Ana Sayfa

  • Enable First Contact Safety Tip for Exchange Online

    Enable First Contact Safety Tip for Exchange Online

    Exchange Online Protection” (EOP) için “First Contact Safety Tip” özelliğini etkinleştirmek, e-posta güvenliğini artırmak için önemli bir adımdır. Bu özellik, kullanıcıların daha önce hiç iletişim kurmadıkları kişilerden gelen e-postalar konusunda uyarılmasını sağlar. 

    Daha önce Microsoft 365 Security üzerinden Outbound Spam Policy konusunu incelemiştik, ilgili konuya aşağıda ki linkten erişebilirsiniz.

    Nedir: Exchange Online Protection First Contact Safety Tip

    First Contact Safety Tip“, Exchange Online Protection‘ın bir parçası olarak sunulan bir güvenlik özelliğidir. Kullanıcılar, daha önce hiç iletişimde bulunmadıkları kişilerden gelen e-postaları aldıklarında, bu özellik tarafından bir güvenlik ipucu (safety tip) ile uyarılırlar. Bu ipucu, kullanıcıları potansiyel olarak şüpheli veya zararlı içeriklere karşı dikkatli olmaya teşvik eder.

    İletinin X-Forefront-Antispam-Report üstbilgisindeki alanın 9,25 değeri tarafından kontrol edilir. Bu işlevsellik, iletilere değer katan X-MS-Exchange-EnableFirstContactSafetyTip adlı bir üst bilgi ekleyen posta akışı kuralları (aktarım kuralları olarak da bilinir) oluşturma gereksiniminin yerini alır

    İşlevi, kullanıcıların daha önce hiç iletişim kurmadıkları e-posta gönderenlerinden gelen mesajlar konusunda onları bilgilendirmek ve uyarı sunmaktır. Bu özellik özellikle şu durumlar için önemlidir:

    • Yeni İletişimler: Eğer bir kullanıcı, daha önce hiç iletişim kurmadığı bir kişiden e-posta alırsa, “First Contact Safety Tip” bu durumu algılayarak kullanıcıya bir uyarı mesajı gösterir.
    You don’t often get email from <email address>.
    • Potansiyel Tehditlerin Tespiti: Kullanıcıya, yeni bir e-posta gönderenin potansiyel bir tehdit olabileceği konusunda bilgi verir. Bu, özellikle kimlik avı (phishing) ve istenmeyen e-postalar (spam) için önemlidir.
    • Sık mail alınmayan göndericiler: Çok fazla mail almadığınız göndericiler için de EOP size bir uyarı metni gösterecektir.
    • Kullanıcı Bilincinin Artırılması: Bu uyarılar, kullanıcıların e-posta güvenliği konusundaki farkındalığını artırır ve onları potansiyel tehditlere karşı daha tetikte olmaları konusunda eğitir.
    Some people who received this message don’t often get email from <email address>.

    Exchange Online Protection: First Contact Safetiy Tip Örneklendirmesi

    Diyelim ki bir şirkette çalışan Ayşe, şirketin Exchange Online Protection (EOP) kullanan e-posta sistemini kullanmaktadır. Bir gün, Ayşe daha önce hiç duymadığı bir isimden, “John Doe” adında bir kişiden e-posta alır. EOP’nin “First Contact Safety Tip” özelliği devreye girer ve Ayşe’nin e-posta arayüzünde aşağıdaki gibi bir uyarı mesajı belirir:

    “Dikkat: Bu e-posta, daha önce hiç iletişimde bulunmadığınız bir gönderenden geliyor. Lütfen içeriği açmadan önce gönderenin kimliğini ve mesajın güvenilirliğini doğrulayın.”

    Bu uyarı sayesinde Ayşe, e-postayı dikkatle incelemeye alır. John Doe’un gönderdiği e-posta, şirketle ilgili önemli bir iş teklifi içermektedir. Ayşe, şirketin IT departmanı ile iletişime geçerek gönderenin güvenilirliğini doğrular ve böylece hem potansiyel bir iş fırsatını değerlendirir hem de şirketin güvenliğini riske atmamış olur.

    EOP Anti-Phishing ve 365 Defender Anti-Phishing kuralları arasında farklılıklar bulunuyor.

    FeatureAnti-phishing policies
    in EOP    		Anti-phishing policies
    in Defender for Office 365
    Automatically created default policy
    Create custom policies
    Common policy settings*
    Spoof settings
    First contact safety tip
    Impersonation settings
    Advanced phishing thresholds

    How to Enable Exchange Online First Contact Safety Tip with 365 Defender? Exchange Online’da 365 Security üzerinde First Safety Tip Nasıl Etkinleştirilir?

    Exchange Online’da First Contact Safety Tip etkinleştirmesi için öncelikle Microsoft 365 Security üzerinde LOGIN işlemini gerçekleştirmemiz gerekmektedir.

    Daha sonra Microsoft 365 Security – Email & Collaboration – Policies & Rules – Threat Policies – Anti-Phishing (Under ‘Policies’) adımlarını takip etmemiz gerekmektedir.

    Burada mevcut Rule üzerinde düzenleme yapabileceğimiz gibi "Create" adımı ile yeni bir Rule oluşturabilir ve oluşturduğumuz Rule için Exchange Online kullanıcılarımıza veya gruplarımız da atayabiliriz.

    Rule için düzenleme yapmak istediğimiz zaman 365 Security portalda sağ bölümde açılan menü üzerinde düzenleme yapabiliriz.

    Bu bölüm de Belirttiğiniz Domainlerin veya kullanıcıların taklit edilmesini engelleyebilirsiniz. Enable Domains Protect ve Enable users to protect adımları ile mevcut M365 tetantı ile ilgili sıkılaştırma işlemleri gerçekleştirebilirsiniz.

    Burada işlemlerinizi Save butonu ile kaydettikten sonra, Action bölümüne gelebilirsiniz.

    Show first contact safetiy tip (Remommended) seçeneği ile ilgili etkinleştirmeyi yapmanız yeterli olacaktır.

    Activating First Contact Safety Tip using Transport Rule Steps – Transport Rule Kullanarak First Contact Safety Tip Etkinleştirme Adımları

    Transport Rule etkinleştirme işlemi gerçekleştirebilirsiniz ve burada kullanıcı bazlı sınıflandırma sağlayabilirsiniz. Transport Rule oluştururken First Contact Safety Tip X-MS-Exchange-EnableFirstContactSafetyTip x-header bölümünü kullanmaktadır.

    Exchange Online Admin – Mail Flow – Rules adımlarını takip ediyoruz.

    Oluşturacağımız kural aşağıda ki gibi gözükmesi gerekiyor. Enabled değeri yerine “True” değeri de kullanılabilir ama Microsoft mühendisleri ilgili değerin kullanılmasını önermemektedir.

    Header: X-MS-Exchange-EnableFirstContactSafetyTip

    Valuve: Enabled

    İlgili Rule işlemini kaydettikten sonra kullanıcılarınız ilk mail gönderenler de ve fazla mail göndermeyen External mailler de ipuçlarını görüntülemeye başlayacaklardır.

    “First Contact Safety Tip”, Exchange Online Protection kullanıcılarının e-posta güvenliğini önemli ölçüde artırır. Bu özellik sayesinde, kullanıcılar daha önce hiç iletişimde bulunmadıkları kişilerden gelen e-postalara karşı daha dikkatli olabilirler. Bu, özellikle kurumsal ortamlarda, güvenlik ihlallerini önlemek ve bilgi güvenliğini sağlamak için kritik öneme sahiptir. Özelliği etkinleştirmek, basit ve yöneticiler için doğrudan erişilebilir bir süreçtir. Bu sayede, kuruluşlar e-posta güvenliğini kolayca güçlendirebilirler.

