Etiket arşivi: ssl

SSL VPN Lan Server Konfigürasyonu

SSL VPN Cihazı ile İnternet üzerindeki bir kullanıcının iç SSL VPN cihazına bağlı olan Terminal Server ve FTP server’a ulaşmasını sağlamak.

Cihaz: SONICWALL SSL 200

 

clip_image002

 

 

SONICWALL SSL VPN 200 Konfigurasyonu


Ağ Ayarları

1.    SSL VPN

cihazına X0 interfacinden bağlanın. NETWORK/INTERFACES bölümünden ve ayarları yukarıdaki örneğe bağlı olarak aşağıdaki gibi yapın.

Cihaz Default Ayarları ; (SSL 200)
X0-LAN      = 192.168.200.1, 255.255.255.0
X1 – WAN = 192.168.201.1, 255.255.255.0

 Kullanıcı adı       : admin 

 Şifre                      : password

 

  X0 ve X1 değerlerini aşağıdaki gibi değiştirin.

 

clip_image004

2.  Network à Routes bölümünden XO interface’inin dışarıya çıktığı IP adresi girilir. Bu örnek için 192.168.100.1 dir.
Not:
Dışardan  SSL-VPN cihazına erişmek için bunun önünde çalışan cihazda HTTPS/Port 443(TCP) yönlendirmesi yapmanız gerekmektedir.

clip_image006

 

  1. Users à Local Users bölümünden uzak kullanıcı isimleri oluşturulur.

 

clip_image008 

 

clip_image010

Daha sonra bu kullanıcının özelliklerini seçerek SSL VPN cihazına login olduğunda yönlendirileceği serverları seçin (192.168.0.155,192.168.0.64).Burada user1 kullanıcısı için  2 Bookmark girmelisiniz.Bunlardan biri Terminal Server (0.155) , FTP(0.64) dir.

 

Örnek ; Terminal Server için Bookmark oluşturulması.

clip_image012

FTP Server için 192.168.0.64 IP sine aynı şekilde yönlendirilme yapılmalıdır.

clip_image014


4.  Users  Portal / Custom Logo bölümünde istediğiniz Sanal Ofis Logosunu  ekleyebilirsiniz.

clip_image016

5.CİHAZA BAĞLANTI

İnternetteki kullanıcı SSL VPN cihaza login olarak kendisine verilen kaynaklara ulaşabilir.

clip_image018

6. BAĞLANTI SONRASI

clip_image020

Not:

Bookmarker FTP_Server_sslvpn ve Terminal_Server_sslvpn lere bağlanma esnasında karşı taraftan ActiveX yazılımları yüklemesi gerekmektedir.Bunları tarayıcınız üzerinden izin vermelisiniz.

Mustafa AKÇİN

System Center Configuration Manager 2007 ( Native Mode) Kurulumu, Discovery ve İlk Ayarlar

İlk makalemizde SCCM 2007 nin mixed modda yani SMS 2003 hiyerarşisine göre kurulumunu basit bir şekilde tamamlamıştık. Şimdi ise SCOM 2007 Native Mode kurulumunu ve sonrasında ki ilk ayarları göstereceğim.

Bu makalede yer anlatılan Configuration Manager bileşenlerini görelim;

  • Native Mode ile SCCM 2007 kurulumu
  • Site Boundaries belirlenmesi
  • 2 Discovery Methods  ( Network Discovery – Active Directory User Discovery )
  • Computer Client Agent Yapılandırması
  • Client Installation Methods

Native Mod’da PKI Certificate oluşturarak SCCM 2007 yapımızı daha güvenli bir hale getiriyoruz. Clientlara gönderilen herhangi bir software pack, updute, yapzılımi yine web üzerinden güvenli bir şekilde deploy edilebilmekte.

