course 2275
TRANSCRIPT
Sinan
Üst
ün
Sinan ÜSTÜN
COURSE 2275
Maintaining a MicrosoftWindows Server 2003
Environment
MCSE EĞİTİM KİTAPLARI SERİSİ
Sinan
Üst
ün
P a g e | 1
MCSE EĞİTİM KİTAPLARI SERİSİ
COURSE 2275
Maintaining a Microsoft WindowsServer 2003 Environment
SINAV KODU : 70 – 290
EĞİTMEN : SINAN USTUN
Sinan
Üst
ün
P a g e | 2
İçindekiler :
MODULE 1 _________________________________________________________________5
Preparing to Administer a Server_______________________________________________ 5Run As :________________________________________________________________________________ 5
Computer Management : _________________________________________________________________ 8
Computer Management ile Uzaktan Yönetim : ______________________________________________ 9
MMC :_________________________________________________________________________________ 10
Remote Desktop For Administration : _____________________________________________________ 12
Remote Desktop Servisi için Gerekli Olanlar : ______________________________________________ 13
Remote Desktop Connection Ayarları : ____________________________________________________ 13
Remote Desktop Connection vs. Remote Desktops : ________________________________________ 15
Remote Administration Tollarının Kullanımı için Guideline’lar :________________________________ 16
Remote Desktop Bağlantılarını Yönetmek : ________________________________________________ 17
Terminal Services Manager :_____________________________________________________________ 18
MODULE 2 ________________________________________________________________20
Preparing to Monitor Server Performance _____________________________________ 20Server Performansını İzlemek :___________________________________________________________ 20
Performans Temellerini Oluşturma : ______________________________________________________ 20
Baseline Oluşturmak için Dikkat edilmesi gerekenler :_______________________________________ 21
Real Time Monitoring ve Logged Monitoring :______________________________________________ 21
Task Manager : ________________________________________________________________________ 22
Performance Console : __________________________________________________________________ 25
Serverları Uzaktan Takip Etme : __________________________________________________________ 30
Counter Logs : _________________________________________________________________________ 32
Counter Log’larında Dosya Formatları :____________________________________________________ 33
Counter log’larını Belli Bir zamana Bağlamak : _____________________________________________ 33
Alerts : ________________________________________________________________________________ 34
MODULE 3 ________________________________________________________________36
Monitoring Server Performance _______________________________________________ 36Server Altsistemleri :____________________________________________________________________ 36
Belleği İzlemek : _______________________________________________________________________ 36
Bellek Darboğazını Nasıl Tespit edeceğiz : _________________________________________________ 37
Bellek İçin Performans Sayaçları__________________________________________________________ 37
İşlemci Kullanımını Takip Etmek : ________________________________________________________ 39
İşlemci Darboğazını Nasıl Tespit edeceğiz : ________________________________________________ 39
İşlemci İçin Performans Sayaçları_________________________________________________________ 39
Diskleri Takip etmek :___________________________________________________________________ 40
Disk İçin Performans Sayaçları ___________________________________________________________ 41
Network’ü Takip Etmek : ________________________________________________________________ 42
Network İçin Performans Sayaçları _______________________________________________________ 42
Komut Satırı Komutlarıyla Performans İşlemleri : ___________________________________________ 43
MODULE 4 ________________________________________________________________46
Maintaining Device Drivers____________________________________________________ 46Device Nedir ? : ________________________________________________________________________ 46
Device Driver ? : _______________________________________________________________________ 46
Device Driver Özellikleri :________________________________________________________________ 46
Signed Device Driver : __________________________________________________________________ 47
İmzasız Sürücüler için davranışı Group Policy’lerden Ayarlamak : _____________________________ 51
Device Driver Signing Seçeneklerinin Manuel Olarak ayarlanması : ___________________________ 52
Sinan
Üst
ün
P a g e | 3
Cihaz Sürücülerinde Rollback Yapmak : ___________________________________________________ 52
Sürücüleri ve Cihazları Uninstall yapmak : _________________________________________________ 53
MODULE 5 ________________________________________________________________54
Managing Disks_______________________________________________________________ 54Disk Management : _____________________________________________________________________ 54
DiskPart Komut Satırı Aracı : _____________________________________________________________ 54
Partition Nedir : ________________________________________________________________________ 55
Mounted Drive :________________________________________________________________________ 58
Basic Disk vs Dynamic Disk :_____________________________________________________________ 61
Simple Volume : _____________________________________________________________________ 64
Extended Volume :___________________________________________________________________ 65
Spanned Volume : ___________________________________________________________________ 67
Striped Volume (RAID-0):_____________________________________________________________ 71
Fault Tolerance : _______________________________________________________________________ 75
Mirrored Volume (RAID 1) : _____________________________________________________________ 75
RAID 5 :_______________________________________________________________________________ 78
Software ve Hardware RAID :____________________________________________________________ 82
External Storage : ______________________________________________________________________ 82
Importing Disk :________________________________________________________________________ 82
Offline Disk :___________________________________________________________________________ 84
MODULE 6 ________________________________________________________________85
Managing Data Storage _______________________________________________________ 85Dosya Sıkıştırma (File Compression) :_____________________________________________________ 85
NTFS Sıkıştırması : ___________________________________________________________________ 85
Compressed (Zipped) Klasörler : _______________________________________________________ 86
Compact Komutunu Kullanmak : _________________________________________________________ 87
Sıkıştırılmış Dosya ve Klasörlerin Taşınması ve Kopyalanması : _______________________________ 87
Dosya ve Klasörlerin Sıkıştırılmasında Tavsiyeler : __________________________________________ 88
EFS (Encrypting File System) : ___________________________________________________________ 88
Public Key Encryption :__________________________________________________________________ 93
EFS’de Sertifika Kullanımı : ______________________________________________________________ 94
Encrypt Yapılmış Dosya ve Klasörlerin Taşınması veya Kopyalanması : ________________________ 95
Şifrelenmiş Dosyaların Paylaşımı : ________________________________________________________ 95
EFS Recovery Agent : ___________________________________________________________________ 96
Şifrelenmiş Dosyaları Kurtarmak : ________________________________________________________ 97
MODULE 7 _______________________________________________________________101
Managing Disaster Recovery _________________________________________________ 101Disaster Recovery : ____________________________________________________________________ 101
Disaster Recovery için Kurallar :_________________________________________________________ 101
Datanın Backup’ını Almak : _____________________________________________________________ 102
System State Data : ___________________________________________________________________ 106
Backup Aracı : ________________________________________________________________________ 107
Backup Çeşitleri :______________________________________________________________________ 107
Normal Backup : ____________________________________________________________________ 108
Copy : _____________________________________________________________________________ 108
Differential :________________________________________________________________________ 108
Incremental :_______________________________________________________________________ 108
Daily : _____________________________________________________________________________ 108
Backup Senaryoları : ___________________________________________________________________ 108
Ntbackup : ___________________________________________________________________________ 109
Automated System Recovery (ASR) : ____________________________________________________ 112
Backup İşlemini Otomatiğe Bağlamak : __________________________________________________ 114
Backup için Tavsiyeler : ________________________________________________________________ 119
Restore (Geri Yükleme) : _______________________________________________________________ 119
Sinan
Üst
ün
P a g e | 4
Restore İşlemi için Tavsiyeler :__________________________________________________________ 120
Shadow Copy :________________________________________________________________________ 120
Shadow Copy İçin Tavsiyeler : __________________________________________________________ 122
Server Arızasından Server’ı Kurtarmak : __________________________________________________ 126
Safe Mode : __________________________________________________________________________ 126
Last Known Good Configuration :________________________________________________________ 126
Recovery Console : ____________________________________________________________________ 126
Windows Başlangıç Disketi : ____________________________________________________________ 128
Boot Processi : ________________________________________________________________________ 128
Server Disaster Recovery (Felaketten Kurtarma) Araçları :__________________________________ 128
MODULE 8 _______________________________________________________________129
Maintaining Software by Using Software Update Services ____________________ 129Windows Update :_____________________________________________________________________ 129
Otomatik Update’ler : __________________________________________________________________ 129
Windows Update vs Automatic Updates :_________________________________________________ 130
Software Update Services (SUS) : _______________________________________________________ 130
SUS Process’i : ________________________________________________________________________ 130
SUS’da Dağıtım Noktası : _______________________________________________________________ 131
Automatic Updates Özelliğinin Konfigürasyonu :___________________________________________ 132
SUS’ da İçeriği Test etmek : ____________________________________________________________ 132
SUS Yönetim Ara Yüzü :________________________________________________________________ 132
Senkranizasyonun Çalışması : ___________________________________________________________ 133
Synchronization Log : __________________________________________________________________ 133
Approval Log : ________________________________________________________________________ 133
MODULE 9 _______________________________________________________________143
Securing Windows Server 2003 ______________________________________________ 143Küçük ve Orta Büyüklükteki İşletmelerde Güvenlik Sorunları :_______________________________ 143
Temel Güvenlik Dengeleri : _____________________________________________________________ 144
Defense-in-Depth Modeli :______________________________________________________________ 144
Windows Server Güvenlik Rehberi :______________________________________________________ 145
Core Server güvenlik Uygulamaları : _____________________________________________________ 145
Serverları güçlü yapmak için tavsiyeler :__________________________________________________ 146
Server 2003 SP1 deki Güvenlik Geliştirmeleri : ____________________________________________ 147
Windows Firewall : ____________________________________________________________________ 147
Post-Setup Güvenlik Güncelleştirmeleri : _________________________________________________ 148
Security Configuration Wizard : _________________________________________________________ 148
Server Hardening : ____________________________________________________________________ 149
Member Server Baseline Security Template : _____________________________________________ 149
Domain Controllerlardaki Güvenlik Riskleri : ______________________________________________ 149
Password Güvenliği uygulama : _________________________________________________________ 150
Belirli Server Role’leri için Security Template’ler : __________________________________________ 150
Microsoft Baseline Security Analyzer (MBSA) : ____________________________________________ 151
MBSA’nın Çalışması :___________________________________________________________________ 152
MBSA Scan Seçenekleri : _______________________________________________________________ 152
SORULAR :___________________________________________________________________ 158
Sinan
Üst
ün
P a g e | 5
MODULE 1
Preparing to Administer a Server
Bir sistem yöneticisinin görevi nerede olursa olsun serverları yönetmektir. Birserver’ı yönetebilmek içinde gerekli uygun izinlere sahip olmamız gerekiyor.
Bir server’ı Domain Controller yaptığımız zaman AD içinde built-in grouplaryaratılır. Default olarak ta bu grupların önceden tanımlanmış izinleri ve hakları vardır.Built-in grouplar silinemez.
Built-in Domain Local Grouplar :
Administrators : Bu grubun üyeleri işletim sistemindeki tüm görevleri yerine getirebilir.Kendisinin default olarak sahip olmadığı tüm kullanıcı haklarını başka kullanıcılaraatayabilirler. Domaindeki tüm DC’lerde Full Control izinleri vardır. Başka kullanıcıları,administrators grubuna eklerken dikkatli olun ve gerekli olduğunda administratorhesabıyla logon olun. Örneğin Printerdan sorumlu olan birini Print operators grubunakoyun Administrators grubuna koymayın gereksiz yere.
Backup Operators : Domaindeki tüm DC’ler üzerinde Backup alabilir ve Restore (Geriyükleme) işlemi yapabilir. DC’ye Logon olup sistemi kapatabilir. Default olarak üyesiyoktur.
Account Operators : Bu grubun üyeleri, Domain içindeki Users, Computers Container’ıve OU’lar içinde, kullanıcı, bilgisayar ve group hesapları yaratabilir, değişiklikler yapabilirve silebilir. Domain Controllers container’ı için bu geçerli değildir. Administrators grubuve Domain Admins grubu üyelikleri ile, sadece Administrators ve Domain Admins Grubuüyeleri oynayabilir. Ayrıca bu grubun üyeleri DC’lere logon olup, DC’leri kapatabilir.
Server Operators : Bu grubun üyeleri, klasörleri paylaşıma açıp iptal edebilir, Servisleribaşlatıp durdurabilir, Dosyaları backuplayıp restore edebilir, Server’ın harddiskiniformatlayabilir, sistemi kapatabilir ve Server’a interactive olarak logon olabilir. Defaultolarak hiç üyesi yoktur.
Print Operators : Domaindeki DC’lere bağlı olan printer’ları silebilir, yaratabilir,yönetebilir ve paylaşıma açabilir. AD içindeki printer nesnelerini yönetebilir. Defaultolarak üyesi yoktur.
Domain Local group’lara sistem görevlerini yerine getirmek için izinler atayın. Backupyapabilsin, aldığı backup’ı restore edebilsin, sistem saatini değiştirebilsin.
Run As :
Secondary logon olarak da bilinen Run as komutu, güvenlik amacı ile normal birkullanıcı hesabıyla server’a logon olup yönetimsel görevlerimizi yerine getirmemizisağlar. Admin grubuna üye olmayan bir kullanıcı ile logon olup, yönetimsel haklaristeyen bir uygulamayı çalıştırabilmek için sağ tuşla tıklayıp Run as komutunu seçmekgerekir. Çıkan pencereden Following User kısmına programı çalıştırmaya yetkili olan bir
Sinan
Üst
ün
P a g e | 6
hesabı girerek uygulamayı çalıştırabiliriz. Bu sayede Admin hesabını ve sistemi, trojanhorse gibi zararlı programlara karşı korumuş oluruz.
Run as ile .exe dosyalarını, Control paneldeki öğeleri ve .msc uzantılı MMCkonsollarını çalıştırabiliriz. Control Paneldeki öğeler de Run as komutunu çıkartabilmekiçin Shift tuşuna basıp sağ tuşla ikona tıklamak gerekir. Printer’ların olduğu klasörü, Mycomputer, My Network Places gibi klasörleri Run as ile açamayız.
İşletim sitemini upgrade etme, sistem parametrelerini konfigüre etme gibi işlemleriyapabilmek için bir Administrator hesabıyla logon olmak gerekir. Bu işlemler için Run askomutunu kullanamazsınız
Run as’i kullanmanın 2 yolu var :1- Çalıştırmak istediğimiz uygulamanın üzerine sağ tuşla tıklayıp Run as komutuna
tıklamak
Şekil 1: Run as kullanamak istediğimiz yönetimsel aracın üzerine sağ tuşla tıklayın
Şekil 2: Çıkan pencereden bu görevi gerçekleştirmeye yetkili bir hesabın adını ve şifresini girin
2- Komut satırından. Bunun da tam Syntax’ırunas [{/profile | /noprofile}] [/env] [/netonly] [/savedcreds] [/smartcard][/showtrustlevels] [/trustlevel] /user:Kullanıcı Adı program
Sinan
Üst
ün
P a g e | 7
/profile : Kullanıcı profilini yükler. Defaulttur.
/no profile: Kullanıcı profilini yüklemez. Uygulama daha hızlı açılır fakat bazıfonksiyonların çalışmamasına neden olabilir.
/env : Kullanıcı ortamı yerine o andaki network ortamını kullanır.
/netonly : Kullanıcı sadece uzaktan erişime sahipse
/savedcreds : Daha önce kullanıcı tarafından kaydedilmiş credential’ı kullanır.
/smartcard : Eğer smartcard kullanabiliyorsa kullanıcıya smartcard kullandırır.
/showtrustlevels : /trustlevel seçeneğini listeler.
/trustlevel : Yetki seviyesini belirtir.
/user:UserAccountName : Programın çalışacağı hesap
Örnek :
runas /user:setron\admnistrator "mmc %windir%\system32\compmgmt.msc"
runas /user:[email protected] "notepad my_file.txt"
İstersek zamandan tasarruf yapmak için çok fazla kullandığımız yönetimseltoollardan (Araçlar) birinin kısayolunu run as’li olarak masaüstüne koyabiliriz. Bununiçinde; masaüstüne sağ tuşla tıklayıp çıkan menüden new ve shorcut’a tıklayın. Çıkanpencerede kutunun içine :runas /user:setron.com\administrator "mmc %windir%\system32\compmgmt.msc"yazalım. Bu sayede artık Computer Management konsoluna her tıkladığımızda karşımızakomut satırı çıkacak ve orda admin hesabının şifresini isteyecek. Yazdıktan sonradauygulamamız çalışmış olacak.
Şekil 3: Masaüstüne sağ tuşla tıklayıp New'den Shortcut'ı seçtikten sonra çıkan pencereye,çalıştırmak istediğiniz aracın run as li komutunu girin
Sinan
Üst
ün
P a g e | 8
Şekil 4: Kısayolunuza bir isim girin ve Finish butonuna tıklayın
Device manager için : devmgmt.mscDisk manager için : diskmgmt.mscAD Users and Computers için : dsa.msc
Computer Management :
Yerel ve uzak sistemleri yönetmek için gerekli olan yönetimsel araçları barındıran biraraçtır.Computer Management sayesinde yapabildiklerimiz :
- Sistem olaylarını takip edebilme- Kaynakları paylaşıma açma ve yönetme- Bilgisayara bağlanan kullanıcıları görebilme- Sistem servislerini başlatıp durdurabilme- Depolama cihazlarının özelliklerini ayarlama- Uygulamaları ve servisleri yönetme
Computer Management, yönetimsel araçları 3 kategoride tutmuşdur :1- Sistem araçları2- Depolama3- Servisler ve uygulamalar
System Tools :
- Event Viewer : Application, Security ve sistem log’larını tutar. Güvenlik olaylarınıtakip etmek ve muhtemel yazılımsal, donanımsal ve sistemden kaynaklanansorunları tespit etmemizi sağlar.
- Shared Folders : Paylaşıma açılmış klasörleri ve bunlara olan bağlantılarıgörebiliriz. Klasörleri paylaşıma açabiliriz, paylaşımı iptal edebiliriz, sizinbilgisayara açılmış olan oturumları görebilir ve bunları sonlandırabilirsiniz.Shadow Copy ayarları yapabilirsiniz.
- Local Users and Groups : Local kullanıcılar ve gruplar yaratıp, yönetebiliriz.- Performance Logs and Alerts : Sistem performansını izlemek ve performans
parametrelerine göre günlükler oluşturmak için kullanırız.- Device manager : Bilgisayarımızdaki cihazları görebilir, sürücüleri update
edebiliriz, donanım ayarlarıyla oynayabilir ve çakışmaları, sorunları giderebiliriz.
Sinan
Üst
ün
P a g e | 9
Storage :
- Removable Storage : Çıkarılabilir ortam aygıtlarını takip edebilir ve kitaplıklarıyönetebilir veya data depolama sistemlerini yönetebilirsiniz.
- Disk Defragmenter : Hard diskimizdeki bölümleri defrag edip, analiz edebiliriz.- Disk Management : Disklerle ilgili görevleri, formatlama, bölümleme, yaratma
gibi işlemleri yapabiliriz.
Services and Applications :
- Services : Local yada uzaktaki bilgisayardaki servisleri yönetmek için kullanırız.Servisleri, başlatma, durdurma, duraklatma, tekrar başlatma gibi işleri yapabiliriz.
- WMI Control : Windows Management Service konfigüre etme ve yönetme işlerinigerçekleştirebiliriz.
- Indexing Service : Index bilgilerini tutmak için ek kataloglar yaratma ve yönetmeişlemlerini yapabildiğimiz yerdir.
Şekil 5: Computer Management konsoluna ulaşmak için My Computer ikonu üzerinesağ tuşla tıkladıktan sonra Manage seçeneğine tıklamak gerekiyor.
Computer Management ile Uzaktan Yönetim :
Computer Management aracı sayesinde Server 2003’de bir bilgisayarın başındaolmadan başka bir bilgisayarı yönetebilirsiniz. Bu sayede sorunlu olan bilgisayarınolduğu yere gitmeden sorunu çözebilirsiniz.Bunun için :
- Administrator hesabı ile logon olun- My Computer üzerine sağ tuşla tıklayıp manage seçeneğine tıklayın- Computer Management yazısının üzerine sağ tuşla tıklayıp Connect to another
computer diyin- Another Computer’ı seçin ve biliyorsanız bilgisayar ismini yazın yoksa Browse’dan
bilgisayarı bulup seçin
Sinan
Üst
ün
P a g e | 10
Şekil 6: Computer Management yazısının üzerine sağ tuşla tıklayın
Şekil 7: Çıkan pencereden yönetmek istediğiniz bilgisayarın ismini veya Ip numarasınıgirin yada Browse butonundan arattırın
MMC :
Microsoft Management Console, yönetimsel araçlar yaratmak, kaydetmek veaçmak için bir çerçevedir ve yönetim için tek bir arayüz sağlar. Bunu da, Server 2003’ündonanım, yazılım ve network bileşenlerini yönetmemizi sağlayan snap-in’lerle (EkBileşen) sağlar. Çok sık kullandığınız toolları bir arayüzde toplar. Yönetimseluygulamaların yerini almak için tasarlanmamıştır.
MMC konsolunu açtığımızda root (kök) konsolla karşılarız. İhtiyacımız olan snap-in leri ekler ve kaydederiz. Ekliyeceğimiz snap-inleri başka bir deyişle yönetimselaraçları Local bilgisayar veya uzaktaki bilgisayar içinmi kullanacağımızı belirtmemizgerekir. Bunu da bize sorar. Birden fazla MMC konsolunda Computer Managementsnap-in’i kullanarak birden fazla server’ı aynı anda yönetebilirsiniz.
Şekil 8: Start\Run dan mmc yazın
Sinan
Üst
ün
P a g e | 11
Şekil 9: Boş bir konsol kök’ü (Root) gelecektir.
Şekil 10: File menüsünden Add\Remove Snap-in seçeneğine tıklayın
Şekil 11: Add butonuna tıklayın
Sinan
Üst
ün
P a g e | 12
Şekil 12: Kullanmak istediğiniz aracı seçip Add butonuna tıklayın.
Şekil 13: Bazı Snap-in lerde Bu bilgisayarımı yönetmek için kullanacaksın yoksa uzakttaki başkabilgisayar için mi kullanacaksın soran bir pencere çıkacaktır. Seçimi yapıp Finish butonuna tıklayın.
Remote Desktop For Administration :
Remote Desktop for Administration, uzaktaki clientları ve serverları tek birnoktadan yönetmemizi sağlar. RDA, bir Server 2003 Terminal Service özelliğidir.
RDA, Remote Desktop Protocol (RDP) kullanır. Client, RDA aracılığı ile bağlantıkurduğunda bir session yaratılır ve RDP, server’ın masaüstünün bir kopyasını clientagönderir. Bu masaüstü gerçek server 2003’ün masaüstü değildir. Bu oturuma consoleadı verilir. Konsol oturumları daima session 0 olarak oluşturulur. Güvenlik açısındansadece bir tane (Local veya Remote) console oturuma izin verilir.
Aynı anda 2 tane bağlantı gerçekleştirilir. Daha fazlası için Terminal Service’iyüklemek gerekir. Her bağlantı diğerlerinden bağımsızdır. RDA kullandığınız zaman,server’a local olarak logon olmuş gibi kullanırsınız. Yönetimsel açıdan, konsoloturumlarını kullanmak en iyisidir. Konsol oturumları daha fazla özelliği kullanmamızısağlar.
RDA, bize uzaktan bir server’ı yönetebilmemiz için iki tane tool sağlar. Remote DesktopConnection (Şekil 15) ve Remote Desktops snap-in (Şekil 17).
Sinan
Üst
ün
P a g e | 13
Remote Desktop Connection’da, her bir oturum kendi penceresinde görünür. Herbir pencere Server’da yeni bir oturum ile başlatır.
Remote Desktops snap-in ise, RDA yı çalıştıran bir dizi bilgisayara bağlanma vetek bir pencere içinde geçişler yapmamızı sağlar. Administrative Tools dan veyatsmmc.msc snap-inden çalışır. Task Managerdan Users tabından kimlerin oturumaçtığını görebiliriz.
RDP, 3389 nolu portu kullanır. Firewall varsa firewall dan bu portu açmakgerekir.
RDA, uzaktan yönetim için uygun ve elverişli bir servistir. RDA üzerinden erişimiGPO vasıtasıyla kısıtlayabilirsiniz. Bunun için :Comp.conf.>Windows Settings>Security Settings>Local Policies>UserRights AssignmentKısmında Deny Logon Through Terminal Services ayarında kısıtlanacak olanlarıeklemek gerekir.
RDA ile uzaktan konfigüre edilemeyen Control Panel ayarlarıyla oynayabiliyoruz.Sorunları daha çabuk tespit edip çözebiliriz. Dünyanın heryerinden serverlaraulaşabiliriz. Backuplama gibi işleri istediğimiz heryerden başlatıp takip edebiliriz.Uzaktan server uygulamalarını ve işletim sistemini upgrade yapabiliriz.
Remote Desktop Servisi için Gerekli Olanlar :
Serverlara uzaktan erişmek için, erişilecek makineler üzerinde RemoteAdministration özelliğinin enable olması gerekir. Default olarak disable’dır. Administratorhesabının uzaktaki servera uzaktan erişim ayrıcalığı vardır.
Remote Desktop Connection Ayarları :
Remote Desktop Connection Client-side yazılımıdır. Remote Desktop Connectionspenceresinden client ayarlarıyla oynayabiliyoruz. RDC penceresinde sağ alt taraftakiOptions butonuna tıkladığımızda karşımıza çıkan Tablar (Şekil 16):
- General : Oturum açma bilgilerini buraya yazarak zamandan kazanmış oluruz.İstersek bu bilgileri kaydedebilir veya kaydedilmiş olanları açabiliriz.
- Display : RDC’nin varsayılan ayarlarıyla oynayabildiğimiz yerdir. Default olaraktam ekran ve yüksek renk çözünürlüğüdür.
- Local Resources : Buradaki ayarlarda, uzaktaki bilgisayarın sesinin localbilgisayara getirilmesi veya çalınmamasını sağlayabilirsiniz. Tam ekran modundaçalıştığınızda, varsayılan ayar olarak Alt+Tab veya Ctrl+Esc gibi tuş bileşenleriuzak bilgisayara yönlendirilir ve Ctrl+Alt+Del kombinasyonu local de işlenir. Budavranış şeklini değiştirebilirsiniz. Tuş vuruşlarını yalnızca uzaktaki bilgisayaragönderirseniz localde oturum açamayabilirsiniz. Default olarak bağlantıkurulduğunda uzaktaki yazıcılarada ulaşabilirsiniz. Bunun yanında yerel disklereve seri portlara da ulaşım için buradan ayar yapılabilir.
- Programs : Oturum başlatıldığında, çalıştırılacak programları buradanayarlayabiliriz.
- Experience : Bağlantı hızını seçerek performance ayarı yapabiliriz. Ne kadar fazlaseçeneği işaretlersek performans o kadar düşecektir.
Sinan
Üst
ün
P a g e | 14
Şekil 14: O bilgisayarda uzaktan yönetimi aktif hale getirmek için System Properties penceresindenRemote tabından Enable Remote Desktop on this computer özelliğini seçmemiz gerekir. Uzakmasaüstü bağlantısı yapmak istediğimiz bilgisayar üzerinde geçerli olan bir kullanıcı adı ve şifregerekli.
Şekil 15: Daha sonra başka bilgisayardan bu bilgisayara ulaşmak için diğer bilgisayar üzerindenStart\All Programs\Accessories\Communication içinden Remote Desktop Connection'ı seçiyoruz.Computer kısmına uzak masaüstü bağlantısı yapmak istediğimiz bilgisayarın Ip numarasını veyabilgisayar ismini girmemiz gerekir.
Şekil 16: Sağ alttaki Options butonuna tıkladığımızda seçenekleri görebiliriz
Sinan
Üst
ün
P a g e | 15
Şekil 17: Remote Desktops snap-in'e ulaşmak için Server üzerinden Start\Administrative Tools danRemote Desktops seçeneğine tıklayın.
Şekil 18: Remote Desktops başlığının üzerine sağ tuşla tıklayıp Add new connection’a tıklayın.
Şekil 19: Bağlanmak istediğimiz bilgisayarın adını veya Ip numarasını girin. Bilmiyorsanız Browseseçeneğinden bilgisayarı bulun. Kullanıcı adı ve şifreyi girin. Bunun bir console bağlantısı olduğunadikkat edin. Client tarafına doğru yapılacak Console bağlantısında karşı taraf log off olacaktır.
Remote Desktop Connection vs. Remote Desktops :
Remote Desktop Connection : RDC ile tek bir serverla bağlantı kurabiliriz. Birdenfazla servera bağlantı kurabilmek için birden fazla RDC kopyalarını çalıştırmamız gerekir.Ve bunlar arasında geçişler yaparak serverları yönetebiliriz. Default olarak remotesession yaratırız.
Sinan
Üst
ün
P a g e | 16
Remote Desktops : Tek bir pencerede birden fazla server’ı yönetebiliriz. Hepsi tek birMMC konsolu içinde gözükür. Default olarak konsol oturumu açılır. Ama istenirse virtualsession da açılabilir. (Şekil 17)
Uzaktaki servera konsol oturumu açmak için komut satırından mstsc komutudakullanılabilir.Mstsc /v:server /console şeklinde yazılır.
Remote Administration Tollarının Kullanımı için Guideline’lar :
Windows Server 2003 uzaktaki bir bilgisayarı yönetmek için bir çok araç sağlar.Bu araçlar büyük bir esneklik sağlar. Bilgisayarların başında fiziksel olarak bulunmasanızbile uzaktaki bilgisayarları yönetebilirsiniz. Burda sizin yapmanız gereken şey, hangiaracın sizin için yönetimsel görevleri yerine getirmekte en uygun araç olduğunubelirlemektir.
Computer Management ile yapabilecekleriniz :
Uygulama Görev
Server configuration Paylaşıma açılmış klasörleri yönetmek ve takip etmek
Accounts Kullanıcılar ve group’lar üzerinde değişiklikler yapmak
Network connectivity Olayları takip etmek, Performans loglarını ve alarmları yönetmekve takip etmek, Servisleri başlatmak ve durdurmak
Data storage Depolama alanını yönetmek
Computer Management konsolu ile yönetmek istediğiniz bilgisayarda Local adminhesabına sahip olmanız gerekir. RDA için, Administrators ve Remote Desktop Usersgrupları Default olarak gerekli izinlere sahiptir.
Remote Desktop for Administration ile yapılabilecekler :
Uygulama Görev
Software applications Yazılımları Yükleme
Server configuration Disklere Defrag yapmak, Serverları Domain Controller yapmak veya DC’liktençıkarmak, Microsoft .NET Framework konfigürasyonu üzerinde değişiklikleryapmak, Klasör ayarlarıyla oynamak
Device drivers Aygıt sürücüleri ile oynamak
Update software Service Pack’leri ve hotfixleri yüklemek, System management özelliklerinigüncellemek.
Desktop options Tarih ve zamanla oynamak, Görüntü ayarları, fontlar, bölgesel ve dil seçenekleri,Distributed File System (DFS) services üzerinde değişiklikler yapmak.
Hardware configurations Klavye seçenekleri, mouse seçenekleri, modem seçenekleri, güç seçenekleri,printer seçenekleri ile oynamak, printer eklemek ve kaldırmak
Network connectivity Internet ayarları, network bağlantılarının konfigürasyonu ile oynamak, Networkbağlantılarını takip etmek, Erişilebilirlik seçenekleri ile oynamak, IIS ayarları ileoynamak
Schedule tasks Zamanlanmış görevler ile oynamak
Accounts Sistem seçenekleri, kullanıcılar ve gruplar ile oynamak
Licensing and certificate Lisanslar ve Sertifikalar ile oynamak
Remote services Component Servisleri ile oynamak, Data Kaynakları Open Database Connectivity(ODBC) konfigüre etmek , Routing and Remote Access’ı aktif hale getirmek,Terminal Serviceler ile oynamak
Data storage Depolama alanlarını yönetmek
Sinan
Üst
ün
P a g e | 17
Remote Desktop Bağlantılarını Yönetmek :
Remote Desktop da Timeout Ayarı :
Servera kurulan her konsol oturumunun kendi desktop session’ı vardır. Buoturumunda, serverda aktif olarak kalma süresi vardır. Terminal Service Configurationile client oturumunun serverda aktif olarak kalma süresini ayarlayabiliriz.
Bu süreyi ayarlamak gerekirki oturum aktif olduğu sürece server kaynaklarındanboşuna tüketmesin. Oturum disconnect yapılıp logoff denmediği zaman serverla olansession hala devam ediyor olacaktır. Logoff ile session’ı bitirebiliriz. Tüm uygulamalarkapanır ve kaydedilmeyen datalar kaybolur. Disconnect olduğum zaman oturumserverda hala devam ediyor olacaktır taki admin oturumu kapatana kadar veyaoturumun süresi dolana kadar.
Terminal Service Configuration da ki ayarlar (Şekil 22):
End a disconnected Session : Serverda disconnect yapılmış oturumun serverda açıkkalma süresi.
Active session limit : Sessionın serverda aktif olarak kalması için max. zamanı ayarlar.
Idle Session Limit : Session’ının logoff olmadan evvel boşta kalma süresiBurda yaptığınız ayarlar AD Users and Computers konsolunda kullanıcılarınözelliklerinde Sessions tabında yapılan ayarların üzerindedir.
Şekil 20: Terminal Services Configuration penceresine ulaşmak için Server üzerinden Start\AllPrograms\Administrative Tools dan Terminal Services Configuration seçeneğine tıklayın.
Şekil 21: Sol taraftaki Connections seçeneğine tıkladıktan sonra sağ taraftaki detaykısmındaki bağlantının üzerine sağ tuşla tıklayıp Properties seçeneğine tıklayın.
Sinan
Üst
ün
P a g e | 18
Şekil 22: Çıkan bağlantı penceresinin özellikler penceresinde Session tabına gelin veOverride user settings seçeneğini aktif hale getirin.
Terminal Services Manager :
Terminal Service Manager kullanarak Server üzerinden Remote desktopoturumlarını takip edebiliyoruz. Her bir server üzerindeki kullanıcıları ve açmış olduklarıoturumları görebilir ve uzaktaki bilgisayardan disconnect olmuş oturumları yönetebiliriz.
Terminal Services Manager’ı sayesinde, tek bir noktadan Terminal Serverüzerindeki oturumları ve tüm kullanıcıları denetleyebiliriz. Disconnect olmuş oturumlarıgörebilir ve bu oturumları Log off yapabiliriz. Bunu yapmadan evvel kullanıcılarıuyarmanız gerekir ki datalarını kaybetmesin.