    , , ,

  • Enabling Azure AD Password Writeback and Self Service: A Step-by-Step Guide

    Enabling Azure AD Password Writeback and Self Service: A Step-by-Step Guide

    Günümüzde, teknolojik gelişmelerin iş dünyasında önemli bir rol oynadığı bir dönemde yaşıyoruz. Teknoloji, özellikle bulut tabanlı hizmetler ve yapay zeka, iş süreçlerini hızlandırmak, verimliliği artırmak ve daha iyi kararlar almak için değerli içgörüler sağlamak amacıyla kullanılıyor. Bu teknolojik gelişmelerin en önemli oyuncularından biri olan Microsoft, özellikle Azure AD Password Writeback özelliği ile kullanıcıların iş süreçlerini daha da basitleştirmeye yardımcı oluyor.

    Entra ID (Azure AD) Password Writeback Nedir?

    Password Write Back, Azure Active Directory (Azure AD – Entra ID) ve Microsoft 365 çözümlerinin bir parçası olan bir özelliktir. Kullanıcıların, On-Premises Active Directory‘deki (AD) parolalarını, bulut tabanlı bir hizmet aracılığıyla sıfırlamalarını ve güncellemelerini sağlar. Bu özellik, kullanıcıların her yerden parolalarını yönetmelerine imkan tanıyarak, hem güvenlik hem de erişilebilirlik açısından önemli bir adımdır.

    Password Writeback, Azure AD Connect (Entra ID Connect) aracılığıyla sağlanan bir özelliktir. Azure AD Connect (Entra ID Connect), Azure AD ve on-premises Active Directory arasında bir köprü görevi görür ve kullanıcı hesapları, grup üyelikleri, kimlik doğrulamaları ve diğer bilgileri senkronize eder.

    Özellikle, kullanıcılar, Self-Service Password Reset (SSPR) özelliğini kullanarak kendi parolalarını sıfırladıklarında, bu değişiklik Azure AD’den on-premises Active Directory’ye “geri yazılır”. Bu, kullanıcıların parolalarını herhangi bir yerden sıfırlayabilmesini ve bu değişikliğin tüm sistemlerde tutarlı olmasını sağlar. Bu, kullanıcıların üretkenliğini artırır (çünkü IT desteğine başvurmadan parolalarını sıfırlayabilirler) ve IT yükünü azaltır (çünkü kullanıcılar artık parola sıfırlama talepleri için IT desteğine başvurmak zorunda kalmazlar).

    Entra ID (Azure AD) Password WriteBack Lisans Gereksinimleri

    Password WriteBack özelliğini kullanabilmemiz için en az Azure Active Directory P1 lisansına ihtiyacınız bulunmaktadır.

    Eklenti olarakta ayrı olarak satın alınabiliyor. Ayrıca aşağıdaki lisanslarında bir parçası olarak geliyor.

    • Microsoft İş Ekstra
    • Enterprise Mobility + Security E3 ve E5 eklentisi
    • Microsoft 365 E3 ve E5
    • Microsoft 365 F1 ve F3
    • Azure Premium P1 veya P2 olmadan, parola geri yazma özelliğini kullanamaz veya self servis parola sıfırlamayı etkinleştiremezsiniz.

    Password WriteBack Çalışma Prensibi

    • Senkronizasyon: Entra ID Connect (Azure AD Connect), on-premises AD ile Azure AD arasında sürekli bir senkronizasyon sağlar. Bu senkronizasyon, parola bilgilerinin güvenli bir şekilde bulut ve şirket içi sistemler arasında aktarılmasını mümkün kılar.
    • Parola Değişiklikleri: Kullanıcı, Azure AD (Entra ID) SSPR üzerinden parola değiştirme veya sıfırlama talebinde bulunduğunda, bu istek Azure AD Connect (Entra ID Connect) aracılığıyla On-Premises AD‘ye iletilir ve burada işlenir.
    • Güvenlik Protokolleri: Tüm bu işlemler sırasında, güçlü şifreleme ve güvenlik protokolleri kullanılarak kullanıcı bilgilerinin korunması sağlanır.

    Password WriteBack Avantajları

    1. Esneklik ve Erişilebilirlik: Çalışanlar, herhangi bir cihazdan ve her yerden parolalarını sıfırlayabilir veya güncelleyebilir. Bu, özellikle uzaktan çalışanlar ve mobil çalışanlar için büyük bir kolaylıktır.
    2. IT Verimliliği: IT departmanı, kullanıcıların parola sorunlarını fiziksel olarak müdahale etmeksizin çözebilir. Bu durum, IT kaynaklarının daha stratejik işlere yönlendirilmesine olanak tanır.
    3. Güvenlik: Password Write Back, güçlü parola politikaları ve güvenlik protokollerinin uygulanmasını kolaylaştırır. Bu sayede, kimlik hırsızlığı ve veri ihlallerine karşı ekstra bir koruma katmanı sağlar.
    4. Kullanıcı Deneyimi: Kullanıcılar, parola sıfırlama işlemlerini hızlı ve kolay bir şekilde gerçekleştirebilir, bu da genel kullanıcı memnuniyetini artırır.

    Entra ID (Azure AD) Password Writeback ve Self Service Nasıl Etkinleştirilir?

    Öncelikle Entra ID Connect (Azure AD Connect) sunucunuz da oturum açmanız gerekiyor ve Entra ID Connect (Azure AD Connect) uygulamasını açıyoruz ve Configure butonu ile devam ediyoruz.

    Additional Task adımın da “Customize synchronization options” ile devam ediyoruz. Microsoft hesabımızla LOGIN işlemini tamamlıyoruz.

    Connect your directories and Domain and OU filtering adımın da herhangi bir değişiklik yapmadan Next butonu ile ilerliyoruz.

    Optional features adımın da ise Password writeback seçeneğini işaretliyoruz.

    Ready to configure adımın da ise yaptığımız değişiklikleri göstermektedir.

    • Enable Password writeback
    • Configure synchronization process when configuration completes

    Configure butonu ile yaptığımız değişiklikleri kaydediyoruz ve Sync işlemini başlatıyoruz.

    Entra ID Connect (Azure AD Connect) üzerinde gerekli tüm değişiklikleri gerçekleştirdik.

    https://entra.microsoft.com/ üzerinde oturum açma işlemini gerçekleştiriyoruz.

    Entra ID portal içerisin de Sol menü de Protection Sekmesi altında bulunan Password reset bölümüne geliyoruz.

    Password reset bölümün de Self service password reset enabled bölümünü “ALL” yaparak tüm kullanıcılar için aktif hale getirebilirsiniz.

    Bu işlemlerden sonra Password Writeback ve Self Service portallarını etkinleştirmiş olduk. Şimdi kullanıcılarımız Self Service portalından kendi parolalarını değiştirebilirler.

    , , , , ,

  • Exchange Online DKIM Nasıl Etkinleştirilir?

    Exchange Online DKIM Nasıl Etkinleştirilir?

    Günümüzde e-posta güvenliği, kurumsal iletişim stratejilerinin ayrılmaz bir parçası haline gelmiştir. Bu bağlamda, Exchange Online gibi bulut tabanlı hizmetlerde kullanılan DomainKeys Identified Mail (DKIM), e-posta güvenliğinde kritik bir rol oynamaktadır. Bu makalede, Exchange Online için DKIM kaydının ne olduğunu, avantajlarını ve nasıl yapılandırılacağını ele alacağız.

    DKIM Kaydı Nedir?