Kurulum için ön hazırlıklara başlayabiliriz;

Active Directory Scheme Extend ( Şema Yükseltilmesi )

İşletim sistemimimiz SCCM 2007 alt yapısı için hazır olması gerekiyor. İlk makalemde bundan detaylı olarak bahsetmiştim, tekrar bir göz atalım.

1.  Öncelikle aynı networkteki bir sunucumuzda, SQL Server 2005 with SP2 (Windows Authentication mode) ile kurulu olması gerekiyor.

2.  Ardından, MMC 3.0, IIS, ASP.NET, BITS, WebDAV, Certificate Authority, WSUS (Opsiyonel ancak update’leri clientlara gönderebilmek için gerekli) servislerinin kurulu olması gerekiyor.

3.  Windows Server 2003 SP1

4 .   Active Directory SCCM 2007 için şema yükseltmesi yapmalıyız ( scheme extend ). ExtADSch.exe bu araçlar şemayı yükselteceğiz.

1 .  2. Ve 3. Şıkları yaptığınızı var sayarak ve 3. Şıktan başıyorum yani şemayı yükseltmekten;

ExtAdSch.exe aracına SCCM 2007 kurulum dosyalarımızın olduğu yerden ulaşabilir. Konum: \SMSSETUP\BIN\I386 konumlanmaktadır.

 

image001

Önemli:

  • Bu komutu çalıştırken başarılı olmak için, oturum açan user, Schema Admins security group’a üye olmalı.
  • Schema Master rolünün yüklü olduğu Domain Controller I network den disconnect ettikten sonra komutu çalıştırmamız gerekiyor.
  • Bir şekilde şema yükseltmesi başarız olmasına karşın yükseltmeye başlamadan evvel NTBACKUP ile Schema Master DC nin System State yedeğini almalıyız.
  • Schema Extend işleminin başarılı yahut başarız olduğunu C:\ sürücüsüne şema yükseltme işlemi başladıktan sonar düşen extadsch.log log dosyasını inceleyerek bakabiliriz.
  • Eğer bir şekilde şema yükseltmesi başarız olursa, şema rolü tamamen bozulabilir ve bu durumda system state den geri dönerek en iyi hata töleransını sağlamış oluruz.

SCCM 2007 için Active Directory hazırlanması işlemlerinin detayını Mümin Çiçek hocamızın makalesini inceleyebilirsiniz.

Vakit kaybetmeden kuruluma geçiyoruz.

Native Mode ile kuracağımız için, daha once bileşenlerden install etttiğimiz Certificate Authority ile bayağı bir işimiz olacak.

 

image002

Administrative Tools’dan Certificate Authority i çalıştırıyoruz. Certificate Templates ‘ e sağ tık Manage diyoruz ve altta ki ekranla karşılaşıyoruz.

image003

Certificate Templates ler burada yer alıyor, Computer’a sağ tıklayıp Duplicate Template diyoruz.

image004

SCCM 2007 için, Yeni bir Certificate Template oluşturuyoruz. Template Display name ve Template name aynen resimde ki gibi olmalıdır. ConfigMgr Site Server Signing Certificate yazıyoruz.

Publish certificate in Active Directory kutucuğunu işaretliyoruz. Çünkü Active Directory üzerinde yayınlayacağız sertifikamızı.

image005

Yine aynı yerde Subject Name tabında, Supply in the request i seçiyoruz. Yani burada Subject Name imizi sorgu ekranından temin et diyoruz orada belirteceğiz sertifika konumuzu.

image006

Issuance Requirements tabına geliyoruz. CA certificate manager approval I işaretliyoruz.  CA serfikasını yönetici olarak onaylıyoruz.

image007

Extensions tabına geliyoruz. Document Signed sertifika kullanacağımız için, Application Polices e tıklayıp, Edit diyoruz içerisinde ki Client Authentication ve Server Authentication ı kaldırıyoruz.

image008

Add deyip Document Signing I ekleyip OK diyoruz.

image009

Template extension ınımızın kapsadığı Application Policy altında ki Document Signing i görüyoruz. OK

image010

OK dedikten sonar ConfigMgr Site Server Signing Certificate template imizi görmemiz gerekiyor.

