Etiket arşivi: windows server 2008

Windows Server 2008 Uzerine System Center Configuration Manager 2007 SP1 Kurulumu ve Yapilandirilmasi

System Center Configuration Manager 2007, Service Pack 1 olarak Windows Server 2008 üzerine kurulabilir hale geldi.  Ancak kurulumdan önce ki gereksinimler Windows Server 2003’e kıyasla farklılıklar bulunuyor ve bunların önceden yapılandırılmış olması gerekiyor. Kurulumda, Management Control  Point ve Distribution Point (DP) ve Management Point (MP) yüklenemiyor. Unknown olarak gözüküyor bu bileşenler, bunları elle yükleyeceğiz. Bu 2 bileşen hatasına SCCM 2007 den SCCM 2007 SP1 upgrade yaparken de karşılaşmanız muhtemeldir.

Ben temel gereksinimleri hazırladıktan sonra ( Server 2003’de de gerekli olan) kuruluma başlıyorum, çıkan hataları ve Windows Server 2008 üzerinde ki gereksinimleri  görerek buna göre bir yapılandırma izleyeceğiz.

Önceden hazırlamış olduklarım;

· Active Directory

· DHCP

· MS SQL Server 2008 & Hotfix for SCCM

· WSUS 3.0 SP1 ( Windows Software Update Services )WSUS SP1 olmadan Server 2008 ve SCCM 2007 SP1 kurulamıyor.

Detaylı gereksinimler listesi ve açıklamaları için altta ki referans linki inceleyiniz.

https://technet.microsoft.com/en-us/library/bb694113.aspx

Not:  Ağustos ayında, MS SQL Server 2008 SCCM 2007 site database için kullanılabiliyor olacağını duyurdu ancak işletim sistemi dağıtımında (OSD)  ve bu işletim sistemine driver import etme işleminde hatalar ve uyarılar almaktaydık. Kısaca; MS SQL Server 2008, System Center Configuration Manager 2007 ürününde kullanılabilir değildi.

Ancak Ekim ayında Microsoft’ın çıkardığı hotfix ile bu problem ortadan kalkmış oldu bu hotfix i altta ki linkten download edebilirsiniz.

https://support.microsoft.com/kb/955262

image001

Kurulum DVD mizi taktıktan sonra, Run the prerequisite checker a tıklayarak ön gereksinimleri kontrol edelim.

image002

Primary Site bilgilerini giriyor ve OK diyelim.

image003

Schema extensions hatası aldık. Şemayı genişletme işlemi yapacağız.

Microsoft Remote Differential compression yüklü olmadığı uyarısı aldık.

Microsoft Remote Differential compression: Kısaca RDC, Site’lar arası senkronizasyonda uzak replikasyonlarda network ü compress ederek data gönderiminde sarfettiği eforu minimuma indirger.

Şema genişletmek için; CMD à DVD-ROM\SMSSetup\bin\i386\ExtAdsch.exe komutunu çalıştırmamız yeterlidir.

RDC için;

image004

Server Manager’ı açalım sağ üstten Add Features a tıklayalım.

image005

Buradan Remote Differential Compression ı aktif hale getiriyoruz.

image006

Tekrar Prerequisite ı çalıştırdığımızda, gereksinimleri başarıyla tamamladığını görüyoruz. OK diyelim.

image007

Kurulum adımlarını geçtikten sonra son olarak tekrar Prerequisite kontrolü yapıyoruz ve başarılı olduğunu gördükten sonra, Begin Install diyerek kuruluma başlıyoruz.

MP Control Manager

DP Distribution Point

Hatalarını burada alıyoruz Unknown olarak göstermekte.

Kurulum bu iki bileşeni yükleyemedi, buna sebep olan şeyleri inceleyip manuel olarak düzelteceğiz.

Active Directory Users and Computers’ı açalım

image008

View à Advanced Features a tıklayıp gelişmiş özellikleri görelim

image009

Burada gördüğümüz iki SMS Site grubuna SCCM computer account unu ekleyeceğiz.

Çift tıklayıp Members tabından ekleyelim

image010

Diğer grup içinde aynısını yapalım.

Şimdi Active Directory Sites and Services’a girelim. Default-First-Site ın ismini değiştirip yeni ekleyeceğimiz Boundary de de kullanmak üzere site mızın ismini yazalım

image011

Default-First-Site a sağ tık à properties à ismini SCCM site ismimizle değiştirelim.

image012

Configuration Manager Console u açalıp, Bonduary tarafına gelip, New Boundary diyelim

image013

Type: Active Directory Site seçelim ve Site name i Browse diyerek BUGRAKESKIN-SITE (Sitenizin ismi ) seçelim. OK

Active Directory Users and Computers ı tekrar açalım

image014

Users OU açalım ve OU e SMSadmin ve SMSread isimli iki kullanıcı tanımlayalım

SMSadmin, Domain Admins grubuna dahil olsun

SMSred, Sadece Users grubunda olsun.

Kullanıcıları oluşturduktan sonra tekrar Configuration Manager Console a geri dönelim

image015

Site System tabını genişleterek, SCCM Server Site’ına yeni bir rol ekleyelim

image016

Intranet tarafında FQDN name otomatik geliyor olmalı Next diyelim.

image017

State migration point: Operating System Deployment da daha önceden alınmış olan kullanıcı bilgisini depolayıp sonradan yeni bir işletim sistemi dağıtımında kullanmak için önceden eklenmesi gerekli olan bir noktadır.

Server locator point: Configuration Manager 2007 hiyerarşisinde sadece tek Server locator point olabilir. Eğer multiple site yani birden fazla SCCM site hiyerarşisi varsa yapınızda merkez site a server locator point yüklenmelidir.

Reporting point: Configuration Manager 2007 de hangi site da Rapor sorguları gönderilecek ve Reporting Viewer da izlenecekse o site a bu rol eklenmelidir.

Software Update Point: Bu bileşen Configuration Manager 2007 primary site gereksinimi duyar. Ancak secondary site larda da software update point kullanılabilir. Bunu kullanabilmek için önceden WSUS 3.0 SP1 kurulu olması gerekiyor SCCM 2007 sp1 üzerine.

image018

Server Locator point in kullanacağı veritabanını seçiyoruz.

image019

State Migration Point yapılandırmasında SMP için bir path belirtmemiz gerekir. Bu path içinde ki folder da OSD için USM bilgileri tutulur.

image020

IIS 7 üzerinde Reporing root folder oluşturacağını söylüyor, istersek folder ismini değiştirebilr, SSL üzerinden de yayınlayabiliriz.

image021

SCCM 2007 SP1 kurulumundan önce WSUS 3.0 SP1 kurmuştuk, bunu Software Update point için eğer yapımızda bir Proxy server var ise yapılandırmamız gerek. Benim senaryoda yok

image022

Burada WSUS 3.0 SP1 için senkronizasyon seçenekleri var. Microsoft update sitesinden senkronize edebilir yada bir upstream update sunucumuz var ise oradan edebiliriz, yada do not synchronize from…. İşaretleyip daha sonra manuel olarak software update paketlerimizi import edebiliriz.

