Etiket arşivi: TS Gateway

Windows Server 2008 Terminal Services Gateway Bolum 3 ( W2008 TS Gateway Manager – Yonetim Konsolu )

Ts Gateway Manager konsolu ile W2008 Terminal Services Gateway serverimizin yapılandırılması ve kurulum sonra düzenleme işlemlerini inceleyeceğiz. TS Gateway Konsolumuz üzerinden yapacak olduğumuz işlemleri özetlersek ;

· TS Gateway serverimiz üzerine Sertifika yüklenmesini ve değiştirilmesi,

· TS CAP ve TS RAP Policylerinin düzenlenmesi

· TS Gateway üzerinden bağlantı kuran bilgisayarların ve kullanıcılarının izlenilmesi gibi işlemleri yapabileceğimiz bir konsoldur.

image001

TS Gateway Manager Konsolumu Microsoft Managment Console 3.0 alt yapısını kullanmakta olup, networkümüz içinde bulunan çoklu Ts Gateway (TS FARM) Serverlarımızı, oluşturacak olduğumuz özelleştirilmiş bir konsol ile tek bir ekran üzerinden yönetmemize olanak sağlayan bir konsoldur.

Serverimiz üzerine TS Gateway rolünü yükledikten sonra göreceğimiz ilk ekran yukarıda ki gibi olup yönetimsel işlemlerimizi yapmak üzere yönlendirileceğimiz, ilgili kısayolların (Sertifika yükleme, TS CAP, TS RAP Politikalarını düzenleme vb..) bulunduğu ana ekrandır.

Kurulum sırasında TS Gateway için bir Sertifika belirtmemiş ve kurulum sonrası Sertifika yükleyeceğimizi seçmiştik. TS Gateway Server üzerine herhangi bir sertifika yüklenmediği için konsolumuz üzerinde ki hata mesajı (A server certificate is not yet installed or selected) bölümünü görmekteyiz. İlgili hatanın üzerine tıkladığımız zaman Ts Gateway serverimizin özellikler bölümüne yönlendirilmekteyiz.

Aynı bölüme Serverimiz üzerinde (W2008ACHILLEUS) sağ tuş \ özellikler butonuna basarak da ulaşabilmekteyiz.

image002

SSL Certificate bölümünde serverimiz için sertifika oluşturacağız. Hazırda oluşturmuş olduğumuz ve kullanılabilir bir sertifika olmadığı için Select an existing certificate for SSL encryption bölümünün seçilemez olduğunu görebilmekteyiz. Create Certificate bölümü ile sertifika oluşturmak üzere yönlendiriliyoruz.

image003

Sertifika oluşturmak için yönlendirildiğimiz de Certificate name bölümüne giriş yapıyoruz.

Create a self,signed certificate with a common name (CN) of ;

Bu bölümde , resimde 1 olarak görmüş olduğumuz alana yazacak olduğumuz common name (hangi isim ile bağlantı kurulacak ise) bu bölüme onu yazmaktayız.

Not : Dünya üzerin de comp olarak bir uzantı bulunmamaktadır. Güvenlik sebebiyle kurmuş olduğum domain ismi comp’ dur ve şirkete özel bir iç (local) domain uzantısıdır. Bu uzantı dış dünyada bilinmediği için bağlantı kuracak olan Terminal Services Gateway Client’ ların %systemroot%\system32\drivers\etc\host dosyasını editleme işlemini yani comp uzantısı için manuel bir kayıt girme işlemini yapmaktayım.

File name ;

Oluşturacak olduğumuz sertifikanın depolanacağı yeri belirtiyoruz. Varsayılan olarak c:\Users\administrator\Documents altında barınmaktadır.

image004

Terminal Server Gateway Serverimiz için başarılı bir şekilde oluşturmuş bulunmaktayız. TS Gateway Manager Konsolu içinden çıkıp, oluşturmuş olduğumuz sertifikamızı Güvenilen Sertifikalar bölümüne yüklemek üzere MMC Konsolumuzu açıyoruz.

Aşağıda ki adımları izleyerek MMC Konsolumuza Sertifika bölümünü ekleyebiliriz.