Tekrar Certificate Authority’e geri dönüyoruz, Certificate Templates’e sağ tık à New à Certificate Template to Issue tıklıyoruz

image011

Buradan “ConfigMgr Site Server Signing Certificate” seçerek certificate template imizi enable ediyoruz. OK

image012

Burada geldiğini görüyoruz.

image013

Site Server sertifikamızı, Web Sertifika Server üzerinden sorgulayacağız.  Webden giriyoruz sertifika servisimize ve Request a certificate tıklıyoruz. Ardından Advanced Certificate Request e ardından da Create and submit a request to this CA tıklıyoruz.

image014

Daha once oluşturduğumuz Certificate Template imizi buradan seçiyoruz.(BGR)

image015

Store certificate in the local computer certificate store u checkliyoruz. Yani local makinemizde sertifikayı saklıyoruz.

Friendly Name kısmına server ismimizi yazalım ve submit e basalım.

image016

“Site Server Signing Certificate” imizi , “Certificate Authority” tarafında onaylamamız gerekiyor.

“Certificate Authority” açıyoruz,

image017

“Pending Request” e tıkladığmızda sağda biraz öncede gördüğümüz Request ID gözükmekte.

Request ID e sağ tıklayıp à All Tasks à Issue tıklıyoruz.

Bir yukarıda ki Issued Certificates te görmeliyiz.

image018

Tekrar Web’den “Certificate Services” i açarak, “View the Status of a Pending Certificate Request” e tıklıyoruz, ve yukarıda ki ekran gibi sertifikamızı görüyoruz üzerinde tıklayalım.

image019

Install this certificate e tıklayarak, sertifikamızı serverımıza yüklüyoruz.

Buraya kadar PKI Certificate Templates ve Document Signed sertifikamızı oluşturmayı başardık.

Şimdi SCCM 2007 kurulumuna geçiyoruz

image020

Site Settings tarafında ki Site Code dikkat ederseniz, sertifika oluştururken ismine bu kodu vermiştim. Site Name imi yazıyorum ve Next à

image021

Configuration Manager Native Mode seçili olarak geliyor. Ve signing certificate detaylarını hemen altında gösteriyor.

 

image022

SQL Server bilgisayarımızı gösteriyoruz ve site database imizi yazıyoruz

 

 

image023

Site Database ile iletişime geçecek olan SMS Provider ımızı yazıyoruz.

image024

Management Point yani yönetim noktası birden fazla noktaya kurulabilir kurulacağı server I seçiyoruz

image025

PKI Certificate kullandığımız için her türlü iletişimimiz HTTPS yani 443 üzerinden SSL li olacak yürütülecek.

 

image026

Bileşenlerin en son sürümlerini update etmesi zorunludur. Direk internetle iletişime geçerek yaklaşık 85 update i 80 küsür MB ile belirleyeceğimiz path e download edecektir.

image027

Bileşenlerin son sürümü için Download a başladı.

image028

Yüklemek için oluşturulan altyapıyı test ediyor ve test sonucunda bütün gereksinimleri tamamladığımızı söylüyor.  Herhangi bir problem olursa gereksinimleri tamamlayamadığına dair bunun için ayrıntılı loglara “ConfigMgrPrereq.log” dosyasına bakabiliriz. C:/ dizini altında bulabilirsiniz.