Altta ki seçeneklerde ise WSUS reporting için bir olay günlüğü oluşturup oluşturmayacağımızı soruyor.  Bize kalmış bir seçenek.

image023

Software Updates leri dilersek manuel olarak senkronize edebiliriz, bunu bir zaman diliminde yapmak için “Enable synchorization on a Schedule kutucugunu işaretleyip zamanlamayı ayarlayalım.

image024

Software Updates sınıflandırma seçeneklerini burada ayarlayabiliyoruz. Hangi paketler indirilsin hangileri indirilmesin gibi.

image025

Yine WSUS 3.0 SP1 ayarlarındayız. Burada ise hangi ürünlerle senkronize olması gerektiğini belirtebiliyoruz.

image026

Seçtiğimiz ürün ve sınıflandırmaların hangi dillerini indireceğini / hangi dillerde senkronize olacağını belirtiyoruz. Ör:  Windows Vista’nın Service Pack 1 in Türkçe dilini indirmesini aynı zamanda yapımızda İngilizce ürünler varsa onuda seçebiliyoruz.

image027

Özet ve onay ekranı.

image028

Site Systems altında eklediğimiz ve yapılandırdığımız rolleri görebiliyoruz.

Sıra geldi SCCM kurulumunda da bileşen olarak kurulamayan “ Unknown “ yani bilinmeyen olarak gösterilen Distribution Point (DP) ve Management Point (MP) yapılandırmasına.

image029

Yine Site Systems tarafına gelip, Distribution point e sağ tık properties diyelim

image030

Allow clients to transfer content from… işaretliyoruz. Yani; Distribution point in client ile içerik transferinde kullanacağı BITS, HTTP ve HTTPS i kullanmaya izin ver. Altta ki seçenekte ise, sadece intranet client bağlantılarına izin ver diyoruz.

Onun altında ki “ Allows client to connect anonymously “ seçeneği ise;  Mobil cihazlarına yapacağımız herhangi bir dağıtımı kullanmak için gerekli olan kutucuktur. Mobil cihazlarına bir dağıtım söz konusu ise burayı işaretliyoruz, çünkü anonymously bağlantı kullanmak zorunda.

Buna OK deyip kapatalım ve onun altında ki Management Point in özelliklerine girelim

image031

Buda yine intranet bağlantılarını kabul edecek konumda olsun.

image032

Kurulumda Control Manager ile Distribıtion Manager hatası almıştık bunları düzeltme aşamasındayız.

Site Status altında, Site ismi à Component Status à sağında hataları görmekteyiz.

Gördüğünüz gibi SMS_MP_CONTROL_MANAGER kritik seviyesinde hatalı gözüküyor.

Bu hatanın sebebi, WebDAV ın her ikis component içinde yüklenmemesi ve doğru yapılandırılmamış olmasından kaynaklanıyor.

WebDAV ı yükleyip, aktif hale getireceğiz ve bunun için bir authoring  kural yazıp “All Users” için okuma hakkını “All Content” yani tüm içerik için izin veriyor olacağız. Şimdi bunları yapmadan önce hatanın detayına bir göz atalım.

image033

Buna sağ tık à Show Messages à All diyelim

image034

SMS_Site Component Manager, SCCM-Srv1 isimli SCCM sunucuma yüklenememiş gözüktüğü üzere.

Öncelikle WebDAV ı Microsoft Download Center dan indirelim ve kuralım.

Microsoft WebDAV Extension for IIS 7.0 (x64)

ya da

Microsoft WebDAV Extension for IIS 7.0 (x86)

IIS 7 açalım

image035

Web Server altında Internet Information Server’a tıklayıp server ımızı seçelim altta, WebDAV Authoring Rules göreceğiz. Bunu açalım

image036

Sağ üstten Add Authroing Rule a tıklayalım

image037

Çizdiğim yerleri işaretliyoruz. Administrator kullanıcısında full erişim hakkı olmalı. Sonuçta adı üstünde Admin J

image038

Eklendiğini görüyoruz. Rule bir kere tıklayarak sağ üst köşeden “ WebDAV settings “e tıklayalım

image039

Yukarıda altını çizdiğim değerleri bu şekilde düzeltiyoruz

image040

Tekrar Add Authoring Rule a tıklayarak bu sefer Bütün kullanıcılar için Read yani sadece okumak için erişim kuralı yazalım.

image041

Son yazdığımız kurala tıklayarak sağdan WebDAV Settings e tıklayalım.

image042

Yine değerleri gösterdiğim gibi yapalım.

image043

Şimdi, tekrar Site Status tarafına gelelim ve Site ımıza sağ klik à Reset Counts à All diyelim ve tüm değerleri resetleyelim yok edelim yani.

Ardından tekrar, Show Messages à All diyelim

image044

Gördüğünüz gibi, SMS Site Component Manager başarıyla yüklendi site ımıza.

image045

Site Status tarafında herhangi bir problem olmadığını görüyoruz. Her şey OK

Configuration Manager 2007 console umuzun en altında Tools à ConfigMgr Service Manager’a tıklayalım

image046

Görüldüğü üzere, SMS_SITE_COMPONENT_MANAGER çalışır vaziyette.

Şimdi, Active Directory içinde ki System Management container ında SCCM için doğru izinleri verip yapılandıracağız.

Active Directory Users and Computers ı açalım

image047

Gelişmiş özellikleri açalım

image048

System altında System Managment containerına sağ klik àproperties à security tabına gelelim

image049

Buraya SCCM-Srv1 computer account ını yani SCCM Site mı ekleyelim.

image050

Sadece Read hakkı verip, Advanced a yani Gelişmiş’e girelim

image051

Computer account a tek klik yapıp Edit deyip düzeltelim.

image052

Öncelikle Apply To: This object and all descendant objects seçiyoruz

Full Control veriyoruz

Bu objeye ve container a uygulayacağız onu da seçiyoruz ve OK.

Windows Server 2008 üzerinde SCCM 2007 SP1 İlk yapılandırmamız tamamladık, hepimize kolay gelsin.

Buğra Keskin

Windows Server 2008 Terminal Services Gateway Bolum 4 ( W2008 TS Gateway Client Yapılandırılması )

Daha önce yayınlamış olduğumuz Terminal Services Gateway Serverimiz üzerinde , Server ve firewallımız üzerinde yapmamız gerekli olan işlemleri anlatmış bulunup , bu makale dizisinin son bölümünde Windows Server 2008 TS Gateway Clientlarımızın yapılandırılmasını inceleyeceğiz.

 

image001

 

Remote Desktop Connection programımızı çalıştırıp, Bağlantı kurmak istediğimiz bilgisayarı ve kullanıcı kimlik bilgilerini yazarak uzak masaüstü protokolü aktif durumda bulunan bilgisayarımıza bağlantı kurmak için bağlantıbutonuna basıyoruz.

 

image002

 

Client bilgisayarımız bağlantıyı kurmak istediği bilgisayardan herhangi bir yanıt alamadığı için yukarıda ki hatayı vermekte olup hatanın açıklaması, bağlanmak istemiş olduğumuz bilgisayarın ismi veya ip adresinin yanlış olduğu veya network üzerinde bir hata olduğunun bilgisini bizlere vermektedir.