  • Başlat \ Çalıştır \ MMC
  • File \ Addremove Snap-in
  • Add (Ekle)
  • Certicicates (Sertifika)
  • Computer Acount (Bilgisayar Hesabı)
  • Finish (Bitir)
  • Close (Kapat)
  • Ok (Tamam)

image005

MMC Konsolumuz açıldıktan sonra

  • Console Root
  • Trusted Root Certification Authorities (Güvenilen Sertifikalar Bölümü)
  • Certificates üzerinde
  • All Tasks \ Import yolunu izleyerek  c:\Users\administrator\Documents yolu altında oluşturmuş olduğumuz sertifikayı seçerek Sertifikamızı yüklüyoruz.

Yükleyecek olduğumuz bu sertifikanın aynısı TS Gateway Client bilgisayarlarımızda da yüklü olması zorunludur.

Çalışma mantığı Server üzerine yüklemiş olduğumuz Sertifikanın, aynısı client üzerinde de yüklü olmak zorunda ki kimlik doğrulama zamanında, TS Gateway serverimiza ile client bilgisayarımız iletişime geçtiği zaman TS gateway Serverimiz, Client bilgisayardan bu sertifikayı isteyecektir. Ve eğer sertifikamız, client bilgisayar üzerinde yüklüyse iletişim başlayacaktır. Sertifikamız client üzerinde yüklü olmazsa Client bilgisayarlarımız serverimiza bağlantı kuramayacaktır.

image006

Serverimiz üzerine Sertifikamızı yükledikten sonra, yüklemiş olduğumuz Sertifikayı seçebilmemiz için Select an existing certificate for SSL encryption (recommended) bölümünün aktifleştiğini görebilmekteyiz.

Browse Certificates bölümünü açıp oluşturmuş olduğumuz sertifikayı seçiyoruz.

image007

Install butonu ile sertifikamızı , Serverimiz üzerine yüklüyoruz.

image008

Sertifikamızı serverimiz üzerine yükledikten sonra TS Gateway Server konsolumuz da ki Sertifika hatasının giderildiğini görebilmekteyiz.

Terminal Servvices Gateway serverimiz artık kullanıma hazır olup , bundan sonra ki işlemleri yani TS Gateway Client bilgisayar yapılandırılmasını bir sonra ki makalemizde anlatacağız.

Bir önceki makalemiz olan Windows Server 2008 Terminal Services Gateway Bölüm 2 (W2008 TS Gateway Kurulumu) makalemizde güvenliğimiz için oluşturmuş olduğumuz TS CAP ve TS RAP Policylerini TS Gateway Manager konsolumuz üzerinden değiştirebileceğimizi söylemiştik.

image009

Güvenlik ihtiyaçlarımız gereği bu policyleri değiştirmemiz gerekirse TS Gateway Managment Consele’ miz üzerinde Policies bölümünde bulunan

  • Connection Authorization Policies (CAP)
  • Resource Authorization Policies (RAP)

Bölümlerinden güvenlik policylerimizi tekrardan düzenleyebiliyoruz.

Connection Authorization Policies (CAP) Güvenlik Politikasının Düzenlenmesi

image010

Connection Authorization Policies (CAP) bölümüne girdiğimiz zaman TS CAP olarak oluşturmuş olduğumuz policymizi görebilmekteyiz.

image011

TS CAP Policymizin içine girdiğimiz zaman Enable this policy bölümünün seçili olduğunu ve kullanılabilir olduğunu görmekteyiz.

image012

TS CAP Properties bölümü altında Requirments bölümünde TS Gateway Serverimiz üzerinden TS Server ve Uzak masaüstü aktif duruma getirilmiş bilgisayarlarımıza, bağlantı kuracak olan Remote Desktop kullanıcılarımız veya kullanıcı gruplarımızı bu bölümden tekrardan düzenleyebilmekteyiz.

Güvenlik ihtiyacımıza göre Windows kimlik doğrulaması haricinde Smart Card uygulamasını da bu bölümden zorunlu hale getirebilmekteyiz.

image013

TS CAP Properties bölümü altında Device Redirection bölümünde TS Gateway Serverimiz üzerinden TS Serverlarımıza bağlantı kuracak olan bilgisayarların, bağlantı sırasında TS Serverlara veya bağlantı kuracak olduğu bilgisayarlara götürecek olduğukları kendi bilgisayar kaynaklarını (sabit sürücüler, yazıcılar, seri portları vb.) aygıtların, hangilerinin bu bağlantı ile birlikte getirilip – getirilmeyeceğini bu bölümde belirleyebilmekteyiz.