Şekil 23: Terminal Services Manager penceresine Administrative Tools içinden ulaşabilirsiniz.
Sinan
Üst
ün
P a g e | 19
Şekil 24: Uzaktan oturum açmış kullanıcıyı disconnect yapabilirsiniz, Message gönderebilirsiniz.
Şekil 25: Kullanıcının çalıştırdığı process'leri sonlandırabilirsiniz.
Sinan
Üst
ün
P a g e | 20
MODULE 2
Preparing to Monitor Server Performance
Server Performansını İzlemek :
Server performansını izlemek kritik öneme sahip bir görevdir. Düşük performans,çalışanların işlerini yapmalarında negatif etki yaratacaktır. Network’teki Server’larınperformansını takip etmek, en iyi şekilde kullanılmasını sağlamak ve devamlı olarakperformans ile ilgili dataları toplayıp analiz etmek, bu sayede de kullanıcılara düşükperformansın kötü etkilerini yansıtmadan müdahale de bulunmak administrator’larıngörevlerinden biridir. Bu sayede belli temel standartları yerleştirip serverdaki sorunlarıçözmemiz daha kolay olacaktır.
Performance datalarını kullanma nedenlerimiz :
- Sistemlerin karakteristik iş yükünü anlamak ve buna karşılık sistem kaynaklarınayaptığı etkiyi anlayabilmek
- İş yükündeki değişiklikleri, yükselişleri ve kaynak kullanımlarını takip ederekilerde yapacağınız upgrade’lere karar verebilmek
- Sonuçları takip etmek suretiyle, konfigürasyon değişikliklerini veya diğerperformans ayarlarını test edebilmek
- En iyi şekilde kullanım için, sorunları tanımlamak ve işlemleri veya bileşenleribelirlemek
Performansı analiz etmek, sorunları açığa çıkarır. Örneğin, belirli kaynaklara aşırıtalep darboğazlara neden olur. Tek bir kaynağın oluşturduğu darboğaz tüm sistemietkileyebilir.
Bir kaynaktan dolayı aşırı darboğaza 4 altsistem neden olabilir : Bellek, işlemci,disk, networkDarboğazın olmasının nedenleri :
- Güncelleme ve ilave programlar sonucu belleğin yetersiz kalması- Yeni bir server’a eski bir network kartının kullanılması- Network kartının yanlış yapılandırılması- Hard diskin yazma ve okuma hızında sorunların olması
Performans Temellerini Oluşturma :
Baseline :En üst, düşük ve normal yoğunluklu işlemler sırasında hafta içinde 30 ve 45’er
dakikalık periyodlar halinde örnek sayaç değerleri toplayın.
Baseline oluşturmanın adımları :- Kaynakları belirleyin- Datayı elde edin- Datayı depolayın
Sinan
Üst
ün
P a g e | 21
Performans temeli için 4 sistem kaynağı :- Bellek- İşlemci- Hard Disk- Network
Performans Nesnesi :Sistem bileşenleri veya kaynak tarafından oluşturulan datadır. Her bir
performans nesnesi, sistem performansının belirli yönlerinden datayı ifade edensayaçları vardır.
Baseline Oluşturmak için Dikkat edilmesi gerekenler :
Baseline, sistem kaynaklarının veya bir grup kaynağın periyodlar halinde nasılkullanıldığının bir göstergesidir.
Baseline oluşturmak için dikkat etmemiz gerekenler :
- Temellerimizi oluşturmak için, ne tip bir işin yapılacağına ve ne zamanyapılacağına karar vermek gerekiyor. Bu bilgi bize belirli bir kaynak kullanılmasıile alakalı işin belirlenmesinde ve bu iş süreleri boyunca performans seviyesininbelirlenmesinde yardımcı olur. Topladığınız datalar ile de sisteminizin kabuledilebilir performansını oluşturur. Bu sizin Baseline’ınızdır.Örneklemek gerekirse ; Şirketinizde, günün belirli zamanlarında performansdüşüklüğü yaşanıyorsa ve baktığınızda o saatlerde kullanıcıların logon veya logoffolduğunu görüyorsanız bu yavaşlama kabul edilebilir. Aynı şekilde her akşambelirli saatlerde kullanıcıların logon olmadığı saatlerde performans düşük isefakat akşamları backup alınıyorsa bu da kabul edilebilir olabilir. Performansdüşüklüklerinin derecesini ve nedenini biliyorsanız, hangi performans derecesininkabul edilebilir olduğuna karar verebilirsiniz.
- Baseline’ı kurulum aşamasından önce oluşturmalısınız. Kurulum aşaması boyuncada gerçek performansa göre baseline’ı tekrar gözden geçirebilirsiniz
- Baseline’ı önceden belirlerseniz, sistem darboğazlarını daha çabuk tespit edebilirve çözebilirsiniz.
- Baseline’ı kullanarak kapasiteyi artırmak için bir şablon içinde uzun vadedekideğişiklikleri takip edebilirsiniz.
Real Time Monitoring ve Logged Monitoring :
Real - Time Monitoring :
Real Time’da sistem monitörü, işletim sisteminden datalar geldikçe counter’larıdevamlı günceller ve işler. Real time monitoring’i işlemci, memory, hard disk venetwork için kullanabilirsiniz. Örneğin, yardım masasından biri, print servera bağlı olanbir printer için, aralıklı olarak yazdığını söylediği zaman Task Manager’ı kullanaraksorunun neyden kaynaklandığını tespit edebiliriz. Veya kullanıcıların daha önce sorunyaşanmamış bir uygulamanın cevap verme süresinin yavaşladığını söylediklerindeSystem Monitor kullanılarak sorunun tespiti ve çözümü yapılabilir.
Sinan
Üst
ün
P a g e | 22
Logged Monitoring :
Logged Monitoring, daha sonra analiz etmek için dataları toplar ve saklar. BirBaseline oluşturmak, darboğazları ve sistemdeki değişiklikleri tespit etmek için LoggedMonitoring kullanabiliriz. Performance Logs and Alerts aracını Logged Monitoring içinkullanabilirsiniz. Kullanıcılar, bir Application server’ın gittikçe yavaşladığını belirttiklerizaman Log dosyalarına bakarak nedenini bulunabilir. Başka bir örnek; Yeni bir serverkurulduğu zaman bu server’ın nasıl bir performans göstereceğini anlamak için bellicounterları konfigüre ederek, bellek, işlemci, disk ve network kullanımının datalarınıtoplayabilirsiniz. Ayrıca farklı zamanlarda farklı olayların loglarını tutarak, backup,replication veya uzaktaki kulanıcıların logon olmaları ile oluşabilecek muhtemeldarboğazları tespit edebilirsiniz.
Task Manager :
Task Manager’ı, çalışan process’leri, performansı ve network kullanımını takipetmek için kullanabiliriz. Bilgisayarda çalışan programları ve işlemleri gösterir. TaskManager, Real-Time Monitoring için kullanılır.
Task manager da takip edebildiklerimiz :
- Çalışan ve cevap vermeyen (not responding) programların durumunu görebiliriz.- Çalışan process’leri ve birçok parametresine bakabiliyoruz (View menü>Select
Coloumn)- Network’e bağlıysanız, network durumuna bakabiliyoruz.- Eğer başka kullanıcılar sizin bilgisayarınıza bağlanmışsa, bu kullanıcıları, hangi
dosyalarınızla çalıştıklarını görebilir ve onlara konsol iletisi gönderebilirsiniz.
Task Manager da 5 tane Tab vardır. Bunlar :
1- Application : Çalışan programları görebildiğimiz yerdir. Swich to diyerek, başkaçalışan programa veya açık olan klasöre geçiş yapabiliyoruz. Çalışan bir programısonlandırabiliyoruz veya program başlatabiliyoruz.
2- Processes : Bilgisayarımızda çalışan process’leri görebiliyoruz. Kolonlar ekleyip dahafazla parametreye bakabiliyoruz. Size bağlanan başka kullanıcıların çalıştırdığı başkaprocess’leride görebiliyoruz.
3- Performance : Geçerli işlemci ve bellek kullanımını gösterir. Grafikler ve istatistikselbilgiler içerir.
Totals bölümü : İş parçacıkları ve işlemciler için özet istatistikleri gösterir.
Handles : Kullanılmakta olan I/O dosyası tanıtıcılarının sayısını gösterir.
Threads : Kullanılmakta olan iş parçacığı sayısını gösterir. İş parçacıkları,işlem isteklerinin aynı anda yürütülmesine olanak sağlar.
Processes : Çalışmakta olan işlem sayısı
Sinan
Üst
ün
P a g e | 23
Commit Charge Bölümü : O sırada çalışan işlemler için ayrılan ve diğer işlemleriçin kullanılabilir olmayan ne kadar bellek olduğunugösterir.
Total : Kullanılmakta olan tüm fiziksel ve sanal bellek
Limit : Kullanılabilen toplam fiziksel ve sanal belleği gösterir.
Peak : Sistem başladıktan sonra kullanılan en fazla bellek miktarı
Physical Memory Bölümü :
Total : Fiziksel Ram miktarı
Available : Kullanılabilir olan Ram miktarı
System cache : Sistem önbelleği için kullanılan bellek miktarı
Kernel Memory Bölümü : İşletim sistemi çekirdeği tarafından kullanılan bellekmiktarını gösterir.
Total : Fiziksel ve sanal bellek dahil olmak üzere çekirdek tarafındankullanılan miktar.
Nonpaged : İşletim sistemi tarafından kullanılan ve diske yazılamayanbellek
Paged : Gerektiğinde sanal belleğe yazılabilen belleği gösterir.
4- Networking : Grafiksel olarak network kullanımını gösterir. Network kartı sistemdevarsa bu tabı görebiliriz. Birden fazla network bağlantımız varsa farklı grafiklerlegösterilir.
5- Users : Oturumun durumu ve isimlerle birlikte bilgisayarınıza oturum açmış olankullanıcıları gösterir. Client name kısmında bilgisayar ismi belirtilir. Session kısmındanbaşka kullanıcıya mesaj göndermek veya başka kullanıcının oturumuna bağlantıkurmamızı sağlar. Users tabı Fast User Switching aktif ise ve bilgisayar birworkgroup üyesi ise görülebilir.
Task Manager’ı çalıştırmanın yolları :- Ctrl+Alt+Del tuşuna basıp Task Manager seçilir- Start>Run dan taskmgr.exe yazılır- Taskbarda boş bir yere mouse’un sağ tuşu ile çıkacak menüden Task Manager
seçilir.
Sinan
Üst
ün
P a g e | 24
Şekil 26: Task Manager
Şekil 27: Task Manager'da Processes tabına kolonlar ekleek için View menüsünden Select Coloumnsseçiyoruz.
Şekil 28: Processes tabında görmek istediğimiz kolonları seçiyoruz.
Sinan
Üst
ün
P a g e | 25
Şekil 29: Task Manager'da Performance tab'ı
Performance Console :
Performance Console içinde iki tane aracımız var :- System Monitor- Performance Logs and Alerts
System Monitor :
Performans bilgilerini, gerçek zamanlı olarak izlemek ve görüntülemek içinkullanırız. Performans parametrelerine ait bilgileri toplar ve grafiksel biçimde görüntüler.
System Monitor sayesinde local veya uzaktaki bilgisayarı Real-time olarak takipedebiliriz.
İzlemek istediğimiz data yada performans öğesi 3 bileşende toplanır :
1- Performance Object : Ölçülebilen özellikleri olan tüm sistem bileşenleridir. Bunesne, işletim sisteminin bellek, işlemci veya disk belleği dosyası gibi fiziksel birparçası, mantıksal disk sürücüsü yada yazdırma kuyruğu gibi mantıksal birbileşeni de olabilir.
2- Performance Counter : Performans nesnelerinin ölçülebilen özelliklerini gösterir.Örneğin, bir işlemci nesnesi için işlemcinin kullanım oranı olan % Processor Timegibi
3- Performance Object instances : Performans nesnelerinin yinelenmelerini gösterir.Örneğin birden fazla işlemci olması
Sayaç datalarına bakmak :
System Monitor ile performansı Real-time olarak takip edebildiğimiz gibi,kaydedilmiş bir log’ada bakabiliyoruz. Bunları analiz etmek ve rapor oluşturmak içinExcel gibi bir programa veya database’e aktarabiliriz.
Counter datalarına grafiksel, histogram ve rapor şeklinde bakabiliriz. Graphgörünüm, default olan görünümdür ve daha geniş seçenekler sunar.
Sinan
Üst
ün
P a g e | 26
Graphs : Sistemdeki tüm processlere real-time olarak bakmak için kullanışlıdır. Çizgiselgrafik olarak gösterir.
Histogram : İşlemcideki darboğazları tespit etmek için daha uygundur. Sayaçlar dahakolay ayırtedilebilir. Dataları bar grafik olarak gösterir.
Report : Her bir sayacı sayısal değerlerle gösterir.
Şekil 30: System Monitöre Start\Run dan perfmon.msc yazarak veya Administrative Toolsmenüsünden ulaşabilirsiniz. Bu görünüm şekli Graphs dır.
Şekil 31: Histogram gösterim şekli
Sinan
Üst
ün
P a g e | 27
Şekil 32: Report Görünümü. Görünümler arası geçişi siyah olarak gösterilmiş ikonlardan yapabilirsiniz
Şekil 33: Yeni nesne ve sayaç eklemek için siyah ile gösterilmiş + ikonuna tıklayın.
Şekil 34: + işaretine tıkladıktan sonra çıkan Add Counters penceresinden Performance nesnesiniseçiyoruz.
Sinan
Üst
ün
P a g e | 28
Şekil 35: Nesne seçiminden sonra o nesneye ait counter seçimini yapıp Add butonuna tıklıyoruz.
Şekil 36: Seçtiğim counter'ı daha rahat görebilmek için yukardaki ampul ikonuna tıklıyorum vegrafiksel alanda o sayaç ayırtedilebilecek şekilde gösteriliyor.
Performance Logs And Alerts :
Local ve uzaktaki bilgisayarlar için performans değerlerini loglamamızı vealarmlar belirlememizi sağlar. Logları daha detaylı analiz etmek ve kayıtlar tutmak içinkullanırız. Performans günlüklerindeki dataları sonradan System monitorden grafikselolarak bakabiliriz.
Performance Logs and Alerts ile 2 türlü log tutabiliyorsunuz. Counter Logs veTrace Logs. Bir sayaç için Alarmlar belirleyerek, ayarladığınız eşikdeğerini geçtiği zamanbir programı çalıştırtabiliyorsunuz, konsol iletisi göndertebilirsiniz veya bir log’uçalıştırtabilirsiniz.
Log’ları ve Alert’leri belli bir zamanda başlayıp durmasını da sağlayabilirsiniz. Budurumda birden fazla log dosyası yaratılma ihtimali var. Log dosyasının ismi, büyüklüğüve diğer parametrelerini ayarlayabiliyorsunuz.
Sinan
Üst
ün
P a g e | 29
Performance konsoluna administrative tooldan ulaşabildiğiniz gbi perfmon.mscyazarakda ulaşabilirsiniz.
Şekil 37: Performance konsolundan Performance Logs and Alerts'e ulaşabilirsiniz.
Şekil 38: Yeni bir Log yaratmak için Counter Logs üzerine sağ tuşla tıklayıp New Log Settingseçeneğini seçin.
Şekil 39: Yeni Log'unuza isim verin.
Sinan
Üst
ün
P a g e | 30
Şekil 40: İsimlendirmeden sonra çıkan pencereden Log dosyasının nerde tutulacağını görebiliyorum.Nesne veya counter ekleyip, Interval süresini yani dataların ne kadar zamanda bir güncelleneceğinidebelirtip Log Files tabına geçiyorum.
Şekil 41: Log Files tabında Log dosyasının türünü, log dosyasının adının sonunun neyle biteceğinibelirtebiliyorsunuz.
Serverları Uzaktan Takip Etme :
Serverda, Task manager ve Performance konsolunu çalıştırmak ek yük getireceğiiçin, topladığımız performans datalarında yanıltıcı bilgilerle karşılaşabiliriz. Server’ıuzaktan takip etme bu tür hatalarla karşılaşma riskimizi azaltır. Bir de onlarca veya
Sinan
Üst
ün
P a g e | 31
yüzlerce serverımız olduğunu düşünürsek, hepsinin başına geçip performansları takipetmek imkansız hale gelir.
Bazı network serverlarını uzaktan takip etmek istediğimizde dikkat etmemizgerekir, Örneğin SQL serverımız varsa, bunu bir clienttan takip etmek istediğimizdeclient üzerindeki nesneler arasında SQL nesnesini göremiyeceğiz. Bunun nedeni deClient’ta SQL Serverın kurulu olmamasıdır. Bunu çözmek içinde SQL server içindekiManagement and Client toolun client tarafında kurulmasıdır.
Şekil 42: XP üzerinde SQL server setup'ını çalıştırın. Client Tools'u seçin. Bu pencerede Managementtools’un seçilmiş olması gerekir.
Şekil 43: XP üzerine gerekli SQL bileşenleri yüklendikten sonra uzaktaki bir Server üzerindeki SQLsayaçlarınıda takip edebilirsiniz.
Sinan
Üst
ün
P a g e | 32
Counter Logs :
Server 2003 işletim sistemi, hard disk, bellek, işlemci ve network bileşenleri gibisistem kaynaklarının datalarını toplar. Bunun yanında sisteminizdeki Exchange serverveya SQL server gibi uygulamalar veya servisler ile ilgili bilgiler de toplanır. Bu data,Performance Object olarak nitelendirilir ve oluşturulan data da bileşenin ismi ile ifadeedilir. Örneğin Processer nesnesi Processor ile ilgili Performance datasını toplar.
Her Performance nesnesi, sistem veya servisin belli yönleri ile ilgili datayı ifadeeden Performance counter larını takip etmemizi sağlar. Counterlar bir nesneninperformansını farklı yönlerden ölçmemizi sağlar.
Counter logları, log dosyasında ne tip datanın tutulacağını belirtir. Counter Logskullanarak, counterları seçip dataları toplayabiliriz. Aynı anda birden fazla counterlogları tanımlayabiliriz.
Sol tarafta counter logs üzerine tıkladığımızda sağ taraftaki detay kısmında ki kolonlar :
- Name : Counter Log’un ismi. Counter Log’u yaratırken bizim verdiğimiz açıklayıcıisimdir.
- Comment : Counter Log yaratırken yazdığımız açıklayıcı bilgidir.- Log File Type : Tanımladığımız log dosyasının türü- Log File ismi : Log dosyasının bulunduğu yer ve counter log tarafından
oluşturulan ismi-
Şekil 44: Counter Log'ları
Sinan
Üst
ün
P a g e | 33
Counter Log’larında Dosya Formatları :
Log DosyaFormatı
Açıklama Ne zaman Kullanılır
Text Dosyası(Comma Delimited)
.csv uzantılı virgülleayılmış log dosyası
Elektronik tablo programına log datalarını aktarmakistediğimizde
Tex Dosyası (TabDelimited)
.tsv uzantılı tab’larlaayrılmış log dosyası
Elektronik tablo programına log datalarını aktarmakistediğimizde
Binary Dosyası .blg uzantılı, sıralı vebinary formatında logdosyası
Aralıklı data instance’ları olarak kaydeder. Bu formattakaydettiğimizde daha sonra System monitor’deizleyebiliriz. Tracerpt komut satırı komutunu kullanarakbinary dosyayı csv dosyasına dönüştürebilirsiniz.
Binary CircularDosya
.blg uzantılı, circular,binary log dosyası
Datayı devamlı aynı log dosyasına kaydeder. Dosya belirlibir boyut sınırına ulaştığında eski verilerin üzerine yeniverileri yazar
SQL database Mevcut bir SQLdatabase ismine yazar.
Daha sonra SQL üzerinden analiz yapmak
Tracerpt komutunun syntax’ı :
Tracerpt logdosyası.blg –o logdosyası.csv
Counter log’larını Belli Bir zamana Bağlamak :
24 saat bir server’ı takip etmek kolay bir iş değil ve pratikte değil. Performancetakibini manuel olarak başlatmak yerine bunu otomatiğe bağlayabiliriz. Counter log’larıbelli zamanlarda çalıştırabiliriz.
Counter Log’larını tarihe bağlamamızın nedenleri :
- Performance için bir Baseline oluşturmak- DC’ler arasında replikasyon sırasında tüm sistemin nasıl etkilendiğini belirlemek- Sabahları kullanıcılar logon olduğunda darboğaz olup olmadığını belirlemek- Akşamları kullanıcıların uzaktan bağlandığında darboğaz’ları belirlemek- Akşamları backup çalıştırdığınızda bir darboğaz oluşup oluşmadığını belirlemek- Günün belirli zamanlarında kullanıcıların networkte yavaşlama yaşamalarının
nedenini belirlemek
Sinan
Üst
ün
P a g e | 34
Şekil 45: Log'un başlayacağı ve biteceği saatlerin ayarlanması.
Alerts :
Alert, tanımını yaptığımız counter log değerlerin üzerine çıkılması veya altınadüşülmesi durumunu tespit eder. Bu değer Alert threshold (Eşik Değeri) olarakisimlendirilir.
Alert özelliğini kullandığınızda, belirlediğiniz counter değeri aşıldığında bir eylemitetikleyebilirsiniz. Konsol mesajı gönderebilirsiniz, bir programı çalıştırtabilirsiniz veya birlog’u başlatabilirsiniz. Eğer counter loglarını takip edemiyorsanız bu şekilde bir eşikdeğeri belirleyerek sistemde bir sorun yaşandığında anında haberiniz olur.Counter’lar üzerinde alert’ler belirleyerek yapabileceğimiz işlemler :
- Application event log’larına günlüğü tutturabilirsiniz- Belirlediğiniz değer geçildiği zaman bir log’u başlatabilirsiniz.- Mesaj gönderebilirsiniz- Bir programı başlatabilirsiniz.
Bilgisayar domain ortamında ise bu işlemi yapabilmek için Domain Admins grubununüyesi olmak gerekir.
Şekil 46: Performance penceresinden Performance Logs and Alerts içinde Alerts üzerine sağ tuşlatıklayıp New Alert Settings seçiyoruz.
Sinan
Üst
ün
P a g e | 35
Şekil 47: Alarmımızı isimlendiriyoruz.
Şekil 48: Counter'ı seçip bu conter için bir limit (Threshold-Eşik Değeri) belirliyoruz. Sayacımız budeğere ulaştığı zaman belirlediğimiz yöntem ile bizi uyaracak. Sample Data Every kısmından dadatanın ne kadar ara ile güncelleneceğini belirliyoruz.
Şekil 49: Action tabından da alarm tetiklendiğinde sistemin ne yapması gerektiğini söylüyoruz. Konsolmesajı gönderilebilmesi için Messenger servisinin açık olduğuna dikkat edin.
Sinan
Üst
ün
P a g e | 36
MODULE 3
Monitoring Server Performance
Server Altsistemleri :
1- Memory : Server’da bellek, genel server performansı için çok önemlidir. EğerServer’ın, ihtiyacı olan datayı tutmak için yeterli miktarda RAM’i yoksa bu işi Harddisk yapar. Hard diskler ise datayı işlemciye gönderme konusunda Ram’den çokdaha yavaştır.
2- Processor : İşlemcinin bir salınımda yaptığı işlem sayısı performans içinönemlidir. Hangi uygulamanın işlemciyi ne kadar sevdiğini de bilmek gerekir.
3- Disk : Disklerde, uygulamaların diske yazma ve diskten okuma hızlarıuygulamanın hızını etkileyecektir. Kapasitesinin de page file’ları tutmak veuygulamaları yüklemek için yeterli olması gerekir.
4- Network : Üsttekiler mükemmel olsada yavaş bir bağlantı ve sorunlu networkaltyapısı performansı etkiler.
Belleği İzlemek :
En sık karşılaşılan sorun Memory azlığıdır. Buda sistem performansını ciddi birşekilde etkiler. Sonuçta bellek cache olarak kullanılır. Bunun haricinde birden fazla ramkullanılıyorsa ramler arasındaki uyumsuzluk veya ramin datalara erişim hızınındüşüklüğüde performansı etkileyebilecek etkenlerdir.Server belleğini izlemek, kullanılabilir bellek miktarını, paging kullanımını ve bellekeksikliğinin etkilerini gözlemlememizi sağlar.
Belleği takip ederek belirleyebileceklerimiz :
- Memory Bottleneck : Düşük miktardaki ram, uygulamalar ve servisler için yeterlimiktarda yer sağlayamayacağı için Hard disk, Windows’un çok sevdiği paging’icache niyetine kullanılacaktır. Yani okuma ve yazma diskten yapılacaktır. Diskinhızıda Ramden çok daha düşük olduğundan işte size darboğaz. Disktenokumada, işlemciye ya daha az iş yaptıracak yada işlemlerin başarısızlıklasonuçlanmasına neden olacaktır. Örneğin Page Fault hataları verilmeyebaşlanacaktır. Page faults, istenilen code’lar bulunamadığı zaman veya işlenecekdatanın bellekte bulunamadığı zaman oluşan hatalardır.
- Yetersiz Bellek : Yetersiz ram, aşırı paging kullanımını ve düşük belleksorunlarına neden olur. Belleği Monitoring yaparak ramden kaynaklanabileceksorunları iyi takip etmek gerekir.
- Paging’in aşırı kullanımı : Paging, hard diskin bir kısmının ram gibikullanılmasıdır. Paging’i tamamen iptal etmiyoruz. Sonuçta makul ölçülerdepaging’in kullanılması gerekir. Aşırı kullanımı ise server performansını etkiler.
- Memory leak : Memory leak, bir uygulamanın çalışabilmesi için, belleğikullanması fakat iş bittiğinde bellekte kullandığı yeri serbest bırakmaması sonucuoluşur. Bunun sonucunda da bellekte kullanılacak yer azalmış olur.
Sinan
Üst
ün
P a g e | 37
Bellek Darboğazını Nasıl Tespit Edeceğiz :
Bellek yetersizliği server performansını etkileyen en büyük nedenlerden biridirdemiştik. Çoğu zaman da bellek miktarını artırmak sorunu çözer.Server 2003 de, Ram iki kategoriye ayrılır :
- Paged- NonPaged
Paged Ram : Sanal hafızadır. Her uygulama için sanal bellek diye bir alan ayırır vebunuda fiziksel hafızaya eşleştirir (mapping). Kullanılmadıkları zaman nesneler buhafızaya yazılır.
Nonpaged Ram : Diske yazılamayan nesneler için kullanılan sistem belleği alanıdır.
Virtual Memory : Hard diskin fiziksel bellek gibi kullanılmasıdır. Paging olarak daisimlendirilir. Eski işletim sistemlerinde swap file deniyordu. Genel de olması gerekenoran fiziksel belleğin 1.5 katı kadar Virtual Memory veya page file’ın olmasıdır. Eğerkullanımda bu oran geçiliyorsa ram eklemek gerekir.
Hard Page Faults (Önemli Sayfa Hatası) : Bir program, istediği code’ları ram debulamayıp Hard diskten alması gerekiyorsa oluşan hatadır. Çoğu işlemci bu hatayıişleyebilir. Bu hata önemli gecikmelere neden olur. Çok fazla bu hata oluşuyorsa rammiktarını artırmak gerekir.
Bellek İçin Performans Sayaçları
Memory\Available Bytes
Sunucuda çalışan işlemlerin kullanabileceği fiziksel bellek boyutunu bayt olarakkaydeder. Kullanılabilen boş bellek oranı %5 in altına düştüğünde, sistemde yeterlibellek kalmamıştır ve performans düşebilir. Sunucu, kaynak isteklerini karşılamak içindiske daha fazla yazmak zorunda kalabilir.
Memory\Committed Bytes
Ayrılmış sanal bellek boyutunu bayt olarak kaydeder. Bu değer, diske yazılan ve osırada kullanılmakta olan belleği gösterir. Sunucu, sistemdeki toplam fiziksel bellekboyutuna göre çok fazla sanal bellek kullanıyorsa, fiziksel bellek eklemeniz gerekebilir.
Memory\Commit Limit
Kullanılabilen toplam fiziksel ve sanal bellek boyutunu gösterir. Ayrılan bellek boyutuarttıkça, disk belleği dosyasınında izin verilen en fazla boyutuna kadar büyümesine izinverilir; en fazla boyut, sistemdeki toplam fiziksel bellek boyutundan ayrılan sınır değeriçıkartılarak belirtilebilir. Sabit boyutlu bir disk belleği dosyası için, dosya boyutunu en azRAM miktarının iki katı olarak ayarlayın.
Sinan
Üst
ün
P a g e | 38
Memory\Page Faults/Sec
Saniye başına ortalama sayfa hatası sayısını kaydeder. Önemli ve önemsiz sayfahatalarını içerir. Önemsiz sayfa hataları, bellek geri aramalarına neden olur. Önemlisayfa hataları diske erişim gerektirir. Buradaki oran 5 saniyenin üzerinde ise server’a ekram takmak gerekir
Memory\Pages/Sec
Önemli sayfa hatalarını gidermek amacıyla diske yazılan yada diskten okunan belleksayfalarının sayısını kaydeder. Memory\Pages Input/Sec ve Memory\Pages Output/Sectoplamıdır.
Memory\Pages Input/Sec
Önemli sayfa hatalarını gidermek amacıyla sayfaların diskten okunma hızlarınıkaydeder. Önemli sayfa hataları, istenen bir sayfa bellekte yoksa ve bilgisayarın busayfayı almak için diski okuması gerekirse oluşur. Çok sayıda önemli sayfa hatası,önemli gecikmelere neden olur.
Memory\Pages Output/Sec
Fiziksel bellekte alan boşaltmak sayfaların diske yazılma hızını kaydeder. Sunucunun sıksık bellek boşaltması gerekiyorsa, bu durum, sistemde yeterli miktarda fiziksel bellekbulunmadığının bir göstergesidir.
Memory\Pool Paged Bytes
Bellek havuzu boyutunu bayt olarak gösterir. Bellek havuzu, kullanılmadıkları sıradadiske yazılabilen nesneler için kullanılan sistem belleği alanıdır. Bellek havuzununboyutu, sistemdeki toplam fiziksel bellek boyutundan daha büyük olduğunda, sistemebellek eklemeniz gerekebilir. Bu değer zaman içinde yavaş yavaş artıyorsa, bir kernelmodu işleminde bellek sızıntısı olabilir.
Memory\Pool Nonpaged Bytes
Diske alınmayan bellek havuzu boyutunu bayt olarak gösterir. Diske alınmayan bellekhavuzu, diske yazılamayan nesneler için kullanılan sistem belleği alanıdır. Diskealınmayan bellek havuzunun boyutu, sistemdeki toplam sanal bellek boyutundan dahabüyük olduğunda, sistemdeki sanal bellek boyutunu artırmanız gerekebilir.
Paging File\%Usage
Kullanılmakta olan disk belleği dosyası oranını kaydeder. Bu değer, tüm kopyalar içinyüzde 100 değerine yaklaşıyorsa, sistemin sanal bellek boyutunu artırmanız yadasisteme fiziksel bellek eklemeniz gerekebilir.
Sinan
Üst
ün
P a g e | 39
Paging File\%Usage Peak
Disk belleği dosyasının en fazla kullanım düzeyini, kullanılabilen toplam disk belleğidosyasının oranı olarak kaydeder. Yüksek bir değer, disk belleği dosyasının artan yükkoşullarını işlemek için yeterince büyük olmadığı anlamına gelir.
İşlemci Kullanımını Takip Etmek :
İşlemci kullanımını takip etmeniz de işlemci ile sıkıntıları tespit etmenize yardımcıolacaktır. İşlemciden kaynaklanan sorunlar, bir işlemcinin iş parçacıklarını işlemek içindaha fazla zamana gereksinim duyarsa oluşur. Bu da işlemcideki sıranın uzamasınaneden olur.İşlemci yi takip edebileceğimiz yerler :
- Task Manager’da CPU kullanımından- Performance sayaçlarında %Processor Time kısmından
%Processor Time sayacı bizim birincil olarak takip edeceğimiz sayaçtır.Sürücüler veya ağ bileşenleri gibi altsistem bileşenleri her kesinti veya istekdebulunduklarında, işlemcinin yaptığı işlemi sonlandırıp bu isteği işlemesini sağlarlar.Çünkü donanım istekleri daha önceliklidir. Bozuk sistem anakartları veya bileşenlerdehatalı kesintilere neden olabilir.
İşlemci Darboğazını Nasıl Tespit Edeceğiz :
Server’da olabilecek her türlü sorunda ram’in yanında, işlemcinin de sorunlaraneden olabileceği unutulmamalıdır. Bir application serverdaki işlemci, bir print veya fileserverdaki işlemciden daha fazla meşgul olacaktır. İşlemcilerin çalışma düzeyi venormal olan durumlar bu iki server arasındaki farkı yaratır.
Bir işlemcide en fazla darboğaz yaratan sorunlardan biri, CPU kullanan uygulamalar vesürücüler ile sorunlu disk ve network bileşenlerinin yarattığı aşırı kesme istekleridir.
İşlemci İçin Performans Sayaçları
System\Processor Queue Length
Yürütülmek için bekleyen iş parçacığı (Thread) sayısını kaydeder. Bu iş parçacıkları,sistemdeki tüm işlemciler tarafından paylaşılan bir alanda kuyruklanır. Bu sayaç 10 yadadaha fazla iş parçacığının beklediğini gösteriyorsa, sunucunun üst kapasitesini artırmakamacıyla işlemci eklemeniz yada işlemci hızını artırmanız gerekebilir.
Processor\%Processor Time
Seçili işlemcinin boşta olmayan bir iş parçacığını yürütme süresini oransal olarakkaydeder. Bu sayacı, sunucudaki tüm işlemci yinelemeleri için ayrı ayrı izlemelisiniz.Tüm yinelemeler için %Processor Time değerleri yüksek ( Yüzde 75’in üzerinde), ağarabirimi ve disk giriş/çıkış üretilen iş değerleri göreceli olarak düşükse, sunucunun üst
Sinan
Üst
ün
P a g e | 40
kapasitesini artırmak amacıyla işlemcileri daha hızlı çalıştırmak yada işlemci eklemekgerekebilir
Processor\%User Time
Seçili işlemcinin boşta olmayan bir iş parçacığını User modunda yürütme süresinioransal olarak kaydeder. User mode, uygulamalar ve kullanıcı düzeyindeki alt sistemleriçin bir işlem modudur. %85 gibi yüksek bir değer, işlemci hızını artırmanız yada işlemcieklemeniz anlamına gelir.