 

 

image029

Kurulum tamamlandı, ve SCCM Console muzu açtık, hemen ilk ayarlardan bahsetmek istiyorum.  Site Management à BGR à Site settings altından “Boundaries” kısmına geliyoruz. Burada benim oluşturduğum iki adet Boundary mevcut. SCCM 2007 Site mız, nereye hizmet verecek? Bir Active Directory Site ına mı? Bir Subnet e mi? Yoksa IP aralığına mı? Buradan belirtebiliyoruz.

image030

Benim oluşturduğum bir boundary var. Kendi içinde bulunduğum Active Directory Site ımı buraya ekledim. Dolayısıyla SCCM 2007 ilk buraya bakacak.

image031

“Client Installation Methods” tarafında ise 2 seçeneğimiz var, Software Update noktası kullanarak clientlarımıza “Client Agent” yüklemek yada “Client Push Installation” direct olarak buradan yani Site Management ımız üzerinden installation I başlatmak.

image032

“Client Push Installation” a çift tıklıyoruz ve altta ki system tipleri için installation I enable ediyoruz.

Yani hem Server lara hem workstation lara (Mobil cihazlar, vista,xp ) hemde Domain Controller lara gönderebiliyoruz.

image033

“Client Agent’ımızı hangi account ile yükleyeceğimizi soruyor. Administrator haklarına sahip olan bir kullanıcı belirtmemiz gerekiyor burada.

image034

Yükleme başlatılırken ekstra bir parameter, yükleme özelliği belirtebiliyoruz.

image035

Eğer yapı üzerinde çoklu network var is eve burayada SCCM 2007 nin hizmet vermesini istiyorsak ya da sadece belirli bir IP aralığına ya da belirli bir Subnet e hizmet edecek ise buradan belirtiyoruz.

image036

Site Management à BGR à Site settings altından à Discovery Methods a geliyoruz.

Discovery Methods: SCCM 2007 clientlarının network de bulunabilmesi ve SCCM platformuna aktarılabilmesi için çeşitli discovery metodlar bulunmaktadır.

SCCM 2007 Site ında 6 adet Discovery Methodu bulunmakta. Yukarıda gördüğünüz gibi. Ben şimdilik Network Discovery kullanacağım.

Network Discovery’e çift tıklıyoruz;

 

image037

“ Enable network discovery “ işaretliyoruz.

“Type of discovery” bölümü kısmında ise , discovery edilecek  seçeneği soruyor bizlere

Sadece topoloji, topoloji ve istemci yada üçünü birden discovery edecek.

Eğer network ümüzde ki switch ler çok yoğun ya da farklı noktalarda düşük hat ile birden çok şubemize hizmet veriyorsa SCCM, “Network Speed “ altında “Slow network” işaretliyoruz. Network’de herhangi bir şekilde oluşan hatalara karşı iyi bir tölerans sağlıyor.

image038

Yine, “Network Discovery” tarafında, “ Domains” tabına geldiğimizde, altta yer alan domainler üzerinden Client Discovery taraması yapılacak.

image039

Discovery tarafında, “ Active Directory User Discovery” özelliklerindeyiz. Buradan ise AD container I ekleyerek (DN şekilde ) kullanıcı bazlı discovery sağlayabilirsiniz.

Sarı güneş’e tıklayarak hemen içeriğini görelim,

image040

Active Directory  container arama esnasında çoklu lokasyon desteği veriyor bize;

Local domain:  İçinde bulunduğumuz domain lerin görünen container larını alacak.

Local namespace: Sadece isimlere bakacak

Custom LDAP or GC query: Özel LDAP sorgusu yada Global Catalog sorgusu yaptırarak orda ki container lar içersinde arama yaptırabilirsiniz.

“Search options” kısmı ise, Include group seçmeniz halinde, gördüğü tüm continer lar içinde ki gruplarıda kapsayacağını belirtebiliriz.

 

“ Client Agent”  tarafına geldik, Discovery tarafında bu ayarların set edilmesi gerektiği için burayada giriş yapmayı uygun gördüm.