Ts Gateway Server sayesinde artık bu kaynak transferleri kullanıcının insiyatifinde olmaktan çıkmaktadır.

Resource Authorization Policies (RAP) Güvenlik Politikasının Düzenlenmesi

image014

Resource Authorization Policies (RAP) bölümüne girdiğimiz zaman TS CAP olarak oluşturmuş olduğumuz policymizi görebilmekteyiz.

image015

TS RAP Policymizin içine girdiğimiz zaman Enable this policy bölümünün seçili olduğunu ve kullanılabilir olduğunu görmekteyiz.

image016

Computer Group (Bağlantı kuracak bilgisayar )

Ts RAP Policimiz ile şirket güvenlik politikalarımıza göre TS Gateway üzerinden, Terminal Serverlarımıza ve uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan bilgisayarları belirleyebilmekteyiz.

Güvenlik politikamıza bağlı olarak Active Directory’ imze üye olarak tanıtılmış bilgisayarlarımızı veya VPN vb. Teknoloji vasıtasıyla tanıtmış olduğumuz bilgisayarları TS Gateway Serverimiza tanıtabilmekteyiz.

Allow users to connect to any network resource bölümünü işaretlersek TS Gateway üzerineden bağlantı kuracak olan bilgisayarların her hangi bir network üzerinden bağlanabileceklerini belirtiyoruz.

image017

Allowed Ports (TS Gateway Serverimizin dinleyecek olduğu portlar)

Terminal serverlarımız ilk kurulum sonrası varsayılan olarak 3389 numaralı TCP IP portunu kullanmakta olup Allow Connection only through TCP port 3389 bölümünü seçersek TS Gateway Serverimizin sadece 3389 numaralı port üzerinden gelecek olan istekleri dinlemesini saylayabiliriz.

İhtiyaçımıza veya güvenlik politikalarımıza bağlı olarak bu portu değiştirmemiz mümkündür. İç networkümüzde bulunan birden fazla Terminal Server varsa ve bu terminal serverlarımızın TS Portlarını değiştirmişsek Allow connections through these ports bölümünü seçerek değiştirmiş olduğumuz portları bu bölüme doldurabiliriz. Portları örnekte olduğu gibi 3389;1903;1984 vb.. yazmamız gerekmektedir.

Allow connections through any port bölümünü işaretlersek eğer TS Gateway Serverimiz RDP Protokolü üzerinden gelecek olan bütün istekleri dinleyecektir.

TS Gateway Serverimizin Genel Özellikleri.

image018

General ;

TS Gateway Managerimizin özelliklerine girdiğimiz zaman ilk olarak TS Gateway Serverimiz üzerinden bağlantı kuracak olan bilgisayarları sınırlayabidiğimizi görebilmekteyiz.

Varsayılan olarak bu sayı network bağlantımızın ve serverimizin kaynaklarına bağlı olarak limitsizdir.

İlk seçenek olan Limit maximum allowed simultaneous connection to bölümüne belirtecek olduğumuz sayıya göre TS Gateway Serverimiz bağlantıları sınırlayabilir. Bu bölümü sahip olduğumuz Terminal Server kullanıcılarımız veya Serverimizin kaynaklarına bağlı olarak değiştirebiliriz.

Veya Disable new connections bölümünü seçerek, TS gateway serverimizin artık yeni bağlantıları kabul etmemesini sağlayabiliriz. Bu bölümü seçtiğimiz zaman mevcut bağlantılar etkilenmeyecek olup, eğer bağlantıları koparsa ve tekrar bağlanmak isterlerse yeni bir bağlantı kuracakları için bağlanamayacak duruma gelecektir.

image019

TS CAP Store ;

TS Gateway Serverimiz, düzenlemiş olduğumuz güvenlik politikalarını uygulayabilmek için arka tarafta Network Access Policy (NAP) ve Network Policy Server (NPS) Servisini kullanmakta olup Single kurulumda TS Gateway Serverimiz üzerine bu rolün yüklü olması gerekmektedir.