Processor\%Privileged Time
Seçili işlemcinin boşta olmayan bir iş parçacığını Privileged modunda yürütme süresinioransal olarak kaydeder. Privileged mode, işletim sistemi bileşenleri ve hizmetler içindonanım ve belleğe doğrudan erişime izin veren bir işlem modudur. %85 gibi yüksekbir değer, işlemcileri yüksek bir değerde çalıştırmayı yada ek işlemci koymayıgerektirebilir.
Processor\Interrupts\Sec
İşlemcinin donanım kesintileriyle ilgili olarak aldığı ve hizmet verdiği durumlarınortalama hızını saniye olarak kaydeder. Bu değeri, temel değerlerle karşılaştırın. Budeğer zaman içinde değişiyor (binlerce kesinti oluşuyorsa) ve buna karşılık etkinliklerdebir artış olmuyorsa, sistemde bir donanım sorunu olabilir. Bu sorunu gidermek için,soruna neden olan aygıtı yada bileşeni belirlemelisiniz. Sürücülerini yakın zamandagüncelleştirmiş olduğunuz aygıtlardan başlayın.
Eğer işlemcide sorunlar tespit ettiyseniz, yapmanız gerekenler :- Daha hızlı bir işlemci eklemek- Birden fazla işlemci eklemek. Bunun için anakartınızda ve uygulamanızda
multiprocessor desteği olması gerekir.- Networkteki diğer bir sisteme process işlemlerini yüklemek- Network kartınızı, disk adaptör kartınızı veya controller kartlarını upgrade etmek
Diskleri Takip etmek :
Disk sistemi, depolama ve serverdaki datalarla ve programlarla oynayabilmemizisağlar. Diskleri takip ederek sistemimizin verimli bir şekilde çalışabilmesini sağlarız. Diskile ilgili performance datalarını toplayarak donanım ve yazılım ile ilgili upgrade planlarınıyapabiliriz.
Disk konfigürasyonu yapmadan evvel, disk kapasitesi, işlem hacmi, kablolama vecontroller faktörlerine dikkat etmek gerekir. Günümüzdeki yüksek hızlı disklerde çokfazla darboğaz yaşanmasada yine de büyük işletmeler ve yoğun disk okuma ve yazmaişlemi yapılan yerlerde düzenli olarak disklerin performansının takip edilmesi gerekir.Diskten okuma, yazma işleminin ram’den çok daha yavaş olduğu düşünülürse bukonuda disklere fazla yük bindirmemek gerekir.
Diski Monitoring (Takip) ederek cevaplarını alacağımız sorular :- Diskte bir darboğazın olup olmadığı- Defragmantasyona ihtiyaç var mı?- Ek hard disklere veya daha hızlı bir diske ihtiyaç varmı?
Sinan
Üst
ün
P a g e | 41
- Paging aşılıyor mu?- Disk verimli kullanılıyor mu?
Performans için en iyi çözüm Raid (Reduntant Array of Independent Disks) veözellikle de Raid 5 dir. Raid 5 hem hata toleransı, hem de performans için en uygunçözümdür. Özelliklede software değil hardware raid çözümlerinin uygulanması ve bunuda SCSI controller’lar üzerinde yapılması gerekir.
Genelde bir uygulamaya veya klasöre tıkladığımız da, bilgisayarın cevap vermesiuzun sürüyorsa diskte bir sıkıntı yaşanması muhtemeldir. Fakat çoğu zaman başkafaktörler diskteki sıkışmayı gizleyebilirler.
Performance’dan disk sayaçları ile hem logical hemde physical disklerin durumunu takipedebiliyoruz. Logical disk ile hangi partition’ın performansı zayıflattığını görülebilir.
Disk İçin Performans Sayaçları
PhysicalDisk\%Disk Time
Fiziksel Diskin meşgul olduğu süreyi oransal olarak kaydeder. Bu değeri, sistemdeki tümsabit disk sürücüleri için Processor\%Processor Time ve Network InterfaceConnection\Bytes Total\Sec ile birlikte izleyin. %Disk Time değeri yüksekse ve işlemcive ağ bağlantısı değerleri göreceli olarak daha düşükse, sistemin sabit disk sürücüleribir kısıtlamaya neden oluyor olabilir.Yüklü sürücüler arasında daha dengeli dağıtmakyada sürücüler ekleyip sistemi, bu yeni sürücüleri kullanacak biçimde yapılandırmakyoluyla performansı artırabilirsiniz. Kabul edilebilir değer %50 nin altıdır. %50 ninüstüne çıkıyorsa daha hızlı bir Hdd ile değiştirmek gerekebilir.
PhysicalDisk\Current Disk Queue Length
Disk erişimi için bekleyen sistem yanıtlarının sayısını kaydeder. Yüksek bir değer, diskbeklemelerinin sistem performansını etkilediğini gösterir. Genel olarak, bu konumda çokaz bekleyen istek olması istenir. Kabul edilebilir değer 0-2 arasındadır.
PhysicalDisk\Avg.Disk Write Queue Length
İşlenmeyi bekleyen yazma isteklerinin sayısını kaydeder.
PhysicalDisk\Avg.Disk Read Queue Length
İşlenmeyi bekleyen okuma isteklerinin sayısını kaydeder.
PhysicalDisk\Disk Writes\Sec
Saniye başına diske yazma işlemlerinin sayısını kaydeder. Ne kadar disk I/O etkinliğininbulunduğunun bir göstergesidir. Saniye başına yazma işlemi sayısını ve yazmakuyruğunun boyutunu izleyerek, yazma işlemlerinin disk performansını nasıl etkilediğinibelirleyebilirsiniz. Çok fazla yazma işlemi kuyruğa kaydediliyorsa ve RAID 5kullanıyorsanız, bu durum, RAID 1 kullanırsanız performansın artabileceğinin birgöstergesi olabilir.
Sinan
Üst
ün
P a g e | 42
PhysicalDisk\Disk Reads/Sec
Saniye başına diskten okuma işlemlerinin sayısını kaydeder. Ne kadar disk I/O etkinliğibulunduğunun bir göstergesidir. Saniye başına okuma işlemi sayısını ve okumakuyruğunun boyutunu izleyerek , okuma işlemlerinin disk performansını nasıl etkilediğinibelirleyebilirsiniz.
Network’ü Takip Etmek :
Network kullanımı, network band genişliğinin yüzdesi olarak belirtilir. Bandgenişliği’niölçmenin de bir çok yolu vardır :
- Serverdan veya servera transfer edilen byte’ların oranı- Server tarafından gönderilen data paketleri- Serverdan gönderilen veya alınan dosyaların oranı
Networkteki darboğaza neden olabilecek etkenlerin bazıları :
- Server’a aşırı yüklenme- Networke aşırı yüklenme- Network bütünlüğünün kaybolması
Networkteki darboğazı belirlemek daha zordur. Network topolojileri daha karışıktır vebir çok nedeni olabilir. En sık takip edilen network sayaçları :
Network İçin Performans Sayaçları
Network Interface\Bytes Total/Sec
Baytların bir ağ bağdaştırıcısı üzerinden gönderilme ve alınma hızını kaydeder. Belirli birbağdaştırıcı için Bytes Total/Sec değeri, ağ hızıyla ve ağ kartının hızıylakarşılaştırıldığında beklenenden çok daha fazla yavaşsa, ağ kartı yapılandırmanızıdenetlemeniz gerekebilir.
Network Interface\Current Bandwith
Seçili ağ bağdaştırıcısının geçerli bant genişliğini bit/sn değerinde öngörür. Çoğusunucuda, 10/100 ağ kartları yada bir çok şekilde yapılandırılabilen Gigabit Ethernetkartları kullanılır. Bir kart 10 Megabit/sn olarak yapılandırılmış olabilir.Bu durumda,geçerli bant genişliği bu değerle 10 faktör farklı olabilir.
Network Interface\Bytes received/Sec
Baytların bir ağ bağdaştırıcısı üzerinden alınma hızını kaydeder. Bu değeri, sistemdeyapılandırılmış olan her ağ bağdaştırıcısı için ayrı ayrı izleyin
Network Interface\Bytes Sent/Sec
Baytların bir ağ bağdaştırıcısı üzerinden gönderilme hızını kaydeder.
Sinan
Üst
ün
P a g e | 43
Networkte darboğaz oluşuyorsa yapmamız gerekenlerden bazıları :
- Networke server eklemek. Böylece işlem yükünü dağıtmak- Fiziksel katmandaki bileşenleri kontrol etmek veya yükseltmek. Router, switch
veya kablolama gibi- Networkü subnetlere bölmek- Network trafiğini farklı segmentlere bölmek- Kullanılmayan adaptörleri çıkarmak- Yüksek bandgenişliğini destekleyen adaptörler kullanmak- Offline Folders özelliğini kullanmak
Komut Satırı Komutlarıyla Performans İşlemleri :
Logman.exe :
Performans sayaçlarını yönetmek ve belli bir zamana bağlamak için kullanılır. Bu komutuzak bilgisayardan da kullanılabilir.
Yazılışı :
Logman [create {counter | trace} [CollectionName]] [start CollectionName] [stopCollectionName] [delete CollectionName] [query {CollectionName | providers [ProviderName]}[update CollectionName]
CollectionName parametreleri
Switch Açıklama-s ServerName Kullanacağınız bilgisayar ismi
-t config Tüm logman.exe parametrelerini içeren config dosyasının ismi
-b M/D/YYYY H:MM:SS[{AM | PM}]
Datanın toplanacağı başlangıç saati. 24 saatlik format yada AM-PMibaresi kullanılarak 12 saatlik format da kullanılabilir.
-e M/D/YYYY H:MM:SS[{AM | PM}]
Datanın toplanmasındaki bitiş saati. 24 saatlik format veya 12saatlik format kullanılabilir.
-m [start | stop] Manuel olarak logların başlatılması veya durdurulması. –b, -e veya–rt ile kullanılamaz.
-rt Real time mode
-u Username Password Local veya uzaktan çalıştırmak için gerekli credential
-o [Path | DSNCounterLog] Yazdırılacak dosya adı ve yolu. Eğer SQL database’ineyazdırılacaksa DSN girişi yazılmalı
-f {bin | bincirc | csv |tsv | SQL}
Counter logları için dosya formatı. Format, Binary,csv, tsv veya Sqldatabase formatında olabilir.
-max Value Log dosyası için max. Boyut. Eğer log dosyası bu değeri geçerseloglama durur.
-c {Path [Path..]| -cf FileName}
Path parametresi ile performans sayaç dosyasının yolu, FileNameilede dosya adı belirtilir.[\\Computer\Object[Parent/instance#Index](“\Processor(_Total)\%ProcessorTime”).
-si [[HH]:MM:]SS Performans sayaçları için saat, dakika ve saniye cinsinden zamanaralığı. Default değer 15 saniyedir.
/? Yardım
Sinan
Üst
ün
P a g e | 44
Relog.exe :
Performance Counter log dosyasındaki dataları Tab separated value (.TSV), Comma-Separated Value (.CSV), binary log file (.BLG), yada SQL format larına dönüştürür.
Yazılışı:
relog [FileName [FileName ...]] [-a] [-c Path [Path ...]] [-cfFileName] [-f {bin | csv | tsv | SQL}] [-t Value] [-o {OutputFile |DSNCounterLog}] [-b M/D/YYYY [[HH:]MM:]SS] [-e M/D/YYYY[[HH:]MM:]SS] [-q]
Relog c:\perflogs\dosyaismi.blg -o c:\perflogs\dosyaismi.csv -f csv
Switch Açıklama
FileName [FileName ...] Mevcut bir performance counter dosyası ismi. Birden fazla dosya ismiyazılabilir.
-a Üstüne yazma, dosyaya ekle
-b M/D/YYYY H:MM:SS[{AM | PM}]
Çıkartılacak datanın başlangıç zamanı. 24 saatlik format veya 12 saatlikformatta yazılabilir.
-e M/D/YYYY H:MM:SS[{AM | PM}]
Datanın çıkartılması için bitiş saat.
-o [Path |DSNCounterLog]
Çıktı dosyası ve yolu. SQL databese için DSN login bilgisi.
-f {bin | bincirc | csv |tsv | SQL}
Log dosyasının formatı. Format binary, .csv, .tsv , circular binary veyaSQL database şeklinde olabilir.
-c {Path [Path..] |-cf FileName}
Path parametresi ile performans sayaç dosyasının yolu, FileName ilededosya adı belirtilir. [\\Computer\Object[Parent/instance#Index]\Processor(_Total)\%ProcessorTime). –cf parametresi ile birlikte decounterları bir text dosyası içinde ayarlayabilir ve yolunu belirtebilirsiniz.
-t Value Kayıtların süreleri.
-q İnput dosyasındaki Performance sayaçlarını ve zaman aralığını gösterir.
/? Yardım
Sinan
Üst
ün
P a g e | 45
typeperf.exe :
relog.exe komutuna benzer. Performans log dosyasını bir komut penceresine veyadosya ya yazar. Durdurmak için Ctrl + C tuşuna basmak gerekir.Yazılışı :
Typeperf [Path [Path ...]] [-cf FileName] [-f {csv | tsv | bin}][-si [MM:]SS] [-o FileName] [-q [Object]] [-qx [Object]][-sc Samples] [-config FileName] [-s ComputerName] [-y]
Switch Açıklama-c {Path [Path..] |-cf FileName}
Path parametresi ile performans sayaç dosyasının yolu, FileNameilede dosya adı belirtilir.[\\Computer\Object[Parent/instance#Index]\Processor(_Total)\%ProcessorTime). –cf parametresi ile birliktede counterları bir text dosyası içinde ayarlayabilir ve yolunubelirtebilirsiniz.
-f {bin | csv | tsv } Log dosyasının formatı. Format binary,.csv, .tsv , circular binaryformatında olabilir.
-si [MM:]SS Log girişleri arasındaki zaman Default süre 1 saniyedir.
-o [Path] Çıktı dosyasının ismi ve yolu
-q Instance olmadan tüm sayaçalrı gösterir ve sorgular.
-qx Instance ile birlike tüm sayaçları gösterir ve sorgular.
-sc Örnek sayım.Almak istediğiniz örneklerdir. Default olarak Ctrl+Ctuşuna basana kadar örnek alınır.
-config FileName Tüm bu parametreleri okuyacağı dosya
-s ComputerName Komutun çalışacağı bilgisayar
/y Uyarı penceresi çıkartmadan tüm sorulara Yes demek için
/? Yardım
Sinan
Üst
ün
P a g e | 46
MODULE 4
Maintaining Device Drivers
Device Nedir ? :
Device (Aygıt), bilgisayara takılan dahili ve harici parçalardır. Ekran kartı, hard disk,printer, işlemci gibi parçalar device olarak belirtilir. Device’ları ikiye ayırıyoruz.
1- Plug and Play : Tak ve Çalıştır olarak ta bilinen cihazlar için kullanılır. PnP özelliğiolan cihazlar, bilgisayara takıldığında Server 2003, cihazı algılar ve cihazınbiosundan PnP etiketini okur. Kendi setup information dosyalarından uygun(eşleşen) bir imzalı sürücü arar ve varsa bu sürücüyü yükler. Eğer kendi içindeuygun bir sürücü bulamazsa Found New Hardware sihirbazını çalıştırır. Üreticidentemin edebileceğimiz sürücüyü yükleyerek cihazı sisteme tanıtmış oluruz. CihazWindows tarafından tanınıp da sürücüleri yüklenemediği durumda veya birçakışma olduğunda Windows bu cihaza sarı bir ünlem işareti koyar. USB,Firewire, PCI, AGP slotları PnP özelliğini destekler. 1995 den itibaren üretilençoğu cihaz PnP olarak üretilmektedir.
2- Non Plug and Play : Windows bu tür cihazlar takıldığında otomatik olarakalgılamaz ve sürücülerini yüklemez.
Device Driver ? :
Device Driver (Aygıt Sürücüsü), cihaz ile işletim sistemi arasındaki iletişimisağlar. Sürücüler aslında birer yazılımdır. Cihazın işlevselliğini artırırlar.
Sürücüler, bilgisayar başladığında otomatik olarak yüklenir.Windows’un, sisteme takılan bir cihazı kullanabilmesi için sürücüsünün yüklenmiş olmasıgerekir. Cihaz, HCL (Hardware Compatibility List) içinde ise sürücüsü büyük ihtimalleWindows da mevcuttur.Sürücüleri yönettiğimiz yer ise device manager’dır.Device Manager ile yapabildiklerimiz:
- Sürücüleri yüklü olan veya yüklü olmayan cihazları görebilir ve sürücülerhakkında bilgi alabilirsiniz.
- Sürücü yükleyebilir, Update edebilir- Önceki sürücüye dönmek için Rollback yapmak- Sürücüleri disable, enable ve uninstall etmek
Device Driver Özellikleri :
Son kullanıcılar olarak bir cihazın sürücülerini cihazla birlikte gelen Cd’denyükledikten sonra bir daha da dönüp o cihazın sürücülerinin yüzüne bakmayız. Amasistem yöneticileri, belli aralıklarla üreticilerin web sayfasından güncel sürücülerin çıkıpçıkmadığını takip edip çıkmışsa bunları yüklemesi gerekir. Bunu yapmadan evvel decihazların sürücüleri hakkında bilgilerinin olması lazım. Sürücülerle ilgili bilgilere Device
Sinan
Üst
ün
P a g e | 47
Manager da sürücünün özelliklerinde driver tabından bakılabilir. Burada tüm cihazsürücülerinde olan 5 tane özellik bulunur :
- Driver name : Sürücünün yeri ve ismi- Driver Provider : Sürücüyü sağlayan firma- Driver Date : Sürücünün çıkarıldığı tarih- Driver Version : Sürücü versiyonu- Digital Signer : Sürücüyü test eden ve doğrulayan
Şekil 50: Aygıt sürücülerine Device manager üzerinden aygıtın özellikleri ve Driver tabından bakılabilir.
Signed Device Driver :
Cihaz sürücülerinde Windows Hardware Quality Labs (WHQL) tarafındangerçekleştirilen kapsamlı sınamaları geçtiğini gösteren bir dijital imza bulunur. Buimzaya WHQL digitally signed driver adı da verilir. İmzalı sürücüler Windows işletimsistemleriyle uyumlu çalışacağını yani sistemimizin stabil çalışacağını garanti eder.
Daha açık bir ifadeyle, dijital imza, aygıt sürücüsünün, sistemimizin çökmesineyada kararsız hale geçmesine neden olmayacağı, başka bir program yada virüsprogramı tarafından değiştirilemeyeceğini garanti eder.
Windows da dijital imzası olmayan sürücülerin yüklenmesi sırasında göstereceği 3tane davranış vardır :
- Dijital imzası olmayan sürücüleri yükle (Ignore)- Dijital imzası olmayan bir sürücüyü yüklerken uyarı penceresi göster (Warn)- Kullanıcıların dijital imzası olmayan sürücüleri yüklemesini engelle (Block)
Microsoft dijital imzası olan sürücülerin kullanılmasını tavsiye eder. Dijital imzası olandonanım sürücülerinde “Designed for Microsoft Windows XP” logo’su vardır.
Sinan
Üst
ün
P a g e | 48
Şekil 51: Driver Sining'e ulaşmak için My Computer üzerine sağ tuşla tıklayıpProperties den System Properties penceresini açın ve Hardware tabına tıklayın.
Şekil 52: Driver Signing seçenekleri
Sistemimizde imzalı sürücülerin kullanılmasını sağlayan 3 tane aracımız var :
Windows File Protection : WFP, Windows setup programı ile yüklenen kritik sistemdosyalarının (.sys, .dll, .ocx, .ttf, .exe gibi) değiştirilmesini engeller ve arkada devamlıçalışır. Yeni bir sürücü yüklerken veya Windows Update’den güncelleme yaparken yenidosyaların dijital imzalı olup olmadığını kontrol eder. Sorun varsa versiyonlarıntutulduğu System32/Dllcache (Hidden klasördür) klasöründeki ile karşılaştırır. Eğerburadaki ile farklı ise yani yanlış versiyonlu bir dosya ile değiştirilmiş ise dllcache klasörüveya server 2003 cd sindeki doğru versiyonla değiştirir. Doğru dosyayı bulamadığızaman bizden yerini soracaktır. WFP’nın çalışıp çalışmadığını test edebilirsiniz. Bunun
Sinan
Üst
ün
P a g e | 49
için System32 klasöründeki calc.exe dosyasını silin. Kısa bir süre sonra WFP bu dosyayıorjinali ile değiştirecektir. Sonrada Event Viewer’dan system loglarına bakın.
Şekil 53: Calc.exe dosyasını sildikten sonra Event Viewer'a log yazılır. Üzerine çift tıklayalım.
Şekil 54: WFP dosyanın orjinalini yerine koydu.
System File Checker : System File checker (sfc.exe) komut satırından kullanılanistediğimiz zaman çalıştırabileceğimiz bir araçtır. Tüm korumalı sistem dosyalarını tararve bütünlüğünü ve doğru dosyalar olmasını sağlar. Microsoft tarafından sağlanan doğrusistem dosyalarını hatalı olanla değiştirir. Windows File Protection özelliğinin birparçasıdır. WFP cache klasörünün içeriğini yönetmemizi de sağlar.Sfc.exe de kullanabileceğimiz parametreler :
/scannow : Tüm korumalı sistem dosyalarını tarar./scanonce : Tüm korumalı sistem dosyalarını bir sonraki sistem açılışında tarar. Registrydeki yeri : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogonkey’inde sfcscan key’i 2 yaparsakta olur
/scanboot : Bilgisayarın her başlatılışında sistem dosyalarını tarar. Registry deki yeriHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon key’inde sfcscankey’i 1 yaparsakta olur
/enable veya /revert : WFP işlemini normal haline döndürür. Registry’de sfcscananahtarını 0 yaparsakta olur.
Sinan
Üst
ün
P a g e | 50
/purgecache : Cache folder’ı tamir eder ve tarar./cachesize=x : MB cinsinden cache klasörünün boyutunu ayarlar
File Signature Verification : sigverif.exe komutu ile sistemdeki imzalı ve imzasızsürücülerin listesi ve sürücülerle ilgili bilgileri raporlayabilirsiniz. Rapor Windowsdizininde sigverif.txt dosyasında tutulur. Kullanıcıyla etkileşim olmadan çalıştırmak içinsigverif /defscan komutu kullanılır.
Şekil 55: Komut satırından veya Start\Run dan sigverif yazın.
Şekil 56: File Signature Verification penceresi çıkacak.
Şekil 57: Advanced butonuna tıkladığınızda iki tab çıkar. Search tabındataratılacak dosya türlerini ve yerini belirleyebiliyorsunuz.
Sinan
Üst
ün
P a g e | 51
Şekil 58: Logging tabından da sonucu bir log dosyasına yazdırmayı ve bu log dosyasının yerinibelirleyebiliyorsunuz.
İmzasız Sürücüler için davranışı Group Policy’lerden Ayarlamak :
İmzasız sürücülerde sistemin davranışını Group Policy üzerinden de ayarlayabiliyoruz.Bu ayarı yapabildiğimiz yer :Comp.Conf.>Windows Settings>Security Settings>Local Polices>SecurityOptions içindeDevices:Unsigned driver installation behavior seçeneğidir.
Burada 3 tane seçeneğimiz var :- Silently Succeed : Bir uyarı vermeden kullanıcıların imzasız sürücülerin
yüklemesine izin verir.- Warn but allow installation : Kullanıcıların imzasız sürücülerin yüklenmesine izin
verir. Fakat imzasız bir sürücü yüklediğini de bir pencere içinde uyarır.- Do not allow installation : Kullanıcıların imzasız bir sürücü yüklemesine izin
vermez.
Group Policy Management konsolunu kullanarak işletmedeki tüm kullanıcıların imzasızsürücüleri yüklerken sistemin nasıl davranması gerektiği konusunda ayarlaryapabilirsiniz.
Şekil 59: Group policy içinden İmzasız sürücüler için bilgisayarların davranışlarını ayarlama.
Sinan
Üst
ün
P a g e | 52
Şekil 60: Group Policy ayarının üzerine çift tıkladığımızda çıkan pencereden ayarımızı yapabiliriz.
Device Driver Signing Seçeneklerinin Manuel Olarak ayarlanması :
Tek bir bilgisayar üzerinde sürücü imzasının yüklenmesi konusunda ayar yapmakistersek Control Panel>System veya My Computer üzerine sağ tuşla tıklayarakProperties seçeneğine tıklayarak System Properties penceresi üzerinden Hardware tabıve oradan da driver signing butonuna tıklayarak ulaşabiliriz.
Administrator Option bölümünde Make this action the System defaultseçeneğini aktif hale getirerek o bilgisayardaki tüm kullanıcılar için geçerli halegetirebiliriz.(Şekil 51)
Cihaz Sürücülerinde Rollback Yapmak :
Bir cihazın sürücüsünü güncellediğimiz zaman, yeni sürücüler, cihazın çalışmasınıengelleyebilir, stop hatası oluşturabilir, sistemi başlatırken sorunlar çıkartabilir. Bu türsorunlar genelde beta sürücülerinde veya imzasız sürücülerde oluşur.Eğer bir sürücü güncelleme sonrasında bu tür sorunları yaşıyorsak Rollback özelliğinikullanarak bir önceki sürücüye dönebiliriz. Sistem açılamıyorsa, Safe mode da sistemiaçarak cihazın bir önceki sürücüleri kullanmasını Rollback seçeneği ile sağlayabiliriz. Buişlemi yapablmemiz için Administrators grubunun üyesi olmamız gerekiyor.
Rollback seçeneğindeki sınırlamalar :
- Sadece bir sürücü geriye gidebiliriz.- Printer sürücülerinde Rollback yapamayız- Multifunction özelliğine sahip cihazlarda aynı anda tüm sürücülerini Rollback
yapamayız.
Sinan
Üst
ün
P a g e | 53
Şekil 61: Device Manager üzerinden Aygıt'ın özellikleri ve Driver tabınagittiğinzde Rollback ve Update Driver seçenklerini görebilirisiniz.
Sürücüleri ve Cihazları Uninstall yapmak :
Device Manager ile bir cihazı Uninstall yaptığımız zaman, sürücü bellektenkaldırılır harddiskten kaldırılmaz. Uninstall yaptığınızda bilgisayar bir sonraki açılışındasürücü tekrar yüklenir. Bir cihazın sürücüsünü kaldırmak veya cihazı tamamenkaldırmak istediğinizde, Uninstall yaptıktan sonra cihazı bilgisayar ile olan bağlantısınıkesmeniz yani onu bilgisayardan çıkarmanız gerekir.
Cihazın bilgisayarda takılı kalmasını istiyorsanız fakat Uninstall yapmakistemiyorsanız, cihazı disable edebilirsiniz. Bu sayede bu sürücü her sistem açılışındayüklenmemiş olur. Laptoplar için uygun bir seçenektir. Belli bir süre kullanılmayacakcihazlar disable edilerek güçten tasarrufta sağlanmış olur.
Uninstall yapabilmek için Aygıtın üzerine sağ tuşla tıkladıktan sonra çıkanmenüden Uninstall’ı seçin veya sürücü özelliklerinden Driver tabında Uninstall butonunatıklayın.(Şekil 61)
Sinan
Üst
ün
P a g e | 54
MODULE 5
Managing Disks
Disk yönetimi, bilgisayarları en iyi şekilde kullanmak ve bakımını sağlamakaçısından önemlidir ve Server 2003, diskleri bölümlere ayırmak, format atmak, organizeetmek için adminlere bir çok araç sağlar. Bir harddisk taktığımızda Server 2003otomatik olarak diski tanır ve basic disk olarak konfigüre eder. Basic disk, dynamicdiske göre daha kısıtlı konfigürasyon kapasitesi vardır.
Disk Management :
Disk Management, yerel yada uzaktaki bilgisayarların, disk yönetim görevlerinigrafiksel bir arayüz sayesinde yerine getirmemizi sağlayan MMC snap-in’idir. ComputerManagement içinden ulaşabildiğimiz gibi, MMC içinden ayrı bir snap-in yaratarak taulaşabiliriz.
Disk Management ile yapabildiklerimiz :
- Disklerimizi basic diskten dynamic disk’e dönüştürebiliyoruz.- Partition’lar yaratabiliyor veya silebiliyoruz- Format atabiliyoruz.- Sürücü harflerini değiştirebiliyoruz.
Farklı konsollar yaratarak her birinde uzaktaki başka bir bilgisayarın disk yönetiminiyapabilirsiniz. Bunu yapabilmek için Server Operators grubu veya Administratorsgrubunun üyesi olmamız gerekir.
DiskPart Komut Satırı Aracı :
Disk Management konsolunun komut satırı versiyonu veya alternatifi diyebiliriz.Diskpart.exe ile bir çok disk yönetimi ile ilgili görevleri yerine getirebiliriz. Diskpart iledisklerle, partitionlarla ve volume’larla çalışabiliyoruz.Diskpart ile çalışmadan evvel, ilk olarak diskleri ve partitionları listeyerek hangisi ileçalışacaksak onu seçmemiz gerekiyor.
List Disk : Diskleri görüntülerList Volume : Tüm disklerdeki birimleri görüntülerList Partition : Seçtiğimiz diskteki bölümleri gösterir.Select Disk x : Çalışacağımız diski seçiyoruz.
Sinan
Üst
ün
P a g e | 55
Diskpart.exe Komutları :
Partition Nedir :
Disklerde iki bileşen vardır. Fiziksel disk ve Logical diskler. Fiziksel diskler,bilgisayarlarımıza taktığımız cihazlardır. Mantıksal diskler ise fiziksel disklerimizi organizeetmemizi sağlar.Fiziksel disklerdeki mantıksal bölümlere partition adı verilir. Bir diski partition’laraayırmadan diskte işlem yapamayız. Partition’ları, datalarımızı organize etmek içinkullanırız. Partition’larla ilgili bilgiler Master Boot Record (MBR) denilen, fiziksel harddiskimizin ilk sectorunda yer alan bir bölümde tutulur. MBR diskimizde partitionoluşturduğumuzda yaratılır. Partitionların yeri ve boyutu hakkında bilgiler tutulur.MBR’ın yaptığı işler :
- Active Partition için partition’ları tarar.- Active partition’ı bulur- Active partitiondaki Boot sector’ü belleğe yükler- Kontrolü boot sector’e bırakır.
Her partition’a bir sürücü harfi atanır. System partition’ın sürücü harfinideğiştiremezsiniz.
Komut Açıklama
ADD Simple Volume’a mirror ekleme
ACTIVE O anki basic partition’ı active olarak işaretler.
ASSIGN Sürücü harfi atar veya seçili volume’a bir noktayı mount eder.
AUTOMOUNT Bir basic Volume’da otomatik olarak mount’ı enable veya disableeder.
BREAK Bir Mirror setini bozar.
CLEAN Konfigürason bilgisini veya diskteki tüm bilgileri temizler.
CONVERT Farklı disk formatları arasında dönüşüm yapar.
CREATE Volume veya parititon yaratır.
DELETE Bir nesneyi siler.
DETAIL Bir nesne hakkında detay sağlar.
EXIT Diskpart.exe’den çıkar.
EXTEND Bir volume’u genişletir.
GPT Seçili GPT partition’a attribute atar.
HELP Kullanılan komutları listeler.
IMPORT Bir disk grubunu import eder.
INACTIVE O anki basic partition’ı inactive yapar.
LIST Nesne listesini Print eder.
ONLINE Offline olarak işaretlenmiş diski Online yapar.
REM Yorum scriptleri için kullanılır.
REMOVE Atanmış sürücü harfini kaldırır.
REPAIR RAID dizisini tamir eder.
RESCAN Disk veya Volume’ları tekrar tarar.
RETAIN Tutulan bir Partition’ı Simple Volume altında tutar.
SELECT Bir nesne üzerine odaklanır.
Sinan
Üst
ün
P a g e | 56
Server 2003 işletim sistemi çalışan bir bilgisayara yeni hard disk taktığımız zamanbaşlatmamız (initialize) gerekir. Yeni bir disk taktıktan sonra Disk Managementkonsolunu açarsak otomatik olarak Initialize Disk Wizard açılır. Manuel olarak dadiskin üzerine sağ tuşla tıklayarak çıkan menüden initialize disk diyebiliriz. Sihirbazıtamamladığımızda, işletim sistemi diske disk imzasını yazar, son sektorü işaretler veMBR’ı yazarak diski hazırlamış olur.
Bir basic diskte 4 tane partition oluşturabiliyoruz. Bunlardan biri mutlaka primarypartition olmak zorunda ve onda da işletim sisteminin yüklü olması gerekir. 3 Primary 1extended veya hepsi de primary partition yapılabilir. Extended partition’larıda logicaldrive’lara bölebiliriz.Extended partitionlara format atamayız. Sadece Basic disklerde extended parititonyaratabiliriz. Extended partitionlarda logical drivelar yaratıp, bunlara format atıp sürücüharfleri atayabiliriz.24 tane logical drive yaratılabilir. Bunun nedeni harf kısıtlamasıdır. C den Z ye kadarharf atayabiliyoruz.
Bir diski kullanabilmek için formatlamamız gerekir. Formatlamak diski, okuma veyazmaya hazır hale getirir. Format, diskteki tüm bilgileri siler, sectorlerin sağlamolduğunu doğrular, bad sectorleri işaretler ve adres tablosu oluşturur.
Bir partition’ı silmekte içindeki tüm bilgilerin silinmesine neden olur. SilinenPartition unallocated space olarak tanımlanır. Bir extended partition’ı silmek istiyorsakiçindeki Logical drive’ların silinmesi gerekir.