Halbuki hatanın açıklaması bu olmayıp daha önce yayınlamış olduğumuz TS Gateway serverimizin barınmış olduğu network topolojisini hatırlamak için bir kez daha bakalım.

 

image003

 

Yukarıda ki topoloji, bizler 1 numaralı bölümde olup Home Laptop bölümünde yer almaktayız. Gitmek istediğimiz yer ise 3 numaralı bölüm olup Terminal Serverlarımızın barınmış olduğu networktür. 1 numaralı networkden 3 numaralı networke gidebilmemiz için, 1 numaralı network ile 2 numaralı networkümüzün arasında bulunan Firewallımız üzerinde , Terminal serverimizin uzak masa üstü portu publish edilmesi gerekmektedir. Terminal serverimizin portu publish edilmediği için bizler 1 ile 2 numaralı network arasında kalan firewall üzerinde yasaklanmaktayız. Firewallımız üzerinde sadece HTTPS protokolünün 443 numaralı portu açık durumdadır ve biz Remote Desktop Connection programımız ile 3389 numaralı porta istek yaptık. 3389 numaralı portumuz firewallımız üzerinde kapalı olduğu için bağlantıyı gerçekleştiremedik.

Windows Server 2008 Terminal Server Gateway serverimiz üzerinden iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masa üstü aktif duruma getirilmiş bulunan client bilgisayarlarımıza erişebilmemiz için ilk önce Terminal Server Gateway Serverimiza bağlanmamız zorunludur.

 

image004 

 

Terminal Server Gateway serverimiza bağlana bilmek için RDP 6.0 ve üstü toola ihtiyacımız bulunmaktadır. RDP 6.0 öncesi uzak masa üstü bağlantı araçlarımızın hiç birisi Terminal Server gatewayi algılayamamaktadır. Client bilgisayarımıza Terminal Server Gateway bilgisayarımızın yolunu gösterebilmek için Advanced (gelişmiş) sekmesine gelip, settings bölümünün içine giriyoruz.

 

image005

 

Gelişmiş bölümünden Terminal Server Gateway bölümüne geldiğimizde, Terminal Serverimizin bilgilerini girebileceğimiz bölümü görebilmekteyiz.

Windows server 2008 Terminal Server Gateway’ i kullanabilmemiz için , bağlantı kuracak olan istemci bilgisayarımız üzerinde RDP 6.0 ve üstü yazılımı ihtiyaç bulunmaktadır. Daha önce ki RDP programlarında TS Gateway bölümü bulunmamakta olup RDP 6.0 öncesi programlarımız ile Terminal Server Gateway hizmetinden yararlanamayız.

RDP 6.0 yazılımı Windows Vista işletim sistemi ile birlikte gelmekte olup daha önceki işletim sistemler için RDP 6.0 programını aşağıda ki adreslerden temin edebilirsiniz.

 

Windows XP 32 Bit         : https://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows XP 64 Bit         : https://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

 

Windows Server 2003   : https://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-B62C-D71ADC98ADB1&displaylang=en

 

Resmide 1 numaralı bölümde use these TS Gateway server Settings bölümüne , bağlantı için TS Gateway Server kullanılacağını belirtmekteyiz.

2 numaralı bölümde bağlantı kuracak olduğumuz TS Gateway serverimizin bilgilerini girmekteyiz.

3 numaralı bölümde ise, eğer iç network üzerinden, internal networkden bağlantı gerçekleştirecek isek TS Gateway serverimizin kullanılmayacağını belirtebiliriz.

Client Bilgisayarımıza Terminal Server Gateway serverimizi tanıttıktan sonra bağlan butonuna basıyoruz.

 

image006

 

Daha önce yayınlamış olduğumuz Terminal Server Gateway makalelerinde Ts CAP policylerinde, Ts Gateway Serverimizi kullanacak olan kullanıcılarımızı belirlemiştik. Bu bölüme TS CAP policiyleri içine tanıtmış olduğumuz kullanıcının kimlik bilgilerini giriyoruz.

 

image007

 

Kimlik bilgilerimizi girdikten sonra ilk hataya göre, şimdiki hatamızın değişmiş olduğunu görmekteyiz. Şimdi karşlılaşmış olduğumuz hata Client Bilgisayar’ ın TS Gateway serveri kullanabilmesi için gerekli olan Sertifikanın yüklü olmadığının bilgisi bizlere verilmektedir.

Sahip olmadığımız Sertifikanın detaylarına View Certificate bölümü ile görebiliriz.

 

 image008

 

TS Gateway serverimizi kullanarak, Terminal Serverlarımıza bağlantı kurabilmemiz için TS Gateway Serverimiz üzerinde yüklü sertifikanın bir kopyasının bağlantı kuracak olan bilgisayarımızda olması zorunludur. Eğer yüklü değilse yukarıda ki hata ile karşılaşırız ki bu hatanın açıklaması TS Gateway Serverimiz, Bağlantı kurmak isteyen bilgisayara güvenmediğinin analamına gelmektedir.

Client Bilgisayarlarımıza, sahip olduğumuz bu sertifikayı yüklemenin bir çok yolu bulunmaktadır. İnternal Network için Group Policy yardımıyla yüklenebildiği gibi, uzak ofis veya portatif kullanıcılarımız için manuel olarak yükleyebilmekteyiz.

TS Gateway Serverimiz üzerinde ki sertifikayı daha önceden bir USB Bellek vb.. malzemeler ile client bilgisayarımıza yerleştirdiğimizi varsayarak, yüklenecek olan sertifikayı çift tıklamamızı ve yüklemek için Install Certificate bölümünü seçmemiz gerekmektedir.

 

image009

 

Sertifikamızı yükleyecek olduğumuz bölüm Trusted Root Certification Authorities bölümü olup güvenilen sertifikala bölümüne sertifikamızı yerleştiriyoruz. Bu sertifikamız TS Gateway serverimiz üzerinde de, aynı bölüm içerisinde saklanmaktadır.

 

image010

 

Uyarı mesajını okuyup, kabul ederek sertifikamızı başarılı bir şekilde yüklüyoruz.

 

image011

 

Bağlantıyı gerçekleştirmeden önce son kontrollerimizi yaparsak;

  • Terminal Server Gateway Server  üzerinde Sertifikamız yüklü ve 443 numralı HTTPS portu aktif durumda.
  • Terminal Serverlarımız üzerinde uzak masa üstü bölümü aktif durumda.
  • External Firewallımız üzerinde 443 numaralı HTTPS portu aktif durumda.
  • Client Bilgisayarlarımız üzerine Sertifikamız yüklü durumda.
  • Client Bilgisayarlarımız üzerinde RDP 6.0 ve üstü programımız yüklü durumda.
  • Son kontrollerimizi yaptıktan sonra bağlantımızı artık gerçekleştirebiliriz.
  •  

image012

 

Yukarıda ki resimlerden görüldüğü üzere Terminal Server Gateway’ imizi kullanarak iç networkümüzde bulunan Terminal Serverlarımıza ve Uzak masaüstü aktif durumda bulunan Client bilgisayarlarımızabaşarılı bir şekilde bağlantıyı gerçekleştirmiş bulunmaktayız.

