Windows Service Pack Engelleyici
Kullanım oranlarına göre açık ara lider işletim sistemi üreticisi Microsoft‘un Windows Xp ve Windows Vista için önümüzdeki aylarda service pack (servis paketi) çıkarılacağı, testlerini yapıldığı açıklanmıştı. Via1 via2 via3 via4 via5 via6
Windows Server 2003 işletim sistemi için ise mart ayında SP2 çıkartılmıştı. via
microsoft
Microsoft 6 Aralık tarihinde bu üç işletim sistemi içinde service pack güncellemelerini herhangi neden(ler)den dolayı yüklemek istemeyen kullanıcılar için ufak bir Windows Service Pack engelleyici yayınladı. Bu araç Windows Xp SP3 ve Windows Vista SP1 yayınlandıktan sonra 12 aylık geçici bir süre service pack güncellemelerin otomatik olarak bilgisayarınıza yüklenmesini engelliyor. Windows Server 2003 SP2 ise sadece Mart 2008’e kadar engelliyor.
MICROSOFT WINDOWS SERVER 2008
Microsoft yeni jenerasyon Server platformu olan Windows Server 2008’i geçtiğimiz aylarda duyurdu. Windows Server Sistemleri zincirinin son halkasını oluşturacak olan 2008, getirdiği yeniliklerle henüz Beta aşamasında bile kendinden söz ettirmeye başladı. Biz de önümüzdeki 5 yıla damgasını vurması beklenen Server 2008’in çarpıcı özelliklerine, yeniliklerine ve değişimlerine bir göz atacağız.
Windows Server 2008’in şüphesiz en önemli özellikleri arasında güvenlik temelleri ve uygulama yönetimi esasları yer almaktadır. 2008, web tabanlı uygulamaların ve hosting bileşenlerinin çok daha esnek ve efektif bir şekilde kullanılabilmesine imkan sağlamasıyla da çok konuşulacak gibi duruyor.
Şimdi gelin bu yeni platformun özelliklerini; web uygulamaları, güvenlik, merkezi uygulama yönetimi gibi ana kategoriler halinde değerlendirelim.
Performans:
Performans yönetimi ve performans araçlarına değinmeden önce Windows Server 2008’in donanımsal gereksinimlerine bir göz atalım;
| İşlemci |
• Minimum: 1GHz |
|
Bellek |
• Minimum: 512MB RAM |
|
Disk Alanı |
• Minimum: 8GB |
|
Sürücü Gereksinimi |
DVD-ROM sürücü |
Görüldüğü üzere Server 2008, sunmuş olduğu yüksek performans ve güvenlik eklentilerine karşılık çok yüksek sistem gereksinimi duymamaktadır. Server kurulumuna göre değişiklik gösteren bellek yapısı sayesinde yükleme seçeneklerini kendi ihiyaçlarınıza ve yapınıza göre değerlendirebilirsiniz.
Server Core yapısı olarak adlandırılan yeni model ile Microsoft, arabirim ve bunun getirdiği performans düşüklüğünü ortadan kaldırmak amacıyla tamamen komut satırından yönetime imkan veren bir yapıyı gündeme getirdi. Bir başka performans gelişimi olarak multi-core desteği her bir sanal makine için 8 adet mantıksal işlemciyi imkanlı kılıyor. 32 ve 64 bit mimarisine sahip sanal serverların aynı fiziksel server üzerinde çalışabilmesi artık mümkün. Uygulamaların sanal serverlar üzerinde çok daha performanslı çalışacağına dikkat çeken bu gelişim sayesinde fiziklsel ve mantıksal bütünlük çok iyi koordine edilmiş gözüküyor.
Kolay Yönetim:
Server yönetimi dendiğinde; kullanışlı, hızlı ve çözüme yakın araçlara sahip olmak her zaman önce gelir. Bu yönüyle 2008 Server yöneticilerine önemli araçlar sunmaktadır. Bunlar içerisinde en çarpıcı olanı şüphesiz PowerShell. Yeni nesil komut satırı mimarisiyle çok daha esnek ve efektif sonuçlar alınabilmektedir. Yine vazgeçilmez bir konsol olan Microsoft Management Console 3.0 sayesinde Windows servisleri, araçları ve denetim ilkeleri çok daha uyumlu ve hızlı işlenebilmektedir. Micorosft System Center yapısıyla tam uyumluluk gösteren 2008, ileride güçlendirilmiş Microsoft Server araçlarıyla ciddi performans optimizasyonu sağlayacak gibi gözüküyor. Güçlendirilmiş Windows Management Instruments (WMI) ve Group Policy teknolojilerinin de desteğiyle server yönetimi konusunda çok önemli adımların atıldığı görebiliyoruz.
Microsoft Windows Server 2008’in yeni nesil yönetim konsolu Server Manager sayesinde tek bir konsoldan bütün server yapılandırmaları ve bakımları yapılabilmektedir. Server Manager ile serverin durumu, sürücü problemleri, güncelleştirmeler, yedekleme, felaket yönetimi gibi bir çok seçenek karşımıza çıkabilmektedir.
Microsoft Windows Server 2008, server üzerine yeni bir rol ekleme noktasında oldukça başarılı bir hale getirilmiş. Artık tek bir konsol üzerinden istediğiniz bütün rolleri bir kereye mahsus olmak kaydıyla seçip bir çırpıda yükleyebilir ve tek “restart” ile bütün kurulumlarınızı tamamlayabilirsiniz.
