Microsoft Windows sunucu ailesinin yeni nesil işletim sistemi olacak olan Windows Server 2012’nin çıkışına yaklaştıkça heyecanınızın gittikçe arttığını hissediyoruz.
9 Eylül 2011 tarihi itibariyle kod adı Windows Server 8 olarak ilk Developer Preview sürümü tanıtılan yeni nesil sunucu işletim sisteminin, 1 Mart 2012 itibariyle de public olarak ilk Beta versiyonu Windows Server 8 Beta adıyla duyuruldu. Microsoft, 17 Nisan 2012 itibariyle ürünün resmi çıkış adının Windows Server 2012 olacağını duyurdu. Ve 31 Mayıs 2012 tarihinde de Windows Server 2012 Release Candidate (RC) sürümünü yayınladı.
Sizlerle şu ana kadar hem beta öncesi sürüm olan Windows Server 8 Developer Preview sürümü üzerinde, hem Windows Server “8” Beta sürümü üzerinde hem de Windows Server 2012 RC sürümü üzerinde çok sayıda makalelerle, workshop etkinlikleri ve web seminerleri (webcast) ile yenilikleri paylaştık.
Bu makalemizde de sizlerle Windows Server 2012 İle Group Policy Object (GPO) Yeniliklerini adım adım uygulamalarla inceliyor olacağız.
Windows Server 8 Developer Preview ve Windows Server 8 Beta ile başlayan geliştirme süreçlerinde de yaptığımız paylaşımlarda ifade ettiğimiz gibi Windows Server 2012 ile beraber GPO(Group Policy Object) tarafında da önemli yenilikler geliyor. Windows Server 2003 üzerinde kullanmaya başladığımız GPMC(Group Policy Management Console) aracının yetenekleri biraz daha geliştirilmiş. Fakat gelişmesi gereken yerler hala var. Yine Group Policy yönetimi alanında da yeni özellikler geliyor. Uzaktan group policy güncellemesinin tetiklenebilmesi, geliştirilmiş policy sonuç raporları ile daha kolay sorun giderme, GPO replikasyon bütünlüğünün kontrolü gibi çok sayıda yenilik geliyor. Gelen önemli yenilikleri başlıklar halinde belirtmek gerekirse:
ü Group Policy Infrastructure Status
ü Uzaktan Policy Güncellemesi (Remote GPUpdate)
ü Group Policy PowerShell Yenilikleri
ü Yeni RSOP Loglama Verileri
ü Windows 8 ve IE 10 Desteği
Şimdi de bunları daha detaylı ele alalım.
Group Policy Infrastructure Status |
Belki hatırlayanlarınız ve kullananlarınız olmuştur, active directory ile ilk tanıştığımız Windows 2000 Server zamanında Windows 2000 Resource Kit içerisinde gelen GPOTOOL.EXE isimli bir aracımız vardı. Bu araç bize belirtilen bir domain controller üzerinde active directory içerisindeki bir group policy nesnesinin active directory veritabanındaki GPC(Group Policy Container) kopyasının versiyonu ile SYSVOL içerisinde oluşan GPT(Group Policy Template) kopyasının versiyonunun senkronize olup olmadığına bakar ve bilgi verirdi. Yine bu tool farklı DC’ler arasında da bu senkronizasyonun sağlanıp sağlanmadığını söylerdi. Eğer bu araç bize sonuç olarak “Policies OK” şeklinde bir çıktı sağlarsa bu GPO senkronizasyonunda sorun yaşanmadığını ver herşeyin yolunda gittiğini ifade ederdi. Tabii artık bu araç desteklenmiyor. Bu aracın çalışma prensibi SYSVOL içerisindeki GPT.INI dosyası ile Active Directory içerisindeki GPT.INI’nin version bilgilerini (version information) kontrol etmekten ibaretti. Fakat gpt.ini dosyasının bulunduğu konularda group policy ile ilgili daha kritik öneme sahip başka dosyalar da bulunuyordu. Dolayısıyla çok profesyonel anlamda bir araç değildi.
Windows Server 2012 ile beraber gerek domain controller sunucular üzerinde gerekse de Windos Server 2012 RSAT (Remote Server Administration Tools) kurulu diğer sunucu ve istemcilerde GPMC (Group Policy Management Console) MMC (Microsoft Management Console) aracını çalıştırdığınızda domain adı üzerine gelince konsolun sağ bölmesinde gelen Status adında yaygın olarak kullanımı Group Policy Infrastructure Status olan yeni bir tabın geldiğini göreceksiniz.
Bu tab kullanılarak active directory içerisinde bir domain controller esas alınarak (baseline) domain controller’lar arası group policy güncelliği karşılaştırılarak varsa senkronize olmamış / olamamış domain controller sunucusu tespit edilir. Genellikle esas alınan (baseline) domain controller sunucusu olarak PDC Emulator rolü atanmış domain controller olması tavsiye edilir. Status Detailes altında gelen Change linkine tıklanarak esas (baseline) alınacak sunucu seçilebilir.
