Professional Documents
Culture Documents
23-7
1. Basm: Mays 2008 Rev: 00 Bilge Adam Yaynlar: 25 Eitim Yaynlar Dizisi: 25 ISBN: 978-605-5987-23-7 Yaync Sertifika No: 1107-34-009150
Copyright 2008, Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A.. Copyright 2006 by Wiley Publishing, Inc., Hoboken, New Jersey.. All Rights Reserved. This translation published under license with original publisher John Wiley & Sons, Inc. The Sybex brand trade dress logo is a trademark of John Wiley & Sons, Inc. in the United States and other countries. Used with permission. Wiley, the Wiley logo, and the Sybex logo are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries, and may not be used without written permission. All other trademarks are the property of their respective owners. Wiley Publishing, Inc., is not associated with any product or vendor mentioned in this book. Eserin tm yayn haklar Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A..ye aittir. Yaynevinden yazl izin alnmadan ksmen ya da tamamen alnt yaplamaz, hibir ekilde kopya edilemez, oaltlamaz ve tekrar yaymlanamaz. Bilge Adamn rencilerine cretsiz armaandr, para ile satlamaz. Sybex logosu Wiley Publishing, Inc. firmasnn ABDde ve dier lkelerde tescilli markasdr. Kullanm izne tabidir. Wiley Publishing, Inc. ve Bilge Adam A.. bu eserde bahsi geen hibir rn veya retici ile herhangi bir ekilde balantl deildir.
Bilge Adam Bilgisayar ve Eitim Hizmetleri San. ve Tic. A.. 19 Mays Mahallesi, 19 Mays Caddesi, UBM Plaza, No: 59-61, Kat: 4-7; ili, stanbul Telefon: (212) 272 76 00 (212) 217 05 55 Faks: (212) 272 76 01 www.bilgeadam.com - info@bilgeadam.com
Teekkr
Bu kitap birok nedenden dolay ilgi ekici ve heyecanlandrcdr. Windows 2000 Server, Active Directory ve ileriye dzey ynetim zellikleri ile Windows iletim sistemine devrim yapm iken, Windows Server 2003 ile de alt kantlanm nceki formle yeni bir alm getirmitir. Bu arada Microsoft dikkati eker bir ekilde Windows Server 2003 MCSA ve MCSE programlarn deitirmitir. Bu yzden yazarlar ve eitmenler, ok abuk deien sertifikasyon pazarna ayak uydurmak iin taktiklerini deitirmek zorunda kaldlar. Service Pack 1 ve ardndan R2nin piyasaya sunulmas ile Microsoft bir firewall ekledi ve iletim sisteminin networkle etkileimine etki eden dier deiiklikleri yapt. Bununla birlikte, bu kitap yazlrken snav esaslar R2 tabannda deitirilmemiti. Rebeccaya, aileme, Chris Tueschera, Tim McKeown, Rob Konkol, Jackie Vettera teekkrler. Tiffany, Stony, Pearl & Moff. Ayn zamanda, Pat Dunn, Kent & Amy Laabs, Duff Damos, Jim Oliva, John Eckendorf, Andy Hale, Angie Vetrone, Eliot Irons, Keith Imlach, Nick Garigliano, Aaron Deering, Suzi Limberg, Jeff Sanner, Greg Pfluger, Mike Wrzinski, Kevin Barnes-Schmidt, Jill Brown, Steve Hannan ve geri kalan herkese teekkr ederim. Windows Server ile ilgili tm yardmlar iin Tony Faldutoya da teekkr ederim! Elbetteki Jim, Jer, John, Berky, Justin, Dan Noah, Mark, Erich, Jay & Deb Schrank, Brian Page ve dier CORE alanlarna, Denise, Meek, Jake, Aaron, Aj, James ve Voyager/CoreCommdaki herkese (ya da nceki alanlara). Studio Bdeki temsilcim Laura Lewine ok teekkr ederim. Ayrca Bill Hlavaca bu ylki nemli tavsiyesi iin teekkr ederim. Steve Suchring
IV
indekiler
indekiler
Blm 1: Windows Server 2003 Networkn Anlamak 3 OSI Modeli3 Protokol Takmlar4 Physical Katman5 Data-Link Katman6 Network Katman 7 Transport Katman8 Session Katman9 Presentation Katman 9 Application Katman10 Stackler Arasnda letiim11 Microsoftun Network Bileenleri ve OSI Modeli12 Aygt Srcleri ve OSI Modeli12 Network Protokollerinin Temelleri12 NWLink 15 TCP/IP 16 IP Adreslemesini Anlamak18 Hiyerarik IP Adresleme emas18 Bir Network Subnetlere Ayrmak21 Subnetting Uygulamak 22 Subnetting Nasl Uygulanr?22 Subnet Saylar Nasl Hesaplanr?25 Subnettingi Uygulamak26 Subnet Karakteristiklerini Hzl Bir ekilde Tanmlamak31 Subnet ve Hostlarn Miktarlarn Saptamak32 zet33 Snav in Bilinmesi Gerekenler33 Gzden Geirme Sorular34 Gzden Geirme Sorularnn Cevaplar41
indekiler
Blm 2: TCP/IP Kurulum ve Yaplandrmas 47 Temel TCP/IP Ayarlarnn Yaplandrlmas47 Default Gateway ve DNS Ayarlar47 Otomatik TCP/IP Ayarlarnn Otomatik Yaplandrlmas49 TCP/IP Ayarlarn Manuel Olarak Yaplandrmak 51 Gelimi TCP/IP Ayarlarn Yaplandrmak52 Temel Ayarlar Geniletmek52 Gelimi DNS Ayarlarn Yaplandrmak53 WINS stemcilerini Yaplandrmak 54 Node Tipleri54 WINS stemci Bilgilerini Yaplandrmak55 Network Bindings Yaplandrmak56 Network Trafiini Monitor Etmek58 Network Monitor Driver ve Application Kurulumu 60 Network Monitor Nasl Kullanlr?60 Verileri Yakalamak 61 Verileri Grntlemek61 Filtreler Kullanmak63 Network Aktivitelerini System Monitor ile zlemek65 Saya Eklemek66 Network Protokollerinde Sorun Gidermek68 En Son Deiiklikleri Analiz Etmek68 Problemin Gerek Nedenini Bulmak68 Ne eit Bir Problem? 69 Bu Problemi Kimler Yayor?69 Fiziksel Balantlar Kontrol Etmek70 Ipconfig Aracn Kullanmak70 Ping, Tracert ve Pathping Komutlarn Kullanmak71 Ping Arac 72 Pathping Arac 73 Nslookup Kullanmak74 zet77 Snav Esaslar77 Gzden Geirme Sorular79 Gzden Geirme Sorularnn Cevaplar85
VI
indekiler
Blm 3: Security Policylerini Ynetmek 91 Kullanc ve Grup Hesaplarna Genel Bak91 Kullanc Hesaplar91 Grup Hesaplar92 Security Policy Tipleri ve Aralar93 Active Directoryde Group Policyler93 Group Policy Uygulamalar97 Group Policy Objeleri ve Active Directory97 Farkl Network stemcileri in Policyler Uygulamak98 Local Computer Policylerini Ynetmek 99 Gvenlik Ayarlarn Yaplandrmak 100 Local Computer System Policyleri108 User Profile Policyleri109 Logon Policyleri109 Disk Quota Policyleri110 Group Policy Policyleri110 Windows File Protection Policyleri111 Security Configuration and Analysis Arac ile Gvenlik Yaplandrmalarnn Analizi111 Gvenlik Veritabann Belirlemek111 Bir Gvenlik ablonu Import Etmek112 Bir Gvenlik ablonu Oluturmak112 Gvenlik Analizi Gerekletirmek 114 Gvenlik Analizini Gzden Geirmek ve Uyumsuzluklar zmek114 Yazlm Yklemek ve Bakm Ynetimi116 Windows Update116 Windows Automatic Updates118 Windows Server Update Services Kullanmak119 WSUS Kullanmnn Avantajlar120 WSUS Sunucu Gereksinimleri120 WSUS stemci Gereksinimleri127 WSUS stemcilerini Yaplandrmak127 Microsoft Baseline Security Analyzer Aracn Kullanmak 130 Windows Server 2003 Servislerini Ynetmek133
indekiler
VII
Genel Servis zelliklerini Yaplandrmak133 Servis Log On zelliklerini Yaplandrmak134 Servis Recovery zellikleri134 Servis Bamlln Kontrol Etmek 134 zet135 Snav Esaslar136 Gzden Geirme Sorular137 Gzden Geirme Sorularnn Cevaplar143 Blm 4: IP Seviyesinde Gvenlik Ynetimi 147 IPSecin almasn Anlamak147 IPSec Esaslar 148 IPSec Kimlik Dorulama 153 IPSec Kurulumu154 IP Security Policy Management Snap-In 154 IPSec Yaplandrma155 Yeni Bir Policy Oluturmak 156 Policyleri Atamak ve Atamay Kaldrmak 158 Dier Policy Ynetim zellikleri158 IPSec Policylerini Yaplandrmak159 IPSeci Tunnel Mode in Yaplandrmak166 IPSec Ynetimi ve zleme168 IP Security Monitor Kullanmak168 IPSec Ynetimi in Netsh 172 Event Loggingi Kullanmak 172 IPSec Aktivitelerini Network Monitorde zlemek173 IPSec Sorun Giderme Teknikleri174 Ska Karlalan IPSec Sorunlarn Tanmlamak174 Doru Policynin Atandndan Emin Olmak175 Policy Uyumsuzluklarn Kontrol Etmek175 zet175 Snav Esaslar175 Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak176 Gzden Geirme Sorular178 Gzden Geirme Sorularnn Cevaplar184
VIII
Giri
Giri
Windows Server 2003 Microsoft Certified Systems Administrator (MCSA) ve Microsoft Certified Systems Engineer (MCSE) sertifikasyonlar bilgisayar endstrisi uzmanlar iin en nemli sertifikasyonlardr. MCP program, gelecekte gelitirilecek Microsoft teknolojilerini kapsayarak kariyerde ilerlemek iin gl bir kimlik salar. Bu kitap size, MCSA ve MCSE sertifikasyonlarnn her ikisi iinde esas olan bir snava hazrlanmanz iin gereken beceri ve bilgiyi vermek amacyla gelitirilmitir: Windows Server 2003 A Kurulum ve Ynetimi (Exam 70-291).
MCSE - MCSA
Microsoft, belirli bir efor sarf ederek IT dnyasnda kendi becerilerini kantlama ans sunan Microsoft Certified Systems Administrator (MCSA) programn duyurdu. Bir yldan daha az tecrbeye sahip kiileri hedefleyen MCSA program birincil olarak IT profesyoneli grevlerinin, ynetim ksmna odaklanr. Bu yzden hem MCSA hem de MCSE iin gerekli belli ortak snavlar vardr, bunlar, 70-270, 70-290 ve 70-291 olarak adlandrlan snavlardr. Elbetteki, herhangi bir MCSAnn sonraki hedefi MCSE olmak olabilir. Bununla birlikte, MCSAnn MCSE gereksinimini karlayacak iki snava girmek zorunda olduunu dnmeyin, bu iki program benzerdir. Bir MCSE ayn zamanda bir networkn nasl tasarlandn bilmelidir. Geriye kalan gerekli MCSE snavlar iin bir adayn daha fazla pratik uygulamaya ihtiyac olacaktr.
Giri
IX
Microsoft sertifikasyonun gvenlii ve btnln korumak iin ciddi admlar atmtr. Artk adaylar ok geni konular ieren detayl bir kursu tamamlamaldr. Bu adaylara Windows XP, Server 2003 ve ilgili yazlm rnleri ile alrken ihtiya duyulan becerileri salar. kr ki, eer Windows XP ve Server 2003 renmek iin belirli zaman ayrmaya ve efor sarf etmeye istekli iseniz, kendi kendinize uygun aralar kullanarak da iyi bir ekilde snava hazrlanabilirsiniz. Bu kitapla alarak Windows Server 2003 network alt yaps ynetimi snavn gemek iin gerekli snav gereksinimlerini baarl bir ekilde karlayabilirsiniz. Bu kitap Sybex Inc. tarafndan yaynlanan ve esas MCSA ve MCSE iletim sistemi gereksinimlerini kapsad gibi MCSEyi tamamlamak iin gerekli tasarm gereksinimlerini de kapsayan MCSA and MCSE Study Guides serisinin bir parasdr. Ltfen, programn tamam ve rn detaylar iin Sybexin www.sybex.com sitesini ziyaret edin.
R2!
Windows Server 2003 R2 ya da Release 2, Windows iletim sisteminin bir ara gncellemesidir. Windows Server 2003 ilk bata Nisan 2003de duyuruldu. R2 Service Pack 1 ve dier zellikleri Windows Server iletim sisteminin yeni releaseini beklemeye gerek kalmakszn Windows Server 2003 ile birlikte kullanmanz salar. Bu kitap Windows Server 2003 R2nin ierdii yeni zellikleride kapsar.
Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure Snav
Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure snav bir Windows Server 2003 network alt yapsnn kurulumu, ynetimi ve bakm ile ilgili kavram ve gereksinimleri kapsar. Bu snav aadaki network alt yaps destei ile ilgili u unsurlarn zerinde durur:
IP Adreslemenin Uygulanmas, Ynetimi ve Bakm sim zmlemenin Uygulanmas, Ynetimi ve Bakm Network Gvenliinin Uygulanmas, Ynetimi ve Bakm Ynlendirme ve Uzaktan Eriimin Uygulanmas, Ynetimi ve Bakm Bir Network Altyapsnn Bakm
Microsoft size, Microsoft snavlarnn kapsamndaki muhtemel alanlara gz gezdirmenizi salayan snav hedefleri salar. Bununla birlikte bu snav hedeflerinin herhangi bir zamanda bir bildirimde bulunmakszn Microsoft tarafndan deitirilebileceini aklnzda bulundurun. Ltfen, en gncel snav hedefleri iin Microsoftun Learning web sitesini (www.microsoft.com/learning) ziyaret edin.
Giri
Snav sorular ok eitli formatlarda olabilir: Hangi snav aldnza bal olarak, se ve yerletir sorular olabilecei gibi oktan semeli sorular da greceksiniz. Baz snavlar simulasyon ve senaryo tabanl formatlar da ierir. imdi snav snav sorularnn tiplerine bir gz atalm, bu sayede tm ihtimallere hazr olmu olacaksnz.
Windows 2000in ortaya kyla, Microsoft sonular detayl analizini sunmay durdurdu. Bu daha ok eitli ve karmak soru formatlarndan kaynaklanyor. nceleri, herbir soru tek bir hedef zerine younlayordu. Windows 2000, XP ve Server 2003 snavlar bir ekilde bir ya da daha fazla hedef kmesi iinden bir ya da daha fazla konuyla ilgili olabiliyor. Bu yzden konulara gre derecelendirmek neredeyse imknsz. Ayn zamanda Microsoft artk puan sunmuyor. Artk size sadece baarl olup olmadnz bildiriliyor.
Se ve Yerletir Sorular
Se ve yerletir snav sorular, soruyu doru bir ekilde cevaplamanz iin kullanmanz gereken grafik unsurlar ierir. rnein, bir bilgisayar network diyagram grebilirsiniz. Tipik bir diyagram yanlarnda zerlerinde Place here yazl kutular bulunan bilgisayarlar ve dier bileenleri gsterir. Kutularn zerindeki etiketler bir yazdrma sunucusu ve bir dosya sunucusu gibi eitli bilgisayar rollerini gsterir. Herbir bilgisayar iin verilen bilgilere gre sizden etiketleri uygun kutulara yerletirmeniz istenir. Bu etiketlerin hepsini doru bir ekilde yerletirmelisiniz. Sadece baz kutular iin doru ekilde yerletirmek size puan kazandrmayacaktr. Karnza kabilecek dier bir se ve yerletir problemi ise eleri sol taraftaki kutulardan sa tarafa srklemek suretiyle bunlar bir admlar serisi eklinde sralamanzn istendii sorular olabilir. Baka bir soru tipi ise bir eyi sol taraftan alp sa taraftaki doru kolonun altna tamanz gerektirir.
Simulasyonlar
Simulasyon sorular, gerek duruma yakn bir durumu sunarak sizin Microsoft yazlm arayzlerini kullanm becerinizi test eden soru eididir. Microsoft, imdi snavlarnda bu tip sorulara daha fazla nem vermektedir. Bu snav sorular, zerinde, verilen bir senaryo ile ilgili belirli eylemleri gerekletirmeniz istenen taklit bir arayz ierir. Bu simle edilmi arayz neredeyse gerek rnde grdnzle ayndr. Simulasyonlarda yaplabilecek muhtemel hatalarn okluundan dolay Microsoftun aadaki tavsiyelerini gz nnde bulundurduunuzdan emin olun.
zmle direkt ilgisi olmayan herhangi bir simulasyon ayarn deitirmeyin. lgili bilgiler verilmediinde varsaylan ayarlarn kullanldn kabul edin. Girdilerinizi doru ekilde yazdnzdan emin olun. Simlasyondaki tm grevler bittiinde tm simlasyon uygulama pencerelerini kapatn.
Simlasyon sorularna hazrlanmann en iyi yolu, teste tabi tutulacanz rnn grafik arayz ile almaya zaman ayrmaktr.
Giri
XI
Microsoft dzenli olarak snava yeni sorular ekleyip kartacaktr. Bu item seeding olarak adlandrlr. Bu kiilerin snava nceden girenlerden edindikleri snav sorularn ezberlemelerini zorlatrmak iin yaplan iin bir parasdr.
Snav merkezine erken gidin, bu sayede rahatlar ve alma materyallerinizi gzden geirebilirsiniz. Bu son gzden geirme srasnda, snavla ilgili bilgileri ve tablolar gzden geirebilirsiniz. Sorular dikkatlice okuyun. ok abuk karar vermekten kann. Sorunun tam olarak ne sorduundan emin olun. Simlasyonlarda, sorularla direkt olarak ilgisi olmayan ayarlar deitirmeyin. Ayn zamanda, soruda belirtilmeyen ya da iaret edilmeyen ayarlar iin varsaylan ayarlar kullann. Tam olarak emin olmadnz sorular iin ilk olarak aka belli olan yanl sorulardan balayarak cevaplar eleyin. Bu sizin mantkl bir tahmin yrtmeye ihtiyacnz olduunda doru cevab seme ihtimalinizi artracaktr.
Snav Kayd
Microsot snavlarna dnya apnda 1000 zerindeki Authorized Prometric Testing Centerlarda (APTCler) girebilirsiniz. Yaknlarnzdaki snav merkezlerinden biri iin Prometrici 800-EXAM (755-3926) arayn. Birleik Devletler ve Kanada dnda lokal Prometric kayt merkezi ile iletiime gein. Girmek istediiniz snavlara karar verdikten sonra size en yakn olan Prometric kayt merkezine kayt olun. Bu noktada snav iin sizden cret istenecektir. Snavlar alt hafta ncesine kadar ya da snav gnnden bir i gn ncesine kadar planlayabilirsiniz. Snavdan iki i gn ncesine kadar merkezle iletiime geerek snav iptal edebilir ya Snavlar iin ayn zamanda da yeniden planlayabilirsiniz. Baz lokasyonlarda mevcut duruma www.prometric.com sitesinden gre ayn gn iinde kayt yaptrabilirsiniz. Ayn gn iinde kaydn evrim ii kayt olabilirsiniz. mmkn olduu lokasyonlarda test saatinden en az iki saat ncesinden kayt olmalsnz. Bir snavn zamanlamasn yaptnzda, size randevu ve iptal ilemleriyle ilgili hakknda talimatlar, ID gereksinimi ve snav merkezi lokasyonu hakknda bilgiler verilecektir. Buna ek olarak Prometricden bir kayt ve deme makbuzu alacaksnz. Microsoft snava girmeden nce adaylarn Non-Disclosure Aggrementn koullarn kabul etmelerini ister.
Bu Kitapta Ne Var?
Bu kitap, snavdan gemeniz iin bilmeniz gerekenlerden baka rendiklerinizi ve uygulamalar gerek dnyada hayata geirmek iin bilmeniz gerekenleri de ierir Her kitap aadakileri ierir:
Bu Study Guiden kapsad konular direkt olarak Microsoftun resmi snav hedefleri ile rtr. Herbir snav hedefi tamamyla kapsanmaktadr.
Bilmeniz gereken konularn madde madde kapsam. Her blm, o blmn kapsad hedefleri listeler. Deerlendirme testi: Bu giri blmnn ardndan hemen zmeniz gereken bir Deerlendirme Testi vardr. Bu snav Windows Server 2003 network alt yaps ynetimi ile ilgili mevcut bilgilerinizi saptamanza yardmc olmak iin tasarlanmtr. Buradaki her bir soru kitap boyunca ele alnan bir konu ile balanmtr. Deerlendirme Testinin sonularn kullanarak almanz odaklamanz gereken alanlar ortaya karabilirsiniz. Ebetteki kitabn tamamn okumanz tavsiye ederiz.
XII
Giri
Snav Esaslar: Herbir blmn sonunda ne rendiinizi vurgulamak iin Snav Esaslarnn bir listesini bulacaksnz. Snav Esaslar ksm, siz snava hazrlanrken zel olarak dikkatinizi gerektiren konular ksaca vurgular. Szlk: Herbir blm boyunca, snav iin bilmeniz gerekecek nemli terim ve kavramlarla karlaacaksnz. Blmler ierisinde bu terimler italik olarak ifade edilir ve kitabn sonunda genel terimlerle birlikte bu terimlere ilikin tanmlamalar ieren detayl bir szlk vardr. Detayl aklamalar ile Gzden Geirme Sorular: Her bir blmn ardndan, o blmde rendiklerinizi test eden gzden geirme sorular gelir. Bu sorular snav gz nnde tutularak hazrlanmtr, bu da snavda greceiniz sorularla benzerlik gsterecek ekilde tasarlandklar anlamna gelir. Soru tipleri, oktan semeli, resimli ve se ve yerletir gibi snavdaki muhtemel soru tipleri ile ayndr. Pratik altrmalar: Her blmde, snav hazrlnz iin kritik nem tayan pratik tecrbe kazanmanz iin tasarlanm altrmalar bulacaksnz. Bu altrmalar blmdeki konular destekler ve bir fonksiyonu gerekletirmek iin gerekli admlar boyunca sizi ynlendirir. Gerek Dnya Senaryolar: Bir kitap okumak, bu konularn gnlk ilerinizde nasl uygulanacan renmeniz iin yeterli olmadndan zel balklar altnda Gerek Dnya Senaryolar sunduk. Bunlar, gerekten kar karya kalacanz bir alma ortamnda belirli bir zmn ne zaman ve nasl anlam tayacan aklar.
4. Bu kitapta rendiklerinizin gerek hayatta nasl kullanldn daha iyi kavramanz iin gerek dnya senaryolarn okuyun. 5. Snav esaslarna alarak odaklanmanz gereken alanlara aina olduunuzdan emin olun. 6. Her blmn sonundaki gzden geirme sorularn cevaplayn. 7. Anlamadnz sorularn notunu aln ve kitabn ilgili ksmlarna tekrar aln. 8. Her blmn sonundaki snav esaslarna geri dnn. Bu kitabn kapsad tm materyalleri renmek iin dzenli ve disiplinli bir ekilde almanz gerekecek. almak iin her gnn ayn saatini buna ayrn ve almak iin rahat ve sessiz bir yer sein. Eer youn bir ekilde alrsanz, bu materyali ne kadar ksa srede rendiinize aracaksnz. yi anslar!
Giri
XIII
Bu kitaptaki altrmalar iin bilgisayarnzn spesifik olarak yaplandrld varsaylyor. Bilgisayarnz minimum alan gereksinimi ve blmler ile yaplandrlm en azndan 3GBlk bir srcye sahip olmaldr.
XIV
Deerlendirme Sorular
Deerlendirme Testi
1. Bir DNS kaydna ilitirilmi time to live deeri ___________________. A. Bir resolver tarafndan kullanlamaz, sadece sucunular tarafndan recursive sorgular iin kullanlr. B. Sadece resolverlar tarafndan kullanlr. C. Sonularn nbellekten ne kadarlk bir zaman aral iin getirileceini belirlemek iin kullanlr. D. Kaydn her deiiminde yenilenir. 2. RIP kullanrken aadakilerden hangisi ayarlanamaz? A. Herbir arayzdeki gelen ve giden trafik iin kullanlabilecek RIP versiyonu B. Yollarn kabul edilecei e router seti C. Bildirim mesajlar iin varsaylan zaman aral D. Alnan RIP yollarnn tutulduu yer. 3. 30 kullanc iin VPN eriimi kurmak istiyorsunuz ve balant ifrelenmi olmal. Kullanclarnz iin merkezi bir Windows Server 2003 domaini var. Bu senaryo iin aadakilerden hangisi en uygun VPN zmdr? A. L2TP + IPSec B. PPTP C. A ya da B D. Yukardakilerden hibiri 4. DHCP-DNS entegrasyonunu etkinletirmek iin aadakilerden hangisini yapmalsnz? A. Scopeu sadece Dynamic DNS kullanmna izin verecek ekilde yaplandrmak. B. Sunucuyu sadece Dynamic DNS kullanmna izin verecek ekilde yaplandrmak. C. Scope ve sunucuyu yaplandrmak. D. Scope ya da sunucuyu yaplandrmak. 5. RRAS, ynlendirme ile ilgili hangi tip filtreler oluturmanza izin verir? A. Sadece yol filtreleri B. Sadece e filtreleri C. Yol ve e filtreleri D. Sadece paket filtreleri 6. IPSec Policy Agent nedir? A. IPSecin Active Directory ile birlikte kullanmnda gerekli bir opsiyonel bileen. B. IPSecin Active Directory olmadan kullanmnda gerekli bir opsiyonel bileen. C. IPSecin L2TP ile birlikte kullanmnda gerekli opsiyonel bileen. D. IPSec kullanm iin zorunlu bir bileen. 7. OSInin yedi katman aadakilerden hangisini yapar? A. Tam olarak Windows 2000 networking servisleri ve bileenleri ile uyuur. B. Benzer servisleri gruplama iin gl bir kavramsal at salar.
Deerlendirme Sorular
XV
C. A ve B D. Yukardakilerin hibiri. 8. Bir DNS sunucunun sorgular dzgn ekilde cevaplayp cevaplayamadn test etmek iin aadaki aralardan hangisini kullanabilirsiniz? A. ping arac B. nslookup arac C. tracert arac D. ipconfig arac 9. RIP routerlar hangi iki modda gncellemelerini gnderir? A. Link-state database mod B. Auto-static update mod C. Periodic Update Mode D. Border mod 10. Domaininizdeki bir member sunucu zerinde DHCP Server servisini yklediniz ve bir scope yaplandrdnz; fakat istemciler bir adres kiralayamyorlar. Bu soruna neden olan en muhtemel sebep nedir? A. Scope aktive edilmemitir. B. Birden fazla DHCP sunucusu var. C. DHCP sunucu yetkilendirilmemi. D. DHCP sunucu baka bir subnette. 11. Windows Server 2003 Dynamic DNS ile ilgili ifadelerden hangisi dorudur? A. DDNS almas iin bir Microsoft DHCP sunucu gerektirir. B. Windows Server 2003 DDNS sunucu BINDn yeni versiyonlaryla birlikte alabilir. C. DDNS istemcileri kendi adreslerini kayt ettirmeyebilirler. D. DDNS sadece Microsoft istemcileri ve sunucularyla birlikte alr. 12. VPN balantlar aadakilerden hangilerini gerektirir? (ki seenek iaretleyin) A. Windows Server 2003 VPN - add-on B. VPN sunucunun ad ya da IP adresi C. VPN sunucunun telefon numaras D. Mevcut bir TCP/IP balants 13. Spesifik bir ifreleme dzeyi kullanamayan bir istemciden gelen aramalar reddetmek iin aadakilerden hangisini yaparsnz? A. Remote access policy profilin Encryption sekmesindeki No Encryption onay kutusunun iaretini kaldrn. B. Sunucunun Properties diyalog kutusu Security sekmesinde No Encryption onay kutusunun iaretini kaldrn. C. Require Encryption adnda yeni bir remote access profile oluturun. D. Her kullanc profilinde Require Encryption onay kutusunu iaretleyin.
XVI
Deerlendirme Sorular
14. Aadakilerden hangisi bir OSI katman deildir? A. Oturum B. Uygulama C. Sunum D. Servis 15. DHCPde darda tutulacak belirli bir adres aral hangi dzeyde atanr? A. Server dzeyinde B. Scope dzeyinde C. Superscope dzeyinde D. Multicast scope dzeyinde 16. IPSec ile ilgili aadakilerden hangisi dorudur? A. Tek bana kullanlabilir. B. Sadece L2TP ile birlikte kullanlabilir. C. L2TP ile birlikte kullanlamaz. D. Windows 2000 ve st iletim sistemleri iin n parti yazlm gerektirir. 17. Dinamik olarak ilenen ynlendirme tablolar ile ilgili aadakilerden hangisi dorudur? (Uygun olan tmn sein.) A. Otomatik olarak ynlendirme protokolleri tarafndan ilenir. B. Normalde yeniden balamalar arasnda ilenmez. C. Komut satrndan manuel olarak dzenlenebilir. D. Herbiri bir network ID, bir iletim adresi ve bir metric deeri ieren oklu girdilerden oluur. 18. DHCP relay agent networkte hangi fonksiyonu yerine getirir? A. Bir networkteki DHCP mesajlarn dinler ve bunlar baka bir networkteki bir DHCP sunucusuna iletir. B. Birden fazla networkten DHCP mesajlarn kabul eder ve bunlar bir DHCP sunucusu iin birletirir. C. DHCP istemcilerinin WINS servislerini kullanmalarna izin verir. D. DHCP taleplerini bir Dynamic DNS sunucusuna iletir. 19. Aadaki protokol ya da servislerden hangisi Active Directory kurulumu iin zorunlu deildir? A. TCP/IP B. DNS C. LDAP D. NetBEUI 20. VPN eriimini aadaki mekanizmalardan hangisi araclyla kontrol edebilirsiniz? (ki seenek iaretleyin.) A. Ayr ayr kullanc hesap zelliklerinden. B. Remote access policyleri
Deerlendirme Sorular
XVII
C. Remote access profilleri D. Group policy objeleri 21. Mirrored rule nedir? A. Farkl iki protokol iin ayn kaynak ve hedefleri belirleyen tek bir rule. B. Gelen ve giden trafik iin ayn kaynak ve hedefleri belirleyen bir rule. C. Farkl iki protokol iin ayn kaynak ve hedef belirten bir ift rule. D. Ayn protokol iin farkl kaynak ve hedef adresler belirten bir ift rule. 22. Bir sunucudan dierine DNS verilerinin replikasyonuna ne ad verilir? A. Replication pass B. Zone transfer C. Replication transfer D. Zone replication 23. Lokal bir makinenin ayarlar ile bir DHCP sunucu ile atanan ayarlarn akmas durumunda aadaki ifadelerden hangileri dorudur? (Uygun olan tmn iaretleyin.) A. akan hibir ayar uygulanmaz. B. DHCP ile atanan ayarlar, lokal olarak atanan ayarlar ezer. C. lk olarak uygulanan ayarlar etkisini gsterir. D. Lokal olarak atanan ayarlar, DHCP ile atanan ayarlar ezer. 24. Dial-up kullanclarnn havuzdan bir IP adresi almalarn etkinletirmek iin aadakilerden hangisini yapmalsnz? A. Sunucunun Properties diyalog kutusu IP sekmesinde bir adres havuzu tanmlayn. B. Remote access policyde bir adres havuzu tanmlayn. C. Dial-up kullanclar iin bir DHCP adres aral ekleyin. D. DHCP address allocator devre d brakn. 25. Aadaki seeneklerden hangisi mevcut gvenlik ayarlarnz ile sizin istediiniz gvenlik ayarlarn karlatrmanz salayan bir ara olarak kullanlr? A. Security template B. Security database C. Security profile D. Security analyst 26. Hangi policy tipleri kullanc ve gruplar yerine bilgisayarlara uygulanr? (Uygun olan tm seenekleri iaretleyin.) A. Password policyleri B. Account lockout policyleri C. User rights assignment poilcyleri D. Security options 27. Windows Server 2003de IP Security Monitor nasl aarsnz? A. Start > Run sein ve ipsecmon yazn B. Start > Administrative Tools > IP Security Monitor
XVIII
Deerlendirme Sorular
C. Start > Accessories > IP Security Monitor D. MMCye IP Security Monitor snap-inini ekleyin 28. Bir DNS zoneu iin bilgileri tutan dosyann ad nedir? A. domain_name.dns B. LMHOSTS C. ZONES D. SERVERS 29. Caching-only sunucular ile ilgili aadaki ifadelerden hangisi dorudur? A. Bir domain iin yetkilidir. B. Sorgu gerekletirir. C. Zone dosyalarn ierir. D. Zone transferlerine katlrlar. 30. Aadaki seeneklerden hangisi kullanclar iin bir uzaktan eriim sunucusunu evirme izin ve kstlarn belirler? A. Remote access policyleri B. Remote access profilleri C. Filtre listeleri D. Kimlik dorulama metodlar
Deerlendirme Sorular
XIX
XX
Deerlendirme Sorular
17. A, C, D. Ynlendirme motorlar, girdileri manuel olarak ekleyip kartabileceiniz gibi ynlendirme tablolarnn ieriininin bakmn yapar. Varsaylan kalc yollarn manuel olarak siz silene kadar otomatik olarak bakm salanr. Daha fazla bilgi iin Blm 9a bakn. 18. A. DHCP relay agent bir networkteki bir DHCP sunucunun farkl bir networkteki istemcilerle ileime girmesini salar. Daha fazla bilgi iin Blm 7ye bakn. 19. NetBEUI terkedilmeye balanmtr, fakat dier protokol AD iin gereklidir. Daha fazla bilgi iin Blm 2ye bakn. 20. A, B. Kullanclarn hesap zelliklerini deitirerek VPN balantlar yapmalarna izin verebilirsiniz. Eer Windows Server 2003 native mode domain kullanyorsanz ayn zamanda remote access policyleri kullanabilirsiniz. Daha fazla bilgi iin Blm 8e bakn. 21. B. Bir mirrored rule, Ann bir kaynak adresi ve Bnin bir hedef adresini iaret eden bir ruleu iki rule ekline dntrr: Giden trafik iin kaynak A/hedef B ve gelen trafik iin kaynak B/hedef A. Daha fazla bilgi iin Blm 4e bakn. 22. B. Zone transferi resoource recordlarn bir zonedan dierine transfer ilemi iin kullanlan bir terimdir. Daha fazla bilgi iin Blm 6ya bakn. 23. A, B, C. Lokal ayarlar her zaman DHCP sunucu ile belirlenen ayarlar ezer. Daha fazla bilgi iin Blm 7ye bakn. 24. Dial-up istemcilerine statik IP adresleri atamak iin sunucu zerinde bir adres havuzu tanmlamak zorundasnz. Bu havuz, istemcilere DHCP atamalar yerine kullanlr. Daha fazla bilgi iin Blm 7ye bakn. 25. A. Security Configuration and Analysis aracn kullanarak bir bilgisayarn mevcut spesifik gvenlik ayarlar ile bir gvenlik ablonunda belirlenen gvenlik ayarlarn karlatrabilirsiniz. Daha fazla bilgi iin Blm 3e bakn. 26. A, B, D. Gvenlik seenekleri kullanclar ve gruplar yerine bilgisayarlara uygulanr. Daha fazla bilgi iin Blm 3e bakn. 27. D. Windows Server 2003te, IP Security Monitor bir MMC snap-ini olarak karmza kar. Daha fazla bilgi iin Blm 4e bakn. 28. A. domain_name.dns dosyas DNS iin isim adres ikililerini tutar. LMHOSTS, WINS iin kullanlr ve dier iki seenek geerli deildir. Daha fazla bilgi iin Blm 6ya bakn. 29. B. DNS caching-only sunucular sorgular gerekletirir ve sonular nbellekler, fakat bunlar hibir domain iin yetkili deildirler ve zone dosyalar iermezler ya da zone transferlerine katlmazlar. Daha fazla bilgi iin Blm 6ya bakn. 30. A. Remote access policyleri remote access sunucuya kimin logon olabileceini ve geri arama, gn zaman gibi baz kstlar belirlemenizi salar. Profiller, bir kullancnn baarl bir ekilde logon olmasnn ardndan uygulanan ayarlar belirler. Dier iki seenek RASa deil IPSece uygulanr. Daha fazla bilgi iin Blm 8e bakn.
OSI Modeli
International Organization for Standardization (ISO), Open Systems Interconnection (OSI) referans modelini 1977de gelitirmeye balad. Network iletiimini anlamada geni apta kabul gren bir model olduu iin; bu modelin nasl altn anladnzda, bunu farkl sistemler zerindeki network uygulamalarn karlatrmada kullanabilirsiniz. Bir kiiyle iletiim kurmak istediinizde genel olarak iki eye ihtiyacnz olur: iletiim dili ve iletiim arac. Bilgisayar networkleri de farkl deildir; farkl network aygtlarnn olduu bir networkde iletiimin kurulmas iin dil ve iletiim arac ak bir ekilde tanmlanmaldr. OSI modeli (ve dier organizasyonlar tarafndan gelitirilen network modelleri), networklerin genel ve spesifik zelliklerini ieren bir takm kurallar tanmlamaya alr:
Network aygtlarnn birbirleriyle nasl irtibat kurduklar ve bu aygtlarn farkl dillere sahip olmalar durumunda birbirleriyle nasl haberletikleri Bir aygtn veri iletimini ne zaman yapp ne zaman yapmayacan bilecei metot. Network iletiimlerinin doru olarak ve doru alc tarafndan alnmasn garanti edecek metot. Fiziksel iletim ortamnn nasl dzenlenecei Network aygtlarnn uygun veri ak hzn nasl devam ettirecekleri Network aralarnda bitlerin ne ekilde temsil edilecei
OSI modeli bir son rn deildir. Sadece network zerindeki eitli aygtlarn aralarndaki karmak etkileimlerini anlamak iin kullanlabilecek kavramsal bir atdr. Bu model, iletiim sreci ierisinde hibir ey yapmaz, gerek ii tahsis edilen yazlm ve donanm gerekletirir. OSI modeli basit olarak hangi ilerin yaplmas gerektiini ve bu model ierisindeki her bir yedi katmanda, hangi protokollerin bu ileri yneteceini tanmlamaktadr. OSI modelinin yedi katman u ekildedir:
Blm 1
Oturum (layer 5 Session) letim (layer 4 Transport) Network (layer 3 A) Veri balant (layer 2 Data-Link) Fiziksel (layer 1 Physical)
Bu yedi katman pratik olarak hafzanzda tutmak iin Acele Posta Servisi Trkiyede Neden Pahal gibi anmsatc cmleler kullanabilirsiniz.
Bu yedi katmann her biri, bu blmn sonraki konularnda inceleyeceimiz farkl fonksiyonlara sahiptir.
Protokol Takmlar
OSI modeli, haberleme ilemlerini, alt grevler eklinde adlandrlan kk paralara bler. Protokol uygulamalar, bu bahsi geen alt grevleri yneten bilgisayar sreleridir. Spesifik protokoller, bu alt grevleri OSI modelinin spesifik katmanlarnda gerekletirir. Tm bu alt grevlerin, bir ana grevi gerekletirebilmek iin grupland (alt grevlerin kodlarnn bir araya getirilmesi ile oluan) yapya protokol takm ad verilir. Takm btn iletiim srecini gerekletiren katmanl yapda planlanm protokoller grubudur. OSI modelindeki her bir katman, kendisi ile ilikilendirilmi farkl bir protokole sahiptir. letiimin gerekleebilmesi iin birden fazla protokole ihtiya duyulduunda, bu protokoller bir takm ierisinde gruplanrlar. Protokol takmna rnek olarak, Unix ve internet ortamnda ok geni kullanm alanna sahip TCP/IP (TCP ve IP protokolleri OSInin farkl katmanlarnda yer alr) verilebilir.
lanan bir DOS makinesi, yine IP kullanan bir Macintosh makinesi ile iletiim kurabilir (Bkz. ekil 1.1)
ekil 1.1: Her bir katman dier hostlardaki ayn katmanla iletiim kurar.
Veri gnderilecei zaman, OSI modelindeki her bir katman, kendisine ait bilgiyi de bu veriye dahil ederek bir alt katmana gnderir. Bu ileme enkapslasyon ad verilir. Enkapslasyon, her bir katman kendi balk bilgisini (header) ve bazen trailer bilgisini veri stne eklediinde meydana gelir. Veri alnd zaman, bu ilemin tersi gerekleir ve protokol takmndaki uygun katman bu bilgiyi okur.
Physical Katman
Physical katman, elektriksel (bazen dier tip) sinyalleri kullanarak bitlerin bir bilgisayardan baka bir bilgisayara ulamasndan sorumludur. Physical katmandaki bileenler bitlerin ierii ve anlamlaryla ilgilenmez. Bitlerin, optik, elektriksel ya da kablosuz balant zerinden A noktasndan B noktasna ulamasn salar. Bu seviye, bitlerin ne ekilde temsil edilecei, network konnektrlerinin ka adet pine sahip olaca, network adaptrlerinin ne zaman veri iletimi gerekletirebilecei ya da gerekletiremeyecei gibi fiziksel ve elektriksel detaylar tanmlar.
ekil 1.2: Physical katman, elektriksel, optik ya da radyo sinyalleri ile fiziksel bir devre meydana getirir.
Physical katman, bilgisayarlar ve network ortam arasndaki fiziksel balant ile ilgili tm ayrntlarla ilgilenmektedir. rnek olarak:
Network balant tipleri, multipoint ve point-to-point balantlar. Fiziksel topolojiler veya networkn ne ekilde dizildii (rn: bus, star veya ring topolojileri) Dijital ve analog verileri kodlamak iin, kullanlacak dijital ve analog sinyalleme metotlar. Gnderici ve alcnn dzgn bir ekilde veriyi yazmas ve okumas iin bit senkronizasyonunun salanmas. Multiplexing ya da farkl veri kanallarnn tek bir kanal dahilinde birletirilmesi. Sinyallerin yansyarak, sinyal ve paketlerde hata olumasna engel olmak iin sonlandrma yapmak. Sonlandrma ayn zamanda bir network segmentindeki son dm iaret eder.
Blm 1
Data-Link Katman
Data-Link katman, bir aygttan dierine tek bir fiziksel hat zerinde veri akn salar. Network katmanndan ald paketleri, frame ad verilen birimler eklinde paketleyerek iletilmek zere Physical katmana teslim eder. Data-Link katman frame tipi gibi bir takm kontrol bilgilerini de ekler. Bu katman ayn zamanda framelerin hatasz olarak bir bilgisayardan dierine iletimini salar. Bozulan frameleri tespit etmek iin, framelere CRC (Cyclic Redundancy Check) bilgilerini ekler. Alc bilgisayar, gelen framee ait CRC bilgisi ile o anki CRC deerini kontrol ederek o framein bozulup bozulmadn kontrol edebilir. Data-Link katman ayn zamanda framelerin kaybolma durumlarn tespit edebilir ve bu frameler iin gndericiden tekrar gnderilmesini isteyebilir. Ethernet gibi broadcast networklerde, LANdeki tm aygtlar, herhangi bir aygtn ilettii verileri alr. (Networkn broadcast ya da point-to-point olmas iletiimin gerekletii network protokol tarafndan belirlenir) Bir aygt zerindeki Data-Link katman, gelen framein tanmlanmasndan (kendisine ait mi deil mi) sorumludur. ekil 1-3, Data-Link katmannn iki aygt arasnda hatasz bir balanty nasl kurduunu gsterir.
ekil 1.3: Data-Link katman iki aygt arasnda bir hatasz (Error-free) balant kurar.
Uluslararas Elektrik ve Elektronik Mhendisleri Enstits (Institue of Electrical and Electronics Engineers - IEEE), IEEE 802.X olarak bilinen bir protokol spesifikasyonu gelitirdi. (802.2 bu katman, iki alt katmana ayran bir standarttr. Yaygnca MAC olarak bilinen Media Access Control katman, farkl network tipleri iin eitlilik gsterir ve 802.3den 802.5e kadar tanmlanr.) Bu spesifikasyonun bir paras olarak (gnmzde Ethernet olarak bildiimiz), Data-Link katman iki alt katmana ayrlr.
Logical Link Control (LLC) katman, iletiim halindeki aygtlar arasnda mantksal bir balant kurar ve bu balantnn korunmasn salar. Media Access Control (MAC) katman, hava alan kontrol kulesi gibi alr birok aygtn paylat iletiim kanaln, tpk kontrol kulesinin, hava alanna ini kalk trafik akn dzene soktuu gibi kontrol eder.
ekil 1.4 Data-Link katmannn, LLC ve MAC katmanlarn gsterir. LLC alt katman, OSInin st katmanlarna, dier bilgisayarlarn kullanabilecei transfer bilgilerinin LLC alt katmanndan OSInin st katmanlarna transferi iin Service Access Points (SAPs) salar. Bu 802.2 standard iinde tanmlanmtr. Bu iki alt katmandan alttaki olan MAC alt katman, network adaptr iin paylaml bir eriim salar ve direkt olarak network kart ile haberleir. Genelde 12 digit hexadecimal eklinde gsterilen MAC adresi (sklkla Hardware Ethernet Address olarak bilinir), 48 bitlik unique bir adrestir ve network kartna retildii fabrikada atanr. LLC alt katman, MAC adreslerini, ayn LAN ierisindeki aygtlar arasnda mantksal balantlar kurmak iin kullanr. Ethernet, Data-Link katmannda yer alan protokole bir rnektir.
ekil 1.4: IEEE, ISO Data-Link katmann LLC ve MAC katmanlarna ayrmtr.
Network Katman
Network katman, paketlerin aygtlar arasnda tanmas ilemini idare eder. Ynlendirme iin karar verir ve paketlerin bir noktadan baka bir noktaya iletilmesi iin istenen networke ulalmasna yardmc olur.
Blm 1
Network katman ayn zamanda, eer paketin boyutu, Data-Link katmannn kabul edebilecei en byk data framein boyutundan daha byk ise, bu paketi kk paralara bler. Alc tarafnda, Network katman bu kk paralar yine paketler ierisine toplar. Sadece ynlendirme ve network fonksiyonlarnn iletimini salayan ve kullanc programlarnn altrlabilmesi iin ortam salamayan ara aygtlar, OSI network katmanlarnn sadece ilk katmannda alr. ekil 1.5 Network katmannn paketleri oklu linkler arasnda nasl tadn gsterir.
Network katman, verinin hedefine ulaabilmesi iin birok nemli fonksiyonu yerine getirir. Bu katmanda alan protokoller, verinin ulamasnn gerek olmad segment veya networklere veri gnderimi sonucunda gerekleen ar trafii engelleyecek ekilde zel bir yol seebilir. Network katman mantksal olarak ayrlm networkler arasnda iletiim destei verir. Bu katman unlarla ilgilidir:
Adresleme, mantksal network adresleri ve servis adresleri Devre, mesaj ve paket anahtarlama Yol kefi ve yol seimi Balant servisleri, network katman ak denetimi, network katman hata kontrol ve paket sra kontrol. Gateway servisleri
Windows Server 2003de, Network katman servislerini gerekletirebilmek iin, TCP/IP, AppleTalk ve Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) iin birok eitli ynlendirme servisleri bulunur (Bkz Blm 9 IP Ynlendirme Ynetimi). Buna ek olarak, TCP/IP, AppleTalk ve IPX protokol takmlar, bu protokoller iin ynlendirme kapasitesine sahiptir. Internet Protocol (IP) network katmannda bulunur.
Transport Katman
Transport katman, verinin hatasz, sral, kayp veya tekrarlanmadan teslim edilmesini temin eder. Bu katman ayrca, Session katmanndan gelen byk mesajlar Network katmannn anlayabilecei ekilde daha kk segmentlere bler. Hedef bilgisayarda bu segmentler tekrar birletirilerek Session katmanna sunulanacak olan mesajlara dntrlr. Alc Transport katman, mesajn kaynana bir Acknowledgment mesaj gnderebilir (ekil 1.6daki gibi). Bu servislerin ou, Transport katman protokolleri iin seimlidir ve zaruri deildir. Tm Transport katman protokolleri iin ortak olan bir zellik, st katman protokollerinin e zamanl olarak ileyebilmesi iin, st katman protokollerine multiplexing yapmasdr. rnek olarak TCP/IPde ayn anda bir web sayfasnda gezinme ve bir dosyay download etme ilemi. Transmission Control Protocol (TCP) ve User Datagram Protocol (UDP), Transport katmannda alan rnek protokollerdir.
ekil 1.6: Transport Layer veri btnl ve performans garantisi ile utan uca iletiim salar.