    DKIM, e-posta mesajlarının gönderildiği domain tarafından dijital olarak imzalanmasını sağlayan bir e-posta doğrulama yöntemidir. DKIM kaydı, e-posta altyapısının bir parçası olarak DNS (Domain Name System) kayıtlarına eklenen özel bir TXT kaydıdır. Bu kayıt, e-posta mesajının gönderildiği iddia edilen domain tarafından gerçekten gönderilip gönderilmediğini doğrulamak için kullanılır.

    DKIM, iletilerin Header bölümün de DKIM-İmza üstbilgisinde görünen dijital olarak imzalanmış bir iletiyi doğrular. DKIM-İmza doğrulamasının sonuçları Authentication-Results üst bilgisinde damgalanır.

    Exchange Online DKIM Kaydının Avantajları:

    1. Güvenilirlik ve Doğruluk: DKIM, alıcı sunuculara, e-postanın kaynağının güvenilir olduğunu ve içeriğinin değişmeden ulaştığını doğrulama imkanı sunar.
    2. Phishing ve Spoofing Saldırılarına Karşı Koruma: DKIM, sahte e-posta saldırılarına karşı bir koruma katmanı ekler. Alıcılar, bir e-postanın gerçekten ilgili domainden geldiğini doğrulayabilir.
    3. İtibar Yönetimi: DKIM ile imzalanan e-postalar, spam filtreleri tarafından daha düşük bir olasılıkla spam olarak işaretlenir, bu da gönderilen e-postaların alıcıların gelen kutusuna ulaşma şansını artırır.
    4. Uyumluluk: DKIM, dünya genelinde kabul görmüş bir standarttır ve çeşitli e-posta servis sağlayıcıları tarafından desteklenir.

    Exchange Online’da DKIM Nasıl Etkinleştirilir?

    Exchange Online’da DKIM etkinleştirmek için öncelikle https://security.microsoft.com/ adresinde oturum açmamız gerekmektedir.

    https://security.microsoft.com/ – Policies & Rules – Threat Policies – Email authentication settings adımlarını takip ediyoruz.

    Email Authentication bölümün de DKIM sayfasına geliyoruz ve Tenant içerisin de kayıtlı olan tüm domainlerimizi görüntüleyebiliyoruz.

    İşlem yapacağımız domain üzerine tıklıyoruz ve Create DKIM keys butonu ile DKIM anahtarlarımızı oluşturuyoruz.

    Publish CNAMEs bölümün de bize verdiği CNAME kayıtlarını DNS sağlayıcımız üzerinden oluşturuyoruz.

    DNS panelimiz de Exchange Online’dan almış olduğumuz CNAME kayıtlarını oluşturduktan sonra kısa bir süre beklememiz gerekmektedir.

    Bekleme işlemini gerçekleştirmeden DKIM Signatures aktif hale getirmek istediğimiz zaman aşağıda ki gibi bir hata alabiliriz.

    Client Error

    |Microsoft.Exchange.Management.Tasks.ValidationException|CNAME record does not exist for this config. Please publish the following two CNAME records first. Domain Name : cengizyilmaz.com.tr Host Name : selector1._domainkey Points to address or value: selector1-cengizyilmaz-com-tr._domainkey.yilmaz33.onmicrosoft.com Host Name : selector2._domainkey Points to address or value: selector2-cengizyilmaz-com-tr._domainkey.yilmaz33.onmicrosoft.com . If you have already published the CNAME records, sync will take a few minutes to as many as 4 days based on your specific DNS. Return and retry this step later.

    Sign messages for this domain with DKIM signatures bölümünü Enabled duruma getirerek DKIM Validation adımını tamamlamış oluyoruz.

    Etkinleştirme işleminı gerçekleştirdik, göndermiş olduğum her mail için DKIM anahtarı ekleyebileceğiz.

    DKIM Kaydı Sorgulama,

    Exchange Online için yayınlamış olduğumuz DKIM kaydını mxtoolbox.com ile sorgulayabiliriz.

    ilk sorgulama işlemimiz Exchange Online’ın verdiği selector1 anahtarı için gerçekleştiriyorum ve 2048 bits anahtarımızın doğruluğunu görüntüleyebiliyorum.

    Şimdi ise aynı işlemi selector2 için gerçekleştireceğiz.

    Sonuç:

    Exchange Online için DKIM kaydı, e-posta güvenliğini güçlendirir, kurumsal itibarı korur ve güvenli iletişim için bir standart oluşturur. Bu yapılandırma, şirketlerin e-posta yoluyla gerçekleşebilecek siber tehditlere karşı daha dayanıklı olmasını sağlar. Özellikle, kurumsal düzeyde e-posta hizmetlerini kullanırken, DKIM’in doğru bir şekilde uygulanması, kuruluşunuzun siber güvenlik stratejisinin önemli bir parçası olmalıdır.

    , ,

  • Entra ID Connect (Azure AD Connect) Staging Mode

    Entra ID Connect (Azure AD Connect) Staging Mode

    Dijital dönüşümün temel taşlarından biri olan kimlik yönetimi, kuruluşların verimlilik ve güvenliğini artıran bir unsurdur. Microsoft Entra ID Connect (Azure AD Connect), yerel dizinleri Azure Active Directory (Azure AD) ile senkronize eden kritik bir araçtır. Bu yazıda, Entra ID Connect‘in Staging Mode özelliğinin ne olduğunu, ne için kullanıldığını ve bu modun işletmeler için sağladığı avantajları detaylı bir şekilde ele alacağız.

    Entra ID Connect (Azure AD Connect) Staging Mode Nedir?

    Staging Mode, Entra ID Connect‘in (Azure AD Connect) bir özellik setidir ve birincil senkronizasyon görevlerini etkin bir şekilde devralmaya hazır ikincil bir Entra ID Connect örneğini yapılandırmanıza olanak tanır. Bu mod, senkronizasyon işlemlerinin kesintisiz ve güvenli bir şekilde sürdürülmesi için önemli bir rol oynar.

    Staging Mode’un Çalışma Prensibi

    Staging Mode‘da çalışan Entra ID Connect sunucusu, aslında bir “pasif” modda çalışır ve herhangi bir değişikliği uygulamaz. Bunun yerine, tüm senkronizasyon işlemlerini tamamlar ve değişiklikleri bir sonraki adıma hazır tutar. Ana Entra ID Connect sunucusunun çevrimdışı olması veya bir sorunla karşılaşması durumunda, Staging Mode‘daki sunucu hızla “aktif” role geçebilir ve senkronizasyon işlemlerini devralabilir.

    Staging Mode, özellikle büyük ölçekli ve karmaşık senkronizasyon gereksinimleri olan kuruluşlar için büyük bir avantaj sunar. Bu mod, senkronizasyon süreçlerinin test edilmesini, planlanan bakım çalışmalarının gerçekleştirilmesini ve beklenmedik kesintilere karşı bir yedeklilik sağlamasını mümkün kılar.

    Entra ID Connect (Azure AD Connect) Staging Mode’un Kullanım Alanları:

    1. Yüksek Erişilebilirlik ve Felaket Kurtarma: Staging Mode, yüksek erişilebilirlik ve felaket kurtarma senaryolarında hayati önem taşır. Ana Entra ID Connect örneği herhangi bir nedenle çevrimdışı olduğunda, Staging Mode‘daki ikincil sunucuyu devreye alabiliriz.
    2. Güvenli Güncellemeler ve Bakım: Yazılım güncellemeleri ve sistem bakımı sırasında, Staging Mode‘daki örnek, ana Entra ID Connect örneğinin güncellenmesi veya bakımının yapılması sırasında senkronizasyon işlemlerini sürdürebilir. Bu, hizmet kesintilerini önler ve sürekliliği sağlar.
    3. Senkronizasyon Testleri: Yeni politikalar veya senkronizasyon kuralları uygulamadan önce, Staging Mode, yapılandırmaların ve değişikliklerin önceden test edilmesi için ideal bir ortam sağlar. Bu, üretim ortamını etkilemeden değişikliklerin güvenli bir şekilde test edilmesine imkan tanır.