SCCM 2007 de Discovery tarafını set ettiğimizde Clientları bulması ve Client’lara “Agent “ kurması gereklidir. Bu Agent lar serverla iletişimde kullanılacaktır.

image041

“Computer Client Agent Properties” kısmında ise, Tüm client agent lar Administrator yetkisine sahip bir Account ile yüklenmesi gerekiyor., Administrator yekilerine sahip bir account set ediyoruz. Set’e basarak belirtiyoruz Administrator account umuzu.

image042

Administrator account unu ve şifresini giriyorum ben. OK

image043

“ Customization “ tabında ise, spesifik kendi yazacağımız bilgilendirme mesajları var. Bunlar sizinde gördüğünüz gibi Software Updates, Software Distribution, Operating System Deployments gibi işlemler yapıldığında gözükeceklerdir.

image044

“Reminders” tabında ise, zorunlu olarak hatırlatma işlemleri var. Software dağıtım tanıtımları, ard arda gelen sıralamalar tanıtımları ve software update deployments’lar sırasında sağ alt köşede baloncuk şekilde gözükeceklerdir.

Altta ise son teslim edilme tarihleri var.

image045

“BITS” SMS 2003 ile gelişmiştir kullananlar hatırlayacaklardır ancak ben yinede biraz değinmek istiyorum.

Arka planda software updates, software packages, client policy ler, dağıtımlar vs. kısacası tüm client aktivitelerinde download yapılırken bandwidth optimizasyonu çok önemlidir. Örneğin şirket dışında ki “Mobil Client” lar gezici oldukları için genelde firma ile iletişimleri güvenilmeyen ve sıkça kesintiye uğrayan hatlar üzerinden gerçekleştirilir. Biz Sistem Yöneticileri  bu clientlar üzerine yama, update, yazılımlar gönderiyoruz. Bundan ötürü SCCM 2007 nin network e bağlanan client I, bağlandığı noktayı, bant genişliğini ölçerek buna gore önlem alması ve gerekli olan işlemleri yapması lazım. Bu noktada BITS teknolojisi ile artık yazılım dağıtım paketlerinin clientlar tarafından dış networklerde hissedildiğinde paketin once download edilp sonra kurulması, download edilirken clientların o anda yaptığı işlemlere bakarak dinamik olarak bandwidth management yapmasını, mesela siz o an maillerinizi download ediyorsanız BITS download I kısılacaktır, yani kullanılan bandwidth I genişletecektir. Ya da hiçbir şekilde böyle bir ortamda yazılım dağıtımı ile karşılaştığımızda paket bazında bu pakedin mobil client a kurulmamasını configure edebilmek mümkün. Dolayısıyla BITS özellikle Mobil Client lar için son derece önemlidir.

image046

Client Agent lar yüklendikten sonar restart için geri sayma süresi ve en son final bilgilendirmesi için restart dakikasını belirtiyoruz.

Kurulumdan sonra ki ayarlara ilerleyen makalelerde inceleyeceğiz.

Buğra Keskin

OWA için SSL Sertfika nasıl olusturulur ? OWA – SSL – FBA

I- SSL Sertifika İstek Dosyasi Olusturma:

1. Oncelikle SSL sertifikasina sahip olmaniz gerekir. Ya locale bir CA server kurarak bu gereksinimi saglayabilirsiniz.
2. Daha sonra IIS yonetim konsoluna gidin.
3. Default Web Site ozelliklerine girin ve Directory Security” tabina gecin.
4. Secure Communications altinda “Server Certificates” tiklayin.
5. “IIS Certificates Wizard” çalışmaya başlar ve SSL Sertifika istek dosyasi olusturma sureci baslar. İlk ekrani Next ile gecin.
6. Gelen Server Certificate ekranında “Create a new certificate” secili iken Next tiklayin.
7. Delayed or Immediate Request penceresinde SSL Sertifika istegini online CA server a hemen gondermek icin “Send the request immediately to an online certification authority” seçili iken Next tiklayin.
8. “Name and Security Settings” diyalog kutusunda Name bolumune sertifika icin tanimlayici bir isim girin. Asagidan bit uzunlugunu secin. (1024 bit – default kalabilir.)
9. Next ile sonraki adıma geçin.
10. “Organization Information” penceresinde sirket ve departman bilgilerinizi girin. Next ile gecin.
11. Your Site’s Common Name kutusunda Exchange OWA adresini yazin. Ornegin (owa.itstack.com.tr gibi). Next ile gecin.
12. “Geographical Information” bolumunde ulke, sehir vb. bilgileri girin. Next ile gecin.
13. “Certificate Request File” ekraninda SSL sertifikasina istekte bulunmak icin kullanilacak sertifika istek dosyasinin (certreq.txt) adi ve yeri belirlenir. Bu konumu bir kenara not edin. Next ile gecin.
14. “Request File Summary” ekraninda su ana kadarki adimlara ait ozel bilgiler listelenir. Herhangi bir yanlislik olup olmadigini kontrol edin.Ve Next – Finish ile bitirin.