Bağlantımızdan sonra daha önceki bağlantılardan farklı olarak yeni bir bilgilendirme ikonunu görmekteyiz ki bunun da clientimizin TS Gateway serverimiz üzerinden bağlandığını bizlere göstermektedir. Bu ikonu tıklayıp detaylarına baktığımız zaman bağlantı için kullanmış olduğumuz TS Gateway Serverimizin bilgisini ve bağlantıyı hangi güvenlik mothod’ u ile yaptığımızın bilgilerini görebilmekteyiz.

 

image013

 

Terminal Server Gateway serverimizin bizlere sağlamış olduğu en büyük avantajların başında, sahip olduğumuz her bir terminal serverimiz için sahip olduğumuz firewall üzerinde ayrı ayrı port açmamıza gerek yoktur. Client bilgisayarımız üzerinde netstat komutu ile açık olan portları izlediğimizde sadece ama sadece HTTPS yani 443 numaralı portun kullanıldığını görebilmekteyiz. Yani güvenliğimiz üst seviyede olup firewallımız üzerinde gereksiz port açmamış oluyoruz.

 

image014

 

TS Gateway serverimizin monitoring kısmına baktığımız zaman aktif bağlantıları tek bir ekran üzerinden izleyebilmekteyiz. Bu ekranda

  • Hangi kullanıcı
  • Hangi servera bağlantı kurmuş
  • Hangi port üzerinden bağlantıyı gerçekleştirmiş,
  • Hangi IP üzerinden bağlantıyı gerçekleştirmiş.
  • Ne zaman bağlanmış,
  • Ne kadar süredir bağlı,
  • Göndermiş ve almış olduğu veri vb.. bilgileri görebilmekteyiz.

 

image015

 

İhtiyacımıza göre TS Gateway serverimiz üzerinden aktif olan bağlantıları sonlandırabilmekteyiz.

 

image016

 

Bir bağlantıyı sonlandırdığımız zaman, bağlantısı sonlanan kullanıcıya gidecek olan hata mesajı The Terminal services Gateway server administrator has ended the connection olup, bağlantının Terminal Server Gateway yöneticisi tarafından bitirildiğinin uyarısı verilmektedir.

 

image017

 

Eğer ortamımızda birden fazla Terminal Server Gateway Serverimiz var ise, bu serverların yönetim ekranını tek bir konsol üzerinde toparlayabilir ve bağlantıları anlık olarak izleyebiliriz. Monitör ekranımızın kaç saniyede bir tazeleneceğini belirterek anlık izleme fırsatlarını bizlere sunmaktadır.

 

Fatih KARAALIOGLU

Windows 2008 Server Core Firewall Yonetimini Uzaktan Yapma

Hepinize merhaba,Server Core ile alakalı yeni bir makale ile karşınızdayım.Daha önceki makalelerimde Server Core ile alakalı yönetimsel olarak yapabileceğimiz temel konfigürasyonlar hakkında bilgi vermiştim.Bu makalemde ise, Server Core firewall yönetimini uzak bir pc’den MMC aracılığıyla nasıl yapabileceğimizi anlatacağım.

 

Artık hepimizin bildiği gibi Windows Server 2008 Server Core kurulumu, geleneksel ve eksiksiz olan grafik kullanıcı arabirimini(GUI) içermiyor. Bu yüzden sunucunun kurulumunu yaptıktan sonra, artık yönetimini sadece bir komut isteminde Local olarak ya da bir Terminal Server bağlantısı kurarak yapabiliyoruz. Üçüncü bir seçenek olarak da, sunucunun yönetimini Microsoft Management Console(MMC) üzerinden yapabilmekteyiz.

 

Bu şekilde GUI içermeyen kurulumların yönetimini yapmanın en büyük sıkıntılarından bir tanesi Server Core üzerinde yüklü ve default’da açık olarak gelen Firewall ayarlarını konfigürasyonunu yapmaktır. Firewall düzgün bir şekilde yapılandırılmadıkça, sunucunuzun uzaktan yönetimini yapmak inanılmaz ölçüde zor gelecektir.

Bu makalede, Server Core makinasının temel network konfigürasyonlarını yaptığınızı varsayıyorum. Tekrar hatırlatmam gerekirse:

                • Ip Adresi yapılandırılması 

                • Hostname yapılandırması 

                • Administrator Password bilgisinin belirlenmiş olması gerekmektedir. 

Aynı zamanda Server Core makinasını Domain’e üye yapabilirsiniz, fakat bu bir zorunluluk değildir. 

Peki, o zaman buyurun, Server Core üzerindeki Firewall ayarlarını, başka bir makine’den MMC aracılığıyla nasıl yapabileceğimiz ve denetleyebileceğimize bakalım. 

Windows 2008 Server Core Firewall yönetimini MMC ile başka bir makineden yapmak 

1)İlk olarak server core makinesi üzerindeki firewall’da, Remote olarak MMC bağlantılarına izin verebilmek için RemoteManagement isimli rule’u açıyoruz. Kullanacağımız komut aşağıdaki gibidir.

 

image001

 

Aynı komut dizimi üzerinden Disable parametresini kullanarak RemoteManagement kuralını kullanıma kapatabiliriz.

 

image002

 

2)Şimdi Remote bağlantı testini yapacağımız makineye geçiyoruz.Burada MMC 3.0’a ihtiyacımız olduğundan dolayı, Windows Server 2008 veya Vista üzerinden testimizi yapacağız.Start’dan run’a geliyoruz.

 

image003 

3)MMC’yi çalıştırıyoruz.

image004 

4)File menüsünden Add/Remove Snap-in seçeneğini seçiyoruz.

image005

 

Karşımıza gelen ekranda yönetimini yapmak istediğimiz konsol’u seçiyoruz. Ben Firewall yönetimi yapacağımdan dolayı Windows Firewall’u seçiyorum.

 

image006

 

Şimdi geldik, Server Core makinesinin Ip adresini belirtmeye. Senaryomuz gereği 192.168.1.5 IP adresine sahip olan Server Core makinesinin adresini yazıyoruz.

image007 

Finish dedikten sonra karşımıza Server Core firewall yönetimi gelmektedir.

image008 

image009

 

Karşımıza gelen ekranda, Server Core Firewall’u ile alakalı bütün kuralların yönetimini yapabilmekteyiz. Kurallar üzerinde, Enable, Disable ve Export gibi işlemleri yapabilmekteyiz.

 

Örneğin, Server Core makinesine Remote Desktop yapabilmek için aşağıdaki kuralı açabilirsiniz.(Windows Server 2008 kategorisinde yeralan makalemi okuyarak Server Core üzerine Remote Desktop hakkında daha detaylı bilgi alabilirisiniz.) 

image010

 

Bir başka örnek olarak da, Server Core makinasının kendisine gönderilen ping paketlerine cevap verebilmesini sağlayabilirsiniz. Enable duruma getirmiş olduğumuz bu rule, ICMP Echo Replies paketlerine izin verdiğimiz anlamına gelmektedir. Ve Inbound bir rule’dur.

image011 

Test edelim bakalım.192.168.1.5’e artık ping atabilmemiz gerekmektedir. 

image012

 

image013

 

Her şey başarılı oldı. Server Core işletimi, bir çok ayarın manuel olarak yapılandırılmasını gerektirir ve uygun Firewall konfigürasyonuna sahip olmadan, Remote bağlantı kurabilmek oldukça zor bir iş haline gelebilir. Bu makalemde sizlere, MMC üzerinden Server Core üzerindeki Firewall yönetimini nasıl yapılandırabileceğimiz ve denetliyebileceğimizi anlattım. Bir başka makalede tekrar görüşmek üzere.