    Entra ID Connect (Azure AD Connect) Staging Mode Aktifken Gerçekleşen İşlemler – Operations Performed While Entra ID Connect (Azure AD Connect) Staging Mode is Active

    Entra ID Connect (Azure AD Connect) Staging Mode‘da, sunucu aktif senkronizasyon görevlerini yerine getirmemektedir, ancak bütün senkronizasyon işlemlerini yürütmek için hazır bekler. Bu modda sunucu, aşağıdaki işlemleri yapar:

    1. Import (İçeri Aktarma):
      • Staging Mode’daki Entra ID Connect sunucusu, On-Premises Active Directory‘den nesneleri ve özelliklerini içeri aktarır. Bu işlem sırasında, yerel dizindeki nesnelerin son durumları alınır ve senkronizasyon motorunun veri tabanında tutulur.
    2. Synchronization (Senkronizasyon):
      • İçeri aktarılan veriler üzerinde senkronizasyon kurallarına göre işlemler yapılır. Bu aşamada, nesnelerin Azure AD‘ye (Entra ID) nasıl senkronize edileceğine dair dönüşüm kuralları uygulanır.
      • Nesneler arası ilişkiler ve bağımlılıklar çözümlenir, ve bu veriler, senkronizasyon işleminin sonraki aşamaları için hazır hale getirilir.
    3. Export (Dışarı Aktarma):
      • Staging Mode’da, Entra ID Connect sunucusu dışarı aktarma işlemini gerçekleştirmez. Bunun yerine, senkronizasyon sonuçlarını bir “veri tabanında bekletir”. Eğer sunucu aktif hale getirilirse, bu bekleyen değişiklikler Azure AD’ye veya On-Premises AD‘ye uygulanır.
      • Bu, Staging Mode‘un bir güvenlik ve test özelliği olarak işlev görmesini sağlar; bu sayede değişiklikler canlı ortama uygulanmadan önce değerlendirilebilir ve onaylanabilir.

    Entra ID Connect (Azure AD Connect) Staging Mode Aktif ve Devre Dışı Bırakma Süreci

    Staging Mode, Entra ID Connect kurulum sürecinde veya bir Entra ID Connect örneğinin yapılandırmasını değiştirirken etkinleştirilebilir. Bu modun etkinleştirilmesi, organizasyonunuzun senkronizasyon sürecine bir yedeklilik katmanı ekler ve güncellemelerin veya değişikliklerin test edilmesini sağlamaktadır.

    Enra ID Connect (Azure AD Connect) sunucusunun ilk kurulumunun son adımın da aktif hale getirebileceğiniz gibi sonrasından da işlem yapabilmektesiniz.

    Ready to Configure adımın da “Enable staging mode: When selected, synchronization will not export any data to AD to Azure AD” seçeneği ile Staging Mode aktif hale getirebiliriz.

    Kurulum sonrasın da ise ilgili işlemleri yine yapabilmekteyiz. Azure AD Connect konsolunu kullanarak Staging Mode aktif hale getirebilir veya devre dışı bırakabiliriz.

    Sunucumuzda yüklü olan Azure AD Connect uygulamasını açıyoruz.

    Configure butonu ile devam ediyoruz.

    Azure AD Connect uygulamasından “Configure staging mode” adımına geliyoruz

    Entra ID hesap bilgilerimizle giriş yapıyoruz.

    Enable staging mode seçeneği ile aktif hale getirebilir veya devre dışı bırakabilirsiniz.

    Not: Enable Staging Mode seçeneği işaretliyken sunucunuz Staging mod üzerinde olduğu için Export işlemi gerçekleştirmeyecektir. Primary sunucu olmasını istiyorsanız ve Export yapmasını istiyorsanız ilgili seçeneğin işaretli olmaması gerekmektedir.

    Yaptığımız işlemleri Powershell ile doğrulayabiliriz.

    Import-Module ADSync
Get-ADSyncScheduler

    Staging Mode aktif değilse “StagingModeEnabled” False konumunda olması gerekmektedir.

    Entra ID Connect (Azure AD Connect) Staging Mode, modern işletmelerin karmaşık kimlik yönetimi ihtiyaçlarına cevap veren, esnek ve güvenilir bir çözümdür. Bu mod, kesintisiz hizmet sunmak, riskleri yönetmek ve iş sürekliliğini sağlamak için kritik bir araçtır. Kuruluşlar, Staging Mode sayesinde, Azure Active Directory entegrasyonunu sorunsuz bir şekilde yönetebilir ve böylece dijital kimlikler üzerinden iş akışlarını optimize edebilirler.

    , , , ,

  • GMSA (Group Managed Service Accounts) Nedir ve Nasıl Yapılandırılır?

    GMSA (Group Managed Service Accounts) Nedir ve Nasıl Yapılandırılır?

    Grup Yönetilen Hizmet Hesapları (GMSA – Group Managed Service Accounts), Microsoft Active Directory’nin (AD) bir özelliği olan Yönetilen Hizmet Hesapları’nın (MSA) gelişmiş bir versiyonudur.

    Günümüzün hızla değişen teknoloji dünyasında, güvenlik her zamankinden daha fazla öncelik taşımaktadır. İşte burada Grup Yönetilen Hizmet Hesapları (GMSA – Group Managed Service Accounts), ağ güvenliğindeki kritik boşlukları doldurmak için Microsoft Active Directory’nin sunduğu yenilikçi bir çözüm olarak öne çıkar. GMSA‘lar, gelişmiş güvenlik ve otomasyon ihtiyaçlarını karşılayacak şekilde tasarlanmıştır ve böylece IT profesyonellerine önemli avantajlar sağlamaktadır.

    Bu özellik ilk olarak Windows Server 2012‘de tanıtılmıştır. GMSA‘lar, özellikle otomatik ve güvenli bir şekilde parola yönetimi gerektiren hizmetler ve uygulamalar için tasarlanmıştır. Ağ üzerinde çalışan hizmetler için tasarlanan bu hesaplar, özellikle hizmetlerin birden fazla sunucuda yük dengelemesi ile çalışması gerektiğinde kullanışlıdır.

    gMSA Nedir?