NTFS Dosya Sistemi :
o Avantajları
Ana dizinde sınırsız sayıda dizin olabilir, 256TB'a kadar sabit diskleri formatlayabilir, Tüm dizin ve dosyaları sıkıştırabilir, 4294967295 dosya içerebilir, (232 - 1) Maksimum dosya büyüklüğü 16TB'tır, (Teorik olarak 16 EB) Cluster boyu küçük olduğu için yer kaybı düşüktür, Küçük boyutlu dosyalara erişimi çok hızlıdır, Dosya ve dizinlere kullanıcı hakları verilerek erişim denetlenebilir, Dosya boyutu ne kadar büyük olursa olsun, klasörlerde ne kadar çok dosya
olursa olsun performans kaybı olmaz, Kullanıcılara sabit diskten belirli boyutta yer kotası verilerek sabit disk alanı
sürekli olarak kontrol altında tutulabilir (Sadece Windows 2000'de ve NTFS5'te) Dosyalarda yapılan tüm değişikliklerin kaydını tuttuğu için otomatik veri kurtarma
desteği vardır, Hatalı blokları tespit edip buradaki verileri otomatik olarak başka yere taşır, Dosyaların parçalara bölünmesi minimum düzeydedir, dolayısıyla
defragmantasyon gerektirmez.o Dezavantajları
Windows 9x ve MsDos'tan NTFS dosya sistemine erişilemez, Küçük boyutlu sabit disklerdeki küçük boyutlu dosyalarda performans düşüktür, 64MB'tan küçük belleğe sahip sistemlerde iyi performans gösteremez, (Aslında
400MB'tan küçük sabit disklere kurulması önerilmez) Disketler (güvenliği sağlamak için yüklenen bilgilerin yol açtığı yer kaybı
sebebiyle) NTFS tipinde formatlanamaz.
Sinan
Üst
ün
P a g e | 57
FAT16 Dosya Sistemi :
o Avantajları
MsDos, Unix ve Windows'un tüm sürümleri tarafından kullanılabilir, Dosya kurtarabilen bir çok başarılı program mevcut, Kilitlenme halinde bilgisayar bir açış disketi ile açılabilir, 256MB'tan küçük partition'lar için veriye ulaşım çok hızlıdır.
o Dezavantajları
Ana dizinde en çok 512 dizin olabilir. Uzun dosya isimleri bu sayıyı dahada azaltır,
En fazla 65536 dosya olabilir, Bir dosya en fazla 4GB boyutunda olabilir, Cluster boyu büyük olduğu için yer kaybı fazladır, Veri güvenliği yoktur.
FAT32 Dosya Sistemi :
o Avantajları
Ana dizinde sınırsız sayıda dizin olabilir, Cluster boyu küçük olduğundan yer kaybı düşüktür, Açış bölümü FAT16'ya göre çok daha güvenilirdir, Küçük ve orta büyüklükte klasörlerde daha etkindir, 64MB'tan küçük belleğe sahip sistemlerde daha verimlidir, Düşük hızlı sabit disklerde performansı daha yüksektir.
o Dezavantajları
Çok büyük sabit diskleri ancak 32GB'a kadar formatlayabilir,
Sabit disk boyutu(Min / Max)
FAT16 FAT32 NTFS1993
WinFS2007 ?
07 16 MB 2KB Tanımaz 512B
17 32 MB 512B Tanımaz 512B
33 64 MB 1KB 512B 512B
65 128 MB 2KB 1KB 512B
129 256 MB 4KB 2KB 512B
257 512 MB 8KB 4KB 512B
513 1024 MB 16KB 4KB 1KB
1024 MB 2 GB 32KB 4KB 2KB
2 4 GB 64KB 4KB 4KB
5 8 GB Tanımaz 4KB 4KB
9 16 GB Tanımaz 8KB 4KB
17 32 GB Tanımaz 16KB 4KB
32 GB 2 TB Tanımaz Tanımaz 4KB
System Partiton : Boot dosyaları olan NTLDR, Boot.ini ve Ntdetect.com dosyalarınınolduğu partitiondır. Ayrıca MBR ve active partition’ıda barındırır.Boot Partition : İşletim sisteminin yüklü olduğu systemroot folderın bulunduğu partitondır.System partition’ın active partition olması gerekir. Active partition, bilgisayarın bootişlemini başlatmak için baktığı yerdir. Yani MBR ve boot dosyalarının olduğu yerdir.Sadece primary partition’lar active yapılabilir.
Sinan
Üst
ün
P a g e | 58
Mounted Drive :
Mounted Drive, NTFS dosya sistemi içinde, bir partition’ı boş bir klasöreyönlendirme işlemidir. Bu işlem, bir kısayol oluşturma işlemine benzer.Bir sürücüyü, boş bir klasöre mount yaptığınız zaman Disk Management o partition’a birharf atamak yerine bir yol atar. Mount sayesinde 24 harf sıkıntısına girmeden istediğinizkadar partition’ı kullanabilirsiniz.
Mounted Drive özelliğini elimizde atayacak sürücü harf kalmadığında veya bazıuygulamaların ve internet sitelerinin temp dosyalarını ve log dosyalarını C içine atmakgibi bir ısrarı olduğunda kullanırız. Aslında yaptığımız, C sürücüsü içine ek bir alaneklemektir.
Mounted Drive’ı silsek bile tüm dosya ve klasörlerimiz mount ettiğimiz sürücüdekalır, silinmez. Mounted Drive’lar data depolama’yı yönetmemize de yardımcı olur.
Nasıl Yapılır:
Şekil 62: Mount Drive için elimizde bir adet unallocated alan gerekiyor yani formatlanmamış bir alan.Bu alanın üzerine Disk management penceresinden sağ tuşla tıklayın ve New Partition diyin.
Şekil 63: New Partition dediğimiz zaman New Partition Wizard ekranı karşımıza gelecek.
Sinan
Üst
ün
P a g e | 59
Şekil 64: Primary Partition'ı seçiyoruz.
Şekil 65: Bu partition'a ne kadar alan ayıracaksak belirtiyoruz.
Şekil 66: Burda Mount in the following NTFS folder seçeneğini seçiyoruz veBrowse dan C içinde bir klasörü gösteriyoruz.
Sinan
Üst
ün
P a g e | 60
Şekil 67: Formatımızı atıyoruz.
Şekil 68: Ve işlemi sonlandırıyoruz.
Şekil 69: C: Partition içinde Dökümanlar isimli mount drive görülüyor. C içinde başka bir partition’ınkısayolu da diyebiliriz.
Sinan
Üst
ün
P a g e | 61
Diğer bir yöntem :
Şekil 70: Bu yöntemle, formatlanmış bir parition'ın üzerine Disk management penceresinden, üzerinesağ tuşla tıklayın ve Change Dirve Letter and Paths seçeneğine tıklayın.
Şekil 71: Add butonuna tıklayın.
Şekil 72: Mount in the following empty NTFS folder seçeneği içine C içindeboş bir klasörün yolunu yazın veya Browse'dan yerini gösterin ve OK butonuna tıklayın.
Basic Disk vs Dynamic Disk :
Basic Diskler, Server 2003 ‘de default disk türüdür. Basic diskler dynamic diskegöre daha sınırlı özellikleri vardır. Dynamic disk daha esnektir ve genelde hatatoleransını kullanabilmek için oluşturulur.
Sinan
Üst
ün
P a g e | 62
Basic disk üzerinde, bölümler yaratarak datalarımızı daha rahat organize edebiliriz.Basic diski 4 partition’a ayırabiliriz. Bunlar, 4 tane Primary partiton veya 3 primary, 1Extended partition olabilir. Extended partition üzerinde de logical drive’lar yaratılabilir.Dynamic disk faydaları :
- Dynamic disklerde birden fazla diski kapsayan volume’ler yaratabilirsiniz.- Disklerde oluşturulacak volume’larda bir limit yoktur.- Dynamic diskler hata toleransı için kullanılırlar. Bu sayede datanın bütünlüğü bir
donanım hatası olsa bile sağlanmış olur.
Tek bir disk varsa dynamic disk’e dönüştürmek bir avantaj sağlamayacaktır.
Dynamic diskteki volume türleri :
- Simple Volume- Spanned Volume- Mirrored Volume- Striped Volume- Raid-5 Volume
Basic diski Dynamic diske istediğimiz zaman dönüştürebiliriz. Dynamic disklerde,Partition kelimesi, yerini Volume’a bırakır.
Dynamic diskler, disk groupları ile ilişkilendirilir. Disk grupları, disk topluluğudur.Disk grupları dynamic diskleri organize etmemizi sağlar. Disk gruplarındaki tümdisklerde aynı konfigürasyon bilgisi bulunur. Bu bilgi her dynamic diskin sonunda 1 MBlık bir kısımda tutulur. Bu bilgi tüm disklere replike edilir.Dynamic diskten Basic diske dönebilirsiniz. Fakat tüm datanızı kaybedersiniz. Dynamicdisk üzerindeki Volume’ları silip tekrar Basic disk yaratmanız gerekir.
Şekil 73: Disk Management konsolundan dynamic disk'e dönüştürmek istediğimiz diskin üzerine sağtuşla tıkladığımızda çıkan menüden Convert to Dynamic Disk seçneğine tıklayın.
Sinan
Üst
ün
P a g e | 63
Şekil 74: Dönüştürmek istediğimiz diski seçiyoruz.
Şekil 75: Son bir Onay ve Convert butonuna tıklayın
Şekil 76: Dynamic Disk'e dönüştürdüğünüz diskin yani Disk 1 in altında Dynamic ibaresini ve renginindeğiştiğini görmeniz gerekir. Dynamic disk'e döndükten sonra aşağıda renk kodlamasında SimpleVolume yazdığına dikkat edin.
Sinan
Üst
ün
P a g e | 64
Diskpart komutu ile Basic diskten Dynamic Disk’e dönüşüm :
Şekil 77: İlk olarak Disk 1 in Basic Disk olduğunu kontrol edelim.
Şekil 78: Komut satırımızı açalım (Start\Run dan cmd) ve Diskpart yazalım.
Şekil 79: List disk diyerek disklerimizi listeleyelim. Ardından Select Disk 1 yazarakta işlemyapacağımız Disk 1 ‘i seçelim.
Şekil 80: Convert Dynamic komutunu yazıp Enter’a basalım.
Simple Volume :
Simple Volume, fiziksel disk üzerinde yaratılan alandır. Simple volume Basicdiskteki partitionlara benzer. Fakat sayı ve boyut sınırı yoktur. NTFS, FAT ve FAT32dosya sistemi kullanılarak format atılabilir. Fakat genişletmek istiyorsak NTFS dosyasistemini kullanmamız gerekir.
Sinan
Üst
ün
P a g e | 65
Şekil 81: Hardal rengi olan kısım Simple Volume'dır.
Extended Volume :
Extended Volume, mevcut bir birimin boyutunu büyütmek başka bir deyişle obirime boş alan eklemek için aynı diskten unallocated (Ayrılmamış) bir birim ilebirleştirilmesidir. Hata toleransı yoktur. Bir diskte sorun olduğu zaman backup’tandataları tekrar restore yapmanız gerekir.
System ve boot birimlerini extended olarak kullanamazsınız. Basic disk deyaratılmış ve sonra dynamic diske dönüştürülmüş birimlerde extended yapılamaz.
Şekil 82: New Volume (E:) Volume'u 5.25 GB lık olan Unallocated alan üzerine Extended Volumeolarak birleştirecem.
Şekil 83: New Volume (E:) üzerine sağ tuşla tıklayıp çıkan menüden Extend Volume seçin
Sinan
Üst
ün
P a g e | 66
Şekil 84: Karşımıza Welcome to the Extend Volume sihirbazı çıkacak.
Şekil 85: Disk 0 üzerindeki boş olan alan, sağ tarafta Selected kısmında olması gerekiyor
Şekil 86: Finish'e tıklayın
Sinan
Üst
ün
P a g e | 67
Şekil 87: Disk Management dan baktığımızda ikisinin de New Volume (E:) olarak görüyoruz. Birde MyComputer üzerinden bakalım.
Şekil 88: Tek bir Volume olarak gözüküyorlar ve sol taraftaki detay kısmına bakın, Total Size 10.1 GBolarak belrtilmiş
Spanned Volume :
Spanned Volume, birden fazla disk üzerinde bulunan unallocated alanlarıbirleştirerek tek bir birim altında kullanmaktır. Alanların boylarının aynı olmasına gerekyoktur. Veriler ilk olarak birinci diske yazılır, dolduktan sonra sırayla diğer birimlereyazılır. Hata Toleransı ve performans artışı yoktur. Disklerden birinde bir sorunolduğunda tüm veri kaybedilir. Yarattığımız set içinden bir tanesini ayrmak istiyorsaktüm spanned volume’u silmek gerekir.Spanned Volume için en az 2 disk gereklidir. 32 diske kadar destekler.
Sinan
Üst
ün
P a g e | 68
Şekil 89: Spanned Volume yapmak için, Disk 0 üzerndeki ayrılmamış bölüm üzerinde sağ tuşla tıklayıpçıkan menüden New Volume seçiyoruz.
Şekil 90: New Volume Sihirbazı karşılayacak. Hoşbulduk diyip Next’e tıklayın.
Şekil 91: Spanned'ı seçin.
Sinan
Üst
ün
P a g e | 69
Şekil 92: Disk 1 üzerindeki ayrılmamış bölüm ile birleştirmek istiyorum.
Şekil 93: Disk 1 'i seçip Add butonuna tıklayalım.
Şekil 94: Sürücü Harfi atama faslı. Next'e tıklayın.
Sinan
Üst
ün
P a g e | 70
Şekil 95: Format at ama Quick at
Şekil 96: Hele şükür Finish. Bir Kontrol edelim. Açalım Disk Management’ımızı.
Şekil 97: Spanned yapılmış Volume'lar farklı renkte gösterilmiş. Renk geldi be Disk Management’a.Bide My Computer’a bakalım.
Sinan
Üst
ün
P a g e | 71
Şekil 98: Spanned yaptığımız iki Volume tek bir Volume olarak gözüküyor ve sol taraftaki detaykısmında iki Volume'un toplamı gözüküyor
Striped Volume (RAID-0):
Striped Volume 2 veya daha fazla (32) diske, verilerin eşit parçalar halindeyazılmasını sağlar. Data, Stripe denilen blocklara (64K) ayrılarak stripe sete yazılır. Bustripe’lar aynı anda setteki tüm birimlere yazılır. En büyük avantajı okuma-yazma hızınınyüksek olmasıdır. Hata toleransı yoktur. Striped Volume da alanlar aynı olmakzorundadır veya farklı boyutlarda ise en küçük alana göre striped volume oluşturulur.5GB, 10GB ve 10 GB lık alanlarımız varsa ve stripe volume oluşturmak istiyorsak endüşük olan 5 GB lık alanlar kullanılarak set oluştrulur. 10 GB lıklardaki 5 GB lık alanlarboşa gider. Yani toplamda 15 GB lık stripe volume oluşturabilirim ama 10 GB lık alandaziyan olur. Bu alanlar unallocated olarak disk management’da görünür.
Spanned Volume’lar Stripe yapılamazlar.
Büyük databaselerde okuma ve yazma işlemi çok yapılıyorsa kullanılabilir. Çok fazlakullanılan page file gibi dosyalarda iyi performans sağlanabilir.
Sinan
Üst
ün
P a g e | 72
Şekil 99: Spanned yapmak için unallocated space üzerine sağ tuşla tıklayıp New Volume tıklıyoruz.
Şekil 100: Spanned daki gibi aynı sihirbaz bizi karşılıyor. Next'e tıklayalım.
Şekil 101: Bu sefer Striped Volume yaratmak istediğimizi belirtiyoruz. Next’e tıklayalım.
Sinan
Üst
ün
P a g e | 73
Şekil 102: Bu kısımda hangi disk ile Striped yapacağımızı belirtiyoruz. Sol taraftaki Disk 1 'i seçip Adddiyerek sağ tarafa ekleyelim. Burda dikkat edin. Disk 0 10378 MB olarak gözüküyor.
Şekil 103: Disk 1 'i sağ tarafa eklediğimizde anda Disk 0, Disk 1 'in boyutunu aldı. En küçük olanboyuta göre stripe yapılıyordu.
Şekil 104: Sürücü Harfi ata.
Sinan
Üst
ün
P a g e | 74
Şekil 105: Hızlısından Format at.
Şekil 106: Ve mutlu son.
Şekil 107: Disk Management içinden yaptığımız Stripe Set yeşil olarak gösteriliyor.
Sinan
Üst
ün
P a g e | 75
Fault Tolerance :
Elektrik kesintisi veya donanımsal bir sorun sonucu data kaybı genel bir felaketdurumudur. Bu durumda yapılabilecek ilk iş aldığımız backup’lardan tekrar datayı geriyüklemektir. Fakat data kaybını donanımsal sorunlar oluşmadan evvel engellemekistiyorsak hata toleransı için volume’lar oluşturabiliriz.
Hata Toleransı, bir donanımsal sorun oluştuğunda, donanım veya yazılımın databütünlüğününü sağlaması ve işlevselliğine devam etmesidir. Hata toleransı içinkullanılan volume’lar RAID 1 (Mirrored) ve RAID 5 volumelardır.
Disklerde hata toleransı, Datanın fazladan yazılması ve böylece disklerde birsorun yaşandığında datayı tekrar kurtarabilmedir. Disklerdeki hata toleransı, backup’ınyerine geçmez. Hata toleransı, backup’dan daha hızlı bir şekilde datayı geri getirmemizisağlar. Backupda, hata toleransı yöntemlerimizdendir. Yangın veya deprem gibi doğalfelaketler de donanım felaketlerinde veya hatalı bir şekilde data silmede kullandığımızbir yöntemdir. Bu yüzden RAID gibi uygulamalar yanında Backup stratejimizidebelirleyip uygulamamız gerekir.
Hata Toleransını sadece Dynamic disklerde gerçekleştirebiliriz.
Mirrored Volume (RAID 1) :
Mirrored Volume veya RAID 1, aynı iki diske aynı anda aynı dataların yazılmasışeklinde işler. Disklerin birbirinin aynı olması gerekir ve ikisinde de aynı boşluğun(Genel teyamül) olması gerekir. Mirrored Volume aynı datadan iki tane yazdığı için hatatoleransı sağlar. Okuma va yazma performansı yüksektir. Bir disk’te sorun olduğundadiğer disk yazmaya devam eder. Dataların kaybı, iki diskinde bozulması ile olabilir.Volume’ların farklı fiziksel disklerde olması gerekir. Bir simple volume üzerinden mirrorset’ini, unallocated space üzerinden yapabilirsiniz.
Boot ve system volume’ları mirrored yapılabilir. Mirrored volume’ları extendyapamazsınız. Yani sonradan başka bir unallocated alanla birleştirip uzatamazsınız.
Bir diskte sorun yaşandığında hemen mirror seti kırmanız (Break) gerekir. Setikırdığınızda diğer volume simple volume olarak işlevine devam eder. Her iki volumedakidatalar aynen kalır. Set kırıldıktan sonra aynı boyutta veya daha büyük olan boş biralanla tekrar mirror oluşturulur. Remove mirror derseniz, mirror set bozulur vemirrordan ayırmaya çalıştığınız diskteki alan unallocated space haline döner ve datakaybolur.
Mirrored set için kullandığınız diskleri farklı controllerlarda kullanırsanız diskdublexing adı verilir. Bu sayede extra bir güvenlik katmış olursunuz. En azından bircontroller da sorun çıktığında diğer controller daki disk, data yazmaya devam eder.
Sinan
Üst
ün
P a g e | 76
Şekil 108: Disk Management konsolumu açtığımda iki adet fiziksel diskimi görüyorum. Burda NewVolume (E:) ile Disk 0 daki unallocated space arasında mirror set yaratmak istiyorsam, bunlardanherhangi birinin üzerine sağ tuşla tıklayıp çıkan menüden Add Mirror seçeneğine tıklamak gerekir.
Şekil 109: Bu Volume ile mirror yapabileceğim fiziksel diski seçmem gerekiyor. Bende sadece bir tanefazladan fiziksel disk var. Onu seçiyorum.
Şekil 110: Add Mirror butonuna tıkladıktan sonra unallocated olan bölümü en küçük olan Volumeboyutunda parçalar ve senkronizasyonu gerçekleştirir.
Şekil 111: Mirrored Volume oluşturulmuş hali.
Sinan
Üst
ün
P a g e | 77
Mirror Seti kırmak :
Şekil 112: Mirror seti Break veya Remove yapabiliriz. Break deneyelim. Mirror set üzerindeki herhangibir volume üzerine sağ tuşla tıklayıp çıkan menüden break mirror volume diyelim.
Şekil 113: Çıkan uyarıya Yes diyelim.
Şekil 114: Mirror seti kırdığımız zaman her ikiside simple volume 'a dönüşür. Her iki Volumeda daaynı datalar kalır.
Birde Mirror Seti Remove yapalım :
Şekil 115: Mirror set deki herhangi bir Volume üzerine sağ tuşla tıklayıp Remove Mirror diyelim.
Sinan
Üst
ün
P a g e | 78
Şekil 116: Hangi Disk üzerindeki Volume'ı kaldırmak istediğimizi soracak. Biz Disk 0 seçelim.
Şekil 117: Hangi Volume'u remove yaptıysak unallocated space olarak görülür. Simple Volume olarakkalan yerdeki datalarımız aynen kalır.
RAID 5 :
Server 2003 işletim sistemi, hata toleransı için disk striping with parity diğerdeyişle RAID-5 volume’ları destekler. RAID-5 için en az 3 disk en fazla da 32 diskgereklidir. Data stripe volumelarda olduğu gibi tüm volumelardaki 64 K lık bölümleredatanın bağımsız baytları yazılır. Fakat hata toleransı içinde bir volume kadarlık biralanıda doğrulamayı gerçekleştirmek için kullanacağı matematiksel bir algoritma olanparity’i (eşlik biti) yazmak için kullanır. Eğer bir disk kaybedilirse, bu parityler ve diğerkalan datalar kullanılarak tüm data kurtarılır. Aynı anda iki tane disk çökerse datalarkurtarılamaz.
Yazma performansı düşüktür fakat okuma performansı yüksektir. Yazarken parityhesaplamaları yaptığı için işlemciye ek yük de getirir.
RAID-5 de bir volume kadar alan parity için ayrıldığından ne kadar fazla volumekullanırsanız o kadar karlısınızdır. Örneğin 3 tane 70 GB lık disk üzerinde RAID-5yaratacaksanız, data yazacağınız alan 140 GB dır. Bu da %33 lük bir kayıp anlamınageliyor. Eğer 5 tane 70 GB lık Volumelar üzerine RAID-5 kuracaksanız yine 1 tane 70GB lık alanınız parity yüzünden kullanılmaz fakat zararınız %20 gibi rakamlara düşer.
System ve Boot birimlerini RAID-5 yapamıyoruz. RAID-5 yapabilmek için her disküzerinde boş alan olması gerekir. RAID-5 kurmak istediğimde, en düşük boyuttakivolume baz alınır ve diğer volumelardan en düşük volume daki kadar alan RAID-5 içinayrılır.
Sinan
Üst
ün
P a g e | 79
Şekil 118: 3 adet disk üzerinde RAID-5 kurmak için herhangi bir unallocated space üzerine sağ tuşlatıklayıp New volume diyelim.
Şekil 119: New Volume sihirbazı gelecektir.
Şekil 120: RAID-5'i seçelim.
Sinan
Üst
ün
P a g e | 80
Şekil 121: RAID-5 yapabileceğimiz fiziksel diskleri görüntüler.Herbirini seçip Add butonuna tıklayaraksağ tarafa ekleyelim.
Şekil 122: Hepsini sağ tarafa geçirdiğimiz de disklerin boyutları en küçük olana göre ayarlanır.
Şekil 123: Bir harf ataması yaptırılır.
Sinan
Üst
ün
P a g e | 81
Şekil 124: Çabuk format atalım.
Şekil 125: Finish diyerek RAID-5 setimizi oluşturalım.
Şekil 126: Ve işte karşınızda Raid-5
Sinan
Üst
ün
P a g e | 82
Software ve Hardware RAID :
Server 2003 işletim sistemi bize RAID-0, RAID-1 ve RAID-5 uygulamalarınıyapabilmemizi sağlar. Şimdiye kadarda anlattıklarımız, software RAID kurulumlarıydı.
Software Raid yani işletim sistemi kullanılarak yapılan Raid setlerini DiskManagement arayüzünü kullanarak veya diskpart komutu ile yapabiliriz.
Hardware Raid’de ise özel olarak üretilmiş Raid controller kartlarını kullanmamızgerekir. Bu kartlar tüm Raid fonksiyonlarını işletim sisteminden bağımsız olarak kendisiyapar. İşletim sistemindeki bir sorun Raid’leri etkilemez. Hardware Raid’lerin yönetimiüretici tarafından sağlanan bir yazılım ile gerçekleştirilir.
Software Raid için Dynamic diskler gerekirken, hardware için basic disklerde deRaid uygulaması gerçekleştirilebilir. Çünkü Hardware Raid’de işletim sistemi hiçbir şeyekarışmaz.
Software de tüm parity hesaplamalarını server üzerindeki işlemci yapar ve bu daservera büyük yük getirebilir. Hardware de ise tüm yükü Raid controllerın kendisiüstlenir. Bu yüzden software’e göre daha performanslıdır.
Software Raid içindeki bir diski başka bir server 2003 işletim sistemi çalışanbilgisayara taşınabilir ve taşındığı bilgisayar bu diski tanır. Fakat Hardware Raiduygulanmış ise ve bu controller da sorun çıkarsa dataları kurtarabilmek için aynıüreticinin controllerına ihtiyacınız olacaktır.
External Storage :
External Storage’dan kastedilen, Server dışında disk tabanlı kullanılan depolamaalanıdır. External storage’ların kapasitesini artırmak ve konfigürasyonunu yapmak dahabasittir.
Harici depolama cihazları, bir cihazın içine koyulan bir disk ve servera SCSI gibibir kabloyla bağlı olan cihazdır. Bu yüzden de bu cihazların bir serverdan diğerinetaşınması da kolaydır.
SAN (Storage Area Network) : SAN, Network üzerinde adanmış, yüksek hızlı bağlantısıolan bir harddisk kümesidir. Server’a olan bağlantı Fiber optik kablolarla sağlanır. Serverile depolama alanı yalıtılmıştır. Bu sayede darboğazlar yaratılmaz ve sıfır gecikme ileyüksek hıza sahiptir. Genelde RAID-5 uygulaması kullanılır.
NAS (Network Attached Storage) : NAS, TCP/IP ağı üzerinden network üzerindeki birdepolama alanını ifade eder. Server üzerinde File server gibi gözükür. NAS üzerindemirror set ve Raid-5 set yaratabiliriz.
Importing Disk :
Dinamik disklerin bir faydasıda bir bilgisayardan diğerine kolaycataşınabilmesidir. Bir dynamic diski bir bilgisayardan, server 2003 işletim sistemi yüklübilgisayara taşıdığımız zaman server 2003 bu diski foreign olarak görür. DiskManagement da foreign olarak görürsek, bu diski import etmemiz gerekir. Bir diskin
Sinan
Üst
ün
P a g e | 83
üzerindeki Simple volume’ları taşıdığımız da rescan yapıldığı zaman tüm datalarkullanılabilir hale gelir.
Taşımak istediğimizde yapılacaklar :
- Device manager’dan diski Uninstall yapıyoruz.- Disk Management ‘dan diski seçip remove disk diyoruz.- Bilgisayarı kapatıyoruz ve diski çıkartıyoruz- Hedef bilgisayara diski takıyoruz ve bilgisayarı açıyoruz.- Disk Management penceresinde action menüsünden rescan yapıyoruz.- Foreign olarak gözüken diskin üzerine sağ tuşla tıklayıp import diyoruz.
Taşıyacağımız diskin bir extended, mirrored, stripe veya Raid5 setinin bir parçası olupolmadığına dikkat ediyoruz. Tüm seti taşıyacaksak sorun yok fakat bir parçasınıtaşıyacaksak sonuçlarına katlanmanız gerekir.
Şekil 127: Yeni bir Dynamic disk taktığımızda Windows bunu foreign olarak görecektir.
Şekil 128: Diskin üzerine sağ tuşla tıklayıp çıkan menüden Import Foreign Disks 'i seçin.
Sinan
Üst
ün
P a g e | 84
Şekil 129: Önce bu diski bir disk grubuna katmamız gerekiyor. OK butonuna tıkladığımızda Diskimizkullnıma hazır hale gelir.
Offline Disk :
Disk Management ta eğer diski offline olarak görüyorsanız diske erişilemediğianlamına gelir. Offline olma sebepleri de, ya fiziksel disk hasar görmüştür, elektrikselbir sorun vardır yada data bağlantısında bir sorun olmuş olabilir.
Mirrored da Offline olmuşsa :- Reactive Disk- Break mirror (Sadece mirror’ı kaldırır)- Replace disk- Re-estabilish disk (Add mirror)
Stripe Set için :- Reformat- Re-estabilish stripe- Restore from last backup
Raid 5 için :- Reactivate- Replace disk- Rescan veya import disk- Regenerate data
Şekil 130: Offline olmuş bir disk için seçenekler.
Sinan
Üst
ün
P a g e | 85
MODULE 6
Managing Data Storage
Dosya Sıkıştırma (File Compression) :
Dosya ve Klasör sıkıştırma işlemini, hard diskinizde daha fazla alana ihtiyaçduyduğumuzda kulllanırız. Sıkıştırma, dosyalardaki bit ve bayt sayısını azaltarak disktedaha fazla boş alan sağlar.
Windows iki türlü sıkıştrmayı destekler : NTFS sıkıştırması ve Compressed (Zipped)klasörler.
Dosyaları, klasörleri ve diskleri sıkıştırabilirsiniz. Text dosyaları (Word), Excel,sunum dosyaları, bitmap dediğimiz sıkıştırılmamış dosyaları daha fazla sıkıştırabiliriz.Zaten sıkıştırılmış olan grafik, ses ve video (.jpeg, .jpg, .mp3, .wma,. wmv gibi)dosyalarını sıkıştırmanın pek bir anlamı yoktur. Sistem dosyalarını ve klasörlerini ve exeuzantılı dosyaları sıkıştırmayın.
NTFS Sıkıştırması :
NTFS sıkıştırmasını, fiziksel disk üzerindeki birimlere, klasörlere ve dosyalarauygulayabiliriz. NTFS sıkıştırmasını, dosya veya klasörlerin attribute (öznitelikleri)bölümünden değiştirilebilir. Sıkıştırılmış bir klasör içinde bir dosya yaratıldığındayaratılan dosya da sıkıştırılır. Fakat, sıkıştırmayı bu klasörün içindeki istediğinizdosyalardan kaldırabilirsiniz.
Bir uygulama, işletim sistemi veya siz, sıkıştırılmış bir dosyayı açmakistediğinizde Server 2003 işletim sistemi, otomatik olarak bu dosyanın sıkıştırmasınıkaldırır. Dosya kapatıldığı zamanda tekrar compress (sıkıştırma) yapar. NTFSsıkıştırması yapılmış dosya veya klasör isimleri mavi renk olarak gösterilir. Ayrıcadevamlı kullanılan datayı sıkıştırmanız tavsiye edilmez.
NTFS sıkıştırması yapılmış olan bir dosya kopyalanmaya çalışıldığı zaman,kopyalama sırasında dosya uncompressed yapılır. Bu yüzden sıkıştırılmış dosyalarıkopyalarken ham boyutunu gözönüne alın.
Sinan
Üst
ün
P a g e | 86
Şekil 131: Bir klasör veya dosyanın özelliklerinden General tabından Advanced butonunatıkladığınızda gelen pencereden Compress contents to save disk space diyerek NTFS sıkıştırmasınıaktif hale getirebilirsiniz. Sıkıştırmayı kaldırmak içinde aynı yerden kutunun içini temizlemeniz gerekir.
Compressed (Zipped) Klasörler :
Dosya ve Klasörler, Compressed Folders özelliği sayesinde FAT, FAT32 ve NTFSdosya sistemi içinde sıkıştırılabilir. Zipped klasörler bir fermuar ikonu ile gösterilirler.Direk olarak açabilirsiniz ve içindeki uygulamaları, sıkıştırmayı kaldırmadançalıştırabilirsiniz.
Özellik NTFS Sıkıştırması Compressed (zipped)Folders
Dosya Sistemi NTFS NTFS or FAT, FAT32
Sıkıştırılabilen Nesneler Dosyalar, Klasörler ve Sürücüler Dosyalar ve klasörler
Kullanıcı Etkileşimi Şeffaf, Bir dosyayı sıkıştırılmış bir klasörekaydettiğiniz zaman
Manuel
Performans Sistem dosyaları sıkştırıldığında düşer Düşme yaşanmaz
Password Koruması Yok Var
Şifreleme Yok Var
Rengini Değiştirme Evet Hayır
Şekil 132: Comprossed Folder’ları, klasörün içine boşluğa sağ tuşla tıklayıp çıkan menüden veyaFile\New den Compressed Folder seçerek yaratabiliriz.
Sinan
Üst
ün
P a g e | 87
Şekil 133: Yaratılan compressed folder fermuar işareti ile gösterilir.
Compact Komutunu Kullanmak :
Compact komutu dosya ve klasör sıkıştırmasında kullandığımız komut satırıkomutudur. Compact komutu, Windows Explorer penceresinden yaptığımız sıkıştırmayagöre daha fazla esneklik sağlar. Örneğin batch dosyaları kullanarak bir defada dahafazla dosya veya klasör sıkıştırabiliriz veya bir klasör içinde belli kriterlere uyan dosyaları(.doc gibi) sıkıştırabiliriz.
Compact komutunu tek başına kullandığınız zaman o anda hangi dizinde iseniz odizin ve içindeki dosyaların sıkıştırma durumunu görebilirsiniz. Compact komutu ilekullanılan parametereler :
Parametre Açıklama
/C Belirtilen dosyaları sıkıştırır.
/U Belirtilen dosyaların sıkıştırmasını kaldırır.
/S Belirtilecek dizini sıkıştırır veya sıkıştırmasını kaldırır. Belirtilmediğidurumda default olarak o anki dizindir.
/A Hidden veya system attribute’ına sahip dosyaları görüntüler.
/I Belirtilen işlemi, hata oluşsa bile devam ettrir. Default olarak birhata oluştuğunda compact işlemi durdurulur.
/F Sıkıştırılmış bile olsa belirtilen tüm dosyalar için sıkıştırma işleminiyapar. Normal durumda sıkıştırılmış dosyalar atlanır.
/Q Belirtilen dosya veya klasörün en temel bilgilerini raporlar.