Windows ServerCore
ServerCore sayesinde, yönetim araçlarını çok daha hızlı ve güvenli bir biçimde kullanabilirsiniz. Bunun amacı, gereksiz uygulamaların, arayüzlerin ve servislerin bu kurulum biçiminde devre dışı bırakılmış olmasıdır. Bu sayede server yöneticileri dışarıdan gelen atakları daha kolay kontrol edebilir ve sınırlı sayıda olan servis ve uygulamaların süregelen bakımlarını çok daha etkili bir biçimde yapabilirler.
Şimdi ServerCore ile Full Server 2008 arasında rolleri bakımından farklılıklara bir göz atalım.
| Windows Server 2008 Rolleri Active Directory Certificate Services Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Application Server DHCP Server DNS Server Fax Server File Services Network Policy and Access Services Print Services Streaming Media Services Terminal Services UDDI Services Web Server Windows Deployment Services Windows SharePoint Services | Windows Server 2008 ServerCore RolleriWindows Server Virtualization
Dynamic Host Configuration Protocol (DHCP) Domain Name System (DNS) File server AD Directory Services (AD DS) AD Lightweight Directory Services (AD LDS) Windows Media Services Print Management |
Arttırılmış Güvenlik:
Birçok yeni güvenlik aracını beraberinde getiren ve bugüne kadarki en güvenli Windows Server olan 2008, adeta istemci bilgisayarlara daha yüksek güvenlik vaat edebilmek için yapılandırılmış. Gerek kendi üzerinde barındırdığı yeni araçlar ve gerekse Windows Vista ile tam uyum sağlayan özellikleri ile güçlü bir güvenlik kalkanına sahip olduğunu gösteriyor. Kernel yapısının korunması amacıyla oluşturulan PatchGuard sayesinde işletim sistemi çekirdeğinden arabirimine kadar korunmuş oluyor. Dolayısıyla korsanların işletim sistemine herhangi bir zararlı yamam eklemeleri riski ortadan kalkıyor. Bunun yanında dosya sistemiyle beraber Servis Yönetimi’ne de ayrı bir boyut kazandıran “Service Hardening” özelliği sayesinde Windows Servisleri’nin yönetimi ve güvenliği sağlanmış oluyor. Network Access Protection (NAP) ve güçlendirilmiş Public Key Infrastructure (PKI) sayesinde verilerin ve uzak erişimlerde kimlik doğrulama sürecinin çok daha güvenli olacağını söylemek çok doğru olacaktır.
Bir diğer güvenlik aşaması olan RODC (Read Only Domain Controller) sayesinde Domain Controller bilgisayarlar içerisinde de kritik bir güvenlik seviyesi oluşturmak mümkün hale gelebilmektedir. Bu yeni teknolojiyle beraber DC olarak görev yapan ancak üzerinde değişikliğe imkan tanımayan ve bu yönüyle saldırılara karşı çok daha güvenli bir server karşımıza çıkıyor.
Güvenlik Duvarı mimarisinde Windows Vista ile oldukça yüksek bir ivme yakalayan Microsoft, Windows Server 2008 içerisinde aynı Firewall mantığını sergiliyor. İki yönlü Güvenlik Duvarı sayesinde network içerisinden ya da dışarısından gelebilecek saldırıları bertaraf etmek artık çok daha imkanlı olacak diyebiliriz.
Güvenlik ve Kural Yönetimi:
Network Access Protection ve Network Policy Server
Yine çok yeni bir teknoloji olan NAP sayesinde şirket içi ya da şirket dışı erişimlerde yüksek kontrol mekanizması işletebilirsiniz. Bu sayede network içerisindeki bir kaynağa erişimde, kullanıcıdan çeşitli kriterleri doğrulaması ve karşılaması istenmektedir. Bu kriterleri karşılayabilen kullanıcılar kendileri için özel olan bölüme ulaşabilirler ve kaynaklara erişebilirler.
Daha önceleri Network Karantina (Network Quarantine) olarak gördüğümüz yapı artık sadece uzak VPN bağlantılarında değil şirket içi erişim kontol denetimlerinde de kullanılabilmektedir. Bu yönüyle NAP ve NPS, efektif özellikleriyle baştan sona bir erişim denetimi sağlamaktadır.
Advanced Firewall
Firewall mantığı, Windows Xp ile tanışmış olduğumuz bir özellik. Bu özellik uzun yıllar boyu çeşitli güncelleştirmelerle kuvvetlendirilmeye çalışıldı. İlk önceleri tek taraflı korulamar için (spesifik port bazlı olarak) yapılandırılmış olan Firewall, Windows Vista ve Server 2008 ile beraber tamamen iç-dış bütünlüğü korunarak yapılandırıldı. Dolayısıyla iç network’den dış network’e ya da dıştan içe giriş çıkış kontrolleri, port ya da program spesifik olarak güvenli bir şekilde yapılabilmektedir.
BitLocker Drive Encryption
İlk olarak Windows Vista’nın Ultimate ve Enterprise sürümlerinde tanıdığımız BitLocker Driver Encryption teknolojisi Server 2008 tarafındanda da tam olarak desteklenmekte. BitLocker ile beraber dosya bazlı değil sürücü bazlı şifreleme yapılabilmekte ve işletim sisteminden bağımsız tam bir güvenlik sağlanabilmektedir. Şifreleme anahtarlarının fiziksel medyalarda saklanabilme imkanı olduğu gibi TPM (Trusted Platform Module) adını verdiğimiz yeni nesil modüller üzerinde de saklanabilmesini sağlamak mümkün hale gelmektedir.
Cryptography Next Generation
Microsoft’un yeni kripto teknolojisi olarak adlandırılan Cryptography Next Generation (CNG) ile yüksek seviyeli algoritmalar, dijital imzalar, anahtar değişimleri ve hash oluşturulabilmektedir. CNG, Amerikan Hükümeti’nin Suite B adını verdiği oluşum ile çalışmaktadır. CNG’nin avantajlarından bazıları;
-Kullanıcılar kendi algoritmalarını oluşturup kullanabilmektedirler.
