Etiket arşivi: Windows Server 2008 Terminal Services Gateway

Windows Server 2008 Terminal Services Gateway Bolum 4 ( W2008 TS Gateway Client Yapılandırılması )

Daha önce yayınlamış olduğumuz Terminal Services Gateway Serverimiz üzerinde , Server ve firewallımız üzerinde yapmamız gerekli olan işlemleri anlatmış bulunup , bu makale dizisinin son bölümünde Windows Server 2008 TS Gateway Clientlarımızın yapılandırılmasını inceleyeceğiz.

 

image001

 

Remote Desktop Connection programımızı çalıştırıp, Bağlantı kurmak istediğimiz bilgisayarı ve kullanıcı kimlik bilgilerini yazarak uzak masaüstü protokolü aktif durumda bulunan bilgisayarımıza bağlantı kurmak için bağlantıbutonuna basıyoruz.

 

image002

 

Client bilgisayarımız bağlantıyı kurmak istediği bilgisayardan herhangi bir yanıt alamadığı için yukarıda ki hatayı vermekte olup hatanın açıklaması, bağlanmak istemiş olduğumuz bilgisayarın ismi veya ip adresinin yanlış olduğu veya network üzerinde bir hata olduğunun bilgisini bizlere vermektedir.

Halbuki hatanın açıklaması bu olmayıp daha önce yayınlamış olduğumuz TS Gateway serverimizin barınmış olduğu network topolojisini hatırlamak için bir kez daha bakalım.

 

image003

 

Yukarıda ki topoloji, bizler 1 numaralı bölümde olup Home Laptop bölümünde yer almaktayız. Gitmek istediğimiz yer ise 3 numaralı bölüm olup Terminal Serverlarımızın barınmış olduğu networktür. 1 numaralı networkden 3 numaralı networke gidebilmemiz için, 1 numaralı network ile 2 numaralı networkümüzün arasında bulunan Firewallımız üzerinde , Terminal serverimizin uzak masa üstü portu publish edilmesi gerekmektedir. Terminal serverimizin portu publish edilmediği için bizler 1 ile 2 numaralı network arasında kalan firewall üzerinde yasaklanmaktayız. Firewallımız üzerinde sadece HTTPS protokolünün 443 numaralı portu açık durumdadır ve biz Remote Desktop Connection programımız ile 3389 numaralı porta istek yaptık. 3389 numaralı portumuz firewallımız üzerinde kapalı olduğu için bağlantıyı gerçekleştiremedik.

Windows Server 2008 Terminal Server Gateway serverimiz üzerinden iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masa üstü aktif duruma getirilmiş bulunan client bilgisayarlarımıza erişebilmemiz için ilk önce Terminal Server Gateway Serverimiza bağlanmamız zorunludur.

 

image004 

 

Terminal Server Gateway serverimiza bağlana bilmek için RDP 6.0 ve üstü toola ihtiyacımız bulunmaktadır. RDP 6.0 öncesi uzak masa üstü bağlantı araçlarımızın hiç birisi Terminal Server gatewayi algılayamamaktadır. Client bilgisayarımıza Terminal Server Gateway bilgisayarımızın yolunu gösterebilmek için Advanced (gelişmiş) sekmesine gelip, settings bölümünün içine giriyoruz.

 

image005

 

Gelişmiş bölümünden Terminal Server Gateway bölümüne geldiğimizde, Terminal Serverimizin bilgilerini girebileceğimiz bölümü görebilmekteyiz.

Windows server 2008 Terminal Server Gateway’ i kullanabilmemiz için , bağlantı kuracak olan istemci bilgisayarımız üzerinde RDP 6.0 ve üstü yazılımı ihtiyaç bulunmaktadır. Daha önce ki RDP programlarında TS Gateway bölümü bulunmamakta olup RDP 6.0 öncesi programlarımız ile Terminal Server Gateway hizmetinden yararlanamayız.

RDP 6.0 yazılımı Windows Vista işletim sistemi ile birlikte gelmekte olup daha önceki işletim sistemler için RDP 6.0 programını aşağıda ki adreslerden temin edebilirsiniz.

