Etiket arşivi: W2008 Terminal Services Gateway

Windows Server 2008 Terminal Services Gateway Bolum 2 (W2008 TS Gateway Kurulumu)

Bir önceki makalemizde W2008 Terminal Services Gateway teknolojisinden önce yaşamış olduğumuz problemlerin analizini yapmış, yaşamış olduğumuz sıkıntıları masaya yatırmıştık. Bu makalemizde ve sonraki makale dizelerimiz de kurulumu, kullanımı ve getirmiş olduğu avantajları inceleyeceğiz.

 

image001

 

Yukarıda ki örnekde basit bir diyagram görünmekte olup, W2008 Terminal Services Gateway teknolojisini kuracak olduğumuz networkün, kurulumdan sonra alacak olduğu dizaynı görebilmekteyiz.

Dış (External) firewallımız üzerinde sadece 443 numaralı HTTPS portu, iç networkümüzde bulunan W2008 Terminal Services Gateway serverimiza yönlendirilmiş bulunup, Dış dünyadan gelecek olan Terminal Servis isteklerini karşılayacak ve iç networkümüzde bulunan, internal firewall üzerinde Terminal Services portu aktif durumda olan ve uzak masa üstü istekleri açılmış bulunan serverlara, istemci bilgisayarlara bizi yönlendirecektir.

W2008 Terminal Services Gateway bilgisayarımızı, yukarıda ki dizayna göre Active Directory serverimiz üzerine kuracağız. Dizaynımıza göre Terminal Services Gateway serverimizi ayrı bir servera yani Active Directory yapısına üye yapılmışi server üzerine de kurabiliriz. W2008 Terminal Services Gateway serverimiz üzerinde 3389 numaralı RDP (Remote Desktop Protokol) portunun açık olmasına gerek yoktur ve açılmamıştır.

 

image002

 

W2008 Terminal Services Gateway olacak olan Active Directory Domain Controller Serverimiz üzerinde yüklü olan servisleri görebilmekteyiz. İhtiyaç duymuş olduğumuz Active Directory Certificate Services daha önceden kurulmuş bulunup server manager içinden Terminal Services Rolünü seçip ilerliyoruz.

 

image003

 

Terminal Services Rolü altında bulunan TS Gateway özelliğini seçiyoruz ve bunun neticesinde ihtiyaç duyulacak olan diğer Rollerin, özelliklerin ve Servislerin yüklenmesi için Add role Services and features required for TS Gateway bölümünü görüyoruz. Bu bölümü ekledikten sonra kuruluma devam ediyoruz. Kurulum aşamasında diğer özellik olan Network Access Protection (NAP) servisi içinde benzer bir eklenti yükleme ekranı ile karşılaşacağımızı hatırlatmak isterim.

 

image004

 

Yüklenecek olan TS Gateway rolü ile ilgili iki açıklama yapmak isterim ;

  • Active Directory Servicesin yüklü bulunmuş olduğu Server üzerine Terminal Services hizmetinin, rolünün eklenmesi tavsiye edilmez. Bunun nedeni bir güvenlik açığı olup ileride yayınlamayı düşündüğümüz Terminal Services Güvenliği ve Dizaynı makalelerinde detaylı bir şekilde nedenlerini paylaşacağım. Bizler bu bölümde sadece ama sadece Terminal Services Gateway rolünü yüklüyoruz. Terminal Server rolünü yüklemiyoruz ve bu sebepten herhangi bir açığa zemin hazırlamamış oluyoruz. Onun için bu bölüme özellikle dikkat etmenizi isteyeceğim. Sadece TS Gateway rolünü yüklüyorum.
  • İkinci bilinmesi gereken özellik ise bilindiği üzere Terminal Server hizmeti Windows CAL haricinde ayrıca lisanslanması zorunlu olan bir servistir. Bizler Terminal Services özelliğini yüklemediğimiz için sadece TS Gateway yükleyerek Terminal Services CAL almamıza gerek yoktur.

TS Gateway bölümünü seçerek ilerliyoruz.

 

image005

 

Terminal Server Gateway üzerine yüklemiş olduğumuz bir Sertifika varsa eğer bu ekranda seçebileceğimiz gibi kurulum sonrası TS Gateway Manager içinde de sonradan yükleyebilmekteyiz. Sertifikamızı daha sonradan yüklememiz gerektiğini belirterek ilerliyoruz. Server ve client için Sertifika yüklemesini detaylı olarak bir sonraki makalemizde anlatacağız.