Referans ya da esas alınacak domain controller seçildikten sonra Status tabında iken aşağıdan Detect Now butonuna basarak esas alınan domain controller’a göre Group Policy senkronizasyonunun güncellik durumunu verecektir. Detect Now butonuna bastığınızda GPMC konsolunun çalıştığı bilgisayar doğrudan domain içerisindeki domain controller sunucularla LDAP ve SMB protokollerini kullanarak iletişime geçer. Tüm SYSVOL group policy dosya hash bilgilerini, dosya sayılarını, ACL (Access Control Entry) bilgilerini ve GPT versiyonlarını esas alınan (baseline) sunucu ile karşılaştırır. Ayrıca her domain controller’ın group policy nesne sayısını, versiyonlarını, ve ACL bilgilerini yine esas alınan (baseline) sunucu ile karşılaştırarak kontrol eder. Eğer herşey başarılı ve yolunda ise GPMC arayüzünde bu yönde güzel haberler alacaksınız.
Eğer sorunlar varsa da bunlarla ilgili uyarıyı verecektir.
Raporun nasıl tasvir edildiğine de biraz değinelim. Status Details altında gelen Active Directory ve SYSVOL kolonlarının altı boş ise, GPT ve Active Directory arasında yani GPC arasında versiyonlar uyuşuyor demektir.
Yukarıdaki şekilde de görülen raporun görüntülenmesi için arka plandaki süreçten de biraz bahsetmek istiyorum. Eğer Active Directory ve SYSVOL kolonları boşsa, GPT ve Active Directory arasındaki versiyonlar arasında dosya hash bilgileri ve güvenlik bilgilerinde eşit olmayan durumu gösterecektir, ya da senkronizasyonda bir gecikme durumu oluştuğunu bildirdiği anlamına gelecektir. Böyle bir kolonların boş gelmesi durumu yoksa, versiyon mesajları ile versiyon bilgilerini görmüş olacaksınız.
Eğer domain controller sunucusu üzerinde FRS ya da DFRS servisleri çalışmıyorsa, SYSVOL için Erişilemiyor (Inaccessible) mesajı görüntülenecektir. Kapatılan bir domain controller ya da NTDS Servisinin durdurulması durumunda da Active Directory alanı yine Erişilemiyor (Inaccessible) bilgisi verecektir. Yeni bir GPO oluşturma ya da silme yapıldığında da gelen mesaj Number Of GPOS şeklinde alınacak değişiklikleri belirten mesaj olarak görüntülenecektir. GPO senkronizasyonundaki süreç GPMC içerisine gelen bu yeni eklenti ile açık bir biçimde gerçekleşir.
Uzaktan Policy Güncellemesi (Remote GPUpdate) |
Windows Server 2012 GPMC(Group Policy Management Console) ile artık group policy güncellemelerini grafiksel arabirimden de gerçekleştirebiliyoruz. GPO uygulanmış OU üzerine geldiğinizde aktifleşen ve sağ tuş menüsü ile gelen bu özellik sayesinde GPO ayarlarının o organizational unit altındaki istemci bilgisayarlara ve o bilgisayarlara logon olmuş kullanacılara güncelleme ya da yeniden gönderilmiş olacaktır.
GPMC konsolundan GPUPDATE komutunu tetiklemek için aşağıdaki şekilde de görüldüğü şekilde istenilen organizational unit üzerinde sağ tuşa basıp GPUPDATE menü kısayoluna tıklamak yeterlidir. Güncelleme süreci OU içerisindeki hedeflenen bilgisayarlar üzerinde 10 dakika içerisinde rasgele bir biçimde gerçekleşecektir. Böylece özellikle yavaş domain controller sunucularında oluşabilecek aşırı yüklenmeden kaynaklı çökmeler de engellenmiş olacaktır.
Group Policy Update seçeneğine tıklanmasıyla karşımıza Force Group Policy update ekranı gelecek ve güncelleme yapılacak bilgisayar sayısı diyalog penceresinde gelecektir. Yine bu ekranda OU altındaki bilgisayarlara policy güncelleme sürecini başlatmayı isteyip istemediğimizi soran onay sorgusu gelecektir. Yes ile sürecin başlatılmasını başlatıyoruz. No butonuna basarak GPUpdate sürecinin başlatılmasından vazgeçebilirsiniz.