Su ana kadar CA Server dan SSL sertifikasi isteme dosyasi olusturduk.

II – SSL Sertifikasi Isteginde Bulunma

1. Simdi de CA Server’dan bu dosyayi kullanarak sertifika isteyelim.
2. Internet Explorer acin.
3. Web adres yoluna https://CAServerAdi/certsrv yazin.
4. Gelen sayfada Request a new certificate tiklayin.
Advanced request tiklayin.
Submit A Certificate Request Using A Base64 Encoded PKCS #10 File secenegini secin ve Next tiklayin.
Certreq.txt dosyasini acin ve gelen form alanina yapistirin.
Submit ile istegi onaylayin.

III – SSL Sertifika Isteginin Onaylanmasi

1. İstekte bulundugumuz SSL Sertifikasi CA Server tarafindan onaylanmalidir.
2. Bunun icin CA Server da Administrative Tools dan Certification Authority acilir.
3. Pending Request gelin. Kuyrukta onay bekleyen sertifikayi bulun ve uzerinde sag tusa basip, Issue ile onaylayin.
4. Onaylanan sertifika Issued Certificates altina gelir. Buradan da kontrolunu yapin.

IV – SSL Sertifikasinin OWA uzerine Kurulmasi

1. Exchange OWA Server uzerinde (sertifika isteginde bulundugunuz server) IE acin.
2. Adres cubuguna https://CAServerAdi/certsrv yazin.
3. Gelen ekranda Check On A Pending Certificate tiklayin.
4. Sertifikanizi secin.
5. DER Encoded tiklayin ve daha sonra Download CA Certificate tiklayin.
6. Sertifikanin .cer dosyasini kaydedeceginiz konumu gosterin ve Save ile kaydedin.
7. IIS konsolunu acin.Default Web Site Properties gelin.Directory Security tabina gecin.
8. Secure Communications altinda Server Communication tiklayin.
9. Process The Pending Request And Install The Certificate seçin ve Next tiklayin.
10. Kaydettiginiz .cer uzantili sertifikayi gosterin ve Next tiklayin.
11. Karsiniza sertifika istek dosyasini olustururken girdiginiz bilgiler gelir.Bu bilgileri kontrol edin ve Next ile gecin.
12. Finish ile islemi bitirin.
13. Default Web Site altinda Exchange sanal dizinini (virtual directory) bulun ve Properties ine gelin.
14. Directory Security tabina gecin.
15. Edit tiklayin.
16. Require SSL ve Require 128 bit encryption kutularini doldurun.
17. Asagidan da Require SSL Certificates secin ve OK’ler ile onaylayarak, islemi tamamlayin.

Bu arada ayrica ADSL modem kullaniyorsaniz modem uzerinde, ISA kullaniyorsaniz ISA uzerinde, ya da baska bir firewall cozumu kullaniyorsaniz o firewall uzerinde disardan gelen OWA isteklerini de Front-End Server a yonlendirmeyi unutmayin.

Mesut ALADAĞ