 

image006

CAP (Connection Authorization Policies (Bağlantı Kuracak Kullanıcıları Yetkilendirme Politikası)

TS CAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan kullanıcıları/ kullanıcı grupklarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz Domain Kullanıcıları olabileceği gibi TS Gateway Serverimizi Local Server olarak kurduysak eğer Local kullancıları da tanımlamamız mümkündür.

 

image007

 

CAP Policymiz için daha önceden hazırlamış olduğumuz RemoteAPP grubunu ve Administrator kullanıcısını ekleyerek ilerliyoruz.

 

image008

 

CAP Policymize isim vererek ilerliyoruz. Kimlik doğrulamayı Active Directory kullanarak yapılması gerektiğini belirtiyoruz. İsteğe bağlı olarak Smart Kart kullanımını seçerek Güvenliğimizi daha üst seviyeye çıkartabiliriz.

Bu bölümde ki gerekliği değişikliği, ileride güvenlik politikamıza bağlı olarak, kurulum sonrası TS Gateway Manager içinden tekrardan düzenleyebileceğiz.

 

image009

RAP (Resource Authorization Policies (Kaynak Yetkilendirme Politikası)

TS RAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan bigisayarları/ bilgisayar gruplarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz bilgisayar hesapları olabileceği gibi iç networkümüz haricinde bulunan uzak bilgisayarlarımızı da belirleyebiliyoruz.

TS RAP policiysi ile bağlantı kuracak olan bilgisayarların, bağlantı sırasında kullanacak olduğu kaynakları (Sürücüler, Yazıcılar, Kamera vb.) aygıtları da merkezi olarak yönetebilmekteyiz.

TS Gateway Manager konsolu üzerinden bu policymizi daha, kurulum sonrası ihtiyaçlarımıza göre tekrardan düzenleyebilmekteyiz.

 

image010

 

TS Gateway Rolu IIS servisi haricinde TS CAP ve TS RAP policylerini kullanabilmek için Network Access Protection (NAP) servisine de ihtiyaç duymaktadır. NAP kurulumunun yapılması gerektiğinin bilgisini bizlere vermekte olup ilerliyoruz.

 

image011

 

Varsayılan olarak gelen bölümde herhangi bir değişiklik yapmadan kuruluma devam ediyoruz. Gerekli bileşenleri Serverimiz kendisi otomatik yükleyecektir.

 

image012

 

Yüklenecek olan diğer IIS Servisi ve bileşenleri hakkında detaylı bilgileri görebilmekteyiz.

 

image013

 

Terminal Services Gateway Rolünü ve yüklenecek olan bileşenlerin özetini görebilmekteyiz. Rapor içerisinde TS Gateway üzerinde bir Sertifika (TS Gateway will not be operation without a certificate) yüklemesi yapmadığımızın uyarısı belirtilmekte olup bu sertifikayı daha sonrada TS Gateway Manager Konsolu yardımı ile yükleyeceğiz.

 

image014

 

Kurulum başarılı bir şekilde ilerlemekte olup kurulum sonrası serverimizi yeniden başlatmamıza gerek bulunmamaktadır.

TS Gateway Rolü Kurulum Sonrası Genel Kontroller

image015

 

TS Gateway Rolümüz Serverimiz üzerine başarılı bir şekilde kurulduktan sonra, TS Gateway ile birlikte kurulan IIS 7.0 üzerinde ki Default Web Site mizi yapılandırmamız gerekmektedir. IIS Manager konsolu üzerinden Default Web site üzerinde Sağ tuş yaparak Manage Web Site bölümü üzerinden Advanced Settings bölümüne ulaşıyoruz.

 

image016

 

Advanced Setting bölümü altında Web sitemizin serverimzi ilk açıldığında otomatik olarak başlaması için Start Automatically bölümü üzerinde True olarak ayarlıyoruz. Sertifika Servisi için zorunlu bir bölüm olup sertifikanın doğrulanması için yapılandırılması gereken bölümdür.

 

image017

 

Son kontrol olarak Windows Firewall üzerinde HTTPS protokolünü yani 443 numaralı port üzerinden gelen istekleri aktif duruma getirmemiz gerekmektedir.

Fatih KARAALIOGLU

Windows Server 2008 Terminal Services Gateway Bolum 1 (Windows Server 2008 TS Gateway Oncesi)

Terminal Services Gateway Nedir ? Hangi firmaların ihtiyaçlarına cevap verir, hangi durumlarda kullanmalıyız gibi sorulara cevap vermeden önce W2008 Terminal Services Gateway dan önce yaşamış olduğumuz sıkıntıları sizler ile paylaşarak, şaha tecrübelerimi aktararak Windows Server 2008 ile birlikte gelen bu yeni özelliğin önemini anlatmak istedim.

