasnn lokal bilgisayara kaydedilmemesi gerektiini belirler. Normal olarak, bir roaming profilen bir lokal kopyasn kaydetmeyi istersiniz nk lokal bir kopyay yklemek bir network srcsnden yklemekten daha hzldr. Varsaylan olarak sistem yava balantlar tespit etmeyi deneyecektir ve yava balantlara daha hzl balantlardan farkl bir ekilde yant verecektir. Bu policynin ayarlanmas yava balantlarn tespit edilmesini devre d brakr. Yava network balantlarn belirlemenizi salar. Bir roaming profile kullanlyorsa, lokal olarak cache edilmi profile kopyasnn yerine roaming (network) profilen kopyasnn kullanlacan belirler. Kullanclara yava balantlar bildirir ve kullancya user profilein local cachee alnm kopyasn m yoksa roaming (network) kopyasn m kullanacan sorar. Diyalog kutularnn grntlenmesi iin kullanlan varsaylan timeout deerini yaplandrmanza izin verir. Roaming profile kullanlabilir durumda olmadnda kullancnn log off olmas gerektiini belirler. Eer bu seenei etkin hale getirmezseniz ve bir roaming profile yklenirken hata oluursa, kullanc lokal olarak cachee alnm kopyay ya da varsaylan user profile kullanacaktr. User profile bilgileri iinde bulunan Registrynin paralarn update etmeye alrken update ilemi baarsz olduunda sistemin bunu ka kez deneyeceini belirler.

Do Not Detect Slow Network Connections Slow Network Connection Timeout For User Profiles Wait For Remote User Profile Prompt User When Slow Link Is Detected Timeout For Dialog Boxes

Log Users Off When Roaming Profile Fails

Maximum Retries To Unload And Update User Profile

Logon Policyleri
Logon policyleri logon scriptleri ve user profile eriimleri gibi logon olaylarnn nasl yaplandrlacan belirlemek iin kullanlr. Logon policy seenekleri Tablo 3.10da tanmlanmtr. Tablo 3.10: Logon Policy Seenekleri
Logon Policy Run Logon Scripts Synchronously Aklama Logon scriptlerin Windows Explorer arayz almadan almasn bitirmesi gerektiini belirler. Bu seenei yaplandrmak Desktopn grnmnde bir gecikmeye neden olabilir. Sistemin startup scriptlerini asenkron olarak e zamanl altrmasna izin verir. Aksi halde eer birden fazla startup scriptiniz varsa bir startup scripti nceki scriptin almas bitmeden balayamaz. Startup script komutlarn alrken ekranda grntler. Shutdown script komutlarn alrken ekranda grntler. Scriptlerin ilemini tamamlamadan ve bir hata kayd oluturmadan nce, sistemin scriptler (logon, startup ve shutdown) iin en fazla ne kadar sre bekleyeceini belirler. Bu deer varsaylan olarak 600 saniyedir (10 dakika).

Run Startup Scripts Asynchronously Run Startup Scripts Visible Run Shutdown Scripts Visible Maximum Wait Time For Group Policy Scripts

110

Blm 3

Disk kotalar MCSA/MCSE: Windows Server 2003 letim Sistemine Genel Bak kitabnda da daha detayl olarak ele alnmtr.

Disk Quota Policyleri

Disk quota policyleri bilgisayarn disk kota yaplandrmasnn nasl kullanlacan belirlemede kullanlr. Disk quota policy seenekleri Tablo 3.11de tanmlanmtr.

Tablo 3.11: Disk Quota Seenekleri

Disk Quota Policy Enable Disk Quotas Enforce Disk Quota Limit Default Quota Limit And Warning Level Log Event When Quota Limit Exceeded Log Event When Quota Warning Level Exceeded Apply Policy To Removable Media Aklama Sistemi bilgisayardaki tm NTFS volumeleri iin disk kota ynetimini etkin hale getirmeye zorlar. Eer disk kota yaplandrldysa kotann zorlanacan belirler. Quota ynetimi iin varsaylan kota snrn ve kullanclarn bir uyar mesaj grecei disk kullanm snrn yaplandrmanz salar. Kullanclar kota snrlarna ulatklarnda Event Viewer application loguna bir kayt ekleneceini belirler. Kullanclar uyar snrlarna ulatklarnda Event Viewer application loguna bir kayt ekleneceini belirler. Disk quota policylerinin uygulamasn sabit disklerden NTFS ile biimlendirilmi karlabilir ortamlara kadar geniletir.

Group Policy Policyleri

Group Policy policyleri, group policylerin bilgisayara ne ekilde uygulanacan belirlemek amacyla kullanlr. Genel olarak ska yaplandrlan Group Policy policy seenekleri Tablo 3.12de tanmlanmtr. Tablo 3.12: Group Policy Seenekleri
Group Policy Turn Off Background Refresh Of Group Policy Apply Group Policy For Users Asynchronously During Startup Group Policy Refresh Intervals For Computers Group Policy Refresh Intervals For Domain Computers User Group Policy Loopback Processing Mode Group Policy Slow Link Detection Registry Policy Processing Internet Explorer Maintenance Policy Processing Software Installation Policy Folder Redirection Policy Processing Scripts Policy Processing Aklama Eer bilgisayar kullanmda ise group policylerin gncellenmesini engeller. Bilgisayar Group Policy ayarlarnn gncelletirmesi bitmeden nce Windows Desktopn grntlenebilmesini salar. Bilgisayarn Group Policy gncelletirmeleri iin kullanlacak olan zaman araln belirler. Varsaylan olarak, arka plandaki operasyonlar her 90 dakikada bir, rastgele 0-30 dakika offsetleriyle gerekleir. Domain controller Group Policy gncelletirmeleri iin kullanlacak zaman araln belirler. Varsaylan olarak bu arka plan operasyonlar her 5 dakikada bir gerekleir. Bir kullanc bir bilgisayara logon olurken bu seenek ile group policylerin ne ekilde uygulanaca belirlenir. Bu seenekle group policynin dier policy ayarlar ile yer deitirmesini ya da birletirilmesini belirleyebilirsiniz. Group policylerin uygulanmas ve gncelletirilmesi iin yava balanty tanmlar. Registry policylerin periyodik arka plan ilemleri esnasnda uygulanp uygulanmayacan belirler. Internet Explorer Maintenance policylerinin ne zaman uygulanabileceini belirler. Yazlm ykleme policylerinin ne sklkta gncelletirileceini belirler. Bu seenek lokal policylere uygulanmaz Folder redirection policylerin nasl gncelletirileini belirler. Shared scripts policylerinin nasl gncelletirileceini belirler.

Security Policylerini Ynetmek

111

Tablo 3.12: Group Policy Seenekleri (devam)

Group Policy Security Policy Processing IP Security Policy Processing EFS Recovery Policy Processing Disk Quota Policy Processing Aklama Security policylerinin nasl gncelletirileceini belirler. IP security policylerinin nasl gncelletirileceini belirler. Encryption policylerinin nasl gncelletirileceini belirler. Disk quota policylerinin nasl gncelletirileceini belirler.

Windows File Protection Policyleri

Windows file protection policyleri Windows dosya korumasnn nasl yaplandrlacan belirlemek ii kullanlr. Windows file protection policy seenekleri Tablo 3.13teki gibi tanmlanmtr. Tablo 3.13: Windows File Protection Policy Seenekleri
Windows File Protection Policy Hide the File Scan Progress Window Limit Windows File Protection Cache Size Specify Windows File Protection Cache Location Aklama File Scan Progress penceresinin grntlenmesini nler. Windows File Protection tarafndan kullanlabilecek maksimum disk alann belirler. Windows File Protection cache tarafndan kullanlan bir alternatif lokasyon belirler.

Security Configuration and Analysis Arac ile Gvenlik Yaplandrmalarnn Analizi

Windows Server 2003te, bilgisayarn lokal gvenlik ayarlarn analiz etmek iin ve yaplandrmaya yardmc olmas iin kullanabileceiniz Security Configuration and Analysis adnda bir yardmc ara vardr. Bu yardmc ara sizin hali hazrdaki gvenlik yaplandrmanz ile arzu ettiiniz ayarlar ile yaplandrdnz bir gvenlik ablonunu karlatrmanz salar. Gvenlik analiz ilemi aadaki admlar ierir: 1. Security Configuration and Analysis yardmc aracn kullanarak, gvenlik analizi srasnda kullanlacak olan bir gvenlik veritaban belirleyin. 2. Bir gvenlik ablonunu import edip gvenliinizi buna gre yaplandrabilirsiniz. 3. Gvenlik analizlerini uygulayn. Bu sizin yaplandrmanzla, 2. admda belirlediiniz ablonu karlatrr. 4. Gvenlik analizinin sonularn gzden geirin. 5. Gvenlik analizi sonucunda gsterilen uyumsuzluklar zn. Security Configuration and Analysis yardmc arac bir MMC snap-inidir. Bu yardmc arac MMCye ekledikten sonra, bunu sonraki ksmda tanmland gibi gvenlik analizi ilemini altrmak iin kullanabilirsiniz.

Gvenlik Veritabann Belirlemek

Gvenlik veritaban, gvenlik analiz sonularnz barndrmak iin kullanlr. Bir gvenlik veritaban belirlemek iin aadaki admlar uygulayn: 1. MMCda, Security Configuration and Analysis snap-ini zerinde sa tklayp pop-up menden Open Database seeneini sein. Eer MMCda Security Configuration and Analysis snap-ini seerseniz ekil 3.2deki gibi sa panelin ierii size var olan bir veritabannn nasl alacan ve yeni bir veri tabannn nasl oluturulacan aklar.

112

Blm 3

ekil 3.2: Bir gvenlik veritaban amak.

2. Open Database diyalog kutusu grntlenir. File Name metin kutusunda, oluturacanz veritabannn adn girin. Varsaylan olarak bu dosya .sdb (gvenlik veritaban iin) uzantsna sahip olur. Ardndan Open butonuna tklayn. 3. Import Template diyalog kutusu grntlenir. Import etmek istediiniz ablonu sein. Bu diyalog kutusu ile nceden tanml bir ablonu da import edebilirsiniz. Sonraki ksmda, zelletirilmi bir ablon dosyasnn nasl oluturulduunu ve kullanldn reneceksiniz. Seiminizi yapn ve Open butonuna tklayn.

Gerek Dnya Senaryosu IISi Korumak

Burada tanmlanan aralardan baka, IIS Lockdown arac Internet Information Services (IIS) altran bir sunucuyu korumaya yardmc olabilir. IIS Lockdown arac IIS sunucuyu koruma ilemini sistemde kendisini gizleyerek otomatik hale getirir. IIS ile gereksiz servislerin devre d braklmas ve IISin sunaca uygulama tipleri iin tam olarak yaplandrlmasn salamas bu ara ile yaplabileceklerden sadece ikisidir. IIS Lockdown ayn zamanda bir hackern IIS sunucuya baarl exploit saldrlar yapma ansn drmeye yardmc URLscan filtresi kullanr. www.microsoft.com/technet/security/tools/locktool.mspx web sitesinden IIS Lockdown arac hakknda daha fazla bilgi alabilir ve bu arac indirebilirsiniz.

Bir Gvenlik ablonu Import Etmek

Gvenlik analizi ileminin bir sonraki adm bir gvenlik ablonu import etmektir. Gvenlik ablonu bir karlatrma arac olarak kullanlr. Security and Configuration Analysis yardmc arac gvenlik ablonundaki gvenlik ayarlar ile u anki gvenlik ayarlarnz karlatrr. Gvenlik ablonu ile gvenliinizi ayarlamak yerine bunu Bir sistem yneticisi olarak bir bilgisayar zerinde temel bir gvenlik ablonu oluturabilir ve ardndan bunu btn gvenlik attributelerinizi tek bir lokasyonda networknzdeki tm sunuculara export edebilirsiniz. organize etmek iin kullanrsnz. Aadaki ksmlarda bir gvenlik ablonunun nasl import edileceini greceksiniz, aslnda bu ilem iki admdan oluur: bir ablon oluturma ve daha detayl bir analiz iin ama.

Bir Gvenlik ablonu Oluturmak

Varsaylan olarak, Windows Server 2003 nceden tanmlanm eitli gvenlik ablonlarna sahiptir. Bunlar systemroot\Security\Templates klasrnde bulunur. Bu ablonlarn her biri sizin ortamnzn ihtiyalarna bal olarak bir standart gvenlik kmesi tanmlar. Varsaylan ablon gruplar Tablo 3.14de tanmlanmtr.

Security Policylerini Ynetmek

113

Tablo 3.14: Varsaylan Gvenlik ablonlar

Standart Gvenlik ablonu Aklama Her bir bilgisayar iin kurulum srasnda oluturulur. Kullanc haklar dndaki kurulum srasndaki varsaylan dier ayarlara dnmek iin kullanlr. Baz uygulamalar tarafndan uygulamalarn dzgn alabilmesi iin kullanc haklar deitirilir. Kullanc haklar varsaylan deerlere dndrlrse bilgisayarda ykl uygulamalardan bazlar almayabilir. Geriye dnk uyumluluk iin kullanlr. Bu seenek Windows 2000 ve daha st sistemler tarafndan kullanlan varsaylan gvenlik ayarlarn, Windows 2000 ve sonras iin sertifikalandrlmam Windows NT ncesi uygulamalarn altrlmasn salayacak ekilde yumuatr. Bu ablon tipik olarak yeni upgrade edilmi ve baz uygulamalarn altrlmasnda problem yaayan bilgisayarlar zerinde kullanlr. Windows 2000 ve zeri iin dosyalar, klasrler ve Registry anahtarlar dnda tm alanlarda nerilen gvenlik ayarlarn uygular. Windows Server 2003 bilgisayarlar iin yksek derecede gvenli network iletiimi belirler. Eer bu gvenlik ablonunu uygularsanz, Windows Server 2003 bilgisayarlar sadece dier Windows Server 2003 bilgisayarlar ile iletiim kurabilir. Bu durumda, bu bilgisayarlar Windows 95/98 hatta Windows NT bilgisayarlar ile iletiim kuramazlar. Sadece domain controller roln tayan sunucular iin daha yksek bir gvenlik seviyesi salar. Bu seenek domain controllern daha zayf gvenlik seviyesi gerektirebilecek olan sunucu tabanl uygulamalar altrmayacan varsayar. Root izinlerini tanmlar. Varsaylan olarak bu izinler sistem srcs iin tanmlanr. Bu ablon root klasr izinleri istem d deitirildiyse bu izinleri yeniden uygulamak iin kullanlabilir. Ya da ablon root izinlerinin dier volumelere uygulanmas amacyla deitirilebilir. Bu ablon child objeler tarafndan inherite edilen izinlere yaylabilir, child objeler zerinde ak bir ekilde belirtilen izinleri geersiz klamaz. Varsaylan ablonlar

Default security (Setup security. inf)

Setup Security

Compatible (Compatws.inf)

Compatws

Secure (Secure*. inf)

Securedc, Securews

Highly secure (Hisec*.inf)

Hisecdc, Hisecws

Dedicated domain controler (DC

DC security

Security.inf)

System root security (rootsec.inf)

Rootsec

Gvenlik ablonlarn MMCde Security Templates snap-ini araclyla oluturabilirsiniz. Gvenlik ablonlarn Tablo 3.15de listelenen eler ile yaplandrabilirsiniz. Tablo 3.15: Security Templates Yaplandrma Seenekleri
Account Policies Local Policies Event Log Restricted Groups Registry File System System Services Password policyleri, account lockout policyleri ve kerberos policyleri iin kullanlmas gereken yaplandrma zelliklerini belirler. Audit policyleri, kullanc haklar ve gvenlik seenekleri iin kullanlmas gereken yaplandrma zelliklerini belirler. Event Viewer log dosyalarna uygulanan yaplandrmay ayarlamay salar. Lokal grup yeliini ynetmenizi salar. Lokal Registry ayarlar iin gvenlik ayarlarn belirler. Lokal sistem iin gvenlik ayarlarn belirler. Sistem servisleri iin ve lokal sistem servislerinin kullanaca startup modeu belirler.

114

Blm 3

MMCye Security Templates snap-ini ekledikten sonra aadaki ekilde rnek bir gvenlik ablonunu aabilir ve deitirebilirsiniz. 1. MMCde, Security Templates snap-inini ve ardndan systemroot\Security\Templates klasrn geniletin. 2. Dzenlemek istediiniz rnek bir ablon zerinde ift tklayn. Burada securews (gvenli Windows sunucu iin) ve securedc (gvenli domain controller iin) gibi birok rnek ablon bulunur. 3. rnek gvenlik ablonu zerinde istediiniz deiiklii gerekletirin. ablondaki deiiklikler varsaylan olarak lokal sisteme uygulanmaz. Sistemin istediiniz ekilde yaplandrlacan belirlemek iin bu kolay bir yol salar. 4. rnek ablon zerinde tm deiiklikleri yaptktan sonra ablon zerinde sa tklayarak Save As seeneine tklayn. Yeni ablon iin bir dosya ad ve lokasyon belirleyin. Varsaylan olarak, gvenlik ablonu .inf uzantl olarak systemroot\Security\Templates klasrne kaydedilir.

Bir Gvenlik ablonunu Amak

Bir gvenlik ablonu yaplandrdktan sonra, bunu Security Configuration and Analysis yardmc arac ile kullanmak iin nceden yaplandrdnz bir gvenlik veritabann import edebilirsiniz. Bir gvenlik ablonunu import etmek iin MMCda, Security Configuration and Analysis yardmc aracna sa tklayn ve alr menden Import Template seeneini sein. Ardndan import etmek istediiniz ablon dosyasn sein ve Open butonuna tklayn

Gvenlik Analizi Gerekletirmek

Sonraki adm gvenlik analizini gerekletirmektir. Analizi altrmak iin, Security Configuration and Analysis yardmc arac zerinde sa tklayn ve alan menuden Analyze Computer Now seeneini sein. Analiz srasnda oluturulacak olan hata log dosyas iin lokasyonu ve dosya adn belirleyeceiniz Perform Analysis diyalog kutusunu greceksiniz. Bu bilgileri yaplandrdktan sonra OK butonuna tklayn. Analiz tamamlandnda, MMC ana penceresine geri dndrleceksiniz. Buradan gvenlik analizi sonularna gz atabilirsiniz.

Gvenlik Analizini Gzden Geirmek ve Uyumsuzluklar zmek

Gvenlik analizi sonular Security Configuration and Analysis snap-ininde yaplandrdnz gvenlik esi altndadr (Tablo 3.15). rnein, password policylerinin sonularn grmek iin Security Configuration and Analysis snap-ine ift tklayn, Account Policies zerinde ift tklayn ve ardndan Password Policy zerinde ift tklayn. ekil 3.3 password policyleri iin rnek bir gvenlik analiz sonucunu gstermektedir. Analiz edilen policylerin yanlarna ekil 3.3de grld gibi x ya da onay iareti gelecektir. Bir x iareti ablondaki tanmlamalar ile u andaki policynin elemediini gsterir. Bir onay iareti ise ablondaki tanmlamalar ile u andaki policynin eletiini gsterir. Eer bir gvenlik uyumsuzluu sz konusuysa Group Policy snap-ini ile gvenlik ihlalini zmlemeniz gerekir. Altrma 3.7de Security Configuration and Analysis yardmc aracn kullanarak gvenlik yaplandrmanz analiz edeceksiniz. Bu altrmada MMCye Security and Configuration Analysis snap-ini ekleyecek, bir gvenlik ablonu oluturacak, ablonu import edip analizi gerekletirdikten sonra sonular gzden geireceksiniz. Bu altrma iin bu blmde nceki tm altrmalar tamamladnz varsaylmaktadr.

Security Policylerini Ynetmek

115

ekil 3.3: Bir gvenlik analizi sonucunu grntlemek.

Altrma 3.7: Security Configuration and Analysis Aracn Kullanmak Security and Configuration Analysis Snap-In Eklemek 1. Start > Administrative Tools > Security sein. 2. File > Add/Remove Snap-In sein. 3. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. Security Configuration And Analysis snap-ini seip Add butonuna tklayn. Ardndan Close butonuna tklayn. 4. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. Gvenlik Veritabann Belirlemek 1. MMCde Security Configuration And Analysis zerinde sa tklayn ve Open Databasei sein. 2. Open Database diyalog kutusunda, File Name metin kutusunda sampledb yazn ve Open butonuna tklayn. 3. Import Template diyalog kutusunda, securews ablonunu sein ve Open butonuna tklayn. Gvenlik ablonu Oluturmak 1. MMCde File > Add/Remove Snap-In sein 2. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. Security Templates snap-ini seip Add butonuna tklayn. Ardndan Close butonuna tklayn. 3. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 4. Security Templates snap-inini geniletin ve ardndan systemroot\Security\Templates klasrn geniletin. 5. securews dosyas zerinde ift tklayn. 6. Account Policies ve ardndan Password Policy sein 7. Password policylerini aadaki ekilde dzenleyin:

Enforce Password History seeneini 10 parola hatrlanacak ekilde ayarlayn. Password Must Meet Complexity Requirements seeneini etkin hale getirin (Enable). Maximum Password Age seeneini 30 gne ayarlayn.

116

Blm 3

8. Securews dosya adn seip sa tklayn ve Save As seeneini sein. 9. Save As diyalog kutusunda, dosyay servertest adyla varsaylan klasre Save butonuna tklayarak kaydedin. Gvenlik ablonunu Import Etmek 1. Security And Analysis snap-ini sein, sa tklayarak Import Template seeneini sein. 2. Import Template diyalog kutusunda, servertest dosya adn sein ve Open butonuna tklayn. Gvenlik Analizini Gerekletirmek ve Gzden Geirmek 1. Security Configuration And Analysis snap-ini sein, sa tklayarak Analyze Computer Now seeneini sein. 2. Perform Analysis diyalog kutusunda, varsaylan hata log dosyas yolunu kabul edin ve OK butonuna tklayn. 3. MMC ana ekranna dndnzde, Security Configuration And Analysis snap-in zerinde ift tklayn. 4. Account Policies ve ardndan Password Policy zerinde ift tklayn. Yanlarnda x ya da onay iareti ile belirtilmi ekilde herbir policynin analiz sonularn greceksiniz.

Yazlm Ykleme ve Bakm Ynetimi

Windows iletim sistemlerinizi gncel ve gvenli tutmak iin Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Security Analyzer kullanabilirsiniz:

Windows Updates Windows kullanclarnn Microsoft web sitesi araclyla iletim sistemlerinin gncelleme dosyalarn (kritik ve kritik olmayan yazlm gncellemelerini) indirebilmelerini salar. Automatic Updates Windows Updatein fonksiyonelliini kritik dosyalarn gncelletirilmesini otomatik hale getirerek sunar. Automatic Updates ile gncelletirmelerin otomatik olarak indirilip yklenmesini istediinizi ya da sadece yeni gncelletirmelerden haberdar olmak istediinizi belirleyebilirsiniz. Windows Server Update Services (WSUS) Windows Updatein kstl bir versiyonunu irketin sunucusuna kurarak ihtiya duyulan gncellemeleri srasyla irket iindeki istemci bilgisayarlara yaymak iin kullanlr. Bu bir gvenlik duvar araclyla internete kabilen kstl istemcilerin kendi Windows iletim sistemlerinin gncel kalmasna yardmc olur. Microsoft Baseline Security Analyzer (MBSA) en gncel gvenlik gncelletirmelerine sahip olduunuzdan emin olmanza yardmc olmak iin kullanabileceiniz ve Microsoftun web sitesinden indirebileceiniz bir yardmc aratr.

Aadaki ksmlarda, bu aralarn nasl kullanldn greceksiniz.

Windows Update
Windows Update, Microsoftun web sitesi araclyla, Windows iletim sistemleri iin en gncel dosyalar tedarik etmek iin kullanlr. rnek gncelletirmeler, gvenlik yamalar ve kritik gvenlik gncelletirmeleri, gncelletirilmi yardm dosyalarn ve gncelletirilmi srcleri ierir. Windows Updatee Help and Support sayfas zerinden Microsoft web sitesi zerinden ulalabilir (ekil 3.4). Yeni gncelletirmeleri aramak iin Welcome To Windows Updates ekrannda Scan For Updates linkine tklayn (ekil 3.5).

Security Policylerini Ynetmek

117

Windows Update tarama sonucu Windows Update ekrannn sol tarafnda grntlenecektir. Aadaki seenekleri greceksiniz:

Pick Updates To Install, bilgisayarnz iin hangi gncelletirmelerin mevcut olduunu listeler ve aadaki kategorileri ierir:

Critical Updates and Service Packs Windows Server 2003 Family Driver Updates

Review And Install Updates, yklemek iin setiiniz gncelletirmeleri grmenizi ve gncelletirmeleri yklemenizi salar. View Installation History, sunucunuza uyguladnz tm gncelletirmeleri izlemenizi salar. Personalize Windows Updates, Windows Updatei kullanrken grdklerinizi zelletirir. Get Help and Support, Windows Update ile ilgili yardm ve destek bilgilerini grntler.

Bazen yklenen gncelletirmelerin etkin hale gelebilmesi iin bilgisayarn yeniden balatlmas gerekir. Bu noktada, Windows Update chained installation ad verilen bir teknoloji kullanr. Chained installation ile bilgisayarn yeniden balamasn gerektiren tm gncelletirmeler bilgisayar yeniden balatlmadan nce uygulanr. Bu sayede bilgisayarn birden fazla yeniden balatlmas gereksinimini ortadan kaldrr.

ekil 3.4: Help and Support. Windows Update ile toplanan bilgiler, iletim sistemi ve versiyon numaras, Internet Explorer versiyonu, Windows Update araclyla gncelletirilebilen tm yazlmlarn versiyon bilgileri, ykl donanma ait Plug and Play ID numaralar, blge ve dil ayarlar bilgilerini ierir. Windows Update ayn zamanda kullandnz Windows iletim sistemi kopyasnn lisansl olduunu dorulamak iin rn ID ve rn anahtar bilgisini de toplar. Fakat bu bilgi sadece Windows Update oturumu srasnda tutulur ve bir yerde saklanmaz. Windows Update servisi kullanclarnn kiisel bilgilerini tanmlamak amacyla kullanlabilecek hi bir bilgi toplamaz.

118

Blm 3

ekil 3.5: Windows Update.

Altrma 3.8de Windows Updatei kullanacaksnz. Altrma 3.8: Windows Updatei Kullanmak 1. Start > Help And Supportu sein. 2. Help And Support diyalog kutusu grntlenir. 3. Support Taskn altndan Windows Update seeneini sein. 4. Welcome To Windows Update ekran grntlenir. Scan For Updatese tklayn. 5. Windows Update, bilgisayarnzn yaplandrmasna bal olarak mevcut tm gncelletirmeleri arar. 6. Bilgisayarnz iin tm gncelletirmeler listelenir. Critical Updates And Service Packs, Windows Server 2003 Family ve Driver Updates iin herbir seenee tklayn ve yklemek istediiniz gncelletirmeleri iaretleyin. 7. Review And Install Updatese tklayn. Total Selected Updates seeneinde Install Now butonuna tklayn.

