Active Directory Domain Servisleri Dinamik Port Aralığını Kısıtlamak

Active Directory’de bulunan Netlogon ve NTDS servisleri; dinamik port aralığını kullanmaktalar. DMZ ortamında veya Firewall arkasında bulunacak olan bir AD sunucusu için dinamik port aralığına komple izin vermek yerine, aşağıdaki regedit anahtarlarını değiştirerek bu servislerin spesifik portları kullanmasını sağlayabilirsiniz.

Bu işlemleri yapmadan önce kayıt defterinizin backup’ını almanız sizin için faydalı olacaktır.

Ayrıca aşağıdaki değişiklikleri yaptıktan sonra AD DS sunucunuzu restart etmeniz gerekmektedir. İki servis için de aynı portu kullanmak yerine farklı portları kullanarak ileride oluşabilecek sorunların önüne geçebilirsiniz.

1
2
3
4
5
6
7
8
9
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: (available port)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: (available port)

Active Directory Domain Servisleri Firewall Portları

AD Sunucularınızı erişime kısıtlamak istiyorsanız aşağıdaki tablodan faydalanabilirsiniz.

 

Protocol and Port AD and AD DS Usage Type of traffic
TCP and UDP 389 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP
TCP 636

Directory, Replication, User and Computer Authentication, Group Policy, Trusts

LDAP SSL
TCP 3268 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP GC
TCP 3269 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP GC SSL
TCP and UDP 88 User and Computer Authentication, Forest Level Trusts Kerberos
TCP and UDP 53 User and Computer Authentication, Name Resolution, Trusts DNS
TCP and UDP 445 Replication, User and Computer Authentication, Group Policy, Trusts SMB,CIFS,SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
TCP 25 Replication SMTP
TCP 135 Replication RPC, EPM
TCP Dynamic Replication, User and Computer Authentication, Group Policy, Trusts RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS
TCP 5722 File Replication RPC, DFSR (SYSVOL)
UDP 123 Windows Time, Trusts Windows Time
TCP and UDP 464 Replication, User and Computer Authentication, Trusts Kerberos change/set password
UDP Dynamic Group Policy DCOM, RPC, EPM
UDP 138 DFS, Group Policy DFSN, NetLogon, NetBIOS Datagram Service
TCP 9389 AD DS Web Services SOAP
UDP 67 and UDP 2535 DHCP

Note
DHCP is not a core AD DS service but it is often present in many AD DS deployments.
DHCP, MADCAP
UDP 137 User and Computer Authentication, NetLogon, NetBIOS Name Resolution
TCP 139 User and Computer Authentication, Replication

DFSN, NetBIOS Session Service, NetLogon

SCCM Client Manuel Kaldırma

SCCM client’ı elle kaldırma ihtiyacınız doğarsa aşağıdaki betiği .bat olarak kaydedip sunucunuzda yönetici olarak çalıştırıp kullanabilirsiniz.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@echo off
echo Please Wait while the system is uninstalling Microsoft's SMS/SCCM Client.

echo Checking for SCCM 2007 client...
IF EXIST %windir%\System32\ccmsetup\ccmsetup.exe GOTO DEL07
echo No SCCM 2007 client found.

echo Checking for SCCM 2012 client...
IF EXIST %windir%\ccmsetup\ccmsetup.exe GOTO DEL12
echo No SCCM 2012 client found.

echo Checking for SMSCFG file...
IF EXIST %windir%\SMSCFG.INI GOTO DELINI
echo No SMSCFG file found.
echo All software already removed or no client installed.

GOTO END

Continue reading “SCCM Client Manuel Kaldırma”

Hyper-V Cluster – Node Kapanınca VM’lerin Hareket Yapısı

Merhaba,

Bu yazıda, Hyper-V clusterı oluşturan fiziksel makinelerin (Node) Maintenance Mode’a alınması durumunda üzerlerinde tuttukları sanal makinelerin (VM) hareketlerinin ne şekilde olduğuna bakacağız.

Bildiğiniz üzere Hyper-V’de çalışan VM’lerimiz için Low, Medium ve High olmak üzere üç tip öncelik seviyesi belirleyebiliyoruz. Burada belirlediğimiz öncelik seviyesi, sanal makinelerimizin hareketinin ne şekilde olduğuna da karar verilmesine yardımcı oluyor.