Terminal Services Gateway makale dizisi ile , bundan sonra ki makalelerimde kurulumu, yapılandırılması, dizaynı ve uzak ofis mağazalarımız ve yerel istemcilerimiz için kullanıma hazır hale getirilmesinden bahsedeceğim.

image001

Bir firmanın , Terminal Services Teknolojisine ihtiyacı varsa eğer, yukarıda göstermiş olduğum basit bir yapı olup, firmanın Terminal Services ihtiyaçlarını karşılamaktadır.

Yukarıda ki yapıdan bahsetmemiz gerekirse iç networkümüzde, merkezimizde bulunan bir terminal server bulunmakta olup bu terminal serverimizi korumakta olan UTM teknolojisine sahip bir firewall bulunmaktadır. Şirket networkü ihtiyaçları gereği farklı çoğrafi bölgelere yayılmış ve uzak ofisleri – mağazaları bulunmaktadır. Firewallımızın burada ki görevi sadece ama sadece uzak ofislerimizden gelecek olan Terminal Services isteklerini iç networkümüzde bulunan Terminal Serverimizi yönlendirmek için dizayn edilmiştir.

Firewallımızın çalışma mantığı, sahip olduğumuz farklı çoğrafi bölgelerde ki uzak ofislerimizin, merkez networkü ile iletişimini sağlayan internet erişimlerini kiralamış bulunduğumuz kurum üzerinden (Turk Telekom vb. kurumlar) IP adresini sabitleştiriyoruz ve firewallımız üzerinde Virtual IP uygulamasını yapılandırıyoruz. Yapılandırmış olduğumuz bu Virtual IP uygulaması ile uzak ofis ve mağazalarımızın sahip oldukları Dış Sabit IP adresleri firewallımız üzerine tek tek tanımlanıyor ve bu IP adresleri bir grup altında birleştirilip aşağıda ki gibi kural oluşturuluyor.

·         Dış dünyadan gelen

·         Dış IP adeslerinin tanımlamış olduğumuz grubun üyesi olan

·         Tüm Terminal services isteklerini

·         İç networkümüz içinde bulunan Terminal Serverımıza yönlendir.

Yukarıda ki gibi oluşturmuş olduğumuz basit bir kural iç networkümüz içinde bulunan Terminal Serverimizi korumak için yeterli olup bu grubun üyesi olmayan hiç bir IP adresinin isteğini Terminal Serverimiza yönlendirmeden Terminal Serverimiz üzerinde gereksiz kaynak harcatmadan korumayı gerçekleştirmektedir.

Örnek Network Diyagramına bakıldığı zaman kırmızı bölgede ki nokta, kullanıcının IP adresinin, Firewallımıza tanımlı olmadığı için isteğinin yasaklandığını görebilmekteyiz.

image002

Yukarıdaki yapı şirket networkü içinde bulunan Terminal Serverin koruması için yeterli olsa bile bazı özel durumlarda bu güvenlik bizlere dez avantaj getirmekteydi. Örnek olarak bir destek firması bir arıza durumunda uzak , herhangi bir noktadan Terminal Servera bağlanıp problemi çözmek adına hizmet vermek istediği zaman, bağlanmış olduğu noktanın dış ıp adresi firewalla tanımlı olmadığı için isteği firewall tarafında engellenecek ve çözüm üretemeyekti.

Diğer bir örnek ise firmanın sahibi, yönetim üyesi, mağazalar müdürü vb.. kişiler evlerinden veya iş seyahatlerinde Terminal Servera bağlantı isteği duydukları zaman aynı şekilde istekleri firewall tarafından engellenecekti.

Bu gibi problemler ise firewall üzerinde yapılacak olan VPN (Sanal Özel Ağ) yapılandırılması ile çözüm bulunmakta olup, destek firmaları ve firma yetkilileri firewall üzerinde yapılandırılan VPN istekleri ile güvenli ama bir o kadar da yavaş olarak şirket networküne bağlanıyor ve işlemlerini gerçekleştirebiliyordu.

image003

VPN teknolojisini kullanarak Terminal Serverimiza erişimi daha bir esneklik getirmiş olsakta problemlerimiz henüz bitmiş durumda değildir.

Merkez networkümüz içinde bulunan Firewallımız üzerinde nasıl dış dünyadan gelen istekleri iç networkümüz içinde bulunan Terminal Server için gerekli port yönlendirmelerini yaptıysak bağlantıyı kuracak olduğumuz networklerde de iç networkden, dış dünyaya ilgili portların açılması zorunludur.