Session Katman
Session katman, farkl bilgisayarlarda alan uygulamalar iin session oturum ad verilen ortak bir balanty mmkn klar. Bu katman, iki programn birbirlerini bulabilmeleri ve aralarnda balant linki kurabilmeleri iin isim zmlesi ve gvenlik gibi servisler salar. Ayn zamanda veri senkronizasyonu salar ve networkde meydana gelebilecek bir problemden dolay yarm kalan veri aktarmnn tamamen tekrarlanmamas iin checkpoint oluturur. Bu sayede, veri aktarm srasnda meydana gelebilecek bir problemde tm iletiimin tekrar edilmesi yerine, sadece, oluturulan checkpointden itibaren yaplan veri aktarmnn tekrarlanmas yeterli olmaktadr. Ayn zamanda bu katman iletiim esnasnda, iki sre arasndaki iletiimi kontrol ederek, kimlerin hangi noktada iletim yapabilecei ve veri kabul edebileceine karar verir. NetBIOS, RPC ve SQL, Session katmanndaki protokollere rnektir.
Presentation Katman
Presentation katman, veriyi networkn gereksinimlerine ve bilgisayarn beklentilerine uygun olan formatlara dntrr. Presentation katman protokol evrimini; veri dnm, sktrma ve ifreleme; karakter seti deiimi ve grafik komutlarnn yorumlanmas ilemlerini gerekletirir. Windows Networkingin bir paras olan network redirector bu seviyede alr. Network redirector bir dosya sunucusundaki dosyann, istemci bilgisayarlardan grnmesini salayan yapdr. Network redirector ayn zamanda uzak bir yazcnn yerel bilgisayara balym gibi dnlmesini salar. ekil 1.8 protokol takm ierisinde Presentation katmannn roln gsterir. PICT, TIFF ve JPEG gibi grafik formatlar, Presentation katmanndaki protokollere rnek olarak verilebilir.
ekil 1.7: Session katman, uygulamalarn birbirleri arasnda iletiim sessionlar ile balant kurabilmelerine imkan salar.
10
Blm 1
ekil 1.8: Presentation katman, uygulamalarn birbirleri arasnda iletiim sessionlar ile balant kurabilmelerine imkan salar.
Application Katman
Application katman, OSI modelinde en stteki katmandr. Veritaban eriimi, e-posta ve dosya transferi gibi kullanc uygulamalarn direk olarak destekleyen servisleri salar. Ayn zamanda farkl bilgisayarlarda alan uygulamalarn sanki ayn bilgisayarda alyormu gibi iletiim kurmalarna izin verir. Bir programc network servisleri kullanan bir uygulama gelitirirken, uygulama yazlmnn bu servislere eritii katman bu katman olacaktr. rnein, Internet Explorer web sayfas ya da dosya isteklerini Application katmann kullanarak gerekletirir. Ardndan Application katman bu istekleri alttaki katmanlara aktarr ve dier katmanlar da kendi ilerini gerekletirir (ekil 1.9da grld gibi). File Transfer Protocol (FTP), Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP) Application katmanndaki protokollere rnektir.
ekil 1.9: Uygulama fonksiyonlarnn yer ald Application katman alt katmanlar kullanr.
11
ekil 1.11: Paketler protokol takmlar arasnda dolatka, her bir katman gerekli kontrol bilgilerini ekler ya da kartr.
12
Blm 1
13
1. Veriyi daha kk paketlere (veya bulunduu katmana gre segment, frame v.s) blmek. 2. Pakete adres bilgisini koyarak alc bilgisayar tanmlamak. 3. Verinin networkte iletimi iin veriyi network kartna iletmek. Alc bilgisayar u admlar gerekletirmelidir: 1. Network adaptrnden gelen veriyi kabul etmek. 2. Gnderen bilgisayar tarafndan eklenmi olan iletiim bilgilerini karmak. 3. Veri paketlerini tekrar bir araya getirerek orijinal mesaj oluturmak. Verinin hedefe ulaabilmesi ve doru bir ekilde tekrar bir araya getirilebilmesi iin her bir bilgisayar ayn admlar, ayn ekilde ve dzgn srada gerekletirmelidir. Bilgisayarlardan biri farkl admlara sahip bir protokol kullanrsa hatta ayn admlar farkl parametrelerle (rnek olarak farkl sralama, zamanlama ya da hata dzeltimi) gerekletirirse bu iki bilgisayar birbirleriyle haberleemezler.
Network Paketleri
Ethernet networkleri IP koar ve transport protokol olarak TCP kullanarak paket ad verilen kk veri paralarn gnderip alr. Network protokolleri bu paketleri, gnderici bilgisayarnda protokol takmna gnderirken, network zerinde dolatrrken alc tarafnda oluturur, deitirir ve yeniden monte eder. Bir IP paketi u bileenlere sahiptir:
Veriyi gnderen bilgisayar belirten kaynak adres Verinin gnderildii bilgisayar belirten hedef adres Bilgisayara verinin nasl gnderileceini anlatan talimatlar Yeniden kurma bilgisi (paket daha byk bir mesajn paras ise) Uzaktaki bilgisayara gnderilecek veri (genelde paket payload olarak adlandrlr) Verinin bozulmam olarak kar tarafa ulatndan emin olmak iin hata denetimi bilgisi
Bu bileenler daha byk paralar ierisinde toplanr; her bir paket (burada listelenen ve ekil 1.12de grlen) farkl paradan oluur ve bu her bir para da daha nceden bahsi geen bileenleri ierir. Header (Balk): Tipik olarak bir header, tanmlayc bilgi, kaynak ve hedef adresler ve protokole zg dier seenekleri ierir. Data (Veri): Gnderilmek istenen asl veri. Trailer: Trailerin ierii, farkl network tipleri iin deiiklik gstermekle birlikte tipik olarak CRC bilgisini ierir. CRC, bir paketin iletiim srasnda bozulup bozulmadn anlamaya yardmc olur.
14
Blm 1
Bind etme, protokol takm ile network interface kartnn network aygt srcleri arasnda ba oluturma ilemidir. eitli protokoller ayn karta bind edilebilir. rnein TCP/IP ve AppleTalk ayn Ethernet adaptrne bind edilebilir. Buna ek olarak, birden fazla interface adaptrne sahip bir bilgisayar rnein hem yerel networkle hem de network omurgasyla iletiim kurmak durumunda olan bir sunucu ayn protokoln bind edildii iki ya da daha fazla sayda network kartna sahip olabilir. Bind ilemi, OSI katmanlar boyunca bir protokol takm ile bir dieri arasnda ba kurma amacyla kullanlabilir. Aygt srcleri (Data-Link katmannda alan) ile network kartlar (Physical katmanda alan) bind edilir. TCP/IP ve NWLink Session katman da aygt srclerine bind edilebilir. Windows Server 2003 iin bind ilemi zellikle nemlidir. nk sklkla bir networkte ihtiya duymadnz protokolleri unbind etmek isteyeceksiniz. rnein, bir web sunucunun Internet balantsnn olduu network kartndan NWLink protokolnn unbind edilmesi sklkla uygulanr.
Balantlar Belirlemek
Bilgisayarlar arasndaki iletiim iki yolla dzenlenebilir; balantdan bamsz ve balant tabanl protokoller. Farkl Windows Server 2003 servisleri farkl balant trlerini kullanabildikleri iin, bu iki balant tr arasndaki fark anlamak nemlidir. Balantdan Bamsz Protokoller Balantdan bamsz protokolden bahsetmek garip gelebilir; fakat bu tr protokollerden en az ikisini hemen her gn kullanrsnz: radyo ve televizyon. Balantdan bamsz protokoller, paketlerin doru srada teslim edilmesini garanti etmez. Pencerenizden yoldan gemekte olan bir kiiye seslendiinizi dnn. Bu kiinin sizi duymas garanti deildir; fakat hzl ve kolaydr. yimser bir varsaymla bu balant trnn protokol zerine getirdii ek bir yk sz konusu deildir. Bu yzden daha hzl olmaya yatkndr. IP protokol suitinin bir paras olan User Datagram Protokol (UDP) rnek bir balant temelsiz Internet Transport protokoldr. Aslnda IPnin kendisi balant temelsiz bir protokoldr ve TCP gibi st katmanlarn salad balantya dayanr. Balant Temelli Protokoller Balant temelli sistemler telefonunuz gibi alr. Mesaj gndermeden nce telefon numarasn evirip kar tarafla bir balant kurmanz gerekir. Balant temelli protokoller ktmser bir yaklamla baz verilerin networkte kaybolabilecei ya da dzensiz olarak iletilebileceini varsayar. Bu protokol transfer ileminin hedefine, uygun srada ve tamamyla ulaacan garanti eder. Bunu gerekletirmek iin, balant temelli protokoller verinin gvenli bir ekilde ve gerektiinde yeniden gnderilmesi durumunu gz nnde bulundurur. Gereken veri uzaktaki uca ulatktan sonra uygun srada yeniden birletirilir ve st katmanlara pas edilir. Bu demek oluyor ki, baz uygulamalar verinin tamamyla gnderildii ekilde teslim edilmesini garanti etmek iin balant temelli Transport protokolne ihtiya duyarlar. Transmission Control Protocol (TCP), gvenilir balant temelli Internet protokolne bir rnektir. Frame Relay ise gvensiz balant temelli protokole bir rnektir. Gvensiz protokol paketlerin kaybolmasnda ya da hatal ulamasnda verinin yeniden gnderilmesini desteklemez. rnein DNS, balant temelsiz bir protocol olan UDP kullanr. Verinin teslim edilememesinin pek de muhtemel olmad yerel sistemler iin, verinin sralanmas ve st katman protokollerine iletilmesinin garanti edilmesi pek de etkin bir yntem olarak dnlmez, nk bu aktiviteler sklkla kullanlmaz. Fakat Wide Area Networklerde, hangi verinin gnderildii, hangi verinin kaybolduu ile ilgilenmek st katman protokolleri iin olduka zaman alr. Bu yzden Transport protokolleri basit bir ekilde tm verinin dzgn bir sra dahilinde iletimi iin bir nlemdir.
15
Application protokolleri uygulamalar arasndaki etkileimi ve veri deiimini gerekler. Transport protokolleri bilgisayarlar arasnda balant oturumlar kurar. Network protokolleri, ynlendirme, adresleme, hata denetimi ve yeniden veri gnderimi talepleri gibi konularla ilgilenir.
Microsoft networking rnleri, herbiri farkl ngereksinimlere sahip farkl lekteki networkleri hedefleyen network transportu NWLink IPX/SPX, AppleTalk, ve TCP/IP ile gelir. Herbir transport protokolnn farkl gl ve zayflklar vardr. NWLink orta lekteki networkler iin ya da Novel Netware dosya sunucularna erimeyi gerektiren networkler iin dnlmtr. AppleTalk birincil olarak Macintosh bilgisayarlar (burada tartmak iin olduka farkl uzman bir konu) iin kullanlr. TCP/IP, Internet gibi olduka geni lekteki networkler iin uygun bir protokoldr. Microsoft her eyi TCP/IP ile uyumlu Windows Server 2003 geerliliini yitirmi olan NetBEUI protokol desolacak ekilde yapar. Active Directory teini iermez. NetBEUI ynlendirilebilir bir protokol deildi ve Microkullanm iin TCP/IP bir ngereksisoft iin bu protokol kurumsal lekli networkler iin uygun deildir. nimdir ve Windows Server 2003 iin varsaylan protokoldr.
NWLink
NWLink IPX/SPX, Novel Netwarede kullanlan Novel IPX/SPX protokol takmnn Microsoft uygulamasdr. Gerekte NWLink IPX/SPXin, Windows iin IPXten fazlas olduunu sylemek doru olur. NWLink IPX Windows Server 2003e, Windows Server 2003lerin Novel NetWare sunucu ve istemcilerle birbirine balanabilmesi iin eklenmitir. Bylece, Microsoft istemci ve sunucular var olan network alt yapsna dahil edilebilirler, platformlar arasnda migration olduka kolaylatrr ve bir network standardndan bir dierine geite komple deiim ihtiyacnn nne geer. NWLink IPX/SPXin avantajlar u ekildedir:
ekil 1.13: OSI protokol takm, katmanlar yeni kategori dahilinde gruplandrlacak ekilde sadeletirilebilir.
Kurulumu ve ynetimi kolaydr. Ynlendirilebilir bir protokoldr. NetWare sunucu ve istemcilerine balanmak kolaydr.
NWLink IPX/SPX ile dier organizasyonlarla trafik deiimi yapmak zordur. Windows Server 2003te kstl bir destee sahiptir. Standart network ynetim protokollerini desteklemez.
16
Blm 1
Tam olarak geni networklerde (birok organizasyonu birbirine balayan) NWLink IPX/SPX kullanm zordur, nk iki networkn ayn adres numaralarn kullanmamasn salayan (TCP/IPde olduu gibi) etkin bir merkezi IPX adresleme emas yoktur. IPX, TCP/IP iin mevcut olan kapsaml network ynetim aralarn desteklemez.
TCP/IP
TCP/IP gerekte iki protokol kmesinin toplamdr: Transmission Control Protocol (TCP) ve Internet Protocol (IP). TCP/IP, Department of Defenses Advanced Research Projects Agency (ARPA, nceleri DARPA) tarafndan 1969 ylnda gelitirilmeye balanan bir protokol takmdr. Balarda nkleer sava ortamnda bile iletiimin devam ettirilebilmesi amacyla gerekletirildi. Bu dizaynn amac hi bir zaman test edilmedi; fakat bu dizaynn genel grnm gnmzde internet adn verdiimiz datk yapya yol gstermitir. IP Internetin protokoldr ve birbirine balanan bilgisayarlar iin en geni apta kullanm alanna sahip protokoldr. ARPA IPyi askeri networkleri birbirine balamak iin gelitirmesine ramen, devlet kurumlar ve niversiteler iin cretsiz bir protokol standart salad. Akademik dnya networklerini salam bir protokolle birbirine balama ansna eriti ve Internet bu ekilde dodu. Birok organizasyon ve ibirlii ierisindeki kiiler Windowsta ve bu kitap boyunca genel olarak TCP/ daha st katman protokolleri gelitirdiler. Haber grupIP eklinde ima edilen TCP/IP ya da IP protokol talar, e-posta transferi, dosya transferi, remote booting kmdr, Transport katman protokol deildir. ve dokman tarayc. IP, hzl ve geni apta benimsenmesinden dolay birok network iin kullanlan bir protokoldr. IP, birok networkte birden fazla metropolitan area networkn birletirilmesi veya Internete balanmasnda kullanlr. IP, baz nemli avantajlara sahiptir:
Btn farkl bilgisayarlar ve sunucular arasnda ve direkt olarak Internete eriimi de kapsayan geni apta balanabilirlik. Esnek ynlendirme protokollerini kullanarak ynlendirme iin gl destek (daha fazlas iin Blm 9a bakn). Gelimi (bu kitabn sonraki ksmlarnda ayrntl olarak incelenecek olan) isim ve adres znrl hizmet destei: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) ve Windows Internet Name Service (WINS). E-posta iletiimi, web sayfalarnda dolama ve dosya yazc paylam gibi standart Internet protokollerine destek. Organizasyon alar arasnda iletiimi kolaylatrmak amacyla network numaralar ve isim atamalarnn merkeziletirilmesi.
IPXe gre kurulumu daha zordur. Ynlendirme ve balanabilirlik zellikleri nispeten ek yk getirir. IPXden daha yavatr.
Bu dezavantajlar olmasna ramen, Windows Server 2003de tm network servisleri iin esas protokoldr. Gerekte bu kitabn byk bir blm TCP/IP ve balantl servisleri zerinde younlar. TCP (ve UDP), veri paketlerini uygun uygulama ilemine iletmek iin, Internet Assigned Numbers Authority (IANA) tarafndan atanan port numaralarna dayanr. Port numaralar, mesajn header ksmnda yer alp paketin ilikilendirilmi uygulama yazlm ilemini tanmlayan 16-bitlik tam saylardr.
17
rnek olarak bir istemci ayn anda ak olan bir Internet Explorer ve bir de Outlook Express uygulamasn altryor olsun. Her iki uygulama da Internet zerinden e-posta ve web sayfalarn getirmek iin srasyla TCP istekleri gnderirler. Bilgisayar gelen hangi paketin Internet Explorera, hangi paketin Outlook Expresse iletileceini nasl bilir? Bir istemci balant kurarken 1024 ile 65535 arasnda (1 ile 65535 arasnda olabilirdi) bir kaynak portu seer. Bu kaynak portu, hedefteki 80 veya 110 numaral port ile haberleir. Internet Explorer iin ynlendirilmi her paket headernda 80 ve Outlook Express iin ynlendirilmi her paket 110 kaynak port numaralarna sahiptir. Tablo 1.1, snav iin de bilmeniz gerekebilecek, sklkla kullanlan port numaralarn ierir. Ayrca www.iana.org web sitesini ziyaret ederek geerli tm port numaralarnn listesine ulaabilirsiniz. Bir firewall zerinde spesifik protokollere ait port numaralarna izin verilebilir ya da bloklanabilir. Sadece 80 numaral porta izin vermek ile tm web trafiine izin vermi olmazsnz. Ayn zamanda secure web trafii iin 443 numaral porta da izin vermelisiniz. Tablo 1.1: Sklkla Kullanlan Port Numaralar
Port Numaralar 20 21 23 25 53 80 88 110 443 Aklama File Transfer Protocol (FTP) data File Transfer Protocol (FTP) control Telnet Simple Mail Transfer Protocol (SMTP) Domain Name System (DNS) Hypertext Transfer Protocol (HTTP), Web Kerberos Post Office Protocol v3 (POP3) Secure HTTP (HTTPS)
18
Blm 1
anlyor kablo ve basit protokol problemlerini elimine etmi oluyorsunuz. Ayn web tarayc yazlmnzn dzgn altn gryorsunuz, nk rastgele web sayfalarna ulaabiliyorsunuz. Yazcy host eden Windows Server 2003 makinesini ismiyle ping ettiinizde Request Time Out mesaj alyorsunuz. Fakat ayn bilgisayar IP adresi ile ping ettiinizde balantnn salkl olduunu gsteren cevap size bir isim zmleme probleminizin olduunu gsterir. Net use komutunu kullanarak IP adresiyle yazcya balanp WINS servernza gz atmaya balyorsunuz. Sorun zme taktiklerinizi OSI katmanlarna gre uyarlamak, problemin OSInin hangi katmannda gzktne bal olarak, problemin nerede olduu ve hangi servislere baklaca konusunda size daha iyi fikir verecektir. OSI modeli olduka soyut bir kavram olmasna ramen uygun bir ekilde tatbik edildiinde size tm networknz hakknda bir yapsal dnce sistemi verir ve sistemli bir sorun zme taktii salar.
IP Adreslemesini Anlamak
IP adreslemesini anlamak, IPnin nasl altn anlamak asndan kritiktir. IP adresi, bir IP networknde her bir makineye atanan saysal bir tanmlaycdr. IP, o aygtn bulunduu network lokasyonuna iaret eder. Bu adres network kart zerinde ya da donanmsal olarak makinaya zg bir adres deil, bir eit mantksal adres tipidir.
Konunun kalan ksm iin ikili say sistemi ve matematiksel ilemler ynnden bir skntnz olmadn varsayacaz.
Sonraki blmde, IP adreslerinin bir networkde her bir makineyi esiz olarak tanmlamada nasl kullanlacan greceksiniz.
Tm bu rnekler ayn IP adresini iaret eder. Bu 32-bit IP adresleme, yapsal, hiyerarik adresleme yapsdr. Flat adresleme hiyerarik adreslemeden farkldr. IP, flat veya hiyerarik olmayan adresleme yapsn da kullanabilecei gibi, tasarmclar daha sonra greceimiz bir nedenden dolay hiyerarik adresleme yapsn semilerdir. Bu iki tip adresleme yaps arasndaki fark nedir? Flat adres yapsna gzel bir rnek src ehliyet numarasdr. Bu numara anlaml alt paralara (ikamet edilen lke, verilme tarihi gibi) blebileceimiz bir yapda deildir. Eer bu metot IP iin kullanlm olsayd, Internet zerindeki her bilgisayarn, aynen ehliyet numaralar gibi tamamyla esiz bir numaraya sahip olmas gerekirdi. Bu adresleme yaps ile ok geni bir adres havuzunu (yaklak olarak 4.3 milyar 32-bitlik yapda, her bitin 0 ve 1 olma durumu ile 232 bir adres havuzu) kullanabilir. Kt haber ve IPde flat adresleme yapsnn kullanlmamasnn ana nedeni, ynlendirmedir. Eer tm adresler tamamyla esiz birer numara olsalard, Internet zerindeki tm routerlar Internet zerindeki tm dier routerlarn ve makinelerin adreslerini depolamaya ihtiya duyacakt. Bu da muhtemel adreslerin kk bir blm iin bile etkin ynlendirme ilemini imkansz hale getirecekti. Bu sorunu zmek iin, adres havuzunu dzenli - anlaml kk paralara ayran bir hiyerarik adresleme yaps kullanlr. Telefon numaralar bu tip bir adreslemeye gzel bir rnektir. Telefon numarasnn ilk blm geni bir alan iin ayrlm alan kodudur. Alan kodunun ardndan yerel santralin kapsamn daraltan n ek gelir. Adresin son segmenti ise mteri numarasdr. 212-
19
227-xxx gibi bir numara bakarak, bu numarann stanbul (alan kodu 212) Beiktata olduunu anlayabilirsiniz. IP adresleme yaps ayn ekilde alr. 32-bitlik adresin tamamn unique bir adres olarak ele almak yerine, IP adresinin bir blmn network adresi (network ID), dier blmn node adresi (host ID) olarak hiyerarik bir yapda ele alr. Network adresi her network benzersiz bir ekilde tanmlar. Bir networkteki tm makineler, sahip olduklar IP adresinin bir paras olan ayn network adresini paylarlar, tpk ayn sokaktaki tm ev adreslerinin ayn sokak ismine sahip olmas gibi. rnein, 130.57.30.56 IP adresi iin 130.57 network adresidir. Node adresi ise, networkteki tm makineler iin unique olarak tanmlanm bir numaradr, tpk ayn sokaktaki tm evlerin numaralarnn farkl olmas gibi. IP adresinin bu blm unique olmaldr; nk tek bir makineyi tanmlamaktadr. 130.57.30.56 IP adresi iin .30.56 node adresidir. Node adresi, network adresi ile birlikte alararasnda spesifik bir aygt iaret eder. Interneti tasarlayanlar, network byklklerine gre snflar oluturmulardr. ok fazla sayda nodea sahip olan az sayda network iin Class A network snfn oluturdular. Az sayda nodea sahip olan ok fazla sayda network iin Class C network snfn oluturdular. Tahmin edilecei gibi ok geni ya da ok kk networkler arasnda Class B networkler vardr. Networknzn hangi Class yapsna sahip olduu, IP adresinin, network adresi ve node adresi eklinde iki blme ayrlmasna karar verir. Bununla birlikte Classless Inter-Domain Routing (CIDR) bu classfull tasarmn etkin bir ekilde ortadan kaldrmaktadr. IP adresleme yapsn anlayabilmek iin Classfull tasarmn arkasndaki anlam kavramanz gerekecektir. Bununla birlikte IP adresleme yaps ile alrken CIDRi anlamak daha nemlidir. Tablo 1.2 daha sonra detayl olarak inceleyeceimiz network snfnn zetini ierir. Tablo 1.2: Network Adres Snflar
Snf A B C Mask Bitleri 8 16 24 Balang Bitleri 0 10 110 IP adresinin ilk oktedinin aral 1-126 128-191 192-223 Networkler 126 16,384 2,097,152 Her bir networkteki max node says 16,777,214 65,534 254
Tasarmclar, etkin bir ynlendirme amacyla, her bir network snf iin balang bitleri blm tanmlamlardr. Router, bir A snf adresin 0 bitiyle baladn bildiinden, eer gerekliyse adresin sadece ilk bitini okuduktan sonra default mask hzl bir ekilde uygular. Tablo 1.2 balang bitlerinin ne ekilde tanmlandn gsterir. Network ve host adreslerini maskelerken ka bitin maskeleneceini gz nnde bulundurmak nemlidir. rnein, bir A snf networkte 8 bit maskelenir varsaylan subnet mask 255.0.0.0 olur. C snf bir networkte 24 bit maskelenir ve varsaylan subnet mask 255.255.255.0 olacaktr. Baz IP adresleri zel amalar iin rezervedir ve network yneticileri tarafndan nodelara atanmamaldr. Tablo 1.3 baz rezerve edilmi IP adreslerini listelemektedir. Dierleri iin RFC 3330a baknz.
20
Blm 1
127 Network adresi Tm bitleri 0 olan node adresi Tm bitleri 1 olan node adresi
169.254.0.0 255.255.0.0
A Snf Networkler
A snf networkde ilk byte network adresini, kalan byte node adresleri olarak kullanlr. A snf adres format Network.Node.Node.Node eklindedir. rnein 49.22.102.70 IP adresi iin 49 network adresi ve 22.102.70 node adresidir. Bu networkdeki her makinenin 49dan farkl bir network adresine sahip olmas gerekmesine ramen yine de o network iin ok fazla sayda makineye sahip olabilirsiniz. A snf iin network adresi 1 byte uzunluundadr, bunun ilk 1 biti rezervedir ve bylece geriye kullanmak iin 7 bit kalr. Bu da oluturulabilecek A snf network saysnn en fazla 128 olabilei anlamna gelir. Neden? Kullanlabilen 7 bitin her biri 0 ya da 1 olabilir, bu da size toplamda 27 (128) alternatif verir. Buna ilave olarak network adresinin tm bitlerinin 0 olduu adres (0000 0000) rezervedir. Bu da kullanlabilir A snf network adresi saysnn 127 (128 1) olduu anlamna gelir. Aslnda bir tane daha rezerve edilmi adres daha vardr 127 (0111 1111). Rezerve edilen iki adresten dolay, size geriye 126 adet makul A snf network adresi kalr. Her A snf network, bir makinenin node adresi iin 3 byte (24 bit pozisyonu)a sahiptir. Bu da 224 (16,777,216) kombinasyona sahip olunduu anlamna gelir. Tm bitlerinin 0 ya da 1 olmas durumu rezerve edildiinden kullanlabilir node says 224 2 yani 16,777,214tr.
B Snf Networkler
B snf networkte ilk 2 byte network adresleri iin atanr ve kalan iki byte node adresleri iin kullanlr. Format Network.Network.Node.Nodedur. rnein 130.57.30.56 IP numaras iin network adresi 130.57, node adresi 30.56dr.
21
Network adresi 2 bytedr. Byle 216 kombinasyon olabilecektir. Fakat Interneti tasarlayanlar tm B snf networklerin 10 binary digitleriyle balamas gerektiine karar verdiler. Bu, geriye kullanlabilir 14 bit pozisyonu brakr, bu yzden 16,384 (214) B snf network vardr. B snf networklerin 10 binary digitleriyle balamas bu networkleri tanmak iin size kolay bir yol salar. B snf bir IP adresinin ilk oktetinin ilk 2 biti 10 (decimal olarak adres aral 128den 191e kadar) olduu iin sadece ilk bytena bakarak bu adresin bir B snf adres olduunu kolaylkla grebilirsiniz. Bir B snf network node adresleri iin 2 byte ierir. B snf bir network iin, 216 2 (rezerve edilmi tmnn 1 ya da 0 olduu adresler) yani 65,534 node adresi vardr.
C Snf Networkler
Bir C snf networkn ilk 3 byte network ksmna, geriye kalan 1 byte nodelara ayrlmtr. Format Network.Network.Network.Node eklindedir. 198.21.74.102 IP adresi iin, network adresi 198.21.74 ve node adresi 102dir. Bir C snf networkde ilk 3 bit pozisyonu her zaman 110 eklindedir. Hesaplama u ekildedir: 3 byte, 24 bit 3 (rezerve edilen 110 iin) 21 pozisyon. Bu nedenle 221 yani 2,097,152 muhtemel C snf network vardr. C snf bir IPnin ilk biti 110 (decimal karl 192 223tr)dur. 2,097,152 muhtemel C snf network mevcuttur. Bir IP adresinin ilk byte 192 ile 223 arasnda ise, sonraki bytelarna bakmadan bu IPnin bir C snf IP olduunu kolaylkla grebilirsiniz. Her C snf network, nodelar adreslemek iin 1 bytea sahiptir. O halde her bir C snf network iin 28 2 (rezerve edilen adresler iin) 254 node adresi bulunur.
D snf networkler 224.0.0.0dan 239.255.255.255 aralnda multicasting amacyla kullanlr. Muticasting, broadcast gibi ayn anda fakat sadece hedef bilgisayarlara veri gndermek iin kullanlr.
22
Blm 1
timsel efor ve routerlar iin ar bir fiziksel yk (CPU cycles, bellek, disk alan v.s) getirecekti. Routerlar, ynlendirme bilgilerini kendi aralarnda deiirler, sonu olarak ar derecede network trafii meydana gelirdi. Bu probleme yaklamda birden fazla yol olmasna ramen, balca zm (bu kitabn da kapsad) - subnettingdir. Tahmin edebileceiniz gibi, subnetting bir IP networkn daha kk mantksal networklere blme ilemidir. Bu ilem IP adresinin host iin ayrlan ksmn tekrar blerek subnet adresler oluturularak gerekletirilir. Gerek alt blmlere ayrma subnet mask kullanlarak gerekletirilir. Sonraki blmlerde, tam olarak subnetting ileminin nasl hesaplanacan ve uygulanacan greceksiniz.
Subnetting Uygulamak
Subnetting uygulamadan nce, u anki gereksinimlerinize karar vermeniz ve subnet emanz en iyi ekilde uygulamak iin plan yapmanz gerekir. u ynergeleri takip edin:
Gerekli network ID saysn belirleyin: her subnet iin bir adet ve her WAN balants iin bir adet. Her bir subnet iin gerekli host ID saysn belirleyin: her TCP/IP aygt iin bir adet, rnein bilgisayarlar, network yazclar ve router arabimleri iin.
Tm network iin bir subnet mask Her bir fiziksel segment iin unique subnet IDleri Her subnet iin host ID aralklar
Bir network adresine sahip bir organizasyon her bir ayr fiziksel network iin subnet adrese sahip olabilir. unu hatrlamak nemlidir ki her bir subnet hala paylalan network adresinin bir parasdr buna ek olarak bulunduu subneti gsteren bir tanmlaycya sahiptir. Bu tanmlayc subnet olarak adlandrlr. rnein bir otel ya da bir ofis binasn dnn. Otelin her bir katnda 75 olmak zere toplamda 1000 odasnn olduunu syleyelim. lk kattaki ilk odadan balayarak numaralandrma yaparsanz ikinci kattaki ilk odaya geldinizde numaranz 76dr ve 1000. odaya gelinceye kadar devam edersiniz. imdi herhangi birisi 521. oda iin baktnda, odann hangi katta olduunu yaklak olarak tahmin etmek zorunda kalacakt. Eer otelde subnet yapsaydnz, ilk kattaki ilk oday 101 (1=Kat ve 1=Oda) olarak, ikinci kattaki ilk oday 201 (2=Kat, 1=Oda) eklinde tanmlayacaktnz. 521. Odaya bakan bir ziyareti 5. Kata gidip 21. Odaya bakacakt. Subnetting birok adresleme problemini zer. lk olarak, sadece bir IP adresine ve birok fiziksel networke sahip bir organizasyon bu durumun stesinden subnetler oluturarak gelebilir. kincisi, subnetting birden fazla fiziksel adresin bir grup ierisine dahil edilmesine izin verdii iin, ynlendirme tablosunda daha az girdilere ihtiya olacaktr bu da network trafiini epeyce azaltr. Son olarak tm bunlarn bir araya gelmesiyle networkn verimlilii byk oranda gelitirilmi olur. Daha sonra, networknzde subnettingin zelliklerinden nasl yararlanacanz greceksiniz.
23
Widget Inc. Network B snf olduu iin, network adresini belirten ilk 2 byte networkdeki tm makineler tarafndan paylalr hangi networkte bulunduuna aldrmadan. Subnetteki her makinann adresinin nc byte 0000 0001 olmaldr. Drdnc byte, o subnetteki bir bilgisayar tanmlayan unique host adresidir. ekil 1.16 bir network adresi ile bir subnet adresinin beraber nasl kullanlabileceini gsterir.
24
Blm 1
Bizim Widget, Inc, rneimizde, ilk subnet maskn ilk iki byte 1lerden oluur, nk Network. Network.Node.Node formatnda bir B snf adrestir. nc byte normal olarak host adresinin bir parasdr fakat imdi subnet adreslerini temsil etmek iin kullanyor. Bundan dolay bu bit pozisyonlar, subnet maskta 1lerle temsil edilir. Bizim rneimizde sadece drdnc byte host adreslerini temsil eder. Subnet mask ayn zamanda ikili dzenin onluk karl eklinde de temsil edilebilir. kili dzendeki 1111 1111in onluk dzendeki karl 255dir. Sonu olarak, bizim rneimizdeki subnet mask ekil 1.18de grld gibi iki farkl ekilde gsterilir.
ekil 1.17: Subnet mask gsterimi.
Baz networkler alt alara sahip olmaya ihtiya duymazlar, bu yzden zel bir subnet mask kullanmaya ihtiyalar yoktur. Bu durumda bir default subnet maska sahip olurlar. Bu aslnda o networklerin subnet adreslerine sahip olmadn sylemekle ayn eydir. Farkl network snflar iin varsaylan subnet mask adresleri Tablo 1.4 gsterilmektedir. Tablo 1.4: zel Network Adresleri
Snf A B C Format Network.Node.Node.Node Network.Network.Node.Node Network.Network.Network.Node Default Subnet Mask 255.0.0.0 255.255.0.0 255.255.255.0
25
Bir network yneticisi bir subnet mask oluturup tm makinelere atadnda, IP yazlm subnet adresini belirlemek iin bunu IP adresine uygular. IP yazlm kendi IP adresine subnet masknn merceinden bakarak subnet adresini grr. ekil 1.19da bir IP adresinin subnet mask adresi araclyla grnts grlr. Bu rnekte, IP yazlm subnet mask ile IP adresinin nc bytenn subnet adres olarak kullanlacan renir. Sonra IP yazlm, IP adresinin mask ile uyuan bit pozisyonlarna (0000 0001) bakar. Son adm olarak ekil 1.20de grld gibi Widget, Inc. rneinde binaryden decimale evrim basittir. Bir B Snf adresin nc bytenn tamamn subnet adresi olarak kullanarak subnet adresini belirlemek ve atamak kolaydr. rnein, Widget, Inc. 6 subnete sahip olmak isterse, o subnetteki tm makinelerin nc bytelar 0000 0110 (decimal olarak 6) olur.
B snf network adresinin nc bytenn tamamnn subnet iin kullanlmas yeterli sayda kullanlabilir subnet adresine izin verir. Subnet iin adanm bir byte sekiz bit pozisyonu salar. Her bir pozisyon 1 ya da 0 olabilir, hesap sonucu bylece 28, 256dr. Bu yzden Widget, Inc. Her biri 254e kadar host ieren toplamda 256 subnete sahip olabilir. RFC 950 subnet adreslerinde tm 1 ve tm 0 kullanmn yasaklamasna ramen, hemen hemen tm rnler bu kullanma izin verir. Microsoftun TCP/IP takm da birok router yazlm gibi buna izin verir (bu zellik varsaylan olarak geerli deilse, etkinletirebilirsiniz). Bu size iki ek subnet salar. Bununla birlikte networknzdeki tm yazlmlar bu kullanm desteklemiyorsa bunu kullanmamanz gerekir.
2X subnet masktaki maskelenen bit says = maksimum subnet says 2X subnet masktaki maskelenmeyen bit says 2 = her bir subnetteki maksimum host says
Formllerde, maskelenen bit derken 1lerin pozisyonu, maskelenmeyen bit derken 0larn pozisyonu kastedilmektedir. Node adres bytenn tamamnn subnet adresi olarak kullanlmas her bir subnette kullanlabilir node adres saysn azaltr. nceden akland gibi, subnetsiz bir B snf adres nodelar adreslemek iin 1 ve 0larn 65,534 kombinasyonuna sahiptir. Neden tek bir fiziksel networkte 65,534 host istenir? Bu soruyu kendi kendinize sormanz olduka doaldr. Eer node adresleri byten subnet iin kullanrsanz, geriye sadece 254 kombinasyon kalacak ekilde kullanabileceiniz 1 bytelk host adresi kalr. Eer subnetlerinizden herhangi biri 254ten fazla makinaya sahip olurlarsa bu sizin iin bir problemdir. Bu sorunu zmek iin subnet mask ksaltp host bitlerini artrarak host adreslerinin saysn artrmaya ihtiya duyarsnz. Bu size her bir subnet iin daha fazla uygun host adresi salar. Bu zmn sonucu olarak muhtemel subnet saynz klr. ekil 1.21 daha kk subnet adreslerinin kullanm ile ilgili bir rnek gsterir. Acme, Inc. irketi maksimum 14 subnete ihtiyac olduunu dnyor. Bu durumda Acme, host adres bitlerinin tamamn subnet adresleri iin kullanmaya ihtiya duymaz. 14 farkl subnet adresi iin, host adres
26
Blm 1
bitlerinden sadece 4n (2^4=16) alr. Adresin host ksm iin 12 kullanlabilir bit kalr (2^12 2=4094). Her bir 16 Acme subnet iin 4094 host adresi kullanlabilir durumdadr. Her bir subnetin 4094 makine iin yeterli olacaktr.
Subnettingi Uygulamak
Subnetting bazen kafa kartrc olabilir. Tm bu numaralar hatrlamak olduka zor olabilir. Geriye dnp temel network snflarna ve her birinin nasl subnetlere ayrldna gz atabilirsiniz. C snf ile balayabilirsiniz, nk C snf node adresleri iin sadece 8 bit kullanr. Sonraki blmde farkl network tiplerinin nasl subnetlere ayrldna gz atacaz.
C Snf
Hatrlayacak olursak bir C snf network, network adresini tanmlamak iin ilk 3 byte (24 bit) kullanr. Bu size hostlar adreslemek iin 1 byte (8 bit) brakr. Bu yzden eer subnetler oluturmak isterseniz, geriye kalan kullanlabilir bit says kk olduundan seenekleriniz snrldr. Eer subnetlerinizi varsaylan C snf subnetlerinden daha kk paralara blmek isterseniz subnet mask, network numaras, broadcast adresi ve router adreslerini hesaplamak kafa kartrc olabilir. Subnetting iin daha salam bir temel kurmak istiyorsanz greceimiz her bir subnet iin zel deerleri tanmlama tekniklerini aln ve anlayn. Fakat bu blmn sonrasnda Subnet Karakteristiklerini Hzl Bir ekilde Tanmlama ksmnda tanmlanan daha etkin teknikleri
27
renip kullanmanz gerekir. Tablo 1.5 C snf bir network bir, iki, drt ve sekiz kk subnete nasl bleceinizi subnet masklar, network numaralar, broadcast adresleri ve router adresleri ile zetler. lk byte basit olarak x.y.z eklinde gsterilmitir. (Bu tablonun subnetler de tamamyla 0 ve tamamyla 1 kullanabileceinizi varsaydna dikkat edin.) Tablo 1.5: C Snf Subnetler
stenen Subnet Says 1 2 Subnet Mask 255.255.255.0 255.255.255.128 255.255.255.128 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.224 Network Numaras x.y.z.0 x.y.z.0 x.y.z.128 x.y.z.0 x.y.z.64 x.y.z.128 x.y.z.192 x.y.z.0 x.y.z.32 x.y.z.64 x.y.z.96 x.y.z.128 x.y.z.160 x.y.z.192 x.y.z.224 Router Adresi x.y.z.1 x.y.z.1 x.y.z.129 x.y.z.1 x.y.z.65 x.y.z.129 x.y.z.193 x.y.z.1 x.y.z.33 x.y.z.65 x.y.z.97 x.y.z.129 x.y.z.161 x.y.z.193 x.y.z.225 Broadcast Adresi x.y.z.255 x.y.z.127 x.y.z.255 x.y.z.63 x.y.z.127 x.y.z.191 x.y.z.255 x.y.z.31 x.y.z.63 x.y.z.95 x.y.z.127 x.y.z.159 x.y.z.191 x.y.z.223 x.y.z.255 Kalan IP Adres Says 253 125 125 61 61 61 61 29 29 29 29 29 29 29 29
rnein, 200.211.192.x bir C snf network iki subnete blmek istiyorsunuz. Tabloda grebildiiniz gibi her bir subnet iin 255.255.255.128 subnet maskn kullanrsnz. lk subnet 200.211.192.0 network numarasna, 200.211.192.1 router adresine ve 200.211.192.127 broadcast adresine sahip olurdu. 200.211.192.2den 200.211.192.126ya kadar IP adreslerini atayabilirdiniz. (Network ok fazla sayda subnetlere blerseniz broadcast adresi, router adresi ve network adresi olmak zere ok fazla sayda adresi kaybedersiniz.) kinci subnet 200.211.192.128 network numarasna, 200.211.192.129 router adresine ve 200.211.192.255 broadcast adresine sahip olurdu. Tablo 1.5deki metodu kullanarak C snf bir network subnetlere ayrdnzda eer 2x-2 hesaplamasn kullanrsanz tablodaki 128 subneti anlaml gelmez. Burada bu ilemi bu ekilde yapmak iin mantkl ve popler bir neden vardr, 1. RFCye gre subnet zero kullanmna izin verilmediini hatrlayn, fakat bunu kullanarak C snf networknz 128 subnet mask ile subnetlere ayrabilirsiniz. Bu sadece 1 bit kullanr ve 21-2=0 ve zero subnet. 2. Subnet zeroyu destekleyen routerlar kullanarak, 1126 ve 129-254 araln hostlara atayabilirsiniz (tabloda grld gibi). Bu bir grup adresimizi korur. Eer RFC standartlarnda tanmlanan metodu kullansaydnz sadece iki (22 2 = 2) subnetiniz olabilirdi. Subnet masktaki ilgin bir art deerine sahip olan (0 ve 255den farkl) oktet deerini tespit etmek iin bu deeri 256dan karn. Yine 255.255.255.192 subnet maska sahip 200.211.192.x network iin yapacamz hesaplama u sonucu verir: 256-192=64. 64, drdnc oktetteki sizin art deerinizdir. Neden drdnc oktet? nk masktaki 192 deerine sahip oktet drdnc oktetdir. Her zaman ilk subnetteki nemli oktet 200.211.192.0 olacak ekilde bir tane 0 ierir, ayn orjinal subnetlere ayrlmam network adresindeki gibi. kinci subnetin network adresini belirlerken art deerini, ilk subnetin drdnc oktetine ekleyin. nc subnet numarasn belirlemek iin, art deerini ikinci subnet numarasnn ilgili oktetine
28
Blm 1
ekleyin. Drdnc subnet numarasn belirlemek iin de art deerini nc subnetin ilgili oktetine ekleyin. Art deerini bu ekilde asl subnet numarasna ulancaya kadar eklemeye devam edin. rnein, 0 + 64 = 64tr ve ikinci subnetiniz 64tr. 64 + 64 = 128 yani nc subnetiniz 128dir. 128 + 64 = 192 ve drdnc subnetiniz 192dir. 192 subnet mask olduundan bu son subnetinizdir. Yine 64 eklemeye alsanz bile 256 kacaktr. Bu da sizin geerli subnetlerinizin 0, 64, 128 ve 192 olduu anlamna gelir. Subnetler arasndaki numaralar sizin geerli host ve broadcast adreslerinizdir. rnein, aadakiler 192 subnet maskna sahip bir C snf networkndeki 2 subnet iin geerli hostlardr.
64 subneti iin geerli aralk size subnet bana 62 host veren 65126 araldr. (bir host iin 127 kullanmak, btn host bitlerinin 1 olduu anlamna gelir.) 128 subneti iin geerli aralk 191 broadcast adresi ile 129190 araldr.
Grebildiiniz gibi, bu zm baz adresleri boa harcar: Subnetting yapmadan ncekinden alt fazla. Bir C snf network iin, bu durumu savunmak ok da zor olmaz. Subnet mask olarak 255.255.255.128i kullanmak bile sadece iki subnete ve her subnette yaklak 126 hosta ihtiyacnzn olduu durumda daha iyi zm olur. Fakat eer C snf networknzde sekiz subnete ihitiyacnz varsa neler olur? x subnet numaras olmak zere, 2x hesaplamasn kullanarak sekiz subnet iin 3 subnet bitine ihtiyacnz olacan syleyebiliriz (23=8). Her bir subnet iin geerli subnetler ve geerli hostlar nedir? Hesaplayalm. Subnet maskn drdnc oktetindeki ilgili deer 11100000 (224) olacaktr. Bu btn i istasyonlarnda ayn olmaldr.
Verilen bir konfigrasyonla ilgili problemi tanmlama ile ilgili testleriyle karlamanz muhtemeldir Eer yanl bir i istasyonu yanl bir subnet maska sahip ise, router bu i istasyonunun bulunduu subnetten farkl bir subnette olduunu dnr. Bu saptrlm router sorudaki i istasyonuna paketleri iletmeyecektir. Benzer ekilde, eer mask i istasyonu yaplandrmasnda yanl ekilde tanmlanrsa o i istasyonu o maska uygun hareket ederek uygun olmayan default gatewaye paketleri gnderir.
Geerli subnetleri hesaplamak iin 256dan ilgili oktet deerini karn; 256224=32, bylece sizin drdnc oktet iin art deeriniz 32dir. Elbetteki 0 subnet, her zaman sizin ilk subnetinizdir. Dier subnetler 32, 64, 96, 128, 160, 192 ve 224 olacaktr. Geerli hostlar bu subnetler arasndaki host bitlerinin tmyle 1 olduu host numaralar dndaki numaralardr. Bu numaralar 31, 63, 95, 127, 159, 191, 223 ve 255 olacaktr. Host bitlerinin tamamnn 1lerden olutuu numaralarn her bir subnet iin broadcast adresleri olarak rezerve edildiini hatrlayn. Geerli subnetler, hostlar ve broadcastler aadaki gibidir:
Subnet 0 32 64 96 128 160 192 224 Hostlar 1-30 32-62 65-94 97-126 129-158 161-190 193-222 225-254 Broadcast 31 63 95 127 159 191 223 255
Subnet maska sadece denemek iin bir tane daha bit ekleyebilirsiniz. 224 olacak ekilde 3 bit kullanyordunuz. Bir bit daha ekleyerek mask 240 olacaktr (1110000).