-Yeni kripto servis sağlayıcılar yüklenebilmektedir.
-Elliptic curve cryptography (ECC) gibi Suite B algoritma desteği sunmaktadır.
Read-Only Domain Controller (RODC)
Server güvenliği dendiğinde hem fiziksel hem mantıksal güvenlik akla gelir. Bu sebeple serverlarınızın barındırıldığı yerlerin güvenli olması gerekmektedir. Microsoft, bu düşünceyle farklı tipte bir domain controller oluşturma yoluna gitmiş. Adından da anlaşılacağı gibi, birincil domain controller bilgisayara bağımlı olan ve onun veritabanını kullanan read-only domain controller, fiziksel güvenliği az olan noktalar için tasarlanmıştır. Read-only domain controller yapısı, özellikle birçok şubesi olan platformlarda şubelerin daha az fiziksel güvenliği olduğu düşüncesiyle kullanılabilmektedir. Windows PowerShell
Yeni nesil komut ve scripting sistemi olan Powershell sayesinde 130’ı aşkın komut ve geniş bir script dili yardımıyla yönetimsel faaliyetler çok hızlı ve aktif bir biçimde hayata geçirilebilmektedir. Bir script dili olması sebebiyle çok esnek ve geniş bir uygulama alanı bulunmaktadır.
Powershell hakkında detaylı bilgi için.
Windows PowerShell Getting Started Guide and Quick Reference
Powershell Download için.
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx
IIS 7.0 ve .NET 3.0 ile Geliştirilmiş Web Uygulamaları
Server ile birlikta gelen IIS 7.0 (Internet Information Services) ve .NET Framework 3.0 sayesinde çok gelişmiş web uygulamalarını yüksek performans ve uyumluluk ile server üzerinde çalıştırabilir ve barındırabilirsiniz. Web Server olarak kullandığınızda bugüne kadarki en gelişmiş ve hızlı servera sahip olabilirsiniz.
Windows Yazdırma Yönetimi
Yeni bir arabirimle karşımıza çıkan “Windows Yazdırma Yönetimi” daha önceki sürümlerdeki pooling, port yönetimi, sürücü yönetimi gibi belli başlı görevlerin yanı sıra fax-printer entegrasyonunu, XPS (xml Paper Specification) gibi yeni nesil özellikleri de sunuyor.
Network File System
Network File System sayesinde, Windows tabanlı bilgisayarlarınız üzerindeki paylaşımların diğer işletim sistemlerinde ve ağ ortamlarında da kullanılabilmesini sağlayabilmekteyiz.
Windows Deployment Services (WDS)
Önceki Windows sistemlerde RIS (Remote Installation Services) olarak tanıdığımız yapıyı yeni nesil Windows içerisinde WDS (Windows Deployment Services) olarak göreceğiz. WDS sayesinde network üzerinden uzak platformlara kurulum yapılabilmektedir. İmaj mantığına göre yeniden dizayn edilen WDS çok daha hızlı ve sorunsuz kurulumlar için tasarlanmışa benziyor.
Paylaşım ve Saklama Sunucusu (Share and Storage Server)
Windows Server 2003 R2 ile tanışmış olduğumuz ve Server 2008 üzerinde geliştirilen WSS (Windows Storage Server), gerçek bir depolama yönetimi sunmakta. Çeşitli ünitelerde, medyalarda ve bilgisayarlarda bulunan paylaşımların tek bir merkezi konsoldan yönetilmesine imkan tanıyan WSS, Fibre Channel Fabrics desteği sayesinde hızlı veri transferi sağlıyor.
Evet arkadaşlarım, Microsoft’un Server Sistemleri içerisindeki son gözdesi olan Windows Server 2008 sunucu yapısını ilk bakışta değerlendirmeye çalıştık. Hız, performans ve güvenliği bir arada sunmayı vaat eden Server 2008, önümüzdeki yıllarda şirketlerdeki yerini alacağının sinyallerini veriyor.
Teşekkürler,
Baki Onur OKUTUCU
Microsoft Certified Trainer
Windows Server 2008 Üzerinde GPO incelenmesi
Microsoft’un yeni işletim sistemlerinde sürekli olarak güvenlik seviyesini arttırdığını biliyoruz, Vista ve Server 2008 işletim sistemlerinde de güvenliğin son derece ön planda olduğunu söylemek mümkün. Özellikle Group Policy lerde olağanüstü bir genişleme ve yenilik ilk bakışta göze çarpıyor. Ben de bu makalemde sizlere yeni versiyon işletim sistemlerindeki Group Policy dosyalarının farklarını ve olası hataların önlenmesi için neler yapılması gerektiğini anlatacağım.Daha önceleri .adm formatında olup sadece kendi platformunda çalışabilen Group Policy dosyaları ( En fazla notepad ile açabiliyorduk ki bu bizim düzenlememiz için düşünülmemiş.) artık .admx formatında ve xml programlarıyla görüntülenebiliyor.
Dosyaların arasında ki en büyük ve en önemli farklardan biri ise şu; önceki işletim sistemlerinin kullandığı Group Policy dosyalarında sadece işletim sisteminin kendi varsayılan dili kullanırken yeni Group Policy dosyaları belirtebileceğimiz farklı dillerde güncellenebiliyor. Bu da .admx uzantılı dosyaların çoklu dil desteği sağlaması anlamına geliyor.
Bununla beraber Group Policy dosyalarının yerinin de değiştiğini belirtmekte fayda var. Daha önce %systemroot%\inf konumunda bulunan dosyalar artık %systemroot%\policyDefinitions klasöründe bulunmaktadır ve aşağıda ki örnekte olduğu gibi varsayılan dil altında bütün Group Policy dosyalarının bir kopyası bulunmaktadır.
