TPM (Güvenilir Platform Yönetimi) Nedir? Windows Server 2008 R2’de Nasıl Kullanılır?

TPM (Güvenilir Platform Yönetimi); güvenliği arttırmak için oluşturulmuş bir yongadır. Bilgisayarın ana kartında bulunur. Şifreleme anahtarlarından oluşur. Veriler bu şifreleme anahtarları ile saklanır ve yalnızca TPM kullanılarak çözülebilirler. Anahtarlarla ilgili bilgiler işletim sistemi belleğinde saklanmaz.

TPM yongaları işlemler için kendi mantık devrelerini kullanır. Bu nedenlerle işletim sisteminden bağımsızdır ve işletim sisteminin sahip olduğu açıklardan etkilenmez.

Windows Server 2008 R2’de TPM aşağıdaki bileşenlerden oluşur:

  • TPM Sürücüsü: TPM için sağlanan donanım sürücüsüdür.
  • TPM Temel Hizmetleri (TBS): TPM’i kullanan uygulamalar için kaynak derleyicisi olarak çalışır.
  • TPM Windows Yönetim Araçları (WMI) sağlayıcısı: TPM yapılandırma görevlerinin yerine getirilmesini sağlar.
  • TPM Yönetimi ek bileşeni: MMC konsolu üzerinden TPM işlemlerinin yapılmasını sağlar.
  • TPM Başlatma Sihirbazı: BitLocker Sürücü Şifrelemesi gibi TPM kullanan uygulamalar için başlangıç hizmetlerini sağlar.

BitLocker Sürücü Şifreleme özelliği; Windows 7’nin Enterprise ve Ultimate sürümlerinde bulunan bir şifreleme alt yapısıdır. Aktif ettiğinizde bilgisayarınızdaki tüm veriler şifrelenir. Yeni oluşturulan dosyalar da otomatik olarak şifrelenecektir. BitLocker To Go ise USB belleklerin veya harici sabit disklerin şifrelenmesi için kullanılır.

TPM yönetimini gerçekleştirmek için “Başlat > Çalıştır” penceresine “mmc” yazın. Açılan pencerede “Dosya > Bileşen Ekle / Kaldır” seçimini yapın. “TPM Yönetimi” ‘ni seçin ve “Ekle”düğmesine basın. “Bilgisayar Seç” ekranında ise “Yerel Bilgisayar” seçimini yapın.

TPM Yönetim konsoluna doğrudan ulaşmak için “Başlat > Çalıştır” penceresine “tpm.msc” yazabilirsiniz.

TPM’in kullanılabilmesi için öncelikle “başlatma” adı verilen bir işlem yapılmalıdır. Başlatma işleminde TPM’in kullanabileceği kök anahtarlar oluşturulur. TPM platformunuz aşağıdaki durumlardan birisine sahip olabilir:

  • Sahipsiz ve kapalı
  • Sahipsiz ve açık
  • Sahipli ancak kapalı
  • Sahipli ve açık

TPM’in sahipli ve açık hale getirilmesi “başlatma” olarak adlandırılır. Başlatma işlemi için TPM Yönetimi penceresinde “Eylem” menüsünde yer alan “TPM’yi Başlat” bağlantısını kullanabilirsiniz. Açılan “TPM güvenlik donanımını aç” sihirbazı size yol gösterecektir. BitLocker Sürücü Şifrelemesi gibi yazılımlar sihirbazı otomatik olarak başlatabilirler. TPM’i tekrar sahipsiz duruma getirmek için yine “Eylem” menüsünde yer alan “TPM’yi Temizle” bağlantısını kullanabilirsiniz.

TPM’i açma-kapatma işlemleri için “Başlat > Çalıştır > tpmadmin.msc” ekranında “Eylem” menüsünde yer alan “Aç”, “Kapat”, “Yeniden Başlat” bağlantılarını kullanabilirsiniz.

Her bilgisayarın bir TPM sahip parolası vardır. Bu parolayı aktif dizinde saklayabilirsiniz. Aktif Dizinde bilgisayar hesabının “ms-TPM-OwnerInformation” ismindeki özniteliği bu parola için oluşturulmuştur.