Biz güncelleme sürecini başlatacağımız için Yes butonuna basıyoruz. Karşımıza Remote Group Policy update results ekranı gelecektir. Bu ekranda da gpupdate komutunun başarılı olarak uygulandığı ya da başarısızlıkla sonuçlandığı bilgisayarlarla ilgili sonuçlar raporlanmış olacaktır. Bu ekranda Save butonu ile listelenen sonuçları bir CSV dosyasına çıktı olarak kaydedebilirsiniz.
Close ile pencereyi kapatıp, tekrar GPMC konsoluna geri dönüyoruz.
Bu konuda belirtmek istediğim bir diğer nokta da GPUPDATE komutunu uygulamaya çalıştığınız OU içerisinde bilgisayar hesabının bulunmaması durumunda aşağıdaki şekilde de görüldüğü gibi “… No computer objects can be found in this OU or sub OUs…” mesajını almış olacaksınız.
Bu mesajı almamak için öncelikle bilgisayar hesaplarının OU içerisine taşınması gerekecektir.
Group Policy PowerShell Yenilikleri |
Windows Server 2012 ile beraber PowerShell komut satırı aracında da group policy ile ilgili yeni komut seti araçları (cmdlets) geliyor. Bunlardan en önemli ve göze çarpan komut Invoke-GpUpdate komutudur. Bu komut klasik gpupdate.exe komutuna benzer bir işleve sahiptir. Örneğin; Invoke-GpUpdate komutunu –force parametresi ile kullanmakla, gpupdate.exe /force şeklinde kullanmak aynı sonuca götürecektir.
PowerShell komut satırında gelen Invoke-GpUpdate komutu GPMC konsolunda gelen GPUpdate kısayoluna göre daha fonksiyonel yeteneklere sahiptir ve uzaktan group policy güncellenmesinde farklı parametrelerle daha işlevsel kullanım sağlamaktadır.
Örneğin; aşağıdaki kullanımda da görüldüğü gibi –computer parametresinden sonra spesifik bilgisayar adı ya da adları belirterek group policy güncellemesinin sadece o bilgisayarlar hedef alınarak başlatılmasını sağlayabilirsiniz.
Invoke-gpupdate -computer <some computer>
Birden fazla bilgisayara bunu uygulamak isterseniz de aşağıdaki gibi değişken kullanımı yaparak bir dizi içerisine aldığımız bilgisayar hesaplarına yine bir döngü içerisinde sırayla gpupdate sürecinin tetiklenmesini sağlamış olacaksınız.
$computerArray = “WINSRV08”,“ WINSRV09”,“ WINSRV10”,“ WINSRV11”
$computerArray Foreach-Object{Invoke-GPUpdate -ComputerName $_}
Bir diğer kullanımda da aşağıdaki görüldüğü gibi –randomdelayInMinutes parametresine “0” değeri atanarak GPMC konsolundaki rasgele 10 dakikalık süreç içerisinde group policy senkronizasyonunun gerçekleşmesi süreci derhal başlatılmış olacaktır.
Elbette powershell komut satırı aracındaki komutlar GPMC konsolundaki belirli-amaca yönelik kısayollarla karşılaştırıldığında son derece esnek, parametrik ve otomatize çözümler sunacaktır.
Yine powershell komut satırı aracı kullanılarak group policy güncelleme sürecini otomatize edebilecek görevler yani job’lar oluşturup, bunları Windows Task Scheduler sayesinde istediğiniz saatlerde planlı olarak çalışacak bir biçimde konfigüre edebilirsiniz.
Aşağıdaki örnekte de görüldüğü gibi –AsJob parametresi ile GPUpdate için gerekli görevlerin Task Scheduler görev listesine gelmesini sağlayıp, sonrasında da bunu programlayabilirsiniz.
Yeni RSOP Loglama Verileri |
Esasında Windows Server 2012 ile group policy tarafındaki en değerli yenilik diyebileceğimiz geliştirmeye geldik. Group policy RSOP(Resultant Set Of Planning) günlüklerinde sorun giderme ve policy analizlerini daha kolay yapmaya yönelik tasarlanmış değişiklikler içermektedir. Önceki Windows versiyonlarında olduğu gibi GPMC konsolu Group Policy Results bileşeni ya da komut satırından GPRESULT /H komutu kullanılarak kullanıcı ya da bilgisayara uygulanan group policy ayarlarını HTML olarak raporlayabiliyorsunuz. Bu HTML rapor dosyasını açtığınızda en üstte ilk bakışta görebileceğiniz bir Summary tabı eklenmiştir.
Bu özet bilgileri içeren tab sayesinde policy’nin çalışıp çalışmadığını, saptanan ağ hızı bilgilerine hemen ulaşabiliyorsunuz.
Burada daha da önemli olan bir diğer kısım Details tabında Computer Details ve User Details altında gelen Component Status bölümüdür.
Bu bölümü kullanarak da group policy uygulama süreci tamamlanana kadarki her bir adımın ne kadarlık zaman aldığı ve başarılı ya da başarısız tamamlanma sonucu gibi bilgileri elde edebilirsiniz.