Dosyaların içerik farklılıkları hakkında bir ön bilgi sahibi olduktan sonra eski Group Policy dosyalarının yenilerine uyarlamasına geçebiliriz. Tabi ki yeni kuracağımız sistemde tam manasıyla bir alt yapı değişikliği yapacak olursak dosyaları da uyarlamaya ihtiyaç duymayız. Fakat eski işletim sistemleriyle beraber çalışacağımızı varsayıyorum. Açıkçası yeni sürüm işletim sistemine sahip server ve client ları eklemeden önce eski server ve client larımızın burada bahsettiğim yeni ayarlar ve dosya türlerinden etkilenmemesini düşünmek olanaksızdır.
Bu noktada .adm dosyalarının uzantılarını .admx olarak mı dönüştürmemiz gerekecek diye düşünülebilir. Elbette kesinlikle hayır, tahmin ettiğiniz gibi Server 2008 ve Vista da bulunan Group Policy Editor , Vista, Server 2003, 2000 ve Xp de kullanılan .adm dosyalarını düzenleyebilecek şekilde tasarlanmıştır. Adm şablonunun düzenlemenin açıklaması ise şu; Group Policy objelerini ara yüzden düzenlerken bu dosyaların üzerine yazıyorsunuz demek oluyor, örnek olarak domain ortamında ki kullanıcıların Windows Movie Maker ı kullanmalarını yasaklamak için Group Policy ayarlarını yapılandırdınızda sonuç olarak ilgili .adm dosyasını aşağıdaki gibi yapılandırmış olursunuz.
CATEGORY !!MovieMaker
POLICY !!MovieMaker_Disable
#if version >= 4
SUPPORTED !!SUPPORTED_WindowsXPSP2
#endif
EXPLAIN !!MovieMaker_Disable_Help
KEYNAME “Software\Policies\Microsoft\WindowsMovieMaker”
VALUENAME “MovieMaker”
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
Şimdi örnek bir yapı oluşturalım, yalnız ondan önce eğer “file replication” servisinin transfer zamanını beklemek istemiyorsanız bu yapıyı PDC üzerinde oluşturmanızı tavsiye ederim.
Aşağıdaki yapıyı oluşturmaktaki amaç Server 2008 ve Vista nın 2000–2003 ve Xp de ki gibi her bir Group Policy için ayrı klasörler açmaması ve dosyaları tek bir merkezi klasörde toplaması. Merkezi klasörler grubu oluşturarak aynı domain yapısındaki Domain Controller ların da kendi içinde dosya oluşturması yerine aynı merkezi kullanması ve dosyaları bu dizinden almasını sağlamış oluyoruz.
Yukarıda belirttiğimiz gibi İlk önce klasörleri oluşturalım.
%systemroot%\sysvol\domain\policies\PolicyDefinitions
%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US
Daha sonra varsayılan klasördeki dosyaları almanız için önceden hazırlanmış Xcopy komutunu kullanabilirsiniz. ( Bat olarak kaydedebilir ya da direk komut satırına kopyalayabilirsiniz. )
CD C:\
Xcopy %systemroot%\PolicyDefinitions\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\
Xcopy %systemroot%\PolicyDefinitions\en-us\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us
Daha sonra gpmc.msc komutu ile Group Policy Object Editor u açın ve yeni bir Group Policy oluşturun , objeyi modifiye edip kapatın ve dosyanın yeni formatta modifiye edildiğini kontrol edin.
Ve herhangi bir member server üzerinde dosyaların doğru dizinde konumlandırıldığını kontrol edin.
Böylece eski sistem Group Policy dosyalarınızı kaybetmeden veya yeni dosyalarla çakışmaya uğramadan kullanabilirsiniz.
Bir başka Server 2008 makalesinde daha görüşmek üzere…
IIS de Birden Fazla SSL’li Web Sitesi Yayınlama
Windows Xp Pro ve 2000 Pro ile birlikte gelen IIS Server yazılımı ile bilgisayarımızda sadece tek bir web sitesi yayınlayabiliyoruz. Fakat bu kısıtlama Windows Server ürün ailesi için geçerli değil. IIS Server üzerinde dilediğimiz kadar web sitesi yayınlayabiliriz ve bunların içerikleri birbirinden tamamen farklı olabilir. Peki, gelen bir isteğin hangi web sitesine ait olduğunu IIS nasıl anlayacak? IIS Server gelen web isteklerini 3 farklı kıstasa göre değerlendirip birbirinden ayırabilir;
1-) IP Adresi
2-) Port Numarası
3-) Host Header Bilgisi
Şekilde bir web sitesinin özellikleri görünmektedir. Yukarıdaki bilgiler bu bölümden değiştirilebilir.
IIS üzerinde aynı ip üzerinden birden fazla web sitesini yayınlayabilmek için farklı port numaraları kullanabiliriz. Örneğin ilk web sitemiz standart http portu olan 80 nolu portu kullanırken ikinci site 81 nolu portu kullanabilir. Fakat bu kabul edilebilir bir durum değildir çünkü böyle bir durumda sitemizi ziyaret etmek isteyen kullanıcılar web tarayıcılarına http://www.sitemiz.com:81 gibi bir url yazarak siteye erişmek zorunda kalacaklar. bu durumun önüne geçmek için IIS Host Header bilgisini kullanır. Farklı siteleri farklı DNS domain isimleriyle yayınlarız. Bu DNS domain isimleri (örn; www.aslankara.com) aynı zamanda o sitenin Host Header bilgisini oluşturur. IIS aynı ip’nin 80 nolu portuna gelen istekleri bu bilgiden ayırt eder ve birçok siteyi sorunsuz biçimde yayınlama imkânı sağlar.