29
Subnet mask iin 4 bit kullanarak 14 subnet elde edersiniz, nk 24 = 16dr. Bu subnet mask ayn zamanda host adresleri iin sadece 4 bit, dier bir deyile her subnet iin 24 2= 14 host verir. Grebileceiniz gibi, her subnet iin host miktar, her bir host bitinin subnet kullanm iin tahsis edilmesi ile olduka hzl bir ekilde azalr. Subnet 240 iin ilk kullanlabilir subnet her zaman olduu gibi 0dr. 256240=16 olduundan, size kalan subnetler 16, 32, 48, 64, 80, 96, 12, 128, 144, 160, 176, 192, 208, 224 ve 240dr. Geerli ilgili oktet deerinin ayn zamanda geerli son subneti iaret ettiini hatrlayn, bu yzden 240, geerli son subnet numaranzdr. Geerli hostlar bu subnetler arasndaki host bitlerinin tmyle 1 olduu host numaralar (broadcast adresleri) dndaki numaralardr. Aadakiler geerli subnetler, hostlar ve broadcastlerdir:
Subnet 0 16 32 48 64 80 96 112 128 144 160 176 192 208 224 240 Hosts 1-14 17-30 33-46 49-62 65-78 81-94 97-110 113-126 129-142 145-158 161-174 177-190 193-206 209-222 225-238 241-254 Broadcast 15 31 47 63 79 95 111 127 143 159 175 191 207 223 239 255
B Snf
B snf bir network host adresleri iin 16 bite sahip olduundan, subnet mask hesaplamak istediinizde oynayabileceiniz olduka fazla bite sahip olursunuz. En soldaki bitten balayarak en sadaki bite doru almak zorunda olduunuzu hatrlayn. rnein 255.255.0.0 default subnet mask ile bir B snf network x.y.0.0. eklinde olacaktr. Varsaylan subnet mask kullanmak size 65,534 hostluk bir subnet verecektir. Binary formatta default subnet mask 11111111.11111111.00000000.00000000 eklindedir. 1ler IP adresindeki uygun network bitlerini iaret ederken, 0lar host bitlerini gsterir. Bu yzden, subnet mask oluturulurken en soldaki bit ya da bitler host bitlerinden dn alnarak (0lar 1e dntrlr) subnet mask haline getirilir. Hala 0 olan geriye kalan bitleri host adresleri olarak kullanrsnz. Eer sadece bir bit kullanrsanz subnet masknz 255.255.128.0 olur. Eer 2 bit kullanrsanz, 255.255.192.0 (11111111.11111111.11000000.00000000) C snf bir adresi subnetlere ayrrken, IP adresinin paras vardr: network adresi, subnet adresi ve host adresi. Bir 192 mask, C snf bir subnet maskn drdnc oktetinde bulunduu ekilde hesaplanr; fakat bu sefer size subnet bana daha fazla host kalr 22 = 4 olduundan drt subnet vardr. nc oktet iin geerli deerler 0, 64 128 ve 192dir (256 192 = 64 olduundan nc oktetin art deeri 64tr). Bununla birlikte host adreslemesi iin geriye 14 bit (0lar) kalr. Bu da size her bir subnet iin 16,382 host salar (214 2 = 16,382)
30
Blm 1
Subnet maska 11111111.11111111.11100000.00000000 ya da decimal olarak 255.255.224.0 olacak ekilde bir bit daha ekleyebilirsiniz. Sekiz subnet vardr (23=8). Geerli subnetler 0, 32, 64, 96, 128, 160, 192 ve 224tr (256224=32). Subnetler, geerli hostlar ve broadcastler u ekildedir:
Subnet X.Y.0.0 X.Y.32.0 X.Y.64.0 X.Y.96.0 X.Y.128.0 X.Y.160.0 X.Y.192.0 X.Y.224.0 Hostlar X.Y.0.1den X.Y.31.254e kadar X.Y.32.1den X.Y.63.254e kadar X.Y.64.1den X.Y.95.254e kadar X.Y.96.1den X.Y.127.254e kadar X.Y.128.1den X.Y.159.254e kadar X.Y.160.1den X.Y.191.254e kadar X.Y.192.1den X.Y.223.254e kadar X.Y.254.1den X.Y.255.254e kadar Broadcast X.Y.31.255 X.Y.63.255 X.Y.95.255 X.Y.127.255 X.Y.159.255 X.Y.191.255 X.Y.223.255 X.Y.255.255
Bu yzden, eer 255.255.224.0 subnet maskn kullanrsanz, her biri 8190 hostluk 8 subnet oluturabilirsiniz. Neler olduunu grmek iin subnet maska bir ka tane daha bit ekleyebilirsiniz. Eer subnet mask iin 9 bit kullanrsanz, bu durumda 512 subnet (29) ve hostlar iin sadece 7 bit ile subnet bana 126 (27-2) hostunuz olacaktr. Subnet mask u ekildedir: 11111111.11111111.11111111.10000000 ya da 255.255.255.128 Daha da fazla bit ekleyerek sonular grebilirsiniz. Eer subnet mask iin 14 bit kullanrsanz 16,384 (214) subnet ile subnet bana sadece 2 (22 2) hostunuz olabilir. Subnet mask u ekilde grlebilir: 11111111.11111111.11111111.1111100 ya da 255.255.255.252 Bir B snf networkte neden 14-bit subnet mask kullandnz merak edebilirsiniz. 255.255.255.0 subnet mask adresini kullanan bir B snf network dnn. Subnet bana 254 host olacak ekilde 256 subnetiniz olacaktr. Ayn zamanda, her bir mterinizle aranzda ayr birok WAN balants bulunan bir ISP olduunuzu dnn. Tipik olarak her bir site ile aranzda direkt balant olacaktr. Bu linklerin her biri kendi subnetinde ya da networknde olmaldr. Bu subnetlerde iki host olacaktr her router portu iin bir adres. Eer nceden kullandnz subneti (255.255.255.0) kullanm olsaydnz her bir subnet iin 252 host adresini boa harcam olurdunuz. 255.255.255.252 subnet maskn kullanarak daha fazla kullanlabilir subnetiniz yani daha fazla mteriniz olur her biri sadece iki hosttan oluan subnetler iin maksimum sayda point to point balantya izin verecek ekilde. Bu yaklam, sadece, kitabn daha sonraki konularnda greceimiz Enhanced Interior Gateway Routing Protocol (EIGRP) ya da Open Shortest Path First (OSPF) gibi algoritmalar altran bir sistemde kullanabilirsiniz. Bu ynlendirme protokolleri Variable Length Subnet Masking (VLSM) e izin verir. VLSM, tm subnetlerde ayn classful network adresini kullanrken, routerun WAN interfaceinde 255.255.255.252, LAN interfaceinde 255.255.255.0 komasna izin verir. EIGRP ve OSPF gibi ynlendirme protokolleri dier routerlara subnet mask bilgilerini de update paket-
31
leri ierisinde gnderir. RIP version 1 gibi Classful ynlendirme protokolleri subnet mask bilgisini gndermediinden VLSM kullanamazlar.
A Snf
A snf networkler daha fazla kullanlabilir bitlere sahiptir. A snf bir network iin varsaylan subnet mask sadece 8 bittir (255.0.0.0). Bu subnet mask size hostlar iin 24 bit sunar. Eer subnet mask olarak 11111111.11111111.00000000.00000000 (255.255.0.0) kullanrsanz, subnetler iin 8 bitiniz yani toplamda adresleyebileceiniz 256 (28) subnetiniz olur. Hostlar iin geriye 16 bit kalr, bu da subnet bana 65,534 (216 2) host adresleyebileceiniz anlamna gelir. Bunun yerine 24 biti hostlar ve subnetler arasnda eit bir ekilde ayrrsanz subnet maskn yeni grnm 11111111.11111111.11110000.00000000 (255.255.240.0) eklinde olur. Byle bir durumda ka adet geerli subnet ve hostunuz olacakt? Her birinde 4094 (212 2 = 2094) host olacak ekilde toplamda 4096 subnetiniz olurdu. B ya da C snf networklere oranla hangi host ve subnetlerin geerli olduunu bilmek daha karmaktr. kinci oktet 0 ile 255 arasnda olabilir. Bununla birlikte nc okteti hesaplamaya ihtiyacnz olacaktr. Subnet maskn nc okteti 240 olduundan, nc oktet iin art deeri 16 (256240=16) olur. nc oktet ilk subnet iin 0dan balamaldr, ikinci oktet 16 olacak ve bu ekilde devam edecektir. Bu da sizin geerli subnetlerinizin aadaki gibi olaca anlamna gelir (srayla deil):
Subnet X.0-255.0.0 X.0-255.16.0 X.0-255.32.0 X.0-255.48.0 Hostlar X.0-255.0.1den X.0-255.15.254e kadar X.0-255.16.1den X.0-255.31.254e kadar X.0-255.32.1den X.0-255.47.254e kadar X.0-255.48.1den X.0-255.63.254e kadar Broadcast X.0-255.15.255 X.0-255.31.255 X.0-255.47.255 X.0-255.63.255
C Snf
192.168.10.50/27 host adresini dnn. Aadaki admlar bu adresin yesi olduu subnet ile ilgili tm detaylar aklamaktadr: 1. Adresin CIDR notasyon n ek uzunluunu bulun. Bu adm decimal mask CIDR notasyonuna evirmek kadar kolaydr. Bu sorudaki subnet mask 255.255.255.224tr. 2. n ek uzunluuna eit ya da byk 8in katlarn kullanarak bir subnetten dier subnete geide 1 ya da 0 dnda art deeri kadar artan ilgili okteti hesaplayn. Bu 8 rnekte, 27den byk 8in ilk kat 32dir. 32nin 8e blm ile 4 verecektir. Bu da ilgili oktetin 4. oktet olduu anlamna gelir.
32
Blm 1
3. lgili oktetteki art deerini hesaplamak iin n ek uzunluunu, 8in bir sonraki katndan (bu rnekte 32) karn. Sonu deeri 32 27 = 5dir. Sonu olarak 25 = 32 bu rneimizdeki drdnc oktetin art deeridir. 4. Soruda ilgili oktetin deeri 50 idi. 0dan balayarak art deeri ile ilgili deeri yani 50yi geene kadar artrn. Deerler, 0, 32, 64, eklinde olacaktr. 5. rnekteki subnet, ilgili oktetteki bir nceki art deerinden kk ya da eit olur. Bu rneimizde 192.168.10.50/27, 192.168.10.32 subnetindedir. Bu subnet, 192.168.10.32den 192.168.10.64e kadar devam eder, broadcast adresi de 192.168.10.63dr. Subnet adresi iin eer ilgili oktet drdnc oktet olmasayd, ilgili oktetten sonraki dier oktetler 0 olacakt 6. Sorudaki subnet iin kullanlabilir adres aral subnet adresinin bir fazlas ile broadcast adresinin bir eksii araldr, yani 192.168.10.33den 192.168.10.62ye kadar. Grebildiiniz gibi 192.168.10.50/27 bu aralk ierisindedir.
B snf
nceki admlar kullanarak 255.255.240.0 subnet mask ile 172.16.76.12 adresinin hangi subnette bulunduunu bulun: 1. CIDR notasyonundaki n eki /20dir. 2. 20den byk olmak zere 8in kat olan ilk say 24tr. 248 = 3 olduundan nc oktet ilgili oktetimizdir. 3. 24 20 = 4 olduundan art deeri 24 = 16dr. 4. nc oktetteki deerler 0, 16, 32, 48, 64, 80, eklinde olacaktr. 5. Soruda verilen adresin nc okteti olan 76, 64 ile 80 arasna denk geldiinden bu adresin bulunduu subnet 172.16.64.0 subnetidir. Bu subnetin broadcast adresi bir sonraki subnet adresi 172.16.80.0dan hemen nceki adres olan 172.16.79.255dir. 6. Kullanlabilir adres aral 172.16.64.1 ile 172.16.79.254 araldr.
A Snf
10.6.127.255/14 adresi iin ilgili admlar uygulayarak bir kez daha deneyin: 1. n ek uzunluu 14 olarak verilmi. 14den byk 8in kat 16dr. 16 8 = 2 olduundan, ikinci oktet ilgili oktetdir. 2. 16 14 = 2, bu yzden art deeri 22 = 4tr. 3. 4. ve 5. admlar birlikte kullanrsanz adresin ikinci oktetindeki 6 deerinin 4 ile 8 arasna geldiini grrsnz. Bu da bu adresin 10.4.0.0 (ikinci oktetten sonraki oktetleri 0 yaparak) olduu anlamna gelir. Broadcast adresi ise 10.7.255.255dir. 4. Kullanlabilir adres aral 10.4.0.1den 10.7.255.254e kadardr.
33
Bu teknii kullanarak pratik yaptnzda istenen cevab bulmak iin kullanacanz zaman azaltacaksnz ve bu sayede her bir sorudaki daha zor grevleri yerine getirmek iin size daha fazla zaman kalacaktr. Bu blmde oka rnek, senaryo olduu gibi tekniklerinizi deneyebileceiniz gzden geirme sorular bulunmaktadr.
zet
Bu blm Physical, Data-Link, Network, Transport, Session, Presentation ve Application katmanlarn barndran OSI referans modeli ve OSI takmndaki her bir katmann tanmlanmas gibi nemli konular kapsar. Ayn zamanda bu blmde Windows Server 2003n AppleTalk, NWLink ve TCP/IPyi desteklediini rendiniz. TCP/IP gnmzde kullanlan balca protokoldr. Microsoft eer mmknse sadece TCP/IP kullanmanz tavsiye eder. Son olarak, 32 bitlik IP adresinin yapsal ve hiyerarik bir adresleme yaps olduunu ve bir networkte her bir makineyi benzersiz olarak tanmlamak iin kullanldn rendiniz. Kullanlabilir IP adreslerinin nasl belirlendiini ve subnetting uygulamalarn rendiniz.
34
Blm 1
35
ayracak ekilde ve tm networkteki herkese internet eriimi vererek nasl segmentlere ayrrsnz? A. 255.255.255.192 B. 255.255.255.224 C. 255.255.255.252 D. 255.255.255.240 5. Bir networkte bir makinadan dierine bir paket gnderilir. Trl protokoller veri paketini gnderen bilgisayarda OSI takmnn alt katmanlarna doru ve alc bilgisayarda ise st katmanlarna doru tar. Protokoller paketin nereden gnderildiini nasl bilirler? A. Her bir paket kaynak ve hedef adresleri ieren bir trailer ierir. B. Her bir paket alarm sinyali, kaynak ve hedef adresleri ieren bir headera sahiptir. C. Her bir paketin veri ksm kaynak ve hedef adres bilgilerini tutar. D. Sadece kaynak ve hedef adresleri ieren header paketi ad verilen zel paketler ilk nce gnderilir. Header paketinin ardndan gnderilen tm paketler header paketindeki hedef adrese gnderilir. 6. Byk bir otomobil retim irketinde, alanlarn ar network trafik deerlerini anlamasna ve drmesine yardmc olmakla megulsnz. A yneticisi ile yaptnz grmelerden sonra, organizasyonun balangta sadece TCP/IP kullanacak ekilde yaplandrlmasna ramen yakn zamanda NetBEUI protokolnn de yklendiini fark ediyorsunuz. Aratrmalarnzdan sonra networkte neden iki farkl protokol kullanld size syleniyor: Network yneticisi, networkteki baz NetBIOS uygulamalarn destekleyeceklerini sylediler. NetBIOS desteine izin vermek iin, sistem yneticisi birka tane memuru, i istasyonlarna NetBEUI takmn eklemek ve NetBEUIy ilk srada bind etmek iin grevlendirmi. u anda yaad network performans probleminde sistem yneticisinin yapt hata nedir? A. istasyonlar sadece TCP/IP kullanlarak balanlabilecek kaynaklara bile, NetBEUInn bind listesinin en st srasnda olmasndan dolay ilk olarak NetBEUI zerinden balanmaya alyor. B. NetBEUIn bind listesinin en st srasnda olmasndan dolay, NetBEUI TCP/IP tabanl sunuculara balanmak iin kullanlyor ve farkl bir protokolle balanmak daha dk randman veriyor. C. NetBEUI, istemcilerin bir NetBIOS program ile iletiimi iin gereksizdir. D. Her ne kadar TCP/IP bir NetBIOS program ile iletiime geebilmesi iin NetBEUIye ihtiya duysa da NetBEUIn, beraber dzgn bir ekilde alabilmek iin TCP/IP protokol takmna direk olarak balanmas gerekir. 7. Integrated Network Computing firmas, ok eitli networkler iin kk yardmc programlar yazan yazlm gelitirme firmasdr. Bu irketin Windows Server 2003 networkn destekleme grevinin yannda, gelitirilen baz uygulamalarn grevlerini gerei gibi yerine getirdiklerini dorulamaktan sorumlusunuz. Bu testler srasnda baka bir yazlm gelitirme firmasnn eitli sistemler tarafndan kullanlan transport protokollerini yklemek zorundasnz. Windows Server 2003 zerinde farkl protokollerin bir arada almasn salamakla grevli olduunuzu dndnzde, protokol gelitiricilerin ortaya kardklar protokollerin hangi standarda gre gelitirilmesi gerekir? A. ODI B. DLC C. NDIS D. NetBIOS
36
Blm 1
8. Carpathian Worldwide Enterprises iin alyorsunuz. Bu irket dnyada 50den fazla idari ve retim lokasyonuna sahip. Bu organizasyonlarn boyutlar ok farkllk gsteriyor ve lokasyonlardaki bilgisayar saylar 15 ile 100 arasnda deiiyor. Sat operasyonlar ise says her birinde 2 ile 5 aras bilgisayar bulunan 1000den fazla tesis kullanyor. Carphatian ayn zamanda byk bir organizasyonla birleme aamasnda. Eer birleme planland gibi gerekleirse, her birinde en fazla 600er bilgisayarn bulunduu 100 tane daha retim ve ynetim lokasyonunu ve 2000 ek sat tesisini barndrmak zorunda kalacaksnz. irketin gelecekteki bykl ile ilgili elinizde herhangi bir say yok; fakat size irketin bymekte olduunu dikkate almanz gerektii syleniyor. Organizasyonun tamam iin private adresleme plan uygulamaya karar veriyorsunuz. Routerlarnzn yardan fazlas Variable Length Subnet Masking (VLSM) desteklemiyor. Bu durumda hangi subnet masklar kullanrdnz? (Uygun olanlarn tmn sein.) A. 255.255.224.0 B. 255.255.240.0 C. 255.255.248.0 D. 255.255.252.0 E. 255.255.254.0 9. Windows 2000, Windows XP Professional ve Windows Server 2003 bilgisayarlarndan oluan olduka byk bir network ynetiyorsunuz. Bu yap ierisinde DNS, DHCP ve WINS kullanmak istiyorsunuz. Ayrca tm bilgisayarlarn internete ve Windows olmayan makinelerin servislerine eriebilmeleri gerekiyor. Network merkezi bir lokasyondan yaplandrabilmeyi istiyorsunuz. Hangi network protokol tm bunlar salayabilir? A. NetBEUI B. NWLink C. TCP D. TCP/IP 10. Basit dosya yazc servisleri zerine odaklanm bir Windows NT networknn sistem yneticisisiniz. Networknz Windows Server 2003e upgrade etmek ve kullanclara Internet eriimi salamakla ykmlsnz. u anda networknz, iki lokasyon arasnda ynlendirme gerektirdiinden ve IP network tecrbe eksikliinden NWLink zerinden alyor. nternet eriimi iin network protokolnz TCP/IP olarak deitirmek istiyorsunuz. istasyonlarndan web sayfalarna ulaabilmek amacyla internet eriimi salamak iin OSI modelindeki hangi katmanlar gz nnde bulundurmalsnz? A. Network katman B. Application katman C. Presentation katman D. Transport katman 11. Asansr motorlar tamir eden ve reten bir irketin olduka eski bir networknde aralklarla meydana gelen iletiim sorunlarn gidermeniz isteniyor. Bu networkn TCP/IP zerinde alan thin-coax bir Ethernet Windows NT LAN olduunu saptadnz. irket yeni stabil platformun bu problemleri zeceini umarak sizden sistemi Windows Server 2003e upgrade etmenizi istiyor. Upgrade ilemini rahata gerekletirdiniz ve balangta her eyin dzgn ekilde iledii grlyor. Bununla birlikte iletiimde yaanan kesilme problemi yeniden ortaya kyor. Bu problem byk olaslkla OSInin hangi katmannda ortaya kyor? A. Physical katman B. Data-Link katman
37
C. Network katman D. Transport katman E. Session katman 12. Geni bir alan igal eden bir retim irketinde alyorsunuz. Ynetim size, daha nceden tedarik salaycs olarak hizmet veren, ehrin dier tarafndaki bir irketin satn alndn sylyor. Sizin Windows Server 2003 networknzn router araclyla yeni lokasyona balanmas gerekiyor. Ayn zamanda almasna devam etmesini isteiniz bir ka adet NetBIOS uygulamanz var. Bu kriterlerin karlanmasn salamak iin hangi protokolleri kullanabilirsiniz? A. NWLink B. TCP/IP C. XNS D. NetBEUI 13. Hentbol topu reten ve Intel PC tabanl bir Windows Server 2003 networkne sahip bir irkette alyorsunuz. Paketleme maliyetlerini drmek iin, irket ynetimi bir grafik tasarm firmasn satn ald. Yeni satn alnan irket Macintosh tabanl ve kendi aralarnda haberlemek iin AppleTalk protokoln kullanan bir networke sahip. Bu iki network, bilgilerin kolaylkla paylalabilmesi iin entegre etmek zorundasnz. Bu networkteki tm i istasyonlarnn iletiim kurabilmesi iin hangi protokol kullanmanz gerekir? A. AppleTalk B. TCP/IP C. NWLink D. NetBEUI 14. 175 makineden oluan bir network ynetiyorsunuz. Mdrnz bu networke 192.168.11.0 IP adresini ve varsaylan subnet mask olarak 255.255.255.0 atad. Bir adet WAN arabirimi ve sekiz adet LAN arabirimi olan bir router bu network organizasyonun WANna balyor. Bu network alt networke ayrmak ve bir ka tane adresi de ileride ihtiya duyulabilme olaslna karn drdnc subnete ayrmak istiyorsunuz. Subnet Ann 25, Subnet Bnin 50, Subnet Cnin 100 bilgisayardan olumasna karar verdiniz. Aadaki resimde, Seenekler kolonundan network adresleri ve subnet maskleri seerek uygun kutular ierisine yerletirin. Her bir e sadece bir kez kullanlabilir.
38
Blm 1
15. altnz ok uluslu irketin bir ka subnetten oluan Windows NT ve Novell NetWare bir network var. Birlikte alabilirlii salamak iin, NT networknde NWLink ve NetWare network iin IPX kullanyorsunuz. Windows NT networkn, ynetimin daha az masrafl olmas asndan Windows Server 2003e migrate etmeniz sylendi. Ynetimsel adan maliyetin dmesinin Active Directory kullanmnn sonucu olduunu biliyorsunuz. Bu yzden migration plannza bu servisi de dahil ediyorsunuz. Bu networkte Active Directory kurup kullanabilmek iin ncelikli olarak ne yapmanz gerekecek? A. Protokol TCP/IP ile deitirin. B. Active Directorynin bir kopyasn Windows 2003 Server bilgisayarlarna yklediiniz gibi NetWare sunucularna yklediinizden emin olun. C. Windows NT sunucular upgrade ederken bazlarna Active Directory ykleyebilmek iin domain controller olarak sein. D. Windows Server 2003n NetBIOS bileenleri ile balanabilirlii salamak iin NetBEUI ykleyin. 16. Windows Server 2003 ve Windows XP bilgisayarlarndan oluan byk bir internetworkn sistem yneticisisiniz. Bu networkde IP adresleri statik olarak verilmi. Sunucularnzdan bir tanesinin IP balant problemi var. Ayn LANde sunucu olarak alan dier iki bilgisayar daha var. Bu iki bilgisayar sunucuya ve intrenetworkdeki dier bilgisayarlara erimede herhangi bir sorun yaamyor. Aadaki diagram, sorudaki LAN dzenini gsteriyor. Sunucunun IP adresi 10.89.155.14dr. (ki seenek iaretleyin.)
Aadaki kt, sunucu tarafndan retilmitir ve bu sunucunun ynlendirme srasnda karar vermek iin kulland ynlendirme tablosunu gstermektedir.
39
Aadaki seeneklerden hangi ikisi birlikte LANn dier blmlerini etkilemeyecek ekilde sunucunun tm internetwork boyunca balanabilirliini salar? A. Sunucunun IP adresini 10.89.155.66 eklinde deitirin. B. Sunucunun default gatewayini 10.89.155.65 eklinde deitirin. C. Routern lokal IP adresini 10.89.155.1 eklinde deitirin. D. Sunucunun subnet maskini 255.255.255.128 eklinde deitirin. E. Sunucunun subnet maskini 255.255.255.0 eklinde deitirin. F. Routern lokal subnet maskini 255.255.255.192 eklinde deitirin. G. Dizst bilgisayarn IP adresini 10.89.155.67 eklinde deitirin. 17. Windows XP Professional ve Windows Server 2003 bilgisayarndan oluan bir internetworkn sistem yneticisisiniz. Ksmi olarak IP balant problemi yayorsunuz. Aadaki diyagrama bakn.
Hibir sunucuda ya da dier bilgisayarlarda herhangi bir statik yaplandrlm ynlendirme bilgisi yok. 10.250.12.10 adresine sahip sunucu, default gatewayi 10.250.12.1 olacak ekilde yaplandrlm. 172.16.45.0 subnetindeki hostlar default gatewayleri 172.16.45.1 olacak ekilde yaplandrlm. Birka ping ve trace route komutu altrdnzda unlar fark ediyorsunuz: 10.250.12.10 adresli host ve 172.16.45.0 subnetinde bulunan hostlar 192.168.1.100 hostuna ulaabiliyorlar. 172.16.45.0 subnetindeki hostlar birbirlerine ulaabiliyor. 172.16.45.0 subnetindeki hostlar 10.250.12.10 hostuna ulaamyor. 10.250.12.1 routerna Telnet oturumu ile balandnzda bu routern statik olarak 172.16.45.0/24 subnetine ynledirecek ekilde yaplandrldn fark ediyorsunuz. Aadaki admlardan hangisi yaanan bu balant problemini byk olaslkla zer? A. Router zerindeki statik route silin. B. 172.16.45.0 subnetindeki hostlarda, 10.250.12.0/24 subnetine statik route ekleyin. C. Dier router zerinde, 10.250.12.0/24 subnetine statik route ekleyin. D. 192.168.1.100 hostuna her biri iki subnetten birine doru ynlendirilmi iki statik route ekleyin. E. 172.16.45.0 subnetindeki hostlar doru default gateway ile yaplandrn. 18. Aadaki subnet masklardan hangileri C snf bir network iin 8 subnet ve her subnet bana 30 host salar? (Uygun olan tm seenekleri sein.) A. /27 B. /28 C. 255.255.255.240
40
Blm 1
D. 255.255.255.192 E. 255.255.255.224 19. /28 mask ile aadaki adreslerden hangileri ayn subnetteki hostlara atanabilir? (Uygun olan tm seenekleri sein.) A. 192.168.1.0 B. 192.168.1.17 C. 192.168.1.31 D. 192.168.1.16 E. 192.168.1.25 20. Aadakilerden hangileri /29 mask kullanmnn sonucu subnet snr adreslerindendir? (Uygun olan tm seenekleri sein.) A. 172.20.73.12 B. 10.8.1.212 C. 192.168.0.0 D. 192.168.1.16 E. 192.168.164.208
41
42
Blm 1
8. B, C, D. u an iin network adresi verilmesi gereken lokasyon saysnn toplam 3150dir. Bu lokasyonlarn herhangi birindeki maksimum host says ise 1000den az. Subnet maskin bu gereksinimleri desteklemesi gerekir. Bir A snf private adres havuzunu setiinizi varsayalm, 10.0.0.0/8. B, C ve D seeneklerinde verilen subnet masklar zetlenen gereksinimleri karlayacak ekilde bir adres havuzu salar. 255.255.240.0 subnet mask 4000den fazla subneti ve 4000den fazla hostu destekler. 255.255.248.0 subnet maski 8000den fazla subneti ve 2000den fazla hostu destekler. 255.255.252.0 subnet mask, 16,000den fazla subneti ve 1000den fazla hostu destekler. Bu subnet masklarn hepsinin de sonu vermesine ramen irketin bymekte olduunu gz nnde bulundurursak gelecek iin hazrlanmak adna byk olaslkla en iyi seim 255.255.255.252 subnet mask olacaktr. Belirtilen herhangi bir networkte 1000den fazla hostun bulunmas pek de muhtemel deildir. Aslnda, bir subnette bu kadar sayda hostun bulunmas, o subnette performans problemlerine yol aabilir. Bu yzden irket byd iin elde yayabileceimiz daha fazla subnetin bulunmas daha iyidir. 255.255.224.0 subnet maski yaklak olarak 2000 subneti destekler ki bu say tm network iin yetersiz kalacaktr. 255.255.254.0, 32,000den fazla subneti desteklemesine ramen her subnette sadece 500 hostu destekleyebileceinden yetersiz kalacaktr. 9. D. TCP/IP, bilgisayarlarn ve networklerin birbirleriyle balanmas iin en geni apta kullanlan protokoldr. nternette kullanlan tek protokoldr ve soruda bahsi geen protokoller ile uyumlu tek protokoldr. ok byk internetworklerde olduka iyi alr. 10. A, B, C, D. TCP Transport katmannda, IP Network katmanndadr ve ikisi birlikte nternette ynlendirme talepleri iin gereklidir. Bununla birlikte, ayn zamanda web sitelerine balanmak iin HTTP arlar salayan Internet Explorer ve Netscape gibi web tarayclarna ihtiya duyarsnz. Web tarayclar Application katmanndadr. Fakat herhangi bir utan uca iletiim OSI modelinin tm katmanlarn baz noktalarda kullanr. nk her bir katman zinciri tamamlamak iin altndaki ve stndeki katmanla iletiim kurar. 11. A. Physical katman spesifik olarak elektik, optik ve radyo sinyalleme ile ilgilidir. Yksek voltaj koaksiyel kablo zerindeki sinyallerde kolaylkla kesintiye sebep olabilir. Dier katmanlar yazlmla ilgili olduundan, tm i istasyonuna etki etmedike elektriksel parazitten etkilenmez. 12. A, B. NWLink ve TCP/IP ynlendirilebilir protokollerdir ve NetBIOS uygulamalar ile birlikte alabilirler. nk her ikisi de Microsoft versiyonlardr ve uygun iletiim arabirimine sahiptir. XNS ynlendirilebilir bir protokoldr; fakat Windows Server 2003de desteklenmez. TCP/IPnin kar konulamaz poplerliinden dolay networklerde XNS artk genel olarak kullanlmamaktadr. NetBEUI, NetBIOS programlarn desteklemesine ramen ynlendirilebilir deildir. 13. B. Macintosh bilgisayarlar kendi aralarnda iletiim kurabilmek iin AppleTalk kullansalar bile, bu bilgisayarlar ayn zamanda TCP/IP de altrabilirler. Bu yzden bu iki network birletirilirken AppleTalka ihtiya olmaz. AppleTalku sunuculara ekleyebilirsiniz ve bu iki farkl tipteki makine dosyalar paylaabilir. Fakat herhangi bir network iin mmkn olduunca kullanlan protokol saysn drmek performans asndan nemlidir. 14. 192.168.11.192 network adresi, 255.255.255.224 subnet mask ile Subnet A iin ok uygundur, nk 30 hosta kadar destek verir. 192.168.11.128 network adresi, 255.255.255.192 subnet mask ile Subnet B iin uygundur, nk 62 hosta kadar destek verir. 192.168.11.0 network adresi, 255.255.255.128 subnet mask ile Subnet C iin uygundur, nk 126 hosta kadar destekler.
43
15. A. Active Directory, ilevini yerine getirebilmek iin TCP/IPye ihtiya duyar. Ayn anda ayn networkte TCP/IP ve IPX kullanabilmenize ramen oklu protokol kullanm ok da faydal deildir. nk network iin daha fazla destek gerektirir. Active Directory NetWare zerinde almaz ve NetBIOS uygulamalar iin NetBEUI gerekli deildir. Sonu olarak Active Directory herhangi bir Windows Server 2003 bilgisayarna yklenebilir ve kaldrlabilir. Bir eit sunucu deil bir servistir. 16. B, D. Soruda verilen parametrelerle bu problemi zmenin en iyi yolu, sunucuya uygun bir adres verip (10.89.155.65) internetworkn kalan ksmna erimesini salamaktr. Bunun almas iin, sunucunun bu adresin kendi subnetinde olduuna inanmas gerekir. Sunucunun /26 subnet maskyla, drdnc oktetlerinde 1 ile 62 arasnda olan hostlar ile drdnc okteti 65 ile 126 arasnda olan hostlar farkl subnetlerdedir. Eer sunucu bu maski kullanrsa, default gatewayin farkl bir subnette olduunu dnr. Router ayn layer-2 segmentinde, bu yzden ayn network segmentinde olmas da gerekir. Sunucunun subnet maskn 255.255.255.0 (E seenei) olarak deitirmek router ile ayn subnette bulunacandan zm olarak grlse bile, routern dier tarafndaki Ethernet segmentine balanabilirliine etki yapacaktr. Byle bir durumda sunucu routern dier tarafndaki segmentte bulunan hostlara, router yoluyla deil de direk olarak ulamaya alacaktr. Routern lokal subnet maskn F seeneindeki gibi deitirmek ve sunucunun drdnc oktetini 65 ile 126 aralna ekmek (A seenei), sunucunun internetworkn geri kalan tm ksmlarna eriebilmesini salamasna ramen, routern lokal subnetteki dier iki host ile balantsn kesecektir. Bu yzden, sunucu iin en iyi subnet mask 255.255.255.128dir. nk tm hostlar drdnc oktetlerinin 1 ile 126 arasnda olmas ile ayn subnette yer alacaktr. Sunucuyla ayn subnette bulunan LANdeki dier aygtlar router araclyla iletiim kurabildiklerinden dolay, diyagram analiz ettikten sonra bu hostlarn /25 maski ile default gateway olarak 10.89.155.65i kullandklarn grrsnz. Ayn subnetteki tm hostlarn ayn subnet maska sahip olmalar gerekir. C ve F seeneindeki gibi sunucu ayarlar ile routern sunucuyla balants salanabiliyor olmasna ramen LANdeki dier iki hostun default gateway adresi 10.89.155.1 olacak ekilde yeniden yaplandrlmas gerekecektir. Sunucuyla dizst bilgisayar drdnc oktetleri 65 ile 126 arasna (A ve G seenei) getirilmesi suretiyle birbirleriyle olan ve sunucunun internetworkn kalan ksm ile olan balantsna etki etmemesine ramen, sunucunun 10.89.155.16 adresli bilgisayar ile balantsn kesecektir. 17. C. 172.16.45/0 subnetindeki hostlarn default gatewayleri zaten lokal router iin ayarlanm olduundan, uzak network iin statik ynlendirme eklemek bu hostlarn balantsna etki etmez. stelik bu subnetteki iki hostun default gateway yaplandrlmasnn doru olduunu biliyorsunuz, nk bu iki host 191.168.1.100 hostuna herhangi bir statik ynlendirme olmadan ulaabiliyor. Sol taraftaki router 172.16.45.0 subnetine ulaabilecek ekilde yaplandrldndan, problem sa taraftaki routern 10.250.12.0 subnetine ulaamamasna dayanyor. Sa taraftaki router zerinde bu amala bir statik ynlendirme yaplandrmak, tam anlamyla balanabilirlii salayacaktr. 18. A, E. Bir C snf adres iin 255.255.255.224 ve /27 her birinde 30ar hosttan toplamda 8 subneti meydana getiren subnet mask gsterir. 19. B, E. /28 maski tm be adrese uygulandnda, 192.168.1.0 bir host adresi olarak kullanlamayacak bir subnet aralnda grnr. Sadece 192.168.1.7 ve 192.168.1.25 adresleri /28 mask uygulandnda ayn subnetteki geerli host adresleridir. 192.168.1.16 ve 192.169.1.31 adresleri ayn subnette olmalarna ramen srasyla subnet snr adresi ve subnet broadcast adreslerini temsil eder ve bu yzden host adresleri atamas iin geersizdirler. 20. C, D, E. Her zaman iin 0 subnet kullanabileceinizi hatrlayn (C). 32 29 = 3 ve 2^3=8 olduundan, drdnc oktetteki subnet snrlar (32, 29dan byk ilk 8in kat saydr ve 32 8=4tr) 8in katlar olur (D ve E seenekleri).
2 TCP/IP Kurulum ve
Yaplandrmas
Temel TCP/IP Ayarlarnn Yaplandrlmas Gelimi TCP/IP Ayarlarn Yaplandrmak Network Bindings Yaplandrmak Network Trafiini Monitor Etmek Network Protokollerinde Sorun Gidermek zet Snav Esaslar Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar
Bu sistem iin kullanmak istediiniz IP adresi. stemcinin bulunduu network subneti ile uyuacak ekilde subnet mask.
ekil 2.1 Internet Protocol (TCP/IP) Properties diyalog kutusunu gsterir. Bu diyalog kutusunu getirmek iin Start > Control Panel > Network Connections > Local Area Connectionda Properties butonuna tklayp gelen ekrandan Internet Protocol (TCP/IP) seip Properties butonuna tklayn. Bilgisayarnzda birden fazla network kart varsa, her kart iin TCP/IP zelliklerini birbirinden bamsz olarak ayarlayabilirsiniz. Ne yapmak istediinize bal olarak otomatik yaplandrmay ya da metin alanlarn kullanrsnz.
48
Blm 2
tablosunu kullanarak istenen alcnn hedef adresi ile bu tablodaki hangi kaydn en iyi ekilde rttne karar verir. Komut satrnda route print komutunu kullann ve bunu default gatewayin nasl kullanld aklanrken takip edin. IP adresi 192.168.1.100 olan bir sunucuya ait aadaki rnek kty gz nne alalm.
Windows sunucunun ynlendirme tablosunu kullanma ilemini, hedef adres (giden IP paketinin headernda yer alr) ile her satrnn netmask kolonunu bit baznda AND ilemine (ANDleme ilemi de denir) sokarak gerekletirir. Ardndan sonu ayn satrn Network Destination kolonu ile karlatrlr. Eer bir eleme bulunursa, o satr kullanma aday olarak dnlebilir. Sadece tek bir aday bir hedef adres iin kullanlabilir. Eer birden fazla satr bu iletiim iin uygun durumda grnrse, netmask kolonundaki deerlerden binary 1 bit says en byk olan ve metric kolonundaki deeri en dk olan kullanlr. ANDleme ilemine aina deilseniz, u ekilde yapldn syleyebiliriz: Bir binary 1 biti sadece ve sadece iki binary 1 bitinin ANDlenmesiyle meydana gelebilir. Dier kombinasyon da 0 sonucunu retir. Bu temel prensibin sonucu olarak kullandnz maskin herhangi bir yerindeki 1 bitinin, hedef adresteki ayn pozisyona karlk gelen 1 biti ile sonucun ayn pozisyon biti 1 olacaktr. Buna ek olarak maskta 0 olan bit pozisyonlarna, hedef adresin o bit pozisyonuna karlk gelen deeri ne olursa olsun sonucun ayn bit pozisyonundaki deerini 0 yapacaktr. Bir paketin 192.168.1.200 adresine yneltilmi olduunu varsayalm. Bizim rnek ynlendirme tablomuzda, sunucu ilk satrn Netmask deeri ile 192.168.1.200 ANDleyecektir. Sonu 0.0.0.0 olacaktr. O satrn Network Destination kolonu ile karlatrldnda AND ileminin sonucuyla eleecektir. Aslnda, 0.0.0.0 ile ANDlendiinde farkl bir sonu reten bir adres yoktur. Bu da demek oluyor ki, ynlendirme tablosundaki ilk satr her zaman bir eleme retir ve kullanma adaydr. Bu sizin default routeunuzdur. Bu satr iin Gateway kolonunun altndaki adres bu sunucu iin default gatewaydir. Ayn admlar ynlendirme tablosundaki dier satrlar iin de uygulanr. Her bir satr iin hedef adres ile mask deerinin ANDlenmesi sonucu retilen deerle ayn satrn Network Destination kolonu karlatrlr. Bu rnekte sadece nc satr ek bir aday retecektir. Bunu 192.168.1.200 ve 255.255.255.0 deerlerinin binary karlklarn bit baznda ANDleyerek dorulayn (kendi kafanzdan ya da bir hesap makinesi ile decimal saylar ANDleyebilirsiniz; fakat iin temelinde yatan matematik hala binary matematiidir). Sonu olarak ynlendirme tablosunun nc satrnn Network Destination kolonundaki 192.168.1.0 deerini elde edersiniz. Ynlendirme tablosundaki dier tm kaytlar Netmask kolonundaki deerle hedef adres deerinin ANDlenmesi sonucu istenen sonucu vermeyecektir.
49
u anda hedef adrese ynelmek iin iki adet kullanlabilir ynlendirme girdimiz mevcut. Bu her iki kayt iin Netmask kolonlarndaki deerde bulunan binary 1lerinin saylar karlatrlr. lk kayt, masknda hibir 1 bitine sahip deilken, nc kayt 24 adet 1 bitine sahip olduundan bu nc kayt kullanlabilir ynlendirme girdimiz olacaktr. nc kaydn Gateway kolonunun deerinin sunucunun kendi IP adresi olduuna dikkat edin, bu durumda hedef aygt lokal subnette ve sunucu ile hedef default gateway araclyla deil de layer 2de iletiime geeceklerdir diyebiliriz. rnek olarak 10.10.10.1 bir hedef adresini dnn. Bu deer ile ynlendirme tablosundaki her bir kaydn Netmask kolonu ANDlendiinde, sonuc sadece ilk kaydn Network Destination kolonu ile eleir. Sonu olarak sunucu layer 2de ilk kaydn Gateway kolonundaki IP adresli default gatewayi ile eer gerekirse routern MAC adresi iin ARP talebinde bulunarak iletiime geecektir. Bir uzak subnette yer alyor ise hedef aygtn MAC adresi sunucu tarafndan kullanlamaz. nk router networkten sadece layer 2 headernda kendi MAC adresini grd frameleri okur. Bundan dolay, uzak bir aygtn MAC adresi iin adreslenmi olan bir frame router tarafndan yok edilebilir. Ancak hedef aygt iin layer 3 adresi gereklidir. Default gatewayin, paketleri kendi ynlendirme tablosundaki hedef IP adresine bakarak, hedef aygtn subnetine doru gndermesi beklenir. Bylece, (dier kaytlar bir ya da daha fazla 1 biti ierdiinden) dier hi bir kayt elemediinde kullanm iin default route seilir. Domain Name System (DNS), kullanclar iin network kaynaklarna ulamaya alrken IP adresleri yerine hiyerarik, kullanc dostu isimler kullanmasn salayan bir protokol ve servisler kmesidir. Bu sistem geni lde internette ve zel kurulularda kullanlr. Eer internet zerinde bir web taraycs, Telnet uygulamas, FTP yardmc arac ya da benzer TCP/IP yardmc aralar kullandysanz mutlaka DNS sunucu kullandnz rahatlkla syleyebiliriz. DNS protokolnn en iyi bilinen grevi kullanc dostu isimleri IP adresleri ile eletirmesidir. rnein, IP adresi 157.55.100.1 olan Microsofta ait bir FTP sitesi olduunu varsayalm. ou kullanc bu bilgisayara IP adresi ile deil de ftp.microsoft.com eklinde ularlar. Aklda tutulmasnn kolay olmasnn yan sra, isimler daha gvenilirdir. Saysal adresler birok nedenden dolay deiebilir, fakat bulunduu IP adresinin deimesine ramen bu ismin ayn kalmas gerekir. Eer istemcilerinizin DNS kullanmasn istiyorsanz, TCP/IP Properties diyalog kutusunda bir ya da daha fazla DNS sunucu belirtmelisiniz. DNS sunucular isim adres kaytlarn tutar ve istemcilere adres bilgileri ile etkin bir ekilde iletiim kurmak iin ihtiya duyduklar DNS servisini salar. DNS ile ilgili daha fazla bilgiyi ve DNS sunucularn nasl yaplandrlacan Blm 6da greceksiniz. Internet Protocol (TCP/ IP) Properties diyalog kutusunun temel elerini biliyorsunuz, imdi eitli ayarlarn nasl yaplandrldn gstereceiz.
DNSi grmezden gelmek ya da DNSe sadece st seviyede gz atmak gibi genel bir yaklam vardr. Bununla birlikte, 70-291 snav DNS ile ilgili zonelar, resolverlar ve protokoln dier temellerini kapsayacak ekilde belirli bir dzeyde bilgi sahibi olmay gerektirir. DNSi renmek size sadece snavda deil bir IT profesyoneli olarak kariyerinizde de yardmc olacaktr.
50
Blm 2
metrelerini mevcut bir DHCP sunucudan alacak ekilde yaplandrlmtr. Ayn subnet aralnda adreslere sahip DHCP kullanan ve DHCP kullanmayan makineleriniz olabilir. Bir istemciyi, DNS adresleri dnda dier istediiniz tm parametreleri DHCPden alacak ekilde de yaplandrabilirsiniz. Internet Protocol (TCP/IP) Properties diyalog kutusunda bir bilgisayar otomatik adresleme iin yaplandrmak amacyla iki seeneiniz vardr:
Bir bilgisayar TCP/IP yaplandrma bilgilerini DHCP sunucudan alacak ekilde yaplandrmak iin Obtain An IP Address Automatically radyo butonunu sein. Eer DHCPyi temel IP adresleme iin kullanyor ve ayn zamanda DHCPden DNS sunucu adreslerini almak istiyorsanz Obtain DNS Server Address Automatically radyo butonunu sein.
DHCP istemciler iin bu yaplandrmay yapmadan nce ortamda istemcilerin konuabilecei bir DHCP sunucuya ihtiyacnz var. Windows 98, 2000, XP ve Server 2003 bilgisayarlar yerleik olarak Automatic Private IP Addressing (APIPA) ad verilen bir zellie sahiptir. rnein, ortamda bir DHCP sunucu olmadan, istemcinizi DHCP kullanacak ekilde yaplandrdnzda bu bilgisayar B snf 169.254.x.y formatnda bir adres alacaktr. stemcinin bulunduu network bu adres havuzunda olmad mddete, istemci dier makinelerle iletiimde zorluk yaayacaktr. Kesinlikle sadece DHCP sunucuya eriemeyen istemci bilgisayarlar ayn adres aralndan adreslere sahip olacak ve sadece kendi aralarnda iletiim kurabileceklerdir. DHCP sunucuya balanamayan her bir istemci 169.254 aralndan bir adres alp broadcast eder. Eer, dier istemciler bu broadcast mesajna cevap vermezse, istemci manuel olarak yaplandrlm gibi bu adresi kullanr. Bununla birlikte istemci bu adresin gerek bir DHCP adresi olmadn bilir ve her 5 dakikada bir bu adresi yenilemeye alr (Blm 5de adreslerin kiralanmas hakknda daha ayrntl tartlacaktr, Dynamic Host Configuration Protocoln Ynetilmesi). stemci baarl olduu anda transparan olarak DHCP adresine geer. Windows Server 2003de Alternate Configuration ad verilen yeni bir zellik vardr. Alternate Configuration kullanarak, DHCP sunucunun uygun olmad bir durumda bilgisayarnzn 169.254 aralndan bir adres almas yerine alternatif statik yaplandrmaya gemesini salayabilirsiniz. Bu yaplandrmaya bakalm. Internet Protocol (TCP/IP) Properties diyalog kutusunu an. Bilgisayarn otomatik olarak bir IP adresi alacak ekilde yaplandrldndan emin olun. Eer bu ekilde yaplandrldysa, Alternate Configuration sekmesine tklayn. Varsaylan olarak Automatic private IP address radyo butonunun seilmi olduuna dikkat edin. User Configuration radyo butonunu sein. Artk alternatif statik yaplandrma bilgilerini default gateway, iki DNS ve WINS sunucu da dahil olacak ekilde girebilirsiniz. ekil 2.2 Alternate Configuration sekmesini gsterir. Bir alternatif yaplandrmay ne zaman kullanacanz merak etmi olabilirsiniz. ki ihtimal var: Birinci ihtimal; rnein Windows Server 2003 ykl tanabilir bir bilgisayarnz var ve DHCP destei vermeyen bir ISPye evirmeli balant ile balanmak istiyorsunuz. Dier bir olaslk ise yedek amaldr. Maliyeti ok yksek olmasna ramen DHCP sunucunun almad durumlar iin alternatif adres emasna sahip ikinci bir sunucuyu talepleri kabul edecek ekilde evrimii tutmak mmkndr. Burada birinci ve ikinci sunucular senkronize bir ekilde altrmak problem olacaktr. Her iki durumda da Alternate Configuration yeni ve uygulanabilir bir zelliktir. Eer DHCP sunucularnz varsa, bunlardan en az bir tanesinin yetkilendirilmi (authorized) olduundan emin olun. Microsoft dokmanlarna gre:
51
DHCP sunucu servisini altran bir Windows 2000 Server ya da bir Windows Server 2003 statik bir IP adresine sahip olmaldr. DHCP ya da DNS servisleri altran sunucularnzn DHCP istemci olmalarn beklemeyin. Altrma 2.1de bir Windows Server 2003 bilgisayarnn DHCP kullanan bir istemci olarak nasl yaplandrlacan reneceksiniz. Altrma 2.1: Bir Windows stemcisini DHCP Kullanacak ekilde Yaplandrmak 1. Start > Control Panel > Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayarak Properties sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP)yi sein.
4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. DHCP zelliini aktif hale getirmek iin, Obtain An IP Address Automatically radyo butonuna tklayn. 6. stemcinizin DHCP sunucudan DNS bilgisini alabilmesini salamak iin, Obtain DNS Server Address Automatically radyo butonunu sein. 7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 8. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.
IP address alanna, bilgisayar iin kullanmak istediiniz IP adresini girin. Windows Server 2003n bu adresin unique olduunu veya lokal subnet ile uyutuunu dorulamayacan hatrlayn. Kullanclarn bu alanla ilgili yapt en genel hatalar kendi networklerinde kullan-
52
Blm 2
dklar adres havuzu dndan bir adresin ya da networkte baka bir bilgisayar tarafndan kullanlmakta olan bir adresin girilmesidir.