Hoşçakalın….

 

Kaynak:

Microsoft Offical Course(MOC)

Serhad MAKBULOĞLU

NAP (Network Access Protection) – VPN

Uzun bir aradan sonra NAP (Network Access Protection) –VPN makalesi ile karşınızdayım. Gerek Windows Server 2003 gerekse ISA 2004/2006 üzerindeki VPN çözümünü kimi zaman kullanmışızdır, kullanmasak bile Microsoft’un böyle bir çözümü bir kenarda bizi beklemektedir. Bununla beraber  belirli sağlık statülerine uymayan clientların (antivirüs program olmayan, update’leri tam olmayan) vpn ile iç network’e girişinin engellenmesi Network karantina uygulaması ile yapılmaktaydı. Aslında pek de yapılamamaktaydı çünkü gerek uygulamanın zorluğu (scriptler vs ile uğraşmak) gerekse sağlık statülerine uymayan uzak client’ları iyileştirmeye yönelik birşey yapmadan direk olarak vpn bağlantısını koparması özellikle sahada uzaktan çalışan kişiler için sıkıntılı durumlara sebebiyet vermekteydi.

Windows Server 2008 ile birlikte gelen NAP – VPN çözümü ile hem uygulamada scriptlerle uğraşmak zorunda kalmıyoruz hem de Remediation Server olan bir server sağlık durumunu kontrol ettiği client, eğer istenilen özelliklere uymuyorsa bunu düzeltmeye çalışıyor. Bu makalede Windows Firewall’u kapalı olan bir Windows Vista makine’nin durumunun iyileştirilip iç network’e nasıl alınacağına bakacağız. Bunun için 4 adet sanal makineye ihtiyaç duymaktayım. Yapı aşağıda yer alan şekildeki gibidir.

image001

Şekilde de gördüğünüz üzere Domain Controller’ımız Windows Server 2003 SP2 üzerinde çalışmakta VPN ve NPS Server’larımız Windows Server 2008, Client ise Windows Vista işletim sistemine sahiptir.

DC01 Makinesine Active Directory’i kurduktan sonra üzerine Add/Remove Windows Components’tan sertifika servislerini kurup Enterprise root CA olarak tanımlıyorum.  Active Directory Users and Computers snap-in’i ile Selim isimli bir kullanıcı oluşturup, kullanıcıyı “Domain Admins” grubunun bir üyesi yaptım.Kullanıcının özelliklerinde Dial – in tabından kullanıcıya Uzak bağlantılar için Allow Access verdim.  Bununla beraber bir de “NAP Client Computers” isimli bir global-security grup oluşturdum.

VPN1 isimli makinenin IP adresini şekildeki gibi verdikten sonra selveroglu.com domain’ine join ettim. Şekilde de gördüğünüz üzere VPN bağlantıları kabul edecek server’ımız budur. Şimdi gelelim bu makineyi VPN Server yapmaya…

Server Manager’da soldan Roles ‘u  seçip Add Role ‘a tıklıyoruz. Network Policy and Access Services’i seçip, iki kez next’e tıklıyoruz.

image002

Role Services ekranında Remote Access Service ‘i seçip, next ve install’u tıklayarak yükleme işlemini tamamlıyoruz.

VPN server’ı yapılandırmak için Run satırına rrasmgmt.msc yazıyoruz.Karşımıza gelen Routing and Remote Access konsolunda VPN1’e sağ tıklıyoruz ve Configure and Enable Routing an Remote Access’i seçiyoruz.

image003

Next’e tıklayıp en üstteki seçenek olan Remote Access (dial –up or VPN) seçeneğini seçip next’e tıklıyoruz. Sonraki ekranda VPN’i seçip next’e tıklıyoruz.

image004

Sıradaki ekranda VPN bağlantılarını kabul edecek interface’i seçiyoruz. Bu örnekte internet ile bağlantı kuran Local Area Connection 2 isimli kartı seçiyorum. Bununla birlikte Client1’in VPN1’e bağlantı kontrolü için ping atarken sorun yaşamasın diye Enable Security on…. Ile başlayan kutucuktaki işareti kaldırıyorum ve Next’e tıklıyoruz.

image005

IP Address Assignment sayfasında From a specified range of addresses ‘ı seçip next’e tıklıyoruz. Sonraki Address Range Assignment sayfasında New’a tıklayıp Start IP Address’e 192.168.1.100 End IP Address ‘e 192.168.1.110 yazıp OK ‘e tıklayıp ardından Next ‘e tıklıyoruz.

image006

Managing Multiple Remote Access Servers sayfasında Yes, set up this server to work with a RADIUS server ‘ı seçip Next’i tıklıyoruz.

image007

RADIUS Server Selection sayfasında Primary RADIUS server kısmına NPS 1’in IP adresi olan 192.168.1.201 yazıyoruz. Shared secret bölümüne de gizli şifre olarak server2008 yazıyorum.

image008

CL1 ile VPN1 makineleri arasındaki bağlantıyı test etmek için ilerleyen bölümlerde ping komutunu kullanacağız ama bunun için VPN1 ‘deki firewall’u ICMP protokolüne izin vermemiz gerekmekte. Run satırına wf.msc yazaraktan Windows Firewall ’un yönetim konsolunu açıyoruz. Soldaki Inbound Rules ‘a sağ tıklayıp New Rule ’u seçiyoruz. Açılan pencerede Custom ‘I seçip ilerliyoruz.

image009

Sonraki ekranda All Programs ‘ı seçiyoruz. Bir sonraki ekranda ise Protocol Type ‘ta ICMPv4 seçip Customize ‘a tıklıyoruz. Bu ekranda Specific ICMP types ‘ı seçip Echo Requests ‘in kutusunu işaretleyip OK ‘e tıklıyoruz.  Scope sayfasında Default ayarları kabul edip Next’e tıklıyoruz. Action sayfasında Allow the connection ‘ı seçiyoruz. Default profili kabul edip Name kısmına ICMPv4 echo request ‘ı seçip Finish ‘e tıklıyoruz.

Sıra Network Policy Service’i NPS01’e yüklemeye geldi. NPS01 makinesinde Server Manager’da Add Roles’u seçerek Network Policy and Access Services ‘ı seçiyoruz. Iki kez Next’i tıkladıktan sonra gelen ekranda Network Policy Server check box ‘a işareti koyup ardından Next ve install ‘a tıklıyoruz.

image010

Yine Server Manager’da Features kısmından sağda Add Features’a tıklayıp Group Policy Management ‘ın check box ‘ına işareti koyup Next ve ardından Install ‘a tıklıyoruz.