Component Status altında gelen Last Process Time ile o bileşenin en son işletilme zamanı ile ilgili bilgi alabilir ve isterseniz de üzerine tıklayarak detay bilgilere girip, sürecin detayı hakkında daha geniş bilgi edinebilirsiniz.
Yine bir diğer kolon olan Event Log kolonunu kullanarak o bileşenle ilgili olay geçmişine gidebilirsiniz. Böylece Event Viewer konsoluna girmeden bu policy içerisindeki elementlere ait olay geçmişi hakkında bilgileri burayı kullanarak alabilirsiniz.
Event Log kolonunu kullanarak o bileşenle ilgili olay geçmişini görüntülemek için sistem üzerinde gplogview.exe aracının bulunması gerekir. Windows Server 2012 ve Windows 8 client üzerinde bu araç kurulu gelmektedir.
Bu başlık altında gelen bir diğer yenilik de uygulanan group policy ayarlarına ilişkin detaylar sayfasında. Active Directory’nin ilk çıkış versiyonundan bu zamana kadar geçen 12 senelik süreçte group policy içerisinde özellikle yönetimsel şablonlar (administrative templates) grubu altına binlerce ayar geldi.
Dolayısıyla çok sayıda yönetimsel şablon ayarı içerisinde hangi ayarın ne işe yaradığını ismine ya da başlığına bakarak çıkarma yapmak her zaman mümkün olmayabiliyor. Windows Server 2012 ile GPMC konsol içerisinde herhangi bir GPO’daki ayarların raporlandığı Details tabında listelenen yönetimsel şablon ayarının üzerine tıklarsanız o ayarla ilgili açıklama bilgilerini ve detaylarını görmüş olacaksınız.
Örneğin yukarıdaki şekilde görüldüğü gibi Add Logoff to the Start Menu ifadesi üzerine tıklarsanız aşağıdaki şekilde görüldüğü gibi ayara ait detaylı açıklama penceresi açılacaktır. Böylece bu pencereden o ayara ait tüm detaylarla ilgili bilgi almış olacaksınız.
Not : Uzaktan RSOP Loglama Verileri ve Group Policy Update özelliklerini işletebilmek için hedeflenen bilgisayarlar üzerinde Windows Firewall bileşeninde ilgili portların mutlaka açılması gerekir. RPC, WMI/DCOM, event log, ve scheduled task bileşenleri için hedeflenen bilgisayarlar üzerinde aşağıdaki Windows Firewall inbound kurallarının aktifleştirilmesi gerekir:
- Uzaktan GPUpdate İçin:
- Remote Scheduled Tasks Management (RPC)
- Remote Scheduled Tasks Management (RPC-EPMAP)
- Windows Management Instrumentation (WMI-in)
- Uzaktan RSOP Loglama Verileri İçin:
- Remote Event Log Management (NP-in)
- Remote Event Log Management (RPC)
- Remote Event Log Management (RPC-EPMAP)
- Windows Management Instrumentation (WMI-in)
Bu ayarlar Windows Firewall with Advanced Security konsolu içerisinde “Remote Scheduled Tasks Management”, “Remote Event Log Management” ve “Windows Management Instrumentation” grupları altında gelmektedir.
Bu gruplar altından yukarıda listesini verdiğimiz kurallar için izin vermeniz yeterlidir. Port numarası olarak arka planda RPC port 135, named pipe port 445 ve ilgili sonlandırıcı dinamik portlar için hedeflenen bilgisayarlarda erişime izin vermeyi aktifleştirecektir.
Windows 8 ve IE 10 Desteği |
Windows Server 2012 ile GPO ayarlarında Windows 8 istemci ile Internet Explorer (IE) versiyon 10 desteği de gelmektedir. Bu makalemizde policy ayarlarının detaylarına girmeyeceğiz. Bir başka makalemizde policy ayarlarını detaylı olarak sizlerle paylaşıyor olacağız.
Dolayısıyla Windows Server 2012 ile Windows 8 dahil çok geniş yelpazedeki istemci ve sunucu teknoloji ortamınızı GPO ile merkezi olarak yönetebiliyor durumda olacaksınız.
Ezcümle;
Windows Server 2012 (Windows Server 8) ile buluta giden yolda katma-değerli çok sayıda önemli yenilikler geliyor ve bizler de bu yenilikleri sizlerle en hızlı ve doğru kaynaklardan paylaşmaya devam ediyoruz . Bu makalemizde de sizlerle Windows Server 2012 Group Policy Object (GPO) Yeniliklerini detaylı olarak inceledik. Windows Server 2012 ile gelen diğer yenilikleri inceleyeceğimiz bir başka makalemizde görüşmek üzere sağlıcakla kalın.