Subnet Mask alanna, networknz iin uygun subnet mask deerini girin. Eer bu makinenin dier networklere ulaabilmesini istiyorsanz, bu bilgisayarn kullanaca gateway ya da routern adresini Default Gateway alanna girin. Networknzde DNS kullanyorsanz, Use The Following DNS Server Addresses radyo butonunu seip, Preferred DNS Server alanna, istemcinizin konumasn istedii ilk DNS sunucunun adresini girin. Bunun doru olarak yaplmas bir Windows Server 2003 network iin kritiktir. nk Active Directory servisleri DNSe ihtiya duyar (Bakn, Active Directory ile ilgili daha fazla bilgi iin Blm 3, Security Policy Ynetimi). Preferred DNS sunucu uygun olmadnda ya da bir DNS sorgusunu zmleyemediinde kullanlmak zere baka bir sunucuyu tanmlamak istiyorsanz (ki biz tavsiye ediyoruz), bu sunucunun adresini Alternate DNS Server alanna girin. (Ek sunucular sonraki ksmda greceimiz gibi Advanced TCP/IP Settings diyalog kutusundan da tanmlayabilirsiniz.) Preferred DNS sunucunun istemciye fiziksel olarak en yakn DNS sunucu olmas gerekir. Manuel DNS ayarlar, DHCP sunucudan alnan DNS ayarlarn geersiz klar.
Altrma 2.2yi networknzde denemeden nce networknzde dier host ve aygtlar tarafndan kullanlmayan bir IP adresi setiinizden emin olun.
Altrma 2.2 herhangi bir Windows Server 2003 bilgisayar zerinde bir IP adresinin manuel olarak nasl yaplandrldn gsterir.
Altrma 2.2: TCP/IPyi Manuel Olarak Yaplandrmak 1. Start > Control Panel > Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayn ve Propertiesi sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP)yi sein. 4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. Manuel olarak bir IP adresi girmek iin, Use The Following IP Address radyo butonuna tklayn. lgili alanlara IP adresini, subnet mask ve default gatewayi girin. 6. Bilgisayarnzn DNS sunucu ayarlarn manuel olarak yaplandrmak iin, Use The Following DNS Server Addresses radyo butonunu sein. lgili alanlara DNS sunucu adreslerini girin. 7. Internet Protocol (TCP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 8. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.
53
birden fazla IP adresine cevap vermek isteyebilirsiniz. Bu ekilde oklu IP adreslerini ekleme ilemi multihoming olarak adlandrlr. Ayn zamanda oklu default gateway adresleri tanmlayarak sisteminiz tarafndan gnderilen bir paketin en etkin gatewaye iletilmesini isteyebilirsiniz. Her iki ilemi de Advanced TCP/IP Settings diyalog kutusundaki IP Settings sekmesinden yapabilirsiniz. ekil 2.3 bu sekmeyi gsterir. IP Settings sekmesindeki seenekleriniz aadaki ekildedir: IP Address: IP Address listesi, u anda bu network adaptr iin tanmlanm olan IP adreslerini listeler. Bu listenin altndaki butonlar ile yeni adresleri ekleyebilir, nceden eklenmi adresleri dzenleyebilir ya da eklenmi olanlar kaldrabilirsiniz. Buraya yeni bir adres ekleyip tm network zellikleri diyalog kutularn (Local Area Connection diyalog kutusu da dahil olmak zere) kapattktan sonra burada yaptnz deiiklikler etkin hale gelecektir. Default Gateways: Default Gateways listesi almakta olduunuz bilgisayarda tanmlanm olan ynlendirme gatewaylerinin listesini gsterir. Eer birden fazla gateway belirtirseniz, sistem en dk (sizin belirleyebileceiniz) maliyete sahip olan gatewayi seer. Eer o gateway almyorsa ya da paketleri hedef sisteme ulatramyorsa, Windows Server 2003 bir sonraki en dk maliyetli gatewayi dener. Bu ilem paket hedefine ulancaya kadar ya da sistemde denebilecek gateway kalmayana kadar tekrar edilir. Eer iki farkl gateway iin maliyetler (metric) ayn ise, sunucu balant ykn paylatracaktr.
DNS sunucu listesi sadece yaplandrdnz network arabirimi tarafndan kullanlr. Bu sizin farkl networklere bal NICler iin farkl DNS sunucular kullanabilmenizi salar.
54
Blm 2
Append Primary And Connection Specific DNS Suffixes: Bu radyo butonu, bir DNS isteinde bulunulduunda primary DNS son ekinin ve herhangi bir balantya zel son ekinin otomatik olarak eklenip eklenmeyeceini kontrol eder. Bu u ekilde aklanabilir: Sizin primary DNS son ekiniz hsv.chellis.net ve balantya zel son ekiniz ise eng.hsv.chellis.net olsun. Bu radyo butonu aktif iken hawk isimli bir makinesi iin bir DNS sorgusu balattnzda, DNS ilk olarak hawk.hsv.chellis.net ve sonra hawk.eng.hsv.chellis.net iin bakacaktr. Append Parent Suffixes Of The Primary DNS Suffix: Bu onay kutusu (sadece Append Primary And Connection Specific DNS Suffixes seili iken aktifdir) resolver birincil son eke parent son ekini eklemeye zorlar. Bir nceki rnekte hawk, eng.hsv.chellis.net ve hsv.chellis. net iin bulunamazsa, DNSi, hawk chellis.net iin aramaya zorlayacaktr. Append These DNS Suffixes (In Order): Bu radyo butonu ve ilikili kontroller size DNS iin bir son ek listesi salar. Bunlar birincil ve balantya zel son eklerdir. Bunlar DHCP sunucu tarafndan verilen son ekleri bastrr. DNS Suffix For This Connection: Bu alan, sizin DNS sorgularnza eklemek istediiniz varsaylan balant son ekini tanmlamanz salar. Bu DHCP tarafndan tanmlanabilecek olan herhangi bir son eki bastrr. Register This Connections Addresses In DNS: Balangta iaretli olan bu buton DHCP istemciye kendi ad ve IP numarasn en yakn Dynamic DNS (DDNS) sunucuya kayt ettirmesini syler. (Dynamic DNS hakknda daha fazla bilgi iin Blm 6ya bakn) Use This Connections DNS Suffix In DNS Registration: Bu onay kutusu, istemcinizin kendisini DDNS sevisine kaydederken birincil ya da balantya zel DNS son eklerinin kullanlp kullanlmayacan kontrol eder.
Node Tipleri
Bir WINS istemcisinin nasl yaplandrldna gemeden nce, bilmeniz gereken baz kavramlar olduu sylenebilir. NBTnin, istemcileriniz bir WINS sunucu kullanacak ekilde yaplandrlmadka tipik olarak broadcast kullandn biliyorsunuz. Daha belirgin bir ekilde, istemcinin, istemci node tipine bal olarak kulland metot Tablo 2.1de grlmektedir. Node tipi, WINS sekmesindeki NBT ayarlar tarafndan belirlenir. Bir istemcinin node tipi Registry iinden deitirilebilir, fakat siz mmkn olduunca DHCP ya da varsaylan ayarlar kullann.
55
56
Blm 2
Default: Use NetBIOS Setting From The DHCP Server radyo butonu bu istemci iin manuel WINS ayarlar ya da LMHOSTS dosyas yerine DHCP sunucusunun ayarlarnn kullanlmasn zorlar. Eer bu buton seilmemise geerli herhangi bir ayar DHCP sunucusunun ayarlarn bastrr. Enable NetBIOS Over TCP/IP radyo butonu bir DHCP ayarn geersiz klmak iin seilir. Bu, istemcinin sunucularla transport olarak TCP/IP kullanarak NetBIOS trafiini karlkl olarak deitirmesini salar.
stemcinin NBT adn balangta Windows Setup srasnda girebilirsiniz.
Disable NetBIOS Over TCP/IP butonu NBTyi kapatr. Enkapsle edilse bile networknz tamamyla NetBIOS trafiinden temizlemek istediinizde kullanldr.
Altrma 2.3de bir Windows Server 2003 makinesinin bir WINS istemcisi olarak yaplandrlmas detaylandrlmtr. Altrma 2.3: Bir Windows Server 2003 Makinesinin Bir WINS stemcisi Olarak Yaplandrlmas 1. Start >Control Panel >Network Connections sein. 2. Local Area Connection simgesi zerinde sa tklayn ve Propertiesi sein. Eer birden fazla LAN adaptrnz varsa, yaplandrmak istediinizi sein. 3. Local Area Connection Properties diyalog kutusu grntlenir. This Connection Uses The Following Items listesinden Internet Protocol (TCP/IP) sein. 4. Properties butonuna tklayn. Internet Protocol (TCP/IP) Properties diyalog kutusu grntlenir. 5. Advanced butonuna tklayn. Advanced TCP/IP Settings diyalog kutusu grntlenir. 6. WINS sekmesine tklayn. 7. Add butonuna tklayn. TCP/IP WINS Server diyalog kutusu grntlendiinde, WINS sunucunuzun IP adresini girin ve Add butonuna tklayn. Listedeki ilk WINS sunucu, istemci makinesine fiziksel olarak en yakn WINS sunucu olmaldr. Ek WINS sunucu adresleri ekleyebilir gerekirse sunucularn sralarn istediiniz ekilde deitirebilirsiniz. 8. Advanced TCP/IP Settings diyalog kutusunu kapatmak iin OK butonuna tklayn. 9. Internet Protocol (TP/IP) Properties diyalog kutusunu kapatmak iin OK butonuna tklayn. 10. Local Area Connection Properties diyalog kutusunu kapatmak iin OK butonuna tklayn.
57
tlar var.Yllarca, bu farkl iletim sistemlerine yaplan balantlar her bir i istasyonunda yeni istemcilerin ve protokollerin eklenmesiyle para para bir yap meydana getirdi. Genel bir yaklam olarak networklerde network gelitike zel bir grup, networkn bir parasnn kontroln eline alr. Windows Server 2003n birlikte alabilirlik zellikleri (Windows NTnin daha nceden yapt gibi), belirli bir biimde oklu protokolleri altrabilme yeteneine sahiptir. Network Driver Interface Specificaion (NDIS) ve benzeri Transport Driver Interface (TDI, Network katman yerine Transport katmannda uygulanr) ile istediiniz kadar protokol altrabilirsiniz. Fakat bu kolaylk dier taraftan bir takm problemlere yol aabilir. nk oklu protokol kullanm bant genilii tketiminin artmasna sebep olur ve farkl noktalardan ynetim ihtiyalar dourur. Dier sistemleri devre d brakamayanz gibi, bu probleme, birlikte alabilirlii salayan yaklam yollar vardr. Global olarak kabul edildiinden, tm byk iletim sistemleri bugn TCP/IPyi destekler. Bu, networkten IPX ve NetBEUI gibi yava yava gzden kaybolmakta olan protokolleri karmanz salayacak elverili bir durum salar. Her bir protokol takm network zerine kendi ykn getirir. Networknzde oklu protokollerle Windows NT veya Windows 9.x makineleri varsa, servislerin her bir protokole zg rneklerini bu protokoller zerinde altran mekanizmaya ihtiya vardr. rnein, NWLink veya TCP/IP altryorsanz NetBIOS taleplerini karlayacak komple bir tarayc (internet taraycs deil) vardr. Bu eit fazlalk verimli deildir, sadece ek destek gerektirecek bir eylerin yanl gidebilecei yeni bir karmaklk getirir. Gelecekte OSI takmnn dier tarafndaki protokol birlikte alabilirliini greceksiniz. XML ve HTTP gibi teknolojileri kullanarak, bir network istemcisi farkl platformlar temelindeki kaynaklara eriebilir. En iyi uygulama, mmkn olduunca ayn trden istemciler ile networknzde minimum sayda protokol ve istemci kullanmn amalar. Her ne kadar daha ok protokol ve daha ok istemciyi destekleme fonksiyonellii olsa da buna gereksinim duymayacak bir yaplandrma daha iyidir. Windows Server 2003, bir protokol yklediinizde ya da bir NIC iin Properties diyalog kutusundaki onay kutularn iaretlediinizde otomatik olarak binding oluturur. Bu bindingleri manuel olarak deitirebilirsiniz; rnein, internete bal adaptrlerden NetBEUI ve NWLink protokollerinin unbind edilmesi genel olarak iyi bir uygulama olarak dikkate alnr. Windows Server 2003 binding listesine Network Connections klasr iinden ulaabilirsiniz. Network Connections klasrn amak iin Start > Control Panele tklayn ve Network Connections zerinde sa tklayarak Open komutunu verin. Lokal NICi (Local Area Connections simgesi gibi) seip Advanced menusnden Advanced Settingsi sein. ekil 2.6daki Advanced Settings diyalog kutusunu greceksiniz. Bu diyalog kutusu iki ayr alana ayrlr. Connections listesi bilgisayarnzdaki mevcut balantlar gsterir. Bunlar, servisler tarafndan kullanlma srasna gre listelenir. rnein, ekil 2.6da TCP/IP servisleri ilk olarak Local Area Connection kullanacaktr. Eer istenen ilem bu balant zerinden gereklemezse, servisler Remote Access connections kullanacaklardr. Bu balantlar seip listenin sa tarafndaki yukar ve aa ok tularn kullanarak sralarn deitirebilirsiniz.
Binding listesi size, hangi protokol ve servislerin seilen balantya eklendiini gsterir. rnein, ekil 2.6 File and Printer Sharing for Microsoft Networks ve Client for Microsoft Networks
58
Blm 2
servislerinin LAN adaptrne eklendiini ve NWLink ve TCP/IP protokollerinin, File and Printer Sharing for Microsoft Networks ve Clients for Microsoft Network servislerine eklendiini gsterir. Bu diyalog kutusu size bir balant zerinde hangi servislerin mevcut olduunu syler. Her bir servisin altnda bu servisin kullanabilecei protokolleri grebilirsiniz. Servislerdeki onay kutularn onaylamak ya da onay iaretlerini kaldrmak, bu ilemi Adapter Properties diyalog kutusundan yapmakla ayn eydir. Burada herhangi bir bir protokol her bir servis baznda ayr ayr aabilir ya da kapatabilirsiniz. Ayn zamanda kullanlan protokollerin srasn kontrol edebilirsiniz. Bu deerli bir optimizasyondur nk birok protokol bir eit tekrarlama davranna sahiptir. Herbir servis iin en sklkta kullanlan protokolleri listenin en stne yerletirecek ekilde bindingi deitirmek, servislerin yanl bir protokol iin asla zaman harcamamas anlamna gelir; bunun yerine bu servisler en muhtemel seenei deneyecekler, sadece ilk protokoln baarz olduu durumda dier protokoller deneneceklerdir.
59
drdnzda, bufferdaki verileri, ilgilenmediklerinizi capture filters uygulayp filtreleyerek deiik yollarla analiz edebilirsiniz.
60
Blm 2
Windows Server 2003 ayn zamanda System Monitor ad verilen bir arac ierir. Bu ara bilgisayardaki hemen hereyle ilgili izleme yapar. lemci, bellek, disk ve en nemlisi network, System Monitor yardmc arac tarafndan izlenebilir. System Monitor, network trafii ile ilgili Network Monitor kadar fazla bilgi salamaz; fakat networknzn durumu ile ilgili hzl ve grafiksel bir sunum elde edebileceiniz harika bir aratr. Birok durumda Network Monitorn sunduu karmak bilgileri zmekten ok daha kolay ve hzldr. Sonraki blmlerde, network trafiini izlemek iin Network Monitor ve System Monitorn nasl yklendiini ve kullanldn greceksiniz.
61
Network Monitor ilk altrdnzda, sizden monitor etmek istediiniz network semenizi isteyecektir. Greceiniz network listesi yklediiniz NIC saysna baldr. Eer sadece bir NICiniz varsa, Network Monitor sizin iin otomatik olarak doru network seer ve Network Monitor penceresini grrsnz. Aadaki liste Network Monitor ana ekrannda (Windows mensn kullanarak zel blmleri ekleyip kaldrabilirsiniz) greceklerinizi aklar:
En st sol kedeki Graph blm, saniyede yakalanan frame, byte, broadcast, multicast saylarn ve network utilizasyonunu ubuk grafik eklinde gsterir. Bu blm sadece bir capture ilemi devam ederken gncellenir. Sol tarafnda ortasnda yer alan Session Stats blm o anki oturum srasnda izlenen balantlar hakkndaki bilgileri gsterir. Bu bilgiler kaynak, hedef network adresleri ve iki u nokta arasnda her iki yne gnderilen paket saylar bilgilerini ierir. Pencerenin sa tarafnda yer alan Total Stats blm, Network Monitorun yakalad ve cature buffernda yer alan toplam unicast, broadcast ve multicast frame saylar gibi ilgin istatiskleri listeler. Session Stats blm gibi bu blmn ierii de izleme srasnda devaml gncellenir. Pencerenin en altnda yer alan Station Stats erevesi Network Monitor alan bilgisayarda neler olduunu anlatr.
imdi Network Monitor penceresindeki farkl blmlerle ilgili bir fikriniz var, sonraki ksmda greceiniz gibi veri yakalamaya balayabilirsiniz.
Verileri Yakalamak
Verileri yakalarken (capture ederken) (Altrma 2.5de detaylandrlan ilem), aslnda sadece byk bir buffer gelen paketlerle doldurursunuz. Bu noktada Network Monitor bu verileri analiz etmeye almaz. Capture ilemini kontrol etmek iin ara ubuu butonlarn (standart start, stop ve pause sembollerini kullanan butonlar ile) ya da Capture mensndeki Start, Stop, Stop and View, Pause ve Continue komutlarn kullanabilirsiniz. Bir capture balatmak ve durdurmak olduka basit olduu halde, buffern varsaylan boyutu olan 1Mb artrma ihtiyac duyabilirsiniz. Bunu Capture > Buffer Settings komutunu kullanarak yaparsnz. Bir capture ilemini balatnca, Network Monitor, buffer dolana kadar ya da capture ilemi durdurulana kadar almaya devam eder. Bu noktada verileri grebilir ya da daha sonra analiz etmek zere File > Save As komutuyla diske kaydedebilirsiniz. Altrma 2.5te, bir sonraki altrmada grnt filtrelerini denemek iin Network Monitor capture buffer doldurmak iin kullanacaksnz.
Nvidiann rettii video kart olan bilgisayarlarda Network Monitor alrken baz problemler yaanabilir. Belirli Nvidia GeForce src uygulamalar, Network Monitorn de kulland ayn isimde nview.dll dosyasn ykler. Bu problemi zmek iin Windows Server 2003 Study Guide by Lisa Donald ve James Chellis (Sybex, 2003)de tarif edildii gibi, boot.ini dosyasnda /basevideo switchini kullann.
Verileri Grntlemek
Bir capture ilemini sonlandrdktan sonra, Capture > Display Captured Data komutuyla, toplanan verileri grntleyebilirsiniz. Bu komut yeni bir pencere aar: Frame Viewer (ekil 2.8). Bu pencere yakalanan tm frameleri, kaynak ve hedef adresleri, ne zaman yakalandklar (capture ileminin balangc ile ilgili olarak), network tipleri ve kulland protokol zetleyecek ekilde listeler. Tm bu verilerin listelenmesi ilgin olmasna ramen sadece istediiniz verileri seecek ekilde Network Monitor filtreleme fonksiyonlarn kullanmaya ihtiyacnz olacaktr.
62
Blm 2
Altrma 2.5: Network Monitor ile Verileri Yakalamak (Capture Etmek) 1. Altrma 2.4de tarif edildii gibi Network Monitor ykleyin. Start > Administrative Tools > Network Monitor seerek Network Monitor uygulamasn an. Network Monitor uygulamasn ilk kez kullandnzdan, izlemek istediiniz arabirimi semeniz istenecektir. Bu altrmaya devam etmek iin Local Area Connection sein. 2. Capture > Buffer Settings komutunu kullanarak capture buffern boyutunu 2Mba karn. Bu size 4096 framelik veri iin alan salar. 3. Capture > Start komutuyla bir capture balatn. Capture devam ederken Network Monitor altrdnz bilgisayarda bir web tarayc kullanarak bir web sayfasna istekte bulunun. (Bu adm bir sonraki altrma iin gerekli.) 4. Buffer dolana kadar network Monitorn almasna izin verin. Total Stats blmnn Captured Statistics ksmnda yer alan # Frames in Buffer satrnda bunu grebilirsiniz. Ardndan Stop butonuna tklayarak capture durdurun. 5. File > Save As komutuyla capture buffer kaydedin. Sonraki altrma iin buna ihtiyacnz olacak.
Herhangi bir framein ieriine bakmak isterseniz, o frame zerine ift tklayn. Bu Frame Viewer penceresi iinde iki yeni blmn grntlenmesine yol aar: Ortada Detail blm ve alt tarafta Hex blm (ekil 2.9). Bu size herhangi bir yakalanm frame ieriini bit bit kontrol edebileceiniz kolay bir yol salar.
63
Filtreler Kullanmak
Network Monitorde iki filtre tipi oluturabilirsiniz:
Capture filtreleri istenmeyen paketleri cature buffera kaydedilmeden nce eler. Display filtreleri baz paketleri grntlerken dierlerini grntlemez.
Altrma 2.5deki capture buffer kullanarak, Frame Viewerda grntlenen verileri kstlamak iin display filtreleri oluturabilirsiniz.
64
Blm 2
Altrma 2.6: Bir Display Filtresi Oluturmak 1. Bir nceki altrmadan sonra Network Monitor kapattysanz, tekrar an ve kaydettiiniz capture buffer File > Open komutuyla tekrar an. Bunun dnda Capture > Display Captured Data komutunu seerek Frame Viewer penceresini an. Capture bilgisi nceki altrmadaki ile ayn olmaldr. 2. Frame Viewer penceresi aldnda, Display > Filter komutuyla Display Filter diyalog kutusunu an. 3. Protocol == Any satrn seerek Edit Expression butonuna tklayn. Expression diyalog kutusunun Protocol sekmesini greceksiniz. 4. Disable All butonuna tklayarak tm protokolleri kaldrn. Filtre disable edilen protokolleri eler. 5. Disabled Protocols listesinden HTTPyi seip Enable butonuna tklayn. u anda etkinletirilen tek protokoln HTTP olmas gerekir. stee bal olarak ANY <--> filtresini seip Edit Expression butonunu kullanarak filtreye bir adres kural ekleyin. Normalde buna ihtiyacnz olmaz, nk Network Monitorn Windows Server 2003 versiyonu bir anda sadece sizin bilgisayarnzla bir dier bilgisayar arasndaki trafii izler. 6. inizi bitirdiinizde Display Filter diyalog kutusunu OK butonuna tklayarak kapatn. Frame Viewer penceresi yeniden grnr, fakat frame numaralarnn (en soldaki kolon) birbirlerini takip etmediklerine dikkat edin - filtre, istediiniz ltlerle uyumayan herhangi bir trafii eliyor. 7. Bir framein ieriini grntlemek iin zerinde ift tklayn. ifrelenmemi HTTP paketlerine baktnz iin ak bir biimde istek ve cevaplar grebilirsiniz.
65
Yerel bilgisayarnzdan ya da networknzdeki uzak bir bilgisayardan veri toplamak. Tek bir bilgisayardan veri toplayabildiiniz gibi ayn zamanda birok bilgisayardan da veri toplayabilirsiniz. Verileri topladka gerek zamanl olarak grntleyebilirsiniz ya da veriler topladktan sonra grntleyebilirsiniz. Toplanacak verinin seiminde spesifik nesne ve sayalar ile tam kontrol salar. Veri toplamak iin kullanlacak zaman aral ve kullanlacak zaman periyodu gibi rnekleme parametrelerini seme. Verinin hangi formatta grntleneceine karar verme grafik, histogram ya da rapor grnts. Veriyi grntlemek iin HTML sayfalar oluturmak. zlenen verinin baka bilgisayarlara performans izlemek iin export edilmesi amacyla zel yaplandrma oluturmak.
System Monitor ilk altrdnzda ekil 2.12de grld gibi varsaylan olarak sayacn izlendiini grrsnz (System Monitorun nceki versiyonu balangta varsaylan olarak hibir sayac izlemezdi). Baz kullanl performans verilerini izleyen varsaylan sayalar:
Memory > Pages/Sec PhysicalDisk > Avg. Disk Queu Length Processor > % Processor Time
Bu kitapta performans nesnesi > saya eklinde bir format kullanyoruz. rnein Memory > Page/Sec, Memory performans nesnesini ve Page/Sec sayac temsil eder.
Sayalar bu blmn System Monitorun Organizasyonu ksmnda reneceksiniz. Her bir saya System Monitor yardmc aracnn alt ksmnda listelenir. Saya listesinin hemen zerindeki alanlar listede vurgulanan sayala ilgili aadaki verileri ierir:
66
Blm 2
Last alan en gncel veriyi grntler. Average alan sayan ortalama deerini gsterir. Minimum alan saya iin kaydedilen en kk deeri gsterir. Maximum alan saya iin kaydedilen en byk deeri gsterir. Duration alan, sayacn ne kadar zamandr veriyi izlediini gsterir.
zleyen ksm System Monitorun nasl organize edildiini, veri izlemek iin sayacn nasl eklendiini ve networkle ilgili sayalarn nasl yaplandrldn aklar.
Yerel bilgisayar ya da dier bilgisayar iin sayalar. Performans nesneleri. Tm sayalar ya da zel sayalar. Tm rnekler ya da seilen rnekler.
Varsaylan olarak System Monitore eklenen her saya, yerel bilgisayar izler. Bununla birlikte bir uzak bilgisayardaki bilgisayarda sayalar izlemek istediinizi belirtebilirsiniz. Bu seenek size tek bir System Monitor oturumu ile birka bilgisayara ait performans verilerini izleyebilmenizi salar. Windows Server 2003 sistem performansna etki eden sistem kaynaklarn performans nesneleri ad verilen kategorilere ayrmtr. Tm bu performans nesnelerinin toplam sizin sisteminizi temsil eder. Sunucunuzun yaplandrmasna bal olarak, farkl performans nesnelerinin listelendiini grrsnz. Performans nesnelerine rnek olarak Paging File, Memory, Process ve Processor verilebilir. Her bir performans nesnesi kendisi ile ilikilendirilmi bir grup sayaca sahiptir. Sayalar, performans nesnesi ile ilgili spesifik bir bilgiyi izlemek iin kullanlr. rnein Memory performans nesnesi size Page Reads/Sec ve Page Writes/Sec gibi sayalar izleme olana salar.
Instance Her bir performans nesnesi bir ya da birden fazla rnek ierir. Memory ve Cache gibi performans nesneleri her zaman bir instanecea (rnee) sahiptir. Print Queue ya da Processor gibi performans nesneleri eer bilgisayarnzda birden fazla yazc kuyruu ya da ilemci ykl ise oklu rneklere sahip olabilir. Instance seeneini kullanarak, tm rnekler iin tm verileri rnein tm yazc kuyruklar- ya da Laser yazc kuyruu gibi spesifik rnekleri izleyebilirsiniz.
Saya Eklemek
System Monitore ek sayalar eklemek iin aadaki admlar kullann: 1. System Monitorde, ara ubuundan Add butonuna tklayn. Bu Add Counters diyalog kutusunu getirir.
67
2. Add Counters diyalog kutusunda, zel bir sayala ilgili bilgi grmek iin, sayac seip Add Counter yerel bilgisayar izlemek iin Use Lodiyalog kutusunun sol alt kesindeki Explain butonuna tklayn. System Monitor seilen sayala ilgili bir metin grntleyecektir. cal Computer Counters radyo butonunu sein. Alternatif olarak, Select Counters From Computer radyo butonunu setikten sonra bir bilgisayar iin spesifik sayalar belirlemek iin alr pencereden o bilgisayar sein. Ynetimsel izinlere sahip olduunuz uzak bilgisayarlar da izleyebilirsiniz. Bu seenek izlemeye altnz bilgisayara System Monitorn ek yk getirmesini istemediiniz durumlarda kullanldr. 3. Performans nesnesini alr pencereden sein. 4. Tm ilgili sayalar takip etmek iin All Counters radyo butonunu sein ya da spesifik sayalar aadaki listeden semek iin Select Counters From List radyo butonunu sein.
Ayn performans nesnesine ait birden fazla sayac seerken, ard arda gelen sayalar iin Shift ya da ard arda gelmeyen sayalar iin CTRL tuunu kullanabilirsiniz.
5. Tm ilgili rnekleri takip etmek iin All Instances radyo butonunu sein ya da spesifik rnekleri aadaki listeden semek iin Select Instances From List radyo butonunu sein. 6. Performans nesneleri iin Add butonuna tklayarak sayalar ekleyin. 7. 2den 6ya kadar olan admlar izlemek istediiniz ek saya iin tekrarlayn. Bitirdiinizde Close butonuna tklayn. System Monitoru kullanarak, herhangi bir Windows Server 2003 makinesi tarafndan oluturulan trafii izleyebilir ve optimize edebilirsiniz. Network arabimini (sizin network kartnz) ve bilgisayarnza yklediiniz network protokollerini izleyebilirsiniz.
Sadece ihtiyacnz olan protokolleri kullann. rnein TCP/IP kullann, NWLink ve NetBEUI kullanmayn. Eer birden fazla protokol kullanmaya ihtiyacnz varsa, en sklkta kullanlan protokolleri bind listesinin en st srasna getirin. Bandwidthi etkin ekilde kullanabilecek network kartlar kullann. rnein 16-bit kartlar yerine 32-bit kartlar kullann. Daha hzl network kartlar kullann. rnein, akll (CPU tabanl) ve/veya daha geni buffera sahip network kartlar kullann.
68
Blm 2
Altrma 2.7: Network Subsystem zlemek 1. Eer Network Monitor ak deilse Start > Administrative Tools > Performance komutuyla an. 2. System Monitor penceresinde, ara ubuundan Add butonuna tklayn. 3. Add Counters diyalog kutusunda, aadaki performans nesnelerini ve sayalar sein:
Performans Objects alr penceresinden Network Interfacei sein, Counter liste kutusundan Bytes Total/Sec seip Add butonuna tklayn. Performance Object alr pencere kutusundan TCPv4 sein, Counter liste kutusundan Segments/Sec seip Add butonuna tklayn.
4. Close butonuna tklayn. Bu sayalarn grafie eklendiini grmeniz gerekir. 5. Domain Controllernzdan bir member sunucuya dosyalar kopyalayarak bir aktivite meydana getirin. 6. Network Interface > Bytes Total/Sec ve TCPv4 > Segments/Sec sayalarna dikkat edin. Bu saylar kmlatif deerlerdir. Bu deerleri network aktivitenizi belirlemek iin referans olarak kullann.
69
ekten zordur. Fakat problemin kaynan net olarak tanmlayabilirseniz, zaman kaybetmenize yol aacak dolambal yollara girmeden etkin bir ekilde problemi zebilirsiniz. zleyen ksmlarda, network problemlerinin nasl tanmlanacan ve toplanan verilere dayanan bir plann nasl hazrlanacan reneceksiniz.
70
Blm 2
network trafiini mi etkiliyor? Bu eit sorular cevaplamak problemin gerekletii yeri ayrmada yardmc olur, bylece siz de tm abanz o alana younlatrabilirsiniz. rnein Texasta bir danmanlk hizmeti verirken, o blgede ziyaret ettiimiz kullanclar Internetten gelmesini bekledikleri e-postalarnn gelmediklerinden ikayet etmeye balamlard. Exchange sunucuyu kontrol ettiimizde herhangi bir problemin olmadn grdk. Bunun dnda ne deimi olabilirdi? Posta sunucusu iin DNS kaydnn ISPdeki bir kii tarafndan yanl bir ekilde deitirilmi olduu, bu yzden bu kaytlar dzeltilmeden e-posta alamayacaklar sonucu ortaya kt. Problemin herkesi etkilediini bilmek baka bir sebebi dnmek yerine doru zm bulmakta bize yardm etmiti.
ekil 2.14:
ipconfig komutunu bu modda kullanarak, DHCP kullanyor olsanz bile hzl bir ekilde bilgisayarnzn IP yaplandrma bilgilerini grntlemek iin kullanabilirsiniz. rnein ortamda bir DHCP sunucu olmasna ramen bir makinenin IP adresinin olmadn grrseniz, bu durum DHCP sunucunun Active Directoryde authorize edilmemi olma ihtimalini gsterir.
71
Sorun zcleri zel olarak ilgilendirecek bir switch var: /all. /all switchi ipconfig aracnn tm adaptrlerle ilgili bildii tm IP yaplandrma bilgilerini grntlemeye yarar. Normalde listelenen DNS bilgisi ve IP adresi yannda, ayn zamanda her bir NICin MAC adresini, (eer varsa) WINS yaplandrmasn ve DNS sunucu adreslerini de listeler. ekil 2.15 rnek ipconfig/all kts grntler.
Eer networknzn IP yaplandrmasnn ne ekilde olmas gerektii konusunda yeterli derecede bilgi sahibiyseniz basit bir ipconfig komutu genelde problemin nerede var olduunu size syleyecektir. rnein, DHCPden otomatik olarak IP almas gereken bir bilgisayarn DHCPyi kullanacak ekilde yaplandrlmadn ya da tam tersini grebilirsiniz. Networknzn detaylar hakknda bilgi sahibi deilseniz bile, buna ramen bilgisayarnzn kulland IP adreslerinin ve subnet maskinin nasl bulunduunu bilmek yararl olabilir. Altrma 2.8de ipconfig aracn kullanarak u andaki IP konfigrasyonunuzu grntleyeceksiniz. Altrma 2.8: Ipconfig ile Yaplandrmalar ncelemek 1. Start > Run setikten sonra Run diyalog kutusunda cmd yazp OK butonuna tklayarak bir komut satr penceresi an. 2. Komut satrnda ipconfig yazn. Balant spesifik DNS suffix, IP adresi, subnet mask ve default gateway adreslerini ieren ksaltlm bir bilgi greceksiniz. 3. ipconfig/all yazn. Tm adaptrlere ait bilgileri de (eer birden fazla adaptrnz varsa) ierecek ekilde daha fazla bilginin grntlendiine dikkat edin.
72
Blm 2
Windows tracert komutunun Linux/Unix karl traceroutedr. traceroute komutu ICMP yerine UDP kullanr.
deildir. nk birok router, denial of service ve dier ataklar iin kullanlabilen ICMP trafiini bilerek bloklar.
Ping Arac
Ping yardmc aracn varsaylan modda kullanarak uzak bir bilgisayar test etmek istediinizde bilgisayarnz drt adet ICMP ping paketi gnderir ve her bir pakete ilikin cevap paketinin ulamasndan nce gerekli zaman hesaplar. Bittiinde, minimum, maksimum ve ortalama gidi dn sreleri ve cevap alnmayan ping paketlerinin yzdesini gsterecek ekilde size kullanl bir zet sunar. ekil 2.16 206.13.28.12 IP adresine sahip bir makineye ping atlmasn gsteriyor.
Bu size ne anlatyor? lk olarak gnderdiiniz tm paketlerin ulam olduunu ve bu makine ile hedef makine arasnda yaklak olarak 5 hop bulunduunu grebilirsiniz. Time to live ya da TTL deeri 250 olduundan bu makine ile hedef makine arasnda 5 host olduunu syleyebiliyoruz. Pingin gnderdii paketler iin TTL deeri varsaylan olaak 255e ayarlanmtr. Paketleri ynlendiren her bir router TTL deerinden 1 karr. Bir paketin TTL deeri 0 (sfr) olduunda o paket atlr.
73
Daha da nemlisi bu ping oturumu, verinin sizin makineniz ile hedef makine arasnda normal olarak aktn gsterir. nk tm ping paketleri geldi (0% loss olduuna dikkat edin). Bu iki link arasndaki herhangi bir network probleminin sebebinin ynlendirme problemi olmadn rahatlkla syleyebilirsiniz. Paketler normal bir ekilde buras ile kar taraf arasnda akyor. Bu veriyi kullanarak bir problemi nasl tespit edersiniz? Uzak makineden herhangi bir paket geri gelmeden pingin time out (zaman am) olduu durumda en ak bir ekilde bunu syleyebilirsiniz. Girdiiniz IP adresinin yanl olmas ya da balantnn iki u noktas arasnda bir eylerin trafii bloke etme durumu olabilir. Benzer ekilde yksek paket kayp sinyali, makineler arasndaki yolda herhangi bir yerde bir hatann olduunu syler.
Tracert Arac
Lavabonuz ya da duunuz almadnda su tesisatnzn bozulduunu syleyebilirsiniz, fakat suyun akmamas size tkankln nerde olduunu sylemez. Ayn ekilde, ping yardmc arac paketlerin akp akmadn size syler fakat problemin nerde olduunu sylemez. Windows Server 2003de tracert (orijinal Unix srmnden sonra traceroute eklinde telaffuz edilir) adnda bir ara vardr. Bu ara her bir IP paketinin TTL deerini kullanarak paketlerin uzak sisteme giderken getii yolu haritalandrr. Hatrlayacak olursak bir paketi ynlendiren her aygt o paketin TTL deerini drr. Tracert TTL deeri 1 olan bir ICMP ping paketi gndererek balar. Bu paketle karlaan ilk router ya da gateway bir ICMP cevab gnderir, ping paketinin TTL deerini bir azaltr, dikkat edin u anda TTL deeri 0 ve paket atlr. Bu noktada tracert TTL deeri 2 olan ikinci paketi gnderir. lk aygt bu paketi cevaplar ve TTL deerini bir drdkten sonra paketi bir sonraki hopa ynlendirir. Zincirdeki sonraki aygt ping paketini cevaplar ve TTL deerini bir drr ve orijinal paketi atar. Bu tracertn kademeli olarak TTL deerini artrmasyla, paket istenen son hedef hosta ulancaya kadar devam eder. Paketleri gnderdike, tracert yol boyunca cevap veren ve vermeyen hostlar ieren bir log tutar. Bu bilgiyi tkanmann nerde olduunu ortaya koymak iin kullanabilirsiniz. rnein ekil 2.17deki tracert oturumuna gz atn. Grebildiiniz gibi tracert baarl bir ekilde tamamland. Bir hata olursa, yol zerindeki ilgili hopda bir time-out greceksiniz.
Pathping Arac
Pathping arac ping ve tracert aralarnn tm fonksiyonelliini salar, bunun yannda kendine has zelliklerini bu karma ekler. ekil 2.18de rnek bir pathping kts gsterilmektedir. ktdaki ilk liste, paketin hedefine ularken getii yoldur. Bu tracert komutunun kts ile benzerlik gsterir. Sonraki listenin grntlenmesi iin belli bir sre beklemek zorundasnz (hop bana 25 saniye). En sadaki iki kolon en nemli bilgileri salar. Address kolonu node adresini ya da ulalan hopeun link adresini gsterir. This Node/Link LAST/Sent % kolonu yolda o noktada meydana gelen paket kaybn iaret eder. Tipik olarak paket kaybnn 0 olmas gerekir, eer ynlendirme problemleriniz varsa hat boyunca paketleri kaybettiiniz noktalara bakarak hatal alan router tespit edebilirsiniz.
74
Blm 2
Bu komutun bilmeniz gereken en nemli switchi her bir hopun isimlerini zmlemek yerine sadece IP adreslerini grntleyen n switchidir.
Nslookup Kullanmak
Tracert oturumu size DNS zmleme ileminin dzgn olarak yapldn gsterir, Microsoftun sunucusunun DNS adn girdiinizde sizin DNS sunucunuz bunu IP adresine dntrebildi. ou zaman, ping ve tracert gibi aralar IP adresleriyle kullanacaksnz, nk DNS gibi daha st katman servislerini kullanmay denemeden paketlerin IP seviyesinde iletilebildiini dorulamaya ihtiya duyarsnz. Windows Server 2003 network kaynaklarnn yerini belirlemek iin DNS servis kaytlarn kullandndan dolay isim zmleme Windows Server 2003 iin ok nemlidir. Buna ek olarak kullanclar IP adreslerini deil de hatrlamas kolay UNC pathlerini kullanmak isteyeceklerdir. Network problemlerinin sorun giderme tekniklerinin bir paras olarak network isim zmleme, ne zaman ve nasl kullanld, dzgn alp almad ve nasl test edildiini ierir. imdiye kadar DNS sunucu adresinin doru olarak ayarladndan emin olmann nemini rendiniz. Doal olarak, bir istemcinin DNS ile ilgili hata mesajlar aldn farkettiinizde ilk kontrol etmeniz gereken DNS sunucu ayarlardr. Genel olarak dier istemcilerin de benzer bir problem yaayp yaamadklarn kontrol etmek iyi bir fikirdir. nk DNS sunucularnz kaybetmenizle birlikte ortaya kacak olan problem ayn anda kendisini gstermeyecektir. Windows Server 2003 DNS, adresler iin bir cache tutar, bu sayede adresler cacheye alndktan sonra DNS sunucu kse bile, cache kaytlar TTL deerlerine ulap, geerliliini yitirip silinene kadar istemci bir sorun yaamayacaktr. nslookup arac, bir DNS sunucuyu bir host kayd iin tuttuu bilgileri grmek amacyla sorgulamanz salar. Bu rnekteki gibi, komut satrndan kk bir bilgi iin sorgulayabilirsiniz. F:\nslookup mail.chellis.net Server: hawk.chellis.net Address: 192.168.0.144
75
Name: mail.chellis.net Address: 209.68.1.225 Bu oturumun, sizin sorgunuza cevap veren DNS sunucuyu ve bununla birlikte cevabn sylediine dikkat edin. Eer hibir komut satr deikeni kullanmadan nslookup altrrsanz, bir srada birok sorgulama yapabilmenizi salayan interaktif moda geer: F:\nslookup Default Server: hawk.chellis.net Address: 192.168.0.144 > www.naisimith-engineering.com Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: www.hosting.swbell.net Addresses: 216.100.99.6, 216.100.98.4, 216.100.98.6 Aliases: www.naismith-engineering.com > fly.hiwaay.net Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: fly.hiwaay.net Address: 208.147.154.56 > www.apple.com Server: hawk.chellis.net Address: 192.168.0.144 Non-authoritative answer: Name: www.apple.com Address: 17.254.0.91 server ipAddress komutunu, verilen IP adresindeki sunucunun isim zmlemesini test etmek iin kullanabilirsiniz. Her zaman kulandnz DNS sunucunuz kt ya da belirli bir adresi zemedii durumlar iin olduka kullanldr. rnein, aadaki nslookup oturumuna gz atn. Bu rnekte nslookup oturumu minuteman isimli bir (dzgn bir ekilde yaplandrlmam) DNS sunucu zerinden gerekleiyor:
76
Blm 2
> server minuteman Default Server: minuteman.chellis.net Address: 192.168.0.201 > www.chellis.net Server: minuteman.chellis.net Address: 192.168.0.201 DNS request timed out. Timeout was 2 seconds. DNS request timed out. Timeout was 2 seconds *** Request to minuteman.chellis.net timed-out Sonu olarak minuteman cevab bulamaz. Problem deil, hawk isimli baka bir sunucuya gein: > server hawk DNS request timed out. Timeout was 2 seconds. *** Cant find address for server hawk: Timed out. Minuteman dzgn yaplandrlmad iin, hawkn adresini bulamaz. IP adresiyle deneyin: > server 192.1680.144 DNS request timed out Times out was 2 seconds. Default Server: [192.168.0.144] Address: 192.168.0.144 > www.chellis.net Server: [192.168.0.144] Address: 192.168.0.144 Name: www.chellis.net Address: 209.68.1.225
77
Sizin de grebildiiniz gibi, hawk sunucusunu kullanarak www.chellis.netin IP adresini zebiliyorsunuz. Nslookup ayn zamanda farkl tipte adresleri aramak iin de kullanlabilir. rnein posta sunucular bir MX DNS kayd kullanrlar. Nslookup interaktif modda set type=mx komutunu kullandktan sonra cevap almak istediiniz domaini yazarak MX kaytlarn aramak iin kullanabilirsiniz. > set type=mx > example.com Server: netserver.example.com Address: 192.168.1.10 example.com MX preference = 0, mail exchanger = mail.example.com example.com nameserver = ns0.example.com mail.example internet address = 192.168.1.20
Bu rnekte typen, MX olarak ayarlandn ve sonra example.com domaininin kendi posta sunucusu iin sorgulandn grebilirsiniz. Geriye gelen cevap bu domain iin mail.example. comun MX kayd olduunu, preference deerinin 0 ve IP adresinin 192.168.1.20 olduuna iaret eder.
zet
Bu blmde network protokollerinin nasl yaplandrldn ve sorunlarnn nasl zldn gsterdik. Spesifik olarak; istemci ve sunucu makinelerinin dinamik ve statik olarak nasl yaplandrldn, istemci ve sunucu makinelerinin Windows Server 2003 tarafndan sunulan DNS, WINS ve DHCP servislerini kullanacak ekilde, Advanced TCP/IP Settings diyalog kutusu gelimi yaplandrma seenekleri de dahil olmak zere nasl yaplandrldn, protokollerin servislere bind ve unbind edilecek ekilde ve sralarnn yeniden dzenlenecek ekilde network bindlarnn nasl yaplandrldn, hedef makineye Network Monitor drivern ve sunucuya Network Monitor Applicationn nasl yklendiklerini ve kullanldklarn, System Monitorde network aktivitelerinin nasl grntlendiini rendiniz.
Snav Esaslar
TCP/IP ayarlarnn nasl yaplandrldn bilin. TCP/IP fonksiyonunu yerine getirmek iin iki bilgiye ihtiya duyar: Sistem iin kullanmak istediiniz IP adresi ve istemcinin bulunduu network subnetine tekabl eden subnet mask. Eer bir Windows XP Professional makineyi yaplandryorsanz, muhtemelen DHCP kullanyorsunuzdur. Bu noktada, varsaylan TCP/IP ayarlar dzgn alacaktr, nk varsaylan ayarlar TCP/IP takmn yaplandrma parametrelerini otomatik olarak herhangi bir uygun DHCP sunucudan alacak ekilde yaplandrlmtr. Network istemcilerinde DNSin nasl yaplandrldn renin. Internet Protocol (TCP/IP) Properties diyalog kutusunda Obtain DNS Server Addresses Automatically (sadece DHCP etkin ise seilebilir) radyo butonunu ya da DNS sunucu adresini manuel olarak girmenizi gerektiren Use The Following DNS Server Addresses butonunu kullanabilirsiniz. Gelimi DNS ayarlarn, TCP/IP diyalog kutusunda Advanced butonuna tklayarak yaplandrabilirsiniz. WINS istemcilerinin nasl yaplandrldn bilin. WINS istemci yaplandrma seenei Windows Server 2003de Advanced TCP/IP Settings diyalog kutusundadr. WINS sekmesinde WINS Addresses, In Order Of Use listesi ve ilgili kontroller yaplandrdnz istemci iin tanmladnz WINS sunucular gsterir. Enable LMHOSTS Lookup onay kutusu Windows Server 2003n bilgisayar ad IP adresi elemeleri iin WINS sunucuyu sorgulamadan nce LMHOST dosyasn kullanp kullanmayacan kontrol eder. Diyalog kutusunun altndaki radyo butonu TCP/IP zerinde NetBIOS kullanmn yaplandrr.