Networkümüzün büyüklüğüne göre, Çoklu TS Gateway serverlarımız varsa veya NAP için dizayn etmiş olduğumuz özel bir serverimiz varsa TS Gateway serverimiz üzerine tanımlamış olduğumuz politikaların bu server üzerinden almasını sağlayabiliriz.

image020

Server Farm ;

Networkümüzün büyümesine bağlı olarak TS Gateway için bir FARM oluşturabilir ve bu farm sayesinde yük dengelemesi ve hata şansını minimize etmiş olabiliriz.

image021

Auditing ;

Winsows Server 2008 ile birlikte olay günlüğü izlemesi daha kolaylaşmış olup , kullanmış olduğumuz server üzerine yüklemiş olduğumuz her bir role için ayrı ayrı izlemeler yapılmaktadır.

Ts Gateway Rolünün yüklenmesi ile birlikte Olay görüntüleyicimiz içinde TS Gateway olarak bir dizin açılacak olup, TS gateway üzerinde oluşan hataları, bağlantıları vb. Olayları daha rahat kontrol etmemiz için bir dizin oluşacaktır.

Bu dizin içerisinde yer alacak olan olay günlüklerini Auditing bölümünden seçebiliyor ve yönetimimizi kolaylaştırıyoruz. Bu bölüm içerisinde seçecek olduğumuz başlıca olay günlükleri başarılı ve başarısız bağlantılar, kullanıcı yetki ve bağlantı sırasında getirmiş olduğu kaynaklar ile ilgili günlükleri izleyebilmekteyiz.

image022

Örnek bir Event ID (olay günlüğünü) yorumlayacak olursak, kolaylaşan yönetimimizi daha net ifade etmiş olacağız.

  • Bilgi günlüğü olup 303 (başarılı bağlantı) numaralı EVENT ID ye sahip bir eylemdir.
  • Data and Time bölümünde Eylemin gerçekleşmiş olduğu saat, gün, tarih bilgisini bizlere vermektedir.
  • Eylemi gerçekleştiren kullanıcı
  • Eylemin gerçekleştirilmiş olduğu bilgisayarın sahip olduğu IP adresi. (Eylem WAN tarafından gerçekleşirse eğer bağlantı kurulan WAN bacağının IP adresinin bilgisi verilecektir.)
  • TS Gateway üzerinden hangi bilgisayara bağlantı kurulduğu.
  • Bağlantıyı kuran bilgisayarın, bağlantıyı kurduğu zamandan itibaren göndermiş olduğu paket boyutu.
  • Bağlantıyı kurmuş olduğu Terminal Server üzerinden, bağlantıyı kuran bilgisayara giden paket boyutu.
  • 6 ve 7 numaralı bilgiler sayesinde internet bandwith yoğunluğumuzu da öğrenmemiz artık daha kolaydır.

Fatih KARAALIOGLU

Webcast – Windows Server 2008 Ile Terminal Servis Yenilikleri

19 Kasım 2008 Tarihinde düzenlemiş olduğumuz  Windows Server 2008 Terminzal Servis Yenilikleri Webcast’ imiz.


Tam ekran izlemek için resimdeki butonu kullanabilirsiniz


 




 

Windows Server 2008 Terminal Services Gateway Bolum 1 (Windows Server 2008 TS Gateway Oncesi)

Terminal Services Gateway Nedir ? Hangi firmaların ihtiyaçlarına cevap verir, hangi durumlarda kullanmalıyız gibi sorulara cevap vermeden önce W2008 Terminal Services Gateway dan önce yaşamış olduğumuz sıkıntıları sizler ile paylaşarak, şaha tecrübelerimi aktararak Windows Server 2008 ile birlikte gelen bu yeni özelliğin önemini anlatmak istedim.

Terminal Services Gateway makale dizisi ile , bundan sonra ki makalelerimde kurulumu, yapılandırılması, dizaynı ve uzak ofis mağazalarımız ve yerel istemcilerimiz için kullanıma hazır hale getirilmesinden bahsedeceğim.

image001

Bir firmanın , Terminal Services Teknolojisine ihtiyacı varsa eğer, yukarıda göstermiş olduğum basit bir yapı olup, firmanın Terminal Services ihtiyaçlarını karşılamaktadır.