Windows Automatic Updates

Automatic Updates, Windows Update ilemini otomatikletirir. Automatic Updates ile Windows Server 2003, internet balantnz olduunu alglayarak otomatik olarak bilgisayarnz iin Windows Update web sitesinden gncelletirmeleri arar. Herhangi bir gncelletirme tanmlanrsa, bu gncelletirmeler Background Intelligent Transfer Service (BITS) kullanlarak indirilir. BITS sadece bant genilii bota iken indirmeye izin veren bir bandwidht-throttling teknolojisidir. Bu otomatik gncelletirmelerin indirilmesinin dier herhangi bir internet trafiine engel olmayaca anlamna gelir. Eer Automatic Updates bilgisayarnz iin herhangi bir gncelletirme tespit ederse, grev ubuu bildirim alannda bir gncelletirme simgesi grrsnz.
Automatic Updatesi yaplandrmak iin, Automatic Updatesin yaplandrlaca bilgisayarda lokal ynetimsel haklara sahip olmalsnz. Ynetimsel haklara sahip olma gereklilii, kullanclarn kritik gvenlik gncelletirmelerini kurmama opsiyonlarn engeller. Buna ek olarak Microsoft indirilen her gncelletirmeyi saysal olarak imzalamaldr.

Security Policylerini Ynetmek

119

Start > Control Panel > System ve Automatic Updates sekmesine tklayarak Automatic Updatesi yaplandrabilirsiniz. Bu diyalog kutusunu ekil 3.6da gryorsunuz. Automatic Updatesi Keep My Computer Up To Date seeneini iaretleyerek etkin hale getirebilirsiniz. Bu ayarn etkin hale getirilmesiyle, Windows Update yazlm dier gncelletirmeler uygulanmadan nce gncelletirilebilir. Aadaki ayarlar Automatic Updatese uygulanabilir:

Notify me before downloading any updates and notify me again before installing them on my computer. Bu seenek herhangi bir gncelletirmenin kabul edilmesi iin sizden onay isteyecek ve bu gncelletirmenin uygulanmas iin sizin onaylamanz gerekecektir.

ekil 3.6 System Properties diyalog kutusundaki Automatic Updates sekmesi.

Download the updates automatically and notify me when they are ready to installed. Bu varsaylan ayardr. Gncelletirmeler otomatik olarak arka planda indirilecektir, fakat gncelletirmelerin yklenmesini onaylamanz gerekecektir. Automatically download the updates, and install them on the schedule that I specify. Bu seenek size Windowsun gncelletirmeleri aramas iin rnein alma saatleri dnda belirli bir gn ve zaman tanmlayabilmenizi salar. Gncelletirmelerin sunucunuza uygulanmadan nce gncelletirmeleri yklemek istediinizi onaylamanz gerekecektir.

Automatic Update sekmesinin en altnda Declined Updates butonu vardr. Eer Windows sizi bir gncelletirmeden haberdar eder ve siz bunu reddederseniz, daha sonra bu butona tklayarak bu gncelletirmeye eriebilirsiniz. Altrma 3.9da Automatic Updatesi yaplandracaksnz. Altrma 3.9: Automatic Updatesi Yaplandrmak 1. Start > Control Panel > System ve Automatic Updates sekmesine tklayn. 2. Keep My Computer Up To Date seeneinin onayl olduunu dorulayn. 3. Settings altnda, Automatically download the updates, and install them on the schedule that I specify seeneini iaretleyin. Every Sunday at 2:00 am seip OK butonuna tklayn.

Windows Server Update Services Kullanmak

nceden Software Update Services (SUS) olarak bilinen Windows Server Update Services (WSUS) irket iinde Windows Update zelliklerini etkin hale getirmek iin kullanlr. WSUS sayesinde Windows gncelletirmeleri irketin istemcilerine ulatrlmak iin irketin bir sunucusuna indirilir. Bu sistem yneticilerine test etme ans ve irket ierisinde hangi gncelletirmelerin uygulanaca zerinde tam kontrol salar. WSUS, Systems Management Server (SMS) kullanmayan orta lekteki irket networkleri iin tasarlanmtr. Sonraki ksmlarda aadaki konular ele alacaz:

WSUS kullanmnn avantajlar WSUS sunucu gereksinimleri

120

Blm 3

Bu kitap yazlrken WSUS, SUS yerine Windows Server 2003in bir paras olarak datlmaktayd.

WSUS sunucu yaplandrmas WSUS istemci gereksinimleri WSUS istemcilerini yaplandrmak

WSUS Kullanmnn Avantajlar

WSUS kullanmnn birok avantaj vardr. Bunlar:

WSUS zel intranet ierisindeki dahili bir sunucunun sanal Windows Update sunucusu olarak almasn salar. Sistem yneticileri Windows Update sitesinden gnderilecek ve yaylacak gncelletirmeler zerinde seimli bir kontrole sahiptir. lk olarak bir sistem yneticisi tarafndan onaylanmadka hibir gncelletirme istemci bilgisayarlara datlmaz. Sistem yneticileri Windows Update sitesinden WSUS sunucusuna yaplacak gncelletirmelerin senkronizasyonunu manuel ya da otomatik olarak kontrol edebilir. Automatic Updates, istemci bilgisayarlar Windows Update sitesi yerine yerel WSUS sunucusuna eriecek ekilde yaplandrlabilir. WSUS her bir gncelletirmeyi Microsoft tarafndan saysal olarak imzalanm olma durumlarna gre kontrol eder. Saysal olarak imzalanmam hibir gncelletirme uygulanmaz. Sistem yneticileri istemcilerin gncelletirilmi dosyalara Microsoft web sitesinden mi yoksa intranetten mi ulaabileceklerini belirleyebilir. Gncelletirmeler istemcilere oklu dil seenekleri ile datlabilir. Sistem yneticileri bir WSUS istatistik sunucusu yaplandrarak gncelletirme eriim logunu tutabilir, bu sayede istemcilerin ykledii gncelletirmeleri takip edebilirler. WSUS sunucu ve WSUS istatistik sunucusu ayn bilgisayar olabilir. Sistem yneticileri eer web tarayclar Internet Explorer 5.5 ya da daha st bir taraycya sahiplerse WSUS sunucularn HTTP ya da HTTPS kullanarak uzaktan ynetebilirler.

WSUS Sunucu Gereksinimleri

Bir sunucu, WSUS sunucu olarak alabilmek iin aadaki gereksinimleri salamaldr:

Windows 2000 Server Service Pack 4 ve st ya da Windows Server 2003 altryor olmal. Internet Explorer 6.0 Service Pack 1 ya da st kullanyor olmal. Tm en son gvenlik yamalar uygulanm olmal. Internet Information Services (IIS) altryor olmal. Networke bal olmal. WSUS sunucu yazlm iin 100 MB bo alan bulunan bir NTFS blm ve tm gncelletirme dosyalar iin 6 GB bo alana sahip olmal. Background Intelligent Transfer Services (BITS) versiyon 2.0 kullanyor olmal.

Eer sizin WSUS sunucunuz aadaki gereksinimleri salayabiliyorsa, 15,000e kadar istemciyi destekleyebilir:

Pentium III 700MHZ ilemci 512MB RAM

WSUS Sunucuyu Kurmak ve Yaplandrmak

WSUSun sadece bu rol stlenmi bir sunucu zerinde almas gerekir. Bu WSUS sunucu zerinde gerekli olan IIS dnda dier uygulamalarn almayaca anlamna gelir. Microsoft si-

Security Policylerini Ynetmek

121

zin temiz bir Windows 2000 veya Windows Server 2003 yklemenizi ve tm service pack ve gvenlikle ilgili yamalar uygulamanz tavsiye eder. Bir WSUS Sunucu Yklemek

Sunucu zerinde virs tarama program yklememeniz gerekir. Virs tarayclar WSUS aktivitelerini bir virs olarak alglayabilir.

Aadaki admlar bir WSUS sunucu ykleme srasnda kullanlr. 1. WSUS yazlmn Microsoftun web sitesinden indirin. WSUS sayfasna erimek iin www. microsoft.com/windowsserversystem/updateservices/downloads/WSUS. mspx ya da http://go.microsoft.com/fwlink/?LinkId=47374 linklerini kullanabilirsiniz. 2. WSUS sunucuyu yklemek iin WSUSSetup.exe zerine ift tklayn. 3. Welcome ekran grntlenir. Next butonuna tklayn. 4. End-User Licence Agrement ekran grntlenir. Dikkatli bir ekilde anlamay okuyun ve I Accept The Terms In The License Agreement butonuna tklayn. Next butonuna tklayn. 5. Select Update Source diyalog kutusu grntlenir. ekil 3.7de grld gibi bu diyalog kutusunda gncelletirme dosyalarnn bulunaca yeri seebilirsiniz. Next butonuna tklayarak varsaylan lokasyonu kabul edin, C:\WSUS\.

ekil 3.7: Select Update Source ekran.

6. ekil 3.8deki Database Options diyalog kutusu grntlenir. SQL Server Desktop Engine varsaylan deerdir. Bu varsaylan deeri onaylayp Next butonuna tklayn. 7. Ardndan gncelletirmeleri sunacak varsaylan bir IIS kurulumu ya da farkl bir TCP portundan dinleyecek spesifik WSUS web sitesi oluturabileceiniz Web Site Selections ekran gelir. WSUS sunucu sadece WSUS altracak ekilde yaplandrlmas gerektiinden buradaki varsaylan deerleri kabul edebilirsiniz. Eer IIS sunucuyu zaten web sayfalar iin altryorsanz ve bunu deitirmek istemiyorsanz yeni bir WSUS web sitesi oluturma seeneini iaretlemeniz gerekir. Bu ekran ekil 3.9da gsterilmektedir. Bu ekran nemlidir nk WSUSun web zerinden ynetimi srasnda kullanlacak ara yzne eriim URLini gsterir. Siteniz iin uygun yaplandrmay setiinizde Next butonuna ekil 3.8: Database Options diyalog kutusu. tklayn.

122

Blm 3

ekil 3.9: Web Site Selection ekran.

8. Ardndan Mirror Update Settings ekran grntlenir. Bu ekranla WSUS sunucusunun baka bir sunucu ile mirror yaplp yaplmayacan seersiniz. Bu yaplandrma ykn bir sunucu grubu zerinde paylalmas iin kullanl olabilir. Bu ekran ekil 3.10da grlmektedir.

ekil 3.10: Mirror Update Settings ekran.

9. Ready To Install ekran grnr, ekil 3.11de grld gibi ynetim iin kullanlacak ve istemciler iin gerekli self update URLler grntlenir. Self update ykleme URLi varsaylan olarak http://yourservername/selfupdatedir. Next tuuna tklayarak yklemeyi balatn. 10. Completing The Windows Server Update Services Setup Wizard ekran grnr. Finish butonuna tklayn. 11. WSUS ynetim web sitesi otomatik olarak Internet Explorer iinde alr. Bir WSUS Sunucusunu Yaplandrmak Sonraki ksmlarda WSUS sunucu seeneklerini nasl yaplandracanz reneceksiniz, senkronizasyonu ayarlamak, gncelletirmeleri onaylamak, synchronization logunu grntlemek, approval logunu grntlemek ve WSUS sunucuyu izlemek.

Security Policylerini Ynetmek

123

ekil 3.11: Ready To Install ekran nemli bilgilerin zetini ierir.

WSUS Sunucu Seeneklerini Ayarlamak Aadaki admlar kullanarak WSUS sunucuyu yaplandrabilirsiniz: 1. Eer WSUS ynetim web sitesi ak deilse, bunu Internet Explorer ile http://yourservername/WSUSadmin URLi ile aabilirsiniz. 2. Windows Server Update Services ekran grntlenir (ekil 3.12). Seeneklere tklayn.

ekil 3.12: Windows Server Update Services ekran.

3. Options ekrannda, ekil 3.13de grld gibi yaplabilecek seenekler u ekildedir:

Bir proxy sunucu seimi. stemcilerinizin bu gncelletirme sunucusuna balanabilmeleri iin kullanacaklar bir isim tanmlama. eriin senkronize edilecei sunucuyu seme (Microsoft Windows Update sunucular ya da yerel Software Update sunucusu).

124

Blm 3

nceden onaylanan gncelletirmelerin yeni versiyonlarnn ne ekilde ele alnacan, yani otomatik olarak onaylamak isteyip istemediinizi seebilirsiniz. Gncelletirmeleri barndracanz sunucuyu semek (gncelletirmeleri bir Windows Server Update Services sunucusunda tutmak ya da gncelletirmeleri yerel gncelletirme klasrne kaydetmek). Senkronizasyon iin spesifik rn ya da gncelletirme snflandrmas semek. Kurulum paketlerini belirli blgeler iin senkronize etmek (tuttuunuz gncelletirme paketleri iin blgeleri/dilleri belirlemek).

ekil 3.13: Options ekran.

Yaplandrma ayarlar ile ilgili ilemleri bitirdikten sonra Save Settings butonuna tklayn.

ekil 3.14: Synchronization Options ekran.

Security Policylerini Ynetmek

125

WSUS Sunucu Senkronizasyonunu Ayarlamak Varsaylan olarak, WSUS sunucu senkronizasyonu tanmlanmamtr. Manuel olarak sizin sunucunuzla Windows Update sunucusunu senkronize edebilir ya da bu ilemi otomatikletirmek iin bir senkronizasyon plan ayarlayabilirsiniz. Aadaki admlar WSUS sunucu senkronizasyonu yaplandrmak iin kullanlr. 1. Welcome ekranndan Synchronize Now seeneine tklayn. 2. Synchronization Options ekran grnr (ekil 3.14). 3. Synchronize Manually (manuel senkronizasyona zorlayan) seebilir ya da bir seknronizasyon program ayarlayabilirsiniz. Bir senkronizasyon program ayarlamak iin Synchronization Daily At seeneine tklayn ve bir saat ayarlayn. Gncelletirmeleri Onaylamak Gncelletirmeler WSUS istemcilere datlmadan nce, sistem yneticileri gncelletirmeleri onaylamaldr. Gncelletirmeleri onaylamak iin Welcome ekrannda sitenin ara ubuunda Updates seeneine tklayn. Update ekran grntlenir.

ekil 3.15: Updates ekran.

Senkronizasyon Logunu Grntlemek Senkronizasyon logunu grntlemek iin, Welcome ekrannda sitenin ara ubuundaki Reports butonuna tklayn. Reports sayfas grntlenir (ekil 3.16). Sonular grntlemek iin Synchronization Results seeneine tklayn. ekil 3.17de grld gibi Synchronization Results ekran grntlenecektir.

126

Blm 3

ekil 3.16: Reports ekran.

ekil 3.17: Synchronization Results sayfas.

Security Policylerini Ynetmek

127

WSUS stemci Gereksinimleri

WSUS istemcileri WSUSu desteklemek iin tasarlanm Automatic Updatesin zel bir versiyonunu altrr. Automatic Updatese gre aadaki yeni zellikleri ierir:

stemcinin gncelletirmeleri Microsoft Windows Update web sitesi yerine bir WSUS sunucudan alabilmesini salar. Sistem yneticilerinin gncel dosyalarn ne zaman indirileceini planlayabilmesini salar. stemcilerin Group Policy araclyla ya da Registryyi dzenleyerek yaplandrlabilmelerini salar. Gncelletirmelerin admin hesabyla ya da baka bir hesapla sisteme girildiinde yaplabilmesini destekler.

WSUSu destekleyen istemciler sadece aadaki istemci platformlardr:

Windows 2000 Professional (Service Pack 3 ya da daha st) Windows 2000 Server (Service Pack 3 ya da daha st) Windows 2000 Advanced Server (Service Pack 2 ya da daha st) Windows XP Home Edition (Service Pack 1 ya da daha st) Windows XP Professional (Service Pack 1 ya da daha st) Windows Server 2003 (tm platformlar)

WSUS stemcilerini Yaplandrmak

WSUS istemcilerini yaplandrmak iin iki metot vardr. Kullanacanz metot networknzde Active Directory kullanp kullanmadnza baldr. Kk lekte bir networkte (Active Directory ortamnda olmayan) Automatic Updatesi Control Panel araclyla blmn nceki ksmlarnda tanmlanan Windows Automatic Updates ile ayn ekilde yaplandrabilirsiniz. Ardndan her bir istemcinin Registrysi otomatik gncelletirmeleri salayan sunucuyu gsterecek ekilde dzenlenir. Active Directory kullanan byk networklerde otomatik gncelletirmelerin Group Policy araclyla yaplandrldn grebilirsiniz. Group policyler Active Directory ile yaplandrmalar ve gvenlik ayarlarn ynetmek iin kullanlr. Group Policy ayn zamanda bir istemcinin Automatic Updates iin kullanaca sunucuyu belirlemek iin kullanlr. Eer Automatic Updates Group Policy ile yaplandrlrsa, kullanc Automatic Updates ayarlarn, Control Panel > System ve Automatic Updates sekmesine tklayarak deitiremez.

Active Directory Olmayan Bir Networkte Bir stemciyi Yaplandrmak

stemciyi Automatic Updates kullanacak ekilde yaplandrmann en kolay yolu, Control Panel > System ve Automatic Updates sekmesine tklamaktr. Bununla birlikte Automatic Updatesi Registry ile de yaplandrabilirsiniz. Registry, sunucunuzla ilgili tm ayarlarn bulunduu bir veritabandr ve Run diyalog kutusunda regedit yazarak altrlabilir. Automatic Updates ayarlar HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU anahtar ile tanmlanr. Automatic Updates iin yaplandrlabilen baz Registry seenekleri Tablo 3.16da belirtilmitir.

128

Blm 3

Tablo 3.16: Automatic Updates in Registry Anahtar ve Deerleri

Registry Anahtar Deerler in Seenekler 0 1 2 3 4 5 1 2 3 4 5 6 7 Automatic Updates etkin (varsaylan). Automatic Updates devre d. ndirme ve ykleme iin bilgilendir. Otomatik olarak indir ve ykleme iin bilgilendir. Otomatik olarak indir ve yklemeyi planla. Automatic Updates gerekli fakat son kullanclar yaplandrabilir. Pazar Pazartesi Sal aramba Perembe Cuma Cumartesi

NoAutoUpdate

AUOptions

UseWUServer

0 Microsoft Windows Update site kullan. 1 WUServer kayd iinde belirlenen sunucuyu kullan.

Windows Update sunucusu olarak kullanlacak olan sunucuyu belirlemek iin 2 Registry anahtarn dzenlersiniz. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate:

WUServer anahtar Windows Update sunucusunu, sunucunun HTTP ismini kullanarak ayarlar. rnein, http://intranetSUS WUStatusServer anahtar Windows Update intranet WSUS istatistik sunucusunu HTTP ismini kullanarak ayarlar. rnein, http://intranetSUS.

Active Directory Networknde Bir stemciyi Yaplandrmak

Eer WSUS istemcisi Active Directory kullanan bir networkn paras ise istemciyi Group Policy ile yaplandrrsnz. Bir Windows Server 2003 domain controller zerinde Group Policyyi yaplandrmak iin aadaki admlar izleyebilirsiniz: 1. Start > Run sein. Run diyalog kutusunda MMC yazn. 2. MMC konsolunda File > Add/Remove Snap-In sein. 3. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. 4. Add Standalone Snap-In diyalog kutusunda Group Policy Object Editor sein ve Add butonuna tklayn. 5. Group Policy Object Editor iin Browse butonuna tklayn ve Default Domain Policyyi sein ve OK butonuna tklayn. 6. Select Group Policy Object diyalog kutusunda Finish butonuna tklayn. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 7. ekil 3.18de grld gibi Default Domain Policy, Computer Configuration, Administrative Templates, Windows Components, Windows Update eklinde geniletin ve Windows Update aralarna eriin. 8. Configure Automatic Updates seeneine ift tklayn. Configure Automatic Updates Properties diyalog kutusu grnr (ekil 3.19). Automatic Updates seenei Group Policy araclyla aadaki ekillerde yaplandrlabilir.

Automatic Updates yaplandrlmam, etkin ya da devre d.

Security Policylerini Ynetmek

129

Otomatik gncellemenin ne ekilde yaplandrld. Seenekler Notify For Download And Notify For Install, Auto Download And Notify For Install ve Auto Download And Schedule The Install eklindedir. Yklemenin yaplaca gn ve saati planlamak.

ekil 3.18: Windows Update iin Group Policy ayarlar.

9. Hangi sunucunun otomatik gncelletirmeleri salayacan yaplandrmak iin Configure Automatic Updates Properties diyalog kutusunda Next Settings butonuna tklayn. ekil 3.20de grld gibi Specify intranet Microsoft Update Service Location Properties diyalog kutusu grntlenir. Goup Policy ile yaplandrlabilecek zellikler u ekildedir:

Intranet Microsoft gncelletirme hizmeti lokasyonu yaplandrlmam, etkin ya da devre d. Intranete gncelletirmeleri salayacak sunucunun HTTP ad. Intranetin WSUS istatistik sunucusu olarak alacak sunucunun HTTP ad.

ekil 3.19: Configure Automatic Updates Properties diyalog kutusu.

ekil 3.20: Specify Intranet Microsoft Updates Service Location Properties diyalog kutusu.

130

Blm 3

10. Otomatik gncelletirmeleri yeniden zamanlamak iin yaplandrmak amacyla Specify Intranet Microsoft Update Service Location Properties diyalog kutusunda Next Settings butonuna tklayn. ekil 3.21de grld gibi Reschedule Automatic Updates Scheduled Installation Properties diyalog kutusu grntlenir. Sistem balatldktan sonra Automatic Updatesin nceden atlanan planlanm bir yklemenin tekrar denenmesi iin beklenilecek sreyi etkin hale getirebilir ve bunu zamanlayabilirsiniz. Ardndan Enable client-side targeting properties diyalog kutusu gelir. Bu diyalog kutusunu varsaylan deerleri ile onaylayn.

ekil 3.21: Reschedule Automatic Updates Scheduled Installations Properties diyalog kutusu.

ekil 3.22: No Auto-Restart For Scheduled Automatic Updates Installations diyalog kutusu.

11. Atomatic Updates kurulumlar iin auto-restart yaplandrmas amacyla, Reschedule Automatic Updates Scheduled Installation Properties diyalog kutusunda Next Settings butonuna tklayn. Bu ekil 3.22de grld gibi No Auto-Restart For Sceduled Automatic Updates Installation diyalog kutusunu getirir. Bu seenek eer bilgisayar bir gncelletirmenin ardndan yeniden balamaya ihtiya duyuyorsa kullanlr. Bilgisayarn bir sonraki yeniden balatlmasna kadar bekWuau.adm adnda bir gvenlik ablonu vardr. Bu ablon Group Policy ayarlarn otomalemeyecek ekilde ya da gncelletirmenin bir paras tik olarak WSUS kullanacak ekilde uygular. olarak otomatik olarak yeniden balatlmas eklinde yaplandrlabilir. 12. Deiiklikleri yapldktan sonra OK butonuna tklayn.

Microsoft Baseline Security Analyzer Aracn Kullanmak

Microsoft Baseline Security Analyzer (MBSA) Microsoft web sitesinden indirilebilen bir gvenlik deerlendirme yardmc aracdr. Bu ara bilgisayarnzn son gvenlik gncelletirmelerine sahip olup olmadn ve bilgisayarnza uygulanm herhangi bir gvenlik ihlaline yol aabilecek bir yaplandrma olup olmadn dorular. Aadaki programlar ve iletim sistemleri MBSA ile taranabilir:

Windows NT 4 Windows 2000 Windows XP Windows Server 2003 IIS 4 ve 5 Internet Explorer, versiyonlar 5.01 ve daha st

Security Policylerini Ynetmek

131

SQL Server 7 ve SQL Server 2000 Microsoft Office 2000 ve Microsoft Office XP Windows Media Player, versiyonlar 6.4 ve st.

MBSAi kullanmak iin bilgisayar aadaki gereksinimleri salamaldr:

Internet Explorer 5.01 ya da daha st. Tam fonksiyonellie sahip olmas iin bir XML parser ykl olmal. Workstation ve Server servisleri etkinletirilmi olmal. Client for Microsoft Networks ykl olmal.
MBSA, nceleri bilgisayarda olas gvenlik risklerini taratmak iin kullanlan bir uygulama olan Microsoft Personal Security Advisorn (MPSA) yerini almtr.

MBSA Start > All Programs > Microsoft Baseline Security Analyzer ya da komut satrnda Src:\Program Files\Microsoft Baseline Security Analyzer klasrne geip mbsa (Microsoftun web sitesinden Mbsasetup.msi indirip ykledikten sonra) veya Mbsacli.exe komutunu vererek de altrlabilir.

MBSAn GUI Versiyonunu Kullanmak

MBSAya, ykleme ileminin ardndan Start > All Programs > Microsoft Baseline Security Analyzer ile ya da komut satrnda Mbsa.exe altrarak eriebilirsiniz. Bu ekil 3.23de grld gibi Baseline Security Analyzer yardmc aracn getirir. Buradan Scan A Computer, Scan More Than One Computer ya da View Existing Security Reportsu seebilirsiniz. Scan A Computera tkladnzda Pick A Computer To Scan diyalog kutusu grntlenir (ekil 3.24). Burada taramak istediiniz bir bilgisayar, bilgisayar ad ile ya da IP adresi ile belirtebilirsiniz. Ayn zamanda oluturulacak gvenlik raporunun adn belirleyebilirsiniz. Aada gvenlik taramas iin seenekleri grebilirsiniz.

ekil 3.23: Baseline Security Analyzer.

Check For Windows Vulnerabilities Check For Weak Passwords Check For IIS Vulnerabilities Check For SQL Vulnerabilities Check For Security Updates (eer bunu seerseniz ve WSUSu kullanyorsanz, gvenlik gncelletirmeleri iin kontrol edilen WSUS sunucunun adn belirleyebilirsiniz.)

132

Blm 3

Seimlerinizi yaptksan sonra, Start Scana tklayn. Tarama tamamlandnda, gvenlik raporu otomatik olarak grntlenir. ekil 3.25 View Security Report diyalog kutusunu gstermektedir. Eer birden fazla bilgisayar taradysanz, gvenlik raporlarn issue adna gre, ya da score(warstfirst/last-first) kriterlerine gre sralayabilirsiniz.

ekil 3.24: Pick A Computer To Scan diyalog kutusu.

ekil 3.25: View Security Report diyalog kutusu.

Mbsacli.exe Kullanmak
Eer MBSA Mbsacli.exe komut satr yardmc arac eklinde kullanrsanz, tanmlayabileceiniz birok seeneiniz olacaktr. Mbsacli.exe /hf (Mbsacli.exenin bulunduu Src:\Program Files\Microsoft Baseline Security Analyzer klasrnde) yazdktan sonra Tablo 3.17de tanmlanan seeneklerle komutun almasn zelletirebilirsiniz.

Security Policylerini Ynetmek

133

Tablo 3.17: Mbsacli.exe /hf Komut Satr Seenekleri.

Seenek Aklama Belirlenen hostu tarar. Host isimleri arasna virgl koyarak birden fazla hostu taratabilirsiniz. Taranacak her bilgisayarn NetBIOS isimlerini tarar ve bilgiyi belirlediiniz dosya iine metin olarak kaydeder. Belirlenen IP adresindeki bilgisayar tarar. IP adresleri arasna virgul koyarak birden fazla bilgisayar taratabilirsiniz. Verilen bir metin dosyas iindeki IP adreslerine sahip bilgisayarlar tarar. Maksimum 256 IP adresi verebilirsiniz. Belirlenen domaini tarar. Yerel networkdeki tm bilgisayarlarn taranacan belirler.