    GMSA (Group Managed Service Accounts), Microsoft’un Yönetilen Hizmet Hesaplarına (MSA) bir adım daha ekleyerek geliştirdiği bir hesap türüdür. Windows Server 2012 ile hayatımıza giren bu hesaplar, hizmetlerin ve uygulamaların birden fazla sunucuda güvenli ve sorunsuz bir şekilde çalışmasını sağlamak üzere tasarlanmıştır.

    gMSA Avantajları

    1. Otomatik Parola Yönetimi: GMSA‘ların belki de en büyük avantajı, otomatik parola değişikliğidir. Geleneksel hizmet hesapları, belirli aralıklarla manuel parola güncellemeleri gerektirirken, GMSA‘lar bu süreci tamamen otomatize eder. Active Directory, bu hesaplar için güçlü parolalar oluşturur ve bunları düzenli aralıklarla değiştirir. Bu özellik, insan hatasını ortadan kaldırır ve güvenlik ihlalleri riskini azaltır.
    2. Birden Çok Sunucu Kullanımı: GMSA‘lar, bir hesabın birden fazla sunucuda kullanılmasına izin verir. Bu, ölçeklenebilirlik ve yük dengeleme özelliklerine sahip uygulamalar için idealdir. Bir hesabın birden fazla instance’ında oturum açabilme yeteneği, büyük ve dağıtık sistemler için mükemmel bir çözümdür.
    3. Merkezi Yönetim: Tüm GMSA’lar, Active Directory üzerinden merkezi olarak yönetilebilir. Bu, IT departmanlarının hesapları daha etkin bir şekilde kontrol etmesine, izlemesine ve raporlamasına olanak tanır. Merkezi yönetim aynı zamanda, politika tabanlı yönetim ve otomasyon için daha geniş fırsatlar sunar.
    4. SPNs Yönetimi: gMSA ile AD ortamlarında ki SPN (Service Principal Names) yönetimi daha kullanışlı olmaktadır.

    gMSA Gereksinimleri

    Group Managed Service Accounts (GMSA) kullanmak için karşılanması gereken bazı ön gereksinimler bulunmaktadır. Bu gereksinimler, GMSA’ların düzgün bir şekilde çalışmasını ve yönetilmesini sağlamak için önemlidir:

    1. Active Directory Altyapısı: GMSA’lar, Active Directory Domain Services (AD DS) tarafından desteklenir. Bu nedenle, bir Active Directory ormanına ve etki alanına sahip olmanız gerekir.
    2. Windows Server Sürümü: GMSA’ları oluşturmak ve yönetmek için, forest seviyesinin en az Windows Server 2012 veya daha yeni bir sürümünü çalıştıran bir Domain Controller’a ihtiyacınız vardır.
      • Server 2012 ile gelen gMSA için yeni attributeler eklenmiştir:
      • msDS-GroupMSAMembership
      • msDS-ManagedPassword
      • msDS-ManagedPasswordInterval
      • msDS-ManagedPasswordID
      • msDS-ManagedPasswordPreviousID
    3. Schema Gereksinimleri: Active Directory şeması, GMSA’ları destekleyecek şekilde güncellenmiş olmalıdır. Windows Server 2012 veya üzeri bir sürümle birlikte gelen şema güncellemeleri gereklidir.
    4. KDS Root Key: Grup Yönetilen Hizmet Hesaplarının parolalarını oluşturmak için kullanılan Key Distribution Service (KDS) root key’inin kurulumu gerekmektedir. Windows Server 2012’den itibaren, bu anahtar AD DS’de otomatik olarak oluşturulur.
    5. PowerShell: GMSA’ları yönetmek için PowerShell cmdlet’leri kullanılır, bu nedenle bu cmdlet’lere aşina olmak ve onları kullanabilmek önemlidir.

    Group Managed Service Accounts (gMSA) Nasıl Oluşturulur?

    Grup Yönetilen Hizmet Hesapları (GMSA’lar), bu protokolleri basitleştiren ve güçlendiren bir teknolojidir. GMSA’ların oluşturulması, kuruluşların hizmetlerini güvenli bir şekilde çalıştırmasını sağlar.

    1. Ön Koşulların Sağlanması: GMSA oluşturmadan önce, Active Directory şemanızın güncel olduğundan ve gerekli KDS root anahtarının mevcut olduğundan emin olun. Ayrıca, bir Domain Administrator hesabına erişiminizin olması gerekir.

    KDS Root Key Oluşturma: Eğer henüz oluşturulmadıysa, Key Distribution Services için bir root key oluşturmanız gerekir. Bu, PowerShell kullanılarak şu cmdlet ile yapılabilir:

    Normal şartlar da KDS Root key için 10 saat beklemeniz gerekmektedir, bu makale için hemen etkili olan komutu kullanacağız.

    Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)

    gMSA için Grup Oluşturma: gMSA hesabının kullanacak bilgisayar hesapları için bir grup oluşturmamız gerekmektedir. Bu işlemi Powershell ile yapabiliriz veya ADUC kullanabilirsiniz.

    Active Directory Users and Computers (ADUC) üzerinden grup oluşturacağımız OU üzerine sağ tıklıyoruz ve New – Group adımlarını takip ediyoruz. Oluşturacağımız grup Global Security olacak.

    Daha sonra Members bölümün den kullanılacak bilgisayar hesaplarını grup üyesi yapmamız gerekmektedir.

    Powershell ile Security Group Oluşturma: 

    New-ADGroup -DisplayName GMSAGruopDisplayName -GroupScope Global -GroupCategory Security -Name GMSAGroupName

    Powershell ile Grup üyesi ekleme adımı: 

    Add-ADGroupMember -Identity GMSAGroupName -Members "Eklenmesi Gereken Bilgisayar"

    GMSA’nın Oluşturulması: Bir GMSA oluşturmak için, New-ADServiceAccount PowerShell cmdlet’ini kullanacağız. 

    New-ADServiceAccount -Name GMSA_Adi -DNSHostName GMSA.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "GrupAdi"

    Bu komut, belirli bir sunucu grubunun parolayı almasına izin verilen bir GMSA oluşturur.

    Active Directory Users and Computers bölümün de Managed Service Accounts bölümünü açtığımız zaman oluşturmuş olduğumuz gMSA hesabını görebilmekteyiz.

    gMSA Hesabının Sunucuya Tanıtılması:

    GMSA’yı bir sunucuda kullanmak için, önce hesabı o sunucuya eklemeniz gerekir. Install-ADServiceAccount cmdlet’i ile bu işlemi gerçekleştirebilirsiniz, bu işlem için ilgili sunucu da Active Directory Powershell modülünün yüklü olması gerekmektedir.

    Active Directory Powershell Modülünü yüklemek için aşağıdaki komutu Powershell üzerinde çalıştırabilirsiniz.

    Add-WindowsFeature RSAT-AD-PowerShell

    GMSA’nın Bir Sunucuda Kullanımı: GMSA’yı bir sunucuda kullanmak için, önce hesabı o sunucuya eklemeniz gerekir. Install-ADServiceAccount cmdlet’i ile bu işlemi gerçekleştirebilirsiniz:

    Install-ADServiceAccount GMSA_Adi

    Yüklemiş olduğunuz yüklenip yüklenmediğini Test etmek için aşağıda ki komutu kullanabilirsin.

    Test-ADServiceAccount GMSA_Adi

    ,
    , ,

  • GPO: Allow Anonymous SID/Name Translation

    GPO: Allow Anonymous SID/Name Translation

    Güvenlik, dijital çağın en önemli unsurlarından biridir. Özellikle, ağ güvenliği ve kullanıcı kimlik doğrulama süreçleri, kuruluşların siber tehditlere karşı savunmasında kritik rol oynamaktadır. Bu bağlamda, “Allow Anonymous SID/Name Translation Policy” (Anonim SID/Ad Çevirisi Politikası İzin Verme), Windows sunucu ortamlarında önemli bir güvenlik ayarıdır.

    Bu politika, anonim kullanıcıların güvenlik tanımlayıcıları (SID’ler) ve isimler arasında çeviri yapabilmesine izin verir veya bunu engeller.

    SID Nedir?

    Aşağıda ki link ile daha önce yazmış olduğum “SID Nedir?” makalesini inceleyebilirsiniz.

    Windows SID Nedir? – Cengiz YILMAZ | Sys Blog

    Allow Anonymous SID/Name Translation Policy Enabled Duruma Getirilirse Ne Olur?

