Mesut ALADAĞ

SID Numarası (Security Identifiers)

Kullanıcı, bilgisayar ve grup hesapları oluşturulduklarında, bu hesaplara otomatik olarak SID(security identifier) isimli bir numara atanır. SID oluşturulan hesabı tanımlayan benzersiz bir numaradır. SID NT4.0 zamanından bu yana hala kullanılmaktadır. Sistem hiçbir zaman sizi isminizle bilmez, SID numaranızla bilir ve tanır. Kullanıcı isimleri sadece bizim grafiksel arayüzden verdiğimiz tanımlamalardır. Bir kullanıcı adını silip, tekrar aynı adla yeni bir kullanıcı açmak grafiksel arayüzden mümkündür.Fakat isimleri aynı olmasına rağmen iki kullanıcıların SID numaraları hiçbir zaman arka planda aynı olmaz. Çünkü SID hiçbir zaman tekrar kullanılmaz. Kullanıcı hesabı silindiği anda SID numarası da onunla birlikte silinir. Tipik bir SID örneğini aşağıda görmektesiniz.

S-1-5-21-1659004503-193565697-854245398-1002

SID numarasını farklı segmentlere bölebilirsiniz. Örneğin aşağıdaki gibi:

S-1-5-21-D1-D2-D3-RID

S-1-5 standart bir ön ektir. Burada 1 versiyon numarasıdır ve NT 3.1 versiyondan bu yana hiç değişmedi. 5 ise SID’nin NT tarafından atandığını gösteren tanımlamadır. 21 yine bir NT ön ektir. D1,D2,D3 ise domain’e özgü olan 32-bitlik tanımlayıcı numaradır. Bir domain kurulunca D1′den D3′e kadar olan numara otomatik oluşur ve aynı domain içerisindeki bütün objeler için bu D1,D2,D3 değerleri aynı olur. En sondaki RID, relative identifier‘ın kısaltmasıdır. Ve SID numarası içerisinde ait olduğu objeyi benzersiz kılan ve diğer objelerden ayıran numaradır. Her yeni hesap benzersiz bir RID numarasına sahiptir. Hatta eski kullanıcı ile aynı isim ve bilgiler kullanılsa bile RID her zaman farklıdır. Dolayısıyla, yeni açılan kullanıcının adı eski kullanıcı ile aynı olsa da RID numarası farklı olacağı için eski kullanıcının haklarını hiçbir şekilde kullanamayacaktır.

GUID (Globally Unique Identifier)

Active Directory ortaminda bulunan her objeye atanan 128-bitlik (16-byte) degismeyen ve benzersiz bir numaradır. Ve Active Directory icerisindeki aramalarda ve replikasyonda kullanılır.

Active Directory ortaminda olusturulan her objeye otomatik olarak atanir ve o objenin objectGUID property degerinde saklanir.

Objelerin isimleri ya da konumlari degistigi zaman objenin Tanimlama ismi (Distinguished Name - DN) degisecektir. ismi ve konumu degisse de objenin GUID numarası değişmeyecektir. Ayni forest icerisinde bir kullanici, bilgisayar ya da grup hesabini bir domainden baska bir domaine tasiyinca atanan SID numarasi degisir, fakat GUID numarası aynen korunur.

Active Directory ortaminda objelere ait bilgilerin tutuldugu tablolarda satirlarin benzersizligi bu GUID numaralari ile saglanmakta ve obje uzerindeki degisikliklerin veritabanına yazılması da yine bu GUID numaraları referans alınarak gerçekleştirilmektedir.

Asagidaki adimlari gerceklestirerek SBS 2000 active directory yapisini Windows Server 2003 active directory yapisina yukseltebilirsiniz :�

1. Windows Server 2003 yeni server sistemine kurun ve mevcut SBS 2000 domainine member server olarak katin. (Tabii DNS vb. adres ayarlarini oncelikle yapin).
   
2. SBS 2000 DC uzerinde Windows Server 2003 CD si icerisinde I386 dizininden adprep.exe  /forestprep ve adprep.exe /domainprep komutlarini calistirin. Bu islem mevcut SBS 2000 Active Directory Schema yapisini Windows 2003 Active Directory Schema yapisina yukseltecektir.  Adprep kullanimi hakkinda http://support.microsoft.com/?id=278875 makalesinden de genis bilgi elde edebilirsiniz.
   