Fakat işin içine SSL girdiği zaman Host Header bilgisi artık kullanılamaz. IIS SSL ile gelen güvenli web isteklerini karşılarken Host Header bilgisine ulaşamayacağından yukarda anlattığımız durum söz konusu olur ve bir ip üzerinden aynı porttan (standart ssl portu 443) sadece bir güvenli web sitesi yayınlayabiliriz. Yeni bir web sitesi için yeni bir ip ye yada yeni bir porta ihtiyaç vardır. Yeni port kullanarak çözmek pek mantıklı olmayacak çünkü kullanıcıların sitemize erişmesi web adresinin haricinde birde port numarası girmeleri gerekecek ki bu reel hayatta pek doğru bir çözüm değildir. Burada yapılması gereken eğer gerçekten böyle bir ihtiyaç varsa ve birden fazla farklı web sitesi IIS üzerinde SSL kullanılarak yayınlanmak isteniyorsa her site için farklı ip adreslerinin kullanılması gerekmektedir.
Şirketimize ait web sitelerini tek IIS üzerinden güvenli bir şekilde yayınlamak için bir çözümde aynı SSL sertifikasını birden fazla site için kullanmak olabilir. Eğer tek sertifika birçok site için kullanılabilirse yukarıdaki Host Header sorunu ortadan kalkar. Fakat burada da bir problemimiz var. SSL sertifikaları talep edilirken “Common Name” başlığında sitemizin Host Header bilgisini girmemiz gerekmektedir. Eğer bu bilgide bir hata olursa İnternet Explorer web sitesini her açtığında güvenlik uyarısı verecektir. Şekilde bu uyarı görülmektedir.
Her site için ayrı bir sertifika kullanabilseydik bu bir sorun olmazdı fakat IIS yukarıda bahsettiğim sebeplerden sadece tek bir SSL sertifikasını kabul eder. Burada da imdadımıza “Wildcard Common Name” yetişmektedir. Sertifikayı isterken Host Header bilgisini yazdığımız Common Name bölümüne *.aslankara.com gibi bir ifade yazarak tüm sub domainleri kapsayan bir sertifika çekebilir ve tüm web sitelerimiz için kullanabiliriz. Şimdi adım adım bu işlemi gerçekleştirelim. Örneğimde banka.aslankara.com ve alisveris.aslankara.com isimli iki web sitesini aynı sertifikayı kullanarak yayınlayacağım.
Şekilde görüldüğü üzere standart halde her iki web sitesi 80 nolu porttan farklı Host Header bilgileri ile sorunsuz bir şekilde hizmet veriyor. İlk iş olarak alışveriş sitesi için bir sertifika talebinde bulunuyorum. Bunun için aşağıdaki adımları izlememiz gerek.
Alışveriş web sitesinin özelliklerinde Directory Security tabında Server Certificate butonuna tıklayalım. Daha sonra karşımızdan gelen sihirbazı aşağıdaki şekilde tamamlayalım. Common Name sorusuna ise verdiğimiz cevaba lütfen dikkat.
Bu işlemler tamamlandıktan sonra sertifikamızı görüntülemek için “View Certificate…” butonuna basıp durumu görelim.
Görüldüğü gibi sertifika *.aslankara.com domaini için geçerli.
Artık bu sitemizi SSL’li bir şekilde açabiliriz.
Şimdi sıra geldi ikinci web sitesini güvenli bir şekilde yayınlamaya. Bunun için farklı bir sertifika almak yerine varolan sertifikamızı örnekteki banka sitesi içinde kullanmak üzere atayacağız. Yapmamız gereken yine site özelliklerinde Directory Security tabına gelip Server Certificate butonuna tıklamak. Bu sefer karşımıza gelen sihirbazı aşağıdaki adımları uygulayarak bitiriyoruz.
İkinci sihirbazı da yukarıdaki şekilde tamamladıktan sonra her iki web sitemizde 443 nolu porttan çalışmaya başlayacak. Yada biz öyle olduğunu sanacağız çünkü IIS Server’ı yada sadece banka sitesini restart ettiğimizde göreceğiz ki banka sitesi start olamıyor. Restart etmeden tarayıcımız da https.//banka.aslankara.com yazsak dahi ilk siteyi açacaktır. Bu probleminde üstesinden gelmek için yapmamız gereken IIS metabase’deki bir değeri değiştirmektir. Metabase IIS in ayarlarının saklandığı bölümdür. IIS’in registry’si gibi düşünülebilir. Bu ayarı yapmak için aşağıdaki komutu çalıştırmamız gerekmektedir.
cscript.exe adsutil.vbs set /w3svc/<site identifier number>/SecureBindings “:443:<host header>”
Komutu c:\inetpub\adminscripts dizini altında çalıştırmalıyız zira adsutil.vbs dosyası bu dizindedir. Host Header bölümüne sitenin domain adı yani örnekte banka.aslankara.com yazılmalıdır. Site Identifier Number bilgisi ise IIS üzerinde görülebilir.
Komutu aşağıdaki şekilde koşturduktan sonra sitemiz kullanılmaya hazır olacak.
Artık sitemizi start edip güvenli bir şekilde kullanmaya başlayabiliriz. Öncesinde IIS Server Servisini restart etmeniz gerekebilir.
Yazımızın sonuna geldik. Bir başka makalede görüşmek üzere.