Öncelikle Hyper-V’de sanal makinelerimizi Migrate ederken bu hareketi Live Migration veya Quick Migration şeklinde iki şekilde yapabildiğimizi hatırlamamız gerekiyor. Live Migration’da daha fazla bant genişliği kullanılmakta fakat makineye olan connectionlar düşürülmemekte. Makine live migration esnasında operasyonel durumunu koruyabilmektedir. Fakat Quick Migration’da ilk olarak makine Saved State dediğimiz duruma alınmakta ve bu haliyle diğer node’a taşınmaktadır. Quick migration daha az bant genişliği tüketip daha hızlı bir şekilde tamamlanırken bu migration esnasında connectionlar düşürülmektedir.

Node’larımızdan birisinde problem olduğunda ise, cluster servisi ilk önce makinelerin prioritylerine bakmakta ve göç işlemlerini bu priority değerine göre yapmaktadır. Eğer makinelerimiz High veya Medium priority’e sahipse, Live Migration kullanılarak makineler taşınmakta ve kesinti yaşanmamaktadır. Fakat Low priority seçtiğimiz makineler ilk önce High ve Medium prioritye sahip makinelerin işlemlerinin bitmesini beklemekte, daha sonra Saved State’e alınarak Quick Migration ile taşınmaktadır.

Eğer herhangi bir öncelik seçilmemişse, Hyper-V servisi Medium priority seçilmiş gibi davranmaktadır. Bu varsayılan değeri değiştirmek için Virtual Machine resource type’ı içinde MoveTypeThreshold değerinde tutulan değeri değiştirmemiz gerekmektedir. Eğer sadece Live Migration veya Quick Migration kullanılmasını istiyorsak bu değeri değiştirmeliyiz. Bu değer Low makineler için 1000, Medium için 2000 ve High için 3000 şeklinde tanımlanmıştır.

Bu değeri değiştirmek için aşağıdaki komut kullanılabilir:

1
Get-ClusterResourceType “Virtual Machine” | Set-ClusterParameter MoveTypeThreshold 1000

Exchange Server Kota Takip Betiği

Exchange kotası dolmak üzere olan kullanıcılara otomatik mail atarak temizlik yapmalarını istese de, kullanıcıların mail kotalarını zamanlanmış bir görevle mail olarak almak isteyebilirsiniz. Bunun için, şu sayfada da yazılmış olan Powershell betiğini kullanabilirsiniz. Betikte bulunan TGet-MailboxSizeQuota.ps1 isimli bir fonksiyon aracılığı ile, sizin tanımlayabileceğiniz bir oranın üzerinde kota kullanımına sahip olan kullanıcıları tespit edilebiliyor.

İlgili betiği Zamanlanmış görev olarak ekledikten sonra kotası belli bir oranın üzerine çıkmış kullanıcıları tespit edebilirsiniz.

Powershell Otomatik Kısaltmayı İptal Etme

Merhabalar,

Powershell ile yazdığımız çıktılarda Powershell varsayılanda belli bir karakter sonrasını …} şeklinde kapatarak kısaltıyor. Fakat Powershell’den aldığımız çıktının tamamını görmek istediğimiz zaman bu bizim için problem oluşturmakta. Çıktıyı formatlama komutlarından Format-Table (ft) veya Format-Line (fl) komutlarını kullansanız da, kısaltmaya devam ediyor.

Bu kısaltmadan kurtulmak için uygulayabileceğimiz kolay bir yöntem bulunuyor. İlk yöntem, çıktının alabileceği boyutu uzatmak. Bunu şu şekilde yapabiliyoruz.

1
Get-CsAnalogDevice | ft Identity,RegistrarPool | out-string -Width 160

Buradaki Out-String -Width 160 komutu, çıktımızın Powershell ekranına göre 160 sütundan oluşabileceğini gösteriyor.
Ama tabii ki çıktımızın tam boyutunu bilemediğimiz zamanlarda sınırı tamamen kaldırmak isteyeceğiz. Bunu yapmak için de Powershell’de aşağıdaki komutu çalıştırmamız yeterli.

1
$FormatEnumerationLimit=-1

Bu komutu çalıştırdıktan sonra, ft veya fl ile oluşacak olan çıktılarımızın sınırını kaldırmış oluyoruz.