Sıkıştırılmış Dosya ve Klasörlerin Taşınması ve Kopyalanması :
Sıkıştırılmış dosya ve klasörlerin compress durumu, taşınması ve kopyalanmasınagöre değişir.
Aynı Partitionda Copy : Hedefteki klasörün özelliğini alır.Aynı Partitionda Move : Orijinal haliyle giderBaşka bir Partitiona Copy : Hedefteki klasörün özelliğini alır.Başka bir Partitiona Move : Hedefteki klasörün özelliğini alır.
Sinan
Üst
ün
P a g e | 88
FAT ve FAT32 dosya sisteminde NTFS sıkıştırma özelliği olmadığından dolayı,FAT dosya sistemi ile formatlanmış bir partitiona kopyalama veya taşıma durumundasıkıştırılmış dosyalar özelliklerini kaybedecektir.
Dosya ve Klasörlerin Sıkıştırılmasında Tavsiyeler :
- En iyi sıkıştırma için hangi dosyaların daha iyi sonuç verdiğini belirleyin. Bazıdosyalar sıkıştırıldığında olumsuz sonuçlar doğururken, bazıları çok iyi sonuçverebilir, bazılarıda çok az bir sıkıştırma sağlar.
- Sistem dosyalarını sıkıştırmayın. Sistem performansını düşürür.- Sıkıştırılmış dosyayı tekrar sıkıştırmayın- Sık kullanılan dataları sıkıştırmaktan kaçının.
EFS (Encrypting File System) :
EFS, NTFS bölümleri üzerinde dosya bazında şifreleme sağlar. Hassas datalarınızışifreleyerek, bu şifrenin anahtarına sahip olmayan kişilerden dosyalarınızı korumuşolursunuz.
EFS’nin, encryption ve decryption işlemini gerçekleştirir. Encryption işleminidosyalara uygulamak için admin olmaya gerek yoktur. Kullancılarda kendi dosyalarınaEFS uygulayabilirler. Bir dosya veya klasöre EFS uygulandığı zaman bu şifrelemeninanahtarına, hangi kullanıcı hesabı altında yaratılmış ise o kullanıcı sahiptir. Bir kullanıcıbaşka bir hesapla oturum açtığında şifrelenmiş olan dosyayı görür fakat açamaz.Sadece bu şifrelemeyi açacak olan anahtara sahip kullanıcı açabilir.
Şifreleme ve şifrelemeyi kaldırmak için birkaç yolumuz var. Bunlardan biriWindows Explorer penceresidir. Şifrelemek istediğimiz klasör veya dosyanın üzerine sağtuşla tıklayıp, Properties seçeneğine tıkladığımızda General tabında Attributes kısmındanAdvanced butonuna tıklayarak şifreleme seçeneğine ulaşabiliriz. Şifrelemeyi devredışıda bırakabiliriz. Yani klasörlerin ve dosyaların başka kullanıcılar tarafındanşifrelenmesini istemeyebiliriz. Bunun için registryden değer girmemiz gerekiyor.Start\Run dan Regedit yazarak Registry’yi açalım. (Şekil 136)HKLM\Software\Microsoft\Windows NT\CurrentVersion\EFS anahtarını açın.
Buraya EfsConfiguration DWORD değerini girin ve değerini 1 olarak değiştirin.Bilgisayarı tekrar başlatın. Bu işlem sadece Local bilgisayar için geçerli olacaktır.Domaindeki tüm bilgisayarlara bu ayar Group Policy ile uygulanabilir.
İsterseniz bir dosyanın veya klasörün üzerine sağ tuşla tıklanınca çıkan menüdeşifreleme için komut da ekleyebilirsiniz. Bunun içinde yine Registry’yi açalım.(Şekil 141)HKLM\Software\Microsoft\Windows\CurrentVerison\Explorer\Advanced
anahtarını açın. Buraya EncryptionContextMenu DWORD değerini girin ve 1 olarakdeğer atayın.
Dosya veya klasörleri şifrelemek için diğer bir yöntemde cipher komutunu, komutsatırından kullanmaktır. Parametresiz olarak kullandığınız zaman, O anda bulunduğunuz
Sinan
Üst
ün
P a g e | 89
klasör ve içindeki dosyaların encryption durumunu görebilirsiniz. Cipher komutununparametreleri :
/e : Belirtilen klasörleri şifreler /d : Belirtilen klasörlerin şifresini çözer /a : İşlemi belirtilen dosyalarla, belirtilen klasördeki dosyalar üzerinde
gerçekleştirir. /s : klasör : İşlemi belirtilen klasör ve içindeki klasörlere uygular (Dosyalara
değil)
Cipher /e /a =Klasör ve içindeki tüm dosyaları şifreler.Cipher /e /s:Klasörismi = Alt klsörlerle birlikte şifreler.
Bir klasörü şifrelediğinizde, klasör şifrelenmez içindeki dosyalar şifrelenir. Bu klasörüniçinde yaratacağınız dosyalar ve bu klasöre taşıyacağınız klasörlerde şifrelenir.
Şekil 134: Bir klasör veya bir dosyanın özelliklerinden General tabı ve Advanced butonunatıkladığımızda çıkan pencereden Encypt contents to secure data seçeneğini seçerek EFS’yiuygulayabilirsiniz.
Şekil 135: Alttaki seçenek, EFS'nin bu klasör ve altındaki diğer klasör ve dosyalara uygulanmasınısağlar. Üstteki Apply changes to this folder only seçeneğine tıklarsak, bu klasörün içindeki mevcutklasör ve dosyalar şifrelenmez. Bundan sonra eklenecek olan klasör ve dosyalara şifreleme yapılır.
Sinan
Üst
ün
P a g e | 90
EFS’nin registry’den iptali :
Şekil 136 : Registry'yi açtıktan yukarda belirttiğimiz yerde Dword değeri yaratarak encrypt özelliğiniiptal edeceğiz.
Şekil 137 : Yarattığımız DWord değerini 1 yapalım ve bilgisayarı tekrar başlatalım.
Şekil 138 : Bilgisayar tekrar başladığında bir klasör üzerinde deneyelim.
Sinan
Üst
ün
P a g e | 91
Şekil 139 : EFS özelliğini klasör üzerinde aktif hale getirelim. Sırayla OK butonlarına tıklayalım.
Şekil 140 : Registry'de yaptığımız ayardan dolayı bu bilgisayar üzerinde EFS yapılamaz.
Klasör ve Dosyaların Menülerine Encrypt komutunu yerleştirme :
Şekil 141 : HKLM\Software\Microsoft\Windows\CurrentVerison\Explorer\Advanced kısmını açalımve Advanced üzerine sağ tuşla tıklayıp DWORD Value seçeneğine tıklayalım.
Sinan
Üst
ün
P a g e | 92
Şekil 142 : DWORD değeri olarak EncryptionContextMenu yazıp değer olarak 1 atayalım.
Şekil 143 : Herhangi bir klasörün üzerine sağ tuşla tıkladığımız da çıkan menüde Encrypt seçeneğieklenmiş oldu.
AD Domain Ortamında EFS’yi tüm bilgisayarlarda iptal etmek:
Şekil 144 : Domain Controller üzerinden Group Policy açalım. Comp.Conf.\Windows Settings\SecuritySettings\Public Key Policies seçeneğinde Encrypted file System üzerinde sağ tuşla tıklayıpözelliklerine girelim.
Sinan
Üst
ün
P a g e | 93
Şekil 145 : Çıkan pencerede, Allow users to encrypt files Encrypting File System (EFS) seçeneğini iptaledin. Artık clientlar, dosya ve klasörlerine EFS uygulayamayacaklar.
Public Key Encryption :
Public key şifreleme, asimetrik şifrelemedir. Yani encrypting ve decrypting içinfarklı anahtar kullanılır. Public key encryptionda, public key ve private key olmak üzereiki anahtar kullanılır. Bu şifreleme de, yalnızca bir birim tarafından kullanılan private keyile private key’in sahibi tarafından ihtiyaç duyanlara verilen bir public key kullanılır.Public key ile şifrelenen verilerin şifresi yalnızca ilişkili private key ile çözülebilir.
Private key’ler network kullanıcıları tarafından bilinmez ve kullanıcı veyabilgisayar profilinde veya bir smart card içinde saklanır.
Public key, sertifikaların bir özelliğidir. Dijital sertifikalar, public key’ler içindepolama ve aktarım mekanizmasını sağlar. Sertifikanın verildiği kişi, public key’idağıtabilir.
Dijital sertifikaları, Certification Authority (CA)’ ler oluşturur. Server 2003, CA gibidavranarak sertifika dağıtabilir.
EFS ise, public key ve simetrik key şifrelemenin kombinasyonunu kullanır.Simetrik key, dosyayı şifrelemek için kullanılır. Public key ise simetrik key’i korumak içinkullanılır. Simetrik şifreleme de, dosyayı şifrelemek ve şifreyi açmak için aynı anahtarıkullanır. Bu yöntem public key’e göre daha hızlı ve güçlüdür.
Kullanıcı bir dosyayı şifrelediği zaman, EFS, bir file-encryption key (FEK)oluşturur. FEK, kulanıcının public key’i ile şifrelenir ve dosya ile birlikte kaydedilir. Busayede sadece EFS şifrelemesinin private key’ine sahip olan kullanıcı, dosyanınşifrelemesini açabilir.
Kullanıcı bu dosyayı açmak istediğinde EFS, kullanıcının private key’ini kullanarakFile-encryption key’in şifresini çözer ve FEK kullanılarak datanın şifresi çözülür.
Sinan
Üst
ün
P a g e | 94
EFS’de Sertifika Kullanımı :
Kullanıcı, bir dosyayı ilk şifrelemesinde EFS, eşsiz bir dijital sertifika oluşturur.Sertifika, bir yetkili tarafından basılan ve sertifika sahibini doğrulamak için kullanılandijital dökümandır. Sertifikalar, otantikasyon ve şifreleme için kullanılır.
Sertifika, bir public key’e bağlanarak, kişinin, bilgisayarın yada servisin elindebulunan private key’in kimliği tanımlanır.
EFS, kullanıcının şifrelenmiş bir dosyayı açıp erişmesinden önce kullanıcınınsertifikasını bulması gerekir. EFS’nin sertifikayı bulup kullanması şu şekilde gerçekleşir :
- Kullanıcı bir dosya veya klasörün özelliklerinden EFS’yi aktif hale getirmekistediğinde, EFS, sertifikaların depolandığı yerde kullancının sertifikasını bulmayaçalışır.
- Eğer kullanıcının EFS için bir sertifikası yoksa EFS, Enterprise CertificationAuthority (CA) dan bir sertifika talep eder.
- Eğer ortamda bir CA yoksa kendi sertifikasını üretir.
Kullanıcının EFS sertifikasının süresi dolmuşsa, EFS, yapabiliyorsa tekrar sertifikayıbasar. Basamazsa, kullanıcı bir sonraki EFS işlemini gerçekleştirdiğinde bu sertifikabasılır. Private key, daha önceden şifrelenmiş olan dosyaların açılmasında kullanılır fakatyeni dosyalar şifrelenmez.
Şekil 146: MMC konsolundan Certificates snap-in'i eklediğimizde Trusted People veya en üsttekiPersonal klasörü altında herhangi bir sertfika yok. Şimdi bir dosya veya klasöre EFS uyguladıktansonra bakalım.
Şekil 147 : Herhangi bir klasöre EFS uyguladım. EFS’den sonra Certificates konsolunda görüldüğü gibiEFS bir sertifika üretti. Bu sertifika self-sign bir sertifikadır. Bir CA tarafından üretilmiş sertifikadeğildir. Intended Purpose kısmında ne için üretildiği yazılı.
Sinan
Üst
ün
P a g e | 95
Encrypt Yapılmış Dosya ve Klasörlerin Taşınması veya Kopyalanması :
Eğer bir dosyayı şifrelenmemiş bir klasörden şifrelenmiş bir klasöre taşırsanız (Cut-Paste) dosya şifrelenir.Eğer şifrelenmemiş bir dosyayı, şifrelenmiş bir klasöre kopyalarsak, dosya şifrelenir.Eğer şifrelenmiş bir dosyayı, şifrelenmiş bir klasörden şifrelenmemiş bir klasöretaşırsanız dosya şifrelenmiş olarak kalır.Eğer şifrelenmiş bir dosyayı FAT veya FAT32 dosya sistemine sahip bir yerekopyalarsanız dosyanın şifresi kalkar.Eğer FAT dosya sistemine sahip bir yerden bir dosyayı, NTFS üzerindeki şifrelenmiş birklasöre kopyalarsanız dosya şifrelenir.Eğer erişim izninizin olmadığı şifrelenmiş bir dosyayı FAT dosya sistemine sahip bir yerekopyalamaya veya taşımaya çalışırsanız “access denied” mesajı alırsınız.Şifreli bir dosyayı sildiğiniz zaman Geri Dönüşüm Kutusunda şifreli olarak kalır.
Şifrelenmiş Dosyaların Paylaşımı :
Kullanıcılar, şifreledikleri dosyaları, diğer local, domain ve network kullanıcıları ilepaylaşabilir. Şifrelenmiş dosyalara erişimi ise NTFS izinleri ile gerçekleştirmenizgerekiyor.
Şifrelenmiş bir dosyaya erişimi paylaşmak için, dosyayı paylaşmak istediğiniz herkullanıcının bilgisayarınızda bir şifreleme sertifikasının olması gerekir.
Gruplara, şifrelenmiş dosyalara erişim için izin veremezsiniz. Sadece kullanıcılaraerişim için izinler verebilirsiniz.
Bilgisayarınızdaki diğer kullancıların sertifika sahibi olmalarının en kolay yolukendi oturumlarında bir dosyayı şifrelemeleridir. Networkteki kullanıcılar ise kendisertifikalarını vermeleri gerekir.
Sertifika yönetimini MMC konsolundan Certificates snap-in aracılığı ileyapabiliyoruz. Import edilmiş veya bilgisayarda oluşturulmuş olan sertifikalar TrustedPeople klasöründe görünürler. Başka bilgisayardan gelen sertifikayı TrustedPeople\Certificates üzerine sağ tuşla tıklayıp AllTasks\import diyerek ekleyebiliriz. Busertifikayı EFS için kullanmak istersek Intended Purposes kısmında EFS ibaresininolması gerekiyor.
Import ettiğimiz veya bilgisayarımıza kopyaladığımız sertifikanın üzerine çifttıklayarak yüklediğimiz sertifikanın, yarattığımız şifreli dosyaya eklemek için, dosyanınözelliklerinden Advanced butonuna tıklayıp, EFS nin yanındaki Details kısmındanyapmamız gerekir.
Şekil 148 : Sadece dosya üzerinde aktif olan Details butonuna tıklayın.
Sinan
Üst
ün
P a g e | 96
Şekil 149 : Add butonuna tıklayarak bilgisayarımızda sertifikası olanları görelim
Şekil 150 : Şifrelenmiş olan bu dosyayı kimin açabilmesini istiyorsak o kullanıcının sertifikasını seçipOK butonuna tıklıyoruz.
EFS Recovery Agent :
Recovery Agent, şifrelenmiş olan dosyanıza erişebilen başka bir kullanıcıya,private key’inizde bir sorun olduğunda şifrelenmiş dosyanızı kurtarmanızı sağlar.Domain’de administrator default recovery agent’dır. Bu hak başkalarına devredilebilir.Windows Xp kullanıyorsanız ve bir domain’e üye değilseniz default recovery agent’ınızyoktur.
Eğer bir kullanıcı şifrelediği dosyaların şifresini kaldırmadan ayrıldığında,donanımsal bir sorun oluştuğunda, disk sorunlarında veya herhangi bir başka nedendendolayı encryption sertifikası ve bununla ilişkili olan private key kaybolursa, recoveryagent olarak belirlenmiş kişi data’yı kurtarabilir.
Her recovery agent’ın özel bir sertifikası ve ilişkili private anahtarı vardır.Recovery agent’ı oluşturduktan sonra MMC konsolundan Certificates snap-in aracılığı ileexport komutunu kullanarak recovery sertifikasının yedeğini alın. Bu işlemi EFS için
Sinan
Üst
ün
P a g e | 97
oluşturulmuş self-sign sertifikanız içinde yapmanız gerekir aslında. Recoverysertifikasının yedeği alındıktan sonra bu sertifika silinmeli.
Şifrelenmiş Dosyaları Kurtarmak :
Bir stand-alone bilgisayarda veya domain içinde güvenlik ilkesi, recovery policyiçerir. Bu policy bir yada daha fazla kullanıcıyı recovery agent olarak atar.Recovery policy, domain, OU veya tek bir bilgisayar için konfigüre edilebilir. CA birrecovery sertifikası yayımlar ve bunuda MMC konsolundaki certificates snap-in aracılığıile bilgisayarlar için kullanılabilir.
Recovery Agent’ı Group Policy içinden de belirleyebilirsiniz. Varsayılan recoveryagent Default Domain Policy içinde belirtilmiştir. Administrator default recoveryagent’dır. Group Policy ile yeni bir recovery agent eklediğinizde yaratılan sertifikamevcut şifrelenmiş dosyalara eklenmez. Yeni şifrelenecek dosyalara eklenir.
Group Policy haricinde recovery agent eklemek için ilk olarak recovery sertifikasıyaratmamız gerekiyor. Bunu komut satırından yapacağız. Komut satırına şunu yazalım.
Cipher /r:<sürücü>:\klasöradı\dosyaadı burda bir dosya uzantısı eklemiyoruz. Klasöriçinde pfx ve cer uzantılı iki dosya oluşturulur. Bu aşamadan sonra Group Policy’deComputerConfiguration\WindowsSettings\Security Settings\Public KeyPolices\Encypting File System içinde yaratttığımız bu recovery sertifikasını eklememizgerekiyor.
Şekil 151 : Komut satırından cipher /r:c:\sertifika\sinan yazarak sinan isimli kullanıcı için sertifikaadlı klasörde recovery sertifikası yaratıyorum.
Şekil 152 : İstiyorsanız şifre girebilirsiniz. İşlem tamamlandığında .cer ve .pfx uzantılı iki dosyasertifika isimli klasörde yaratılmış oldu.
Sinan
Üst
ün
P a g e | 98
Şekil 153 : Sertifika klasöründe yarattığım recovery sertifikası
Şekil 154 : Bir sonraki adımda Group Policy editorü açıyoruz. Computer Configuration altında Securitysettings ve Public Key Policies alt klasörüne tıklayın. Encypting File System üzerine sağ tuşlatıkladığımızda Add Data Recovery Agent seçeneğine tıklayın.
Şekil 155 : Add Recovery Agent sihirbazı karşılıyacak. Next'e tıklayın
Sinan
Üst
ün
P a g e | 99
Şekil 156 : Browse Folder diyerek cipher komutuyla oluşturduğumuz kullanıcının .cer uzantılısertifikasını bulup seçelim.
Şekil 157 : Cer uzantılı dosyayı seçtiğimizde sertifikayı yüklemek isteyip istemediğimizi soracak.
Şekil 158 : Eklediğmiz sertifikayı Recovery Agents bölümünde görüyoruz.
Sinan
Üst
ün
P a g e | 100
Şekil 159 : Eklediğimiz recovery agent’ı Group Policyden görebiliriz.
Sinan
Üst
ün
P a g e | 101
MODULE 7
Managing Disaster Recovery
Disaster Recovery :
Microsoftun felaket tanımı, felakete yol açan data kaybıdır. Yada çoğu adminiçin, bir yada daha fazla gerekli sistem hizmetinin çalışamadığı ve hızlı kurtarmaolasılıklarının pek olmadığı herhangi bir senaryo.
Ama insanların büyük çoğunluğu için önemli olan şey dataları olduğu için datakaybını felaket olarak nitelendirebiliriz. Sonuçta çoğu insan için 1 saatlik internetkesintisi felaket olabileceği gibi, önemli de olmayabilir.
Felaketten kurtarma (Disaster Recovery) ise, mümkün olduğunca çabuk birşekilde işteki normal çalışmalara dönebilmek için yapılması gereken iştir. Bir an öncenormal duruma, yani felaketten önceki duruma geçebilmek için de mutlaka bir kurtarmaplanına ihtiyaç vardır.
Bunun için bazı sorulara cevap vermek gerekiyor :
- Olabilecek felaket senaryoları nelerdir?- Hangi datalar kritik?- Ne sıklıkla backuplar alacam?- Bu backupları ne kadar süre saklıyacam?- Bir felaket anında bu backuplardan ne kadar süre içinde sistemi tekrar ayağa
kaldırırım ?- Backupları nerede saklıyacam ve kimler erişebilecek ?- Eğer sorumlu sistem admini olmazsa, backup işlemini ve bunların şifrelerini
kimler bilecek ?- Kaç tane, ne çeşit ve nerede bilgisayar parçaları var ?- Kaç tane, ne çeşit ve nerede harici parçalar (Router, switch gibi) var ?- Backup işlemini ne tür bir medyaya aktaracaksınız ?- Backup işlemini online mı offline mı alacaksınız ?- Backup işlemini Manuel olarak mı otomatik olarak mı alacaksınız ?- Aldığınız backuplar kullanılabilirmi ?
Disaster Recovery için Kurallar :
- Düzenli bir backup işlemi için, disaster recovery planı hazırlayın- Aldığınız backupları ve backup planınızı test edin. Testleriniz içinde UPS ve
aldığınız backupların restore işlemi de olmalıdır.- Backup setlerinizden iki tane olmalı. Bir tanesi kolay erişebilmek için şirket içinde
diğeride güvenlik amacı ile şirket binası dışında olmalı.- System State Data nın backup’ını yaratın- Startup seçeneklerine recovery console’u yerleştirin- İşletim sistemlerinin yükleme cd’lerini kolay bulabileceğiniz bir yerde tutun
Sinan
Üst
ün
P a g e | 102
Datanın Backup’ını Almak :
Backup, dosya veya klasörlerin bir yerden bir yere kopyalanmasıdır diyebiliriz.Düzenli backup alma, data kayıplarınızı önlemenizi sağlar. Backup işlemini,bilgisayarların başına geçerek yapabileceğiniz gibi network üzerinden clientların ve diğerserverların backuplarını da alabilirsiniz.
Network üzerinden backup almak istediğimizde tüm networkün backup’ınıalabiliriz. Daha az medya tüketmiş oluruz ve networkten backup alma işlemini bir kişiyapabilir. Bunun yanında, networkten backup alma işlemi network trafiğini artırır. Omakinelerin registry’sini backuplayamayız. Kullanıcılar, datalarını serverda tutmalarıgerekir.
Backup almadan evvel dikkat etmemiz gerekenler :- Hangi datalar kritik, hangi datalar backup’lanacak- Datalar kullanıcılar tarafından ne sıklıkla değiştiriliyor.
Dataların backup’ını almak ve restore edebilmek için gerekli izinlere veya haklara sahipolmak gerekiyor.
Local serverlar da Administrators, Backup operators ve Server Operatorsgrubunun üyeleri backup alabilir ve restore yapabilir. Bunlar haricinde tüm kullanıcılarkendi dosya ve klasörlerinin backup’ını alabilirler. Read iznine sahip oldukları dosya veklasörlerinde backuplarını alabilirler.
Disk kotası sınırlamalarına dikkat etmek gerekiyor. Disk kotası varsa diskeerişiminiz de sorunlar yaşabileceğiniz için backup alamayabilirsiniz.
Backup dosyalarına erişimi engelleyebilirsiniz. Bunun için backup job informationpenceresinde Allow only the owner and the Administrator Access to the backup dataseçeneğini işaretlemeniz gerekiyor. Bunu işaretlediğiniz zaman sadece adminler vebackup dosyasını yaratanlar restore yapabilir.
Backup alma işi :
Şekil 160 : Komut satırından ntbackup yazarak veya Start\All Programs\Accessories\System Toolsiçinden backup yardımcı aracını açalım. Backup tabında yedekleyeceğimiz klasörü seçelim, alt kısımdabulunan backup media or file name kısmına da backup’ı nereye alacağımızı ve dosya ismini yazalım veStart Backup butonuna tıklayalım.
Sinan
Üst
ün
P a g e | 103
Şekil 161: Karşımıza çıkan Backup Job Information penceresinde aşağıda bulunan Allow only theowner… seçeneğini işaretlediğimizde bu hazırladığımız backup setine sadece administrator ve setiyaratan erişebilecektir. Sağ tarafta bulunan Start Backup butonuna tıklarsanız backup işleminibaşlatırsınız. Schedule butonu backup işlemini zaman bağlanmış olursunuz. Advanced butonunatıklayalım.
Şekil 162 : Bu pencerede ne tür backup alacağımızı belirtebilirsiniz. En üstteki seçenek, remotestorage üzerindeki datayı backup alacaksak seçiyoruz. Verify data after backup seçeneği ise backupalındıktan sonra yedeğin doğrulamasını yapar. OK butonuna tıklayıp Start Backup butonundanbackup’ı başlatalım.
Şekil 163 : Backup işlemi tamamlandıktan sonra isterseniz backup işi ile ilgili tutulan log dosyasınabakabilirsiniz.
Sinan
Üst
ün
P a g e | 104
Backup aracımızda Tools menüsünde Options seçeneğindeki ayarlar :
Şekil 164 : General Tabındaki ayarlar.
Compute Selection information before backup and restore operations : İşlembaşlamadan evvel backup aracı, backuplanacak veya restore edilecek dosya vebyte sayısını tahmini olarak hesaplar ve bu bilgiyi Start backup veya restoredediğimiz de görüntüler.
Use the catalogs on the media to speed up building restore catalogs on disk :Sistemin, media üzerindeki katalogdan disk üzerinde bir katalog yaratmasınısağlar. Tape’deki media kataloğu kaybolmuş veya zarar görmüş ise bu seçeneğikaldırarak, sistemin tüm backup setini taramasını ve disk üzerinde bir katalogyaratmasını sağlayabiliriz.
Verify data after the backup completes : Backup işlemi tamamlandıktan sonrabakup media’nın içeriği ile orijinal dosyaları ve logları karşılaştırır. Bu seçenekbackup işleminin tamamlanmasını çok fazla uzatır.
Backup the contents of mounted drives : Bir klasöre eşleştirilmiş olan boş birNTFS volume olan Mounted Drive’ın backup’ının alınmasını sağlar. Eğerseçmezseniz sadece mounted drive’ın yol bilgileri yedeklenir.
Show alert message when I start the Backup Utility and Removable Storage isnot running : Removable storage service çalışmadığı zaman uyarı verir ve buservis otomatik olarak başlatılır.
Show alert message when I start the Backup Utility and there is recognaziblemedia available: Removable storage servisi dosyaların yedeklenebileceği yeni birmedia tespit ettiğinde uyarı görüntüler.
Show alert message when new media is inserted : Removable storage servisi,aygıta yeni bir media koyulduğunda uyarı verir.
Always allow use of recognazible media without prompting : Backup için localdisk sürücüsünü kullanacağınız zaman bunu seçin. Removable storage veyadiğerleri için bu seçeneği kullanmayın.
Sinan
Üst
ün
P a g e | 105
Backup Log Tab’ı :
Şekil 165 : Backup Log Tabındaki ayarlar. Loglar, %UserProfile%\Local Settings \ApplicationData\Microsoft\Windows NT\Ntbackup\Data klasörü içnde tutulur. Sistem 10 tane log tutar veeskisinden itibaren üzerine yazmaya başlar. Log dosyasının yolunu ve bu adeti değiştiremiyoruz.
Detailed : Yedeği alınan tüm dosya ve klasörlerle ilgili detaylı bilgiyi tutar. Summary : Bazı temel bilgileri içerir. Dosya isimleri yoktur. Hatalar, ne zaman
başladı, ne zaman bitti gibi. Default olan log’dur.
Güvenlik nedenlerinden dolayı backup işi için bir grup yaratıp GPO da kullanıcıhakları kısmında Backup files and directories seçeneğine bu grubu ekleyebilirsiniz.Restore işlemi içinde ayrı bir grup yaratıp bu grubuda yine GPO da aynı yerde Restorefiles and directories seçeneğine bu grubu ekleyebiliriz.
Sinan
Üst
ün
P a g e | 106
Şekil 166 : Group Policy üzerinden Kullanıcı haklarından şekilde en üstte ve en altta ki backup verestore seçeneklerinden gruplar atanabilir.
System State Data :
System state dataları, sistem tarafından kullanılan dosyalar ve AD database’idir.System state içindeki dosyalardan birini veya bir kaçını backuplıyim diğerlerinibackuplamıyim diyemiyoruz. Fakat AD, Sertifika servisinin database’ini ve Com+ classregistration bilgileri hariç diğerlerini istediğiniz yere restore yapabiliyorsunuz.
System State Bileşenleri :
- Registry- Sistem startup dosyaları- Sertifika servisleri- AD- Sysvol klasörü- Cluster servis bilgileri- IIS- COM + Class Registration database
Sinan
Üst
ün
P a g e | 107
Şekil 167 : Backup aracını açtıktan sonra Backup tabında system state seçeneği tek başına seçilebilir.System Data içinden bir parça çıkaratamazsınız.
Backup Aracı :
Server 2003 içindeki backup aracı datalarımızı backuplayabilmek içinkullandığımız grafiksel arayüze sahip bir yardımcı araçtır. Backup aracını kullanarakistediğimiz medyaya backup alabiliriz.
Backup tool’u ile yapabildiklerimiz :
- Dosya ve klasörleri backuplamak- System datalarını backuplamak- Backup işlemini tarihe bağlayıp otomatik hale getirmek
Backup aracı, shadow copy özelliği sayesinde açık dosyalar’ın da backup’ını almamızısağlar. Shadow copy ile, backup sırasında data yazmaya devam edilebilir, açık dosyalarbackuplanır, backup işlemi istenildiği zaman yapılabilir.
Backup Çeşitleri :
Backup aracı ile 5 çeşit backup alabiliriz. Bunlar :- Normal- Copy- Differential- Incremental- Daily
Sinan
Üst
ün
P a g e | 108
Normal Backup :
Tüm dosya ve klasörlerin backup’ı alınır. Normal backup da arşiv bitine bakılmaz.Arşiv biti veya iz, backup alındıktan sonra backup’ı alınan dosya veya klasördeğiştirildiğinde o dosya veya klasöre koyulur. İşaret koyulmuş ise yedeğinin alınmasıgerektiği yok ise burada bir değişiklik yapılmadığı ve backup’ının alınmasına gerekolmadığı anlamına gelir. Normal backup alındığında bu iz silinir. Bir değişiklik olduğundabackup aracı bu izi koyar.
İlk defa backup alınıyorsa normal backup ile yedekleme yapılır. Normal backupda daha fazla medya kullanılır ve daha uzun sürer.
Copy :
Normal backup işlemi ile aynıdır. Tek fark arşiv biti ile oynanmaması. Arşiv bitinine siler ne kullanır. Copy işlemi backup stratejisi içinde olmaz. Genelde arşivlemeamacıyla yada datanın bir sistem den bir başka bir sisteme taşınırken kullanılan biryöntemdir.
Differential :
Son normal yedekten sonra değiştirilen dosyaların veya klasörlerin yedeğini alır.Arşiv bitini temizlemez. Böylece bir sonraki alınacak differential yedek son normalyedekten sonraki yapılan değişiklikler olacaktır yani bir önceki differential backup’ınaynısı olacaktır. Data değişmemiş ise backup alma işi incremental’a göre daha uzunsürecektir. Yedek alma süresi uzundur fakat geri yükleme süresi kısadır.
Incremental :
Son normal backup ve incremental backup dan sonra değiştirilen dosyalarınyedeklerini alır. Incremental backup alındıktan sonra arşiv biti silinir. Bu sayede birsonraki Incremental backup işleminde sadece değişen dosyalar yedeklenir.
Backup süresi kısadır, az medya gider. Geri yükleme (Restore) süresi uzundur.Çünkü restore işlemi sırasında her gün alınan incremental backup’ın medyalarınıkullanmak sorundasınız.
Daily :
Yedeğin alındığı gün içinde değişen veya yaratılan dosyaların yedeğini alır. Arşivbitine dokunmaz. Tarih ve saate bakar.
Backup Senaryoları :
Senaryo 1:
Pazartesi Normal backup alındı.Salı gününden Cuma’ya kadar incermental backup alınan bir işyeri. Cumartesi birfelaket oluşur ve datalar giderse yapılacak restore yöntemi :Pazartesinden Cuma’ya kadarki tüm backuplar yüklenecek.
Sinan
Üst
ün
P a g e | 109
Her bir renk bir günde alınan incramentalBackup’ı ifade ediyor.
N I I I
Senaryo 2:
Pazartesi normal backup alındı.Salı gününden Cumaya kadar Differential backup alındı. Cumartesi oluşacak bir felaketsonucunda restore işlemi:
Pazartesi ve Cuma günü alınan backuplar kullanılır.
N D D D
Ntbackup :
Backup tool’u bize grafiksel bir arayüzle yedekleme işlemlerini yapmamızısağlıyordu. Ntbackup aracı ise komut satırından backup işlemi yapabileceğimiz biraraçtır. Ntbackup ile komut satırından restore işlemi yapamıyoruz. Ntbackup ileparametreleri kullanarak batch dosyaları ve scriptler vasıtasıyla backup işlemi yapılabilir.
Ntbackup komutu ile sadece klasörleri yedekleyebiliriz. Tek tek dosyalarbelirtemiyoruz. Bunun için Backup selection dosyaları (.bks) kullanabiliriz. Backupselection dosyalarını ise Backup aracının grafiksel arayüzü ile oluşturulabilir.
Şekil 168 : Backup aracını açıp bir klasör seçelim
Sinan
Üst
ün
P a g e | 110
Şekil 169 : Job menüsünden Save Selections sçeneğini seçelim.
Şekil 170 : İsim verelim. Save as type kısmına dikkat edin, .bks olarak kaydedecek.
Şekil 171 : Kaydettiğimiz dosyayı notepad ile açıp abakalım.Ne kadar basit
Sinan
Üst
ün
P a g e | 111
Şekil 172 : Komut satırından ntbackup komutunu kullanarak bks uzantılı dosyaların yedeğin alınması.
Ntbackup komutunda joker karakterler kullanılamaz. Örneğin tüm .txt uzantılıdosyaların yedeğini almak için *.txt diyemeyiz.