-h hostname -fh filename -i xxxx.xxxx.xxxx. xxxx -fip filename -d domainname -n

Windows Server 2003 Servislerini Ynetmek

Bir servis, Windows Server 2003 iletim sisteminde, spesifik bir grevi yerine getiren bir program, rutin ya da ilemdir. Servisleri ekil 3.26da grntlenen Services penceresi araclyla ynetirsiniz. Bu pencereye ok eitli yollarla eriebilirsiniz. rnein, Computer Management yardmc arac ile (Start menu zerinde sa tklayp Manage komutu verdikten sonra Services And Applications ve Services klasrlerini genileterek), Administrative Tools ile ya da bir MMC snap-ini kullanarak eriebilirsiniz.

ekil 3.26: Services penceresi.

Herbir servis iin, Services penceresi, isim, ksa aklama, balang tipi, servisin balamas iin kullanlan logon hesab bilgilerini listeler. Bir servisin zelliklerini yaplandrmak iin o servis zerinde ift tklayarak Properties diyalog kutusunu an. Bu diyalog kutusu aadaki ksmlarda aklanan servis zellikleri ile ilgili drt sekme ierir.

Genel Servis zelliklerini Yaplandrmak

Servis Properties diyalog kutusu General sekmesi (ekil 3.27) aadaki eenekleri grntlemenizi ve yaplandrmanz salar:

Servis ad (service display name) Servisin aklamas (Description) Servisin altrlabilir yolu (Path to executable)

134

Blm 3

Balang tipi, otomatik, manuel ya da devre d (Startup type, automatic, manuel, disabled) Servisin u anki durumu (Service status)

Diyalog kutusunun Service Status ksmndaki butonlar kullanarak bir servisi, balatabilir, durdurabilir, duraklatabilir ya da yeniden balatabilirsiniz.

Servis Log On zelliklerini Yaplandrmak

ekil 3.28de grntlenen servis Properties diyalog kutusu Log On sekmesi servisi balatmak iin kullanlacak logon hesabn yaplandrmanz salar. Burada local system accountunu ya da dier logon hesaplarn seebilirsiniz.

ekil 3.27: Servisin Properties diyalog kutusu General sekmesi.

ekil 3.28: Servis Properties diyalog kutusu Log On sekmesi.

Log On sekmesinin en altnda, bu servis ile ilikilendirmek iin bir hardware profile seebilirsiniz. Herbir hardware profile iin servisi etkin ya da devre d brakabilirsiniz.

Servis Recovery zellikleri

ekil 3.29da grntlenen servis Properties diyalog kutusu Recovery sekmesi, servisin yklenmesi esnasnda ilemin baarsz olmas durumunda ne yaplacan yaplandrmak iin kullanlr. lk, ikinci ya da sonrasndaki hatalar iin u eylemleri seebilirsiniz:

Take No Action (Hibir ey yapma) Restart The Service (Servisi yeniden balat) Run A File (Bir dosya altr) Reboot The Computer (Bilgisayar yeniden balat)

Run A File seeneini iaretledikten sonra dosyay ve komut satr parametrelerini belirleyebilirsiniz. Eer Reboot The Computer seeneini iaretlerseniz, ardndan o bilgisayara bal kullanclara bilgisayar yeniden balatlmadan gnderilecek bir mesaj yaplandrabilirsiniz.

Servis Bamlln Kontrol Etmek

ekil 3.30da grntlenen servis Properties diyalog kutusu Dependencies sekmesi, o servisin balamas iin alyor olmas gereken servisleri listeler. Bu bilgiyi bir servisin balarken baarsz olmas durumunda hangi bamllklarn olduunu tespit etmek iin ve ardndan herbir bal servisin altndan emin olmak iin kullanabilirsiniz.

Security Policylerini Ynetmek

135

ekil 3.29: Servis Properties diyalog kutusu Recovery sekmesi.

ekil 3.30: Servis Properties diyalog kutusu Dependencies sekmesi.

Dependencies sekmesinin en altnda, eer varsa bu servise bal olan dier servisleri grebilirsiniz. Durdurmak zere olduunuz bir servis iin burada herhangi bir baml servisin olup olmadn kontrol etmelisiniz.

Gerek Dnya Senaryosu Windows Server 2003 Servislerini Kullanmak

altnz irket birok uygulama kullanyor. Bu uygulamalarn almas iin bir kullancnn bir servis olarak log on olmu olmas gerekiyor. Uygulamalardan bazlar spesifik kurulum admlarna sahip olmakla birlikte dier uygulamalar bu yaplandrmay sistem yneticisine brakmtr. Uygulamalarn bir ksm ile ilgili bir problem servisin ynetimsel haklara sahip bir kullanc olarak sisteme log on olmas gerekliliidir. Bu durum kolaylkla potansiyel bir gvenlik ihlali olabilir, fakat sizin sevis hesaplarnz ynetebileceiniz admlar da vardr. Servis hesaplarn kolaylkla tanmlayabilmek iin bir adlandrma kural kullann. rnein, servisler iin kullanlan tm kullanc hesaplarnn nne # iareti yerletirebilirsiniz. rnek olarak eer servis hesab kullanan bir virus taraycnz varsa log on iin kullanlacak bir kullanc hesab olarak #VirScan oluturabilirsiniz. Kullanc haklar altnda, bu kullanc hesabna Logon As A Service hakkn atayabilirsiniz. Ayn zamanda servis iin kullanlan bu kullanc hesabnn gl bir parolaya (karakter, numaralar ve noktalama iaretleri ieren) sahip olduundan emin olmalsnz. Eer domaininiz password restriction (parola kstlayc) kullanyorsa, servisler iin kullanlan kullanc hesap parolalarn asla geersiz olmayaca ekilde (Password never expires) yaplandrmanz gerekir.

zet
Bu blmde Windows Server 2003 gvenlik zelliklerini rendiniz. Bu blmde lokal ya da domain seviyesinde uygulanabilecek gvenlik ayarlarna gz atlmtr. rnein, local security policylerinin ynetimi iin group policy ile local computer Group Policy Objesinin kullanm, domain security policylerini ynetmek iin Group Policy ile domain policy GPOsunun kullanm. Ayn zamanda Account policylerinin logon ilemini nasl kontrol ettii zerinde duruldu. Account policylerinin eidi password, account lockout ve Kerberos policyleridir. Ardndan lokal policylerin kullancnn bilgisayarda neler yapabileceini nasl kontrol ettii zerinde duruldu. Lokal policylerin eidi, audit, user right assignment ve security options policyleridir. Bu blmde gz attmz baka bir konu gvenlik yaplandrmanz analiz etmek iin kullanlan Security

136

Blm 3

Configuration and Analysis yardmc aracyd. Bu yardmc arac var olan gvenlik ayarlarnz ile arzuladnz ayarlar ile yaplandrdnz bir gvenlik ablonunu karlatrmak iin altrrsnz. Gncelletirme metotlar rnein Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Secucirty Analyzer incelendi. Son olarak, servislerin balang seeneklerini ynetmek, servisleri durdurmak, logon ve servis recovery zelliklerini yaplandrmak ve servis bamlklarn kontrol etmek iin kullanlan Services yardmc arac incelendi.

Snav Esaslar
Group Policy Objelerini kullanarak gvenlik ayarlarnn nasl yaplandrldn anlayn. GPOlar araclyla yaplandrlabilecek seenekleri bilin. GPOlarn Active Directory araclyla nasl uygulandn anlayn. GPOlarn uygulanma srasn anlayn. Varsaylan GPO alma yaklamnn nasl deitirilebileceini bilin. Account policylerinin nasl tanmlanp yaplandrlabileceini bilin. Password policyler, accout policyler, account lockout policyler ve Kerberos policyler iin seeneklerin nasl yaplandrldn anlayn. Local policylerin nasl tanmlanp yaplandrldn bilin. Audit Policyleri, User Rights Assignment ve Security Options klasrlerindeki seeneklerin nasl yaplandrldklarn anlayn. System policylerin nasl tanmlanp yaplandrldn bilin. User Profilelarnn, Logon, Disk Quota, Group Policy ve Windows File Protection seeneklerinin nasl yaplandrldn anlayn. Security Configuration and Analysis Aracn kullanabiliyor olun. Security Configuration and Analysis yardmc aracnn Windows Server 2003 bilgisayarlarnzn gvenliini gvenlik ablonlar ile analz etmek iin nasl kullanldn bilin. Windowsun gncel kalmas iin kullanlan farkl yollar anlayn. Windows gncelletirmeleri gerekletirmek iin drt ara ierir. Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Security Analyzer. Windows Update Microsoft web sitesi ile balantl olarak alan ve kullanc tarafndan balatlan bir ilemdir. Bu ilem Windows kullanclarna iletim sistemlerinin gncelletirme dosyalarn (kritik ve kritik olmayan yazlm gncelletirmeleri) indirerek iletim sistemlerini gncelletirmelerini salar. Automatic Updates Windows Uptadein, kritik dosyalarn gncelletirilmesinin otomatik hale getirilmi eklidir. SUSun yerine gelen Windows Server Update Services (WSUS) Windows Updatein kstl bir versiyonun irket iindeki istemcilere Windows updatelerini salamak zere irket sunucusuna indirilmesi amacyla kullanlr. Microsoft Baseline Security Analyzer (MBSA) Microsoft web sitesinden indirilebilen ve en son gvenlik gncelletirmelerine sahip olduunuzdan emin olmanz salayan bir yardmc aratr. Servislerin nasl ynetildiini bilin. Servisleri Services penceresi ile ynetirsiniz. Services penceresi servisleri herbir servis iin isim, ksa bir aklama, balang tipi ve o servisin balatlmas iin kullanlan logon hesab bilgilerini gsterecek ekilde listeler. Bir servisin zelliklerini yaplandrmak iin o servisin zerinde ift tklayarak Properties diyalog kutusunu an.

Security Policylerini Ynetmek

137

Gzden Geirme Sorular

1. Windows Server 2003 domain controller bilgisayarnzda GPOlarda yakn zamanda deiiklikler yaptnz. Yeni kulanclar log on olduunda yaptnz deiikliklerin uygulanmadn fark ettiniz. Aadaki resmi kullanarak, yeni deiikliklerin networke log on olan tm bilgisayarlara 10 dakika iinde uygulanmasn salamak amacyla hangi seenei ayarlayabilirsiniz?

A. Group policyyi Apply Goup Policy For Computers Asynchronously During Startup seeneini etkin hale getmek ve yaplandrmak. B. Group policyyi Apply Goup Policy For Users Asynchronously During Startup seeneini etkin hale getirmek ve yaplandrmak. C. Group policyyi Goup Policy Refresh Interval For Computers seeneini 10 dakika olacak ekilde etkin hale getirmek ve yaplandrmak. D. Group policyyi Goup Policy Refresh Interval For Domain Controllers seeneini 10 dakika olacak ekilde etkin hale getirmek ve yaplandrmak. 2. TESTCORP.COM domaininin sistem yneticisisiniz. Default Domain Policy objesi iin Local Security Options yaplandrdnz. DENVER.TESTCORP.COM domaininin ve BELFAST. TESTCORP.COM domaininin ynetimsel kontroln ayr ayr yerel sistem yneticilerine delege ettiniz. Sizin belirlediiniz group policy ayarlar ile yerel sistem yneticilerinin tanmladklar ayarlarn akmayacandan emin olmak istiyorsunuz. Neyi yaplandrmanz gerekir? A. TESTCORP.COM domain GPO zerinde No Override seeneini yaplandrmak B. TESTCORP.COM domain GPO zerinde Block Inheritance seeneini yaplandrmak C. TESTCORP.COM domain GPO zerinde Always Apply Root Level GPO seeneini yaplandrmak D. Hibirey. Sizin seenekleriniz varsaylan olarak tm yerel seenekleri yok sayacaktr. 3. Sizin domaininize birisinin Administrator hesabn kullanarak log on olmay altndan pheleniyorsunuz. Domain iinde kullanclarn baarl ve baarsz log on olma durumlarn izlemek istiyorsunuz. Aadaki ekle gre, hangi denetleme olayn etkin hale getirmeniz gerekir?

138

Blm 3

A. Audit Account Logon Events B. Audit Account Management C. Audit Logon Events D. Audit Process Tracking 4. Active Directory kullanan bir Windows Server 2003 networknn sistem yneticisisiniz. Networknzde Windows Server 2003 domain controllerlar, Windows Server 2003 ye sunucular ve XP Professional bilgisayarlar var. Networknzn gvenliinin network ataklarna kar dayanksz olduundan kayglanyorsunuz. Security Configuration and Analysis snapinini kullanarak networkn gvenliini sklatrmak istiyorsunuz. Aadaki seeneklerden hangisi bu ara kullanlarak uygulanabilir? (Uygun olan tm klar sein.) A. Gvenlik seeneklerinin deiimini izlemek. B. Group policyleri oluturmak ve uygulamak C. Gvenlik seenekleri iin bir veritaban ayarlamak. D. Var olan bir gvenlik ablonunu import etmek. 5. Bir Fortune 500 irketinin network sistem yneticisisiniz. Merkez kampsteki tm istemci bilgisayarlarndan sorumlusunuz. Tm istemci bilgisayarlarnn gvenli olduundan emin olmak istiyorsunuz. MBSA kullanarak muhtemel gvenlik ihlallerine kar istemcilerinizi taramaya karar verdiniz. MBSA n komut satr versiyonu ile bilgisayarnz IP adreslerine gre taramak istiyorsunuz. Aadaki komutlardan hangisini kullanmanz gerekir? A. Mdsacli.exe /hf i xxxx.xxxx.xxxx.xxxx B. Mdsacli.exe /ip xxxx.xxxx.xxxx.xxxx C. Mbsa.exe /hf ip xxxx.xxxx.xxxx.xxxx D. Mbsa.exe /ip xxxx.xxxx.xxxx.xxxx 6. Bir Windows Server 2003 ye sunucusu iin goup policyyi hzl bir ekilde dzenlemeniz gerekiyor. Aadaki komut satr yardmc aralarndan hangisini Local Computer Policy yardmc aracna erimek iin kullanabilirsiniz? A. EditGPO.exe B. GPOEdit.exe

Security Policylerini Ynetmek

139

C. EditGPO.msc D. Gpedit.msc 7. Services yardmc aracnn en yaygn kullanmlarndan birisi yazdrma kuyruunun durdurulmas iin Print Spooler servisinin devre d braklmasdr. Print Spooler servisini durdurmak ve ardndan yeniden balatmak iin hangi admlar atabilirsiniz? Uygun olan tm klar sein. A. Start > All Programs > Accessories > Services sein. B. Start > Administrative Tools > Services C. Print Spooler servisi zerinde ift tklayn. D. Print Spooler servisi zerinde sa tklayn ve pop-up menden Edit komutunu sein. E. Pause butonuna tklayn ve ardndan Start butonuna tklayn. F. Stop butonuna tklayn ve ardndan Start butonuna tklayn. G. Startup Type listesinden Manuali sein. 8. Networknz olduka yksek gvenlik seviyesine ihtiya duyuyor. Windows Server 2003 domain controllerlarnz, Windows 2000 istemcilerinizin sadece kendi aralarnda iletiim kurabilecekleri ekilde yaplandrmak istiyorsunuz. Gereksinimlerinize gre sunucularnza uygulamanz gereken gvenlik ablonu aadakilerden hangisidir? A. Securedc.inf B. Hisecdc.inf C. Dedicadc.inf D. W2kdc.inf 9. Networknzn gvenlii ile ilgili bir takm kayglarnz var. Windows Server 2003 ile birlikte kullanlan gvenlik protokolleri ile olabildiince bilgi sahibi olmak istiyorsunuz. Aadaki gvenlik protokollerinden hangisi Windows Server 2003 ile kullanc ve network servislerinin kimliklerini dorulamak amacyla kullanlr? A. Kerberos version 5 B. C2\E2 Security C. KDS Security D. MS-CHAP 10. TESTCORP.COM domaininin sistem yneticisisiniz. Kullanclarn her 45 gnde kendi parolalarn deitirmeye zorlayan bir GPO yaplandrdnz. Kullanclarn eski parolalarn tekrar hemen kullanmayacaklarndan emin olmak istiyorsunuz. Hangi Password policysi kullanclarn eski parolalar belirli bir sayya ulamadan bunlar tekrar kullanmalarn engeller? A. Enforce Password History B. Use Unique Passwords C. Require C2/E2 Encryption Standards D. All Passwords Must Use High Level Standards 11. Sistem yneticilerinizden birinin klasr izlemenin etkinletirildii Payroll klasrnn ieriini grebilecek ekilde yeni kullanclar oluturduundan pheleniyorsunuz. Bir kullanc ya da grup oluturma, silme ya da ynetimsel bir eylem gerekletirilme durumlarn izleyebilmek iin hangi audit policyyi etkinletirmeniz gerekir? A. Audit Object Access B. Audit Logon Events

140

Blm 3

C. Audit Account Management D. Audit Process Tracking 12. Bir Fortune 500 irketinin network sistem yneticisisiniz. Merkez kampsteki tm istemci bilgisayarlardan sorumlusunuz. Tm istemci bilgisayarlarnda kendi iletim sistemleri iin en son gncel yazlmlarn (Critical Updates and Service Packs, Windows Server 2003 Family ve Driver Updates kategorilerindeki yazlmlar ierecek ekilde) ykl olduundan emin olmak istiyorsunuz. Bu ilemi mmkn olduunca otomatik hale getirmek ve istemci bilgisayarlarn gncelletirmeleri, sizin ynettiiniz bir merkezi sunucudan indirmelerini istiyorsunuz. Windows Server Update Services kullanmaya karar verdiniz. WSUSServer adnda bir sunucuya, WSUS sunucu yazlmn yklediniz. WSUS sunucuyu group policyleri domain iinde ayarlamadan nce denemek istiyorsunuz. Bir test istemci zerinde Windows XP Professional en yeni service pack ile birlikte yklediniz. stemcinin Windows Update iin WSUSServer kullanmas iin, o istemcide aadaki Registry kaytlarndan hangisini oluturmanz gerekir? (Uygun olan tm seenekleri iaretleyin) A. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ UseWUServer anahtar ve 0 deeri B. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ UseWUServer anahtar ve 1 deeri C. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ WUServer anahtar ve http://WSUSServer deeri D. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ WUServer anahtari ve WSUSServer deeri E. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtar ve http://WSUSServer deeri F. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtar ve WSUSServer deeri 13. Windows Server 2003 bilgisayarnz ayn zamanda anonim eriime ak bir IIS sunucu olarak da hizmet veriyor. Gvenlik risklerini mmkn olduunca en alt dzeye ekmek istiyorsunuz. Aadaki gvenlik seeneklerinden hangisi anonim balantlar iin ek kstlar belirleyebilmenizi etkin hale getirecektir? A. Additional Restriction For Anonymous Users B. Impose Addtional Security For Anonymous Users C. Tight Security For Anonymous D. Audit Access Of Anonymous Users 14. Windows Server 2003 bilgisayarnz iin son zamanlarda bir takm gvenlik ayarlar uyguladnz. Gvenlik ayarlarn dorulamaya altnzda bu ayarlarn uygulanmam olduu grlyor. Yeni security policylerinin gncelletirilmesini zorlamak iin hangi komut satr yardmc aracn kullanabilirsiniz? A. secupdate B. gpupdate C. secrefresh D. secpol

Security Policylerini Ynetmek

141

15. Windows Server 2003 domain controllernzda group policyleri yaplandrdnz. Windows 2000 istemcileriniz group policyleri kullanyor fakat Windows NT 4 istemcilerinizde group policyler uygulanmyor. Windows Server 2003 zerinde, Windows NT 4 istemcileri iin group policy oluturmak ve ynetmek amacyla aadaki komut satr yardmc aralarndan hangisi kullanlr? A. poleditor B. syspoled C. poledit D. editpol 16. APPSERVER adnda bir Windows Server 2003 bilgisayarnn sistem yneticisisiniz. APPSERVER zerinde ykl bir uygulama var. Bu uygulama APP1 adnda bir servis olarak alyor. APP1 almas her an aksayabilecek bir yapya sahip. u gereksinimleri salayacak ekilde APP1 iin kurtarma seeneklerini yaplandrmanz gerekiyor: APP1in en azndan bir gn altnda servisin baarsz olma durumunda hemen yeniden balatlmaldr. Dier gn iin byle bir hatadan sonra APP1 baarl bir ekilde almazsa APPSERVER hemen yeniden balatlmaldr. Bu gereksinimleri yaplandrmak iin aadakilerden hangilerini yerine getirmeniz gerekir? ( seenei iaretleyin) A. APPSERVER iin Reset Fail Count After deerini 1 gne ayarlayn. B. APP1 iin Restart Service After deerini 1440 dakaya ayarlayn. C. lk baarsz olma durumunda APP1i yeniden baayacak ekilde yaplandrn. D. lk baarsz olma durumunda APPSERVER yeniden balayacak ekilde yaplandrn. E. kinci baarsz olma durumunda APP1i yeniden baayacak ekilde yaplandrn. F. kinci baarsz olma durumunda APPSERVER yeniden balayacak ekilde yaplandrn. 17. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domainini ieriyor. Tm sunucular Windows Server 2003 altryor. Windows Server Update Services (WSUS) SERVERA ve SERVERB adlarnda iki sunucuya ykl. SERVERA Microsoft Windows Update sunucularndan gncelletirmeleri alyor. SERVERAy manel olarak Windows Update sunucular ile senkronize ettiniz ve SERVERB zerinde WSUS yaplandrmasn tamamlamanz gerekiyor. Aadakilerden hangisi SERVERB zerinde WSUS yaplandrmas iin tamamlamanz gereken bir adm deildir? A. Var olan gncelletirmeleri onaylayn. B. SERVERByi gncelletirmeleri SERVERAdan alacak sekilde ve SERVERAdaki onaylanan gncelletirmeler ile otomatik olarak senkronize olacak ekilde ayarlayn. C. SERVERByi gncelletirmeleri otomatik olarak SERVERAnn gncelletirmeleri ald kaynaklar iin ayarlayn. D. SERVERByi gnlk gncelletirmeleri verilen bir zamanda otomatik olarak alacak ekilde ayarlayn. 18. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domainini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemci bilgisayarlar Windows XP Professional altryor. irket birok projeyi e zamanl olarak yrtyor. alanlarnzdan birinin Active Directorydeki kullanc hesap bilgilerini deitirebilmesini fakat o kiiye sadece bu ii yapabilmesi iin gerekli yetkilerin verildiinden emin olmak istiyorsunuz. Domain iin Delegation Of Control Wizard altryorsunuz. Sonraki admda aadakilerden hangisini yapmanz gerekir? A. Delegate The Following Common Tasks radyo butonunu sein ve Create, Delete, And Manage User Accounts onay kutusunu iaretleyin. B. Create A Custom Task To Delegate radyo butonunu sein ve Next butonuna tklayn.

142

Blm 3

C. Delegate The Following Common Tasks radyo butonunu sein ve Read All User Information onay kutusunu iaretleyin. D. Delegate The Following Common Tasks radyo butonunu sein ve Modify The Membership Of A Group onay kutusunu iaretleyin. 19. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domaini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemci bilgisayarlar Windows XP Professional altryor. irket 16 mobil sat grevlisine sahip. Bu sat grevlileri kendi bilgisayarlarnda Power Users yerel grubuna ye. Saat 18:00dan 7:00a kadar sat grevlilerinin tanabilir bilgisayarlar genelde kapal ve irketin networkne bal deil. Mobil sat grevlilerinin bilgisayarlar her gn yazlm gncelletirmelerini, minimum kullanc etkileimi ile almas gerekiyor. Tanabilir bilgisayarlar zerinde son gncelletirmeleri kontrol ederken Windows Update sunucularndan gncelletirmelerin uygulanmadn fark ediyorsunuz. Bilgisayara gncelletirmelerin yklendiinden emin olmak iin mobil bilgisayarlarn System Properties diyalog kutusu Automatic Updates sekmesinde ne yapmanz gerekir? ( seenei iaretleyin) A. Gncelletirmeler iin planlanan zaman her gn iin saat 00:00a ayarlayn. B. Automatically download the updates, and install them on the schedule that I specify: radyo butonunu sein. C. Notify me before downloading any updates and notify me again before installing them on my computer radyo butonunu sein. D. Keep My Computer Up To Date onay kutusunu iaretleyin. E. Download the updates automatically and notify me when they are ready to be installed radyo butonunu sein. F. Gncelletirmeler iin planlanan zaman her gn iin saat 12:00a ayarlayn. 20. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domaini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemcileriniz Windows 2000 Professional Service Pack 4 ya da Windows XP Professional altryor. SUSSERVER adnda bir bilgisayara Windows Server Update Services (WSUS) yklediniz. Bir Group Policy Objesi (GPO) oluturarak tm istemci bilgisayarlarn yazlm gncelletirmelerini SUSSERVERdan alacak ekilde yaplandryorsunuz. Ardndan, tm istemci bilgisayarlarnda gncelletirmelerin uygulanp uygulanmadn grmek iin Microsoft Baseline Security Analyzer (MBSA) altryorsunuz. Tm Windows 2000 Professional bilgisayarlarn gncelletirmeleri aldn fakat Windows XP Professional istemcilerinin hi bir gncelletirmeyi almadn fark ediyorsunuz. GPO ayarlarnn tm Windows XP Professional bilgisayarlarna uygulandn doruluyorsunuz. Windows XP Professional istemci bilgisayarlarnn gncelletirmelerini SUSSERVERdan aldklarndan nasl emin olabilirsiniz? A. Windows XP Professional istemci bilgisayarlar kullanclarn yerel Administrators grubuna ye yapn. B. Tm Windows XP Professional istemci bilgisayarlarnda Service Pack 1 ykleyin. C. Tm Windows XP Professional istemci bilgisayarlarnda Automatic Updatesi yeniden balatn. D. Windows XP Professional istemci bilgisayarlarnda HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\WindowsUpdate\AU altndaki NoAutoUpdate deerini silin.