3. Schema yukseltilmesi basariyla tamamlandiktan sonra, dcpromo ile bu yeni Windows 2003 Server’i Additional DC olarak active directory kurulumunu gerceklestirerek mevcut SBS 2000 domaine ADC olarak katin.
   
4. Active Directory kurulumu yeni server uzerine basariyla gerceklestirildikte n sonra,  Control Panel Add-Remove ProgramsàAdd-Remove ComponentsàNetworking ServicesàDNS Servisini kurun. Administrative Tools àDNS konsolunda otomatik olarak mevcut DNS uzerindeki Active Directory Integrated Zone bilgileri olusacaktir. Eger olusmazsa ve ayrica farkli isimde Standart Primary DNS Zone bilgileri mevcutsa, Forward Lookup Zone ve varsa Reverse Lookup Zone yapilarinizi olusturun ve mevcut DC’deki tum DNS kayitlarinin dogru bir sekilde yeni ADC uzerinde de olustugunu kontrol edin.
   
5. Yine yeni ADC uzerinde Administrative ToolsàActive Directory Site and Services àSitesàDefault-First- Site-Name altinda yeni ADC altinda NTDS Settings Properties’ine girin ve Global Catalog kutusunu doldurup, yeni ADC bilgisayarini ayni zamanda Global Catalog Server olarak yapilandirin. Event loglarda 1119 veya 1869 olaylari takip edilerek bu yeni ADC’nin GC oldugunu izleyin.
   
6. Sira geldi mevcut SBS 2000 DC uzerindeki Forest Operation Master Roller (Domain Naming Master ve Schema Master) ile, Domain Operation Master Rollerin (PDC Emulator, RID Master, Infrastructure Master) yeni ADC uzerine aktarilmasina. Forest bazinda rollerden Domain Naming Master rolunun aktarilmasi icin Administrative ToolsàActive Directory Domains and Trusts girin. Active Directory Domains and Trusts uzerinde sag tus àConnect Domain Controller ile yeni ADC’ye baglanin. Hemen akabinda en ustteki Active Directory Domains and Trusts yazisi uzerinde sag tus Operations Master tiklayin.
   
7. Karsiniza gelecek Change Operation Master penceresinde ustte su an bu rolun sahibi olan  mevcut DC adini, altta da baglandiginiz ADC adini goreceksiniz. Domain Naming Master rolunu yeni ADC ye aktarmak icin Change butonuna basmaniz yeterlidir. Size herhangi bir hata meydana gelmezse, islemin basariyla tamamlandigini soyleyen mesaji verecektir. Sira geldi Schema Master rolunu aktarmaya. Bunun icin de StartàRun gelin ve asagidaki komutu calistirin.
   

�
 

Regsvr32.exe %systemroot% \system32\ schmmgmt. dll

�
 

Bu komut ile Active Directory Schema Snap-in nesnesini register ettik. Yine StartàRun gelin ve MMC ile MMC konsolu acin. FileàAdd-Remove Snap-inàAddàActive Directory Schema Snap-in eklentisini konsola ekleyin ve konsol ana penceresine gelin. Active Directory Schema uzerinde sag tus àChange Domain Controller ile yeni ADC adini girerek ona baglanin. Hemen akabinde yine Active Directory Schema uzerinde sag tus Operations Master tiklayin. Ve Change ile Schema Master rolunu de yeni ADC’ye aktarin.

Sira geldi domain bazinda rolleri aktarmaya. Bunun icin de Active Directory Users and Computers acin. Domain uzerinde sag tus Connect to Domain Controller ile yeni ADC’ye baglanin. Daha sonra yine domain uzerinde sag tus Operation Master tiklayarak PDC, RID ve Infrastructure tabindan butun bu rolleri yeni ADC’ye aktarin.

Rollerin aktarimini komut satirindan NTDSUtil araciyla gerceklestirmeniz de mumkun. Bu konuda http://support.microsoft.com/?id=255504 makalesinden de faydalanabilirsiniz.

1. Artik eski DC uzerinde butun rolleri ve gerekli servisleri yenisine aktarmis olduk. Yeni  Windows 2003 server DC rolune sahip oldu, eski SBS 2000 server da ADC rolune gecti. �
   
2. Bu islemin mevcut sistemde oturmasi icin belli bir sure bekleyin.

3. Client bilgisayarlar uzerinde Preferred DNS Server olarak eski DC’nin adresi tanimli ise bunu yeni DC’ye gore degistirin. Ve clientlarin yeni DC uzerinden basarili bir bicimde sisteme giris yapabildiklerinden, DNS uzerinden basariyla isim cozumlemesi yaptiklarindan, GPO’larin basariyle uygulandigindan emin olmak icin gerekli testlerinizi hem lokal hem de dis baglantilar icin (eger varsa) yapin.