Syntax’ı :
ntbackup backup [systemstate] "@FileName.bks" /J {"jobname"} [/P{"poolname"}] [/G {"GUIDName"}] [/T {"tapename"}] [/N {"medianame"}][/F {"filename"}] [/D {"setdescription"}] [/DS {"servername"}] [/IS{"servername"}] [/A] [/V:{yes | no}] [/R:{yes | no}] [/L:{f | s | n}][/M {BackupType}] [/RS:{yes | no}] [/HC:{on | off}] [/SNAP:{on | off}]
Parametre Açıklama
Systemstate System State Data’sının backuplanacağını belirtir. Bu seçenek Ntbackup’ınNormal ve Copy yedekleme yapmasına neden olur.
@filename.bks Backup delection dosyasının ismini belirtir. İsmi yazmadan önce @ işaretikoyulması gerekir.
/J {“jobname”} Log dosyasında görünecek backup işinin adı.
/P {“poolname”} Kullanılacak media pool ismi. Bu parametre kullanıldığında /A, /G, /F, or /Tparametreleri kullanılmaz.
/G {“GUIDName”} Tape’in üzerindi datanın üzerine yazma veya ekleme. Bu parametre /Pparametresi ile kullanılmaz.
/T {“tapename”} Media pool içindeki geçerli bir tape adı.
/N {“medianame”} Yeni tape’in ismi. Bu parametre /A anahtarı ile kullanılmaz.
/F {“filename”} Dosyanın adı ve yolu belirtilir.
/D {“setdescription”} Backup için kullanılacak etiket.
/DS {“servername”} Microsoft Exchange Server için directory service belirtilir.
/IS {“servername”} Microsoft Exchange Server’ın info dosyalarının yedeklenmesini belirtir.
/A Backup’ın eklenmesini belirtir.Bu parametre ile birlikte /G or /T anahtarıdakullanlır. Bu parametre /P ile kullanılmaz.
/V:{yes | no} Datanın backup’dan sonra doğrulanmasını belirtir.
/R:{yes | no} Tape’e administrators grubunun ve backup sahibinden başkasının erişiminiengeller veya izin verir.
/L:{f | s | n} Yaratılacak log dosyasının türü belirtilir. F ile full log yaratılır. S ile özet logyaratılır. N Log dosyasının yaratılmayacağını belirtir.
/M {BackupType} Backup türü belirtilir.(normal, copy, differential, incremental, daily)
/RS:{yes | no} Uzaktak depolama dan backup alınacağı belirtilir.
/HC:{on | off} Tape’de varsa donanım sıkıştırması yapılmasını sağlar.
Örnek : ntbackup backup @c:\yeni.bks /F c:\yeni.bkf
Sinan
Üst
ün
P a g e | 112
Automated System Recovery (ASR) :
Backup aracı içindeki ASR ile Server 2003 işletim sistemi başlatılamadığı zamanişletim sistemini restore yapabilmek için kullanabileceğimiz ASR seti yaratılır. ASR setiyarattığımızda yedeği alınanlar :
- System state Data- System Servisleri- Disk konfigürasyon bilgileri
ASR seti yarattığımızda bir de floppy disk yaratılır. Bu disk olmadan ASR işleminigerçekleştiremezsiniz. Kullanacağınız floppy disk yarattığınız ASR seti ile birlikteyaratılan disk olmak zorunda. Bu disk te disk konfigürasyonları, backup bilgileri verestore bilgileri bulunur. Sisteme önyükleme yapabilmek ve ASR setine erişebilmeyisağlar. Disk içinde iki dosya vardır, asr.sif ve asrpnp.sif. Bu iki dosyayı, ASR seti’niyarattıktan sonra %system root%\repair klasöründen başka bir bilgisayara ve ordan dadiskete yazabilirsiniz.
ASR işlemini gerçekleştirebilmek için gerekenler :
- Server 2003 CD’si- ASR backup seti- ASR backup seti ile birlikte yaratılan floppy disk
ASR backup seti içinde data bulunmaz.
ASR setini, temel donanım değişikliklerinde veya server 2003 işletim sistemiyükledikten yada upgrade yaptıktan sonra oluşturulmalı. ASR ile restore yaptığınızda,işletim sistemi ASR oluşturulduğundaki duruma getirilir. ASR, işletim sistemini kurtarmakonusunda en son seçenek olmalıdır. Safe mode veya LKGC gibi seçeneklerdenendikten sonra ASR uygulanmalı.
Şekil 173 : ASR seti yaratmak için Backup aracını açın ve Welcome tabında en altta AutomatedSystem Recovery Wizard butonuna tıklayın.
Sinan
Üst
ün
P a g e | 113
Şekil 174 : ASR sihirbazı karşılar. Next butonuna tıklayın.
Şekil 175 : Backup'ın alınacağı yeri belirtin.
Şekil 176 : Sihirbazı sonlandırın.
Sinan
Üst
ün
P a g e | 114
Backup İşlemini Otomatiğe Bağlamak :
Backup işlemini belli tarihlerde yapılmasını belirterek otomatiğe bağlayabilirsiniz.Bu sayede zaman dan tasarruf sağladığınız gibi, unutma riskinide azaltmış olursunuz.
Backup Job kullanılarak bir çok seçenek vasıtasıyla backup işlemi tarihe bağlanabilir.Seçenekler :
- Once : Belli bir tarih ve belli bir zamanda backup işlemini gerçekleştirir.- Daily : Her gün belli bir zaman da backup işlemi yapılır- Weekly : Haftanın belli gün ve belli saatlerinde backup yapılır.- Monthly : Ayda bir kez belli bir zaman da backup yapılır.- At system startup : Bir sonraki sistem başlatılmasında backup alınır.- At logon : Bir sonraki iş (Job) sahibinin logon olmasında- When idle : Sistem belli süre boyunca boşta olduğunda
Şekil 177 : Backup aracında en sondaki Schedule Jobs tab'ına gelin ve Add Job butonuna tıklayın.
Şekil 178 : Çıkan sihirbazdan Next butonuna tıklayın.
Sinan
Üst
ün
P a g e | 115
Şekil 179 : Ortadaki seçenekten belli dosyaları yedekleyeceğimi belirtiyorum. İsterseniz System Stateveya tüm bilgisayarı yedekleyebilirsiniz.
Şekil 180: Yedeği alınacak dosya veya dosyaları seçin.
Şekil 181 : Yedeğin nereye alınacağını belirtin.
Sinan
Üst
ün
P a g e | 116
Şekil 182 : Backup türünü belirleyin. Ben Normal Backup'ı seçecem.
Şekil 183 : Backup dan sonra veri doğrulaması yağamsını istiyorsanız kutuyu işaretleyin.
Şekil 184 : Media üzerinde backup dosyası varsa üzerine mi eklensin üstüne mi yazılsın.
Sinan
Üst
ün
P a g e | 117
Şekil 185 : Hemen mi yedekleyemi çalıştıracağız yoksa Later diyerek yedeğin alınacağı tarihimibelirteceğiz. Ben otomatiğe bağlıycam. Bu yüzden Later’ı seçip, İşe bir isim veriyorum.
Şekil 186 : Her hafta Pazartesi akşam 6 da yedek alınması şeklinde ayarımı yaptım.
Şekil 187 : Backup işini gerçekleştirecek olan credential'ı giriyorum.
Sinan
Üst
ün
P a g e | 118
Şekil 188 : Sihirbazı sonlandırıyorum.
Şekil 189 : Her pazartesi Normal backup alınacak. Bu şekilde her salı incremental veya difrential yedek alınacak şekildebackup işlemlerini otomatiğe bağlayabiliriz. Silmek istediğimizde bu pencereden tarihin içindeki ikona tıklamamızgerekir. Çıkan pencereden de…
Şekil 190 : Job Name yanındaki Delete butonuna tıklayın.
Sinan
Üst
ün
P a g e | 119
Backup için Tavsiyeler :
- Backup Stratejisi yaratın ve onu test edin : İyi bir plan datanızı çabuk bir şekildekurtarmanızı sağlar.
- Gerekli personeli eğitin : Güvenlik amacıyla Group Policy den bir kişiye backupbir kişiyede restore edebilme hakları verin.
- Aynı anda hem tüm dataların hemde system state datalarının backup’ını alın- ASR backup seti hazırlayın- Backup logları yaratın- Backup medialarının en az 3 kopyasını oluşturun- Backuplarınızı deneme amaçlı restore edin- Mediaların güvenliğini sağlayın- Volume Shadow Copy özelliğini disable etmeyin.
Restore (Geri Yükleme) :
Sistemde bir sorun ile karşılaşıldığında aldığımız backupların mümkün olduğuncaçabuk bir şekilde geri yüklemek gerekir. Bunu da yine backup tool’u aracılığı ileyapabiliriz.
Backup aracını kullanarak FAT ve NTFS dosya sistemlerinde restore işleminigerçekleştirebiliriz. Fakat NTFS dosya sistemi üzerinde aldığımız backupları yine NTFSdosya sistemi üzerinde restore etmek gerekirki EFS, disk quota ve NTFS izinler gibialdığımız backup’ın NTFS özellikleri kaybolmasın.
ASR geri yüklemesi yapacaksak Server 2003 Cd’si ile sistemi başlatıp text modeda bizden istendiği zaman F2 tuşuna basmamız gerekir.
Restore işlemi sırasında, aldığımız backup setini nereye geri yükleyeceğimizi sorar. Üçtane seçeneğimiz var :
- Orginal Location : Backup alınırken datanın nerden backup’ı alınmışsa yine orayageri yüklenir.
- Alternate Location : Alternative bir yere geriyükleme yapabilirsiniz. Klasörhiyerarşisi değişmez. C:\Klasör adındaki bir klasörü backuplayıp bunu C:\Restoreisimli bir klasöre geriyükleme yapmak istediğinizde C:\Restore\Klasör isimliklasöre geriyükleme yapacaktır.
- Single Folder : Sizin belirttiğiniz klasöre geriyükleme yapılır. Fakat orijinal klasörhiyerarşisi korunmaz.
Tools menüsünde Options seçeneğine tıkladığımızda Restore tabında 3 taneseçeneğimiz var :
- Do not Replace the file on my computer : Silinmiş dosyaları geri yüklüyorsak veyanlışlıkla var olan dosyaların üzerinde yazmak istemiyorsak
- Replace the file on disk only if the file on disk is older : Sabit diskteki dosyalarıyedekteki daha yenisi ile değiştirmek istemiyorsak.
- Always replace the file on my computer : Yedeği alınmış dosyaları orginalyerdekiler ile değiştirir.
Sinan
Üst
ün
P a g e | 120
Şekil 191 : Backup aracında Tools menüsü ve options seçeneğindeki Restore tabı
Restore butonuna tıkladığımızda Confirm Restore penceresi çıkar. Bu pencere içindekiAdvanced butonuna tıklanıldığında çıkan seçenekler :
Restore Security : Her bir klasör ve dosya için sahiplik izinler ve audit ayarlarıgibi güvenlik özelliklerininde restore edilip edilmeyeceği
Restore Junction Points and restore File and Folder Data Under Junction Pointsto Orginal Location : Backup aracının takılı sürücülerle oluşturulan birleşimnoktalarının başvurduğu verileri geri yükleyip yüklememesi gerektiğini belirler.Ağ sürücüsü eşleşmelerini ve gerçek verileri eşleştirilmiş ağ sürücülerine geriyüklemek için bu seçeneği işaretleyin. Bu seçeneği sadece uzaktaki birsistemdeki bir sürücüyü geri yüklemeye çalışıyorsanız seçin.
Preserve Existing Volume Mount Points : Backup aracının verileri geri yüklerkenvolume mount noktalarını koruyup korumaması gerektiğini belirler.
Restore İşlemi için Tavsiyeler :
- Restore işlemi için strateji oluşturun ve test edin- Gerekli adminlerin gerekli izinlere sahip olduğuna emin olun- Diğer bilgisayarlardaki restore edilecek paylaşımdaki klasörlere bağlantı
olduğundan emin olun- Datanın restore etmek için tutulduğu networkteki yerine ve server dakine erişim
izniniz olduğuna emin olun.- Restore işlemini manuel olarak yapın. Backup aracını kullanarak restore
edeceğiniz backup setini seçin
Shadow Copy :
Shadow copy özelliği Server 2003 işletim sistemi ile birlikte gelen, netwok’tepaylaşıma açılmış klasörler için belli periyodlar halinde snaphot alınmasını ve bu sayededataların geri yüklenmesini kolaylaştıran bir özelliktir. Shadow copy, read-only (Sadece
Sinan
Üst
ün
P a g e | 121
okunabilir) kopyalar oluşturur. Shadow copy özelliğini volume bazında aktif halegetirebilirsiniz. Tek tek klasörlere uygulanamaz.
Paylaşıma açılmış klasörler üzerinde shadow copy aktif hale getirildikten sonraklasör içindekilerin önceki versiyonlarına bakılabilir. Clientların kendi makinelerindepaylaşıma açılmış klasörler üzerinden shadow copy’lere bakabilmeleri için bir yazılımyüklemeleri gerekir.
Shadow copy özelliği, yanlışlıkla silinmiş dosyaları recover (kurtarmak) edebilmekiçin, yanlışlıkla dosyanın üzerine yazıldığı zaman dosyayı kurtarmak veya öncekiversiyonlarla karşılaştırmak için kullanılabilir.
Shadow copy, normal backup yerine geçmez. Read-only dir. Yani sadeceokunabilir görüntülerdir. Shadow copy, volume üzerinde enable edildikten sonra,volume üzerindeki tüm paylaşıma açılmış klasörler için geçerli olur.
Shadow copy için ayrılacak minimum alan 100 MB dır. Default olarak, aktif halegetirilecek volume büyüklüğünün %10’u kadardır. Eğer depolama alanı geçilirse eskiversiyonlar silinmeye başlanır. Diğer bir kısıtlama ise volume başına 64 shadow copyalınabilmesi. Bu sınır’da geçildiği zaman eski versiyonların üzerine yazılmaya başlanır.
Shadow copy’leri farklı bir yerede depolayabilirsiniz. Depolama yerinideğiştirdiğinizde shadow copy’ler silinecektir.
Default olarak shadow copy özelliği disable’dır. Paylaşıma açılmış klasörlerüzerinde shadow copy özelliğini aktif hale getireceğimiz yer Computer Managementkonsolunda shared folders bölümüdür.
Computer Mang.>SharedFolders>AllTasks>Configure ShadowCopies
Clientların, paylaşıma açılmış klasörler üzerinde shadow copy’leri kullanabilmeleriiçin Previous Versions Client Software yüklemeleri gerekiyor. Bu twclient.msi dosyasıserver üzerinde ;Windows>system32>clients>twclients>x86 klasörü içinde bulunur. Yazılımı GroupPolicy vasıtasyla veya networkte paylaşıma açılmış bir klasör üzerinde tutup, çalışanlaramail aracılığıyla bilgi vererek yüklemeleri istenebilir.
Clientlar bu yazılımı yükledikten sonra Client tarafında paylaşıma açılmışklasörlerin özelliklerinde Previous Version sekmesinden shadow copy’lere bakabilirler.Server üzerinde shadow copy özelliğinin aktif olması ve clientlarda yazılımın yüklenmişolması gerekir. Dosya yanlışlıkla silindiği zaman, klasörün özelliklerinden previousversions tabından dosya bulunup copy işlemi gerçekleştirilebilir.
Server tarafında ise shadow copy özelliğine Local disk properties tabından bakılabilir.
Default olarak sabah 7:00 ve öğlen saatlerinde, günlük olarak shadow copyalınır. Ama isterseniz shadow copy alma işini zamana da bağlayabilirsiniz.
Shadow copy’den sadece client üzerinden restore yapılabilir.
Sinan
Üst
ün
P a g e | 122
Eğer dosyanın özelliklerinden previous verisons tab da herhangi bir dosyagözükmüyorsa ya shadow copy alınmamıştır yada dosya üzerinde herhangi bir değişiklikyapılmamış demektir.
Mevcut olan versiyonu silmek istemiyorsak copy diyerek önceki versiyonu başkabir lokasyona kopyalayabiliriz. Dosyayı restore yaptığımız zaman dosya izinlerinde birdeğişiklik olmaz. Copy dediğimiz zaman ise kopyaladığımız yerdeki izinleri alır.
Shadow Copy İçin Tavsiyeler :
- Shadow copy işlemini zamana bağlayın- Mounted drive üzerinde shadow copy yapmayın- Dual-boot özelliği olan bilgisayar üzerinde shadow copy özelliğini kullanmayın- Shadow copy’leri başka bir disk üzerinde tutun- Shadow copy özelliğini normal backup işlemi yerine kullanmayın- Shadow copy alımını saatte birden fazla yapmayın- Shadow copy özelliğini iptal etmeden volume silerseniz event log’a eventId:7001
hatası yazılır. Bu hatanın devamlı yazılmaması için ilk önce shadow copy göreviniiptal edin, sonra volume silin
Shadow Copy özelliğinin aktif hale getirilmesi ve kullanılması :
Şekil 192 : ilk olarak Server üzerinden shadow copy özelliği aktif hale getirilmesi gerekir. Bunun için,Computer Management konsolundan shared folders üzerine sağ tuşla tıklayarak All Tasks ve ConfigureShadow Copies seçeneğine tıklayın.
Sinan
Üst
ün
P a g e | 123
Şekil 193 : Çıkan pencereden Volume'u seçip Enable butonuna tıkladığınızda shadow copy o volumeüzerindeki paylaşıma açılmış klasörler için aktif hale gelecektir. Ve aktif hale getiriildiğinde ilk shadowcopy alınır.
Client üzerinde yazılım yükleme :
Şekil 194 : Server üzerinde bulunan twcli32.msi dosyasını clientların Group Policy veya paylaşımaaçılmış bir klasör üzerinden yüklemeleri gerekiyor.
Şekil 195 : Client üzerinde yükleme yapıldıktan sonra, network üzerinde bu server’da shadow copy’ninaktif hale getirildiği volume’daki paylaşıma açılmış bir klasör’ün özelliklerine tıklayın.
Sinan
Üst
ün
P a g e | 124
Şekil 196 : Klasörün veya içindeki dosyaların özellikler penceresinde Previous Versions diye bir tabçıkar.
Şekil 197 : Burasıda New Folder klasörünün içinde bulunan deneme isimli txt dosyasının özelliklerpenceresi. Henüz bu dosya için yaratılmış bir shadow copy gözükmüyor. Server tarafında shadow copyalındıkça burda da bu klasör için alınmış olan shadow copyler gözükecektir. Taki siz bu dosyaiçerisinde oynamalar yapana kadar.
Sinan
Üst
ün
P a g e | 125
Şekil 198 : Sol tarafta server üzerinde shadow copy Create Now butonuna basarak manuel olarakalındığında sağ tarafta client üzerinden networkteki bu klasör içindeki dosyanın previous versionstabında ancak bu dosya açılıp modifiye yapılıp kaydedildikten sonra çıkar.
Settings Kısmı :
Şekil 199 : Server üzerinde shadow copy penceresinden settings ksımından Storage area'dan shadowcopy'lerin nerede depolanacağı belirlenebilir. Şu anda disable olarak gözükmesinin nedeni shadowcopy'nin aktif halde olmasıdır. Yerini değiştirmek istiyorsanız ilk olarak disable etmeniz gerekir.Maximum size kısmından ise shadow copy için harddiskten ayrılacak miktarı belirleyebilirsiniz.Schedule kısmındanda shadow copy alımını otomatiğe bağlayabilirsiniz.
Sinan
Üst
ün
P a g e | 126
Server Arızasından Server’ı Kurtarmak :
Server arızalandığı zaman, server 2003 işletim sistemi bilgisayarı kurtarmak içinbirden fazla araç sunar. Bunları iyi bilmek ve hangisinin nezaman kullanılacağınıöğrenmek gerekir.
Safe Mode :
Safe Mode, sistemi Server 2003 işletim sisteminin yüklenebilmesi için gerekli olanminimum aygıt sürücüleri ve servislerle başlatır. Aygıt sürücüleri arasında, mouse,klavye, standart VGA, yığın depolama sürücüleri, default system servisleri bulunur.Network bağlantısı yoktur. Safe mode seçeneği, bozuk yada hatalı sürücüler, bozukregistry veya system servisi, sistemin normal başlamasını engelleyen bir yazılımsonucunda oluşan sorunları tespit etmek ve gidermek için kullanılabilir.
Safe Mode Seçenekleri :
Post ekranını geçtikten sonra F8 tuşuna basarak Advanced Boot Options menüsügörüntülenir. Safe mode bu ekranda 3 seçenek ile karşımıza çıkar.
- Safe Mode : Yukarda anlattıklarımıza ek olarak, bu seçenekte safe modewindows klasörü altında ntbtlog.txt isimli bir log dosyası tutar.
- Safe Mode With Networking : Bilgisayarı başlatacak temel sürücüler ve servislerharicinde networkte aktif dir.
- Safe mode with Command Prompt : Tek farkı, grafiksel bir arayüz değildekarşımıza komut satırının çıkmasıdır.
Last Known Good Configuration :
Yeni bir aygıt sürücüsü yüklediğinizde veya registry üzerinde bir değişiklikyaptınız ve sistemi tekrar başlattığınız da sistem açılamıyorsa LKGC kullanılır. LKGC ileen son başarılı olanHKEY_LOCAL_MACHINE\System\CurrentControlSet deki registry kayıtları ilesistem başlatılır. LKGC, yüklediğiniz sorunlu sürücüyü bir önceki sürücü ile değiştirir.Burada Roll Back ile karıştırılmamalı. Rollback için logon olmak gerekiyor, LKGC, logonolamadığınız zaman kullanılacak bir yöntemdir.
LKGC, safemode dan önce düşünülmesi gereken bir işlemdir. İlk olarak Safemode kullanırsanız, LKGC ayarları update edilmez. Yani Safe mode ile çözemezseniztekrar LKGC seçeneğini deneyebilirsiniz.
Recovery Console :
Recovery Console, Server 2003 Cd’sinden veya başlangıç seçeneklerineyükleyerek kullanılan komut satırı konsoludur. Recovery Console, açılış sorunu olansistemlerde sorunu çözmek için kullanılır.
Sinan
Üst
ün
P a g e | 127
Recovery Console ile yapılabilecekler :
- Sistem açılışında sorun yaratan servisleri kapatmak veya açmak- Hard diske format atmak- Boot sektörü ve MBR’ı tamir etmek- FAT, FAT32, NTFS sürücülerinden data okumak ve yazmak- Registry’i restore etmek
Recovery Console’u kullanabilmek için Server 2003 Cd’si ile sistem boot edilipte Repairseçeneği çıktığında R tuşuna basılması gerekir.Diğer bir yöntemde başlangıç seçeneklerine yerleştirmektir. Bunun için, Server 2003cd’sini CD’ye yerleştirtikten sonra Start>Run dan<CD Sürücüsü>:\i386\winnt32 /cmdcons komutunu yazmak. Çıkan ekranda RecoveryConsole yüklenmesini onaylamak gerekiyor.
Recovery Console’da kullanılan komutlar :
Command Description
ATTRIB Dosya yada dizindeki attributeları gösterir ve değiştirir
BATCH Text dosyasındaki komutları yerine getirir.
BOOTCFG Boot konfigürasyonunu tamir eder ve kurtarır
CD O andaki dizinin ismini gösterir ve değiştirir
CHDIR O andaki dizinin ismini gösterir ve değiştirir
CHKDSK Diski hatalara karşı kontrol eder ve raporlar
CLS Ekranı temizler
COPY Dosyayı başka yere kopyalar
DEL Dosya siler
DELETE Dosya siler
DIR Dizin içeriğini gösterir
DISABLE Sistem servisi veya aygıt sürücüsünü disable eder.
DISKPART Harddisk üzerindeki partitionları yönetmemizi sağlar
ENABLE Sistem servisi veya aygıt sürücüsünü başlatır veya enable eder.
EXIT Recovery Console dan çıkar ve sistemi tekrar başlatır.
EXPAND Sıkıştırılmış dosyay açar
FIXBOOT System partition da yeni boot sector yazar
FIXMBR Boot partition üzerinde yeni MBR yazar
FORMAT Diske format atar
HELP Recovery Console da kullanılan komutları yazar
LISTSVC Bilgisayarda bulunan servisleri ve sürücüleri listeler
LOGON Windows işletim sistemine logon olmamızı sağlar
MAP Adreslenen sürücü harflerini gösterir.
MD Yeni dizin(Klasör) yaratır
MKDIR Yeni dizin yaratır
MORE Ekranda test dosyası görüntüler
RD Dizin siler
REN Dosya adı değiştirir
RENAME Dosya adı değiştirir
RMDIR Dizin Siler
SYSTEMROOT O anki dizini system root olarak belirler
TYPE Ekranda dosya içeriğini gösterir
Sinan
Üst
ün
P a g e | 128
Windows Başlangıç Disketi :
Boot sırasında bir sorun oluştuğunda startup disk, disk sürücülere erişimi sağlar.Windows startup disk ile Windows Server 2003 işletim sistemi çalışan bilgisayarıaçabilirsiniz.Startup disketini kullanacağımız durumlar :
- Hasar görmüş boot sektörü,- Hasar görmüş Master Boot Sector- Virüs bulaşması- Ntldr veya Ntdetect.com dosyalarının hasar görmesi veya silinmesi- Hatalı Ntbootdd.sys sürücüsü
Windows startup disk içinde Ntldr, Ntdetect.com ve Boot.ini dosyalarının olmasıgerekir. Bazı durumlarda ntbootdd.sys dosyasıda olması gerekebiliyor.
Eğer C üzerindeki hasar görmüş boot dosyalarını değiştirmek istersek, sistemi recoveryconsole ile açıp startup diskteki dosyaları kopyalayabiliriz.
Boot Processi :
Boot işlemi sırasında boot dosyalarının çalışması şu şekildedir :
- Bilgisayar Ram miktarını belirlemek, bilgisayar parçalarını tespit etmek gibi rutinişleri yaptıktan sonra, BIOS boot aygıtlarını belirler, MBR’ı yükler ve çalıştırır.
- MBR, active partition’ı bulmak için partition table’ı tarar. Active Partition dakiboot sectoru belleğe yükler ve çalıştırır.
- Bootsector yazılımı, ana dizini okur ve NTLDR’ı yükler.- NTLDR, temel bellek konfigürasyonunu yükler ve 32 bit moduna geçer.- NTLDR, boot.ini dosyasını okur ve işletim sistemini çalıştırır. Eğer boot.ini dosyası
yoksa işletim sisteminin C biriminde Windows klasörü içinde olduğunu düşünür.- NTLDR, 16 bit mode’a geçer ve 16 bit olan ntdetect.com’u yükler. Ntdetect.com
bilgisayarın fiziksel ortamını tarar.- NTLDR, Ntdetect.com tarafından tespit edilen kaynakları belleğe yükler.- NTLDR, sistemi tekrar 32 bit mode’a geçirir. Ntoskrnl yükler. NTLDR, uygun Hal’ı
ve tüm boot sürücülerini çeker.- NTLDR Ntoskrnl işlemini başlatır.
Server Disaster Recovery (Felaketten Kurtarma) Araçları :
Disaster Recovery Tool İşleviSafe Mode Server 2003 işletim sistem bir sorun yüzünden başlatılamıyorsa
LKGC Hatalı Konfigürasyon sonucu sistem açılamıyorsa
Backup Hard disk üzerindeki dataların bir kopyası alınır ve sorun çıktığında budatalar kullanılır.
Recovery Console Safe Mode veya LKGC ile sorun çözülemediğinde kullanılır.
ASR Windows işletim sistem tekrar yüklenmeden sistem ve boot partitiondaki sistem dosyaları restore edilir.
Sinan
Üst
ün
P a g e | 129
MODULE 8
Maintaining Software by Using Software Update Services
Genelde sistem adminleri sistemleri güncel tutmak için, yazılım update’lerini sıkbir şekilde Windows update sitesinden kontrol ederler. Eğer bir güncelleme varsa buupdate’ler manuel olarak indirilir, test edilir ve manuel olarak veya dağıtım araçları ilebilgisayarlara gönderilirler. Software Update Services sayesinde tüm bunlar adminlerinkontrolü altında otomatik olarak yapılabilir.
Windows Update :
Windows update sistemimizin güncel kalmasını sağlayan Windows’un onlineuzantısıdır. Windows update kullanılarak işletim sistemi, yazılım veya sürücügüncellemelerini sistemimize yükleriz. Update’ler içinde güvenlik düzenlemeleri, kritikgüncellemeler ve sürücüler bulunur. Bu güncellemeler, bilinen güvenlik açıklarındakisorunları ve Windows işletim sistemlerindeki stabilite sorunlarını çözer.
Windows işletim sistemi güncellemelerinin katogorileri :
- Kritik update’ler : Güvenlik fixleri ve önemli güncellemeler.- Tavsiye edilen downloadlar : En son Windows ve internet explorer ile ilgili
service pack’ler- Windows araçları : Performansı artırmak, güncellemeleri kolaylaştırmak,
adminlerin yükünü hafifletecek toollar ve ufak programcıklardır- Internet ve multimedia güncelleştirmeleri : Windows Media Player ile ilgili
güncellemeler, en son çıkan internet explorer gibi- Ek Windows ile ilgili downloadlar : Masaüstü ayarları ve diğer özellikler ile ilgili
güncellemeler- Çoklu dil özellikleri : Ek dil paketleri, menüler ve dialog kutuları gibi- Dökümanlar
Yeni bir güncelleme bilgisayarınız için mevcutsa Taskbar da sağ tarafta balon içinde siziuyaracaktır.
Otomatik Update’ler :
Otomatik update sayesinde Windows güncelleştirmelerinin ne zaman ve nasılyapılacağına karar verebilirsiniz. Otomatik güncelleştirmeler içinde tüm kritikgüncelleştirmeler mevcuttur.
Otomatik güncelleştirmeler sayesinde güncelleştirmeleri download edipyüklemesi için uyarmasını söyleyebilirsiniz veya güncelleştirmeler olduğunda uyarmasınıisteyip bunları indirmesini söyleyebilirsiniz. Güncelleştirmeleri indirdiğinizde uyarıbölgesinde güncelleştirmeler ile ilgili yaptığınız ayara göre sizi uyaran bir baloncukçıkacaktır. Eğer download edilmiş bir güncelleştirmeleri yüklemeyi kabul etmezseniz,download’lar silinecektir. Bu durumda tekrar güncellemeleri indirmeniz gerekir.
Sinan
Üst
ün
P a g e | 130
Windows Update vs Automatic Updates :
Her ikisinde de kullanıcılara varolan Service Pack’lerle ilgili uyarı çıkartılır. ServisPack’ler dağıtılmış olan ürün güncelleştirmeleridir. Service Pack’lerde, sistem güvenirliği,program uyumluluğu, güvenlik ve daha fazlası ile ilgili güncelleştirmeler bulunur.
Windows update içinde kullanıcılar Web sitesinden kritik olan ve kritik olmayanyazılım güncelleştirilmeleri vardır.
Automatic Update de ise kritik yazılım güncelleştirmeleri vardır ve WindowsUpdate sitesi ile senkronize çalışır.
Software Update Services (SUS) :
Yukarda bahsettiğimiz gibi kritik güncelleştirmeleri indirebileceğimiz iki yöntemvardır. Birisi Windows Update sitesi diğeride Automatic updates. Her ikisinde degenelde güncelleştirmeleri indirip yüklememiz gerekir. Fakat büyük bir işletme içinkullanıcıların güncelleştirmeleri indirip yüklemelerini beklemek saflık olur. Bu işiadminler için daha kolay hale getirmek ve kullanıcıların güncelleştirmeleri alıpyüklediğinden emin olmak için Server 2003 işletim sisteminde bir Server\Clientuygulaması olan Software Update Service (SUS) kullanılır.
SUS sayesinde güncelleştirmeleri indirip clientlara kurulması sağlanabilir.Windows Update sitesi ile senkronize bir şekilde çalışır. Bu senkronizasyonu da manuelolarak yapılabilir yada otomatiğe bağlayabiliriz.
Senkronizasyon ile SUS çalışan serverınız indirdiği güncelleştirme paketlerini,admin hangilerinin kullanılacağını karar verene dek tutar. Clientlar SUS serverdangüncelleştirmeleri almaları için ayarlandıktan sonra güncelleştirmeler gönderilir.
İşletmenizde birden fazla SUS çalışan serverınız olabilir. SUS yüklü serverlarıgüncelleştirmeleri tek bir yerde tutmaları için konfigüre edebilirsiniz. Ayrıca bir SUSçalışan server test amaçlı olarak kullanılabilir. Bu servera 2-3 tane client bağladıktansonra güncelleştirmeleri test edebilir, eğer başarılı olunursa güncelleştirmeler tümişletmedeki bilgisayarlara gönderilebilir.
SUS Process’i :
Server Tarafındaki İşlemler :
1- SUS çalışan server’ımız, Windows update sitesi ile senkronizasyonu sonucu yenigüncelleştirme paketlerini alır.
2- Admin inen paketleri inceler ve test edilip edilmeyeceğine karar verir. Testedilmesi gerekiyorsa teste gönderir.
3- Test aşamasından sonra yeni update paketlerini onaylar.
Sinan
Üst
ün
P a g e | 131
Client Tarafındaki İşlemler :
1- Clienttaki automatic updates, SUS çalışan server’ı günlük olarak kontrol eder veonaylanmış update paketlerini download eder.
2- Otomatiğe bağlanmış olan update zamanında SUS administrator’ın logon olupolmadığına bakar. Logon olmuşsa masaüstünde uyarı balonunu görür vegüncelleştirmeleri yükler veya reddeder.
3- Logon olmamışsa otomatiğe bağlanmış olan yükleme işlemi başlar.4- Automatic update yüklenen yeni paketin sistemin tekrar başlatılması gerekip
gerekmediğine bakar. Gerekiyorsa sistemi tekrar başlatır.
SUS’da Dağıtım Noktası :
SUS çalışan server, içeriğin dağıtımını kontrol edebilir. Server güncellemeleriotomatik olarak dağıtablir veya distribution noktası vasıtasıyla manuel olarak dağıtımıgerçekleştirebilir.
Dağıtım noktası oluşturmak için iki yöntem var :
- Automatic : SUS server üzerine kurulduğu zaman, server üzerinde otomatikolarak dağıtım noktası da oluşturulur. Server senkronizasyon ile birlikte dağıtımnoktasının içeriği windows update sitesinden alınanlarla güncellenir. Bu dağıtımnoktası IIS’in kök dizininde /Content klasörü içindedir.