    Bir ağ güvenlik politikası olarak “Allow Anonymous SID/Name Translation Policy”nin, etkinleştirilmesi ve devre dışı bırakılması, ağın güvenlik durumu üzerinde önemli etkiler yaratabilir. Bu politikanın doğru yapılandırılması, ağ güvenliği ve kullanıcı kimlik doğrulama süreçlerinin etkinliği açısından kritik öneme sahiptir.

    1. Anonim Kullanıcıların Erişimi:
      • Anonim kullanıcılar, ağ üzerindeki kaynaklara SID (Security Identifier) ve isim çevirisi yaparak erişebilirler.
      • Bu, ağ kaynaklarına geniş erişim sağlar ve kullanıcılar arasında daha az kısıtlama anlamına gelir.
      • Ağ yöneticileri için, hangi kullanıcının hangi kaynağa eriştiğini izlemek zorlaşı
    2. Güvenlik Riskleri:
      • Anonim kullanıcıların erişiminin artması, güvenlik risklerini de beraberinde getirebilir.
      • Hassas verilerin ve kaynakların korunması daha zor hale gelebilir.

    Allow Anonymous SID/Name Translation Policy Disabled Duruma Getirilirse Ne Olur?

    Politikanın devre dışı bırakılması, anonim kullanıcıların SID ve isim çevirisini engeller, böylece ağ güvenliğini artırır.

    Analiz:

    • Güvenlik Artışı: Devre dışı bırakılması, yetkisiz erişimi zorlaştırır ve güvenlik seviyesini artırır.
    • Denetim ve Uyumluluk: Daha sıkı denetim imkanı sağlar ve uyumluluk gereksinimlerini karşılamada yardımcı olur.
    • Kullanıcı Deneyimi: Bazı kullanıcılar için erişim süreçleri biraz daha karmaşık hale gelebilir.

    Allow Anonymous SID/Name Translation Örneği

    Örnek olarak bir üniversiteyi ele alalım. Üniversite, öğrenci ve öğretmenlerin ağ kaynaklarına erişimini sağlamak için bu politikayı etkinleştirmeyi düşünüyor.

    • Etkinleştirme Durumu: Öğrenciler ve öğretmenler, çeşitli ders materyallerine anonim olarak erişebilir. Ancak, bu durum, hassas araştırma verilerine erişim riskini artırır.
    • Devre Dışı Bırakma Durumu: Erişim daha güvenli hale gelir, ancak kullanıcılar her erişim için kimlik doğrulaması yapmak zorunda kalır.

    Allow Anonymous SID/Name Translation Yapılandırma

    Allow Anonymous SID/Name Translation yapılandırma için DC sunucu üzerinden Group Policy Management’ı açıyoruz ve aşağıdaki yolu takip Ediyoruz.

    Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options – Network access: Allow anonymous SID/name translation

    Define this Policy settings – Disabled duruma getirmemiz yeterli. Bu işlemi Default Domain Policy üzerinde yapmıyorsanız (Default Domain Policy üzerinde yapmanız önerilir) uygulamış olduğunuz Policy için Link işlemini yapmayı unutmayınız.

    İşlemlerin uygulanması için “gpupdate veya gpupdate /force” işlemi gerçekleştirebilirsiniz.

    “Allow Anonymous SID/Name Translation

    Bu makale, “Allow Anonymous SID/Name Translation Policy”nin etkinleştirilmesi ve devre dışı bırakılması durumlarını, bunun ağ güvenliği üzerindeki etkilerini ve bu politikanın önemini kapsamlı bir şekilde ele almaktadır

    , , , ,

  • Exchange Server Kasım Security Update Yayımlandı

    Exchange Server Kasım Security Update Yayımlandı

    Microsoft, Exchange Server’ın belirli sürümlerinde bulunan güvenlik açıkları için Güvenlik Güncellemeleri (SUs) yayınladı. Bu güncellemeler, Exchange Server 2019 ve Exchange Server 2016 için geçerli ve şu özel sürümler için mevcut:

    • Exchange Server 2019 CU12 ve CU13
    • Exchange Server 2016 CU23

    Kasım 2023’teki bu SU, Microsoft’un güvenlik ortakları tarafından sorumlu bir şekilde bildirilen ve Microsoft’un iç süreçleri aracılığıyla bulunan güvenlik açıklıklarını ele alıyor.

    Bu güvenlik açıklıkları Exchange Server’ı etkiliyor. Exchange Online müşterileri, bu SU tarafından ele alınan güvenlik açıklıklarından zaten korunuyor ve ortamlarındaki Exchange sunucularını veya Exchange Yönetim Araçları sunucularını güncelleme işlemi yapmanız gerekiyor.

    Exchange Server Kasım Güncellemesi ile PowerShell Serialization varsayılan olarak etkin oluyor.

    Exchange Server Certificate Signing of PowerShell Serialization Payload Etkinleştirme – Cengiz YILMAZ | Sys Blog

    Exchange Server Kasım 2023 Security Update ile birlikte Powershell Serialization varsayılan olarak etkinleştiriliyor. Powershell Serialization Exchange Server Ocak 2023 güncellemesi ile yayımlanmış bir özellikti. Kasım 2023 Security Update ile birlikte artık varsayılan olarak etkin olacaktır.

    Not: Exchange Server Kasım 2023 Security Update işleminden önce dikkat etmeniz gereken bazı noktalar bulunmaktadır.

    • Exchange Auth Sertifikasının etkin olup olmadığını kontrol etmeniz gerekmektedir
    • Hızlı bir denetleme işlemi için Microsoft tarafından oluştulmuş MonitorExchangeAuthCertificate Scriptini kullanabilirsiniz.

    MonitorExchangeAuthCertificate scriptini çalıştırdığınız da Powershell çıktısı aşağıda bulunan görselde ki gibiyse, güncelleme işlemini sorunsuz yapabilirsiniz.

    Exchange Server Kasım 2023 Security Update’inde Bilinen Sorunlar

    Belirli yöneltilmiş cmdlet’ler (örneğin, Get-MailboxDatabase | Get-Mailbox) yalnızca Management Tools sunucularında başarısız olmaktadır.

    , , ,

  • Windows Server 2022’de Azure Arc Entegrasyonu: Azure ARC Kaldırma Yöntemi

    Windows Server 2022’de Azure Arc Entegrasyonu: Azure ARC Kaldırma Yöntemi

    Microsoft, Windows Server 2022 için sürekli olarak güncellemeler ve iyileştirmeler sunuyor. Bu makalede, Azure Arc entegrasyonunu kolaylaştıran Ekim 2023 güncellemesi – KB5031364 – üzerinde duracağız. Ayrıca, bu özelliği nasıl kaldırabileceğinize dair adımları da ele alacağız.

    Ekim 2023 Güncellemesi: KB5031364 ile Azure Arc Entegrasyonu

    Ekim 2023, Windows Server 2022 için önemli bir aydı. Bu dönemde yayınlanan KB5031364 güncellemesi, Azure Arc kurulumunu basitleştiren bir dizi özellik ekledi. Bu güncelleme ile Azure Arc, Windows Server 2022‘nin içeriklerine entegre edildi ve kullanıcılar için kolayca erişilebilir hale getirildi. Güncelleme, şu özellikleri içeriyor:

    1. Azure Arc Kurulum İsteğe Bağlı Bileşeni: Bu bileşen, Azure Arc’ın sunucuya kolayca entegre edilmesini sağlar.
    2. Sistem Tepsisi Simge ve Sunucu Yöneticisi Girişi: Yeni simgeler ve arayüzler, kullanıcıların Azure Arc’ı yönetmesini kolaylaştırır.
    3. Grafiksel Yükleyici: Azure Bağlantılı Makine ajanının kurulumu için kullanıcı dostu bir arayüz sağlar.