   Eger ADC rolune gecen SBS 2000 uzerinde kullanici datalari, vb. onemli bilgiler varsa bunlari da yeni DC ya da farkli bir server uzerine kopyalayin. Burada  da serverlar arasi klasor ya da dosyalari kopyalarken izinleri de beraberinde kopyalamak  isterseniz XCOPY aracini kullanabilirsiniz. http://support. microsoft. com/kb/323007 adresinde detayli bilgileri bulabilirsiniz. Ayrica ROBOCOPY aracini da kullanabilirsiniz. http://support. microsoft. com/kb/323275/ adresinde Robocopy kullanimi hakkinda bilgi alabilirsiniz.Robocopy‘nin  GUI versiyonunu http://www.gotdotne t.com/Workspaces /Workspace. aspx?id=108f89b9 -be0b-4ec4- 9736-3a43d39f014 6 ,
   

https://www. microsoft. com/technet/ technetmag/ issues/2006/ 11/UtilitySpotli ght/default. aspx,

http://www.microsof t.com/technet/ technetmag/ issues/2006/ 11/UtilitySpotli ght/default. aspx

adreslerinden de incelemenizi de  tavsiye ederim.

            Eger SBS 2000 uzerinde Exchange uygulamasini da kullaniyorsaniz, yeni bir mail server kurulumunu yapip, SBS 2000 uzerindeki mailbox ve public folder bilgileri yeni server’a  transfer etmeniz gerekir. Exchange bilgileri SBS 2000′den Windows Server 2003 uzerinde calisan Exchange Server 2003′e transfer edildikten sonra http://support.microsoft.com/default.aspx?scid=kb;en-us;822931 adresindeki makaledeki adimlar takip edilerek SBS 2000 uzerindeki Exchange Server sistemden kaldirilir.

�
 

12.  Artik SBS 2000 uzerinde dcpromo.exe ile active directory kurulumunu calistirip, active directory uygulamasini eski server uzerinde kaldirabilirsiniz.  Eger eski server  uzerinden dcpromo ile active directory uygulamasini kaldirmadan sistemden cikartirsaniz, eski server a ait kalintilari elle temizlemeniz gerekir. Bununla ilgili olarak da http://support. microsoft. com/kb/216498 makalesini inceleyebilirsiniz. Fakat size onerim eski server uzerinden dcpromo ile active directory uygulamasini kaldirmaniz. Ayrica domain ortaminda domainin saglamligi, guvenilirligi ve sistemin devamliligi acisinda DC yaninda en az bir ADC bulundurmaniz, Dolayisiyla mevcut DC cokerse ya da herhangi bir nedenden dolayi devre disi kalirsa sistemdeki ADC uzerinden kullanicilar calismaya devam edecektir. Bundan dolayi Windows 2003 DC yanina bir de Windows 2003 ADC eklemenizi onemle oneriyorum. 

Oncelikle upgrade ya da migration surecine baslamadan once SBS 2000 uzerindeki surucu ve dosyalarda bir virus kontrolu yapmaniz da fayda var. Burada ozellikle Exchange 2000′deki M surucusu aktifse, bu surucuyu tarama disi birakin ki, exchange veritabaniniza herhangi bir zarar gelmesin. 

1. Kullanici datalari, System State ve Exchange yapinizin bir full backup ‘ini alin.  
   
2. Yine Exchange 2000′deki M surucusu aktifse, bu surucunun yedegini almaya calismayin, exchange database’ini bozabilirsiniz. Windows Backup ya da kullandiginiz 3^RD parti yedekleme urunundeki Exchange modulunden Exchange yedeklemesini yapin.  
   
3. Yedeklemeden sonra, mevcut yapinizin SBS 2003 gecisine hazir olup olmadigiyla ilgili gereksinimleri kontrol etmeniz gerekir. SBS uzerinde SP1 kurulu oldugunu kontrol edin. Bu islemi StartSBS Administrator Console konsolunda Server Status’den About’a tiklayarak gorebilirsiniz.  
   