 

Windows XP 32 Bit         : http://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows XP 64 Bit         : http://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows Server 2003   : http://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-B62C-D71ADC98ADB1&displaylang=en

 

Resmide 1 numaralı bölümde use these TS Gateway server Settings bölümüne , bağlantı için TS Gateway Server kullanılacağını belirtmekteyiz.

2 numaralı bölümde bağlantı kuracak olduğumuz TS Gateway serverimizin bilgilerini girmekteyiz.

3 numaralı bölümde ise, eğer iç network üzerinden, internal networkden bağlantı gerçekleştirecek isek TS Gateway serverimizin kullanılmayacağını belirtebiliriz.

Client Bilgisayarımıza Terminal Server Gateway serverimizi tanıttıktan sonra bağlan butonuna basıyoruz.

 

image006

 

Daha önce yayınlamış olduğumuz Terminal Server Gateway makalelerinde Ts CAP policylerinde, Ts Gateway Serverimizi kullanacak olan kullanıcılarımızı belirlemiştik. Bu bölüme TS CAP policiyleri içine tanıtmış olduğumuz kullanıcının kimlik bilgilerini giriyoruz.

 

image007

 

Kimlik bilgilerimizi girdikten sonra ilk hataya göre, şimdiki hatamızın değişmiş olduğunu görmekteyiz. Şimdi karşlılaşmış olduğumuz hata Client Bilgisayar’ ın TS Gateway serveri kullanabilmesi için gerekli olan Sertifikanın yüklü olmadığının bilgisi bizlere verilmektedir.

Sahip olmadığımız Sertifikanın detaylarına View Certificate bölümü ile görebiliriz.

 

 image008

 

TS Gateway serverimizi kullanarak, Terminal Serverlarımıza bağlantı kurabilmemiz için TS Gateway Serverimiz üzerinde yüklü sertifikanın bir kopyasının bağlantı kuracak olan bilgisayarımızda olması zorunludur. Eğer yüklü değilse yukarıda ki hata ile karşılaşırız ki bu hatanın açıklaması TS Gateway Serverimiz, Bağlantı kurmak isteyen bilgisayara güvenmediğinin analamına gelmektedir.

Client Bilgisayarlarımıza, sahip olduğumuz bu sertifikayı yüklemenin bir çok yolu bulunmaktadır. İnternal Network için Group Policy yardımıyla yüklenebildiği gibi, uzak ofis veya portatif kullanıcılarımız için manuel olarak yükleyebilmekteyiz.

TS Gateway Serverimiz üzerinde ki sertifikayı daha önceden bir USB Bellek vb.. malzemeler ile client bilgisayarımıza yerleştirdiğimizi varsayarak, yüklenecek olan sertifikayı çift tıklamamızı ve yüklemek için Install Certificate bölümünü seçmemiz gerekmektedir.

 

image009

 

Sertifikamızı yükleyecek olduğumuz bölüm Trusted Root Certification Authorities bölümü olup güvenilen sertifikala bölümüne sertifikamızı yerleştiriyoruz. Bu sertifikamız TS Gateway serverimiz üzerinde de, aynı bölüm içerisinde saklanmaktadır.

 

image010

 

Uyarı mesajını okuyup, kabul ederek sertifikamızı başarılı bir şekilde yüklüyoruz.

 

image011

 

Bağlantıyı gerçekleştirmeden önce son kontrollerimizi yaparsak;

  • Terminal Server Gateway Server  üzerinde Sertifikamız yüklü ve 443 numralı HTTPS portu aktif durumda.
  • Terminal Serverlarımız üzerinde uzak masa üstü bölümü aktif durumda.
  • External Firewallımız üzerinde 443 numaralı HTTPS portu aktif durumda.
  • Client Bilgisayarlarımız üzerine Sertifikamız yüklü durumda.
  • Client Bilgisayarlarımız üzerinde RDP 6.0 ve üstü programımız yüklü durumda.
  • Son kontrollerimizi yaptıktan sonra bağlantımızı artık gerçekleştirebiliriz.
  •  

image012

 

Yukarıda ki resimlerden görüldüğü üzere Terminal Server Gateway’ imizi kullanarak iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masaüstü aktif durumda bulunan Client bilgisayarlarımızabaşarılı bir şekilde bağlantıyı gerçekleştirmiş bulunmaktayız.