SQL Server Shrink Database Kalan Süreyi Hesaplama

SQL Server üzerinde özellikle büyük boyutlu databaselerde bulunan gereksiz alanları boşa çıkarırken kullandığımız DBCCFILESCOMPACT fonksiyonu, normalde kalan süreyi göstermiyor. Aşağıdaki komutu SQL Server üzerinde yeni bir sorgu olarak çalıştırırsanız güncel shrink operasyonu hakkında detaylı bilgiler bulabilirsiniz.

1
2
3
SELECT percent_complete, start_time, STATUS, command, estimated_completion_time/1000/60 AS 'Minutes to Completion', total_elapsed_time/1000/60 AS 'Minutes Elapsed', wait_type, last_wait_type
FROM sys.dm_exec_requests
WHERE command = 'DbccFilesCompact'

Windows Login Ekranına İkinci Bir Klavye Seçeneği Ekleme

1
Get-Item "HKLM:\SYSTEM\CurrentControlSet\Control\Keyboard Layout\DosKeybCodes"

Powershell komutuyla mevcut olan klavye dillerini seçtikten sonra,

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload altına yeni bir REG_SZ (String) anahtar ekleyerek bunun içeriğini ilgili dil koduyla güncelledikten sonra RDP üzerinden gelen kullanıcılara kullanmaları için ikinci bir dil ekleyebilirsiniz.

Powershell ile WSUS Üzerindeki Tüm Güncellemelerin Onaylanması

Aşağıdaki betik ile bu işlemi WSUS konsolunu açmadan gerçekleştirebilirsiniz.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
$wsusserver = 'WSUS_SUNUCU_ADI'
#Load required assemblies
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer($wsusserver,$False)

$update = $wsus.GetUpdates()
$all = [Microsoft.UpdateServices.Administration.UpdateApprovalAction]::All
$install = [Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install

#Pick a group to approve an update for
$group = $wsus.GetComputerTargetGroups() | ? {$_.Name -eq "All Computers"}
#Approve the update
$update.Approve($install,$group)
pause

Project Honolulu – Microsoft’un Web Üzerinden Yönetim Aracı

Bilindiği üzere Microsoft, son zamanlarda Azure ortamına oldukça yatırım yapıp tüketicilere sunmanın yanında, on-premise ortamların da GUI yerine komutlarla yönetilmesini teşvik ediyor. Bunu gerek Server 2012 ile karşımıza çıkan Windows Server Core altyapısı ile, gerekse de Windows Server 2016 ile karşımıza çıkan Nano sürümle yapıyor. Bilindiği üzere Nano arayüze herhangi bir RDP vs. çekme olanağı yok, yapılmak istenen her şeyin Remote Powershell oturumları ile yapılması gerekiyor.

Microsoft, GUI’den Command-line’a geçişi kolaylaştırmak ve bazı işlemlerin ne kadar komut üzerinden yapılabilecek olsa da GUI üzerinden daha hızlı yapılabildiği gerçeğinden yola çıkarak, Project Honolulu adında beta bir proje ortaya çıkardı. Peki Honolulu bize ne kazandırıyor, öngereksinimleri neler?

Honolulu için gereksinimler

  • Honolulu web yönetim aracı ile Windows Server 2012 ve üzeri sürümler yönetilebiliyor.
  • Honolulu aracını Windows 10 veya Windows Server 2016 bir işletim sistemi üzerine yüklemeniz gerekiyor.
  • Honolulu ile Hyper-v Server 2012 R2 veya Hyper-V Server 2016 yönetilebiliyor.

Honolulu ile Neler Yapılabilir?

  • Kaynakların görüntülenmesi ve yönetilmesi
  • Sertifika Yönetimi
  • Olay Görüntüleyicisi
  • Dosya Gezgini
  • Firewall Yönetimi
  • Yerel Kullanıcı ve Grupların Yönetimi
  • Network Ayarları
  • Çalışan Processlerin Görüntülenmesi ve Dumplarının Alınması
  • Kayıt Defteri Yönetimi
  • Servislerin Yönetimi
  • Rol ve Featureların Eklenmesi/Kaldırılması
  • Hyper-V Sanal Makine ve Sanal Switchlerin Yönetilmesi
  • Depolama Alanlarının Yönetimi
  • Windows Update Yönetimi

Honolulu geleneksel MMC aracının yerine gelmiş gibi gözükse de, özellikle Role Administration Tools olarak adlandırılan RSAT araçlarının Honoluluda herhangi bir karşılığı bulunmuyor. Özellikle Nano veya Core sürüme yüklenen rollerin yine Remote Powershell oturumları ile yönetilmesi gerekiyor.