Ve bu networkler (uzak ofislerimiz, destek departmanının barınmış olduğu network, mağazalar müdürünün evi vb.) bizlerin kontrolü altında olduğu için ve bu portları açmamız da bir sıkıntı olmadığı için bir problem ile karşılaşmıyorduk. İçeriden dışarıya Terminal Services Portunu ve VPN portlarına izin vererek erişimi gerçekleştirebiliyorduk.

Problemleri sırasıyla aşmaya devam ederken her seferinde farklı problemler bizleri beklemektedir.

 image004

Yeni problemimiz ise Mağazalar müdürümüz, on günlüğüne iş seyahatine çıkıyor ve tek düşünmüş olduğu şey, akşamları şirket networküne bağlantı kurarak raporları, günlük satışları vb.. işlemleri kontrol etmektir. Ve bunun için otelden istemiş olduğu tek şey internet erişimidir. İhtiyacı doğrultusunda gerekli internet bağlantısının olup olmadığını soruyor ve internet bağlantısının olduğunu öğrendikten sonra rezervasyonunu yaptırıp, otel networküne giriş yapıyor.

Giriş yaptıktan sonra mağazalar müdürümüz internetini kullanabilmektedir.

Web üzerinde gezinti yapabilmekte ve siteler arasında dolaşabilmektedir. Bu işlemler için gerekli olan port 80 numaralı HTTP isteği otel networkü tarafından misafir kullanıcılara atanmış olup bir sıkıntı yaşamamaktadır.

Misafir internet hattı üzerinden, 443 numaralı HTTPS, güvenli internet erişimlerini de kullanmakta olup şifreli web sayfaları üzerinde işlemlerini yapabilmektedir.

Fakat muhasebe müdürümüzün, şirket networküne bağlana bilmesi için gerekli olan portlar

·         Terminal Services için 3389

·         VPN için 1723

Numaralı portlar misafir kullanıcılarına, şirket networkünü kullanabilmesi için izinli olmamış olup, yapmış olduğu istekler şirket networküne gitmeden, otel networkü tarafından yasaklanmaktadır. Ve muhasebe müdürümüz on günlük tatilini işten uzakta, hiç bir işlemi kontrol etmeden tam bir tatil havasında geçmektedir (!) J

Çünkü muhasebe müdürümüzün gitmiş olduğu networkde bir misafirdir ve ihtyiaç duymuş olduğu portları açtırması tamamen Otel IT yetkililerinin insiyatifindedir. Eğer Otel IT departmanı bu portları açmazsa muhasebe müdürümüz firmaya bağlantı kuramayacak ve kontrollerini gerçekleştiremeyecektir.

image005

 

W2008 Terminal Services’ den önce yaşamış olduğumuz sıkıntıları sizlere bir senaryo çerçevesinde aktarmaya çalıştım ki bu ve benzeri senaryoları zaten günlük hayatda , projelerimiz de yaşamaktayız.

W2008 ile birlikte gelen bu yeni özelliği kullanarak, Otel networkü tarafından Güvenli internet erişimi için bizlere tahsis edilen 443 numaralı HTTPS portunu kullanarak merkez networkü içinde bulunan Terminal Server Gateway serverimiza bağlantıyı kuruyoruz ve Terminal Server Gateway üzerinden iç networkümüzde bulunan Uzak masa üstü aktif duruma getirilmiş

·         Terminal Serverimiza

·         Terminal Serverlarımıza

·         İstemci bilgisayarlarımıza

bağlantıyı gerçekleştirebiliyoruz.

Terminal Server Gateway Rolünün öncelikli özelliği bu olup diğer bir avantajı ise iç networkümüz içinde bulunan çoklu Terminal Serverlar için firewallımız üzerinde farklı portlar açarak veya istemci bilgisayarlarımıza bağlantı kurmak için kullandığımız VNC, Radmin vb. diğer programların portlarını açmaksızın sadece ama sadece 443 numaralı HTTPS portu üzerinden bilgisayarlarımıza bağlantı kurabilmekteyiz.

Firewallımız üzerinde birden fazla port açmayarak güvenliğimizi sağlıyoruz ve bu portları tek tek açmayarak harcamış olduğumuz iş yükümüzü hafifletmiş oluyoruz.

TS Gateway Makale dizimizin sonra ki bölümlerinde Kurulumu, yapılandırılması gibi operasyonlarımızı gerçekleştireceğiz.

 

Fatih KARAALIOGLU