Bağlantımızdan sonra daha önceki bağlantılardan farklı olarak yeni bir bilgilendirme ikonunu görmekteyiz ki bunun da clientimizin TS Gateway serverimiz üzerinden bağlandığını bizlere göstermektedir. Bu ikonu tıklayıp detaylarına baktığımız zaman bağlantı için kullanmış olduğumuz TS Gateway Serverimizin bilgisini ve bağlantıyı hangi güvenlik mothod’ u ile yaptığımızın bilgilerini görebilmekteyiz.

 

image013

 

Terminal Server Gateway serverimizin bizlere sağlamış olduğu en büyük avantajların başında, sahip olduğumuz her bir terminal serverimiz için sahip olduğumuz firewall üzerinde ayrı ayrı port açmamıza gerek yoktur. Client bilgisayarımız üzerinde netstat komutu ile açık olan portları izlediğimizde sadece ama sadece HTTPS yani 443 numaralı portun kullanıldığını görebilmekteyiz. Yani güvenliğimiz üst seviyede olup firewallımız üzerinde gereksiz port açmamış oluyoruz.

 

image014

 

TS Gateway serverimizin monitoring kısmına baktığımız zaman aktif bağlantıları tek bir ekran üzerinden izleyebilmekteyiz. Bu ekranda

  • Hangi kullanıcı
  • Hangi servera bağlantı kurmuş
  • Hangi port üzerinden bağlantıyı gerçekleştirmiş,
  • Hangi IP üzerinden bağlantıyı gerçekleştirmiş.
  • Ne zaman bağlanmış,
  • Ne kadar süredir bağlı,
  • Göndermiş ve almış olduğu veri vb.. bilgileri görebilmekteyiz.

 

image015

 

İhtiyacımıza göre TS Gateway serverimiz üzerinden aktif olan bağlantıları sonlandırabilmekteyiz.

 

image016

 

Bir bağlantıyı sonlandırdığımız zaman, bağlantısı sonlanan kullanıcıya gidecek olan hata mesajı The Terminal services Gateway server administrator has ended the connection olup, bağlantının Terminal Server Gateway yöneticisi tarafından bitirildiğinin uyarısı verilmektedir.

 

image017

 

Eğer ortamımızda birden fazla Terminal Server Gateway Serverimiz var ise, bu serverların yönetim ekranını tek bir konsol üzerinde toparlayabilir ve bağlantıları anlık olarak izleyebiliriz. Monitör ekranımızın kaç saniyede bir tazeleneceğini belirterek anlık izleme fırsatlarını bizlere sunmaktadır.

 

Fatih KARAALIOGLU

Windows Server 2008 Terminal Services Gateway Bolum 2 (W2008 TS Gateway Kurulumu)

Bir önceki makalemizde W2008 Terminal Services Gateway teknolojisinden önce yaşamış olduğumuz problemlerin analizini yapmış, yaşamış olduğumuz sıkıntıları masaya yatırmıştık. Bu makalemizde ve sonraki makale dizelerimiz de kurulumu, kullanımı ve getirmiş olduğu avantajları inceleyeceğiz.

 

image001

 

Yukarıda ki örnekde basit bir diyagram görünmekte olup, W2008 Terminal Services Gateway teknolojisini kuracak olduğumuz networkün, kurulumdan sonra alacak olduğu dizaynı görebilmekteyiz.

Dış (External) firewallımız üzerinde sadece 443 numaralı HTTPS portu, iç networkümüzde bulunan W2008 Terminal Services Gateway serverimiza yönlendirilmiş bulunup, Dış dünyadan gelecek olan Terminal Servis isteklerini karşılayacak ve iç networkümüzde bulunan, internal firewall üzerinde Terminal Services portu aktif durumda olan ve uzak masa üstü istekleri açılmış bulunan serverlara, istemci bilgisayarlara bizi yönlendirecektir.