WebFarm / Internet Information Server Clustering (Bölüm-1)
WebFarm
Internet Information Server Clustering (Bölüm-1)
Kurumların büyüme ölçeklerini göz önünde bulundurarak söylemek gerekirse internet ya da intranet üzerinden verdikleri/verecekleri hizmetler bakımından sürekli artan bir ihtiyaç söz konusudur. Kurum içinde bu hizmetleri kullanacak personel sayısı arttıkça ya da kurumun dışarıya vermek istediği hizmetlerin boyutu -ister kullanıcı, isterse teknoloji bazlı olsun- arttıkça kurumlar server hizmetleri bakımından yeni yapılara ihtiyaç duyarlar. Günümüzün bu konudaki gözde teknolojilerinden biri “cluster” (küme) yapılardır. Bu makalede internet/intranet yani web üzerinden verilecek sistemlerdeki kullanılabilirlik, ölçülebilirlik ve performans açısından Web Server’ların Cluster yapısı anlatılacaktır.
Web Sunucularının cluster(kümeli) şeklinde çalışması için çeşitli tasarımlar geliştirilmiştir. Bu yapılar “WebFarm” şeklinde isimlendirilir. Birden çok sunucu ile ya da aynı anda birden çok süreç üzerinde eş zamanlı olarak çalışmak söz konusu olunca bu konuda çeşitli terimler ortaya konmuştur. Burada durumu biraz daha netleştirmek için Webfarm Cluster yapısının haricindeki “WebGarden” denilen başka bir yapıyı da açıklamakta fayda görüyorum. Bu yapı WebFarm’dan farklı olarak tek bir sunucu üzerinde aynı web hizmetinin devamlılığını sağlamak için birbirine eş birden fazla process oluşturarak belli bir application pool’da bulundurur ve bu yöntemle hataya karşı dayanıklılığı (Fault tolerancy) sağlar. WebFarm yapısı bundan tamamen farklı olarak birden fazla server ile “Fault tolerancy-Scalability- High Availability” ögelerini yerine getirir. Bu makelenin tümünde Windows Server 2003 R2 işletim sistemi kurulu olan sunucular kullanılmıştır. Ayrıca Internet Information Server 6.0 (IIS-6.0), Network Load Balancing Manager (NLB), Disturbed File System Management (DFS), SQL-2005, Windows Xp/Vista ayrıca çeşitli scriptler senorya gereği kullanılmıştır. Bu clustering senaryosu yukarıda sözü geçen uygulamaların başka sürümlerinin kombinasyonları ile de kullanılabilir, makale boyunca yeri geldiğince bu konuya ve bunu gerçekleştirirken karşılaşılabilecek sorunlara değinilecektir.
Konuya doğrudan girmek yerine bu bölümde cluster konusunda temel bilgiler vermeyi daha doğru buluyorum. Cluster(kümeleme) yöntemi, yukarıda WebFarm üzerine bahsettiğim gibi birden çok sunucunun belli bir amaç için beraber ya da duruma göre sırayla, belirlediğimiz sunusu kümesi içerisinde toplanarak çalıştırılmasıdır(kümelenmesidir). Bu sunucu kümesinin üyesi olan her sunucudan birine “Node”(düğüm) denir. Cluster uygulamasında yer alan node’lar tek bir birim gibi çalışarak Microsoft Internet Information Services (IIS), Exchange Server gibi uygulamalara yönelik hizmetleri yüksek kullanılabilirlik(high avaibility) ile kullanıcılara sunar. Böylelikle küme oluşturmak cluster içindeki node’ları tek tek yönetmek yerine, uygulamaya yönelik olarak tek bir sistem halinde yönetilmesini sağlar. Bunun yanı sıra bu durum kullanıcı tarafı temel alınarak incelenirse, kullanıcılar sistemin cluster şeklinde çalışıp çalışmadığını çoğu durumda sezemezler, bu da cluster içindeki sunucuların tek bir sistem şeklinde çalıştığının kanıtıdır ki cluster yapmanın en önemli amaçlarından biri budur.
Cluster uyumlu olan uygulamalara örnek vermek gerekirse:
· DFS (distributed File System)
· DHCP
· Exchange Server
· File Server görevleri (dosya paylaşımları)
· IIS (Internet Information Services)
· Microsoft Distributed Transaction Coordinator (MS-DTC)
· MSMQ (Microsoft Message Queuing)
· NNTP (Microsoft News Transfer Protocol)
· Printer Pooling
· SMTP
· SQL Server
· WINS
Bu uygulamalar farklı cluster tipleri ile uygulanabileceği gibi beraberce de belli bir sistem için kullanılabilirler. Bunların yanında farklı uygulamalar da kümeli çalışabilirler(Oracle Server vs.) Cluster ortamının oluşabilmesi için IP tabanlı protokollere ihtiyaç vardır. Uygulamalar iletişim kurmak için IPX NetBEUI tarzındaki protokolleri kullanamazlar.
Daha önceden WebFarm senaryosunda kullanılacak uygulamalardan bahsederken Windows Server 2003 (R2) demiştik, burada bu Server2003’ün desteklediği 3 çeşit cluster tipi vardır:
1- NLB (Netwok Load Balancing), sunuculara gelecek olan yükü network üzerinde, belirlediğimiz kurallara yönelik olarak (affinity) paylaştıran, ağ yükünün dengelenmesi şeklinde gerçekleşir. NLB ile TCP (Transmission Control Protocol) haricinde UDP (User Datagram Protocol) ve GRE (Generic Router Encapsulation) tarfikleri için de yük dengelemesi sağlanabilir. Webfarm uygulamasında kullanacağımız cluster tipi budur. Ayrıca Microsoft, Web Sunucuları için cluster yaparken en uygun yöntemi NLB olarak önerir.
2- CLB (Component Load Balancing), COM+ kullanan uygulama bileşenlerinin dinamik bir şekilde yük dengelemesini sağlar. Yine yüksek kullanılabilrlik-ölçeklenebilirlik(scalability) açısından birçok Node üzerinde yük dengelemesi sağlar.