4. Eger upgrade yontemini kullanacaksaniz, SBS 2000 uzerindeki uygulamalarin SBS 2003 ile uyumlu oldugundan emin olun.  
   
5. SBS 2000 uzerinde Local System Account uzerinden calisan non-Microsoft uygulamalara ait servisleri durdurun. Aksi halde isletim sistemi dosyalarinda upgrade esnasinda kilitlenmelere neden olabilirler. Bunun kontrolu icin de Services konsolunda LogonAs kolonunda Local System Account yazanlari bulmaniz gerekecektir.  
   
6. Ayrica SBS 2000 uzerinde real-time olarak calisan antivirus uygulamasi, yedekleme yazilimi, anti-spyware uygulamalari varsa bunlari kapatin ve devre disi birakin.  
   
7. Eger upgrade degil de migration yontemini kullanacak ve sistemi yeni alacaginiz bir server uzerinde SBS 2003′e gecirecekseniz; donanimsal olarak almis oldugunuz donanımın SBS 2003 ile uyumlulugunu http://go.microsoft.com/fwlink/?LinkId=16820 adresindeki Windows Server Catalog’dan kontrol etmenizde fayda var.  
   
8. Eger mevcut SBS 2000′i SBS 2003′e upgrade yapacaksaniz; SBS 2000 uzerinde yeterli disk alanina sahip oldugunuzdan emin olun. Ve diskler uzerinde defrag (dfrg.msc) ve Disk Cleanup (Cleanmgr.exe) sureclerini baslatarak, gerekli disk hazirliklarini yapin.  
   
9. Son olarak tum kullanicilarin upgrade baslamadan sistemden logoff olmalari konusunda uyarinizi yapin.  
   

Artik butun bu on hazirlik kontrollerinden sonra gerekli gecis asamalarina gecebilirsiniz. 

SBS 2000′den SBS 2003′e geciste gerek yerinde yukseltme (in-place upgrade) gerekse de migration yontemi tarafinda bir kac alternatif yol izlemek mumkun. 

Alternatif – I :  Migration Yontemi 

Bu tip geciste izlenecek yol adimlari sunlardir: 

1. Windows Server 2003 Standartta calisan bir server SBS 2000 sistemine member server olarak katilir.
   
2. Bu yeni server uzerine DNS kurulur.
   
3. Dcpromo ile bu yeni server ADC olarak SBS 2000 yapisinda yapilandirilir.
   
4. Bu Windows Server 2003 Standart bilgisayari Global Catalog Server(GC) olarak kondigure edilir. Ve sistem yeniden baslatilir. Event loglarda 1119 veya 1869 olaylari takip edilerek bu yeni ADC’nin GC oldugu izlenir.
   
5. SBS 2000 uzerindeki, FSMO Rolleri (Domain Naming Master, Schema Master, PDC Emulator, Infrastructure Master, RID Master) yeni Windows Server 2003′e transfer edilir. Yaklasik 15 dak. – 30 dak. Arasi bu degisikliklerin replike olmasi icin beklenmelidir.
   
6. Yeni Windows Server 2003 DC uzerine default ayarlarla Exchange Server 2003 kurulur.
   
7. SBS 2000 uzerindeki mailbox ve public folder bilgileri yeni server’a  transfer edilir.
   
8. Exchange bilgileri SBS 2000′den Windows Server 2003 uzerinde calisan Exchange Server 2003′e transfer edildikten sonra http://support.microsoft.com/default.aspx?scid=kb;en-us;822931 adresindeki makaledeki adimlar takip edilerek SBS 2000 uzerindeki Exchange Server sistemden kaldirilir.
   
9. Daha sonra SBS uzerinde dcpromo.exe calistirilarak SBS sistemi domainden cikartilir.  
   
10. Butun bu adimlardan sonra SBS 2003′un kurulumuna ve ana DC olarak sisteme alinmasina sira geldi. http://support.microsoft.com/kb/884453/en-us adresindeki makaledeki adimlar takip edilerek SBS 2003 mevcut Windows Server 2003 domainine alinir. Bu makalede SBS 2003 uzerine Exchange 2003 kurularak da devreye alinmasi asamalari detayli olarak anlatilmistir. Bu islemden sonra Windows Server 2003 uzerindeki Exchange Server 2003′den mailbox ve public folder bilgilerini SBS 2003 uzerinde calisan Exchange 2003 uzerine tasiyip, Windows Server 2003 uzerindeki Exchange Server 2003 kaldirabilirsiniz.
    
11. Artik yapi SBS 2003 domaininde SBS 2003 DC vet um rollere sahip, Windows Server 2003 de ADC olarak calistigi bir yapi olmus oldu.
    