W2008 Terminal Services Gateway bilgisayarımızı, yukarıda ki dizayna göre Active Directory serverimiz üzerine kuracağız. Dizaynımıza göre Terminal Services Gateway serverimizi ayrı bir servera yani Active Directory yapısına üye yapılmışi server üzerine de kurabiliriz. W2008 Terminal Services Gateway serverimiz üzerinde 3389 numaralı RDP (Remote Desktop Protokol) portunun açık olmasına gerek yoktur ve açılmamıştır.

 

image002

 

W2008 Terminal Services Gateway olacak olan Active Directory Domain Controller Serverimiz üzerinde yüklü olan servisleri görebilmekteyiz. İhtiyaç duymuş olduğumuz Active Directory Certificate Services daha önceden kurulmuş bulunup server manager içinden Terminal Services Rolünü seçip ilerliyoruz.

 

image003

 

Terminal Services Rolü altında bulunan TS Gateway özelliğini seçiyoruz ve bunun neticesinde ihtiyaç duyulacak olan diğer Rollerin, özelliklerin ve Servislerin yüklenmesi için Add role Services and features required for TS Gateway bölümünü görüyoruz. Bu bölümü ekledikten sonra kuruluma devam ediyoruz. Kurulum aşamasında diğer özellik olan Network Access Protection (NAP) servisi içinde benzer bir eklenti yükleme ekranı ile karşılaşacağımızı hatırlatmak isterim.

 

image004

 

Yüklenecek olan TS Gateway rolü ile ilgili iki açıklama yapmak isterim ;

  • Active Directory Servicesin yüklü bulunmuş olduğu Server üzerine Terminal Services hizmetinin, rolünün eklenmesi tavsiye edilmez. Bunun nedeni bir güvenlik açığı olup ileride yayınlamayı düşündüğümüz Terminal Services Güvenliği ve Dizaynı makalelerinde detaylı bir şekilde nedenlerini paylaşacağım. Bizler bu bölümde sadece ama sadece Terminal Services Gateway rolünü yüklüyoruz. Terminal Server rolünü yüklemiyoruz ve bu sebepten herhangi bir açığa zemin hazırlamamış oluyoruz. Onun için bu bölüme özellikle dikkat etmenizi isteyeceğim. Sadece TS Gateway rolünü yüklüyorum.
  • İkinci bilinmesi gereken özellik ise bilindiği üzere Terminal Server hizmeti Windows CAL haricinde ayrıca lisanslanması zorunlu olan bir servistir. Bizler Terminal Services özelliğini yüklemediğimiz için sadece TS Gateway yükleyerek Terminal Services CAL almamıza gerek yoktur.

TS Gateway bölümünü seçerek ilerliyoruz.

 

image005

 

Terminal Server Gateway üzerine yüklemiş olduğumuz bir Sertifika varsa eğer bu ekranda seçebileceğimiz gibi kurulum sonrası TS Gateway Manager içinde de sonradan yükleyebilmekteyiz. Sertifikamızı daha sonradan yüklememiz gerektiğini belirterek ilerliyoruz. Server ve client için Sertifika yüklemesini detaylı olarak bir sonraki makalemizde anlatacağız.

 

image006

CAP (Connection Authorization Policies (Bağlantı Kuracak Kullanıcıları Yetkilendirme Politikası)

TS CAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan kullanıcıları/ kullanıcı grupklarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz Domain Kullanıcıları olabileceği gibi TS Gateway Serverimizi Local Server olarak kurduysak eğer Local kullancıları da tanımlamamız mümkündür.

 

image007

 

CAP Policymiz için daha önceden hazırlamış olduğumuz RemoteAPP grubunu ve Administrator kullanıcısını ekleyerek ilerliyoruz.

 

image008

 

CAP Policymize isim vererek ilerliyoruz. Kimlik doğrulamayı Active Directory kullanarak yapılması gerektiğini belirtiyoruz. İsteğe bağlı olarak Smart Kart kullanımını seçerek Güvenliğimizi daha üst seviyeye çıkartabiliriz.

Bu bölümde ki gerekliği değişikliği, ileride güvenlik politikamıza bağlı olarak, kurulum sonrası TS Gateway Manager içinden tekrardan düzenleyebileceğiz.