3- MSCS (Server Clustering), Sunucu kümesi olarak adlandırılabilir. Cluster Administrator arayüzü kullanarak yapılandırılır. Yüksek kullanılabilirlik-Ölçeklenebilirlik-Güvenilirlik açısından uygulamalar üzerinde hataya karşı dayanıklılık (fault tolerancy) sağlar. Arka uç sunucularda (SQL Server vs.) kullanımı uygundur.
Her küme oluşturma teknolojisinin belirli bir amacı vardır ve farklı gereksinimleri karşılayacak şekilde tasarlanmıştır. NLB, web hizmetleri nedeniyle oluşabilecek kısıtlamaları engellemek amacıyla tasarlanmıştır. CLB, web tabanlı uygulamaların ölçeklenebilirlik ve yüksek kullanılabilirlik ihtiyaçlarını karşılayabilmek için tasarlanmıştır. MSCS, veri bütünlüğünü korumak(integrity) ve yerinde çalışma desteği sağlamak amacıyla tasarlanmıştır.
Konuya daha geniş bir açıyla bakarsak, bu cluster hizmetleri beraberce kullanılabilir ve çoğu durumda da bu sistemin planlanan verimde çalışması için bir gerekliliktir. Yukarıda bahsi geçen üç cluster tipinin beraberce kullanılabileceği en genel senaryo bir web sitesinin yayınlanması olacaktır. Webfarm’ın adından işte burada söz etmeye başlayarak örneklerle devam edelim. Ön uç sunucular olan Web sunucularda (IIS) NLB yani Webfarm, orta katman sunucularda CLB ve arka uçta olan veri tabanı hizmetlerinde MSCS kullanılarak (SQL Clustering) bir sistem tasarlanabilir. Bu sistem genel hatlarıyla aşağıdaki taslağa benzeyecektir, zaten ilerleyen bölümdeki uygulamaları bu taslak üzerinden yola çıkarak yapacağız.
Cluster yapıları, Farm (çiftlik) ya da Paket adı verilen ikili gruplar olarak kullanılır. WebFarm bu gruplardan Farm yapısının Web uygulamalarına yönelik olarak kullanılış biçimi olduğu için bu şekilde isimlendirilir. Farm yapıları, benzer sistemler çalıştıran ama genelde veri paylaşmayan bir sunucu grubudur. Bunlara “Farm” adı verilmesinin sebebi, kendilerine iletilen tüm istekleri, verilerin sucular üzerinde yerel disklerde saklanan birebir kopyalarını kullanarak işlemeleridir. Verileri paylaşmak yerine birebir kopyalarının kullandıkları için node’lardan her biri özerk biçimde çalışır ve bunlara “Copy” (kopya) adı verilir. Paket ise bir arada çalışan ve bölümlenmiş verileri paylaşan bir grup sunucudur. Bunlara Paket denmesinin sebebi ise hizmetleri yönetmek ve korumak için birlikte çalışmalarıdır. Bir paketin üyeleri bölümlenmiş verilere erişimi paylaştığı için, işletim modları benzersizdir ve genelde paketin tüm üyelerinin bağlı olduğu disk sürücülerindeki paylaşılan verilere erişirler.
Çoğu durumda Web ve Uygulama(Application) hizmetleri Farm olarak, Arka uç veri tabanları ve kritik destek hizmetleri ise paket olarak düzenlenir. WebFarm yapısı birden fazla Farm’ın bileşimi olarak tasarlanabilir. Aynı veriler farm yapısındaki tüm Node’larda çoğaltılır ve her sunucu, kendisine gönderilen istekleri verilerin yerel kopyalarını kullanarak işleyebilir. Örneğin, NLB kullanan ve her birinde web sitesine ait olan verilerin yerel kopyası bulunan çok sayıda web sunucusu vardır. Elbetteki bir Farm içindeki sunucu sayısında da bir üst sınır vardır, bu konudan önümüzdeki paragraflarda bahsedeceğim. Biz oluşturduğumuz taslak üzerinden çalışma devam edeceğiz. Senaryomuzda WebFarm içerisinde iki adet web sunucuyu kümeli olarak çalıştıracağız. Aşağıdaki şema konu hakkında genel bir bilgi verecektir.
Paketi de kısaca açıklamak gerekirse, SQL Server çalıştıran ve bölümlenmiş veri tabanı görünümleriyle MSCS kullanan veri tabanı sunucuları bunlara örnektir. Bu durumda, paketin üyeleri verilere iletişimi paylaşır ve tüm istekleri işlemek yerine, verilerin ya da mantığın belirli bir bölümünü işlerler. Örneğin iki adet Node barındıran SQL Server cluster yapısında, bir sunucu A-M harfleri ile başlayan diğer sunucu ise N-Z harfleri ile başlayan hesapları işliyor olabilir.
Cluster mimarisi kullanan sunucular genelde üç katmanlı bir yapı kullanılarak tasarlanır bu yapı bahsettiğimiz şekilde,
Katman1- NLB’nin kullanıldığı ön uç Web sunucuları
Katman2- CLB’nin kullanıldığı çeşitli Uygulama sunucularını içeren orta katman sunucuları
Katman3- MSCS’nin kullanıldığı arka uçta yer alan veri tabanı sunucularını ya da dosya, kritik destek alanında görev yapan sunucuları içerir.
Cluster yapısı hazırlanırken bu şekildeki katmanlı bir yapı izlenmesinin asıl nedeni, cluster yapmanın asıl amaçlarından biri olan ölçeklenebilirliktir(scalability). Bu ölçeklenebilirlik istenilen katmana yeni sunucular ekleyerek ölçeğin artırılmasıyla gerçekleşebilir. Burada kritik nokta kullanılan sunucu işletim sistemidir.