78
Blm 2
Network binding ilemini anlayn. Bir bind ilemi, bir protokoln bir adaptre, bu adaptrn o protokol kullanarak trafik tayabilmesini salamak iin balanmas ilemidir. Windows Server 2003 bir protokol yklediinde ya da Properties diyalog kutusunda onay kutular seildiinde otomatik olarak o NIC iin bindingler oluturur. Network Monitorn, network izlemek iin nasl kullanldn bilin. Network Monitor RAMnin bir parasn capture buffera tahsis eder. Network Monitore networkdeki paketleri capture etmeye bala dediinizde, bir NIC zerindeki her paketi capture buffera kopyalar, veriler getike istatistiksel veriler toplanr. Capture ilemini durdurduunuzda, artk buffera alnm verileri farkl yollarla analiz edebilirsiniz. System Monitor kullanarak network trafiinin nasl izlendiini bilin. System Monitor yardmc arac, bir networkte lokal ya da uzak bir bilgisayar iin gerek zamanl performans verilerini toplamak ve lmek amacyla kullanlr. System Monitor eklediiniz sayalar ile ilgili network aktivitelerini grafiksel olarak sunar. Mesela, Network Interface > Bytes Total/Sec sayac bir network arabirimi iin tm network protokolleri ile alp gnderdii toplam byte ler. Network protokolleri sorun giderme admlarn bilin. lk olarak problemin ne olduunu anlayn. Problemin kendisini nasl gsterdii ile ilgili mmkn olduunca fazla bilgi (hata mesajlar da dahil olmak zere) toplayn, ne zaman balad, tutarl olup olmad gibi. Problemden kimlerin ya da hangi bilgisayarlarn etkilendiini bilmek ok nemlidir, nk bu sizin muhtemel nedenlerin i yzn kavramanz salar ve harekete gemek iin bir gidi yolu semenize yardmc olur. Bir network sorunuyla ilk karlatnzda, tm network kablolarnn dzgn bir ekilde bal olduundan emin olun; hub, router ya da switchlerinizin enerji kablolarnn takl olduundan emin olun. Ipconfig aracnn nasl kullanldn bilin. Ipconfig yerel makinenizde TCP/IP arabirimlerinizin yaplandrma bilgilerini grntlemek iin kullanlr. Windows Server 2003 komut satr penceresinde ipconfig yazp altrmak o bilgisayardaki tm adaptrler iin lokal DNS ad, IP adresleri ve subnet mask yaplandrma bilgilerini ierek ekilde dzgn bir IP yaplandrma bilgileri zeti oluturur. Ping aracnn nasl kullanldn bilin. Uzak bir bilgisayar ping yardmc aracn varsaylan modda kullanarak pinglediinizde, bilgisayarnz drt adet ICMP ping paketi gnderir ve her bir paketle ilikili cevabn gelmesinden nce gerekli zaman ler. Bittiinde ping size, gnderilen ve alnan paket saylarn, minimum, maksimum ve ortalama gidi dn srelerini ve cevap alnamayan ping paketlerinin yzdesini gsterecek ekilde yardmc bir zet sunar. Tracert aracnn nasl kullanldn bilin. Tracert arac, her bir IP paketindeki TTL deerini kullanarak paketlerin bir uzak sisteme giderken getii yollar haritalandrr. Tracert, TTL deeri 1 olan bir ICMP ping paketi gndererek balar. Bu da bu paket ile karlaan ilk router ya da gatewayin bir ICMP response paketi gnderip ve TTL deerini bir drecei anlamna gelir. TTL deeri u anda 0 olaca iin paket yok edilecektir. O aamada, tracert TTL deeri 2 olan ikinci bir paketi gnderir. lk aygt paketi cevaplar ve TTL deerini bir drr ve sonraki hopa ynlendirir. Bu zincirdeki sonraki aygt pingi cevaplar, TTL deerini bir azaltr ve orijinal paketi yok eder. Bu ilem tracertn kademeli olarak TTL deerini artrmasyla, paket istenen son hedef hosta ulancaya kadar devam eder. Pathping aracnn nasl kullanldn bilin. Pathping arac ping ve tracert aralarnn tm fonksiyonelliinin yannda kayp paket bilgilerini salar. Bilmeniz gereken en kullanl switchi her bir hopun isimlerini zmlemek yerine sadece IP adreslerini grntleyen n switchidir. Nslookup aracnn nasl kullanldn bilin. Nslookup arac bir DNS sunucuyu, bir host iin tuttuu bilgileri grmek amacyla sorgulamanz salar. Komut satrndan sadece kk bir bilgiyi sorgulamak iin kullanabilirsiniz ya da herhangi bir deiken kullanmadan bir satrda birden fazla sorgulama yapabileceiniz interaktif modda alabilirsiniz.
79
80
Blm 2
4. irketiniz iki lokasyona sahip, kaynaklarnn ou Chicagoda. Bir Windows NT networkn ynetiyorsunuz. Bu network routerlar arasnda, servisler iin NetBIOS isteklerini karlamak amacyla LMHOSTS dosyalarn kullanarak adres bilgilerini salyor. WINS hakknda ok ey duydunuz fakat henz uygulamadnz, nk LMHOSTS dosyalar dzgn alyor ve WINS kurulumu sizin iin henz yksek ncelikte deil. u anda Windows NT networknzn, Windows Server 2003e upgrade ileminin sonundasnz ve WINS kurmaya karar verdiniz. Bir test makinesi alp, LMHOST dosyasnn adn deitiriyorsunuz. Makine daha nceden ulaabildii hibir sunucuya imdi ulaamyor. Bu probleme neden olan olas en muhtemel sorun nedir? A. WINS sunucuda bu istemciyi girerek o istemciyi etkinletirmeniz gerekir. B. DHCP altrp bu istemciyi girerek o istemciyi etkinletirmeniz gerekir. C. stemcide WINS sunucuyu girerek, istemciyi etkinletirmeniz gerekir. D. LMHOSTS dosyasna WINS sunucu adresini girmeli ve dzgn bir ekilde adn deitirip WINS sunucuda istemci iin bir kayt girmelisiniz. E. stemciyi eski isim/adres ikililerinin temizlenmesi iin yeniden balatmanz gerekir. 5. Bir bilgisayara iki adet network kart monte etmek istiyorsunuz. Bu kartlardan birisi iin IP adresini manuel olarak yaplandrmak istiyorsunuz. Dier kart nasl yaplandrmalsnz? A. Her iki kart da manuel olarak yaplandrlmaldr. B. Her iki kart da dinamik olarak yaplandrlmaldr. C. Bir kart manuel olarak, dieri dinamik olarak yaplandrlmaldr. D. Her iki kart da manuel olarak ya da dinamik olarak yaplandrlabilir. 6. ki farkl blmden oluan bir irket iin alyorsunuz. Bu blmlerden biri spor etkinlikleri iin bilet satmakta, dieri toplant salonu kiralama ii ile ilgilenmektedir. Bu blmler finansal operasyon perspektifinde tamamen birbirinden ayr; fakat ayn binada yer alp tek bir routerla birbirine balanmaktadrlar. Her iki blmn de network yneticisisiniz. Bu iki irket birbirinden bamsz olarak ynetilmelerine ramen baz IT kaynaklarn paylayorlar. rnein Internet balants ve fiziksel olarak irketin bilet sat blmnde yer alan bir IIS sunucusu. irketin toplant salonu kiralama blmndeki bir i istasyonu, Internet de dahil olmak zere dier taraftaki hibir kaynaa balanamyor. Makineler aadaki ekilde yaplandrldlar: IIS sunucu: Node adresi Gateway Router: Bilet sat arabirimi ISP arabirimi Toplant arabirimi Problemli i istasyonu: Node adresi Gateway 204.45.36.2/24 10.2.223.23/28 192.23.64.1/24 10.2.223.23/28 204.45.36.1/24 192.23.64.23/24 192.123.64.1/24
81
A. ISS sunucunun gateway adresini 10.2.223.23/28 olacak ekilde deitirin. B. ISP arabirimi adresini 192.23.64.1/24 olacak ekilde deitirin. C. istasyonu gateway adresini 204.45.36.1/24 olacak ekilde deitirin. D. istasyonu gateway adresini 192.23.64.1/24 olacak ekilde deitirin. 7. irketiniz Windows 2000 networknz Windows Server 2003 networkne ykseltmeye karar verdi. Sunucularla baladnz, Windows 2000 sunucu ve servislerinizin Windows Server 2003e migrasyon ilemini herhangi bir sorun yaamadan tamamladnz. DHCP ve WINS sunucular bir iki sorun dnda servislerini dzgn bir ekilde veriyorlar. WINS yaplandrmalarn ve DHCP scopelarn eskiden olduu ekilde braktnz. Windows 2000 DHCP sunucunuz gateway adreslerini datacak ekilde yaplandrlmt, fakat DNS sunucular manuel olarak yaplandrlmaktayd. Sizin destek teknisyenleriniz Windows 2000 i istasyonlar Windows XP Professionallara ykseltmeye balad. Bu ilem srasnda teknisyenleriniz Obtain DNS server address automatically seeneini grp, Obtain An IP Address Automatically seenei ile uyumas iin setiler. nternete ulamaya altklarnda herhangi bir kaynaa eriemediler. Bu probleme neden olan olas en muhtemel sorun nedir? A. Teknisyenlerinizin, deiikliklerin etkin hale gelmesi iin makineyi yeniden balatmas gerekir. B. DHCP sunucu herhangi bir DNS bilgisine sahip deil. C. Migrasyon ileminden sonra Windows 2000 sunucudaki DHCP yaplandrmas, Windows XP Professional i istasyonlar iin uygun hizmeti sunmayacaktr. D. Advanced sekmesindeki eski DNS kaytlarn manuel olarak silmeniz gerekir. 8. Kk bir organizasyonun networkle ilgili problemlerini aratrmak iin danman olarak kiralandnz. Ortam dzgn dokmante edilmemi zel hazrlanm birok uygulamay destekliyor. Bir ynetici networkteki bir ya da daha fazla bilgisayarn ar miktarda bir trafik oluturarak networkn kmesine sebep olduundan pheleniyor. Aadakileri yapmak istiyorsunuz:
Problemlere neden olan bilgisayar ya da bilgisayarlar belirlemek. Spesifik makinelerin ald ya da gnderdii network paketlerini kaydetmek ve incelemek. Sadece spesifik network paket tiplerini grntlemek.
Hangi arac kullanmalsnz? A. Tracert B. Pathping C. Nslookup D. Network Monitor 9. Kk bir irkette network yneticisi olarak alyorsunuz. irketin network 100 adet i istasyonu ve 2 adet Windows Server 2003den oluuyor. istasyonlarnn tm TCP/IP kullanyor fakat sunucular baz eski NetWare servislerine balanmalar gerektiinden TCP/IP ve NWLink kullanyorlar. istasyonlar kullanclar iin destek veriyorsunuz, fakat neredeyse NetWare sistem yneticileriyle iletiim kurmadan bunu gerekletiriyorsunuz. Bir gn i istasyonu kullanclar Windows Server 2003 sunucularndan birindeki kaynaklara eriemediklerinden ikayet ediyor. NetWare sistem yneticilerine bir balant problemi olup olmadn renmek iin ulaamyorsunuz. Problemi tehis etmeye balamak iin ne yapmanz gerekir? En iyi cevab sein.
82
Blm 2
A. System Monitorde grntlemek iin Network Interface > Bytes/Total/Sec sayacn ekleyin. B. System Monitorde grntlemek iin TCPv4 > Segments/Sec sayacn ekleyin. C. istasyonlarndan birinde Network Monitor driver ve Windows Server 2003 zerinde de Network Monitor application ykleyin. istasyonu zerindeki network aktivitelerini izleyin. D. System Monitor i istasyonlarndan birine ykleyin ve grntlemek iin Network Interface > Bytes Total/Sec sayacn ekleyin. 10. 500 nodeluk Windows 2000 networknz, Windows XP ve Windows Server 2003e ykseltmekle olduka byk bir zaman harcadnz. Sonunda DHCPnin, IP subnetlerinizin yeniden tasarlanmas ve tm i istasyonlarnz ierecek ekilde scopelar oluturulmasyla getirdii TCP/IPnin merkezi ynetim avantajn elde ettiniz. Scopeu aktive ettiniz. Active Directoryyi henz uygulamadnz; fakat bunu her eyin dzgn olarak altn doruladktan sonra yapmay planlyorsunuz. Bu gei sreci hafta sonunda, her bir i istasyonunda IP yaplandrmasn statik IP adreslemeden, DHCP kullanacak ekilde evirecek bir script altrdnz ve tm i istasyonlarn yeniden balattnz. Rastgele birka makineyi test ettiniz ve routerlarnz araclyla kaynaklara balandlar ve tm sunuculara uygun bir ekilde baland. Pazartesi sabah, Internet balantlarnn ktnden ikayet eden kullanclardan telefonlar aldnz. Kendi Windows Server 2003 makinenizden Internet balatnz kontrol ettiniz ve balantda herhangi bir problem olmadn grdnz. Bu probleme neden olan olas muhtemel sorun nedir? A. Baz i istasyonlarnda subnet mask hatal. B. Default gateway hatal. C. istasyonlarndaki DNS yaplandrmas, DHCP sunucudaki yaplandrmay geersiz klyor. D. Oluturduunuz IP adres plan geerli deil. E. WINS sunucu uygun ekilde yaplandrlmam. 11. Bilgisayarlarn tutulduu odadan grlt duyulduktan ksa bir sre sonra bir makine ani bir ekilde Ethernet network balantsn kaybetti. Makine zerinde bunun dndaki her eyin normal alt gzkyor. TCP/IP zelliklerini kontrol ediyor ve bunlar da olmas gerektii ekilde bu probleme neden olan olas en muhtemel sorun nedir? A. Network kart hasar grmtr. B. DNS zellikleri yeniden ayarlanmaldr. C. Networkteki dier makinelerden birisi bozulmutur. D. Makinenin network kablosu krlm ya da yerinden kmtr. 12. Kullanclarnz eitli web sitelerinde aralklarla meydana gelen problemlerden ikayet ediyor. Farkl web siteleri iin defalarca tracert altrdnz ve herhangi bir problemle karlamadnz. Aralklarla meydana gelen router operasyonlarn saptamak iin kullanabileceiniz en iyi komut nedir? A. nbtstat n B. netstat C. ping a D. pathping
83
13. Networknzde adresini dinamik olarak alan bir Windows Server 2003 bilgisayar, DHCP kene kadar dzgn bir ekilde alyordu. DHCP sunucu ktkten sonra, bu bilgisayar networkteki APIPAya dnen hibir bilgisayarla haberleemedi. ipconfig komutunu kullanarak bilgisayarn 208.41.13.2 adresine sahip olduunu grdnz. Dahili networknz normalde 10.x.y.z araln kullanr. Problemin ne olabileceinden phelenirsiniz? A. APIPA tekrarlanan adresten dolay baarsz oldu. B. Bilgisayar manuel olarak yanl bir ekilde yaplandrld. C. Sadece bu bilgisayar 208.41.13.2 IP adresini ieren bir alternatif yaplandrmaya sahip. D. Bilgisayarn networkten balants kesilmi. 14. Aadaki resimde, ikiden fazla DNS sunucu adresini yaplandrmak iin nereye tklardnz?
A. Use The Following IP Address B. Obtain DNS Server Address Automatically C. OK D. Advanced 15. Networknzdeki bir bilgisayarn sadece bir network adaptr var. Sunucu kendi zerinde, yaklaan birleme sreci ardndan olduka yksek dzeyde kullanm idare etmeye ihtiya duyacak. Sunucuda u anki kullanm dzeyini (utilizasyonu) saptamak iin System Monitor kullanmaya karar verdiniz. Bunu gerekletirebilmek iin neyi izlemeniz gerekir? A. Server nesnesinin Bytes Total/Sec sayac B. Network Interface nesnesinin Bytes Total/Sec sayac C. TCPv4 nesnesinin Segments/Sec sayac D. Network Interface nesnesindeki Current Bandwith sayac 16. Networknzde bir Windows Server 2003 bilgisayarnzn iki adet network adaptr var. System Monitor kullanarak bu arabirimlerden birinin veri giri seviyesini lmek istiyorsunuz, fakat kt sadece sabit sfr dzeyini gsteriyor. Bu sonucun muhtemel sebebi aadakilerden hangisidir?
84
Blm 2
A. Network Interface nesnesinin Byte Received/sec sayacn setiniz. B. Counter iin yanl rnek setiniz. C. Capture ilemini balatmay ihmal ettiniz. D. Giri dzeyini okuyabilmek iin View Histogram semeniz gerekir. 17. Aadakilerden hangisi internetwork boyunca hatann meydana geldii noktay saptamak iin kullanlan en iyi aratr? A. Ping B. Nbtstat C. Tracert D. Netstat 18. Bir Windows Server 2003 bilgisayarn bir DHCP istemcisi olarak yaplandrmaya alyorsunuz, fakat sunucu buna kar koyuyor. Aadakilerden hangisi bunun olas en muhtemel sebebidir? A. DHCP sunucu sizin subnetinizde olmayan bir adres ile cevap vermitir. B. DHCP sunucunun IP adres yaplandrmasn ihmal etmisiniz. C. Bilgisayar DHCP sunucu olarak alyor. D. Bilgisayar WINS sunucu olarak alyor. 19. Aadakilerden hangisi System Monitorn bir fonksiyonu deildir? A. Yakalanan paketlerin ayrntlarnn gsterir. B. Ayn anda bir networkte lokal bilgisayarnzdan ve uzak bilgisayarlardan veri toplamanz salar. C. Spesifik nesne ve sayalar seerek, toplanacak verinin seimi zerinde size tam kontrol salar. D. Dier bilgisayarlara aktarlabilecek ekilde veriyi izlemek iin zel yaplandrma oluturur. 20. WINS istemci olarak etkinletirilmi bir Windows Server 2003 bilgisayar iin varsaylan NetBIOS tipi aapdakilerden hangisidir? A. p-node B. h-node C. b-node D. m-node
85
86
Blm 2
paketi ile ilgi spesifik detaylara eriim salamanza ya da hakknda bilgi topladnz veri ile ilgili filtre yapmanza imkan vermezler. 9. B. Burada TCPv4 > Segment/Sec sayacn grntlemek iin System Monitor eklemek isterdiniz. Bu size sunucuda TCP/IPnin herhangi bir trafik oluturup oluturmad hakknda bilgi salayacaktr. Network Interface > Bytes/Total/Sec sayacn eklemek, NWLink trafiini de grntye ekleyecektir (bildiiniz kadaryla hala dzgn alyor) ve TCP/IPnin hatal olma gereini gizleyebilecekti. Kt bir sunucuda Network Monitor zm problemleri tehis etmede yardmc olmayacaktr ve son seenek problemi zmek iin yardmc olmayacaktr. 10. Statik DNS yaplandrmas, DHCP istemci ile tertip edilen DHCP yaplandrmasn etkisiz klar. nk Registry statik IPden DHCPye geecek ekilde dzenlenmitir. DNS bilgisi statik bilgi olarak kalr deitirilmez ve DHCP yaplandrmasyla gelen DNS bilgisini yok sayar. Hatal DNS yaplandrmasyla, i istasyonlar Web kaynaklarna balanmak iin gerekli olan bir URLi IP adresine zmleyemezler. Eer subnet mask ve IP adresleri hatal olsayd, lokal network iinde de iletiim kuramazlard. Routerlar araclyla balantlar kurabildiinizden dolay default gateway dzgn alyor. WINS web hizmetleri ile ilgili deildir. 11. D. Fiziksel balantlarn hzl bir ekilde kontrol edilmesi, sizi var olmayan problemlerle vakit kaybetmekten korur. Network problemlerinin byk ounluu Physical katmanda gerekleir. 12. D. Pathping, ilevini belirli bir zaman periyodu zerinden gerekletirdii iin aralklarla meydana gelen problemlerin tehisinde kullanl olabilir. rnein, sizin networknz dndaki aralklarla problem yaayan bir router iin, pathping paket kayplarn gsterecektir. Ayn ekilde pathping router dzgn altnda paket kayb gstermeyecektir, bylece problemin neden kesikli bir problem olarak tanmladn greceksiniz. 13. Windows Server 2003 bir DHCP sunucuya eriemediinde kullanlmak zere alternatif bir APIPA yaplandrmas salar. Bu durumda, networkteki tm bilgisayarlar varsaylan APIPA adres aralna gemiler, fakat sorudaki bilgisayar muhtemel olarak bu alternatif adreslerden biri ile yaplandrlmtr. 14. D. Advanced TCP/IP Settings diyalog kutusunu grntlemek iin Advanced butonuna tklayn. Bu diyalog kutusunun DNS sekmesinden ek DNS sunucular yaplandrabilirsiniz. 15. A. Sunucunun network balantsyla deil de kullanm deerini lmek ile ilgilendiinizden, Server nesnesi doru seim olacaktr. Ayn ekilde, saniyedeki TCP segmentlerini lmek sunucunun kullanm dzeyini (utilizasyon) ortaya karmaz. Son olarak, Current Bandwith sayac genelde network arabiriminin nominal bant genilii deerinde kullanm dzeyini ok az miktarda ortaya koyar. 16. B. Her bir network adaptr bir Network Interface nesnesinin Bytes/Sec sayacnn bir rnei olarak grnr- izlemeniz gereken nesne ve saya. C seenei geersizdir, nk yakalama ilemini System Monitorde deil, Network Monitorde balatrsnz. D seenei doru deildir, nk histogram grn ayn veriyi daha sade bir ekilde gsterir, verinin kendisine etki etmez. 17. C. ping doru cevaba yakndr, fakat tracert izlenen yoldaki hatalar tespit etmede daha iyi bir yardmc aratr. ping potansiyel olarak birden fazla iletim gerektirirken, tracert internetworkteki aygtlar boyunca hatal router bulana kadar ilerleyerek devam eder. 18. C. Nadiren de olsa sunucularda DHCP istemciyi etkinletirmek, bunu DHCP ya da DNS sunucu zerinde yapmadka imkansz ya da yanl deildir. Bu bilgisayarlarn IP adresleri statik olarak yaplandrlmak zorundadr. DHCP sunucu istein geldii subneti bilir, bylece yanl bir subnetin adresini vermeyi nler. Kendi adresini bile bilmeyen DHCP istemcide, DHCP sunucu adresini yaplandrmaya gerek yoktur. 19. A. Yakalanan paketlerin detayl bir ekilde gsterimi System Monitorn deil Network Monitorn bir fonksiyonudur. System Monitor ile sadece kendi bilgisayarnzdan deil, ayn
87
anda dier bir bilgisayardan da veri toplayabilirsiniz. Spesifik nesne ve sayalar semek suretiyle toplanacak olan veri zerinde tam bir kontrolnz vardr. Ayn zamanda, izlenen veri iin zel yaplandrmalar oluturup performans izleme iin dier bilgisayarlara export edebilirsiniz. 20. B. b-node tipi bir WINS istemcisi olarak yaplandrlmam Windows Server 2003 bilgisayarlar iin varsaylan ayar iken, WINS istemci etkinletirildiinde varsaylan node tipi h-node olacaktr.
3 Security Policylerini
Ynetmek
Kullanc ve Grup Hesaplarna Genel Bak Security Policy Tipleri ve Aralar Local Computer System Policyleri Security Configuration and Analysis Arac ile Gvenlik Yaplandrmalarnn Analizi Yazlm Yklemek ve Bakm Ynetimi Windows Server 2003 Servislerini Ynetmek zet Snav Esaslar Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar
Kullanc Hesaplar
Windows XP Professional ya da Windows Server 2003 (ye sunucu olarak yaplandrlm) altran bir bilgisayar kendi kullanc hesaplar veritabann tutma yeteneine sahiptir. Lokal bilgisayarda tutulan bu kullanclar local users olarak bilinir. Active Directory Windows 2000 Server ve Windows Server 2003 platformlar ile kullanlabilen bir directory hizmetidir. Active Directory, bilgileri merkezi bir veritabannda tutarak kullancnn enterprise apnda kaynaklar tek bir kullanc hesab ile payActive Directory ile ilgili daha fazlasn lamasn salar. Active Directorynin merkezi veritabannda daha sonra Active Directoryye Hzl tutulan kullanc ve gruplar Active Directory users ya da doBak ksmnda reneceksiniz. main users olarak adlandrlr. Eer networknzde yerel kullanc hesaplarn kullanyorsanz, kullanclarn tm networkte eriiminin olmas iin her bir bilgisayarda bu hesaplarn oluturulmas gerekir. Bu nedenle, orta ve byk networklerde kullanclar ynetmek iin genellikle domain kullanc hesaplar kullanlr.
92
Blm 3
Windows XP Professional bilgisayarlarnda ya da Windows Server 2003 ye sunucularnda, Local Users and Groups yardmc arac ile yerel kullanclar oluturursunuz. Windows Server 2003 domain controller bilgisayarnda kullanclar Active Directory Users and Computers (ADUC) yardmc arac ile ynetirsiniz.
MCSE: Windows Server 2003 Active Directory ile Sistem Ynetimi (Sybex, 2003) Active Directoryyi detayl olarak kapsamaktadr.
Windows Server 2003 yklediinizde, birka yerleik kullanc hesab varsaylan olarak oluturulur. Oluturulan bu kullanc hesaplarndan en nemli ikisi unlardr:
Administrator hesab, bilgisayar zerinde tam kontrole sahip zel bir hesaptr. Bu hesabn parolasn, Windows Server 2003 kurulumu srasnda verirsiniz. Administrator hesab, kullanc ve grup oluturmak, dosya sistemini ynetmek ve yazdrma ilemlerini ayarlamak gibi tm grevleri yerine getirebilir. Guest hesab; kullanclarn, kendilerine ait bir parola ve kullanc adlar olmasa da bilgisayara eriebilmelerini salayan hesaptr. Bu tip bir kullancnn getirebilecei gvenlik riskleri nedeniyle bu hesap varsaylan olarak etkinletirilmemitir. Bu hesap etkinletirildiinde, Guest kullancsna ok kstl haklar salar.
Varsaylan olarak Administrator hesab bilgisayar zerinde tam yetkiye sahiptir. Administrator heabnn adn deitirip, Administrator adnda herhangi bir yetkiye sahip olmayan bir hesap oluturarak, bilgisayarn gvenlik dzeyini artrabilirsiniz. Bu sayede, bir hacker Administrator olarak sisteme giri yapsa bile herhangi bir sistem kaynana eriim salayamayacaktr.
Microsoft gvenlik riskleri ortaya kabileceinden dolay administrator yetkileriyle sisteme girmemenizi tavsiye eder. Birok virus bilgisayarda Trojan eklinde kendisini gizler. Tipik olarak Windows Server 2003de izinlerin ileyebilmesi iin administrator hesab ile sisteme giri yapmadka herhangi bir zarar vermezler. Bu problemden kurtulmak iin en iyi yol, bir sistem mhendisi olarak gnlk ilerinizi snrl bir hesapla yapmak ve Microsoft tm parolalarn bir byk harf, bir kk ynetimsel olarak grevlerin yerine getirilmesi geharf, bir simge ve bir say iermesini tavsiye eder. rektii durumlarda runas komutuyla administrator rnein; osman yerine 0sm@n kullanabilirsiniz. hesabn kullanmaktr. runas komutu, altrlabilir dosyalar, Control Panel elerini ve Microsoft Management Console (MMC)u administrator yetkilerini tek bir ileme atayacak ekilde altrmanz salar. Tipik olarak runas komutunu, e zerinde sa tklayp, pop-up menden Run As seerek kullanabilirsiniz. Ardndan geerli bir kullanc ve parola girerek, o kullancnn eriim ayarlarnn o dosyaya ya da altrlan ileme uygulanmasn salayabilirsiniz.
Grup Hesaplar
Bir Windows Server 2003 ye sunucu zerinde sadece lokal gruplar kullanabilirsiniz. Bir lokal grup Windows Server 2003 ye sunucusunun lokal veritabanndadr. Active Directorydeki bir Windows Server 2003 domain controller bilgisayarnda security ve distribution gruplarna sahip olabilirsiniz. Bir security grubu belirli kaynaklara erime ihtiyac olan kullanclarn mantksal bir grubudur. Security gruplarn kaynaklara izin atamas yapmak iin kullanabilirsiniz. Bir distribution grup ise ortak karakteristie sahip kullanclardan oluan bir gruptur. Distribution gruplar, uygulamalar tarafndan ve e-posta programlar (rnein Microsoft Exchange) tarafndan kullanlabilir. Distribution gruplar access control liste (ACLs) ve dolaysyla herhangi bir izne sahip deillerdir. Windows Server 2003 domain controllerlar lokal, global ya da universal olmak zere farkl grup scopelar semenize imkan verir. Bu scope tipleri aadaki gibi kullanlr:
Domain local gruplar kaynaklara izin atamak amacyla kullanlr. Lokal gruplar, tree ya da foresttaki herhangi bir domainden kullanc hesaplarn, universal gruplarn ve global gruplarn ierebilir. Bir domain local grup ayn zamanda dier domainlerdeki domain local gruplar da ierebilir.
93
Global gruplar benzer network eriim gereksinimlerine sahip kullanclar organize etmek iin kullanlr. Global gruplar lokal domainden kullanclar ve global gruplar barndrabilir. Universal gruplar global catalog (Active Directorydeki tm nesnelerle ilgili kstl bilgileri ierir) ierisinde grntlenir ve global gruplar mantksal olarak organize etmek amacyla kullanlr. Universal gruplar domain tree ya da forestn herhangi bir yerinden kullanclar (tavsiye edilmez), dier universal gruplar ve global gruplar barndrabilir.
Windows XP Professional bilgisayarlarda ve Windows Server 2003 ye sunucularda, Local Users and Groups yardmc aracyla lokal gruplar oluturabilir ve ynetebilirsiniz. Windows Server 2003 domain controllerlarda gruplar Active Directory Users and Computers (ADUC) yardmc aracyla ynetebilirsiniz.
Local policyleri ynetmek iin, Group Policyyi Local Group Policy Objects (GPOs) ile kullanrsnz. Domain policyleri ynetmek iin, Group Policyyi Active Directory Domain Controller GPOlar ile kullanrsnz.
lk olarak Active Directory group policyleri ile GPOlarnn directory ierisinde farkl seviyelerde nasl uyguland ile balayacaz. Ardndan yerel bilgisayar seviyesinde group policylere gz atacaz.
94
Blm 3
Domainler Active Directorydeki ana birim domaindir. Bir domain iinde birok domain nesneleri (kullanclar, gruplar ve GPOlar) vardr. Gvenlik her bir domain nesnesine kimin hangi seviyede eriebileceini belirlemek iin uygulanabilir. Her bir domainin Active Directory verileri bir ya da daha fazla domain controller olarak yaplandrlan Windows 2000 Server veya Server 2003 bilgisayarlarnda tutulur. Eer birden fazla domain controller kullanyorsanz (redundancy ya da farkl fiziksel lokasyonlar iin), Active Directory verilerini veri tabannn tutarll asndan birbirleri arasnda dzenli bir ekilde replike etmeniz gerekir. Domain Functional Level Belirlemek Windows Server 2003 Active Directory, domain ve forest fonksiyonellii olarak tanmlanan yeni bir kavram ortaya koymutur. Bu Windows 2000 Active Directorydeki mixed mode ve native modea benzer bir yaklamdr, bu yzden bu iki mod aslnda domain ve forest fonksiyonelliinin bir parasdr. Microsoft functional level olarak refere ettii bu modlara nc bir functional level olarak Windows Server 2003 functional level eklemitir. Bir Windows Server 2003 domain controller yklerken hangi functional level destekleyeceinizi belirlemeniz gerekir: Windows 2000 mixed, Windows 2000 native, Windows Server 2003. Bir domain controller kurulumu yaparken Windows 2000 mixed domain functional level varsaylan seenektir. Bu functional level Windows NT 4 ve nceki domain modelleri ile geriye dnk uyumluluk asndan tasarlanmtr. Eer ortamda, bir ya da daha fazla domain iin Windows NT domain controllerlar destekleme ihtiyacnz varsa bu domainler iin Windows 2000 mixed domain functional level semeniz gerekir. Bununla birlikte, Windows 2000 mixed domain functional level kullandnz mddete, baz Active Directory zellikleri (universal gruplar, grup nesting) mevcut olmayacaktr. Eer ortamnzdaki domainlerinizden herhangi birinde Windows NT domain controller deil de Windows 2000 domain controllerlar desteklemeniz gerekiyorsa domainleriniz iin Windows 2000 native domain functional level seebilirsiniz. Windows 2000 native domain functional level tm domain controllerlar iin Active Directorynin ou fonksiyonelliini salar fakat Windows NT 4 iin geriye dnk uyumluluk salamaz. Windows 2000 native domain functional levelda Windows NT domain controllerlarn kullanlamayaca anlamna geldiinden bu nemli bir ayrntdr. Ayn zamanda Windows 2000 native domain functional leveldan, Windows 2000 mixed functional levela dnmn mmkn olmadna dikkat edin. Windows 2000 native domain functional level, Windows Server 2003n destekledii Active Directorynin tm fonksiyonelliini salamaz, bu yzden eer Active Directorynin baz yeni zelliklerini kullanmak istiyorsanz domain controllerlarnz upgrade etmeyi dnmeniz gerekir. Eer sadece Windows Server 2003 domain controllerlar altracanzdan eminseniz, Active Directoryyi Windows Server 2003 domain functional levelda ykleyebilirsiniz. Bu functional level, Tablo 3.1de grld gibi Active Directorynin tm fonksiyonelliini destekler. Tablo 3.1: Domain Functional Levellarn Karlatrmas
Domain Functional zellii Domain controllerlarn isimlerini deitirebilmek Logon Timestamp gncelletirmek Kerberos KDC key versiyon numaralar InetOrgPerson nesneleri iin password kullanlabilirlii NT gruplar domain local ve global gruplara dntrmek Windows 2000 Mixed Etkin deil Etkin deil Etkin deil Etkin deil Etkin deil Windows 2000 Native Etkin deil Etkin deil Etkin deil Etkin deil Etkin deil Windows Server 2003 Etkin Etkin Etkin Etkin Etkin
95
Grup nesting
Etkin
Etkin
Universal gruplar
Etkin
Etkin
Domain functional levellara ek olarak, Windows Server 2003 forest fonksiyonelliini de ierir. Forest fonksiyonellii bir foresttaki tm domainlere uygulanr. ki forest functional level vardr: Windows 2000 ve Windows 2003. Windows 2000 forest functional level varsaylan seimdir ve Windows NT 4, Windows 2000 ve Windows Server 2003 domain controllerlarn destekler. Windows Server 2003 yeni forest functional leveln tm zellikleri sadece Windows Server 2003 tarafndan desteklenir. Bu yeni zellikler yledir: Global catalog replikasyon iyiletirmesi: Bir sistem yneticisi global cataloga yeni bir nitelik eklediinde, deiiklikler sadece forest iindeki dier global cataloglar arasnda replike edilir. Bu replikasyon tarafndan oluturulan trafik miktarn nemli bir ekilde drebilir. Geersiz schema class ve attributeler: Active Directory schema zerinden classlar kalc olarak kaldramazsnz fakat bu classlar geersiz olarak iaretleyebilirsiniz ve bu ekilde kullanlamaz olurlar. Forest functional level Windows Server 2003e ykseltildiinde defunct schema attributelarn yeniden tanmlayp schemada yeni bir rol almasn salayabilirsiniz. Forest trust: nceden sistem yneticileri iin farkl forestlardaki kaynaklara izin vermek amacyla kullanlabilecek kolay bir yol yoktu. Windows Server 2003 bu sorunlar, farkl Active Directory forestlar arasnda gven ilikileri (trust relationships) salayarak zer. Forest trustlar, iki forest arasndaki tm domainlere geniletilebilir olmas dnda domain trustlar gibi alr. Tm forest trustlarn geisiz (intransitive) olduunu unutmayn. Linked value replication: Windows Server 2003 linked value replication adnda yeni bir kavram ortaya karmtr. Windows 2000de bir grubun yelerinden birinde deiiklik olduysa, replikasyon ileminde tm grup replike edilirdi. Linked value replication ile sadece deitirilen kullanc kayd replike edilir. Bu zellik replikasyonla ilikili network trafiini nemli lde azaltr. Domainlerin yeniden adlandrlmas: Active Directory domain yaps esnek olarak tasarlanmasna ramen baz kstlamalar da sz konusudur. Birleme, irket ynetiminin ya da irket organizasyonun yeninden yaplandrlmas ve dier i ile ilgili deiikliklerden dolay domain isimlerini deitirmeye ihtiya duyabilirsiniz. u anda herhangi bir domainin NetBIOS ve DNS isimlerini deitirebildiiniz gibi, forest ierisindeki pozisyonunu da yeniden belirleyebilirsiniz. Bu ilemin sadece rename komutunun girilmesi kadar basit bir ilem olmadn unutmayn. Bunun yerine operasyonun baarl bir ekilde sonulanmasndan emin olmak iin takip etmeniz gereken spesifik ilemler vardr. Microsoft prosedrleri uygun bir ekilde takip ettiinizde domainlerin yeniden adlandrlmasn destekler. Dier zellikler: Burada listelenen Windows Server 2003 forest functional zelliklerine ek olarak Windows Server 2003 ayn zamanda gelitirilmi replikasyon algoritmalarn ve dinamik yardmc/destek classlar destekler.
96
Blm 3
Organizational Unitler Bir domain iinde organizational unitleri (OUs) kullanarak domain objelerini alt blmlere ayrabilir ve organize edebilirsiniz. Bu Windows NT domainleri ile Windows 2000 ve 2003 domainleri arasndaki en temel farklardan birisidir: NT domainleri bilgileri hiyerarik olarak tutamazd. Windows 2003 domainleri OUlar ile birlikte objeleri tipik olarak fonksiyonlarna ya da corafi dalmlarna gre hiyerarik olarak barndrmanz salar. rnein altnz irketin adnn ABCCORP olduunu varsayalm. irketiniz New York, San Jose ve Belfastta yer alyor. ABCCORP.COM adnda bir domain ve iinde NY, SJ ve Belfast adnda OUlar oluturabilirsiniz. Byk organizasyonlarda OUlar fonksiyonlarna gre organize edebilirsiniz. rnein, ABCCORP.COM adndaki domaininiz iinde SALES, ACCT ve TECHSUPP adnda OUlar oluturabilirsiniz. Organizasyonunuzun boyutlarna ve gvenlik ihtiyalarna bal olarak i ie OUlarnz olabilir. Dier OUlar iinde barndran OUlara parent ve parent OUlarn iindeki OUlara da children ad verilir. i ie OUlar arasndaki iliki parent-child ilikisi olarak adlandrlr. Genel bir kural olarak Active Directory yapnz mmkn olduunca basit tutmak isteyeceksiniz. Sitelar Domain ve OUlar mantksal olarak network kaynaklarnn gruplanmas olarak dnlebilir. nceki rnekte, OUlar nceliklerinize ya da networkn gereksinimlerine gre lokasyonlara ya da departmanlara gre organize etmenin anlaml olabileceini grdnz. Buna kar siteler Active Directoryyi farkl fiziksel lokasyonlara ayrr. Siteler ncelikli olarak replikasyon amacyla kullanlr. Ayn directoryyi paylaan iki ayr fiziksel lokasyonunuz olduunda neler olabileceini dnn. Belirli peryotta replikasyon yaplmad durumda iki farkl directory tutarsz olarak ie yaramaz hale gelebilir. Bununla birlikte, eer her bir lokasyonda site oluturduunuz takdirde, tutarl bir veri taban iin dzenli bir replikasyonu planlayabilirsiniz.
97
rinde atanm yetkileri otomatik olarak almasn salayacak ekilde yaplandrabilirsiniz. rnein, organizasyonunuzun Kuzey Amerika blm 12 adet child OU barndrmakta. Gvenlik yetkilerini Kuzey Amerika blm zerine yerletirerek tm bu OUlar iin Kontrol OU iindeki bir obje seyetkileri delege edebilirsiniz. Bu zellik, zellikle byk organizasviyesinde deil, sadece OU seviyonlarda ynetimi olduka kolaylatrr, fakat bu ayn zamanda bir yesinde delege edebilirsiniz. domain iinde OU yapsn dzgn bir ekilde planlamann nemini gstermektedir. Inheritance Ayarlar imdiye kadar parent-child ilikilerinin ynetimsel anlamda nasl yararl olabileceini grdnz. zinlerin inherit edilmesi ilemini dikkate almanz gerekir. Mantksal olarak bu ilem inheritance olarak bilinir. zinler parent zerinde ayarlandnda, tm child objeleri ayn izinleri inherit edecek ekilde yaplandrlrlar. Gereken durumlarda child objelerin parenttan izinleri inherit etme ilemi iptal edilebilir.
Start menuye eriimi kstlamak. Control Panel kullanmna engel olmak. Grnt ve masast ayar seeneklerini snrlandrmak.
98
Blm 3
1. Local Computer Policy 2. Site (domain gruplar) 3. Domain 4. OU Ayarlar arasnda herhangi bir akma varsa, site policy, local policy ayarlarn ezer. Sonrasnda, domain policyler uygulanr. Eer domain policy ek ayarlar ieriyorsa, bu ayarlar yaplandrmaya uygulanr. Daha sonra, OU policyleri uygulanr. Yine ek ayarlar uygulanacaktr. Ayarlar arasnda herhangi bir akma olursa, OU policy, domain policy ayarlarn yok sayar. Son olarak, kullanc ve bilgisayar ayarlar arasnda akma varsa kullanc ayarlar uygulanr. Aadaki seenekler GPOlarn varsaylan uygulanma yaklamn deitirmek iin kullanlr: No Override: No Override seenei, child konteynerlerin daha st seviyedeki GPOlerinin policy ayarlarn ezememesi iin kullanlr. Bu durumda No Overrides seeneinin her seviyede seilmi olduunu varsayarsak ncelik sras u ekilde olacaktr: Site ayarlar domain ayarlarn yok sayar, domain ayarlar OU ayarlarn ezer. No Override seeneini, hiyeraride alt seviye sistem yneticilerinin sizin ayarlarnz ezmesine izin vermeden Hem snav iin hem de gerek dnyada tm irket kapsamnda policyleri uygulamak istediinizde sorun zmek iin GPOlar iin policylerin kullanabilirsiniz. Bu seenek ihtiya duyulduunda konteyuygulanma srasn anlamak nemlidir. ner baznda ayarlanabilir. Block Inheritance: Block Inheritance seenei child konteynerin, parent konteynerden uygulanan GPOyu bloklamas iin kullanlr. Bu seenei, eer child konteynerin GPO ayarlarn parent konteynerlerden inherit etmesini engellemek ve sadece sizin o konteyner iin ayarladnz GPOlarn uygulanmasn istediiniz durumda kullanabilirsiniz. Eer No Override ve Block Inheritance ayarlar arasnda akma varsa No Override seenei uygulanr.
Her bir ablonun fonksiyonu Tablo 3.2de tanmlanmtr. Tablo 3.2: Ynetimsel ablonlarn (Administrative Templates) Tanmlar
Ynetimsel ablon Aklama Windows 2000 ve daha st istemciler tarafndan kullanlan ablon. Windows 2000 ve daha st istemciler iin Internet Explorer (IE) ayarlarn yaplandrmak amacyla kullanlan ablon.
System.adm Inetres.adm
99
Local Computer Policy iin en yaygn olarak yaplandrabileceiniz seenekler sonraki ksmda tanmlanmtr. Hiyerari ierisinde belirli policy ayarlarnn nerede bulunabileceini daha iyi anlamak iin bu resme geri dnmek isteyebilirsiniz. Policy ynetim grevlerinizi idare etmek iin Local Computer Policy snap-inini Microsoft Management Consolea (MMC) ekleyebilirsiniz. Bir domain controller zerinde domain policylerine Start > Administrative Tools > Domain Security Policy yoluyla ulaabilirsiniz. Altrma 3.1de Local Computer Policy ve Event Viewer snap-inlerini ye sunucunuza ekleyeceksiniz. Altrma 3.1: Gvenlik Ayarlar iin Ynetim Konsolu Oluturmak 1. Start > Run seip, Run diyalog kutusunda MMC yazn ve OK butonuna basarak MMCyi an. 2. Ana mende File > Add/Remove Snap-In sein 3. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. 4. Group Policy Object Editor seeneini seerek Add butonuna tklayn. 5. Varsaylan olarak Group Policy Object, Local Computer tanmlar. Finish butonuna tklayn. 6. Event Viewer seeneini seip Add butonuna tklayn.
Bu blmdeki Altrma 3.7 dndaki tm altrmalar bir ye sunucuda yaplmaldr.
100
Blm 3
7. Select Computer diyalog kutusu varsaylan olarak Local Computer seili olarak grntlenir. Finish butonuna tklayn, ardndan Close butonuna tklayn. 8. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 9. File > Save As sein. Konsolu Security adyla src:\Documents and Settings\All Users\Start Menu\Programs\Administrative Tools klasrne Save butonuna tklayarak kaydedin.
Ayn zamanda Local Computer Policy ayarlarn Gpedit.msc komut satr yardmc arac ile de dzenleyebilirsiniz. Bu yardmc arac kullanmak iin, Start > Run komutunu verin ve Run diyalog kutusunda Gpedit.msc yazp OK butonuna tklayn.
Artk bu konsola Start > Administrative Tools > Security komutuyla ulaabilirsiniz.
999 gn
101
Etkin deil
Etkin
Etkin deil
Etkin
Enforce Password History seenei: Kullanclarn ayn passwordleri tekrar kullanamamalarn salamak amacyla kullanlr. Kullanclar passwordlerinin sresi dolduunda ya da deitirdiklerinde yeni bir password oluturmak zorundadr. Maximum Password Age seenei: Kullanclar belirlenen bir gn sonunda passwordlerini deitirmeye zorlar. Minimum Password Age seenei: Kullanclarn, kendi passwordlerini Enforce Password History policy kullanm amacn boa karacak ekilde srekli deitirebilmelerini engeller. Minimum Password Length seenei: Kullanclarn belirli bir uzunluk gereksinimini karlayacak ekilde parola oluturmalarn zorlamak amacyla kullanlr. Bu seenek seili deilse kullanclar password oluturmak zorunda kalmazlar. Password Must Meet Complexity seenei: Kullanclarn yaygn kullanlan szckleri parola olarak kullanabilmelerini engeller. Store Password Using Reversible Encryption For All Users In The Domain seenei: Baz uygulama ve protokoller varsaylan parola depolama yntemi ile almaz. Bu policy, kullanc parolasna kimlik dorulama sebebi ile ihtiya duyan uygulama ve protokoller iin gvensiz bir depolama yntemi salar. Bu yntem parolalarn korunmasn riske sokaca iin gerekmedike tavsiye edilmez
Altrma 3.2de bilgisayarnz iin password policylerini yaplandracaksnz. Bu ve bu blmn kalan altrmalar iin Altrma 3.1i tamamlayp gvenlik ynetim konsolunu oluturduunuz varsaylyor. Altrma 3.2: Password Policylerini Ayarlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-ini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Account Policies, Password Policy eklinde an. 3. Enforce Password History policyyi an. Effective Policy Setting alann be password anmsanacak ekilde tanmlayn. OK butonuna tklayn. 4. Maximum Password Age policyyi an. Local Policy Setting alannda passwordn 60 gn iinde geerliliini kaybedeceini belirleyin. 5. Start > Command Prompt sein, komut satrnda gpupdate yazp Enter tuuna basn. 6. Komut satrnda exit yazp Enter tuuna basn.
102
Blm 3
999 deneme
5 deneme
99,999 dakika
5 dakika
99,9999 dakika
5 dakika
Account lockout policyleri bankalarn ATM eriim kodu gvenliini salamak iin kullandklar sisteme benzer. Doru eriim kodunu girmek iin belirli bir deneme ansnz vardr. Bu sayede, birisi kartnz aldnda alan kii dorusunu bulana kadar eriim kodunu tahmin etme giriimine devam edemeyecektir. Tipik olarak baarsz giriimden sonra ATM makinesi kart alr. Ardndan bankadan yeni bir kart iin istekte bulunmanz gerekir. Account lockout policyleri de ayn ekilde alr.
Altrma 3.3de, account lockout policylerini yaplandracak ve etkilerini test edeceksiniz. Bu ve kalan altrmalarda policyleri yaplandrmak iin bozulmas durumunda silinebilecek Administrator hesabndan baka en az iki adet Kullanc hesaplarn oluturmak ve ynetmek bu kitabn kapsam dnda olan bir konudur. Daha fazla bilgi iin MCSA/MCSE: Windows kullanc hesabnzn olduu varsaylServer 2003 letim Sistemine Genel Bak (70-290) kitabna bakn. yor. Altrma 3.3: Account Lockout Policylerini Ayarlamak 1. Start > Administrative Tools > Securtyi sein ve Local Computer Security snap-inini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Account Policies, Account Lockout Policy eklinde an.