 

image009

RAP (Resource Authorization Policies (Kaynak Yetkilendirme Politikası)

TS RAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan bigisayarları/ bilgisayar gruplarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz bilgisayar hesapları olabileceği gibi iç networkümüz haricinde bulunan uzak bilgisayarlarımızı da belirleyebiliyoruz.

TS RAP policiysi ile bağlantı kuracak olan bilgisayarların, bağlantı sırasında kullanacak olduğu kaynakları (Sürücüler, Yazıcılar, Kamera vb.) aygıtları da merkezi olarak yönetebilmekteyiz.

TS Gateway Manager konsolu üzerinden bu policymizi daha, kurulum sonrası ihtiyaçlarımıza göre tekrardan düzenleyebilmekteyiz.

 

image010

 

TS Gateway Rolu IIS servisi haricinde TS CAP ve TS RAP policylerini kullanabilmek için Network Access Protection (NAP) servisine de ihtiyaç duymaktadır. NAP kurulumunun yapılması gerektiğinin bilgisini bizlere vermekte olup ilerliyoruz.

 

image011

 

Varsayılan olarak gelen bölümde herhangi bir değişiklik yapmadan kuruluma devam ediyoruz. Gerekli bileşenleri Serverimiz kendisi otomatik yükleyecektir.

 

image012

 

Yüklenecek olan diğer IIS Servisi ve bileşenleri hakkında detaylı bilgileri görebilmekteyiz.

 

image013

 

Terminal Services Gateway Rolünü ve yüklenecek olan bileşenlerin özetini görebilmekteyiz. Rapor içerisinde TS Gateway üzerinde bir Sertifika (TS Gateway will not be operation without a certificate) yüklemesi yapmadığımızın uyarısı belirtilmekte olup bu sertifikayı daha sonrada TS Gateway Manager Konsolu yardımı ile yükleyeceğiz.

 

image014

 

Kurulum başarılı bir şekilde ilerlemekte olup kurulum sonrası serverimizi yeniden başlatmamıza gerek bulunmamaktadır.

TS Gateway Rolü Kurulum Sonrası Genel Kontroller

image015

 

TS Gateway Rolümüz Serverimiz üzerine başarılı bir şekilde kurulduktan sonra, TS Gateway ile birlikte kurulan IIS 7.0 üzerinde ki Default Web Site mizi yapılandırmamız gerekmektedir. IIS Manager konsolu üzerinden Default Web site üzerinde Sağ tuş yaparak Manage Web Site bölümü üzerinden Advanced Settings bölümüne ulaşıyoruz.

 

image016

 

Advanced Setting bölümü altında Web sitemizin serverimzi ilk açıldığında otomatik olarak başlaması için Start Automatically bölümü üzerinde True olarak ayarlıyoruz. Sertifika Servisi için zorunlu bir bölüm olup sertifikanın doğrulanması için yapılandırılması gereken bölümdür.

 

image017

 

Son kontrol olarak Windows Firewall üzerinde HTTPS protokolünü yani 443 numaralı port üzerinden gelen istekleri aktif duruma getirmemiz gerekmektedir.

Fatih KARAALIOGLU

Windows Server 2008 Terminal Services Gateway Bolum 1 (Windows Server 2008 TS Gateway Oncesi)

Terminal Services Gateway Nedir ? Hangi firmaların ihtiyaçlarına cevap verir, hangi durumlarda kullanmalıyız gibi sorulara cevap vermeden önce W2008 Terminal Services Gateway dan önce yaşamış olduğumuz sıkıntıları sizler ile paylaşarak, şaha tecrübelerimi aktararak Windows Server 2008 ile birlikte gelen bu yeni özelliğin önemini anlatmak istedim.

Terminal Services Gateway makale dizisi ile , bundan sonra ki makalelerimde kurulumu, yapılandırılması, dizaynı ve uzak ofis mağazalarımız ve yerel istemcilerimiz için kullanıma hazır hale getirilmesinden bahsedeceğim.

image001

Bir firmanın , Terminal Services Teknolojisine ihtiyacı varsa eğer, yukarıda göstermiş olduğum basit bir yapı olup, firmanın Terminal Services ihtiyaçlarını karşılamaktadır.