    Windows Server 2022 Azure ARC Kaldırma Yöntemi

    Azure Arc’ın entegrasyonu kadar, gerektiğinde bu özelliğin kaldırılması da önemlidir. Bu işlem için sunucularınız yeniden başlatılması gerekmektedir, işlem öncesinde buna dikkat etmeniz gerekmektedir.

    Aşağıda, Azure Arc’ı Windows Server 2022’den nasıl kaldırabileceğinize dair adımlar bulunmaktadır.

    Azure ARC sistem simgesi Regedit içerisin de bulunan HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run anahtarı altında AzureArcSetup ile çalışmaktadır. Burası sistem ilk açılışın da çalışması gereken uygulamaları içermektedir.

    İlgili anahtarı silmeniz durumun da Azure ARC sistemden kaldırılmış olmuyor, anahtarı silmeniz durumun da sadece sistem ilk açılında otomatik olarak aktif olmasını engelleyebilirsiniz.

    PowerShell Kullanarak Azure ARC Kaldırma

    Powershell kullanarak Server 2022 üzerinde bulunan Azure ARC özelliğini kaldırabilirsiniz, Powershell komutunu aşağıdaki gibidir;

    Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup

    Server Manager ile Azure ARC Kaldırma Yöntemi

    Server Manager üzerinde Manage – Remove Roles and Features adımına geliyoruz.

    Features bölümün de Azure Arc Setup seçeneğinin tikini kaldırıyoruz ve Next butonu ile kaldırma işlemini bitiriyoruz.

    İşlem tamamlandıktan sonra işlem yaptığınız Server 2022 sunucunun restart edilmesi gerekmektedir.

    Sonuç: KB5031364 güncellemesi ile Windows Server 2022, Azure Arc entegrasyonunu önemli ölçüde kolaylaştırdı. Bu entegrasyon, sunucu yönetimini basitleştirirken, gerektiğinde kaldırma işlemi de kullanıcı dostu bir şekilde tasarlanmıştır. Microsoft’un bu adımları, Windows Server kullanıcılarına esneklik ve kontrol imkanı sunmaktadır.

    , ,

  • Windows’taki New Outlook Erişimini Etkinleştirme veya Devre Dışı Bırakma

    Windows’taki New Outlook Erişimini Etkinleştirme veya Devre Dışı Bırakma

    Dijital dönüşümün hız kazandığı bu dönemde, Microsoft’un sunduğu yeni özellikleri takip etmek ve iş akışlarınızı optimize etmek oldukça önemli. Yeni Windows için Outlook da bu yeniliklerden biri ve Microsoft Entra hesabına sahip tüm kullanıcılar için varsayılan olarak etkinleştirilmiştir. Ancak kurumsal yöneticiler için bu erişimi etkinleştirmek veya devre dışı bırakmak bazen gerekebilir. İşte bu konuda bilmeniz gerekenler:

    New Outlook – Enabling or Disabling Access for a Single Mailbox:

    Exchange Online PowerShell’de belirli bir komut sözdizimini kullanarak belirli bir kullanıcının yeni Outlook’a erişimini devre dışı bırakabilir veya etkinleştirebilirsiniz. Örneğin, belirli bir kullanıcı için yeni Outlook’u devre dışı bırakmak isterseniz, şu komutu kullanabilirsiniz:

    Set-CASMailbox -Identity [user@contoso.com] -OneWinNativeOutlookEnabled $false

    Birden fazla posta kutusu için erişimi etkinleştirmek veya devre dışı bırakmak istediğinizde, ilgili posta kutularını tanımlamak için Get-Mailbox, Get-User veya Get-Content cmdlet’lerini kullanabilirsiniz.

    New Outlook – Verifying Access

    Belirli bir posta kutusu için yeni Outlook’un etkin olup olmadığını doğrulamak için şu komutu kullanabilirsiniz:

    Get-CASMailbox -Identity [user@contoso.com] | Format-List Name,OneWinNativeOutlookEnabled

    New Outlook – Using Outlook Web Mail Policies

    Outlook web posta politikalarını kullanarak birden fazla posta kutusu için yeni Windows için Outlook’a kullanıcı erişimini etkinleştirebilir veya devre dışı bırakabilirsiniz. Örneğin, tüm posta kutuları için yeni Outlook’u devre dışı bırakmak için şu komutu kullanabilirsiniz:

    Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -OneWinNativeOutlookEnabled $false

    Sonuç: Bu makalede, Microsoft’un yeni özelliği olan ‘Yeni Outlook için Windows’a nasıl erişim sağlanacağı ve bu erişimin nasıl devre dışı bırakılacağı hakkında bilgi verilmektedir. Microsoft Entra hesabı olan kullanıcılar için varsayılan olarak etkin olan bu özellik, bazen kurumsal yöneticiler için devre dışı bırakılması gerekebilir. Makalede, tek bir posta kutusuna erişimi nasıl etkinleştireceğiniz veya devre dışı bırakacağınız, bu erişimi nasıl doğrulayacağınız ve birden fazla posta kutusu için Outlook web mail politikalarını nasıl kullanacağınız açıklanmaktadır.

    , , ,

  • Resilient File System (ReFS) ve MS Exchange Server

    Resilient File System (ReFS) ve MS Exchange Server

    Resilient File System (ReFS), Microsoft‘un dosya sistemi teknolojilerindeki en son yeniliklerden biridir. Özellikle veri bozulmasına karşı daha dayanıklı olacak şekilde tasarlanmıştır. MS Exchange Server gibi yoğun veri gereksinimleri olan uygulamalar için ReFS, ideal bir çözüm sunmaktadır. Peki ReFS tam olarak nedir, avantajları nelerdir ve MS Exchange Server ile nasıl bir etkileşimi vardır?

    ReFS Nedir?

    ReFS (Resilient File System) Nedir?

    Resilient File System (ReFS), Microsoft’un modern dosya sistemlerinin ihtiyaçlarını karşılamak için geliştirdiği sonraki nesil dosya sistemidir. Windows Server 2012 ile ilk kez kullanıma sunulan ReFS, büyük miktarda verinin güvenli bir şekilde depolanması, yönetilmesi ve erişilmesi için özel olarak tasarlanmıştır. Ancak bu dosya sistemi sadece sunucu depolama ihtiyaçları için değil, aynı zamanda veri bozulmasına karşı koruma ve yüksek performanslı dosya erişimi için de geliştirilmiştir.

    ReFS Öne Çıkan Özellikleri:

    1. Bütünlük Akışları: ReFS, metaveri ve kullanıcı verisi için ayrı bütünlük akışlarına sahiptir. Bu sayede, dosyanızın içeriği veya dosya hakkında bilgi olan metaveri bozulsa bile dosya sistemini etkilemez.
    2. Otomatik Onarım: ReFS, arka planda sürekli olarak dosya sistemini taramaktadır. Potansiyel olarak bozuk veri bloklarını otomatik olarak algılar ve bu blokları yedeklerden onarır. Bu, kullanıcıya hiçbir kesinti veya veri kaybı olmadan gerçekleşir.
    3. Mirror ve Parity Alanları: ReFS, depolama alanlarıyla entegre bir şekilde çalışarak verileri koruma altına alır. Aynı veriyi birden fazla diskte saklayarak (ayna modu) veya parite bilgisi kullanarak (parite modu) veri kaybını önler.
    4. Dinamik Disk Özellikleri: ReFS, dinamik olarak disk boyutunu değiştirme, diskleri yeniden düzenleme ve genişletme yetenekleriyle esnek bir depolama yönetimi sunar.
    5. Büyük Dosya ve Hacim Desteği: ReFS, 1 yottabyte’a kadar dosya ve hacim boyutlarını destekleyerek gelecekteki büyüme ihtiyaçları için ölçeklenebilir bir yapı sunar.
    6. Gelişmiş Meta Veri Yapıları: NTFS’nin aksine, ReFS daha modern ve esnek bir metaveri yapısına sahiptir. Bu, dosya işlemlerinin çok daha hızlı gerçekleştirilmesini sağlar.

