Direct Access Kurulumu Part 1

Written by Ertan Gülen on. Posted in Windows 7, Windows Server 2008 R2

hakkında kısa bilgiyi Direct Access nedir başlıklı yazımızda sunmuştuk. Direct Access kurulumunu ise 4 bölüm olarak ele alıp; Domain Controller üzerinde yapılması gerekenler, Uygulama ve Web Serverlar üzerinde yapılması gerekenler, Direct Access Server’ın kurulumu ve Client’lerin bağlantısının hazırlanması olarak açıklayacağız.

Direct Access kurulum işlemlerini açıkladığımız bu makelelerimizde tüm sunucular üzerinde Server 2008 R2  tüm istemciler üzerinde Window 7 Ultimate kullanılmıştır.

Bu bölümde Direct Access teknolojisinin kullanılması için Domain çapında ve Active Directory üzerinde yapılması gerekenleri ele alacağız.

Direct Access Kullanımı için Domain Çapında Yapılması Gerekenler:

Direct Access Server yapılandırma ve Direct Access kullanımı için Domain’in genel yapısı içerisinde Windows Firewall kuralları üzerinde düzenlemeler, Ipv6 tunel için TCP-IP yapılandırma ve düzenlemeleri ile Direct Access kullanımı için sertifika yapılandırma ve dağıtım işlemlerine ihtiyaç vardır.

Domain bünyesinde çalışan tüm bilgisayarlar için Direct Access’in ihtiyaç duyduğu Windows Firewall izinlerini düzenlemek üzere Group Policy aracı ile merkezi olarak Windows Firewall ayarlarını düzenlemeliyiz.

Direct Access firewall ayarlari

Direct Access firewall ayarlari

İhtiyaç duyulan kurallar;

1.ICMPv4 EchoRequest (Inbound-Outbound)

2.ICMPv6 EchoRequest (Inbound-Outbound)

Windows Firewall kurallarını yapılandırmak için Default Domain Policy üzerinde

Direct Access firewall ayarlari

Direct Access firewall ayarlari

Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Inbound Rules üzerine sağ tıklayarak New rule diyoruz.

Direct Access firewall ayarlari

Direct Access firewall ayarlari

Rule Type kısmında Custom seçeneği ile devam ediyoruz. Programlar sekmesinde All Programs seçili iken devam ediyoruz.

Direct Access firewall ayarlari

Direct Access firewall ayarlari

Protocols and Ports Sekmesinde Protocol Type altından ICMPv4 seçiyoruz ve Customize tabına geçiyoruz.

Direct Access firewall ayarlari

Direct Access firewall ayarlari

Customize tabında Specific ICMP types altından Echo Request seçeneğini işaretleyerek devam ediyoruz.. Kuralım oluşturulması sırasında diğer seçenekleri değiştirmeden kural oluşturulmasını tamamlıyoruz  ICMPv4 Echo Request için Inbound Rule olşturduk, Aynı şekilde ICMPv6 Echo Request isteklerine bir kural oluşturmamız gerekiyor. Belirtilen adımları Protocol Type altından ICMPv6 seçerek tekrarlıyor ve ihtiyacımız olan ikinci Inbound Rule’u da oluşturmuş oluyoruz.

Direct Access’in çalışabilmesi için Windows firewall üzerinde Outbound Rule’lar üzerinde de aynı iki protokol içn kural oluşturmalıyız. bunun için;

Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Outbound Rules üzerine sağ tıklayarak New rule seçeneği ile yine aynı adımları takip ederek İCMPv4 ve ICMPv6 protokollerine izin veren iki kural oluşturuyoruz.

Clientlerimizin ve Direct Access ile clientlere hizmet verecek olan sunucularımız oluşturulan kuralları group policy aracılığı ile alıp almadıklarını test ettikten sonra Domain bünyesinde hizmet veren Certification Authority ile Direct Access clientlerin Ipsec bazlı kimlik doğrulamalarını gerçekleştirmelerinde kullanılacak bir custom template oluşturmalıyız.

Root CA’in kurulu olduğu sunucumuda MMC üzerinden Certifiacates Templates snap-in’ini açarak;

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Web Server template’ine sağ tıklayıp Duplicate Template diyoruz. Kopyalama işlemi için bize 2 seçenek sunuyor Server 2003 ve Server 2008. Server 2008 işaretli iken kopyalama işlemine yeni bir isim vererek devam ediyoruz. Karşımıza gelen pencerede Security tabına tıklayarak Authenticated Users için Enroll iznini tanıyoruz. Add diyerek Domain Computers öğresini ekliyor ve Enroll hakkını tanıyoruz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Request Handling tabına geçerek Allow private key to be exported seçeneğini aktif ediyoruz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Bu işlemler sonunda Direct Access için kullanılacak server sertifikasının şablonunu oluşturmuş oluyoruz.Bu işlemler sonrasında Enterprise Root CA için CRL distribution ayarlarını yapılandırma işlemine geçeb,liriz.