Yukarıda ki yapıdan bahsetmemiz gerekirse iç networkümüzde, merkezimizde bulunan bir terminal server bulunmakta olup bu terminal serverimizi korumakta olan UTM teknolojisine sahip bir firewall bulunmaktadır. Şirket networkü ihtiyaçları gereği farklı çoğrafi bölgelere yayılmış ve uzak ofisleri – mağazaları bulunmaktadır. Firewallımızın burada ki görevi sadece ama sadece uzak ofislerimizden gelecek olan Terminal Services isteklerini iç networkümüzde bulunan Terminal Serverimizi yönlendirmek için dizayn edilmiştir.

Firewallımızın çalışma mantığı, sahip olduğumuz farklı çoğrafi bölgelerde ki uzak ofislerimizin, merkez networkü ile iletişimini sağlayan internet erişimlerini kiralamış bulunduğumuz kurum üzerinden (Turk Telekom vb. kurumlar) IP adresini sabitleştiriyoruz ve firewallımız üzerinde Virtual IP uygulamasını yapılandırıyoruz. Yapılandırmış olduğumuz bu Virtual IP uygulaması ile uzak ofis ve mağazalarımızın sahip oldukları Dış Sabit IP adresleri firewallımız üzerine tek tek tanımlanıyor ve bu IP adresleri bir grup altında birleştirilip aşağıda ki gibi kural oluşturuluyor.

·         Dış dünyadan gelen

·         Dış IP adeslerinin tanımlamış olduğumuz grubun üyesi olan

·         Tüm Terminal services isteklerini

·         İç networkümüz içinde bulunan Terminal Serverımıza yönlendir.

Yukarıda ki gibi oluşturmuş olduğumuz basit bir kural iç networkümüz içinde bulunan Terminal Serverimizi korumak için yeterli olup bu grubun üyesi olmayan hiç bir IP adresinin isteğini Terminal Serverimiza yönlendirmeden Terminal Serverimiz üzerinde gereksiz kaynak harcatmadan korumayı gerçekleştirmektedir.

Örnek Network Diyagramına bakıldığı zaman kırmızı bölgede ki nokta, kullanıcının IP adresinin, Firewallımıza tanımlı olmadığı için isteğinin yasaklandığını görebilmekteyiz.

image002

Yukarıdaki yapı şirket networkü içinde bulunan Terminal Serverin koruması için yeterli olsa bile bazı özel durumlarda bu güvenlik bizlere dez avantaj getirmekteydi. Örnek olarak bir destek firması bir arıza durumunda uzak , herhangi bir noktadan Terminal Servera bağlanıp problemi çözmek adına hizmet vermek istediği zaman, bağlanmış olduğu noktanın dış ıp adresi firewalla tanımlı olmadığı için isteği firewall tarafında engellenecek ve çözüm üretemeyekti.

Diğer bir örnek ise firmanın sahibi, yönetim üyesi, mağazalar müdürü vb.. kişiler evlerinden veya iş seyahatlerinde Terminal Servera bağlantı isteği duydukları zaman aynı şekilde istekleri firewall tarafından engellenecekti.

Bu gibi problemler ise firewall üzerinde yapılacak olan VPN (Sanal Özel Ağ) yapılandırılması ile çözüm bulunmakta olup, destek firmaları ve firma yetkilileri firewall üzerinde yapılandırılan VPN istekleri ile güvenli ama bir o kadar da yavaş olarak şirket networküne bağlanıyor ve işlemlerini gerçekleştirebiliyordu.

image003

VPN teknolojisini kullanarak Terminal Serverimiza erişimi daha bir esneklik getirmiş olsakta problemlerimiz henüz bitmiş durumda değildir.

Merkez networkümüz içinde bulunan Firewallımız üzerinde nasıl dış dünyadan gelen istekleri iç networkümüz içinde bulunan Terminal Server için gerekli port yönlendirmelerini yaptıysak bağlantıyı kuracak olduğumuz networklerde de iç networkden, dış dünyaya ilgili portların açılması zorunludur.

Ve bu networkler (uzak ofislerimiz, destek departmanının barınmış olduğu network, mağazalar müdürünün evi vb.) bizlerin kontrolü altında olduğu için ve bu portları açmamız da bir sıkıntı olmadığı için bir problem ile karşılaşmıyorduk. İçeriden dışarıya Terminal Services Portunu ve VPN portlarına izin vererek erişimi gerçekleştirebiliyorduk.