103
3. Account Lockout Threshold Policyyi an. Local Policy Setting alannda, hesabn baarsz logon giriimi sonrasnda kilitleneceini belirleyin. OK butonuna tklayn. 4. Suggested Value Changes diyalog kutusu grntlenir. OK butonuna tklayarak Account Lockout Duration ve Reset Account Lockout Counterlarnn varsaylan deerlerini kabul edin. 5. Administrator hesabnzdan log off olun. Administrator dndaki herhangi bir hesaptan hatal parola ile kez logon olmay deneyin. 6. Hesabn kilitlendiini belirten hata mesajn grdkten sonra Administrator olarak logon olun. 7. Kullancnn hesabn unlock etmek iin, MMCda Local Users and Groups snap-inini an, Users klasrn geniletin ve kilitlenen kullanc zerinde ift tklayn. Properties diyalog kutusunun Account sekmesindeki Account Is Locked Out onay kutusunu temizleyin. Ardndan OK butonuna tklayn. Kerberos Policylerini Ayarlamak Kerberos policyleri Kerberos kimlik dorulama ayarlar iin kullanlr. Kerberos version 5, Windows Server 2003de kullanc ve network servislerinin kimliklerini dorulamak iin kullanlr. Bu ayn zamanda dual verification ya da mutual authentication olarak da adlandrlr. Bir Windows Server 2003 bilgisayar bir domain controller olarak yklendiinde, otomatik olarak key distribution center (KDC) ekline dnr. KDC kullanclarn parolarn ve hesap bilgilerini tutmak ile sorumludur. Kerberos servisleri ayn zamanda her bir Windows Server 2003 istemci ve sunucularna yklenir. Kerberos kimlik dorulama aadaki admlar gerektirir. 1. stemci KDCden parola ya da smart card kullanarak kimlik dorulama talebinde bulunur. 2. KDC istemciye bir ticket-granting ticket (TGT) yaynlar. stemci TGTi kullanarak ticket-granting servicee (TGS) eriebilir. Bu servis kullancnn domain iindeki servislere kimlik dorulamasn gerekletirmesini salar. TGS istemcilere service ticketlar yaynlar. 3. stemci istekte bulunan network servisine ticket sunar. Bu service ticket mutual authentication iin, kullancnn servise ve ayn zamanda servisin kullancya kimliklerinin dorulamasn salar. Kerberos policyleri Tablo 3.5deki tanmlanmtr. Tablo 3.5: Kerberos Policy Seenekleri
Policy Enforce User Logon Restrictions Maximum Lifetime For Service Ticket Maximum Lifetime For User Ticket Maximum Lifetime For User Ticket Renewal Maximum Tolerance For Computer Clock Synchronization Aklama Zorlanacak logon kstlamalarnn belirler. Servisin yenilenmeden nceki maksimum yaam sresini belirler. Bir ticketn yenilenmeden nceki maksimum yaam sresini belirler. Bir ticketn yeniden oluturulmadan nce en fazla ka kez yenilenebileceini belirler. stemci ve KDC arasndaki maksimum saat senkronizasyonunu belirler. Default Local Setting Tanml deil Tanml deil Effective Setting Etkin 600 dakika
Tanml deil
10 saat
Tanml deil
7 gn
Tanml deil
5 dakika
104
Blm 3
istediinizde local policyleri kullanrsnz. Local policyler ile denetleme, kullanc haklarn ve gvenlik seeneklerini belirleme ilemlerini uygulayabilirsiniz. Local policyleri kullanmak iin ilk olarak MMCye Local Computer Policy snap-inini ekleyin (Bakn Altrma 3.1). Ardndan, MMCda Local Policy klasrlerine erimek iin u yolu takip edin: Local Computer Policy, Computer Configuration, Windows Settings, Security Settings, Local Policies. Local Policies altnda klasr vardr: Audit Policy, User Right Assignment ve Security Options. Bu policyler sonraki aadaki ksmlarda aklanmtr. Audit Policyleri Ayarlamak Audit policyler kullanc ynetimiyle ilgili olaylarn izlenmesi amacyla kullanlr. Bir takm olaylar izleyerek, rnein kullanc oluturma, baarl ya da baarsz logon giriimleri gibi spesifik grevlerle ilgili bir gemi oluturabilirsiniz. Ayn zamanda bir eit gvenlik ihlali olarak tanmlanabilecek kullanclarn eriim yetkisi olmayan sistem ynetim grevlerine erime giriimlerini tespit edebilirsiniz. Bir audit policy tanmlayarak, spesifik olaylarn baarl ya da baarsz olma durumlarn izlemeyi seebilirsiniz. Bir olayn baarl olmas (success) grevin baarl bir ekilde tamamlanm olduu anlamna gelir. Bir olayn baarsz olmas (failure) grevin baarl bir ekilde tamamlanmam olduu anlamna gelir. Varsaylan olarak, izleme etkin deildir ve manuel olarak yaplandrlmaldr. zlemeyi yaplandrdnzda, izleme ileminin sonularn Event Viewer yardmc arac ile grebilirsiniz. Audit policyleri Tablo 3.6da tanmlanmtr. Tablo 3.6: Audit Policy Seenekleri
Policy Audit Account Logon Events Audit Account Management Audit Directory Service Access Audit Logon Events Audit Object Access Audit Policy Change Audit Privilege Use Audit Process Tracking Audit System Events Aklama Bir kullancnn logon, log off olma ya da bir network balants yapma ilemlerini izler. Kullanc ve grup hesaplarnn oluturulma, silinme ve ynetim ilemlerini izler. Dizin servisi eriimlerini izler Bir logon scriptinin almas ya da bir romaing profilea eriim gibi logon ilemiyle ilgili olaylar izler. Dosya, klasr ya da yazclara eriimi izler. Audit policydeki deiiklikleri izler. Bir kullancnn kendisine verilen haklar ile yapt ilemleri izler. Bir programn aktive edilmesi, bir objeye eriim ve bir srecin sonlanmas gibi olaylarn izlenmesi. Bilgisayarn kapatlmas ya da yeniden balatlmas gibi sistem olaylar ve Event Viewerdaki security loglarn izler.
Birok olay izlemek yksek ilem gc gerektirdiinden dolay sistem performansn drebilir. zleme ayn zamanda log dosyalar iin byk bir disk alann kullanabilir. Bu yardmc arac mantkl bir ekilde kullanmalsnz.
Altrma 3.4: Audit Policyleri Ayarlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-inini geniletin. 2. Klasrleri: Computer Configuration, Windows Settings, Security Settings, Audit Policy eklinde an. 3. Audit Account Logon Events policyyi an. Local Policy Setting alannda Audit These Attempts altndaki Success ve Failure onay kutularn iaretleyin. OK butonuna tklayn.
105
4. Audit Account Management policyyi an. Local Security Setting alannda, Audit These Attempts altnda Success ve Failure onay kutularn iaretleyin. OK butonuna tklayn. 5. Administrator hesabnzdan log off olun. Sistemde var olmayan bir hesap adyla logon olmay deneyin. Bu logon ilemi baarsz olacaktr (nk o kullanc adyla bir hesap yok). 6. Administrator olarak logon olun. MMCyi an ve Event Viewer snap-ini geniletin (Altrma 3.1de eklediiniz ) 7. Event Viewerdan security logunu an. Bu log iinde audit eventlerinin listelendiini grmeniz gerekiyor. User Rights Assignments Kullanc haklar, bir kullanc ya da grubun bilgisayar zerindeki haklarn belirler. Kullanc haklar sisteme uygulanr. Spesifik objelere uygulanan izinlerle ayn deildir. Kullanc haklarna bir rnek olarak Back Up Files And Directories hakk verilebilir. Bu hak kullancnn sistem zerinde yetkisi olmayan dosya ve klasrleri bile yedeklemesine izin verir. Dier kullanc haklar da benzer ekilde kaynak eriimi ile ilgili deil sistem eriimi ile ilgilidir. User rights assignment policyleri Tablo 3.7de tanmlanmtr. Tablo 3.7: User Rights Assignments Policy Seenekleri
Hak Access This Computer From The Network Act As Part Of The Operating System Add Workstation To Domain Adjust Memory Quotas For A Process Aklama Kullancnn bilgisayara network zerinden eriebilmesine izin verir. Alt seviye kimlik dorulama servislerinin herhangi bir kullanc olarak kimlik dorulamalarn salar. Kullancnn domainde bir bilgisayar hesab oluturabilmesine izin verir. Kullancnn bir process tarafndan kullanlabilecek maksimum bellek miktarn deitirebilmesine izin verir. Kullancnn bu bilgisayara interaktif olarak logon olmasna izin verir. Bu Ctrl+Alt+Del tu kombinasyonu ile sisteme logon olabilmek iin gereklidir. Ayn zamanda bir kullanc olarak logon olabilen baz servisler ya da ynetimsel uygulamalar iin gerekli olabilir. Bu policyyi bir kullanc ya da grup iin tanmlarsanz Administrator grubunun da bu yetkiye sahip olduundan emin olmalsnz. Bir kullancnn Terminal Services istemcisi olarak logon olmasna izin verir. Dosya ve klasr izinleri ne ekilde atanm olursa olsun bir kullancnn tm dosya ve klasrleri yedeklemesine izin verir. Bir kullancnn bir klasr ieriini listeleme hakk olmasa bile klasr yaps ierisinde gei yapmasna izin verir. Bir kullancnn bilgisayarn dahili zaman ayarn deitirebilmesine izin verir. Bir kullancnn page dosyasn oluturabilme ya da boyutunu deitirebilmesine izin verir. Bir process eer NtCreateToken API kullanyorsa bir token oluturmasna izin verir. Bir processin Windows Server 2003 Object Manager araclyla bir directory objesi oluturmasna izin verir. Bir kullancnn herhangi bir process ile bir hata ayklama programn ilikilendirmesine izin verir. Bu bilgisayara belirli kullanclarn ya da gruplarn networkten eriebilmelerini yasaklar.
Allow Log On Through Terminal Services Back Up Files And Directories Bypass Traverse Checking Change The System Time Create A Pagefile Create A Token Object Create Permanent Shared Objects Debug Programs Deny Access To This Computer From The Network
106
Blm 3
Log On As A Batch Job Log On As A Service Manage Auditing And Security Log Modify Firmware Environment Variables
Profile Single Process Remove Computer From Docking Station Replace A Process Level Token Restore Files And Directories Shut Down The System Synchronize Directory Service Data Take Ownership Of Files Or Other Objects
107
Altrma 3.5: Local User Rights Ayarlar 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-inini geniletin. 2. Klasrleri: Computer Configuration, Windows Settings, Security Settings, Local Policies, User Rights Assignments eklinde geniletin. 3. Log On As A Service kullanc hakkn an. Local Security Policy Settings diyalog kutusu grntlenir. 4. Add User Or Group butonuna tklayn. Select Users Or Groups diyalog kutusu grntlenir. 5. Geerli bir kullanc ad girin ve Add butonuna tklayn. Ardndan OK butonuna tklayn.
Interactive Logon
Microsoft Network Client Microsoft Network Server Network Access Network Security Recovery Console Shutdown System Cryptography
108
Blm 3
Altrma 3.6: Security Options Tanmlamak 1. Start > Administrative Tools > Security sein ve Local Computer Policy snap-ininini geniletin. 2. Klasrleri Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options eklinde geniletin: 3. Interactive Logon: Message Text For Users Attempting To Log On policysini an. Local Policy Setting alanna Welcome to all authorized users girin. OK butonuna tklayn. 4. Interactive Logon: Prompt User To Change Password Before Expiration policysini an. Local Policy Setting alann gn olarak belirleyin. OK butonuna tklayn. 5. Start > Command Prompt tklayn. Komut satrnda gpupdate yazp Entera basn. 6. Komut satrnda exit yazp Enter tuuna basn. 7. Administrator hesabnzdan log off olun ve dier bir kullanc ile log on olun. 8. Log off olun ve Adminitrator olarak log on olun.
Ayn zamanda Encrypting File System (EFS) ile birletirmede kullanlan data recovery agentlar belirlemek amacyla kullanabilirsiniz.
User profile policyleri Logon policyleri Disk quota policyleri Group Policy policyleri Windows file protection policyleri
Policyyi dzenlemek iin, policy adnn zerinde ift tklayn. ou ksmda sadece iki seeneiniz olacaktr: enable ya da disable. Time Out For Dialog Boxes policy gibi bir kanda saysal deerler belirtmeniz gerekir. Fakat policyleri yaplandrmak bundan daha karmak deildir. Bunlarn herbiri ilerleyen blmlerde ele alnacaktr.
109
Do Not Detect Slow Network Connections Slow Network Connection Timeout For User Profiles Wait For Remote User Profile Prompt User When Slow Link Is Detected Timeout For Dialog Boxes
Logon Policyleri
Logon policyleri logon scriptleri ve user profile eriimleri gibi logon olaylarnn nasl yaplandrlacan belirlemek iin kullanlr. Logon policy seenekleri Tablo 3.10da tanmlanmtr. Tablo 3.10: Logon Policy Seenekleri
Logon Policy Run Logon Scripts Synchronously Aklama Logon scriptlerin Windows Explorer arayz almadan almasn bitirmesi gerektiini belirler. Bu seenei yaplandrmak Desktopn grnmnde bir gecikmeye neden olabilir. Sistemin startup scriptlerini asenkron olarak e zamanl altrmasna izin verir. Aksi halde eer birden fazla startup scriptiniz varsa bir startup scripti nceki scriptin almas bitmeden balayamaz. Startup script komutlarn alrken ekranda grntler. Shutdown script komutlarn alrken ekranda grntler. Scriptlerin ilemini tamamlamadan ve bir hata kayd oluturmadan nce, sistemin scriptler (logon, startup ve shutdown) iin en fazla ne kadar sre bekleyeceini belirler. Bu deer varsaylan olarak 600 saniyedir (10 dakika).
Run Startup Scripts Asynchronously Run Startup Scripts Visible Run Shutdown Scripts Visible Maximum Wait Time For Group Policy Scripts
110
Blm 3
Disk kotalar MCSA/MCSE: Windows Server 2003 letim Sistemine Genel Bak kitabnda da daha detayl olarak ele alnmtr.
111
112
Blm 3
2. Open Database diyalog kutusu grntlenir. File Name metin kutusunda, oluturacanz veritabannn adn girin. Varsaylan olarak bu dosya .sdb (gvenlik veritaban iin) uzantsna sahip olur. Ardndan Open butonuna tklayn. 3. Import Template diyalog kutusu grntlenir. Import etmek istediiniz ablonu sein. Bu diyalog kutusu ile nceden tanml bir ablonu da import edebilirsiniz. Sonraki ksmda, zelletirilmi bir ablon dosyasnn nasl oluturulduunu ve kullanldn reneceksiniz. Seiminizi yapn ve Open butonuna tklayn.
113
Setup Security
Compatible (Compatws.inf)
Compatws
Securedc, Securews
Hisecdc, Hisecws
DC security
Security.inf)
Rootsec
Gvenlik ablonlarn MMCde Security Templates snap-ini araclyla oluturabilirsiniz. Gvenlik ablonlarn Tablo 3.15de listelenen eler ile yaplandrabilirsiniz. Tablo 3.15: Security Templates Yaplandrma Seenekleri
Account Policies Local Policies Event Log Restricted Groups Registry File System System Services Password policyleri, account lockout policyleri ve kerberos policyleri iin kullanlmas gereken yaplandrma zelliklerini belirler. Audit policyleri, kullanc haklar ve gvenlik seenekleri iin kullanlmas gereken yaplandrma zelliklerini belirler. Event Viewer log dosyalarna uygulanan yaplandrmay ayarlamay salar. Lokal grup yeliini ynetmenizi salar. Lokal Registry ayarlar iin gvenlik ayarlarn belirler. Lokal sistem iin gvenlik ayarlarn belirler. Sistem servisleri iin ve lokal sistem servislerinin kullanaca startup modeu belirler.
114
Blm 3
MMCye Security Templates snap-ini ekledikten sonra aadaki ekilde rnek bir gvenlik ablonunu aabilir ve deitirebilirsiniz. 1. MMCde, Security Templates snap-inini ve ardndan systemroot\Security\Templates klasrn geniletin. 2. Dzenlemek istediiniz rnek bir ablon zerinde ift tklayn. Burada securews (gvenli Windows sunucu iin) ve securedc (gvenli domain controller iin) gibi birok rnek ablon bulunur. 3. rnek gvenlik ablonu zerinde istediiniz deiiklii gerekletirin. ablondaki deiiklikler varsaylan olarak lokal sisteme uygulanmaz. Sistemin istediiniz ekilde yaplandrlacan belirlemek iin bu kolay bir yol salar. 4. rnek ablon zerinde tm deiiklikleri yaptktan sonra ablon zerinde sa tklayarak Save As seeneine tklayn. Yeni ablon iin bir dosya ad ve lokasyon belirleyin. Varsaylan olarak, gvenlik ablonu .inf uzantl olarak systemroot\Security\Templates klasrne kaydedilir.
115
Altrma 3.7: Security Configuration and Analysis Aracn Kullanmak Security and Configuration Analysis Snap-In Eklemek 1. Start > Administrative Tools > Security sein. 2. File > Add/Remove Snap-In sein. 3. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. Security Configuration And Analysis snap-ini seip Add butonuna tklayn. Ardndan Close butonuna tklayn. 4. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. Gvenlik Veritabann Belirlemek 1. MMCde Security Configuration And Analysis zerinde sa tklayn ve Open Databasei sein. 2. Open Database diyalog kutusunda, File Name metin kutusunda sampledb yazn ve Open butonuna tklayn. 3. Import Template diyalog kutusunda, securews ablonunu sein ve Open butonuna tklayn. Gvenlik ablonu Oluturmak 1. MMCde File > Add/Remove Snap-In sein 2. Add/Remove Snap-In diyalog kutusunda Add butonuna tklayn. Security Templates snap-ini seip Add butonuna tklayn. Ardndan Close butonuna tklayn. 3. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 4. Security Templates snap-inini geniletin ve ardndan systemroot\Security\Templates klasrn geniletin. 5. securews dosyas zerinde ift tklayn. 6. Account Policies ve ardndan Password Policy sein 7. Password policylerini aadaki ekilde dzenleyin:
Enforce Password History seeneini 10 parola hatrlanacak ekilde ayarlayn. Password Must Meet Complexity Requirements seeneini etkin hale getirin (Enable). Maximum Password Age seeneini 30 gne ayarlayn.
116
Blm 3
8. Securews dosya adn seip sa tklayn ve Save As seeneini sein. 9. Save As diyalog kutusunda, dosyay servertest adyla varsaylan klasre Save butonuna tklayarak kaydedin. Gvenlik ablonunu Import Etmek 1. Security And Analysis snap-ini sein, sa tklayarak Import Template seeneini sein. 2. Import Template diyalog kutusunda, servertest dosya adn sein ve Open butonuna tklayn. Gvenlik Analizini Gerekletirmek ve Gzden Geirmek 1. Security Configuration And Analysis snap-ini sein, sa tklayarak Analyze Computer Now seeneini sein. 2. Perform Analysis diyalog kutusunda, varsaylan hata log dosyas yolunu kabul edin ve OK butonuna tklayn. 3. MMC ana ekranna dndnzde, Security Configuration And Analysis snap-in zerinde ift tklayn. 4. Account Policies ve ardndan Password Policy zerinde ift tklayn. Yanlarnda x ya da onay iareti ile belirtilmi ekilde herbir policynin analiz sonularn greceksiniz.
Windows Updates Windows kullanclarnn Microsoft web sitesi araclyla iletim sistemlerinin gncelleme dosyalarn (kritik ve kritik olmayan yazlm gncellemelerini) indirebilmelerini salar. Automatic Updates Windows Updatein fonksiyonelliini kritik dosyalarn gncelletirilmesini otomatik hale getirerek sunar. Automatic Updates ile gncelletirmelerin otomatik olarak indirilip yklenmesini istediinizi ya da sadece yeni gncelletirmelerden haberdar olmak istediinizi belirleyebilirsiniz. Windows Server Update Services (WSUS) Windows Updatein kstl bir versiyonunu irketin sunucusuna kurarak ihtiya duyulan gncellemeleri srasyla irket iindeki istemci bilgisayarlara yaymak iin kullanlr. Bu bir gvenlik duvar araclyla internete kabilen kstl istemcilerin kendi Windows iletim sistemlerinin gncel kalmasna yardmc olur. Microsoft Baseline Security Analyzer (MBSA) en gncel gvenlik gncelletirmelerine sahip olduunuzdan emin olmanza yardmc olmak iin kullanabileceiniz ve Microsoftun web sitesinden indirebileceiniz bir yardmc aratr.
Windows Update
Windows Update, Microsoftun web sitesi araclyla, Windows iletim sistemleri iin en gncel dosyalar tedarik etmek iin kullanlr. rnek gncelletirmeler, gvenlik yamalar ve kritik gvenlik gncelletirmeleri, gncelletirilmi yardm dosyalarn ve gncelletirilmi srcleri ierir. Windows Updatee Help and Support sayfas zerinden Microsoft web sitesi zerinden ulalabilir (ekil 3.4). Yeni gncelletirmeleri aramak iin Welcome To Windows Updates ekrannda Scan For Updates linkine tklayn (ekil 3.5).
117
Windows Update tarama sonucu Windows Update ekrannn sol tarafnda grntlenecektir. Aadaki seenekleri greceksiniz:
Pick Updates To Install, bilgisayarnz iin hangi gncelletirmelerin mevcut olduunu listeler ve aadaki kategorileri ierir:
Critical Updates and Service Packs Windows Server 2003 Family Driver Updates
Review And Install Updates, yklemek iin setiiniz gncelletirmeleri grmenizi ve gncelletirmeleri yklemenizi salar. View Installation History, sunucunuza uyguladnz tm gncelletirmeleri izlemenizi salar. Personalize Windows Updates, Windows Updatei kullanrken grdklerinizi zelletirir. Get Help and Support, Windows Update ile ilgili yardm ve destek bilgilerini grntler.
Bazen yklenen gncelletirmelerin etkin hale gelebilmesi iin bilgisayarn yeniden balatlmas gerekir. Bu noktada, Windows Update chained installation ad verilen bir teknoloji kullanr. Chained installation ile bilgisayarn yeniden balamasn gerektiren tm gncelletirmeler bilgisayar yeniden balatlmadan nce uygulanr. Bu sayede bilgisayarn birden fazla yeniden balatlmas gereksinimini ortadan kaldrr.
ekil 3.4: Help and Support. Windows Update ile toplanan bilgiler, iletim sistemi ve versiyon numaras, Internet Explorer versiyonu, Windows Update araclyla gncelletirilebilen tm yazlmlarn versiyon bilgileri, ykl donanma ait Plug and Play ID numaralar, blge ve dil ayarlar bilgilerini ierir. Windows Update ayn zamanda kullandnz Windows iletim sistemi kopyasnn lisansl olduunu dorulamak iin rn ID ve rn anahtar bilgisini de toplar. Fakat bu bilgi sadece Windows Update oturumu srasnda tutulur ve bir yerde saklanmaz. Windows Update servisi kullanclarnn kiisel bilgilerini tanmlamak amacyla kullanlabilecek hi bir bilgi toplamaz.
118
Blm 3
Altrma 3.8de Windows Updatei kullanacaksnz. Altrma 3.8: Windows Updatei Kullanmak 1. Start > Help And Supportu sein. 2. Help And Support diyalog kutusu grntlenir. 3. Support Taskn altndan Windows Update seeneini sein. 4. Welcome To Windows Update ekran grntlenir. Scan For Updatese tklayn. 5. Windows Update, bilgisayarnzn yaplandrmasna bal olarak mevcut tm gncelletirmeleri arar. 6. Bilgisayarnz iin tm gncelletirmeler listelenir. Critical Updates And Service Packs, Windows Server 2003 Family ve Driver Updates iin herbir seenee tklayn ve yklemek istediiniz gncelletirmeleri iaretleyin. 7. Review And Install Updatese tklayn. Total Selected Updates seeneinde Install Now butonuna tklayn.
119
Start > Control Panel > System ve Automatic Updates sekmesine tklayarak Automatic Updatesi yaplandrabilirsiniz. Bu diyalog kutusunu ekil 3.6da gryorsunuz. Automatic Updatesi Keep My Computer Up To Date seeneini iaretleyerek etkin hale getirebilirsiniz. Bu ayarn etkin hale getirilmesiyle, Windows Update yazlm dier gncelletirmeler uygulanmadan nce gncelletirilebilir. Aadaki ayarlar Automatic Updatese uygulanabilir:
Notify me before downloading any updates and notify me again before installing them on my computer. Bu seenek herhangi bir gncelletirmenin kabul edilmesi iin sizden onay isteyecek ve bu gncelletirmenin uygulanmas iin sizin onaylamanz gerekecektir.
Download the updates automatically and notify me when they are ready to installed. Bu varsaylan ayardr. Gncelletirmeler otomatik olarak arka planda indirilecektir, fakat gncelletirmelerin yklenmesini onaylamanz gerekecektir. Automatically download the updates, and install them on the schedule that I specify. Bu seenek size Windowsun gncelletirmeleri aramas iin rnein alma saatleri dnda belirli bir gn ve zaman tanmlayabilmenizi salar. Gncelletirmelerin sunucunuza uygulanmadan nce gncelletirmeleri yklemek istediinizi onaylamanz gerekecektir.
Automatic Update sekmesinin en altnda Declined Updates butonu vardr. Eer Windows sizi bir gncelletirmeden haberdar eder ve siz bunu reddederseniz, daha sonra bu butona tklayarak bu gncelletirmeye eriebilirsiniz. Altrma 3.9da Automatic Updatesi yaplandracaksnz. Altrma 3.9: Automatic Updatesi Yaplandrmak 1. Start > Control Panel > System ve Automatic Updates sekmesine tklayn. 2. Keep My Computer Up To Date seeneinin onayl olduunu dorulayn. 3. Settings altnda, Automatically download the updates, and install them on the schedule that I specify seeneini iaretleyin. Every Sunday at 2:00 am seip OK butonuna tklayn.
120
Blm 3
Bu kitap yazlrken WSUS, SUS yerine Windows Server 2003in bir paras olarak datlmaktayd.
WSUS zel intranet ierisindeki dahili bir sunucunun sanal Windows Update sunucusu olarak almasn salar. Sistem yneticileri Windows Update sitesinden gnderilecek ve yaylacak gncelletirmeler zerinde seimli bir kontrole sahiptir. lk olarak bir sistem yneticisi tarafndan onaylanmadka hibir gncelletirme istemci bilgisayarlara datlmaz. Sistem yneticileri Windows Update sitesinden WSUS sunucusuna yaplacak gncelletirmelerin senkronizasyonunu manuel ya da otomatik olarak kontrol edebilir. Automatic Updates, istemci bilgisayarlar Windows Update sitesi yerine yerel WSUS sunucusuna eriecek ekilde yaplandrlabilir. WSUS her bir gncelletirmeyi Microsoft tarafndan saysal olarak imzalanm olma durumlarna gre kontrol eder. Saysal olarak imzalanmam hibir gncelletirme uygulanmaz. Sistem yneticileri istemcilerin gncelletirilmi dosyalara Microsoft web sitesinden mi yoksa intranetten mi ulaabileceklerini belirleyebilir. Gncelletirmeler istemcilere oklu dil seenekleri ile datlabilir. Sistem yneticileri bir WSUS istatistik sunucusu yaplandrarak gncelletirme eriim logunu tutabilir, bu sayede istemcilerin ykledii gncelletirmeleri takip edebilirler. WSUS sunucu ve WSUS istatistik sunucusu ayn bilgisayar olabilir. Sistem yneticileri eer web tarayclar Internet Explorer 5.5 ya da daha st bir taraycya sahiplerse WSUS sunucularn HTTP ya da HTTPS kullanarak uzaktan ynetebilirler.
Windows 2000 Server Service Pack 4 ve st ya da Windows Server 2003 altryor olmal. Internet Explorer 6.0 Service Pack 1 ya da st kullanyor olmal. Tm en son gvenlik yamalar uygulanm olmal. Internet Information Services (IIS) altryor olmal. Networke bal olmal. WSUS sunucu yazlm iin 100 MB bo alan bulunan bir NTFS blm ve tm gncelletirme dosyalar iin 6 GB bo alana sahip olmal. Background Intelligent Transfer Services (BITS) versiyon 2.0 kullanyor olmal.
Eer sizin WSUS sunucunuz aadaki gereksinimleri salayabiliyorsa, 15,000e kadar istemciyi destekleyebilir:
121
zin temiz bir Windows 2000 veya Windows Server 2003 yklemenizi ve tm service pack ve gvenlikle ilgili yamalar uygulamanz tavsiye eder. Bir WSUS Sunucu Yklemek
Sunucu zerinde virs tarama program yklememeniz gerekir. Virs tarayclar WSUS aktivitelerini bir virs olarak alglayabilir.
Aadaki admlar bir WSUS sunucu ykleme srasnda kullanlr. 1. WSUS yazlmn Microsoftun web sitesinden indirin. WSUS sayfasna erimek iin www. microsoft.com/windowsserversystem/updateservices/downloads/WSUS. mspx ya da http://go.microsoft.com/fwlink/?LinkId=47374 linklerini kullanabilirsiniz. 2. WSUS sunucuyu yklemek iin WSUSSetup.exe zerine ift tklayn. 3. Welcome ekran grntlenir. Next butonuna tklayn. 4. End-User Licence Agrement ekran grntlenir. Dikkatli bir ekilde anlamay okuyun ve I Accept The Terms In The License Agreement butonuna tklayn. Next butonuna tklayn. 5. Select Update Source diyalog kutusu grntlenir. ekil 3.7de grld gibi bu diyalog kutusunda gncelletirme dosyalarnn bulunaca yeri seebilirsiniz. Next butonuna tklayarak varsaylan lokasyonu kabul edin, C:\WSUS\.
6. ekil 3.8deki Database Options diyalog kutusu grntlenir. SQL Server Desktop Engine varsaylan deerdir. Bu varsaylan deeri onaylayp Next butonuna tklayn. 7. Ardndan gncelletirmeleri sunacak varsaylan bir IIS kurulumu ya da farkl bir TCP portundan dinleyecek spesifik WSUS web sitesi oluturabileceiniz Web Site Selections ekran gelir. WSUS sunucu sadece WSUS altracak ekilde yaplandrlmas gerektiinden buradaki varsaylan deerleri kabul edebilirsiniz. Eer IIS sunucuyu zaten web sayfalar iin altryorsanz ve bunu deitirmek istemiyorsanz yeni bir WSUS web sitesi oluturma seeneini iaretlemeniz gerekir. Bu ekran ekil 3.9da gsterilmektedir. Bu ekran nemlidir nk WSUSun web zerinden ynetimi srasnda kullanlacak ara yzne eriim URLini gsterir. Siteniz iin uygun yaplandrmay setiinizde Next butonuna ekil 3.8: Database Options diyalog kutusu. tklayn.
122
Blm 3
8. Ardndan Mirror Update Settings ekran grntlenir. Bu ekranla WSUS sunucusunun baka bir sunucu ile mirror yaplp yaplmayacan seersiniz. Bu yaplandrma ykn bir sunucu grubu zerinde paylalmas iin kullanl olabilir. Bu ekran ekil 3.10da grlmektedir.
9. Ready To Install ekran grnr, ekil 3.11de grld gibi ynetim iin kullanlacak ve istemciler iin gerekli self update URLler grntlenir. Self update ykleme URLi varsaylan olarak http://yourservername/selfupdatedir. Next tuuna tklayarak yklemeyi balatn. 10. Completing The Windows Server Update Services Setup Wizard ekran grnr. Finish butonuna tklayn. 11. WSUS ynetim web sitesi otomatik olarak Internet Explorer iinde alr. Bir WSUS Sunucusunu Yaplandrmak Sonraki ksmlarda WSUS sunucu seeneklerini nasl yaplandracanz reneceksiniz, senkronizasyonu ayarlamak, gncelletirmeleri onaylamak, synchronization logunu grntlemek, approval logunu grntlemek ve WSUS sunucuyu izlemek.
123
WSUS Sunucu Seeneklerini Ayarlamak Aadaki admlar kullanarak WSUS sunucuyu yaplandrabilirsiniz: 1. Eer WSUS ynetim web sitesi ak deilse, bunu Internet Explorer ile http://yourservername/WSUSadmin URLi ile aabilirsiniz. 2. Windows Server Update Services ekran grntlenir (ekil 3.12). Seeneklere tklayn.
Bir proxy sunucu seimi. stemcilerinizin bu gncelletirme sunucusuna balanabilmeleri iin kullanacaklar bir isim tanmlama. eriin senkronize edilecei sunucuyu seme (Microsoft Windows Update sunucular ya da yerel Software Update sunucusu).
124
Blm 3
nceden onaylanan gncelletirmelerin yeni versiyonlarnn ne ekilde ele alnacan, yani otomatik olarak onaylamak isteyip istemediinizi seebilirsiniz. Gncelletirmeleri barndracanz sunucuyu semek (gncelletirmeleri bir Windows Server Update Services sunucusunda tutmak ya da gncelletirmeleri yerel gncelletirme klasrne kaydetmek). Senkronizasyon iin spesifik rn ya da gncelletirme snflandrmas semek. Kurulum paketlerini belirli blgeler iin senkronize etmek (tuttuunuz gncelletirme paketleri iin blgeleri/dilleri belirlemek).
Yaplandrma ayarlar ile ilgili ilemleri bitirdikten sonra Save Settings butonuna tklayn.
125
WSUS Sunucu Senkronizasyonunu Ayarlamak Varsaylan olarak, WSUS sunucu senkronizasyonu tanmlanmamtr. Manuel olarak sizin sunucunuzla Windows Update sunucusunu senkronize edebilir ya da bu ilemi otomatikletirmek iin bir senkronizasyon plan ayarlayabilirsiniz. Aadaki admlar WSUS sunucu senkronizasyonu yaplandrmak iin kullanlr. 1. Welcome ekranndan Synchronize Now seeneine tklayn. 2. Synchronization Options ekran grnr (ekil 3.14). 3. Synchronize Manually (manuel senkronizasyona zorlayan) seebilir ya da bir seknronizasyon program ayarlayabilirsiniz. Bir senkronizasyon program ayarlamak iin Synchronization Daily At seeneine tklayn ve bir saat ayarlayn. Gncelletirmeleri Onaylamak Gncelletirmeler WSUS istemcilere datlmadan nce, sistem yneticileri gncelletirmeleri onaylamaldr. Gncelletirmeleri onaylamak iin Welcome ekrannda sitenin ara ubuunda Updates seeneine tklayn. Update ekran grntlenir.
Senkronizasyon Logunu Grntlemek Senkronizasyon logunu grntlemek iin, Welcome ekrannda sitenin ara ubuundaki Reports butonuna tklayn. Reports sayfas grntlenir (ekil 3.16). Sonular grntlemek iin Synchronization Results seeneine tklayn. ekil 3.17de grld gibi Synchronization Results ekran grntlenecektir.
126
Blm 3
127
stemcinin gncelletirmeleri Microsoft Windows Update web sitesi yerine bir WSUS sunucudan alabilmesini salar. Sistem yneticilerinin gncel dosyalarn ne zaman indirileceini planlayabilmesini salar. stemcilerin Group Policy araclyla ya da Registryyi dzenleyerek yaplandrlabilmelerini salar. Gncelletirmelerin admin hesabyla ya da baka bir hesapla sisteme girildiinde yaplabilmesini destekler.
Windows 2000 Professional (Service Pack 3 ya da daha st) Windows 2000 Server (Service Pack 3 ya da daha st) Windows 2000 Advanced Server (Service Pack 2 ya da daha st) Windows XP Home Edition (Service Pack 1 ya da daha st) Windows XP Professional (Service Pack 1 ya da daha st) Windows Server 2003 (tm platformlar)
128
Blm 3
NoAutoUpdate
AUOptions
UseWUServer
0 Microsoft Windows Update site kullan. 1 WUServer kayd iinde belirlenen sunucuyu kullan.
Windows Update sunucusu olarak kullanlacak olan sunucuyu belirlemek iin 2 Registry anahtarn dzenlersiniz. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate:
WUServer anahtar Windows Update sunucusunu, sunucunun HTTP ismini kullanarak ayarlar. rnein, http://intranetSUS WUStatusServer anahtar Windows Update intranet WSUS istatistik sunucusunu HTTP ismini kullanarak ayarlar. rnein, http://intranetSUS.
129
Otomatik gncellemenin ne ekilde yaplandrld. Seenekler Notify For Download And Notify For Install, Auto Download And Notify For Install ve Auto Download And Schedule The Install eklindedir. Yklemenin yaplaca gn ve saati planlamak.
9. Hangi sunucunun otomatik gncelletirmeleri salayacan yaplandrmak iin Configure Automatic Updates Properties diyalog kutusunda Next Settings butonuna tklayn. ekil 3.20de grld gibi Specify intranet Microsoft Update Service Location Properties diyalog kutusu grntlenir. Goup Policy ile yaplandrlabilecek zellikler u ekildedir:
Intranet Microsoft gncelletirme hizmeti lokasyonu yaplandrlmam, etkin ya da devre d. Intranete gncelletirmeleri salayacak sunucunun HTTP ad. Intranetin WSUS istatistik sunucusu olarak alacak sunucunun HTTP ad.
ekil 3.20: Specify Intranet Microsoft Updates Service Location Properties diyalog kutusu.
130
Blm 3
10. Otomatik gncelletirmeleri yeniden zamanlamak iin yaplandrmak amacyla Specify Intranet Microsoft Update Service Location Properties diyalog kutusunda Next Settings butonuna tklayn. ekil 3.21de grld gibi Reschedule Automatic Updates Scheduled Installation Properties diyalog kutusu grntlenir. Sistem balatldktan sonra Automatic Updatesin nceden atlanan planlanm bir yklemenin tekrar denenmesi iin beklenilecek sreyi etkin hale getirebilir ve bunu zamanlayabilirsiniz. Ardndan Enable client-side targeting properties diyalog kutusu gelir. Bu diyalog kutusunu varsaylan deerleri ile onaylayn.
ekil 3.21: Reschedule Automatic Updates Scheduled Installations Properties diyalog kutusu.
ekil 3.22: No Auto-Restart For Scheduled Automatic Updates Installations diyalog kutusu.
11. Atomatic Updates kurulumlar iin auto-restart yaplandrmas amacyla, Reschedule Automatic Updates Scheduled Installation Properties diyalog kutusunda Next Settings butonuna tklayn. Bu ekil 3.22de grld gibi No Auto-Restart For Sceduled Automatic Updates Installation diyalog kutusunu getirir. Bu seenek eer bilgisayar bir gncelletirmenin ardndan yeniden balamaya ihtiya duyuyorsa kullanlr. Bilgisayarn bir sonraki yeniden balatlmasna kadar bekWuau.adm adnda bir gvenlik ablonu vardr. Bu ablon Group Policy ayarlarn otomalemeyecek ekilde ya da gncelletirmenin bir paras tik olarak WSUS kullanacak ekilde uygular. olarak otomatik olarak yeniden balatlmas eklinde yaplandrlabilir. 12. Deiiklikleri yapldktan sonra OK butonuna tklayn.
Windows NT 4 Windows 2000 Windows XP Windows Server 2003 IIS 4 ve 5 Internet Explorer, versiyonlar 5.01 ve daha st
131
SQL Server 7 ve SQL Server 2000 Microsoft Office 2000 ve Microsoft Office XP Windows Media Player, versiyonlar 6.4 ve st.
Internet Explorer 5.01 ya da daha st. Tam fonksiyonellie sahip olmas iin bir XML parser ykl olmal. Workstation ve Server servisleri etkinletirilmi olmal. Client for Microsoft Networks ykl olmal.
MBSA, nceleri bilgisayarda olas gvenlik risklerini taratmak iin kullanlan bir uygulama olan Microsoft Personal Security Advisorn (MPSA) yerini almtr.
MBSA Start > All Programs > Microsoft Baseline Security Analyzer ya da komut satrnda Src:\Program Files\Microsoft Baseline Security Analyzer klasrne geip mbsa (Microsoftun web sitesinden Mbsasetup.msi indirip ykledikten sonra) veya Mbsacli.exe komutunu vererek de altrlabilir.
Check For Windows Vulnerabilities Check For Weak Passwords Check For IIS Vulnerabilities Check For SQL Vulnerabilities Check For Security Updates (eer bunu seerseniz ve WSUSu kullanyorsanz, gvenlik gncelletirmeleri iin kontrol edilen WSUS sunucunun adn belirleyebilirsiniz.)
132
Blm 3
Seimlerinizi yaptksan sonra, Start Scana tklayn. Tarama tamamlandnda, gvenlik raporu otomatik olarak grntlenir. ekil 3.25 View Security Report diyalog kutusunu gstermektedir. Eer birden fazla bilgisayar taradysanz, gvenlik raporlarn issue adna gre, ya da score(warstfirst/last-first) kriterlerine gre sralayabilirsiniz.
Mbsacli.exe Kullanmak
Eer MBSA Mbsacli.exe komut satr yardmc arac eklinde kullanrsanz, tanmlayabileceiniz birok seeneiniz olacaktr. Mbsacli.exe /hf (Mbsacli.exenin bulunduu Src:\Program Files\Microsoft Baseline Security Analyzer klasrnde) yazdktan sonra Tablo 3.17de tanmlanan seeneklerle komutun almasn zelletirebilirsiniz.
133
Herbir servis iin, Services penceresi, isim, ksa aklama, balang tipi, servisin balamas iin kullanlan logon hesab bilgilerini listeler. Bir servisin zelliklerini yaplandrmak iin o servis zerinde ift tklayarak Properties diyalog kutusunu an. Bu diyalog kutusu aadaki ksmlarda aklanan servis zellikleri ile ilgili drt sekme ierir.
Servis ad (service display name) Servisin aklamas (Description) Servisin altrlabilir yolu (Path to executable)
134
Blm 3
Balang tipi, otomatik, manuel ya da devre d (Startup type, automatic, manuel, disabled) Servisin u anki durumu (Service status)
Diyalog kutusunun Service Status ksmndaki butonlar kullanarak bir servisi, balatabilir, durdurabilir, duraklatabilir ya da yeniden balatabilirsiniz.
Log On sekmesinin en altnda, bu servis ile ilikilendirmek iin bir hardware profile seebilirsiniz. Herbir hardware profile iin servisi etkin ya da devre d brakabilirsiniz.
Take No Action (Hibir ey yapma) Restart The Service (Servisi yeniden balat) Run A File (Bir dosya altr) Reboot The Computer (Bilgisayar yeniden balat)
Run A File seeneini iaretledikten sonra dosyay ve komut satr parametrelerini belirleyebilirsiniz. Eer Reboot The Computer seeneini iaretlerseniz, ardndan o bilgisayara bal kullanclara bilgisayar yeniden balatlmadan gnderilecek bir mesaj yaplandrabilirsiniz.
135
Dependencies sekmesinin en altnda, eer varsa bu servise bal olan dier servisleri grebilirsiniz. Durdurmak zere olduunuz bir servis iin burada herhangi bir baml servisin olup olmadn kontrol etmelisiniz.
zet
Bu blmde Windows Server 2003 gvenlik zelliklerini rendiniz. Bu blmde lokal ya da domain seviyesinde uygulanabilecek gvenlik ayarlarna gz atlmtr. rnein, local security policylerinin ynetimi iin group policy ile local computer Group Policy Objesinin kullanm, domain security policylerini ynetmek iin Group Policy ile domain policy GPOsunun kullanm. Ayn zamanda Account policylerinin logon ilemini nasl kontrol ettii zerinde duruldu. Account policylerinin eidi password, account lockout ve Kerberos policyleridir. Ardndan lokal policylerin kullancnn bilgisayarda neler yapabileceini nasl kontrol ettii zerinde duruldu. Lokal policylerin eidi, audit, user right assignment ve security options policyleridir. Bu blmde gz attmz baka bir konu gvenlik yaplandrmanz analiz etmek iin kullanlan Security
136
Blm 3
Configuration and Analysis yardmc aracyd. Bu yardmc arac var olan gvenlik ayarlarnz ile arzuladnz ayarlar ile yaplandrdnz bir gvenlik ablonunu karlatrmak iin altrrsnz. Gncelletirme metotlar rnein Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Secucirty Analyzer incelendi. Son olarak, servislerin balang seeneklerini ynetmek, servisleri durdurmak, logon ve servis recovery zelliklerini yaplandrmak ve servis bamlklarn kontrol etmek iin kullanlan Services yardmc arac incelendi.
Snav Esaslar
Group Policy Objelerini kullanarak gvenlik ayarlarnn nasl yaplandrldn anlayn. GPOlar araclyla yaplandrlabilecek seenekleri bilin. GPOlarn Active Directory araclyla nasl uygulandn anlayn. GPOlarn uygulanma srasn anlayn. Varsaylan GPO alma yaklamnn nasl deitirilebileceini bilin. Account policylerinin nasl tanmlanp yaplandrlabileceini bilin. Password policyler, accout policyler, account lockout policyler ve Kerberos policyler iin seeneklerin nasl yaplandrldn anlayn. Local policylerin nasl tanmlanp yaplandrldn bilin. Audit Policyleri, User Rights Assignment ve Security Options klasrlerindeki seeneklerin nasl yaplandrldklarn anlayn. System policylerin nasl tanmlanp yaplandrldn bilin. User Profilelarnn, Logon, Disk Quota, Group Policy ve Windows File Protection seeneklerinin nasl yaplandrldn anlayn. Security Configuration and Analysis Aracn kullanabiliyor olun. Security Configuration and Analysis yardmc aracnn Windows Server 2003 bilgisayarlarnzn gvenliini gvenlik ablonlar ile analz etmek iin nasl kullanldn bilin. Windowsun gncel kalmas iin kullanlan farkl yollar anlayn. Windows gncelletirmeleri gerekletirmek iin drt ara ierir. Windows Update, Automatic Updates, Windows Server Update Services ve Microsoft Baseline Security Analyzer. Windows Update Microsoft web sitesi ile balantl olarak alan ve kullanc tarafndan balatlan bir ilemdir. Bu ilem Windows kullanclarna iletim sistemlerinin gncelletirme dosyalarn (kritik ve kritik olmayan yazlm gncelletirmeleri) indirerek iletim sistemlerini gncelletirmelerini salar. Automatic Updates Windows Uptadein, kritik dosyalarn gncelletirilmesinin otomatik hale getirilmi eklidir. SUSun yerine gelen Windows Server Update Services (WSUS) Windows Updatein kstl bir versiyonun irket iindeki istemcilere Windows updatelerini salamak zere irket sunucusuna indirilmesi amacyla kullanlr. Microsoft Baseline Security Analyzer (MBSA) Microsoft web sitesinden indirilebilen ve en son gvenlik gncelletirmelerine sahip olduunuzdan emin olmanz salayan bir yardmc aratr. Servislerin nasl ynetildiini bilin. Servisleri Services penceresi ile ynetirsiniz. Services penceresi servisleri herbir servis iin isim, ksa bir aklama, balang tipi ve o servisin balatlmas iin kullanlan logon hesab bilgilerini gsterecek ekilde listeler. Bir servisin zelliklerini yaplandrmak iin o servisin zerinde ift tklayarak Properties diyalog kutusunu an.
137
A. Group policyyi Apply Goup Policy For Computers Asynchronously During Startup seeneini etkin hale getmek ve yaplandrmak. B. Group policyyi Apply Goup Policy For Users Asynchronously During Startup seeneini etkin hale getirmek ve yaplandrmak. C. Group policyyi Goup Policy Refresh Interval For Computers seeneini 10 dakika olacak ekilde etkin hale getirmek ve yaplandrmak. D. Group policyyi Goup Policy Refresh Interval For Domain Controllers seeneini 10 dakika olacak ekilde etkin hale getirmek ve yaplandrmak. 2. TESTCORP.COM domaininin sistem yneticisisiniz. Default Domain Policy objesi iin Local Security Options yaplandrdnz. DENVER.TESTCORP.COM domaininin ve BELFAST. TESTCORP.COM domaininin ynetimsel kontroln ayr ayr yerel sistem yneticilerine delege ettiniz. Sizin belirlediiniz group policy ayarlar ile yerel sistem yneticilerinin tanmladklar ayarlarn akmayacandan emin olmak istiyorsunuz. Neyi yaplandrmanz gerekir? A. TESTCORP.COM domain GPO zerinde No Override seeneini yaplandrmak B. TESTCORP.COM domain GPO zerinde Block Inheritance seeneini yaplandrmak C. TESTCORP.COM domain GPO zerinde Always Apply Root Level GPO seeneini yaplandrmak D. Hibirey. Sizin seenekleriniz varsaylan olarak tm yerel seenekleri yok sayacaktr. 3. Sizin domaininize birisinin Administrator hesabn kullanarak log on olmay altndan pheleniyorsunuz. Domain iinde kullanclarn baarl ve baarsz log on olma durumlarn izlemek istiyorsunuz. Aadaki ekle gre, hangi denetleme olayn etkin hale getirmeniz gerekir?