Certification Authority yönetim ekranında CA’in kurulu olduğu server ismine sağ tıklayarak Properties seçeneği ile gerekli ayarları düzenleyeceğiz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Properties penceresinde Extensions tabına geçerek Certificate Revocation List (CRL) yolunu belirlemeliyiz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Add diyerek domainimiz için gerekli ayarlamaları yapacağımız ekrana geliyoruz. Location kısmına domain ismimize göre düzenleyerek http://crl.bilgeadam.com/crld/ yazıyoruz. bir alt seçenek olan Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Oluşturduğumuz yeni CRL adresi seçili iken Include in CRL’s. Clients use this to find Delta CRL locations ve Include in the CDP extensions of issued certificates seçeneklerini işaretliyoruz.

Oluşturmamız gereken ikinci kayıtta ise Direct Access Server’ımızı belirtmemiz gerekiyor. Bu kayıt için de aynı pencere de Add diyerek yeni bir CRL oluşturuyoruz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Location tabına \\da\crldist$\ adresi ile local networkteki Direct Access serverımızın yolunu belirtiyor ve crldist$ klasorunu gosterıyoruz. Onceki CR’de olduğu gibi yine Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Oluşturduğumuz yeni CRL adresi seçili iken Publish CRL’s to this location ve Publish Delta CRLs to this location seçeneklerini işaretliyoruz.

CRL yayınlama işlemlerini tamamladıktan sonra ise sertifika yönetimi adına yapmamız gereken son işlem Root CA’in domain çapında bir Computer sertifikası dağıtmasını sağlamak. Bunun için Group Policy’lerden faydalanacağız.

Direct Access için sertifika olusturma

Direct Access için sertifika olusturma

Default Domain Policy’i özelleştirerek gerçekleştireceğimiz bu işlem için;

Computer Configuration>Policies>Windows Settings>Security Settings>Public Key Policies>Automatic Certificate Request Settings  üzerine sağ tıklayarak New>Automatic Certifiace Request ile Computer sertifikasının domain çapında Auto-Enroll olmasını sağlıyoruz.

Active Directory Üzerinde Yapılması Gerekenler:

Domain çapında yapılması gerekenler bu kadar şimdi ise Active Directory üzerinde Direct Access’i kullanacak client bilgisayarlar için bir grup oluşturmalıyız.

Direct Access bilgisayar grubu olusturma

Direct Access bilgisayar grubu olusturma

Start>Run>dsa.msc yazarak Active Directory Users and Computers ekranına gelip burada Yeni bir Global Security Group oluşturmamız gerekiyor Bu gruba daha sonra Direct Access ile yerel kaynakları kullanacak, uzak erişim yapacak bilgisayarları belirleyecegiz.

Bu ilk yazımızda için Domain çapında yapılması gereken ayarlardan bahsederek Active Directory’de Direct Access ile merkeze bağlanacak bilgisayarları belirleyeceğimiz bir grup oluşturduk. Bir sonraki yazımızda Direct Access Server’ın kurulumunu gerçekleştireceğiz.

Tags: , , , , , , , ,

Trackback from your site.

Ertan Gülen

Ertan Gülen 1986 istanbul doğumludur. 8 yılı aşkın süredir bilişim sektörünün içerisinde farklı rollerde görev almaktadır. Bilge Adam BTA‘da eğitmenlik ve danışmanlık görevlerinin ardından bir süre Microsoft Türkiye'de Sanallaştırma ağırlıklı olarak System Center ürün ailesi, Forefront Güvenlik ailesi ve Server Ailesi hakkında İş Ortakları Teknoloji Danışmanı olarak görev almıştır. Şuan ise Avnet Türkiye'de Microsoft ürünlerinden sorumlu teknik danısman olarak çalışmaktadır. Windows 8 ve Hyper-V 3.0 araştırmakta, Hp Blade Sistemler, Sanallaştırma Mimarileri, Cloud Computing gibi konular üzerine kafa yormaktadır. MVP: Virtual Machine, vExpert 2011,MCT, ASE, CCNA, VCP, SCS, HPCI vb. sertifikalara sahiptir.

Leave a comment

*