12. Windows Server 2003 ADC olarak kullanmaya devam etmeniz SBS domaininin sagligi acisindan iyi olur. Fakat tabii ki ekstra Windows Server 2003 lisanslamasi yapmaniz gerekir. Eger boyle bir maliyete girilemeyecekse de Windows Server 2003 uzerinden dcpromo.exe ile active directory kaldirilir ve SBS 2003 sistem gecisi tamamlanmis olur.  
    

Alternatif – 2 Yerinde Yukseltme (In-Place Upgrade): 

Bu yontemde mevcut SBS 2000 uzerinde dogrudan SBS 2003′e yukseltme (upgrade) sureclerinden olusur.

Bu tip yukseltmedeki asamalar: 

• İsletim Sisteminin yukseltilmesi
  
• SBS ihtiyaclarina gore isletim sistemi konfigurasyonu
  
• Server araclari ve uygulamalarin yukseltilmesi
  
• Kurulumun son asamasinda da listelenen To Do List gorevlerinin tamamlanmasi  
  

Bu tip yukseltmeye de baslamadan once en ustteki on hazirliklar bolumundeki adimlarin tamamlanmasi gerekir. Gerekli hazirlik asamasindaki gorevler tamamlandiktan sonra, asagidaki adimlar takip edilir. 

1. SBS 2003 Disc 1 ya da SBS 2003 DVD takililir.Ve http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/chptr3b.mspx adresindeki makaledeki Step 1 yukseltme adimlari adim adim gerceklestirilir.  
   
2. İsletim sistemi yukseltmesi yapildiktan sonra Windows Konfigurasyon ayarlari yapilandirilir. Bu asama icin de yine http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/chptr3b.mspx adresindeki makaleden Step 2 adimlari adim adim gerceklestirilir.  
   
3. Hemen akabinde de Server Application Kurulumlari yapilir. Bununla ilgili islem basamaklarini da yine http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/chptr3b.mspx adresindeki makaleden Step 3 adimlari adim adim gerceklestirilir.  
   
4. Son olarak da To Do List gorevlerinin tamamlanmasi icin http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/chptr3b.mspx adresindeki makalenin Step 4 adimlari adim adim gerceklestirilir.  
   

Ve herhangi bir problemle karsilasmazsaniz yerinde yukseltme yontemi olan bu modelle SBS 2000′den SBS 2003′e gecis yapabilirsiniz. Bu tip gecis birinci alternatife gore biraz daha riskli bir gecistir. Fakat tabii ki sizi daha az ugrastirir ve daha kisa zamanda gerceklesir. (Tabii ki beklenmedik problemlerle karsilasmazsaniz.) 

Alternatif – 3 : ADMT ile Migration yontemi  

Bu yontemde de SBS 2000 sistemine hic dokunmadan, SBS Server 2003 yeni bir server uzerine kurulur. Ve Microsoft’un Migration Tool araci olan ADMT vasitasiyla SBS 2000′den bilgiler SBS 2003′e aktarilir. Bu tip gecisle ilgili detayli bilgi ve islem basamaklarini da http://download.microsoft.com/download/6/d/c/6dccf9b4-d915-4c95-b5af-100b89e02add/SBS_MigratingSBS2k.doc adresinden indireceginiz dokumanda bulabilirsiniz.

SORU :  Windows 2003 SBS Server da Terminal Server Lisans Modu var ama maalesef Remote Desktop olarak çalışıyor ve 2 kullanıcıya kadar imkan tanıyor bu SBS 2003 e Terminal Server Cal Yüklemesini yapma şansımız var mı Microsoft bunun mümkün olmadığını söylüyor ve müşterimizde de SBS 2003 var.

CEVAP : Windows 2003 SBS Server da Terminal Server sadece Remote Administration amacli olarak kullanilir. Zaten bunu da RDP uzerinden gerceklestirebiliyorsunuz. Bu tip kullanimda ayni anda maksimum 2 kullanici baglanti kurabilir. Ve Remote Administration amacli bu tip kullanim icin TS CAL almiyorsunuz.

Eger Terminal Service’i Application Mode’da kullanmak isterseniz de SBS 2003 networkune ayri bir Windows Server 2003 kurup bunun uzerine de Terminal Service’leri kurarak Application Mode’da kullanabilirsiniz. Tabii ki gerekli lisanslamayi da yapmaniz gerekir. Windows 2003 SBS Server da Terminal Server’da Application Mode’un kaldirilmasinin en buyuk nedeni, meydana gelebilecek guvenlik aciklarini ortadan kaldirmak.