Windows Server 2008 R2 SP1’deki Yenilikler

15 Mart 2011’de Windows Server 2008 R2 için Servis Paketi 1 (Service Pack 1 – SP1) yayınlandı. Bu servis paketinde 1000’e yakın güncelleme (hotfix) bulunuyor. Bu güncellemeleri zaten kurmuş olabilirsiniz çünkü SP1; Windows Server 2008 R2’den itibaren Windows Update üzerinden dağıtılan güncellemelerin bir araya toplanmış hali diyebiliriz.

SP1 ile birlikte gelen güncellemelerin bir listesini http://urlac.com/2735e1 adresinden görüntüleyebilirsiniz.

SP1’in içerdiği yeniliklerin belli başlıları şu şekilde:

  • Dinamik Bellek (Dynamic Memory): Hyper-V için geliştirilen bir özellik. Önceden fiziksel sunucunun belleği sanal sunuculara sabit olarak ayrılıyordu. Ayrılan bellek daha sonra başka bir sanal sunucu tarafından kullanılamıyordu. Artık bellek alanı sanal sunucular arasında paylaştırılabilecek. Böylece dinamik kullanım sağlanacak ve tek bir fiziksel sunucu üzerinde daha fazla sanal sunucu oluşturulabilecek. Sanallaştırma alanında çalışanlar için bu özellik çok önemli. Çünkü bu özellik maliyetleri düşürürken verimliliği arttırıyor.
  • Microsoft RemoteFX: Sanal bilgisayarlardaki kullanıcı deneyimini geliştiren bir özelliktir. Uzak bağlantılarda ve sanal masaüstlerinde üç boyutlu ara yüzler, Silverlight ve Flash gerektiren uygulamalar için gerekli altyapıyı sağlar. USB’lerin sanal bilgisayarlarda doğrudan kullanılması ve zengin medya içeriklerinin rahatlıkla oynatılabilmesi RemoteFX’in dikkat çekici özelliklerinden.
  • DirectAccess’in yedeklilik ve ölçeklenebilirlik özelliklerinde iyileştirmeler yapıldı.
  • Güvenli şube senaryoları için MSA (Managed Service Accounts) desteği sağlandı.
  • Depolama kullanılan Failover Clustering için iyileştirmeler yapıldı.
  • RRAS and IPsec için iyileştirmeler yapıldı.
  • AVX (Advanced Vector Extensions) için iyileştirmeler yapıldı.

Exchange Server 2007’den 2010 Sürüme Yükseltme

Exchange Server 2010’a yükseltme işlemi ilk etapta sıfırdan Exchange Server 2010 kurmak gibidir. Yeni donanımlar alınır, yazılımsal gereksinimler karşılanır ve Exchange Server rolleri kurulur. Ardından 2007’den 2010’a geçiş için çalışmalar başlar.

Tipik bir 2007’den 2010’a yükseltme işlemi aşağıdaki adımları içerir:

  1. Exchange Server 2007 üzerine henüz SP2 yüklenmemişse ilk olarak o yüklenir.
  2. Yeni donanımlar üzerine Exchange Server 2010 rolleri kurulur. Bu kurulumda İstemci Erişim, Merkez Aktarım, Birleşik İletişim, Posta Kutusu sırası izlenir.
  3. Exchange hizmetleri ve bağlantı türleri alan adı (https://posta.firmaadi.com gibi) yeni İstemci Erişim sunucusunda tanımlanır. Eski istemci sunucuları için de bir  kalıt (legacy) adres belirlenir ve o kullanılır (Örneğin kalit.firmaadi.com).
  4. Internet alan adları  yeni İstemci Erişim sunucusuna ve SMTP trafiği yeni Merkez Aktarım sunucusuna yönlenecek şekilde rollerde düzenlemeler yapılır.
  5. 2007’deki tüm e-posta hesapları 2010’daki Posta Kutusu sunucusuna taşınır.
  6. Eski sunucular ortamdan kaldırılır.