· Windows Server 2003’ün tüm sürümleri, en fazla 32 Node’dan oluşan bir NLB Cluster destekler.
· Enterprise ve Datacenter Edition, en fazla 8 Node’lu bir CLB cluster destekler.
· Enterprise ve Datacenter Edition, en fazla 8 Node’lu bir MSCS cluster destekler.
İşlemci ya da RAM ekleyerek ölçek artırılmak isteniyor ise
· Standart Edition, en fazla 4 işlemci ile 32bit sistemlerde 4gb RAM ve 64bit sitemlerde 32gb RAM destekler
· Enterprise Edition, en fazla 8 işlemci ile 32bit sistemlerde 32gb RAM ve 64bit sitemlerde 64gb RAM destekler
· Datacenter Edition, en fazla 128 işlemci ile 32bit sistemlerde 64gb RAM ve 64bit sitemlerde 512gb RAM destekler
Ölçeklenebilirlik gereksinimleri belirlenirken kuruluşun “live” sitemdeki ve piyasadaki ileriye dönük gereksinimleri göz önünde bulundurulmalıdır. Doğru Windows sürümü ile uygun ölçeklenebilirlik sağlanabilir. Buna ek olarak, işlemciler ve bellek (RAM), sunucuların çalıştıracağı uygulama ve hizmetlerin yanı sıra, eş zamanlı olarak gerçekleştirilecek kullanıcı bağlantı sayısına uygun olarak boyutlandırılmalıdır. Eş zamanlı kullanıcı sayısı özellikle WebFarm senaryosunda dikkat edilmesi gereken önemli bir noktadır.
Bir sonraki bölümde NLB hakkında genel açıklamalar ile WebFarm senaryosu için yapılandırılmasını ve uygulanmasını anlatacağım.
KAYNAK:
-Microsoft/Technet
-Server2003 Inside/Out –William R. Stanek
Ahmet TOPRAKÇI
BilgeAdam IT Academy
System & Network | Beşiktaş
Windows Server 2008 Core : DNS Configurations
Microsoft’un daha az kaynak tüketen, aynı zamanda maliyet açısından daha uygun olan Windows Server 2008 işletim sisteminin Core sürümü, kullanımı biraz zahmetli olsa da oldukça başarılı hizmetler sunmakta. Bu çekirdek hizmetlerden biri olan DNS servisinin, yazımızın sonunda da görüleceği gibi bir hayli kullanışlı olduğu anlaşılıyor.
Bu makalede Dns servisinin Windows Server 2008 Core sürümü üzerine kurulumu ve konfigürasyonu anlatmaya çalışacağım. Dilerseniz hemen kurulum işlemine geçelim…
Windows Server 2008 işletim sisteminde herhangi bir servis için kurulum diskine ihtiyaç bulunmadığından direkt olarak command-line arayüzünden kurulumu başlatabiliriz. Dns kurulumu için gerekli olan ip konfigürasyonunu yapmakla başlayalım. Bunun için netsh komutunu Resim 1’deki parametreler yardımı ile kullanacağız.
Resim 1
İlk komutu network interface’lerin id’lerini görmek için, ikinci komutu statik ip adresi vermek için, ve son komutu da dns server olarak kendi server’ımızı tanımlamak için kullanıyoruz. Komutlar hakkında ayrıntılı bilgi için http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000001181 adresindeki makaleyi inceleyebilirsiniz.
Resim 2
Ip Konfigürasyonumuzu tamamladıktan sonra dns kurulum işlemine başlayabilriz. Bunun için Resim 2’de görüldüğü gibi start /w ocsetup DNS-Server-Core-Role komutu kullanacağız. Burada Start komutu Windows bileşenlerini kurmak için kullanılan ocsetup komutunu çalıştırmak için kullandık. /w parametresi kurulumun bitimine kadar bir başka işlem yapamamamıza neden oluyor. Eğer bu parametreyi kullanmasaydık kurulum arka planda gerçekleşecek ve o esnada başka işlemler de yapabilecek durumda olacaktık.
Burada önemli bir noktaya değinmek isterim; ocsetup komutu ile birlikte kurulması istenilen bileşenin adı tam ve büyük-küçük harflere dikkat edilerek yazılmalıdır. Dns servisi için bileşen ismi ise DNS-Server-Core-Role olmak durumundadır (Resim 2).
Resim 3
Kurulumdan hemen sonra servisimiz çalışmaya başlayacaktır. Dilerseniz Dns Servisinin çalıştığını teyit etmek için sc query dns komut ve parametrelerini kullanabiliriz (Resim 3).
Resim 4
Servisin kurulumunu gerçekleştirdikten sonra sorgulara yanıt vermek amacı ile kullanılacak kayıtların tutulacağı bir zone yaratma işlemine geçelim. Öncelikle, yetkili (Authoritative) bir dns server’ın tutması gereken zone tipini yani primary zone’u yaratalım. Bunun için dnscmd komutunu Resim 4’te görüldüğü şekilde kullanıyoruz. Burada /zoneadd parametresi yeni bir zone eklemek için, /primary parametresi anlaşılacağı üzere primary zone oluşturmak için, /file parametresi ise oluşturacağımız zone’un hangi isimde saklanacağını belirtmek için kullanılır. Oluşturacağımız zone’un ismi test.com ve saklayacağımız dosyanın ismi de test.zone.com olacaktır (Resim 4). /primary parametresi yerine /dsprimary parametresi kullanarak Active Directory Integrated Zone da oluşturabiliriz.
Resim 5
Primary zone yarattıktan sonra içeriğini