Security Policylerini Ynetmek

143

Gzden Geirme Sorularnn Cevaplar

1. C. Group Policy Refresh Intervals For Computers bilgisayarlarn Group Policylerinin gncelletirilmesi iin kullanlacak olan bir zaman aral belirler. Varsaylan olarak bu arka plan hizmeti her 90 dakikada bir gerekleir. 2. A. No Override seenei yksek dzeylerdeki child konteyner ayarlarnn daha yksek seviyedeki GPOlarn ezememesi iin kullanlr. Bu durumda ncelik sras site ayarlar domain ayarlarn ezecek ekilde ve domain ayarlar da OU ayarlarn ezecek ekilde olur. No Override seenei irket baznda dier alt dzeydeki konteynerlerin sistem yneticilerinin sizin ayarlarnz ezmelerine izin vermeyecek ekilde policyler uygulamak istediinizde kullanlr. Bu seenek gerektiinde her bir konteyner baznda ayarlanabilir. 3. A. Audit Account Logon Events policy, bir kullancn log on ya da log off olmas ya da bir network balants yapmas gibi olaylar izlemek iin kullanlr. Audit Logon Events policy ise bir logon scriptin almas ya da bir roaming profilea ulalmas gibi olaylar izlemek iin kullanlr. 4. C, D. Security Configuration and Analysis snap-ini ile gvenlik ayarlarnzdaki herhangi bir zayflk durumunu belirlemek iin var olan bir ablonu sizin yaplandrmanza kar analiz edebilirsiniz. 5. MBSAn komut satr yardmc arac Mdsacli.exenin bir ok seenei vardr. Mdsacli. exe /hf yazn ve ardndan rnein /i xxxx.xxxx.xxxx.xxxx gibi (taranacak bilgisayar IP adresi ile tanmlayabileceiniz) bir seenek ile komutun almasn zelletirin. 6. D. Group policyleri Group Policy MMC snap-ini ile ya da Gpedit.msc komut satr yardmc arac ile dzenleyebilirsiniz. Bu yardmc arac kullanmak iin Start > Run sein ve Gpedit. msc yazn ve OK butonuna tklayn. 7. B, C, F. lk nce Start > Administrative Tools > Services sein. Ardndan Print Spooler servisi zerinde ift tklayn. Son olarak Stop butonuna ve ardndan Start butonuna tklayn. 8. B. Hisecdc.inf gvenlik ablonu Windows Server 2003 bilgisayarlar iin yksek derecede network iletiim gvenlii tanmlar. Eer bu gvenlik ablonunu uygularsanz, Windows Server 2003 bilgisayarlar sadece dier Windows Server 2003 bilgisayarlar ile iletiim kurabilir. Bu durumda, bu bilgisayarlar Windows 95/98 ve hatta Windows NT bilgisayarlar gibi nceki istemcilerle iletiim kuramayacaklardr. 9. A. Windows Server 2003 kullanclar ve servisleri karlkl olarak kimliklerini dorulamak iin Kerberos version 5 protokoln kullanr. 10. A. Enforce Password History seenei belirlendiinde kullanclar ayn parolalarn tekrar kullamazlar. Parolalarnn sresi getiinde ya da deitirildiinde kullanclar yeni bir parola oluturmak zorundadrlar. 11. Audit Account Management policy kullanc ve grup oluturma, silme ve ynetim eylemlerini izlemek iin kullanlr. 12. B, E. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsUpdate\AU\UseWUServer Registry anahtar Windows Update sunucusu kullanm iin 0a ayarlanabilir. Ya da bu anahtar 1 olarak ayarlanarak HKEY_LOCAL_MACHINES\Software\Policies\Microsoft\Windows\WindowsUpdate iinde anahtar ile Windows Update iin spesifik bir sunucu tanmlanabilir. WUServer anahtar sunucunun HTTP ismini kullanarak Windows Update sunucuyu tanmlar, rnein, http://intranetSUS. 13. A. Additional Restrictions For Anonymous Users gvenlik seenei sizin aka belirlenmemi anonim yetkiler dnda bir eriim izni vermemek gibi ek gvenlik kstlar koymanz salar. 14. B. Eer security policynizi dzenlediinizde ve deiikliklerin etkin hale gelmediini fark ederseniz bu group policylerin sadece peryodik olarak uygulanmasndan kaynaklanabilir. Bilgisa-

144

Blm 3

yar ayarlar iin secedit /refreshpolicy machine_policy ya da kullanc ayarlar iin secedit /refreshpolicy user_policy komutu ile policylerinizin gncelletirilmesini zorlayabilirsiniz. 15. C. Windows Server 2003de poledit komut satr yardmc arac ile System Policy Editore ulaabilirsiniz. Bu yardmc ara Windows NT 4 istemcileri iin system policyleri oluturmanz ve ynetmeniz iin kullanlr. 16. A, C, F. Baarsz olma sayac srekli alr. Saya 0 (sfr) olduunda, C seenei ilk failure olma durumunda sadece APP1in yeniden baladn belirler. Herbir baarsz olma durumunda failure zamanlaycs 0 olacaktr. A seenei ile sadece baarl bir gnden sonra failure olma sayac otomatik olarak 0 olacaktr. Eer timer 1 gne ulamadan nce ikinci baarsz olma durumu oluursa APPSERVER yeniden balayacaktr. Bununla birlikte, timer nceki 24 saatlik periyotta herhangi bir failure durumu olmadnda timer 1 gne ulatnda failure sayac resetlenir ve APP1in sonraki failure olma durumunda yeniden balamasna neden olur. 17. C. Yaplandrma iin C seenei dndaki dier tm seenekler geerli admlardr. 18. B. Delege etmek iin zel bir grev oluturmak bu konuda tek zmdr. Dier seenekler gereinden fazla yetkinin verilmesine ya da gerekli yetkilerin verilmemesine neden olacaktr. Next butonuna tkladnzda gereksinimleri yerine getirmek iin delege edeceiniz kontrol tam olarak saptayabilirsiniz. 19. B, D, F. A seeneinde gncelletirmeler bilgisayarlarn genel olarak irket networkne bal olmadklar zamana planlanmtr. Seenek C ve E bahsedilen miminum kullanc etkileimi ihtiyacn karlamamaktadr. Gncelletirmelerin kullanc etkileimi gerektirmeden le vaktinde gerekleecek ekilde ayarlanmasyla bahsi geen ihtiyalar salanacaktr. 20. Gncelletirmeler iin bir zamanlama belirlemek amacyla gncelletirmeleri eken sunucunun minimum Windows Server 2003 olmas gerektii gibi istemciler iin desteklenen minimum platformlar Windows Server 2003, Windows XP SP1 ve Windows 2000 SP3dr.

IP Seviyesinde Gvenlik Ynetimi

4 IP Seviyesinde Gvenlik
Ynetimi
IPSecin almasn Anlamak IPSec Kurulumu IPSec Yaplandrma IPSeci Tunnel Mode in Yaplandrmak IPSec Ynetimi ve zleme IPSec Sorun Giderme Teknikleri zet Snav Esaslar Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar

IP Seviyesinde Gvenlik Ynetimi

Network trafiini kontrol edebilmek, sistem ynetiminin ana paralarndan birisidir. Birok organizasyon network trafiklerinin gizlice dinlenmesi ve yetkisiz kiiler tarafndan deiiklik yaplmas durumlarndan korunmak ister. Fakat bunu yapmak olduka gtr nk bu ilem bir takm engelleme ve kstlamalar beraberinde getirir. Birlikte alabilirlik bu engellerin en nemlilerinden birisidir; fakat network trafiini istenilen ekilde korurken ilk bakta gze arpmayan bir takm ince taraflar vardr. Internet Engineering Task Force (IETF) bu problemi bir sre nce gndemine alm ve sonu olarak Internet Protocol Security (Ipsec) Extensions ortaya kmtr. IPSec, temel Internet Protocol (IP)e yaplan bir takm eklentiler kmesidir. IPSec Extensions IPnin yerine gemez, sadece gvensiz Internet Protocol (IP) zerinden gvenli bir iletiim salar. Bu blmde, IPSecin nasl kurulduu ve yaplandrld ve varsaylan security policylerinin nasl kullanldn reneceksiniz. Ayn zamanda networknzdeki bilgisayarlar iin koruma dzeyini zelletirmek amacyla kendi security policy ve filterlarnz nasl tanmlayacanz reneceksiniz.

IPSecin almasn Anlamak

IPnin orjinal spesifikasyonu herhangi bir tip gvenlik getirmiyordu. Bu yanllkla yaplan birey deildi, bunun birbirinden tamamen farkl iki nedeni vard: Birincisi kullanc ve sistem yneticilerinin dier kiilerin trafii zerine atak yapmayacaklar ve drst davranmaya devam edecekleri umulmutu. Dieri ise, karlkl olarak zerinde uzlalan gvenlii salayacak kriptografik teknolojilere ihtiya duyulmaktayd ya da bu teknolojiler geni lde bilinmiyordu. nternet geniledike gl kimlik dorulama ve privacy koruma yntemleri ihtiyac net olarak ortaya kmaya balad. Fakat bunlar IP spesifikasyonu 4. versiyonunda (u anda standart olarak benimsenen) mevcut deildi. IP uyumlu aygtlar gelitike tm bu aygtlar arasndaki operasyonlara mani olmayacak bir gvenlik protokol tasarm yapld. Sonunda, reticiler Aralarnda Microsoft, Cisco, Nortel ve RSA Securitynin de bulunduu reticiler IPSec rnlerine sahipler. IPSec aralarnda RFC 2401, 1990larn sonlarnda IP versiyon 4e IP 2402, 2406, 2408 ve 2409 gibi bir takm RFCler ile tanmlanmtr. Security Extensions (daha ok IPSec olarak bilinir) destekleyen rnlerini duyurmaya baladlar. IPSec Network katmannda alr ve uygulamalar effaf bir ekilde korur. IPSec terminolojisinde istemci ve sunucu kavram bu zamana kadar rendiimiz sunucu ve istemci kavramndan biraz farkldr. Herhangi bir Windows 2000 Server, Windows XP ya da Windows Server 2003 makinesi bir IPSec istemcisi ya da sunucusu olabilir. Bir IPSec istemcisi, dier bir bilgisayara balant giriiminde bulunan bir bilgisayardr. IPSec sunucu ise bu balantdaki hedef bilgisayardr. Uygun istemci ve sunucu ayarlarn seerek birbirleriyle konuurken IPSec kullanan bilgisayarlar daha dzgn bir ekilde altrabilirsiniz. IPSec iki servis sunar: Bilgisayarlar iin birbirlerine gvenip gvenmediklerine karar vermeleri iin (authentication - kimlik dorulama) ve network verilerinin gizli tutulmas iin (encryption - ifreleme) birer yol salar. IPSec sreci bir ifreli balantya balamadan nce her iki bilgisayarn birbirlerinin kimliklerini dorulamasn gerektirir. Bu noktada, iki makine birbirleri arasndaki trafii ifrelemek iin kullanacaklar bir gizli anahtar zerinde mutabk kalmak adna Internet Key Exchange (IKE) protokoln kullanr. Bu sre, bu blmn sonraki ksmlarnda greceiniz IPSec security associations (SAs) balamnda yer alr. Bunun yannda Windows Server 2003 IPSec uygulamalar policy tabanl gvenlik fikrini ak bir ekilde destekler. Bir domain iindeki her bir makine iin gvenlik ayarlarn deitirmek yerine,

148

Blm 4

policyleri her makine iin, bir domain ya da organizational unit iindeki bir grup makine iin ya da networknzdeki tm Windows 2000, XP veya Server 2003 makineleri iin ayarlayabilirsiniz. ki makine arasndaki balantda ifreleme ya da kimlik dorulama kullanrken - end-to-end mode (ya da transport mode) network trafii orjinal mesaj braklmadan gvenli hale getirilir - veri alc makine tarafndan alnp ifresi zlene kadar gvenli kalr. kinci bir uygulama daha vardr: Bakalarnn da kulland bir hat zerinden akan trafii gvenli hale getirmek. IPSecin bu kullanmna tunnel mode ad verilir, nk bu genelde Layer 2 Tunneling Protocol (L2TP) tarafndan kurulan bir tnel ierisinden gnderilmek zere trafiin ifrelenmesi iin kullanlr.
Bu blmde ve snavda IPSec tunnel mode grdnzde bu VPN trafii iin deil, tunneling iin IPSec anlamna gelir. L2TPden bahsedildiini grdnzde bunun rahatlkla L2TP + IPSec anlamna geldiini dnebilirsiniz. Farkllklarla ilgili daha fazla bilgi iin Blm 7 Remote Access Servislerinin Ynetimine bakn.

Aadaki ksmlarda, IP iletiiminin korunmas iin IPSecin nasl kullanldn greceksiniz ve IPSecin Windows Server 2003e nasl entegre edildiini renmeye balayacaksnz.

IPSec Esaslar
IPSec iki farkl role sahiptir: Kimlik dorulama (authentication) ve ifreleme (encryption). Bunlarn her ikisini birden kullanabileceiniz gibi, ayr ayr da kullanabilirsiniz. Ayrca bu her iki zelliin networknzdeki gvenlii iyiletirmeye ynelik birok seenei ve parametresi vardr. Kimlik dorulama networknz korur ve veri, zerinde onaysz deiiklik yaplmadan iletilir. Verinin tahrif edilme ilemi, istemci ile sunucu arasndaki kt niyetli bir saldrgan tarafndan paketlerin ieriklerinin deitirilmesi eklinde (man-in-the-middle attack olarak bilinir), ya da bir saldrgann networknze girip bir istemci ya da sunucu gibi davranmas eklinde ortaya kabilir. IPSec authentication header (AH) kullanarak paket ieriinin tamamn saysal olarak imzalar. Bu imza farkl fayda salar: Replay attacklara kar koruma: Eer saldrgan networkteki veri paketlerini yakalayp belirli bir sre sakladktan sonra makine o networkte yok iken bu paketleri tekrar gnderirse paketleri yakalad makineyi taklit edebilir. Bu replay attack olarak adlandrlr. IPSecin kimlik dorulama mekanizmas tm paketlerde gndericiye ait imza bilgisinin bulunmas sayesinde replay attacklar engeller. Verinin ieriinin korunmas: IPSec imzalar veri btnl salar. Bu, araya giren kiinin paketin anlamn bozmadan ieriinde istedii bir yerde deiiklik yapabilmesinin engellemesi anlamna gelir. Spoof ataklarn engelleme: Kimlik dorulama normalde bir istemci ya da sunucunun dier makinann kimliini tanmlamas anlamna gelir. IPSec authentication headerlar kimlik dorulama salar, nk balantnn her iki ucundaki makineler dierinin kimliini dorulayabilir. Kimlik dorulama veri ieriinin tahrif edilmesini engeller fakat kiilerin bu verileri grmemesi iin bir ey yapmaz. Bu amala ifrelemeye ihtiya duyulur. ifreleme paketin payload ieriini anlalmas g hale getirerek okunamamasn salar. Bunu yapabilmek iin IPSec, Encapsulating Security Payload (ESP) salar. ESP bir IPSec paketinin payloadunun istenilen alc dndaki kiiler tarafndan zlemeyecek hale getirilmesi amacyla ifrelenmesi iin kullanlr. ESP sadece gizlilik (confidentiality) salar; fakat AH ile birlikte maksimum gvenlik getirir. Aadaki blmlerde IPSecin Windows Server 2003e nasl entegre edildiini ve IPSec negotiation srecinin spesifik detaylarn greceksiniz.

IPSec ve Windows Server 2003

Microsoftun IPSec uygulamalar Cisco tarafndan yazlm ve lisanslanmtr. Dsier standart IPSec tabanl istemciler ile uyumluluu garantilemitir. zellikle Group Policy gibi IPSeci daha kul-

IP Seviyesinde Gvenlik Ynetimi

149

lanl hale getiren baz Windows Server 2003 zellikleri vardr. IPSec altran bilgisayarlardan oluan byk bir network dnn. ki bilgisayar iletiim kurmak istediinde her iki ucun IPSeci desteklemesi ve otomatik olarak IPSec avantajlarn kullanabilmesi ideal durumdur. Ayn zamanda uygulamak istediiniz gvenlik ayarlarnn tm IPSec uyumlu makinelere uygulandndan emin olmak istersiniz. Windows NT ve dier birok iletim sistemine sahip IPSec makinelerinde kullanmak istediiniz ayarlar elle yaplandrrdnz. zm Windows Server 2003 Group Policy mekanizmasnda yatyor. lk olarak networknzde kullanmak istediiniz IPSec ayarlarn belirlersiniz. Ardndan, her bir Windows 2000, XP ya da Server 2003 makinesi IPSec Policy Agent ad verilen bir servis altrr. Sistem baladnda Policy Agent, bir Active Directory sunucusuna balanr, IPSec policyyi indirir ve bunu IPSec servisine iletir. (Policy Agent hakknda daha fazla bilgiyi bu blmdeki Security Policyleri ksmnda reneceksiniz) Windows Server 2003, Windows 2000de bulunmayan ya da nemli derecede iyiletirilmi birok IPSec zelliine sahiptir. Bu zelliklerden bazlar basit olarak IPSece gvenlik katmanlar ekler, fakat dierleri ynetim ve izleme amacyla kullanacanz aralarn iyiletirmeleri ya da yeniliklerini ierir. IP Security Monitor: IPSec Monitor Windows Server 2003 iin yenidir. Bu ara bir MMC snap-in olarak kullanlr ve eski versiyona gre birok iyiletirmeler ierir. u anda lokal bir bilgisayardaki IPSec bilgilerini izleyebildiiniz gibi uzak makineleri de izleyebilirsiniz. IPSec policylerinin tm detaylarn, genel ve spesifik filtreleri, istatistikleri, security associationlar grntleyebilir, grntlemeyi zelletirebilir ve spesifik filterlar IP adresleriyle aratabilirsiniz. Daha gl kriptografik master key (Diffie-Hellman): IPSec u anda daha gl Group 3 2048-bit Diffie Hellman anahtar deiimini (key exchange) destekler. Bu anahtar deiimi mekanizmasnn karmakl secret keyin hesaplanabilme zorluunu nemli derecede artrr. Bununla birlikte, eer Windows 2000 ve Windows XP bilgisayarlarnz iin geriye dnk uyumluluk ihtiyacnz varsa 1024-bit anahtar deiimi salayan Group 2 (medium) kullanmalsnz. Hibir zaman Group 1 (low) kullanmamalsnz. netsh ile komut satr ynetimi: IPSeci u anda gncelletirilen netsh komutu ile yaplandrabilirsiniz. Bu i iin Windows 2000de Ipsecpol.exe kullanlrd. netsh ile IPSec yaplandrmasn script haline getirebilir ve otomatikletirebilirsiniz. Persistent policyler Eer lokal ya da Active Directory tabanl policylerin uygulanamad bir makineniz varsa bunun iin bir persistent policy oluturabilirsiniz. Persistent policy her zaman aktiftir ve dier hibir policy tarafndan ezilemez. Persistent policyler sadece netsh komutu ile uygulanabilir. Varsaylan trafik muafiyet karm: nceleri varsaylan olarak tm broadcast, multicast, Internet Key Exchange (IKE), Kerberos ve Resource Reservation Protocol (RSVP) trafii IPSecden muaft. u anda sadece IKE trafii muaftr, nk IKE IPSec iletiimi kurulumu iin gereklidir. NAT zerinden IPSec: IPSec ESP paketleri u anda User Datagram Protocol-Encapsulating Security Payload (UDP-ESP) enkapsulasyon ad verilen bir zellik ile UDP trafiinin iletilmesine izin veren Network Address Translator (NAT)-enabled aygtlar araclyla iletilebilmektedir. Resultant Set of Policy (RSoP): Resultant Set of Policy (RsoP) domain iinde spesifik bir bilgisayar ya da kullancya policylerin tam olarak nasl uygulanacan grmenizi salayan Windows Server 2003n yeni bir zelliidir. IPSec, RSoP konsoluna uygulanmakta olan IPSec policy ayar detaylarn grntlemek iin kullanabileceiniz bir uzant salar.

IPSec Negotiation Sreci

Internet Security Association and Key Management Protocol (ISAKMP) ve IKE protokol iki bilgisayarn gvenlik ayarlar zerinde mutabk olmalar ve iletiimin gvenli bir ekilde gereklemesi

150

Blm 4

iin kullanacaklar security keyin kendi aralarnda deiimi iin bir yol salar. IPSecde, bir security association (SA) iki bilgisayarn gvenli bir ekilde iletiim gerekletirebilmesi iin gerekli tm bilgiyi salar. SA iki makinenin kullanaca algoritma ve key uzunluunu kontrol eden policy anlamasn ve gvenli veri alverii iin kullanlan u anki security keylerini ierir. Bu anlamay her bir tarafn ne olduunu veya olmadn ve bu anlamann bir paras olmaya hazr olup olmadn belirleyen bir kontrat olarak dnebilirsiniz. Bu srecin iki adm vardr: Main mode ve quick mode. lk olarak main modeda iki bilgisayar bir gvenlik szlemesi kurmak iin ISAKMP kullanr. Bu ISAKMP SA olarak adlandrlr. ISAKMP, SA kurmak iin iki bilgisayar aadaki ey zerinde anlamaldr:

Kullanacaklar ifreleme algoritmas (DES, triple DES, 40-bit DES, ya da hibiri) Mesaj btnl iin kullanacaklar algoritma (MD5 ya da SHA-1) Balantnn kimlik dorulamas nasl gerekletirilecek (bir public-key sertifika, secret key ya da Kerberos)

ISAKMP, SA kullanlrken iki makine paylalan bir master key zerinde gvenli bir ekilde anlamak iin Oakley protokoln kullanabilir. ISAKMP master key olarak adlandrlan bu key, ISAKMP SA iinde negotiation algoritmas Microsoft veri btnl salayan iki algoritmadan daha gls olarak ile gvenli bir balant kurmak SHA-1 tavsiye eder. MD5in 128-bit key uzunluuna kar 160-bit key uzunluu ile SHA-1 keyini brute force attack ile elde etmek ok daha zordur. amacyla kullanlr. Gvenli balant salandktan sonra, iki makine quick mode ad verilen dier negotiation srecine balar. Bu negotiationlar unlar kapsar:

Authentication Header (AH) protokolnn bu balant iin kullanlp kullanlmayaca Encapsulating Security Payload (ESP) protokolnn kullanlp kullanlmayaca ESP protokol iin kullanlacak ifreleme algoritmas AH protokol iin kullanlacak kimlik dorulama protokol

Bu negotiationlar tamamlandktan sonra, bu iki makine iki yeni SAya sahip olacaktr: Birisi gelen trafik iin, dieri giden trafik iin. Bu SAlar ISAKMP SAlarndan ayrlmak iin IPSec SAlar olarak adlandrlr. Bu noktada, yine Oakley protokol yeni bir set oturum anahtar oluturmak iin kullanlr. Master ISAKMP anahtar, yeni SAlar negotiate edildiinde kullanlr, bir kez SA negotiation tamamlandnda o SAy kullanan iletiim SA-spesifik anahtarlar kullanarak korunur. AH protokol veri btnl (data integrity) ve kimlik dorulama (authentication) salar. AH gvenlie iki yenilik getirir. Birincisi paketin tamamndan - payload ve header - hesaplanan packet signature (AHnn kendi ieriinde yer alr). Bu, bir saldrgann paketin herhangi bir parasn - IP ya da TCP/UDP headerlar da dahil deitiremeyecei anlamna gelir. kincisi AH, IP header ile TCP ya da UDP header arasnda yer alr. Bu ieriin gizlice kartrlmamasn gvence altna alr. ESP protokol mesajn gizli bir ekilde iletilmesi iin tasarlanmtr. Bunun nasl gerekletirildiini grmek iin ekil 4.1e gz atn. Bu paketin tertip edilmesi AH paketinden daha karmaktr. k ESP tek bana kimlik dorulama, replay proofing ve ierik btnl kontrol salar. Bu ii birbirinden ayr bileen ekleyerek gerekletirir: Bir ESP header, bir ESP trailer ve bir ESP kimlik dorulama blou. Bu bileenlerin her biri kimlik dorulama ve btnlk kontrol iin gerekli baz verileri ierir. eriin deitirilmesini engellemek iin bir ESP istemcisi ESP header, uygulama verisi ve ESP trailer bir birim ierisinde imzalamak zorundadr ve ESP uygulama verisini ve ESP trailer gizlilii salamak ekil 4.1: Bir ESP paketi.

IP Seviyesinde Gvenlik Ynetimi

151

zere ifrelemeyi kullanr. Bu st ste imzalama ve ifreleme operasyonlarnn kombinasyonu iyi bir dzeyde gvenlik salar.

Security Filterlar
Bir security filter gvenlik protokoln belirli bir network adresine balar. Filtre kaynak ve hedef adreslerini (spesifik hostlar ya da networkler iin bir netmask kullanlarak) TCP ve UDP trafik iin izin verilen kaynak ve hedef portlar ierebilir. rnein, domaininizdeki bir makine, microsoft. com domainindeki baka bir makine ile iletiim kurarken tam olarak kullanlmasna izin vermek istediiniz IPSec negotiation tipini belirleyen bir filtre (bu blmn sonraki ksmlarnda greceiniz gibi) tanmlayabilirsiniz. Hatrlayacak olursak IPSec balantlar iki tarafa sahiptir: Inbound ve outbound. Bu her balant iin iki filtreye ihtiyacnz olaca anlamna gelir: Bir inbound ve bir outbound. Inbound filter uzak makine balant zerinde gvenlik talebinde bulunduunda, outbound filter ise bir uzak makineye trafik gnderilmeden nce uygulanr. chellis.net domainindeki herhangi bir makinenin, microsoft.com domainindeki herhangi makine ile konuurken IPSec kullanmas iin bir rule oluturmak istediinizi varsayalm. Bunun almas iin aadaki drt filtera ihtiyacnz vardr:

chellis.net domaini outbound paketleri iin bir *.chellis.net kaynak ve bir *.microsoft.com hedef filtre. (Filterlarda DNS isimleri ya da joker karakterler kullanabilirsiniz.) chellis.net domaini inbound paketleri iin bir *.microsoft.com kaynak ve bir *.chellis.net hedef filtre. microsoft.com domaini iin *.chellis.net kaynak ve *.microsoft.com hedefleri belirleyen bir inbound filter. microsoft.com domaini iin *.microsoft.com kaynak ve *.chellis.net hedefleri belirleyen bir outbound filter.

Eer bu filtrelerden herhangi biri yoksa ya da dzgn yaplandrlmadysa, IPSec negotiation sreci baarsz olacak ve IPSec kullanlmayacaktr. Eer bunlarn tm tamamsa, hawk. chellis.netten, exchange.microsoft.coma bir FTP balants kurmaya altnzda domaininizdeki outbound filter devreye girecek ve Microsoftun makinesi ile bir gvenlik negotiation talebi iin IPSeci tetikleyecektir. Eer her ey dzgn gider ve filtreler dzgn alrsa, makinenizde iki IPSec SA olacak ve balant gvenli bir ortamda salanacaktr. Normalde ynetimi kolaylatrmak iin filtreleri filter listler iine gruplarsnz. Birok filtreyi bir filter list iinde tutarak, karmak durumlar kolayca oluturabilir ve gerektiinde bu kurallar networknz apnda yayabilirsiniz.

Security Methodlar
Herbir IPSec balants bir security method kullanr. Bir security method nceden belirlenmi bir ifreleme algoritmas ile nceden zerinde mutabk kalnm bir anahtar uzunluu (key length) ve anahtar yaam sresi (key lifetime) kullanan bir balantdr. nceden tanmlanan iki gvenlik metodundan (bu blmde daha sonra greceiniz gibi, High ya da Low) birini kullanabilir ya da kendiniz gvenlik protokoln (AH ya da ESP), ifreleme algoritmasn ve key yaam sresini bir balant iin kullanmak istediiniz ekilde oluturabilirsiniz. Bilgisayarnz uzak bir IPSec ei ile negotiating yaparken ISAKMP servisi, sizin belirlediiniz metot listesini ilk bata en gvenli metodu deneyerek alr. Sizin makinenizdeki ile dier taraftaki ISAKMPnin bir metot zerinde Windows Server 2003 Data Encrytion Standart (DES) ve Triple DES (3DES) ifanlamalarn ardndan bu metoreleme algoritmalarn destekler. 3DES DESten ok daha gvenlidir. 3DESte du kullanarak iletiim kurarlar. her veri blou kez ve her seferinde farkl keyler kullanlarak ilenir.