- Manual : Distribution klasörünü IIS çalışan bir makine üzerinde IIS’denayarlayabilirsiniz. Manual’de update’lerin tutulacağı server üzerinde SUSçalışmasına gerek yok.
Niye ve hangi durumlarda Manual seçeneği kullanılır :
- SUS çalışan birden fazla serverımız varsa ve bu serverların hepsininsenkronizasyon için internete erişmesini istemiyorsanız.
- Networkteki bazı Site’ların internete erişimi olmayabilir.- İçeriği test etmek ve testi tamamlanmış olan updatelerin şirket içinde dağıtılması
için manual kullanılabilir.
SUS yüklenecek Server için gerekli Donanım ihtiyaçları :
- PIII 700 Mhz veya üstü- 512 MB RAM- 6 GB Hard disk’te boş alan
SUS yaklaşık 15.000 client’a hizmet verebilir.
SUS yüklenecek Server için gerekli Yazılım ihtiyaçları :
- Service Pack 2 yüklü Windows 2000 server veya Server 2003- IIS 5.0 veya üstü- Internet Explorer 6.0 veya üstü
Sinan
Üst
ün
P a g e | 132
Automatic Updates Özelliğinin Konfigürasyonu :
Client tarafında automatic updates özelliği kullanılarak güncellemeleri nasıl ve nezaman alacaklarını konfigüre edebiliyoruz. Automatic updates içindeki seçenekler :
- Güncellemeler belirlenen tarih ve saatte indirilir ve yüklenir.- Güncellemeler indirilir, ne zaman yükleneceğini siz belirlersiniz.- Güncellemeler olduğu size bildirilir, yüklemeden evvel de yine uyarılırsınız.
Uyarılar Taskbarda notification bölgesinde gösterilir. Uyarıların hepsi, system eventlog’una yazılır.
Automatic updates özelliğini, Group Policy üzerinden Comp.Confg.>AdministativeTemp.>Windows Components>Windows update klasörü içinden ayarlayarakişletmedeki tüm bilgisayarların güncellemeleri nerden ve ne şekilde alacaklarınıayarlanabilir. Active Directory’nin olduğu networklerde Group Policy üzerinden otomatikupdate’lerin ayarlanması daha mantıklı olacaktır. AD ‘de GP üzerinden yapılacakayarlamalar clientlar üzerinden yapılan ayarların üzerindedir. Ayrıca, GP vasıtasıylakullanıcıların bilgisayarlarında automatic updates özelliğini disable ederek kullanıcılarınkendi bilgisayarlarından değişiklik yapmalarını da engelleyebiliriz.
SUS’ da İçeriği Test etmek :
SUS’da test için özel bir seçenek yoktur. Test işini bizim kendimizin yapması gerekir.Clientlara güncellemeleri yüklemeden evvel yapacağımız test planında dikkatedeceklerimiz :
- Test için SUS çalışan bir server hazırlamak.- Test için kullanacağımız bilgisayara güncellemeleri indirip, test edeceklerimizi
yükleyelim.- Güncellemeleri install edip tüm uygulamalarla olan uyumluluğunu test edelim.- Clientlara gönderilecek olan güncellemeleri SUS üzerinden onaylayın.
SUS Yönetim Ara Yüzü :
SUS yüklendikten sonra yapmamız gereken 4 ana görev var :
- Yüklemeden sonra server’ı konfigüre etmek- SUS çalışan server ile Windows update Web sitesi arasında otomatik yada
manuel senkronizasyonu yapmak.- Automatic updates çalışan bilgisayarlara updateleri yayınlamak için
güncellemeleri seçmek ve onaylamak- Server’ın durumunu ve logları takip etmek
Tüm yönetimsel görevleri SUS yüklü olan makine üzerinden local administratorhesabından yerine getirebilriz.
Sinan
Üst
ün
P a g e | 133
Senkranizasyonun Çalışması :
Senkronizasyon, Windows update sitesinden güncellemelerin çekilmesi ve SUSçalışan server’a gönderilme yöntemidir. Bu işi otomatik olarak yapabileceğimiz gibimanuel olarak da yapabiliriz.
Eğer SUS’un otomatik olarak senkronizasyon yapmasını ayarlamışsakAdministrator update’leri download etmeden önce SUS’un arayüzünden güncellemelerigörebilir. Güncellemelere baktıktan sonra gerekli güncellemeleri approve eder.Approve’dan sonra Clientlardaki automatic updates ile ayarlanan zaman dilimlerindeupdate ler clientlara gönderilir.
Eğer SUS manual olarak senkronizasyonu ayarlanmışsa, güncellemeler Windowsupdate sitesinde adminin güncellemeleri bakıp, onaylamasını bekler.
Synchronization Log :
Senkronizasyon boyunca, Windows Update Web sitesinden tüm içerik SUSçalışan makineye gönderilir. Admin olarakda senkronizasyon içeriğine SUS admin webarayüzünden bakabiliriz.
Senkronizasyon sırasında olanları takip etmek SUS çalışan makinelerde senkronizasyonlog’u tutulur. Bu log içinde bulunan bilgiler :
- En son gerçekleştirilen senkronizasyon- Tüm senkronizasyon işlemi sırasında başarılı yada başarısız uyarı bilgisi- Eğer tarih ayarlanmışsa bir sonraki senkronizasyon bilgisi- Download edilen update paketleri- Senkronizasyon sırasında başarısız olan update paketleri- Senkronizasyon türü (Manual-Automatic)
Senkronizasyon log’u SUS web arayüzünden veya history-sync.xml dosyası olarak SUSweb sitesinin bulunduğu klasörde \AutoUpdate\Administration klasörü altındadır.
Approval Log :
Onaylanan veya onaylanmayan içerikleri takip etmek için kullanılan log dosyasıdır.Approval Log dosyasının içinde :
- Onaylanan paketlerdeki değişikliklerin kayıtları- Değişen öğelerin listesi- Yeni onaylanan öğelerin listesi- Değişiklikleri kimin yaptığı
Approval log’una SUS web arayüzünden veya SUS web sitesinin bulunduğu klasörde\AutoUpdate\Administration klasöründe History_Approve.xml dosyasındanulaşabilirsiniz.
Eğer işletim sisteminin tekrar yüklenmesi veya SUS’un tekrar yüklenmesi durumundaSUS ‘u eski haline getirebilmek için backup’ını alabilirsiniz. Bunun için Backup işlemisırasında Windows>system32>inetsrv>metaback klasörünü backuplanmalı.
Sinan
Üst
ün
P a g e | 134
SUS’un yüklenmesi :
Microsoft’un sitesinden indireceğiniz, SUS10SP1.exe dosyasını IIS’i kurduktan sonrayüklediğinizde Administrative tools içinde Software Update Services seçeneği çıkar.Yalnız şunu hatırlatıyim, Microsoft bu versiyona artık desteğini vermiyor. Bu yüzdenbaşka versiyonla ilgili bir iki görüntü de verecem.
Şekil 200 : Administrative tools içinden Software Update Services'a tıkladığınızda sizden kullanıcı adıve şifre ister. Bilgileri girdikten sonra yukardaki Welcome ekranı karşılar sizi.
Şekil 201 : İlk olarak sol taraftaki Set Options kısmından ayarları yapalım. Sağ tarafta en üstte proxyayarları var. Proxy kullanacaksak buradan Ip adresi ve portunu yazın. Altında ise SUS’un bulunduğuserver’ın adı yazılıdır.
Sinan
Üst
ün
P a g e | 135
Şekil 202 : Sağ tarfta alta doğru inersek, Senkronizasyonun nerden yaılacağını belirten yer var.Microsoft update sitesindenmi yoksa başka bir SUS serverdanmı güncellemeler çekilecek. En altta isegüncellemelerin onaylanmasını ellemi yoksa otomatik olarak mı yapılacağı belirlenir.
Şekil 203 : Güncellemelerin nerde tutulacağını belirtmeniz gerekir. Microsoft update server'ındamıdursun yani ordan bakıyim ve onayladıktan sonra clientlara dağıtılsın. Yoksa local de herbir dil için ayrıbir klasördemi tutulsun.
Şekil 204 : Ayarları yaptıktan sonra sol tarafta synchronize server seçeneğine tıklayıp sol traftada yamanuel olarak Synchronize Now butonuna tıklayarak senkronizasyonu başlatırsınız veya Scheduleseçeneği ile belli bir zamana bağlarsınız.
Sinan
Üst
ün
P a g e | 136
Şekil 205 : Senkronizasyonu elle başlattığınız zaman güncellemeler indirilmeye başlanır.
Şekil 206 : Sol tarafta View approval log içinden onaylanmış ve onaylanmamış updateler görülebilir.
Sinan
Üst
ün
P a g e | 137
Şekil 207 : View synchronization log kısmından ise En son gerçekleştirilen senkronizasyon, bir sonrakisenkronizasyon zamanı gibi bilgilere ulaşılabilir.
Şekil 208 : Ve acı gerçek, Microsoft bu sürüme desteğini vermiyor artık.
Sinan
Üst
ün
P a g e | 138
Yeni Windows Server Update Services (WSUS) Arayüzü :
Şekil 209 : Yeni SUS'uda Microsoft'un sitesinden indirip yükleyebilirsiniz. Burda da ilk olarak En üsttesağda bulunan Seçenekler'e bakalım.
Şekil 210 : Eşitleme seçeneklerine tıklayın.
Sinan
Üst
ün
P a g e | 139
Şekil 211 : Eşitleme seçenekleri içinde senkranizasyonun nasıl yapılacağını, hangi ürünlerle ilgili ve netür güncellemelerin çekileceğini, kullanılacaksa proxy sunucu bilgilerini girin.
Şekil 212 : Ürünler ve sınıflandırmalar kısmından hangi ürünlerin ve hangi güncelleştirmelerinindirileceğini belirleyin.
Sinan
Üst
ün
P a g e | 140
Şekil 213 : Güncelleştirme'nin nerden yapılacağını belirleyin. Ayrıca, update'lerin nerde tutulacağı vehangi dildeki güncelleştirmelerin de indirileceğini belirleyin.
Şekil 214 : Güncelleştirme dosyaları ve dilleri kısmındaki Gelişmiş butonuna tıkladığınızda karşınızaçıkacak olan pencere.
Şekil 215 : Güncelleştirmeler kısmından yaptığımıza seçime göre güncelleştirmeleri onaylayıpindirebiliriz. Onaylamak istediğimiz güncelleştirmeyi seçip sol üst taraftan Onayı değiştir butonunatıklayın. Ayrıca sol tarataki Görüntüle kısmından kriterlere göre filtreleme yaplabilir.
Sinan
Üst
ün
P a g e | 141
Şekil 216 : Onayı değiştir butonuna tıkladığımızda karşımıza çıkan pencerede Onay kısmından yükledediğimiz zaman bu update clientlara yüklenmeye başlıyacaktır.
Clientların, SUS’tan güncelleştirmeleri almaları için Group Policy ayarları :
Şekil 217 : Server üzerinden Group Policy açın ve Comp.Config.\Admin.Templ.\WindowsComp.\Windows Update kısmından Specify intranet Microsoft update service location üzerine çifttıklayın.
Sinan
Üst
ün
P a g e | 142
Şekil 218 : Çıkan pencereden enabled diyerek aktif hale getirdikten sonra, SUS server'ın adresiniyazın.
Şekil 219 : Şekil 217 deki yerden bir üstteki Configure Automatic Update Properties kısmındanclientların güncelleştirmeleri ne zaman ve ne şekilde alacaklarını da konfigüre edin.
Sinan
Üst
ün
P a g e | 143
MODULE 9
Securing Windows Server 2003
Küçük ve Orta Büyüklükteki İşletmelerde Güvenlik Sorunları :
Küçük ve orta büyüklükteki işletmelerin karşılaşacağı güvenlik riskleri büyükişletmelere göre daha farkldır. Daha küçük işletmeler, genelde daha az resmiprosedürlere sahiptirler ve daha az güvenliğe önem verirler.
Küçük ve orta büyüklükteki işletmelerdeki olabilecek güvenlik riskleri :
- Serverlar çeşitli rollere sahiptir : Kısıtlı kaynaklara sahip işlerde, serverlara birdenfazla rol verilir. Basit bir şekilde security template’ler server’a uygulanır fakatçakışma olabilir. Birden fazla rol üstlenen serverları korumak zordur. Bu türserverlar daha fazla saldırıya maruz kalırlar. Eğer bir güvenlik açığı oluşursa,serverdaki tüm roller tehlikeye düşer.
- Sınırlı kaynaklarla güvenlik çözümlerini uygulamak : Maddi açıdan oluşabileceksorunlar, güvenlik çözümleri için gerekli olan şeyleri sağlamamızı engeller.Örneğin birden fazla firewall kurmak istersek bu çok pahalıya gelecektir.
- İçerden oluşan veya yanlışlıkla oluşan riskler : İçerden sistemleri tehlikeyedüşürmek ki bu kötü niyetli veya yanlışlıkla olabilir, küçük işletmelerde ataksayısını artıracaktır.
- Güvenlik uzmanı sıkıntısı : Küçük IT bölümlerinde umursamazlık veya maddisıkıntılar yüzünden gerekli güvenlik uzmanı bulundurmada sıkıntılar yaşanır. Budurumda standart güvenlik şablonlarını uygulamak en iyisidir.
- Birçok güvenlik önlemlerine fiziksel erişimi iptal etmek : Sisteme fiziksel olarakerşilebilmesi, saldırgana yardımcı programlar, kötü niyetli programlar yükleme,konfigürasyon değiştirme, bileşenler kaldırma ve hatta fiziksel olarak zararverebilmesini sağlar. Bunun için daima serverları kilitli bir odada tutmak veyetkisiz kişilerin girmesini engellemek gerekir.
- Yasal Önlemler :- Eski sistemlerin kullanılması : Eski sistemler genelde bir upgrade yapmadan
güvenlik konfigürasyonlarını desteklemezler.
Güvenlik için dikkat edeceklerimiz :
- Bir çok kullanıcı, antivirüs programlarının virüs tanımlamalarını güncellemezler.- Casus yazılım bulaşmış makinelerde, performans düşüklüğü, aşırı pop-up
pencerelerinin açılması, kişisel bilgilerin çalınması gibi olaylar yaşanır. Bir çokkullanıcı bilgisayarına casus program girdiğinden haberi bile olmaz.
- Bazı işletmelerin güvenlik updatelerini uygulayacak doğru dürüst bir stratejileriyoktur. Bazı işletmelerde uygulamalarını etkileyecek diye güncellemeleruygulanmaz.
Sinan
Üst
ün
P a g e | 144
Temel Güvenlik Dengeleri :
Network güvenliği için bir strateji belirleyecekseniz, temel güvenlik dengelerinedikkat etmeniz gerekir.Güvenlik ve network yönetiminde amaçlarımız için dikkat edeceklerimiz :
- Güvenlik yönetimindeki amacımız, network kaynaklarına erişimi korumaktır.- Network yönetimindeki amacımız ise kullanıcıların işlerini yapabilmeleri için
ihtiyaçları olan network uygulamalarına ve programlarına sorunsuz bir şekildeerişebilmeleridir.
İlk temel güvenlik sınırlamamızdan olan security ve kullanılabilirlik (usability) de dikkatetmemiz gerekenler :
- Bir uygulama yüklediğimizde, ek özellikleri aktif hale getirmemiz gerekir. Busayede, surface saldırılarına karşı sistemin güvenliğini sağlamış oluruz.
- Kullandığınız teknolojiyi daha güvenli yapabilirsiniz. Bununla birliktekullanılabilirlik azalabilir.
- En güvenli sistem, bağlantısı kesilmiş ve kilitlenmiş olandır. Fakat bu dakullanılabilirliği azaltır.
Diğer bir denge sorunumuz, Security ile maliyet arasındadır:- Kaynakların sınırsız olduğu yerde, firmalar mümkün olduğunca güvenli ve
kullanılabilir networkler yapmaya çalışır. Fakat maliyet ciddi bir etkendir.- İyi, hızlı ve ucuz prensibini iyi bilmeniz gerekir. Bunlardan iki tanesini
seçebilirsiniz. Güvenlik sınırlamasında da benzer ilke vardır. Güvenli, kullanılabilirve ucuz. Burada, güvenlik ve kullanılabilirliği seçebilirsiniz. Fakat içinde para,zaman ve çalışan maliyet faktörüne dikkat etmek gerekir.
Defense-in-Depth Modeli :
Defense-in-depth güvenlik modeli, savunma için bir çok katman kullanır. Busayede bir katman tehlikeye girerse, saldırganın biri networkteki tüm kaynaklaraerişebilir diye bir şey söz konusu olmayacaktır. Defense in Depth modeli saldırganınbaşarı şansını düşürür.
Defense in depth modeli bir seri birbirine bağlı katmandan oluşur. Bu modelin Anakatmanları :
- Policy’ler, Procedure’ler ve Haberdar olma katmanı : Bu katmandaki bileşenler,security policy’ler, güvenlik prosedürleri ve kullanıcılar için güvenlik eğitimi dir.
- Fiziksel güvenlik katmanı : Bu katman 5 çekirdek katmanı içerir. Bu katmandakibileşenler, Güvenlik görevlilerini, kilitleri ve aygıtları takip etmeyi içerir.
Çekirdek katmanlar :
- Çevrebirim ağ katmanı : Donanımsal veya yazılımsal firewall’lar, VPN- Internal Network katmanı : Network segmentleri, IPSec, Network Intrusion
detection sistemleri
Sinan
Üst
ün
P a g e | 145
- Host katmanı : Server ve client işletim sistemlerinde katı uygulamalar, kuvvetliotantikasyon yöntemleri, güncel yönetimsel araçlar, Host tabanlı intrusiondetection sistemler,
- Application Layer : Katı uygulama yöntemleri, antivirüs ve antispy yazılımları.- Data Katmanı : ACL, encryption ve EFS
Windows Server Güvenlik Rehberi :
Microsoft firması, Server 2003 sistemlerinin nasıl korunacağı ile ilgili bir çokdoküman sağlar. Bu dökümanlar içinde :
- Tehlikeler ve karşı önlemler rehberi : Windows işletim sistemlerindeki güvenlikayarları ile ilgili bilgiler.
- Windows Server 2003 Security Rehberi : Server 2003 işletim sistemlerini farklıortamlarda korumak için araçlar, şablonlar ile ilgili rehberdir.
- Server 2003 içinde Default erişim kontrol ayarları : Server 2003 içindeki registry,dosya sistemi, kullanıcı hakları, ve grup üyelikleri gibi bileşenler için güvenlikayarları içerir.
- Server 2003 içindeki güvenlik ile ilgili yenilikler : Server 2003 ile birlkte gelengüvenlik geliştirmeleri ve bunların uygulama senaryoları
- Server 2003 güvenlik servislerine teknik açıdan gözden geçirme :
Core Server Güvenlik Uygulamaları :
Bir çok core server uygulamaları var fakat burda söyleyeceklerimiz tüm listeyiiçermez. Sadece ortak temel server güvenlik uygulamalarını bahsedeceğiz.
Güncellemeler ve servis packler : En son güncellemeler ve service packlerinuygulanması önemlidir. Çünkü :
- Service pack’ler, işletim sisteminin güvenliğini ve stabilitesini artırır.- Daha önceden rapor edilmiş serverlara saldırıya neden olan güvenlik açıkları,
service pack’ler veya güvenlik updateleri ile kapatılmıştır.- En son service pack’ler ve güvenlik güncellemeleri yüklenmemiş bilgisayarlar
saldırıya açıktır.
Group Policy kullanmak : Group Policy kullanmak serverları daha sağlam yapar. GPkullanarak yapabileceklerimiz :
- Gerekli olmayan servisleri kapatabiliriz. Böylece ihtiyaç olmayan açık servislerdensaldırıyı önlemiş olursunuz.
- Password Policy’ler uygulayabiliriz. Güçlü passwordler, account lockout ayarlarıyapılabilir.
- Windows 2000 öncesi clientların kullandığı Lan Manager ve NTLM v.1otantikasyonunu iptal edebiliriz. Böylece bu clientlardan girişler engellenir.
MBSA kullanmak : Microsoft Baseline Security Analyzer kullanarak server’ımızın güvenlikkonfigürasyonunu tarayabiliriz. MBSA, uzaktaki veya local bilgisayarları tarayarakyüklenmemiş güvenlik updatelerini ve potansiyel güvenlik sorunlarını tespit edebilir vebunu html olarak raporlayabilir.
Sinan
Üst
ün
P a g e | 146
Server erişimini engellemek : Fiziksel olarak ve networkten erişimi engellemek için :
- Serverları kilitli bir odada bulundurun. Odaya giriş de kartlı anahtar veya çiplikartları kullanın.
- Domain Controlleri başlatmak için, floppy, usb veya cd-rom kullanarak farklı birişletim sistemi kullanmayın, bunu engelleyin
- Güvenilir elemanlar serverlara erişebilsin.- Şirketteki gerekli insanlara erişim izinleri ve haklar atayın.
Serverları Güçlü Yapmak İçin Tavsiyeler :
Built-in Hesaplar için :
- Built-in administrator ve guest hesabının ismini değiştirin.- Administrator ve guest hesabı için uzun ve karmaşık passwordler atayın.- Scriptler veya 3. Parti yazılım kullanarak tüm işletmedeki passwordlerin
doğrulamasını yapın.- Her bir server üzerindeki administrator ve guest hesabı için farklı passwordler
kullanın.
Restricted Grouplar :
Yönetimsel grupların üyeliklerini sınırlamak için restricted groups ayarını kullanın.Böylece sadece gerekli insanların yönetimsel gruplara üye olduğundan eminolabilirsiniz.
Log on Locally :
Group policy kullanılarak, kullanıcıların serverlara local olarak logon olmalarınıengelleyebilirsiniz. Sadece yetkili kişilerin servera logon olmalarını sağlayabilirsiniz.
Erişimi Engellemek :
System service accountları yerine built-in ve service accountlarına erişimlerde yasaklarkoyabilirsiniz.Support_388945a0 (Remote assistance için kullanılır) ve guest account için deny logonas a batch job ayarını yapın.System service accountları yerine builtin administrator, support_388945a0 ve guestaccount’ı için deny logon using terminal services ayarını yapın.
Service’ler :
Domain account’ı kullanılarak hiçbir servis için logon ayarı yapmayın. Mümkünse her birservis için local account kullanın.
NTFS :
Dosya ve klasörleri korumak için NTFS izinleri kullanın. Varsa FAT dosya sistemi bunlarıNTFS dosya sistemine dönüştürün.
Sinan
Üst
ün
P a g e | 147
Server 2003 SP1 deki Güvenlik Geliştirmeleri :
RPC Konfigürasyonu :
SP1, tehlike tespit edildikten sonra tehlikeye cevap vermek için güncel yönetimyerine server’a saldırıları engellemek için daha aktif bir yaklaşım sağlar.
Windows işletim sistemleri Remote Procedure Call (RPC) servisi üzerine çalışır.Bir çok RPC servisi network kullanıcılarına anonim erişim sağlar. SP1,RestrictRemoteClients ve EnableAuthEpResolution registry keylerini aktif hale getirerekRPC arayüzlerini daha güvenli hale getirir.
RestrictRemoteClients registry key’i, sistemdeki RPC arayüzlerine uzaktananonim erişimi ortadan kaldırmak için, bilgisayarların RPC arayüzlerinde bağlantılarınnasıl kabul edileceğini ayarlamanızı sağlar. Authenticated kullanıcılarına RPCservislerinde kısıtlamalar yapacaksak, her bir clientta EnableAuthEpResolution registrykey’inide konfigüre etmek gerekir.
Eğer clientlar ve serverlar domain üyesi ise her iki ayarıda Group Policy’lerdenyapabiliriz.
DCOM Konfigürasyonu :
DCOM ile, anonim bir uzak client, normal bir otantikasyon isteği ile DCOM serverdan birgörev talep edebilir. Bazı COM serverlar, doğrulanmamış uzaktan erişimlere izin verir.SP1, DCOM aktivasyonunda, başlatılmasında, ayrıcalıkların talebinde ve local ve uzakclientları ayırmada kısıtlamalar yapar.
Bellekteki boşlukta Nonexecutables olarak işaretlenmiş noexecute donanımınçalışmasını engeller.
VPN karantina sayesinde, VPN de çalışan bilgisayarlarda kısıtlama yapılabilir.
Metabase, XML tabanlı olarak, IIS 6.0 nın konfigürasyon bilgilerini hiyerarşik olaraktutar. IIS 6.0 auditing sayesinde hangi kullanıcıların metabase bilgilerine ulaştığınıngörülmesini sağlar.
Windows Firewall :
Windows Firewall, XP ve Server 2003 işletim sistemlerinde yazılım tabanlı birfirewall’dur. Windows Firewall, networkteki bilgisayarları, TCP/IP vasıtasıyla gelen istekdışı bağlantıları engelleyerek korumaya çalışır. Windows Firewall’daki bazı değişiklikler :
- Yeni yüklenmiş Server 2003 SP1’de default olarak enable’dır.- Firewall aktivitesini loglarla takip edebilirsiniz.- Önceki versiyon Windowslarda bilgisayarın gelen bağlantıyı kabul etmesi ve
Internet Connection Firewall (ICF) nin devreye girmesi arasında bir süre olurdu.Boot-time security sayesinde DNS, DHCP, DC ile iletişime izin vermek haricindediğer network fonksiyonları, firewall servisi aktif olana kadar başlatılmaz.
- Eski versiyonlarda, ICF herbir arayüz için ayrı ayrı ayarlanıyordu. Herbir networkbağlantısı kendi firewall policy’ye sahipti. Global konfigürasyon ile birliktekonfigürasyonda değişiklik yapıldığı zaman bu değişiklik tüm networkconnectionlarına uygulanır.
Sinan
Üst
ün
P a g e | 148
- Client bilgisayarlarda port kısıtlaması sayesinde, local subnetten gelen trafik veyabelli bir ip den gelen trafik üzerinde kısıtlamalar yapılabilir.
- Server servisleri tarafından oluşturulan istenmiyen trafik üzerinde oynamalaryapılabilir.
- Windows firewall üzerindeki exception list’e, kabul edilmesi gereken bir bağlantıisteyen uygulama olduğunda bu isteği ekleyebilirsiniz. Sadece administratorsgrubu üyeleri exceptions list üzerinde oynama yapabilir.
- Windows server 2003 SP1 ile Group Policy sayesinde Firewall ayarları yapılabilir.
Post-Setup Güvenlik Güncelleştirmeleri :
Post-Setup Security Updates (PSSU), server’ı serverın ilk başlatılması ile biruygulamanın windows update sitesinden en son güncellemelerinin yapıldığı zamanaralığında, bulaşma riskinden koruması için dizayn edilmiştir.
Eğer windows firewall enable edilmiş ve admin açık bir şekilde kurulumda birscript vasıtasıyla veya group policy ile aktif hale getirmemiş ise PSSU, administrator ilklogon olduğunda açılır. Gelen tüm istekler PSSU arayüzünde finish butonuna basanakadar bloklanır. Bu, adminin güvenlik updatelerini yapmasını ve yüklemesini sağlar.Eğer admin firewall üzerinde exceptions listte ayarlamalar yapmış ise exceptions datanımlanmış gelen bağlantılar açık tutulur.
PSSU :- Start menüde görünmez- Server Windows 2000 den Server 2003 SP1’e upgrade edildiğinde ve server
2003 den Server 2003 SP1’e upgrade edildiğinde görünmez- Windows NT 4.0 den Server 2003 SP1’e yükseltiğinde görünür.
Security Configuration Wizard :
Security Configuration Wizard, Server 2003 SP1 çalışan serverlarda saldırılarıazaltmakta yardımcı olur. SCW’ı çalıştırdığımız zaman server’ın rolü yada rolleriniöğrenebilmek için bir seri soru sorar ve bu rol tabanlı bilgileri kullanarak XML tabanlıolarak servisleri, portları ve diğer yaklaşık 50 den fazla server bilgisini toplar. Servertarafından kullanılmayacak fonksiyonların burada disable etmek gerekir.
Sihirbazın adminlere sundukları :
- Gereksiz servislerin kapatılması- Gereksiz IIS uzantıların kapanması- Kullanılmayan portların kapatılması- LDAP, LAN Manager ve SMB (Service Message Block) protokollerinin etkilerini
aza indirmek- Audit ayarlarını konfigüre etmek- Sihirbazla yapılamayan security templateleri import edebilmek
Sinan
Üst
ün
P a g e | 149
SCW nin özellikleri :
- Rollback : SCW ile bir security policy eklediğimizde server’ı ilk haline getirebilme- Analysis : Server’ın policylerle uyumluluğunu doğrulamak- Remote access : Konfigürasyon ve analiz için uzaktan erişim destekler- Komut Satırı desteği : Server gruplarını uzaktan konfigürasyon ve analiz
yapabilme- AD entegrasyonu : Group Policy kullanarak SCW policy’lerini kurma- Editing : SCW kullanarak yaratılmış security policy’ler üzerinde değişiklik
yapabilme
Server Hardening :
Server hardening, Server’ı server role’lerine bağlı olarak güvenlik ayarlarıuygulayarak korumaktır. Server Hardening Process’i :
- Acive Directory Güvenliğini sağlamak : Bunun içinde, OU yaratmak ve bu OU’yauygun yönetimsel görevleri ve izinleri devretmek vardır.
- Domaindeki tüm serverlara temel güvenlik ayarlarını uygulamak : ÖrneğinMember serverlar için member server baseline security tamplate’leri, DC’lere iseDomain Controller Baseline security Template’leri uygulayın.
- Temel güvenlik ayarları uygulandıktan sonra, ek olarak server rolüne bağlı olarakçeşitli security template’ler ve Group Policy’ler uygulayarak güvenlik artırılabilir.
- Serverlara güvenlik ayarlarını uyguladıktan sonra GPResult kullanılarak buayarların doğru bir şekilde uygulanıp uygulanmadığını doğrulayabilirsiniz.
Member Server Baseline Security Template :
Member Server Baseline Security Template kullanarak tüm member serverlaratemel güvenlik ayarlarını uygulayabilirsiniz.
Şirketin ihtiyacına göre template üzerinde değişiklik yaptıkdan sonrauygulamalarınız üzerinde test edip GPO içinden import edip bu GPO’yuda memberserver OU’suna linkleyebilirsiniz.Member Server Baseline Security Template içindeki ayarlar :
- Audit Policy Ayarları :- Kullanıcı Hakları:- Security Options:- Event Log Ayarları:- System Service Ayarları:
Domain Controllerlardaki Güvenlik Riskleri :
Domain Controller, Server 2003 network güvenliğinde merkezi bir pozisyondadır.DC, Active Directory database’inin bir kopyasını bulundurur. Bu yüzden saldırganlar içinDC’ler çok cazip bir hedeftir.
Sinan
Üst
ün
P a g e | 150
Domain Controller’ların taşıdığı güvenlik risklerinden bazıları :
- AD nesneleri üzerinde değişiklikler yapmak veya eklemelerde bulunmak- Password saldırıları- Denial of Service atakları- Replikasyonu önleme atakları- Bilinen güvenlik konularını kendi çıkarı için kullanma
Password Güvenliği uygulama :
Kullanıcılardan karmaşık şifreler belirlemelerini mecbur kılabilirsiniz. Uzun vekarmaşık şifreler saldırganlar tarafından bulunması daha zor olacaktır. Karmaşıkpassword ayarını GPO içinde” Password must meet complexity Requirements”seçeneğini enable ederek aktif hale getirilir. Bu ayarı aktif hale getirdiğiniz zaman,password uzunluğunu en az 6 karakter uzunluğunda yapın. Bu 6 karakter içinde iseolması gerekenler : En az,
- Büyük harf- Küçük harf- Sayılar- Alfanumeric olmayan sembol gibi karakterler
Passwordleri reversible ecrypted formatta tutan CHAP (Challenge HandshakeAuthentication Protocol) yada Web uygulamaları için digest authentication protocollerinikullanmayın. Bu formatta passwordler düz metin halinde tutulur.
LAN Manager(LM) karma algoritmasını disable edin. 15 karakterden az passwordayarı yapmışsanız, Windows, passwordlerin LAN Manager hash ve NT LAN Managerhash’lerini yaratır. LM Hash değerleri ise saldırganlar için kolay hedeflerdir. Bunu yineGPO içinde Security Settings içinde Network Security : Do not store LAN Manager HashValues On Next Password Change ayarını enable ederek aktif hale getirebilirsiniz.
Belirli Server Role’leri için Security Template’ler :
AD içinde belirli roller verdiğiniz member serverlar olabilir. Bu serverları uygunchild OU’lar içinde organize edebilirsiniz. Örneğin File serverlar için File Servers diye birOU yada Print serverlar için Print Servers OU diye bir OU yaratabilrsiniz.
Bu OU’ları yarattıktan sonra, her bir OU için Group Policy aracılığıyla uygun SecurityTemplateler uygulayabilirsiniz. Windows Server 2003 Security Guide içinde securitytemplate uygulayabileceğiniz server role’leri :
- Infrustructure server- File Server- Print Server- IIS Server- Internet Authentication Service (IAS) Server- Certificate services Server- Bastion host
Sinan
Üst
ün
P a g e | 151
Microsoft Baseline Security Analyzer (MBSA) :
MBSA, Microsoft web sitesinden indirilebilen güvenlik değerlendirmesi yapanyardımcı bir programdır. Grafiksel arayüzden veya komut satırından kullanılabilen, localveya uzak bilgisayarlarda güvenlik updatelerini ve potansiyel güvenlik konfigürasyonsorunlarını taratabildiğiniz bir araçdır.MBSA ile tarama yapabildiğiniz Microsoft yazılımları :
- Microsoft Biztalk server 2000, 2002, 2004- Microsoft Commerce Server 2000 ve 2004- Microsoft Content Management Server 2001 ve 2002- Microsoft Exchange Server 5.5, 2000 ve 2003- Microsoft Host Integration Server 2000 ve 2004- Microsoft Internet Explorer 5.01 ve sonraki sürümler- Internet Information Server 4.0, 5.0, 5.1 ve 6.0- Microsoft Data Access Components 2.5, 2.6,2.7 ve 2.8- Microsoft Virtual PC- MSXML 2.5, 2.6, 3.0 ve 4.0- Microsoft Office 2000, XP ve 2003- Microsoft SNA Server 4.0- Microsoft SQL Server 7.0 ve 2000- Microsoft Windows Media Player 6.4 ve üstü
Potansiyel konfigürasyon sorunları için kullanabildiğimiz ürünler :
- Microsoft Internet Explorer 5.01 ve sonraki sürümler- Internet Information Server 4.0, 5.0, 5.1 ve 6.0- Microsoft SQL Server 7.0 ve 2000- Windows NT 4.0, Windows 2000, Windows XP, Windows server 2003
MBSA Windows NT 4.0 üzerinde çalışmaz. Fakat uzaktan başka bir Windowsişletim sistemi üzerinden tarama yaptırılabilir.