Yukarıda ki yapıdan bahsetmemiz gerekirse iç networkümüzde, merkezimizde bulunan bir terminal server bulunmakta olup bu terminal serverimizi korumakta olan UTM teknolojisine sahip bir firewall bulunmaktadır. Şirket networkü ihtiyaçları gereği farklı çoğrafi bölgelere yayılmış ve uzak ofisleri – mağazaları bulunmaktadır. Firewallımızın burada ki görevi sadece ama sadece uzak ofislerimizden gelecek olan Terminal Services isteklerini iç networkümüzde bulunan Terminal Serverimizi yönlendirmek için dizayn edilmiştir.

Firewallımızın çalışma mantığı, sahip olduğumuz farklı çoğrafi bölgelerde ki uzak ofislerimizin, merkez networkü ile iletişimini sağlayan internet erişimlerini kiralamış bulunduğumuz kurum üzerinden (Turk Telekom vb. kurumlar) IP adresini sabitleştiriyoruz ve firewallımız üzerinde Virtual IP uygulamasını yapılandırıyoruz. Yapılandırmış olduğumuz bu Virtual IP uygulaması ile uzak ofis ve mağazalarımızın sahip oldukları Dış Sabit IP adresleri firewallımız üzerine tek tek tanımlanıyor ve bu IP adresleri bir grup altında birleştirilip aşağıda ki gibi kural oluşturuluyor.

·         Dış dünyadan gelen

·         Dış IP adeslerinin tanımlamış olduğumuz grubun üyesi olan

·         Tüm Terminal services isteklerini

·         İç networkümüz içinde bulunan Terminal Serverımıza yönlendir.

Yukarıda ki gibi oluşturmuş olduğumuz basit bir kural iç networkümüz içinde bulunan Terminal Serverimizi korumak için yeterli olup bu grubun üyesi olmayan hiç bir IP adresinin isteğini Terminal Serverimiza yönlendirmeden Terminal Serverimiz üzerinde gereksiz kaynak harcatmadan korumayı gerçekleştirmektedir.

Örnek Network Diyagramına bakıldığı zaman kırmızı bölgede ki nokta, kullanıcının IP adresinin, Firewallımıza tanımlı olmadığı için isteğinin yasaklandığını görebilmekteyiz.

image002

Yukarıdaki yapı şirket networkü içinde bulunan Terminal Serverin koruması için yeterli olsa bile bazı özel durumlarda bu güvenlik bizlere dez avantaj getirmekteydi. Örnek olarak bir destek firması bir arıza durumunda uzak , herhangi bir noktadan Terminal Servera bağlanıp problemi çözmek adına hizmet vermek istediği zaman, bağlanmış olduğu noktanın dış ıp adresi firewalla tanımlı olmadığı için isteği firewall tarafında engellenecek ve çözüm üretemeyekti.

Diğer bir örnek ise firmanın sahibi, yönetim üyesi, mağazalar müdürü vb.. kişiler evlerinden veya iş seyahatlerinde Terminal Servera bağlantı isteği duydukları zaman aynı şekilde istekleri firewall tarafından engellenecekti.

Bu gibi problemler ise firewall üzerinde yapılacak olan VPN (Sanal Özel Ağ) yapılandırılması ile çözüm bulunmakta olup, destek firmaları ve firma yetkilileri firewall üzerinde yapılandırılan VPN istekleri ile güvenli ama bir o kadar da yavaş olarak şirket networküne bağlanıyor ve işlemlerini gerçekleştirebiliyordu.

image003

VPN teknolojisini kullanarak Terminal Serverimiza erişimi daha bir esneklik getirmiş olsakta problemlerimiz henüz bitmiş durumda değildir.

Merkez networkümüz içinde bulunan Firewallımız üzerinde nasıl dış dünyadan gelen istekleri iç networkümüz içinde bulunan Terminal Server için gerekli port yönlendirmelerini yaptıysak bağlantıyı kuracak olduğumuz networklerde de iç networkden, dış dünyaya ilgili portların açılması zorunludur.