152

Blm 4

Security Filter Actionlar

Filtreler bir kaynak ve hedef belirler; fakat ayn zamanda filtredeki kriterler rttnde meydana gelecek eylemi belirlemek zorundadr. IP Security Policy Management snap-in kullanarak (bu blmn sonraki ksmlarnda greceiniz gibi) aadaki be ayr security filtre action her bir filtrede kullanabilirsiniz (fakat bunlar tek bir filtre iinde biletiremezsiniz):

Permit action IPSec filtera hi bir eylemde bulunmamasn syler. Balantnn security rulelara dayanarak kabul ya da red edilmeyecei yani herhangi bir gvenlik getirmedii anlamna gelir. Bu eylem ayn zamanda passthrough action olarak da adlandrlr, nk bu trafiin herhangi bir modifikasyona uramadan iletilmesine izin verir. Genelde bunu, gvenlie duyarl bilgilerle ilgili olmayan Windows Internet Name Service (WINS) gibi uygulamalar iin kullanrsnz. Block action, filtern uzak sistemden gelen bir balant isteinin reddedilmesine neden olur. Bu uzak sistemin IPSec kullanarak ya da kullanmayarak herhangi bir tip balant yapmasn engeller. Accept Unsecured Communication, But Always Respond Using IPSec ve Allow Unsecured Communication With Non-IPSec Aware Computers eylemleri, IPSec ile yaplandrlmam bilgisayarlar birlikte altrabilmenizi salar. Accept Unsecured Communication, But Always Respond Using IPSec policysi gvensiz balantlar kabul edecektir fakat makineniz her unsecure balanty kabul etmeden nce bir IPSec balantsn soracaktr. Bu eylem unsecured (gvensiz) ve secured (gvenli) trafii mevcut olduu durumda ncelik IPSec olacak ekilde birlikte altrabilmenizi salar. Allow Unsecured Communication With Non-IPSec Aware Computers eylemi makinelerinizin IPSec kullanm giriiminde bulunmakszn gvensiz balantlar kabul etmesine izin verir. Bu yzden bunu kullanmamanz, bunun yerine Accept Unsecured Communication, But Always Respond Using IPSec eylemini kullanmanz tavsiye ederiz. Session key (oturum anahtar) perfect forward secrecynin (PFS) etkinletirilmesi master key ifreleme materyalinin birden fazla session keyden tretilememesini salar. Use These Security Settings action, bu filtreyi tetikleyen balantlar zerinde kullanlmasn istediiniz security methodlar tanmlamanz salar. Bu seenek, bal bana bilgisayarlar iin ya da uzak networkler iin zel ayarlar tanmlamanz salar.

Rules Sekmesiyle Kurallar Ynetmek blm ek filtre eylemleri ve bu eylemlerin her birinin ne zaman kullanlp kullanlmayaca zerinde durur.

Security Policyler
Bir security policy, gvenlik seviyesi salayan bir kurallar ve filtreler takmdr. Microsoft nceden tanmlanm bir policyye sahiptir ayrca kendi policylerinizi oluturabilirsiniz. (Aslnda Dynamic Host Configuration Protocol [DHCP] ve remote access sunucularnz iin kendi policylerinizi oluturmanz gerekecektir.) Policyleri bilgisayarlara farkl yollarla uygulayabilirsiniz. Bunlardan en kolay policyyi Active Directoryde saklamak ve IPSec Policy Agenta uygun makinelere bunun uygulanmas iin izin vermektir. Bir makineye Active Directory araclyla bir IPSec atadnzda atanan o policy, makine o site, domain ya da o policynin uyguland OUden ksa bile baka bir policy uygulanana kadar atanm olarak kalr. Ayn zamanda policyleri direkt olarak tek tek makinelere atayabilirsiniz. Herhangi bir durumda spesifik bir makinede bir policynin yer almasn istemediinizde manel olarak unassign edebilirsiniz. IP Security Policy Management snap-ininin ierisinde bilmeniz gereken adet policy vardr:

Client (Respond Only) policy bir Windows 2000, XP ya da Server 2003 IPSec istemcisinin IPSeci destekleyen herhangi bir makine ile greceini fakat gvenlii balatma giriiminde bulunmayacan belirler. Bu policyyi bir Server 2003 bilgisayara uyguladnz varsayalm.

IP Seviyesinde Gvenlik Ynetimi

153

Bu makine outbound network balantsn balattnda IPSec kullanm giriiminde bulunmayacaktr. Eer uzaktaki bir makine ile balantya getii srada, kardaki makine talepte bulunursa IPSec taleplerini kabul edecektir.

Secure Server (Require Security) policy gelen ve giden tm IP iletiimi iin IPSec kullanacan belirler. Bu noktada tm DNS, WINS ve web talepleri ve IP iletiimi kullanan tm uygulamalar IPSec ile gven altna alnmak zorundadr Bu farkl policy arasndaki farklar iyi anladnzdan aksi taktirde bloklanacaktr. Bu tm network emin olun! Snavda varsaylan policyler ile ilgili bilgi apnda IPSec uygulama plan yapmadka gerektiren birden fazla soru ile karlaabilirsiniz. uygulamak isteyeceiniz bir policy olmayabilir. Server (Request Security) policy dier iki policynin karmdr. Bu durumda, makine her zaman uzak makineye balanrken ve gelen balant taleplerinde IPSec kullanm giriiminde bulunur. Bu policy gvenlik ve birlikte alabilirlik iin en iyi genel dengelemeyi salar.

IPSec Kimlik Dorulama

IPSec farkl kimlik dorulama (authentication) metodu destekler. Kullanacanz kimlik dorulama metodu, ne tr bir networke sahip olduunuza (rnein Active Directory ile birlikte ya da Active Directory ortam dnda) ve kimlerle grtnze baldr. lk olarak bir IPSec istemcisi ve sunucusu birbirlerinin kimliklerini dorulamak istediklerinden, bir credentials kmesi zerinde mutabk kalacaklar bir yola ihtiya duyarlar. Windows Server 2003n IPSec versiyonu farkl kimlik denetimi metodunu destekler. Bu metodlar ifreleme anahtarlarnn oluturulmasnda deil, sadece SAnn kurulumunda kimlik dorulama balang safhasnda kullanlr: Kerberos: Kerberos her Windows 2000/2003/XP bilgisayarlar iin varsaylan kimlik dorulama protokoldr. Eer Kerberos baarsz olursa bilgisayar otomatik olarak NT LAN Manager (NTLM) kimlik dorulamaya geer. Kerberos iyi bir gvenlik ve byk bir esneklik salayan geni apta desteklenen bir ak standarttr. Windows Server 2003de tabi olarak desteklendiinden Windows Server 2003n varsaylan kimlik dorulama metodudur. Yine Kerberosu destekleyen birok 3. parti IPSec rn vardr. Sadece Windows Server 2003 ya da Windows 2000 native domain functional levelda alan Windows 2000 ve Windows Server 2003 domain controllerlarn Kerberos kimlik dorulamasn desteklediini, Windows 2000 ve Server 2003 ye sunucularnn ve NT 4 sunucularnn desteklemediini unutmayn. Sertifikalar: Sertifikalar kimlik dorulama iin kullanlan public-key sertifikalardr. Sertifika tabanl kimlik dorulama kullanrken balantnn her iki ucu dierinin public sertifikasn kullanarak saysal olarak imzalanan mesaj dorular. Bu sisteme ek bir yk ve altyap gereksinimi getirir fakat yksek dzeyde gvenlik salar. Makineleri Windows Server 2003 domainine ekledike, otomatik olarak makine sertifikalarn alrlar (kullanclar yerine bilgisayarlara zel uygulanan) ve ardndan kimlik dorulama iin kullanlabilirler. Eer dier domain ya da organizasyonlardaki kullanclara sizin IPSec makinelerinize balanmalarna izin vermek istiyorsanz organizasyonlar aras sertifikalara izin veren sertifika zmlerini aratrmanz gerekir. Preshared Key: Preshared keyler tekrar kullanlabilen parolalardr. Bir preshared key her iki bilgisayarn da bildigi bir kelime, kod ya da cmledir. ki makine bu parolay kullanarak bir gven kurarlar, network zerinden plain-text ifadeleri gndermezler. Bununla birlikte, ifrelenmemi key Active Directoryde tutulur, bu yzden Microsoft bunu rnlerde kullanmamanz tavsiye eder (nk keyi grebilen bir kii sizi ya da uzak bilgisayar taklit edebilir). ounlukla bu modu, sertifika ya da Kerberos kimlik dorulamay henz desteklemeyen bir third-party IPSec rnyle iletiim kurmaya ihtiya duyduunuzda kullanrsnz.

Gerek Dnya Senaryosu Uygulamada IPSec

Sallynin kulland bir dosya sunucusu ile bir balant kurmaya alyorsunuz. Siz ve Sally ayn Windows Server 2003 domaininin yelerisiniz, bylece Windows Server 2003 varsaylan Ker-

154

Blm 4

beros kimlik dorulama kullanabilirsiniz. Bu srecin kullanc ve bilgisayar iin olduu gibi araclk yapan router ve dier aygt iin de tamamen transparan olarak gerekletiini hatrlayn. Negotiation ve agreement sreleri kullanclara ve bu kullanclarn kulland uygulamalara transparandr. Bilgisayar aldnda IPSec Policy Agent servisi balar. Active Directoryye balanp domain iin u andaki IPSec policyyi indirir. Eer bu balant giriimi baarsz olursa, IPSec takm IPSec olmadan ne yapacan bilemeyecei iin bilgisayarnz IPSec policyyi baarl bir ekilde alana kadar denemeye devam eder. Bir policy ele geirildiinde policy ayarlar ISAKMP/Oakley alt sistemine ve kerneldaki IPSec srclerine iletilir. Herhangi bir yabanc makineye balant giriimini balattnzda bilgisayarnzn IPSec srcs aktif IPSec policyyi kontrol ederek herhangi bir tanmlanm IP filtresi olup olmadna bakar. Bu filtreler hedef networkleri, trafik tiplerini ya da hem trafik tipleri hem de hedef networklerin her ikisini birden belirler. Filtre ayn zamanda IPSecin zorunlu, seimli ya da yasaklanm olup olmadklarn belirler. Sizin IPSec srcnz Sallynin subnetindeki makineler ile konuurken IPSec kullanmna izin verildiini belirledikten sonra, ISAKMP kullanarak Sallynin sunucusu ile bir ISAKMP SA kurar. u anda bir ISAKMP SA kuruldu, her iki makine bir IPSec SA iftiyle balant kurmak iin gerekli hereye sahip. Negotiation ilemi tamamlandnda her bilgisayar iki adet IPSec SAya sahiptir: Bir tane outbound trafik iin, bir tane inbound trafik iin. Sizin talepleriniz ne olursa olsun, bilgisayarnzdaki IPSec takm tarafndan ilenir. Sizin IPSec kodunuz AH ve/veya ESP kullanarak outbound paketlerinizi korur ve bunlar Sallynin sunucusuna gndermek iin IP takmnn daha alt seviye paralarna transfer eder. Sallynin sunucusu paketleri aldnda kendi IPSec takm (eer gerekliyse) paketlerin ifrelerini zer, gvenilirliini kontrol eder ve dier ilemler iin TCP/IP takmnn st katmanlarna iletir.

IPSec Kurulumu
Windows Server 2003 kurduunuzda bir Windows Server 2003 makinesinin bir IPSec istemcisi olarak almas iin gerekli tm bileenler varsaylan olarak yklenir. Bununla birlikte ayn zamanda varsaylan olarak IPSec kullanmn gerektirecek bir policy yoktur, bu yzden Windows Server 2003 makinelerinin varsaylan davran IPSec kullanmamaktr. Gzel haber IPSec kurmak zorunda olmaynzdr. Sadece bunu ynetmek iin kullanacanz aralar yklemeniz gerekir ve ardndan istediiniz etkinin gereklemesi iin policyleri ve filtreleri uygularsnz. Aadaki blmde, bir Windows Server 2003 bilgisayarnda IP security policylerinin nasl etkinletirildiini reneceksiniz.

IP Security Policy Management Snap-In

IPSec, IP Security Policy Management snap-in (bu blm boyunca IPSec snap-in olarak adlandrlacak) ile ynetilir. Bu snap-ini ieren nceden oluturulmu bir MMC konsolu yoktur bu yzden konsolu ap bu snap-ini eklemek suretiyle bir tane oluturmanz gerekir. IPSec snap-ini yklediinizde ynetmek iin kullanmak istediiniz bir lokal IPSec policy, bilgisayarnzn bulunduu domain iin varsaylan policy, farkl bir domain iin varsaylan policy ya da farkl bir bilgisayarn lokal policysi seeneklerinden birini semelisiniz. Bu size IPSec policyleri zerinde kontrolleri delege etmek iin etkin bir yol salar. Altrma 4.1 size, lokal policyyi ynetmek iin snap-in kurulumu ve ardndan lokal bilgisayarda IPSecin aktif hale getirilmesi ilemleri iin yol gsterecektir.

IP Seviyesinde Gvenlik Ynetimi

155

Altrma 4.1: Lokal Bilgisayarda IPSeci Etkinletirmek 1. Start > Run tklayn ve MMC yazdktan sonra OK butonuna tklayn. Bo bir MMC konsol penceresi grntlenir. 2. File > Add/Remove Snap-In sein. Add/Remove Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusu grntlendiinde IP Security Policy Management sein ve Add butonuna tklayn. 4. Select Computer Or Domain diyalog kutusu grntlenir. Local Computer (varsaylan seenek) radyo butonunu sein ve Finish butonuna tklayn.

5. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn. 6. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 7. MMCde IP Security Policies On Local Computer sein. MMCnin sa tarafnda bu blmde nceden bahsettiimiz nceden tanml policylerin listelendiine dikkat edin. 8. Server (Request Security) policy zerinde sa tklayn ve Assign komutunu sein. 9. Policy Assigned kolonundaki seilen policy iin kaydn Yes olduunu dorulayn. Bu ilem sizin gvenlik durumunuzu ykseltmek adna pek fazla birey yapmaz. nk bu ilemin tm yapt sizin lokal bilgisayarnzn dier bilgisayarlardan gelecek IPSec balantlarn kabul etmesini etkin hale getirmektir. Gerek sonu Active Directoryde IPSec policyleri uygulamaya baladnzda gelecektir.

IPSec Yaplandrma
Varsaylan policyleri deitirerek, kullanmak istediiniz kural (rule) ve filtreleri (filters) somutlatrmak iin kendi policylerinizi oluturarak ve ynetim alannz iinde policylerin bilgisayarlara nasl uygulanacan kontrol ederek IPSeci yaplandrabilirsiniz. Policyleri nerede uygulamak istediinize bal olarak farkl seviyelerde ynetebilirsiniz. Bununla birlikte bunlar ynetmek iin her zaman IPSec snap-ini kullanrsnz. Yeni bir policy oluturmak ya da var olan bir policyyi dzenlemek iin kullandnz aralar hem lokal hem de Active Directory policy yaps kullandnzda ayndr. Group Policy ynetimi bu kitabn kapsam dnda olduundan aadaki ksmlar daha ok IPSec ayarlarn nasl zelletireceiniz ve kontrol edeceiniz zerinde duracaktr.

156

Blm 4

Yeni Bir Policy Oluturmak

Yeni bir policy oluturmak iin snap-in iindeki IP Security Policies klasr zerinde sa tklayn ve Create IP Security Policy komutunu verin. Bu, yeni bir policy oluturabileceiniz IP Security Policy Wizard aar. Policy ayarlarn oluturduktan sonra hala manuel olarak dzenlemeniz gerekecektir. Bu sihirbazn ilk iki ekran kolay anlalabilirdir, ilk ekran sihirbazn ne yaptn syler, ikincisi policy iin bir isim ve aklama girmenizi salar. Policyniz iin bir isim ve aklama girdikten sonra Request For Secure Communications sayfas (Bakn ekil 4.2) size default response rule kullanmak isteyip istemediinizi sorar. Default response rule baka filter rule uygulamalar olmadndan gvenlii idare eder. rnek olarak, *.microsoft.com, *.cisco.com ve *.apple.comdan gelecek balantlar kabul eden security filterlar oluturduunuzu var sayalm. Sunucunuz hawk. chellis.netden bir IPSec talebi aldnda IPSecin bu balanty reddeceini bekleyebilirsiniz default response ruleu amadka bu ekilde olur. Bu rule temel olarak gvenli bir balant talebinde bulunan herhangi bir kiinin balant talebini kabul eder. Paradoksal olarak, maksimum gvenlik iin bu ruleu kapatabilirsiniz, bu sayede sadece bilinen hostlardan gelen IPSec balantlarn kabul edecektir. Bununla birlikte default rule ile ilikili ayarlar zelletirebilirsiniz.

ekil 4.2: Requests For Secure Communications sayfas.

Eer default response rule kullanmay seerseniz, bunun iin kullanlacak kimlik dorulama metodunu yaplandrmanz gerekir. Bunun iin Default Response Rule Authentication Method sayfasn (Bakn ekil 4.3) kullanacaksnz. nceden bahsi geen kimlik dorulama metodundan birini seebilirsiniz. Varsaylan olarak, Kerberos seilidir, fakat bunun yerine bir certificate authority ya da preshared key seebilirsiniz. (Eer preshared key Eer default response ruleu kullanmamay seerseniz, sihirbaz geri kalan admlar atlayp sizi kullanmn seerseniz, balantnn her iki ucunda da direkt olarak sonu sayfasna ynlendirir. ayn keyi kullandnzdan emin olun.) IP Security Policy Wizardn son sayfasnda Edit Properties adnda bir onay kutusu vardr. Bunu iaretleyerek sihirbaz sonlandktan sonra policy iine gmlm mevcut ayarlara eriebilirsiniz. Policy zellikleri ile ilgili daha fazlasn bu blmn IPSec Policylerini Yaplandrmak ksmnda reneceksiniz.

ekil 4.3: Default Response Rule Authentication Method sayfas.

IP Seviyesinde Gvenlik Ynetimi

157

Policyleri Active Directoryde Depolama

imdiye kadar sadece lokal bilgisayara uygulanan policylerin ynetimini okudunuz. IPSec snapinini Active Directoryde tutulan ve domain iindeki herhangi bir bilgisayara ya da bilgisayar grubuna uygulanabilen policyleri oluturmak ve ynetmek iin kullanabilirsiniz. Bu uygulamay yerine getirmek iin farkl fakat birbirleriyle ilikili adm tamamlamanz gerekiyor: 1. Yetkilendirilmi bir hesapla logon olduktan sonra Active Directoryde IPSec snap-inini sein. 2. Snap-indeki aralar kullanarak uygulamak istediiniz policyyi dzenleyin ya da oluturun. 3. Group Policy snap-ini kullanarak policyyi bir site, domain ya da organizational unite balayn. lk iki adm blm boyunca ele alnmt, fakat nc adm ile ilgili bir miktar okumanz gerekir. Group policyleri herhangi bir site, domain ya da organizational unitlere (OU) uygulayabildiiniz iin IPSec policylerinizi, hedeflenen uygun policyyi kullanarak tm organizasyon apnda netletirebilirsiniz. rnein, Active Directory Users and Computers iinde bir OU oluturabilir ardndan sadece bu OUya uygulanan bir Group Policy Object (GPO) oluturabilirsiniz. Son olarak, GPOdaki ayarlar deitirerek OU iindeki bilgisayarlara IPSec policy uygulanacak ekilde zorlayabilirsiniz. Aslnda IPSec snap-ini policyleri atamak iin kullanmazsnz, bunu Active Directory ortamnda policyleri oluturmak ve yaplandrmak iin kullanrsnz. Directory iindeki baz gruplara bir policyyi uygulamak istediinizde, Group Policy snap-ininin kendisini kullanrsnz. Altrma 4.2de tm domain controllerlar iin varsaylan bir IPSec policy oluturacaksnz. Bu altrmay yapabilmek iin domaine ynetimsel anlamda eriebiliyor olmalsnz. Altrma 4.2: Domain apnda IPSeci Etkinletirme 1. Start > Run sein ve MMC yazarak OK butonuna tklayn. Bo bir MMC snap-ini grntlenir. 2. File > Add/Remove Snap-In sein. Add/Remove Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusunda Group Policy Object Editor sein ve Add butonuna tklayn. 4. Select Group Policy Object diyalog kutusu grntlenir. Browse For A Group Policy Object diyalog kutusunu amak iin Browse butonuna tklayn. 5. Default Domain Policyyi seip OK butonuna tklayn. 6. Select Group Policy Object diyalog kutusunda Finish butonuna tklayn. 7. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn ve ardndan Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 8. Domain Policy > Computer Configuration > Windows Settings > Security Settings > IP Security Policies On Active Directory DomainName sein. 9. IP Security Policies On Active Directory DomainName esini sein. MMC penceresinin sa taraf mevcut policyleri listeler. Bunlar nceden tanml policyler ve sizin IPSec Policy Wizard ile eklediiniz bir yeni policyden ibarettir. 10. Server (Request Security) policy zerinde sa tklayn ve Assign komutunu sein. O policy iin Policy Assigned kolonunun Yes olduuna dikkat edin. 11. Konsolu daha sonra kullanabilmek iin kaydedin.

158

Blm 4

IPSec policyleri Group Policy tarafndan atanan dier objeler gibi ayn kurallara bamldr. Bu kitap Group Policy Objectleri ile ilgili olmasa bile, IPSec policy atamasnn gerekten almas iin bu kurallar bilmek faydaldr. lk kural basittir: Domain seviyesinde uygulanan bir policy her zaman lokal bilgisayara uygulanan policyyi ezer (elbette domaine logon olduunuzda). kinci kural da benzer ekilde basittir: Bir organizational unite uygulanan policynin her zaman domain seviyesi policylere gre ncelii vardr. Bu eer domain ve OU seviyelerindeki policylerinizde bir akma varsa, override seenei olmadka OU policysi kullanlacaktr. nc kural biraz daha karmaktr: Active Directory iinde bir OU hiyerariniz varsa, bu hiyerarinin en altndaki OU iin uygulanan policy dierlerini yoksayacaktr. rnein, Sales adnda bir OUnuzun olduunu ve bunlarn altnda North America ve South America adlarnda OUlarnzn olduunu farz edelim. Eer Sales ve Noth America OUlarnza iki farkl IPSec policysi uygularsanz, North America ayarlar ncelie sahip olacaktr. Drdnc kural ince fakat nemlidir: Group Policy ile bir IPSec policy uyguladktan sonra atamak iin kullandnz Group Policy Objecti silseniz bile policy etkin olarak kalacaktr. GPO yok iken IPSec Policy Agent GPO sunucunun geici olarak kullanlabilir durumda olmadn varsayar. Ardndan policynin nbelleklenmi bir kopyasn kullanr. Bu da GPOyu silmeden nce policyyi unassign etmeniz ve ardndan her bir istemci bilgisayarnda policyi refresh etmeniz ya da otomatik olarak refresh olmas iin beklemeniz gerektii anlamna gelir.

Policyleri Atamak ve Atamay Kaldrmak

Policyleri sadece bir bilgisayara etki edecek ekilde tanmlamak ya da uluslararas byk lekte bir networke etki edecek ekilde tanmlamak iin IPSec policyleri ayn ekilde - sz konusu policy zerinde sa tklayp Assign ve Unassign komutlarn kullanarak - assign ve unassign edersiniz. Bir policy assign edildiinde, IPSec bir sonraki policy refresh ileminin ardndan etkisini gsterir. Bir bilgisayar iin IPSec Policy Agentn policy bilgilerini bilgisayar yeniden balatlrken indirdiini unutmayn. Eer IPSec ayarlarnz Group Policyyi kullanarak datyorsanz Group Policy snapini kullanarak bir policynin gncellenmesini zorlayabilirsiniz.

Dier Policy Ynetim zellikleri

Yeni policylerin nasl oluturulduunu, nasl atandn ve zelliklerinin nasl ayarlandn biliyorsanz zaten IPSec ynetimi iin bilmeniz gereken hemen hemen her eyi biliyorsunuz demektir (henz policy ayarlarn deitirmeyi incelememi olsak bile). IPSec uygulamalarnz iin yararl bulabileceiniz bir ka ek zellik vardr.

Bir Policy Gncelletirmesini Zorlamak

Eer bir makinenin IPSec policysini gncelletirmesini zorlamak istiyorsanz o makine zerinde IPSec Policy Agent servisini durdurup yeniden balatn. Servis balarken policynin en gncel halini Active Directoryden ya da lokal policyden getirme giriiminde bulunur. Policy yklendikten hemen sonra uygulanr. Policy Agentn yeniden balatlmas gncelletirmeyi ve doru policynin yeniden uygulanmasn zorlar. Bu policy ile ilgili bir sorunu zmeye alrken ya da istenen policynin uygulandndan emin olmak istediiniz durumlarda faydal olabilir. Varsaylan olarak, IPSec Policy Agent policyleri her 180 dakikada bir gncelletirir; fakat bu ayar deitirebilirsiniz. Alternatif olarak gpupdate /target:computer /force komutu ile lokal bilgisayar policy ayarlarn refresh edebilirsiniz.

Pop-up Menler ile Policy Ynetimi

Sa tu mensn (bir policy zerinde sa tkladnzda gelir) kullanarak policyleri yeniden adlandrabilir, silebilir, import ve export edebilirsiniz. Import ve export komutlar gereksiz olarak grlebilir fakat eer Active Directory kullanmyorsanz bazen pratik olabilir.

IP Seviyesinde Gvenlik Ynetimi

159

rnein, Windows 2000 Professional ve XP Professional bilgisayarlarnn kullanld kk bir networke sahip olduunuzu varsayalm. Bir makine zerinde lokal IPSec policyleri oluturabilir ve kaynak bilgisayardan export ettikten sonra dier bilgisayarlarda bunu import edebilirsiniz. Bunu yaparak bir Active Directory domain controllera ihtiya duymadan IPSec policylerinin tutarlln salam olursunuz.

Gerek Dnya Senaryosu Bir Gvenlik Mimarisinde IPSec Kullanm

Organizasyonunuzda gvenlik her zaman nemlidir, fakat son zamanlarda her zamankinden daha fazla nem arz ediyor. Size bilgi sistemi ile ilgili her durumu gven altna almanz sylendi. Ayn zamanda irketinizin gvenlik kalkannn bir parasna sahipsiniz. Bununla birlikte, hat boyunca ilerleyen TCP/IP paketleriniz var ve bu paketlerin sizin gvenliinizi ihlal edecek ekilde toplanabilir ve grntlenebilir durumda olduunun farkndasnz. IPSecin firmanzn gvenlik mimarisini tamamlamaya gl bir aday olduunu ve Windows Server 2003n IPSeci ok iyi bir ekilde desteklediini biliyorsunuz. Aslnda iyi bir plan yapmadan hemen bu ie koyulmak olduka kolaydr. Bu yaplan genel bir hatadr. Birok Windows Server 2003 servisinin kurulumu bu noktada Windows Server 2003n kendisi bile rnein IPSec Policy Wizard altrmak birok kullanc iin olduka kolaydr. Bir servis IPSecin bu ekilde kurulumunu engelleyebilir. Kurulum sorunsuz bir ekilde gerekleebilir fakat belki almayacaktr. Burda kk bir teknik ayrnt vardr! IPSec ile ilgili aklnzda tutmanz gereken IPSecin bir security policy uygulama arac olduudur. IPSec ile ne yapmaya alnza ve hangi zellik ve yaplandrma metotlarnn bunu yapmak iin uygun olduunu belirleyecek bir security policy oluturmalsnz. IPSecin organizasyonunuza getirdii faydalar bilmenize ramen, uygulamalarnz yerine getirecek olan IPSec bileenlerini tam olarak anlamak iin biraz zamana ihtiyacnz olacaktr. Bu bileenler kimlik dorulama, ifreleme ve ierik btnldr. Bu ya da dier bileenlerde problemler varsa IPSec almayacaktr. Ayn zamanda makineler arasndaki iletiim yolunun her iki tarafnda bu yaplandrma bileenlerinin elemesi gerektiini unutmayn.