Sıra geldi NAP client ayarlarını Group Policy ile belirlemeye. NPS01 makinesinde Run satırına gpme.msc yazıp OK’e tıklıyoruz. Browse for a Group Policy Object  kutusunda domain adının yanındaki Create a new GPO ikonuna tıklıyoruz ve isim olarak NAP Client settings yazıyoruz. OK’e tıkladıktan sonra karşımıza Group Policy Management Editor geliyor. Burda Computer Configuration/Policies/Windows Settings/Security Settings/System Services ‘e geliyoruz. Sağ taraftaki Network Access Protection Agent ‘a çift tıklıyoruz. Define this policy setting’in check box’ını işaretleyip Automatic’i seçip aşağıdan Ok’e tıklıyoruz.

Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients ‘a geliyoruz. Sağda Remote Access Quarantine Enforcement Client ‘a sağ tıklayıp enable yapıyoruz. Ardından NAP Client Configuration ‘a sağ tıklayıp Apply’a tıklıyoruz.

image011

Ardından Computer Configuration\Policies\Administrative Templates\Windows Components\Security Center ‘a geliyoruz. Sağ taraftan Turn on Security Center (Domain PCs only) ayarını enable hale getirip Group Policy Management Editor’ü kapatıyoruz.

Bu yaptığımız ayarların sadece NAP Client Computers grubuna uygulanması için NPS01’de Run satırına gpmc.msc yazarak group policy management console’a ulaşıyoruz. Burda Forest: Contoso.com\Domains\selveroglu.com\Group Policy Objects\NAP client settings ‘e geliyorum sağdaki Security Filtering kısmından Authenticated Users’ı kaldırıp yerine Nap Client Computers grubunu ekliyorum.

image012

PEAP Authentication sağlamak için NPS01 isimli makinemiz local computer certificate store’unda yer alacak computer certificate ‘a ihtiyaç duymaktadır. Bu sertifikayı atamak için DC01 üzerindeki certification Authority ‘den yararlanacağız.

Run satırına mmc yazıp boş bir mmc konsolu açıp Computer Account’u için Certificates snap’inini ekliyoruz. Certificates altından Personal’a gelip All tasks altından Request New Certificate ‘a tıklıyoruz.

image013

Welcome ekranında Next’e tıklıyoruz. Certificate Enrollment sayfasında Computer’ın check box’ını seçip enroll ‘u tıklıyoruz.

Şimdi sıra geldi NPS01 makinesini health policy server olarak yapılandırmaya… NPS01 makinesi uzaktan VPN ile network’ümüze girmek isteyen client’ların bizim belirlediğimiz kriterlere göre sağlık statülerini kontrol edip duruma gore iç network’e alacak, ya da önce bekletip, bu client’ın istediğimiz sağlık koşullarına ulaşmasını sağlayıp, sonra iç network’e alacak.

NPS01 makinesinde Run satırına nps.msc yazarak Network Policy Server konsoluna ulaşıyoruz. Burda NPS (Local) ‘e tıklıyoruz. Standard Configuration altından Configure NAP’e tıklıyoruz ve bir sihirbaz bizi karşılıyor. Select Network Connection Method for Use with NAP sayfasında Network connection method olarak Virtual Private Network (VPN) ‘I seçip next’e tıklıyoruz.

image014

Specify NAP Enforcement Servers Running VPN Server sayfasında sağdan Add’e tıklıyorum. Yeni açılan pencerede friendly name’e NAP VPN Server yazdım. IP adresi kısmına da VPN1’in iç network’e bakan interface’inin IP adresi olan 192.168.1.203’ü yazdım. Shared Secret kısmına daha önce VPN1 kurulumu adımlarında kullandığım şifre olan server2008 ‘i yazdım. Configure User Groups and Machine Groups kısmında değişiklik yapmadan next’e tıklıyorum.  Configure an Authentication Method sayfasında NPS Server Certificate altında daha önceden makineme certification authority’den aldığım sertifikayı görüyorum ve Next’e tıklıyorum.

image015

Specify a NAP Remediation Server Group and URL sayfasında New Group ‘a tıklıyorum. Açılan Pencerede Group Name’e Domain Services yazıp sağdan tekrar Add’e tıklıyorum. Friendly Name kısmına DC1 ve IP address or DNS name kısmına da DC1’in IP adresi olan 192.168.1.200’ü yazıyorum.  Iki kez OK’e tıklayıp çıkıyorum ve Next’e tıklıyorum.

Define NAP Health Policy sayfasında Windows Security Health Validator ve Enable auto-remediation of client computers check box’larının işaretli olduğunu kontrol ettikten sonra next’e ve ardından Finish’e tıklıyorum.

Sırada System Health Validators ayalarını yapmaya geldi. Network Policy Server konsolunda Network Access Protection altından System Health Validators ‘a tıklıyoruz.  Sağ bölümden Windows Security Health Validator’a çift tıklayıp açılan pencerede Configure’e tıklıyoruz.

image016

Karşımıza aşağıdaki gibi bir pencere gelecek. Bu pencerede A firewall is enabled for all network connections haricindeki tüm check box’ları temizliyoruz. Ve OK’lere tıklayarak çıkıyoruz fakat konsolu kapatmıyoruz.

image017

Şimdi de VPN1 makinesini NAP yeteneklerine sahip bir Radius Client şeklinde yapılandırmaya. RADIUS Clients and Servers altından RADIUS Clients ‘a tıklıyoruz. Sağ taraftan NAP VPN Server ‘a çift tıklıyoruz. Daha sonra screen shot’taki gibi en alttan RADIUS client is NAP-capable ‘a tıklayıp check box’ı işaretliyoruz. Ardından OK’e tıklayıp konsolu kapatıyoruz.

image018

Ardından NPS01 makinesine ping atabilmek için daha önce VPN1 makinesinde yaptığımız gibi  Run satırına wf.msc yazaraktan Windows Firewall ’un yönetim konsolunu açıyoruz ve burdan Rule oluşturuyoruz. Yukarda daha önce benzeri bir işlem yaptığım için burda tekrar yazmıyorum.

Şimdi de CL1 isimli makineyi yapılandıracağız. Her ne kadar yukardaki çizimde LAN1 kartının IP’si 131.107.1.22 görünse de makineyi domain’e join etmemiz gerekiyor. Bu nedenle öncelikle internal bir IP adresi verip domain’e join edeceğiz. Join işleminin ardından makineyi hemen restart etmiyoruz. CL1 makinesini Active Directory Users and Computers altından NAP Client Computers grubuna üye ediyoruz. Bundan sonra CL1’I restart ediyoruz.Bu sayede CL1 Nap Client Computers grubu için olan Group Policy ayarlarını kendine alacaktır. Diğer türlü bir kez daha restart etmemiz gerekecekti.

Group Policy ayarlarının CL1’e uygulanıp uygulanmadığını kontrol etmek için CL1 makinesinde komut satırını admin yetkileriyle açıyoruz. Burda aşağıdaki komutu yazıyoruz.

netsh nap client show grouppolicy

Komut çalıştıktan sonra Enforcement Clients altında Admin Status’te Remote Access Quarantine Enforcement Client seçeneğinin enabled olduğunu doğruluyoruz.

image019

Şimdi de CL1 ‘in IP adresini 131.107.1.22 / 24; DNS: 192.168.1.200 şeklinde değiştirip VPN1 Makinesinin dış interface’I olan 131.107.1.23 ile iletişim kurup kuramadığını denemek için bu interface’I pingliyoruz. Eğer yanıt alabiliyorsak herşey yolunda.

