Uçtan Uca SCDPM 2012 R2 Vol6 – Workgrouplar ve Untrust Domainler

Workgrouplar ve Untrust Domainler

Günümüzde teknolojinin göstermiş olduğu gelişim ile bilgi işlem kaynaklarının genellikle sınırları aşmaktadır. Kuruluşlar, birden çok etki alanına veya workgroup yapılara gelişen sistemleri gereğinde ihtiyaç duyarlar. DPM gereksinimleri dolayısıyla bir etki alanının üyesi olmasıdır. Etki alanı içerisindeki BT sistemlerinin genişlemesi ile büyüyen bu yapıda bulunan servislerin koruma altına alınması gibi DPM ile kendi etki alanı dışındaki sistemleri koruma yeteneğine sahiptir. DPM ile bunu yapmanın birden çok yolu var.

Bu bölümde, DPM ile workgrouplarda ve untrust domainler içerisinde bulunan bilgisayarların korunmasını nasıl sağlayabileceğimizi değineceğiz. DPM’ de etki alanı dışında bulunan sistemleri korumayı sağlamak ve bu işlemin yapılabilmesi için gereken yapılandırmada göz önünde bulundurmanız gereken bazı öğeler vardır. Bu bölümde desteklenen ve desteklenmeyen bu öğeleri gözden geçireceğiz. Bu bölümde daha ayrıntılı inceleyeceğimiz noktalar:

  • Desteklenen ve Desteklenmeyen Workgroup/Untrusted Domain Koruması
  • Sertifika Tabanlı Doğrulama Kullanarak DPM Koruması
  • Ads
  • Güvenilen etki alanları arasında koruma
  • Güvenilmeyen Etki Alanlarında ve Workgroup’ da bulunan makinaları korumak için nasıl yapılandırılmalı
  • Güvenilmeyene Etki Alanı içerisinde ki Domain Controller’ ın korunması
  • DMZ Koruma
  • Güvenilmeyen Etki Alanlarında ve Workgrouplarda koruma sorunlarının giderilmesi

Desteklenen ve Desteklenmeyen Workgroup/Untrusted Domain Koruması

DPM toplulukları arasında sıksık güvenilmeyen etki alanlarında veya workgrouplarda bulunan hangi sistemlerin korunup, korunamayacağına dair tartışmalar gerçekleşiyor. Bu liste DPM’ in önceki sürümlerinden bu yana çok fazla değişikliğe uğramadı. Bu bölüme başlamadan önce aşağıdaki terimleri bilmenizde fayda var.

Aşağıdaki liste üzerinde DPM 2012 ve sonrasında ki sürümlerini kapsayan Güvenilmeyen Etki Alanları ve Workgrouplar üzerindeki desteklenen ve desteklenmeyen sistemlere ait bilgiler bulunmaktadır. Bu listeye ayrıntılı güncel bilgiye aşağıdaki link üzerinden de erişebilirsiniz. http://technet.microsoft.com/en-us/library/hh757801.aspx

Workgroup Non-domain
Files – Basic – All server and client SKUs Desteklenir Desteklenir
Files – Clustering Uygulanamaz Desteklenmez
System state – Windows Server 2003,
Windows Server 2008, Windows 2008 R2
Desteklenir Desteklenir
SQL Server – Basic – SQL Server 2000, SQL
Server 2005, SQL Server 2008
Desteklenir Desteklenir
SQL Server – Mirroring Desteklenmez Desteklenmez
SQL Server – Clustering Uygulanamaz Desteklenmez
Hyper-V – Basic – Windows Server 2008,
Windows 2008 R2
Desteklenir Desteklenir
Hyper-V – Clustering Uygulanamaz Desteklenmez
Hyper-V – Cluster Shared Volume Uygulanamaz Desteklenmez
Exchange – Basic – Exchange Server 2003,
Exchange Server 2007, Exchange Server
2010
Uygulanamaz Desteklenir
Exchange Server – Clustering Uygulanamaz Desteklenmez
Exchange Server – CCR Uygulanamaz Desteklenmez
Exchange Server – LCR Uygulanamaz Desteklenir
Exchange Server – SCR Uygulanamaz Desteklenmez
Exchange Server – DAG Uygulanamaz Desteklenmez
Microsoft SharePoint Server Desteklenmez Desteklenmez
Bare Metal Recovery Desteklenmez Desteklenmez
End-user Recovery Desteklenmez Desteklenmez
Disaster Protection Sertifika tabanlı gerçekleştirilir ise Desteklenir. Sertifika tabanlı gerçekleştirilir ise Desteklenir.

Sertifika Tabanlı Doğrulama Kullanarak DPM Koruması

DPM’ in workgrouplar veya güvenilmeyen etki alanlarındaki bilgisayarları sertifika ile kimlik doğrulama kullanark koruma yeteneğine sahiptir. Certificate-Based Authentication (CBA) ilk olarak DPM 2012 ile tanıtıldı. Daha öncesinde DPM yöneticileri workgrouplarda bulunan sunucularını koruma altına almak için local accountlara bağlı kalıyorlardı. CBA, local account oluşturmaya karşı policyleri olan kuruluşlar için kullanılır. Bunun için ayarlamaları yapmadan önce sertifikalı koruma sağlamak için gerekli bilgilere bakalım.

DPM sertifikalı koruma için gereken ön koşullar:

  • Korunan sunucu / istemci üzerinde .Net 3.5 SP1 bulunmalıdır.
  • Her makinanın kendi sertifikasına sahip olması gerekir. (Sanal Makinalar dahil)

Sertifika gereksinimleri :

  • X.509 v3 sertifikaları
  • Sunucu ve İstemci kimlik doğrulamasında gelişmiş anahtarlama kullanılmalıdır.
  • Anahtar uzunluğu en az 1024 bit olmalıdır.
  • Anahtar tipi değişebilir olmalıdır.
  • DPM otomatik imzalanmış sertifikaları desteklemez.

Güvenilmeyen Etki Alanlarında certificate authentication kullanıldığında DPM aşağıdaki iş yükleri destekler:

  • SQL Server
  • File Server
  • Hyper-V

Güvenilmeyen Etki Alanlarında certificate authentication kullanılsa bile DPM aşağıdaki iş yüklerini desteklemez:

  • DPM
  • Exchange Server
  • Sharepoint Server
  • Bare Metal Recovery
  • System State

DPM ile sertifika kimlik doğrulaması kurmak için aşağıdaki adımları takip edebilirsiniz:

  1. İlk olarak sertifika verebilmek için içeride Certificate Authority servisine ihtiyacınız var. Kurulum ve yapılandırmayı bu bağlantı üzerinde bulabilirsiniz : http://www.asilmutlu.com/windows-server-2012-r2-active-directory-certificate-services-ca-yapilandirmasi/
  2. DPM için CA üzerinden bir Sertifika talep edin.
  3. Bu sertifikayı DPM sunucusuna yükleyin. Bu DPM sunucuda Local Computer > Personal alanına yüklenmelidir.

Sertifika içerisindeki thumbprint bilgisini alınmalıdır. Bunun için DPM sunucusunda Local Computer\Personal\certificates içerisinde yüklemiş olduğunuz sertifikaya çift click yapın Details sekmesine gelin alt kısımda bulunan thumbprint değerini kopyalayın.

Twitter Auto Publish Powered By : XYZScripts.com