138
Blm 3
A. Audit Account Logon Events B. Audit Account Management C. Audit Logon Events D. Audit Process Tracking 4. Active Directory kullanan bir Windows Server 2003 networknn sistem yneticisisiniz. Networknzde Windows Server 2003 domain controllerlar, Windows Server 2003 ye sunucular ve XP Professional bilgisayarlar var. Networknzn gvenliinin network ataklarna kar dayanksz olduundan kayglanyorsunuz. Security Configuration and Analysis snapinini kullanarak networkn gvenliini sklatrmak istiyorsunuz. Aadaki seeneklerden hangisi bu ara kullanlarak uygulanabilir? (Uygun olan tm klar sein.) A. Gvenlik seeneklerinin deiimini izlemek. B. Group policyleri oluturmak ve uygulamak C. Gvenlik seenekleri iin bir veritaban ayarlamak. D. Var olan bir gvenlik ablonunu import etmek. 5. Bir Fortune 500 irketinin network sistem yneticisisiniz. Merkez kampsteki tm istemci bilgisayarlarndan sorumlusunuz. Tm istemci bilgisayarlarnn gvenli olduundan emin olmak istiyorsunuz. MBSA kullanarak muhtemel gvenlik ihlallerine kar istemcilerinizi taramaya karar verdiniz. MBSA n komut satr versiyonu ile bilgisayarnz IP adreslerine gre taramak istiyorsunuz. Aadaki komutlardan hangisini kullanmanz gerekir? A. Mdsacli.exe /hf i xxxx.xxxx.xxxx.xxxx B. Mdsacli.exe /ip xxxx.xxxx.xxxx.xxxx C. Mbsa.exe /hf ip xxxx.xxxx.xxxx.xxxx D. Mbsa.exe /ip xxxx.xxxx.xxxx.xxxx 6. Bir Windows Server 2003 ye sunucusu iin goup policyyi hzl bir ekilde dzenlemeniz gerekiyor. Aadaki komut satr yardmc aralarndan hangisini Local Computer Policy yardmc aracna erimek iin kullanabilirsiniz? A. EditGPO.exe B. GPOEdit.exe
139
C. EditGPO.msc D. Gpedit.msc 7. Services yardmc aracnn en yaygn kullanmlarndan birisi yazdrma kuyruunun durdurulmas iin Print Spooler servisinin devre d braklmasdr. Print Spooler servisini durdurmak ve ardndan yeniden balatmak iin hangi admlar atabilirsiniz? Uygun olan tm klar sein. A. Start > All Programs > Accessories > Services sein. B. Start > Administrative Tools > Services C. Print Spooler servisi zerinde ift tklayn. D. Print Spooler servisi zerinde sa tklayn ve pop-up menden Edit komutunu sein. E. Pause butonuna tklayn ve ardndan Start butonuna tklayn. F. Stop butonuna tklayn ve ardndan Start butonuna tklayn. G. Startup Type listesinden Manuali sein. 8. Networknz olduka yksek gvenlik seviyesine ihtiya duyuyor. Windows Server 2003 domain controllerlarnz, Windows 2000 istemcilerinizin sadece kendi aralarnda iletiim kurabilecekleri ekilde yaplandrmak istiyorsunuz. Gereksinimlerinize gre sunucularnza uygulamanz gereken gvenlik ablonu aadakilerden hangisidir? A. Securedc.inf B. Hisecdc.inf C. Dedicadc.inf D. W2kdc.inf 9. Networknzn gvenlii ile ilgili bir takm kayglarnz var. Windows Server 2003 ile birlikte kullanlan gvenlik protokolleri ile olabildiince bilgi sahibi olmak istiyorsunuz. Aadaki gvenlik protokollerinden hangisi Windows Server 2003 ile kullanc ve network servislerinin kimliklerini dorulamak amacyla kullanlr? A. Kerberos version 5 B. C2\E2 Security C. KDS Security D. MS-CHAP 10. TESTCORP.COM domaininin sistem yneticisisiniz. Kullanclarn her 45 gnde kendi parolalarn deitirmeye zorlayan bir GPO yaplandrdnz. Kullanclarn eski parolalarn tekrar hemen kullanmayacaklarndan emin olmak istiyorsunuz. Hangi Password policysi kullanclarn eski parolalar belirli bir sayya ulamadan bunlar tekrar kullanmalarn engeller? A. Enforce Password History B. Use Unique Passwords C. Require C2/E2 Encryption Standards D. All Passwords Must Use High Level Standards 11. Sistem yneticilerinizden birinin klasr izlemenin etkinletirildii Payroll klasrnn ieriini grebilecek ekilde yeni kullanclar oluturduundan pheleniyorsunuz. Bir kullanc ya da grup oluturma, silme ya da ynetimsel bir eylem gerekletirilme durumlarn izleyebilmek iin hangi audit policyyi etkinletirmeniz gerekir? A. Audit Object Access B. Audit Logon Events
140
Blm 3
C. Audit Account Management D. Audit Process Tracking 12. Bir Fortune 500 irketinin network sistem yneticisisiniz. Merkez kampsteki tm istemci bilgisayarlardan sorumlusunuz. Tm istemci bilgisayarlarnda kendi iletim sistemleri iin en son gncel yazlmlarn (Critical Updates and Service Packs, Windows Server 2003 Family ve Driver Updates kategorilerindeki yazlmlar ierecek ekilde) ykl olduundan emin olmak istiyorsunuz. Bu ilemi mmkn olduunca otomatik hale getirmek ve istemci bilgisayarlarn gncelletirmeleri, sizin ynettiiniz bir merkezi sunucudan indirmelerini istiyorsunuz. Windows Server Update Services kullanmaya karar verdiniz. WSUSServer adnda bir sunucuya, WSUS sunucu yazlmn yklediniz. WSUS sunucuyu group policyleri domain iinde ayarlamadan nce denemek istiyorsunuz. Bir test istemci zerinde Windows XP Professional en yeni service pack ile birlikte yklediniz. stemcinin Windows Update iin WSUSServer kullanmas iin, o istemcide aadaki Registry kaytlarndan hangisini oluturmanz gerekir? (Uygun olan tm seenekleri iaretleyin) A. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ UseWUServer anahtar ve 0 deeri B. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ UseWUServer anahtar ve 1 deeri C. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ WUServer anahtar ve http://WSUSServer deeri D. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ WUServer anahtari ve WSUSServer deeri E. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtar ve http://WSUSServer deeri F. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer anahtar ve WSUSServer deeri 13. Windows Server 2003 bilgisayarnz ayn zamanda anonim eriime ak bir IIS sunucu olarak da hizmet veriyor. Gvenlik risklerini mmkn olduunca en alt dzeye ekmek istiyorsunuz. Aadaki gvenlik seeneklerinden hangisi anonim balantlar iin ek kstlar belirleyebilmenizi etkin hale getirecektir? A. Additional Restriction For Anonymous Users B. Impose Addtional Security For Anonymous Users C. Tight Security For Anonymous D. Audit Access Of Anonymous Users 14. Windows Server 2003 bilgisayarnz iin son zamanlarda bir takm gvenlik ayarlar uyguladnz. Gvenlik ayarlarn dorulamaya altnzda bu ayarlarn uygulanmam olduu grlyor. Yeni security policylerinin gncelletirilmesini zorlamak iin hangi komut satr yardmc aracn kullanabilirsiniz? A. secupdate B. gpupdate C. secrefresh D. secpol
141
15. Windows Server 2003 domain controllernzda group policyleri yaplandrdnz. Windows 2000 istemcileriniz group policyleri kullanyor fakat Windows NT 4 istemcilerinizde group policyler uygulanmyor. Windows Server 2003 zerinde, Windows NT 4 istemcileri iin group policy oluturmak ve ynetmek amacyla aadaki komut satr yardmc aralarndan hangisi kullanlr? A. poleditor B. syspoled C. poledit D. editpol 16. APPSERVER adnda bir Windows Server 2003 bilgisayarnn sistem yneticisisiniz. APPSERVER zerinde ykl bir uygulama var. Bu uygulama APP1 adnda bir servis olarak alyor. APP1 almas her an aksayabilecek bir yapya sahip. u gereksinimleri salayacak ekilde APP1 iin kurtarma seeneklerini yaplandrmanz gerekiyor: APP1in en azndan bir gn altnda servisin baarsz olma durumunda hemen yeniden balatlmaldr. Dier gn iin byle bir hatadan sonra APP1 baarl bir ekilde almazsa APPSERVER hemen yeniden balatlmaldr. Bu gereksinimleri yaplandrmak iin aadakilerden hangilerini yerine getirmeniz gerekir? ( seenei iaretleyin) A. APPSERVER iin Reset Fail Count After deerini 1 gne ayarlayn. B. APP1 iin Restart Service After deerini 1440 dakaya ayarlayn. C. lk baarsz olma durumunda APP1i yeniden baayacak ekilde yaplandrn. D. lk baarsz olma durumunda APPSERVER yeniden balayacak ekilde yaplandrn. E. kinci baarsz olma durumunda APP1i yeniden baayacak ekilde yaplandrn. F. kinci baarsz olma durumunda APPSERVER yeniden balayacak ekilde yaplandrn. 17. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domainini ieriyor. Tm sunucular Windows Server 2003 altryor. Windows Server Update Services (WSUS) SERVERA ve SERVERB adlarnda iki sunucuya ykl. SERVERA Microsoft Windows Update sunucularndan gncelletirmeleri alyor. SERVERAy manel olarak Windows Update sunucular ile senkronize ettiniz ve SERVERB zerinde WSUS yaplandrmasn tamamlamanz gerekiyor. Aadakilerden hangisi SERVERB zerinde WSUS yaplandrmas iin tamamlamanz gereken bir adm deildir? A. Var olan gncelletirmeleri onaylayn. B. SERVERByi gncelletirmeleri SERVERAdan alacak sekilde ve SERVERAdaki onaylanan gncelletirmeler ile otomatik olarak senkronize olacak ekilde ayarlayn. C. SERVERByi gncelletirmeleri otomatik olarak SERVERAnn gncelletirmeleri ald kaynaklar iin ayarlayn. D. SERVERByi gnlk gncelletirmeleri verilen bir zamanda otomatik olarak alacak ekilde ayarlayn. 18. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domainini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemci bilgisayarlar Windows XP Professional altryor. irket birok projeyi e zamanl olarak yrtyor. alanlarnzdan birinin Active Directorydeki kullanc hesap bilgilerini deitirebilmesini fakat o kiiye sadece bu ii yapabilmesi iin gerekli yetkilerin verildiinden emin olmak istiyorsunuz. Domain iin Delegation Of Control Wizard altryorsunuz. Sonraki admda aadakilerden hangisini yapmanz gerekir? A. Delegate The Following Common Tasks radyo butonunu sein ve Create, Delete, And Manage User Accounts onay kutusunu iaretleyin. B. Create A Custom Task To Delegate radyo butonunu sein ve Next butonuna tklayn.
142
Blm 3
C. Delegate The Following Common Tasks radyo butonunu sein ve Read All User Information onay kutusunu iaretleyin. D. Delegate The Following Common Tasks radyo butonunu sein ve Modify The Membership Of A Group onay kutusunu iaretleyin. 19. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domaini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemci bilgisayarlar Windows XP Professional altryor. irket 16 mobil sat grevlisine sahip. Bu sat grevlileri kendi bilgisayarlarnda Power Users yerel grubuna ye. Saat 18:00dan 7:00a kadar sat grevlilerinin tanabilir bilgisayarlar genelde kapal ve irketin networkne bal deil. Mobil sat grevlilerinin bilgisayarlar her gn yazlm gncelletirmelerini, minimum kullanc etkileimi ile almas gerekiyor. Tanabilir bilgisayarlar zerinde son gncelletirmeleri kontrol ederken Windows Update sunucularndan gncelletirmelerin uygulanmadn fark ediyorsunuz. Bilgisayara gncelletirmelerin yklendiinden emin olmak iin mobil bilgisayarlarn System Properties diyalog kutusu Automatic Updates sekmesinde ne yapmanz gerekir? ( seenei iaretleyin) A. Gncelletirmeler iin planlanan zaman her gn iin saat 00:00a ayarlayn. B. Automatically download the updates, and install them on the schedule that I specify: radyo butonunu sein. C. Notify me before downloading any updates and notify me again before installing them on my computer radyo butonunu sein. D. Keep My Computer Up To Date onay kutusunu iaretleyin. E. Download the updates automatically and notify me when they are ready to be installed radyo butonunu sein. F. Gncelletirmeler iin planlanan zaman her gn iin saat 12:00a ayarlayn. 20. irketinizin network sistem yneticisisiniz. Network tek bir Active Directory domaini ieriyor. Tm sunucular Windows Server 2003 altryor. Tm istemcileriniz Windows 2000 Professional Service Pack 4 ya da Windows XP Professional altryor. SUSSERVER adnda bir bilgisayara Windows Server Update Services (WSUS) yklediniz. Bir Group Policy Objesi (GPO) oluturarak tm istemci bilgisayarlarn yazlm gncelletirmelerini SUSSERVERdan alacak ekilde yaplandryorsunuz. Ardndan, tm istemci bilgisayarlarnda gncelletirmelerin uygulanp uygulanmadn grmek iin Microsoft Baseline Security Analyzer (MBSA) altryorsunuz. Tm Windows 2000 Professional bilgisayarlarn gncelletirmeleri aldn fakat Windows XP Professional istemcilerinin hi bir gncelletirmeyi almadn fark ediyorsunuz. GPO ayarlarnn tm Windows XP Professional bilgisayarlarna uygulandn doruluyorsunuz. Windows XP Professional istemci bilgisayarlarnn gncelletirmelerini SUSSERVERdan aldklarndan nasl emin olabilirsiniz? A. Windows XP Professional istemci bilgisayarlar kullanclarn yerel Administrators grubuna ye yapn. B. Tm Windows XP Professional istemci bilgisayarlarnda Service Pack 1 ykleyin. C. Tm Windows XP Professional istemci bilgisayarlarnda Automatic Updatesi yeniden balatn. D. Windows XP Professional istemci bilgisayarlarnda HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\WindowsUpdate\AU altndaki NoAutoUpdate deerini silin.
143
144
Blm 3
yar ayarlar iin secedit /refreshpolicy machine_policy ya da kullanc ayarlar iin secedit /refreshpolicy user_policy komutu ile policylerinizin gncelletirilmesini zorlayabilirsiniz. 15. C. Windows Server 2003de poledit komut satr yardmc arac ile System Policy Editore ulaabilirsiniz. Bu yardmc ara Windows NT 4 istemcileri iin system policyleri oluturmanz ve ynetmeniz iin kullanlr. 16. A, C, F. Baarsz olma sayac srekli alr. Saya 0 (sfr) olduunda, C seenei ilk failure olma durumunda sadece APP1in yeniden baladn belirler. Herbir baarsz olma durumunda failure zamanlaycs 0 olacaktr. A seenei ile sadece baarl bir gnden sonra failure olma sayac otomatik olarak 0 olacaktr. Eer timer 1 gne ulamadan nce ikinci baarsz olma durumu oluursa APPSERVER yeniden balayacaktr. Bununla birlikte, timer nceki 24 saatlik periyotta herhangi bir failure durumu olmadnda timer 1 gne ulatnda failure sayac resetlenir ve APP1in sonraki failure olma durumunda yeniden balamasna neden olur. 17. C. Yaplandrma iin C seenei dndaki dier tm seenekler geerli admlardr. 18. B. Delege etmek iin zel bir grev oluturmak bu konuda tek zmdr. Dier seenekler gereinden fazla yetkinin verilmesine ya da gerekli yetkilerin verilmemesine neden olacaktr. Next butonuna tkladnzda gereksinimleri yerine getirmek iin delege edeceiniz kontrol tam olarak saptayabilirsiniz. 19. B, D, F. A seeneinde gncelletirmeler bilgisayarlarn genel olarak irket networkne bal olmadklar zamana planlanmtr. Seenek C ve E bahsedilen miminum kullanc etkileimi ihtiyacn karlamamaktadr. Gncelletirmelerin kullanc etkileimi gerektirmeden le vaktinde gerekleecek ekilde ayarlanmasyla bahsi geen ihtiyalar salanacaktr. 20. Gncelletirmeler iin bir zamanlama belirlemek amacyla gncelletirmeleri eken sunucunun minimum Windows Server 2003 olmas gerektii gibi istemciler iin desteklenen minimum platformlar Windows Server 2003, Windows XP SP1 ve Windows 2000 SP3dr.
4 IP Seviyesinde Gvenlik
Ynetimi
IPSecin almasn Anlamak IPSec Kurulumu IPSec Yaplandrma IPSeci Tunnel Mode in Yaplandrmak IPSec Ynetimi ve zleme IPSec Sorun Giderme Teknikleri zet Snav Esaslar Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak Gzden Geirme Sorular Gzden Geirme Sorularnn Cevaplar
148
Blm 4
policyleri her makine iin, bir domain ya da organizational unit iindeki bir grup makine iin ya da networknzdeki tm Windows 2000, XP veya Server 2003 makineleri iin ayarlayabilirsiniz. ki makine arasndaki balantda ifreleme ya da kimlik dorulama kullanrken - end-to-end mode (ya da transport mode) network trafii orjinal mesaj braklmadan gvenli hale getirilir - veri alc makine tarafndan alnp ifresi zlene kadar gvenli kalr. kinci bir uygulama daha vardr: Bakalarnn da kulland bir hat zerinden akan trafii gvenli hale getirmek. IPSecin bu kullanmna tunnel mode ad verilir, nk bu genelde Layer 2 Tunneling Protocol (L2TP) tarafndan kurulan bir tnel ierisinden gnderilmek zere trafiin ifrelenmesi iin kullanlr.
Bu blmde ve snavda IPSec tunnel mode grdnzde bu VPN trafii iin deil, tunneling iin IPSec anlamna gelir. L2TPden bahsedildiini grdnzde bunun rahatlkla L2TP + IPSec anlamna geldiini dnebilirsiniz. Farkllklarla ilgili daha fazla bilgi iin Blm 7 Remote Access Servislerinin Ynetimine bakn.
Aadaki ksmlarda, IP iletiiminin korunmas iin IPSecin nasl kullanldn greceksiniz ve IPSecin Windows Server 2003e nasl entegre edildiini renmeye balayacaksnz.
IPSec Esaslar
IPSec iki farkl role sahiptir: Kimlik dorulama (authentication) ve ifreleme (encryption). Bunlarn her ikisini birden kullanabileceiniz gibi, ayr ayr da kullanabilirsiniz. Ayrca bu her iki zelliin networknzdeki gvenlii iyiletirmeye ynelik birok seenei ve parametresi vardr. Kimlik dorulama networknz korur ve veri, zerinde onaysz deiiklik yaplmadan iletilir. Verinin tahrif edilme ilemi, istemci ile sunucu arasndaki kt niyetli bir saldrgan tarafndan paketlerin ieriklerinin deitirilmesi eklinde (man-in-the-middle attack olarak bilinir), ya da bir saldrgann networknze girip bir istemci ya da sunucu gibi davranmas eklinde ortaya kabilir. IPSec authentication header (AH) kullanarak paket ieriinin tamamn saysal olarak imzalar. Bu imza farkl fayda salar: Replay attacklara kar koruma: Eer saldrgan networkteki veri paketlerini yakalayp belirli bir sre sakladktan sonra makine o networkte yok iken bu paketleri tekrar gnderirse paketleri yakalad makineyi taklit edebilir. Bu replay attack olarak adlandrlr. IPSecin kimlik dorulama mekanizmas tm paketlerde gndericiye ait imza bilgisinin bulunmas sayesinde replay attacklar engeller. Verinin ieriinin korunmas: IPSec imzalar veri btnl salar. Bu, araya giren kiinin paketin anlamn bozmadan ieriinde istedii bir yerde deiiklik yapabilmesinin engellemesi anlamna gelir. Spoof ataklarn engelleme: Kimlik dorulama normalde bir istemci ya da sunucunun dier makinann kimliini tanmlamas anlamna gelir. IPSec authentication headerlar kimlik dorulama salar, nk balantnn her iki ucundaki makineler dierinin kimliini dorulayabilir. Kimlik dorulama veri ieriinin tahrif edilmesini engeller fakat kiilerin bu verileri grmemesi iin bir ey yapmaz. Bu amala ifrelemeye ihtiya duyulur. ifreleme paketin payload ieriini anlalmas g hale getirerek okunamamasn salar. Bunu yapabilmek iin IPSec, Encapsulating Security Payload (ESP) salar. ESP bir IPSec paketinin payloadunun istenilen alc dndaki kiiler tarafndan zlemeyecek hale getirilmesi amacyla ifrelenmesi iin kullanlr. ESP sadece gizlilik (confidentiality) salar; fakat AH ile birlikte maksimum gvenlik getirir. Aadaki blmlerde IPSecin Windows Server 2003e nasl entegre edildiini ve IPSec negotiation srecinin spesifik detaylarn greceksiniz.
149
lanl hale getiren baz Windows Server 2003 zellikleri vardr. IPSec altran bilgisayarlardan oluan byk bir network dnn. ki bilgisayar iletiim kurmak istediinde her iki ucun IPSeci desteklemesi ve otomatik olarak IPSec avantajlarn kullanabilmesi ideal durumdur. Ayn zamanda uygulamak istediiniz gvenlik ayarlarnn tm IPSec uyumlu makinelere uygulandndan emin olmak istersiniz. Windows NT ve dier birok iletim sistemine sahip IPSec makinelerinde kullanmak istediiniz ayarlar elle yaplandrrdnz. zm Windows Server 2003 Group Policy mekanizmasnda yatyor. lk olarak networknzde kullanmak istediiniz IPSec ayarlarn belirlersiniz. Ardndan, her bir Windows 2000, XP ya da Server 2003 makinesi IPSec Policy Agent ad verilen bir servis altrr. Sistem baladnda Policy Agent, bir Active Directory sunucusuna balanr, IPSec policyyi indirir ve bunu IPSec servisine iletir. (Policy Agent hakknda daha fazla bilgiyi bu blmdeki Security Policyleri ksmnda reneceksiniz) Windows Server 2003, Windows 2000de bulunmayan ya da nemli derecede iyiletirilmi birok IPSec zelliine sahiptir. Bu zelliklerden bazlar basit olarak IPSece gvenlik katmanlar ekler, fakat dierleri ynetim ve izleme amacyla kullanacanz aralarn iyiletirmeleri ya da yeniliklerini ierir. IP Security Monitor: IPSec Monitor Windows Server 2003 iin yenidir. Bu ara bir MMC snap-in olarak kullanlr ve eski versiyona gre birok iyiletirmeler ierir. u anda lokal bir bilgisayardaki IPSec bilgilerini izleyebildiiniz gibi uzak makineleri de izleyebilirsiniz. IPSec policylerinin tm detaylarn, genel ve spesifik filtreleri, istatistikleri, security associationlar grntleyebilir, grntlemeyi zelletirebilir ve spesifik filterlar IP adresleriyle aratabilirsiniz. Daha gl kriptografik master key (Diffie-Hellman): IPSec u anda daha gl Group 3 2048-bit Diffie Hellman anahtar deiimini (key exchange) destekler. Bu anahtar deiimi mekanizmasnn karmakl secret keyin hesaplanabilme zorluunu nemli derecede artrr. Bununla birlikte, eer Windows 2000 ve Windows XP bilgisayarlarnz iin geriye dnk uyumluluk ihtiyacnz varsa 1024-bit anahtar deiimi salayan Group 2 (medium) kullanmalsnz. Hibir zaman Group 1 (low) kullanmamalsnz. netsh ile komut satr ynetimi: IPSeci u anda gncelletirilen netsh komutu ile yaplandrabilirsiniz. Bu i iin Windows 2000de Ipsecpol.exe kullanlrd. netsh ile IPSec yaplandrmasn script haline getirebilir ve otomatikletirebilirsiniz. Persistent policyler Eer lokal ya da Active Directory tabanl policylerin uygulanamad bir makineniz varsa bunun iin bir persistent policy oluturabilirsiniz. Persistent policy her zaman aktiftir ve dier hibir policy tarafndan ezilemez. Persistent policyler sadece netsh komutu ile uygulanabilir. Varsaylan trafik muafiyet karm: nceleri varsaylan olarak tm broadcast, multicast, Internet Key Exchange (IKE), Kerberos ve Resource Reservation Protocol (RSVP) trafii IPSecden muaft. u anda sadece IKE trafii muaftr, nk IKE IPSec iletiimi kurulumu iin gereklidir. NAT zerinden IPSec: IPSec ESP paketleri u anda User Datagram Protocol-Encapsulating Security Payload (UDP-ESP) enkapsulasyon ad verilen bir zellik ile UDP trafiinin iletilmesine izin veren Network Address Translator (NAT)-enabled aygtlar araclyla iletilebilmektedir. Resultant Set of Policy (RSoP): Resultant Set of Policy (RsoP) domain iinde spesifik bir bilgisayar ya da kullancya policylerin tam olarak nasl uygulanacan grmenizi salayan Windows Server 2003n yeni bir zelliidir. IPSec, RSoP konsoluna uygulanmakta olan IPSec policy ayar detaylarn grntlemek iin kullanabileceiniz bir uzant salar.
150
Blm 4
iin kullanacaklar security keyin kendi aralarnda deiimi iin bir yol salar. IPSecde, bir security association (SA) iki bilgisayarn gvenli bir ekilde iletiim gerekletirebilmesi iin gerekli tm bilgiyi salar. SA iki makinenin kullanaca algoritma ve key uzunluunu kontrol eden policy anlamasn ve gvenli veri alverii iin kullanlan u anki security keylerini ierir. Bu anlamay her bir tarafn ne olduunu veya olmadn ve bu anlamann bir paras olmaya hazr olup olmadn belirleyen bir kontrat olarak dnebilirsiniz. Bu srecin iki adm vardr: Main mode ve quick mode. lk olarak main modeda iki bilgisayar bir gvenlik szlemesi kurmak iin ISAKMP kullanr. Bu ISAKMP SA olarak adlandrlr. ISAKMP, SA kurmak iin iki bilgisayar aadaki ey zerinde anlamaldr:
Kullanacaklar ifreleme algoritmas (DES, triple DES, 40-bit DES, ya da hibiri) Mesaj btnl iin kullanacaklar algoritma (MD5 ya da SHA-1) Balantnn kimlik dorulamas nasl gerekletirilecek (bir public-key sertifika, secret key ya da Kerberos)
ISAKMP, SA kullanlrken iki makine paylalan bir master key zerinde gvenli bir ekilde anlamak iin Oakley protokoln kullanabilir. ISAKMP master key olarak adlandrlan bu key, ISAKMP SA iinde negotiation algoritmas Microsoft veri btnl salayan iki algoritmadan daha gls olarak ile gvenli bir balant kurmak SHA-1 tavsiye eder. MD5in 128-bit key uzunluuna kar 160-bit key uzunluu ile SHA-1 keyini brute force attack ile elde etmek ok daha zordur. amacyla kullanlr. Gvenli balant salandktan sonra, iki makine quick mode ad verilen dier negotiation srecine balar. Bu negotiationlar unlar kapsar:
Authentication Header (AH) protokolnn bu balant iin kullanlp kullanlmayaca Encapsulating Security Payload (ESP) protokolnn kullanlp kullanlmayaca ESP protokol iin kullanlacak ifreleme algoritmas AH protokol iin kullanlacak kimlik dorulama protokol
Bu negotiationlar tamamlandktan sonra, bu iki makine iki yeni SAya sahip olacaktr: Birisi gelen trafik iin, dieri giden trafik iin. Bu SAlar ISAKMP SAlarndan ayrlmak iin IPSec SAlar olarak adlandrlr. Bu noktada, yine Oakley protokol yeni bir set oturum anahtar oluturmak iin kullanlr. Master ISAKMP anahtar, yeni SAlar negotiate edildiinde kullanlr, bir kez SA negotiation tamamlandnda o SAy kullanan iletiim SA-spesifik anahtarlar kullanarak korunur. AH protokol veri btnl (data integrity) ve kimlik dorulama (authentication) salar. AH gvenlie iki yenilik getirir. Birincisi paketin tamamndan - payload ve header - hesaplanan packet signature (AHnn kendi ieriinde yer alr). Bu, bir saldrgann paketin herhangi bir parasn - IP ya da TCP/UDP headerlar da dahil deitiremeyecei anlamna gelir. kincisi AH, IP header ile TCP ya da UDP header arasnda yer alr. Bu ieriin gizlice kartrlmamasn gvence altna alr. ESP protokol mesajn gizli bir ekilde iletilmesi iin tasarlanmtr. Bunun nasl gerekletirildiini grmek iin ekil 4.1e gz atn. Bu paketin tertip edilmesi AH paketinden daha karmaktr. k ESP tek bana kimlik dorulama, replay proofing ve ierik btnl kontrol salar. Bu ii birbirinden ayr bileen ekleyerek gerekletirir: Bir ESP header, bir ESP trailer ve bir ESP kimlik dorulama blou. Bu bileenlerin her biri kimlik dorulama ve btnlk kontrol iin gerekli baz verileri ierir. eriin deitirilmesini engellemek iin bir ESP istemcisi ESP header, uygulama verisi ve ESP trailer bir birim ierisinde imzalamak zorundadr ve ESP uygulama verisini ve ESP trailer gizlilii salamak ekil 4.1: Bir ESP paketi.
151
zere ifrelemeyi kullanr. Bu st ste imzalama ve ifreleme operasyonlarnn kombinasyonu iyi bir dzeyde gvenlik salar.
Security Filterlar
Bir security filter gvenlik protokoln belirli bir network adresine balar. Filtre kaynak ve hedef adreslerini (spesifik hostlar ya da networkler iin bir netmask kullanlarak) TCP ve UDP trafik iin izin verilen kaynak ve hedef portlar ierebilir. rnein, domaininizdeki bir makine, microsoft. com domainindeki baka bir makine ile iletiim kurarken tam olarak kullanlmasna izin vermek istediiniz IPSec negotiation tipini belirleyen bir filtre (bu blmn sonraki ksmlarnda greceiniz gibi) tanmlayabilirsiniz. Hatrlayacak olursak IPSec balantlar iki tarafa sahiptir: Inbound ve outbound. Bu her balant iin iki filtreye ihtiyacnz olaca anlamna gelir: Bir inbound ve bir outbound. Inbound filter uzak makine balant zerinde gvenlik talebinde bulunduunda, outbound filter ise bir uzak makineye trafik gnderilmeden nce uygulanr. chellis.net domainindeki herhangi bir makinenin, microsoft.com domainindeki herhangi makine ile konuurken IPSec kullanmas iin bir rule oluturmak istediinizi varsayalm. Bunun almas iin aadaki drt filtera ihtiyacnz vardr:
chellis.net domaini outbound paketleri iin bir *.chellis.net kaynak ve bir *.microsoft.com hedef filtre. (Filterlarda DNS isimleri ya da joker karakterler kullanabilirsiniz.) chellis.net domaini inbound paketleri iin bir *.microsoft.com kaynak ve bir *.chellis.net hedef filtre. microsoft.com domaini iin *.chellis.net kaynak ve *.microsoft.com hedefleri belirleyen bir inbound filter. microsoft.com domaini iin *.microsoft.com kaynak ve *.chellis.net hedefleri belirleyen bir outbound filter.
Eer bu filtrelerden herhangi biri yoksa ya da dzgn yaplandrlmadysa, IPSec negotiation sreci baarsz olacak ve IPSec kullanlmayacaktr. Eer bunlarn tm tamamsa, hawk. chellis.netten, exchange.microsoft.coma bir FTP balants kurmaya altnzda domaininizdeki outbound filter devreye girecek ve Microsoftun makinesi ile bir gvenlik negotiation talebi iin IPSeci tetikleyecektir. Eer her ey dzgn gider ve filtreler dzgn alrsa, makinenizde iki IPSec SA olacak ve balant gvenli bir ortamda salanacaktr. Normalde ynetimi kolaylatrmak iin filtreleri filter listler iine gruplarsnz. Birok filtreyi bir filter list iinde tutarak, karmak durumlar kolayca oluturabilir ve gerektiinde bu kurallar networknz apnda yayabilirsiniz.
Security Methodlar
Herbir IPSec balants bir security method kullanr. Bir security method nceden belirlenmi bir ifreleme algoritmas ile nceden zerinde mutabk kalnm bir anahtar uzunluu (key length) ve anahtar yaam sresi (key lifetime) kullanan bir balantdr. nceden tanmlanan iki gvenlik metodundan (bu blmde daha sonra greceiniz gibi, High ya da Low) birini kullanabilir ya da kendiniz gvenlik protokoln (AH ya da ESP), ifreleme algoritmasn ve key yaam sresini bir balant iin kullanmak istediiniz ekilde oluturabilirsiniz. Bilgisayarnz uzak bir IPSec ei ile negotiating yaparken ISAKMP servisi, sizin belirlediiniz metot listesini ilk bata en gvenli metodu deneyerek alr. Sizin makinenizdeki ile dier taraftaki ISAKMPnin bir metot zerinde Windows Server 2003 Data Encrytion Standart (DES) ve Triple DES (3DES) ifanlamalarn ardndan bu metoreleme algoritmalarn destekler. 3DES DESten ok daha gvenlidir. 3DESte du kullanarak iletiim kurarlar. her veri blou kez ve her seferinde farkl keyler kullanlarak ilenir.
152
Blm 4
Permit action IPSec filtera hi bir eylemde bulunmamasn syler. Balantnn security rulelara dayanarak kabul ya da red edilmeyecei yani herhangi bir gvenlik getirmedii anlamna gelir. Bu eylem ayn zamanda passthrough action olarak da adlandrlr, nk bu trafiin herhangi bir modifikasyona uramadan iletilmesine izin verir. Genelde bunu, gvenlie duyarl bilgilerle ilgili olmayan Windows Internet Name Service (WINS) gibi uygulamalar iin kullanrsnz. Block action, filtern uzak sistemden gelen bir balant isteinin reddedilmesine neden olur. Bu uzak sistemin IPSec kullanarak ya da kullanmayarak herhangi bir tip balant yapmasn engeller. Accept Unsecured Communication, But Always Respond Using IPSec ve Allow Unsecured Communication With Non-IPSec Aware Computers eylemleri, IPSec ile yaplandrlmam bilgisayarlar birlikte altrabilmenizi salar. Accept Unsecured Communication, But Always Respond Using IPSec policysi gvensiz balantlar kabul edecektir fakat makineniz her unsecure balanty kabul etmeden nce bir IPSec balantsn soracaktr. Bu eylem unsecured (gvensiz) ve secured (gvenli) trafii mevcut olduu durumda ncelik IPSec olacak ekilde birlikte altrabilmenizi salar. Allow Unsecured Communication With Non-IPSec Aware Computers eylemi makinelerinizin IPSec kullanm giriiminde bulunmakszn gvensiz balantlar kabul etmesine izin verir. Bu yzden bunu kullanmamanz, bunun yerine Accept Unsecured Communication, But Always Respond Using IPSec eylemini kullanmanz tavsiye ederiz. Session key (oturum anahtar) perfect forward secrecynin (PFS) etkinletirilmesi master key ifreleme materyalinin birden fazla session keyden tretilememesini salar. Use These Security Settings action, bu filtreyi tetikleyen balantlar zerinde kullanlmasn istediiniz security methodlar tanmlamanz salar. Bu seenek, bal bana bilgisayarlar iin ya da uzak networkler iin zel ayarlar tanmlamanz salar.
Rules Sekmesiyle Kurallar Ynetmek blm ek filtre eylemleri ve bu eylemlerin her birinin ne zaman kullanlp kullanlmayaca zerinde durur.
Security Policyler
Bir security policy, gvenlik seviyesi salayan bir kurallar ve filtreler takmdr. Microsoft nceden tanmlanm bir policyye sahiptir ayrca kendi policylerinizi oluturabilirsiniz. (Aslnda Dynamic Host Configuration Protocol [DHCP] ve remote access sunucularnz iin kendi policylerinizi oluturmanz gerekecektir.) Policyleri bilgisayarlara farkl yollarla uygulayabilirsiniz. Bunlardan en kolay policyyi Active Directoryde saklamak ve IPSec Policy Agenta uygun makinelere bunun uygulanmas iin izin vermektir. Bir makineye Active Directory araclyla bir IPSec atadnzda atanan o policy, makine o site, domain ya da o policynin uyguland OUden ksa bile baka bir policy uygulanana kadar atanm olarak kalr. Ayn zamanda policyleri direkt olarak tek tek makinelere atayabilirsiniz. Herhangi bir durumda spesifik bir makinede bir policynin yer almasn istemediinizde manel olarak unassign edebilirsiniz. IP Security Policy Management snap-ininin ierisinde bilmeniz gereken adet policy vardr:
Client (Respond Only) policy bir Windows 2000, XP ya da Server 2003 IPSec istemcisinin IPSeci destekleyen herhangi bir makine ile greceini fakat gvenlii balatma giriiminde bulunmayacan belirler. Bu policyyi bir Server 2003 bilgisayara uyguladnz varsayalm.
153
Bu makine outbound network balantsn balattnda IPSec kullanm giriiminde bulunmayacaktr. Eer uzaktaki bir makine ile balantya getii srada, kardaki makine talepte bulunursa IPSec taleplerini kabul edecektir.
Secure Server (Require Security) policy gelen ve giden tm IP iletiimi iin IPSec kullanacan belirler. Bu noktada tm DNS, WINS ve web talepleri ve IP iletiimi kullanan tm uygulamalar IPSec ile gven altna alnmak zorundadr Bu farkl policy arasndaki farklar iyi anladnzdan aksi taktirde bloklanacaktr. Bu tm network emin olun! Snavda varsaylan policyler ile ilgili bilgi apnda IPSec uygulama plan yapmadka gerektiren birden fazla soru ile karlaabilirsiniz. uygulamak isteyeceiniz bir policy olmayabilir. Server (Request Security) policy dier iki policynin karmdr. Bu durumda, makine her zaman uzak makineye balanrken ve gelen balant taleplerinde IPSec kullanm giriiminde bulunur. Bu policy gvenlik ve birlikte alabilirlik iin en iyi genel dengelemeyi salar.
154
Blm 4
beros kimlik dorulama kullanabilirsiniz. Bu srecin kullanc ve bilgisayar iin olduu gibi araclk yapan router ve dier aygt iin de tamamen transparan olarak gerekletiini hatrlayn. Negotiation ve agreement sreleri kullanclara ve bu kullanclarn kulland uygulamalara transparandr. Bilgisayar aldnda IPSec Policy Agent servisi balar. Active Directoryye balanp domain iin u andaki IPSec policyyi indirir. Eer bu balant giriimi baarsz olursa, IPSec takm IPSec olmadan ne yapacan bilemeyecei iin bilgisayarnz IPSec policyyi baarl bir ekilde alana kadar denemeye devam eder. Bir policy ele geirildiinde policy ayarlar ISAKMP/Oakley alt sistemine ve kerneldaki IPSec srclerine iletilir. Herhangi bir yabanc makineye balant giriimini balattnzda bilgisayarnzn IPSec srcs aktif IPSec policyyi kontrol ederek herhangi bir tanmlanm IP filtresi olup olmadna bakar. Bu filtreler hedef networkleri, trafik tiplerini ya da hem trafik tipleri hem de hedef networklerin her ikisini birden belirler. Filtre ayn zamanda IPSecin zorunlu, seimli ya da yasaklanm olup olmadklarn belirler. Sizin IPSec srcnz Sallynin subnetindeki makineler ile konuurken IPSec kullanmna izin verildiini belirledikten sonra, ISAKMP kullanarak Sallynin sunucusu ile bir ISAKMP SA kurar. u anda bir ISAKMP SA kuruldu, her iki makine bir IPSec SA iftiyle balant kurmak iin gerekli hereye sahip. Negotiation ilemi tamamlandnda her bilgisayar iki adet IPSec SAya sahiptir: Bir tane outbound trafik iin, bir tane inbound trafik iin. Sizin talepleriniz ne olursa olsun, bilgisayarnzdaki IPSec takm tarafndan ilenir. Sizin IPSec kodunuz AH ve/veya ESP kullanarak outbound paketlerinizi korur ve bunlar Sallynin sunucusuna gndermek iin IP takmnn daha alt seviye paralarna transfer eder. Sallynin sunucusu paketleri aldnda kendi IPSec takm (eer gerekliyse) paketlerin ifrelerini zer, gvenilirliini kontrol eder ve dier ilemler iin TCP/IP takmnn st katmanlarna iletir.
IPSec Kurulumu
Windows Server 2003 kurduunuzda bir Windows Server 2003 makinesinin bir IPSec istemcisi olarak almas iin gerekli tm bileenler varsaylan olarak yklenir. Bununla birlikte ayn zamanda varsaylan olarak IPSec kullanmn gerektirecek bir policy yoktur, bu yzden Windows Server 2003 makinelerinin varsaylan davran IPSec kullanmamaktr. Gzel haber IPSec kurmak zorunda olmaynzdr. Sadece bunu ynetmek iin kullanacanz aralar yklemeniz gerekir ve ardndan istediiniz etkinin gereklemesi iin policyleri ve filtreleri uygularsnz. Aadaki blmde, bir Windows Server 2003 bilgisayarnda IP security policylerinin nasl etkinletirildiini reneceksiniz.
155
Altrma 4.1: Lokal Bilgisayarda IPSeci Etkinletirmek 1. Start > Run tklayn ve MMC yazdktan sonra OK butonuna tklayn. Bo bir MMC konsol penceresi grntlenir. 2. File > Add/Remove Snap-In sein. Add/Remove Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusu grntlendiinde IP Security Policy Management sein ve Add butonuna tklayn. 4. Select Computer Or Domain diyalog kutusu grntlenir. Local Computer (varsaylan seenek) radyo butonunu sein ve Finish butonuna tklayn.
5. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn. 6. Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 7. MMCde IP Security Policies On Local Computer sein. MMCnin sa tarafnda bu blmde nceden bahsettiimiz nceden tanml policylerin listelendiine dikkat edin. 8. Server (Request Security) policy zerinde sa tklayn ve Assign komutunu sein. 9. Policy Assigned kolonundaki seilen policy iin kaydn Yes olduunu dorulayn. Bu ilem sizin gvenlik durumunuzu ykseltmek adna pek fazla birey yapmaz. nk bu ilemin tm yapt sizin lokal bilgisayarnzn dier bilgisayarlardan gelecek IPSec balantlarn kabul etmesini etkin hale getirmektir. Gerek sonu Active Directoryde IPSec policyleri uygulamaya baladnzda gelecektir.
IPSec Yaplandrma
Varsaylan policyleri deitirerek, kullanmak istediiniz kural (rule) ve filtreleri (filters) somutlatrmak iin kendi policylerinizi oluturarak ve ynetim alannz iinde policylerin bilgisayarlara nasl uygulanacan kontrol ederek IPSeci yaplandrabilirsiniz. Policyleri nerede uygulamak istediinize bal olarak farkl seviyelerde ynetebilirsiniz. Bununla birlikte bunlar ynetmek iin her zaman IPSec snap-ini kullanrsnz. Yeni bir policy oluturmak ya da var olan bir policyyi dzenlemek iin kullandnz aralar hem lokal hem de Active Directory policy yaps kullandnzda ayndr. Group Policy ynetimi bu kitabn kapsam dnda olduundan aadaki ksmlar daha ok IPSec ayarlarn nasl zelletireceiniz ve kontrol edeceiniz zerinde duracaktr.
156
Blm 4
Eer default response rule kullanmay seerseniz, bunun iin kullanlacak kimlik dorulama metodunu yaplandrmanz gerekir. Bunun iin Default Response Rule Authentication Method sayfasn (Bakn ekil 4.3) kullanacaksnz. nceden bahsi geen kimlik dorulama metodundan birini seebilirsiniz. Varsaylan olarak, Kerberos seilidir, fakat bunun yerine bir certificate authority ya da preshared key seebilirsiniz. (Eer preshared key Eer default response ruleu kullanmamay seerseniz, sihirbaz geri kalan admlar atlayp sizi kullanmn seerseniz, balantnn her iki ucunda da direkt olarak sonu sayfasna ynlendirir. ayn keyi kullandnzdan emin olun.) IP Security Policy Wizardn son sayfasnda Edit Properties adnda bir onay kutusu vardr. Bunu iaretleyerek sihirbaz sonlandktan sonra policy iine gmlm mevcut ayarlara eriebilirsiniz. Policy zellikleri ile ilgili daha fazlasn bu blmn IPSec Policylerini Yaplandrmak ksmnda reneceksiniz.
157
158
Blm 4
IPSec policyleri Group Policy tarafndan atanan dier objeler gibi ayn kurallara bamldr. Bu kitap Group Policy Objectleri ile ilgili olmasa bile, IPSec policy atamasnn gerekten almas iin bu kurallar bilmek faydaldr. lk kural basittir: Domain seviyesinde uygulanan bir policy her zaman lokal bilgisayara uygulanan policyyi ezer (elbette domaine logon olduunuzda). kinci kural da benzer ekilde basittir: Bir organizational unite uygulanan policynin her zaman domain seviyesi policylere gre ncelii vardr. Bu eer domain ve OU seviyelerindeki policylerinizde bir akma varsa, override seenei olmadka OU policysi kullanlacaktr. nc kural biraz daha karmaktr: Active Directory iinde bir OU hiyerariniz varsa, bu hiyerarinin en altndaki OU iin uygulanan policy dierlerini yoksayacaktr. rnein, Sales adnda bir OUnuzun olduunu ve bunlarn altnda North America ve South America adlarnda OUlarnzn olduunu farz edelim. Eer Sales ve Noth America OUlarnza iki farkl IPSec policysi uygularsanz, North America ayarlar ncelie sahip olacaktr. Drdnc kural ince fakat nemlidir: Group Policy ile bir IPSec policy uyguladktan sonra atamak iin kullandnz Group Policy Objecti silseniz bile policy etkin olarak kalacaktr. GPO yok iken IPSec Policy Agent GPO sunucunun geici olarak kullanlabilir durumda olmadn varsayar. Ardndan policynin nbelleklenmi bir kopyasn kullanr. Bu da GPOyu silmeden nce policyyi unassign etmeniz ve ardndan her bir istemci bilgisayarnda policyi refresh etmeniz ya da otomatik olarak refresh olmas iin beklemeniz gerektii anlamna gelir.
159
rnein, Windows 2000 Professional ve XP Professional bilgisayarlarnn kullanld kk bir networke sahip olduunuzu varsayalm. Bir makine zerinde lokal IPSec policyleri oluturabilir ve kaynak bilgisayardan export ettikten sonra dier bilgisayarlarda bunu import edebilirsiniz. Bunu yaparak bir Active Directory domain controllera ihtiya duymadan IPSec policylerinin tutarlln salam olursunuz.
160
Blm 4
fakat performans tersi ynde etkilenebilir. Methods butonu anahtar deiimi ilemini korumak iin kullanlacak olan security methodlarnn listesini grntler. Policy metod listesinden her zaman en yksek dzeydeki gvenlii dener rnein Eer Windows 2000 istemcileriniz var ve 3DES kullan3DES. Eer kar taraf bu metodu ileyemezse yorsanz Windows 2000 istemciler High Encryption Pack listedeki daha az gvenli metodlar kullanmay ya da Service Pack 2 veya daha stne sahip olmaldr. dener.
Burada her biri bir filter list, bir filter action ve authentication metodunu birbirine balayan rule vardr. Tek bir policy istediiniz kadar sayda rule barndrabilir. Farkl durumlarda uygulanan belirli sayda rulea sahip olmak genel bir yaklamdr. Ayn zamanda bir Active Directory domaininde ya da lokal policy deposunda tanmlanm birok farkl policynin olmas da genel yaklamdr.
Her ruleun yannda, o ruleun aktif olup olmadn kontrol eden bir onay kutusu bulunur. Bu onay kutularn kullanarak bir policy iinde rulelar tek tek etkin hale getirebilir ya da devre d brakabilirsiniz. Add, Edit ya da Remove butonlar ile bu rule listesini ileyebilirsiniz. Rulelarn, bulunduklar sraya gre deerlendirilmeyeceini ve onlar tekrar sralamaya gerek olmadn hatrlayn. Use Add Wizard onay kutusu yeni bir rule oluturmak iin Security Rule Wizardn kullanlp kullanlmayacan kontrol eder (varsaylan olarak bu onay kutusu iaretlidir). Bu onay kutusu iaretli deilken Add butonuna tkladnzda, bir eyleri elle yaplandrabileceiniz Edit Rule Properties diyalog kutusu grntlenir.
161
Bir rule seip Edit butonuna tkladnzda ya da Use Add Wizard onay kutusu iaretli deilken yeni bir rule oluturduunuzda Edit Rule Properties diyalog kutusu grntlenir (her bir rule iin ilikilendirilmi bir tane). Edit Rule Properties diyalog kutusunda be farkl sekme vardr. Create New IP Security Rule Wizard yaptnz seime gre sekmeleri getirecektir fakat sekmeleri elle doldurabilmek iin her bir rule iin hangi ayarlara sahip olduunu bilmeniz gerekir. Bunun iin sihirbazn tm admlarn izlemek yerine, her bir sekmedeki ayarlara bakacaz. IP Filter List Sekmesi IP Filter List sekmesi (Bakn ekil 4.7) bu rule ile ilikilendirilmi olan filter listleri gsterir. Sunucunuzda tanmlanan filter listler IP Filter List listesinde grnr. Bunlardan herhangi bir tanesini bu ruleun sonucunda uygulanacak ekilde seebilirsiniz. Eer isterseniz filter listleri burada ya da sonraki ksmda aklanan Manage IP Filter Lists And Filter Actions diyalog kutusunda ekleyebilir ya da kaldrabilirsiniz Filter Action Sekmesi Filter Action sekmesi (ekil 4.8) policy iinde tanmlananan tm filtreleri gsterir. Herhangi bir filter action bir rulea uygulayabilirsiniz. Bir filter listi bir filter action ile birletirdiinizi hatrlayn, fakat istediiniz kadar ruleu bir policy iinde gruplandrabilirsiniz. Add, Edit ve Remove butonlarn kullanarak filter actionlar ekleyebilir, dzenleyebilir ve silebilirsiniz. Use Add Wizard onay kutusu yeni bir filter action ekleme ileminin IP Security Filter Action Wizard ile balamasn ya da Properties diyalog kutusunun almasn kontrol etmek iin kullanlr. Authentication Methods Sekmesi Authentication Methods sekmesi bir ruleun kullanmasn istediiniz bir ya da daha fazla kimlik dorulama metodunu tanmlamanza izin verir. Burada birden fazla metodunuz listelenmi olabilir, eer yleyse, IPSec bunlar listedeki grntlenme sralarna gre kullanmaya alacaktr. Burada nceden bahsi geen seenek var: Kerberos, certificates ya da preshared keys. Tunnel Setting Sekmesi Tunnel Setting sekmesinde bu ruleu baka bir sistem (ya da tunnel endpoint) ile bir IPSec tunnel oluturacak ekilde belirleyebilirsiniz. Bununla ilgili daha fazlasn bu blmdeki Tunnel Mode in IPSec Yaplandrmas ksmndan okuyabilirsiniz. Connection Type Sekmesi Connection Type sekmesi (ekil 4.10) bu IPSec ruleun uyguland balant eitlerini tanmlamak iin kullanlr. rnek olarak dial-up ve LAN balantlarnz iin kullanclarnz, balandklar yer ve bal bulunduklarnda ne yaptklar baznda farkl rulelar tanmlamak isteyebilirsiniz. Temel seiminiz kolaydr: Bu ruleun uygulanaca balant tiplerini semek iin kullanacanz radyo butonu vardr. All Network Connections butonu varsaylan olarak seilidir, bu yzden yeni bir rule
ekil 4.7: Edit Rule Properties diyalog kutusu IP Filter List sekmesi.
ekil 4.8: Edit Rule Properties diyalog kutusu Filter Action sekmesi.