IPSec Policylerini Yaplandrmak

IP Security Policy Wizard kullanarak yeni bir policy oluturduunuzda hala bunu zelletirmek zorundasnz. Bunu rulelar, filterlar ve security actionlar ekleyip silebildiiniz ve ynetebildiiniz policy Properties diyalog kutusu ile yaparsnz. Properties diyalog kutusunda iki ayr sekme vardr: General sekmesi policy ad gibi genel policy ayarlarn ierir, Rules sekmesi ise policy ile ilikilendirilmi rulelar dzenlemenizi salar. Aadaki ksmlarda her iki sekmedeki ayarlarn nasl yaplandrldn greceksiniz.

General Sekmesi ile Genel zelliklerin Ayarlanmas

Policy Properties diyalog kutusunun (Bakn ekil 4.4) General sekmesinde IPSec snap-inde grntlenen policy ad ve aklamasn deitirebilirsiniz. Policyleriniz iin her birinin neyle ykml olduunu hatrlatacak ekilde anlaml isimler kullanmak iyi bir fikirdir. Policyyi kullanan istemcilerin gncelletirmeleri kontrol etmesi iin kullanaca zaman araln deitirmek iin Check For Policy Changes Every alann kullann. Varsaylan 180 dakika deeri birok uygulama iin uygundur, nk bu policyleri sklkla deitirmeniz pek olas deildir. Settings butonu Key Exchange diyalog kutusu zerinden bu policy tarafndan kullanlan anahtar deiimi ayarlarn deitirmenizi salar (Bakn ekil 4.5). Bu diyalog kutusundaki kontroller, belirli bir zaman (varsaylan olarak 8 saat) ve belirli bir sayda oturumdan sonra policynin ne sklkta yeni bir anahtar oluturmas gerektiini kontrol eder. Master Key Perfect Forward Secrecy (PFS) seenei her oturum iin SAnn yeniden authenticate olmasn isteyip istemediinizi belirler. Bu seenei etkin hale getirmek, devre d brakmaktan daha yksek seviyede bir gvenlik salar

160

Blm 4

fakat performans tersi ynde etkilenebilir. Methods butonu anahtar deiimi ilemini korumak iin kullanlacak olan security methodlarnn listesini grntler. Policy metod listesinden her zaman en yksek dzeydeki gvenlii dener rnein Eer Windows 2000 istemcileriniz var ve 3DES kullan3DES. Eer kar taraf bu metodu ileyemezse yorsanz Windows 2000 istemciler High Encryption Pack listedeki daha az gvenli metodlar kullanmay ya da Service Pack 2 veya daha stne sahip olmaldr. dener.

ekil 4.4: Policy Properties diyalog kutusu General sekmesi.

ekil 4.5: Key Exchange Settings diyalog kutusu.

Rules Sekmesi le Rulelar Ynetmek

Policy Properties diyalog kutusu Rules sekmesi IPSec policylerle ilgili rulelar deitirebilmenizi salar. ekil 4.6ya gz atn ve Server (Request Security) policy iin rulesetin ne ekilde olduunu grn. Bu sekmede grebileceiniz en nemli eyler u ekildedir:

Burada her biri bir filter list, bir filter action ve authentication metodunu birbirine balayan rule vardr. Tek bir policy istediiniz kadar sayda rule barndrabilir. Farkl durumlarda uygulanan belirli sayda rulea sahip olmak genel bir yaklamdr. Ayn zamanda bir Active Directory domaininde ya da lokal policy deposunda tanmlanm birok farkl policynin olmas da genel yaklamdr.

Her ruleun yannda, o ruleun aktif olup olmadn kontrol eden bir onay kutusu bulunur. Bu onay kutularn kullanarak bir policy iinde rulelar tek tek etkin hale getirebilir ya da devre d brakabilirsiniz. Add, Edit ya da Remove butonlar ile bu rule listesini ileyebilirsiniz. Rulelarn, bulunduklar sraya gre deerlendirilmeyeceini ve onlar tekrar sralamaya gerek olmadn hatrlayn. Use Add Wizard onay kutusu yeni bir rule oluturmak iin Security Rule Wizardn kullanlp kullanlmayacan kontrol eder (varsaylan olarak bu onay kutusu iaretlidir). Bu onay kutusu iaretli deilken Add butonuna tkladnzda, bir eyleri elle yaplandrabileceiniz Edit Rule Properties diyalog kutusu grntlenir.

ekil 4.6: Policy Properties diyalog kutusu Rules sekmesi.

IP Seviyesinde Gvenlik Ynetimi

161

Bir rule seip Edit butonuna tkladnzda ya da Use Add Wizard onay kutusu iaretli deilken yeni bir rule oluturduunuzda Edit Rule Properties diyalog kutusu grntlenir (her bir rule iin ilikilendirilmi bir tane). Edit Rule Properties diyalog kutusunda be farkl sekme vardr. Create New IP Security Rule Wizard yaptnz seime gre sekmeleri getirecektir fakat sekmeleri elle doldurabilmek iin her bir rule iin hangi ayarlara sahip olduunu bilmeniz gerekir. Bunun iin sihirbazn tm admlarn izlemek yerine, her bir sekmedeki ayarlara bakacaz. IP Filter List Sekmesi IP Filter List sekmesi (Bakn ekil 4.7) bu rule ile ilikilendirilmi olan filter listleri gsterir. Sunucunuzda tanmlanan filter listler IP Filter List listesinde grnr. Bunlardan herhangi bir tanesini bu ruleun sonucunda uygulanacak ekilde seebilirsiniz. Eer isterseniz filter listleri burada ya da sonraki ksmda aklanan Manage IP Filter Lists And Filter Actions diyalog kutusunda ekleyebilir ya da kaldrabilirsiniz Filter Action Sekmesi Filter Action sekmesi (ekil 4.8) policy iinde tanmlananan tm filtreleri gsterir. Herhangi bir filter action bir rulea uygulayabilirsiniz. Bir filter listi bir filter action ile birletirdiinizi hatrlayn, fakat istediiniz kadar ruleu bir policy iinde gruplandrabilirsiniz. Add, Edit ve Remove butonlarn kullanarak filter actionlar ekleyebilir, dzenleyebilir ve silebilirsiniz. Use Add Wizard onay kutusu yeni bir filter action ekleme ileminin IP Security Filter Action Wizard ile balamasn ya da Properties diyalog kutusunun almasn kontrol etmek iin kullanlr. Authentication Methods Sekmesi Authentication Methods sekmesi bir ruleun kullanmasn istediiniz bir ya da daha fazla kimlik dorulama metodunu tanmlamanza izin verir. Burada birden fazla metodunuz listelenmi olabilir, eer yleyse, IPSec bunlar listedeki grntlenme sralarna gre kullanmaya alacaktr. Burada nceden bahsi geen seenek var: Kerberos, certificates ya da preshared keys. Tunnel Setting Sekmesi Tunnel Setting sekmesinde bu ruleu baka bir sistem (ya da tunnel endpoint) ile bir IPSec tunnel oluturacak ekilde belirleyebilirsiniz. Bununla ilgili daha fazlasn bu blmdeki Tunnel Mode in IPSec Yaplandrmas ksmndan okuyabilirsiniz. Connection Type Sekmesi Connection Type sekmesi (ekil 4.10) bu IPSec ruleun uyguland balant eitlerini tanmlamak iin kullanlr. rnek olarak dial-up ve LAN balantlarnz iin kullanclarnz, balandklar yer ve bal bulunduklarnda ne yaptklar baznda farkl rulelar tanmlamak isteyebilirsiniz. Temel seiminiz kolaydr: Bu ruleun uygulanaca balant tiplerini semek iin kullanacanz radyo butonu vardr. All Network Connections butonu varsaylan olarak seilidir, bu yzden yeni bir rule

ekil 4.7: Edit Rule Properties diyalog kutusu IP Filter List sekmesi.

ekil 4.8: Edit Rule Properties diyalog kutusu Filter Action sekmesi.

162

Blm 4

olutururken, bu rule hem LAN hem de remote access connectionlar iin uygulanacaktr. Eer ruleun sadece LAN ve RAS balantlarn kapsamasn isterseniz sadece ilgili butonu sein.

ekil 4.9: Edit Rule Properties diyalog kutusu Authentication Methods sekmesi.

ekil 4.10: Edit Rule Properties diyalog kutusu Connection Type sekmesi.

Filter List ve Actionlarn Ynetimi

IP filter listleri ve filter actionlar Edit Rule Properties diyalog kutusundan ynetebilmenize ramen snap-in tarafndan salanan ynetim aralarn kullanmak daha anlalabilir olabilir. Bu yzden filter listler ve actionlar tek balarna rule iinde deil, policy ile birlikte depolanr. Bir policy kapsam iinde (rnein default domain policy) oluturulan filter listler ve actionlar o kapsam iindeki tm policyler iin kullanlabilirdir. Filter list ve filter actionlar Edit Rule Properties diyalog kutusundaki ilgili sekmeleri kullanarak ynetebilirsiniz. Fakat gerek durumu anlalmaz hale getirecek ekilde buradaki tm eler aslnda herhangi bir policy iindir. Bunun yerine pop-up menden (IP Security Policies esi zerinde ya da IPSec snap-ininin sa penceresinde sa tklayarak) Manage IP Filter Lists And Filter Actions komutunu kullanabilirsiniz. Bu komut iki adet sekmesi olan Manage IP Filter Actions diyalog kutusunu grntler. Bu sekmedeki elerin ou kendinden aklamaldr. Bilhassa Add, Edit ve Remove butonlarnn (ve Use Add Wizard onay kutusu) fonksiyonlarnn bu noktada ak olmas gerekir. Kontrolleri tekrar kullanmak yerine birbirine uyacak yeni bir filter list ve action tanmlama ilemine gz atabilirsiniz. IP Filter Listler ve Yeni Filterlar Eklemek Windows Server 2003 kurduunuzda iki adet varsaylan IP filter vardr: Bir adet tm IP trafii iin ve bir adet tm Internet Control Message Protocol (ICMP) trafii iin. Biraz dana seici olduunuzu dnelim. rnein sizin firmanz ile firmanzn avukatlk brosu arasndaki web trafiini gvenli hale getirmek iin bir policy oluturmak istiyorsunuz. lk olarak Manage IP Filter Lists And Filter Actions diyalog kutusundaki ekil 4.11de grnen Manage IP Filter Lists sekmesini amanz gerekir. Filtre listesi buradaki sraya gre kullanlmadndan, listedeki eleri yeniden sralamaya gerek olmamakla birlikte bu eleri ekleyebilir, dzenleyebi-

ekil 4.11: Manage IP Filter Lists And Filter Actions sekmesi.

IP Seviyesinde Gvenlik Ynetimi

163

lir ve kaldrabilirsiniz. Yeni bir filter list eklerken ya da dzenlerken IP Filter List diyalog kutusunu greceksiniz (Bakn ekil 4.12). Bu diyalog kutusu filter list iin ad ve aklama bilgileri belirleyebilmenizi ve ardndan listeyi oluturmak iin filter ekleyebilmenizi, kaldrabilmenizi ve dzenleyebilmenizi salar. Bir filter dzenlerken ya da yeni bir filter eklerken kategoride bilmeniz gerekenler vardr: Filtern kullanmasn istediiniz kaynak ve hedef adresleri: Bu tek bir IP adresi, tek DNS ad (hawk.chellis.net, chellis.net ve .net gibi herhangi bir seviyede) ya da subnet olabilir. Ayn zamanda kaynak ve hedef adreslerini gstermek iin my ve any zel adresleri (rnein My IP Address, Any IP Address gibi) vardr. Filtern mirror edilmesini isteyip istemediiniz: Bir mirrored filter otomatik olarak bu filtern tersini filtreler. rnein, sizin IP adresinizden uzak bir adrese bir filter ayarladnz ve bunu sadece 80 numaral porta izin verecek ekilde yaplandrdnzda, mirror seenei ile uzak adresten size doru 80 numaral port zerinde gelecek trafie izin veren bir filter elde etmi olursunuz. Filtern uygulanmasn istediiniz protokoller ve portlar: Herhangi bir protokol tipini seebilirsiniz (rnein TCP, UDP, ICMP, EGP, RDP ve RAW gibi) ve zel olarak kaynak ve hedef portlar seebilir ya da daha sonra ele alacamz From Any Port ve To Any Port radyo butonlarn kullanabilirsiniz. Bu bilgileri filtera girmek iin IP Filter Properties diyalog kutusunu kullanrsnz. IP Filter diyalog kutusu iinde Add ya da Edit butonlarn kullanrken uygun filter (yeni bir tane ya da Edit ekil 4.12: IP Filter List diyalog kutusu. butonuna tklamadan setiiniz filtre) iin Properties diyalog kutusunu greceksiniz. Diyalog kutusu adet sekmeye sahiptir: Description, Addresses ve Protocol. Description sekmesi filter adlandrmak ve aklama bilgisi girmek iin kullanlr. Aadaki ksmlarda dier iki sekmeye gz atacaz. Addresses Sekmesi Bu filtern elemesini istediiniz kaynak ve hedef adreslerini belirlediiniz yer Addresses sekmesidir (Bakn ekil 4.13). Kaynak adresi iin IPSec sunucuya atadnz IP adresini, any IP adresi, spesifik bir DNS adresi ya da IP adresi ya da spesifik bir IP subneti kullanmay seebilirsiniz. Ayn ekilde hedef adres iin IPSec sunucu adresi, any IP adresi ya da spesifik DNS ad, subnet ya da IP adresi seebilirsiniz. Bunlar filtern ne ekilde harekete gemesini istediinizi belirlemek iin bir kombinasyon iinde kullanrsnz. rnein Benim adresimden a.b.c.d adresine herhangi bir trafii ele eklinde bir rule oluturabilirsiniz. Ayn zamanda All IP Traffic filter: sizin IP adresinizden (herhangi bir port zerinden) herhangi bir hedef adrese ynelen trafikle eleecek ekilde bir filter oluturabilirsiniz. Ayn zamanda Mirrored onay kutusunu kullanarak bir kart rule oluturabilirsiniz. rnein All IP
ekil 4.13: IP Filter Properties diyalog kutusu Adresses sekmesi.

164

Blm 4

Traffic ruleunun mirror edilmi hali herhangi bir IP adresi herhangi bir portu zerinden sizin IP adresinize gelen trafik ile eleir. Mirror etme ilemi hem gelen hem de giden trafik iin filterlar ayarlama ilemini kolaylatrr. Protocol Sekmesi Protokol sekmesi belirlenen bir protokol kullanan zel bir port zerinden gelen ya da gnderilmekte olan trafii elemenize izin verir. Bu olduka kullanldr nk UDP 80 kaynak portu ile TCP 80 hedef portu tamamen farkldr. Select A Protocol Type mensn kullanarak Set The IP Protocol Port kontrol grubu ile bu filtern elemesini istediiniz protokol ve portlar belirlersiniz.

Yeni Bir Filter Action Eklemek

Manage Filter Actions sekmesi geerli IPSec policyleri grubunda tanmlanan filter actionlar listeler. htiyalarnza gre filter action ekleyebilir, dzenleyebilir ya da kaldrabilirsiniz. Windows Server 2003n bir paras olarak filter actionnz vardr: Permit, Request Security (Optional) ve Require Security. Bu filter actionlar sizin ihtiyalarnz byk olaslkla karlayacaktr. Fakat yine de policylerin nasl oluturulduunu bilmek bunu Microsoftun sizin yerinize yapmasndan daha iyi bir fikirdir. Add butonunu kullanarak her hangi bir tanmlanm policy iin kullanlabilecek bir filter action ekleyebilirsiniz. Use Add Wizard onay kutusu normalde seilidir, bu yzden varsaylan olarak IP Security Filter Action Wizard karnza gelecektir. Bununla birlikte, bir filtre ile ilgili zellikler sayfalarna gz atalm.

ekil 4.14: IP Filter Properties Protocol sekmesi.

Use Add Wizard onay kutusu seili deilken Add butonuna tkladnzda ilk greceiniz New Filter Action Properties diyalog kutusu Security Methods sekmesi olacaktr (Bakn ekil 4.16).

ekil 4.15: Manage Filter Actions sekmesi.

ekil 4.16: New Filter Action Properties diyalog kutusu Security Methods sekmesi.

Bu sekmeyi bu filter actionn kullanmasn istediiniz metodlar semek iin kullanrsnz. Permit ya da Block yerine Negotiate Security radyo butonunu seerek kendi ihtiyalarnza uygun ekilde AH ve ESP algoritmalarn seerek kendi zel security methodlarnz oluturabilirsiniz. Security methodlar listesininin hemen altndaki onay kutusu IPSec konuamayan bir bilgisayardan bir

IP Seviyesinde Gvenlik Ynetimi

165

balant talebi geldiinde bu bilgisayarn ne yapacan kontrol eder. Bu aadaki seenekleri ierir:

Accept Unsecured Communication, But Always Respond Using IPSec onay kutusu bu action gelen balant taleplerinin bir IPSec negotiation mesaj ile cevaplanaca eklinde tanmlar. Eer kar taraf IPSec kullanamyorsa, bilgisayar herhangi bir gvenlik iermeyen gelen talepleri kabul edecektir. Allow Unsecured Communication With Non-IPSec-Aware Computers onay kutusu action herhangi bir IPSec kullanabilen ya da kullanamayan bilgisayarn balanmasna izin verecek ekilde yaplandrr. IPSec kullanamayan herhangi bir makine normal olarak gvensiz balant kullanacaktr. Varsaylan olarak bu onay kutusu seili deildir; eer bunu seerseniz, IPSec policylerinizin kesinlikle uygun olarak ayarlandndan emin olmalsnz. Eer uygun ekilde ayarlanmamlarsa, IPSec kullandn dndnz baz bilgisayarlar gvensiz bir ekilde balanabilirler. Session Key Perfect Forward Secrecy (PFS), var olan master key ifreleme materyalinin yeni bir session key elde edilebileceini belirlemek iin kullanlr. Session key PFS etkinletirildiinde bir yeni Diffie-Hellman anahtar deiimi, yeni bir session key oluturulmadan nce yeni bir master key ifreleme materyali retme iini yerine getirir. Session key PFS main mode yeniden kimlik dorulama gerektirmez ve master key PFSten daha az kaynak kullanr.

Altrma 4.2de her zaman kullanlacak ekilde Server (Request Security) policy atamas yapacaksnz. Altrma 4.3de bunu biraz kartracaksnz. Oluturduunuz tm IPSec policyleri var saylan olarak transport mode (tunnel mode deil) policyler olacaktr. Bu ayn zamanda default local computer ve domain IPSec policyleri iin de dorudur. Bu altrmada, lokal bilgisayar Server (Request Security) policy ayarlarn birlikte alabilirlii artracak ekilde deitireceksiniz. Altrma 4.3: Lokal Bilgisayar IPSec Policy ve Rulelarn Transport Mode in zelletirmek ve Yaplandrmak 1. Start > Run seip MMC yazn ve OK butonuna tklayn. Bo bir MMC konsol penceresi grntlenecektir. 2. File > Add/Remove Snap-In komutunu sein. Add/Remoce Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusunda snap-in listesini iaretli bir IP Security Policy Management grene kadar aaya doru kaydrn ve bunu seip Add butonuna tklayn. 4. Select Computer diyalog kutusu grntlenir. Local Computer radyo butonunu seip Finish butonuna tklayn. 5. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn ve ardndan Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 6. MMCde IP Security Policies On Local Computer nodeunu sein MMCnin sa blmnden Server (Request Security) policy zerinde sa tklayn ve Properties komutunu sein. Server (Request Security) diyalog kutusu grntlenir. 7. All IP Traffic ruleunu sein ve Edit butonuna tklayn. Edit Rule Properties diyalog kutusu grntlenir. 8. Filter Action sekmesine gein. Request Security (Optional) filter action sein ve ardndan Edit butonuna tklayn. Bu filter actionn Properties diyalog kutusu grntlenir. 9. Add butonuna tklayn. New Security Method diyalog kutusu grntlendiinde Custom radyo butonuna ve ardndan Settings butonuna tklayn. 10. Custom Security Method Settings diyalog kutusunda Data And Address Integrity Without Encryption (AH) onay kutusunu ve ardndan listeden SHA1 sein. Alttaki (ESP) listeyi kullanarak, Integrity iin SHA1 ve Encryption iin 3DES ayarlayn.

166

Blm 4

11. lk olarak Generate A New Key Every onay kutusunu iaretleyin ve key oluturma zaman araln 24,000 Kbytea ayarlayn (Bu deer 20,480-2,147,483,647 Kb aralnda olmaldr). Ardndan Generate A New Key Every onay kutusunu sein ve key oluturma zaman araln 1800 saniye olacak ekilde belirleyin. 12. Custom Security Method Settings diyalog kutusunda OK butonuna tklayn ve ardndan New Security Method diyalog kutunda OK butonuna tklayn. 13. IP Filter Properties diyalog kutusu grntlendiinde Move Up butonunu kullanarak az nce tanmladnz custom filter listenin en bana getirin. 14. IP Filter Properties diyalog kutusunda OK butonuna tklayn. 15. Edit Rule Properties diyalog kutusunda Close butonuna tklayn ve ardndan Server (Request Security) Properties diyalog kutusunda OK butonuna tklayn.

IPSeci Tunnel Mode in Yaplandrmak

u ana kadar IPSeci birincil olarak transport modeda deerlendirdik. nceden okuduunuz gibi IPSeci ayn zamanda tunnel modeda da kullanabilirsiniz. IPSec tunnel birok yararl ve ilgin eyi yapmak iin kullanabilirsiniz. rnein, iki subnet arasnda bir internetwork iinde etkin bir ekilde birbirlerini balamak iin birbirlerinin arasnda zel bir balantya gerek kalmadan bir tunnel kurabilirsiniz. IPSec tunneling istemcilerin remote access VPN balantlar kurmas amacnda deildir. Bunun yerine Windows Server 2003 networknz L2TP + IPSec ya da Point-to-Point Tunneling Protocol (PPTP) desteklemeyen uzak aygtlara (rnein bir Cisco PIX) balamak iin kullanrsnz. Ayn zamanda direk olarak iki IP adresini balamak iin de tunnel oluturabilirsiniz. Her iki yolda da standart transport mode iin yaptnz gibi, kaynak ve hedef IP adresleri ile eleen bir filter oluturarak bir tunnel kurarsnz. Tunnel zerinde ESP ve AH kullanmak bir authenticated tunnel (sadece AH), bir ifrelenmi tunnel (sadece ESP) ya da bu ikisinin kombinasyonunu salar. Bu yaklam bir filter action ve security method belirleyerek kontrol edersiniz. Bununla birlikte, bir tunnel oluturduunuzda bunu port ya da protokol baznda filtreleyemezsiniz, Windows Server 2003 IPSec takm bunu desteklemez.

ekil 4.17: Biasit bir tunnel iin filter listler.

IP Seviyesinde Gvenlik Ynetimi

167

Dzgn bir ekilde bir tunnel yapmak iin, aslnda her iki u iin iki filtera ihtiyacnz var: Bir adet inbound trafik iin ve bir adet outbound trafik iin. Microsoft tunnel rulelarn mirror etmemeniz ynnde uyarr. Bunun yerine iki network balamak isterseniz, ayarlar ekil 4.17de grld gibi belirlemeniz gerekecektir. Herbir tarafn ruleu bir adet inbound trafik iin ve bir adet outbound trafik iin olmak zere iki filtera sahiptir. Atlanta filter giden trafik iin Seatle router bir tunnel endpoint olacak ekilde bir filter ve gelen trafik iin herhangi bir IP subnetinden gelen Atlanta tunnel endpointi iaret eden trafii belirleyecek ekilde baka bir filter tanmlar. Bu iki filter listinin birleimi ile balant iin istediiniz gvenlik tipini salayan bir filter belirleyebilirsiniz. Bir balantnn tnellenip tnellenmediini Edit Rule Properties diyalog kutusu Settings sekmesini kullanarak bir rule temelinde belirlersiniz. Server (Request Security) setikten sonra sa tklayp Properties sein. Properties diyalog kutusunda All IP Traffic ruleu sein ve Edit Rule Properties diyalog kutusuna tklayn. Son olarak Tunnel Settings sekmesini sein (Bakn ekil 4.18). ki radyo butonu bu ruleun bir tunnel kurup kurmayaca belirler. Varsaylan buton This Rule Does Not Specify An IPSec Tunnel radyo butonudur. Bu rule ile tunneling ilemini ekinletirmek iin The Tunnel Endpoint Is Specified By This IP Address sein ve remote endpointin IP adresini girin.

ekil 4.18: Edit Rule Properties diyalog kutusu Tunnel Settings sekmesi.

Altrma 4.4de IPSec tunnel mode iin bir policy yaplandracaksnz. Altrma 4.4: IPSec Tunnel Mode in Bir Policy Yaplandrmak Bu altrma Administrator haklar ile eriebildiiniz iki farkl makine kullanmanz gerektirmektedir. Bunlara makine A ve makine B adlarn verelim. Balamadan nce bunlarn IP adreslerine ihtiyacnz var ve makinelerin lokal IPSec policylerini bir MMC konsolu iinde amanz gerekir. lk olarak A makinesini yaplandralm: 1. IP Security Polices On Local Computer zerinde sa tklayn, ardndan Create IP Security Policy komutunu sein. IP Security Policy Wizard grntlenir. Next butonuna tklayn. 2. Policyyi Tunnel To B eklinde isimlendirin ve Next butonuna tklayn. 3. Requests For Secure Communication sayfasnda, Activate Default Response Rule onay kutusunu temizleyin ve Next butonuna tklayn. 4. Wizardn zet sayfas grntlendiinde Edit Properties onay kutusunun seili olduundan emin olun ve ardndan Finish butonuna tklayn. Tunnel To B Properties diyalog kutusu grntlenir. Rules sekmesi zerinde Add butonuna tklayn. Welcome To The Create IP Security Rule Wizard balayacaktr. Next butonuna tklayn. 5. Wizardn Tunnel Endpoint sayfasnda The Tunnel Endpoint Is Specified By The Following IP Addressi sein ve B makinesinin IP adresini girin. Next butonuna tklayn. 6. Network Type sayfasnda, Local Area Network (LAN) sein ve Next butonuna tklayn. 7. All IP Traffic radyo butonuna tklayn ve Next butonuna tklayn. 8. Filter Action sayfasnda Request Security (Optional) radyo butonunu sein ve Next butonuna tklayn. 9. Authentication Method sayfasnda Active Directory Default (Kerberos V5 protocol) sein ve Next butonuna tklayn.