    Neden ReFS?

    Günümüzün veri odaklı dünyasında, veri bütünlüğü ve erişilebilirlik esastır. ReFS, bu ihtiyaçları karşılamak için özel olarak tasarlanmıştır. Özellikle veri bozulmasının kabul edilemez olduğu kritik iş yüklerinde, ReFS mükemmel bir seçenektir. Gelişmiş bütünlük, otomatik onarım ve yüksek performanslı erişim özellikleriyle ReFS, modern IT altyapıları için ideal bir dosya sistemidir.

    MS Exchange Server ve ReFS: İdeal Bir Uyum

    Microsoft Exchange Server, dünya genelindeki kuruluşlar için kritik bir bileşendir. E-posta iletişimi, takvim yönetimi, görevler ve daha fazlası için merkezi bir platform sağlar. Bu yüzden, Exchange Server’ın üzerinde çalıştığı alt yapı, veri bütünlüğü, erişilebilirlik ve performansı garanti edebilmelidir.

    ReFS’nin MS Exchange Server ile entegrasyonu, her iki teknolojinin de güçlü yönlerini bir araya getirerek kuruluşlara bir dizi avantaj sunar:

    1. Veri Bütünlüğü: ReFS’nin sunduğu bütünlük akışları sayesinde, Exchange veritabanları ve log dosyaları sürekli olarak monitör edilir. Olası bir veri bozulmasında, ReFS otomatik olarak hatalı blokları tespit eder ve onarır. Bu, Exchange Server’da kesintisiz bir e-posta hizmeti anlamına gelir.
    2. Optimize Edilmiş Performans: ReFS, Exchange Server iş yükleri için optimize edilmiş disk IO işlemleri sunar. Özellikle büyük veritabanı işlemlerinde, ReFS’nin yapısı sayesinde daha hızlı veri okuma/yazma süreleri elde edilir.
    3. Geliştirilmiş Yedekleme ve Geri Yükleme: Exchange Server’da veri yedeklemesi kritiktir. ReFS ile entegre edildiğinde, veritabanı yedeklemeleri ve geri yüklemeleri daha hızlı ve etkili bir şekilde gerçekleştirilir.
    4. Hızlı Snapshot Alma: ReFS’nin “block clone” teknolojisi sayesinde, Exchange veritabanları için snapshot’lar çok daha hızlı bir şekilde alınabilir. Bu, yedekleme süreçlerini ve veri geri yükleme operasyonlarını hızlandırır.
    5. Gelişmiş Depolama Alanı Yönetimi: ReFS’nin dinamik disk özellikleri, Exchange Server için depolama alanını optimize eder. Veritabanlarının büyümesi ve değişen depolama ihtiyaçlarına hızla yanıt verebilir.

    Özetle, MS Exchange Server’ın ReFS dosya sistemi üzerinde çalışması, kuruluşların kritik e-posta altyapılarını güvenli, hızlı ve etkili bir şekilde yönetmelerine olanak tanır. Bu kombinasyon, modern işletmeler için ideal bir çözüm sunar, veri bütünlüğünü garantilerken aynı zamanda yüksek performanslı bir e-posta hizmeti sunar.

    ReFS Örneklendirme

    Diyelim ki bir şirkette, yüzlerce çalışana e-posta hizmeti veren büyük bir Exchange Server kurulumunuz var. Bir gün, sistemde beklenmedik bir kesinti yaşandı ve bazı veritabanı dosyaları zarar gördü. Eski bir NTFS dosya sistemi kullanılsaydı, bu tür bir bozulma, saatlerce sürebilecek bir geri yükleme sürecini tetikleyebilirdi. Ancak ReFS kullanılarak, dosya sistemi otomatik olarak bozulmuş veri bloklarını tespit eder ve onları yedeklerden onarır. Bu, sistem kesinti süresini önemli ölçüde azaltır ve kullanıcılara hızla geri dönebilirsiniz.

    Exchange Server ReFS Yapılandırma

    Exchange Server, yüksek bir kullanılabilirlik ve felaket sonrası kurtarma çözümü olarak Veritabanı Kullanılabilirlik Grupları (DAG) yapısını kullanır. DAG, birden fazla sunucu üzerinde veritabanı kopyalarını barındırarak sunucu veya veritabanı başarısızlığında otomatik olarak kurtarma sağlar.

    Autoreseed özelliği, otomatik olarak bir disk başarısızlığı sonrası yedek bir diske veritabanı tohumlama işlemini gerçekleştirir. Bu, disk başarısızlıklarında manuel müdahale gereksinimini azaltır ve sistem kullanılabilirliğini artırır.

    Bu iki özelliğin etkili bir şekilde çalışabilmesi için Exchange Server’ın doğru bir dosya sistemi üzerinde çalışıyor olması kritik bir öneme sahiptir. Özellikle, son yıllarda Microsoft, ReFS dosya sistemini DAG yapısıyla birlikte kullanmayı önermektedir, çünkü ReFS, büyük veritabanı işlemleri için optimize edilmiş ve daha esnek bir yapı sunmaktadır.

    Ancak, Exchange Server’ın hangi dosya sistemini kullandığından emin olmanız önemlidir. Bunu kontrol etmek için Exchange Yönetim Kabuğu (EMS) üzerinde belirli bir komutu çalıştırmanız gerekir. Bu komut, Exchange’in doğru dosya sistemini kullanıp kullanmadığını belirlemenize yardımcı olacaktır, böylece gerektiğinde gerekli ayarlamaları yapabilirsiniz.

    Exchange Server’da bir Database Availability Group (DAG) için varsayılan dosya sistemini belirtmek veya değiştirmek istiyorsanız, Set-DatabaseAvailabilityGroup cmdlet’ini kullanarak bu yapılandırmayı güncelleyebilirsiniz.

    Ancak, doğrudan FileSystem parametresini kullanarak dosya sistemini ReFS veya NTFS olarak değiştirmek mümkün değildir. Bunun yerine, ReFS dosya sistemi üzerine bir veritabanı veya log dosyası oluşturduğunuzda, Exchange bu dosya sistemini otomatik olarak tanır.

    ReFS’yi kullanmanın en büyük avantajlarından biri, Set-DatabaseAvailabilityGroup cmdlet’ini kullanarak AutoReseed yapılandırmasını etkinleştirdiğinizde ortaya çıkar. ReFS, AutoReseed işlemini daha hızlı ve daha güvenilir kılar.

    Bir DAG için ReFS yapılandırmasını belirtmek için şu komutu kullanabilirsiniz:

    Set-DatabaseAvailabilityGroup NameOfYourDAG -FileSystem ReFS

    Sonuç olarak, Exchange Server’ın yüksek kullanılabilirlik ve otomatik kurtarma özelliklerinden tam anlamıyla yararlanmak için doğru dosya sistemini kullanması hayati bir öneme sahiptir. Bu, sistem güvenilirliğini ve performansını doğrudan etkileyebilir, bu yüzden doğru yapılandırmanın yapılması ve düzenli olarak kontrol edilmesi önerilir.

    , ,
© 2023 Cengiz YILMAZ MVP - MCT
Privacy Policy Contact