162
Blm 4
olutururken, bu rule hem LAN hem de remote access connectionlar iin uygulanacaktr. Eer ruleun sadece LAN ve RAS balantlarn kapsamasn isterseniz sadece ilgili butonu sein.
ekil 4.9: Edit Rule Properties diyalog kutusu Authentication Methods sekmesi.
ekil 4.10: Edit Rule Properties diyalog kutusu Connection Type sekmesi.
163
lir ve kaldrabilirsiniz. Yeni bir filter list eklerken ya da dzenlerken IP Filter List diyalog kutusunu greceksiniz (Bakn ekil 4.12). Bu diyalog kutusu filter list iin ad ve aklama bilgileri belirleyebilmenizi ve ardndan listeyi oluturmak iin filter ekleyebilmenizi, kaldrabilmenizi ve dzenleyebilmenizi salar. Bir filter dzenlerken ya da yeni bir filter eklerken kategoride bilmeniz gerekenler vardr: Filtern kullanmasn istediiniz kaynak ve hedef adresleri: Bu tek bir IP adresi, tek DNS ad (hawk.chellis.net, chellis.net ve .net gibi herhangi bir seviyede) ya da subnet olabilir. Ayn zamanda kaynak ve hedef adreslerini gstermek iin my ve any zel adresleri (rnein My IP Address, Any IP Address gibi) vardr. Filtern mirror edilmesini isteyip istemediiniz: Bir mirrored filter otomatik olarak bu filtern tersini filtreler. rnein, sizin IP adresinizden uzak bir adrese bir filter ayarladnz ve bunu sadece 80 numaral porta izin verecek ekilde yaplandrdnzda, mirror seenei ile uzak adresten size doru 80 numaral port zerinde gelecek trafie izin veren bir filter elde etmi olursunuz. Filtern uygulanmasn istediiniz protokoller ve portlar: Herhangi bir protokol tipini seebilirsiniz (rnein TCP, UDP, ICMP, EGP, RDP ve RAW gibi) ve zel olarak kaynak ve hedef portlar seebilir ya da daha sonra ele alacamz From Any Port ve To Any Port radyo butonlarn kullanabilirsiniz. Bu bilgileri filtera girmek iin IP Filter Properties diyalog kutusunu kullanrsnz. IP Filter diyalog kutusu iinde Add ya da Edit butonlarn kullanrken uygun filter (yeni bir tane ya da Edit ekil 4.12: IP Filter List diyalog kutusu. butonuna tklamadan setiiniz filtre) iin Properties diyalog kutusunu greceksiniz. Diyalog kutusu adet sekmeye sahiptir: Description, Addresses ve Protocol. Description sekmesi filter adlandrmak ve aklama bilgisi girmek iin kullanlr. Aadaki ksmlarda dier iki sekmeye gz atacaz. Addresses Sekmesi Bu filtern elemesini istediiniz kaynak ve hedef adreslerini belirlediiniz yer Addresses sekmesidir (Bakn ekil 4.13). Kaynak adresi iin IPSec sunucuya atadnz IP adresini, any IP adresi, spesifik bir DNS adresi ya da IP adresi ya da spesifik bir IP subneti kullanmay seebilirsiniz. Ayn ekilde hedef adres iin IPSec sunucu adresi, any IP adresi ya da spesifik DNS ad, subnet ya da IP adresi seebilirsiniz. Bunlar filtern ne ekilde harekete gemesini istediinizi belirlemek iin bir kombinasyon iinde kullanrsnz. rnein Benim adresimden a.b.c.d adresine herhangi bir trafii ele eklinde bir rule oluturabilirsiniz. Ayn zamanda All IP Traffic filter: sizin IP adresinizden (herhangi bir port zerinden) herhangi bir hedef adrese ynelen trafikle eleecek ekilde bir filter oluturabilirsiniz. Ayn zamanda Mirrored onay kutusunu kullanarak bir kart rule oluturabilirsiniz. rnein All IP
ekil 4.13: IP Filter Properties diyalog kutusu Adresses sekmesi.
164
Blm 4
Traffic ruleunun mirror edilmi hali herhangi bir IP adresi herhangi bir portu zerinden sizin IP adresinize gelen trafik ile eleir. Mirror etme ilemi hem gelen hem de giden trafik iin filterlar ayarlama ilemini kolaylatrr. Protocol Sekmesi Protokol sekmesi belirlenen bir protokol kullanan zel bir port zerinden gelen ya da gnderilmekte olan trafii elemenize izin verir. Bu olduka kullanldr nk UDP 80 kaynak portu ile TCP 80 hedef portu tamamen farkldr. Select A Protocol Type mensn kullanarak Set The IP Protocol Port kontrol grubu ile bu filtern elemesini istediiniz protokol ve portlar belirlersiniz.
Use Add Wizard onay kutusu seili deilken Add butonuna tkladnzda ilk greceiniz New Filter Action Properties diyalog kutusu Security Methods sekmesi olacaktr (Bakn ekil 4.16).
ekil 4.16: New Filter Action Properties diyalog kutusu Security Methods sekmesi.
Bu sekmeyi bu filter actionn kullanmasn istediiniz metodlar semek iin kullanrsnz. Permit ya da Block yerine Negotiate Security radyo butonunu seerek kendi ihtiyalarnza uygun ekilde AH ve ESP algoritmalarn seerek kendi zel security methodlarnz oluturabilirsiniz. Security methodlar listesininin hemen altndaki onay kutusu IPSec konuamayan bir bilgisayardan bir
165
balant talebi geldiinde bu bilgisayarn ne yapacan kontrol eder. Bu aadaki seenekleri ierir:
Accept Unsecured Communication, But Always Respond Using IPSec onay kutusu bu action gelen balant taleplerinin bir IPSec negotiation mesaj ile cevaplanaca eklinde tanmlar. Eer kar taraf IPSec kullanamyorsa, bilgisayar herhangi bir gvenlik iermeyen gelen talepleri kabul edecektir. Allow Unsecured Communication With Non-IPSec-Aware Computers onay kutusu action herhangi bir IPSec kullanabilen ya da kullanamayan bilgisayarn balanmasna izin verecek ekilde yaplandrr. IPSec kullanamayan herhangi bir makine normal olarak gvensiz balant kullanacaktr. Varsaylan olarak bu onay kutusu seili deildir; eer bunu seerseniz, IPSec policylerinizin kesinlikle uygun olarak ayarlandndan emin olmalsnz. Eer uygun ekilde ayarlanmamlarsa, IPSec kullandn dndnz baz bilgisayarlar gvensiz bir ekilde balanabilirler. Session Key Perfect Forward Secrecy (PFS), var olan master key ifreleme materyalinin yeni bir session key elde edilebileceini belirlemek iin kullanlr. Session key PFS etkinletirildiinde bir yeni Diffie-Hellman anahtar deiimi, yeni bir session key oluturulmadan nce yeni bir master key ifreleme materyali retme iini yerine getirir. Session key PFS main mode yeniden kimlik dorulama gerektirmez ve master key PFSten daha az kaynak kullanr.
Altrma 4.2de her zaman kullanlacak ekilde Server (Request Security) policy atamas yapacaksnz. Altrma 4.3de bunu biraz kartracaksnz. Oluturduunuz tm IPSec policyleri var saylan olarak transport mode (tunnel mode deil) policyler olacaktr. Bu ayn zamanda default local computer ve domain IPSec policyleri iin de dorudur. Bu altrmada, lokal bilgisayar Server (Request Security) policy ayarlarn birlikte alabilirlii artracak ekilde deitireceksiniz. Altrma 4.3: Lokal Bilgisayar IPSec Policy ve Rulelarn Transport Mode in zelletirmek ve Yaplandrmak 1. Start > Run seip MMC yazn ve OK butonuna tklayn. Bo bir MMC konsol penceresi grntlenecektir. 2. File > Add/Remove Snap-In komutunu sein. Add/Remoce Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusunda snap-in listesini iaretli bir IP Security Policy Management grene kadar aaya doru kaydrn ve bunu seip Add butonuna tklayn. 4. Select Computer diyalog kutusu grntlenir. Local Computer radyo butonunu seip Finish butonuna tklayn. 5. Add Standalone Snap-In diyalog kutusunda Close butonuna tklayn ve ardndan Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 6. MMCde IP Security Policies On Local Computer nodeunu sein MMCnin sa blmnden Server (Request Security) policy zerinde sa tklayn ve Properties komutunu sein. Server (Request Security) diyalog kutusu grntlenir. 7. All IP Traffic ruleunu sein ve Edit butonuna tklayn. Edit Rule Properties diyalog kutusu grntlenir. 8. Filter Action sekmesine gein. Request Security (Optional) filter action sein ve ardndan Edit butonuna tklayn. Bu filter actionn Properties diyalog kutusu grntlenir. 9. Add butonuna tklayn. New Security Method diyalog kutusu grntlendiinde Custom radyo butonuna ve ardndan Settings butonuna tklayn. 10. Custom Security Method Settings diyalog kutusunda Data And Address Integrity Without Encryption (AH) onay kutusunu ve ardndan listeden SHA1 sein. Alttaki (ESP) listeyi kullanarak, Integrity iin SHA1 ve Encryption iin 3DES ayarlayn.
166
Blm 4
11. lk olarak Generate A New Key Every onay kutusunu iaretleyin ve key oluturma zaman araln 24,000 Kbytea ayarlayn (Bu deer 20,480-2,147,483,647 Kb aralnda olmaldr). Ardndan Generate A New Key Every onay kutusunu sein ve key oluturma zaman araln 1800 saniye olacak ekilde belirleyin. 12. Custom Security Method Settings diyalog kutusunda OK butonuna tklayn ve ardndan New Security Method diyalog kutunda OK butonuna tklayn. 13. IP Filter Properties diyalog kutusu grntlendiinde Move Up butonunu kullanarak az nce tanmladnz custom filter listenin en bana getirin. 14. IP Filter Properties diyalog kutusunda OK butonuna tklayn. 15. Edit Rule Properties diyalog kutusunda Close butonuna tklayn ve ardndan Server (Request Security) Properties diyalog kutusunda OK butonuna tklayn.
167
Dzgn bir ekilde bir tunnel yapmak iin, aslnda her iki u iin iki filtera ihtiyacnz var: Bir adet inbound trafik iin ve bir adet outbound trafik iin. Microsoft tunnel rulelarn mirror etmemeniz ynnde uyarr. Bunun yerine iki network balamak isterseniz, ayarlar ekil 4.17de grld gibi belirlemeniz gerekecektir. Herbir tarafn ruleu bir adet inbound trafik iin ve bir adet outbound trafik iin olmak zere iki filtera sahiptir. Atlanta filter giden trafik iin Seatle router bir tunnel endpoint olacak ekilde bir filter ve gelen trafik iin herhangi bir IP subnetinden gelen Atlanta tunnel endpointi iaret eden trafii belirleyecek ekilde baka bir filter tanmlar. Bu iki filter listinin birleimi ile balant iin istediiniz gvenlik tipini salayan bir filter belirleyebilirsiniz. Bir balantnn tnellenip tnellenmediini Edit Rule Properties diyalog kutusu Settings sekmesini kullanarak bir rule temelinde belirlersiniz. Server (Request Security) setikten sonra sa tklayp Properties sein. Properties diyalog kutusunda All IP Traffic ruleu sein ve Edit Rule Properties diyalog kutusuna tklayn. Son olarak Tunnel Settings sekmesini sein (Bakn ekil 4.18). ki radyo butonu bu ruleun bir tunnel kurup kurmayaca belirler. Varsaylan buton This Rule Does Not Specify An IPSec Tunnel radyo butonudur. Bu rule ile tunneling ilemini ekinletirmek iin The Tunnel Endpoint Is Specified By This IP Address sein ve remote endpointin IP adresini girin.
ekil 4.18: Edit Rule Properties diyalog kutusu Tunnel Settings sekmesi.
Altrma 4.4de IPSec tunnel mode iin bir policy yaplandracaksnz. Altrma 4.4: IPSec Tunnel Mode in Bir Policy Yaplandrmak Bu altrma Administrator haklar ile eriebildiiniz iki farkl makine kullanmanz gerektirmektedir. Bunlara makine A ve makine B adlarn verelim. Balamadan nce bunlarn IP adreslerine ihtiyacnz var ve makinelerin lokal IPSec policylerini bir MMC konsolu iinde amanz gerekir. lk olarak A makinesini yaplandralm: 1. IP Security Polices On Local Computer zerinde sa tklayn, ardndan Create IP Security Policy komutunu sein. IP Security Policy Wizard grntlenir. Next butonuna tklayn. 2. Policyyi Tunnel To B eklinde isimlendirin ve Next butonuna tklayn. 3. Requests For Secure Communication sayfasnda, Activate Default Response Rule onay kutusunu temizleyin ve Next butonuna tklayn. 4. Wizardn zet sayfas grntlendiinde Edit Properties onay kutusunun seili olduundan emin olun ve ardndan Finish butonuna tklayn. Tunnel To B Properties diyalog kutusu grntlenir. Rules sekmesi zerinde Add butonuna tklayn. Welcome To The Create IP Security Rule Wizard balayacaktr. Next butonuna tklayn. 5. Wizardn Tunnel Endpoint sayfasnda The Tunnel Endpoint Is Specified By The Following IP Addressi sein ve B makinesinin IP adresini girin. Next butonuna tklayn. 6. Network Type sayfasnda, Local Area Network (LAN) sein ve Next butonuna tklayn. 7. All IP Traffic radyo butonuna tklayn ve Next butonuna tklayn. 8. Filter Action sayfasnda Request Security (Optional) radyo butonunu sein ve Next butonuna tklayn. 9. Authentication Method sayfasnda Active Directory Default (Kerberos V5 protocol) sein ve Next butonuna tklayn.
168
Blm 4
10. Edit Properties onay kutusunu temizleyin, Finish ve ardndan OK butonlarna tklayn. imdi 110 arasndaki admlar B makinesi iin tekrarlayn, 25 arasndaki admlarda uygun IP adresleri ve isimler (rnein Tunnel To A, makine Ann IP adresi) kullanarak rulelar oluturun
3. Snap-in listesinden IP Security Monitor sein ve Add butonuna tklayn. Close butonuna ardndan OK butonuna tklayn. MMCye geri dneceksiniz ve snap-in soldaki pencerede grntlnecektir.
4. MMCyi kaydetmek iin File > Save sein ve bir isim ve konsolu kaydedeceiniz bir lokasyon belirleyin.
169
IP Security Monitor snap-ini ekil 4.19da grntlenmektedir. Varsaylan olarak IP Security Monitor snap-ini iinde lokal bilgisayar grntlenir. Eer networkteki dier makineleri izlemek isterseniz sol taraftaki pencerede IP Security Monitor zerinde sa tklayp Add Computer seerek onlar da kolayca ekleyebilirsiniz. Eer bir domain ortamndaysanz, uzak bilgisayarlar konsol penceresine eklemek iin ynetimsel haklara sahip olmalsnz. zlemekte olduunuz makineye atanm policy detaylarn grntlemek iin, IP Security Monitor ServerName, Active Policy eklinde an. Bu blmn nceki ksmlarnda tanmlanan policy ayrntlar ekil 4.20de grld gibi sa tarafta listelenir.
Ayn zamanda IP Security Monitor, main mode ve quick mode negotiationlar iin IP Security istatistiklerini grntlemek iin de kullanabilirsiniz. Bunun iin Main Mode ya da Quick Mode altnda Statistics nodea tklayn. Sa pencerede ok eitli istatistikler grntlenecektir ve alnan ve gnderilen toplam byte saylar, send/receive negotiation ya da authentication baarszlklar gibi bilgiler ve daha fazlas grntlenir. Main mode istatistikleri ekil 4.21de grlmektedir.
170
Blm 4
Negotiation Failures
Invalid Cookies Recevied Total Acquire Total Get SPI Key Additions Key Updates Get SPI Failures Key Addition Failures Key Update Failures ISADB List Size Connection List Size IKE Main Mode IKE Quick Mode Soft Associations
171
Tablo 4.2 quick mode istatistiklerini ve aklamalarn listelemektedir. Tablo 4.2: Quick Mode statistikleri
statistik Active Security Associations Offloaded Security Associations Pending Key Operations Key Additions Key Deletions Rekeys Active Tunnels Aklama Aktif quick mode SAlarn says SA hzlandrmay destekleyen NIC gibi zel donanmlarla hzlandrlm aktif quick mode SAlarnn says. Kuyrukta bekleyen fakat tamamlanmam IPSec key exchange says. En son yeniden balamadan beri eklenen baarl quick mode SAlarn says. En son yeniden balamadan beri silinen baarl quick mode SAlarnn saylar. En son yeniden balamadan beri rekeyed quick mode SAlarn says. Aktif IPSec tunnel says. En son yeni balamadan beri kt bir SPIdan etkilenen paket says. Genellikle bu bir paketi expired olmu bir SAya erime giriiminde bulunduu anlamna gelir. Bu istatistik, rekey zaman aral kk ise ve SAlarn says ok bykse ya da bir spoof atak srasnda sz konusu ise yksek olabilir. En son yeniden balatmadan beri ifrelerinin zlmesinde baarsz olunan paketlerin says. Bu bir paketin geerlilik kontrolnde baarsz olmas durumunda gerekleebilir. Bilgisayar tarafndan kayna dorulanamayan paketlerin says. Bu deer yksek ise, paket spoofing, modification atak ya da network aygtlar tarafndan bozulma sz konusu olabilir. En son yeniden balamadan beri geersiz sra numarasna sahip paketlerin says. ESP altnda ifrelenerek gnderilmi toplam byte says. ESP altnda ifrelenmi alnan toplam byte says. AH ya da ESP altnda kimlii dorulanm gnderilen toplam byte says. AH ya da ESP altnda kimlii dorulanm alnan toplam byte says. En son yeniden balamadan beri transport modeda gnderilen toplam byte says. En son yeniden balamadan beri transport modeda alnan toplam byte says. En son yeniden balamadan beri tunnel modeda gnderilen toplam byte says. En son yeniden balamadan beri tunnel modeda alnan toplam byte says. En son yeniden balamadan beri donanma braklarak gnderilen toplam byte says. En son yeniden balamadan beri donanm ile birlikte alnan toplam byte says.
Packets With Replay Detection Confidential Bytes Sent Confidential Bytes Received Authenticated Bytes Sent Authenticated Bytes Received Transport Bytes Sent Transport Bytes Received Bytes Sent In Tunnels Bytes Received In Tunnels Offloaded Bytes Sent Offloaded Bytes Received
IP Security Monitor ayn zamanda izlemekte olduunuz makineye uyguladnz filterlar grntlemek iin kullanldr. IP Security Monitor olmadan, hangi makineye hangi filtern uygulandn hatrlamak g olabilir. Main Mode ve Quick Mode kategorilerinin altnda Generic Filters ve Specific Filters nodelarna tklayarak networknzdeki filterlarn niteliini kolay bir ekilde belirleyebilirsiniz. Filterlar sa pencerede filter ad, kaynak, hedef ve bunun gibi birok detayla
172
Blm 4
birlikte grntlenir. Bu konularla ilgili grntlenen detaylar bu blmdeki IPSec parametrelerinin ayarlanmas ksmnda tartlmt. Son olarak IP Security Monitor izlemekte olduunuz bilgisayarn policy ve SAlarn grntler. Bir policyye ift tklayarak kullanlmakta olan AH ve ESP tiplerini grebildiiniz gibi her metod iin anahtar yaam srelerini ve PFS ayarlarn grebilirsiniz. Security Association nodeu iki bilgisayar arasndaki iletiimde sorun gidermek iin kullanldr. Sunucunun IP adresinin Me kolonunda ve istemcinin IP adresinin Peer kolonunda listelendiinden emin olmanz gerekir. Eer deilse SA geersizdir.
173
Altrma 4.6da logon eventleri ve object accessleri iin izleme olayn etkin hale getireceksiniz. Log iinde herhangi bir ey grmek iin birbiriyle konuabilecek IPSec altran en azndan iki adet makineye ihtiyacnz olacaktr. Bu altrma srasnda kullandnz makinelerin hangisinde ynetimsel eriim hakkna sahip olduunuzun nemi yoktur. Altrma 4.6: IPSec Logon Aktivitelerinin zlenmesi Eer bir domain controller kullanyorsanz, Altrma 4.2de kaydettiiniz konsolu ykleyip altrmann 2. admndan 5. admna atlayabilirsiniz. Eer stand-alone ya da workgroup sunucusu kullanyorsanz normal olarak ilerleyin. 1. Start > Run seip MMC yazn ve OK butonuna tklayn. Bo bir MMC konsolu grntlenir. 2. File > Add/Remove Snap-In sein. Add/Remove Snap-In diyalog kutusu grntlendiinde Add butonuna tklayn. 3. Add Standalone Snap-In diyalog kutusunda, iaretli bir Group Policy Object Editor grene kadar snap-in listesini aaya doru kaydrn. Daha sonra seip Add butonuna tklayn. 4. Select Group Policy Object diyalog kutusu grntlenir. Local Computer seeneini iaretli olarak brakp Finish butonuna tklayn. 5. Add Standalone Sanp-In diyalog kutusunda Close butonuna tklayn ve ardndan Add/Remove Snap-In diyalog kutusunda OK butonuna tklayn. 6. Audit Policy klasrn arayn ve sein (Local Computer [ya da domain] Policy, Computer Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy). 7. Audit Logon Events kayd zerinde ift tklayn. Local Security Settings diyalog kutusu grntlendiinde Success ve Failure onay kutularn iaretleyin ve ardndan OK butonuna tklayn. 8. Baka bir makineden az nce local security policyyi deitirdiiniz makineye bir IPSec balants kurun. 9. Event logu gzden geirin ve IPSec negotiationn baarl ya da baarsz olma durumlarn gzleyin.
174
Blm 4
yazlm yoluyla ifreleme kullandnz ESP iletiiminizi tehis etmek isterseniz, her iki makinedeki IPSec policylerini deitirerek ESP ifrelemeyi devre d brakmal ve ESP null ifrelemeyi kullanmalsnz.
Her iki bilgisayarda da IPSeci durdurun ve her iki uca da ping atmaya aln. Eer ping baarl deilse, balant temelinde bireylerin yanl olduunu syleyebiliriz. Aksi halde problemin kayna byk olaslkla IPSec yaplandrmas ile ilgilidir. IPSec Policy Agent servisini yeniden balatn ve IP Security Monitor kullanarak iki makinenin eleen SAlara sahip olduunu dorulayn. IPSec Policy Management aracn kullanarak IPSec policylerinin her iki bilgisayara da atandndan ve birbirleriyle uyumlu olduundan emin olun.
175
Event logunu event ID 279 iin gzden geirin. Bu IPSec Policy Agentn atanan policyyi size syleme yoludur. IP Security Monitorde main modeu bir security association kurulup kurulmadn belirlemek iin kontrol edin ve ardndan Statistics klasrn dikkatli bir ekilde herhangi bir hata (negotiation failure, authentication failure, acquire failure, send failure gibi) durumu iin kontrol edin. Uygun Group Policy Objectsine (local computer policy de dahil olmak zere) bir IPSec policy atanp atanmadna bakn. Bir bilgisayar zerinde lokal policyleri dzenlemeyi denerken, IPSec snap-ini IPSec policy iin atanan group policy iin sizi uyarr.
zet
u konular bu blmde ele alnmtr: Bu blm IPSecin normal IP protokol zerinde kimlik dorulama ve/veya ifrelemeyi salayarak ya da zorunlu klarak network gvenliini nasl arttrdn inceledi. Bu blm ayn zamanda IPSec ynetim snap-ininin kurulumu ve IPSec policylerinin yaplandrlmas zerinde durdu. zel security policylerin ve filterlarn oluturulmas sreci incelendii gibi yerleik security policylerin (Server [Request Security], Client [Respond Only] ve Server [Require Security]) nasl kullanld da incelendi. Son olarak IP Security Monitor, Event Viewer ve Network Monitor kullanlarak IPSec ile ilgili sorunlar izleme ve giderme zerinde duruldu, doru policynin atanp atanmadn dorulama ve policy uyumazlklarn kontrol etme zerinde duruldu.
Snav Esaslar
IPSecin nasl altn anlayn. IPSec network katmannda alr, kullanc ve uygulamalarn kullanmakta olduklar trafiin gvenli bir balant zerinden tanp tanmadndan haberdar olmalarna ihtiya yoktur. IPSec birincil olarak iki servis salar: bilgisayarlarn birbirlerine gvenip gvenmemelerine karar verebilecekleri bir yol (authentication) ve network verilerinin gizli tutulmasn salayan bir yol (encryption). IPSecin Windows Server 2003 uygulamalar ak bir ekilde policy tabanl gvenlik fikrini destekler. IPSecin nasl yklendiini bilin. Bir Windows 2000, XP ya da Server 2003 makinesinin bir IPSec istemcisi olarak almas iin gerekli olan bileenler Windows Server 2003 kurduunuzda varsaylan olarak gelir. Bununla birlikte - varsaylan olarak IPSec kullanmn zorunlu klan bir policy yoktur, bu yzden bu Windows makinelerinin varsaylan yaklam IPSec kullanmama ynnde olacaktr. IPSec yklemek zorunda deilsiniz; sadece bunu ynetmek iin ve istenen etkiyi salamak amacyla policyler ve filterlar atamak iin bir ara kurmaya ihtiyacnz var. IPSec IPSecurity Policy Management snap-in araclyla ynetilir. IPSec Policylerinin nasl oluturulup yaplandrldn bilin. IPSeci default policyleri deitirerek, kullanmak istediiniz rule ve filterlar kapsayan kendi policylerinizi oluturarak ve sizin ynetim alannz iinde policylerinizin bilgisayarlara nasl uygulanacan kontrol ederek yaplandrabilirsiniz. Snap-in iinde IP Security klasr zerinde sa tklayp New IP Security Poli-
176
Blm 4
cy komutunu seerek yeni policyler oluturabilirsiniz. Bir policynin Properties diyalog kutusu ile policyyi zelletirebilirsiniz. Properties diyalog kutusunda rule, filter list ve security action ekleyebilir, silebilir ve ynetebilirsiniz. Filter listlerin nasl ynetildiini bilin. Filter list ve filter actionlar Edit Rule Properties diyalog kutusu iindeki uygun sekmeleri kullanarak ynetebilirsiniz, fakat buradaki elerin herhangi bir policy iin mevcut olduuna dikkat edin. Bunun yerine pop-up menden Manage IP Filter Lists And Filter Actions komutunu kullanabilirsiniz. Bu komut Manage IP Filter Lists And Filter Actions diyalog kutusunu grntler. IPSecin Tunnel mode iin nasl yaplandrldn bilin. Bir tunnel standart bir transport mode iin yapabileceiniz gibi kaynak ve hedef IP adresleri uyuan bir filter oluturarak kurarsnz. Tunnel zerinde ESP ve AH kullanmak size bir authenticated tunnel (sadece AH), bir encrypted tunnel (sadece ESP) ya da bu ikisinin kombinasyonunu verir. Bu hareketi bir filter action ve security method tanmlayarak kontrol edebilirsiniz. Dzgn bir ekilde bir tunnel oluturmak iin her iki uta iki rulea ihtiyacnz var: bir adet gelen trafik iin ve bir adet giden trafik iin. IPSecin nasl izlendiini bilin. IP Security Monitor u anda IPSecte sorun giderme iin tercih edilen aratr. Bir security assciationn kurulup kurulmadnn nasl belirlendiini ve iletiim srasnda associationn hatalar alp almadn ya da kabul edilip edilmedii nasl belirlendiini bilin. IPSec log ileminin nasl etkinletirildiini bilin. IPSec olaylar bir security association kurulurken loga kaydedilir ve event logu IPSec istatistiklerini ve izlemeleri iin inceleyebilirsiniz. netshta bir anahtar olarak bulunan IPSec komut satr aracn bilin. IPSecte nasl sorun giderildiini bilin. lk olarak uzak sisteme temel, gvensiz TCP/IP balantnzn olduunu dorulamanz gerekir. Ayn zamanda eer atanm bir IPSec policyniz yoksa ya da yanl bir policyye sahipseniz balant abalarnz sonu vermeyecektir. Son olarak, her iki uta da uygulanm policyleriniz var ve hala balant kuramyorsanz policylerin rtmemi olma ihtimali yksektir.
Pratik Laboratuvar almas: IPSec Balantlarnda Sorun Gidermek in Event Viewer Kullanmak
Bu laboratuvar almasnda, bir IPSec balantsndaki sorunda Event Viewer spesifik olaylara bakmak iin iin bir filtre oluturarak kullanacaksnz. Bu laboratuvar almas iin bir Windows Server 2003 sunucuya ihtiyacnz olacak. 1. Start > Administrative Tools > Event Viewer seerek Event Viewer an. 2. Event Viewerda, security nodeu zerinde bir kez tklayn, ekrannz aadaki grafiktekine benzeyecektir.
177
3. View > Filter sein. Security Properties diyalog kutusu aadaki grafikte grld gibi grntlenir.
4. Event ID metin kutusuna aadaki grafikte grld gibi 547 yazn. OK butonuna tklayn.
5. 547 IDsine sahip tm olaylar, bir SA negotiation hatasna iaret eder ve Event Viewerda grntleneceklerdir. Bonus: Event ID filtre koulunu IPSec sorun giderme ile ilgili dier IDlerle deitirin. Bu IDleri hatrlamak iin Tablo 4.3e bakabilirsiniz.
178
Blm 4
179
C. Policynin Properties diyalog kutusu Schedule sekmesini an ve Check For Policy Changes alann dzenleyin. D. IPSec Policy Agent servisini durdurup balatmak iin bir zamanlanm grev oluturun. 5. irketiniz raporlar oluturma ve parlemento raporlar iinde kullanlan ekonomik bilgilerin toplanmas szlemesine sahip. irketiniz bu bilgileri birok farkl lkedeki anlamal organizasyondan topluyor ve harmanlyor. irketinizin ald bilgiler iin gnderen organizasyonun kimliinin dorulanmas ok nemli. Bilgilerin gvenliini salamak iin IPSec uyguladnz. IPSeci yaplandrrken, bilgilerin uygun kaynaktan geliyor olmasndan nasl emin olabilirsiniz? A. AHy, her bir IP paketi kaynak adresi iin kimlik dorulamas salayacak ekilde yaplandrn. B. AHy, IP paketi iin ifreleme salayacak ekilde yaplandrn. C. ESPyi IP payload iin ifreleme salayacak ekilde yaplandrn. D. ESPyi IP payload iin kimlik dorulama salayacak ekilde yaplandrn. 6. Malike, bir d sitea gnderilen tm HTTP trafiini koruyacak bir IPSec kural oluturma grevi atand. Bunu gerekletirmek iin aadakilerden hangisi en iyi yoldur? A. Hedef adresi olarak belirtilen d site tanmlayan All IP Traffic IP filter list ve Require Security action kullanan yeni bir policy oluturun. B. Request Security (Optional) policyyi etkin hale getirin. C. Require Security policyyi etkinletirin. D. Hedef adresi olarak d site tanmlayan ve TCP protokol 80 portu zerinde kaynak ve hedef iin bir custom filter list kullanan yeni bir policy oluturun. 7. Native mode Windows Server 2003 networknzdeki verilerin gvenlii ve btnl irketinizin ynetimi asndan olduka nemlidir. Birbirleriyle sklkla iletiim kuran yedi lokasyonunuz var ve bu lokasyonlarn hepsi Internet iin standart bir ekilde kendi eriimlerini kullanyorlar. irketin mdrleri ve ynetim personelleri arasndaki iletiim trafiinin gvenlik altna alnmasndan sorumlusunuz. Bunu yapmak iin belirlenen iletiim iin kimlik dorulama ve ifreleme salamak amacyla IPSec uygulamay planlyorsunuz. Networknz boyunca IPSecin dzgn bir ekilde almas iin neyi deitirmeniz gerekecektir? A. Networkteki uygulamalar mdr ve ynetim personelinin IPSec kullanmn destekleyecek ekilde deitirin. B. Mdrlerinizin ve yneticilerinizin NIClerini IPSec kullanacak ekilde ykseltin. C. Router yazlmn IPSec trafiini dier lokasyonlara geirebilecek ekilde ykseltin. D. Bilgisayarlarnzda IPSeci, dier bilgisayarlardan IPSec balantlarn kabul etmesi iin etkinletirin. 8. Marie baka bir ekilde alan bir networkte bir IPSec hatasn zmeye alyor. Event loguna baktnda hata kaydn event ID 547 ile buluyor. Bu logu dikkate alrsak Marienin tespit edebilecei muhtemel sebep hangisidir? A. ki bilgisayar policyleri arasndaki uyumazlktan dolay megotiation baarsz oldu. B. IPSec Policy Agent bir policyyi getiremedi. C. Bir IPSec SA kapatld. D. Bir IPSec SA kurulamad.
180
Blm 4
9. irketinizin baka bir irket ile bir Windows Server 2003 uygulama yazlm gelitirme projesine katlmak iin bir szleme imzalad konusunda bilgilendirildiniz. Bu proje iki organizasyon arasnda kaynak kodlarnn paylalmasn gerektirecektir. ki irket arasndaki iletiimin korunmas bu noktada ok nemlidir. Her iki irket de native modda Windows Server 2003 altryor ve yine her iki irkette de veri transferi gvenliini salamak iin IPSec etkinletirilmi durumda. Her iki irket de IPSec gvenlik protokollerini kontrol etmek ve iki irket network arasnda IPSec iletiimini snrlandrmak istiyor. Sizin irketinizin domaini panacea.com ve dier irketin domaini hearth.comdur. Kayna panacea.com, hedefi hearth.com olan bir security filter oluturdunuz. hearth.comun sistem yneticisi kaynak hearth.com ve hedef panacea.com olan bir security filter oluturdu. Balanty test ettiinizde, IPSec negotiation srecinin baarsz oluyor ve trafik gvenli deil. Bu probleme sebep olan en muhtemel sorun nedir? A. irketler IPSec ile ilgili farkl service packler kullanyor. B. Hibir ey. Kullanclarn veri transferi yaparken IPSeci ne zaman kullanacaklarn semesi gerekli. C. inbound ve outbound filterlar oluturulmad. D. Security filterlarnzn yaplandrmas olmas gerekenin tam tersi. 10. Windows Server 2003 altran bir domain controller, remote access server ve dosya sunucusu olarak alan bir Windows Server 2003 ye sunucu, 500 adet Windows XP Professional istemcisi ve farkl iletim sistemleri kullanan birok uzak kullancnn olduu kk bir domaini ynetiyorsunuz. DC ile ilgili tm iletiimi gvenli hale getirmelisiniz ve ye sunucu ile tm dhili iletiimin emniyetli olmasn tercih ediyorsunuz. Lokal istemciler arasndaki ve uzak kullanclar ile ye sunucu arasndaki trafiin gvenli olmasna gerek yok. Network ierisinde default IPSec policylerini uygun lokasyona getirin. Baz seeneklerin birden fazla kullanlabileceine ve bazlarnn kullanlmayabileceine dikkat edin.
11. nsan kaynaklar departmannzn personeli alan bilgilerinin gizlilii ykmll ile ilgili artan bir ekilde endieleniyorlar. K personeli salk, cret ve kiisel veriler gibi bilgilere eriimi kontrol etmek iin uygun policylerin olduunu biliyorlar fakat bu bilgiler darya gnderildiinde ve uygun bir ekilde emniyet altna alnmadnda zarardan irketin sorumlu olacan rendiler. K alanlar bilgileri ortamda dolatrrken, K ve muhasebe sistemlerinin gvenliini salamak sizin grevinizdir. Bununla birlikte bu sistemler dier departmanlardaki alanlara ak kalmaldr. Hemen K ve muhasebe sunucularnda ve bu iki departmanlardaki makinelerde IPSec uyguluyorsunuz. Dier departmanlardan bu sunuculara dzenli balantlarn salanmas ve ayn zamanda gizli bilgilerle ilgili olan makinelerden trafiin IPSec balant gerektirmesini salamak istiyorsunuz. Hangi security filter actionlar tanmlamanz gerekir? A. Permit
181
B. Block C. Accept Unsecured Communication, But Always Respond Using IPSec D. Allow Unsecured Communication With Non-IPSec Aware Computers E. Use These Security Settings 12. Farkl ehirlerdeki iki site arasnda bir IPSec tunnel kurmak istiyorsunuz. Bu filter listleri her bir siteda nasl kullanmanz gerekir? A. Her bir siten iki adet filter liste sahip olmas gerekir. Bir listin outbound trafik iin kendisini endpoint olarak gsteren bir filter belirlemesi ve dier listin inbound trafik iin endpoint olarak kar site gsteren bir filter belirlemesi gerekir. B. Her bir siten outbound trafik iin dier taraf endpoint olarak gsteren bir filter ve inbound trafik iin kendisini endpoint olarak gsteren bir filter belirleyecek ekilde bir filter liste sahip olmas gerekir. C. Her bir siten iki adet filter liste sahip olmas gerekir. Bir listin outbound trafik iin kar taraf bir endpoint olarak gsteren bir filter belirlemesi ve dier listin inbound trafik iin endpoint olarak kendisini gsteren bir filter belirlemesi gerekir. D. Her bir siten outbound trafik iin kendisini endpoint olarak gsteren bir filter ve inbound trafik iin kardaki site endpoint olarak gsteren bir filter belirleyecek ekilde bir filter liste sahip olmas gerekir. 13. HIPPA mevzuat gerei hazrlanma sreci ierisinde hastaneniz iin gl bir gvenlik alt yaps uygulamanz sylendi. Routerlarnzdaki access controller list ve firewallunuz ile gvenli bir perimeter networke sahipsiniz. Bununla birlikte sizin dhili LANnzdaki tek gvenlik, uygulama ve veri salayan Windows Server 2003 makineleri zerindeki access control listlerdir. Buna ek olarak hastanede mainframeler ve Unix makineler zerinde alan basit parola korumal uygulamalarnz vardr. Networknzdeki kablolar boyunca bir gvenliiniz yok. Hat boyunca ilerleyen paketler iin ifreleme ve kimlik dorulama salayacak ekilde bir IPSec uygulama plan ortaya koyuyorsunuz. Hastanedeki tm platformlar arasnda IPSecin altn ispat edemeden nce herhangi bir uygulamann kesilmesini ya da hastanedeki herhangi bir yerden eriimin engellenmesini istemiyorsunuz. Bunu gz nnde bulundurarak, tm Window Server 2003 makinelerinizde ve i istasyonlarnzda IPSeci etkiletiriyor ve ardndan birlikte alabilirlii test etmek iin hastane iindeki dier platformlara da IPSec uygulamaya balyorsunuz. IPSec birlikte alabilirlii tam olarak test etmeden nce, Windows Server 2003 makinelerine Microsoftun hangi yerleik policylerini atamanz gerekir? A. Client (Respond Only) B. Secure Server (Require Security) C. Server (Request Security) D. Client (Request Only) 14. ok gizli bir gvenlik organizasyonundaki bir Windows Server 2003 networknn sistem yneticisisiniz. Bu organizasyon dier bir gvenlik organizasyonuyla yar halka ak bir network zerinden iletiim kuruyor. Dier organizasyona gnderdiiniz bilgilerin kimliinin dorulanmas ve ifrelenmesi gerekiyor. Ayn durum kar taraftan aldnz bilgiler iin de geerli. Bunun yansra, her iki organizasyon da dier tarafn kimlii ile ilgili herhangi bir bilginin network boyunca iletilmesini istemiyor. Organizasyonlarn teknik personeli, IPSec temelinde iletiim iin gvenlik gereksinimini salayan bir plan ortaya koyuyorlar. Gereksinimleri karlamak iin hangi kimlik dorulama metodunu kullanmalar gerekir? A. Kerberos version 5 B. Bir Certificate authorityden Public/private key C. Preshared key
182
Blm 4
D. Kerberos version 4 15. Kk bir irketin sistem yneticisi olarak alyorsunuz. Bir tanesi bir domain controller olarak yaplandrlm iki adet Windows Server 2003 bilgisayar ve 100 adet Windows XP Professional i istasyonu var. Tm bilgisayarlar arasndaki tm iletiimin gvenli olmasn salamalsnz. Active Directoryde Group Policyleri her istemcinin zelletirilmi securty policyleri kullanaca ekilde yaplandryorsunuz. Bunu yaptktan sonra, tm sunucular ve istemciler arasndaki iletiim baarsz oluyor. Domain controller zerinde Network Monitor ayorsunuz ve lokal bir bilgisayardaki network aktivitelerini yakalyorsunuz. IPSec aktivitelerini tehis etmeye balamak iin logdaki hangi protokolleri incelemeniz gerekir? A. ISAKMP B. AH C. NBT D. ESP 16. IPSecteki ifreleme iin mevcut seenekleri incelerken, veri btnln salamak iin en gl ifreleme salayan algoritma ve anahtar uzunluu hangisidir? A. 3DES 256 bit anahtar uzunluu B. MD5 128 bit anahtar uzunluu C. SHA-1 160 bit anahtar uzunluu D. MD5 160 bit anahtar uzunluu 17. IPSec performansn izlerken bilgilere kolayca erimek iin netsh komutunu kullanrsnz. Netsh iki balamda alr: Statik ve dinamik. u anda alan policy iin istatistikleri grntlemek amacyla hangi netsh komutunu kullanrsnz? A. netsh ipsec dynamic show statistics B. netsh ipsec static show all C. netsh ipsec static dynamic show all D. netsh ipsec static show current 18. L2TP, Point-to-Point Protocol (PPP) framelerini birletirir. Bunlar ne tip bir paket ierisine enkapsle eder? A. SMP B. TCP C. IPX D. UDP 19. Bir Windows Server 2003 sunucu iin iletiimi emniyete almak amacyla IPSec kullanacaksnz. Oturumu oluturmak iin IPSec tarafndan hangi protokol kullanlr? A. IKE, ISAKMP frameworkn paras olarak B. IKE, ESP frameworkn bir paras olarak C. ESP, ISAKMP frameworkn bir paras olarak D. ESP, L2TP frameworkn bir paras olarak
183
20. IPSec aktivitelerini izlemek iin log dosyalar iindeki olaylar gznne alrken, hangi event IDsi bir IPSec SAnn kurulduuna iaret eder? A. 547 B. 541 C. 544 D. 542
184
Blm 4
185
gvenli bir balant kullanmas gerekir, bu yzden Server (Request Security) default policyyi uygulamanz gerekir. stemcilerin ye sunucu ve DC ile gvenli bir balant kullanmas gerekir, fakat birbirileri arasnda iletiime getiklerinde gvenlik gerekli deildir, bu yzden Client (Respond Only) default policyyi semeniz gerekir. Uzak kullanclar zerinde kstl bir kontrole sahipsiniz, bu yzden onlara has herhangi bir default policy atama zerinde durmamanz gerekir.
11. C, E. Bir Accept Unsecured Communication, But Always Respond Using IPSec action bir gvensiz balant talebine izin vermeden nce her zaman bir IPSec balantsn talep edecektir. Gizli bilgileri ileyen tm makineler IPSec kullanacak ekilde yaplandrldysa bu balant gvenli olacaktr. Use These Security Settings action sunucunun yaklamn zelletirmenize izin verir, elbetteki Accept Unsecured eklinde yaplandrabilirsiniz. Bir Allow Unsecured Communication With Non-IPSec Aware Computers action bilgisayarn IPSeci tercih etmeyeceini ve istemci tarafndan talep edilmedike bir IPSec balant talebinde bulunmayacan syler. Permit action IPSec filtera herhangi bir eylemde bulunmayacan syler. Block action uzak sistemlerin herhangi bir tip balant yapmasn engeller. 12. C. Her iki taraf iki adet filter liste sahip olmaldr: bir adet inbound trafik iin ve bir adet outbound trafik iin. 13. C. Server (Request Security) bir Client (Respond Only) ve Secure Server (Require Security) kombinasyonudur. Bu policy, uzak bir makineye balanrken ve gelen bir IPSec balant talebine izin vererek her zaman IPSec kullanma giriiminde bulunur. Bu size esneklik salar nk IPSecden faydalanamadnz durumlarda bile iletiim kurulmasna izin verir. Client (Respond Only) dier makineler talepte bulunduklarnda bir IPSec negotiation yapma giriiminde bulunurlar, fakat kendisinden da doru balantlarda hi bir zaman IPSec kullanma giriiminde bulunmaz. Clientn sadece bir i istasyonu balamnda deerlendirilmemesi gerektiini aklnzda bulundurun, bu sadece iletiimi balatan makineyi iaret eder. Secure Server (Require Security) tm IP iletiiminin IPSec kullanmak zorunda olduunu belirler. Bu tamamyla IPSecin etkinletirilmedii bir network ve birlikte alabilirlii ak bir ekilde etkileyecektir. Client (Request Only) geerli bir seenek deildir. 14. B. Geerli bir CAden alnan bir sertifika gerekli kimlik dorulamay salar ve ayn zamanda balanty balatan bilgisayarn kimliini korur. Teknik alanlar arasnda, sertifika yaplandrmas zerinde anlama iin koordinasyon gereklidir. Eer Kerberos kimlik dorulama kullanlrsa bilgisayarn kimlii tm kimlik payloadun ifrelenmesine kadar ifresiz olarak kalr. Bu ekilde kimlik korunmasz brakr. Bir preshared keyin birlikte alabilirlik testi iin kullanlmas ve manel olarak IPSec policyye girilmesi ve burda ifresiz olarak tutulmas gerekir. 15. A, B, D. Network Monitorde IPSec aktiviteleri capture display ekrannda ISAKMP, AH ya da ESP protokol kolonlarnn altnda grnr. Eer bu protokollerden hibiri mevcut deilse byk olaslkla sunucu kendisine atanan bir IPSec policyye sahip deildir. Eer ISAKMP grntlendii halde AH ve ESP yok ise istemci ve sunucu policyleri uyumuyor demektir.
186
Blm 4
16. C. SHA-1, Secure Hash algoritmas, Microsoftun tavsiye ettii ierik btnl iin en gl algoritmadr. MD5 128-bit anahtar uzunluu seenei olsa bile, Microsoft bunun iyi bir zm olduunu dnmyor. 17. B. netsh ipsec statistic show all IPSec iin tm istatistikleri gsterir. Soruda gsterilen dier komutlar gerek deildir. 18. D. L2TP IPSec balantlar UDP kullanr. Tm IPSec tipleri IP protokol temelini kullanr. TCP PPTP tarafndan kullanlr. IPX ve SMB bu soru iin anlaml deildir. 19. A. IKE, Internet Key Exchange, Internet Security Association and Key Management Protocoln (ISAKMP) bir parasdr. IKE, ESPnin bir paras deildir, nk ESP AHnn bir paras deildir. L2TP frameworkn bir paras olarak ESP bu soru iin anlaml deildir, L2TP bir protokoldr, framework deildir. 20. B. Event ID 541 bir SA kurulumunu iaret eder. Security logu iinde bulunur. Event ID 542 baarl (success) bir ekilde kapatlm bir SAya iaret ederken, 547 baarsz bir SA negotiatee iaret eder. Event ID 544 bir elerden birinin kimliinin dorulanamamas yznden SA kurulum hatas ile ilikilidir.