MBSA’nın diğer faydaları :- Adminler merkezi olarak aynı anda bir çok bilgisayarda tarama yaptırabilirler.- MBSA minimum konfigürasyona ihtiyacı vardır.- Ücretsiz olarak Microsoftun web sitesinden indirilebilir.- MBSA versiyon 2 WSUS ile entegre olarak çalışır.
Eksik güvenlik güncellemelerini tespit edebilmek için MBSA bir çok güvenliksorununu ve sistemdeki güvenlik zayıflıklarını tarar. Bunlar arasında password dekizayıflıklar ve ortak konfigürasyon hataları vardır.
Zayıf Password : MBSA herbir bilgisayardaki local kullanıcı hesaplarının passwordlerinitest eder. Bu işi Domain Controllerlar üzerinde yapmaz. Tespit ettiği Passworddekisorunlar arasında :
- Boş şifre- Kullanıcı hesabı ile aynı olan şifreler- Bilgisayar ismi ile aynı olan şifreler- “password” olarak kullanılan şifreler- “admin” veya “administrator” olarak kullanılan şifreler
Sinan
Üst
ün
P a g e | 152
Konfigürasyon Hataları :
- Guest hesabının disable olduğunu- Expire süresi belirtilmeyen passwordler- Auditing konfigürasyonu- Anonim erişiminin uygun bir şekilde yasaklandığı bilgisayarlar- Gerekli servislerin yüklenmediği bilgisayarlar- IIS güvenlik sorunları- IE zone ayarları- Office macro güvenliği- Otomatik update konfigürasyonu- Windows firewall ayarları
MBSA’nın Çalışması :
MBSA, MSSecure.xml diye bir dosyayı kullanır. Bu dosya içinde güvenlik ile ilgilizayıflıkların bir listesi bulunur. Bu dosya MBSA tarafından otomatik olarak elde edilirveya manuel olarak internetten idirilebilir.
MSSecure.xml dosyası içindekiler :
- Güvenlik bildirileri- Ürüne özgü güncellemeler- Versiyon ve doğrulama bilgileri- Registry key değişiklikleri- Microsoft Knowledge Base yazı numaraları
MBSA Process’i :
- MBSA çalıştırılır ve taraması için bir bilgisayar seçilir.- MBSA içinde MSSecure.xml dosyası bulunan MSSecure.cab dosyasını indirir ve
dijital imzasını kontrol eder. Bu dosyayı manuel olarak ta indirebilir ve MBSAinstall klasörüne kopyalayabilirsiniz.
- MBSA, işletim sistemini, işletim sistemi bileşenlerini ve uygulamaları tarar.- MBSA MSSecure.xml dosyasını yeni güncellemeler varmı diye inceler- MBSA gerekli güncellemelerin olup olmadığı konusunda check eder- MBSA sonucu bir rapor halinde listeler.
MBSA Scan Seçenekleri :
MBSA’yı grafiksel arayüzle kullanabileceğiniz gibi komut satırından dakullanabilirsiniz. Grafksel arayüz adminler tarafından daha fazla kullanılan biryöntemdir.
Komut satırından kullanırken kullandığımız komut mbsacli.exe dir. Bu komutuçalıştırabilmek için MBSA’nın yükleme yapılan klasöründe olmamız gerekir.
Sinan
Üst
ün
P a g e | 153
MBSA’nın yüklenmesi ve kullanımı :
Microsoft’un sitesinden indirdiğimiz MBSASetup-EN.msi dosyasını bilgisayarımızayükleyelim.
Şekil 220 : Next' e tıklayın.
Şekil 221 : Lisans antlaşmasnı kabul edip Next'e tıklayın.
Sinan
Üst
ün
P a g e | 154
Şekil 222 : Kurulum yerini doğrulayıp, Next'e tıklayın.
Şekil 223 : Kurulum tamamlandıktan sonra, Start\All Programs içinden MBSA'ya ulaşabilirsiniz.MBSA'yı açalım.
Sinan
Üst
ün
P a g e | 155
Şekil 224 : İstersek Scan a Computer diyerek tek bir bilgisayarı tarattırabiliriz isterseniz de birdenfazla bilgisayarda tarama yaptırabilirsiniz.
Şekil 225 : Scan a computer dedikten sonra ilk olarak MSSecure.xml dosyasını internet üzerindenindirir.
Sinan
Üst
ün
P a g e | 156
Şekil 226 : Tarama işlemide bittikten sonra bilgisayarımızdaki açıkları bize raporlar. Burada kırmızıçarpı işareti kritik sorun, sarı çarpı işareti kritik olmayan bir sorun olarak ifade edilir.
Şekil 227 : Bir sayfa daha aşağı indiğimizde ek sistem bilgileri görülür. Mavi yıldız işareti en iyi tavsiyeolarak belirtilir. “İ” işareti ek bilgiler ve yeşil check işareti ise sorun olmadığını gösterir.
Sinan
Üst
ün
P a g e | 157
Şekil 228 : Bir sayfa dah aşağı inildiğinde, IIS ile ilgili Yönetimsel zayflıklar görülür.
Şekil 229 : En sonda da masaüstü uygulamalardaki varsa sorunlar raporlanır.
Sinan
Üst
ün
P a g e | 158
SORULAR :
Soru 1 :
You work as the network administrator at ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. TheIlketek.com network contains six database servers named ILKETEK-DB01through ILKETEK-DB06 that each run a database application named DataApp1.The Ilketek.com written policy requires that when a new user is added toDataApp1, they must be added to the server that has the most available disk space.Ilketek.com hires ten new employees. The new employees will require access toDataApp1. You need to add these users to DataApp1.What should you do to ensure that you meet the written policy requirements whenyou add the new users to DataApp1?
A. Review the application logs on each of the six database servers by using EventViewer.
B. Record the PhysicalDisk object on all six database servers by using PerformanceLogs and Alerts.
C. Review the performance data on each of the six database servers by using TaskManager.
D. Generate a histogram view of the LogicalDisk object on all six database servers byusing System Monitor.
Cevap :D
Soru 2 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.The Ilketek.com network contains a file server named ILKETEK-SR21.ILKETEK-SR21 has a 40-GB hard disk for system files and two 80-GB hard disksfor data. The 80-GB hard disks configured as mirrored volumes and contain 65-GBof read-only data. Ilketek.com users connect to ILKETEK-SR21 by usingshortcuts on their desktops.Due to the growth of the Ilketek.com network, the performance ofILKETEK-SR21 has become inadequate. You receive instruction from the CIO toreplace ILKETEK-SR21. The new server must contain the current data fromILKETEK-SR21. You disconnect ILKETEK-SR21 from the network. You builda replacement server and name it ILKETEK-SR21.You now need to bring the new server online and re-establish redundancy asquickly as possible. You must also ensure that users can connect toILKETEK-SR21 by using their existing desktop shortcuts.What should you do?
Sinan
Üst
ün
P a g e | 159
A. Create a new mirrored volume by using two 80-GB disks. Connect ILKETEK-SR21 tothe network and copy the data from the old ILKETEK-SR21.When copying is complete, shut down the old ILKETEK-SR21.
B. Move the two 80-GB disks from the old ILKETEK-SR21 to the newILKETEK-SR21.Scan the disks for changes and import the disks.Connect the new ILKETEK-SR21 to the network.
C. Break the mirror on the old ILKETEK-SR21.Move one of the 80-GB disks from the old ILKETEK-SR21 to the newILKETEK-SR21.Scan the disk for changes and initialize the disk.Select the spare disk and create the mirror.Connect the new ILKETEK-SR21 to the network.
D. Remove one of the 80-GB disks from the old ILKETEK-SR21 and move it to thenew ILKETEK-SR21.Scan the disk for changes and import the disk.Connect the new ILKETEK-SR21 to the network.
Cevap B
Soru 3 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.The Ilketek.com network contains a member server named ILKETEK-SR34.ILKETEK-SR34 hosts several applications. ILKETEK-SR34 has two 40-GBhard disks that are configured as basic disks and formatted with NTFS. The twodisks are named Disk 0 and Disk 1. Each disk is connected to a separate controller.System files are located on Disk 1.You need to increase the storage space on ILKETEK-SR34. You thus add a third40-GB hard disk on ILKETEK-SR34. You configure the new hard disk as a basicdisk and format it with NTFS.However, when you restart ILKETEK-SR34, you receive the following message:
"Windows could not start because of a computer disk hardware configurationproblem. Could not read the selected boot disk. Check boot path and diskhardware. Please check Windows documentation about hardware diskconfiguration and your hardware reference manuals for additional information."
You need to ensure that the applications on ILKETEK-SR34 are available tonetwork users as soon as possible.What should you do?
A. Use the Windows Server 2003 installation CD-ROM to restart ILKETEK-SR34.Then use the Recovery Console to repair the system.
B. Start ILKETEK-SR34 in Safe Mode with Command prompt.
Sinan
Üst
ün
P a g e | 160
C. Use the Windows Server 2003 installation CD-ROM to restart ILKETEK-SR34.Press F6 to replace the Mass Storage driver.
D. Reconfigure the new disk drive so it is enumerated after the existing drives andrestart ILKETEK-SR34.
Cevap : A
Soru 4 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. TheIlketek.com network contains a computer named ILKETEK-SR24, which runsWindows Server 2003 and Windows XP Professional in a dual boot configuration.ILKETEK-SR24 has two basic disks, which are configured as shown in thefollowing table.
PARTİTİON DİSK 0 SİZE1 System 3 GB2 Boot 4 GBN/A Unused 9 GB
3 Backup data 8 GB
Partition Disk 1 Size1 Boot 4 GB2 Application files 8 GB
N/A Unused 5 GB3 N/A N/A
You receive instruction from the CIO to create a 10-GB partition onILKETEK-SR24 to store user data. However, ILKETEK-SR24 must retain itsdual boot configuration.What should you do to create the 10-GB partition?
A. Convert Disk 0 and Disk 1 to dynamic disks.Create a 10-GB extended volume by using the unused space on Disk 0 and Disk 1.
B. Back up Partition 2 on Disk 1.Remove Partition 2 from Disk 1 and restore it on Disk 0 by using the unused space onDisk 0. Create a 10-GB partition on Disk 1.
C. Back up partition 2 on Disk 0.Remove Partition 2 from Disk 0 and restore it on Disk 1 by using the unused space onDisk 1. Create a 10-GB partition on Disk 1.
D. Convert Disk 0 and Disk 1 to dynamic disks.Back up Volume 2 on Disk 1.Remove Volume 2 from Disk 1 and restore it on Disk 0 by using the unused space onDisk 0. Create a 10-GB volume on Disk 1.
Cevap : B
Sinan
Üst
ün
P a g e | 161
Soru 5 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.A user named Mia Hamm has a client computer named ILKETEK-WS290. Oneday Hatice Yıldız complains of a problem with her client computer. You discover thatthere is a driver conflict on ILKETEK-WS290. The driver conflict was caused byan unsigned driver that has been installed for one of the hardware devices.What should you do to locate the unsigned drives on ILKETEK-WS290?
A. In the Advanced options of the File Signature Verification tool, scan the contents ofthe %Systemroot%\System folder and all subfolders.
B. At a command prompt, run the drivequery / si command and examine the output.
C. In the Advanced options of the File Signature Verification tool, scan the contents ofthe %Systemroot%\System32 folder and all subfolders.
D. At a command prompt, run the ver command and examine the output.
Answer: C
Soru 6 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. You administer a file server namedILKETEK-SR38.One morning you discover that you cannot access network resources after loggingon to ILKETEK-SR38. ILKETEK-SR38 is not communicating on the network.Before leaving work the previous evening, you had installed a new service pack andan updated network adapter driver on ILKETEK-SR38. You had performed acomplete backup of ILKETEK-SR38, including the System State data, before youinstalled the service pack and updated the driver.What should you do first to restore network communications?
A. Use Roll Back Driver to uninstall the updated driver for the network adapter andrevert back to the previous driver.
B. Use the Backup and Restore Wizard on ILKETEK-SR38 to restore the backup fromthe previous night.
C. Restart ILKETEK-SR38 and select Last Known Good Configuration option from theboot menu.
D. In the Registry Editor on ILKETEK-SR38, locate and delete the registry settings forthe network adapter driver.
Cevap : A
Sinan
Üst
ün
P a g e | 162
Soru 7 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. The Ilketek.com network contains a fileserver named ILKETEK-SR23.As ILKETEK-SR23 is running low on disk space, you add a new hard drive to theserver. You must configure a partition on the new hard disk. However, when youattempt open Disk Management to partition the hard disk, you receive the followingerror message:"Unable to connect to Logical Disk Manager service."In Services in Administrative Tools, you verify that the Logical Disk Managerservice is running. What should you do to enable Disk Manager?
A. Create more free space on the boot partition by deleting unnecessary files andfolders on it.
B. Enable the disk performance counters on ILKETEK-SR23.
C. Enable and start the Logical Disk Manager Administrative service on ILKETEK-SR23.
D. Install the Windows 2003 Administration Tools Pack on ILKETEK-SR23.
Cevap : C
Soru 8 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. The Ilketek.com domain controller isnamed ILKETEK-DC01.You want to create a preconfigured user profile for all users and you want to ensurethat they receive the preconfigured user profile when they log on to the network forthe first time. You do not want to limit the users' ability to personalize their desktopenvironments. You logon to a client computer named ILKETEK-WS290 and create apreconfigured user profile for all users.What should you do next?
A. Copy the user profile from ILKETEK-WS290 to \\ILKETEK-DC01\netlogon\DefaultUser.
B. Copy the user profile from ILKETEK-WS290 to \\ILKETEK-DC01\netlogon\DefaultUser. Change the User Profile path for all users in the Active Directory to \\ILKETEK-DC01\netlogon\Default. User.
C. Copy the user profile from ILKETEK-WS290 to the C:\Documents andSettings\Default User folder.
D. Share the Default User profile on the network.
E. Create a Folder Redirection policy in Active Directory.
Cevap : A
Sinan
Üst
ün
P a g e | 163
Soru 9 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 while some clientcomputers run Windows 2000 Professional and the others run Windows XPProfessional.All user accounts in the Research department are located in an Organizational Unit(OU) named Research. You need to create roaming user profiles for allIlketek.com users. You create a shared folder named Roaming Profiles on aserver named ILKETEK-SR04 and assign the Allow - Full Control permission onthe folder to the Everyone group.Now you need to create roaming user profiles for the user accounts in the ResearchOU.What should you do?
A. In Active Directory Users and Computers, select all the user accounts in theResearchOU and configure the profile path as\\ILKETEK-SR04\RoamingProfiles\%username%.
B. In Active Directory Users and Computers, select all the user accounts in theResearchOU and configure the profile path as \\ILKETEK-SR04\RoamingProfiles.
C. Create a new Group Policy object (GPO).In the User Configuration section of the GPO, configure Folder Redirection to use\\ILKETEK-SR04\RoamingProfiles. Link the new GPO to the Research OU.
D. Create a new Group Policy object (GPO).In the User Configuration section of the GPO, configure Folder Redirection to use\\ILKETEK-SR04\RoamingProfiles. Link the new GPO to the Domain Controllers OU.
Cevap : A
Soru 10 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.You install a new modem on a server named ILKETEK-SR04 and install thedriver for the modem. However, when you test the modem, it does not dial out. Youinstall an identical modem on a server named ILKETEK-SR05 and install thedriver. The modem on ILKETEK-SR05 dials out successfully when tested.What should you do to ascertain if the modem card in ILKETEK-SR04 isdefective?
A. In Device Manager on ILKETEK-SR04, right-click the modem and select the Scanfor hardware changes option.
B. In Modem Properties on ILKETEK-SR04, click the Modem tab, and then set themaximum port speed to the same value as the value for the maximum port speed on
Sinan
Üst
ün
P a g e | 164
ILKETEK-SR05.
C. In Modem Properties on ILKETEK-SR04, click the Diagnostics tab, and then clickthe Query Modem button.
D. In Device Manager on ILKETEK-SR04, right-click Ports and then select the Scanfor hardware changes option.
Cevap : C
Soru 11 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. A server named ILKETEK-DC01 is thedomain controller for the ilketek.com domain.The computer accounts for servers on the ilketek.com network are placed inorganizational units (OUs) that are organized by server role. Group Policy Objects(GPOs) are applied to the servers at the OU level.You install Windows Server 2003 on a new server named ILKETEK-SR24. Youneed to add ILKETEK-SR24 to the domain. You must also ensure that the appropriateGPOs are applied to ILKETEK-SR24.What should you do?
A. Prestage a domain computer account for ILKETEK-SR24in the appropriate OU andjoin ILKETEK-SR24 to the domain by using the prestaged computer account.
B. On ILKETEK-SR24, add the domain name for the Active Directory domain to theDNS suffix setting and join ILKETEK-SR24 to the domain.
C. Assign a user account the Allow - Create permission for the appropriate OU and joinILKETEK-SR24to the domain by using the user account.
D. Join ILKETEK-SR24 to the Active Directory domain and run the gpupdate /forcecommand on ILKETEK-SR24.
Cevap : A
Soru 12 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Thefunctional level of the domain is set at Windows 2000 Native. The network contains15 member servers that run Windows 2000 and 5 domain controllers that runWindows Server 2003. All client computers run Windows XP Professional.The user accounts for all users in the Research and Development department arecontained in a global distribution group named Research. You create a sharedfolder named ResearchDocs on a Windows 2000 member server namedILKETEK-SR12.You need to provide members of the Research group access to the ResearchDocsfolder.What should you do?
Sinan
Üst
ün
P a g e | 165
A. Reconfigure the Research group as a security group.
B. Reconfigure the Research group as a Universal group.
C. Reconfigure the Research group as a Domain Local group.
D. Raise the domain functional level of ilketek.com to Windows Server 2003.
Cevap : A
Soru 13 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory forest that contains two domainsnamed us.ilketek.com and uk.ilketek.com. The functional level of bothus.ilketek.com and uk.ilketek.com is set at Windows 2000 mixed. You are thenetwork administrator of the us.ilketek.com domain. The us.ilketek.com domaincontains five domain controllers. Three of these domain controllers run Windows2000 Server while the other two run Windows Server 2003.A file server named ILKETEK-SR24 hosts applications and shared folders thatusers in your domain require access to. ILKETEK-SR24 is located in theuk.ilketek.com domain. You decide to create a group named US_Users that willcontain the users from your domain that require access to the applications andshared folders on ILKETEK-SR24.How should you configure the US_Users group? (Each correct answer presents partof the solution. Choose two)
A. Configure the US_Users group as a Global group.
B. Configure the US_Users group as a Security group.
C. Configure the US_Users group as a Universal group.
D. Configure the US_Users group as a Distribution group.
E. Configure the US_Users group as a Domain Local group.
Cevap : A,B
Soru 14 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.The Research department has just hired 15 new employees. The 15 new employeesare to commence work within three days time. Andy Gray, the manager of theResearch department provides you with a list of the new employees and asks you tocreate user accounts for the new users. You create the new user accounts in ActiveDirectory Users and Computers. You must now add the new user accounts to anexisting global group named G_Research.What could you do to successfully add the users to the G_Research global group?(Each correct answer presents a complete solution. Choose two.)
Sinan
Üst
ün
P a g e | 166
A. Use the dsadd user command to add the new user accounts to the G_Researchglobal group.
B. Use the dsmod group command to add the new user accounts to the G_Researchglobal group.
C. In Active Directory Users and Computers, select all 15 new user accounts. Right-clickthe selected user accounts, and then select the Properties menu command.
D. In Active Directory Users and Computers, select all 15 new user accounts. Right-click the selected user accounts, and then select the Add to a Group menu command.
Cevap : B,D
Soru 15 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.You are in the process of deploying Windows XP Professional to 200 newcomputers. A network technician named Elif is assigned to assist you in thistask. Elif installs Windows XP Professional on a new computer namedILKETEK-WS24.However, when Elif attempts to log on to the domain fromILKETEK-WS24, the logon box does now allow her to view or select the domainname and she is unsuccessful.What should you do to ensure that Elif can log on to the domain fromILKETEK-WS24?
A. In Active Directory Users and Computers, enable the computer account forILKETEK-WS24.
B. In Active Directory Users and Computers, configure ILKETEK-WS24 as a memberof the domain.
C. In Active Directory Users and Computers, add Elif's user account to theEnterprise Admins group.
D. In Active Directory Users and Computers, add Elif's user account to the ServerOperators group.
E. On ILKETEK-WS24, add Elif's user account to the local Administratorgroup.
Cevap : B
Soru 16 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.A new security policy requires that the user account of any user who enters aninvalid password more than twice in one day must be locked out. You need to
Sinan
Üst
ün
P a g e | 167
configure domain account policy settings to enforce this new security policy.What should you do?
A. Set the minimum password age to one day.Change the Enforce password history setting to three passwords remembered.
B. Set the maximum password age to one day.Change the Account lockout duration setting to 1440 minutes.
C. Change the Account lockout threshold setting to three invalid logon attempts.Change the Reset account lockout counter after setting to 1440 minutes.
D. Change the Enforce password history setting to three passwords remembered.Change the Account lockout duration setting to 1440 minutes.
Cevap : C
Soru 17 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.One morning a user named Rory Allen informs you that he cannot remember hispassword, having changed it yesterday. Yesterday Rory Allen had successfullylogged on to the domain after changing his password.What should you do to enable Rory Allen to log on to the domain? (Choose two).
A. In Active Directory Users and Computers, add Rory Allen's user account to the UsersOrganizational Unit (OU).
B. In the user account properties of Rory Allen's user account, clear the Account islocked out check box, and select the User must change password at next logon checkbox.
C. Use Active Directory Users and Computers to reset the user's password. Give himthe new password.
D. Use Computer Management to reset the password for the local Administratoraccount. Give the user the new password.
Cevap : B,C
Soru 18 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows 2000 Professional.Ilketek.com issues a new security policy that requires all user accounts to havestrong passwords. It also states that a user account must be locked out after threeconsecutive failed logon attempts and only administrators must be able to unlock alocked out account. All Ilketek.com users have been instructed to change theirpasswords to meet the new security policy.
Sinan
Üst
ün
P a g e | 168
You are required to ensure that user accounts are locked out after three consecutivefailed logon attempts and that only administrators can unlock a locked out account.What should you do? (Each correct answer presents part of the solution. Choosetwo)
A. Set the Account lockout duration value to 0 and the Account lockout threshold valueto 3.
B. Set the Account lockout duration value to 3 and the Account lockout threshold valueto 0.
C. Set both the Account lockout duration value and the Account lockout threshold valueto 0.
D. Set both the Account lockout duration value and the Account lockout threshold valueto 3.
Cevap : A
Soru 19 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory forest named ilketek.com. TheNetBIOS name of the ilketek.com domain is ILKETEK. All servers on theIlketek.com network run Windows Server 2003 and all client computers runWindows XP Professional.Ilketek.com has its headquarters in Chicago, and a branch office in Dallas. A usernamed Kara Lang works in the Dallas branch office. Her client computer is namedILKETEK-WS290. On day Kara Lang complains that she cannot log on to thedomain from her client computer. When she attempts to logon, she receives thefollowing error message:"The system cannot log you on to this domain because the system's computeraccount in its primary domain is missing or the password on that account isincorrect."None of the other users are experiencing logon problems. You verify thatILKETEK-WS290 is connected to the network. All other users can log on to thedomain successfully.What should you do to ensure that Kara Lang can log on to the domain?
A. In the DHCP snap-in, ensure that the correct DNS server settings are configured inthe DHCP server options.
B. In Active Directory Users and Computers, ensure that the computer account forILKETEK-WS290 does exist.
C. In Active Directory Users and Computers, reset the password for Kara Lang's useraccount.
D. In the DNS snap-in, verify that the host (A) resource record for ILKETEK-WS290does exist.
Cevap : B
Sinan
Üst
ün
P a g e | 169
Soru 20 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.Sales, a shared folder on a member server, has default share and NTFS permissions.Then you create a folder named SalesForecast, with the default NTFS permissions,in Sales.SalesManagers is a domain user group that holds the user accounts of all managersin the sales department. When SalesManagers members try to add files toSalesForecast, they receive the "Access is denied" error message.You have received instruction from the CIO to configure permissions on thesefolders to fulfill the following requirements:1. SalesManagers members must have the ability to create, modify, and delete filesin both folders.2. All other domain users to only have the ability to read files in both folders.How will you accomplish the task? (Each correct answer presents part of thesolution. Choose two)
A. Grant the SalesManagers group the Allow - Change NTFS permission on Sales.
B. Grant the SalesManagers group the Allow - Write NTFS permission on Sales
C. Grant the SalesManagers group the Allow - Change share permission on Sales.
D. Grant the Everyone group the Allow - Change share permission on Sales.
E. Grant the SalesManagers group the Allow - Modify NTFS permission on Sales
Cevap : C,E
Soru 21 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. The functional level of ilketek.com is setto Windows 2000 native.ResearchDocs is a shared folder on the network. Your boss reports that she is oftenunable to access this folder. Upon investigation you find that the problem occurswhenever more than 10 users try to connect to the folder.You have received instruction from the CIO to ensure that all appropriate users canaccess ResearchDocs.How will you accomplish the task?A. You need to purchase extra client access licenses.B. You need to up the functional level of the domain from Windows 2000 native toWindows Server 2003.C. Change the ResearchDocs' location to one of the servers.D. You need to increase the default user quota limit.E. You need to decrease the default user quota limit.
Cevap : C
Sinan
Üst
ün
P a g e | 170
Soru 22 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com.The Ilketek.com Staff department has a Windows 2003 computer that functionsas a file server. The computer contains a folder named ResearchDocs. Auditing isenabled on the ResearchDocs folder. The Ilketek.com Staff department reportsthat confidential files were deleted from the folder.You have received instruction from the CIO to identify the user who deleted theconfidential files.How will you accomplish the task? (Each correct answer presents part of thesolution. Choose two.)
A. Create a new log view from the system log in Event Viewer
B. Create a new log view from the security log in Event Viewer.
C. Set a filter to display only success audits.
D. Set a filter to display only failure audits.
Cevap : B,C
Soru 23 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single IP subnet. All servers on the Ilketek.com network runWindows Server 2003 and all client computers run Windows XP Professional.All requests from the local client computers to port 80 on the Internet are blockedby the corporate firewall. Requests sent over port 443 are allowed through thefirewall. Servers can communicate by using port 80 and 443 to the Internet.ILKETEK-SR34 is a server with limited hard drive space and stores a minimalamount of information on a daily basis. However, because all client computers mustinstall Microsoft Critical Updates, you need to install Software Update Services(SUS) on ILKETEK-SR34.You have received instruction from the CIO to ensure that ILKETEK-SR34 doesnot run out of hard drive space after the installation of SUS.How will you accomplish the task?
A. Make https://windowsupdate.microsoft.com the default homepage for all the clientcomputers.
B. Select the option to maintain the updates on a Windows Update server onILKETEK-SR34.
C. Clear the Selection of all locales not used on your network on ILKETEK-SR34.
D. Make http://ILKETEK-SR34 the proxy server setting for all client computers.
Cevap : C
Sinan
Üst
ün
P a g e | 171
Soru 24 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Thenetwork is connected to the Internet through a Microsoft Internet Security andAcceleration (ISA) Server computer named ILKETEK-SR33. ILKETEK-SR33 isset to automatically configure client proxy settings.You have received instruction from the CIO to install Software Update Services(SUS) on a computer named ILKETEK-SR34. ILKETEK-SR34 is to be the onlySUS server on your network. SUS installation must comply with the followinglimitations:1. Use the least amount of disk space on ILKETEK-SR34.2. Before deployment, all updates must be tested offline.3. ILKETEK-SR34 should return its NetBIOS name when client computersconnect because IP addressing schemes in Ilketek.com change often.How will you accomplish the task? (Choose all that apply)
A. Do not use ILKETEK-SR34 as a proxy server to access the Internet.
B. Set ILKETEK-SR34 for manual approval of new versions of previously approvedupdates.
C. Set ILKETEK-SR34 to synchronize from a local SUS server.
D. Change the Specify the name that your clients use to locate this update server toILKETEK-SR34.
E. Set ILKETEK-SR34 to maintain updates on a Windows Update server.
Cevap : B,D,E
Soru 25 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional.All client computer objects are stored in the Clients organizational unit (OU). Clientcomputers receive critical security patches from servers at Microsoft.A server named ILKETEK-SR02 has Software Update Services (SUS) installedand configured. You enable ILKETEK-SR02 to obtain and store security patchesfor distribution on the internal network.You have received instruction from the CIO to ensure that all client computersreceive future security patches from ILKETEK-SR02 only. You open the GroupPolicy object (GPO) for the Clients OU.Which setting should you configure to accomplish the task?
A. Configure the Computer Configuration\Software Settings\Software Installationsettings.
B. Configure the User Configuration\Administrative Templates\WindowsComponents\Windows Installer settings.
C. Configure the Computer Configuration\Administrative Templates\Windows
Sinan
Üst
ün
P a g e | 172
Components\Windows Update settings.
D. Configure the User Configuration\Software Settings\Software Installation settings.
E. Configure the User Configuration\Administrative Templates\WindowsComponents\Windows Update settings.
F. Configure the Computer Configuration\Administrative Templates\WindowsComponents\Windows Installer settings.
Cevap :C
Soru 26 :
You work as the network administrator at Ilketek.com. The Ilketek.comnetwork consists of a single Active Directory domain named ilketek.com. Allservers on the Ilketek.com network run Windows Server 2003 and all clientcomputers run Windows XP Professional. Ilketek.com has headquarters inLondon and branch offices in Paris, Berlin, Milan, Madrid, Stockholm, Warsaw,Minsk, and Athens. You work at the headquarters in London.A Ilketek.com employee named Amy Walsh works in a branch office. Onemorning Amy Walsh complains that her client computers cannot connect to aremote VPN server. You suspect that her client computer did not receive a recenthotfix.You have received instruction from the CIO to verify which hotfixes are installed onAmy Walsh's computer.How will you accomplish the task?
A. You should view the History_synch.xml file.
B. You should run the wmic.qfe command from a command prompt.
C. You should view the History_Approve.xml file.
D. You should view the acatalog.cab file.
E. You should run the update.exe command from a command prompt.
Cevap : B
Soru 27 :
You work as the network administrator at Ilketek.com. The Ilketek.comdomain contains 50 servers running Windows Server 2003 and 4,500 clientcomputers running Windows XP Professional, and 2,500 client computers runningWindows 2000 Professional.A server named ILKETEK-SR01 has Software Update Services (SUS) installedand configured. You have received instruction from the CIO to scan all computersin the domain to find out whether they have received all approved updates that arelocated on the SUS server.How will you accomplish the task?
A. You should run the netsh.exe command from a command prompt onILKETEK-SR01 to scan all the computers in the domain.
Sinan
Üst
ün
P a g e | 173
B. You should install and run the mbsacli.exe command with the relevant switches.
C. You should enable the Configure Automatic Updates policy by editing andconfiguring the Default Domain Policy.
D. You should install and configure urlscan.exe on a server that runs IIS.
Cevap : B
Soru 28 :
You work as the network administrator at Ilketek.com. All servers on theIlketek.com network run Windows Server 2003.ILKETEK-SR34 functions as an application server. Users in the Ilketek.comResearch department use an application on ILKETEK-SR34 to analyze data withthe result of this application producing a high volume of disk activity.15 new users have been given access for the application on ILKETEK-SR34. Usersin the Ilketek.com Research department report unacceptable delays when theyuse the application during periods of peak activity. You use System Monitor toanalyze the performance of ILKETEK-SR34.You have received instruction from the CIO to ensure that ILKETEK-SR34 cansupport the new users.Which counter should you monitor?
A. You should monitor the Disk Transfers/sec counter for the LogicalDisk performanceobject.
B. You should monitor the % Disk Time counter for the LogicalDisk performanceobject.
C. You should monitor the % Disk Time counter for the PhysicalDisk performanceobject.
D. You should monitor the Free Megabytes counter for the LogicalDisk performanceobject.
E. You should monitor the Current Disk Queue Length counter for the PhysicalDiskperformance object.
Cevap : C
Soru 29 :
You work as the network administrator at Ilketek.com. All servers on theIlketek.com network run Windows Server 2003. A server namedILKETEK-SR34 hosts applications for network users.ILKETEK-SR34 contains a motherboard capable of supporting two CPUs. OneCPU is currently installed. ILKETEK-SR34 has 512 MB of RAM and a single 36 -GB integrated device electronics (IDE) hard disk. It has a 10 MB Ethernet cardconnected to a 10/100 Mb switch.After five months of use, network users report unacceptable response times on theirapplications from ILKETEK-SR34.You open System Monitor on ILKETEK-SR34 and see the information illustratedin the following table.
Sinan
Üst
ün
P a g e | 174
COUNTER MİNİMUM MAXİMUM AVERAGEMemory -Pages/sec
0.00 31.97 1.22
Logical Disk -Avg. DiskQueue Length
.69 20.61 9.73
Processor - %ProcessorTime
3.00 100.00 5.15
NetworkInterface -Bytes/sec
189.72 2927.84 379.46
You have received instruction from the CIO to improve the performance ofILKETEK-SR34.How will you accomplish the task?
A. You should replace the 10-Mb Ethernet card with a 100-Mb Ethernet card
B. You should add a second Central Processing Unit (CPU).
C. You should replace the existing hard disk with a more efficient and faster one. D.You should add an extra 512 MB of Random Access Memory (RAM).
D. You should add an extra 512 MB of Random Access Memory (RAM).
Cevap : C