Problemleri sırasıyla aşmaya devam ederken her seferinde farklı problemler bizleri beklemektedir.

 image004

Yeni problemimiz ise Mağazalar müdürümüz, on günlüğüne iş seyahatine çıkıyor ve tek düşünmüş olduğu şey, akşamları şirket networküne bağlantı kurarak raporları, günlük satışları vb.. işlemleri kontrol etmektir. Ve bunun için otelden istemiş olduğu tek şey internet erişimidir. İhtiyacı doğrultusunda gerekli internet bağlantısının olup olmadığını soruyor ve internet bağlantısının olduğunu öğrendikten sonra rezervasyonunu yaptırıp, otel networküne giriş yapıyor.

Giriş yaptıktan sonra mağazalar müdürümüz internetini kullanabilmektedir.

Web üzerinde gezinti yapabilmekte ve siteler arasında dolaşabilmektedir. Bu işlemler için gerekli olan port 80 numaralı HTTP isteği otel networkü tarafından misafir kullanıcılara atanmış olup bir sıkıntı yaşamamaktadır.

Misafir internet hattı üzerinden, 443 numaralı HTTPS, güvenli internet erişimlerini de kullanmakta olup şifreli web sayfaları üzerinde işlemlerini yapabilmektedir.

Fakat muhasebe müdürümüzün, şirket networküne bağlana bilmesi için gerekli olan portlar

·         Terminal Services için 3389

·         VPN için 1723

Numaralı portlar misafir kullanıcılarına, şirket networkünü kullanabilmesi için izinli olmamış olup, yapmış olduğu istekler şirket networküne gitmeden, otel networkü tarafından yasaklanmaktadır. Ve muhasebe müdürümüz on günlük tatilini işten uzakta, hiç bir işlemi kontrol etmeden tam bir tatil havasında geçmektedir (!) J

Çünkü muhasebe müdürümüzün gitmiş olduğu networkde bir misafirdir ve ihtyiaç duymuş olduğu portları açtırması tamamen Otel IT yetkililerinin insiyatifindedir. Eğer Otel IT departmanı bu portları açmazsa muhasebe müdürümüz firmaya bağlantı kuramayacak ve kontrollerini gerçekleştiremeyecektir.

image005

 

W2008 Terminal Services’ den önce yaşamış olduğumuz sıkıntıları sizlere bir senaryo çerçevesinde aktarmaya çalıştım ki bu ve benzeri senaryoları zaten günlük hayatda , projelerimiz de yaşamaktayız.

W2008 ile birlikte gelen bu yeni özelliği kullanarak, Otel networkü tarafından Güvenli internet erişimi için bizlere tahsis edilen 443 numaralı HTTPS portunu kullanarak merkez networkü içinde bulunan Terminal Server Gateway serverimiza bağlantıyı kuruyoruz ve Terminal Server Gateway üzerinden iç networkümüzde bulunan Uzak masa üstü aktif duruma getirilmiş

·         Terminal Serverimiza

·         Terminal Serverlarımıza

·         İstemci bilgisayarlarımıza

bağlantıyı gerçekleştirebiliyoruz.

Terminal Server Gateway Rolünün öncelikli özelliği bu olup diğer bir avantajı ise iç networkümüz içinde bulunan çoklu Terminal Serverlar için firewallımız üzerinde farklı portlar açarak veya istemci bilgisayarlarımıza bağlantı kurmak için kullandığımız VNC, Radmin vb. diğer programların portlarını açmaksızın sadece ama sadece 443 numaralı HTTPS portu üzerinden bilgisayarlarımıza bağlantı kurabilmekteyiz.

Firewallımız üzerinde birden fazla port açmayarak güvenliğimizi sağlıyoruz ve bu portları tek tek açmayarak harcamış olduğumuz iş yükümüzü hafifletmiş oluyoruz.

TS Gateway Makale dizimizin sonra ki bölümlerinde Kurulumu, yapılandırılması gibi operasyonlarımızı gerçekleştireceğiz.

 

Fatih KARAALIOGLU