Ip adresi değiştikten sonra Client 1’in iç network’e ulaşabilmesi için VPN bağlantı kurmak gerekmekte. Bunun için Start menüsünden Network’e sağ tıklayıp Properties’e geliyoruz. Sol taraftan Set up a connection or network’e tıklıyoruz. Choose a connection option sayfasında Connect to a workplace ‘I seçiyoruz.

image020

How do you want to connect sayfasında sayfasında Use my Internet connection (VPN) ‘I seçiyoruz.

image021

Sonraki Sayfada I’ll set up an internet connection later’I seçiyoruz.

Type the internet address to connect to sayfasında Internet address kısmına VPN1 makinesinin IP adresi olan 131.107.1.23 ‘ü yazıyoruz. Destination name kısmına da bağlanacağım domain’in adını yazdım ve alttan Allow other people to use this connection kutusunu işaretliyorum.

image022

Sonraki ekranda kullanıcı adı ve şifre bilgilerini giriyorum. Daha önce oluşturduğum Selim kullanıcısını ve password’ünü kullandım. Domain adını da selveroglu yazıp Create’e tıkladım.  Ardından Connection Ready penceresini kapatıyorum.

Network an Sharing Center ‘da Manage Network Connections ‘a tıklıyorum. Virtual Private Network altındaki bağlantıma sağ tuşla tıklayıp  Properties ‘e geliyorum. Ardından Security tab’ına tıklıyorum.

Burada Advanced (custom settings)’I seçip ardından settings’e tıklıyoruz.  Logon security altında Use extensible authentication Protocol (EAP) seçip  aşağısından Protected EAP (PEAP)(encryption enabled)’I seçiyoruz.

image023

Aşağısından Properties’e tıklayıp Validate Server Certificate kutusunu işaretliyoruz. Connect to these servers kutusunu temizleyip Select Authentication Method altından Secured Password (EAP-MSCHAP v2)‘ü seçiyoruz. Enable Fast Reconnect kutusunu temizleyip Enable Quarantine checks kutusunu işaretliyoruz.

image024

VPN Bağlantımızı test etmek için bağlantımızın üzerine sağ tuşla tıklayıp connect’I seçiyoruz. Açılan pencerede şifremizi yazıp tekrar connect’e tıklıyoruz. İlk kez bağlantı yaparken aşağıdaki ekranla karşılaşırız ve burada server sertifikamızın doğru olup olmadığını bir kereye mahsus kontrol etmemizi ister.

image025

View certificate butonuna tıklayıp aşağıdaki gibi sertifka bilgilerine erişebiliriz.

image026

OK butonlarına tıklayarak pencereleri kapatıyorum. Ardından bağlantım kurulduktan sonra DC01 ve NPS01 makinelerinin IP adreslerine ping atabiliyorsam bağlantım başarılı olmuştur. Şimdilik bağlantımı disconnect’e tıklayarak kapatıyorum.


Şimdi otomatik iyileştirme (remediation) fonksiyonunu test etmeye geldi. Öncelikle CL1 makinesindeki firewall’u kaptacağız ve akabinde VPN bağlantısı kurmaya çalışacağız. Bu durum policy’lere aykırı olduğu için NAP auto-remediation devreye girerek CL1’I policy’lerde istenen şekle sokacaktır.

CL1 ‘de Start menüsünden Control Panel’e geliyoruz. Security’e tıklıyoruz. Windows Firewall on or off ‘a tıklıyoruz. Windows Firewall Settings kutusunda Off(not recommended) seçip OK’e tıklyoruz.

Network connections’tan tekrar VPN bağlantıma sağ tuşla tıklayıp connect’I seçiyorum. Size Hiç bir uyarı vermeden VPN bağlantısı gerçekleşebilir. Ama Windows Firewall’un durumuna baktığınızda on konumuna geldiğini göreceksiniz. Ve Network Access Protection Uygulamasının bu sayede başarıyla çalıştığını görmekteyiz.

Son olarak antivirus programı yüklü olmayan CL1 için policylerde “antivirüs yüklü olsun” dersek neler olacak ona bakalım..

NPS01 makinesinde Run satırında nps.msc yazarak Network Policy Server konsolunu açıyoruz. Burada Network Access Protection altından System Health Validators ‘a tıklıyoruz.  Sağ bölümden Windows Security Health Validator’a çift tıklayıp açılan pencerede Configure’e tıklıyoruz.  Burda  da “An antivirus application is on”  seçeneğini işaretleyip OK butonlarına basarak çıkıyorum.

CL1 ‘den tekrar VPN bağlantısı kurmaya çalıştığımda aşağıda görünen hatayı almaktayım.

image027

Biraz uzunca oldu, daha da uzamasın diye her adımda snap-shot koymadım. Umarım yararlı olmuştur ve uygulama hakkında fikir verebilmişimdir. Başka bir makalede görüşmek üzere.

Selim SELVEROĞLU

Windows Server 2008 Terminal Services Gateway Bolum 1 (Windows Server 2008 TS Gateway Oncesi)

Terminal Services Gateway Nedir ? Hangi firmaların ihtiyaçlarına cevap verir, hangi durumlarda kullanmalıyız gibi sorulara cevap vermeden önce W2008 Terminal Services Gateway dan önce yaşamış olduğumuz sıkıntıları sizler ile paylaşarak, şaha tecrübelerimi aktararak Windows Server 2008 ile birlikte gelen bu yeni özelliğin önemini anlatmak istedim.

Terminal Services Gateway makale dizisi ile , bundan sonra ki makalelerimde kurulumu, yapılandırılması, dizaynı ve uzak ofis mağazalarımız ve yerel istemcilerimiz için kullanıma hazır hale getirilmesinden bahsedeceğim.

image001

Bir firmanın , Terminal Services Teknolojisine ihtiyacı varsa eğer, yukarıda göstermiş olduğum basit bir yapı olup, firmanın Terminal Services ihtiyaçlarını karşılamaktadır.

Yukarıda ki yapıdan bahsetmemiz gerekirse iç networkümüzde, merkezimizde bulunan bir terminal server bulunmakta olup bu terminal serverimizi korumakta olan UTM teknolojisine sahip bir firewall bulunmaktadır. Şirket networkü ihtiyaçları gereği farklı çoğrafi bölgelere yayılmış ve uzak ofisleri – mağazaları bulunmaktadır. Firewallımızın burada ki görevi sadece ama sadece uzak ofislerimizden gelecek olan Terminal Services isteklerini iç networkümüzde bulunan Terminal Serverimizi yönlendirmek için dizayn edilmiştir.

Firewallımızın çalışma mantığı, sahip olduğumuz farklı çoğrafi bölgelerde ki uzak ofislerimizin, merkez networkü ile iletişimini sağlayan internet erişimlerini kiralamış bulunduğumuz kurum üzerinden (Turk Telekom vb. kurumlar) IP adresini sabitleştiriyoruz ve firewallımız üzerinde Virtual IP uygulamasını yapılandırıyoruz. Yapılandırmış olduğumuz bu Virtual IP uygulaması ile uzak ofis ve mağazalarımızın sahip oldukları Dış Sabit IP adresleri firewallımız üzerine tek tek tanımlanıyor ve bu IP adresleri bir grup altında birleştirilip aşağıda ki gibi kural oluşturuluyor.