168

Blm 4

10. Edit Properties onay kutusunu temizleyin, Finish ve ardndan OK butonlarna tklayn. imdi 110 arasndaki admlar B makinesi iin tekrarlayn, 25 arasndaki admlarda uygun IP adresleri ve isimler (rnein Tunnel To A, makine Ann IP adresi) kullanarak rulelar oluturun

IPSec Ynetimi ve zleme

IPSecin nasl yaplandrldn bildiinize gre, bunun nasl ynetildiini ve izlendiini renme vakti geldi. IPSecin ynetimi olduka basittir, nk iinizin yaklak %90 korumak istediiniz trafik ve hostlar doru bir ekilde belirlemek iin filter listlerin ve rulelarn oluturulmas ve filter actionlarn oluturulmasdr. Geriye kalan %10luk ksm oluturduunuz rulelarn izlenmesi ve sorun giderme olacaktr. Bilgisayarnzda IPSeci izleyebileceiniz bir ok yol vardr, fakat bunlardan en yararl olanlar, aadaki ksmlarda greceiniz gibi IP Security Monitorde spesifik bilgisayarlar arasndaki trafii ve security associationlar grntlemek ve IPSec ile ilgili olaylar iin event loglar kontrol etmektir.

IP Security Monitor Kullanmak

Windows Server 2003de IP Security Monitor bir MMC snap-in olarak karmza gelir. Bu snap-in sizin domain ya da lokal seviyedeki IPSec policylerinizle ilgili detaylara bakabilmenizi ve sizin main mode ve quick mode istatistiklerini grebilmenizi salar. Buna ek olarak aktif SAlar grntleyebilir ve karmak filterlar altrabilirsiniz. Balamak iin MMC iinde IP Security Monitor snap-ini kurmalsnz. Altrma 4.5 bu snap-ini nasl ekleyeceinizi gsterir. Altrma 4.5: IP Security Monitor MMCye Eklemek 1. Start > Run sein ve MMC yazp OK butonuna tklayn. 2. File mensnden Add/Remove Snap-In sein ve Add butonuna tklayn.
IP Security Monitor sadece Windows XP ya da Server 2003 izlemek iin kullanabilirsiniz.

3. Snap-in listesinden IP Security Monitor sein ve Add butonuna tklayn. Close butonuna ardndan OK butonuna tklayn. MMCye geri dneceksiniz ve snap-in soldaki pencerede grntlnecektir.

4. MMCyi kaydetmek iin File > Save sein ve bir isim ve konsolu kaydedeceiniz bir lokasyon belirleyin.

ekil 4.19: IP Security Monitor snap-in.

IP Seviyesinde Gvenlik Ynetimi

169

IP Security Monitor snap-ini ekil 4.19da grntlenmektedir. Varsaylan olarak IP Security Monitor snap-ini iinde lokal bilgisayar grntlenir. Eer networkteki dier makineleri izlemek isterseniz sol taraftaki pencerede IP Security Monitor zerinde sa tklayp Add Computer seerek onlar da kolayca ekleyebilirsiniz. Eer bir domain ortamndaysanz, uzak bilgisayarlar konsol penceresine eklemek iin ynetimsel haklara sahip olmalsnz. zlemekte olduunuz makineye atanm policy detaylarn grntlemek iin, IP Security Monitor ServerName, Active Policy eklinde an. Bu blmn nceki ksmlarnda tanmlanan policy ayrntlar ekil 4.20de grld gibi sa tarafta listelenir.

ekil 4.20: Active Policy ayrntlar.

Ayn zamanda IP Security Monitor, main mode ve quick mode negotiationlar iin IP Security istatistiklerini grntlemek iin de kullanabilirsiniz. Bunun iin Main Mode ya da Quick Mode altnda Statistics nodea tklayn. Sa pencerede ok eitli istatistikler grntlenecektir ve alnan ve gnderilen toplam byte saylar, send/receive negotiation ya da authentication baarszlklar gibi bilgiler ve daha fazlas grntlenir. Main mode istatistikleri ekil 4.21de grlmektedir.

ekil 4.21: Main mode istatistikleri.

Tablo 4.1 main mode istatistiklerini ve aklamalarn listelemektedir.

170

Blm 4

Tablo 4.1: Main Mode statistikleri

statistik Active Acquire Active Receive Acquire Failures Receive Failures Send Failures Acquire Heap Size Receive Heap Size Authentication Failures Aklama IPSec-enabled makineler arasnda SAlarn kurulumunu balatan bir IKE negotiation iin gereken taleplerin says. u anki talepler ve kuyrukta bekleyenlerle birlikte (yk zel olarak ok yksek olmadka tipik olarak 0). lenmeyi bekleyen IKE mesajlarnn says. nceki IPSec balangcnda baarsz olan IPSec ular arasnda SAlarn kurulmas iin gerekli talep says. IPSecin son balagcndan beri IKE mesaj alm sreci srasnda meydana gelen hata says. IPSecin son balagcndan beri baarsz olan outbund IKE mesajlar says. IPSec ular arasndaki SAlar iin baarl outbound taleplerin says. Gelen baarl IKE mesaj says. IPSecin son almasndan itibaren oluan authentication hatalarnn says. Hatalar, uyumsuz authentication metodlarndan ya da yanl authentication metod yaplandrmasndan kaynaklanyor olabilir. IPSecin son balamasndan itibaren meydana gelen negotiation hatalarnn says. Hatalar uyumsuz authentication metodlarndan, yanl authentication metod yaplandrmasndan ya da uyumsuz gvenlik yaplandrma veya ayarlarndan kaynaklanyor olabilir. Bir aktif main mode SA ile uyumayan cookielerin says. Cookieler gelen IKE mesajlar iinde tutulur ve uygun olan main mode SAy tanmlamak iin kullanlr. IPSecin yeniden balamasndan beri bir main mode SA kurma taleplerinin says. IPSec driverna SAlar ile inbound paketleri eletiren bir unique Security Parameters Index iin yaplan talep says. IPSec driverna eklenen outbound quick mode SA says. IPSec driverna eklenen inbound quick mode SA says. IPSec driverna unique bir SPI iin yaplan hatal talep says. IPSec driverna eklenen hatal outbound quick mode SA says. IPSec driverna eklenen hatal inbound quick mode SA says. Baarl main mode kaytlarnn, beklemede olan main mode negotiation ve baarsz ya da expired main mode negotiation saylarnn toplam. Beklemede olan quick mode negotiation says. IPSecin son balamasndan itibaren main modeda oluturulan baarl SAlarn says. IPSecin son balamasndan itibaren quick modeda oluturulan baarl SAlarn says. IPSec etkin olmayan makinelerle oluturulan fakat bilgisayarn policysinin balantya izin verdii SAlarn says. Soft associations IPSec secure deildir. Geersiz header alanlar, doru olmayan payload uzunluu ya da doru olmayan cookie deerleri olan IKE mesajlarnn says. Genellikle yeniden gnderilen IKE mesajlarnn ya da uyumayan preshared keylerin sonucudur.

Negotiation Failures

Invalid Cookies Recevied Total Acquire Total Get SPI Key Additions Key Updates Get SPI Failures Key Addition Failures Key Update Failures ISADB List Size Connection List Size IKE Main Mode IKE Quick Mode Soft Associations

Invalid Packets Received

IP Seviyesinde Gvenlik Ynetimi

171

Tablo 4.2 quick mode istatistiklerini ve aklamalarn listelemektedir. Tablo 4.2: Quick Mode statistikleri
statistik Active Security Associations Offloaded Security Associations Pending Key Operations Key Additions Key Deletions Rekeys Active Tunnels Aklama Aktif quick mode SAlarn says SA hzlandrmay destekleyen NIC gibi zel donanmlarla hzlandrlm aktif quick mode SAlarnn says. Kuyrukta bekleyen fakat tamamlanmam IPSec key exchange says. En son yeniden balamadan beri eklenen baarl quick mode SAlarn says. En son yeniden balamadan beri silinen baarl quick mode SAlarnn saylar. En son yeniden balamadan beri rekeyed quick mode SAlarn says. Aktif IPSec tunnel says. En son yeni balamadan beri kt bir SPIdan etkilenen paket says. Genellikle bu bir paketi expired olmu bir SAya erime giriiminde bulunduu anlamna gelir. Bu istatistik, rekey zaman aral kk ise ve SAlarn says ok bykse ya da bir spoof atak srasnda sz konusu ise yksek olabilir. En son yeniden balatmadan beri ifrelerinin zlmesinde baarsz olunan paketlerin says. Bu bir paketin geerlilik kontrolnde baarsz olmas durumunda gerekleebilir. Bilgisayar tarafndan kayna dorulanamayan paketlerin says. Bu deer yksek ise, paket spoofing, modification atak ya da network aygtlar tarafndan bozulma sz konusu olabilir. En son yeniden balamadan beri geersiz sra numarasna sahip paketlerin says. ESP altnda ifrelenerek gnderilmi toplam byte says. ESP altnda ifrelenmi alnan toplam byte says. AH ya da ESP altnda kimlii dorulanm gnderilen toplam byte says. AH ya da ESP altnda kimlii dorulanm alnan toplam byte says. En son yeniden balamadan beri transport modeda gnderilen toplam byte says. En son yeniden balamadan beri transport modeda alnan toplam byte says. En son yeniden balamadan beri tunnel modeda gnderilen toplam byte says. En son yeniden balamadan beri tunnel modeda alnan toplam byte says. En son yeniden balamadan beri donanma braklarak gnderilen toplam byte says. En son yeniden balamadan beri donanm ile birlikte alnan toplam byte says.

Bad SPI Packets

Packets Not Decrypted

Packets Not Authenticated

Packets With Replay Detection Confidential Bytes Sent Confidential Bytes Received Authenticated Bytes Sent Authenticated Bytes Received Transport Bytes Sent Transport Bytes Received Bytes Sent In Tunnels Bytes Received In Tunnels Offloaded Bytes Sent Offloaded Bytes Received

IP Security Monitor ayn zamanda izlemekte olduunuz makineye uyguladnz filterlar grntlemek iin kullanldr. IP Security Monitor olmadan, hangi makineye hangi filtern uygulandn hatrlamak g olabilir. Main Mode ve Quick Mode kategorilerinin altnda Generic Filters ve Specific Filters nodelarna tklayarak networknzdeki filterlarn niteliini kolay bir ekilde belirleyebilirsiniz. Filterlar sa pencerede filter ad, kaynak, hedef ve bunun gibi birok detayla

172

Blm 4

birlikte grntlenir. Bu konularla ilgili grntlenen detaylar bu blmdeki IPSec parametrelerinin ayarlanmas ksmnda tartlmt. Son olarak IP Security Monitor izlemekte olduunuz bilgisayarn policy ve SAlarn grntler. Bir policyye ift tklayarak kullanlmakta olan AH ve ESP tiplerini grebildiiniz gibi her metod iin anahtar yaam srelerini ve PFS ayarlarn grebilirsiniz. Security Association nodeu iki bilgisayar arasndaki iletiimde sorun gidermek iin kullanldr. Sunucunun IP adresinin Me kolonunda ve istemcinin IP adresinin Peer kolonunda listelendiinden emin olmanz gerekir. Eer deilse SA geersizdir.

IPSec Ynetimi in Netsh

Netsh ile alrken iki mod vardr: statik ve dinamik. Statik modu kullanarak policylerde deiiklikler yapabilirsiniz, rnein, mevcut aktif IPSec policyye etki etmeden oluturma ve deitirme yapmanz mmkndr. Dier taraftan dinamik mod eer servis alyorsa mevcut aktif IPSec policyde deiiklik yapmanz mmkn klar. netsh komutu ile eriilebilen bilgilere ayn zamanda bir nceki ksmda grdnz IP Security Monitor snap-in araclyla da eriilebilir. rnein, aadaki komut ile spesifik policylere bakabilirsiniz: netsh ipsec static show policy=<policyname> <policyname> ksmnda bir policy adn kullanmanz gerekecektir. Dier bir komut mevcut policy hakkndaki tm bilgileri grntleyecektir: netsh ipsec static show all Ayn zamanda unu kullanabilirsiniz: netsh show <policyname>=all, statistikleri grntlemek iin u komutu kullanabilirsiniz: netsh ipsec show stats netsh ayn zamanda yeni policyler eklemek, rulelar ayarlamak ve IPSec ynetimi ile ilgili dier fonksiyonlar iin kullanlabilir. netsh hakknda daha fazla bilgi iin http://www.microsoft. com/technet/prodtechnol/windowsserver2003/libraryServerHelp/c30640b719e4-4750-82f6-61ca16e727d8.mspx adresine bakn.

Event Loggingi Kullanmak

Logon eventleri ve object accessler iin izlemeyi etkin hale getirirseniz bir sorunu gidermeye alrken olduka yararl olabilecek Event Viewerda loglanm bilgilere sahip olacaksnz. Bilhassa, bir security association kurulumu srasndaki IPSec eventleri. Bu event mesajlar kullanlan policy, filter ve filter actionlarn ve ayrca balant zerinde aktif olan security methodlarn size syler. Tablo 4.3 en sk kullanlan event log mesajlarn listelemektedir. Bu listede bu mesajlar ve ne anlama geldiklerini greceksiniz. Tablo 4.3: nemli IPSec Event Log Mesajlar
Event ID 279 284 541 Nerede Olduu System log System log Security log Aklama IPSec Policy Agent tarafndan retilir; hangi policynin yklendiini ve nereden geldiini gsterir. IPSec Policy Agent tarafndan retilir; agentn bir policyyi getiremedii zamanlarda ortaya kar. Bir IPSec SAnn kurulduuna iaret eder.

IP Seviyesinde Gvenlik Ynetimi

173

Tablo 4.3: nemli IPSec Event Log Mesajlar (devam)

Event ID 542 547 Nerede Olduu Security log Security log Aklama Bir IPSec SAnn kapatldna iaret eder. Bu uzak makine ile balanty kestiinizde meydana gelir. (Ayn zamanda SAnn tipine bal olarak 543 eventi olarak da ortaya kabilir.) IPSec SA negotiationn baarsz olduuna iaret eder, bu yzden SA kurulamaz.

Altrma 4.6da logon eventleri ve object accessleri iin izleme olayn etkin hale getireceksiniz. Log iinde herhangi bir ey grmek iin birbiriyle konuabilecek IPSec altran en azndan iki adet makineye ihtiyacnz olacaktr. Bu altrma srasnda kullandnz makinelerin hangisinde ynetimsel eriim hakkna sahip olduunuzun nemi yoktur. Altrma 4.6: IPSec Logon Aktivitelerinin zlenmesi Eer bir domain controller kullanyorsanz, Altrma 4.2de kaydettiiniz konsolu ykleyip altrmann 2. admndan 5. admna atlayabilirsiniz. Eer stand-alone ya da workgroup sunucusu kullanyorsanz normal olarak ilerleyin. 1. Start > Run seip MMC yazn ve OK butonuna tklayn. Bo bir MMC konsolu grntlenir. 2. File > Add/Remove Snap-In sein. Add/Remove Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusunda, iaretli bir Group Policy Object Editor grene kadar snap-in listesini aaya doru kaydrn. Daha sonra seip Add butonuna tklayn. 4. Select Group Policy Object diyalog kutusu grntlenir. Local Computer seeneini iaretli olarak brakp Finish butonuna tklayn. 5. Add Standalone Sanp-In diyalog kutusunda Close butonuna tklayn ve ardndan Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 6. Audit Policy klasrn arayn ve sein (Local Computer [ya da domain] Policy, Computer Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy). 7. Audit Logon Events kayd zerinde ift tklayn. Local Security Settings diyalog kutusu grntlendiinde Success ve Failure onay kutularn iaretleyin ve ardndan OK butonuna tklayn. 8. Baka bir makineden az nce local security policyyi deitirdiiniz makineye bir IPSec balants kurun. 9. Event logu gzden geirin ve IPSec negotiationn baarl ya da baarsz olma durumlarn gzleyin.

IPSec Aktivitelerini Network Monitorde zlemek

Blm 2de Network Monitorn nasl kullanldn grmtnz. O blmde bilgisayarnzdaki IP aktivitelerini nasl gzden geireceinizi rendiniz. Network Monitor ayn zamanda ISAKMP (IKE), AH ve ESP protokolleri iin derleyiciler ierir. Network Monitorde yakalanan verileri incelerken protokol kolonunda ISAKMP, AH ya da ESP iin bakn. Eer burda grntlenmiyorsa, bilgisayarnzda etkin IPSec policylerinin olmadndan emin olabilirsiniz. Eer protokoller burada listeleniyorsa, yakaladnz IPSec aktivitelerini daha detayl bir ekilde grntlemek iin zerine ift tklayabilirsiniz. Network Monitorn ESP iin parserlar ESP paketini, sadece null ifreleme kullanlmakta olduunda ve tm ESP paketi yakalandnda parse edebilir. Network Monitor IPSec gvenli ESP trafiinin ifrelenmi ksmn, ifrelemenin yazlm tarafndan gerekletirildii durumda parse edemez. Bununla birlikte ifreleme eer bir IPSec donanm network adaptr tarafndan gerekletiriliyorsa, Network Monitor tarafndan yakalandklarnda ESP paketlerinin ifreleri zlr, sonu olarak parse edilebilirler ve daha st katmanlardaki protokoller ile yorumlanabilirler. Eer

174

Blm 4

yazlm yoluyla ifreleme kullandnz ESP iletiiminizi tehis etmek isterseniz, her iki makinedeki IPSec policylerini deitirerek ESP ifrelemeyi devre d brakmal ve ESP null ifrelemeyi kullanmalsnz.

IPSec Sorun Giderme Teknikleri

IPSecde sorun giderme biraz ustalk isteyen bir itir. Microsoft evrim ii yardm bu konuda birok aklama iermektedir, fakat temel prensipleri anlamak ok da zor deildir. Elbette ilk olarak uzak bilgisayara temel, korunmasz TCP/IP balantnzn olduundan emin olmanz gerekir. nk IPSec IP ve UDP zerinde alr, eer hedef makinede dzenli bir ekilde IP datagramlarn alamyorsanz, IPSec paketlerini de ayn ekilde alamayacaksnz. Bu da IPSec tarafnda sorun gidermeye gemeden nce, standart balant ve isim zmleme testlerini (network kablosunun takl olduundan emin olmak gibi!) yapmanz gerektii anlamna gelir. Aadaki ksmlarda IPSec problemlerinin tehisinde kullanabileceiniz ek admlara gz atlmaktadr.

Gerek Dnya Senaryosu IPSec Problemleri

Windows Server 2003de IPSecin almasn salamak greceli olarak kolaydr. Bazen iin zor taraf firewalllar IPSec ile birlikte alabilir hale getirmektir. Windows Server 2003de firewalla ek olarak, sre daha da zor hale gelebilir. Network Address Translation (NAT) ou IPSec uygulamas iin firewall zerinden etkin hale getirilemez. Bu IPSecin header bilgisinin protokoln bir paras olarak deitirilmemi olmasn beklerken NATn IP headernda deiiklik yapmasndan kaynaklanr. IPSecin alabilmesi iin bir firewall araclyla gemesine izin verilmesi gereken trafik tipi vardr: IP Protokol ID 50, IP Protokol ID 51 ve UDP port 500. Bu trafik her iki ynde gelen ve giden trafik iin iletilebilmelidir. Bu konu hakknda daha fazla bilgiyi http://support.microsoft.com/kb/233256 adresinde bulabilirsiniz. Eer yaplandrmann temel admlarnda bir IPSec problemi bulursanz ilk olarak firewalla ve firewalln rettii kaytlara bakn.

Ska Karlalan IPSec Sorunlarn Tanmlamak

IPSec ile alakal en sk karlalan sorun gvenli bir balant zerinden iki bilgisayarn haberleememesidir. Ortaya kabilecek baz problemlerin azaltlmas iin baz temel admlar yardmc olabilir:

Her iki bilgisayarda da IPSeci durdurun ve her iki uca da ping atmaya aln. Eer ping baarl deilse, balant temelinde bireylerin yanl olduunu syleyebiliriz. Aksi halde problemin kayna byk olaslkla IPSec yaplandrmas ile ilgilidir. IPSec Policy Agent servisini yeniden balatn ve IP Security Monitor kullanarak iki makinenin eleen SAlara sahip olduunu dorulayn. IPSec Policy Management aracn kullanarak IPSec policylerinin her iki bilgisayara da atandndan ve birbirleriyle uyumlu olduundan emin olun.

Gerek Dnya Senaryosu Windows 2000 ve IPSec

Windows 2000 istemcilerini ieren bir IPSec problemini zmeye alrken Windows 2000 bilgisayarn servis packinin ya da ifreleme ayarlarnn kontrol edildiinden emin olun. 3DESin, Windows Server 2000 bilgisayarlar ile birlikte kullanlabilmesi iin High Encryption Pack ya da Service Pack 2 veya stne sahip olmas gerektiini hatrlayn.

IP Seviyesinde Gvenlik Ynetimi

175

Doru Policynin Atandndan Emin Olmak

Eer atadnz bir IPSec policy yoksa ya da yanl bir policyniz varsa, balantnz baarsz olabilir. Policynin doru bir policy olup olmadn kontrol etmek iin birok farkl yol vardr.

Event logunu event ID 279 iin gzden geirin. Bu IPSec Policy Agentn atanan policyyi size syleme yoludur. IP Security Monitorde main modeu bir security association kurulup kurulmadn belirlemek iin kontrol edin ve ardndan Statistics klasrn dikkatli bir ekilde herhangi bir hata (negotiation failure, authentication failure, acquire failure, send failure gibi) durumu iin kontrol edin. Uygun Group Policy Objectsine (local computer policy de dahil olmak zere) bir IPSec policy atanp atanmadna bakn. Bir bilgisayar zerinde lokal policyleri dzenlemeyi denerken, IPSec snap-ini IPSec policy iin atanan group policy iin sizi uyarr.

Policy Uyumsuzluklarn Kontrol Etmek

Eer her iki uta da uygulanm policyleriniz olmasna ramen hala bir balant kuramyorsanz, policylerinizin uyumuyor olmas muhtemeldir. Bu durumun olup olmadn dorulamak iin event logu event ID 547 iin tekrar gzden geirin. Eer bu event ID ile ilgili bir hata bulursanz hatann aklamasn dikkatlice okuyun, nk bu size nemli ipular verebilir. ki policyde de kullanlan authentication ve security methodlarnn en azndan bir ortak ayarlarnn olduundan emin olun.

zet
u konular bu blmde ele alnmtr: Bu blm IPSecin normal IP protokol zerinde kimlik dorulama ve/veya ifrelemeyi salayarak ya da zorunlu klarak network gvenliini nasl arttrdn inceledi. Bu blm ayn zamanda IPSec ynetim snap-ininin kurulumu ve IPSec policylerinin yaplandrlmas zerinde durdu. zel security policylerin ve filterlarn oluturulmas sreci incelendii gibi yerleik security policylerin (Server [Request Security], Client [Respond Only] ve Server [Require Security]) nasl kullanld da incelendi. Son olarak IP Security Monitor, Event Viewer ve Network Monitor kullanlarak IPSec ile ilgili sorunlar izleme ve giderme zerinde duruldu, doru policynin atanp atanmadn dorulama ve policy uyumazlklarn kontrol etme zerinde duruldu.

Snav Esaslar
IPSecin nasl altn anlayn. IPSec network katmannda alr, kullanc ve uygulamalarn kullanmakta olduklar trafiin gvenli bir balant zerinden tanp tanmadndan haberdar olmalarna ihtiya yoktur. IPSec birincil olarak iki servis salar: bilgisayarlarn birbirlerine gvenip gvenmemelerine karar verebilecekleri bir yol (authentication) ve network verilerinin gizli tutulmasn salayan bir yol (encryption). IPSecin Windows Server 2003 uygulamalar ak bir ekilde policy tabanl gvenlik fikrini destekler. IPSecin nasl yklendiini bilin. Bir Windows 2000, XP ya da Server 2003 makinesinin bir IPSec istemcisi olarak almas iin gerekli olan bileenler Windows Server 2003 kurduunuzda varsaylan olarak gelir. Bununla birlikte - varsaylan olarak IPSec kullanmn zorunlu klan bir policy yoktur, bu yzden bu Windows makinelerinin varsaylan yaklam IPSec kullanmama ynnde olacaktr. IPSec yklemek zorunda deilsiniz; sadece bunu ynetmek iin ve istenen etkiyi salamak amacyla policyler ve filterlar atamak iin bir ara kurmaya ihtiyacnz var. IPSec IPSecurity Policy Management snap-in araclyla ynetilir. IPSec Policylerinin nasl oluturulup yaplandrldn bilin. IPSeci default policyleri deitirerek, kullanmak istediiniz rule ve filterlar kapsayan kendi policylerinizi oluturarak ve sizin ynetim alannz iinde policylerinizin bilgisayarlara nasl uygulanacan kontrol ederek yaplandrabilirsiniz. Snap-in iinde IP Security klasr zerinde sa tklayp New IP Security Poli-

176

Blm 4

cy komutunu seerek yeni policyler oluturabilirsiniz. Bir policynin Properties diyalog kutusu ile policyyi zelletirebilirsiniz. Properties diyalog kutusunda rule, filter list ve security action ekleyebilir, silebilir ve ynetebilirsiniz. Filter listlerin nasl ynetildiini bilin. Filter list ve filter actionlar Edit Rule Properties diyalog kutusu iindeki uygun sekmeleri kullanarak ynetebilirsiniz, fakat buradaki elerin herhangi bir policy iin mevcut olduuna dikkat edin. Bunun yerine pop-up menden Manage IP Filter Lists And Filter Actions komutunu kullanabilirsiniz. Bu komut Manage IP Filter Lists And Filter Actions diyalog kutusunu grntler. IPSecin Tunnel mode iin nasl yaplandrldn bilin. Bir tunnel standart bir transport mode iin yapabileceiniz gibi kaynak ve hedef IP adresleri uyuan bir filter oluturarak kurarsnz. Tunnel zerinde ESP ve AH kullanmak size bir authenticated tunnel (sadece AH), bir encrypted tunnel (sadece ESP) ya da bu ikisinin kombinasyonunu verir. Bu hareketi bir filter action ve security method tanmlayarak kontrol edebilirsiniz. Dzgn bir ekilde bir tunnel oluturmak iin her iki uta iki rulea ihtiyacnz var: bir adet gelen trafik iin ve bir adet giden trafik iin. IPSecin nasl izlendiini bilin. IP Security Monitor u anda IPSecte sorun giderme iin tercih edilen aratr. Bir security assciationn kurulup kurulmadnn nasl belirlendiini ve iletiim srasnda associationn hatalar alp almadn ya da kabul edilip edilmedii nasl belirlendiini bilin. IPSec log ileminin nasl etkinletirildiini bilin. IPSec olaylar bir security association kurulurken loga kaydedilir ve event logu IPSec istatistiklerini ve izlemeleri iin inceleyebilirsiniz. netshta bir anahtar olarak bulunan IPSec komut satr aracn bilin. IPSecte nasl sorun giderildiini bilin. lk olarak uzak sisteme temel, gvensiz TCP/IP balantnzn olduunu dorulamanz gerekir. Ayn zamanda eer atanm bir IPSec policyniz yoksa ya da yanl bir policyye sahipseniz balant abalarnz sonu vermeyecektir. Son olarak, her iki uta da uygulanm policyleriniz var ve hala balant kuramyorsanz policylerin rtmemi olma ihtimali yksektir.

Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak
Bu laboratuvar almasnda, bir IPSec balantsndaki sorunda Event Viewer spesifik olaylara bakmak iin iin bir filtre oluturarak kullanacaksnz. Bu laboratuvar almas iin bir Windows Server 2003 sunucuya ihtiyacnz olacak. 1. Start > Administrative Tools > Event Viewer seerek Event Viewer an. 2. Event Viewerda, security nodeu zerinde bir kez tklayn, ekrannz aadaki grafiktekine benzeyecektir.

IP Seviyesinde Gvenlik Ynetimi

177

3. View > Filter sein. Security Properties diyalog kutusu aadaki grafikte grld gibi grntlenir.

4. Event ID metin kutusuna aadaki grafikte grld gibi 547 yazn. OK butonuna tklayn.

5. 547 IDsine sahip tm olaylar, bir SA negotiation hatasna iaret eder ve Event Viewerda grntleneceklerdir. Bonus: Event ID filtre koulunu IPSec sorun giderme ile ilgili dier IDlerle deitirin. Bu IDleri hatrlamak iin Tablo 4.3e bakabilirsiniz.

178

Blm 4

Gzden Geirme Sorular

1. 30 mhendis ve aralarnda muhasebe, insan kaynaklar ve ynetim alanlarnn da bulunduu 25 ynetim personelinin olan Miracle Wonder Software and Development Company iin alyorsunuz. Ayn zamanda Miracle rnlerini mterilere satmaya alan 10 tane sat personeli var. Yazlm kodlarnzn ok da gvende olmadndan endie ettiiniz iin tm uygulama gelitiriciler ve depolama birimleri iin IPSec uyguluyorsunuz. Dosyalara eriimde herey olduka iyi alyor, fakat networknzde IPSecin dzgn altndan emin olmak istiyorsunuz. Bunun iin ne yapmanz gerekir? A. IP Security Monitor Main Mode Security Associationlar bir SAnn kurulduundan emin olmak iin kontrol edin, ardndan Main Mode Statisticsden associationn hata iermediini kontrol edin. B. IPSec trafiini analiz etmek iin System Monitor altrn ve ifreli olduundan emin olun. C. ipsecview, IP Security Viewer altrmak ve IPSec istatistiklerini grnlemek iin altrn. D. Tnellenen IPSec ifrelemeyi kontrol etmek iin L2TP monitoru altrn. 2. 200 Windows 2000 ve XP Professional ve 10 Windows Server 2003 bilgisayarlarn ieren bir network ynetiyorsunuz. Windows Server 2003 bilgisayarlardan CLASS1 adndaki bir bilgisayar olduka gizli bilgiler ieriyor, bu yzden o makine zerinde IPSec uygulamaya karar verdiniz. Yneticiler sizden CLASS1i verilerin baka kiilere ulamadndan emin olmak iin sk sk izlemenizi istiyor. Aadaki eylemlerden hangisi CLASS1 zerinde IPSeci izlemenizi salar? A. System Monitoru kullanarak key exchange trafiini izleyin. B. Network Monitor kullanarak network trafiini analiz edin. C. MMCye IP Security Monitor ykleyin ve CLASS1 isimli bilgisayar gsterin. D. Computer Management kullanarak IPSec policy atamalarn dorulayn. 3. Networknz firewalllar, gvenli routerlar ve gl remote access kimlik dorulama kullanarak olduka gvenli hale getirdiniz. Ayn zamanda sistemin fiziksel gvenliini de kurdunuz. Bu sistemde tm kullanclarn her odaya girilerinde kullandklar birer kimlikleri var ve bu sayede kullanclarn hareketleri izlenip raporlanabiliyor. Ayn zamanda networknzn evresinin gvenli olduunu dnyorsunuz. Networknzde alanlar arasnda hala olduka nemli bilgiler dolayor. Networknzn iinde hibir kimsenin hat zerinden hi bir veriyi yakalayamadndan ve okuyamadndan emin olmak istiyorsunuz. Bu amac gerekletirmek iin ihtiyacnz olan IPSec bileeni nedir? A. AH authentication B. IPSec paket filtreleme C. ESP ifreleme D. AH ifreleme 4. Joanne, domaininin IPSec policylerinin tazelenme zaman araln varsaylan ayar olan 3 saatten, 24 saate karmak istiyor. Bu deiiklii uygulamak iin aadakilerden hangisini yapmas gerekir? A. Policy zerinde sa tklayn ve Change Refresh Time komutunu verin. B. Policynin Properties diyalog kutusu General sekmesini an ve Check For Policy Changes Every alann dzenleyin.

IP Seviyesinde Gvenlik Ynetimi

179

C. Policynin Properties diyalog kutusu Schedule sekmesini an ve Check For Policy Changes alann dzenleyin. D. IPSec Policy Agent servisini durdurup balatmak iin bir zamanlanm grev oluturun. 5. irketiniz raporlar oluturma ve parlemento raporlar iinde kullanlan ekonomik bilgilerin toplanmas szlemesine sahip. irketiniz bu bilgileri birok farkl lkedeki anlamal organizasyondan topluyor ve harmanlyor. irketinizin ald bilgiler iin gnderen organizasyonun kimliinin dorulanmas ok nemli. Bilgilerin gvenliini salamak iin IPSec uyguladnz. IPSeci yaplandrrken, bilgilerin uygun kaynaktan geliyor olmasndan nasl emin olabilirsiniz? A. AHy, her bir IP paketi kaynak adresi iin kimlik dorulamas salayacak ekilde yaplandrn. B. AHy, IP paketi iin ifreleme salayacak ekilde yaplandrn. C. ESPyi IP payload iin ifreleme salayacak ekilde yaplandrn. D. ESPyi IP payload iin kimlik dorulama salayacak ekilde yaplandrn. 6. Malike, bir d sitea gnderilen tm HTTP trafiini koruyacak bir IPSec kural oluturma grevi atand. Bunu gerekletirmek iin aadakilerden hangisi en iyi yoldur? A. Hedef adresi olarak belirtilen d site tanmlayan All IP Traffic IP filter list ve Require Security action kullanan yeni bir policy oluturun. B. Request Security (Optional) policyyi etkin hale getirin. C. Require Security policyyi etkinletirin. D. Hedef adresi olarak d site tanmlayan ve TCP protokol 80 portu zerinde kaynak ve hedef iin bir custom filter list kullanan yeni bir policy oluturun. 7. Native mode Windows Server 2003 networknzdeki verilerin gvenlii ve btnl irketinizin ynetimi asndan olduka nemlidir. Birbirleriyle sklkla iletiim kuran yedi lokasyonunuz var ve bu lokasyonlarn hepsi Internet iin standart bir ekilde kendi eriimlerini kullanyorlar. irketin mdrleri ve ynetim personelleri arasndaki iletiim trafiinin gvenlik altna alnmasndan sorumlusunuz. Bunu yapmak iin belirlenen iletiim iin kimlik dorulama ve ifreleme salamak amacyla IPSec uygulamay planlyorsunuz. Networknz boyunca IPSecin dzgn bir ekilde almas iin neyi deitirmeniz gerekecektir? A. Networkteki uygulamalar mdr ve ynetim personelinin IPSec kullanmn destekleyecek ekilde deitirin. B. Mdrlerinizin ve yneticilerinizin NIClerini IPSec kullanacak ekilde ykseltin. C. Router yazlmn IPSec trafiini dier lokasyonlara geirebilecek ekilde ykseltin. D. Bilgisayarlarnzda IPSeci, dier bilgisayarlardan IPSec balantlarn kabul etmesi iin etkinletirin. 8. Marie baka bir ekilde alan bir networkte bir IPSec hatasn zmeye alyor. Event loguna baktnda hata kaydn event ID 547 ile buluyor. Bu logu dikkate alrsak Marienin tespit edebilecei muhtemel sebep hangisidir? A. ki bilgisayar policyleri arasndaki uyumazlktan dolay megotiation baarsz oldu. B. IPSec Policy Agent bir policyyi getiremedi. C. Bir IPSec SA kapatld. D. Bir IPSec SA kurulamad.

180

Blm 4

9. irketinizin baka bir irket ile bir Windows Server 2003 uygulama yazlm gelitirme projesine katlmak iin bir szleme imzalad konusunda bilgilendirildiniz. Bu proje iki organizasyon arasnda kaynak kodlarnn paylalmasn gerektirecektir. ki irket arasndaki iletiimin korunmas bu noktada ok nemlidir. Her iki irket de native modda Windows Server 2003 altryor ve yine her iki irkette de veri transferi gvenliini salamak iin IPSec etkinletirilmi durumda. Her iki irket de IPSec gvenlik protokollerini kontrol etmek ve iki irket network arasnda IPSec iletiimini snrlandrmak istiyor. Sizin irketinizin domaini panacea.com ve dier irketin domaini hearth.comdur. Kayna panacea.com, hedefi hearth.com olan bir security filter oluturdunuz. hearth.comun sistem yneticisi kaynak hearth.com ve hedef panacea.com olan bir security filter oluturdu. Balanty test ettiinizde, IPSec negotiation srecinin baarsz oluyor ve trafik gvenli deil. Bu probleme sebep olan en muhtemel sorun nedir? A. irketler IPSec ile ilgili farkl service packler kullanyor. B. Hibir ey. Kullanclarn veri transferi yaparken IPSeci ne zaman kullanacaklarn semesi gerekli. C. inbound ve outbound filterlar oluturulmad. D. Security filterlarnzn yaplandrmas olmas gerekenin tam tersi. 10. Windows Server 2003 altran bir domain controller, remote access server ve dosya sunucusu olarak alan bir Windows Server 2003 ye sunucu, 500 adet Windows XP Professional istemcisi ve farkl iletim sistemleri kullanan birok uzak kullancnn olduu kk bir domaini ynetiyorsunuz. DC ile ilgili tm iletiimi gvenli hale getirmelisiniz ve ye sunucu ile tm dhili iletiimin emniyetli olmasn tercih ediyorsunuz. Lokal istemciler arasndaki ve uzak kullanclar ile ye sunucu arasndaki trafiin gvenli olmasna gerek yok. Network ierisinde default IPSec policylerini uygun lokasyona getirin. Baz seeneklerin birden fazla kullanlabileceine ve bazlarnn kullanlmayabileceine dikkat edin.

11. nsan kaynaklar departmannzn personeli alan bilgilerinin gizlilii ykmll ile ilgili artan bir ekilde endieleniyorlar. K personeli salk, cret ve kiisel veriler gibi bilgilere eriimi kontrol etmek iin uygun policylerin olduunu biliyorlar fakat bu bilgiler darya gnderildiinde ve uygun bir ekilde emniyet altna alnmadnda zarardan irketin sorumlu olacan rendiler. K alanlar bilgileri ortamda dolatrrken, K ve muhasebe sistemlerinin gvenliini salamak sizin grevinizdir. Bununla birlikte bu sistemler dier departmanlardaki alanlara ak kalmaldr. Hemen K ve muhasebe sunucularnda ve bu iki departmanlardaki makinelerde IPSec uyguluyorsunuz. Dier departmanlardan bu sunuculara dzenli balantlarn salanmas ve ayn zamanda gizli bilgilerle ilgili olan makinelerden trafiin IPSec balant gerektirmesini salamak istiyorsunuz. Hangi security filter actionlar tanmlamanz gerekir? A. Permit

IP Seviyesinde Gvenlik Ynetimi

181

B. Block C. Accept Unsecured Communication, But Always Respond Using IPSec D. Allow Unsecured Communication With Non-IPSec Aware Computers E. Use These Security Settings 12. Farkl ehirlerdeki iki site arasnda bir IPSec tunnel kurmak istiyorsunuz. Bu filter listleri her bir siteda nasl kullanmanz gerekir? A. Her bir siten iki adet filter liste sahip olmas gerekir. Bir listin outbound trafik iin kendisini endpoint olarak gsteren bir filter belirlemesi ve dier listin inbound trafik iin endpoint olarak kar site gsteren bir filter belirlemesi gerekir. B. Her bir siten outbound trafik iin dier taraf endpoint olarak gsteren bir filter ve inbound trafik iin kendisini endpoint olarak gsteren bir filter belirleyecek ekilde bir filter liste sahip olmas gerekir. C. Her bir siten iki adet filter liste sahip olmas gerekir. Bir listin outbound trafik iin kar taraf bir endpoint olarak gsteren bir filter belirlemesi ve dier listin inbound trafik iin endpoint olarak kendisini gsteren bir filter belirlemesi gerekir. D. Her bir siten outbound trafik iin kendisini endpoint olarak gsteren bir filter ve inbound trafik iin kardaki site endpoint olarak gsteren bir filter belirleyecek ekilde bir filter liste sahip olmas gerekir. 13. HIPPA mevzuat gerei hazrlanma sreci ierisinde hastaneniz iin gl bir gvenlik alt yaps uygulamanz sylendi. Routerlarnzdaki access controller list ve firewallunuz ile gvenli bir perimeter networke sahipsiniz. Bununla birlikte sizin dhili LANnzdaki tek gvenlik, uygulama ve veri salayan Windows Server 2003 makineleri zerindeki access control listlerdir. Buna ek olarak hastanede mainframeler ve Unix makineler zerinde alan basit parola korumal uygulamalarnz vardr. Networknzdeki kablolar boyunca bir gvenliiniz yok. Hat boyunca ilerleyen paketler iin ifreleme ve kimlik dorulama salayacak ekilde bir IPSec uygulama plan ortaya koyuyorsunuz. Hastanedeki tm platformlar arasnda IPSecin altn ispat edemeden nce herhangi bir uygulamann kesilmesini ya da hastanedeki herhangi bir yerden eriimin engellenmesini istemiyorsunuz. Bunu gz nnde bulundurarak, tm Window Server 2003 makinelerinizde ve i istasyonlarnzda IPSeci etkiletiriyor ve ardndan birlikte alabilirlii test etmek iin hastane iindeki dier platformlara da IPSec uygulamaya balyorsunuz. IPSec birlikte alabilirlii tam olarak test etmeden nce, Windows Server 2003 makinelerine Microsoftun hangi yerleik policylerini atamanz gerekir? A. Client (Respond Only) B. Secure Server (Require Security) C. Server (Request Security) D. Client (Request Only) 14. ok gizli bir gvenlik organizasyonundaki bir Windows Server 2003 networknn sistem yneticisisiniz. Bu organizasyon dier bir gvenlik organizasyonuyla yar halka ak bir network zerinden iletiim kuruyor. Dier organizasyona gnderdiiniz bilgilerin kimliinin dorulanmas ve ifrelenmesi gerekiyor. Ayn durum kar taraftan aldnz bilgiler iin de geerli. Bunun yansra, her iki organizasyon da dier tarafn kimlii ile ilgili herhangi bir bilginin network boyunca iletilmesini istemiyor. Organizasyonlarn teknik personeli, IPSec temelinde iletiim iin gvenlik gereksinimini salayan bir plan ortaya koyuyorlar. Gereksinimleri karlamak iin hangi kimlik dorulama metodunu kullanmalar gerekir? A. Kerberos version 5 B. Bir Certificate authorityden Public/private key C. Preshared key

182

Blm 4

D. Kerberos version 4 15. Kk bir irketin sistem yneticisi olarak alyorsunuz. Bir tanesi bir domain controller olarak yaplandrlm iki adet Windows Server 2003 bilgisayar ve 100 adet Windows XP Professional i istasyonu var. Tm bilgisayarlar arasndaki tm iletiimin gvenli olmasn salamalsnz. Active Directoryde Group Policyleri her istemcinin zelletirilmi securty policyleri kullanaca ekilde yaplandryorsunuz. Bunu yaptktan sonra, tm sunucular ve istemciler arasndaki iletiim baarsz oluyor. Domain controller zerinde Network Monitor ayorsunuz ve lokal bir bilgisayardaki network aktivitelerini yakalyorsunuz. IPSec aktivitelerini tehis etmeye balamak iin logdaki hangi protokolleri incelemeniz gerekir? A. ISAKMP B. AH C. NBT D. ESP 16. IPSecteki ifreleme iin mevcut seenekleri incelerken, veri btnln salamak iin en gl ifreleme salayan algoritma ve anahtar uzunluu hangisidir? A. 3DES 256 bit anahtar uzunluu B. MD5 128 bit anahtar uzunluu C. SHA-1 160 bit anahtar uzunluu D. MD5 160 bit anahtar uzunluu 17. IPSec performansn izlerken bilgilere kolayca erimek iin netsh komutunu kullanrsnz. Netsh iki balamda alr: Statik ve dinamik. u anda alan policy iin istatistikleri grntlemek amacyla hangi netsh komutunu kullanrsnz? A. netsh ipsec dynamic show statistics B. netsh ipsec static show all C. netsh ipsec static dynamic show all D. netsh ipsec static show current 18. L2TP, Point-to-Point Protocol (PPP) framelerini birletirir. Bunlar ne tip bir paket ierisine enkapsle eder? A. SMP B. TCP C. IPX D. UDP 19. Bir Windows Server 2003 sunucu iin iletiimi emniyete almak amacyla IPSec kullanacaksnz. Oturumu oluturmak iin IPSec tarafndan hangi protokol kullanlr? A. IKE, ISAKMP frameworkn paras olarak B. IKE, ESP frameworkn bir paras olarak C. ESP, ISAKMP frameworkn bir paras olarak D. ESP, L2TP frameworkn bir paras olarak

IP Seviyesinde Gvenlik Ynetimi

183

20. IPSec aktivitelerini izlemek iin log dosyalar iindeki olaylar gznne alrken, hangi event IDsi bir IPSec SAnn kurulduuna iaret eder? A. 547 B. 541 C. 544 D. 542

184

Blm 4

Gzden Geirme Sorularnn Cevaplar

1. A. IP Security Monitor, IPSecde ana sorun giderme aracdr. Bir security associationn kurulduunu ve associationn hatasz olup olmadn belirleyecektir. 2. C. IPSecurity Monitor bir snap-in olduu iin bir lokal makine iin ya da sistem iindeki herhangi bir uzak makine iin kullanlabilir. Bu grevlerden herhangi birini yerine getirmek iin ynetimsel yetkilere sahip olmanz gerekir. 3. C. Encapsulating Security Payload (ESP) her bir paketteki payloadu ifreleyerek gizlilik salar. ESP ayn zamanda payloadu imzalayarak ve sra numaras vererek, kimlik dorulama ve veri btnl gibi dier faydalar da salar. Bu senaryodaki ana fayda payloadun grntlenememesidir. AH kimlik dorulama gelen paketin umduunuz kii ya da makineden gelmesini salamak iin spoof ataklar nlemek amacyla kullanlr. AH tek bana ifreleme salamaz. Paket filtreleme, temel iletiimi kontrol etmek ve denial of service ataklarn ya da istenmeyen yollar nlemek iin kullanlr. 4. B. General sekmesindeki Check For Policy Changes Every alan, IPSec Policy Agentn ne sklkta policy ayarlarna bakmas ve yeniden indirmesi gerektiini belirler. 5. A. AH ile birlite ESP kullanm kimlik dorulama ve ifreleme salayarak, aldnz verinin kimlii dorulanmam herhangi bir kii tarafndan grlmemesini, herhangi bir kii tarafndan ieriinin deitirilmemesini ve beklediiniz kiiden gelmesini garantiler. AH kimlik dorulama ve bir imza ile verinin tamam iin kabul edilmesini salar, fakat ifreleme salamaz. ESP paket iindeki veriyi ifreler. ESP ayn zamanda verinin kendisi iin de bir imza ve kimlik dorulama sunar. AH ve ESP birlikte paketin uygun kiiden geldiini, paketin iindeki verinin o kiiden geldiini ve paketin deitirilmediini ya da ieriinin grntlenmediini garantiler. Bununla birlikte, soru size spesifik olarak bilgilerin uygun kiiden geldiini nasl garanti edeceinizi soruyor. Sonu olarak doru cevap sadece A seeneidir. 6. A seeneinde aklanan metot dier trafik tiplerini emniyet altna alacaktr. B seeneindeki metod hedef sitea bir balant kurmada baarsz olabilir. C seeneindeki metot tm hedeflerdeki tm non-IPSec balantlarn kapatacaktr. D seenei external site tanmlar ve her iki site arasndaki tm HTTP trafiini gvenli hale getirecektir. 7. D. Bir Windows Server 2003 makinesinin bir IPSec istemci olarak almas iin gerekli bileenler varsaylan olarak ykldr. Bununla birlikte, varsaylan olarak IPSec kullanm iin zorunlu olan policy etkin halde deildir. IPSeci, IP Security Policy Management snap-ini ile etkiletirisiniz ve bununla lokal IPSec policyyi, sizin domaininizi ya da dier domainin policysini ynetirsiniz. IPSec Network katmannda alr ve uygulamalar IPSec kullanmndan bamszdr, aynen daha alt dzey OSI bileenleri gibi. Eer NICler ya da routerlar IPyi destekliyorsa (hemen hemen hepsi destekler) IPSeci de destekleyeceklerdir. 8. A Event ID 547 negotiationn baarsz olduunu gsterir. Marie iki policyde kullanlan authentication ve security methodlar en azndan bir ortak ayara sahip olduundan emin olmaldr. 9. C. Her iki domain iin de inbound ve outbound filterlara ihtiyacnz var ve sadece outbound filter oluturulmu durumda. Ayn zamanda panacea.com iin kaynak hearth.com ve hedef panacea.com olacak ekilde bir inbound security filter oluturmanz gerekir. Buna ek olarak, herath.comun sistem yneticisinin kaynak panacea.com ve hedef hearth.com olacak ekilde bir inbound security filter oluturmas gerekir. Service packler gelecekte bir sorun olabilirdi, her zaman dikkate almak gerekir. Fakat service packler bu spesifik durumda bir sorun deildir ve problemin esas kayna deildir. Kullanclar ve uygulamalar IPSecin varlndan haberdar deillerdir ve kullanmak iin herhangi bir eylemde bulunmalarna gerek yoktur. Outbound filterlar uygun bir ekilde yaplandrlm. 10. DC her zaman gvenli iletiimi gerektiriyor, bu yzden DC zerinde Secure Server (Require Security) default policyyi kullanmanz gerekir. ye sunucunun mmkn olduu durumlarda

IP Seviyesinde Gvenlik Ynetimi

185

gvenli bir balant kullanmas gerekir, bu yzden Server (Request Security) default policyyi uygulamanz gerekir. stemcilerin ye sunucu ve DC ile gvenli bir balant kullanmas gerekir, fakat birbirileri arasnda iletiime getiklerinde gvenlik gerekli deildir, bu yzden Client (Respond Only) default policyyi semeniz gerekir. Uzak kullanclar zerinde kstl bir kontrole sahipsiniz, bu yzden onlara has herhangi bir default policy atama zerinde durmamanz gerekir.

11. C, E. Bir Accept Unsecured Communication, But Always Respond Using IPSec action bir gvensiz balant talebine izin vermeden nce her zaman bir IPSec balantsn talep edecektir. Gizli bilgileri ileyen tm makineler IPSec kullanacak ekilde yaplandrldysa bu balant gvenli olacaktr. Use These Security Settings action sunucunun yaklamn zelletirmenize izin verir, elbetteki Accept Unsecured eklinde yaplandrabilirsiniz. Bir Allow Unsecured Communication With Non-IPSec Aware Computers action bilgisayarn IPSeci tercih etmeyeceini ve istemci tarafndan talep edilmedike bir IPSec balant talebinde bulunmayacan syler. Permit action IPSec filtera herhangi bir eylemde bulunmayacan syler. Block action uzak sistemlerin herhangi bir tip balant yapmasn engeller. 12. C. Her iki taraf iki adet filter liste sahip olmaldr: bir adet inbound trafik iin ve bir adet outbound trafik iin. 13. C. Server (Request Security) bir Client (Respond Only) ve Secure Server (Require Security) kombinasyonudur. Bu policy, uzak bir makineye balanrken ve gelen bir IPSec balant talebine izin vererek her zaman IPSec kullanma giriiminde bulunur. Bu size esneklik salar nk IPSecden faydalanamadnz durumlarda bile iletiim kurulmasna izin verir. Client (Respond Only) dier makineler talepte bulunduklarnda bir IPSec negotiation yapma giriiminde bulunurlar, fakat kendisinden da doru balantlarda hi bir zaman IPSec kullanma giriiminde bulunmaz. Clientn sadece bir i istasyonu balamnda deerlendirilmemesi gerektiini aklnzda bulundurun, bu sadece iletiimi balatan makineyi iaret eder. Secure Server (Require Security) tm IP iletiiminin IPSec kullanmak zorunda olduunu belirler. Bu tamamyla IPSecin etkinletirilmedii bir network ve birlikte alabilirlii ak bir ekilde etkileyecektir. Client (Request Only) geerli bir seenek deildir. 14. B. Geerli bir CAden alnan bir sertifika gerekli kimlik dorulamay salar ve ayn zamanda balanty balatan bilgisayarn kimliini korur. Teknik alanlar arasnda, sertifika yaplandrmas zerinde anlama iin koordinasyon gereklidir. Eer Kerberos kimlik dorulama kullanlrsa bilgisayarn kimlii tm kimlik payloadun ifrelenmesine kadar ifresiz olarak kalr. Bu ekilde kimlik korunmasz brakr. Bir preshared keyin birlikte alabilirlik testi iin kullanlmas ve manel olarak IPSec policyye girilmesi ve burda ifresiz olarak tutulmas gerekir. 15. A, B, D. Network Monitorde IPSec aktiviteleri capture display ekrannda ISAKMP, AH ya da ESP protokol kolonlarnn altnda grnr. Eer bu protokollerden hibiri mevcut deilse byk olaslkla sunucu kendisine atanan bir IPSec policyye sahip deildir. Eer ISAKMP grntlendii halde AH ve ESP yok ise istemci ve sunucu policyleri uyumuyor demektir.

186

Blm 4

16. C. SHA-1, Secure Hash algoritmas, Microsoftun tavsiye ettii ierik btnl iin en gl algoritmadr. MD5 128-bit anahtar uzunluu seenei olsa bile, Microsoft bunun iyi bir zm olduunu dnmyor. 17. B. netsh ipsec statistic show all IPSec iin tm istatistikleri gsterir. Soruda gsterilen dier komutlar gerek deildir. 18. D. L2TP IPSec balantlar UDP kullanr. Tm IPSec tipleri IP protokol temelini kullanr. TCP PPTP tarafndan kullanlr. IPX ve SMB bu soru iin anlaml deildir. 19. A. IKE, Internet Key Exchange, Internet Security Association and Key Management Protocoln (ISAKMP) bir parasdr. IKE, ESPnin bir paras deildir, nk ESP AHnn bir paras deildir. L2TP frameworkn bir paras olarak ESP bu soru iin anlaml deildir, L2TP bir protokoldr, framework deildir. 20. B. Event ID 541 bir SA kurulumunu iaret eder. Security logu iinde bulunur. Event ID 542 baarl (success) bir ekilde kapatlm bir SAya iaret ederken, 547 baarsz bir SA negotiatee iaret eder. Event ID 544 bir elerden birinin kimliinin dorulanamamas yznden SA kurulum hatas ile ilikilidir.