Birinci adımda rollere SP2 yüklenmesi aşağıdaki sıra ile yapılmalıdır:

  • İstemci Erişim rolü
  • Birleşik Mesajlaşma rolü
  • Merkez Aktarım rolü
  • Uç Aktarım rolü
  • Posta Kutusu rolü

Küme yapısındaki Posta Kutusu sunucularına SP2 yüklemesi arayüzden yapılamaz, komut satırı üzerinden yapılmalıdır. Yükleme önce pasif roldeki sunuculara uygulanır. Daha sonra pasif konumdaki sunucular kümenin aktif sunucuları haline getirilir. Sonra diğer sunuculara da SP2 yüklenir.

Eğer sunucuda Forefront Security for Exchange Server çalışıyorsa SP2 yüklemesinden önce tüm servisleri kapatılmalıdır.

İkinci adımda Exchange Server 2010 kurulumu yapılacaktır. Bunun için sanki sıfırdan kurulum yapılıyormuş gibi Planlama aşamasının tamamlanması gereklidir. Yazılımsal ve donanımsal tüm gereksinimler sağlanmalıdır. Daha sonra kurulum adımları izlenebilir.

İkinci adımda Birleşik İletişim rolü kurulduğunda gelen çağrılar 2007 üzerindeki e-posta hesaplarına aktarılmaya devam edecektir. Ancak Birleşik İletişim’in tüm özelliklerinin kullanılması için e-posta hesaplarının 2010 Posta Kutusu sunucularına taşınması gerekmektedir.

Üçüncü adımdaki değişiklik ile Exchange Server 2007 ve 2010 ortamlarının birlikte çalışması sağlanmaktadır. Bu adımdan sonra hem kalıt adres hem de asıl adres birlikte çalışacaktır. Aynı zamanda autodiscover adresi de yeni sunucular üzerinden çalışmaya devam edecektir. Sonuç olarak;

  • Posta.firmaadi.com: Yeni sunucuda tanımlanır (InternalURL, ExternalURL)
  • Autodiscover.firmaadi.com: Yeni sunucuya yönlendirilir.
  • Kalit.firmaadi.com: Eski sunucuya yönlendirilir.

Eğer ISA/TMG kullanılıyorsa AutoDiscover, OWA ve OutlookAnywhere yayınlama kurallarında (publishing rule) değişiklik yapılmalıdır.

Bu adımda üç adresi de kapsayan yeni bir sertifika almak gereklidir.

Dördüncü adım ile birlikte artık trafik 2007 ortamından alınmaktadır. Hem istemci bağlantıları hem de SMTP trafiği yeni sunucular üzerinden olacaktır. Çevrimdışı Adres Defteri de artık yeni sunucular üzerinden dağıtılabilir. Bu adımdan sonra 2007 ortamına tek bağımlılık e-posta hesaplarıdır.

İstemci bağlantıları (HTTP/HTTPS) yeni sunucular üzerinden yapıldığında vekil işlemi (proxying) devreye alınmış olacaktır. Çünkü kullanıcıların hesapları hala 2007 Posta Kutusu sunucusunda. İstekleri 2010 İstemci Erişim sunucusu karşılar. 2007 İstemci Erişim sunucusuna yönlendirir. O da 2007 Posta Kutusu sunucusunda oturum açılmasını sağlar.

Beşinci adımda e-posta hesapları Exchange Server 2010 Posta Kutusu sunucularına taşınarak işlem tamamlanmış olur. Exchange Server 2007’den 2010’a kullanıcı taşıma işlemi çevrimiçi yapılır. Kullanıcılar neredeyse hiç etkilenmez. Yalnızca bir mesaj kutusu görüntülenir ve Outlook’un kapatılıp açılması gerektiği söylenir. Taşıma işlemi EMC’den veya EMS’den başlatılabilir.

E-posta hesapları da taşındıktan sonra kısa süreliğine 2007 ortamı açık tutulabilir. Bir süre durum gözlemlendikten sonra 2007 rolleri sistemden kaldırılmalıdır.

Altıncı adımda 2007 sunucuları ortamdan teker teker kaldırılır. “Program Ekle/Kaldır” üzerinden bu işlem gerçekleştirilir. Kaldırma işleminden önce “Performans İzleyicisi” kullanılarak sunucu üzerinde hiç bağlantı kalmadığından emin olunmalıdır.