Ve bu networkler (uzak ofislerimiz, destek departmanının barınmış olduğu network, mağazalar müdürünün evi vb.) bizlerin kontrolü altında olduğu için ve bu portları açmamız da bir sıkıntı olmadığı için bir problem ile karşılaşmıyorduk. İçeriden dışarıya Terminal Services Portunu ve VPN portlarına izin vererek erişimi gerçekleştirebiliyorduk.

Problemleri sırasıyla aşmaya devam ederken her seferinde farklı problemler bizleri beklemektedir.

 image004

Yeni problemimiz ise Mağazalar müdürümüz, on günlüğüne iş seyahatine çıkıyor ve tek düşünmüş olduğu şey, akşamları şirket networküne bağlantı kurarak raporları, günlük satışları vb.. işlemleri kontrol etmektir. Ve bunun için otelden istemiş olduğu tek şey internet erişimidir. İhtiyacı doğrultusunda gerekli internet bağlantısının olup olmadığını soruyor ve internet bağlantısının olduğunu öğrendikten sonra rezervasyonunu yaptırıp, otel networküne giriş yapıyor.

Giriş yaptıktan sonra mağazalar müdürümüz internetini kullanabilmektedir.

Web üzerinde gezinti yapabilmekte ve siteler arasında dolaşabilmektedir. Bu işlemler için gerekli olan port 80 numaralı HTTP isteği otel networkü tarafından misafir kullanıcılara atanmış olup bir sıkıntı yaşamamaktadır.

Misafir internet hattı üzerinden, 443 numaralı HTTPS, güvenli internet erişimlerini de kullanmakta olup şifreli web sayfaları üzerinde işlemlerini yapabilmektedir.

Fakat muhasebe müdürümüzün, şirket networküne bağlana bilmesi için gerekli olan portlar

·         Terminal Services için 3389

·         VPN için 1723

Numaralı portlar misafir kullanıcılarına, şirket networkünü kullanabilmesi için izinli olmamış olup, yapmış olduğu istekler şirket networküne gitmeden, otel networkü tarafından yasaklanmaktadır. Ve muhasebe müdürümüz on günlük tatilini işten uzakta, hiç bir işlemi kontrol etmeden tam bir tatil havasında geçmektedir (!) J

Çünkü muhasebe müdürümüzün gitmiş olduğu networkde bir misafirdir ve ihtyiaç duymuş olduğu portları açtırması tamamen Otel IT yetkililerinin insiyatifindedir. Eğer Otel IT departmanı bu portları açmazsa muhasebe müdürümüz firmaya bağlantı kuramayacak ve kontrollerini gerçekleştiremeyecektir.

image005

 

W2008 Terminal Services’ den önce yaşamış olduğumuz sıkıntıları sizlere bir senaryo çerçevesinde aktarmaya çalıştım ki bu ve benzeri senaryoları zaten günlük hayatda , projelerimiz de yaşamaktayız.

W2008 ile birlikte gelen bu yeni özelliği kullanarak, Otel networkü tarafından Güvenli internet erişimi için bizlere tahsis edilen 443 numaralı HTTPS portunu kullanarak merkez networkü içinde bulunan Terminal Server Gateway serverimiza bağlantıyı kuruyoruz ve Terminal Server Gateway üzerinden iç networkümüzde bulunan Uzak masa üstü aktif duruma getirilmiş

·         Terminal Serverimiza

·         Terminal Serverlarımıza

·         İstemci bilgisayarlarımıza

bağlantıyı gerçekleştirebiliyoruz.

Terminal Server Gateway Rolünün öncelikli özelliği bu olup diğer bir avantajı ise iç networkümüz içinde bulunan çoklu Terminal Serverlar için firewallımız üzerinde farklı portlar açarak veya istemci bilgisayarlarımıza bağlantı kurmak için kullandığımız VNC, Radmin vb. diğer programların portlarını açmaksızın sadece ama sadece 443 numaralı HTTPS portu üzerinden bilgisayarlarımıza bağlantı kurabilmekteyiz.

Firewallımız üzerinde birden fazla port açmayarak güvenliğimizi sağlıyoruz ve bu portları tek tek açmayarak harcamış olduğumuz iş yükümüzü hafifletmiş oluyoruz.

TS Gateway Makale dizimizin sonra ki bölümlerinde Kurulumu, yapılandırılması gibi operasyonlarımızı gerçekleştireceğiz.

 

Fatih KARAALIOGLU