·         Dış dünyadan gelen

·         Dış IP adeslerinin tanımlamış olduğumuz grubun üyesi olan

·         Tüm Terminal services isteklerini

·         İç networkümüz içinde bulunan Terminal Serverımıza yönlendir.

Yukarıda ki gibi oluşturmuş olduğumuz basit bir kural iç networkümüz içinde bulunan Terminal Serverimizi korumak için yeterli olup bu grubun üyesi olmayan hiç bir IP adresinin isteğini Terminal Serverimiza yönlendirmeden Terminal Serverimiz üzerinde gereksiz kaynak harcatmadan korumayı gerçekleştirmektedir.

Örnek Network Diyagramına bakıldığı zaman kırmızı bölgede ki nokta, kullanıcının IP adresinin, Firewallımıza tanımlı olmadığı için isteğinin yasaklandığını görebilmekteyiz.

image002

Yukarıdaki yapı şirket networkü içinde bulunan Terminal Serverin koruması için yeterli olsa bile bazı özel durumlarda bu güvenlik bizlere dez avantaj getirmekteydi. Örnek olarak bir destek firması bir arıza durumunda uzak , herhangi bir noktadan Terminal Servera bağlanıp problemi çözmek adına hizmet vermek istediği zaman, bağlanmış olduğu noktanın dış ıp adresi firewalla tanımlı olmadığı için isteği firewall tarafında engellenecek ve çözüm üretemeyekti.

Diğer bir örnek ise firmanın sahibi, yönetim üyesi, mağazalar müdürü vb.. kişiler evlerinden veya iş seyahatlerinde Terminal Servera bağlantı isteği duydukları zaman aynı şekilde istekleri firewall tarafından engellenecekti.

Bu gibi problemler ise firewall üzerinde yapılacak olan VPN (Sanal Özel Ağ) yapılandırılması ile çözüm bulunmakta olup, destek firmaları ve firma yetkilileri firewall üzerinde yapılandırılan VPN istekleri ile güvenli ama bir o kadar da yavaş olarak şirket networküne bağlanıyor ve işlemlerini gerçekleştirebiliyordu.

image003

VPN teknolojisini kullanarak Terminal Serverimiza erişimi daha bir esneklik getirmiş olsakta problemlerimiz henüz bitmiş durumda değildir.

Merkez networkümüz içinde bulunan Firewallımız üzerinde nasıl dış dünyadan gelen istekleri iç networkümüz içinde bulunan Terminal Server için gerekli port yönlendirmelerini yaptıysak bağlantıyı kuracak olduğumuz networklerde de iç networkden, dış dünyaya ilgili portların açılması zorunludur.

Ve bu networkler (uzak ofislerimiz, destek departmanının barınmış olduğu network, mağazalar müdürünün evi vb.) bizlerin kontrolü altında olduğu için ve bu portları açmamız da bir sıkıntı olmadığı için bir problem ile karşılaşmıyorduk. İçeriden dışarıya Terminal Services Portunu ve VPN portlarına izin vererek erişimi gerçekleştirebiliyorduk.

Problemleri sırasıyla aşmaya devam ederken her seferinde farklı problemler bizleri beklemektedir.

 image004

Yeni problemimiz ise Mağazalar müdürümüz, on günlüğüne iş seyahatine çıkıyor ve tek düşünmüş olduğu şey, akşamları şirket networküne bağlantı kurarak raporları, günlük satışları vb.. işlemleri kontrol etmektir. Ve bunun için otelden istemiş olduğu tek şey internet erişimidir. İhtiyacı doğrultusunda gerekli internet bağlantısının olup olmadığını soruyor ve internet bağlantısının olduğunu öğrendikten sonra rezervasyonunu yaptırıp, otel networküne giriş yapıyor.

Giriş yaptıktan sonra mağazalar müdürümüz internetini kullanabilmektedir.

Web üzerinde gezinti yapabilmekte ve siteler arasında dolaşabilmektedir. Bu işlemler için gerekli olan port 80 numaralı HTTP isteği otel networkü tarafından misafir kullanıcılara atanmış olup bir sıkıntı yaşamamaktadır.

Misafir internet hattı üzerinden, 443 numaralı HTTPS, güvenli internet erişimlerini de kullanmakta olup şifreli web sayfaları üzerinde işlemlerini yapabilmektedir.

Fakat muhasebe müdürümüzün, şirket networküne bağlana bilmesi için gerekli olan portlar

·         Terminal Services için 3389

·         VPN için 1723

Numaralı portlar misafir kullanıcılarına, şirket networkünü kullanabilmesi için izinli olmamış olup, yapmış olduğu istekler şirket networküne gitmeden, otel networkü tarafından yasaklanmaktadır. Ve muhasebe müdürümüz on günlük tatilini işten uzakta, hiç bir işlemi kontrol etmeden tam bir tatil havasında geçmektedir (!) J

Çünkü muhasebe müdürümüzün gitmiş olduğu networkde bir misafirdir ve ihtyiaç duymuş olduğu portları açtırması tamamen Otel IT yetkililerinin insiyatifindedir. Eğer Otel IT departmanı bu portları açmazsa muhasebe müdürümüz firmaya bağlantı kuramayacak ve kontrollerini gerçekleştiremeyecektir.

image005

 

W2008 Terminal Services’ den önce yaşamış olduğumuz sıkıntıları sizlere bir senaryo çerçevesinde aktarmaya çalıştım ki bu ve benzeri senaryoları zaten günlük hayatda , projelerimiz de yaşamaktayız.

W2008 ile birlikte gelen bu yeni özelliği kullanarak, Otel networkü tarafından Güvenli internet erişimi için bizlere tahsis edilen 443 numaralı HTTPS portunu kullanarak merkez networkü içinde bulunan Terminal Server Gateway serverimiza bağlantıyı kuruyoruz ve Terminal Server Gateway üzerinden iç networkümüzde bulunan Uzak masa üstü aktif duruma getirilmiş

·         Terminal Serverimiza

·         Terminal Serverlarımıza

·         İstemci bilgisayarlarımıza

bağlantıyı gerçekleştirebiliyoruz.

Terminal Server Gateway Rolünün öncelikli özelliği bu olup diğer bir avantajı ise iç networkümüz içinde bulunan çoklu Terminal Serverlar için firewallımız üzerinde farklı portlar açarak veya istemci bilgisayarlarımıza bağlantı kurmak için kullandığımız VNC, Radmin vb. diğer programların portlarını açmaksızın sadece ama sadece 443 numaralı HTTPS portu üzerinden bilgisayarlarımıza bağlantı kurabilmekteyiz.

Firewallımız üzerinde birden fazla port açmayarak güvenliğimizi sağlıyoruz ve bu portları tek tek açmayarak harcamış olduğumuz iş yükümüzü hafifletmiş oluyoruz.

TS Gateway Makale dizimizin sonra ki bölümlerinde Kurulumu, yapılandırılması gibi operasyonlarımızı gerçekleştireceğiz.

 

Fatih KARAALIOGLU